O Propósito de uma Zona Desmilitarizada

Zona Desmilitarizada – DMZ

A Zona Desmilitarizada (DMZ) de uma forma genérica é um local entre duas redes como a internet e uma rede local por exemplo, é uma subrede física ou lógica que contém e expõe serviços de fronteira externa de uma organização a uma rede maior e não confiável, normalmente a Internet. Isso coloca segurança adicional entre a sua rede corporativa e a internet pública. Ele também pode ser usado para separar uma determinada máquina a partir do resto de uma rede, movendo-o do lado de fora da proteção de um firewall. Vale ressaltar que DMZ é um conceito e não pode ser confundido com software ou hardware como firewall.

A configuração é realizada através do uso de equipamentos de Firewall, que vão realizar o controle de acesso entre a rede local, a internet e a DMZ (ou, em um modelo genérico, entre as duas redes a serem separadas e a DMZ). Os equipamentos na DMZ podem estar em um switch dedicado ou compartilhar um switch da rede, porém neste último caso devem ser configuradas Redes Virtuais distintas dentro do equipamento, também chamadas de VLANs (Ou seja, redes diferentes que não se "enxergam" dentro de uma mesma rede - LAN).

A seguir segue a imagem de um exemplo de topologia da zona desmilitarizada:

[pic 1]

Propósito de uma Zona Desmilitarizada

Uma das funções de uma DMZ é  separar os serviços externos, como http e ftp da rede local, limitando assim os danos que uma invasão da rede local pode causar. Para atingir este objetivo os computadores presentes em uma DMZ não devem conter nenhuma forma de acesso à rede local.

Na criação de uma DMZ, acrescenta-se outro segmento de rede ou sub-rede que ainda faz parte do sistema, mas não conectado diretamente à rede local. Ao adicionar uma DMZ se usa uma terceira porta de interface no firewall. Esta configuração permite que o firewall troque dados tanto com a rede geral quanto com a máquina isolada usando Network Address Translation (NAT). O firewall não costuma proteger o sistema isolado, permitindo que ele se conecte mais diretamente à Internet.

Características de Uma DMZ

1. Servidores que precisam ser acessados externamente são posicionados dentro de uma DMZ;
2. As DMZs são estabelecidas entre duas zonas de segurança;
3. Em uma DMZ pode-se posicionar dispositivos para realizarem um cache de rede;
4. As DMZs realizam o controle do tráfego do que entra e do que sai da rede;
5. A DMZ pode conter um ataque sem que o mesmo passe para a rede interna

Modelos de DMZs Virtualizadas

Uma DMZ virtualizada tem a mesma segurança de uma DMZ física se ela for bem configurada, segue abaixo modelos de DMZs.

DMZ parcialmente adaptada com zonas de confiança separados fisicamente: Utiliza de servidores virtualizados, porem a separação da zona ainda é física. Esse modelo traz poucos riscos e é de baixa consolidação. Sua desvantagem é por ser cara devido a utilização de diferentes HOSTS em cada zona de confiança.

DMZ parcialmente colapsada com zona de segurança separados virtualmente: considerado um modelo intermediário, é um modelo que existe uma separação do administrador de erros e do administrador de servidores. Nesse modelo podem ser substituídos switches físicos por VLANS 801.1q.

DMZ completamente colapsada (DMZ in Box): É um modelo de DMZ completamente virtualizado em um único ESX HOST. É um modelo considerado com um alto grau de complexidade, porém mais eficiente. Existe também a quantidade mínima de placas que são seis: (Internet, Zona Interna, Service Console com redundância nas três redes). 

As regras de segurança aplicadas a uma DMZ são:

• A rede interna (LAN) pode iniciar conexões com qualquer uma das outras redes, mas nenhuma das outras redes pode iniciar conexões nesta.
• A rede pública (Internet) não pode iniciar conexões na rede interna (LAN) mas pode ter conexão com hosts da zona DMZ.
• A DMZ não pode fazer conexões para rede interna mas pode na rede pública (Internet).

Implantando a DMZ

O projeto lógico de uma rede que visa conexões com a Internet deve envolver a criação de uma DMZ. Esta DMZ será protegida por um sistema de defesa de perímetro, onde os usuários de Internet podem entrar livremente para acessar os servidores web públicos, enquanto que os dispositivos localizados nos pontos de acesso (firewall, switch e servidor de perímetro) filtram todo o trafego não permitido, como por exemplo, pacotes de dados que tentam prejudicar o funcionamento do sistema. Ao mesmo tempo a rede interna privada está protegida por um outro firewall.

...