O que é DMZ e como implementar
Em redes de computadores, uma DMZ, ou zona desmilitarizada, é uma sub-rede física ou lógica que separa uma rede local (LAN) de outras redes não confiáveis — geralmente, a internet pública. DMZs também são conhecidas como redes perimetrais ou sub-redes protegidas.
Qualquer serviço fornecido a usuários na internet pública deve ser alocado na rede DMZ. Servidores, recursos e serviços externos geralmente estão localizados lá. Os serviços mais comuns incluem web, e-mail, sistema de nomes de domínio, FTP e servidores proxy.
Servidores e recursos na DMZ são acessíveis pela internet, mas o restante da LAN interna permanece inacessível. Essa abordagem fornece uma camada adicional de segurança à LAN, pois restringe a capacidade de um hacker de acessar servidores e dados internos diretamente da internet.
Hackers e cibercriminosos podem acessar os sistemas que executam serviços em servidores DMZ. Esses servidores devem ser protegidos para resistir a ataques constantes. O termo DMZ vem da zona de amortecimento geográfica estabelecida entre a Coreia do Norte e a Coreia do Sul no final da Guerra da Coreia.
Confira também: O que é um honeypot?
Por que as DMZs são importantes?
As DMZs fornecem um nível de segmentação de rede que ajuda a proteger as redes corporativas internas. Essas sub-redes restringem o acesso remoto a servidores e recursos internos, dificultando o acesso de invasores à rede interna. Essa estratégia é útil tanto para uso individual quanto para grandes organizações.
As empresas colocam aplicativos e servidores expostos à internet em uma DMZ, separando-os da rede interna. A DMZ isola esses recursos para que, se forem comprometidos, o ataque dificilmente cause exposição, danos ou perdas.
Como funciona uma DMZ?
As DMZs funcionam como uma zona de buffer entre a internet pública e a rede privada. A sub-rede da DMZ é implantada entre dois firewalls. Todos os pacotes de rede de entrada são então filtrados por um firewall ou outro dispositivo de segurança antes de chegarem aos servidores hospedados na DMZ.
Se hackers mais bem preparados passarem pelo primeiro firewall, eles precisarão obter acesso não autorizado aos serviços na DMZ antes que possam causar qualquer dano. Esses sistemas provavelmente estão protegidos contra esses ataques.
Por fim, supondo que hackers com bons recursos assumam o controle de um sistema hospedado na DMZ, eles ainda precisarão romper o firewall interno antes de alcançar recursos corporativos confidenciais. Invasores determinados podem violar até mesmo a arquitetura de DMZ mais segura. No entanto, uma DMZ sob ataque dispara alarmes, dando aos profissionais de segurança aviso suficiente para evitar uma violação completa de sua organização.
Quais são os benefícios de usar uma DMZ?
O principal benefício de uma DMZ é que ela oferece aos usuários da internet pública acesso a determinados serviços seguros, mantendo um buffer entre esses usuários e a rede interna privada. Entre os vários benefícios de segurança desse buffer estão:
- Controle de acesso. Uma rede DMZ fornece controle de acesso a serviços fora dos perímetros da rede de uma organização, acessados pela internet. Ao mesmo tempo, introduz um nível de segmentação de rede que aumenta o número de obstáculos que um usuário deve contornar antes de obter acesso à rede privada de uma organização. Em alguns casos, uma DMZ inclui um servidor proxy, que centraliza o fluxo de tráfego interno (geralmente de funcionários) da internet e simplifica o registro e o monitoramento desse tráfego.
- Prevenção de reconhecimento de rede. Uma DMZ também impede que um invasor consiga identificar alvos potenciais dentro da rede. Mesmo que um sistema dentro da DMZ seja comprometido, o firewall interno protege a rede privada, separando-a da DMZ. Essa configuração dificulta o reconhecimento ativo externo. Embora os servidores na DMZ sejam expostos publicamente, eles contam com outra camada de proteção. A face pública da DMZ impede que invasores vejam o conteúdo da rede privada interna. Se os invasores conseguirem comprometer os servidores dentro da DMZ, eles ainda estarão isolados da rede privada pela barreira interna da DMZ.
- Proteção contra falsificação de Protocolo de Internet (IP). Em alguns casos, invasores tentam contornar as restrições de controle de acesso falsificando um endereço IP autorizado para se passar por outro dispositivo na rede. Uma DMZ pode bloquear potenciais falsificadores de IP, enquanto outro serviço na rede verifica a legitimidade do endereço IP, testando se ele está acessível.
Arquitetura e projeto de redes DMZ
Existem várias maneiras de projetar uma rede com uma DMZ. Os dois métodos básicos são usar um ou dois firewalls, embora a maioria das DMZs modernas seja projetada com dois firewalls.
Um único firewall com pelo menos três interfaces de rede pode ser usado para criar uma arquitetura de rede contendo uma DMZ. A rede externa é formada pela conexão da internet pública — por meio de uma conexão com um provedor de serviços de internet — ao firewall na primeira interface de rede. A rede interna é formada pela segunda interface de rede, e a rede DMZ se conecta à terceira interface de rede.
Diferentes conjuntos de regras de firewall para monitorar o tráfego entre a internet e a DMZ, a LAN e a DMZ, e a LAN e a internet controlam rigorosamente quais portas e tipos de tráfego são permitidos na DMZ a partir da internet. Essas regras também limitam a conectividade a hosts específicos na rede interna e impedem conexões não solicitadas com a internet ou a LAN interna a partir da DMZ.
A abordagem mais segura para criar uma rede DMZ é uma configuração de firewall duplo, na qual dois firewalls são implantados com a rede DMZ posicionada entre eles. O primeiro firewall permite apenas tráfego externo destinado à DMZ. O segundo, ou firewall interno, permite apenas tráfego da DMZ para a rede interna.
A abordagem de firewall duplo é considerada mais segura porque dois dispositivos devem ser comprometidos antes que um invasor possa acessar a LAN interna. Os controles de segurança podem ser ajustados especificamente para cada segmento de rede. Por exemplo, um sistema de detecção e prevenção de intrusão (IPS) de rede localizado em uma DMZ pode ser configurado para bloquear todo o tráfego, exceto solicitações HTTPS para a porta 443 do TPC.
Confira também: 10 Estratégias para Proteger Firewalls Corporativos
Quer atuar na linha de frente da segurança digital?
Aprenda, na prática, como identificar, analisar e responder a incidentes de segurança, usando ferramentas reais de um Centro de Operações de Segurança (SOC).
Inscreva-se no curso “Defesa Cibernética: Analista SOC na Prática” da IBSEC e desenvolva as habilidades que o mercado exige.
