Was ist eine DMZ (Netzwerk)?
Im Bereich der Computersicherheit dient ein DMZ-Netzwerk (das manchmal auch „De-Militarized Zone“ genannt wird) als Subnetzwerk, das die externen, von außen zugänglichen Dienste eines Unternehmens enthält. Es bildet den offenen Zugangspunkt zu einem nicht vertrauenswürdigen Netzwerk, wobei es sich üblicherweise um das Internet handelt.
Ziel eines DMZ-Netzwerks ist es, das lokale Netzwerk eines Unternehmens zusätzlich zu schützen. Ein geschützter und gut überwachter Netzwerkknoten, der sich außerhalb des internen Netzwerks befindet, kann auf die Dienste zugreifen, die in der DMZ verfügbar sind, während der Rest des Unternehmensnetzwerks durch eine Firewall gesichert wird.
Wenn ein DMZ-Netzwerk ordnungsgemäß implementiert wird, bietet es Unternehmen zusätzlichen Schutz, indem es Sicherheitsverstöße erkennt und reduziert, bevor sie das interne Netzwerk erreichen, wo wertvolle Daten und Materialien gespeichert werden.
Zweck eines DMZ-Netzwerks
Das DMZ-Netzwerk dient dem Schutz der Hosts, die am anfälligsten für Angriffe sind. Bei diesen Hosts handelt es sich in der Regel um Dienste, die sich an Benutzer außerhalb des lokalen Netzwerks richten. Die häufigsten Beispiele sind E-Mail, Webserver und DNS-Server. Da bei diesen Diensten ein hohes Angriffsrisiko besteht, werden sie über das überwachte Subnetz bereitgestellt. So bleibt der Rest des Netzwerks im Falle einer Gefährdung geschützt.
Hosts im DMZ-Netzwerk verfügen über streng kontrollierte Zugriffsberechtigungen auf andere Dienste im internen Netzwerk, da die über das DMZ-Netzwerk übertragenen Daten nicht so sicher sind wie andere Daten. Darüber hinaus ist die Kommunikation zwischen Hosts im DMZ-Netzwerk und dem externen Netzwerk eingeschränkt, um den geschützten Grenzbereich zu vergrößern. Auf diese Weise können Hosts im geschützten Netzwerk mit dem internen und externen Netzwerk interagieren, während die Firewall den gesamten Datenverkehr, der zwischen dem DMZ-Netzwerk und dem internen Netzwerk ausgetauscht wird, trennt und verwaltet. In der Regel sorgt eine zusätzliche Firewall dafür, dass das DMZ-Netzwerk vor sämtlichen Angriffen auf das externe Netzwerk geschützt ist.
Alle Dienste, auf die Benutzer bei der Kommunikation über ein externes Netzwerk zugreifen können, können und sollten - falls vorhanden - über das DMZ-Netzwerk bereitgestellt werden. Dabei handelt es sich in der Regel um:
Webserver: Webserver, die für die Aufrechterhaltung der Kommunikation mit einem internen Datenbankserver verantwortlich sind, müssen möglicherweise in ein DMZ-Netzwerk gestellt werden. Dies trägt dazu bei, die Sicherheit der internen Datenbank zu erhöhen, in der häufig vertrauliche Informationen gespeichert werden. Die Webserver können dann über eine Application Firewall oder direkt mit dem internen Datenbankserver interagieren, während sie weiterhin unter die Schutzmechanismen des DMZ-Netzwerks fallen.
Webserver, die für die Aufrechterhaltung der Kommunikation mit einem internen Datenbankserver verantwortlich sind, müssen möglicherweise in ein DMZ-Netzwerk gestellt werden. Dies trägt dazu bei, die Sicherheit der internen Datenbank zu erhöhen, in der häufig vertrauliche Informationen gespeichert werden. Die Webserver können dann über eine Application Firewall oder direkt mit dem internen Datenbankserver interagieren, während sie weiterhin unter die Schutzmechanismen des DMZ-Netzwerks fallen. Mailserver: Individuelle E-Mail-Nachrichten und die Benutzerdatenbank zum Speichern von Zugangsdaten und persönlichen Nachrichten werden in der Regel auf Servern ohne direkten Internetzugang gespeichert. Daher wird ein E-Mail-Server eingerichtet oder in das DMZ-Netzwerk gestellt, um mit der E-Mail-Datenbank zu interagieren und auf diese zuzugreifen, ohne dass sie direkt potenziell schädlichem Datenverkehr ausgesetzt wird.
