DMZ Bbox
Douglassounet
-
Douglassounet -
Douglassounet -
Hola,
Me gustaría saber más precisamente para qué sirve el parámetro DMZ de mi BOX de Internet. He leído en la web que no es exactamente lo mismo que una DMZ en el sentido estricto (un cortafuegos con una red LAN de un lado y una red con las máquinas accesibles a través de Internet del otro).
En mi BBOX, puedo elegir un solo host para colocar en la DMZ. Si entiendo correctamente, al hacer esto, todos los puertos de mi box se redirigirán a este host, ¿verdad? Si mi IP pública = X.X.X.X y mi host DMZ tiene una IP privada de Y.Y.Y.Y., al conectarme desde Internet a la IP X.X.X.X y al puerto 500, por ejemplo, la conexión se redirige a Y.Y.Y.Y puerto 500, ¿es así?
Gracias.
Me gustaría saber más precisamente para qué sirve el parámetro DMZ de mi BOX de Internet. He leído en la web que no es exactamente lo mismo que una DMZ en el sentido estricto (un cortafuegos con una red LAN de un lado y una red con las máquinas accesibles a través de Internet del otro).
En mi BBOX, puedo elegir un solo host para colocar en la DMZ. Si entiendo correctamente, al hacer esto, todos los puertos de mi box se redirigirán a este host, ¿verdad? Si mi IP pública = X.X.X.X y mi host DMZ tiene una IP privada de Y.Y.Y.Y., al conectarme desde Internet a la IP X.X.X.X y al puerto 500, por ejemplo, la conexión se redirige a Y.Y.Y.Y puerto 500, ¿es así?
Gracias.
5 réponses
Hola,
La DMZ es una idea retorcida si no se tiene una red local de varias máquinas, donde está destinada a que una sola reciba conexiones a Internet (y que, además, sigue sin tener sentido si la red local sigue siendo accesible desde la máquina que recibe las conexiones).
En una única máquina, su efecto no es redirigir o permitir una solicitud particular en un puerto específico, sino abrirla a todos los vientos (salvo si hay filtrado por un cortafuegos en la parte posterior).
Por lo tanto, es más sano no implementar una DMZ, sino reglas NAT para las aplicaciones y puertos correspondientes.
La tentación de la DMZ a menudo resulta de enfrentarse a aplicaciones que utilizan un amplio rango de puertos dinámicos, y que, por eso, suelen ser una vulnerabilidad de seguridad cuando se permite todo sin discernimiento.
La DMZ es una idea retorcida si no se tiene una red local de varias máquinas, donde está destinada a que una sola reciba conexiones a Internet (y que, además, sigue sin tener sentido si la red local sigue siendo accesible desde la máquina que recibe las conexiones).
En una única máquina, su efecto no es redirigir o permitir una solicitud particular en un puerto específico, sino abrirla a todos los vientos (salvo si hay filtrado por un cortafuegos en la parte posterior).
Por lo tanto, es más sano no implementar una DMZ, sino reglas NAT para las aplicaciones y puertos correspondientes.
La tentación de la DMZ a menudo resulta de enfrentarse a aplicaciones que utilizan un amplio rango de puertos dinámicos, y que, por eso, suelen ser una vulnerabilidad de seguridad cuando se permite todo sin discernimiento.
Gracias por la respuesta,
Hasta ahora, entendía las reglas NAT/PAT que de hecho ya había podido utilizar en mi BOX.
En cuanto a la DMZ de la BOX, más o menos logro captar la idea, pero sigo perplejo en ciertos puntos:
Sabiendo que si coloco una máquina de mi LAN en la DMZ, esta estará abierta a todos los vientos como dices (¿técnicamente qué significa eso?). Pero dado que esta máquina se encuentra detrás de mi BOX y tiene una IP privada, ¿no cambiará concretamente nada desde el punto de vista externo?
¿Puedo decir que una máquina colocada en la DMZ no está sujeta al tratamiento del cortafuegos de la BOX simplemente? ¿Es correcto decir eso?
Gracias.
Hasta ahora, entendía las reglas NAT/PAT que de hecho ya había podido utilizar en mi BOX.
En cuanto a la DMZ de la BOX, más o menos logro captar la idea, pero sigo perplejo en ciertos puntos:
Sabiendo que si coloco una máquina de mi LAN en la DMZ, esta estará abierta a todos los vientos como dices (¿técnicamente qué significa eso?). Pero dado que esta máquina se encuentra detrás de mi BOX y tiene una IP privada, ¿no cambiará concretamente nada desde el punto de vista externo?
¿Puedo decir que una máquina colocada en la DMZ no está sujeta al tratamiento del cortafuegos de la BOX simplemente? ¿Es correcto decir eso?
Gracias.
Era un tema que hacía correr mucha tinta en una época en la que la gente usaba, por ejemplo, emule o otras cosas.
El software se comunica con el PC a través de puertos dinámicos (que nunca son los mismos) con la consecuencia de abrir la máquina en DMZ (y que, de hecho, no está filtrada por el router) a todos los puertos de la creación, a menos que el PC objetivo cuente también con un cortafuegos capaz de filtrar los puertos deseados.
