Soweit ich verstanden habe, geben Sie mit der DMZ alle Ports des Host-Computers für das Internet frei. Wozu ist das gut?
Die DMZ ist gut, wenn Sie einen Heimserver betreiben möchten, auf den von außerhalb Ihres Heimnetzwerks zugegriffen werden kann (z. B. Webserver, ssh, vnc oder ein anderes Fernzugriffsprotokoll). Normalerweise würden Sie eine Firewall auf dem Server-Rechner laufen lassen wollen, um sicherzustellen, dass nur die Ports, die speziell erwünscht sind, den Zugriff von öffentlichen Computern erlauben.
Eine Alternative zur Verwendung der DMZ ist die Einrichtung einer Portweiterleitung. Mit der Portweiterleitung können Sie nur bestimmte Ports über Ihren Router zulassen und Sie können auch einige Ports angeben, die an verschiedene Rechner gehen sollen, wenn Sie mehrere Server hinter Ihrem Router laufen haben.
Bitte seien Sie vorsichtig. Die DMZ in einer Unternehmens-/Profi-Umgebung (mit High-End-Firewalls) ist nicht dasselbe wie für einen WLAN-Router zu Hause (oder andere NAT-Router für den Heimgebrauch). Möglicherweise müssen Sie einen zweiten NAT-Router verwenden, um die erwartete Sicherheit zu erhalten (siehe den Artikel unten).
In Episode 3 des Security Now Podcast von Leo Laporte und Sicherheitsguru Steve Gibson wurde dieses Thema besprochen. Im Transkript steht bei “wirklich interessantes Thema, denn das ist die sogenannte "DMZ”, die Demilitarisierte Zone, wie sie bei Routern genannt wird.“.
Von Steve Gibson, http://www.grc.com/nat/nat.htm :
"Wie Sie sich vielleicht vorstellen können, muss der "DMZ”-Rechner eines Routers, und sogar ein “Port-Forwarded”-Rechner, über erhebliche Sicherheitsvorkehrungen verfügen, oder er wird in kürzester Zeit von Internet-Pilzen befallen sein. Das ist ein GROSSES Problem aus der Sicht der Sicherheit. Warum? … ein NAT-Router hat einen Standard-Ethernet-Switch, der ALLE seine LAN-seitigen Ports miteinander verbindet. Es gibt nichts “Separates” an dem Port, der die spezielle “DMZ”-Maschine beherbergt. Er befindet sich im internen LAN! Das bedeutet, dass alles, was sich über einen weitergeleiteten Router-Port oder als DMZ-Host in den Rechner einschleichen könnte, Zugriff auf jeden anderen Rechner im internen privaten LAN hat. (Das ist wirklich schlecht.)“
In dem Artikel gibt es auch eine Lösung für dieses Problem, die die Verwendung eines zweiten NAT-Routers beinhaltet. Es gibt einige wirklich gute Diagramme, um das Problem und die Lösung zu veranschaulichen.
Eine DMZ oder “entmilitarisierte Zone” ist der Ort, an dem Sie Server oder andere Geräte einrichten können, auf die von außerhalb Ihres Netzwerks zugegriffen werden muss.
Was gehört dort hin? Webserver, Proxyserver, Mailserver usw.
In einem Netzwerk sind die Hosts am anfälligsten für Angriffe, die Dienste für Benutzer außerhalb des LANs bereitstellen, z. B. E-Mail-, Web- und DNS-Server. Aufgrund des erhöhten Risikos, dass diese Hosts kompromittiert werden, werden sie in einem eigenen Subnetz platziert, um den Rest des Netzwerks zu schützen, falls ein Eindringling Erfolg haben sollte. Hosts in der DMZ haben eine eingeschränkte Konnektivität zu bestimmten Hosts im internen Netzwerk, obwohl die Kommunikation mit anderen Hosts in der DMZ und mit dem externen Netzwerk erlaubt ist. Dadurch können Hosts in der DMZ Dienste sowohl für das interne als auch für das externe Netzwerk bereitstellen, während eine zwischengeschaltete Firewall den Datenverkehr zwischen den DMZ-Servern und den Clients im internen Netzwerk kontrolliert.
In Computernetzwerken ist eine DMZ (demilitarisierte Zone), die manchmal auch als Perimeternetzwerk oder abgeschirmtes Subnetzwerk bezeichnet wird, ein physisches oder logisches Subnetzwerk, das ein internes lokales Netzwerk (LAN) von anderen nicht vertrauenswürdigen Netzwerken, normalerweise dem Internet, trennt. Nach außen gerichtete Server, Ressourcen und Dienste befinden sich in der DMZ. Sie sind also vom Internet aus erreichbar, aber der Rest des internen LANs bleibt unerreichbar. Dies stellt eine zusätzliche Sicherheitsebene für das LAN dar, da es die Möglichkeiten von Hackern einschränkt, direkt auf interne Server und Daten über das Internet zuzugreifen.