DMZ

ARQUITECTURA DMZ (Zona Desmilitarizada)

En seguridad informática una zona desmilitarizada (DMZ/ demilitarized Zone)

o red perimetral es una red local (una subred) que se ubica entre la red interna de una organización y una red externa, generalmente Internet.

Una Zona Desmilitarizada es un segmento especial de una red donde se encuentran aplicaciones o servicios que pueden ser accesibles desde internet y por consiguiente pueden tener ataques de seguridad, como son:

• Aplicaciones Web
• Servidores FTP
• DNS
• Correo Electrónico, etc.

El  objetivo  de  una  DMZ  es  aislar  de  la  red interna de una empresa los servicios y aplicaciones  que  pueden  ser  accesibles desde internet. Esto con  el  fin  de  proteger  la red  interna  aún cuando los servicios públicos reciban ataques que puedan afectar la seguridad del sistema.

Esto permite que los equipos (host) de la DMZ dar servicios a la red externa a la vez que protegen la red interna en el caso de que intrusos comprometan la seguridad de los equipos (host) situados en la zona desmilitarizada. Para cualquiera de la red externa que quiera conectarse ilegalmente a la red interna, la zona desmilitarizada dse convertira en un callejón sin salida.

Esta configuración ayuda a prevenir configuraciones erróneas accidentales que permitan al acceso desde la red externa a la interna. 

Diagrama de una red típica que usa una DMZ con un cortafuegos de tres patas (three-legged).

USO

La DMZ se usa habitualmente para ubicar servidores que necesariamente son accedidos desde fuera, como los servidores de e-mail, Web y DNS.

Esto se puede apreciar con claridad en el siguiente  esquema:

Las conexiones que se realizan desde la red externa hacia la DMZ se controlan generalmente utilizando Port Addres Traslation (PAT), que es una característica del estándar NAT que traduce conexiones TCP y UDP hechas  por un puerto en una red externa a otra dirección y puerto de red externa. Permite que una sola dirección IP sea utilizada por vareias máquinas de la intrenet.

Una DMZ se crea a menudo a través de las opciones de configuración de cortafuegos, donde cada red se conecta a un puerto distinto de éste. Esta configuración se llama cortafuegos en trípode (three-legged firewall). Un planteamiento más seguro es usar dos cortafuegos, donde la DMZ se sitúa en medio y se conecta a ambos cortafuegos, uno conectado a la red interna y el otro a la red externa. Esta configuración ayuda a prevenir configuraciones erróneas accidentales que permitan el acceso desde la red externa a la interna. Este tipo de configuración también es llamado cortafuegos de subred monitoreada (screened-subnet firewall).

Generalmente una DMZ se construye separando las 3 redes (DMZ, Red Interna e Internet) con uno o dos cortafuegos que permitan filtrar el tráfico tanto de entrada como de salida.

Política de seguridad de la DMZ

Generalmente, la política de seguridad para la DMZ es la siguiente:

• El tráfico de la red externa a la DMZ está autorizado
• El tráfico de la red externa a la red interna está prohibido
• El tráfico de la red interna a la DMZ está autorizado
• El tráfico de la red interna a la red externa está autorizado
• El tráfico de la DMZ a la red interna está prohibido
• El tráfico de la DMZ a la red externa está denegado

De esta manera, la DMZ posee un nivel de seguridad intermedio, el cual no es lo suficientemente alto para almacenar datos imprescindibles de la compañía.

Origen del termino

El  término  zona  desmilitarizada fue de la franja de terreno neutral que separa a los países inmersos en un conflicto bélico. Es una reminiscencia de la Guerra de Corea, aún vigente y en tregua desde 1953. Paradójicamente, a pesar de que esta zona desmilitarizada es terreno neutral, es una de las más peligrosas del planeta, y por ello da nombre al sistema DMZ