Revisión de opciones para organizar el acceso a los servicios de la red corporativa desde Internet. Cuatro mejores prácticas para establecer una DMZ (zona desmilitarizada)

DMZ o Zona Desmilitarizada (DMZ) es una tecnología de seguridad de red en la que los servidores que responden a solicitudes de una red externa están ubicados en un segmento de red especial y tienen acceso limitado a los segmentos de red principales utilizando cortafuegos (cortafuegos), con el fin de minimizar los daños durante el hackeo de uno de los servicios ubicados en la zona.

Configuración de firewall único

Esquema con un firewall

En este esquema DMZ la red interna y la red externa están conectadas a diferentes puertos del enrutador (que actúa como un firewall), que controla las conexiones entre redes. Este esquema es fácil de implementar y requiere sólo un puerto adicional. Sin embargo, si el enrutador es pirateado (o configurado incorrectamente), la red se vuelve vulnerable directamente desde la red externa.

Configuración de doble firewall

En configuración con 2 cortafuegos DMZ se conecta a dos enrutadores, uno de los cuales limita las conexiones de la red externa a DMZ, y el segundo controla las conexiones desde DMZ en red interna. Este esquema le permite minimizar las consecuencias de piratear cualquiera de los firewalls o servidores que interactúan con la red externa; hasta que se piratee el firewall interno, el atacante no tendrá acceso arbitrario a la red interna.

Configuración de tres firewalls

Hay una rara configuración con 3 cortafuegos. En esta configuración, el primero se hace cargo de las solicitudes de la red externa, el segundo controla las conexiones de la red DMZ y el tercero controla las conexiones de la red interna. En tal configuración generalmente es DMZ y la red interna se esconde detrás NAT (Traducción de direcciones de red).

Uno de características clave DMZ no es sólo el filtrado de tráfico en el firewall interno, sino también el requisito de una criptografía fuerte obligatoria en la interacción entre los equipos activos de la red interna y DMZ. En particular, no debería existir ninguna situación en la que sea posible procesar una solicitud del servidor en DMZ sin autorización. Si se utiliza la DMZ para garantizar la protección de la información dentro del perímetro contra fugas desde el interior, se imponen requisitos similares para procesar las solicitudes de los usuarios desde la red interna.

En este artículo te diré qué es. anfitrión de la DMZ o un servidor en el enrutador. Y también cómo abrir puertos usando la función DMZ. Como ya está leyendo este artículo, probablemente ya sepa qué es un servidor virtual y por qué necesita hacerlo. Si no entonces . En resumen, necesitas abrir un puerto en el enrutador cuando intercambias archivos desde tu computadora con otros usuarios de Internet. Por ejemplo, para operar un servidor FTP que se ejecuta en una PC doméstica, o un cliente torrent, o juego de red. En este artículo aprenderemos cómo abrir todos los puertos a la vez usando el llamado host DMZ usando el ejemplo de los enrutadores TP-Link, Asus, Zyxel Keenetic y Tenda.

DMZ(“zona desmilitarizada”) es una tecnología con la que puedes abrir absolutamente todos los puertos en un dispositivo específico

¿Cómo utilizar un servidor DMZ en un enrutador?

Usando el método descrito anteriormente, usamos el enrutador para abrir solo un puerto para un dispositivo en la red. A través de un host DMZ, puedes abrir varios puertos a la vez. Sin embargo, esto debe hacerse sólo en casos extremos, ya que en este caso el dispositivo está completamente abierto al acceso desde Internet. Sin embargo, a veces esto es necesario, por ejemplo, para configurar la visualización de cámaras CCTV conectadas a través de un DVR o para organizar un servidor de juegos.

Permítanme darles un ejemplo: a menudo, cuando se conecta una grabadora de videovigilancia, el puerto 80 se usa de forma predeterminada y es simplemente imposible cambiarlo en la configuración. Al mismo tiempo, este puerto también está ocupado en el enrutador y no será posible redirigirlo. En este caso, el host DMZ del enrutador viene al rescate.

