Conceito de DMZ

A DMZ, do termo em inglês “DeMilitarized Zone”, ou seja, “Zona Desmilitarizada”, nada mais é do que áreas intermediárias entre a rede interna e externa onde os servidores que recebem tráfego externo estão hospedados de maneira separada da rede interna de uma empresa, por exemplo.

Sua função é manter os serviços que possuem acesso externo separados da rede local, restringindo ao máximo um potencial dano causado por algum invasor, tanto interno como externo.

Ela permite o acesso de usuários externos aos servidores específicos localizados na rede de perímetro, ao mesmo tempo em que evita o acesso à rede corporativa interna. Ela tem como papel principal ser uma espécie de uma rede “tampão” entre as redes externa e interna.

A configuração é realizada através do uso de equipamentos de Firewall, que vão realizar o controle de acesso entre a rede local, a Internet e a DMZ (ou, em um modelo genérico, entre as duas redes a serem separadas e a DMZ).

Os equipamentos situados na DMZ têm como função fornecer serviços aos usuários externos, de tal modo que estes não necessitem acessar a rede interna, proporcionando um certo grau de isolamento da rede interna (confiável) em relação ao tráfego que vêm da rede externa (não confiável).

Os equipamentos na DMZ podem estar em um switch dedicado ou compartilhar um switch da rede, porém neste último caso devem ser configuradas Redes Virtuais distintas dentro do equipamento, também chamadas de vlans (Ou seja, redes diferentes que não se “enxergam” dentro de uma mesma rede – LAN) porem isto não sera abordado.

Os equipamentos colocados na DMZ devem ser configurados de modo a funcionar com o mínimo de recursos possíveis ao oferecer um determinado serviço. Além disso, o comprometimento de um equipamento qualquer situado na DMZ não deve servir para o comprometimento de equipamentos e/ou serviços da rede interna, ou seja, qualquer tentativa de ataque deve ficar confinada aos equipamentos situados na DMZ.

Veja alguns exemplos de DMZ:

Exemplo de DMZ com Serviços

Exemplo de DMZ com Serviços

Conforme a figura os servidores WEB, de arquivos e de Email podem ser acessados de ambas as redes. Normalmente administradores de redes não permitem que qualquer tráfego passe diretamente através de uma DMZ. Uma DMZ pode ser implementada com fitros de rede configurados nas suas bordas, estes filtros são responsáveis por realizar o controle de acesso do que entra e do que sai da DMZ e podem ser do tipo packet filtering, stateful packet filtering e de cache como servidores de proxy conhecidos como ALGs (Application Layer Gateway).

O Packet filtering limita o tráfego dentro da rede baseado no destino e na origem de endereços IPs, portas e outras flags que podem ser utilizadas na implementação das regras de filtro.

O Stateful packet filtering filtra o tráfego baseado no destino e na origem dos endereços IPs, portas, flags além de realizar “stateful inspection” uma inspeção de pacotes que permite o armazenamento de dados de cada conexão em uma tabela de sessão. Esta tabela armazena o estado do fluxo de pacotes e serve como ponto de referência para determinar se os pacotes pertencem a uma conexão existente ou se são pacotes de uma fonte não autorizada.

As ALGs funcionam no nível da aplicação e interceptam e estabelecem conexões dos hosts da rede interna com a rede externa, autorizando ou não a conexão.

As DMZs podem possuir a capacidade de conter um ataque e limitar os danos na rede. Uma das arquiteturas mais utilizadas são as DMZs que utilizam uma solução de defesa em camadas.

 

Exemplo de DMZ com VPN

Exemplo de DMZ com VPN

A forma mais simples de projetar uma DMZ é utilizando um Proxy Firewall com três ou mais interfaces de rede, onde cada uma delas terá um papel específico: Rede interna confiável; Rede DMZ; Rede Externa não confiável (Internet).

