Ir al contenido

DMZ


Publicaciones recomendadas

Hola a todos, espero que me podais ayudar de nuevo, esta vez es una duda "teorica". Necesito que un router multipuesto actue como un modem adsl, creo que lo normal seria ponerlo en monopuesto... pero mi router tiene la opción de DMZ, la pregunta es ¿es lo mismo?

Gracias

Enlace al mensaje
Compartir en otros sitios web

No, no es lo mismo. DMZ (zona desmilitarizada) lo que hace es abrir todos los puertos hacia una ip. La gestión de la conexión la sigue realizando el router, al contrario de un modem adsl que la gestiona el pc.

Un router en multipuesto no puede actuar como un modem adsl.

Ten en cuenta que el pc que programes como DMZ no está protegido y debes tener instalado un firewall por software que lo proteja de ataques externos.

Salu2.

Enlace al mensaje
Compartir en otros sitios web

No, no es lo mismo. DMZ (zona desmilitarizada) lo que hace es abrir todos los puertos hacia una ip. La gestión de la conexión la sigue realizando el router, al contrario de un modem adsl que la gestiona el pc.

Un router en multipuesto no puede actuar como un modem adsl.

Ten en cuenta que el pc que programes como DMZ no está protegido y debes tener instalado un firewall por software que lo proteja de ataques externos.

Salu2.

.......

No estoy muy deacuerdo con tu "DEFINICION" de DMZ...

Podras encontrar mejores aqui...

*******

http://es.tldp.org/Manuales-LuCAS/doc-u ... de239.html

*******

Screened Subnet (DMZ)

La arquitectura Screened Subnet, también conocida como red perimétrica o De-Militarized Zone (DMZ) es con diferencia la más utilizada e implantada hoy en día, ya que añade un nivel de seguridad en las arquitecturas de cortafuegos situando una subred (DMZ) entre las redes externa e interna, de forma que se consiguen reducir los efectos de un ataque exitoso al host bastión: como hemos venido comentando, en los modelos anteriores toda la seguridad se centraba en el bastión16.1, de forma que si la seguridad del mismo se veía comprometida, la amenaza se extendía automáticamente al resto de la red. Como la máquina bastión es un objetivo interesante para muchos piratas, la arquitectura DMZ intenta aislarla en una red perimétrica de forma que un intruso que accede a esta máquina no consiga un acceso total a la subred protegida.

******************************

Bye 8)

Enlace al mensaje
Compartir en otros sitios web

Trigredark, yo no estoy muy de acuerdo con el rollo que pone ahi. Me parece bastante mas simple y correcto lo que dice jexul, que casualmente coincide con los manuales de los routers que tengo.

Tendras que escribir a los fabricantes de los routers para que modifiquen ellos los manuales. :lol:

Enlace al mensaje
Compartir en otros sitios web

Hola a todos,

Creo que todos teneis un poco de razón en lo que exponeis, aunque la definición totalmente correcta es la que da TigreDARK.

Esta es una mas de las nomenclaturas que se ha adoptado en la ADSL y que no son para nada correctas. Un ejemplo es lo de monopuesto o multipuesto, comentaba un día con mced que yo no había oido eso hasta llegar a estos foros, un router hace NAT o no hace NAT, pero eso no quiere decir que no pueda gestionar varios ordenadores (con IP's públicas por ej.).

Bien pues la DMZ es una mas de esas. Vamos a ver el porque de una y otra y vereis que nada tienen que ver entre si.

El uso de la DMZ parte de la necesidad de impedir totalmente que un tráfico procedente del exterior pueda llegar a mi red interna. Si yo tengo algún servidor que publicar (un WEB por ej.) si este servidor está dentro de mi red interna y abro puertos hacia el, abro tambien un posible canal de entrada hacia dicha red. Esto es lo que hacemos habitualmente cuando abrimos los puertos en nuestro router ADSL, establecemos un canal por el que permitimos la entrada de tráfico de Internet hacia nuestra red interna.

