Vielen Dank! Sie können so gut erklären! Ohne Sie hätte ich glaube ich die Prüfungsangst nicht überwunden! Ich liebe Ihre Videos ! Danke Danke Danke !!!
So genial. Vielen Dank. Endlich weiß ich wozu so eine DMZ gut ist. Hab es zwar brav aus den Skripten gelernt. Aber die praktische Anwendung bis dato nicht behirnt.
Variante 2 hab ich bei mir. Nennt sich Routerkaskade. Falls einer ein Schlagwort zum googeln braucht. Ich hab inzwischen 4 Netzwerke. Eins für mich, zwei für meine Kinder und ein gemeinsames (das DMZ). Braucht man halt 4 Router.
Wie ist es denn im Falle eines "Homeoffice"-Teilnehmers, der von aussen Zugriff auf Dateien und Datenbanken innerhalb des LANs benötigt. Also beispielsweise auf CRM, ERP, etc. Daten, die im LAN bereit gestellt werden. Hier müßte aus der DMZ eine Verbindung nach intern aufgebaut werden. Ähnliches gilt auch für VoIP Konstellationen, die lokal und von extern nutzbar sein müssen, usw. Ich denke, da fangen dann die Kompromitierungsmöglichkeiten bereits wieder an.
Hallo Sebi. Ich LIEBE Deinen Kanal absolut. Kannst Du mal ein Beispiel (Screenshot o.ä.) zeigen wie eine DMZ tatsächlich eingestellt wird, und wie praktisch zwei Router zueinander konfiguriert werden? Liebe Grüße Helmut
ich schreib in weniger als 12 stunden meine abschlussprüfung zum systemintegrator und zieh mir grad gefühlt deinen ganzen kanal rein um zu sehen wie hart ich durchfallen werde bei dem einfachen shit der dran kommt xD
So ungefähr geht es mir momentan auch - nur das ich in 9 Tagen die Abschlussprüfung schreibe - das ganze als Umschulung & 22 Monaten Lehrzeit bei 6 Monaten Praktikum als einziger Praktische Anteil 😒 Aber das wird schon, auch dank deiner genialen Videos!
Also kann ich im eigenen Heimnetz keine Webserver anbinden und diesen gleichzeitig in einer DMZ haben? Oder wie kann man ein neues „öffentliches“ Netz aufschalten?
Hi! Ich nutze OneNote als Tafel, manchmal auch ein Programm namens Whiteboard, wobei ich mit diesem mit meinem aktuellen Gerät (Surface Book 3) leider Probleme habe.
@@SebastianPhilippiTV Vielen Dank für den quick Response. Ich nutze wieder Wacom Tablet. Wäre Mal ne Idee für Präsentationen. Bin übrigens ebenfalls Lehrer mit Ingeniez Hintergrund. Keep i touch.Mein Kanal ist Schrott und dank Dir, habe ich Lust zu Polieren. Merci und weiter so. Ahhhh... Bezüglich DMZ... Ein Ausblick auf die erschwingliche ASA von Cisco wäre spannend. Bis dann und bleibt Gesund. LG Axel
Backups der Server aus der DMZ, bleiben in der DMZ oder "dürfen/sollten/" die ins das private netzwerk transferiert werden, was ist der best practice? danke
Hi Sephi, danke vielmals für das informative Video. Habe da noch eine Frage hinsichtlich Cloud/Cloud native Lösungen: Sind in solchen Lösungen Netzwerkkonzepte mit einer DMZ noch angebracht oder greifen da andere Konzepte (Stichwort: Zero Trust?)?
