DMZ (demilitarized zone)

Der Begriff DMZ (demilitarisierte Zone) stammt ursprünglich aus dem Militär und bezeichnet eine Pufferzone zwischen zwei feindlichen Linien. Im Netzwerkbereich bildet eine DMZ ein separates Netz, welches zwischen dem internen (privaten) und dem externen Netz (z.B. dem Internet) liegt. In einer DMZ befinden sich Rechner aus dem eigenen Netz, welche in der Regel Ressourcen bereitstellen, auf die auch aus dem externen Netz heraus zugegriffen werden soll (z.B. ein eigener Webserver, eMailserver, etc.).

Zwischen dem externen Netz und der DMZ befindet sich eine löchrige Firewall, die es erlaubt, aus dem externen Netz heraus auf die Rechner innerhalb der DMZ zugreifen zu können. Die Rechner innerhalb der DMZ sind nur sehr rudimentär gegen Angriffe geschützt, da ein Angreifer praktisch direkt auf den Rechner zugreift (über Port-Forwarding oder einem Reverse Proxy bzw. NAT) und dadurch mögliche Schwächen des freigegebenen Dienstes ausnutzen kann. Das DMZ-Netz ist über ein weiteres Firewallmodul mit dem internen Netz verbunden. Die interne Firewall hat keine Löcher. Ein erfolgreicher Hack eines DMZ-Rechners ermöglicht es dem Angreifer deshalb nicht, über die DMZ hinweg in das interne Netz einzudringen.

Grundsätzlich ist es empfehlenswert, Rechner auf die man aus dem externen Netz heraus über eine Port Forwarding-Regel direkt zugreifen kann, in eine DMZ zu stellen. Mit einer Ausnahme: Einige Hersteller von billigen Geräten (vornehmlich DSL-Router für den Gebrauch in privaten Netzwerken) bieten aus Kostengründen nicht die technischen Voraussetzungen für eine DMZ. Die Marketing-Strategen nehmen dort ein vollkommen anderes Feature und verkaufen es unter dem Namen „DMZ“. Sie bewerben ihre „Firewall“ also bewusst mit einem falschen Fachbegriff und nehmen das erhöhte Sicherheitsrisiko des Kunden billigend in Kauf. Denn durch dieses in der Fachwelt als „exposed Host“ benannte Feature wird die Sicherheit nicht erhöht, sondern erheblich verringert. Wie man erkennen kann, ob die Firewall eine echte DMZ anbietet, wird in diesem Artikel erklärt.

Wie arbeitet eine echte DMZ?

Manchmal gestattet das externe Firewallmodul nur einigen wenigen Rechnern des externen Netzes den Zugriff auf einen bestimmten Dienst eines Rechners aus dem eigenen Netz. Oftmals soll das Firewallmodul aber lediglich dafür sorgen, dass der Fernzugriff ausschließlich auf die freigegebenen Ressourcen (Ports) des Rechners erfolgt. In beiden Fällen spricht man davon, dass das Firewallmodul sinnbildlich „Löcher“ hat, über die es möglich ist, von außen auf deren Rechner zugreifen zu können.

Wird ein DMZ-Rechner eingenommen, so kann der Eindringling von dort aus auf die Netzwerkdienste alle Rechner innerhalb der DMZ direkt zugreifen. Und zwar auch auf die Ressourcen, welche eigentlich durch die externe Firewall geschützt sind. Normalerweise wäre nun der Firewallschutz für die internen Rechner dahin. Nicht so bei der DMZ, denn das DMZ-Netz ist über ein weiteres Firewallmodul mit dem internen Netz verbunden. Per Standardeinstellung ist es keinem Rechner aus der DMZ erlaubt, von sich aus auf einen Rechner des internen Netzes zuzugreifen (das interne Firewallmodul hat also keine "Löcher").

[Rechner]--internes Netz--[interne FW]--DMZ--[Rechner]--DMZ--[externe FW]--externes Netz--[Rechner]

halboffene DMZ (die Standardeinstellung vieler Firewalls)

Die Standardeinstellung vieler Firewalls ist auf eine DMZ ausgerichtet, die ähnlich wie Dioden funktioniert, bei denen ein Verbindungsaufbau nur in eine Richtung erlaubt ist. Auf diese Weise wird ein Zugriff der internen Rechner auf die Rechner des DMZ-Netzes ermöglicht. Demgegenüber können die Rechner aus dem DMZ-Netz jedoch keine eigenen Verbindungen zu einem internen Rechner aufbauen.

Zugriffsmöglichkeiten der Rechner pro Netz

interne Rechner: Die Rechner aus dem internen Netz können auf alle Rechner der DMZ genauso zugreifen, wie auf die Internetserver im externes Netz. Die interne Firewall erlaubt diesen Zugriff, weil der Verbindungsversuch aus dem internen Netz heraus erfolgt. So ist der Zugriff ausschließlich von innen nach außen möglich (die internen Rechner sind so vor ungewollten Zugriffen von außen - also aus der DMZ und dem externen Netz - geschützt).

