MichiLee: Demilitarized Zone / Telefonisches Ansagesystem

Hallo Forum,
eine kleine Frage zu DMZ.

http://www.rediris.es/cert/doc/unixsec/dmz.png

D.h., wenn man vom LAN ins Internet will, muss man über zwei Router bzw. Firewalls durch?

Grüße
Michi

P.S. Noch etwas nebenbei, da ich irgendwie in Google nicht fündig werde, da ich kein passendes Stichwort finde. Wie nennt man eigentlich die telefonischen Ansagesysteme, bei denen man per Tastenwahl oder Sprachsteuerung in verschiedene Menüs / Hotlines ankommt.
(Wird vermutlich eine sehr teure Angelegenheit sein, etwas umzusetzen, bei dem man telefonisch automatisiert eine Bestellung durchgibt?)

  1. Hallo,

    http://www.rediris.es/cert/doc/unixsec/dmz.png
    D.h., wenn man vom LAN ins Internet will, muss man über zwei Router bzw. Firewalls durch?

    in diesem Fall ja. Es gibt natürlich verschiedene Abstufungen, aber die "typische" DMZ ist eine Zone, die quasi zwischen dem geschützten LAN und dem öffentlichen Internet liegt. Hosts innerhalb der DMZ unterliegen in der Regel nicht den Beschränkungen, die im LAN gelten, dafür haben sie aber wieder eingeschränkte Zugriffsmöglichkeiten zum LAN. Die zweite, äußere Firewall dient nur dem Schutz der Hosts in der DMZ und ist daher weniger restriktiv als die zweite Stufe zum LAN; unter Umständen verzichtet man sogar ganz auf die äußere Firewall.

    Zwei getrennte Router müssen es auch nicht sein; denkbar ist ebenso, dass ein Router drei Netze miteinander verbindet. Die obige Skizze stellt nur den "ausführlichen" Fall dar.

    Wie nennt man eigentlich die telefonischen Ansagesysteme, bei denen man per Tastenwahl oder Sprachsteuerung in verschiedene Menüs / Hotlines ankommt.

    Ich wüsste nicht, dass es dafür eine allgemeine Bezeichnung gibt.

    (Wird vermutlich eine sehr teure Angelegenheit sein, etwas umzusetzen, bei dem man telefonisch automatisiert eine Bestellung durchgibt?)

    Kommt drauf an. Eine einfache Menüsteuerung anhand von Tonwahl-Sequenzen (DTMF) ist gar nicht so kompliziert, da gibt es schon ein paar fertige Implementierungen. Spracherkennung ist aber immer mindestens eine Stufe aufwendiger.

    Ciao,
     Martin

    --
    Okay, Alkohol ist keine Antwort.
    Aber manchmal vergisst man beim Trinken wenigstens die Frage.
    Selfcode: fo:) ch:{ rl:| br:< n4:( ie:| mo:| va:) de:] zu:) fl:{ ss:) ls:µ js:(
    1. Moin Moin!

      http://www.rediris.es/cert/doc/unixsec/dmz.png
      D.h., wenn man vom LAN ins Internet will, muss man über zwei Router bzw. Firewalls durch?

      in diesem Fall ja. [...]
      Zwei getrennte Router müssen es auch nicht sein; denkbar ist ebenso, dass ein Router drei Netze miteinander verbindet. Die obige Skizze stellt nur den "ausführlichen" Fall dar.

      Zwei getrennte Router bzw. Firewalls zu verwenden kann durchaus sinnvoll sein. Wenn ein Angreifer es schafft, den mit dem Internet verbundenen Router bzw. Firewall zu knacken, steht ihm bis zum LAN noch der zweite Router / die zweite Firewall im Weg. Packt man beide Funktionen auf eine Maschine, ist der Angreifer nach nur einem erfolgreichen Angriff schon im LAN.

      Je nach Grad der Paranoia und der Sensibilität der Daten im LAN wird man also unterschiedlich viel Aufwand treiben. Eine einfache Maßnahme kann sein, für die beiden Router / Firewalls unterschiedliche Produkte von unterschiedlichen Herstellern zu verwenden, damit ein Angreifer nicht einfach einen erfolgreichen Angriff auf das äußere System beim inneren System wiederholen kann.

      Sehr typisch ist auch, überhaupt keine direkte Datenübertragung zwischen LAN und Internet zuzulassen, der gesamte Datenverkehr geht dann über Proxies, die für bestimmte Anwendungen (HTTP, Mail) Daten weiterleiten, ggf. nach einer mehr oder weniger intensiven Prüfung. Diese Proxies stehen sehr oft in der DMZ, ganz einfach weil sie vergleichsweise große Ziele für Angreifer darstellen und man ihnen deshalb nicht so unbedingt traut. Kann ein Angreifer einen oder mehrere Proxies unter seine Kontrolle bekommen, ist er dank der DMZ immer noch nicht im empfindlichen LAN.

