Articulo de referencia

DMZ (informática)

En seguridad informática , una DMZ o zona desmilitarizada (a veces denominada red perimetral o subred protegida ) es una subred física o lógica que contiene y expone los servici...

En seguridad informática , una DMZ o zona desmilitarizada (a veces denominada red perimetral o subred protegida ) es una subred física o lógica que contiene y expone los servicios externos de una organización a una red no confiable, generalmente más grande, como Internet . El propósito de una DMZ es agregar una capa adicional de seguridad a la red de área local (LAN) de una organización: un nodo de red externo solo puede acceder a lo que está expuesto en la DMZ, mientras que el resto de la red de la organización está protegido detrás de un firewall . [ 1 ] La DMZ funciona como una red pequeña y aislada ubicada entre Internet y la red privada . [ 2 ]

Esto no debe confundirse con un host DMZ , una función presente en algunos routers domésticos que suele diferir mucho de una DMZ normal.

El nombre proviene del término zona desmilitarizada , un área entre estados en la que no se permiten operaciones militares.

Razón fundamental

La DMZ se considera ajena a las redes que la rodean. Esta metáfora se aplica al uso informático, ya que la DMZ actúa como puerta de enlace a la internet pública. No es tan segura como la red interna ni tan insegura como la internet pública.

En este caso, los hosts más vulnerables a los ataques son aquellos que prestan servicios a usuarios fuera de la red local , como los servidores de correo electrónico , web y del Sistema de Nombres de Dominio (DNS). Debido al mayor riesgo de que estos hosts sufran un ataque, se ubican en esta subred específica para proteger al resto de la red en caso de que alguno de ellos se vea comprometido.

Los hosts en la DMZ tienen una conectividad limitada con hosts específicos de la red interna, ya que el contenido de la DMZ no es tan seguro como la red interna. De igual manera, la comunicación entre los hosts en la DMZ y la red externa también está restringida para que la DMZ sea más segura que Internet y adecuada para alojar estos servicios especializados. Esto permite que los hosts en la DMZ se comuniquen tanto con la red interna como con la externa, mientras que un firewall intermedio controla el tráfico entre los servidores de la DMZ y los clientes de la red interna, y otro firewall ejerce cierto nivel de control para proteger la DMZ de la red externa.

Una configuración DMZ proporciona seguridad adicional contra ataques externos, pero normalmente no tiene ninguna repercusión contra ataques internos como la interceptación de comunicaciones mediante un analizador de paquetes o la suplantación de identidad , como la suplantación de correo electrónico .

También es recomendable configurar una zona militarizada clasificada (CMZ) separada [ 3 ] , una zona militarizada altamente monitoreada que comprende principalmente servidores web (y servidores similares que interactúan con el mundo exterior, es decir, Internet) que no se encuentran en la DMZ pero que contienen información sensible sobre el acceso a servidores dentro de la LAN (como servidores de bases de datos). En esta arquitectura, la DMZ generalmente alberga el firewall de aplicaciones y el FTP, mientras que la CMZ aloja los servidores web. (Los servidores de bases de datos podrían estar en la CMZ, en la LAN o en una VLAN completamente separada).

Cualquier servicio que se preste a los usuarios en la red externa puede ubicarse en la DMZ. Los servicios más comunes son:

Los servidores web que se comunican con una base de datos interna requieren acceso a un servidor de base de datos , que puede no ser de acceso público y contener información confidencial. Los servidores web pueden comunicarse con los servidores de base de datos directamente o a través de un cortafuegos de aplicaciones por motivos de seguridad.

Los mensajes de correo electrónico , y en particular la base de datos de usuarios, son confidenciales, por lo que normalmente se almacenan en servidores a los que no se puede acceder desde Internet (al menos no de forma insegura), pero sí desde servidores de correo electrónico expuestos a Internet.

El servidor de correo dentro de la DMZ reenvía el correo entrante a los servidores de correo internos/seguros. También gestiona el correo saliente.

