Subred protegida

En seguridad de red, una subred protegida se refiere al uso de uno o más enrutadores de filtrado lógicos como firewall para definir tres subredes separadas : un enrutador externo (a veces llamado enrutador de acceso ), que separa la red externa de una red perimetral, y un enrutador interno (a veces llamado enrutador de estrangulamiento ) que separa la red perimetral de la red interna. La red perimetral, también llamada red fronteriza o zona desmilitarizada (DMZ), está destinada a alojar servidores (a veces llamados hosts bastión ) que son accesibles desde o tienen acceso tanto a las redes internas como externas. ^[1]^[2]^[3] El propósito de una subred protegida o DMZ es establecer una red con mayor seguridad que se encuentra entre una red externa y presuntamente hostil, como Internet o una extranet, y una red interna.

Una subred protegida es un concepto esencial para el comercio electrónico o cualquier entidad que tenga presencia en la World Wide Web o utilice sistemas de pago electrónico u otros servicios de red debido a la prevalencia de piratas informáticos , amenazas persistentes avanzadas , gusanos informáticos , botnets y otras amenazas a los sistemas de información en red .

Separación física de los enrutadores

Al separar el sistema de cortafuegos en dos enrutadores de componentes independientes, se logra un mayor rendimiento potencial al reducir la carga computacional de cada enrutador. Como cada enrutador de componente del cortafuegos de subred protegida solo necesita implementar una tarea general, cada enrutador tiene una configuración menos compleja. Una subred protegida o DMZ también se puede lograr con un solo dispositivo de cortafuegos con tres interfaces de red. ^[4]

Relación con la DMZ

El término zona desmilitarizada en el contexto militar se refiere a un área en la que los tratados o acuerdos entre grupos contendientes prohíben instalaciones y actividades militares, a menudo a lo largo de una frontera o límite establecido entre dos o más potencias o alianzas militares. La similitud con la seguridad de la red es que la red protegida (DMZ) tiene fortificaciones reducidas porque tiene puntos de ingreso previstos desde la red externa que se presume es hostil.

Parece que el término zona desmilitarizada (DMZ) se popularizó como término de ventas y marketing poco después del desarrollo de los enrutadores y cortafuegos protegidos. A menudo se utiliza como sinónimo, pero es posible que alguna vez haya tenido un significado diferente.

"Existen varios términos que se utilizan, como hosts bastion, subredes protegidas, DMZ o redes perimetrales que pueden resultar confusas, especialmente cuando se utilizan juntas". ... "Otro término que a menudo puede causar confusión es DMZ (zona desmilitarizada), en contraposición a una subred protegida. Una verdadera DMZ es una red que contiene hosts accesibles desde Internet con solo el enrutador exterior o de borde entre ellos. Estos hosts no están protegidos por un enrutador de protección". ... "Una subred protegida también puede ser una colección de hosts en una subred, pero estos se encuentran detrás de un enrutador de protección. El término DMZ puede ser utilizado por un proveedor para referirse a cualquiera de los dos, por lo que es mejor verificar a qué se refiere". ^[5]

Comparación con el firewall/arquitectura del host protegido

Mientras que el firewall de subred filtrada emplea dos enrutadores filtrados para crear tres subredes, un firewall de host filtrado emplea solo un enrutador filtrado para definir dos subredes: una red externa y una red interna. ^[6]^[7]^[8] El firewall de subred filtrada es más seguro porque un intruso debe atravesar dos rutas filtradas para llegar a la red interna. Si el host bastión/DMZ se ve comprometido, el intruso aún debe eludir la segunda ruta filtrada para llegar a los hosts de la red interna.

Véase también

Referencias

^ Wack, John; Carnahan, Lisa (diciembre de 1994). "3.4 Firewall de subred protegido". Cómo mantener su sitio cómodamente seguro: una introducción a los firewalls de Internet. Instituto Nacional de Estándares y Tecnología. págs. 38–40. doi :10.6028/NIST.SP.800-10.
^ Chapman, D. Brent; Zwicky, Elizabeth D. (noviembre de 1995). "6.3. Arquitecturas de subredes protegidas". Building Internet Firewalls (1.ª ed.). O'Reilly & Associates. ISBN 1-56592-124-0.
^ "ISACA CISA Study Exam". ISACA. 2018. Consultado el 16 de octubre de 2018. Un firewall de subred protegida, también utilizado como zona desmilitarizada (DMZ), utiliza dos enrutadores de filtrado de paquetes y un host bastión. Esto proporciona el sistema de firewall más seguro porque admite seguridad tanto a nivel de red como de aplicación a la vez que define una red DMZ separada.
^ Jacobs, Stuart (2015). Ingeniería de seguridad de la información: la aplicación de conceptos de ingeniería de sistemas para lograr la seguridad de la información. John Wiley & Sons. pág. 563. ISBN 9781119101604.
^ Davis, William S. (20 de septiembre de 2000). "Utilice la ofensiva para informar a la defensa. Encuentre fallas antes de que lo hagan los malos". SANS Institute.
^ Wack, John; Carnahan, Lisa (diciembre de 1994). "3.3 Firewall de host protegido". Cómo mantener su sitio cómodamente seguro: una introducción a los firewalls de Internet. Instituto Nacional de Estándares y Tecnología. págs. 36–38. doi :10.6028/NIST.SP.800-10.
^ Chapman, D. Brent; Zwicky, Elizabeth D. (noviembre de 1995). "6.2. Arquitecturas de host protegidas". Building Internet Firewalls (1.ª ed.). O'Reilly & Associates. ISBN 1-56592-124-0.
^ "ISACA CISA Study Exam". ISACA. 2018. Consultado el 16 de octubre de 2018. Un firewall de host filtrado utiliza un enrutador de filtrado de paquetes y un host bastión . Este enfoque implementa seguridad básica de la capa de red (filtrado de paquetes) y seguridad del servidor de aplicaciones (servicios proxy).