DMZ - Introduo

Com a finalidade de prover uma camada adicional de segurana os engenheiros de redes

desenvolveram um conceito chamdo de "screened subnet based on creating a buffer network", uma
pequena rede com filtros e cache localizada entre duas zonas de segurana conhecida como DMZ
(Zona Desmilitarizada).
Uma DMZ fica localizada entre uma rede interna e uma rede externa:

Conforme a figura o servidore web, de e-mail e arquivos podem ser acessados de ambas as redes.
Normalmente administradores de redes no permitem que qualquer trfego passe diretamente
atravs de uma DMZ. Uma DMZ pode ser implementada com fitros de rede configurados nas suas
bordas, estes filtros so responsveis por realizar o controle de acesso do que entra e do que sai da
DMZ e podem ser do tipo packet filtering, stateful packet filtering e de cache como servidores de
proxy conhecidos como ALGs (Application Layer Gateway).
O Packet filtering limita o trfego dentro da rede baseado no destino e na origem de endereos IPs,
portas e outras flags que podem ser utilizadas na implementao das regras de filtro.
O Stateful packet filtering filtra o trfego baseado no destino e na origem dos endereos IPs, portas,
flags alm de realizar stateful inspection uma inspeo de pacotes que permite o armazenamento
de dados de cada conexo em uma tabela de sesso. Esta tabela armazena o estado do fluxo de
pacotes e serve como ponto de referncia para determinar se os pacotes pertencem a uma conexo
existente ou se so pacotes de uma fonte no autorizada.
As ALGs funcionam no nvel da aplicao e interceptam e estabelecem conexes dos hosts da rede
interna com a rede externa, autorizando ou no a conexo.

As DMZs podem possuir a capacidade de conter um ataque e limitar os danos na rede. Uma das
arquiteturas mais utilizadas so as DMZs que utilizam uma soluo de defesa em camadas.
As multiplas camadas de segurana que uma DMZ oferee so distribuidas entre pontos de servios

e de filtragem:
Os pontos de filtragem inicialmente servem para proteger os servios. Se os servios da
rede so comprometidos, a capacidade de um ataque prosseguir fica limitado. Tanto o trfego que
entra e sai da DMZ filtrado, seja por roteadores ou por meio de firewalls;
Os servidores pblicos que ficam localizados na DMZ exigem medidas de segurana
adequadas. Os servios so duramente protegidos, aumentando a dificuldade de um invasor
comprometer os servios disponveis dentro do permetro da DMZ;
As ALGs (servidores de proxy) localizados em uma DMZ, servem como intermedirios entre
os hosts da rede interna e as redes externas como Internet. possvel impor restries de acesso
com base no horrio, login, endereo IP entre outros. Uma ALG serve tambm como cache de rede,
armazenando as informaes de pginas e arquivos j acessados.
Quando um ataque consegue entrar na DMZ, o ataque no capaz de passar para a rede
interna devido aos pontos de filtragem que oferecem uma defesa adicional. A implementao de
funcionalidades tais como VLANs podem ajudar a combater estes ataques.
Para implementar uma DMZ podemos utilizar diversos tipos de dispositivos, sendo que o nvel de
segurana pode ser variado dependendo das funcionalidades disponveis em cada dispositivo. Em
roteadores SOHO possvel criar uma DMZ rapidamente, porem este tipo de DMZ somente libera o
acesso de um dispositivo da rede interna para a rede externa sem adicionar funciolalidades
avanadas de segurana (vdeo abaixo). Mas se voc quer montar uma DMZ que utilize multiplas
camadas de segurana, voc precisa reunir diversas funcionalidades como packet filtering, stateful
packet filtering e um servidor de proxy.
Quanto aos equipamentos para implementao de uma DMZ, podemos utilizar roteadores com
sistema operacional que permita funes avanadas de segurana, appiliances de segurana
especficos ou servidores utilizando linux.

Caractersticas de uma DMZ:

Servidores que precisam ser acessados externamente so posicionados dentro de uma
DMZ;
As DMZs so estabelecidas entre duas zonas de segurana;
Em uma DMZ pode-se posicionar dispositivos para realizarem um cache de rede;
As DMZs realizam o controle do trfego do que entra e do que sai da rede;
A DMZ pode conter um ataque sem que o mesmo passe para a rede interna.