Aprende que es DMZ Server (zona desmilitarizada)

Desde
1 Oct 2019
Mensajes
2,334
Reacciones
2,120
Honor
540
En el campo de la seguridad informática; sin embargo, la DMZ (zona desmilitarizada) es una subred lógica o física que contiene la mayoría de los servicios de red conectados externamente que se conectan a Internet. El propósito principal de la DMZ es proporcionar otra capa de seguridad para una red de área local (LAN). Si un actor deshonesto puede obtener acceso a los servicios ubicados en la DMZ, no puede obtener acceso completo a la parte principal de la red.

¿Cuál es el propósito de una DMZ?​

En la mayoría de las redes informáticas, los componentes más vulnerables son los hosts informáticos que son responsables de proporcionar servicios al usuario final, como web, DNS ( sistema de nombres de dominio ) y servidores de correo electrónico. Debido a las probabilidades de que uno de estos servidores se vea comprometido a través de exploits publicados o descubiertos recientemente, cuando se emplea el concepto DMZ, se configuran para residir dentro de su propia subred. Esto permite proteger el resto de la red si un actor deshonesto o un pirata informático logra atacar cualquiera de los servidores.

Cualquier host de computadora que se coloque en la DMZ tendrá conectividad limitada con otros hosts que residen únicamente dentro de la red interna. La DMZ permite la comunicación entre hosts ubicados dentro de la DMZ y con la red externa o Internet. Este aspecto de la DMZ permite que los servidores brinden servicios tanto a las redes externas como a las internas. En esta configuración, se utiliza un firewall de computadora para monitorear y controlar el tráfico de red entre los servidores ubicados dentro de la DMZ y las computadoras cliente de la red interna. Desafortunadamente, las configuraciones DMZ no proporcionarán mucha protección contra ataques a la red interna, como suplantación de correo electrónico o análisis de tráfico de red o detección de paquetes.

¿Qué servicios se colocan normalmente en la DMZ?​

Cualquier servicio de red que se ejecute como servidor y requiera comunicación con una red externa o Internet se puede colocar en la DMZ. Los servicios más comunes ubicados en la DMZ incluyen: correo o servidores de correo electrónico, servidores FTP, servidores web y servidores VOIP. La decisión sobre qué servidor (s) colocar dentro de la DMZ se basa en la política general de seguridad informática de una organización y en el análisis de recursos de los inconvenientes de la ubicación fuera del dominio principal.
todo soibre dmz.png
Al configurar un servidor de correo electrónico para que esté dentro de la DMZ, la base de datos del usuario y los mensajes de correo electrónico asociados se almacenan normalmente en servidores del dominio principal para mantenerlos más seguros de Internet. Se puede acceder a esta información desde el servidor de correo electrónico ubicado dentro de la DMZ que está expuesta a la red externa; sin embargo, el servidor de correo es el principal responsable de pasar el correo electrónico entrante y saliente entre los servidores internos e Internet.

Por lo general, se requiere que los servidores web de red se comuniquen con una base de datos interna ubicada en un servidor de base de datos que puede contener información confidencial para la organización. Como resultado, el servidor de la base de datos normalmente reside en la red interna en una configuración DMZ y las comunicaciones se realizan a través de un firewall de aplicaciones para mantener la seguridad general.

En muchas redes comerciales, también hay un servidor proxy instalado dentro de la DMZ de la red para ayudar a garantizar el cumplimiento legal de las regulaciones nacionales y ayudar a los administradores de red a monitorear el comportamiento del usuario final mientras están en línea. Esta acción normalmente requiere que los empleados utilicen el servidor proxy para navegar por Internet. La construcción del servidor proxy puede resultar en una reducción del ancho de banda de Internet para los usuarios de la red, según el número de solicitudes HTTP que se deniegan y la configuración general del servidor.

Arquitectura DMZ​

Hay varios métodos para crear una red que incluya una DMZ. Los dos métodos más comúnmente implementados son el modelo de tres patas (firewall único) y una red con firewalls duales. Cada una de estas configuraciones arquitectónicas primarias se puede ampliar aún más para crear una arquitectura de red compleja según los requisitos de la empresa o de la organización.

