Fritzbox -> Vorteile für Angreifer bei unechter DMZ!?

[Devon]

Hallo, ich lerne gerade für ne Klausur und hab da ma ne Frage zur Fritzbox.

Wo liegt der Unterschied zwischen einer Fritzbox mit echten DMZ-Anschlüssen und einer Fritzbox mit unechten DMZ-Anschlüssen?

Kurze Zwischenfrage: DMZ-Anschlüsse sind doch Anschlüsse (LAN) an die man ein System anschliessen kann welches dann von einer (oder zwei) Firewall zum restlichen LAN/Internet abgeschirmt ist oder?

Wo liegt jetzt der Unterschied? Was sind die Vorteile für Anreifer bei einer unechten DMZ? Und was ist überhaupt eine "unechte" DMZ?

MfG

 

[sabermaul]

Also nach meines Wissens gilt die Firewall der FritzBox für alle LAN-Anschlüsse. Du kannst jedoch per Port-Forwarding bestimmte Ports an bestimmte IPs weiterleiten.

Bzgl. der Zwischenfrage: DMZ = Demilitarized Zone, also korrekt, was du geschrieben hast.

 

[Devon]

Hmm, das erklärt jetzt aber nicht meine Frage :grübel:

Was ist denn jetzt eine Fritzbox mit unechter DMZ? Ich meine: Eig. befindet sich doch jeder PC innerhalb der DMZ wenn die Fritzbox über eine interne Firewall verfügt oder?
Ich raff einfach nicht was unser Lehrer mit "unechter" DMZ meint!?
Und was daran die Vorteile für Angreifer sein sollen!? Hmm .. wahrscheinlich ist es wesentlich einfacher auf die System im LAN zuzugreifen als mit einer "echten" DMZ.

Nur was ist genau der Unterschied?

 

[herrhannes]

Das heißt, dass ein vom restlichen Netzwerk abgetrennter Bereich deines Netzwerkes direkt mit dem Internet verbunden ist und nicht von einer Firewall geschützt. Das echte oder unechte DMZ bezieht sich auf die Art der Trennung von deinem Netzwerk.
Edit: so wie ich geschrieben habe ist es zumindest wohl bei routern und Fritzboxen.
Schau doch mal bei Wikipedia, da steht der Unterschied. Unecht wird wohl der Exposed Host sein.

 

[meph!sto]

Ich kann mir das nur so vorstellen:

unechte DMZ: man trägt die IP des PC der in der DMZ stehen soll und die Firewall der FB lässt dann dieses Gerät eben "nackt" im Internet stehen (salopp gesagt).

echte DMZ: wird meist so getrennt <<Internet>>[Firewall]<<DMZ>>[Firewall]<<LAN>>

 

[underclocker2k4]

Eine unechte DMZ ist eine pseudo DMZ.

Eine FB kann keine echte DMZ erschaffen. Im Grundzustand ist das LAN geschützt. Will man allerdings einen Dienst an einer FB bereitstellen, so muß man einen Port ins LAN öffnen. Das wäre eigentlich das vorgehen, wenn der Server in der DMZ stünde. Er steht jedoch im LAN, also öffne ich einen Port ins LAN und habe damit einen Angriffspunkt fürs LAN geschaffen.

Eine FB hat also nichtmal im Ansatz eine DMZ, das Ding hat garnichts.



Wenn man jetzt einen Port öffnet, wird das LAN dahinter zu einer pseudo DMZ. Der Rechner, auf dem der Dienst läuft ist in der DMZ, aber gleichzeitig ist er auch im zu schützenden LAN.
Hat also jemand Gewalt über den "Server" so kann er auch das LAN angreifen.
Bei einer echten DMZ ist der Server in der DMZ nochmal abgeschottet vom LAN.
Hat also jemand die Gewalt über den Server kann er das LAN nicht angreifen.