Tolles Video Sebastian, eine Frage hätte ich aber - wenn ich ausschliesslich VPN Verbindungen in mein Netz zulasse und Server nur intern verfügbar sind, brauche ich so ein Konzept dann an sich nicht oder? lg Andi
Mahlzeit, könntest Du zum Thema DMZ vielleicht noch eine Art PraxisVideo machen? Also welche Dienste/Server sollte man in die DMZ stellen, das werden ja nicht nur Mail- und Webserver sein oder? Wie sehen dann FireWall-Regeln aus? Gibt es da welche die man auf jeden Fall schreiben sollte etc. Also mal ein fiktives Netz in der Praxis konfiguriert mit etwas BestPractice. Mir kam das Video jetzt irgendwie etwas Inhaltslos vor, oder ist das mal wieder so ein Thema, wo man sich wer weiß was vorstellt und es dann in der Praxis so "platt" ist? Gruß Mario
Hi! Ich werde drüber grübeln, ob ich ein sinnvolles Praxisvideo stemmen kann. Für so richtige "BestPractice"-Tipps bin ich einfach schon zu lange aus dem Geschäft raus, befürchte ich. Das ist der große Nachteil meiner (zweiten) Berufswahl. ;-) Vielleicht lässt sich das Thema DMZ ganz gut mit dem Thema "Zone-based Policy Firewall" verbinden... Ich mache mir mal Gedanken. Generell gilt: In die DMZ stellst du eben alle Server bzw. Dienste, die du in deinem Netz von außerhalb erreichbar machen möchtest. Klar, das können nicht nur Web- und Mailserver sondern z.B. auch DNS- oder andere Server sein. Das hängt davon ab, welche Dienste man anderen zur Verfügung stellen möchte. Wenn dann die Dienste in der DMZ klar sind, wirst du deine Firewall so konfigurieren, dass Verbindungen in die DMZ aus den privaten Netzen wie auch aus dem öffentlichen Netz erlaubt sind. Auch Verbindungen aus den privaten Netzen und der DMZ in das öffentliche Netz sind ok. Aber: Verbindungen aus dem öffentlichen Netz oder der DMZ in die privaten Netze sind verboten. Das klingt vielleicht platt, ist aber je nach Anzahl und Komplexität der Dienste durchaus ein anspruchsvolles Unterfangen. Bedenke: Wenn du einen Fehler machst, baust du mit großer Wahrscheinlichkeit eine Sicherheitslücke in dein Netz ein. Grüße Sebastian
@@SebastianPhilippiTV Dank Dir erstmal für die schnelle und ausführliche Antwort. Genau das Problem mit der BestPractice haben unsere Dozenten auch, und das habe ich leider auch im Praktikum gemerkt. War jetzt sechs Monate im Praktikum, die waren zwar sehr zufrieden mit mir, und wie es schaut kann ich auch im Oktober nen Vertrag unterschreiben, aber ich selber war mit mir nicht so zufrieden. Ich dachte ich wäre in einigen Dingen recht fit, gerade was Netzwerke angeht. Leider musste ich feststellen, dass die Welt da draußen doch anders Funktioniert als man es gelernt hat. Ok mit etwas Transferleistung bekommt man da schon einiges hin, aber irgendwie Fehlte was.
@@Speichenbieger Nun, das ist aber überall so. In der Schule (egal ob Hochschule, Berufsschule, Fachschule oder wo auch immer) lernst du die Theorien, die dann von dir in die Praxis übertragen werden müssen. Da beißt die Maus keinen Faden ab. Zu sagen, die Lehrer / Professoren / Dozenten sollten das doch wissen und vermitteln, ist zu kurz gedacht. Wenn wir das alles wissen sollen (jede technische Neuerung), müssen wir täglich mit diesen Dingen arbeiten. Aber wann unterrichten wir dann noch? :-) Ich erlebe immer wieder Schüler, die sich beschweren, weil sie im Unterricht mit Windows Server 20xx arbeiten, obwohl es doch schon Windows Server 20xy gibt. Dabei ist es völlig wurscht, mit welcher Version die Lehrkraft die Grundlagen(!) von Windows Server vermittelt. Später dann die aktuellste Version zu verwenden und sich dann auf die Eigenheiten dieser Version einzuschießen, ist das Leid des Fachinformatikers. Der Lehrer kann das nicht leisten. Also ich sehe deinen Punkt. Aber ich sehe nicht, wie man das Problem lösen soll, ohne die Lehrer aus dem Unterricht zu nehmen, was offensichtlich ein neues Problem aufwirft. :-D
Muss an dieser Stelle mal doof fragen: wenn die eigenen Clients auf die Server in der DMZ zugreifen dürfen, aber andersrum nicht...klappt denn dann überhaupt sowas wie das Mails abholen von diesen Servern?
