DMZ (informática) - DMZ (computing)

Para el área física donde están prohibidas las operaciones militares, consulte Zona desmilitarizada .

En la seguridad informática , una DMZ o zona desmilitarizada (a veces referido como una red perimetral o subred filtrada ) es un físico o lógico subred que contiene y expone los servicios orientadas al exterior de una organización a una red no fiable, por lo general más grande, tal como la Internet . El propósito de una DMZ es agregar una capa adicional de seguridad a la red de área local (LAN) de una organización: un nodo de red externo puede acceder solo a lo que está expuesto en la DMZ, mientras que el resto de la red de la organización tiene un cortafuegos . La DMZ funciona como una red pequeña y aislada ubicada entre Internet y la red privada.

El nombre proviene del término zona desmilitarizada , un área entre estados en la que no se permiten operaciones militares.

Razón fundamental

Se considera que la DMZ no pertenece a ninguna de las redes que la rodean. Esta metáfora se aplica al uso de la informática, ya que la DMZ actúa como una puerta de entrada a la Internet pública. No es tan seguro como la red interna ni tan inseguro como la Internet pública.

En este caso, los hosts más vulnerables a los ataques son aquellos que brindan servicios a usuarios fuera de la red de área local , como los servidores de correo electrónico , web y del sistema de nombres de dominio (DNS). Debido al mayor potencial de que estos hosts sufran un ataque, se colocan en esta subred específica para proteger el resto de la red en caso de que alguno de ellos se vea comprometido.

Los hosts en la DMZ solo pueden tener conectividad limitada a hosts específicos en la red interna, ya que el contenido de DMZ no es tan seguro como la red interna. De manera similar, la comunicación entre hosts en la DMZ y la red externa también está restringida para hacer que la DMZ sea más segura que Internet y adecuada para albergar estos servicios de propósito especial. Esto permite que los hosts en la DMZ se comuniquen con la red interna y externa, mientras que un cortafuegos que interviene controla el tráfico entre los servidores DMZ y los clientes de la red interna, y otro cortafuegos realizaría algún nivel de control para proteger la DMZ de la red externa. .

Una configuración DMZ proporciona seguridad adicional frente a ataques externos, pero normalmente no influye en los ataques internos, como el rastreo de la comunicación a través de un analizador de paquetes o la suplantación de identidad , como la suplantación de correo electrónico .

A veces también es una buena práctica configurar una Zona Militarizada Clasificada (CMZ) separada, una zona militarizada altamente monitoreada que comprende principalmente servidores web (y servidores similares que interactúan con el mundo externo, es decir, Internet) que no están en la DMZ pero que contienen información confidencial. sobre el acceso a servidores dentro de LAN (como servidores de bases de datos). En dicha arquitectura, la DMZ generalmente tiene el firewall de la aplicación y el FTP, mientras que la CMZ aloja los servidores web. (Los servidores de bases de datos pueden estar en la CMZ, en la LAN o en una VLAN separada por completo).

Cualquier servicio que se proporcione a los usuarios en la red externa se puede colocar en la DMZ. Los más comunes de estos servicios son:

Los servidores web que se comunican con una base de datos interna requieren acceso a un servidor de base de datos , que puede no ser de acceso público y puede contener información confidencial. Los servidores web pueden comunicarse con los servidores de bases de datos directamente o mediante un firewall de aplicaciones por razones de seguridad.

Los mensajes de correo electrónico y, en particular, la base de datos de usuarios son confidenciales, por lo que normalmente se almacenan en servidores a los que no se puede acceder desde Internet (al menos no de manera insegura), pero se puede acceder desde servidores de correo electrónico que están expuestos a Internet.

El servidor de correo dentro de la DMZ pasa el correo entrante a los servidores de correo internos / seguros. También maneja el correo saliente.

Por motivos de seguridad, cumplimiento de normas legales como HIPAA y motivos de supervisión, en un entorno empresarial, algunas empresas instalan un servidor proxy dentro de la DMZ. Esto tiene los siguientes beneficios:

  • Obliga a los usuarios internos (generalmente empleados) a utilizar el servidor proxy para acceder a Internet.
  • Requisitos de ancho de banda de acceso a Internet reducidos, ya que el servidor proxy puede almacenar en caché parte del contenido web.
  • Simplifica el registro y el seguimiento de las actividades de los usuarios.
  • Filtrado de contenido web centralizado.

