blurrrr
Well-known member
Najo, eigentlich ist eine DMZ genau dafür da - Zugriff von "intern" und "extern" - wobei sich das ganze noch im Einflussbereich von "intern" befindet. Deswegen ja auch "D"MZ - für alles andere heisst es ja auch "Schotten dicht!" 
Ein gutes Beispiel dafür wären z.B. Mailgateways. Hier gibt es i.d.R. nicht nur "ein" Gateway, mit 50 verschiedenen Filtern, sondern die Mails durchlaufen oftmals mehrere Gateway, welche alle ihren ganz eigenen Zweck haben, so kann man z.B. auch mehrere Gateways auf der Strecke mit div. AV-Produkten, Regelungen, usw. bereitstellen. Gehört ja heutzutage doch ein "bisschen" mehr zum Thema Mail als einfach "nur" Spam abzuwehren (zumindestens ab einer gewissen Größe). Zu diesem Zweck werden dann meist - wenn man es nicht selbst macht - einfach irgendwo externe Dienste angemietet (z.B. von der Firma Barracuda), wo die Mails dann erstmal hinwandern und - je nach Budget - gefiltert werden, bevor sie an den internen Mailserver zugestellt werden (dies ggf. auch wieder durch Gateways, man seine Sachen ja auch aufteilen, muss ja nicht "alles" angemietet werden).
Gibt halt schon einige Grundsätzliche Dinge an Schutzmaßnahmen und viele Privatanwender nutzen sie ja auch schon... Unterschiedliche Netze + sinnvolle Firewall-Regeln, Country-Blocking, RBLs, DNS-Filter (z.B. piHole/AdGuard), usw. Das kann man natürlich auch immer weiter ausbauen, ist aber für privat dann doch etwas "oversized" Viele Firewall-Anbieter grätschen auch in das Segment dazwischen (auch für Firmen bis zu einer gewissen Größe), weswegen so ziemlich alle Firewall-Appliances mit einem ganzen Sack von Funktionen daher kommen (kennt man ja schon von den NAS-Geräten), halte ich persönlich eher nicht soviel von, aber das ist dann auch eher Geschmackssache. Fakt ist jedenfalls, dass man viele dieser Dinge (Proxy, Mailgateway, usw.) auch direkt über "ein" Firewallsystem abwickeln kann. Auch wenn ich es persönlich nicht so toll finde, erstmal sind diese Funktionalitäten vorhanden und können entsprechend sinnvoll eingesetzt werden. Grade, wenn man nur 1 Gerät für sowas bereitstellen möchte, kann man da schon durchaus seine zusätzlichen Vorteile daraus ziehen.
Und natürlich sind auch Geräte in einer DMZ "potentiell" gefährdet, da ein Zugriff von aussen stattfindet (und es auch genau so gedacht ist), aber auch da kann man halt auch entsprechende Vorkehrungen treffen
Nur weil etwas von aussen erreichbar ist, heisst es nicht, dass es - früher oder später - auch "IGITT" wird und sich die Clients im LAN dann auch entsprechendes einhandeln. Zum einen wird auch nichts "einfach so" nach draussen gehängt (s. div. Firewall-Möglichkeiten, Reverse-Proxy, etc.), zum anderen laufen die Benutzer-Clients oftmals auch über entsprechende Proxies, welche dann auch noch div. Dinge filtern. Mitunter werden da auch "diverse" Stufen der Filterung durchlaufen.
Ein gutes Beispiel dafür wären z.B. Mailgateways. Hier gibt es i.d.R. nicht nur "ein" Gateway, mit 50 verschiedenen Filtern, sondern die Mails durchlaufen oftmals mehrere Gateway, welche alle ihren ganz eigenen Zweck haben, so kann man z.B. auch mehrere Gateways auf der Strecke mit div. AV-Produkten, Regelungen, usw. bereitstellen. Gehört ja heutzutage doch ein "bisschen" mehr zum Thema Mail als einfach "nur" Spam abzuwehren (zumindestens ab einer gewissen Größe). Zu diesem Zweck werden dann meist - wenn man es nicht selbst macht - einfach irgendwo externe Dienste angemietet (z.B. von der Firma Barracuda), wo die Mails dann erstmal hinwandern und - je nach Budget - gefiltert werden, bevor sie an den internen Mailserver zugestellt werden (dies ggf. auch wieder durch Gateways, man seine Sachen ja auch aufteilen, muss ja nicht "alles" angemietet werden).
Gibt halt schon einige Grundsätzliche Dinge an Schutzmaßnahmen und viele Privatanwender nutzen sie ja auch schon... Unterschiedliche Netze + sinnvolle Firewall-Regeln, Country-Blocking, RBLs, DNS-Filter (z.B. piHole/AdGuard), usw. Das kann man natürlich auch immer weiter ausbauen, ist aber für privat dann doch etwas "oversized"
Viele Firewall-Anbieter grätschen auch in das Segment dazwischen (auch für Firmen bis zu einer gewissen Größe), weswegen so ziemlich alle Firewall-Appliances mit einem ganzen Sack von Funktionen daher kommen (kennt man ja schon von den NAS-Geräten), halte ich persönlich eher nicht soviel von, aber das ist dann auch eher Geschmackssache. Fakt ist jedenfalls, dass man viele dieser Dinge (Proxy, Mailgateway, usw.) auch direkt über "ein" Firewallsystem abwickeln kann. Auch wenn ich es persönlich nicht so toll finde, erstmal sind diese Funktionalitäten vorhanden und können entsprechend sinnvoll eingesetzt werden. Grade, wenn man nur 1 Gerät für sowas bereitstellen möchte, kann man da schon durchaus seine zusätzlichen Vorteile daraus ziehen.Und natürlich sind auch Geräte in einer DMZ "potentiell" gefährdet, da ein Zugriff von aussen stattfindet (und es auch genau so gedacht ist), aber auch da kann man halt auch entsprechende Vorkehrungen treffen
Aber ich habe auch 