Se for utilizar uma DMZ com regras de Firewall, o Firewall será normalmente configurado para proteger a rede interna da Internet. Para criar uma DMZ, o firewall também deve aplicar as regras para proteger o DMZ a partir da Internet e das regras destinadas a proteger a rede interna da DMZ. Isto tornará mais difícil para um atacante para penetrar a rede interna.

É possível ainda separar a DMZ em múltiplos hosts da DMZ, o que irá aumentar um pouco mais a segurança, já que se um host dele for comprometido, os outros estarão seguros por se encontrarem em outra DMZ.

Dentro das características das DMZ podemos citar:

  • Servidores que precisam ser acessados externamente são posicionados dentro de uma DMZ;
  • As DMZs são estabelecidas entre duas zonas de segurança;
  • Em uma DMZ pode-se posicionar dispositivos para realizarem um cache de rede;
  • As DMZs realizam o controle do tráfego do que entra e do que sai da rede;
  • A DMZ pode conter um ataque sem que o mesmo passe para dentro da rede.

Questões de Concursos

(FGV – 2008 – Senado Federal – Analista de Suporte de Sistemas) A necessidade cada vez maior de uso da Internet pelas organizações e a constituição de ambientes corporativos levam a uma crescente preocupação com a segurança, fazendo com que o firewall assuma um papel de elevada importância. A esse respeito, analise o esquema e as afirmativas abaixo.
I. A zona desmilitarizada (DMZ) refere-se à parte que fica entre a rede interna, que deve ser protegida, e a rede externa. 
II. O esquema evita parcialmente o problema de comprometimento da rede interna da organização, caso um ataque ao servidor de dados tenha sucesso. 
III. O proxy existente no firewall protege a rede atuando como um gateway, operando na camada de rede do modelo OSI/ISO.

Assinale:
a) se somente a afirmativa I estiver correta.
b) se somente as afirmativas I e III estiverem corretas.
c) se somente as afirmativas I e II estiverem corretas.
d) se somente as afirmativas II e III estiverem corretas.
e) se todas as afirmativas estiverem corretas.

(FCC – 2007 – TRE-MS – Analista Judiciário – Área Judiciária) Uma DMZ – Zona Desmilitarizada – é um segmento de rede parcialmente protegido que para possibilitar maior segurança na Internet deve estar associada ao mecanismo de proteção
a) Plano de contingência.
b) Proxy.
c) Criptografia.
d) Firewall.
e) Sistema de detecção de intrusão.

Gabarito e Comentários das Questões

(FGV – 2008 – Senado Federal – Analista de Suporte de Sistemas) A necessidade cada vez maior de uso da Internet pelas organizações e a constituição de ambientes corporativos levam a uma crescente preocupação com a segurança, fazendo com que o firewall assuma um papel de elevada importância. A esse respeito, analise o esquema e as afirmativas abaixo.

Letra “C”. Como na terceira afirmativa ele especificou que é o Proxy existente no Firewall em si, ele está referindo-se ao “Proxy Firewall”, que trabalha na Camada de Aplicação Modelo OSI (7).

Caso fosse apenas um Proxy fazendo papel de filtragem de tráfego, seria a terceira Camada do Modelo OSI, a de Rede. Se fosse um “Stateful Packet Inspection”, estaria trabalhando na Camada 4 do Modelo OSI, a de Transporte.

(FCC – 2007 – TRE-MS – Analista Judiciário – Área Judiciária) Uma DMZ – Zona Desmilitarizada – é um segmento de rede parcialmente protegido que para possibilitar maior segurança na Internet deve estar associada ao mecanismo de proteção

Letra “D”. O Firewall tem exatamente essa função de proteger os segmentos de sub-redes.

 

Sou bacharel em Sistemas de Informação pela Estácio de Sá (Alagoas), especialista em Gestão Estratégica da Tecnologia da Informação pela Univ. Gama Filho (UGF) e pós-graduando em Gestão da Segurança da Informação pela Univ. do Sul de Santa Catarina (UNISUL). Certificações que possuo: EC-Council CEH, CompTIA (Security+, CySA+ e Pentest+), EXIN (EHF e ISO 27001), MCSO, MCRM, ITIL v3. Tenho interesse por todas as áreas da informática, mas em especial em Gestão e Governança de TI, Segurança da Informação e Ethical Hacking.

