2. ZONAS DMZ
• En seguridad informática, una zona desmilitarizada (DMZ) o red perimetral es una
red local (una subred) que se ubica entre la red interna de una organización y una
red externa, generalmente Internet.
•El objetivo de una DMZ es que las conexiones desde la red interna y la externa a la
DMZ estén permitidas, mientras que las conexiones desde la DMZ sólo se permitan
a la red externa -- los equipos (hosts) en la DMZ no pueden conectar con la red
interna.
•Esto permite que los equipos (hosts) de la DMZ's dar servicios a la red externa a la
vez que protegen la red interna en el caso de que intrusos comprometan la
seguridad de los equipos (host) situados en la zona desmilitarizada.
•Para cualquiera de la red externa que quiera conectarse ilegalmente a la red
interna, la zona desmilitarizada se convierte en un callejón sin salida.
3. ZONAS DMZ
• La DMZ se usa habitualmente para ubicar servidores que es necesario
que sean accedidos desde fuera, como servidores de e-mail, Web y DNS.
Las conexiones que se realizan desde la red externa hacia la DMZ se
controlan generalmente utilizando port address translation (PAT).
•Una DMZ se crea a menudo a través de las opciones de configuración del
cortafuegos, donde cada red se conecta a un puerto distinto de éste - esta
configuración se llama ¿cortafuegos de tres patas? (three-legged firewall).
Un planteamiento más seguro es usar dos cortafuegos, donde la DMZ se
sitúa en medio y se conecta a ambos cortafuegos, uno conectado a la red
interna y el otro a la red externa.
•Esta configuración ayuda a prevenir configuraciones erróneas
accidentales que permitan el acceso desde la red externa a la interna.
7. NAT- PAT
• La Traducción de Direcciones de Red, o NAT (Network Address Translation),
es un sistema que se utiliza para asignar una red completa (o varias redes) a
una sola dirección IP. NAT es necesario cuando la cantidad de direcciones IP
que nos haya asignado nuestro proveedor de Internet sea inferior a la
cantidad de computadores que queramos que accedan a Internet. NAT se
describe en el RFC 1631.
Existen dos tipos de NAT:
• Asignación dinámica de direcciones, en este caso, las direcciones externas
son asignadas a las máquinas de la red privada, o viceversa, de manera
dinámica, basándose en los requisitos de uso y el flujo de sesión que el NAT
determine heurísticamente.
•Asignación estática de direcciones, en el caso de asignación estática de
direcciones, existe un mapeo uno a uno de direcciones para las máquinas
entre una dirección privada de red y una dirección externa de red durante el
tiempo en funcionamiento del NAT.
8. NAT- PAT
• Port Address Translation (PAT) es una característica del estándar NAT, que
traduce conexiones TCP y UDP hechas por un host y un puerto en una red
externa a otra dirección y puerto de la red interna. PAT permite que una sola
dirección IP sea utilizada por varias máquinas de la intranet. Con PAT, una IP
externa puede responder hasta a ~64000 direcciones internas.
•Éste método permite a varias máquinas de la intranet compartir una sola
dirección en Internet, cualquier paquete ip contiene la dirección y el puerto
tanto del origen como del destino. En el destino, el puerto le dice al receptor
cómo procesar el paquete, un paquete con puerto 80 indica que contiene una
página web, mientras que el puerto 25 es usado para transmitir correo
electrónico entre servidores de correo. La traducción de los puertos, llamada
PAT para distinguirla de la traducción de direcciones (NAT), se apoya en el
hecho de que el puerto de origen carece de importancia para la mayoría de
los protocolos. Igual que NAT, PAT se sitúa en la frontera entre la red interna y
externa, y realiza cambios en la dirección del origen y del receptor en los
paquetes de datos que pasan a través de ella.
9. Conclusiones
• Para mantener aisladas las redes seguras (LAN) de las inseguras (WAN),
(internet) es necesario segmentar las redes y generar una zona de
intercambio (DMZ) que es donde se implementan los servicios que deben
salir a internet, de esta forma si ellos son atacados, no pasan havia la red
interna protegiendo la confidencialidad de la informacion.
•También es importante considerar que para proteger los servicios, estos se
ocultan del exterior configurándolos con ips no ruteables , pero para ser
publicados necesitan una ip pública, para estos efectos generalmente es el
firewall el que se presenta hacia internet con una direccion, la cual se
redirecciona al servidor en cuestion mediante la tecnica del NAT y/o PAT.