51730104-DMZ-Zona-desmilitarizada
-
Upload
omar-rodriguez -
Category
Documents
-
view
86 -
download
0
Transcript of 51730104-DMZ-Zona-desmilitarizada
5/11/2018 51730104-DMZ-Zona-desmilitarizada - slidepdf.com
http://slidepdf.com/reader/full/51730104-dmz-zona-desmilitarizada 1/11
Zona desmilitarizada
Diagrama de una red típica que usa una DMZ con un cortafuegos de tres patas (three-legged)
En seguridad informática, una zona desmilitarizada (DMZ, demilitarized zone) o red
perimetral es una red local que se ubica entre la red interna de una organización y una
red externa, generalmente Internet. El objetivo de una DMZ es que las conexiones desdela red interna y la externa a la DMZ estén permitidas, mientras que las conexiones desde
la DMZ sólo se permitan a la red externa -- los equipos (hosts) en la DMZ no puedenconectar con la red interna. Esto permite que los equipos (hosts) de la DMZ puedan dar
servicios a la red externa a la vez que protegen la red interna en el caso de que intrusoscomprometan la seguridad de los equipos (host) situados en la zona desmilitarizada.
Para cualquiera de la red externa que quiera conectarse ilegalmente a la red interna, lazona desmilitarizada se convierte en un callejón sin salida.
La DMZ se usa habitualmente para ubicar servidores que es necesario que sean
accedidos desde fuera, como servidores dee-mail, Web y DNS.
Las conexiones que se realizan desde la red externa hacia la DMZ se controlan
generalmente utilizando port address translation (PAT).
Una DMZ se crea a menudo a través de las opciones de configuración delcortafuegos,
donde cada red se conecta a un puerto distinto de éste. Esta configuración se llama
cortafuegos en trípode (three-legged firewall). Un planteamiento más seguro es usar doscortafuegos, donde la DMZ se sitúa en medio y se conecta a ambos cortafuegos, uno
conectado a la red interna y el otro a la red externa. Esta configuración ayuda a prevenir configuraciones erróneas accidentales que permitan el acceso desde la red externa a la
interna. Este tipo de configuración también es llamado cortafuegos de subred
monitoreada (screened-subnet firewall).
Obsérvese que los router domésticos son llamados "DMZ host", aunque no es una
definición correcta de zona desmilitarizada.
Port Address Translation (PAT) es una característica del estándar NAT, que traduce
conexiones TCP y UDP hechas por un host y un puerto en una red externa a otra
5/11/2018 51730104-DMZ-Zona-desmilitarizada - slidepdf.com
http://slidepdf.com/reader/full/51730104-dmz-zona-desmilitarizada 2/11
di i t de l red i terna. Permite que una sola direcci n IP sea utili ada por
var ias máquinas de la intranet. Con PAT, una IP externa puede responder hasta a~64000 direcciones internas.
Cualquier paquete IP contiene la direcci n y el puer to tanto del or i en como del destino.
En el destino, el puer to le dice al receptor cómo procesar el paquete. Un paquete con
puer to 80 indica que contiene una página web, mientras que el puer to 25 es usado paratransmitir correo electrónico entre servidores de correo. La traducción de los puer tos,llamada PAT para distinguir la de la traducción de direcciones (NAT), se apoya en el
hecho de que el puer to de or igen carece de impor tancia para la mayor ía de los
protocolos. Igual que NAT, se sit a en la frontera entre la red interna y externa, yreali a cambios en la dirección del or igen y del receptor en los paquetes de datos que
pasan a través de ella. Los puer tos (no las IP), se usan para designar diferentes hosts enel intranet. El servicio PAT es como una of icina de correo que entrega las car tas. El
sobre se cambia para que el remitente sea la of icina de correos, mientras que las car tasque llegan de fuera pierden su dirección y reci ben la nueva con la calle y el número real.
