DMZ (computação)

Na segurança de computadores, uma zona demilitarizada (DMZ), às vezes chamada de rede perimetral ou sub-rede rastreada, é uma sub-rede física ou lógica que contém e expõe os serviços externos de uma organização a uma rede que não é confiável, geralmente maior, como a Internet. O objetivo de uma zona demilitarizada é adicionar uma camada adicional de segurança à rede de área local (LAN) de uma organização: um nó de rede externo pode acessar apenas o que está exposto na zona demilitarizada, enquanto o restante da rede da organização é protegido por uma firewall.^[1] A zona demilitarizada funciona como uma rede pequena e isolada posicionada entre a Internet e a rede privada.^[2]

Isso não deve ser confundido com um host de zona demilitarizada, um recurso presente em alguns roteadores domésticos que frequentemente difere muito de uma zona demilitarizada comum.

O nome vem do termo zona desmilitarizada, uma área entre estados na qual operações militares não são permitidas.

Fundamentação

A zona demilitarizada é vista como se não fosse pertencente a nenhuma das redes que a limita. Essa metáfora se aplica ao uso da computação, pois a zona demilitarizada atua como um gateway para a Internet pública. Ela não é tão segura quanto a rede interna, nem tão insegura quanto a Internet pública.

Neste caso, os hosts mais vulneráveis a ataques são aqueles que fornecem serviços a usuários fora da rede de área local, como servidores de e-mail, Web e de Sistema de Nomes de Domínio (DNS). Devido ao potencial aumentado desses hosts sofrerem um ataque, eles são colocados nesta sub-rede específica para proteger o resto da rede caso algum deles seja comprometido.

Hosts na zona demilitarizada têm permissão para ter apenas conectividade limitada a hosts específicos na rede interna, pois o conteúdo da zona demilitarizada não é tão seguro quanto a rede interna. Da mesma forma, a comunicação entre hosts na zona demilitarizada e a rede externa também é restrita para tornar a zona demilitarizada mais segura do que a Internet e adequada para abrigar esses serviços de propósito especial. Isso permite que hosts na zona demilitarizada se comuniquem com a rede interna e externa, enquanto uma firewall interveniente controla o tráfego entre os servidores da zona demilitarizada e os clientes da rede interna, e outra firewall executaria algum nível de controle para proteger a zona demilitarizada da rede externa.

Uma configuração de zona demilitarizada fornece segurança adicional contra ataques externos, mas normalmente não tem influência em ataques internos, como a detecção de comunicação por meio de um analisador de pacotes ou a falsificação, como a falsificação de e-mail.

Às vezes, também é uma boa prática configurar uma zona militarizada classificada (CMZ) separada,^[3] uma zona militarizada altamente monitorada que compreende principalmente servidores Web (e servidores semelhantes que interage com o mundo externo, ou seja, a Internet) que não estão na zona demilitarizada, mas contêm informações confidenciais sobre o acesso a servidores dentro da rede de área local (como servidores de banco de dados). Em tal arquitetura, a zona demilitarizada geralmente tem a firewall de aplicação e o Protocolo de Transferência de Arquivos (FTP), enquanto a zona militarizada classificada hospeda os servidores Web. (Os servidores de banco de dados podem estar na zona militarizada classificada, na rede de àrea local ou em uma rede de àrea local virtual separada.)

Qualquer serviço que esteja sendo fornecido aos usuários na rede externa pode ser colocado na zona demilitarizada. Os mais comuns desses serviços são:

servidores Web;
servidores de e-mail;
servidores de Protocolo de Transferência de Arquivos (FTP);
servidores de Voz sobre Protocolo de Internet (VoIP).

Servidores Web que se comunicam com um banco de dados interno exigem acesso a um servidor de banco de dados, que pode não ser acessível publicamente e pode conter informações confidenciais. Os servidores Web podem se comunicar com servidores de banco de dados diretamente ou por meio de uma firewall de aplicação por motivos de segurança.

As mensagens de e-mail e, principalmente, o banco de dados dos usuários são confidenciais, por isso, normalmente são armazenados em servidores que não podem ser acessados a partir da Internet (pelo menos não de forma insegura), mas podem ser acessados a partir servidores de e-mail expostos à Internet.

O servidor de e-mail dentro da zona demilitarizada passa os e-mails recebidos para os servidores de e-mail protegidos/internos. Ele também lida com os e-mails enviados.

