Presentació de la zona DMZ. Més manuals a: http://www.exabyteinformatica.com

1. Más manuales en: http://www.exabyteinformatica.com/manuales-y-apuntes-freeware
© Roger Casadejús Pérez | http://www.exabyteinformatica.com/tienda/
Zona DMZ, la xarxa segura de curiosos
Una de les qüestions que moltes persones no tenen clares és quants servidors necessita la
meva empresa. És a dir, si un sol servidor pot exercir diverses funcions perquè haig de muntar
diferent maquinari per realitzar diferents tasques? Bé, una de les raons principals està en la
seguretat i amb això volem parlar del concepte de zona DMZ, la xarxa a resguard de curiosos
en l'empresa.
Una zona DMZ es coneix com una zona desmilitaritzada, és a dir, una zona segura que no està
dins de la nostra xarxa local, però que tampoc és externa a la nostra empresa. Per tant, es
planteja com un pas intermedi entre la nostra xarxa i l'accés a Internet, que si protegim per un
tallafocs degudament deixarem com una zona segura dins de la nostra empresa.
Per què és interessant tenir una xarxa diferent a la nostra xarxa local en l'empresa?
Bàsicament perquè en aquest cas podem situar fora de la nostra xarxa local per exemple el
nostre servidor web, que doni servei per a la nostra pàgina corporativa o la nostra botiga en
línia però que en cas de que algú aconsegueixi accedir al mateix alhora no quedi desprotegida
tota la nostra xarxa local.
En l'esquema que es mostra en la imatge es crea un xarxa amb tres potes. En aquest cas tenim
dues xarxes diferents en l'empresa, la xarxa LAN, on estaran tots els equips i una altra xarxa
que donarà servei a la zona DMZ. Qualsevol comunicació entre elles haurà de fer-se a través
del router i tallafocs evitant d'aquesta manera que hi hagi curiosos en la nostra empresa, ja
siguin interns o externs, que de tot hi ha:

2. Más manuales en: http://www.exabyteinformatica.com/manuales-y-apuntes-freeware
© Roger Casadejús Pérez | http://www.exabyteinformatica.com/tienda/
A la xarxa que dóna servei a la DMZ introduirem serveis vitals per a la nostra empresa però que
necessiten ser accedits des de l'exterior com poden ser el correu electrònic, servidor web o el
nostre servei de DNS. D'aquesta manera quedem més protegits que si estiguessin integrats a la
xarxa local.
Una configuració més segura implicaria tenir dos tallafocs que fessin de barrera a l'hora
d'evitar intrusions. D'aquesta manera la zona DMZ queda protegida per un router frontal que
ho aïlla de la zona d'internet i per un altre darrere que ho manté aïllat de la nostra xarxa local.
Aquesta és la manera més eficaç d'evitar intrusions, encara que com sempre res és infalible.
Com hem comentat en alguna ocasió, és convenient si optem per aquest tipus de configuració
que busquem tecnologies diferents pels dos tallafocs. Un tallafocs basat en maquinari, un
apliance de seguretat, situat com a frontal i un tallafocs basat en programari entre la nostra
xarxa local i la DMZ. Amb això evitem que si aconsegueixen explotar una vulnerabilitat per
accedir no sigui explotada en tots dos tallafocs.
Encara que a alguns us pugui semblar excessiu, és quelcom habitual per a empreses que tenen
el seu propi servidor web muntar alguna cosa similar a això. En cas de no tenir els recursos
necessaris per comprar diverses màquines, i no haver de donar servei a molts usuaris un bon
recurs és virtualitzar en una mateixa màquina dos servidors, de manera que un queda per a la
xarxa local i una altra per als serveis com a correu, DNS o servidor web.