DMZ (redes informáticas)

La versión actual de la página aún no ha sido revisada por colaboradores experimentados y puede diferir significativamente de la versión revisada el 24 de enero de 2021; las comprobaciones requieren 5 ediciones .

DMZ ( Eng.  Demilitarized Zone  - zona desmilitarizada, DMZ) es un segmento de red que contiene servicios públicos y los separa de los privados [1] . Por ejemplo, un servicio web puede actuar como un servicio público : el servidor que lo proporciona , que se encuentra físicamente en la red local ( Intranet ), debe responder a cualquier solicitud de la red externa ( Internet ), mientras que otros recursos locales (por ejemplo, ejemplo, servidores de archivos , estación de trabajadores ) deben estar aislados del acceso externo.

El propósito de la DMZ es agregar una capa adicional de seguridad a la red local , que permita minimizar el daño en caso de un ataque a uno de los servicios públicos: un atacante externo tiene acceso directo solo al equipo en la DMZ [2 ] .

Terminología y concepto

El nombre proviene del término militar " zona desmilitarizada ": el territorio entre los estados en guerra, en el que no se permiten operaciones militares. En otras palabras, el acceso a la DMZ está abierto para ambas partes, siempre que el visitante no tenga malas intenciones. Por analogía, el concepto de DMZ (por ejemplo, al construir una puerta de enlace a Internet pública) es que se asigna un área en la red local que no es segura como el resto de la red (interna) y no peligrosa como pública (externa). ) [3] [4] [5] .

Los sistemas abiertos al acceso directo desde redes externas suelen ser los principales objetivos de los atacantes y están potencialmente expuestos a amenazas. Como consecuencia, no se puede confiar plenamente en estos sistemas. Por lo tanto, es necesario limitar el acceso de estos sistemas a las computadoras ubicadas dentro de la red [6] .

Si bien brinda protección contra ataques externos, la DMZ generalmente no tiene nada que ver con ataques internos como la intercepción de tráfico [5] [7] .

Arquitectura e implementación

La separación de segmentos y el control del tráfico entre ellos, por regla general, se implementan mediante dispositivos especializados: firewalls . Las principales tareas de un dispositivo de este tipo son [8] :

En algunos casos, un enrutador o incluso un servidor proxy es suficiente para organizar una DMZ [2] .

Los servidores en la DMZ pueden tener una capacidad limitada para conectarse a hosts individuales en la red interna [K 1] según sea necesario . La comunicación en la DMZ entre servidores y con la red externa también está limitada para hacer que la DMZ sea más segura que Internet para alojar ciertos servicios.[ ¿Qué? ] . En los servidores de la DMZ, solo se deben ejecutar los programas necesarios , los innecesarios se deshabilitan o eliminan por completo [8] .

Hay muchas opciones diferentes de arquitectura de red DMZ. Dos principales: con un cortafuegos y con dos cortafuegos [2] [9] . Con base en estos métodos, es posible crear configuraciones simplificadas y muy complejas que correspondan a las capacidades del equipo utilizado y los requisitos de seguridad en una red particular [5] .

Configuración de cortafuegos único

Para crear una red con una DMZ, se puede usar un firewall que tenga al menos tres interfaces de red: una para conectarse al proveedor ( WAN ), la segunda, a la red interna ( LAN ), la tercera, a la DMZ. Tal esquema es simple de implementar, pero impone mayores requisitos de equipo y administración : el firewall debe procesar todo el tráfico que va tanto a la DMZ como a la red interna. Al mismo tiempo, se convierte en un punto único de falla , y si es pirateado (o un error en la configuración), la red interna será vulnerable directamente desde la externa [3] .

Configuración de cortafuegos dual

Un enfoque más seguro es cuando se utilizan dos cortafuegos para crear una DMZ: uno de ellos controla las conexiones desde la red externa a la DMZ, el segundo, desde la DMZ a la red interna. En este caso, para un ataque exitoso a los recursos internos, se deben comprometer dos dispositivos [2] . Además, se pueden configurar reglas de filtrado de capa de aplicación más lentas en la pantalla externa , lo que brinda una protección mejorada para la red local sin afectar negativamente el rendimiento del segmento interno [3] .