Una DMZ se crea a menudo a través de las opciones de configuración del cortafuegos, donde
cada red se conecta a un puerto distinto de éste. Esta configuración se llama cortafuegos en
trípode (three-legged firewall). Un planteamiento más seguro es usar dos cortafuegos, donde
la DMZ se sitúa en medio y se conecta a ambos cortafuegos, uno conectado a la red interna y
el otro a la red externa. Esta configuración ayuda a prevenir configuraciones erróneas
accidentales que permitan el acceso desde la red externa a la interna. Este tipo de
configuración también es llamado cortafuegos de subred monitoreada (screened-subnet
firewall).
DMZ host [editar]
Entorno empresarial [editar]
En una arquitectura de segur idad con DM , se denomina DMZ h al ordenador que,
situado en la DM , está expuesto a los r iesgos de acceso desde Internet. Es por ello un
ordenador de sacr if icio, pues en caso de ataque está más expuesto a r iesgos.
Normalmente el DMZ h está separado de Internet a través de un router o me jor un
cor tafuegos. Es aconse jable que en el cor tafuegos se abran al exter ior únicamente los
puer tos de los servicios que se pretende ofrecer con el DMZ h .
En una arquitectura de segur idad más simple el router estar ía conectado, por un lado a lared externa (usualmente Internet), por otra par te a la red interna, y en una terceraconexión estar ía la DM , donde se sitúa el DMZ h .
Entorno doméstico [editar]
En el caso de un router de uso doméstico, el DMZ h se ref iere a la dirección IP que
tiene una computadora para la que un router de ja todos los puer tos abier tos, excepto
5/11/2018 51730104-DMZ-Zona-desmilitarizada - slidepdf.com
http://slidepdf.com/reader/full/51730104-dmz-zona-desmilitarizada 3/11
aquellos que estén explícitamente def inidos en la sección NAT del router. Es
conf igurable en var ios routers y se puede habilitar y deshabilitar.
Con ello se persigue conseguir superar limitaciones para conectarse con según qué programas, aunque es un r iesgo muy grande de segur idad que conviene tener solventado
instalando un f irewall por sof tware en el ordenador que tiene dicha i p en modo DM .
Para evitar r iesgos es me jor no habilitar esta opción y usar las tablas NAT del router y
abr ir únicamente los puer tos que son necesar ios.
Definición: En las redes de computadoras, es una zona desmilitarizada configuración del
servidor de seguridad para asegurar las redes de área local (LAN).
En la configuración de una zona de distensión, la mayoría de los ordenadores de la LAN correr
detrás de un firewall conectado a una red pública como Internet. En la configuración de una
zona de distensión, la mayoría de los ordenadores de la LAN correr detrás de un cortafuegos
conectado a una red pública como Internet. Uno o más ordenadores también funcionan fuera
del firewall, en la zona de distensión. Uno o más ordenadores también funcionan fuera del
servidor de seguridad, en la zona de distensión. Los ordenadores en el exterior interceptar el
tráfico y la agente de solicitudes para el resto de la LAN, agregando una capa extra de
protección para los equipos detrás del cortafuegos. Los ordenadores en el exterior interceptar
el tráfico y la agente de solicitudes para el resto de la LAN, agregando una capa extra de
protección para los equipos detrás del cortafuegos.
Permitir que los ordenadores tradicionales DMZ detrás del cortafuegos para iniciar las solicitudes de salida a la zona de distensión. Permitir que los ordenadores tradicionales zona
detrás del cortafuegos para iniciar las solicitudes de salida a la zona de distensión.
Computadoras en la zona de distensión, a su vez, responder, reenviar o una nueva emisión de
peticiones a Internet u otras redes públicas, como los servidores proxy hacer. Computadoras
en la zona de distensión, a su vez, responder, Reenviar o una nueva emisión de peticiones a
Internet u otras redes públicas, como los servidores proxy hacer. (Muchas implementaciones
de zona desmilitarizada, de hecho, basta con utilizar un servidor proxy o servidores de las
computadoras dentro de la zona de distensión). El servidor de seguridad de LAN, sin embargo,
impide que los ordenadores en la zona de distensión de iniciar las solicitudes entrantes.
