Inhaltsverzeichnis
Werbung
Referenzhandbuch
6 Routing und WAN-Verbindungen
6.6.3 Unmaskierter Internet-Zugang für Server in der DMZ
Das im vorangegangenen Abschnitt beschriebene inverse Maskieren erlaubt zwar, jeweils einen bestimmten Dienst zu
exponieren (z. B. je ein Web-, Mail- und FTP-Server), hat aber z.T. weitere Einschränkungen:
1
Der betreffende Dienst des 'exposed host' muss vom Maskierungsmodul unterstützt und verstanden werden. Zum
Beispiel benutzen einige VoIP-Server nicht-standardisierte, proprietäre Ports für eine erweiterte Signalisierung.
Dadurch können solche Server-Dienste nur an Verbindungen ohne Maskierung betrieben werden.
1
Vom Sicherheitsstandpunkt muss beachtet werden, dass sich der 'exposed host' im lokalen Netz befindet. Falls der
Rechner unter die Kontrolle eines Angreifers gebracht wird, so kann dieser Rechner als Ausgangsbasis für Angriffe
gegen weitere Maschinen im lokalen Netz missbraucht werden.
5
Um Angriffe von 'geknackten' Servern auf das lokale Netz zu verhindern, verfügen einige Geräte über ein
dediziertes DMZ-Interface (LANCOM 7011 VPN). Alle anderen Modelle mit 4-Port-Switch (LANCOM 821 ADSL/ISDN,
LANCOM 1511 DSL, LANCOM 1521 ADSL, LANCOM 1621 ADSL/ISDN, LANCOM 1711 VPN, LANCOM 1811 DSL
und LANCOM 1821 ADSL) können die LAN-Ports per Hardware auf Ethernet-Ebene einzeln oder „en bloc"
voneinander trennen.
Zwei lokale Netze - Betrieb von Servern in der DMZ
Hierfür ist ein Internetzugang mit mehreren statischen IP-Adressen notwendig. Bitte kontaktieren Sie Ihren ISP ggf. für
ein entsprechendes Angebot.
Ein Beispiel: Sie erhalten die Internet IP-Netzadresse 123.45.67.0 mit der Netzmaske 255.255.255.248 vom Provider
zugewiesen. Dann könnten Sie die IP-Adressen wie folgt verteilen:
öffentliche DMZ
IP-Adresse
123.45.67.0
123.45.67.1
123.45.67.2
123.45.67.7
Alle Rechner und Geräte im Intranet haben keine öffentliche IP-Adresse und treten daher mit der IP-Adresse des Geräts
(123.45.67.1) im Internet auf.
Trennung von Intranet und DMZ
5
Obwohl Intranet und DMZ vielleicht bereits schon auf Ethernet-Ebene durch dedizierte Interfaces voneinander
getrennt sind, so muss in jedem Fall noch eine Firewall-Regel zur Trennung auf IP-Ebene eingerichtet werden!
Dabei soll der Server-Dienst vom Internet und aus dem Intranet heraus erreichbar sein, aber jeglicher IP-Traffic aus der
DMZ Richtung Intranet soll unterbunden werden. Für das obige Beispiel ergäbe sich folgendes:
1
Bei einer "Allow-All"-Strategie (default): Zugriff von "123.45.67.2" auf "Alle Stationen im lokalen Netz" verbieten
1
Bei einer "Deny-All"-Strategie: Zugriff von "Alle Stationen im lokalen Netz" auf "123.45.67.2" erlauben
6.7 Multi-PPPoE
In den meisten Fällen wird auf einem DSL- oder ADSL-WAN-Interface immer nur eine Verbindung zu einer Zeit aufgebaut
sein. Es gibt aber durchaus sinnvolle Anwendungen, in denen mehrere parallele Verbindungen auf dem WAN-Interface
benötigt werden. Geräte mit DSL- oder ADSL-Interface können bis zu acht verschiedene Kanäle ins WAN parallel auf
dem gleichen physikalischen Interface aufbauen.
334
Bedeutung/Verwendung
Netzadresse
LANCOM als Gateway für das Intranet
Gerät im lokalen Netzwerk, das unmaskierten Zugang ins Internet erhalten soll, beispielsweise ein Web-Server
am DMZ-Port
Broadcast-Adresse
Werbung
Inhaltsverzeichnis