Por motivos de segurança, conformidade com os padrões legais como a Lei de Portabilidade e Responsabilidade do Seguro Saúde (HIPAA) e o monitoramento, em um ambiente de negócios, algumas empresas instalam um servidor de proxy dentro da zona demilitarizada. Isso tem os seguintes benefícios:

obriga usuários internos (geralmente funcionários) a usar o servidor de proxy para acesso à Internet;
requisitos reduzidos de largura de banda de acesso à Internet, pois algum conteúdo da web pode ser armazenado em cache pelo servidor de proxy;
simplifica a gravação e o monitoramento das atividades do usuário;
filtragem centralizada de conteúdo da web.

Um servidor de proxy reverso, como um servidor de proxy, é um intermediário, mas é usado ao contrário. Em vez de fornecer um serviço para usuários internos que desejam acessar uma rede externa, ele fornece acesso indireto a recursos internos a partir uma rede externa (geralmente a Internet). Por exemplo, o acesso a uma aplicação interna, como um sistema de e-mail, pode ser fornecido a usuários externos (para ler e-mails enquanto estiverem fora da empresa), mas os usuários remotos não teriam acesso direto ao seu servidor de e-mail (apenas o servidor de proxy reverso poderia acessar fisicamente o servidor de e-mail interno).

Esta é uma camada extra de segurança particularmente recomendada quando recursos internos precisam ser acessados a partir de fora, mas vale a pena notar que este design ainda permite que usuários remotos (e potencialmente maliciosos) conversem com os recursos internos com a ajuda do proxy. Como o proxy funciona como um relé/retransmissor entre a rede que não é confiável e o recurso interno: ele também pode encaminhar tráfego malicioso (por exemplo, explorações de nível de aplicação) para a rede interna; portanto, os recursos de detecção e filtragem de ataques do proxy são cruciais para evitar que invasores externos explorem vulnerabilidades presentes nos recursos internos que são expostos por meio do proxy. Normalmente, esse mecanismo de proxy reverso é fornecido usando uma firewall de camada de aplicação que se concentra na forma e no conteúdo específicos do tráfego, em vez de apenas controlar o acesso a portas dos protocolos de Controle de Transmissão (TCP) e de Datagrama do Usuário (UDP) específicas (como uma firewall de filtro de pacotes faria), mas um proxy reverso geralmente não é um bom substituto para um design de zona demilitarizada bem pensado, pois ele depende de atualizações contínuas de assinatura para vetores de ataque atualizados.

Arquitetura

Há muitas maneiras diferentes de projetar uma rede com uma zona demilitarizada. Dois dos métodos mais básicos são com uma única firewall, também conhecido como "modelo de três pernas", e com firewalls em dupla, também conhecido como "costas com costas". Essas arquiteturas podem ser expandidas para criar arquiteturas muito complexas, dependendo dos requisitos da rede.

Firewall única

Uma única firewall com pelo menos 3 interfaces de rede pode ser usada para criar uma arquitetura de rede contendo uma zona demilitarizada. A rede externa é formada a partir do provedor de serviços de Internet para a firewall na primeira interface de rede, a rede interna é formada a partir da segunda interface de rede e a zona demilitarizada é formada a partir da terceira interface de rede. A firewall se torna um único ponto de falha para a rede e deve ser capaz de lidar com todo o tráfego indo para a zona demilitarizada, bem como para a rede interna. As zonas são geralmente marcadas com cores - por exemplo, roxa para rede de área local, verde para zona demilitarizada, vermelha para Internet (com frequentemente outra cor usada para zonas sem fio).

Firewalls em dupla

A abordagem mais segura, de acordo com Colton Fralick,^[4] é usar duas firewalls para criar uma zona demilitarizada. A primeira firewall (também chamada de firewall de "front-end" ou de "perímetro"^[5]) deve ser configurada para permitir tráfego destinado somente à zona demilitarizada. A segunda firewall (também chamada de firewall de "back-end" ou "interna") permite somente tráfego para a zona demilitarizada a partir da rede interna.

Esta configuração é considerada^[4] mais segura, pois dois dispositivos precisariam ser comprometidos. Há ainda mais proteção se as duas firewalls forem fornecidas por dois fornecedores diferentes, porque torna menos provável que ambos os dispositivos sofram das mesmas vulnerabilidades de segurança. Por exemplo, uma falha de segurança encontrada no sistema de um fornecedor tem menos probabilidade de ocorrer no outro. Uma das desvantagens dessa arquitetura é que ela é mais cara, tanto para comprar quanto para gerenciar.^[6] A prática de usar firewalls diferentes de fornecedores diferentes é às vezes descrita como um componente de uma estratégia de segurança de "defesa em profundidade".^[7]

