En seguridad informática , una DMZ o zona desmilitarizada (a veces denominada red perimetral o subred protegida ) es una subred física o lógica que contiene y expone los servicios externos de una organización a una red no confiable, generalmente más grande, como Internet . El propósito de una DMZ es agregar una capa adicional de seguridad a la red de área local (LAN) de una organización: un nodo de red externo puede acceder solo a lo que está expuesto en la DMZ, mientras que el resto de la red de la organización está protegida detrás de un firewall . [1] La DMZ funciona como una red pequeña y aislada ubicada entre Internet y la red privada. [2]
Esto no debe confundirse con un host DMZ, una característica presente en algunos enrutadores domésticos que frecuentemente difiere mucho de una DMZ normal.
El nombre proviene del término zona desmilitarizada , un área entre estados en la que no se permiten operaciones militares.
Se considera que la DMZ no pertenece a ninguna de las redes que la bordean. Esta metáfora se aplica al uso de la informática, ya que la DMZ actúa como puerta de entrada a la Internet pública. No es tan segura como la red interna ni tan insegura como la Internet pública.
En este caso, los hosts más vulnerables a los ataques son aquellos que brindan servicios a usuarios fuera de la red de área local , como servidores de correo electrónico , web y de sistema de nombres de dominio (DNS). Debido al mayor potencial de que estos hosts sufran un ataque, se colocan en esta subred específica para proteger el resto de la red en caso de que alguno de ellos se vea comprometido.
A los hosts en la DMZ solo se les permite tener conectividad limitada con hosts específicos en la red interna, ya que el contenido de la DMZ no es tan seguro como la red interna. De manera similar, la comunicación entre los hosts en la DMZ y la red externa también está restringida para hacer que la DMZ sea más segura que Internet y adecuada para albergar estos servicios de propósito especial. Esto permite que los hosts en la DMZ se comuniquen con la red interna y externa, mientras que un firewall intermedio controla el tráfico entre los servidores DMZ y los clientes de la red interna, y otro firewall realizaría cierto nivel de control para proteger la DMZ de la red externa. .
Una configuración DMZ proporciona seguridad adicional contra ataques externos, pero generalmente no tiene relación con ataques internos como el rastreo de comunicaciones a través de un analizador de paquetes o suplantación de identidad como la suplantación de correo electrónico .
A veces también es una buena práctica configurar una zona militarizada clasificada (CMZ) separada, [3] una zona militarizada altamente monitoreada que comprende principalmente servidores web (y servidores similares que interactúan con el mundo externo, es decir, Internet) que no están en la DMZ pero contienen información confidencial sobre el acceso a servidores dentro de la LAN (como servidores de bases de datos). En dicha arquitectura, la DMZ suele tener el firewall de aplicaciones y el FTP, mientras que la CMZ aloja los servidores web. (Los servidores de la base de datos podrían estar en CMZ, en la LAN o en una VLAN completamente separada).
Cualquier servicio que se proporcione a los usuarios en la red externa se puede colocar en la DMZ. Los más comunes de estos servicios son:
Los servidores web que se comunican con una base de datos interna requieren acceso a un servidor de base de datos , que puede no ser accesible públicamente y puede contener información confidencial. Los servidores web pueden comunicarse con los servidores de bases de datos directamente o a través de un firewall de aplicación por razones de seguridad.
Los mensajes de correo electrónico y, en particular, la base de datos de los usuarios son confidenciales, por lo que normalmente se almacenan en servidores a los que no se puede acceder desde Internet (al menos no de forma insegura), pero a los que se puede acceder desde servidores de correo electrónico que están expuestos a Internet.
El servidor de correo dentro de la DMZ pasa el correo entrante a los servidores de correo internos/seguros. También maneja el correo saliente.
