DMZ (informática)

format_list_bulleted Contenido keyboard_arrow_down
ImprimirCitar
Subrenetwork of a system exposed to external world

En seguridad informática, una DMZ o zona desmilitarizada (a veces denominada red perimetral o subred filtrada) es una red física o lógica subred que contiene y expone los servicios externos de una organización a una red no confiable, generalmente más grande, como Internet. El propósito de una DMZ es agregar una capa adicional de seguridad a la red de área local (LAN) de una organización: un nodo de red externo puede acceder solo a lo que está expuesto en la DMZ, mientras que el resto de la organización' La red de s está protegida detrás de un firewall. La DMZ funciona como una pequeña red aislada situada entre Internet y la red privada.

Esto no debe confundirse con un host DMZ, una característica presente en algunos enrutadores domésticos que con frecuencia difiere mucho de una DMZ normal.

El nombre proviene del término zona desmilitarizada, un área entre estados en la que no se permiten operaciones militares.

Fundamento

Se considera que la DMZ no pertenece a ninguna red que la bordee. Esta metáfora se aplica al uso informático, ya que la DMZ actúa como puerta de entrada a la Internet pública. No es tan seguro como la red interna, ni tan inseguro como el Internet público.

En este caso, los hosts más vulnerables a los ataques son aquellos que brindan servicios a los usuarios fuera de la red de área local, como servidores de correo electrónico, web y de sistema de nombres de dominio (DNS). Debido al mayor potencial de estos hosts que sufren un ataque, se colocan en esta subred específica para proteger el resto de la red en caso de que alguno de ellos se vea comprometido.

Los hosts en la DMZ solo pueden tener una conectividad limitada con hosts específicos en la red interna, ya que el contenido de la DMZ no es tan seguro como el de la red interna. De manera similar, la comunicación entre los hosts en la DMZ y la red externa también está restringida para hacer que la DMZ sea más segura que Internet y adecuada para albergar estos servicios de propósito especial. Esto permite que los hosts en la DMZ se comuniquen tanto con la red interna como con la externa, mientras que un cortafuegos intermedio controla el tráfico entre los servidores de la DMZ y los clientes de la red interna, y otro cortafuegos realizaría cierto nivel de control para proteger la DMZ de la red externa..

Una configuración de DMZ brinda seguridad adicional contra ataques externos, pero normalmente no afecta los ataques internos, como la detección de comunicaciones a través de un analizador de paquetes o la suplantación de identidad, como la suplantación de identidad por correo electrónico.

A veces también es una buena práctica configurar una zona militarizada clasificada separada (CMZ), una zona militarizada altamente monitoreada que comprende principalmente servidores web (y servidores similares que interactúan con el mundo externo, es decir, Internet) que no están en la DMZ pero contienen información confidencial sobre el acceso a servidores dentro de la LAN (como servidores de bases de datos). En tal arquitectura, la DMZ generalmente tiene el firewall de la aplicación y el FTP, mientras que la CMZ aloja los servidores web. (Los servidores de la base de datos podrían estar en la CMZ, en la LAN o en una VLAN separada por completo).

Cualquier servicio que se proporcione a los usuarios en la red externa se puede colocar en la DMZ. Los más comunes de estos servicios son:

  • Servidores web
  • Servidores de correo
  • Servidores FTP
  • Servidores VoIP

Los servidores web que se comunican con una base de datos interna requieren acceso a un servidor de base de datos, que puede no ser de acceso público y puede contener información confidencial. Los servidores web pueden comunicarse con los servidores de bases de datos directamente oa través de un firewall de aplicaciones por razones de seguridad.

Los mensajes de correo electrónico y, en particular, la base de datos de usuarios son confidenciales, por lo que normalmente se almacenan en servidores a los que no se puede acceder desde Internet (al menos no de manera insegura), pero se puede acceder desde servidores de correo electrónico que están expuestos a La Internet.

El servidor de correo dentro de la DMZ pasa el correo entrante a los servidores de correo internos/seguros. También maneja el correo saliente.

Por motivos de seguridad, cumplimiento de normas legales como HIPAA y motivos de supervisión, en un entorno empresarial, algunas empresas instalan un servidor proxy dentro de la DMZ. Esto tiene los siguientes beneficios:

  • Obliga a los usuarios internos (usualmente empleados) utilizar el servidor proxy para el acceso a Internet.
  • Reducir los requisitos de ancho de banda de acceso a Internet ya que algunos contenidos web pueden ser caché por el servidor proxy.
  • Simplifica el registro y seguimiento de las actividades de los usuarios.
  • Filtro de contenido web centralizado.

