¿Qué es una zona DMZ, para que se utiliza?

Una DMZ es un grupo de servidores que ofrecen servicios de cara al público, es decir, que se les puede acceder desde internet y que por tanto son vulnerables de cara al exterior.

Un ejemplo claro puede ser un servidor web o de correo de una empresa

Para intentar evitar o minorizar los ataques a esos servidores no se les coloca en la red local, puesto que el prligro sería muy alto; en su lugar, se les coloca en una red DMZ protegida por diversos mecanismos como Firewall, IDS's y otros mecanismos de monitorización y filtración.

El escenario más común suele ser:

Internet<>Firewall<>DMZ<>Firewall<>LAN

o

Internet<>Firewall<->LAN
|
|
DMZ

Salu2!!!

Javier Inglés
MS-MVP

:
<<<QUITAR "NOSPAM" PARA MANDAR MAIL>>>

Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho


"Alberto" escribió en el mensaje news:ugfJtk8%

Pues eso. Que he leido posts al respecto y no recuerdo muy bien para que se
utilizaba?
¿como se configura físicamente y logicamente?
Alberto.

Saludos
Alberto Gilsanz Mir
Escuelas San José de Valencia

(Límpiame de basura si quieres escribirme)

El Wed, 25 Feb 2004 18:58:30 +0100, "Alberto"
escribio:

Pues eso. Que he leido posts al respecto y no recuerdo muy bien para que se
utilizaba?
¿como se configura físicamente y logicamente?

DMZ = Zona DesMilitarizada

Aqui puedes ampliar informacion de como se configura y demas
cuestiones.

http://es.tldp.org/Manuales-LuCAS/d...de239.html



Ille Corvus. In Aeternum.

Meritorios de Filtrado (Kill-file):
jm tella llop (N.B. 2003.10.25)

Un matiz en referencia a dicho artículo; parece que no se tiene muy claro lo que es un Firewall y un Router

Un router, básicamente, hablando mal y pronto, sirve para encaminar paquetes, y puede (dependiendo de los modelos) filtrar ciertos aspectos de esos paquetes a distintas capas.

El Firewall, dependiendo también del modelo y demás, es capaz de hacer, además de filtrado de paquetes y a niveles de todas las capas, mecanismos de detección de intrusión, trazas y seguimientos de los paquetes, poder devolverle el ataque, etc... es decir, que hace bastantes más cosas que un router y puede dar mucha más información al respecto además de apicar mecanismos de seguridad más complejos y efectivos.

Por ello, en el artículo mencionado ésto no parece dejarlo muy laro, y montar una DMZ con routers es, cuanto menos, peligroso porque hay muchas técnicas de ataque que los routers no son capaces de filtrar o bloquear, mientras que un Firewall sí (por ejemplo, un ISA Server, un PIX de Cisco, CheckPoint, máquinas SUN, etc...), de ahí que la DMZ se monte con Firewall y no con routers. El dibujo exacto sería más bien:

Internet<>router<-->Firewall<>DMZ<>Firewall<-->router<>LAN

o

Internet<>router<-->Firewall<->router<>LAN
|
|
DMZ

Y más bien la DMZ la comprenderían realmente los routers y los Firewall, a parte de los servidores de cara al público o "bastiones".

Salu2!!!
Javier Inglés
MS-MVP

:
<<<QUITAR "NOSPAM" PARA MANDAR MAIL>>>

Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho


"Ille Corvus" escribió en el mensaje news:

El Wed, 25 Feb 2004 18:58:30 +0100, "Alberto"
escribio:

> Pues eso. Que he leido posts al respecto y no recuerdo muy bien para que se
>utilizaba?
>¿como se configura físicamente y logicamente?

DMZ = Zona DesMilitarizada

Aqui puedes ampliar informacion de como se configura y demas
cuestiones.

http://es.tldp.org/Manuales-LuCAS/d...de239.html



Ille Corvus. In Aeternum.

Meritorios de Filtrado (Kill-file):
jm tella llop (N.B. 2003.10.25)

El Wed, 25 Feb 2004 22:26:27 +0100, Javier Inglés [MS MVP]
escribio:

Poco tiempo ha pasado desde que usted me dijo que no volveria a
responderme, veo que la palabra dada por usted vale muy poco.

