DMZ ( Eng. Demilitarized Zone - zona desmilitarizada, DMZ) es un segmento de red que contiene servicios públicos y los separa de los privados [1] . Por ejemplo, un servicio web puede actuar como un servicio público : el servidor que lo proporciona , que se encuentra físicamente en la red local ( Intranet ), debe responder a cualquier solicitud de la red externa ( Internet ), mientras que otros recursos locales (por ejemplo, ejemplo, servidores de archivos , estación de trabajadores ) deben estar aislados del acceso externo.
El propósito de la DMZ es agregar una capa adicional de seguridad a la red local , que permita minimizar el daño en caso de un ataque a uno de los servicios públicos: un atacante externo tiene acceso directo solo al equipo en la DMZ [2 ] .
El nombre proviene del término militar " zona desmilitarizada ": el territorio entre los estados en guerra, en el que no se permiten operaciones militares. En otras palabras, el acceso a la DMZ está abierto para ambas partes, siempre que el visitante no tenga malas intenciones. Por analogía, el concepto de DMZ (por ejemplo, al construir una puerta de enlace a Internet pública) es que se asigna un área en la red local que no es segura como el resto de la red (interna) y no peligrosa como pública (externa). ) [3] [4] [5] .
Los sistemas abiertos al acceso directo desde redes externas suelen ser los principales objetivos de los atacantes y están potencialmente expuestos a amenazas. Como consecuencia, no se puede confiar plenamente en estos sistemas. Por lo tanto, es necesario limitar el acceso de estos sistemas a las computadoras ubicadas dentro de la red [6] .
Si bien brinda protección contra ataques externos, la DMZ generalmente no tiene nada que ver con ataques internos como la intercepción de tráfico [5] [7] .
La separación de segmentos y el control del tráfico entre ellos, por regla general, se implementan mediante dispositivos especializados: firewalls . Las principales tareas de un dispositivo de este tipo son [8] :
En algunos casos, un enrutador o incluso un servidor proxy es suficiente para organizar una DMZ [2] .
Los servidores en la DMZ pueden tener una capacidad limitada para conectarse a hosts individuales en la red interna [K 1] según sea necesario . La comunicación en la DMZ entre servidores y con la red externa también está limitada para hacer que la DMZ sea más segura que Internet para alojar ciertos servicios.[ ¿Qué? ] . En los servidores de la DMZ, solo se deben ejecutar los programas necesarios , los innecesarios se deshabilitan o eliminan por completo [8] .
Hay muchas opciones diferentes de arquitectura de red DMZ. Dos principales: con un cortafuegos y con dos cortafuegos [2] [9] . Con base en estos métodos, es posible crear configuraciones simplificadas y muy complejas que correspondan a las capacidades del equipo utilizado y los requisitos de seguridad en una red particular [5] .
Para crear una red con una DMZ, se puede usar un firewall que tenga al menos tres interfaces de red: una para conectarse al proveedor ( WAN ), la segunda, a la red interna ( LAN ), la tercera, a la DMZ. Tal esquema es simple de implementar, pero impone mayores requisitos de equipo y administración : el firewall debe procesar todo el tráfico que va tanto a la DMZ como a la red interna. Al mismo tiempo, se convierte en un punto único de falla , y si es pirateado (o un error en la configuración), la red interna será vulnerable directamente desde la externa [3] .
Un enfoque más seguro es cuando se utilizan dos cortafuegos para crear una DMZ: uno de ellos controla las conexiones desde la red externa a la DMZ, el segundo, desde la DMZ a la red interna. En este caso, para un ataque exitoso a los recursos internos, se deben comprometer dos dispositivos [2] . Además, se pueden configurar reglas de filtrado de capa de aplicación más lentas en la pantalla externa , lo que brinda una protección mejorada para la red local sin afectar negativamente el rendimiento del segmento interno [3] .
Se puede proporcionar un nivel de protección aún mayor mediante el uso de dos cortafuegos de dos fabricantes diferentes y (preferiblemente) una arquitectura diferente; esto reduce la probabilidad de que ambos dispositivos tengan la misma vulnerabilidad [10] . Por ejemplo, es menos probable que ocurra una mala configuración aleatoria en la configuración de interfaces de dos fabricantes diferentes; es menos probable que un agujero de seguridad encontrado en el sistema de un proveedor termine en el sistema de otro proveedor. La desventaja de esta arquitectura es el mayor costo [11] .
Algunos enrutadores de clase SOHO tienen la función de proporcionar acceso desde la red externa a servidores internos ( host DMZ o modo host expuesto ). En este modo, son un host que tiene todos los puertos abiertos (no protegidos), excepto aquellos que se traducen de forma diferente. Esto no cumple del todo con la definición de una verdadera DMZ, ya que el servidor con los puertos abiertos no está separado de la red interna. Es decir, un host de DMZ puede conectarse libremente a recursos en la red interna, mientras que las conexiones a la red interna desde la DMZ real están bloqueadas por el firewall que las separa, a menos que exista una regla de permiso especial [K 1] . Un host DMZ no proporciona ninguno de los beneficios de seguridad que ofrece la división en subredes y, a menudo, se usa como un método simple para reenviar todos los puertos a otro firewall o dispositivo [5] [11] .