Redes: Routers - Zona DMZ - ProfesorPonce (Sección Alumnos)

Figura 1

Routers: Zona DMZ

La zona Desmilitarizada ( Figura 1 ) , DMZ o red perimetral, es una zona de la red local configurada de manera especial con respecto al flujo de información.

El objetivo técnico de crear una Dmz es permitir el flujo de información entre la Wan (internet) y una zona de la red local que se mantiene aislada de la Lan por razones de seguridad.

El aislamiento de la DMZ se logra configurando el flujo de información de la red a tavés de reglas de programación en el router de la siguiente manera:

Permitiendo conexiones desde WAN a DMZ
Permitiendo conexiones desde DMZ a WAN
Permitiendo conexiones desde LAN a DMZ
Impidiendo conexiones desde DMZ a LAN

Esto facilita que los equipos de la DMZ puedan dar servicios a la red externa, pero al mismo tiempo impidiendo que intrusos provenientes del exterior puedan violar la seguridad de la DMZ mediante técnicas de intrusión y usar esos equipos como puentes que les permitan acceder a la LAN.

Si se programan adecuadamente los permisos, se logra crear en la DMZ una zona que se convierte en un "callejón sin salida" para los hackers, porque no pueden acceder a la LAN ( Figura 2 ).

Como el técnico puede comprender, en la DMZ se deben montar los servicios de red que deben ser accedidos por Internet o Extranet ( Wan del Router ), como:

Servicio de hosting ( Web server )
Servicio de correo electrónico ( Mail server )
Servicios DNS
Servicios FTP, servicios streaming, etc

Figura 2

Desde el punto de vista de la Seguridad informática, la DMZ debe ser considerada como la "pata débil" de la red, en consecuencia el técnico nunca debe dejar en las computadoras designadas para la DMZ información importante o vital.

Obviamente toda información debe ser considerada importante, pero la idea de la DMZ es dejar sólo la información imprescindible para que los servicios prestados en la DMZ sean operativamente funcionales ( bases de datos de la página web, listas de usuarios, configuraciones de servicios, información accesible desde el exterior, etc ).

Programación en el router de la DMZ

Normalmente los routers traen desactivada la zona DMZ, por lo que se debe activar y programas un número IP fijo para el equipo que cumplirá funciones DMZ. Obviamente el técnico deberá configurar el IP del equipo asignado a la DMZ con un IP fijo ( Figura 3 ).

En este ejemplo vamos a asumir que vamos a crear un DMZ dentro de la LAN, en la cual instalaremos un servicio de hosting ( Web Server para HTTP ) en una PC con IP fijo 192.168.1.90

Figura 3

Programación del flujo entre Wan, Lan e Internet

Una vez programada la DMZ, debemos configurar el flujo de información que permitiremos dentro del conjunto Dmz, Lan y Wan ( en este caso, internet ).

Esto se programa en la reglas del router. En primer lugar se debe activar la lectura de reglas del router ( Figura 4 ). Una vez activadas las reglas, se crea regla a regla asignándole un nombre, definiendo si es una regla que impide o permite una determinada coneción.

Vea en la Figura 4 el ejemplo de regla, que en este caso es llamada "Acceso HTTP".

Es una regla que PERMITE la conexión de equipos provenientes del exterior ( Wan, en este caso internet )
La conexión permitida para esta regla es DESDE WAN proveniente de CUALQUIER NUMERO IP ( Source: Wan,* ). Esta regla permite que cualquier computadora proveniente de internet con culquier numero ip pueda acceder.
Los equipos provenientes de Wan-Internet sólo pueden conectarse al equipo DMZ, en este caso nuestro servidor web, definido con el IP 192.168.1.90 ( Destination LAN,192.168.1.90). Esta regla le impide a cualquiera que acceda ingresar a otro equipo que no sea el servidor web.
Finalmente, la regla es explicita y sólo permite la conexión mediante protocolo TCP y sólo mediante puerto 8080, es decir conexión clasica de servicio http ( Protocol TCP,8080). Si alguien intenta abrir un puerto diferente al 8080 será rechazado, del mismo modo, no se puede usar el puerto 8080 con otro protocolo que no sea el TCP.