De acuerdo

DMZ (Demilitarized Zone)

Última respuesta oct. 10, 2021 17:08:24 350 2 1 0 1

¿Qué es una red DMZ?

Una zona desmilitarizada o Demilitarized Zone (DMZ) es una red perimetral que protege la red de área local (LAN) interna de una organización del tráfico que no es de confianza. 

Un significado común de DMZ es una subred que se encuentra entre la Internet pública y las redes privadas. Expone los servicios externos a redes que no son de confianza y agrega una capa adicional de seguridad para proteger los datos confidenciales almacenados en las redes internas, utilizando firewalls para filtrar el tráfico.

El objetivo final de una DMZ es permitir que una organización acceda a redes que no son de confianza, como Internet, al tiempo que garantiza que su red privada o LAN permanezca segura. Las organizaciones suelen almacenar servicios y recursos externos, así como servidores para el sistema de nombres de dominio (DNS), el protocolo de transferencia de archivos (FTP), el correo, el proxy, el protocolo de voz sobre Internet (VoIP) y los servidores web, en la DMZ. 

Estos servidores y recursos están aislados y tienen acceso limitado a la LAN para garantizar que se pueda acceder a ellos a través de Internet, pero la LAN interna no. Como resultado, un enfoque de DMZ hace que sea más difícil para un pirata informático obtener acceso directo a los datos y servidores internos de una organización a través de Internet.

 

DMZ


¿Cómo funciona una red DMZ?

Las empresas con un sitio web público que utilizan los clientes deben hacer que su servidor web sea accesible desde Internet. Hacerlo significa poner en riesgo toda su red interna. Para evitar esto, una organización podría pagar a una empresa de alojamiento para alojar el sitio web o sus servidores públicos en un firewall, pero esto afectaría el rendimiento. Entonces, en cambio, los servidores públicos están alojados en una red que está separada y aislada.

Una red DMZ proporciona un búfer entre Internet y la red privada de una organización. La DMZ está aislada por una puerta de enlace de seguridad, como un firewall, que filtra el tráfico entre la DMZ y una LAN. La DMZ está protegida por otra puerta de enlace de seguridad que filtra el tráfico procedente de redes externas.

Tiene una ubicación ideal entre dos cortafuegos y la configuración del cortafuegos DMZ garantiza que los paquetes de red entrantes sean observados por un firewalls (u otras herramientas de seguridad) antes de que lleguen a los servidores alojados en la DMZ. Esto significa que incluso si un atacante sofisticado puede pasar el primer firewall, también debe acceder a los servicios reforzados en la DMZ antes de que puedan dañar una empresa.

Si un atacante puede penetrar el firewall externo y poner en peligro un sistema en la DMZ, también tendrá que pasar un firewall interno antes de obtener acceso a datos corporativos confidenciales. Es posible que un mal actor altamente calificado pueda violar una DMZ segura, pero los recursos dentro de ella deberían hacer sonar alarmas que brinden una advertencia de que se está produciendo una violación.

Las organizaciones que necesitan cumplir con las regulaciones, como la Ley de Portabilidad y Responsabilidad de los Seguros de Salud (HIPAA), a veces instalarán un servidor proxy en la DMZ. Esto les permite simplificar la supervisión y el registro de la actividad del usuario, centralizar el filtrado de contenido web y garantizar que los empleados utilicen el sistema para acceder a Internet.

 

Beneficios de usar una DMZ

El principal beneficio de una DMZ es proporcionar una red interna con una capa de seguridad adicional al restringir el acceso a datos y servidores confidenciales. Una DMZ permite a los visitantes del sitio web obtener ciertos servicios al tiempo que proporciona un búfer entre ellos y la red privada de la organización. Como resultado, la DMZ también ofrece beneficios de seguridad adicionales, como:

  • Habilitación del control de acceso: las empresas pueden proporcionar a los usuarios acceso a servicios fuera de los perímetros de su red a través de la Internet pública. La DMZ permite el acceso a estos servicios mientras implementa la segmentación de la red para que sea más difícil para un usuario no autorizado acceder a la red privada. Una DMZ también puede incluir un servidor proxy, que centraliza el flujo de tráfico interno y simplifica la supervisión y el registro de ese tráfico. 

  • Prevención del reconocimiento de la red: al proporcionar un búfer entre Internet y una red privada, una DMZ evita que los atacantes realicen el trabajo de reconocimiento que realizan para buscar objetivos potenciales. Los servidores dentro de la DMZ están expuestos públicamente, pero un firewall les ofrece otra capa de seguridad que evita que un atacante vea el interior de la red interna. Incluso si un sistema DMZ se ve comprometido, el firewall interno separa la red privada de la DMZ para mantenerla segura y dificultar el reconocimiento externo. 

  • Bloqueo de la suplantación de identidad del Protocolo de Internet (IP): los atacantes pueden intentar obtener acceso a los sistemas falsificando una dirección IP y haciéndose pasar por un dispositivo aprobado conectado una red. Una DMZ puede descubrir y detener dichos intentos de suplantación cuando otro servicio verifica la legitimidad de la dirección IP. La DMZ también proporciona segmentación de la red para crear un espacio para que se organice el tráfico y se acceda a los servicios públicos fuera de la red privada interna. 