Se puede proporcionar un nivel de protección aún mayor mediante el uso de dos cortafuegos de dos fabricantes diferentes y (preferiblemente) una arquitectura diferente; esto reduce la probabilidad de que ambos dispositivos tengan la misma vulnerabilidad [10] . Por ejemplo, es menos probable que ocurra una mala configuración aleatoria en la configuración de interfaces de dos fabricantes diferentes; es menos probable que un agujero de seguridad encontrado en el sistema de un proveedor termine en el sistema de otro proveedor. La desventaja de esta arquitectura es el mayor costo [11] .

Anfitrión DMZ

Algunos enrutadores de clase SOHO tienen la función de proporcionar acceso desde la red externa a servidores internos ( host DMZ o modo host expuesto ). En este modo, son un host que tiene todos los puertos abiertos (no protegidos), excepto aquellos que se traducen de forma diferente. Esto no cumple del todo con la definición de una verdadera DMZ, ya que el servidor con los puertos abiertos no está separado de la red interna. Es decir, un host de DMZ puede conectarse libremente a recursos en la red interna, mientras que las conexiones a la red interna desde la DMZ real están bloqueadas por el firewall que las separa, a menos que exista una regla de permiso especial [K 1] . Un host DMZ no proporciona ninguno de los beneficios de seguridad que ofrece la división en subredes y, a menudo, se usa como un método simple para reenviar todos los puertos a otro firewall o dispositivo [5] [11] .

Notas

  1. Sergeev A. Configuración de redes de Microsoft en casa y en la oficina. Curso de formación . - San Petersburgo. : Editorial Piter , 2006 . - S.  312 . — ISBN 5-469-01114-3 .
  2. 1 2 3 4 Smith, 2006 .
  3. 1 2 3 Shinder, D. SolutionBase: Fortalezca las defensas de la red mediante el uso de una  DMZ . TechRepublic (29 de junio de 2005). Consultado el 14 de abril de 2015. Archivado desde el original el 24 de enero de 2021.
  4. ↑ Shinder , T. Escenarios de DMZ del servidor ISA  . ISAserver.org (27 de junio de 2001). Consultado el 14 de abril de 2015. Archivado desde el original el 8 de julio de 2016.
  5. 1 2 3 4 DMZ (Zona desmilitarizada  ) . tech-faq.com. Consultado el 4 de junio de 2014. Archivado desde el original el 26 de abril de 2020.
  6. Kiselev E. Seguridad de IBM Lotus Notes/Domino R7 . - M. : "InterTrust", 2007. - ISBN 5-7419-0084-4 . Archivado el 6 de junio de 2014 en Wayback Machine . Copia archivada (enlace no disponible) . Consultado el 4 de junio de 2014. Archivado desde el original el 6 de junio de 2014. 
  7. Diseño de cortafuegos perimetrales  . Microsoft TechNet. Consultado el 4 de junio de 2014. Archivado desde el original el 26 de agosto de 2017.
  8. 1 2 Gergel, 2007 .
  9. Importancia de DMZ en Network Security  (ing.)  (enlace no disponible) . NTSecurity.com (31/10/2012). Consultado el 4 de junio de 2014. Archivado desde el original el 6 de junio de 2014.
  10. Smirnov A. A., Zhitnyuk P. P. Amenazas cibernéticas reales y ficticias  // Russia in Global Affairs. - 2010. - Nº 2 . Archivado desde el original el 14 de abril de 2015.
  11. 1 2 Johannes Endres. DMZ selbst gebaut  (alemán) . Heise Netze (4.10.2006). Consultado el 14 de abril de 2015. Archivado desde el original el 17 de noviembre de 2016.

Comentarios

  1. 1 2 El firewall permite una conexión desde un host en la red interna a un host en la DMZ si la conexión fue iniciada (solicitada primero) por el host en la red interna.

Literatura