(Muchas implementaciones de zona desmilitarizada, de hecho, basta con utilizar un servidor
proxy o servidores de las computadoras dentro de la zona de distensión). El servidor de
seguridad de la LAN, sin embargo, impide que los ordenadores en la zona de distensión de
iniciar las solicitudes entrantes.
Zona desmilitarizada es una característica en común touted casa de enrutadores de banda
ancha. Zona desmilitarizada es una característica en común touted casa de enrutadores de
banda ancha. Sin embargo, en la mayoría de los casos de estas características no son
verdaderos DMZ. Sin embargo, en la mayoría de los casos de estas características no son
5/11/2018 51730104-DMZ-Zona-desmilitarizada - slidepdf.com
http://slidepdf.com/reader/full/51730104-dmz-zona-desmilitarizada 4/11
verdaderos zona desmilitarizada. Enrutadores de banda ancha a menudo la aplicación de una
zona desmilitarizada simplemente adicionales a través de las reglas del firewall, lo que significa
que las peticiones llegan directamente del servidor de seguridad. Enrutadores de banda ancha
a menudo la aplicación de una zona desmilitarizada simplemente adicionales a través de las
reglas del cortafuegos, lo que significa que las peticiones llegan directamente del servidor de
seguridad. En una verdadera zona de distensión, las solicitudes deben pasar primero por una
zona de distensión antes de llegar al equipo de seguridad. En una verdadera zona de
distensión, las solicitudes deben pasar primero por una zona de distensión antes de llegaral
equipo de seguridad.
El concepto de Aislamiento
Los sistemas Firewall permiten def inir las reglas de acceso entre dos redes. Sin
embargo, en la práctica, las compañías cuentan generalmente con var ias subredes con
diferentes políticas de segur idad. Por esta razón, es necesar io conf igurar arquitecturas
de f irewall que aíslen las diferentes redes de una compañía. Esto se denomina"ai lami la red".
Arquitectura DMZ
Cuando algunas máquinas de la red interna deben ser accesi bles desde una red externa
(servidores web, servidores de correo electrónico, servidores FTP), a veces es necesar iocrear una nueva interfaz hacia una red separada a la que se pueda acceder tanto desde la
red interna como por vía externa sin correr el r iesgo de comprometer la segur idad de la
compañía. El término "zona desmili arizada" o DMZ hace referencia a esta zona
aislada que posee aplicaciones disponi bles para el público. La DM actúa como una
"zona de búfer " entre la red que necesita protección y la red hostil.
Los servidores en la DM se denominan "anf i riones bastión" ya que actúan como un
puesto de avanzada en la red de la compañía.
Por lo general, la política de segur idad para la DM es la siguiente:
y El tráfico de la red externa a la DMZ está autorizado
y El tráfico de la red externa a la red interna está prohibido
y El tráfico de la red interna a la DMZ está autorizado
y El tráfico de la red interna a la red externa está autorizado
y El tráfico de la DMZ a la red interna está prohibido y El tráfico de la DMZ a la red externa está denegado
De esta manera, la DM posee un nivel de segur idad intermedio, el cual no es lo
suf icientemente alto para almacenar datos imprescindi bles de la compañía.
Debe observarse que es posi ble instalar las DM en forma interna para aislar la redinterna con niveles de protección var iados y así evitar intrusiones internas.
5/11/2018 51730104-DMZ-Zona-desmilitarizada - slidepdf.com
http://slidepdf.com/reader/full/51730104-dmz-zona-desmilitarizada 5/11
Screened Subnet (DMZ)
La arquitectura Screened Subnet , también conocida como
red perimétrica o De-Militarized Zone (DMZ) es con
diferencia la más utilizada e implantada hoy en día, ya
que añade un nivel de seguridad en las arquitecturas de
cortafuegos situando una subred (DMZ) entre las redes
externa e interna, de forma que se consiguen reducir los
efectos de un ataque exitoso al host bastión: como
hemos venido comentando, en los modelos anteriores
toda la seguridad se centraba en el bastión16.1
, de forma
que si la seguridad del mismo se veía comprometida, la
amenaza se extendía automáticamente al resto de la red.
