Tabla de contenido
Publicidad
3.2. ¿Contra qué NO protege el firewall?
15
Es ahora una práctica común localizar servidores web en zonas desmilitarizadas,
donde éstos se comunican con fuentes de datos en redes protegidas. En tales casos,
los ataques a los datos plantean una gran amenaza.
El problema con los agujeros entre DMZ y redes internas no es realmente un problema
en sí. Mas bien, es una consecuencia de los problemas discutidos con anterioridad.
Mucha gente abre estos agujeros sin tener cuidado de los problemas que pueden
causar, lo cual es el por qué hemos elegido destacar estos problemas en
una sección separada.
La razón para localizar un servidor web en un DMZ es simple – el servidor no puede
confiar en ser completamente seguro. ¿Qué sucede si alguien gana control sobre
el servidor y hay un agujero abierto a través del cual se puede ganar acceso
a las fuentes de datos en la red interna? El resultado es que las redes "protegidas"
están abiertas a ataques desde el Internet, utilizando un servidor web como
intermediario.
¡No subestime los efectos de ésta vulnerabilidad! En nuestra experiencia,
incluso el atacante más inexperto necesita sólo unos minutos para ganar
acceso a las redes protegidas utilizando técnicas estandarizadas y bien conocidas,
específicamente desarrolladas para explotar éste tipo de agujeros.
La más simple defensa contra ésto es el incremento de la segmentación de la red.
A través de la localización de fuente de datos, ej. un servidor SQL, en un segmento
de red separada y previniéndole de la comunicación directa con el resto de la red,
usted puede limitar el daño causado por semejante ataque.
Nota
El problema aquí no son los paquetes IP que son dirigidos a través de los servidores
DMZ, por eso el deshabilitar "IP forwarding" no le proveerá ninguna protección.
El problema es que los intrusos pueden ejecutar comandos en estos servidores
del mismo modo que cualquiera en el teclado.
Debe también ser notado que su red interna será aún vulnerable
a los ataques incluso si el canal entre el DMZ y la red interna esta
hecha en un protocolo no-dirigible como un NetBEUI. Nuevamente, el problema
no son los paquetes que atraviesan redes inseguras hacia la red interna.
Guía de Usuario de los Firewalls D-Link
Publicidad
Tabla de contenido
