Rede DMZ

Na segurança informática, uma rede DMZ (por vezes referida como “zona desmilitarizada”) funciona como uma sub-rede que contém os serviços expostos e voltados para o exterior de uma organização. Atua como o ponto exposto para uma rede não confiável, geralmente a internet.

O objetivo de uma DMZ é adicionar uma camada extra de segurança à rede de área local de uma organização. Um nó de rede protegido e monitorizado que está voltado para fora da rede interna pode aceder ao que está exposto na DMZ, enquanto o resto da rede da organização está protegido por um firewall.

Quando implementada corretamente, uma rede DMZ oferece às organizações proteção adicional na deteção e mitigação de violações de segurança antes que elas alcancem a rede interna, onde os ativos valiosos estão armazenados.

Propósito de uma DMZ

A rede DMZ existe para proteger os hosts mais vulneráveis a ataques. Estes hosts geralmente envolvem serviços que se estendem a utilizadores fora da rede local, sendo os exemplos mais comuns os servidores de email, web e DNS. Devido ao aumento do potencial de ataque, eles são colocados na subrede monitorizada para ajudar a proteger o resto da rede caso sejam comprometidos.

Os hosts na DMZ têm permissões de acesso rigorosamente controladas a outros serviços dentro da rede interna, porque os dados que passam pela DMZ não são tão seguros. Além disso, as comunicações entre os hosts na DMZ e a rede externa também são restritas para ajudar a aumentar a zona de fronteira protegida. Isto permite que os hosts na rede protegida interajam com a rede interna e externa, enquanto o firewall separa e gere todo o tráfego partilhado entre a DMZ e a rede interna. Normalmente, um firewall adicional será responsável por proteger a DMZ da exposição a tudo na rede externa.

Todos os serviços acessíveis aos utilizadores ao comunicar a partir de uma rede externa podem e devem ser colocados na DMZ, se esta for utilizada. Os serviços mais comuns são:

• Servidores web: Servidores web responsáveis por manter a comunicação com um servidor de base de dados interno podem precisar ser colocados numa DMZ. Isto ajuda a garantir a segurança da base de dados interna, que muitas vezes armazena informações sensíveis. Os servidores web podem então interagir com o servidor de base de dados interno através de um firewall de aplicações ou diretamente, enquanto continuam sob a proteção da DMZ.
• Servidores de correio: mensagens de email individuais, assim como a base de dados de utilizadores criada para armazenar credenciais de login e mensagens pessoais, são geralmente armazenadas em servidores sem acesso direto à internet. Portanto, um servidor de email será construído ou colocado dentro da DMZ para interagir com e aceder à base de dados de email sem expô-la diretamente a tráfego potencialmente nocivo.
• Servidores FTP: Estes podem hospedar conteúdo crítico no site de uma organização e permitir interação direta com os ficheiros. Portanto, um servidor FTP deve estar sempre parcialmente isolado dos sistemas internos críticos.

Uma configuração de DMZ proporciona segurança adicional contra ataques externos, mas geralmente não tem influência em ataques internos, como a intercepção de comunicação através de um analisador de pacotes ou falsificação por e-mail ou outros meios.

Designs DMZ

Existem várias formas de construir uma rede com uma DMZ. Os dois principais métodos são um único firewall (às vezes chamado de modelo de três pernas) ou firewalls duplos. Cada um destes sistemas pode ser expandido para criar arquiteturas complexas feitas para satisfazer os requisitos da rede:

• Firewall único: Uma abordagem modesta para a arquitetura de rede envolve o uso de um único firewall, com um mínimo de 3 interfaces de rede. A DMZ será colocada dentro deste firewall. O nível de operações é o seguinte: o dispositivo de rede externo faz a conexão a partir do ISP, a rede interna é conectada pelo segundo dispositivo, e as conexões dentro da DMZ são geridas pelo terceiro dispositivo de rede.
• Firewall duplo: A abordagem mais segura é usar dois firewalls para criar uma DMZ. O primeiro firewall (referido como o firewall “frontend”) é configurado para permitir apenas o tráfego destinado à DMZ. O segundo firewall (referido como o firewall “backend”) é responsável apenas pelo tráfego que viaja da DMZ para a rede interna. Uma forma eficaz de aumentar ainda mais a proteção é usar firewalls construídos por fornecedores diferentes, pois é menos provável que tenham as mesmas vulnerabilidades de segurança. Embora mais eficaz, este esquema pode ser mais caro de implementar numa rede grande.

Em muitas redes domésticas, os dispositivos habilitados para internet são construídos em torno de uma rede de área local que acede à internet através de um router de banda larga. No entanto, o router serve como ponto de ligação e firewall, automatizando o filtro de tráfego para garantir que apenas mensagens seguras entrem na rede de área local. Assim, numa rede doméstica, pode-se construir uma DMZ adicionando um firewall dedicado entre a rede de área local e o router. Embora seja mais caro, esta estrutura pode ajudar a proteger melhor os dispositivos internos contra ataques sofisticados, protegendo os dispositivos internos de possíveis ataques externos.

As DMZ são uma parte essencial da proteção de rede tanto para utilizadores individuais como para grandes organizações. Proporcionam uma camada extra de segurança à rede de computadores ao restringir o acesso remoto a servidores internos e informações, o que pode ser muito prejudicial se violado.