DMZ-Rechner: Die Rechner aus der DMZ können keine eigene Verbindung zu den Rechnern im internen Netz herstellen (die interne Firewall verhindert das). Nicht einmal ein ping wird in diese Richtung funktionieren. Sie können lediglich auf Verbindungen antworten, die von den internen Rechner angefordert wurden (das wiederum erlaubt die interne Firewall). Wie die internen Rechner auch, können die Rechner aus der DMZ jedoch ungehindert auf die Internetserver zugreifen (die externe Firewall erlaubt das). Und natürlich können sie ungehindert auf alle Rechner zugreifen, die sich ebenfalls in der eigenen DMZ befinden.

externe Rechner: Die externen Rechner, wie z.B. andere Server aus dem Internet, können von sich aus eine Verbindung zu den Rechnern aus der DMZ aufbauen (z.B. über Port Forwarding der externen Firewall, besser aber über ein entsprechendes Proxy-Modul der Firewall). Genau wie die DMZ-Rechner sind sie jedoch nicht in der Lage, eine eigene Verbindung zu den internen Rechnern herzustellen (beide Firewallmodule verhindern das). Sie können lediglich auf Verbindungen antworten, die von einem internen Rechner angefordert wurden.

[Rechner]--internes Netz-->[interne FW]--DMZ-Netz-->[Rechner]<--DMZ-Netz-->[externe FW]<--externes Netz-->[Rechner]

So lässt sich eine halboffene DMZ überwinden

Es ist nicht trivial, aber möglich, die Verbindungsanfragen eines internen Rechners von dem Zielsystem aus derart zu gebrauchen, dass die interne Firewall einen Zugriff auf Ressourcen des internen Rechners erlaubt. Dabei darf man nicht aus den Augen verlieren, dass der DMZ-Rechner in der Hand des Eindringlings ist und er womöglich die Kontrolle über die wesentlichen Dienste des DMZ-Rechners hat. Er kann sie auch beliebig durch eigene Programme austauschen. Ähnlich wie unter dem PAT-Angriff auf Computer hinter einer externen Firewall beschrieben, könnte z.B. eine FTP-Verbindung zu diesem Rechner dazu verwendet werden, während der Verbindungsanfrage den Rückgabeport der Session zu manipulieren. Da der DMZ-Rechner im internen IP-Adressbereich liegt, wird ein HTML-Zugriff von den internen Browsern häufig als Intranet-Zugriff interpretiert, wodurch u.a. ActiveX und Java-Attacken eine andere Qualität erlangen. Interaktive Protokolle wie z.B. X-Window bieten ebenfalls mehrere Angriffspunkte für eine Attacke ins interne Netz.

Allerdings muss der Eindringling bei dieser Art des Angriffs darauf warten, dass ein interner Rechner eine entsprechende Verbindung anfordert. Sein Vorteil gegenüber einem externen Server aus dem Internet ist der, dass er an einem Rechner des Unternehmens sitzt, der mit hoher Wahrscheinlichkeit von den internen Rechnern angesprochen wird. Auch kann er ungehindert alle anderen Rechner aus dem DMZ-Netz angreifen. Zudem muss er von hier aus lediglich die Filter des internen Firewallmoduls überwinden, wohingegen ein externes System zusätzlich das externen Firewallmodul bezwingen muss. Die Aussichten für einen erfolgreichen Hack in das interne Netz sind von einem DMZ-Rechner aus also ungleich höher.

offene DMZ

Von einer offenen DMZ spricht man, wenn im internen Firewallmodul Regeln festgelegt werden, die es einem Rechner aus dem DMZ-Netz erlauben, eigene Verbindungen zu wenigstens einem Rechner aus dem internen Netz aufzubauen. Das wird unter anderem verwendet, um einem DMZ-eMailserver die Möglichkeit zu geben, eingehende eMails umgehend an den internen eMailserver weiterzureichen. Aber auch Datenbanklookups für Webseiten im E-Commerce-Bereich oder Protokollsysteme, die den syslog durchreichen, sind hier nicht selten anzutreffen.

[Rechner]<-~-internes Netz-->[interne FW]<-~-DMZ-Netz-->[Rechner]<--DMZ-Netz-->[externe FW]<--externes Netz-->[Rechner]