Como la máquina bastión es un objetivo interesante para
muchos piratas, la arquitectura DMZ intenta aislarla en
una red perimétrica de forma que un intruso que accede
a esta máquina no consiga un acceso total a la subred
protegida.
Screened subnet es la arquitectura más segura, pero
también la más compleja; se utilizan dos routers,
denominados exterior e interior, conectados ambos a la
red perimétrica como se muestra en la figura 15.2. En
esta red perimétrica, que constituye el sistema
cortafuegos, se incluye el host bastión y también se
podrían incluir sistemas que requieran un acceso
controlado, como baterías de módems o el servidor de
correo, que serán los únicos elementos visibles desde
fuera de nuestra red. El router exterior tiene como misión
5/11/2018 51730104-DMZ-Zona-desmilitarizada - slidepdf.com
http://slidepdf.com/reader/full/51730104-dmz-zona-desmilitarizada 6/11
bloquear el tráfico no deseado en ambos sentidos (hacia
la red perimétrica y hacia la red externa), mientras que el
interior hace lo mismo pero con el tráfico entre la red
interna y la perimétrica: así, un atacante habría de romper la seguridad de ambos routers para acceder a la
red protegida; incluso es posible implementar una zona
desmilitarizada con un único router que posea tres o más
interfaces de red, pero en este caso si se compromete
este único elemento se rompe toda nuestra seguridad,
frente al caso general en que hay que comprometer
ambos, tanto el externo como el interno. También
podemos, si necesitamos mayores niveles niveles de
seguridad, definir varias redes perimétricas en serie,
situando los servicios que requieran de menor fiabilidad
en las redes más externas: así, el atacante habrá de saltar
por todas y cada una de ellas para acceder a nuestros
equipos; evidentemente, si en cada red perimétrica se
siguen las mismas reglas de filtrado, niveles adicionales
no proporcionan mayor seguridad. En el capítulo 4 de
[CZ95] podemos consultar con más detalle las funciones
de cada elemento del sistema cortafuegos, así como
aspectos de su implementación y configuración.
5/11/2018 51730104-DMZ-Zona-desmilitarizada - slidepdf.com
http://slidepdf.com/reader/full/51730104-dmz-zona-desmilitarizada 7/11
Figura 15.2:
Arquitectura DMZ.
Esta arquitectura de cortafuegos elimina los puntos
únicos de fallo presentes en las anteriores: antes de llegar
al bastión (por definición, el sistema más vulnerable) un
atacante ha de saltarse las medidas de seguridad
impuestas por el enrutador externo. Si lo consigue, como hemos aislado la máquina bastión en una subred estamos
reduciendo el impacto de un atacante que logre
controlarlo, ya que antes de llegar a la red interna ha de
comprometer también al segundo router ; en este caso
extremo (si un pirata logra comprometer el segundo
router ), la arquitectura DMZ no es mejor que un screened
host . Por supuesto, en cualquiera de los tres casos
(compromiso del router externo, del host bastión, o del
router interno) las actividades de un pirata pueden violar
nuestra seguridad, pero de forma parcial: por ejemplo,
simplemente accediendo al primer enrutador puede
5/11/2018 51730104-DMZ-Zona-desmilitarizada - slidepdf.com
http://slidepdf.com/reader/full/51730104-dmz-zona-desmilitarizada 8/11
aislar toda nuestra organización del exterior, creando una
negación de servicio importante, pero esto suele ser
menos grave que si lograra acceso a la red protegida.
Aunque, como hemos dicho antes, la arquitectura DMZ es
la que mayores niveles de seguridad puede proporcionar,
no se trata de la panacea de los cortafuegos.