Servidor DMZ virtual en el enrutador Tenda

En los routers wifi Tenda la función de apertura de puertos se llama “ Servidor virtual ". En el panel de administración se puede encontrar en la sección "Configuración avanzada - Servidor virtual"

Pero primero debe asignar una dirección IP estática a la computadora a la que desea reenviar puertos; de lo contrario, la próxima vez que la encienda a través de DHCP, el enrutador puede asignarle una dirección diferente y se perderán todas nuestras configuraciones. Lea cómo hacer esto.

Cuando una dirección específica esté reservada para una computadora, ingrésela en la sección "Servidor virtual" en la celda "Dirección IP interna".

• Puerto de red local: seleccione el que más se adapte a nuestras necesidades de la lista desplegable: ftp, http, pop3, SMTP, etc.
• Puerto WAN: indique lo mismo que en el caso anterior
• Protocolo: configurar TCP y UDP

Y haga clic en el botón "Agregar"

Después de guardar la configuración, se abrirá el puerto a través del enrutador Tenda y podremos proporcionar fácilmente acceso desde Internet a ciertos recursos en la computadora.

La activación del host DMZ en el enrutador wifi Tenda se encuentra en “ Ajustes adicionales" Aquí todo es simple: mueva el interruptor a la posición de encendido e ingrese la dirección IP de la computadora u otro dispositivo en el que queremos abrir todos los puertos.

Configurar DMZ en un enrutador TP-Link

Función DMZ en un enrutador TP-Link nueva versión La interfaz web se encuentra en "Configuración avanzada" en el " Reenvío NAT - DMZ". Aquí todo es simple: actívelo con una marca de verificación e indique la dirección IP de la computadora en la que se abrirán todos los puertos.

Host DMZ en el enrutador Asus

en el enrutador configuración de asus La DMZ del host es idéntica y se encuentra en la sección principal del menú “ Internet»

Configurando DMZ Zyxel Keenetic

El enrutador Zyxel Keenetic también tiene una función similar, pero no se llama DMZ, sino que está oculta en el “ Seguridad - Cortafuegos«.

Primero, seleccione aquí el tipo de red a la que queremos permitir el acceso: esta es Red doméstica ( red domestica)
Y luego haga clic en el botón "Agregar regla"

A continuación, dejamos todo por defecto, excepto un elemento: "Dirección IP de destino". Aquí debe seleccionar "Uno" y en el campo de texto escribir la dirección IP de la computadora en la que necesita abrir todos los puertos. Tenga en cuenta que en la columna "Protocolo" ahora seleccionamos TCP.

Hacemos todo como en la imagen de abajo:

En la línea Keenetic DMZ actualizada, también está configurado en el menú " Cortafuegos". Haga clic aquí "Agregar regla"

Lo encendemos con un tick y escribimos todo igual que en versión antigua Zyxel

Para ampliar tus horizontes, también te aconsejo que leas las instrucciones de la empresa Seixel.

Vídeo sobre cómo configurar DMZ Host en un enrutador

La abreviatura DMZ significa Zona DeMilitarizada, es decir, “Zona Desmilitarizada”. Es inesperado y no está claro qué tiene esto que ver con el enrutador. Sin embargo, de hecho, esto es algo muy útil en varios casos. Esto se discutirá en este artículo.

Propósito y uso de DMZ

Una DMZ es un segmento de red creado para servicios y programas que requieren acceso directo a Internet. El acceso directo es necesario para torrents, mensajería instantánea, juegos en línea y algunos otros programas. Y no puedes prescindir de él si quieres instalar una cámara de videovigilancia y tener acceso a ella a través de Internet.

Si la computadora en la que se ejecuta el programa se conecta a Internet directamente, sin pasar por el enrutador, entonces no es necesario utilizar DMZ. Pero si la conexión se realiza a través de un enrutador, entonces no será posible "alcanzar" el programa desde Internet, porque todas las solicitudes serán recibidas por el enrutador y no reenviadas dentro de la red local.

Para resolver este problema, generalmente se utiliza el reenvío de puertos en el enrutador. Hay información sobre esto en nuestro sitio web. Sin embargo, esto no siempre es conveniente y algunas personas prefieren configurar una DMZ. Si configura una DMZ en su enrutador y le agrega el nodo de red deseado, por ejemplo, una PC que ejecuta un servidor de juegos o un DVR al que está conectada una cámara IP, este nodo será visible desde la red externa como si estaban conectados directamente a Internet. Nada cambiará para el resto de dispositivos de tu red: funcionarán igual que antes..

