O dmz está morto? não exatamente

O melhor exemplo de uma zona desmilitarizada (DMZ) hoje é uma faixa de terra fortemente protegida na Coréia. É a área de ambos os lados da fronteira entre a Coréia do Norte e a Coréia do Sul que visa impedir que cada nação inicie uma guerra acidentalmente com a outra. Na computação, uma DMZ é semelhante em conceito, pois fornece um local que mantém o mundo não confiável da Internet fora da rede interna da sua organização, enquanto ainda oferece serviços para o mundo externo. Por um longo tempo, qualquer profissional de TI que constrói quase qualquer tipo de rede conectada à Internet monta uma DMZ normalmente. Mas a nuvem mudou tudo isso.

O motivo é que a nuvem evitou a necessidade de a maioria das empresas hospedar seus próprios servidores da web. Antigamente, se você tivesse um servidor Web interno aberto ao público, desejaria que esse servidor residisse na sua DMZ. Da mesma forma, você desejaria o seu servidor de e-mail lá e outros servidores externos, como o gateway de acesso remoto, um servidor de autenticação, servidor proxy ou talvez até um servidor Telnet. Esses são todos os dispositivos que devem estar acessíveis na Internet, mas que fornecem serviços da sua organização. Hoje, é claro, a maioria das empresas usa provedores de e-mail hospedados juntamente com a implantação de aplicativos SaaS (Software como Serviço) que tornam desnecessária a hospedagem de servidores da Web voltados para o exterior em seu data warehouse.

Medidas de segurança adicionais da empresa adotadas em 2017

Se você ainda possui uma DMZ em operação, verá que é um exemplo típico de segmentação de rede. Olhe atentamente e você geralmente encontrará uma combinação de firewalls e roteadores. Na maioria dos casos, a DMZ será criada por um dispositivo de segurança de borda (geralmente um firewall), que é então copiado por outro roteador ou firewall que protege os portões da rede interna.

Embora a maioria das organizações não precise mais de uma DMZ para se proteger do mundo exterior, o conceito de separar itens digitais valiosos do restante da sua rede ainda é uma estratégia de segurança potente. Se você aplicar o mecanismo DMZ em uma base totalmente interna, ainda haverá casos de uso que façam sentido. Um exemplo é proteger o acesso a valiosos armazenamentos de dados, listas de controle de acesso ou tesouros semelhantes; convém que qualquer usuário potencial não autorizado passe pelo maior número possível de argolas possíveis antes de obter acesso.

Como funciona uma DMZ

Uma DMZ funciona assim: haverá um firewall de borda que enfrenta os horrores da Internet aberta. Depois disso, será a DMZ e outro firewall que protege a rede local (LAN) da sua empresa. Por trás desse firewall estará sua rede interna. Ao adicionar essa rede intermediária extra, você pode implementar camadas de segurança adicionais que os descontentes precisarão derrotar antes de chegarem à sua rede interna real - onde tudo é presumivelmente também coberto não apenas pelos controles de acesso à rede, mas também pelos conjuntos de proteção de terminais.

Entre o primeiro firewall e o segundo, você normalmente encontrará um comutador que fornece uma conexão de rede aos servidores e dispositivos que precisam estar disponíveis na Internet. O switch também fornece uma conexão com o segundo firewall.

O primeiro firewall deve ser configurado para permitir apenas o tráfego que precisa alcançar sua LAN interna e os servidores na DMZ. O firewall interno deve permitir tráfego somente através de portas específicas necessárias para a operação da sua rede interna.

Na DMZ, você deve configurar seus servidores para aceitar apenas tráfego em portas específicas e para aceitar apenas protocolos específicos. Por exemplo, você deseja limitar o tráfego na porta 80 apenas ao HTTP (HyperText Transfer Protocol). Você também deseja configurar esses servidores para que executem apenas os serviços necessários para que funcionem. Você também pode querer ter um sistema de detecção de intrusão (IDS) nos servidores da sua DMZ, para que um ataque de malware que passe pelo firewall possa ser detectado e interrompido.

O firewall interno deve ser um firewall de última geração (NGFW) que executa inspeções no tráfego que passa pelas portas abertas do firewall e também procura por indicações de invasões ou malware. Esse é o firewall que protege as jóias da coroa da sua rede, portanto não é o lugar para economizar. Os fabricantes de NGFWs incluem Barracude, Check Point, Cisco, Fortinet, Juniper e Palo Alto, entre outros.

Portas Ethernet como portas DMZ

Para organizações menores, há outra abordagem menos onerosa que ainda fornecerá uma DMZ. Muitos roteadores domésticos e de pequenas empresas incluem uma função que permite designar uma das portas Ethernet como uma porta DMZ. Isso permite que você coloque um dispositivo como um servidor Web nessa porta, onde ele pode compartilhar seu endereço IP, mas também estar disponível para o mundo externo. Escusado será dizer que este servidor deve estar o mais bloqueado possível e ter apenas os serviços absolutamente necessários em execução. Para detalhar seu segmento, você pode conectar um switch separado a essa porta e ter mais de um dispositivo na DMZ.

A desvantagem do uso de uma porta DMZ designada é que você tem apenas um ponto de falha. Embora a maioria desses roteadores também inclua um firewall incorporado, eles geralmente não incluem o conjunto completo de recursos de um NGFW. Além disso, se o roteador for violado, sua rede também será.

Embora uma DMZ baseada em roteador funcione, provavelmente não é tão segura quanto você deseja. No mínimo, convém adicionar um segundo firewall por trás dele. Isso custará um pouco mais, mas não custará tanto quanto a violação de dados. A outra consequência principal dessa configuração é que é mais complexo administrar e, considerando que as empresas menores que podem usar essa abordagem geralmente não possuem uma equipe de TI, convém contratar um consultor para configurá-la e depois gerenciar de tempos em tempos.

Um Réquiem para a DMZ

• Os melhores serviços de VPN para 2019 Os melhores serviços de VPN para 2019
• O melhor software de proteção e segurança de endpoint hospedado para 2019 O melhor software de proteção e segurança de endpoint hospedado para 2019
• O melhor software de monitoramento de rede para 2019 O melhor software de monitoramento de rede para 2019

Como mencionado anteriormente, você não encontrará muitas DMZ ainda em execução na natureza. O motivo é que a DMZ foi projetada para preencher uma função que hoje está sendo manipulada na nuvem para a grande maioria das funções de negócios. Todos os aplicativos SaaS implantados e todos os servidores hospedados movem a infraestrutura voltada para o exterior para fora do data center e para a nuvem, e as DMZs estão sempre à procura. Isso significa que você pode escolher um serviço de nuvem, iniciar uma instância que inclua um servidor da Web e proteger esse servidor com o firewall do provedor de nuvem e pronto. Não há necessidade de adicionar um segmento de rede configurado separadamente à sua rede interna, pois tudo está acontecendo em outro lugar. Além disso, essas outras funções que você pode usar com uma DMZ também estão disponíveis na nuvem e, dessa maneira, você ficará ainda mais seguro.

Ainda assim, como uma tática geral de segurança, é uma medida totalmente viável. Criar um segmento de rede no estilo DMZ atrás do seu firewall traz os mesmos benefícios que você costumava esmagar um entre a sua LAN e a Internet: outro segmento significa mais proteção que você pode forçar os bandidos a penetrar antes que eles possam o que eles realmente querem. E quanto mais eles precisam trabalhar, mais você ou seu sistema de detecção e resposta a ameaças precisa detectá-los e reagir.