Mal einer, der erklärt hat, dass das Konzept nur Sinn macht, weil man die jeweiligen Netze gegenüber dem Internet/WAN mit jeweils zwei hintereinander geschalteten Firewalls absichert und die Netze dadurch jeweils kontrolliert (regelbasiert) voneinander separiert. Ich sehe nur wenig Sinn bei den üblichen DMZ-Setups: WAN -> Router-Firewall1: -> DMZ (quasi LAN1) -> Router-Firewall2 -> LAN2 …, auch nur irgendein Gerät / Dienst in einer DMZ zu betreiben, die potentiell unsicherer ist, da sie ja nur von einer Firewall geschützt wird. Warum sollte man gerade Server-Dienste im eigenen Netz nur mit einer Firewall schützen, die ganzen Client-Geräte aber nicht??? Eine DMZ sehe ich eher dann logisch nachvollziehbar, wenn man in der DMZ eher unkritische bzw. weniger kritische oder gar potentiell unsicherere Geräte, Dienste und Honeypots betreibt und alle kritischen Geräte und Dienste in separierten LANs. Aber auch dann sehe ich keinen Sinn, die DMZ als eigenes LAN nicht ebenso doppelt abzusichern. Die Client-Geräte nutzen ja ggf. auch die Server-Dienste aus der DMZ. Hatte also bspw. die äußere Firewall1 mal eine Lücke, bleibt zwar das eine LAN und dessen Geräte dahinter dank zweiter Firewall ggf. noch sicher, aber praktisch sind dann alle Geräte und Dienste in der DMZ gnadenlos dem Angreifer ausgeliefert. Wenn jetzt ein Client aus dem einen LAN einen Server-Dienst aus der DMZ in Anspruch nimmt, kann es das für das eine LAN auch wieder gewesen sein. Die Entkopplung von bestimmten Geräten und Diensten im selben Gesamtnetzwerk je nach Zweck und Prio ist natürlich verständlich. WLANs und Gast-WLANs verfolgen im SmartHome quasi nichts anderes. Aber bestimmte Geräte/Dienste weniger abzusichern als andere ist nichts als ein Fall von Faulheit, Bequemlichkeit und mMn auch Fahrlässigkeit. Sinnvoller wäre folgendes Setup: WAN -> Router-Firewall1: -> VLAN1 mit Router-Firewall2.1 -> Geräte & Dienste für Zweck & Prio A -> VLAN2 mit Router-Firewall2.2 -> Geräte & Dienste für Zweck & Prio B Man separiert also für verschiedene Geräte und Dienste die Netze mittels voneinander unabhängigen VLANs ab. Zusätzlich sichert man an jedem Knoten mit einer Firewall und ggf. noch mit einem ReverseProxy ab, welche Inbound- und Outbound-Anfragen dann jeweils in welches VLAN gehen und welche nicht und welche explizit erst authorisiert werden müssen (etwa mittels SSH- oder VPN-Tunnel). Das ganze liese sich physisch aufbauen oder auch virtuell. Die Edge-Router (ich würde hier ehrlich gesagt bei jedem Router von Edge-Routern reden, da auf diesen Instanzen on edge, also auf dem Gerät/der Instanz, sowohl die Routing-Dienste, DNS, DHCP, IP-/Port-Forwarding, Firewall und ReverseProxy mit ggf. Authorisierung erfolgen) lassen sich auch als virtuelle Instanzen in Form von Containern oder VMs betreiben. Virtuelle Netze verdrahten dann alles und virtuelle Interfaces setzen es dann in den Instanzen um. Auch hybrid aus physischen Geräten und virtuellen Geräten lässt sich solch ein virtuelles Netzwerk umsetzen. Mit anderen Worten, man betrachtet einfach jedes eigenständige LAN/VLAN/Sub-LAN als eine DMZ. Warum man aber dann noch von DMZs reden sollte, erschließt sich mir nicht. DEmilitarisiert bedeutet ja mehr oder weniger, dass ein DMZ-LAN über keine weitere Hürde verfügt. Daher würde ich persönlich DMZ-Setups nur für Honeypots missbrauchen (also Honeypots in die DMZs) und Nutznetze/-LANs als eigenständige VLANs jeweils mit doppelter Firewall des DMZ-Setups und weiterer Sicherungsmaßnahmen absichern. In der DMZ können dann schön die ganzen Angreifer verharren. Auch möchte ich bis auf Monitoring keine Client-Geräte auf die DMZ zugreifen lassen wollen. 😀
Super Video! Ich hab DMZ mehrmals in IT Prüfungen gelesen und konnte mir nicht erklären was das ist. Du hast es super erklärt.