Host de zona demilitarizada

Alguns roteadores têm um recurso chamado "DMZ host" (host de zona demilitarizada). Esse recurso pode designar um nó (computador pessoal ou outro dispositivo com um endereço de IP) como um host de zona demilitarizada. A firewall do roteador expõe todas as portas no host de zona demilitarizada para a rede externa e não impede que nenhum tráfego de entrada de fora vá para o host de zona demilitarizada.^[8]^[9] Essa é uma alternativa menos segura que o encaminhamento de portas, que expõe apenas um punhado de portas. Esse recurso deve ser evitado, exceto quando:^[9]

o nó designado como host de zona demilitarizada é a firewall do fluxo de entrada da zona demilitarizada real (talvez o próprio roteador não faça parte de uma rede doméstica);
o nó executa uma firewall poderosa capaz de regular a segurança interna;
o número de portas é muito grande para o recurso de encaminhamento de portas;
Regras corretas de encaminhamento de portas não puderam ser formuladas com antecedência;
o encaminhamento de portas do roteador não é capaz de lidar com tráfego relevante, por exemplo, túneis de encapsulamento de roteamento genérico ou de 6in4.

Em todos os cenários acima, exceto no primeiro, o recurso de host de zona demilitarizada é usado fora de uma configuração de zona demilitarizada verdadeira.

Ver também

Referências

↑ «Control System Security DMZ». Official website of The Cybersecurity and Infrastructure Security Agency (CISA) for the Dept. of Homeland Security, USA. Consultado em 9 de junho de 2020. Arquivado do original em 9 de junho de 2020
↑ «What is a DMZ and How does it Work?». Techtarget SearchSecurity. Consultado em 9 de junho de 2020
↑ Bradley Mitchell (27 de agosto de 2018). «Demilitarized Zone in Computer Networking». Consultado em 10 de dezembro de 2018
↑ ^a ^b Jacobs, Stuart (2015). Engineering Information Security: The Application of Systems Engineering Concepts to Achieve Information Assurance. [S.l.]: John Wiley & Sons. p. 296. ISBN 9781119101604
↑ «Perimeter Firewall Design». Microsoft Security TechCenter. Microsoft Corporation. 29 de junho de 2009. Consultado em 14 de outubro de 2013
↑ Zeltzer, Lenny (abril de 2002). "Firewall Deployment for Multitier Applications"
↑ Young, Scott (2001). «Designing a DMZ». SANS Institute. 2 páginas. Consultado em 11 de dezembro de 2015
↑ «What is a DMZ and how to configure DMZ host». tp-link.com. TP-Link Systems Inc. 27 de abril de 2017
↑ ^a ^b «What does the DMZ setting on routers do». MicroCenter.com. Micro Electronics. Consultado em 14 de dezembro de 2024

Leitura adicional

Shinder, Deb. «SolutionBase: Strengthen network defenses by using a DMZ». TechRepublic. Arquivado do original em 15 de dezembro de 2022
Eric Maiwald. Network Security: A Beginner's Guide. Second Edition. McGraw-Hill/Osborne, 2003.

[1] «Control System Security DMZ». Official website of The Cybersecurity and Infrastructure Security Agency (CISA) for the Dept. of Homeland Security, USA. Consultado em 9 de junho de 2020. Arquivado do original em 9 de junho de 2020

[2] «What is a DMZ and How does it Work?». Techtarget SearchSecurity. Consultado em 9 de junho de 2020

[Bradley_Mitchell-3] Bradley Mitchell (27 de agosto de 2018). «Demilitarized Zone in Computer Networking». Consultado em 10 de dezembro de 2018

[jacobs-4] Jacobs, Stuart (2015). Engineering Information Security: The Application of Systems Engineering Concepts to Achieve Information Assurance. [S.l.]: John Wiley & Sons. p. 296. ISBN 9781119101604

[5] «Perimeter Firewall Design». Microsoft Security TechCenter. Microsoft Corporation. 29 de junho de 2009. Consultado em 14 de outubro de 2013

[6] Zeltzer, Lenny (abril de 2002). "Firewall Deployment for Multitier Applications"

[sans-7] Young, Scott (2001). «Designing a DMZ». SANS Institute. 2 páginas. Consultado em 11 de dezembro de 2015

[DmzHost1-8] «What is a DMZ and how to configure DMZ host». tp-link.com. TP-Link Systems Inc. 27 de abril de 2017

[DmzHost2-9] «What does the DMZ setting on routers do». MicroCenter.com. Micro Electronics. Consultado em 14 de dezembro de 2024

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]