Un servidor proxy inverso , como un servidor proxy, es un intermediario, pero se utiliza al revés. En lugar de proporcionar un servicio a los usuarios internos que desean acceder a una red externa, proporciona acceso indirecto para una red externa (generalmente Internet) a los recursos internos. Por ejemplo, un acceso a la aplicación de back office, como un sistema de correo electrónico, podría proporcionarse a usuarios externos (para leer correos electrónicos mientras están fuera de la empresa) pero el usuario remoto no tendría acceso directo a su servidor de correo electrónico (solo el servidor proxy inverso puede acceder físicamente al servidor de correo electrónico interno). Esta es una capa adicional de seguridad especialmente recomendada cuando es necesario acceder a los recursos internos desde el exterior, pero vale la pena señalar que este diseño aún permite que los usuarios remotos (y potencialmente maliciosos) hablen con los recursos internos con la ayuda del proxy. Dado que el proxy funciona como un relé entre la red no confiable y el recurso interno: también puede reenviar tráfico malicioso (por ejemplo , exploits a nivel de aplicación ) hacia la red interna; por lo tanto, las capacidades de filtrado y detección de ataques del proxy son cruciales para evitar que los atacantes externos aprovechen las vulnerabilidades presentes en los recursos internos que están expuestos a través del proxy. Por lo general, este mecanismo de proxy inverso se proporciona mediante el uso de un firewall de capa de aplicación que se centra en la forma y el contenido específicos del tráfico en lugar de solo controlar el acceso a puertos TCP y UDP específicos (como haría un firewall de filtro de paquetes ), pero un proxy inverso Por lo general, no es un buen sustituto de un diseño DMZ bien pensado, ya que tiene que depender de las actualizaciones continuas de firmas para los vectores de ataque actualizados.

Arquitectura

Hay muchas formas diferentes de diseñar una red con una DMZ. Dos de los métodos más básicos son con un solo cortafuegos , también conocido como modelo de tres patas, y con cortafuegos duales, también conocido como espalda con espalda. Estas arquitecturas se pueden expandir para crear arquitecturas muy complejas según los requisitos de la red.

Cortafuegos único

Diagrama de un modelo típico de red de tres patas que emplea una DMZ con un solo firewall.

Se puede usar un solo firewall con al menos 3 interfaces de red para crear una arquitectura de red que contenga una DMZ. La red externa se forma desde el ISP hasta el cortafuegos en la primera interfaz de red, la red interna se forma a partir de la segunda interfaz de red y la DMZ se forma a partir de la tercera interfaz de red. El firewall se convierte en un único punto de falla para la red y debe poder manejar todo el tráfico que va a la DMZ, así como a la red interna. Las zonas suelen estar marcadas con colores, por ejemplo, violeta para LAN, verde para DMZ, rojo para Internet (a menudo se usa otro color para zonas inalámbricas).

Cortafuegos dual

Diagrama de una red típica que emplea DMZ con cortafuegos duales.

El enfoque más seguro, según Colton Fralick, es utilizar dos cortafuegos para crear una DMZ. El primer cortafuegos (también llamado cortafuegos "front-end" o "perimetral") debe configurarse para permitir el tráfico destinado únicamente a la DMZ. El segundo cortafuegos (también llamado cortafuegos "back-end" o "interno") solo permite el tráfico a la DMZ desde la red interna.

Esta configuración se considera más segura ya que dos dispositivos deberían verse comprometidos. Existe incluso más protección si los dos cortafuegos son proporcionados por dos proveedores diferentes, porque hace menos probable que ambos dispositivos sufran las mismas vulnerabilidades de seguridad. Por ejemplo, es menos probable que se produzca un agujero de seguridad en el sistema de un proveedor en el otro. Uno de los inconvenientes de esta arquitectura es que es más costoso, tanto de comprar como de administrar. La práctica de utilizar diferentes cortafuegos de diferentes proveedores a veces se describe como un componente de una estrategia de seguridad de " defensa en profundidad ".

Anfitrión DMZ

Algunos enrutadores domésticos se refieren a un host DMZ , que, en muchos casos, es en realidad un nombre inapropiado . Un host DMZ de enrutador doméstico es una dirección única (p. Ej., Dirección IP) en la red interna a la que se le envía todo el tráfico que no se reenvía a otros hosts LAN. Por definición, esta no es una verdadera DMZ (zona desmilitarizada), ya que el enrutador por sí solo no separa el host de la red interna. Es decir, el host DMZ puede conectarse a otros hosts en la red interna, mientras que los hosts dentro de una DMZ real no pueden conectarse con la red interna por un firewall que los separa a menos que el firewall permita la conexión.

Un firewall puede permitir esto si un host en la red interna primero solicita una conexión al host dentro de la DMZ. El host DMZ no ofrece ninguna de las ventajas de seguridad que proporciona una subred y, a menudo, se utiliza como un método sencillo para reenviar todos los puertos a otro dispositivo de firewall / NAT . Esta táctica (establecer un host DMZ) también se usa con sistemas que no interactúan correctamente con las reglas normales de firewall o NAT. Esto puede deberse a que no se puede formular una regla de reenvío con anticipación (por ejemplo, números de puerto TCP o UDP variables, en contraposición a un número fijo o un rango fijo). Esto también se usa para protocolos de red para los que el enrutador no tiene programación para manejar (los túneles 6in4 o GRE son ejemplos prototípicos).

Ver también

Referencias

Otras lecturas