Diferencia entre revisiones de «Zona desmilitarizada (informática)»

De Wikipedia, la enciclopedia libre
Contenido eliminado Contenido añadido
Sin resumen de edición
m Revertidos los cambios de 190.167.61.136 a la última edición de CEM-bot
Línea 58: Línea 58:
[[pt:DMZ]]
[[pt:DMZ]]
[[sv:DMZ (Internet)]]
[[sv:DMZ (Internet)]]
sammmy

Revisión del 12:30 5 mar 2010

Diagrama de una red típica que usa una DMZ con un cortafuegos de tres patas (three-legged)

En seguridad informática, una zona desmilitarizada (DMZ, demilitarized zone) o red perimetral es una red local que se ubica entre la red interna de una organización y una red externa, generalmente Internet. El objetivo de una DMZ es que las conexiones desde la red interna y la externa a la DMZ estén permitidas, mientras que las conexiones desde la DMZ sólo se permitan a la red externa -- los equipos (hosts) en la DMZ no pueden conectar con la red interna. Esto permite que los equipos (hosts) de la DMZ puedan dar servicios a la red externa a la vez que protegen la red interna en el caso de que intrusos comprometan la seguridad de los equipos (host) situados en la zona desmilitarizada. Para cualquiera de la red externa que quiera conectarse ilegalmente a la red interna, la zona desmilitarizada se convierte en un callejón sin salida.

La DMZ se usa habitualmente para ubicar servidores que es necesario que sean accedidos desde fuera, como servidores de e-mail, Web y DNS.

Las conexiones que se realizan desde la red externa hacia la DMZ se controlan generalmente utilizando port address translation (PAT).

Una DMZ se crea a menudo a través de las opciones de configuración del cortafuegos, donde cada red se conecta a un puerto distinto de éste. Esta configuración se llama cortafuegos en trípode (three-legged firewall). Un planteamiento más seguro es usar dos cortafuegos, donde la DMZ se sitúa en medio y se conecta a ambos cortafuegos, uno conectado a la red interna y el otro a la red externa. Esta configuración ayuda a prevenir configuraciones erróneas accidentales que permitan el acceso desde la red externa a la interna. Este tipo de configuración también es llamado cortafuegos de subred monitoreada (screened-subnet firewall).

Obsérvese que los router domésticos son llamados "DMZ host", aunque no es una definición correcta de zona desmilitarizada.

Origen del término

El término zona desmilitarizada es tomado de la franja de terreno neutral que separa a los países inmersos en un conflicto bélico. Es una reminiscencia de la Guerra de Corea, aún vigente y en tregua desde 1953. Paradójicamente, a pesar de que esta zona desmilitarizada es terreno neutral, es una de las más peligrosas del planeta, y por ello da nombre al sistema DMZ.


Otra acepción del término DMZ podría deberse al hecho de que Internet en sus orígenes fue un proyecto militar. En este caso una DMZ (Zona desmilitarizada) sería la parte de la red que no está expuesta a Internet (zona militarizada). Los orígenes de Internet, como proyecto militar serían los siguientes:

- En plena Guerra Fría el Departamento de Defensa de EE.UU. decidió crear un sistema de comunicaciones capaz de mantener las comunicaciones militares en un ataque nuclear mediante la búsqueda automática de rutas alternativas (lo que hacen hoy en día los servidores en Internet). - En 1978 los miembros de esta rudimentaria red tuvieron el dudoso honor de recibir el primer mensaje publicitario no deseado, una invitación de la firma DEC para la demostración de un nuevo producto: había nacido el correo basura o spam. - A partir del año 1983 y tras la creación del protocolo TCP/IP por Vint Cerf y Robert Kahn, Internet da el salto al gran público y empieza a tener aplicaciones comerciales.Este protocolo permitía integrar muchas más computadoras en la red, que entonces tenía solo unos 1.000 usuarios.

DMZ host

Entorno empresarial

En una arquitectura de seguridad con DMZ, se denomina DMZ host al ordenador que, situado en la DMZ, está expuesto a los riesgos de acceso desde Internet. Es por ello un ordenador de sacrificio, pues en caso de ataque está más expuesto a riesgos.

Normalmente el DMZ host está separado de Internet a través de un router o mejor un cortafuegos. Es aconsejable que en el cortafuegos se abran al exterior únicamente los puertos de los servicios que se pretende ofrecer con el DMZ host.

En una arquitectura de seguridad más simple el router estaría conectado, por un lado a la red externa (usualmente Internet), por otra parte a la red interna, y en una tercera conexión estaría la DMZ, donde se sitúa el DMZ host.

Entorno doméstico

En el caso de un router de uso doméstico, el DMZ host se refiere a la dirección IP que tiene una computadora para la que un router deja todos los puertos abiertos, excepto aquellos que estén explícitamente definidos en la sección NAT del router. Es configurable en varios routers y se puede habilitar y deshabilitar.

Con ello se persigue conseguir superar limitaciones para conectarse con según qué programas, aunque es un riesgo muy grande de seguridad que conviene tener solventado instalando un firewall por software en el ordenador que tiene dicha ip en modo DMZ.

Para evitar riesgos es mejor no habilitar esta opción y usar las tablas NAT del router y abrir únicamente los puertos que son necesarios.

Véase también