Stellt DMZ ein Sicherheitsproblem dar?

Dieses Thema im Forum "Windows XP / Server 2003/2008 / Vista" wurde erstellt von knubbie, 8. April 2006.

Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. knubbie

    knubbie Byte

    Registriert seit:
    26. Februar 2006
    Beiträge:
    8
    Hallo,
    ich habe einen MS Windows Server 2003 Standard als Terminalserver laufen. Damit die User sich übers Insternet anmelden können, hab ich eine 2. Netzwerkkarte eingebaut und RAS/VPN installiert.

    Als DSL-Router verwende ich einen Linksys WRV54G.
    Damit das Netzwerk aus dem Internet erreichbar ist, hab ich im Router "Software DMZ" aktiviert und dort die IP des Terminalservers eingetragen.
    Stellt dass jetzt eine Sicherheitslücke dar?

    Ich hab gelesen, dass dadurch die Firewall des Routers ausser Kraft gersetzt wird und alles Ports offen sind. Stimmt das ???
     
  2. kalweit

    kalweit Hüter der Glaskugel

    Registriert seit:
    18. April 2000
    Beiträge:
    31.487
    Die DMZ ist ein Instrument, um nach außen angebotene Dienste vom lokalen Netz zu trennen - d.h. ein externer Request wird vom DMZ Server beantwortet, genauso werden lokale Requests vom DMZ Server beantwortet, aber der DMZ Server selbst kann keine Requests an das lokale Netz stellen. Etwas "Böses" schafft es damit nicht allein (!) über die Dienste des DMZ Servers ins interne Netz. Deine Konstruktion hingegen, hebelt diesen Mechanismus aus, da der DMZ Server gleichzeitig Bestandteil des lokalen Netzes ist oder besser, die DMZ hat keine Wirkung und das Risiko ist gleichbedeutend mit dem einer direkten Portweiterleitung.
     
  3. knubbie

    knubbie Byte

    Registriert seit:
    26. Februar 2006
    Beiträge:
    8
    Hallo kalweit,

    das hört sich ja überhaupt nicht gut an.
    Wie kann ich Abhilfe schaffen und die Sache sicherer machen?
     
  4. kalweit

    kalweit Hüter der Glaskugel

    Registriert seit:
    18. April 2000
    Beiträge:
    31.487
    Wenn ich die Anleitung zu deinem Router richtig verstanden habe, brauchst du nicht die DMZ, sondern nur unter "Security" > "VPN-Tunnel" den Terminalserver als "Local Secure Group" eintragen. Damit sollten eingehende VPN-Verbindungen auf diesen durchgeleitet werden.
     
Status des Themas:
Es sind keine weiteren Antworten möglich.

Diese Seite empfehlen