Danke!! Du bringst mich mit all deinen Videos nicht nur durch meine Prüfungen, ich kann auch Wissen aufbauen, das mir im Job weiterhilft.
Vielen Dank! Sie können so gut erklären! Ohne Sie hätte ich glaube ich die Prüfungsangst nicht überwunden! Ich liebe Ihre Videos ! Danke Danke Danke !!!
So genial. Vielen Dank.
Endlich weiß ich wozu so eine DMZ gut ist. Hab es zwar brav aus den Skripten gelernt. Aber die praktische Anwendung bis dato nicht behirnt.
Wow! Richtig gut erklärt und zusammengefasst. Grafische Darstellungen waren Top.
Danke fürs Video!
Variante 2 hab ich bei mir. Nennt sich Routerkaskade. Falls einer ein Schlagwort zum googeln braucht.
Ich hab inzwischen 4 Netzwerke. Eins für mich, zwei für meine Kinder und ein gemeinsames (das DMZ). Braucht man halt 4 Router.
Super Video. Hat mir hoffentlich die Informatik-Kurzarbeit gerettet.
Wichtiges Thema! Sehr gut erklärt wie immer. Thx..
Montag Klausur in Netzwerktechnik und endlich verstehe ich dieses DMZ Thema Thanks!!
Super Video ! Vielen Dank.
Glückwunsch zum Nachwuchs!
Tolle Erklärung. Verständlich und ganz einfach erklärt.
Super Video Sound ist auch viel besser geworden !
Klasse erklärt!
du bist Klasse du Erklärst richtig gut :)
Danke für dieses Video! MEGA informatives Video :)
Top erklärt
Super danke sehr
sehr verständlich. Danke :)
Super Video und vor allem verständlich erklärt👍🏻👍🏻
sehr gut erklärt mindestens für anfänger
Super Vielen Dank
Bitte weiter machen Top Videos mit einer sehr guten Qualität!
Danke das war sehr gut:)
Klasse erklärt, danke!!
Wie ist es denn im Falle eines "Homeoffice"-Teilnehmers, der von aussen Zugriff auf Dateien und Datenbanken innerhalb des LANs benötigt. Also beispielsweise auf CRM, ERP, etc. Daten, die im LAN bereit gestellt werden. Hier müßte aus der DMZ eine Verbindung nach intern aufgebaut werden. Ähnliches gilt auch für VoIP Konstellationen, die lokal und von extern nutzbar sein müssen, usw.
Ich denke, da fangen dann die Kompromitierungsmöglichkeiten bereits wieder an.
So etwas bildet man in der Regel mit VPNs ab. Ob man den Teleworker dann in der DMZ platziert oder lieber woanders, ist dann die Frage.
Hallo Sebi. Ich LIEBE Deinen Kanal absolut. Kannst Du mal ein Beispiel (Screenshot o.ä.) zeigen wie eine DMZ tatsächlich eingestellt wird, und wie praktisch zwei Router zueinander konfiguriert werden? Liebe Grüße Helmut
ich schreib in weniger als 12 stunden meine abschlussprüfung zum systemintegrator und zieh mir grad gefühlt deinen ganzen kanal rein um zu sehen wie hart ich durchfallen werde bei dem einfachen shit der dran kommt xD
Ich drücke dir trotzdem die Daumen. Ich erinnere mich an meine IHK-Prüfung, es war die Hölle...
So ungefähr geht es mir momentan auch - nur das ich in 9 Tagen die Abschlussprüfung schreibe - das ganze als Umschulung & 22 Monaten Lehrzeit bei 6 Monaten Praktikum als einziger Praktische Anteil 😒 Aber das wird schon, auch dank deiner genialen Videos!