So lässt sich eine offene DMZ überwinden

Neben den Möglichkeiten, die bereits eine halboffene DMZ bietet, offeriert eine offene DMZ dem Angreifer wesentlich effizientere Methoden, die DMZ zu überwinden. Angenommen der eMailserver aus der DMZ darf für den Abgleich der Daten eine Verbindung zum internen eMailserver aufbauen. Wurde der DMZ-Server über eine Schwachstelle im Netzwerkdienst (Daemon) der Mailsoftware eingenommen, so stehen die Chancen gut, dass dies auch bei dem internen Server funktioniert, wenn dieser mit demselben Deamon arbeitet. In der Regel wird der interne Server noch wesentlich einfacher zu hacken sein, da interne Server oftmals schlechter geschützt sind und somit aktuelle Sicherheitsupdates fehlen. Anders als bei den Rechnern aus dem DMZ-Netz kann schließlich niemand aus dem Internet direkt auf den internen eMailserver zugreifen, weshalb er augenscheinlich nicht unmittelbar gefährdet ist. Ein fataler Trugschluss. Dabei ist es oftmals gar nicht notwendig, eine DMZ derart zu öffnen. Bezogen auf dieses Beispiel wäre es zeitaufwendiger, aber ungleich sicherer, wenn der interne Server in regelmäßigen Abständen die eMails mit dem DMZ-Server abgleicht, anstatt sich die Daten von dem DMZ-Server schicken zu lassen.

geschlossene DMZ

Am unpraktikabelsten und daher selten zu finden, stellt sich die sicherste Variante in Form einer geschlossenen DMZ dar. Hierbei können die internen Rechner keine Verbindung zu den Rechnern aus dem DMZ-Netz aufbauen. Genauso wenig wie DMZ-Rechner eine Verbindung zu den internen Rechnern herstellen dürfen. Die Rechner aus der DMZ sind somit ausschließlich aus dem externen Netz und über ihre eigene (lokale) Konsole erreichbar.

[Rechner]--internes Netz-->[interne FW]--DMZ-Netz--[Rechner]<--DMZ-Netz-->[externe FW]<--externes Netz-->[Rechner]

Lässt sich eine geschlossene DMZ überwinden?

Unmöglich ist es nicht. Allerdings ergibt das wenig Sinn, den Angriff von hier aus zu starten. Schließlich haben Rechner aus dem externen Netz mehr Zugriffsrechte für die Kommunikation mit den internen Rechnern, als die Rechner aus dem geschlossenen DMZ-Netz. Lediglich direkte Attacken auf das interne Firewallmodul wären von hier aus sinnvoll. Eine entsprechende Schwachstelle der Firewallsoftware natürlich vorausgesetzt. Das bedeutet jedoch nicht, dass ein uneingeschränkter Zugriff auf diese Rechner für einen Eindringling uninteressant ist. Die Chance ist auch hier gegeben, dass er dem Rechner wertvolle Informationen entnehmen kann, die ihm bei einer späteren Attacke nützlich sind.

Die „exposed Host“-Falle (eine „DMZ“, die keine DMZ ist)

Um eine DMZ realisieren zu können, werden zwei getrennte Firewallmodule und eine separate DMZ-NIC benötigt. Aus Kostengründen lassen viele Hersteller von billigen Firewallsystemen die dafür benötigte Hardware einfach weg. Ihre so genannte „DMZ“ kann somit keine DMZ-Funktionalitäten unterstützen und macht tatsächlich nichts weiter, als alle Netzwerkanfragen aus dem externen Netz (Internet) an einen Rechner im internen Netz weiterzuleiten, was einem „exposed Host“ entspricht (von einigen Herstellern manchmal auch „exposed DMZ“ oder „Standardserver“ genannt). Da diese (exposed-) DMZ keinerlei DMZ-Funktionalitäten bietet, sollte klar sein: Wird dieser Rechner eingenommen, so hat man den Firewallschutz auch für alle anderen, internen Rechner verloren.

So erkennt man eine echte DMZ

Eine in der Firewall integrierte DMZ stellt ein „drittes Bein“ der Firewall dar. Wenn eine Firewall also keinen separaten (dritten) Netzwerkanschluß für die DMZ anbietet, dann handelt es sich in der Regel um keine echte DMZ (NIC-1=externes Netz (WAN) / NIC-2=DMZ, NIC-3=internes Netz (LAN)). Einzige Ausnahme bilden einige Firewalls mit integriertem Switch oder Router: Selbst wenn sie möglicherweise keinen festen DMZ-Anschluss vorsehen, kann es sein, dass die Firewall den Switch-Port vom Rest des internen Netzes durch einen Filter trennt, sobald man den daran angeschlossenen Rechner per Firewalleinstellung in die DMZ stellt.

Es lässt sich leicht überprüfen, ob der Rechner in einer echten DMZ steht oder ob es sich bei der „DMZ“ um eine „exposed Host“-Variante handelt. Dazu muss man von dem DMZ-Rechner aus einen der Rechner aus dem internen Netz anpingen. Ist der ping erfolgreich, so handelt es sich bei der DMZ mit hoher Wahrscheinlichkeit um eine „exposed DMZ“ (es ist unwahrscheinlich, dass eine echte DMZ per Standardeinstellung den ping zulässt). Hier sollte eine andere Firewall eingesetzt werden. Zumindest aber ist unter diesen Bedingungen eine kontrollierte Portweiterleitung besser, als den Rechner weiterhin als „exposed Host“ zu betreiben.

Hinweis: Dass die anderen, internen Rechner den DMZ-Rechner anpingen können, ist normal. Nur umgekehrt darf dies nicht funktionieren.