DMZ selbst gebaut

Wer daheim oder in der Firma einen eigenen Mail-Server betreibt, steht vor einem Dilemma: Der Rechner muss aus dem Internet erreichbar sein, damit er seine Aufgabe erfüllen kann, sollte aber auch ohne Umwege mit dem lokalen Netzwerk verbunden sein, damit die Zugriffe schnell gehen. Damit handelt man sich jedoch ein Sicherheitsproblem ein, denn wenn der Server mit im LAN steht und ein Angreifer aus dem Internet die Kontrolle übernimmt, verfügt der Bösewicht über einen Brückenkopf im lokalen Netzwerk. Das gilt für jede Art von Servern, ob sie E-Mail austauschen, Webseiten servieren oder von Tauschbörsen saugen.

Eine Lösung stellt eine Pufferzone dar, mit dem englischen Fachbegriff Demilitarized Zone (DMZ) genannt. Diesen Teil des eigenen Netzwerkes erreichen Kunden zwar aus dem Internet, eine zusätzliche Firewall schottet ihn jedoch vom lokalen Netzwerk ab. Sie ist so konfiguriert, dass die LAN-PCs auf die Server in der DMZ zugreifen können, von dort jedoch keine Verbindungen aktiv ins LAN hergestellt werden. Die DMZ nutzt dazu einen anderen IP-Adressbereich als das LAN und ist auch am Router physisch davon getrennt; auf keinen Fall hängt ein DMZ-Server an demselben Switch wie die PCs des lokalen Netzes. Gute Router bieten daher einen separaten DMZ-Anschluss oder erlauben die Trennung über VLANs (Details zu VLANs im Artikel Fiktive Netzwerke auf heise Netze). Ärgerlicherweise schmücken sich auch die Router der Unter-100-Euro-Klasse nahezu lückenlos mit dem Feature "DMZ-Support", obwohl keiner den dafür zwingend erforderlichen Extra-Anschluss mitbringt. Was die Marketing-Strategen mit dem falschen Fachbegriff bewerben, ist in Wirklichkeit ein "Exposed Host": An ihn leitet der Router alle aus dem Internet eingehenden Verbindungsanfragen weiter. Der Exposed Host hängt an demselben Switch und in demselben Adressbereich wie das lokale Netzwerk. Daher kann bei keinem dieser Geräte die Firewall den Verkehr zwischen Exposed Host und LAN filtern. Anders als eine echte DMZ sorgt also ein Exposed Host nicht für mehr Sicherheit, sondern öffnet jedem Eindringling gleich die Tür zur guten Stube.

Preiswert selbst gebaut

Router mit echtem DMZ-Port kosten auf jeden Fall ein Vielfaches der Billigschachteln aus dem Elektronikmarkt. Doch mit zwei der preiswerten Geräte lässt sich durchaus eine richtige DMZ aufbauen. Einer hängt als externer Router direkt am Internet. Wer geschwollen daherreden will, nennt ihn das "Border Gateway". Auf seiner Innenseite hängen der oder die DMZ-Server sowie der zweite Router, der somit das lokale Netzwerk von der DMZ trennt. Die beiden Router können baugleich sein, damit man sich nur einmal in die Konfiguration einarbeiten muss. Sonst bietet das aber keine Vorteile. Bei der Kombination eines vorhandenen Geräts mit einem billig dazugekauften anderen stehen also keine Problem zu erwarten.

Die beiden Router können von demselben Typ sein, damit man sich nicht in zwei unterschiedliche Konfigurationsoberflächen einarbeiten muss. Damit steigt jedoch die Gefahr, dass man sich bei den unterschiedlichen Einstellungen vertut. Die Anforderungen an die Geräte unterscheiden sich wenig: Das WAN-Interface des inneren, sekundären Routers sollte mindestens 100 MBit/s übertragen, damit es die Zugriffe aus dem LAN auf den DMZ-Server nicht ausbremst. Das WAN-Interface des externen Routers muss dagegen nur zur Internet-Leitung passen. Hier kann also durchaus ein Router mit integriertem DSL-Modem stehen, oder einer mit langsamem Ethernet-Port, wenn die Internet-Bandbreite nicht gar so hoch ist. Allerdings sollte dieser Router einen ausgefeilten Paketfilter haben, um den DMZ-Server abzuschotten und seine eigenen Konfigurationsseiten nur ausgewählten Rechnern zur Verfügung zu stellen.

Der externe Router bedient wie üblich die DSL-Strecke per PPPoE mit den Zugangsdaten vom Provider, wobei der Admin den Idle-Timeout ab- und das "Keep Alive" einschaltet, damit die Verbindung immer besteht. Sofern dieses Feature vorhanden ist, gibt der Router seine externe Adresse per DynDNS bekannt, sonst läuft ein entsprechendes Programm auf dem DMZ-Server. Im Router wird ein Port-Forwarding ("Virtual Server") auf den Server eingerichtet, das nur Pakete für den Port weiterreicht, auf dem der Server arbeitet. Zur weiteren Absicherung richtet man möglichst einen Filter ein, der Pakete vom Server nur mit diesem Quell-Port ins Internet weiterleitet. Auf der LAN-Seite des externen Routers deaktiviert man den DHCP-Server, denn in diesem Netz – der DMZ – befinden sich nur der Server und der sekundäre Router, die ohnehin feste IP-Adressen brauchen. Der Konfigurationszugang des Routers muss unbedingt mit einem sicheren Passwort verschlossen werden. Außerdem darf der Zugriff auf die Konfigurationsseiten nur von der IP-Adresse des sekundären Routers möglich sein, damit ein Hacker, der den DMZ-Server übernimmt, die Einstellungen nicht ändern kann. Falls die Firmware des Routers eine solche Einschränkung nicht erlaubt, muss der Verwalter den Zugang über Filterregeln beschränken.

Internes

Der sekundäre Router erhält auf seinem externen Interface eine Adresse aus dem lokalen Netzwerk des externen Routers (siehe Abbildung), meist steht diese Option unter "Fixed IP", "DHCP-Client" oder einem ähnlichen Namen im Konfigurationsinterface. Als "Gateway", "Standardgateway" oder "Default Route" trägt man die interne Adresse des externen Routers ein. Auf der LAN-Seite aktiviert der Verwalter den DHCP-Server und lässt ihn IP-Adressen aus einem anderen Bereich als dem der DMZ verteilen. Etwas haariger ist die DNS-Adresse: Wenn der externe Router – wie bei modernen Geräten üblich – einen DNS-Proxy enthält, trägt man dessen Adresse in die DHCP-Server-Konfiguration des sekundären Routers ein. Wer als externen Router eine Antiquität ohne DNS-Proxy einsetzt, muss dem DHCP-Server die DNS-Server- Adressen des Providers beibringen. An den Routing-Einstellungen braucht man auf keinem der Router zu drehen, und die eventuell angebotenen Routing-Protokolle wie RIP bleiben deaktiviert. Denn sowohl der externe als auch der sekundäre Router übersetzen alle Adressen der angeschlossenen Geräte auf die ihres externen Interface (Network Address Translation, NAT). Damit ist ausgeschlossen, dass aus der DMZ eine Verbindung ins LAN hergestellt werden kann – ein wichtiger Teil des Sicherheitskonzepts. Diese doppelte NAT macht auch bei schwieriger zu übersetzenden Protokollen wie FTP und Ping keine Probleme, sofern jeder Router einzeln damit zurechtkommt. Anwendungen, die per Universal Plug & Play (UPnP) aus dem LAN den externen Router umkonfigurieren wollen, scheitern allerdings, da sie nur den sekundären Router sehen. (je) ()