Und? Habt ihr es geschafft? :-)
Ooo kein Kaffee Schluck mehr :) Super
danke
Also kann ich im eigenen Heimnetz keine Webserver anbinden und diesen gleichzeitig in einer DMZ haben? Oder wie kann man ein neues „öffentliches“ Netz aufschalten?
Lieber Sebastian, vielen Dank, sehr gut erklärt.
Macht es ggf. Sinn, die DMZ auf Basis von VLANs zu realisieren?
Hi Enno! Klar, oftmals kann man sich mit VLANs bei der Realisierung behelfen. Dagegen spricht auch erstmal nichts.
@@SebastianPhilippiTV Supi, danke Dir für die rasche Antwort !!
Bitte noch ein DMZ Video machen aber in einem Realen Betrieb....werde es als Abschluss Projekt nehmen.. und das video hat mich sehr weiter geholfen.
Guacamole
Besser lesbar als die älteren Videos. Klasse. Was für Tools benutzt Du? LG
Hi! Ich nutze OneNote als Tafel, manchmal auch ein Programm namens Whiteboard, wobei ich mit diesem mit meinem aktuellen Gerät (Surface Book 3) leider Probleme habe.
@@SebastianPhilippiTV Vielen Dank für den quick Response. Ich nutze wieder Wacom Tablet. Wäre Mal ne Idee für Präsentationen. Bin übrigens ebenfalls Lehrer mit Ingeniez Hintergrund. Keep i touch.Mein Kanal ist Schrott und dank Dir, habe ich Lust zu Polieren. Merci und weiter so. Ahhhh... Bezüglich DMZ... Ein Ausblick auf die erschwingliche ASA von Cisco wäre spannend. Bis dann und bleibt Gesund. LG Axel
Jesus. Die Schreibfehler beim nächsten mal.
Backups der Server aus der DMZ, bleiben in der DMZ oder "dürfen/sollten/" die ins das private netzwerk transferiert werden, was ist der best practice? danke
Hi! Was meinst du mit Backups? Zusätzliche Server? Wenn ja: Nein. 🙂
Hi Sephi, danke vielmals für das informative Video. Habe da noch eine Frage hinsichtlich Cloud/Cloud native Lösungen: Sind in solchen Lösungen Netzwerkkonzepte mit einer DMZ noch angebracht oder greifen da andere Konzepte (Stichwort: Zero Trust?)?
Tolles Video Sebastian, eine Frage hätte ich aber - wenn ich ausschliesslich VPN Verbindungen in mein Netz zulasse und Server nur intern verfügbar sind, brauche ich so ein Konzept dann an sich nicht oder? lg Andi
top lehrer ;)
Mahlzeit,
könntest Du zum Thema DMZ vielleicht noch eine Art PraxisVideo machen?
Also welche Dienste/Server sollte man in die DMZ stellen, das werden ja nicht nur Mail- und Webserver sein oder?
Wie sehen dann FireWall-Regeln aus? Gibt es da welche die man auf jeden Fall schreiben sollte etc.
Also mal ein fiktives Netz in der Praxis konfiguriert mit etwas BestPractice.
Mir kam das Video jetzt irgendwie etwas Inhaltslos vor, oder ist das mal wieder so ein Thema, wo man sich wer weiß was vorstellt und es dann in der Praxis so "platt" ist?
Gruß Mario
Hi!
Ich werde drüber grübeln, ob ich ein sinnvolles Praxisvideo stemmen kann. Für so richtige "BestPractice"-Tipps bin ich einfach schon zu lange aus dem Geschäft raus, befürchte ich. Das ist der große Nachteil meiner (zweiten) Berufswahl. ;-)
Vielleicht lässt sich das Thema DMZ ganz gut mit dem Thema "Zone-based Policy Firewall" verbinden... Ich mache mir mal Gedanken.
Generell gilt: In die DMZ stellst du eben alle Server bzw. Dienste, die du in deinem Netz von außerhalb erreichbar machen möchtest. Klar, das können nicht nur Web- und Mailserver sondern z.B. auch DNS- oder andere Server sein. Das hängt davon ab, welche Dienste man anderen zur Verfügung stellen möchte.