Para impedir esto, lo que se hace es definir un segmento de red separado en el que residan dichos servidores, con lo que se puede permitir el tráfico de Internet hacia ese segmento y de la red interna hacia ese segmento, pero prohibir el tráfico de internet hacía la red interna. Bien como observareis, para montar un DMZ tengo tres segmentos de red que deben de estar fisicamente aislados entre si, por lo que fisicamente necesito tres interfaces (una para Internet, otra para la DMZ, y otra para la red Interna). Como deducimos, con nuestro router ADSL que solo tiene dos interfaces no va a ser posible.

Esta labor la realiza habitualmente un Firewall (o mas de uno), ninguna empresa que se precie confia su seguridad a la que puede dar un router (os cuento como se me saltaron el router y me bloquearon 1200 cuentas de usuario) y por supuesto estoy hablando de routers totalmente profesionales (y bien configurados eh!! :D ), imaginaros los domesticos.

Bien, como maneja esto el firewall, la arquitectura mas común es la de un equipo con tres tarjetas, una para cada segmento y en el firewall se configurarán las reglas que regularán el tráfico entre ellas. Microsoft, recomendaba en su ISA SERVER 2000 una arquitectura conocida como back to back en la que la DMZ se construia poniendo dos firewall de espaldas entre si, uno controlaba el tráfico de Internet a la DMZ y el otro el tráfico de la LAN a la DMZ (con el ISA 2004 se ha ido a la arquitectura de tres tarjetas). Por supuesto un Firewall que se precie debe de permitir DMZ y gestionar totalmente tanto el tráfico de entrada como el de salida, ya que lo normal será tener un firewall (o varios) de salida y no tener firewall en cada máquina.

Otro error es el tema de los puertos abiertos, según la "nomenclatura ADSL" a un equipo en la DMZ se le abren todos los puertos, en una DMZ de verdad cuando tu pones un equipo en ella tienes que configurar en el Firewall reglas para definir que puertos abres a ese equipo, que tipo de tráfico permites, desde que IP's, a que horas, etc, es decir, un equipo en una DMZ de verdad no tiene todos los puertos abiertos, en realidad está mas protegido que un equipo que publiquemos a través de nuestro router ADSL..

Como vereis no tiene mucho que ver una DMZ (de verdad) con una DMZ (made in ADSL).

Bueno, al menos esa es mi opinión (permito disentir eh! :D ) y perdón por el ladrillo.

Salu2

Enlace al mensaje
Compartir en otros sitios web

Pues ahora entro yo a crear más discord... digoooo, a poner una opinión más.

DMZ no es exactamente igual que colocar el router en monopuesto, aunque para las funciones que busca la gente (que es fundamentalmente abrir puertos) prácticamente lo sea.

Un router ADSL en monopuesto (que no hace NAT) es equivalente a desactivar sus funciones de enrutado, dejando sólo su componente interno de modem comunicado directamente con el PC en cuestión. Esto significa que deja pasar tooooodos los paquetes.

Sin embargo, DMZ sólo deja pasar con libertad TCP y UDP. Otro tipo de paquetes como ICMP o IGMP los seguirá bloqueando, puesto que el router sigue haciendo NAT.

Un echo.request llegará al mismo PC usando un router en monopuesto. Con DMZ se quedará en el router.

Enlace al mensaje
Compartir en otros sitios web
  • 2 years later...

Buenas tardes,

A ver, mi pregunta es sobre las DMZ de verdad. Si se supone que yo tengo un Firewall que soporte DMZ, un switch que soporte DMZ, y un servidor Web que le quiero aislar del resto de la red, necesito algo más?

Las DMZ es lo mismo que las denominadas VLAN? Lo que había oído es lo que ha dicho Frontan155 de las VLAN.

Enlace al mensaje
Compartir en otros sitios web
Invitado
Este tema está cerrado a nuevas respuestas.
×
×
  • Crear nuevo...

Información importante

Términos de Uso Política de privacidad Hemos colocado cookies en su dispositivo para ayudar a mejorar este sitio web. Puedes ajustar la configuración de tus cookies ; de lo contrario, asumiremos que quieres continuar.