Modelo DMZ de tres patas (cortafuegos único)​

El modelo DMZ de tres patas hace uso de un solo firewall con un mínimo de tres interfaces de red para crear la arquitectura que contiene una DMZ. En esta configuración, la red externa se crea o forma desde el proveedor de servicios de Internet (ISP) hasta el firewall de la red en la primera interfaz de red. Luego, la red interna se forma a partir de la segunda interfaz de red y la red DMZ se crea a partir de la tercera interfaz de red. En el modelo de tres patas, el firewall se convierte en el único punto de falla para toda la red. También debe poder manejar todo el tráfico destinado tanto a la DMZ como a la red interna. Al dibujar la arquitectura de la red en este modelo, los códigos de color se utilizan normalmente para anotar las zonas de la red. El verde se utiliza normalmente para indicar la DMZ, el violeta para la LAN interna, el rojo para Internet,

Modelo DMZ de cortafuegos doble​

Para crear una DMZ de red más segura, se pueden utilizar dos cortafuegos para configurar la arquitectura. El firewall "Front-End" está configurado para permitir que el tráfico pase hacia / desde la DMZ únicamente. El cortafuegos "back-end" se configura para pasar el tráfico desde la DMZ a la red interna. El modelo de dos cortafuegos o cortafuegos doble se considera más seguro que la opción DMZ de tres patas, ya que tendría que haber dos cortafuegos que tendrían que estar comprometidos para que la red se vea comprometida. Algunas organizaciones incluso van tan lejos como para usar firewalls producidos por dos compañías diferentes para que sea menos probable que un pirata informático pueda usar la misma vulnerabilidad de seguridad para acceder a la red interna.

Por ejemplo, si un administrador de red comete un error de instalación o configuración en una marca de firewall, es probable que cometa el mismo error en la segunda. Si se usa un firewall de una marca o proveedor diferente para cada uno, las probabilidades de que un error de configuración se propague a través de cada firewall son mucho menores. La práctica de utilizar dos cortafuegos diferentes; sin embargo, es más costoso y requiere un esfuerzo adicional de mantenimiento en comparación con el modelo de firewall único.

¿Qué es un host DMZ?​

Hay algunos enrutadores de red producidos comercialmente para el hogar que hacen referencia a un host DMZ . Cuando esto ocurre, el “host” se ubica en la red interna con todos los puertos abiertos excepto los reenviados. En esta configuración, el "host" no actúa como una DMZ pura, ya que el host no está separado de la red interna. Esto se debe al hecho de que el host DMZ mantiene la capacidad de conectarse a todos los hosts ubicados en la red interna. En verdaderas configuraciones DMZ, estas conexiones deben realizarse a través de un cortafuegos de separación. Desafortunadamente, el host DMZ puede proporcionar una falsa sensación de seguridad a los nuevos administradores o gerentes de red. En cambio, normalmente se utiliza como un método directo de reenvío de puertos a otro cortafuegos o dispositivo NAT.

¿Cómo crear una DMZ?​

La forma más sencilla de configurar una DMZ es utilizar un cortafuegos que tenga tres o más interfaces de red en el modelo DMZ de tres patas. En esta configuración, a cada una de las interfaces se le asignará una de las siguientes funciones: red interna, red DMZ y red externa (Internet). Normalmente, una tarjeta Ethernet de cuatro puertos en el cortafuegos permitirá configurar esta configuración de red.

Cómo configurar una DMZ en Linksys​

Se puede configurar una DMZ en un enrutador Linsys activando el reenvío del enrutador a un host interno ubicado en la LAN o red protegida.

Paso 1 : conecte una computadora mediante un cable Ethernet al enrutador Linksys.
Paso 2 : inicie el navegador web de la computadora e ingrese la dirección IP del enrutador Linksys en la barra de herramientas de dirección web, que generalmente es 192.168.1.1, seguido de presionar la tecla "Intro" o la tecla "Retorno".
Paso 3 : ingrese la contraseña de administrador para el enrutador. La contraseña predeterminada en muchos modelos de Linksys es "admin".
Paso 4 : seleccione la pestaña del menú "Seguridad" ubicada en la parte superior de la interfaz web del enrutador Linksys.
Paso 5 : desplácese hasta la parte inferior de la ventana de la pestaña de seguridad y seleccione el cuadro desplegable con la etiqueta "DMZ". Luego, elija la opción de menú "habilitar".
Paso 6 : ingrese una dirección IP para el host de la computadora de destino. Este host puede ser una computadora de escritorio remota, un servidor web o cualquier computadora que necesite poder acceder a Internet. La dirección IP a la que se reenvía el tráfico de red debe ser estática. Si usa una dirección IP asignada dinámicamente, la próxima vez que reinicie la computadora, la capacidad de reenvío puede perderse o no funcionar.
Paso 7 : elija el botón de menú "Guardar configuración" y luego cierre la consola del enrutador.

