DMZ Server

Server in einer speziellen Schutzzone - DMZ

Eine Firewall schützt aus dem Internet erreichbare Services in einer sogenannten "demilitarisierten Zone" (DMZ). Organisationseinheiten der Universität können bei den IT-Services in einer zentralen DMZ eigene virtuelle Rechner als Server (für Websites oder andere aus dem Internet erreichbare Dienste) betreiben. Dies ist jedoch nur sinnvoll, wenn


Können wir den Server nicht einfach bei uns im Institut aufstellen?

Wenn nur vom Uninetz darauf zugegriffen werden soll, dann sollten Sie den Rechner im lokalen Netz aufstellen. Zugriffe von aussen (Internet) auf Rechner im Uninetz werden aus Sicherheitsgründen zunächst blockiert. Für Rechner im Uninetz, die dennoch von aussen erreichbar sein sollen, gibt es die Möglichkeit einer "internen DMZ", die wir mit dem aktuellen Datennetz in jedes Gebäude schalten können. FW-Ausnahmeregeln für einen Rechner in einer dieser DMZs können vom jeweiligen ITSC oder CV mit folgendem Antrag angefragt werden.
Für Ausnahmefälle gibt es einen HTML-Weiterleitungsdienst (mit unserer Anforderung, die internen Rechner in der eigens dafür eingerichteten Proxy-DMZ aufzustellen). Diese Lösung bietet bei erhöhtem Schutzbedarf die Möglichkeit, Webfilter vorzuschalten. Dies ist jedoch sowohl für die IT-Services als auch den Serverbetreiber aufwändig in Intialinstallation und Unterhalt.
Warum keine direkte Erreichbarkeit interner Server?:
Der Server kann und wird aus dem Internet angegriffen werden. Ist er "gehackt", ist ein Eindringling bereits innerhalb des Uninetzes hinter der Firewall und damit eine grosse Gefahr für alle anderen Rechner, die normalerweise durch die Firewall geschützt wären. Wenn ein Server in einer sogenannten DMZ (demilitarisierte Zone) platziert ist, kann sowohl vom Internet als auch vom Uninetz zugegriffen werden - allerdings mit klar definierten Regeln und der Server selbst kann nicht direkt das Uninetzwerk angreifen.


Warum sollte bei Möglichkeit ein zentrales Angebot gewählt werden?

Wenn Sie auf einem der zentralen Server Webspace bekommen, müssen Sie sich nicht um Hardware, Betriebssystem und Softwarepatches kümmern (es sei denn, Sie haben dort eigene Software installiert). Bei einem eigenen Server in der DMZ sind Sie dagegen für den Rechner vollständig selbst verantwortlich (Installation und Pflege (Updates!) von Betriebssystem und Software, Backup usw.). Beu einer Virtuelle Maschine müssen Sie sich zumindest nicht um die Hardware kümmern.


Welche Dienste sind in der DMZ erreichbar?

In Zusammenarbeit mit den IT-Services wird ein individueller Regelsatz für ein- und ausgehenden Verkehr für jeden Server in der DMZ definiert.


Sicherheit innerhalb einer DMZ

Innerhalb einer DMZ sind die Server darin nicht gegenseitig geschützt. Die Server müssen daher gegen andere Server im gleichen Netz durch "eigene" Mechanismen (Hostsicherheit - durch lokale Firewalls, Patches etc.) gesichert werden.


Wie kann ich einen eigenen Server in der DMZ aufstellen?

Fragen Sie bitte beim IT-Servicedesk nach.
Alternativ bieten wir an jedem Standort eine gleichwertige "interne DMZ" an, das heisst ein spezielles Netzsegment mit Firewallschutz.