Debes tener cuidado con todas estas configuraciones. Dado que tanto el reenvío de puertos como la DMZ son un potencial agujero de seguridad. Para mejorar la seguridad en grandes compañias A menudo crean una red separada para la DMZ. Para bloquear el acceso desde la red DMZ a otras computadoras, se utiliza un enrutador adicional.

Configurar DMZ en el enrutador

Los enrutadores solo permiten agregar un dispositivo a la DMZ. El enrutador debe recibir una dirección IP "blanca". Sólo en este caso será posible acceder desde red global . Puede obtener información al respecto de su proveedor de Internet. Algunos proveedores proporcionan una dirección IP externa de forma gratuita, pero este servicio suele requerir una tarifa adicional.

Configuración de una dirección IP estática

Sólo se puede agregar una computadora con una dirección IP estática a la DMZ. Por tanto, lo primero que hacemos es cambiarlo. Para hacer esto, abra las propiedades. conexión de red y en la configuración de TCP/IP registramos una dirección IP estática en el rango de direcciones de su red. Por ejemplo, si su enrutador tiene IP 192.168.0.1, puede especificar 192.168.0.10 para su computadora. La máscara de subred estándar es 255.255.255.0. Y en el campo "Puerta de enlace" debes indicar la dirección de tu enrutador.

Tenga en cuenta que la dirección IP asignada a la computadora no debe estar en el rango de direcciones distribuidas.

En este punto, la configuración de la computadora se completa y puede continuar con la configuración del enrutador.

Configurando el enrutador

El primer paso es habilitar DMZ en el enrutador, ya que siempre está deshabilitado por defecto.

Busque el elemento de menú correspondiente en la interfaz web del dispositivo:

• En enrutadores asus la pestaña requerida se llama DMZ.
• En Enrutadores TP-Link abra el elemento "Reenvío" y habrá un subelemento DMZ.
• En D-Link, busque el elemento "Firewall".

En cualquier caso, en la pestaña de configuración debe marcar la casilla "Habilitar". Y al lado, busque un campo llamado “Dirección de host DMZ” o “Dirección de estación visible” (dependiendo del modelo de enrutador, puede haber otras opciones). En este campo ingresamos la dirección estática de la computadora u otro dispositivo que debe agregarse a la DMZ. En nuestro caso es 192.168.0.10.

Guarde la configuración y reinicie el enrutador. Eso es todo: todos los puertos de la PC seleccionada están abiertos. Cualquier programa que utilice conexiones entrantes pensará que está accediendo directamente a la red. Todos los demás programas funcionarán normalmente.

A continuación se muestra un ejemplo de configuración de un enrutador con una interfaz en inglés.

Creando una DMZ manera conveniente simplifica tu trabajo programas necesarios, sin embargo, hay que tener en cuenta que acceso abierto a una PC aumenta el riesgo de ataques a la red e infección de virus.

Por lo tanto, es necesario instalar un firewall y un programa antivirus en el dispositivo utilizado como host DMZ.

DMZ en el enrutador - Esta es una función que le permite abrir todos los puertos externos para una IP específica desde la red local del enrutador. Normalmente se utiliza para implementar acceso remoto A dispositivo específico ubicado detrás del enrutador. DMZ se utiliza especialmente para acceder desde cualquier puntos Conexión a Internet para cámaras IP o DVR, aquellos. para videovigilancia.

Muchos enrutadores Wi-Fi tienen la función de brindar acceso desde una red externa a dispositivos en su red local (modo host DMZ, también conocido como host expuesto). En este modo, el dispositivo (computadora, DVR, cámara IP, etc.) tiene todos los puertos abiertos en la red local. Esto no se corresponde del todo con la definición canónica de DMZ, ya que un dispositivo con puertos abiertos no está separado de la red interna. Es decir, el host DMZ puede conectarse libremente a recursos en la red interna, mientras que las conexiones a la red interna desde la DMZ canónica están bloqueadas por el firewall que las separa, es decir. Desde el punto de vista de la seguridad, la solución no es la mejor. Cabe recordar que esta es sólo una forma de organizar el acceso a un dispositivo en otra red local. El reenvío de puertos simple también es popular. También es compatible con casi cualquier enrutador moderno y no tan moderno. Pero hay una diferencia significativa. Cualquier escolar puede encargarse de configurar una DMZ, pero el reenvío de puertos no es tan fácil para una persona que lo hace por primera vez.