11 Responses to “Conceito de DMZ”

  1. Jucilei disse:

    Dmz parece uma giria hushushs

  2. Ótimo artigo nobre Diego. Como sempre muito empenhado.

  3. Dario Alexandre disse:

    Muito bom e pretendo agora por na pratica, mas nao sei por onde começar!!!!!? Vai uma ajuda ai?

  4. Alan disse:

    Muito bom artigo! Só um comentário tentando adicionar uma informação importante. A DMZ não precisa ser necessariamente uma área intermediária entre as duas redes. Uma rede local pode acessar diretamente a internet, porém a internet não pode acessar diretamente a rede local. A DMZ acessa a internet que por sua vez tbm acessa a DMZ e a rede local pode acessar as outras duas redes. Ou seja, a DMZ não faz mediação de todos acessos entre a rede local e a rede externa..graficamente falando a arquitetura mais genérica seria melhor representada por um triângulo. rs

  5. pollyanna disse:

    Boa noite Diego,

    Sou leiga no assunto mas gostaria que vc me tirasse uma dúvida, tenho um roteador de rede da Net. Estamos desconfiadas que o roteador que fica no quarto do rapaz, ele consegui segmentar a rede. Ou seja os computadores nós utilizamos a internet via cabo e os telefones e aparelhos moveis não pegam. Desconfiamos que não pega porque ele faz algum tipo de segmentação ou interferência, é possível?

    • Diego Macêdo disse:

      Quanto a internet eu até poderia dizer que é possível, mas não necessariamente que ele esteja fazendo isto. Por que você não acessa o roteador e verifica as configurações? Se o telefone não pega ou a internet, por que não entram em contato com o pessoal da NET para verificar o problema?

  6. Rudson disse:

    olá Diego tudo bem ? cara você tem mais algum material que fale sobre a DMZ,pois preciso fazer um trabalho caso você possa me ajudar agradeço.

  7. Edmilson disse:

    Diego, primeiramente parabéns pelos artigos. Estão muito bem escritos e tem ajudado muito os meus estudos. Só uma pequena observação agora com relação ao seu comentário da primeira questão, onde você menciona que o proxy firewall opera na camada de transporte. Eu entendo que o proxy firewall trabalha na camada de aplicação. Nesse sentido, gostaria de fazer referência ao site http://www.akadia.com/services/firewall_proxy_server.html onde encontramos o seguinte: “A firewall proxy server essentially turns a two-party session into a four-party session, with the middle process emulating the two real hosts. Because they operate at the application layer, proxy servers are also referred to as application layer firewalls.”

    • Diego Macêdo disse:

      Muitíssimo obrigado, Edmilson! É bom saber que estou ajudando alguém. Agora vamos a questão! Realmente depois que você me passou essa referência, eu fui buscar outras e já encontrei uma mais conclusiva. Encontrei que o Proxy Firewall trabalha realmente com a camada 7 (Aplicação), o que é uma desvantagem dele por trazer um menor desempenho, já que o software terá que processar todas as informações dos dados, desde os cabeçalhos até o seu conteúdo. Já a “filtragem de pacotes” trabalha entre a camada 2 (Enlace) até/ou normalmente na camada 3 (Rede); se a filtragem de pacotes chegar até a camada 4 (Transporte), ele será do tipo Stateless Packet, ou seja, seus pacotes são sem estado; o “Stateful Packet Filtering” trabalha em TODAS as camadas da pilha de protocolo e é chamado de filtro com estado da conexão, segundo Sandro Melo em seu livro “BS7799 da Tática à Prática em Servidores Linux” (2006). Estou alterando o material da postagem! Abraços!

Deixe um comentário para Rudson Cancelar resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *