Aufgabe Ausbildung DMZ

W

wbs

Jungspund
Hallo zusammen,

mein Ausbilder hat uns eine Aufgabe gegeben. Wir haben hier ein Testsystem.
Er will was zu DMZ wissen...

Warum setzt man eine DMZ ein?
Das habe ich schon rausfinden können...

Also habe ich jetzt die nächste Frage dazu aufm Schirm.
Aber bevor ich den Bogen abschicke, will ich schon sicher sein.

Die Frage lautet:
Jetzt hast Du herausgefunden, wofür eine DMZ eingesetzt wird.
Warum habe ich von einem Rechner aus, welcher IP mäßig in der DMZ steht einen Vollzugriff auf das interne LAN?

Jetzt habe ich mir das Testsystem angeschaut... Und das stimmt. Ich kann von der DMZ aus auf das komplette LAN zugreifen.

Eine DMZ setze ich doch ein, um eine Schutzwirkung gegenüber dem internen LAN zu haben. In die DMZ setze ich z.B. Webserver etc.
Damit stehen sie ja trotzdem hinter der Firewall...

Aber wenn ich von der DMZ aus vollen Zugriff auf das LAN habe, ist dann nicht die Schutzwirkung dahin? Dann brauche ich doch keine DMZ?

Könnt ihr mir da was auf die Sprünge helfen?
Oder ist das eine verwirrungsfrage?

Danke euch.
Grüße
Thomas

P.s. Ich habe auch gelesen, das man normalerweise zwei Firewalls einsetzt... In dieser sind aber drei NW Karten drin.
1.) LAN
2.) WAN
3.) DMZ

Kann ich denn so gegeneinader schützen?
 
Zuletzt bearbeitet:
Also generell ist es so das Du nur ein paar Zugriffe von der DMZ in dein Internes
(sicheres) LAN lässt. Gründe gibt es viele und verschieden.
DNS abfragen von der DMZ wg Latenzen oder interner Domain, oder vielleicht POP3/IMAP4/SMTP um Mails auf oder vom Mailrelay zu holen. Aber das war es dann schon. Wenn Du dich generell von der DMZ aus ins Internen LAN bewegen kannst ist es eigentlich dahin.
Hintergrund ist ja das Du Öffentlich IPs in die DMZ routest und dort dann den Service wie (Webserver, Mail usw.) bietest. Angenommen die Kiste wird von einem Hack eingenommen hätte er KOMPLETTEN Zugriff von dieser Kiste aus auf dein Internes LAN :headup:

Da kannst grad übertrieben gesagt die Ports weiterleiten in dein Internes Netz und die DMZ einmotten.

Warum habe ich von einem Rechner aus, welcher IP mäßig in der DMZ steht einen Vollzugriff auf das interne LAN?
Zum Vergrößern anklicken....
Warum gerade der EINE ist dahin gestell. Beispiele sind oben. Aber wenn dann würde ich nur die nötigen Ports freigeben, aber nie alles.

P.s. Ich habe auch gelesen, das man normalerweise zwei Firewalls einsetzt... In dieser sind aber drei NW Karten drin.
1.) LAN
2.) WAN
3.) DMZ
Zum Vergrößern anklicken....
?( Jede Firewall hat (eigentlich) drei Schnittstellen oder mehr.
1.) Deine Internes Netz
2.) Verbindung zum Internet
3.) DMZ
Ist ja wohl das minimum.

Greez BeNe
 
Hallo,

danke für deine Rückmeldung... Ich mache ja sehr gerne die Ausbildung.
Aber irgendwie finde ich das Thema, wenn ich meine Ausbilder sehe, recht schwer. Für meine Ausbilder scheint das alles überhaupt kein Problem zu sein.

Also ich habe das jetzt mal probiert, mein Ausbilder hat wieder das Szenario geändert, weil die Lösung bereits durch meine Azubi Kollegen gelöst werden konnte und mein Ausbilder 1,5h mit uns da gesessen hat und erklärt hat, wieso warum etc.
Das ist das, was mir hier sehr gut gefällt. Aber wir müssen immer zuerst selber versuchen und probieren. Wir können natürlich auch immer fragen.

Jetzt gibts aber wieder was... Ich kann überall hin ein PING Paket senden, bekomme aber keinen Zugriff auf das LAN von der DMZ aus.
Aber ich kann ja dahin PINGEN.

Genau das ist die Frage meines Ausbilders...

Finde heraus, warum ein ICMP Echo-Request zugestellt werden kann, die Maschine im LAN mit ICMP Echo-Reply antwortet, wenn das LAN aus der DMZ heraus nicht erreichbar ist. Eine einfache Funktionserklärung reicht in diesem Falle.
Zum Vergrößern anklicken....

Also es ist tatsächlich so... Ich kann das LAN nicht erreichen. Egal was ich versuche. Ein Traceroute klappt nicht, nichts bis auf PING.
Ich sehe in den Regeln nichts, was dies erlauben würde... ?(
 
Zuletzt bearbeitet:
"Ping Visible Networks" auf der Firewall eingesellt, wär mal meine Vermutung.

Netscreen Firewalls haben dafür einen extra Menüpunkt, damit man ins DMZ oder verschiedene andere Netze pingen kann, dies ist dort aber nicht unter den FW-Regeln sondern in den "Allgemeinen Einstellungen" in den Interface-Konfigurationen drin, was erklären würde das du in den normalen Firewallregeln nichts diesbezüglich siehst.

Weiß nun halt leider nicht was für Firewalls ihr verwendet....
 
Zuletzt bearbeitet:
Er kann jeden Port und somit auch Dienst zulassen oder eben auch nicht.
Egal ob das jetzt ein Ping (ICMP) , DNS Abfrage oder SMTP usw. ist.
Ist klar das wenn er ALLES sperrt und NUR Ping zulässt ins das Interne Netz auch nur Ping geht.

Also wenn Du mich fragst kann das so ewig gehen :headup:
Die nächste Frage heißt dann sicher, warum kann ich in der DMZ einen DNS im Internen Netz nutzen aber komme nicht auf den Recher oder Netz selber ?
Da ist alles möglich...sperren/entsperren nur von einer einzigen IP von einem bestimmten Netz zu einer bestimmten Zeit (nur diesen dienst) Was auch immer.

Wenn Du dich damit beschäftigen willst studiere IPTables und Firewall Regeln.

Greez BeNe
 
Hallo,

naja... Ist ja nicht so, das ich mir das wirklich aussuchen kann.
Ich bin eben bis Ende des Jahres noch mit den Kollegen, im gleichen Jahr in der Netzwerktechnik.
 
Anmelden, um zu antworten.

Neueste Themen

Zurück
Oben