Por seguridad, cumplimiento de estándares legales como HIPAA y razones de monitoreo, en un entorno empresarial, algunas empresas instalan un servidor proxy dentro de la DMZ. Esto tiene los siguientes beneficios:
Un servidor proxy inverso , como un servidor proxy, es un intermediario, pero se utiliza al revés. En lugar de proporcionar un servicio a usuarios internos que desean acceder a una red externa, proporciona acceso indirecto para una red externa (normalmente Internet) a recursos internos. Por ejemplo, se podría proporcionar acceso a una aplicación de back office, como un sistema de correo electrónico, a usuarios externos (para leer correos electrónicos mientras están fuera de la empresa), pero el usuario remoto no tendría acceso directo a su servidor de correo electrónico (solo el servidor proxy inverso puede acceder físicamente al servidor de correo electrónico interno). Esta es una capa adicional de seguridad especialmente recomendada cuando es necesario acceder a los recursos internos desde el exterior, pero vale la pena señalar que este diseño aún permite que usuarios remotos (y potencialmente maliciosos) hablen con los recursos internos con la ayuda del proxy. Dado que el proxy funciona como un relé entre la red no confiable y el recurso interno: también puede reenviar tráfico malicioso (por ejemplo, exploits a nivel de aplicación ) hacia la red interna; por lo tanto, las capacidades de filtrado y detección de ataques del proxy son cruciales para evitar que atacantes externos aprovechen las vulnerabilidades presentes en los recursos internos que están expuestos a través del proxy. Por lo general, dicho mecanismo de proxy inverso se proporciona mediante el uso de un firewall de capa de aplicación que se centra en la forma y el contenido específicos del tráfico en lugar de simplemente controlar el acceso a puertos TCP y UDP específicos (como lo haría un firewall de filtro de paquetes ), sino un proxy inverso. Por lo general, no es un buen sustituto de un diseño DMZ bien pensado, ya que tiene que depender de actualizaciones continuas de firmas para vectores de ataque actualizados.
Hay muchas formas diferentes de diseñar una red con una DMZ. Dos de los métodos más básicos son con un único firewall , también conocido como modelo de tres patas, y con firewalls duales, también conocidos como espalda con espalda. Estas arquitecturas se pueden ampliar para crear arquitecturas muy complejas según los requisitos de la red.
Se puede utilizar un único firewall con al menos 3 interfaces de red para crear una arquitectura de red que contenga una DMZ. La red externa se forma desde el ISP hasta el firewall en la primera interfaz de red, la red interna se forma desde la segunda interfaz de red y la DMZ se forma desde la tercera interfaz de red. El firewall se convierte en un único punto de falla para la red y debe poder manejar todo el tráfico que va a la DMZ así como a la red interna. Las zonas suelen estar marcadas con colores, por ejemplo, morado para LAN, verde para DMZ, rojo para Internet (a menudo se utiliza otro color para las zonas inalámbricas).
El enfoque más seguro, según Colton Fralick, [4] es utilizar dos cortafuegos para crear una DMZ. El primer firewall (también llamado firewall "front-end" o "perímetro" [5] ) debe configurarse para permitir el tráfico destinado a la DMZ únicamente. El segundo firewall (también llamado firewall "back-end" o "interno") solo permite el tráfico a la DMZ desde la red interna.
Esta configuración se considera [4] más segura ya que sería necesario comprometer dos dispositivos. Hay incluso más protección si los dos firewalls son proporcionados por dos proveedores diferentes, porque hace menos probable que ambos dispositivos sufran las mismas vulnerabilidades de seguridad. Por ejemplo, es menos probable que se produzca un agujero de seguridad en el sistema de un proveedor en el otro. Uno de los inconvenientes de esta arquitectura es que es más costosa, tanto de compra como de gestión. [6] La práctica de utilizar diferentes firewalls de diferentes proveedores a veces se describe como un componente de una estrategia de seguridad de " defensa en profundidad " [7] .
Algunos enrutadores domésticos se refieren a un host DMZ , lo cual, en muchos casos, es en realidad un nombre inapropiado . Un host DMZ de enrutador doméstico es una dirección única (por ejemplo, dirección IP) en la red interna a la que se envía todo el tráfico que de otro modo no se reenvía a otros hosts de LAN. Por definición, esta no es una verdadera DMZ (zona desmilitarizada), ya que el enrutador por sí solo no separa el host de la red interna. Es decir, el host DMZ puede conectarse a otros hosts en la red interna, mientras que los hosts dentro de una DMZ real no pueden conectarse con la red interna mediante un firewall que los separa a menos que el firewall permita la conexión.
Un firewall puede permitir esto si un host en la red interna primero solicita una conexión con el host dentro de la DMZ. El host DMZ no proporciona ninguna de las ventajas de seguridad que proporciona una subred y, a menudo, se utiliza como un método sencillo para reenviar todos los puertos a otro firewall/ dispositivo NAT . Esta táctica (establecer un host DMZ) también se utiliza con sistemas que no interactúan adecuadamente con las reglas normales de firewall o NAT. Esto puede deberse a que no se puede formular ninguna regla de reenvío con anticipación (variando los números de puerto TCP o UDP, por ejemplo, en lugar de un número fijo o un rango fijo). Esto también se utiliza para protocolos de red para los cuales el enrutador no tiene que manejar ninguna programación ( los túneles 6in4 o GRE son ejemplos prototípicos).