SIHK ABSCHLUSSPROJEKT — SOMMER 2025

Einrichtung einer DMZ zur Absicherung interner Dienste

Abschlussprojekt zur Prüfung als Fachinformatiker für Systemintegration bei der ATZ AG. Konzeption, Umsetzung und Test einer demilitarisierten Zone (DMZ) mit OPNsense in einer virtualisierten Testumgebung.

📅 07.04. – 18.04.2025⏱️ 40 Stunden🏢 ATZ AG, Dortmund✅ Bestanden

Projektdokumentation

Vollständige Doku (DOCX) — 20 Seiten

Abschlusspräsentation

Folien zur Fachgespräch-Präsentation (PPTX)

Was ist eine DMZ?

Eine Demilitarisierte Zone (DMZ) ist ein logisch isolierter Netzwerkbereich zwischen dem öffentlichen Internet (WAN) und dem internen Firmennetz (LAN). Öffentlich erreichbare Dienste wie Web- und Mailserver werden in dieser Zone betrieben — wird ein Server kompromittiert, bleibt das interne Netz geschützt.

🌐

WAN / Internet

Öffentlich

🛡️

DMZ

Web- & Mailserver · 10.0.2.0/24

🏢

LAN

Interne Clients · 10.0.1.0/24

↓ Firewall (OPNsense) regelt jeden Übergang ↓

WAN → DMZ

HTTP/HTTPS/SMTP

WAN → LAN

❌ Blockiert

DMZ → LAN

❌ Blockiert

Ist-Zustand vs. Soll-Konzept

Ist-Zustand

• Interne & öffentliche Dienste im gleichen Netz
• Kein Schutz bei Kompromittierung eines Servers
• Kein vernünftiges Logging

Soll-Konzept

• Trennung interner und externer Systeme durch DMZ
• Absicherung über Firewall mit Default-Deny
• Logging sicherheitsrelevanter Ereignisse

Zeitplanung — 40 Stunden

Planung8 h

Realisierung18 h

Test2 h

Abschluss12 h

Kostenplanung

Keine Material- oder Lizenzkosten — nur interne Personal- und Betriebskosten.

Position	Kosten
Azubi M. A. Teke	375,20 €
IT-Administration	88,44 €
Betriebspauschale	200,00 €
Gesamt	663,64 €

Firewall-Auswahl — Entscheidungsmatrix

Drei Firewall-Lösungen wurden bewertet. OPNsense wurde als Sieger gewählt.

Kriterium	Gewicht	pfSense	OPNsense	Sophos XG
Lizenzkosten	20%	5	5	4
Bedienbarkeit (GUI)	15%	4	5	5
VLAN/Netzsegmentierung	20%	5	5	5
Logging & Monitoring	20%	4	5	5
Support / Doku	15%	4	5	3
Ressourcenverbrauch	10%	4	5	2
Gesamtpunktzahl	100%	4,4	5,0 🏆	4,2

Projektdurchführung

1
Virtualisierungsumgebung aufgebaut
Oracle VirtualBox: zwei Server, eine OPNsense Firewall und ein Admin-Client als VMs.
2
Drei Netzwerksegmente eingerichtet
WAN (simuliertes Internet), LAN (10.0.1.0/24), DMZ (10.0.2.0/24) — getrennt über drei virtuelle Interfaces (em0, em1, em2).
3
OPNsense Firewall konfiguriert
Interfaces zugewiesen, Default-Deny-Regeln, Port-Forwarding via NAT für HTTP/HTTPS/SMTP von WAN in die DMZ.
4
Dienste in der DMZ installiert
Apache Webserver und Mailserver in der DMZ aufgesetzt — Zugriff vom LAN nur in eine Richtung erlaubt.

Netzwerkplan & IP-Adressierung

Zone	Interface	Netz	Zweck
WAN	em0	DHCP	Simuliertes Internet
LAN	em1	10.0.1.1/24	Interne Verwaltung (Admin-PC)
DMZ	em2	10.0.2.1/24	Web- & Mailserver

Testphase

Zugriff von WAN auf Webserver (Port 80/443)

Erfolgreich erlaubt

Portscan auf nicht freigegebene Ports

Blockiert & geloggt

Verbindungsversuch DMZ → LAN

Default-Deny greift

Admin-Zugriff LAN → DMZ

Wie konfiguriert erlaubt

Fazit

Projektziel vollständig erreicht
Virtuelle Testumgebung erwies sich als effektiv und risikofrei
Technisch saubere, skalierbare Lösung für produktive Umgebungen
Erfolgreiches Logging durch OPNsense
Abnahme durch die IT-Leiterin

Möchtest du die ganze Doku lesen?

Lade dir die vollständige Projektdokumentation und die Präsentation herunter.

Dokumentation (DOCX) Präsentation (PPTX)