„DMZ für wenig Geld“ mit WLAN

In Ihrem Artikel „Pufferzone“ in c't 5/04 beschreiben Sie den Aufbau einer Demilitarized Zone mit Hilfe zweier Router. Hierzu habe ich folgende Frage: Wird das Konzept durch den Einsatz eines WLAN-Routers als externer Router - an dem natürlich auch LAN-Clients hängen sollen - kompromittiert oder reicht hier die sichere Verschlüsselung des WLAN-Zweiges für den Fall einer bösen Übernahme des Servers aus?

Alle Ihre WLAN-Clients hängen dann mit in der DMZ, das heißt, dass sie gegen Angriffe, die vom eventuell gehackten Server ausgehen, nicht durch die Firewall geschützt sind. Denn die Verschlüsselung der WLAN-Verbindung stellt nur sicher, dass sie nicht direkt mit einer Antenne abgehört werden kann. Doch im Router werden die Daten entschlüsselt weitergeleitet. Sie können sich das ähnlich vorstellen wie einen Switch-Port, an dem alle WLAN-PCs hängen.

Sie sollten daher den WLAN-Router als internen Router einsetzen. Um das kabelgebundene LAN vom WLAN abzuschotten, könnten Sie einen dritten Router einsetzen, der mit WLAN ausgestattet ist und zwischen den beiden anderen hängt. Das ist aber nicht nur kompliziert, sondern insgesamt auch schon fast so teuer wie ein WLAN-Router der gehobenen Klasse, der eine echte DMZ-Funktion mitbringt und auch zwischen WLAN und LAN die Firewall zum Einsatz bringt. ()