Moin Moin!

http://www.rediris.es/cert/doc/unixsec/dmz.png
D.h., wenn man vom LAN ins Internet will, muss man über zwei Router bzw. Firewalls durch?

in diesem Fall ja. [...]
Zwei getrennte Router müssen es auch nicht sein; denkbar ist ebenso, dass ein Router drei Netze miteinander verbindet. Die obige Skizze stellt nur den "ausführlichen" Fall dar.

Zwei getrennte Router bzw. Firewalls zu verwenden kann durchaus sinnvoll sein. Wenn ein Angreifer es schafft, den mit dem Internet verbundenen Router bzw. Firewall zu knacken, steht ihm bis zum LAN noch der zweite Router / die zweite Firewall im Weg. Packt man beide Funktionen auf eine Maschine, ist der Angreifer nach nur einem erfolgreichen Angriff schon im LAN.

Je nach Grad der Paranoia und der Sensibilität der Daten im LAN wird man also unterschiedlich viel Aufwand treiben. Eine einfache Maßnahme kann sein, für die beiden Router / Firewalls unterschiedliche Produkte von unterschiedlichen Herstellern zu verwenden, damit ein Angreifer nicht einfach einen erfolgreichen Angriff auf das äußere System beim inneren System wiederholen kann.

Sehr typisch ist auch, überhaupt keine direkte Datenübertragung zwischen LAN und Internet zuzulassen, der gesamte Datenverkehr geht dann über Proxies, die für bestimmte Anwendungen (HTTP, Mail) Daten weiterleiten, ggf. nach einer mehr oder weniger intensiven Prüfung. Diese Proxies stehen sehr oft in der DMZ, ganz einfach weil sie vergleichsweise große Ziele für Angreifer darstellen und man ihnen deshalb nicht so unbedingt traut. Kann ein Angreifer einen oder mehrere Proxies unter seine Kontrolle bekommen, ist er dank der DMZ immer noch nicht im empfindlichen LAN.

Ein großes Problem ist dabei der Webbrowser im LAN, der relativ bedenkenlos fremden Code ausführt (Javascript, Flash und Java dürften da "Marktführer" sein), meistens mit vollen Benutzerrechten, nur eingeschränkt durch die Schnittstellen-Implementationen von Browser (Javascript) und Plugins (Flash, Java). Deswegen wird gerade bei sensiblen LANs oft sehr aggressiv der HTTP-Datenstrom gefiltert und ggf. verändert, um potenziell gefährlichen Code aus dem LAN herauszuhalten.

Der Ansatz, Browser mit Internet-Zugang in (virtuelle) Maschinen in einer DMZ zu sperren, den Zugriff auf die Browser-Maschinen auf VNC, RDP o.ä. zu beschränken, und Daten von dort wenn überhaupt nur über einen Filter aus dem LAN abholbar zu machen (z.B. über FTP), ist zwar schon einige Male beschrieben worden, aber in der Praxis habe ich das noch nicht gesehen. Dabei hat gerade dieser Ansatz den großen Vorteil, dass LAN und Internet sehr stark getrennt sind. Mit einer Maschine, die für jeden neuen User erneut von einem schreibgeschützten Medium bootet, ist selbst Virenbefall kein großes Problem, mit einem Reboot ist der Virus weg (von Parasiten, die sich selbst ins BIOS flashen, mal abgesehen).

Alexander