51730104-DMZ-Zona-desmilitarizada

5/11/2018 51730104-DMZ-Zona-desmilitarizada - slidepdf.com

http://slidepdf.com/reader/full/51730104-dmz-zona-desmilitarizada 1/11

Zona desmilitarizada

Diagrama de una red típica que usa una DMZ con un cortafuegos de tres patas (three-legged)

En seguridad informática, una zona desmilitarizada (DMZ, demilitarized zone) o red

perimetral es una red local que se ubica entre la red interna de una organización y una

red externa, generalmente Internet. El objetivo de una DMZ es que las conexiones desdela red interna y la externa a la DMZ estén permitidas, mientras que las conexiones desde

la DMZ sólo se permitan a la red externa -- los equipos (hosts) en la DMZ no puedenconectar con la red interna. Esto permite que los equipos (hosts) de la DMZ puedan dar

servicios a la red externa a la vez que protegen la red interna en el caso de que intrusoscomprometan la seguridad de los equipos (host) situados en la zona desmilitarizada.

Para cualquiera de la red externa que quiera conectarse ilegalmente a la red interna, lazona desmilitarizada se convierte en un callejón sin salida.

La DMZ se usa habitualmente para ubicar servidores que es necesario que sean

accedidos desde fuera, como servidores dee-mail, Web y DNS.

Las conexiones que se realizan desde la red externa hacia la DMZ se controlan

generalmente utilizando port address translation (PAT).

Una DMZ se crea a menudo a través de las opciones de configuración delcortafuegos,

donde cada red se conecta a un puerto distinto de éste. Esta configuración se llama

cortafuegos en trípode (three-legged firewall). Un planteamiento más seguro es usar doscortafuegos, donde la DMZ se sitúa en medio y se conecta a ambos cortafuegos, uno

conectado a la red interna y el otro a la red externa. Esta configuración ayuda a prevenir configuraciones erróneas accidentales que permitan el acceso desde la red externa a la

interna. Este tipo de configuración también es llamado cortafuegos de subred

monitoreada (screened-subnet firewall).

Obsérvese que los router domésticos son llamados "DMZ host", aunque no es una

definición correcta de zona desmilitarizada.

Port Address Translation (PAT) es una característica del estándar NAT, que traduce

conexiones TCP y UDP hechas por un host y un puerto en una red externa a otra



di i t de l red i terna. Permite que una sola direcci n IP sea utili ada por

var ias máquinas de la intranet. Con PAT, una IP externa puede responder hasta a~64000 direcciones internas.

Cualquier paquete IP contiene la direcci n y el puer to tanto del or i en como del destino.

En el destino, el puer to le dice al receptor cómo procesar el paquete. Un paquete con

puer to 80 indica que contiene una página web, mientras que el puer to 25 es usado paratransmitir correo electrónico entre servidores de correo. La traducción de los puer tos,llamada PAT para distinguir la de la traducción de direcciones (NAT), se apoya en el

hecho de que el puer to de or igen carece de impor tancia para la mayor ía de los

protocolos. Igual que NAT, se sit a en la frontera entre la red interna y externa, yreali a cambios en la dirección del or igen y del receptor en los paquetes de datos que

pasan a través de ella. Los puer tos (no las IP), se usan para designar diferentes hosts enel intranet. El servicio PAT es como una of icina de correo que entrega las car tas. El

sobre se cambia para que el remitente sea la of icina de correos, mientras que las car tasque llegan de fuera pierden su dirección y reci ben la nueva con la calle y el número real.

Una DMZ se crea a menudo a través de las opciones de configuración del cortafuegos, donde

cada red se conecta a un puerto distinto de éste. Esta configuración se llama cortafuegos en

trípode (three-legged firewall). Un planteamiento más seguro es usar dos cortafuegos, donde

la DMZ se sitúa en medio y se conecta a ambos cortafuegos, uno conectado a la red interna y

el otro a la red externa. Esta configuración ayuda a prevenir configuraciones erróneas

accidentales que permitan el acceso desde la red externa a la interna. Este tipo de

configuración también es llamado cortafuegos de subred monitoreada (screened-subnet

firewall).

DMZ host [editar]

Entorno empresarial [editar]

En una arquitectura de segur idad con DM , se denomina DMZ h al ordenador que,

situado en la DM , está expuesto a los r iesgos de acceso desde Internet. Es por ello un

ordenador de sacr if icio, pues en caso de ataque está más expuesto a r iesgos.

