¿Está muerto el dmz? no exactamente

El mejor ejemplo de una zona desmilitarizada (DMZ) hoy es una franja de tierra fuertemente protegida en Corea. Es el área a cada lado de la frontera entre Corea del Norte y Corea del Sur que tiene la intención de evitar que cada nación inicie accidentalmente una guerra con la otra. En informática, una DMZ es similar en concepto, ya que proporciona un lugar que mantiene el mundo no confiable de Internet fuera de la red interna de su organización, al tiempo que ofrece servicios al mundo exterior. Durante mucho tiempo, cualquier profesional de TI que construye casi cualquier tipo de red conectada a Internet organizó una DMZ de forma natural. Pero la nube ha cambiado todo eso.

La razón es que la nube ha obviado la necesidad de que la mayoría de las empresas alojen sus propios servidores web. En el pasado, si tenía un servidor web interno que estaba abierto al público, entonces querría que ese servidor viviera en su DMZ. Del mismo modo, habría deseado su servidor de correo electrónico allí y cualquier otro servidor externo, como su puerta de acceso de acceso remoto, un servidor de autenticación, un servidor proxy o incluso un servidor Telnet. Todos estos dispositivos deben ser accesibles desde Internet, pero que brindan servicios desde su organización. Hoy, por supuesto, la mayoría de las empresas utilizan proveedores de correo electrónico alojados junto con la implementación de aplicaciones de software como servicio (SaaS) que hacen innecesario alojar servidores web externos en su armario de datos.

Medidas de seguridad adicionales de la empresa tomadas en 2017

Si todavía tiene una DMZ en funcionamiento, encontrará que es un ejemplo típico de segmentación de red. Mire de cerca y generalmente encontrará alguna combinación de firewalls y enrutadores. En la mayoría de los casos, la DMZ será creada por un dispositivo de seguridad perimetral (generalmente un firewall) que luego será respaldado por otro enrutador o firewall que protege las puertas de la red interna.

Si bien la mayoría de las organizaciones ya no necesitan una DMZ para protegerse del mundo exterior, el concepto de separar las valiosas ventajas digitales del resto de su red sigue siendo una potente estrategia de seguridad. Si aplica el mecanismo DMZ de forma totalmente interna, todavía hay casos de uso que tienen sentido. Un ejemplo es proteger el acceso a valiosos almacenes de datos, listas de control de acceso o tesoros similares; querrá que cualquier usuario no autorizado potencial pase por tantos aros adicionales como sea posible antes de obtener acceso.

Cómo funciona una DMZ

Una DMZ funciona así: habrá un firewall de borde que se enfrenta a los horrores de Internet abierto. Después de eso será la DMZ y otro firewall que protege la red de área local (LAN) de su empresa. Detrás de ese firewall estará su red interna. Al agregar esta red intermedia adicional, puede implementar capas de seguridad adicionales que los descontentos deberán vencer antes de que puedan llegar a su red interna real, donde presumiblemente todo también está cubierto no solo por los controles de acceso a la red sino también por las suites de protección de endpoints.

Entre el primer firewall y el segundo, normalmente encontrará un conmutador que proporciona una conexión de red a los servidores y dispositivos que necesitan estar disponibles en Internet. El conmutador también proporciona una conexión al segundo firewall.

El primer firewall debe configurarse para permitir solo el tráfico que necesita llegar a su LAN interna y a los servidores en la DMZ. El firewall interno debe permitir el tráfico solo a través de puertos específicos que son necesarios para el funcionamiento de su red interna.

En la DMZ, debe configurar sus servidores para que solo acepten tráfico en puertos específicos y solo para protocolos específicos. Por ejemplo, deseará limitar el tráfico en el Puerto 80 solo al Protocolo de transferencia de hipertexto (HTTP). También querrá configurar esos servidores para que ejecuten solo los servicios necesarios para que funcionen. También es posible que desee que un sistema de detección de intrusos (IDS) monitoree la actividad en los servidores de su DMZ para que se pueda detectar y detener un ataque de malware que atraviesa el firewall.

El firewall interno debe ser un firewall de próxima generación (NGFW) que realice inspecciones de su tráfico que atraviesa los puertos abiertos en su firewall y también busque indicios de intrusiones o malware. Este es el firewall que protege las joyas de la corona de su red, por lo que no es el lugar para escatimar. Los fabricantes de NGFW incluyen Barracude, Check Point, Cisco, Fortinet, Juniper y Palo Alto, entre otros.

Puertos Ethernet como puertos DMZ

Para las organizaciones más pequeñas, hay otro enfoque menos costoso que aún proporcionará una DMZ. Muchos enrutadores domésticos y de pequeñas empresas incluyen una función que le permite designar uno de los puertos Ethernet como puerto DMZ. Esto le permite colocar un dispositivo como un servidor web en ese puerto donde puede compartir su dirección IP pero también estar disponible para el mundo exterior. Huelga decir que este servidor debe estar lo más bloqueado posible y tener solo los servicios absolutamente necesarios en ejecución. Para desarrollar su segmento, puede conectar un interruptor separado a ese puerto y tener más de un dispositivo en la DMZ.

La desventaja del uso de dicho puerto DMZ designado es que solo tiene un punto de falla. Aunque la mayoría de estos enrutadores también incluyen un firewall integrado, generalmente no incluyen el conjunto completo de funciones de un NGFW. Además, si se viola el enrutador, también lo hará su red.

Si bien una DMZ basada en un enrutador funciona, probablemente no sea tan segura como quieres que sea. Como mínimo, es posible que desee considerar agregar un segundo firewall detrás de él. Esto costará un poco más, pero no costará tanto como una violación de datos. La otra consecuencia importante con tal configuración es que es más complejo de administrar y, considerando que las compañías más pequeñas que podrían usar este enfoque generalmente no tienen personal de TI, es posible que desee contratar a un consultor para configurar esto y luego administrar de vez en cuando.

Un réquiem para la DMZ

• Los mejores servicios de VPN para 2019 Los mejores servicios de VPN para 2019
• El mejor software de protección y seguridad de punto final alojado para 2019 El mejor software de protección y seguridad de punto final alojado para 2019
• El mejor software de monitoreo de red para 2019 El mejor software de monitoreo de red para 2019

Como se mencionó anteriormente, no encontrará demasiados DMZ aún en funcionamiento. La razón es que la DMZ tenía la intención de cumplir una función que hoy se maneja en la nube para la gran mayoría de las funciones comerciales. Cada aplicación SaaS que despliega y cada servidor que aloja mueven la infraestructura externa de su centro de datos a la nube, y las DMZ han seguido el camino. Significa que puede elegir un servicio en la nube, iniciar una instancia que incluya un servidor web y proteger ese servidor con el firewall del proveedor de la nube y listo. No es necesario agregar un segmento de red configurado por separado a su red interna ya que de todos modos todo sucede en otro lugar. Además, esas otras funciones que podría usar con una DMZ también están disponibles en la nube y, de ese modo, estará aún más seguro.

Aún así, como táctica de seguridad general, es una medida completamente viable. Crear un segmento de red de estilo DMZ detrás de su firewall trae los mismos beneficios que cuando solía aplastar uno entre su LAN e Internet: otro segmento significa más protección que puede obligar a los malos a tener que penetrar antes de que puedan acceder lo que realmente quieren Y cuanto más tengan que trabajar, más tiempo tendrá usted o su sistema de detección y respuesta ante amenazas para detectarlos y reaccionar.