G-KA 10 Geschrieben 9. Januar 2009 Melden Teilen Geschrieben 9. Januar 2009 Hallo! Was ist bei einem Router technisch gesehen der Unterschied zwischen einem DMZ- und einem normalen LAN-Port? Werden an den DMZ-Port eventuell mehr Protokolle durchgeleitet bzw. sind beim LAN-Port eventuell mehr Ports geschlossen oder worin besteht genau der Unterschied? Und warum wird dem DMZ-Port im Gegensatz zum LAN-Port über das Web-Menü eine eigene IP zugewiesen? Ist diese dann identisch mit der IP des Servers, den man an den DMZ-Port anschließt? Zitieren Link zu diesem Kommentar
BrainStorm 10 Geschrieben 9. Januar 2009 Melden Teilen Geschrieben 9. Januar 2009 Die DMZ Ports bei (SOHO)Routern öffnen der eingestellen IP jeden Port zu dem eingetragenen Server. Ich würde damit aber sehr vorsichtig umgehen, da dieser Server i.d.R. eine IP aus dem LAN hat und wenn diese Maschine einmal kompromittiert wird, der Angreifer mühelos auf andere Server innerhalb des LAN kommen könnte... Zitieren Link zu diesem Kommentar
djmaker 95 Geschrieben 9. Januar 2009 Melden Teilen Geschrieben 9. Januar 2009 Bei SoHo - Routern gibt es i.a.R. keinen richtigen DMZ-Port. Es ist meist ein sogenannter "Exposed Host" - Port. Zu diesem Port wird einfach alles von extern weiter geleitet. Zitieren Link zu diesem Kommentar
G-KA 10 Geschrieben 9. Januar 2009 Autor Melden Teilen Geschrieben 9. Januar 2009 Ok, und wie sieht es bei dem DMZ-Port mit den Firewalleinstellungen (Screenshot siehe Anlage; Router: Linksys RV042) aus? Beziehen diese sich dann auch auf den DMZ-Port oder sind diese nur für die normalen LAN-Ports? Und habe ich das richtig verstanden: DMZ-Port-IP = (Windows-)Server-IP? Zitieren Link zu diesem Kommentar
xcode-tobi 10 Geschrieben 9. Januar 2009 Melden Teilen Geschrieben 9. Januar 2009 hi, an einen DMZ-Port sendet der Router quasi alle Pakete die sonst nirgends "hinpassen" bzw. entsprechend definiert wurden. Typische Einsatzgebiete sind meist Web- oder FTP-Server oder eben andere Dienste. siehe auch: Demilitarized Zone ? Wikipedia Eine Demilitarized Zone (DMZ, auch ent- oder demilitarisierte Zone) bezeichnet ein Computernetz mit sicherheitstechnisch kontrollierten Zugriffmöglichkeiten auf die daran angeschlossenen Server. Die in der DMZ aufgestellten Systeme werden durch eine oder mehrere Firewalls gegen andere Netze (z. B. Internet, LAN) abgeschirmt. Durch diese Trennung kann der Zugriff auf öffentlich erreichbare Dienste (Bastion Hosts mit z. B. E-Mail, WWW o. ä.) gestattet und gleichzeitig das interne Netz (LAN) vor unberechtigten Zugriffen geschützt werden. Zitieren Link zu diesem Kommentar
G-KA 10 Geschrieben 9. Januar 2009 Autor Melden Teilen Geschrieben 9. Januar 2009 In Bezug auf meine Fragestellung trifft dann wohl das hier zu: Exposed Host als „Pseudo-DMZ“ [Wikipedia]Einige Router für den Heimgebrauch bezeichnen die Konfiguration eines Exposed-Host fälschlicherweise als „DMZ“. Dabei kann man die IP-Adresse eines Rechners im internen Netz angeben, an den alle Pakete aus dem Internet weitergeleitet werden, die nicht über die NAT-Tabelle einem anderen Empfänger zugeordnet werden können. Dieses Verfahren stellt ein erhebliches Sicherheitsrisiko dar. Es eignet sich eher für die Fehlersuche, um temporär den Einfluss der Firewall zu umgehen, etwa bei Problemen mit bestimmten Datenverbindungen. Ein Port-Forwarding der tatsächlich benutzten Ports ist dem vorzuziehen. Aber ehrlichgesagt frage ich mich dann, bei welcher Preislage richtige Router mit richtiger DMZ dann eigentlich anfangen. Ist dies beispielsweise bei einem Cisco 861-K9, 871-K9 oder 881-K9 der Fall, da auf den Schaubildern keine Windows-Server zu sehen sind und diese anscheind mehr zur Anbindung serverfreier Filialen an Hauptstellen gedacht sind. Oder ist erst die 1800er-Serie sozusagen Windows-Server-tauglich (1 Server)? Und wie wirkt es sich auf die Funktionalität eines Windows-Servers (z. B. bei VPN-Verbindungen) aus, wenn man diesen an einen Router ohne (!?) DMZ-Port wie z. B. Cisco 851 oder Watchguard Firebox® X Edge e-Series anschließt. Bezüglich des RV042 stellt es sich für mich (ich kann mich selbstverständlich auch irren ...) übrigens so dar, dass dieses Gerät einen DMZ-Host und eine DMZ-Zone hat. Der DMZ-Host bezieht sich auf ein Gerät, das über den LAN-Port anzuschließen ist und sich nur durch den letzten Ziffernblock der Lan-internen IP unterscheidet bzw. dadurch zugewiesen wird. Hier wird dann anscheinend alles, was an die WAN-IP adressiert ist, dorthin durchgeleitet. Die DMZ-Zone, die wiederum am DMZ-Port anzuschließen ist, scheint dagegen entweder in Verbindung mit einer statischer IP in Verbindung mit einer Range beim letzten IP-Ziffernblock zu funktionieren oder aber es ist hierfür ein separates Subnet mit IP anzugeben. Kann mir jemand für die Sache mit dem separaten Subnet mal ein praktisches Anwendungsbeispiel nennen? Wann richtet man soetwas im Regelfall ein? Ansonsten ist es aber wohl so, dass sich über Port-Forwarding beim RV042 über den Unterpunkt "Service Management", bei dem man sowohl einzelne Ports wie auch Portbereiche frei definieren kann, sich alles darstellen lässt, sofern man konkret weis, welche Ports freizuschalten und auf die jeweilige LAN-IP zu forwarden sind. Damit dürfte dann der letzte Satz des obigen Wikipedia-Zitats zutreffend und konkret umsetzbar sein. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.