El propósito de una DMZ
Una DMZ está diseñada para proporcionar una ubicación para servicios que pertenecen a una organización pero que son menos confiables o están más expuestos a compromisos. Los ejemplos de sistemas que se implementan comúnmente en una DMZ incluyen:
- Servidor Web
- Servidor DNS
- Servidor de correo
- Servidor FTP
Todos estos sistemas deben ser de acceso público. Sin embargo, todos ellos también son potencialmente vulnerables a verse comprometidos (como la explotación de la vulnerabilidad de la aplicación web) o podrían usarse en un ataque, como el uso de DNS para la amplificación de ataques de denegación de servicio distribuido (DDoS).
Una DMZ permite a una organización exponer la funcionalidad frente a Internet sin poner en riesgo el resto de sus sistemas internos. Si bien los sistemas ubicados en la DMZ pueden tener acceso a sistemas internos y datos confidenciales, como los datos de los clientes almacenados en bases de datos y utilizados por la aplicación web, las conexiones entre estos sistemas basados en la DMZ y los sistemas internos se someten a una inspección adicional para detectar contenido malicioso.
Arquitectura de red DMZ
Una DMZ es una subred aislada dentro de la red de una organización. La DMZ está definida por dos límites segmentados estrictos: uno entre la DMZ y la red exterior no confiable (es decir, Internet) y otro entre la DMZ y la red interna confiable.
Estos límites entre la DMZ y otras zonas rojas se aplican y protegen estrictamente. Una organización desplegará firewall en ambos límites de la DMZ. Estos Firewall de última generación (NGFW) inspeccionan todo el tráfico que cruza el límite de la red y tienen la capacidad de detectar y bloquear contenido malicioso antes de que cruce el límite de Internet a la DMZ o de la DMZ a la red interna protegida.
Estos firewallde red son esenciales para la seguridad de la DMZ porque tienen la capacidad de hacer cumplir controles de acceso entre la DMZ y los sistemas internos. Estos controles de acceso son esenciales para minimizar la posibilidad de que un sistema comprometido ponga en riesgo los sistemas internos y que un atacante pueda moverse lateralmente desde un sistema comprometido en la DMZ a través de la red.
Si bien todo lo que se necesita para definir los límites de una DMZ es un firewall, una organización también puede implementar defensas adicionales en estos límites. Dependiendo de los servicios implementados dentro de la DMZ, es posible que una organización desee implementar un firewall de aplicaciones web (WAF), una solución de escaneo de correo electrónico u otros controles de seguridad para brindar protección específica a los servicios implementados.
Beneficios de la red DMZ
La implementación de una DMZ permite a una organización definir múltiples niveles y zonas de confianza diferentes dentro de su red. Esto proporciona una serie de beneficios a una organización, incluyendo:
- Protección de los sistemas conectados a Internet: los servidores de correo electrónico, las aplicaciones web y otros sistemas conectados a Internet necesitan acceso a datos confidenciales, lo que significa que deben estar protegidos contra ataques. Colocar estos sistemas en la DMZ les permite ser accesibles a la Internet pública y al mismo tiempo estar protegidos por un firewall externo.
- Protección de sistemas internos: algunos sistemas en la DMZ (como los servidores FTP) representan una amenaza para los sistemas dentro de la red de una organización. Colocar estos sistemas en una DMZ garantiza que exista otra capa de inspección de seguridad entre estos sistemas y la red interna de la organización.
- Movimiento lateral limitado: los ciberatacantes suelen explotar un sistema para afianzarse en una red y luego ampliar su acceso desde ese punto de apoyo. Dado que los sistemas más vulnerables y explotables se encuentran en la DMZ, es más difícil utilizarlos como punto de apoyo para acceder y explotar la red interna protegida.
- Prevención del escaneo rojo: los atacantes comúnmente escanean el rojo de las organizaciones para identificar computadoras y software que pueden ser vulnerables a la explotación. La implementación de una DMZ estructura la red de modo que sólo los sistemas que están destinados a estar conectados a Internet sean realmente visibles y escaneables desde la Internet pública.
- Control de acceso mejorado: Colocar un firewall entre la red interna y los sistemas conectados a Internet permite inspeccionar todas las conexiones entre estos sistemas. Esto permite a la organización definir y hacer cumplir estrictamente los controles de acceso para proporcionar protección a los sistemas internos.
- Rendimiento de red mejorado: los sistemas conectados a Internet están diseñados para que usuarios externos accedan con frecuencia. Colocar estos sistemas en una DMZ reduce la carga en la infraestructura de la red interna y firewall, mejorando su rendimiento.
Implementación de una DMZ segura
Una DMZ proporciona a una organización un nivel adicional de protección entre la red interna de una organización y la Internet pública. Al aislar sistemas potencialmente vulnerables en una DMZ, una organización disminuye el riesgo para sus sistemas internos.
Sin embargo, una DMZ sólo es útil si el firewall que defiende sus límites es capaz de detectar amenazas potenciales e implementar fuertes controles de acceso. Para saber qué buscar en un NGFW, consulte esta guía del comprador. También puede consultar esta demostración para ver cómo los NGFW de Check Point pueden mejorar la seguridad de su red.
Comentarios