Dies ist die aufwendige Variante. Dabei befindet sich zwischen 2
Firewall-Systemen
eine sog. DMZ (de-militarisierte Zone) in der sich die öffentlich erreichbaren
Dienste (Webserver, ...) befinden :
Internet - Firewall - DMZ - Firewall - Intranet
Dabei befinden sich in der DMZ alle nach außen exponierten Systeme (WWW-Server, FTP-Server, Gateways, ...). Diese Maschinen werden von den Maschinen des inneren Netzes als grundsätzlich nicht vertrauenswürdig eingestuft - es könnte ja sein daß jemand in diese Maschinen eingebrochen ist. Die Idee hinter der DMZ ist es, einem potentiellen Angreifer zum einen mehrere Barrieren in den Weg zu legen und zum anderen die sensitiven Systeme so weit wie möglich aus seiner Reichweite zu entfernen.
Bis ein Angreifer es in eine Maschine im internen Netz geschafft hat muß er somit mindestens 2 Firewalls und ggf. weitere Maschinen ,,knacken`` - und dabei sollte er einige Alarme auslösen.
Die Maschinen in der DMZ sollten natürlich auch auf sicher konfiguriert sein, d.h. es sollten (neben dem sshd für den Admin) nur die Dienste darauf laufen die wirklich benötigt werden - je weniger offene Dienste, desto weniger potentielle Angriffspunkte. Weiterhin sollten dort auch keine User-Logins existieren sofern das nicht absolut unvermeidbar ist.
Auch hier gilt das die für Maschinen Snapshots existieren sollten die im Falle einer Kompromittierung eine schnelle Wiederherstellung der Funktion erlauben. Eine genaue Analyse kann man später in Ruhe anhand des vor der Wiederherstellung gemachten Abzuges der Maschine machen.