Individuelle E-Mail-Nachrichten und die Benutzerdatenbank zum Speichern von Zugangsdaten und persönlichen Nachrichten werden in der Regel auf Servern ohne direkten Internetzugang gespeichert. Daher wird ein E-Mail-Server eingerichtet oder in das DMZ-Netzwerk gestellt, um mit der E-Mail-Datenbank zu interagieren und auf diese zuzugreifen, ohne dass sie direkt potenziell schädlichem Datenverkehr ausgesetzt wird. FTP-Server: Diese Server können wichtige Inhalte auf der Website eines Unternehmens hosten und die direkte Interaktion mit Dateien ermöglichen. Aus diesem Grund sollte ein FTP-Server immer teilweise von geschäftskritischen internen Systemen isoliert sein.
Eine DMZ-Konfiguration bietet zusätzlichen Schutz vor externen Angriffen, hat jedoch normalerweise keinen Einfluss auf interne Angriffe wie das Ausspionieren von Kommunikationen über einen Paketanalysator oder das Spoofing per E-Mail oder über andere Methoden.
DMZ-Konfiguration
Es gibt zahlreiche Möglichkeiten, ein Netzwerk mit einer DMZ zu konfigurieren. Die beiden häufigsten Methoden sind eine einzelne Firewall (manchmal auch als „dreibeiniges“ Modell bezeichnet) oder zwei Firewalls. Jedes dieser Systeme kann erweitert werden, um komplexe Architekturen für die jeweiligen Netzwerkanforderungen zu erstellen:
Wie können Sie Ihr Netzwerk vor Ransomware-Angriffen schützen?
Die Aushöhlung der Netzwerkgrenzen von Unternehmen hat die Cybersecurity-Praktiken bereits vor 2020 unter Druck gesetzt. Hinzu kommen die rasche Umstellung auf Telearbeit und die Forderung der Führungskräfte nach mehr operativer und geschäftlicher Flexibilität. Es ist leicht zu erkennen, warum das Ziel des „Perimeterschutzes“ vor größeren Herausforderungen steht als je zuvor.
Aber was wäre, wenn Sie Ihre gesamte flexible Arbeitsumgebung vor Ransomware-Angriffen ohne Perimeterschutz schützen könnten? Erlauben Sie mir, das zu erklären.
Es gibt zwar viel zu tun, um Ihr Unternehmensnetzwerk gegen moderne Bedrohungen wie Ransomware zu schützen, aber es gibt eine einfache Lösung, die sofort für robuste Sicherheit in Ihrer flexiblen Arbeitsumgebung sorgt. Durch die Nutzung einer „verbraucherfreundlichen“ Version des Fernzugriffs für Remote-Mitarbeiter bleiben Sie so sicher und flexibel wie möglich, da alle Remote-Mitarbeiter NIEMALS das Netzwerk berühren.
Ein zusätzlicher Vorteil einer solchen Lösung besteht darin, dass Sie sich mehr Zeit für die Entwicklung Ihrer langfristigen Strategie für den Perimeterschutz und Zero Trust verschaffen.
Verbraucherfreundlicher Fernzugriff: ein viel sicherer Weg als RDP-VPN-Lösungen
Bereits 2017 wies das FBI darauf hin, dass Angriffe auf das Remote-Desktop-Protokoll (RDP) eine der Hauptmethoden für Ransomware-Infektionen sind. Ende 2019 hat das FBI die Bedrohung weiter verdeutlicht und das Bewusstsein dafür geschärft, als es eine öffentliche Bekanntmachung (PSA) mit dem Titel High-Impact Ransomware Attacks Threaten U.S. Businesses and Organizations veröffentlichte. (RDP ist ein proprietäres Netzwerkprotokoll, das es Einzelpersonen ermöglicht, die Ressourcen und Daten eines Computers über das Internet zu kontrollieren).
In der PSA des FBI heißt es: „Cyber-Kriminelle haben sowohl Brute-Force-Methoden – eine Technik, bei der Benutzeranmeldedaten durch Ausprobieren erlangt werden – als auch auf Darknet-Marktplätzen erworbene Anmeldedaten verwendet, um sich unbefugten RDP-Zugang zu den Systemen der Opfer zu verschaffen. Sobald sie RDP-Zugang haben, können die Kriminellen eine Reihe von Schadprogrammen – einschließlich Ransomware – auf den Systemen der Opfer installieren.
Trotz dieser öffentlichkeitswirksamen Warnungen haben die Unternehmen nur langsam gehandelt und verlassen sich weiterhin auf RDP für den Fernzugriff. Tatsächlich verwenden viele Unternehmen sogar noch weniger sichere Mittel für den Fernzugriff – ein einfaches VPN oder eine Kombination aus RDP und VPN.
