A DMZ, do termo em inglês “DeMilitarized Zone”, ou seja, “Zona Desmilitarizada”, nada mais é do que áreas intermediárias entre a rede interna e externa onde os servidores que recebem tráfego externo estão hospedados de maneira separada da rede interna de uma empresa, por exemplo.

Sua função é manter os serviços que possuem acesso externo separados da rede local, restringindo ao máximo um potencial dano causado por algum invasor, tanto interno como externo.

Ela permite o acesso de usuários externos aos servidores específicos localizados na rede de perímetro, ao mesmo tempo em que evita o acesso à rede corporativa interna. Ela tem como papel principal ser uma espécie de uma rede “tampão” entre as redes externa e interna.

A configuração é realizada através do uso de equipamentos de Firewall, que vão realizar o controle de acesso entre a rede local, a Internet e a DMZ (ou, em um modelo genérico, entre as duas redes a serem separadas e a DMZ).

Os equipamentos situados na DMZ têm como função fornecer serviços aos usuários externos, de tal modo que estes não necessitem acessar a rede interna, proporcionando um certo grau de isolamento da rede interna (confiável) em relação ao tráfego que vêm da rede externa (não confiável).

Os equipamentos na DMZ podem estar em um switch dedicado ou compartilhar um switch da rede, porém neste último caso devem ser configuradas Redes Virtuais distintas dentro do equipamento, também chamadas de vlans (Ou seja, redes diferentes que não se “enxergam” dentro de uma mesma rede – LAN) porem isto não sera abordado.

Os equipamentos colocados na DMZ devem ser configurados de modo a funcionar com o mínimo de recursos possíveis ao oferecer um determinado serviço. Além disso, o comprometimento de um equipamento qualquer situado na DMZ não deve servir para o comprometimento de equipamentos e/ou serviços da rede interna, ou seja, qualquer tentativa de ataque deve ficar confinada aos equipamentos situados na DMZ.

Veja alguns exemplos de DMZ:

Conforme a figura os servidores WEB, de arquivos e de Email podem ser acessados de ambas as redes. Normalmente administradores de redes não permitem que qualquer tráfego passe diretamente através de uma DMZ. Uma DMZ pode ser implementada com fitros de rede configurados nas suas bordas, estes filtros são responsáveis por realizar o controle de acesso do que entra e do que sai da DMZ e podem ser do tipo packet filtering, stateful packet filtering e de cache como servidores de proxy conhecidos como ALGs (Application Layer Gateway).

O Packet filtering limita o tráfego dentro da rede baseado no destino e na origem de endereços IPs, portas e outras flags que podem ser utilizadas na implementação das regras de filtro.

O Stateful packet filtering filtra o tráfego baseado no destino e na origem dos endereços IPs, portas, flags além de realizar “stateful inspection” uma inspeção de pacotes que permite o armazenamento de dados de cada conexão em uma tabela de sessão. Esta tabela armazena o estado do fluxo de pacotes e serve como ponto de referência para determinar se os pacotes pertencem a uma conexão existente ou se são pacotes de uma fonte não autorizada.

As ALGs funcionam no nível da aplicação e interceptam e estabelecem conexões dos hosts da rede interna com a rede externa, autorizando ou não a conexão.

As DMZs podem possuir a capacidade de conter um ataque e limitar os danos na rede. Uma das arquiteturas mais utilizadas são as DMZs que utilizam uma solução de defesa em camadas.

 

A forma mais simples de projetar uma DMZ é utilizando um Proxy Firewall com três ou mais interfaces de rede, onde cada uma delas terá um papel específico: Rede interna confiável; Rede DMZ; Rede Externa não confiável (Internet).

Se for utilizar uma DMZ com regras de Firewall, o Firewall será normalmente configurado para proteger a rede interna da Internet. Para criar uma DMZ, o firewall também deve aplicar as regras para proteger o DMZ a partir da Internet e das regras destinadas a proteger a rede interna da DMZ. Isto tornará mais difícil para um atacante para penetrar a rede interna.

É possível ainda separar a DMZ em múltiplos hosts da DMZ, o que irá aumentar um pouco mais a segurança, já que se um host dele for comprometido, os outros estarão seguros por se encontrarem em outra DMZ.

Dentro das características das DMZ podemos citar:

• Servidores que precisam ser acessados externamente são posicionados dentro de uma DMZ;
• As DMZs são estabelecidas entre duas zonas de segurança;
• Em uma DMZ pode-se posicionar dispositivos para realizarem um cache de rede;
• As DMZs realizam o controle do tráfego do que entra e do que sai da rede;
• A DMZ pode conter um ataque sem que o mesmo passe para dentro da rede.

Questões de Concursos

Gabarito e Comentários das Questões

(FGV – 2008 – Senado Federal – Analista de Suporte de Sistemas) A necessidade cada vez maior de uso da Internet pelas organizações e a constituição de ambientes corporativos levam a uma crescente preocupação com a segurança, fazendo com que o firewall assuma um papel de elevada importância. A esse respeito, analise o esquema e as afirmativas abaixo.

Letra “C”. Como na terceira afirmativa ele especificou que é o Proxy existente no Firewall em si, ele está referindo-se ao “Proxy Firewall”, que trabalha na Camada de Aplicação Modelo OSI (7).

Caso fosse apenas um Proxy fazendo papel de filtragem de tráfego, seria a terceira Camada do Modelo OSI, a de Rede. Se fosse um “Stateful Packet Inspection”, estaria trabalhando na Camada 4 do Modelo OSI, a de Transporte.

(FCC – 2007 – TRE-MS – Analista Judiciário – Área Judiciária) Uma DMZ – Zona Desmilitarizada – é um segmento de rede parcialmente protegido que para possibilitar maior segurança na Internet deve estar associada ao mecanismo de proteção

Letra “D”. O Firewall tem exatamente essa função de proteger os segmentos de sub-redes.