Importancia de las reglas del cortafuegos DMZ​

Una vez que se ha configurado un firewall como parte de una DMZ de red, se debe confirmar el conjunto de reglas para proteger la DMZ de Internet, así como proteger la LAN o red interna de la DMZ. Al hacer esto, será más difícil para un atacante obtener acceso a la red interna si obtiene acceso a un host o hosts DMZ. Si no está seguro de para qué se configurará el cortafuegos, lea las instrucciones del fabricante o las especificaciones del cortafuegos antes de implementar la DMZ. Esto ayudará a evitar que su red se ponga en riesgo inadvertidamente debido a una configuración incorrecta del firewall.

¿Cómo deshabilitar la DMZ?​

Aunque configurar una DMZ puede tener sentido para muchas organizaciones, puede resultar en que las redes pequeñas coloquen recursos fuera del firewall que no necesitan estar abiertos a ataques. Para estos casos y otros en los que los administradores de red necesitan realizar la resolución de problemas de la configuración de la red, puede ser necesario deshabilitar la DMZ. Los siguientes pasos demuestran cómo deshabilitar una configuración DMZ en enrutadores Linksys, Netgear, Belkin y D-Link.

Linksys DMZ​

Paso 1 : conecte una computadora al enrutador Linksys usando un cable Ethernet.
Paso 2 : inicie el navegador web de la computadora e ingrese “192.168.1.1” sin las comillas en el campo de texto de la dirección web y luego haga clic en la tecla “ingresar” o “regresar”.
Paso 3 : Ingrese "admin" para la contraseña del enrutador si no ha configurado una contraseña única para el enrutador anteriormente. Si es así, ingrese la contraseña apropiada del enrutador para obtener acceso al panel de configuración del enrutador.
Paso 4 : elija la opción de menú "Aplicaciones y juegos". Luego, seleccione la opción de menú "DMZ" del submenú.
Paso 5 : elija la opción de menú "Desactivado" y, a continuación, haga clic en la opción de menú "Guardar configuración". Esta acción desactivará la DMZ del router Linksys.
Paso 6 : salga del panel de configuración del enrutador para completar la desactivación del Linksys DMZ.

Netgear DMZ​

Paso 1 : conecte una computadora al enrutador Netgear mediante un cable Ethernet.
Paso 2 : inicie el navegador web de la computadora y escriba la dirección IP del enrutador en la barra de direcciones del navegador web para obtener acceso al panel de configuración del enrutador.
Paso 3 : ingrese “admin” como nombre de usuario del enrutador y “1234” o “contraseña” como contraseña del enrutador. La contraseña dependerá de la versión del enrutador que se esté configurando.
Paso 4 - Elija la opción de menú "Configuración WAN" ubicada en la pestaña de menú "Avanzado".
Paso 5 : anule la selección de la opción de menú "Servidor DMZ predeterminado" y, a continuación, haga clic en la opción de menú "Aplicar".
Paso 6 : salga del panel de configuración del enrutador Netgear y la DMZ se desactivará.

Belkin DMZ​

Paso 1 : conecte una computadora al enrutador de Belkin con un cable Ethernet.
Paso 2 : abra el navegador web de la computadora e ingrese "192.168.2.1" en la barra de herramientas de la dirección web.
Paso 3 : deje el campo de contraseña vacío si no ha configurado una nueva contraseña en el enrutador para iniciar sesión en el panel de configuración del enrutador.
Paso 4 : seleccione la opción de menú "Seguridad y cortafuegos".
Paso 5 - Elija la opción de menú "DMZ" y luego desmarque la selección de menú "Habilitar".
Paso 6 : elija el botón de menú "Aplicar cambios" o "Entrar" para deshabilitar la DMZ en el enrutador de Belkin.

DMZ de D-Link​

Paso 1 : conecte una computadora al enrutador D-Link y abra un navegador web.
Paso 2 : ingrese “192.168.0.1” en el campo de texto de la dirección web y luego haga clic en la tecla “ingresar” o “regresar” en su computadora.
Paso 3 : inicie sesión en el panel de configuración del enrutador usando "Admin" para el nombre de usuario y no ingrese la contraseña.
Paso 4 : elija la opción de menú "Avanzado" de la opción del menú principal.
Paso 5 : haga clic en la opción de menú "Configuración del cortafuegos" ubicada en el lado izquierdo de la pantalla de configuración.
Paso 6 - Deseleccione la opción de menú "Habilitar DMZ". Luego, seleccione la opción de menú "Guardar configuración" para completar la desactivación de D-Link DMZ.
 

Crea una cuenta o inicia sesión para comentar

Debes ser usuario para poder dejar un comentario.

¡Regístrate!

Crea una cuenta en nuestra comunidad. ¡Es fácil!

Acceder

¿Ya tienes una cuenta? Accede aquí

3,720Temas
24,515Mensajes
15,300Usuarios
thanatos13Último usuario
Top