Multi-Server DMZ im Lab: Zugriffsmatrix mit ACLs sauber implementieren

Die Implementierung einer DMZ (Demilitarized Zone) mit mehreren Servern ist eine gängige Praxis in Netzwerksicherheitsarchitekturen. Dabei kommt es darauf an, den Zugriff auf die Server durch eine gut geplante ACL (Access Control List) zu steuern. In diesem Artikel wird gezeigt, wie eine Multi-Server DMZ aufgebaut und eine Zugriffsmatrix mit ACLs korrekt implementiert werden kann, um die Sicherheit zu gewährleisten.

1. Grundlagen der Multi-Server DMZ

Eine DMZ ist ein Netzwerksegment, das zwischen einem internen Netzwerk und dem öffentlichen Internet platziert wird. Sie bietet zusätzliche Sicherheit, da sie eine Barriere zwischen dem internen Netzwerk und externen Bedrohungen darstellt. In einer Multi-Server DMZ befinden sich mehrere Server, wie Web-Server, Mail-Server und DNS-Server, die jeweils unterschiedliche Sicherheitsanforderungen haben.

Design der DMZ:

• Die DMZ ist typischerweise über einen oder mehrere Firewalls mit der internen und der externen Netzwerkinfrastruktur verbunden.
• Jeder Server in der DMZ hat eine spezifische Aufgabe, z.B. ein Webserver, der HTTP/HTTPS-Anfragen bearbeitet, oder ein Mailserver für eingehende E-Mails.
• Der Zugang zu den Servern wird durch ACLs geregelt, die auf den Router- oder Firewall-Geräten angewendet werden.

2. Zugriffsmatrix erstellen

Bevor die ACLs konfiguriert werden, ist es wichtig, eine Zugriffsmatrix zu erstellen. Diese Matrix definiert, welcher Server von welchen IP-Adressen aus zugänglich ist und welche Protokolle verwendet werden dürfen. Ein typisches Szenario könnte wie folgt aussehen:

Beispiel einer Zugriffsmatrix:

• Öffentlicher Webserver (HTTP/HTTPS): Zugriff nur aus dem Internet (z.B. IP 0.0.0.0/0, TCP-Port 80, 443)
• Mail-Server: Zugriff nur aus der internen Netzwerkinfrastruktur (z.B. IP 192.168.1.0/24, TCP-Port 25, 465)
• DNS-Server: Zugriff aus dem Internet und internen Netzwerken (z.B. IP 0.0.0.0/0, UDP-Port 53)
• SSH-Zugriff auf alle Server nur von bestimmten Verwaltungs-IP-Adressen (z.B. IP 192.168.100.10, TCP-Port 22)

3. ACLs auf den Routern konfigurieren

Mit der Zugriffsmatrix können nun ACLs erstellt werden, um den Traffic gezielt zu steuern und den Zugang zu den Servern zu regeln. Die ACLs sollten auf den Routern oder Firewalls konfiguriert werden, die die DMZ vom internen Netzwerk und dem Internet trennen.

ACLs für Webserver:

• Erstellen Sie eine erweiterte ACL, die nur HTTP und HTTPS von externen IP-Adressen erlaubt:

access-list 100 permit tcp any host 192.168.2.10 eq 80
    access-list 100 permit tcp any host 192.168.2.10 eq 443

Verhindern Sie jeglichen anderen Zugriff:

access-list 100 deny ip any host 192.168.2.10

Wenden Sie die ACL auf die eingehenden Schnittstellen an:

interface gigabitEthernet 0/1
    ip access-group 100 in

ACLs für Mailserver:

• Erstellen Sie eine erweiterte ACL, die nur SMTP-Verkehr vom internen Netzwerk zulässt:

access-list 101 permit tcp 192.168.1.0 0.0.0.255 host 192.168.2.20 eq 25

Verhindern Sie jeglichen anderen Zugriff auf den Mailserver:

access-list 101 deny ip any host 192.168.2.20

Wenden Sie die ACL auf die eingehende Schnittstelle des Mailservers an:

interface gigabitEthernet 0/2
    ip access-group 101 in

4. Weitere ACLs und Prüfung

Für die weiteren Server, wie den DNS-Server und für den SSH-Zugriff, können ähnliche ACLs erstellt werden. Es ist wichtig, die Reihenfolge der ACLs zu überprüfen, da ACLs von oben nach unten abgearbeitet werden. Stellen Sie sicher, dass die spezifischen Regeln höher in der Liste stehen als allgemeinere Regeln.

Verifikation und Troubleshooting:

• Prüfen Sie die angewendeten ACLs auf den Routern:

show access-lists

Überprüfen Sie, ob der Zugriff korrekt gewährt oder blockiert wird, indem Sie Test-Pings und Verbindungen von verschiedenen IP-Adressen durchführen:

ping 192.168.2.10

Testen Sie den Zugriff auf die verschiedenen Dienste (HTTP, SMTP, DNS, SSH), um sicherzustellen, dass die ACLs wie gewünscht arbeiten.

Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab (CCNA)

Hallo! Ich bin ein CCNA-Network Engineer und unterstütze Sie bei Cisco Router- und Switch-Konfigurationen – inklusive eines vollständigen Cisco Packet-Tracer-Labs (.pkt). Ideal für Lern-/Übungsszenarien, Validierung oder eine saubere Demo-Topologie.

Was ich (je nach Paket) umsetze

• Switching: VLANs, Trunking (802.1Q), Port-Zuweisung, STP-Basics (PortFast/BPDU Guard wo sinnvoll)

• Routing: Default/Static Routing oder OSPF, Inter-VLAN Routing (Router-on-a-Stick)

• Services: DHCP (Pools/Scopes), NAT/PAT für Internet-Simulation

• Optional Security: Basic ACLs und SSH-Hardening

• Test & Verifikation: Ping/Traceroute + wichtige Show-Commands (mit erwarteten Ergebnissen)

Sie erhalten

• ✅ Packet Tracer .pkt Datei

• ✅ Saubere Konfigurations-Notizen pro Gerät

• ✅ Verifikations-Checkliste + erwartete Outputs

• ✅ Kurze Dokumentation (wie die Topologie funktioniert)

Bitte schreiben Sie mir vor der Bestellung, damit wir Scope, Packet-Tracer-Version, Geräteanzahl und Deadline klären.

Konfiguriere Cisco Router & Switches | Cisco Packet-Tracer-Labs. Finden Sie mich auf Fiverr.