Grupo LOS TALENTOS DEL BLOKE

Una DMZ (o llamada tambin Zona Desmilitarizada o red

perimetral ), es una red local que se ubica entre la red interna de una organizacin y una red externa, generalmente Internet. El objetivo de una DMZ es que las conexiones desde la red interna y la externa a la DMZ estn permitidas, mientras que las conexiones desde la DMZ slo se permitan a la red externa, es decir: los equipos locales (hosts) en la DMZ no pueden conectar con la red interna. Esto permite que los equipos (hosts) de la DMZ's puedan dar servicios a la red externa a la vez que protegen la red interna en el caso de que intrusos comprometan la seguridad de los equipos (host) situados en la zona desmilitarizada. Para cualquiera de la red externa que quiera conectarse ilegalmente a la red interna, la zona desmilitarizada se convierte en un callejn sin salida.

 Aunque, la arquitectura DMZ es la que mayores niveles de

seguridad puede proporcionar, no se trata de la panacea de los cortafuegos. Evidentemente existen problemas relacionados con este modelo: por ejemplo, se puede utilizar el firewall para que los servicios fiables pasen directamente sin acceder al bastin, lo que puede dar lugar a un incumplimiento de la poltica de la organizacin. Un segundo problema, quizs ms grave, es que la mayor parte de la seguridad reside en los routers utilizados; como hemos dicho antes las reglas de filtrado sobre estos elementos pueden ser complicadas de configurar y comprobar, lo que puede dar lugar a errores que abran importantes brechas de seguridad en nuestro sistema.

 Habitualmente una configuracin DMZ es usar dos cortafuegos,

donde la DMZ se sita en medio y se conecta a ambos cortafuegos, uno conectado a la red interna y el otro a la red externa. Esta configuracin ayuda a prevenir configuraciones errneas accidentales que permitan el acceso desde la red externa a la interna. Este tipo de configuracin tambin es llamado cortafuegos de subred monitoreada (screened-subnet firewall). Un trmino relacionado directamente con esta tecnologa es el llamado equipo bastin, ste, normalmente a travs de dos tarjetas de red (interfaces) mantiene aislada la red local de la red externa, es decir, la LAN de la WAN. Una DMZ se crea a menudo a travs de las opciones de configuracin del cortafuegos, donde cada red se conecta a un puerto distinto de ste. Esta configuracin se llama cortafuegos en trpode (three-legged firewall).

 En el caso de un enrutador de uso domstico, el DMZ

host se refiere a la direccin IP que tiene una computadora para la que un enrutador deja todos los puertos abiertos, excepto aquellos que estn explcitamente definidos en la seccin NAT del enrutador. Es configurable en varios enrutadores y se puede habilitar y deshabilitar. Con ello se persigue conseguir superar limitaciones para conectarse con segn qu programas, aunque es un riesgo muy grande de seguridad que conviene tener solventado instalando un cortafuegos por software en el ordenador que tiene dicha ip en modo DMZ. Para evitar riesgos es mejor no habilitar esta opcin y usar las tablas NAT del enrutador y abrir nicamente los puertos que son necesarios.