Wie wir bereits in einem früheren Beitrag erwähnt haben, verwenden Mitarbeiter, die an entfernten Standorten arbeiten, in der Regel VPNs und das Remote-Desktop-Protokoll (RDP), um auf die Anwendungen und Daten zuzugreifen, die sie für ihre Arbeit benötigen. Dies hat Cyberkriminelle dazu veranlasst, schwache Passwortsicherheit und VPN-Schwachstellen auszunutzen, um auf das Unternehmensnetzwerk zuzugreifen, Informationen und Daten zu stehlen und – was am schlimmsten ist – Ransomware einzuschleusen. Dies war der Fall bei dem Hack der Colonial Pipeline im April 2021. Die VPN-Technologie ist Jahrzehnte alt und kann nicht so gesichert werden, wie es moderne Zugangslösungen – insbesondere Cloud-basierter Fernzugriff – können.
RDP birgt ähnliche Risiken. In erster Linie hat RDP schwache Anmeldeinformationen für die Benutzer. Remote-Mitarbeiter verwenden häufig dasselbe Kennwort für ihren Desktop-Bürocomputer und ihren Remote-Computer (das sie selbst festlegen). Die IT-Abteilung des Unternehmens verwaltet jedoch in der Regel keine Passwörter für Remote-/BYOD-Geräte, was zu großen Unterschieden in der Passwortstärke führt. Zweitens ist die Zwei-Faktor- und Multi-Faktor-Authentifizierung kein Bestandteil von RDP. Diese beiden Probleme führen häufig dazu, dass Remote-Geräte kompromittiert werden. Diese Sicherheitsmängel sind der Grund für die fortgesetzte Nutzung von VPNS. Aber wie wir gerade erklärt haben, sind Sie mit einem VPN noch leichter für Ransomware anfällig.
Netzwerksegmentierung ist kein Allheilmittel gegen Ransomware-Angriffe
Die Netzwerksegmentierung kann eine teilweise wirksame Methode zum Schutz von IT-Systemen vor Ransomware-Angriffen sein. Die Segmentierung kontrolliert den Datenverkehr zwischen verschiedenen Teilnetzen und schränkt die seitlichen Bewegungen eines Angreifers ein. Allerdings gibt es zwei Probleme, wenn man sich auf die Netzwerksegmentierung verlässt.
Die Mikrosegmentierung von Netzen ist eine gewaltige Aufgabe. Allein aus diesem Grund kann die Segmentierung Ihres Netzwerks sehr lange dauern oder möglicherweise nie abgeschlossen werden. Selbst wenn ein Segmentierungsprojekt abgeschlossen ist, haben IT-Administratoren häufig mit anfänglichen oder anhaltenden Fehlkonfigurationen von Zugriffskontrolllisten (ACLs) und Richtlinien zu kämpfen. Laut der Cybersecurity and Infrastructure Security Agency (CISA) und ihren Veröffentlichungen Remediate Vulnerabilities for Internet-Accessible Systems erschwert die Dezentralisierung von Organisationen und deren Governance-Prozesse die Koordinierung der Behebung von Schwachstellen. Die CISA stellt ferner fest, dass auch Haushaltszwänge eine große Rolle dabei spielen, den Bedarf an neuen Sicherheitslösungen zum Schutz von Netzwerken und Systemen vollständig zu decken.
Die Segmentierung löst nicht das gesamte Problem der Fernzugriffssicherheit. Es stimmt zwar, dass die Segmentierung die seitliche Ausbreitung von Ransomware kontrolliert, aber erst, nachdem die Ransomware im Netzwerk ist. Das kann ein beängstigender Gedanke sein. Wenn Sie kein Experte für die Segmentierung Ihres Netzwerks sind, könnten Sie immer noch stark gefährdet sein. Selbst wenn Sie Ihr Netzwerk fachmännisch segmentieren könnten, warum sollten Sie ein infiziertes Netzwerksegment überhaupt haben wollen?
Der verbraucherorientierte Fernzugriff ist 100% netzunabhängig und steht im Einklang mit Zero Trust
In Zero-Trust-Sicherheitsarchitekturen können Benutzer nur dann auf Anwendungen, Daten und andere Ressourcen zugreifen, wenn sie ihre Anmeldedaten ständig überprüfen. Selbst wenn sie dies tun, können sie nur auf die Bereiche zugreifen, für die sie personalisierte Berechtigungen haben.
