En seguridad informática , una DMZ o zona desmilitarizada (a veces denominada red perimetral o subred protegida ) es una subred física o lógica que contiene y expone los servicios externos de una organización a una red no confiable, generalmente más grande, como Internet . El propósito de una DMZ es agregar una capa adicional de seguridad a la red de área local (LAN) de una organización: un nodo de red externo puede acceder solo a lo que está expuesto en la DMZ, mientras que el resto de la red de la organización está protegida detrás de un firewall . [1] La DMZ funciona como una red pequeña y aislada ubicada entre Internet y la red privada. [2]
Esto no debe confundirse con un host DMZ, una característica presente en algunos enrutadores domésticos que con frecuencia difiere en gran medida de una DMZ común.
El nombre proviene del término zona desmilitarizada , un área entre estados en la que no se permiten operaciones militares.
Se considera que la DMZ no pertenece a ninguna de las redes que la rodean. Esta metáfora se aplica al uso informático, ya que la DMZ actúa como puerta de acceso a Internet pública. No es tan segura como la red interna ni tan insegura como Internet pública.
En este caso, los hosts más vulnerables a los ataques son aquellos que proporcionan servicios a usuarios fuera de la red de área local , como servidores de correo electrónico , web y de Sistema de nombres de dominio (DNS). Debido al mayor potencial de que estos hosts sufran un ataque, se colocan en esta subred específica para proteger al resto de la red en caso de que alguno de ellos se vea comprometido.
Los hosts en la DMZ solo pueden tener una conectividad limitada con hosts específicos en la red interna, ya que el contenido de la DMZ no es tan seguro como el de la red interna. De manera similar, la comunicación entre los hosts en la DMZ y la red externa también está restringida para que la DMZ sea más segura que Internet y adecuada para albergar estos servicios de propósito especial. Esto permite que los hosts en la DMZ se comuniquen con la red interna y externa, mientras que un firewall intermedio controla el tráfico entre los servidores de la DMZ y los clientes de la red interna, y otro firewall realizaría algún nivel de control para proteger la DMZ de la red externa.
Una configuración DMZ proporciona seguridad adicional contra ataques externos, pero normalmente no tiene relación con ataques internos como el rastreo de comunicaciones a través de un analizador de paquetes o suplantaciones como la suplantación de correo electrónico .
En ocasiones, también es una buena práctica configurar una zona militarizada clasificada (CMZ) independiente, [3] una zona militarizada altamente monitoreada que comprende principalmente servidores web (y servidores similares que interactúan con el mundo externo, es decir, Internet) que no están en la DMZ pero que contienen información confidencial sobre el acceso a servidores dentro de la LAN (como servidores de bases de datos). En dicha arquitectura, la DMZ generalmente tiene el firewall de aplicaciones y el FTP, mientras que la CMZ aloja los servidores web. (Los servidores de bases de datos pueden estar en la CMZ, en la LAN o en una VLAN separada por completo).
Cualquier servicio que se proporcione a los usuarios en la red externa se puede colocar en la DMZ. Los servicios más comunes son:
Los servidores web que se comunican con una base de datos interna requieren acceso a un servidor de base de datos , que puede no ser de acceso público y contener información confidencial. Los servidores web pueden comunicarse con servidores de base de datos directamente o a través de un firewall de aplicación por razones de seguridad.
Los mensajes de correo electrónico , y en particular la base de datos de usuarios, son confidenciales, por lo que normalmente se almacenan en servidores a los que no se puede acceder desde Internet (al menos no de forma insegura), pero sí desde servidores de correo electrónico que están expuestos a Internet.
El servidor de correo dentro de la DMZ envía el correo entrante a los servidores de correo internos y seguros. También gestiona el correo saliente.
