Inhaltsverzeichnis
Werbung
Für jede explizit gesetzte Regel kann die Protokollierung aktiviert
werden. Dabei wird dann für jeden (versuchten) Verbindungsaufbau
ein Eintrag im Log erzeugt. Dies kann große Datenmengen erzeugen,
so dass diese Option mit Bedacht genutzt werden sollte. In den
meisten Fällen ist es nicht notwendig, erlaubte Verbindungen zu
protokollieren. Vielmehr macht es Sinn, die durch die Default-Policy
vom lokalen Netz kommenden abgelehnten Pakete zu protokollieren,
um schnell zu sehen, ob eine Verbindung an der Firewall scheitert.
10.1.2 DMZ
Als DMZ („Demilitarisierte Zone") wird ein Konzept bezeichnet,
welches die Sicherheit beim Betrieb von Systemen erhöht, die
aus dem Internet erreichbar sind. Würde man ein solches System,
beispielsweise den Webserver mit dem Onlineshop, im lokalen
Netz platzieren, könnte ein Angreifer bei erfolgreichem Einbruch
umgehend auf die benachbarten Systeme im lokalen Netz zugreifen.
Eine Firewall kann in diesem Fall nicht schützen, da der interne
Netzwerkverkehr direkt über den Switch abgewickelt wird.
Beim Aufbau einer DMZ wird ein separater Netzwerkstrang einge-
richtet, der an einer Netzwerkschnittstelle der Firewall angeschlossen
wird und keinerlei direkte Verbindung mit dem lokalen Netz hat.
Jeglicher Datenverkehr zwischen lokalem Netz und Server in der DMZ
muss durch die Firewall laufen. Hier können entsprechende Regeln
gesetzt werden, die die möglichen Zugriffe einschränken.
blicherweise wird jeder Verbindungsaufbau aus der DMZ ins
lokale Netzwerk geblockt. Ein Angreifer, der über den Webshop in
den Server einbricht, kann dann nicht direkt auf Systeme im lokalen
Netz zugreifen. Werden in der DMZ mehrere Server betrieben, ist
hier natürlich ein Zugriff ohne Firewallschutz möglich. Das Konzept
Einführung
311
Werbung
Inhaltsverzeichnis