Wenn dann die Dienste in der DMZ klar sind, wirst du deine Firewall so konfigurieren, dass Verbindungen in die DMZ aus den privaten Netzen wie auch aus dem öffentlichen Netz erlaubt sind. Auch Verbindungen aus den privaten Netzen und der DMZ in das öffentliche Netz sind ok. Aber: Verbindungen aus dem öffentlichen Netz oder der DMZ in die privaten Netze sind verboten.
Das klingt vielleicht platt, ist aber je nach Anzahl und Komplexität der Dienste durchaus ein anspruchsvolles Unterfangen. Bedenke: Wenn du einen Fehler machst, baust du mit großer Wahrscheinlichkeit eine Sicherheitslücke in dein Netz ein.
Grüße
Sebastian
@@SebastianPhilippiTV
Dank Dir erstmal für die schnelle und ausführliche Antwort.
Genau das Problem mit der BestPractice haben unsere Dozenten auch, und das habe ich leider auch im Praktikum gemerkt.
War jetzt sechs Monate im Praktikum, die waren zwar sehr zufrieden mit mir, und wie es schaut kann ich auch im Oktober nen Vertrag unterschreiben, aber ich selber war mit mir nicht so zufrieden. Ich dachte ich wäre in einigen Dingen recht fit, gerade was Netzwerke angeht. Leider musste ich feststellen, dass die Welt da draußen doch anders Funktioniert als man es gelernt hat.
Ok mit etwas Transferleistung bekommt man da schon einiges hin, aber irgendwie Fehlte was.
@@Speichenbieger Nun, das ist aber überall so. In der Schule (egal ob Hochschule, Berufsschule, Fachschule oder wo auch immer) lernst du die Theorien, die dann von dir in die Praxis übertragen werden müssen. Da beißt die Maus keinen Faden ab. Zu sagen, die Lehrer / Professoren / Dozenten sollten das doch wissen und vermitteln, ist zu kurz gedacht. Wenn wir das alles wissen sollen (jede technische Neuerung), müssen wir täglich mit diesen Dingen arbeiten. Aber wann unterrichten wir dann noch? :-) Ich erlebe immer wieder Schüler, die sich beschweren, weil sie im Unterricht mit Windows Server 20xx arbeiten, obwohl es doch schon Windows Server 20xy gibt. Dabei ist es völlig wurscht, mit welcher Version die Lehrkraft die Grundlagen(!) von Windows Server vermittelt. Später dann die aktuellste Version zu verwenden und sich dann auf die Eigenheiten dieser Version einzuschießen, ist das Leid des Fachinformatikers. Der Lehrer kann das nicht leisten.
Also ich sehe deinen Punkt. Aber ich sehe nicht, wie man das Problem lösen soll, ohne die Lehrer aus dem Unterricht zu nehmen, was offensichtlich ein neues Problem aufwirft. :-D
Auch sinnvoll für z. B. persönliche Server, z. B. NAS/Spieleserver?
Mach weiter so!
Muss an dieser Stelle mal doof fragen: wenn die eigenen Clients auf die Server in der DMZ zugreifen dürfen, aber andersrum nicht...klappt denn dann überhaupt sowas wie das Mails abholen von diesen Servern?
Ja, man lässt in der Regel keine Verbindungsaufbauten in die internen Netze zu, Antworten auf vorausgegangene Anfragen hingegen schon.
Großartiges Video, gerade im Zug nach Jaipur in Indien gegönnt und schon wieder was gelernt!
Liebe Grüße und mach weiter so :D
Meine Videos kommen weiter rum als ich! :-D
Hahaha, kannst ja dem Kleinen mal die Welt zeigen, in ein paar Jahren :D
Nabend, machst Du die VPN-Reihe evtl. noch weiter ?
Rauhaardackel Benni Ja. 👍
Mal einer, der erklärt hat, dass das Konzept nur Sinn macht, weil man die jeweiligen Netze gegenüber dem Internet/WAN mit jeweils zwei hintereinander geschalteten Firewalls absichert und die Netze dadurch jeweils kontrolliert (regelbasiert) voneinander separiert.
Ich sehe nur wenig Sinn bei den üblichen DMZ-Setups:
WAN -> Router-Firewall1:
-> DMZ (quasi LAN1)
-> Router-Firewall2 -> LAN2
…, auch nur irgendein Gerät / Dienst in einer DMZ zu betreiben, die potentiell unsicherer ist, da sie ja nur von einer Firewall geschützt wird.
