Unterscheidung zwischen einem Extranet und einer DMZ [geschlossen]

8

Ich habe jetzt über Intranets, Extranets, DMZs und VPNs gelesen und benötige einige Erläuterungen zu Extranets und DMZs. Ich verstehe, dass es sich um verschiedene Arten von Konzepten handelt - das Extranet ermöglicht einen eingeschränkten Zugriff auf einige Intranetressourcen, während DMZ ein Subnetz ist, das sich zwischen dem Internet und dem Intranet befindet und die externen Dienste hostet. Ich würde jedoch gerne wissen, was ihre Unterscheidung in der Praxis in einem üblichen Setup ist. Der Wikipedia-Artikel über Extranets besagt, dass Extranets DMZs ähnlich sind, weil sie für denselben Zweck verwendet werden (Bereitstellung des Zugriffs auf einige Dienste / Ressourcen, ohne das gesamte Intranet verfügbar zu machen). Der Artikel besagt auch, dass ein Extranet Teil eines VPN ist, und dieser TechNet-ArtikelAußerdem wird angegeben, dass der Extranet-Zugriff häufig ähnlich wie der Remote-Intranet-Zugriff implementiert wird, z. B. mit einem VPN. Der TechNet-Artikel besagt auch, dass das Extranet üblicherweise in der DMZ gehostet wird. In diesem Pearson-Artikel heißt es: "Obwohl sich [die DMZ] technisch im Intranet befindet, kann [sie] auch als Extranet dienen." Das ist etwas verwirrend.

Stellen Sie sich das folgende Szenario vor: Ein Unternehmen verfügt über eine B2C-Website, die in der DMZ gehostet wird. Auf die Website kann von überall aus zugegriffen werden, erfordert jedoch eine Benutzerauthentifizierung. Die zugrunde liegende Web-App hat ihre Datenbank im Intranet und interagiert auch mit einigen Webdiensten, die im Intranet gehostet werden (dh sie greift auf Intranet-Ressourcen zu). Aus meiner Sicht bietet die Website effektiv einen eingeschränkten Zugriff auf das Intranet. Aber kann es als Extranet betrachtet werden? Wenn wir die Wikipedia-Definition eines Extranets wörtlich nehmen: "Ein Extranet ist ein Computernetzwerk, das einen kontrollierten Zugriff von außerhalb des Intranets eines Unternehmens ermöglicht" - denke ich, dass dies möglich ist.

Angenommen, das oben Gesagte kann nicht als Extranet betrachtet werden. Was ist, wenn wir das Szenario geringfügig ändern und sagen, dass es sich um eine B2B-Website handelt, bei der der Zugriff beispielsweise auf Verbindungen beschränkt ist, die von einem bestimmten Geschäftspartner stammen (z. B. mithilfe von Site-to-Site-VPN). In diesem Fall handelt es sich sicherlich um ein Extranet, oder? Wenn dies der Fall ist, besteht der Unterschied zwischen Extranet-Diensten und anderen in der DMZ gehosteten Diensten lediglich in Zugriffsbeschränkungen?

Markus Yrjölä
quelle
7
Mein Rat ist, sich nicht im Detail festzumachen - selbst innerhalb von Unternehmen variieren diese Definitionen. Wenn es hilft, verwende ich hier selten den Ausdruck Extranet - die meisten Leute erklären etwas entweder als öffentlich (auch wenn es durch Passwörter eingeschränkt ist) oder als intern. Die DMZ ist lediglich ein Netzwerkkonzept in Bezug auf Firewalls und Sicherheit. Sie können eine Website vor der DMZ, in der DMZ oder hinter der DMZ hosten und es handelt sich immer noch um eine externe Website, wenn über das Internet darauf zugegriffen werden kann.
Dan
@ Dan, ich würde nicht daran hängen bleiben, wenn es das wirkliche Leben wäre, siehe meinen Kommentar zu MDMarras Antwort. Vielleicht werde ich versuchen, Extranets überhaupt nicht zu erwähnen ...
Markus Yrjölä

Antworten:

14

Dies sind akademische Unterscheidungen. In der realen Welt finden Sie eine Kombination all dieser Konzepte mit unterschiedlichen Begriffen.