Los servicios de una DMZ incluyen:

  • Servidores DNS

  • Servidores FTP

  • Servidores de correo

  • Servidores proxy

  • Servidores web


Diseño Arquitectura DMZ

Una DMZ es una "red abierta de par en par", pero hay varios enfoques de diseño y arquitectura que la protegen. Una DMZ se puede diseñar de varias formas, desde un enfoque de firewall único hasta tener firewalls dobles y múltiples. La mayoría de las DMZ modernas Las arquitecturas utilizan firewalls duales que se pueden expandir para desarrollar sistemas más complejos.

  • Cortafuegos único: una DMZ con un diseño de cortafuegos único requiere tres o más interfaces de red. La primera es la red externa, que conecta la conexión pública de Internet al firewall. El segundo forma la red interna, mientras que el tercero está conectado a la DMZVarias reglas monitorean y controlan el tráfico que puede acceder a la DMZ y limitan la conectividad a la red interna. 

  • Cortafuegos doble: la implementación de dos cortafuegos con una DMZ entre ellos suele ser una opción más segura. El primer cortafuegos solo permite el tráfico externo a la DMZ y el segundo solo permite el tráfico que va desde la DMZ a la red interna. Un atacante tendría que comprometer ambos firewalls para obtener acceso a la LAN de una organización. 

Las organizaciones también pueden ajustar los controles de seguridad para varios segmentos de la red. Esto significa que un sistema de detección de intrusiones (IDS) o un sistema de prevención de intrusiones (IPS) dentro de una DMZ podría configurarse para bloquear cualquier tráfico que no sea las solicitudes del Protocolo de transferencia de hipertexto seguro (HTTPS) al puerto 443 del Protocolo de control de transmisión (TCP).

 

La importancia de las redes DMZ: ¿cómo se utilizan?

Las redes DMZ han sido fundamentales para proteger las redes empresariales desde la introducción de los firewalls. Protegen los datos, los sistemas y los recursos confidenciales de las organizaciones al mantener las redes internas separadas de los sistemas que podrían ser el objetivo de los atacantes. Las DMZ también permiten a las organizaciones controlar y reducir los niveles de acceso a sistemas sensibles.

Las empresas utilizan cada vez más contenedores y máquinas virtuales (VM) para aislar sus redes o aplicaciones particulares del resto de sus sistemas. El crecimiento de la nube significa que muchas empresas ya no necesitan servidores web internos. También han migrado gran parte de su infraestructura externa a la nube mediante el uso de aplicaciones de software como servicio (SaaS). 

Por ejemplo, un servicio en la nube como Microsoft Azure permite a una organización que ejecuta aplicaciones en las instalaciones y en redes privadas virtuales (VPN) utilizar un enfoque híbrido con la DMZ entre ambos. Este método también se puede utilizar cuando el tráfico saliente necesita auditoría o para controlar el tráfico entre un centro de datos local y redes virtuales.

Además, las DMZ están demostrando ser útiles para contrarrestar los riesgos de seguridad que plantean los dispositivos de Internet de las cosas (IoT) y los sistemas de tecnología operativa (OT), que hacen que la producción y la fabricación sean más inteligentes pero crean una vasta superficie de amenaza. Esto se debe a que los equipos de OT no han sido diseñados para hacer frente a los ciberataques o recuperarse de ellos de la forma en que lo han sido los dispositivos de IoT, lo que presenta un riesgo sustancial para los datos y recursos críticos de las organizaciones. Una DMZ proporciona segmentación de la red para reducir el riesgo de un ataque que pueda causar daños a la infraestructura industrial.

  • x
  • convención:

Gustavo.HdezF
Admin Publicado 2021-5-27 10:57:50

 

También te puede interesar:

Conociendo el concepto de HWTACACS en el ámbito de la seguridad informática

Compilación de publicaciones sobre la solución de seguridad NIP6000 de Huawei

Escenario de aplicación típica del firewall como cliente DNS


Conoce más de esta línea de productos en:

Controlador de red eSight

Foro de switches de Huawei

Foro de seguridad de Huawei

                                                      

O pregúntale al robot inteligente de Huawei, conócelo aquí: 

Infografía: Conoce a iKnow, el robot inteligente

Ver más
  • x
  • convención:

Santi_PerezGomez
Publicado 2021-10-10 17:08:24
#EncuentraComunidadEnterprise2021
Ver más
  • x
  • convención:

Comentar

Debe iniciar sesión para responder la publicación Inicio de sesión | Registrarse
Responder

Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Contrato de usuario.”

My Followers

¡Ingresa y disfruta de todos los beneficios para los miembros!

Inicia sesión

Bloquear
¿Estás seguro de bloquear a este usuario?
Los usuarios en lista negra no pueden comentar tus publicaciones,no pueden mencionarte,no pueden enviarte mensajes privados.
Recordatorio
Agrega tu número de teléfono para obtener un bono de invitación.