La zona DMZ de un firewall

Alambre de púasLa DMZ para quienes no conozcan lo que es, se trata de una zona llamada desmilitarizada, que normalmente se utiliza para servidores Web, simplemente es otra zona que no debería tener acceso a la zona segura, y algunas veces tampoco debería de tenerlo a la insegura,

La razón por la que se pone en esa parte del firewall un servidor web es porque esa zona esta pensada para eso, pero realmente no esta limitada a que sólamente pueda haber un servidor web, es más podría haber en la zona DMZ alguna otra máquina que queramos que este segura, simplemente habría que definir las politicas del firewall de manera que no hubiera acceso a la zona DMZ desde la insegura, pero si alrevez.

Tomando como ejemplo un firewall de Juniper, en la zona DMZ se puede hacer practicamente lo mismo que en la segura, y podríamos usarlas de otro modo por ejemplo que la zona segura fuera la Home, o donde esta el equipo de casa y la DMZ fuera la Work o donde esta otra red con diferentes privilegios que la Home, también podríamos crear políticas entre ellas por ejemplo:

De la DMZ a la Trust:

Origen Destino Servicio(puerto) Acción
Cualquiera Cualquiera Cualquiera Permitir

De la Trust a la DMZ

Origen Destino Servicio(puerto) Acción
Cualquiera Cualquiera Cualquiera Negar

De la Untrust a cualquiera de las dos zonas

Origen Destino Servicio(puerto) Acción
Cualquiera Cualquiera Cualquiera Negar

Asi hariamos que la zona DMZ actuara como la trust, y la trust fuera una red interna y no pública, la trust lo que podría hacer es salir a internet igual que la DMZ pero a diferencia de lo que comunmente se hace la Trust no podría ver a la DMZ, pero la DMZ a la Trust sí.

Si quisieramos hacer que la Trust funcionara como DMZ tal vez en algunos firewalls se podría y funcionaria bien pero en otros tienen fija una regla que dice:

Untrust a Trust:

Origen Destino Servicio(puerto) Acción
Cualquiera Cualquiera Cualquiera Negar

Por lo cual si pusieramos un servidor web nunca podríamos verlo. Ésto ultimo la verdad sería tonto hacerlo, pues es mejor usar la DMZ para lo que esta hecha.

Deja un comentario