Un servidor proxy inverso, como un servidor proxy, es un intermediario, pero se usa al revés. En lugar de brindar un servicio a los usuarios internos que desean acceder a una red externa, brinda acceso indirecto a una red externa (generalmente Internet) a los recursos internos. Por ejemplo, se podría proporcionar acceso a una aplicación administrativa, como un sistema de correo electrónico, a usuarios externos (para leer correos electrónicos fuera de la empresa), pero el usuario remoto no tendría acceso directo a su servidor de correo electrónico (solo el servidor proxy inverso puede acceder físicamente al servidor de correo electrónico interno). Esta es una capa adicional de seguridad especialmente recomendada cuando es necesario acceder a los recursos internos desde el exterior, pero vale la pena señalar que este diseño todavía permite a los usuarios remotos (y potencialmente maliciosos) hablar con los recursos internos con la ayuda de la apoderado. Dado que el proxy funciona como un relevo entre la red que no es de confianza y el recurso interno: también puede reenviar tráfico malicioso (por ejemplo, exploits a nivel de aplicación) hacia la red interna; por lo tanto, las capacidades de filtrado y detección de ataques del proxy son cruciales para evitar que los atacantes externos exploten las vulnerabilidades presentes en los recursos internos que están expuestos a través del proxy. Por lo general, dicho mecanismo de proxy inverso se proporciona mediante el uso de un firewall de capa de aplicación que se enfoca en la forma y el contenido específicos del tráfico en lugar de solo controlar el acceso a puertos TCP y UDP específicos (como lo haría un firewall de filtro de paquetes), pero un proxy inverso Por lo general, no es un buen sustituto para un diseño de DMZ bien pensado, ya que tiene que depender de actualizaciones continuas de firmas para los vectores de ataque actualizados.

Arquitectura

Hay muchas formas diferentes de diseñar una red con una DMZ. Dos de los métodos más básicos son con un solo firewall, también conocido como modelo de tres patas, y con firewalls dobles, también conocidos como back to back. Estas arquitecturas se pueden expandir para crear arquitecturas muy complejas según los requisitos de la red.

Cortafuegos único

Diagrama de un típico modelo de red de tres patas que emplea un DMZ usando un solo cortafuegos.

Se puede usar un solo firewall con al menos 3 interfaces de red para crear una arquitectura de red que contenga una DMZ. La red externa se forma desde el ISP hasta el cortafuegos en la primera interfaz de red, la red interna se forma a partir de la segunda interfaz de red y la DMZ se forma a partir de la tercera interfaz de red. El cortafuegos se convierte en un único punto de falla para la red y debe poder manejar todo el tráfico que va a la DMZ, así como a la red interna. Las zonas generalmente están marcadas con colores, por ejemplo, púrpura para LAN, verde para DMZ, rojo para Internet (a menudo se usa otro color para zonas inalámbricas).

Cortafuegos doble

Diagrama de una red típica empleando DMZ usando cortafuegos duales.

El enfoque más seguro, según Colton Fralick, es utilizar dos cortafuegos para crear una DMZ. El primer firewall (también llamado "front-end" o "perímetro" firewall) debe configurarse para permitir el tráfico destinado a la DMZ únicamente. El segundo firewall (también llamado "back-end" o "interno" firewall) solo permite el tráfico a la DMZ desde la red interna.

Esta configuración se considera más segura, ya que sería necesario comprometer dos dispositivos. Hay aún más protección si los dos cortafuegos son proporcionados por dos proveedores diferentes, porque hace que sea menos probable que ambos dispositivos sufran las mismas vulnerabilidades de seguridad. Por ejemplo, es menos probable que ocurra un agujero de seguridad en el sistema de un proveedor en el otro. Uno de los inconvenientes de esta arquitectura es que es más costosa, tanto de compra como de administración. La práctica de usar diferentes firewalls de diferentes proveedores a veces se describe como un componente de una "defensa en profundidad" estrategia de seguridad

Anfitrión DMZ

Algunos enrutadores domésticos se refieren a un host DMZ, que, en muchos casos, es en realidad un nombre inapropiado. Un host de DMZ de enrutador doméstico es una dirección única (por ejemplo, una dirección IP) en la red interna a la que se le envía todo el tráfico que, de otro modo, no se reenvía a otros hosts de LAN. Por definición, esta no es una verdadera DMZ (zona desmilitarizada), ya que el enrutador por sí solo no separa el host de la red interna. Es decir, el host DMZ puede conectarse a otros hosts en la red interna, mientras que los hosts dentro de una DMZ real no pueden conectarse con la red interna mediante un firewall que los separa a menos que el firewall permita la conexión.

Un cortafuegos puede permitir esto si un host en la red interna primero solicita una conexión al host dentro de la DMZ. El host DMZ no ofrece ninguna de las ventajas de seguridad que ofrece una subred y, a menudo, se utiliza como un método sencillo para reenviar todos los puertos a otro dispositivo NAT/firewall. Esta táctica (establecer un host DMZ) también se usa con sistemas que no interactúan correctamente con las reglas normales de cortafuegos o NAT. Esto puede deberse a que no se puede formular ninguna regla de reenvío con anticipación (variar los números de puerto TCP o UDP, por ejemplo, en lugar de un número fijo o un rango fijo). Esto también se usa para protocolos de red para los cuales el enrutador no tiene programación para manejar (los túneles 6in4 o GRE son ejemplos prototípicos).

Contenido relacionado

Segmentación de memoria X86

Tanto en el modo real como en el protegido, el sistema utiliza registros de segmento de 16 bits para derivar la dirección de memoria real. En modo real, los...

Película de 8 mm

Película de 8 mm es un formato de película cinematográfica en el que la tira de película tiene ocho milímetros de ancho. Existe en dos versiones...

Notación Z

La notación Z es un lenguaje de especificación formal utilizado para describir y modelar sistemas informáticos. Está dirigido a la especificación clara...
Más resultados...
Te puede interesar
Tamaño del texto:
undoredo
format_boldformat_italicformat_underlinedstrikethrough_ssuperscriptsubscriptlink
save
cancelcheck_circle