Question

Buenas tardes Compañeros en esta oportunidad me gustarìa entender bien el concepto de DMZ, a veces me confundo. Como opera la DMZ, como es el Diseño?

Saludos y gracias por sus respuestas !!

Answer 1

Hola Alejomar, básicamente una DMZ o una zona desmilitarizada, es un segmento de red específico, en el cual ubicamos servicios específicos de red que queremos hacer públicos a redes poco seguras como Internet.

Veamos un caso hipotético:

Por ejemplo, si tienes un servidor con el servicio de SMTP publicado a Internet y para tu mala suerte, este servicio tiene una vulnerabilidad la cual permite que un atacante tome control del servidor, esto significará que el atacante puede lanzar nuevos ataques desde este host a los otros servidores que estén en esta misma red.

Si este servicio se encuentra en tu red interna y adicionalmente el servidor es mimbro de tu dominio de Active Directory, esto quiere decir que el atacante ya tiene control de cualquier servidor o máquina de tu red.

Si desde un principio, este servidor se encontrara en una zona DMZ, y el atacante obtiene control sobre el, no le será posible atacar los otros servidores ya que estos están en la zona de red Interna.

Por lo general en las zonas DMZ, se ubican servicios como Relays de SMTP, Sitios Web públicos, etc.

Por lo general se controla el tráfico entre las zonas Interna/DMZ/Internet de la siguiente manera:

• Desde Internet hacia la Interna (no se permite ningún tipo de tráfico)
• Desde Internet hacia la DMZ (solo ciertos puertos que sean publicados)
• Desde la DMZ hacia Internet (permitido o denegado dependiendo de los requerimientos de los servidores que estén en la DMZ)
• Desde la DMZ hacia la Interna (por lo general no se permite ningún tipo de tráfico, un ejemplo en el que se permite tráfico sería si se tiene un servidor Web en la DMZ que accede a una base de datos en la red Interna)
• Desde la Interna hacia la DMZ (denegado, si los servicios que hay en la DMZ no los necesitan los usuarios de la red Interna)
• Desde la Interna hacia Internet (permitido en los protocolos que necesiten los usuarios o servidores de la red interna)

Hay dos formas de hacer una DMZ, puedes verlas en el siguiente esquema:

Si tienes un único Firewall, puedes usar el esquema que aparece en la parte de arriba de la imagen que usa 3 adaptadores de red.

Algunos administradores prefieren usar 2 Firewalls de diferentes fabricantes por si uno de ellos tiene alguna vulnerabilidad, podrán contar con la protección del otro. (Como se ve en la parte de abajo de la imagen)

No es todo lo que hay que decir, pero por lo menos te haces una idea.

Saludos

Comments

Victor y como administras los servidores de la DMZ? desde la red interna via RDP? o MMC? o sencillamente le pegas un monitor teclado y mouse y los administras dentro del propio segmento DMZ?

Answer 2

Si hablamos de un router DMZ se define como una zona desmilitarizada o zona neutral entre la red interna de una organización y una red externa, esto seria  Internet.

 

Para saber mas:

LINK 1

LINK2

Answer 3

Una DMZ corresponde a una Zona DesMilitarizada, esto quiere decir sin control alguno, o expuesto directamente a internet a todo riesgo, por lo general esta zona la gestiona un router o firewall o ambos casos y es comunmente usada para exponer ciertos servicios parciales para el acceso publico. por ejemplo

Servidores Web

Relay de correo

Exchange Edge (O transportes perimetrales)

FTP Publico

Etc

Por lo general el acceso se limita hacia ciertos servicios hasta el borde del permitro de la red interna, no pudiendo acceder a ella desde afuera, sino que queda expuesta. Estos servicios utilizan un canal seguro o encryptado para acceder desde canales no standars hacia el interior de la LAN. Los servicios como Exchange Edge utilizan por ejemplo utilizan una version reducida de LDAP para proporcionar una base de Active Directory Read only y limitada y asi enviar y recibir correo desde la DMZ hasta la LAN. Todo este ruteo lo realiza el router o firewall.

 

Espero haber sido claro y si alguien quiere agregar algo mas, bienvenido sea.