17
noviembre
2020

DMZ: Zona Desmilitarizada

En seguridad informática, una zona desmilitarizada (DMZ: Demilitarized Zone, según sus siglas en inglés), es una red local perimetral que se ubica entre la red interna de una organización y una red externa, generalmente Internet.

El objetivo de una DMZ es que las conexiones desde la red interna a la DMZ, y desde la red externa a la DMZ, estén permitidas, mientras que en general las conexiones desde la DMZ solamente se permitan a la red externa; de este modo, se impide generalmente que los equipos de la DMZ se conecten directamente con la red interna.

Esto permite que los equipos situados en la DMZ puedan dar servicios a la red externa, a la vez que protegen la red interna en el caso de que intrusos comprometan la seguridad del equipamiento de la zona desmilitarizada. Para alguien de la red externa con intenciones de conectarse ilegalmente a la red interna, la zona desmilitarizada se convierte en un callejón sin salida.

La DMZ o red perimetral, actúa como una especie de filtro entre la conexión a Internet y la red interna de una organización, teniendo como objetivo principal verificar que las conexiones entre ambas redes sean permitidas.

La DMZ se usa habitualmente para ubicar servidores que es necesario sean accedidos desde fuera, como servicios de correo electrónico o de acceso a páginas WEB, con la característica particular de que solo estos servicios, alojados en el equipamiento de la DMZ, pueden establecer tráfico de datos entre la DMZ y la red interna, como una conexión de datos entre un servidor WEB y una base de datos protegida situada en la red interna.

Una DMZ se crea a menudo a través de las opciones de configuración del cortafuego (firewall), donde cada red se conecta a un puerto distinto.

Configuraciones para DMZ

Una zona desmilitarizada hace referencia a una red de dispositivos con un rango de direcciones IP privadas que sirve como franja de seguridad entre dos redes, separándolas mediante estrictas reglas de acceso.

Aunque físicamente los servidores dentro de una DMZ se encuentran en la misma organización, no están conectados directamente con los equipos de la red local interna.

La estructura del nivel de protección más alto consiste en firewalls que separan la zona desmilitarizada de la red local e Internet; por su parte, en arquitecturas de red más económicas, todas las redes están conectadas a un único cortafuego con tres terminales separados.

DMZ con Dos Cortafuegos (Dual Firewall)

Con el fin de proteger a las redes corporativas de ataques desde las redes de área amplia (WAN), se suele aplicar el concepto de zona desmilitarizada con dos cortafuegos, que consiste en un firewall externo que protege la DMZ de la red pública, y otro firewall interno entre la DMZ y la red empresarial. Los cortafuegos pueden ser independientes, por hardware o software.

Esta arquitectura de seguridad en dos etapas hace posible la configuración de rutas estáticas que regulan el tráfico entre las redes de la siguiente manera:

  • Si el usuario se encuentra en la red externa (Internet), tendrá acceso a la DMZ, pero no a la red interna (LAN).
  • Si el usuario está en la red interna (LAN), tendrá acceso tanto a la DMZ como a la red externa (Internet).
  • Si el usuario se ubica en la DMZ, no podrá acceder ni a la red externa (Internet) ni a la interna (LAN).

Además, es recomendable implementar cortafuegos de diferentes proveedores; de no ser así, una vez identificada una vulnerabilidad en uno de los firewalls, un atacante podría acceder sin ningún problema al otro.

Para evitar los ataques de un servidor infectado a otros dispositivos dentro de la zona desmilitarizada, es posible implementar software de cortafuegos adicionales o VLAN.

DMZ con Un Cortafuego

Para implementar una zona desmilitarizada de manera más económica, es posible utilizar un único firewall de gran alcance (un router con firewall, por ejemplo), con terminales para tres conexiones de red separadas: una para Intranet, otra para Internet y otra para la DMZ.

En este tipo de zona desmilitarizada, todos los puertos son supervisados por separado por el mismo firewall, lo que lo convierte en el punto único de fallo (SPOF: Single Point Of Failure). Es fundamental emplear un cortafuego que sea capaz de hacer frente al tráfico de Internet, así como a los diferentes accesos a la red interna.

Host Expuesto

Muchos router que proporcionan los proveedores de Internet, cuentan en su configuración, con una opción para habilitar una DMZ mediante la cual un equipo de la organización se hace accesible desde Internet como “host expuesto” o exposed host, siendo su función principal recibir todas las solicitudes desde Internet enviadas por el router.

Activar esta opción, no es muy recomendable, ya que se definiría que la protección de red dependiera exclusivamente del router. En este caso es oportuno señalar que un router no es un dispositivo que se haya diseñado específicamente para cumplir las funciones de firewall, siendo sus características de seguridad mucho más reducidas.

Un “host expuesto” no iguala el nivel de protección ofrecido por una verdadera zona desmilitarizada, principalmente debido a que no está separado de la red local. En cualquier caso, es recomendable utilizar otros tipos de herramientas de monitoreo, detección y prevención.

Ventajas y Desventajas

Las arquitecturas de seguridad perimetral con el empleo de DMZ, engloban diferentes esquemas en los que es posible configurar varias soluciones para cumplir con distintos niveles de seguridad requeridos.