Die Fernzugriffslösung von Splashtop verlässt sich nicht auf RDP und benötigt kein VPN. Außerdem verfolgt sie einen Zero-Trust-Ansatz. Wenn Ihre Mitarbeiter aus der Ferne auf ihren Bürocomputer oder ihre Workstation zugreifen, gehen sie über eine spezielle Splashtop-Verbindung. Eine Verbindung, die nicht Teil des Unternehmensnetzwerks ist. Wenn sie aus der Ferne arbeiten, können sie nur die Daten (z. B. Word-Dokumente) auf ihrem Remote-Desktop anzeigen und bearbeiten. Die Daten werden niemals außerhalb des Unternehmensnetzwerks übertragen. Sie haben außerdem die Möglichkeit, sowohl die Dateiübertragung als auch die Druckfunktionen zu aktivieren oder zu deaktivieren. Diese Wahlmöglichkeiten gibt es bei einer RDP/VPN-Strategie nicht.
Der Splashtop-Fernzugriff bietet noch mehr Sicherheitsfunktionen, wie Geräteauthentifizierung, Zwei-Faktor-Authentifizierung (2FA), Single Sign-On (SSO) und mehr. Diese modernen Sicherheitsmaßnahmen gibt es in der VPN-Architektur nicht.
Ein weiterer Vorteil des Splashtop-Fernzugriffs ist die Schnelligkeit. Da Splashtop unabhängig von Ihrer bestehenden IT-Infrastruktur arbeitet, dauert die Einrichtung nur wenige Minuten. Stellen Sie sich vor, Sie können innerhalb eines einzigen Tages ganzen Abteilungen einen nahtlosen, sicheren Fernzugriff auf ihre Computer von jedem beliebigen Gerät aus ermöglichen – im Sinne einer umfassenden BYOD-Strategie (Bring your own device). Dadurch gewinnen Sie nicht nur an operativer und geschäftlicher Flexibilität, sondern auch an Sicherheit für Ihre Remote-Mitarbeiter. Und das alles, indem Sie sie gar nicht erst in Ihr Netzwerk lassen.
Bleiben Sie auf dem Laufenden mit den neuesten Sicherheitsnachrichten in unserem Security Feed.
Zusätzliche Ressourcen
Schutz vor Hackern und Dieben: Tipps für ein sicheres Heimnetzwerk
Schutz vor Hackern und Dieben Fünf Tipps für ein sicheres Heimnetzwerk sid , as Aktualisiert am 26.06.2018 Lesedauer: 2 Min. Signallampen am Router: Die meisten Verbraucher vergessen, ihren Router regelmäßig auf Sicherheitslücken hin zu überprüfen. (Quelle: Andrea Warnecke/dpa-tmn-bilder)
Anti-Viren-Programm für den PC kennt jeder. Sicherheit am Router geht aber meistens nicht über das WLAN-Passwort hinaus. So schützen Sie ihr Heimnetzwerk.
Oft findet der Router erst dann Beachtung, wenn das WLAN nicht funktioniert. Beim Schutz vor Hackern und Malware wird das Gerät hingegen häufig vergessen. Ungeschützte Router sind ein leichtes Ziel für Hacker. Dabei tragen schon wenige Maßnahmen dazu bei, die Sicherheit des Heimnetzwerks enorm zu verbessern.
Tipp 1: Werkseinstellungen ändern
Die Einstellungen, mit denen Router standardmäßig ausgeliefert werden, sind nicht immer die besten und sollten bei der Einrichtung an die Bedürfnisse des Nutzers angepasst werden.
Zum Beispiel nutzen Router mehrere sogenannte Ports, um verschiedene Netzwerkdienste empfangen zu können. Bei vielen Routern können Heimanwender überprüfen, welche Ports werksseitig offengelassen wurden und somit ein Sicherheitsrisiko darstellen könnten. Ungenutzte Dienste und Ports, die man nicht benötigt, sollten sicherheitshalber direkt in den Router-Einstellungen deaktiviert werden.
Tipp 2: Nutzername und Passwort ändern
Gleiches gilt für die Verwendung von Passwörtern: Werksseitig vergebene Admin-Passwörter und Nutzernamen sollten geändert werden - am besten gleich bei der Installation eines neuen Routers. Denn Standardpasswörter können Kriminelle leicht im Internet recherchieren. Immer wieder kommt es vor, dass sich Angreifer so in Router einloggen, Konfigurationen vornehmen und das Heimnetzwerk kompromittieren.
Wie bei anderen Diensten und Accounts, sollten Nutzer ein langes, komplexes Passwort wählen, wie etwa eine Passphrase mit Zahlen und Sonderzeichen.
