Universidad Tcnica del Norte F.I.C.

A Nombre: Fabin Bastidas Fecha: 2012-12-02 Materia: Redes II Zona desmilitarizada (DMZ) Objetivo: Primario: Conocer que es y para que se usa las DMZ

Secundarios: Aprender el concepto de DMZ Conocer sus caractersticas y usos.

Introduccin: El concepto de Aislamiento

Los sistemas Firewall permiten definir las reglas de acceso entre dos redes. Sin embargo, en la prctica, las compaas cuentan generalmente con varias subredes con diferentes polticas de seguridad. Por esta razn, es necesario configurar arquitecturas de firewall que aslen las diferentes redes de una compaa. Esto se denomina "aislamiento de la red". Origen del trmino El trmino zona desmilitarizada aplicado a la seguridad informtica procede probablemente de la franja de terreno neutral que separa a los pases inmersos en un conflicto blico. Es una reminiscencia de la Guerra de Corea, an vigente y en tregua desde 1953. Paradjicamente, a pesar de que esta zona desmilitarizada es terreno neutral, es una de las ms peligrosas del planeta, y por ello da nombre al sistema DMZ.

Marco terico:
En seguridad informtica, una zona desmilitarizada (DMZ, demilitarized zone) o red perimetral es una red local que se ubica entre la red interna de una organizacin y una red externa, generalmente Internet. El objetivo de una DMZ es que las conexiones desde la red interna y la externa a la DMZ estn permitidas, mientras que las conexiones desde la DMZ slo se permitan a la red externa -los equipos (hosts) en la DMZ no pueden conectar con la red interna. Esto permite que los equipos (hosts) de la DMZ puedan dar servicios a la red externa

a la vez que protegen la red interna en el caso de que intrusos comprometan la seguridad de los equipos (host) situados en la zona desmilitarizada. Para cualquiera de la red externa que quiera conectarse ilegalmente a la red interna, la zona desmilitarizada se convierte en un callejn sin salida. La DMZ se usa habitualmente para ubicar servidores que es necesario que sean accedidos desde fuera, como servidores de e-mail, Web y DNS. Las conexiones que se realizan desde la red externa hacia la DMZ se controlan generalmente utilizando port address translation (PAT). Una DMZ se crea a menudo a travs de las opciones de configuracin de los cortafuegos, donde cada red se conecta a un puerto distinto de ste. Esta configuracin se llama cortafuegos en trpode (three-legged firewall). Un planteamiento ms seguro es usar dos cortafuegos, donde la DMZ se sita en medio y se conecta a ambos cortafuegos, uno conectado a la red interna y el otro a la red externa. Esta configuracin ayuda a prevenir configuraciones errneas accidentales que permitan el acceso desde la red externa a la interna. Este tipo de configuracin tambin es llamado cortafuegos de subred monitoreada (screenedsubnet firewall). Arquitectura DMZ

Cuando algunas mquinas de la red interna deben ser accesibles desde una red externa (servidores web, servidores de correo electrnico, servidores FTP), a veces es necesario crear una nueva interfaz hacia una red separada a la que se pueda acceder tanto desde la red interna como por va externa sin correr el riesgo de comprometer la seguridad de la compaa. El trmino "zona desmilitarizada" o DMZ hace referencia a esta zona aislada que posee aplicaciones disponibles para el pblico. La DMZ acta como una "zona de bfer" entre la red que necesita proteccin y la red hostil.

Los servidores en la DMZ se denominan "anfitriones bastin" ya que actan como un puesto de avanzada en la red de la compaa.

Por lo general, la poltica de seguridad para la DMZ es la siguiente:

El trfico de la red externa a la DMZ est autorizado El trfico de la red externa a la red interna est prohibido

El El El El

trfico trfico trfico trfico

de de de de

la la la la

red red DMZ DMZ

interna a la DMZ interna a la red a la red interna a la red externa

est autorizado externa est autorizado est prohibido est denegado

De esta manera, la DMZ posee un nivel de seguridad intermedio, el cual no es lo suficientemente alto para almacenar datos imprescindibles de la compaa.

Debe observarse que es posible instalar las DMZ en forma interna para aislar la red interna con niveles de proteccin variados y as evitar intrusiones internas. Caractersticas y Esquemas Una zona desmilitarizada (DMZ) o red perimetral es una red que se ubica entre la red interna de una organizacin y la red externa. Los servicios pblicos que deben ser accesibles desde la red exterior se sitan en la DMZ. La red interna puede acceder tanto a la DMZ como a la red externa, sin embargo, ni la DMZ ni la red externa tiene acceso a la red interna. Permite establecer reglas ms restrictivas para la red interna, aumentado as la seguridad. Si un servidor pblico se viese comprometido no se rompera la seguridad de la red interna. Los servidores situados en la DMZ estn ms protegidos frente a la red interna. Para implementarlo se suelen seguir dos esquemas: Cortafuegos de tres vas Se usa un nico cortafuegos con tres tarjetas de red para distinguir la red interna, externa y la DMZ. Doble cortafuegos El primer cortafuegos protege la DMZ y se conecta a un segundo cortafuegos (cortafuegos de contencin) detrs del cual se encuentra la red interna. Esta configuracin provoca que si el cortafuegos exterior se viese comprometido, no afectara directamente a la red interna.

Figura: Zona Desmilitarizada con cortafuegos de tres vas

Figura: Zona Desmilitarizada con doble cortafuegos

Bibliografa:

-Desconocido. DMZ (Zona desmilitarizada),

[En lnea]. Noviembre 2012.

http://es.kioskea.net/contents/protect/dmz-cloisonnement.php3
-Desconocido. Zona desmilitarizada (informtica), [En lnea]. Octubre 2012.

http://es.wikipedia.org/wiki/Zona_desmilitarizada_(inform%C3%A1tica)

- Camilo Ernesto Ochoa. Zona desmilitarizada (DMZ),

[En lnea]. Noviembre 2009.

http://cojala.blogspot.com/2009/09/zona-desmilitarizadas-dmz.html