Evidentemente existen problemas relacionados con este
modelo: por ejemplo, se puede utilizar el f irewall para
que los servicios fiables pasen directamente sin acceder al
bastión, lo que puede dar lugar a un incumplimiento de la
política de la organización. Un segundo problema, quizás
más grave, es que la mayor parte de la seguridad reside
en los routers utilizados; como hemos dicho antes las
reglas de filtrado sobre estos elementos pueden ser
complicadas de configurar y comprobar, lo que puede dar
lugar a errores que abran importantes brechas de
seguridad en nuestro sistema.
Las Características que nos ofrecerá nuesto DMZserán:
- Filtrado de paquetes a cualquier zona- NAT, Mapero Bidireccional- Colas de tráfico y Prioridad
- Salidas redundantes / balanceo de carga- Balanceo de carga a servicios- Filtrado de contenido (web-cache)- Monitoreo de tráfico en interfaces via netflow
..:: Solusan - Otro blog más ::..
5/11/2018 51730104-DMZ-Zona-desmilitarizada - slidepdf.com
http://slidepdf.com/reader/full/51730104-dmz-zona-desmilitarizada 9/11
Que es una DMZ?
Por Solusan el 29 de March de 2007 en BSD, Debian, FreeBSD, Gentoo, Linux, OpenBSD, SuSE,
Ubuntu
Una DMZ (del inglés Demilitarized zone) o Zona DesMilitar izada.
Una zona desmilitarizada (DMZ) o red perimetral es una red
local que se ubica entre la red interna de una organización y una red
externa, generalmente Internet.
El ob jetivo de una DMZ es que las conexiones desde la red interna y la externa a la
DMZ estén permitidas, mientras que las conexiones desde la DMZ sólo se permitan a la
red externa, es decir: los equi pos locales (hosts) en la DMZ no pueden conectar con la
red interna.
Esto permite que los equi pos (hosts) de la DMZ¶s puedan dar servicios a la red externaa la vez que protegen la red interna en el caso de que intrusos comprometan la segur idad
de los equi pos (host) situados en la zona desmilitar izada. Para cualquiera de la red
externa que quiera conectarse ilegalmente a la red interna, la zona desmilitar izada seconvier te en un calle jón sin salida.
La DMZ se usa habitualmente para ubicar servidores que es necesar io que sean
accedidos desde fuera, como servidores de e-mail, Web y DNS.
Esto se ve muchísimo más claro en un esquema:
5/11/2018 51730104-DMZ-Zona-desmilitarizada - slidepdf.com
http://slidepdf.com/reader/full/51730104-dmz-zona-desmilitarizada 10/11
Las conexiones que se realizan desde la red externa hacia la DMZ se controlangeneralmente utilizando por t address translation (PAT).
Habitualmente una conf iguración DMZ es usar dos cor tafuegos, donde la DMZ se sitúa
en medio y se conecta a ambos cor tafuegos, uno conectado a la red interna y el otro a la
red externa. Esta conf iguración ayuda a prevenir conf iguraciones erróneas accidentales
que permitan el acceso desde la red externa a la interna. Este ti po de conf iguracióntambién es llamado cor tafuegos de subred monitoreada (screened-subnet f irewall).
Origen del término:
El término zona desmilitarizada es tomado de la fran ja de terreno neutral que separa aambas Coreas, y que es una reminiscencia de la Guerra de Corea, aún vigente y en
tregua desde 1953. Paradó jicamente, a pesar de que esta zona desmilitar izada es terrenoneutral, es una de las más peligrosas del planeta, y por ello da nombre al sistema DMZ.
5/11/2018 51730104-DMZ-Zona-desmilitarizada - slidepdf.com
http://slidepdf.com/reader/full/51730104-dmz-zona-desmilitarizada 11/11
Un término relacionado directamente con esta tecnlogía es el llamado equi po bastión,
éste, normalmente a través de dos tar jetas de red (interfaces) mantiene aislada la redlocal de la red externa, es decir, la LAN de la WAN.
En pocas palabras, un PC con dos patitas.
Esta explicación es una transcr i pción de la wiki pedia, con par tes de mi cosecha.
Per es perfecto para tener una nota rápida con un esquema claro.