Por motivos de seguridad, cumplimiento de normas legales como HIPAA y monitorización, en un entorno empresarial, algunas empresas instalan un servidor proxy dentro de la DMZ. Esto ofrece los siguientes beneficios:

  • Obliga a los usuarios internos (normalmente empleados) a utilizar el servidor proxy para acceder a Internet.
  • Se reducen los requisitos de ancho de banda para el acceso a Internet, ya que parte del contenido web puede ser almacenado en caché por el servidor proxy.
  • Simplifica el registro y la monitorización de las actividades del usuario.
  • Filtrado centralizado de contenido web.

Un servidor proxy inverso , al igual que un servidor proxy, actúa como intermediario, pero su funcionamiento es a la inversa. En lugar de proporcionar un servicio a usuarios internos que desean acceder a una red externa, proporciona acceso indirecto desde una red externa (generalmente Internet) a los recursos internos. Por ejemplo, se podría proporcionar acceso a una aplicación de back office, como un sistema de correo electrónico, a usuarios externos (para leer correos electrónicos fuera de la empresa), pero el usuario remoto no tendría acceso directo a su servidor de correo electrónico (solo el servidor proxy inverso puede acceder físicamente al servidor de correo electrónico interno). Esta es una capa adicional de seguridad, especialmente recomendada cuando se necesita acceder a recursos internos desde el exterior, pero cabe destacar que este diseño aún permite que usuarios remotos (y potencialmente maliciosos) se comuniquen con los recursos internos a través del proxy. Dado que el proxy funciona como un relé entre la red no confiable y el recurso interno, también puede reenviar tráfico malicioso (por ejemplo, exploits a nivel de aplicación ) hacia la red interna; por lo tanto, las capacidades de detección y filtrado de ataques del proxy son cruciales para evitar que atacantes externos exploten las vulnerabilidades presentes en los recursos internos expuestos a través del proxy. Por lo general, este mecanismo de proxy inverso se proporciona mediante un cortafuegos de capa de aplicación que se centra en la forma y el contenido específicos del tráfico, en lugar de simplemente controlar el acceso a puertos TCP y UDP específicos (como lo haría un cortafuegos de filtrado de paquetes ). Sin embargo, un proxy inverso no suele ser un buen sustituto de un diseño de DMZ bien pensado, ya que depende de actualizaciones continuas de firmas para vectores de ataque actualizados.

Arquitectura

Existen diversas maneras de diseñar una red con una DMZ. Dos de los métodos más básicos son el uso de un único firewall , también conocido como modelo de tres patas, y el uso de firewalls duales, también conocido como configuración en cadena. Estas arquitecturas pueden ampliarse para crear arquitecturas muy complejas según los requisitos de la red.

Cortafuegos único

Diagrama de un modelo típico de red de tres ramas que emplea una DMZ con un único cortafuegos.

Un único firewall con al menos tres interfaces de red puede utilizarse para crear una arquitectura de red que incluya una DMZ. La red externa se establece desde el proveedor de servicios de Internet hasta el firewall a través de la primera interfaz; la red interna se establece a través de la segunda interfaz; y la DMZ se establece a través de la tercera interfaz. El firewall se convierte en un punto único de fallo para la red y debe ser capaz de gestionar todo el tráfico que se dirige tanto a la DMZ como a la red interna. Las zonas suelen estar marcadas con colores; por ejemplo, morado para la LAN, verde para la DMZ y rojo para Internet (a menudo se utiliza otro color para las zonas inalámbricas).

Cortafuegos dual

Diagrama de una red típica que emplea DMZ con cortafuegos duales.

Según Colton Fralick, [ 4 ] el método más seguro consiste en utilizar dos cortafuegos para crear una DMZ. El primer cortafuegos (también llamado cortafuegos de "front-end" o "perimetral" [ 5 ] ) debe configurarse para permitir únicamente el tráfico destinado a la DMZ. El segundo cortafuegos (también llamado cortafuegos de "back-end" o "interno") solo permite el tráfico hacia la DMZ desde la red interna.

