Lohnen sich für Unternehmen noch demilitarisierte Zonen?
Viele Unternehmen fragen sich, ob eine demilitarisierte Zone (DMZ) noch ein geeignetes Mittel ist, um ein Firmennetz vor Angreifern zu schützen.
Berichte über demilitarisierte Zonen (Demilitarized Zone, DMZ) in einem Netzwerk sind aus guten Gründen eher selten. Hacker lieben es, mit ihren Erfolgen öffentliche Aufmerksamkeit zu erregen, wie etwa nach dem erfolgreichen Einbruch in die Netze des US-Office of Personnel Management im Sommer 2015. Eine DMZ ist so weit von dem Rest der Infrastruktur eines Unternehmens abgegrenzt, dass die internen Netze vor den Eindringlingen geschützt sind, selbst wenn die Server in der DMZ gehackt werden. Demilitarisierte Zonen werden auch heute noch genutzt, um bestimmte, besonders gefährdete Bereiche auszulagern.
So werden etwa exponierte Server, die in direktem Kontakt mit dem Internet stehen, häufig in einer DMZ platziert. Dazu zählen zum Beispiel Server für E-Mail-Dienste, Webseiten und das Domain Name System (DNS). Anders als in der Vergangenheit sind DMZ-Netze aber häufig keine physikalischen Strukturen mehr, sondern teilweise komplett virtuelle Bereiche, um sie leichter konfigurieren zu können und um sie besser vor Hackern zu schützen. Insbesondere die wichtigen DNS-Server sind in der jüngeren Vergangenheit wiederholt ins Visier von Angreifern und Cyberkriminellen geraten.
Ein weiterer Grund dafür, dass man inzwischen weniger von demilitarisierten Zonen hört, liegt an der verstärkten Nutzung isolierter virtueller Maschinen (VMs). Das bedeutet allerdings nicht, dass virtuelle Maschinen und DMZ-Netze nicht miteinander verbunden werden können.
DMZ einrichten
Um eine DMZ einzurichten, werden zwei unterschiedliche Firewalls benötigt. Die Perimeter-Firewall erlaubt Datenverkehr aus dem Internet in die demilitarisierte Zone, wo sich die exponierten Server befinden. Die interne Firewall verhindert unkontrollierten Datenverkehr zwischen der DMZ und dem internen Netzwerk einer Organisation. Lokale Anwender können jedoch weiterhin auf die Server in der DMZ zugreifen. Eine DMZ bietet also keinen Schutz vor internen Netzwerkangriffen oder etwa dem Spoofing von E-Mail-Adressen.
Andere Optionen wie der Einsatz von VMs innerhalb oder außerhalb der DMZ, On-Premise oder in der Cloud sind nicht unbedingt bessere Alternativen zum Betrieb einer echten demilitarisierten Zone. So wird ein Hypervisor benötigt, um virtuelle Maschinen überhaupt nutzen zu können. Wenn der Hypervisor aber nicht richtig aufgesetzt und konfiguriert wurde, kann er sich zu einem neuen Sicherheitsrisiko entwickeln. Die wahrscheinlich beste Methode gegen diese Risiken ist es, alle zur Verfügung stehenden Sicherheitsupdates für den Hypervisor einzuspielen und dann die Cloud-Instanzen neu zu starten. Dadurch werden aber die Verbindungen zu den Cloud-Nutzern vorübergehend unterbrochen.
DMZ-Strukturen sind eine gute Sicherheitslösung, sofern auch wirklich immer alle Software-Updates für die physischen und virtuellen Maschinen eingespielt werden, die Konfigurationen regelmäßig überprüft werden und die Zugriffsrechte sorgfältig eingerichtet wurden. Im Idealfall haben Unternehmen eine zweite demilitarisierte Zone in Reserve, die innerhalb kürzester Zeit die Aufgaben der primären DMZ übernehmen kann, sollte es doch einmal zu einem erfolgreichen Angriff gekommen sein.
Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!