Warum sollte man gerade Server-Dienste im eigenen Netz nur mit einer Firewall schützen, die ganzen Client-Geräte aber nicht???
Eine DMZ sehe ich eher dann logisch nachvollziehbar, wenn man in der DMZ eher unkritische bzw. weniger kritische oder gar potentiell unsicherere Geräte, Dienste und Honeypots betreibt und alle kritischen Geräte und Dienste in separierten LANs.
Aber auch dann sehe ich keinen Sinn, die DMZ als eigenes LAN nicht ebenso doppelt abzusichern. Die Client-Geräte nutzen ja ggf. auch die Server-Dienste aus der DMZ. Hatte also bspw. die äußere Firewall1 mal eine Lücke, bleibt zwar das eine LAN und dessen Geräte dahinter dank zweiter Firewall ggf. noch sicher, aber praktisch sind dann alle Geräte und Dienste in der DMZ gnadenlos dem Angreifer ausgeliefert. Wenn jetzt ein Client aus dem einen LAN einen Server-Dienst aus der DMZ in Anspruch nimmt, kann es das für das eine LAN auch wieder gewesen sein.
Die Entkopplung von bestimmten Geräten und Diensten im selben Gesamtnetzwerk je nach Zweck und Prio ist natürlich verständlich. WLANs und Gast-WLANs verfolgen im SmartHome quasi nichts anderes. Aber bestimmte Geräte/Dienste weniger abzusichern als andere ist nichts als ein Fall von Faulheit, Bequemlichkeit und mMn auch Fahrlässigkeit.
Sinnvoller wäre folgendes Setup:
WAN -> Router-Firewall1:
-> VLAN1 mit Router-Firewall2.1 -> Geräte & Dienste für Zweck & Prio A
-> VLAN2 mit Router-Firewall2.2 -> Geräte & Dienste für Zweck & Prio B
Man separiert also für verschiedene Geräte und Dienste die Netze mittels voneinander unabhängigen VLANs ab. Zusätzlich sichert man an jedem Knoten mit einer Firewall und ggf. noch mit einem ReverseProxy ab, welche Inbound- und Outbound-Anfragen dann jeweils in welches VLAN gehen und welche nicht und welche explizit erst authorisiert werden müssen (etwa mittels SSH- oder VPN-Tunnel).
Das ganze liese sich physisch aufbauen oder auch virtuell. Die Edge-Router (ich würde hier ehrlich gesagt bei jedem Router von Edge-Routern reden, da auf diesen Instanzen on edge, also auf dem Gerät/der Instanz, sowohl die Routing-Dienste, DNS, DHCP, IP-/Port-Forwarding, Firewall und ReverseProxy mit ggf. Authorisierung erfolgen) lassen sich auch als virtuelle Instanzen in Form von Containern oder VMs betreiben. Virtuelle Netze verdrahten dann alles und virtuelle Interfaces setzen es dann in den Instanzen um. Auch hybrid aus physischen Geräten und virtuellen Geräten lässt sich solch ein virtuelles Netzwerk umsetzen.
Mit anderen Worten, man betrachtet einfach jedes eigenständige LAN/VLAN/Sub-LAN als eine DMZ. Warum man aber dann noch von DMZs reden sollte, erschließt sich mir nicht. DEmilitarisiert bedeutet ja mehr oder weniger, dass ein DMZ-LAN über keine weitere Hürde verfügt.
Daher würde ich persönlich DMZ-Setups nur für Honeypots missbrauchen (also Honeypots in die DMZs) und Nutznetze/-LANs als eigenständige VLANs jeweils mit doppelter Firewall des DMZ-Setups und weiterer Sicherungsmaßnahmen absichern. In der DMZ können dann schön die ganzen Angreifer verharren. Auch möchte ich bis auf Monitoring keine Client-Geräte auf die DMZ zugreifen lassen wollen. 😀
Das könnte man auch mit VLANs machen
Wo ist Dein Kaffee ?
:(
Bin hier wegen DMZ modern warfare und dann kommt sowas hier 🥴