Por razones de seguridad, cumplimiento de normas legales como HIPAA y monitoreo, en un entorno empresarial, algunas empresas instalan un servidor proxy dentro de la DMZ. Esto tiene los siguientes beneficios:
Un servidor proxy inverso , al igual que un servidor proxy, es un intermediario, pero se utiliza al revés. En lugar de proporcionar un servicio a los usuarios internos que desean acceder a una red externa, proporciona acceso indirecto para una red externa (normalmente Internet) a los recursos internos. Por ejemplo, se podría proporcionar acceso a una aplicación de back office, como un sistema de correo electrónico, a usuarios externos (para leer correos electrónicos mientras están fuera de la empresa), pero el usuario remoto no tendría acceso directo a su servidor de correo electrónico (solo el servidor proxy inverso puede acceder físicamente al servidor de correo electrónico interno). Esta es una capa adicional de seguridad especialmente recomendada cuando se necesita acceder a los recursos internos desde el exterior, pero vale la pena señalar que este diseño todavía permite que los usuarios remotos (y potencialmente maliciosos) se comuniquen con los recursos internos con la ayuda del proxy. Dado que el proxy funciona como un relé entre la red no confiable y el recurso interno, también puede reenviar tráfico malicioso (por ejemplo, exploits a nivel de aplicación ) hacia la red interna; por lo tanto, las capacidades de detección y filtrado de ataques del proxy son cruciales para evitar que los atacantes externos exploten las vulnerabilidades presentes en los recursos internos que están expuestos a través del proxy. Generalmente, un mecanismo de proxy inverso de este tipo se proporciona mediante un firewall de capa de aplicación que se centra en la forma y el contenido específicos del tráfico en lugar de solo controlar el acceso a puertos TCP y UDP específicos (como lo haría un firewall de filtro de paquetes ), pero un proxy inverso generalmente no es un buen sustituto para un diseño DMZ bien pensado, ya que tiene que depender de actualizaciones de firmas continuas para vectores de ataque actualizados.
Existen muchas formas distintas de diseñar una red con una DMZ. Dos de los métodos más básicos son con un único cortafuegos , también conocido como modelo de tres patas, y con cortafuegos duales, también conocidos como back to back. Estas arquitecturas se pueden ampliar para crear arquitecturas muy complejas según los requisitos de la red.
Se puede utilizar un único cortafuegos con al menos tres interfaces de red para crear una arquitectura de red que contenga una DMZ. La red externa se forma desde el ISP hasta el cortafuegos en la primera interfaz de red, la red interna se forma desde la segunda interfaz de red y la DMZ se forma desde la tercera interfaz de red. El cortafuegos se convierte en un único punto de fallo para la red y debe ser capaz de gestionar todo el tráfico que va a la DMZ, así como a la red interna. Las zonas suelen estar marcadas con colores, por ejemplo, violeta para LAN, verde para DMZ, rojo para Internet (y a menudo se utiliza otro color para las zonas inalámbricas).
Según Colton Fralick [4] , el método más seguro consiste en utilizar dos cortafuegos para crear una DMZ. El primer cortafuegos (también llamado cortafuegos "front-end" o "perimetral" [5] ) debe configurarse para permitir únicamente el tráfico destinado a la DMZ. El segundo cortafuegos (también llamado cortafuegos "back-end" o "interno") solo permite el tráfico a la DMZ desde la red interna.
Esta configuración se considera [4] más segura, ya que sería necesario comprometer dos dispositivos. Hay incluso más protección si los dos cortafuegos son proporcionados por dos proveedores diferentes, porque hace que sea menos probable que ambos dispositivos sufran las mismas vulnerabilidades de seguridad. Por ejemplo, es menos probable que se produzca un agujero de seguridad en el sistema de un proveedor en el otro. Una de las desventajas de esta arquitectura es que es más costosa, tanto de comprar como de administrar. [6] La práctica de usar diferentes cortafuegos de diferentes proveedores a veces se describe como un componente de una estrategia de seguridad de " defensa en profundidad " [7] .
Algunos enrutadores domésticos hacen referencia a un host DMZ , lo que, en muchos casos, es en realidad un nombre inapropiado . Un host DMZ de un enrutador doméstico es una única dirección (por ejemplo, una dirección IP) en la red interna a la que se envía todo el tráfico que no se reenvía a otros hosts de la LAN. Por definición, no se trata de una DMZ (zona desmilitarizada) verdadera, ya que el enrutador por sí solo no separa al host de la red interna. Es decir, el host DMZ puede conectarse a otros hosts en la red interna, mientras que los hosts dentro de una DMZ real no pueden conectarse a la red interna mediante un firewall que los separa a menos que el firewall permita la conexión.
Un firewall puede permitir esto si un host en la red interna solicita primero una conexión al host dentro de la DMZ. El host DMZ no proporciona ninguna de las ventajas de seguridad que proporciona una subred y se utiliza a menudo como un método fácil de reenviar todos los puertos a otro firewall / dispositivo NAT . Esta táctica (establecer un host DMZ) también se utiliza con sistemas que no interactúan correctamente con las reglas de firewall normales o NAT. Esto puede deberse a que no se puede formular ninguna regla de reenvío con anticipación (por ejemplo, variando los números de puerto TCP o UDP, en lugar de un número fijo o un rango fijo). Esto también se utiliza para protocolos de red para los que el enrutador no tiene programación que manejar ( los túneles 6in4 o GRE son ejemplos prototípicos).