Normalmente el DMZ h está separado de Internet a través de un router o me jor un

cor tafuegos. Es aconse jable que en el cor tafuegos se abran al exter ior únicamente los

puer tos de los servicios que se pretende ofrecer con el DMZ h .

En una arquitectura de segur idad más simple el router estar ía conectado, por un lado a lared externa (usualmente Internet), por otra par te a la red interna, y en una terceraconexión estar ía la DM , donde se sitúa el DMZ h .

Entorno doméstico [editar]

En el caso de un router de uso doméstico, el DMZ h se ref iere a la dirección IP que

tiene una computadora para la que un router de ja todos los puer tos abier tos, excepto



aquellos que estén explícitamente def inidos en la sección NAT del router. Es

conf igurable en var ios routers y se puede habilitar y deshabilitar.

Con ello se persigue conseguir superar limitaciones para conectarse con según qué programas, aunque es un r iesgo muy grande de segur idad que conviene tener solventado

instalando un f irewall por sof tware en el ordenador que tiene dicha i p en modo DM .

Para evitar r iesgos es me jor no habilitar esta opción y usar las tablas NAT del router y

abr ir únicamente los puer tos que son necesar ios.

Definición: En las redes de computadoras, es una zona desmilitarizada configuración del

servidor de seguridad para asegurar las redes de área local (LAN).

En la configuración de una zona de distensión, la mayoría de los ordenadores de la LAN correr

detrás de un firewall conectado a una red pública como Internet. En la configuración de una

zona de distensión, la mayoría de los ordenadores de la LAN correr detrás de un cortafuegos

conectado a una red pública como Internet. Uno o más ordenadores también funcionan fuera

del firewall, en la zona de distensión. Uno o más ordenadores también funcionan fuera del

servidor de seguridad, en la zona de distensión. Los ordenadores en el exterior interceptar el

tráfico y la agente de solicitudes para el resto de la LAN, agregando una capa extra de

protección para los equipos detrás del cortafuegos. Los ordenadores en el exterior interceptar

el tráfico y la agente de solicitudes para el resto de la LAN, agregando una capa extra de

protección para los equipos detrás del cortafuegos.

Permitir que los ordenadores tradicionales DMZ detrás del cortafuegos para iniciar las solicitudes de salida a la zona de distensión. Permitir que los ordenadores tradicionales zona

detrás del cortafuegos para iniciar las solicitudes de salida a la zona de distensión.

Computadoras en la zona de distensión, a su vez, responder, reenviar o una nueva emisión de

peticiones a Internet u otras redes públicas, como los servidores proxy hacer. Computadoras

en la zona de distensión, a su vez, responder, Reenviar o una nueva emisión de peticiones a

Internet u otras redes públicas, como los servidores proxy hacer. (Muchas implementaciones

de zona desmilitarizada, de hecho, basta con utilizar un servidor proxy o servidores de las

computadoras dentro de la zona de distensión). El servidor de seguridad de LAN, sin embargo,

impide que los ordenadores en la zona de distensión de iniciar las solicitudes entrantes.

(Muchas implementaciones de zona desmilitarizada, de hecho, basta con utilizar un servidor

proxy o servidores de las computadoras dentro de la zona de distensión). El servidor de

seguridad de la LAN, sin embargo, impide que los ordenadores en la zona de distensión de

iniciar las solicitudes entrantes.

Zona desmilitarizada es una característica en común touted casa de enrutadores de banda

ancha. Zona desmilitarizada es una característica en común touted casa de enrutadores de

banda ancha. Sin embargo, en la mayoría de los casos de estas características no son

verdaderos DMZ. Sin embargo, en la mayoría de los casos de estas características no son



verdaderos zona desmilitarizada. Enrutadores de banda ancha a menudo la aplicación de una

zona desmilitarizada simplemente adicionales a través de las reglas del firewall, lo que significa

que las peticiones llegan directamente del servidor de seguridad. Enrutadores de banda ancha

a menudo la aplicación de una zona desmilitarizada simplemente adicionales a través de las

reglas del cortafuegos, lo que significa que las peticiones llegan directamente del servidor de

seguridad. En una verdadera zona de distensión, las solicitudes deben pasar primero por una

zona de distensión antes de llegar al equipo de seguridad. En una verdadera zona de

distensión, las solicitudes deben pasar primero por una zona de distensión antes de llegaral

equipo de seguridad.

El concepto de Aislamiento

Los sistemas Firewall permiten def inir las reglas de acceso entre dos redes. Sin

embargo, en la práctica, las compañías cuentan generalmente con var ias subredes con

diferentes políticas de segur idad. Por esta razón, es necesar io conf igurar arquitecturas

de f irewall que aíslen las diferentes redes de una compañía. Esto se denomina"ai lami la red".

