16.1. General
el servidor. Por ejemplo, suponiendo que nuestro servidor web está corriendo en NT eso
podría ser vulnerable a un número de ataques de negación-de-servicio contra servicios
tales como RPC, NetBIOS y SMB. Estos servicios no son requeridos para la
operación de HTTP. De modo que se pueden ajustar reglas para bloquear conexiones
TCP relevantes para puertos 135, 137, 138, y 139 en ese servidor para reducir la
exposición a ataques de negación-de-servicio.
Resumen:
Esta solución significa que, con un despliegue DMZ, no hay acceso directo desde el
Internet a la red interna, y nadie tratando de acceder a recursos en DMZ desde el
Internet podrá pasar las reglas del firewall.
Los ajustes de las reglas del firewall siguen un principio importante de seguridad,
esto es, limitar las conexiones a un número mínimo necesario para soportar los
servicios.
16.1.2
Planificación DMZ
La utilización de DMZ es un trabajo a gran escala, involucrando la segmentación de la
estructura de red y las configuraciones de regla del firewall. Por lo tanto, este requiere
un planeamiento cuidadoso para conseguir los propósitos de protección y
escalabilidad.
Se utiliza un pequeño grupo de componentes para ilustrar las diferentes propuestas del
planeamiento DMZ:
Un firewall D-Link con 3 interfaces: Int net, DMZ net, y Ext net
•
Un computador privado: Cliente A
•
Un Archivo de Servidor contenedor de los datos de LAN privado
•
Un Servidor de Base de datos conteniendo recursos para servicios públicos de
•
web.
Un Servidor Web para conexiones públicas.
•
Propuesta 1 – Archivo de Servidor, Servidor de Base de datos, un Cliente A en Int net;
Servidor Web en DMZ net.
Desventaja: El servidor Web en net DMZ necesita abrir algunos puertos en
Int net para acceder al servidor de Base de datos. Si el Servidor Web asume el
cargo por intrusión, el Servidor de Base de datos y otros componentes en Int
Net pueden exponerse a ataques.
Guía de Usuario de los Firewalls D-Link
129