DMZ es una solución completa y requiere unos sencillos pasos para utilizarla. Al implementar, por ejemplo, el acceso desde Internet a un DVR, se requiere lo siguiente:

1. Ingrese el IP DVR en la configuración DMZ del enrutador
2. El enrutador debe recibir una IP permanente del proveedor o debe usar DDNS

¿Por qué DMZ requiere una dirección IP permanente y por qué puede ser reemplazada por DDNS?

Aquí todo es sencillo. Si su proveedor le asigna diferentes direcciones IP a su enrutador, entonces puede averiguar qué IP tiene actualmente su enrutador utilizando el servicio DDNS. Y necesita conocer esta misma dirección IP para poder conectarse de forma remota a su dispositivo. DDNS: permite a los usuarios obtener un subdominio que estará vinculado al dispositivo del usuario. Conociendo este subdominio, no tendrás que preocuparte; lo utilizarás en lugar de IP. Sin embargo, una IP permanente del proveedor es más sencilla y segura, pero más cara :)

Mira qué simple es. Ésta es la conveniencia de DMZ. Otra ventaja es la posibilidad de configurar un enrutador sin saber qué puerto se seleccionará para, por ejemplo, un DVR. Y como consecuencia, un cambio adicional del puerto de acceso, independientemente de la configuración del enrutador.

Reenviar puertos a través de un enrutador

Literalmente dos palabras sobre el reenvío de puertos en general. El reenvío de puertos podría considerarse un caso especial de DMZ si no fuera por el hecho de que DMZ, tal como se implementa en los enrutadores domésticos, no habría aparecido después del término reenvío de puertos. Muchos usuarios no comprenden el significado de la palabra puerto. Si lo desea, puede considerar el puerto como una marca digital (en forma de número) en los paquetes, lo que ayuda a clasificar los paquetes de información según su destino. Una especie de herramienta de enrutamiento adicional. Como regla general, la configuración del enrutador tiene una opción de reenvío de puertos. Para hacer esto, debe especificar la IP del dispositivo en la red del enrutador, el puerto (es decir, la misma etiqueta) a través del cual se puede acceder a este dispositivo para su administración, el puerto externo es el puerto que estará vinculado al puerto especificado y la IP del dispositivo.

Conclusión:
DMZ es esencialmente el reenvío de puertos a una IP específica en la red local de un enrutador desde una red externa. La diferencia con el reenvío de puertos es que en el caso de DMZ, todos los puertos posibles para la IP especificada se abren al mismo tiempo. Esto no es efectivo desde el punto de vista de la seguridad; sin embargo, simplifica enormemente la configuración del acceso remoto a cualquier dispositivo detrás del enrutador. Normalmente, esta función se utiliza en videovigilancia.

en la era computación en la nube DMZ (Zona Desmilitarizada, zona desmilitarizada, DMZ: un segmento de red físico o lógico que contiene y brinda servicios públicos a una organización, y también los separa de otras secciones de la red local, lo que permite brindar protección adicional al espacio de información interna de ataques externos) se ha vuelto mucho más importante y, al mismo tiempo, más vulnerable de lo que sus arquitectos originales jamás podrían imaginar.

Hace diez o veinte años, cuando la mayoría de los puntos finales todavía estaban en la red interna de una empresa, una DMZ era solo una extensión de la red. Los usuarios ubicados fuera de la red de área local rara vez solicitaban acceso a servicios internos y, a la inversa, la necesidad de que los usuarios locales accedieran a servicios públicos también surgía con poca frecuencia, por lo que en ese momento la DMZ hizo poco para brindar seguridad de información. ¿Qué pasó con su papel ahora?