Arquitectura DMZ

Cuando algunas máquinas de la red interna deben ser accesi bles desde una red externa

(servidores web, servidores de correo electrónico, servidores FTP), a veces es necesar iocrear una nueva interfaz hacia una red separada a la que se pueda acceder tanto desde la

red interna como por vía externa sin correr el r iesgo de comprometer la segur idad de la

compañía. El término "zona desmili arizada" o DMZ hace referencia a esta zona

aislada que posee aplicaciones disponi bles para el público. La DM actúa como una

"zona de búfer " entre la red que necesita protección y la red hostil.

Los servidores en la DM se denominan "anf i riones bastión" ya que actúan como un

puesto de avanzada en la red de la compañía.

Por lo general, la política de segur idad para la DM es la siguiente:

y El tráfico de la red externa a la DMZ está autorizado

y El tráfico de la red externa a la red interna está prohibido

y El tráfico de la red interna a la DMZ está autorizado

y El tráfico de la red interna a la red externa está autorizado

y El tráfico de la DMZ a la red interna está prohibido y El tráfico de la DMZ a la red externa está denegado

De esta manera, la DM posee un nivel de segur idad intermedio, el cual no es lo

suf icientemente alto para almacenar datos imprescindi bles de la compañía.

Debe observarse que es posi ble instalar las DM en forma interna para aislar la redinterna con niveles de protección var iados y así evitar intrusiones internas.



Screened Subnet (DMZ)

La arquitectura Screened Subnet , también conocida como

red perimétrica o De-Militarized Zone (DMZ) es con

diferencia la más utilizada e implantada hoy en día, ya

que añade un nivel de seguridad en las arquitecturas de

cortafuegos situando una subred (DMZ) entre las redes

externa e interna, de forma que se consiguen reducir los

efectos de un ataque exitoso al host bastión: como

hemos venido comentando, en los modelos anteriores

toda la seguridad se centraba en el bastión16.1

, de forma

que si la seguridad del mismo se veía comprometida, la

amenaza se extendía automáticamente al resto de la red.

Como la máquina bastión es un objetivo interesante para

muchos piratas, la arquitectura DMZ intenta aislarla en

una red perimétrica de forma que un intruso que accede

a esta máquina no consiga un acceso total a la subred

protegida.

Screened subnet es la arquitectura más segura, pero

también la más compleja; se utilizan dos routers,

denominados exterior e interior, conectados ambos a la

red perimétrica como se muestra en la figura 15.2. En

esta red perimétrica, que constituye el sistema

cortafuegos, se incluye el host bastión y también se

podrían incluir sistemas que requieran un acceso

controlado, como baterías de módems o el servidor de

correo, que serán los únicos elementos visibles desde

fuera de nuestra red. El router exterior tiene como misión



bloquear el tráfico no deseado en ambos sentidos (hacia

la red perimétrica y hacia la red externa), mientras que el

interior hace lo mismo pero con el tráfico entre la red

interna y la perimétrica: así, un atacante habría de romper la seguridad de ambos routers para acceder a la

red protegida; incluso es posible implementar una zona

desmilitarizada con un único router que posea tres o más

interfaces de red, pero en este caso si se compromete

este único elemento se rompe toda nuestra seguridad,

frente al caso general en que hay que comprometer

ambos, tanto el externo como el interno. También

podemos, si necesitamos mayores niveles niveles de

seguridad, definir varias redes perimétricas en serie,

situando los servicios que requieran de menor fiabilidad

en las redes más externas: así, el atacante habrá de saltar

por todas y cada una de ellas para acceder a nuestros

equipos; evidentemente, si en cada red perimétrica se

siguen las mismas reglas de filtrado, niveles adicionales

no proporcionan mayor seguridad. En el capítulo 4 de

[CZ95] podemos consultar con más detalle las funciones

de cada elemento del sistema cortafuegos, así como

aspectos de su implementación y configuración.



Figura 15.2:

Arquitectura DMZ.

