En seguridad de red, una subred filtrada se refiere al uso de uno o más enrutadores de detección lógicos como firewall para definir tres subredes separadas : un enrutador externo (a veces llamado enrutador de acceso ), que separa la red externa de una red perimetral, y una interna. enrutador (a veces llamado enrutador estrangulador ) que separa la red perimetral de la red interna. La red perimetral, también denominada red fronteriza o zona desmilitarizada (DMZ), está destinada a alojar servidores (a veces denominados hosts bastión ) a los que se puede acceder desde las redes internas y externas o que tienen acceso a ellas.[1] [2] [3] El propósito de una subred apantallada o DMZ es establecer una red con mayor seguridad que se sitúa entre una red externa y supuestamente hostil, como Internet o una extranet, y una red interna.
Una subred filtrada es un concepto esencial para el comercio electrónico o cualquier entidad que tenga presencia en la World Wide Web o que utilice sistemas de pago electrónico u otros servicios de red debido a la prevalencia de piratas informáticos , amenazas persistentes avanzadas , gusanos informáticos , redes de bots y otras amenazas a los sistemas de información en red .
Separación física de enrutadores
Al separar el sistema de firewall en dos enrutadores de componentes separados, logra un mayor rendimiento potencial al reducir la carga computacional de cada enrutador. Como cada enrutador componente del firewall de subred protegido necesita implementar solo una tarea general, cada enrutador tiene una configuración menos compleja. También se puede lograr una subred apantallada o DMZ mediante un solo dispositivo de firewall con tres interfaces de red. [4]
Relación con DMZ
El término zona desmilitarizada en el contexto militar se refiere a un área en la que los tratados o acuerdos entre grupos contendientes prohíben las instalaciones y actividades militares, a menudo a lo largo de una frontera o límite establecido entre dos o más potencias o alianzas militares. La similitud con la seguridad de la red es que la red protegida (DMZ) tiene fortificaciones reducidas porque tiene puntos de entrada previstos desde la red externa que se presume que es hostil.
Parece que el término zona desmilitarizada (DMZ) se popularizó como un término de ventas y marketing en algún momento después del desarrollo de enrutadores y cortafuegos protegidos. A menudo se utiliza como sinónimo, pero es posible que alguna vez haya tenido un significado diferente.
- "Hay una serie de términos que se utilizan, como hosts bastión, subredes protegidas, DMZ o redes perimetrales que pueden resultar confusas, especialmente cuando se utilizan juntas". ... "Otro término que a menudo puede causar confusión es la DMZ (zona desmilitarizada), a diferencia de una subred protegida. Una verdadera DMZ es una red que contiene hosts accesibles desde Internet con solo el enrutador exterior o interno entre ellos. . Estos hosts no están protegidos por un enrutador de detección ". ... "Una subred filtrada también puede ser una colección de hosts en una subred, pero estos se encuentran detrás de un enrutador de detección. El término DMZ puede ser utilizado por un proveedor para referirse a cualquiera de los dos, por lo que es mejor verificar a qué se refieren. " [5]
Comparación con la arquitectura / firewall de host filtrado
Mientras que el cortafuegos de subred con pantalla emplea dos enrutadores con pantalla para crear tres subredes, un firewall de host con pantalla emplea solo un enrutador con pantalla para definir dos subredes: una red externa y una red interna. [6] [7] [8] El cortafuegos de subred protegido es más seguro porque un intruso debe atravesar dos rutas filtradas para llegar a la red interna. Si el host bastión / DMZ se ve comprometido, el intruso aún debe omitir la segunda ruta filtrada para llegar a los hosts de la red interna.
Referencias
- ^ Wack, John; Carnahan, Lisa (diciembre de 1994). "3.4 Cortafuegos de subred con pantalla". Mantener su sitio cómodamente seguro: una introducción a los cortafuegos de Internet . Instituto Nacional de Estándares y Tecnología. págs. 38–40.
- ^ Chapman, D. Brent; Zwicky, Elizabeth D. (noviembre de 1995). "6.3. Arquitecturas de subred apantalladas". Construcción de cortafuegos de Internet (1ª ed.). O'Reilly y asociados. ISBN 1-56592-124-0.
- ^ "Examen de estudio ISACA CISA" . ISACA. 2018 . Consultado el 16 de octubre de 2018 .
Un firewall de subred protegida, también utilizado como zona desmilitarizada (DMZ), utiliza dos enrutadores de filtrado de paquetes y un host bastión. Esto proporciona el sistema de firewall más seguro porque admite seguridad tanto a nivel de red como de aplicación mientras define una red DMZ separada.
- ^ Jacobs, Stuart (2015). Seguridad de la información de ingeniería: la aplicación de conceptos de ingeniería de sistemas para lograr el aseguramiento de la información . John Wiley e hijos. pag. 563. ISBN 9781119101604.
- ^ Davis, William S. (20 de septiembre de 2000). "Usa la ofensiva para informar a la defensa. Encuentra fallas antes que los malos" . Instituto SANS. Cite journal requiere
|journal=
( ayuda ) - ^ Wack, John; Carnahan, Lisa (diciembre de 1994). "3.3 Cortafuegos de host filtrado". Mantener su sitio cómodamente seguro: una introducción a los cortafuegos de Internet . Instituto Nacional de Estándares y Tecnología. págs. 36–38.
- ^ Chapman, D. Brent; Zwicky, Elizabeth D. (noviembre de 1995). "6.2. Arquitecturas de host filtradas". Construcción de cortafuegos de Internet (1ª ed.). O'Reilly y asociados. ISBN 1-56592-124-0.
- ^ "Examen de estudio ISACA CISA" . ISACA. 2018 . Consultado el 16 de octubre de 2018 .
Un firewall de host protegido utiliza un enrutador de filtrado de paquetes y un host bastión. Este enfoque implementa la seguridad básica de la capa de red (filtrado de paquetes) y la seguridad del servidor de aplicaciones (servicios proxy).