Hoy en día, o es una empresa de software o trabaja con una gran cantidad de proveedores de servicios SaaS (software como servicio, software como servicio). De una forma u otra, constantemente tienes que brindar acceso a usuarios ubicados fuera de tu LAN, o solicitar acceso a servicios ubicados en la nube. Como resultado, su DMZ se llena al máximo con diversas aplicaciones. Y aunque originalmente la DMZ estaba destinada a servir como una especie de punto de control de su perímetro, hoy en día funciona cada vez más como un cartel publicitario externo para los ciberdelincuentes.

Cada servicio que ejecutas en la DMZ es otro mensaje informativo a posibles piratas informáticos sobre cuántos usuarios tiene, dónde almacena su información comercial crítica y si esos datos contienen algo que un atacante podría querer robar. A continuación se presentan cuatro mejores prácticas que le permitirán habilitar y configurar DMZ para detener este desastre.

1. Hacer de la DMZ un segmento de red verdaderamente separado

La idea básica detrás de una DMZ es que debería estar verdaderamente separada del resto de la LAN. Por lo tanto, debe habilitar diferentes políticas de seguridad y enrutamiento IP para la DMZ y el resto de su red interna. Esto hará la vida mucho más difícil a los ciberdelincuentes que le ataquen, porque incluso si entienden su DMZ, no podrán utilizar este conocimiento para atacar su LAN.

2. Configurar servicios dentro y fuera de la zona DMZ

Idealmente, todos los servicios que están fuera de su DMZ solo deberían establecer una conexión directa con la propia DMZ. Los servicios ubicados dentro de la DMZ deben conectarse a al mundo exterior sólo a través de servidores proxy. Los servicios ubicados dentro de la DMZ son más seguros que los ubicados fuera de ella. Los servicios mejor protegidos deberían asumir el papel del cliente al realizar solicitudes desde zonas menos seguras.

3. Utilice dos firewalls para acceder a la DMZ

Si bien es posible habilitar DMZ utilizando solo un firewall con tres o más interfaces de red, una configuración que utilice dos firewalls le proporcionará un medio más sólido para disuadir a los ciberdelincuentes. El primer firewall se utiliza en el perímetro exterior y sirve únicamente para dirigir el tráfico exclusivamente a la DMZ. El segundo, el firewall interno, maneja el tráfico desde la DMZ a la red interna. Este enfoque se considera más seguro porque crea dos obstáculos independientes en el camino de un hacker que decide atacar su red.

4. Implementar tecnología de acceso inverso

La tecnología de acceso inverso de Safe-T hará que la DMZ sea aún más segura. Esta tecnología de servidor dual elimina la necesidad de abrir cualquier puerto en el firewall y, al mismo tiempo, proporciona acceso seguro a las aplicaciones a través de redes (a través de un firewall). La solución incluye:

• Servidor externo: instalado en el segmento de red DMZ/externo/desprotegido.
• Servidor interno: instalado en el segmento de red interno/protegido.

La función del servidor front-end, ubicado en la DMZ de la organización (on-premise o en la nube), es mantener la interfaz de usuario del lado del cliente (front-end) para los diversos servicios y aplicaciones ubicados en World Wide Web. Funciona sin necesidad de abrir ningún puerto en el firewall interno y garantiza que los dispositivos internos red local Sólo se puede acceder a datos de sesión legítimos. Un servidor externo realiza la descarga de TCP, lo que le permite admitir cualquier aplicación basada en TCP sin tener que descifrar los datos de tráfico de Secure Sockets Layer (SSL).

Role servidor interno es enviar datos de la sesión a la red interna desde un nodo SDA (acceso definido por software) externo y, si la sesión es legítima, realizar la funcionalidad de proxy de capa 7 (descarga SSL, reescritura de URL, DPI (inspección profunda de paquetes, análisis detallado de paquetes). ), etc.) y pasarlo al servidor de aplicaciones direccionado.

La tecnología de acceso inverso le permite autenticar el permiso de acceso de los usuarios antes de que puedan acceder a sus aplicaciones de misión crítica. Un atacante que obtenga acceso a sus aplicaciones a través de una sesión no autorizada podría sondear su red, intentar ataques de inyección de código o incluso moverse por su red. Pero sin la capacidad de posicionar su sesión como legítima, el atacante que lo ataca pierde la mayoría de sus herramientas y sus recursos se vuelven significativamente más limitados.

Eterno paranoico, Anton Kochukov.