Esta arquitectura de cortafuegos elimina los puntos

únicos de fallo presentes en las anteriores: antes de llegar

al bastión (por definición, el sistema más vulnerable) un

atacante ha de saltarse las medidas de seguridad

impuestas por el enrutador externo. Si lo consigue, como hemos aislado la máquina bastión en una subred estamos

reduciendo el impacto de un atacante que logre

controlarlo, ya que antes de llegar a la red interna ha de

comprometer también al segundo router ; en este caso

extremo (si un pirata logra comprometer el segundo

router ), la arquitectura DMZ no es mejor que un screened

host . Por supuesto, en cualquiera de los tres casos

(compromiso del router externo, del host bastión, o del

router interno) las actividades de un pirata pueden violar

nuestra seguridad, pero de forma parcial: por ejemplo,

simplemente accediendo al primer enrutador puede



aislar toda nuestra organización del exterior, creando una

negación de servicio importante, pero esto suele ser

menos grave que si lograra acceso a la red protegida.

Aunque, como hemos dicho antes, la arquitectura DMZ es

la que mayores niveles de seguridad puede proporcionar,

no se trata de la panacea de los cortafuegos.

Evidentemente existen problemas relacionados con este

modelo: por ejemplo, se puede utilizar el f irewall para

que los servicios fiables pasen directamente sin acceder al

bastión, lo que puede dar lugar a un incumplimiento de la

política de la organización. Un segundo problema, quizás

más grave, es que la mayor parte de la seguridad reside

en los routers utilizados; como hemos dicho antes las

reglas de filtrado sobre estos elementos pueden ser

complicadas de configurar y comprobar, lo que puede dar

lugar a errores que abran importantes brechas de

seguridad en nuestro sistema.

Las Características que nos ofrecerá nuesto DMZserán:

- Filtrado de paquetes a cualquier zona- NAT, Mapero Bidireccional- Colas de tráfico y Prioridad

- Salidas redundantes / balanceo de carga- Balanceo de carga a servicios- Filtrado de contenido (web-cache)- Monitoreo de tráfico en interfaces via netflow

..:: Solusan - Otro blog más ::..



Que es una DMZ?

Por Solusan el 29 de March de 2007 en BSD, Debian, FreeBSD, Gentoo, Linux, OpenBSD, SuSE,

Ubuntu

Una DMZ (del inglés Demilitarized zone) o Zona DesMilitar izada.

Una zona desmilitarizada (DMZ) o red perimetral es una red

local que se ubica entre la red interna de una organización y una red

externa, generalmente Internet.

El ob jetivo de una DMZ es que las conexiones desde la red interna y la externa a la

DMZ estén permitidas, mientras que las conexiones desde la DMZ sólo se permitan a la

red externa, es decir: los equi pos locales (hosts) en la DMZ no pueden conectar con la

red interna.

Esto permite que los equi pos (hosts) de la DMZ¶s puedan dar servicios a la red externaa la vez que protegen la red interna en el caso de que intrusos comprometan la segur idad

de los equi pos (host) situados en la zona desmilitar izada. Para cualquiera de la red

externa que quiera conectarse ilegalmente a la red interna, la zona desmilitar izada seconvier te en un calle jón sin salida.

La DMZ se usa habitualmente para ubicar servidores que es necesar io que sean

accedidos desde fuera, como servidores de e-mail, Web y DNS.

Esto se ve muchísimo más claro en un esquema:



Las conexiones que se realizan desde la red externa hacia la DMZ se controlangeneralmente utilizando por t address translation (PAT).

Habitualmente una conf iguración DMZ es usar dos cor tafuegos, donde la DMZ se sitúa

en medio y se conecta a ambos cor tafuegos, uno conectado a la red interna y el otro a la

red externa. Esta conf iguración ayuda a prevenir conf iguraciones erróneas accidentales

que permitan el acceso desde la red externa a la interna. Este ti po de conf iguracióntambién es llamado cor tafuegos de subred monitoreada (screened-subnet f irewall).

Origen del término:

El término zona desmilitarizada es tomado de la fran ja de terreno neutral que separa aambas Coreas, y que es una reminiscencia de la Guerra de Corea, aún vigente y en

tregua desde 1953. Paradó jicamente, a pesar de que esta zona desmilitar izada es terrenoneutral, es una de las más peligrosas del planeta, y por ello da nombre al sistema DMZ.



Un término relacionado directamente con esta tecnlogía es el llamado equi po bastión,

éste, normalmente a través de dos tar jetas de red (interfaces) mantiene aislada la redlocal de la red externa, es decir, la LAN de la WAN.

En pocas palabras, un PC con dos patitas.

Esta explicación es una transcr i pción de la wiki pedia, con par tes de mi cosecha.

Per es perfecto para tener una nota rápida con un esquema claro.

51730104-DMZ-Zona-desmilitarizada

Documents

Transcript of 51730104-DMZ-Zona-desmilitarizada