Para la implementación de alguna arquitectura, se requiere evaluar las necesidades de la organización, analizando su operación ininterrumpida, sus recursos y los servicios que se brindan, además de su distribución geográfica.

Algunos sistemas que hay que tomar en cuenta son: Intranets, sitios de comercio electrónico, conmutadores, video vigilancia IP, ERP (Enterprise Resource Planning o Planificación de Recursos Empresariales), CRM (Customer Relationship Management o Gestión de Relaciones con Clientes), bases de datos, entre otros.

Una vez identificados todos estos puntos se debe de considerar también a qué usuarios se les brindaran los servicios, es decir, si son internos, si son usuarios en el Internet, o si se usarán por desde sucursales geográficamente distantes, entre otros.

Con estos datos es posible diseñar una arquitectura adecuada para la DMZ, y en este sentido, incluso combinarlas, para maximizar sus ventajas y disminuir sus inconvenientes.

Algunas de las ventajas y desventajas de cada tipo de arquitectura de DMZ son:

Un firewall con DMZ

, un solo cortafuegos entre la red local e Internet, con interfaces diferentes y separadas de la zona desmilitarizada, donde los accesos hacia la red externa se brindan por medio de la reglas del firewall.

Ventajas:

  • Administración simple.
  • Arquitectura más económica.
  • Publicación de servicios de una manera más segura.
  • Estructura recomendada para puntos remotos donde se alojan sólo algunos servicios críticos, sin acceso directo a una LAN de usuarios, por ejemplo, una granja de servidores WEB.

Desventajas:

  • Mayor complejidad en la administración del Firewall.
  • Si se compromete el Firewall, toda la red se verá afectada.
  • Si se compromete un servidor o cualquier otro equipo, el atacante tendrá la posibilidad de continuar con los demás equipos sin más barreras de protección.

Dual Firewall con DMZ

: La arquitectura de alta disponibilidad de servicios con dos Firewalls ofrece niveles más altos de seguridad.

Ventajas:

  • Mayor seguridad.
  • Mejor política de accesos y reglas de filtrado.
  • Independencia total de redes y equipamiento.

Desventaja:

  • Costos más elevados.
  • Se recomienda evaluar esta arquitectura en relación a la pérdida económica que sufriría la organización en caso de comprometerse los servicios.

Seguridad en DMZ

Existen por lo general, varios consejos para ayudar a garantizar que una DMZ sea segura:

  • Preservar el aislamiento tanto como sea posible.

Mantener las reglas que permiten el tráfico entre la DMZ y una red interna lo más estrictas posible. Con frecuencia, los administradores que buscan solucionar un problema crean una regla que permite el acceso completo entre un sistema DMZ y un servidor back-end en la red interna (o toda la red interna). Esto frustra el propósito de la DMZ y la fusiona efectivamente con la red interna. En su lugar, es necesario crear reglas de Firewall que permitan la comunicación solo entre servidores específicos en puertos puntuales necesarios para cumplir con los requisitos comerciales.

  • Practicar una buena gestión de la vulnerabilidad.

Los servidores DMZ están expuestos al mundo, así que es necesario asumir medidas adicionales para asegurar de que estén completamente actualizados, a fin de hacer frente a las últimas vulnerabilidades de seguridad. Se recomienda la automatización de alertas de vulnerabilidades que comprometan el funcionamiento de la DMZ, considerando aplicar parches a los sistemas DMZ con mucha más frecuencia que a los sistemas protegidos, para reducir la ventana de vulnerabilidad entre el momento en que se lanza un parche y su aplicación en los servidores DMZ.

  • Utilizar defensas de la capa de aplicación para los servicios expuestos.

Elegir un Firewall de red que tenga una sólida protección en la capa de aplicación, en lugar de solo un filtro de puerto. Un Firewall debe tener la capacidad de inspeccionar el contenido del tráfico y bloquear solicitudes maliciosas. Un ejemplo común de esto es la detección de solicitudes WEB entrantes en busca de signos de ataques de inyección SQL, evitando que lleguen al servidor WEB.

  • Monitorear, monitorear, monitorear.

La DMZ debe ser uno de los principales focos de los esfuerzos de monitoreo de redes de una organización. En este sentido, utilizar IDS (Sistemas de Detección de Intrusiones), SIEM (Sistemas de Gestión de Eventos e Incidentes de Seguridad), supervisión de registros y otras herramientas para mantenerse alerta a las señales de un ataque, debe formar parte del buen hacer de las políticas de la organización.

De forma general, los sistemas en la DMZ están en el extremo puntiagudo de la lanza de seguridad de la red, y sujetos siempre a ataques externos a diario. Por esta razón, es importante invertir esfuerzos en garantizar rigurosamente de que se encuentren entre los servidores más seguros de una organización.

La compañía Infotecs ha desarrollado aparte de la VPN punto a punto de la Tecnología ViPNet, la solución ViPNet Threat Detection & Response para detectar ataques del día cero y tener el control de las amenazas que vienen por la red y tomar acciones inmediatas para su erradicación.