El dia de hoy un amigo me pregunto sobre ¿Qué es una DMZ?, ¿Qué servicios se colocan en la DMZ?. El concepto no lo tenia muy claro y si ¿Se necesita routers para este diseño?
Comenzare con una descripción simple: Una DMZ es una zona desmilitarizada. ¿Que quiere decir esto?. Es la zona donde están todos los servidores que tienen que tener acceso a internet forzosamente, por ejemplo la plataforma E-comerce, la plataforma web, WSUS, DNS, Mail y cualquier otro servicio que el negocio necesite publicar. Tomemos en cuenta que la premisa de las soluciones tecnológicas es que son basadas en el modelo de Negocio. El modelo de negocio es quien dicta las políticas y soluciones tecnológicas que se acoplan a este y escalen con el negocio.
Comenzare con una descripción simple: Una DMZ es una zona desmilitarizada. ¿Que quiere decir esto?. Es la zona donde están todos los servidores que tienen que tener acceso a internet forzosamente, por ejemplo la plataforma E-comerce, la plataforma web, WSUS, DNS, Mail y cualquier otro servicio que el negocio necesite publicar. Tomemos en cuenta que la premisa de las soluciones tecnológicas es que son basadas en el modelo de Negocio. El modelo de negocio es quien dicta las políticas y soluciones tecnológicas que se acoplan a este y escalen con el negocio.
Lo que nunca debes de tener en una DMZ son servicios de active directory, bases de datos servidor de archivos empresariales, intranet y nada que maneje una data sensible de la empresa.
Para eso tienes tu red de servidores donde ofreces todos estos servicios. Si se realiza con routers cuando son temas de seguridad lo mejor es escalar a los firewalls, no quiere decir que los routers no ofrezcan seguridad y que no se puedan configurar para que trabajen como firewalls.
Sin embargo, si es de aumentar la seguridad un firewall es la solución perfecta. La esencia de los routers es comunicación, transmisión eficiente, conmutación y decision de reenvío de datos por lo tanto los routers aun cuando pueden ser configurados para que actúen como "firewalls based", no son una solución de seguridad.
Diseñando la red para tener firewall podes tener toda la comunicación sobre un mismo firewall sin complicaciones. (Esto es muy usado en redes empresariales pequeñas que están en crecimiento). Sin embargo si quieres incrementar lo que es la seguridad lo mejor seria dos firewalls; bueno la verdad la N cantidad de firewalls que necesitas para asegurar la red, no debemos de restringirnos a que debemos de tener un solo firewall.
Antes de seguir con un diseño describiré un poco acerca de los firewalls. A la hora de tener un único firewall dentro de la red nuestra seguridad esta comprometida en un 100% por este dispositivo por eso debemos de diversificar nuestra seguridad con mas soluciones, de manera que nuestra seguridad se encuentre diversificada y cubramos la mayor parte de la seguridad.
Recordando siempre la premisa de seguridad que no existe una red 100% no significa que no se haga nada al respecto sino que se debe de ir aumentando las técnicas de seguridad, el diseño podemos aumentarla y tenerla diversificada aumentando así las probabilidades de detener o detectar una amenaza.
Recordando siempre la premisa de seguridad que no existe una red 100% no significa que no se haga nada al respecto sino que se debe de ir aumentando las técnicas de seguridad, el diseño podemos aumentarla y tenerla diversificada aumentando así las probabilidades de detener o detectar una amenaza.
Recordemonos otra premisa de seguridad que es prevenir es ideal. pero detectar es una necesidad. Los firewalls son para prevenir trafico, en esencia. Hoy en día existen los NGNFW (Next Generation Firewalls - analizan hasta capa7), estos se dedican a otras funciones de detección lo cual es perfecto pero tener solo uno no es ideal y regresamos a la premisa de la diversificación.
- Después de esta breve explicación de los firewalls regresamos a nuestro diseño el cual lo podemos tener en dos firewalls, el que esta de cara a internet, tiene en el la DMZ, la conexión hacia Interne y la conexión hacia el firewall interno.
- El firewall interno maneja la comunicación hacia la red interna, la red de servidores y la conexión hacia el firewall perimetral.
- Esta division tiene como fin aumentar la protección de nuestra red interna de host y nuestra red interna de servidores, poniendo dentro de la DMZ los servicios que tienen que tener acceso a internet.
El diagrama siguiente describe a continuación un diseño base de seguridad.
INTERNET
|
-------------------
| |
| |——DMZ
|
|
|
-------------------
| |
| |——SERVIDORES
-------------------
|
|
|
INTERNAL
Como ampliación a lo ya descrito, lo que se debe de tener en cuenta es que el DNS server no necesariamente debe de tenerse uno solo, porque si tenemos nuestro DNS interno empresarial en la DMZ este recibe ataques desde la red de internet y compromete nuestras zonas internas.
Así mismo el servicio de correos no deben de tener acceso directo a las computadores sino tener un servidor mail intermedio para que las conexiones que se realizan nunca sean directamente a los
Así mismo el servicio de correos no deben de tener acceso directo a las computadores sino tener un servidor mail intermedio para que las conexiones que se realizan nunca sean directamente a los
host que son los mas vulnerables ya que están en manos del usuario final.
Recordemonos que no hay tecnología que nos cubra de cualquier incidente, porque aun siendo
la mejor tecnológia si no se tiene un buen diseño, configuración y mantenimiento, esta se vuelve vulnerable contra cualquier ataque dentro de la red.