      Ein großes Problem ist dabei der Webbrowser im LAN, der relativ bedenkenlos fremden Code ausführt (Javascript, Flash und Java dürften da "Marktführer" sein), meistens mit vollen Benutzerrechten, nur eingeschränkt durch die Schnittstellen-Implementationen von Browser (Javascript) und Plugins (Flash, Java). Deswegen wird gerade bei sensiblen LANs oft sehr aggressiv der HTTP-Datenstrom gefiltert und ggf. verändert, um potenziell gefährlichen Code aus dem LAN herauszuhalten.

      Der Ansatz, Browser mit Internet-Zugang in (virtuelle) Maschinen in einer DMZ zu sperren, den Zugriff auf die Browser-Maschinen auf VNC, RDP o.ä. zu beschränken, und Daten von dort wenn überhaupt nur über einen Filter aus dem LAN abholbar zu machen (z.B. über FTP), ist zwar schon einige Male beschrieben worden, aber in der Praxis habe ich das noch nicht gesehen. Dabei hat gerade dieser Ansatz den großen Vorteil, dass LAN und Internet sehr stark getrennt sind. Mit einer Maschine, die für jeden neuen User erneut von einem schreibgeschützten Medium bootet, ist selbst Virenbefall kein großes Problem, mit einem Reboot ist der Virus weg (von Parasiten, die sich selbst ins BIOS flashen, mal abgesehen).

      Alexander

      --
      Today I will gladly share my knowledge and experience, for there are no sweeter words than "I told you so".
      1. Hallo,

        [..]

        Der Ansatz, Browser mit Internet-Zugang in (virtuelle) Maschinen in einer DMZ zu sperren, den Zugriff auf die Browser-Maschinen auf VNC, RDP o.ä. zu beschränken, und Daten von dort wenn überhaupt nur über einen Filter aus dem LAN abholbar zu machen (z.B. über FTP), ist zwar schon einige Male beschrieben worden, aber in der Praxis habe ich das noch nicht gesehen. Dabei hat gerade dieser Ansatz den großen Vorteil, dass LAN und Internet sehr stark getrennt sind. Mit einer Maschine, die für jeden neuen User erneut von einem schreibgeschützten Medium bootet, ist selbst Virenbefall kein großes Problem, mit einem Reboot ist der Virus weg (von Parasiten, die sich selbst ins BIOS flashen, mal abgesehen).

        vielen Dank euch beiden, das hört sich sehr interessant an, mit diesem Thema werde ich mich die nächsten Wochen noch einwenig beschäftigen und mich etwas einlesen. Davor frische ich jedoch nochmals allgemein die Netzwerkarchitektur auf.

        Grüße

  2. Hi!

    P.S. Noch etwas nebenbei, da ich irgendwie in Google nicht fündig werde, da ich kein passendes Stichwort finde. Wie nennt man eigentlich die telefonischen Ansagesysteme, bei denen man per Tastenwahl oder Sprachsteuerung in verschiedene Menüs / Hotlines ankommt.

    Interactive Voice Response oder Sprachdialogsystem

    (Wird vermutlich eine sehr teure Angelegenheit sein, etwas umzusetzen, bei dem man telefonisch automatisiert eine Bestellung durchgibt?)

    Kommt drauf an. Mit der nötigen Erfahrung ist nur Zeit gleich Geld und dazu noch die Hardware. Grundlegende Software gibts mit Asterisk auch kostenlos.

    Lo!

    1. Hi dedlfix,

      Interactive Voice Response oder Sprachdialogsystem

      Dankeschön. Bin nun endlich auch viele informative Seiten und Scripts gestoßen. So schwer sieht dieser Bereich doch nicht aus, wie ich es am Anfang gedacht hatte. Muss aber dennoch viel auch in die Netzwerktechnik einlesen und hoffe, dass ich privat dann ein kleines Experiment/Beispiel auf die Beine stellen kann, mit der ich eine eigene Java-Software ansprechen kann.

      Kommt drauf an. Mit der nötigen Erfahrung ist nur Zeit gleich Geld und dazu noch die Hardware. Grundlegende Software gibts mit Asterisk auch kostenlos.

      Da muss ich mich noch wie gesagt dann etwas einlesen, wobei es anscheinend auch schon fertige Software bzw. Erweiterungen für Asterisk gibt, welches man konfigurieren muss.

      Grüße