Por si tienes dudas le refresco la memoria, mire mas abajo.

A su disposicion.

Este enlace puede cortarse:
http://groups.google.es/groups?hl=e...12.phx.gbl

From: Javier Inglés [MS MVP]
References: <e7$

<#

Subject: Re: [Info] Cómo cambiar Máscara en Cluster...
Date: Mon, 16 Feb 2004 11:24:19 +0100
Lines: 60
MIME-Version: 1.0
charset"iso-8859-1"
X-Priority: 3
X-MSMail-Priority: Normal
X-Newsreader: Microsoft Outlook Express 6.00.2800.1158
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2800.1165
Message-ID:
Newsgroups:
microsoft.public.es.win2000,microsoft.public.es.windows.server.general,microsoft.public.es.windows.server.instalacion,microsoft.public.es.windows.server.redes,microsoft.public.es.windowsxp
NNTP-Posting-Host: 191.red-83-33-38.pooles.rima-tde.net 83.33.38.191


Visto lo visto ?te ser?el ?timo post que te responda.

Pero Ille, si me quieres filtrar, f?trame...ahora, yo no tengo por
qu?filtrar a nadie, ni me apetece, ni me merece la pena

Un saludo


Javier Ingl?
MS-MVP

:
<<<QUITAR "NOSPAM" PARA MANDAR MAIL>>>

Este mensaje se proporciona "como est? sin garant?s de ninguna
clase, y no otorga ning? derecho


Ille Corvus. In Aeternum.

Meritorios de Filtrado (Kill-file):
jm tella llop (N.B. 2003.10.25)

Una pregunta Javier,

En este dibujo

Internet<>router<-->Firewall<>DMZ<>Firewall<-->router<>LAN

¿ Para que utilizar un Router y despues un Firewall si el segundo puede
hacer la labor del primero ?

Gracias por la explicación anterior.

Saludos.


"Javier Inglés [MS MVP]" escribió en el
mensaje news:OcJq$X%23%
Un matiz en referencia a dicho artículo; parece que no se tiene muy claro lo
que es un Firewall y un Router

Un router, básicamente, hablando mal y pronto, sirve para encaminar
paquetes, y puede (dependiendo de los modelos) filtrar ciertos aspectos de
esos paquetes a distintas capas.

El Firewall, dependiendo también del modelo y demás, es capaz de hacer,
además de filtrado de paquetes y a niveles de todas las capas, mecanismos de
detección de intrusión, trazas y seguimientos de los paquetes, poder
devolverle el ataque, etc... es decir, que hace bastantes más cosas que un
router y puede dar mucha más información al respecto además de apicar
mecanismos de seguridad más complejos y efectivos.

Por ello, en el artículo mencionado ésto no parece dejarlo muy laro, y
montar una DMZ con routers es, cuanto menos, peligroso porque hay muchas
técnicas de ataque que los routers no son capaces de filtrar o bloquear,
mientras que un Firewall sí (por ejemplo, un ISA Server, un PIX de Cisco,
CheckPoint, máquinas SUN, etc...), de ahí que la DMZ se monte con Firewall y
no con routers. El dibujo exacto sería más bien:

Internet<>router<-->Firewall<>DMZ<>Firewall<-->router<>LAN

o

Internet<>router<-->Firewall<->router<>LAN
|
|
DMZ

Y más bien la DMZ la comprenderían realmente los routers y los Firewall, a
parte de los servidores de cara al público o "bastiones".

Salu2!!!
Javier Inglés
MS-MVP

:
<<<QUITAR "NOSPAM" PARA MANDAR MAIL>>>

Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no
otorga ningún derecho


"Ille Corvus" escribió en el mensaje
news:

El Wed, 25 Feb 2004 18:58:30 +0100, "Alberto"
escribio:

> Pues eso. Que he leido posts al respecto y no recuerdo muy bien para que

se

>utilizaba?
>¿como se configura físicamente y logicamente?

DMZ = Zona DesMilitarizada

Aqui puedes ampliar informacion de como se configura y demas
cuestiones.

http://es.tldp.org/Manuales-LuCAS/d...de239.html



Ille Corvus. In Aeternum.

Meritorios de Filtrado (Kill-file):
jm tella llop (N.B. 2003.10.25)