In einigen Organisationen verfügt eine DMZ über eine separate ISP-Netzwerkverbindung und hat keinen Zugriff auf interne Ressourcen. In anderen Organisationen gibt es in der DMZ domänenverbundene Computer, die mit einer eingeschränkten Gruppe interner Computer kommunizieren können. Manchmal haben interne und DMZ separate Firewalls. Manchmal haben sie separate Schnittstellen in derselben Firewall.

Es ist wichtig zu wissen, warum jemand ein Extranet oder eine DMZ verwenden sollte, da dies die Sicherheitskonzepte sind, die wichtig sind. Von dort aus können Sie auswählen, wie der Zugriff auf bestimmte Ressourcen zugelassen werden soll. Was es eigentlich heißt, spielt keine Rolle. In einigen Fällen spaltet es Haare.

MDMarra
quelle
Komisch, dass Sie Ihre Antwort so begonnen haben, da ich diese Frage als Teil der Forschung gestellt habe, die ich für meine Masterarbeit mache. Also muss ich leider mit diesem Zeug akademisch werden. Na ja, ich denke, ich muss nur versuchen, die Begriffe irgendwie zu definieren und einige Gründe dafür zu liefern.
Markus Yrjölä
7

Ich glaube nicht, dass ich kürzlich von einem Extranet außerhalb von Lehrbüchern und Klassenzimmern gehört habe.

Eine DMZ ist eine gängige Netzwerktopologie mit einem Netzwerksegment, das durch Firewalls vom internen Netzwerk und nicht vertrauenswürdigen externen Netzwerken (auch bekannt als Internet ) getrennt ist.

Im Gegensatz dazu impliziert das Extranet , wenn es tatsächlich im Netzwerkdesign enthalten ist, etwas, dass es mit VPNs oder tatsächlichen privaten Netzwerken verbunden ist, anstatt mit dem gesamten größeren Internet.

Viele Unternehmen haben mehrere DMZ-Netzwerke und würden ein Netzwerk mit einem VPN-Gateway / Router oder einer privaten Verbindung als eine weitere DMZ betrachten.

Häufiger ist / war ein Extranet weniger eine Netzwerktopologie als vielmehr ein vom internen Netzwerk getrennter Dienst, der für eine eingeschränkte Gruppe von etwas vertrauenswürdigen, bekannten und / oder authentifizierten externen Benutzern, Unternehmen und Netzwerken bereitgestellt wird.

Aus Netzwerksicht sollte sich Ihr Webserver im DMZ-Netzwerk befinden. Die Tatsache, dass Ihre Website es Ihren Wiederverkäufern ermöglicht, sich anzumelden, Ihren Katalog zu durchsuchen, Lagerbestände und Bestellungen anzuzeigen, würde bedeuten, dass Ihre Website von Marketingabteilungen als Extranet bezeichnet wird. Die Entwicklungskosten würden von $$ zu $$$$ steigen.

HBruijn
quelle
1
Danke, das hat ein paar Dinge geklärt und passt ziemlich gut dazu, wie ich es selbst verstanden habe. Ich habe kürzlich Leute über Extranets bei der Arbeit sprechen hören, also ist es anscheinend kein toter Begriff.
Markus Yrjölä
2

Für mich läuft das auf die Sicherheitspolitik hinaus. Wir haben die Richtlinie geschrieben, dass kein öffentlich zugängliches System eingehenden Zugriff auf das Intranet hat, es sei denn, eine bestimmte Ausnahme ist zulässig. Wir haben auch die Richtlinie, dass die DMZ keinen eingehenden Zugriff auf unser Intranet hat und dass unser Extranet dies tut. Zum Beispiel haben wir einen Webserver mit Backend-Datenbank, der Daten mit einer intranetbasierten Datenbank synchronisieren muss. Wir stellen den Webserver in die DMZ, die Backend-Datenbank in das Extranet, und sie wird mit der Produktions-Intranet-Datenbank synchronisiert. Für die Vertrauensbewertung wäre das öffentliche Netzwerk 0, die DMZ 1, das Extranet 2 und das Intranet 3.

Corey Adam
quelle