Esta configuración se considera [ 4 ] más segura, ya que se necesitarían dos dispositivos comprometidos. La protección es aún mayor si los dos cortafuegos son proporcionados por dos proveedores diferentes, puesto que disminuye la probabilidad de que ambos dispositivos presenten las mismas vulnerabilidades de seguridad. Por ejemplo, es menos probable que una vulnerabilidad de seguridad detectada en el sistema de un proveedor se presente en el otro. Una de las desventajas de esta arquitectura es su mayor coste, tanto de adquisición como de gestión. [ 6 ] La práctica de utilizar cortafuegos de distintos proveedores se describe a veces como un componente de una estrategia de seguridad de « defensa en profundidad » [ 7 ] .

Host de DMZ

Algunos routers tienen una función llamada host DMZ . Esta función puede designar un nodo (PC u otro dispositivo con una dirección IP ) como host DMZ. El firewall del router expone todos los puertos del host DMZ a la red externa y no impide el tráfico entrante desde el exterior hacia el host DMZ. [ 8 ] [ 9 ] Esta es una alternativa menos segura al reenvío de puertos , que solo expone un número limitado de puertos. Esta función debe evitarse, excepto cuando: [ 9 ]

  • El nodo designado como host DMZ es el firewall descendente de la DMZ real (quizás el enrutador en sí no forma parte de una red doméstica).
  • El nodo ejecuta un potente cortafuegos capaz de regular la seguridad interna.
  • La cantidad de puertos es demasiado grande para la función de reenvío de puertos.
  • No fue posible formular con antelación las reglas correctas de reenvío de puertos.
  • El reenvío de puertos del enrutador no es capaz de manejar el tráfico relevante, por ejemplo, túneles 6in4 o GRE.

En todos los casos, excepto en el primero de los descritos anteriormente, la función de host DMZ se utiliza fuera de una configuración DMZ propiamente dicha.

Véase también

Referencias

  1. "Control System Security DMZ" . Sitio web oficial de la Agencia de Ciberseguridad y Seguridad de Infraestructura (CISA) del Departamento de Seguridad Nacional de EE. UU . Archivado del original el 9 de junio de 2020. Consultado el 9 de junio de 2020 .
  2. "¿Qué es una DMZ y cómo funciona?" . Techtarget SearchSecurity . Consultado el 09-06-2020 .
  3. Bradley Mitchell (27 de agosto de 2018). "Zona desmilitarizada en redes informáticas" . Consultado el 10 de diciembre de 2018 .
  4. 1 2 Jacobs, Stuart (2015). Ingeniería de la seguridad de la información: La aplicación de conceptos de ingeniería de sistemas para lograr la garantía de la información . John Wiley & Sons. pág. 296. ISBN  9781119101604.
  5. "Diseño de cortafuegos perimetral" . Centro de tecnología de seguridad de Microsoft . Microsoft Corporation. 29 de junio de 2009. Consultado el 14 de octubre de 2013 .
  6. Zeltzer, Lenny (abril de 2002). "Implementación de cortafuegos para aplicaciones de múltiples niveles"
  7. Young, Scott (2001). "Diseñando una DMZ" . SANS Institute. pág. 2. Recuperado el 11 de diciembre de 2015 . 
  8. "¿Qué es una DMZ y cómo configurar un host DMZ?" . tp-link.com . TP-Link Systems Inc. 27 de abril de 2017.
  9. 1 2 "¿Qué hace la configuración DMZ en los routers?" . MicroCenter.com . Micro Electronics . Consultado el 14 de diciembre de 2024 .

Lecturas adicionales

  • Shinder, Deb. "SolutionBase: Refuerce las defensas de la red mediante el uso de una DMZ" . TechRepublic . Archivado del original el 15 de diciembre de 2022.
  • Eric Maiwald. Seguridad de redes: Guía para principiantes. Segunda edición. McGraw-Hill/Osborne, 2003.
  • Cortafuegos de Internet: Preguntas frecuentes, recopilado por Matt Curtin, Marcus Ranum y Paul Robertson.
Obtenido de " https://en.wikipedia.org/w/index.php?title=DMZ_(computing)&oldid=1349809392 "