En la hipótesis de que se produjera una intrusión, la DMZ no sirve para nada más que para el desvío de las reglas NAT (por ejemplo, para facilitar el control remoto de una máquina sin tener que buscarla en la red), y no sirve tampoco para nada en términos de seguridad si las reglas en la red local no impiden que el acceso a una de las máquinas por DMZ pueda, por rebote, proporcionar acceso a las demás.
El software se comunica con el PC a través de puertos dinámicos (que nunca son los mismos) con la consecuencia de abrir la máquina en DMZ (y que, de hecho, no está filtrada por el router) a todos los puertos de la creación, a menos que el PC objetivo cuente también con un cortafuegos capaz de filtrar los puertos deseados.
En la hipótesis de que se produjera una intrusión, la DMZ no sirve para nada más que para el desvío de las reglas NAT (por ejemplo, para facilitar el control remoto de una máquina sin tener que buscarla en la red), y no sirve tampoco para nada en términos de seguridad si las reglas en la red local no impiden que el acceso a una de las máquinas por DMZ pueda, por rebote, proporcionar acceso a las demás.
Una vez más, gracias, ahora entiendo mejor.
Me gustaría hacer otra pregunta, que se aparta un poco de la cuestión inicial:
Contexto: quiero colocar un enrutador/firewall (por ejemplo, pfsense) detrás de mi BOX (lado LAN) pero mi BOX no tiene modo bridge.
¿Está bien desde el punto de vista funcional y de seguridad colocar el pfsense en la DMZ de mi box para poder gestionar todo el filtrado de puertos en el pfsense?
Supongo que si no hago esto, entonces mi box servirá primero como primer filtro del tráfico y luego el pfsense como segundo filtro, lo cual también puede funcionar, pero que no me deja el control total del filtrado si no estoy cometiendo un error.
Me gustaría hacer otra pregunta, que se aparta un poco de la cuestión inicial:
Contexto: quiero colocar un enrutador/firewall (por ejemplo, pfsense) detrás de mi BOX (lado LAN) pero mi BOX no tiene modo bridge.
¿Está bien desde el punto de vista funcional y de seguridad colocar el pfsense en la DMZ de mi box para poder gestionar todo el filtrado de puertos en el pfsense?
Supongo que si no hago esto, entonces mi box servirá primero como primer filtro del tráfico y luego el pfsense como segundo filtro, lo cual también puede funcionar, pero que no me deja el control total del filtrado si no estoy cometiendo un error.
No conozco pfsense, supongo que se trata del software, no del firewall instalado en un router dedicado, y no veo cómo, sin router, administrarlo desde la Box.
No es una configuración muy cómoda, si hablamos de Windows y no estás satisfecho con Windows Defender, hay otras soluciones (personalmente uso Comodo).
Pero sin romper la hucha, no hay, que yo sepa, una verdadera solución de red; de hecho, hay que instalar el mismo software de seguridad en todas las máquinas y, después de crear reglas adecuadas LAN y WAN en una máquina, copiarlas en las demás.
No es una configuración muy cómoda, si hablamos de Windows y no estás satisfecho con Windows Defender, hay otras soluciones (personalmente uso Comodo).
Pero sin romper la hucha, no hay, que yo sepa, una verdadera solución de red; de hecho, hay que instalar el mismo software de seguridad en todas las máquinas y, después de crear reglas adecuadas LAN y WAN en una máquina, copiarlas en las demás.
Hola,
el NAT dinámico nunca ha sido un cortafuegos a pesar de lo que algunos ISP o vendedores de enrutadores intentan hacer creer, es simplemente una adaptación al hecho de que solo proporcionan una única IPv4, y aún así terminan compartiéndola entre varios clientes.
Es cierto que la DMZ de un router no tiene nada que ver con la DMZ de un cortafuegos, es solo una dirección IP local que se designa para recibir todas las conexiones IP entrantes,
a veces es indispensable ya que no todos los protocolos IP se componen de puertos como UDP y TCP para identificar las conexiones, por ejemplo, un túnel GRE, un túnel IPSEC... etc.
Si pones un verdadero cortafuegos como PFsense, efectivamente debes configurarlo en dirección DMZ si tu router no funciona en modo bridge, siempre que este esté configurado como enrutador.
También ten en cuenta que ahora tienes IPV6, que ofrece miles de millones de direcciones IP y permite comunicar directamente una máquina sin traducción de direcciones ni NAT.
Sin embargo, los routers a menudo tienen un cortafuegos que bloquea por defecto todas las conexiones entrantes IPv6.
--
y... ¡Voilá!
el NAT dinámico nunca ha sido un cortafuegos a pesar de lo que algunos ISP o vendedores de enrutadores intentan hacer creer, es simplemente una adaptación al hecho de que solo proporcionan una única IPv4, y aún así terminan compartiéndola entre varios clientes.
Es cierto que la DMZ de un router no tiene nada que ver con la DMZ de un cortafuegos, es solo una dirección IP local que se designa para recibir todas las conexiones IP entrantes,
a veces es indispensable ya que no todos los protocolos IP se componen de puertos como UDP y TCP para identificar las conexiones, por ejemplo, un túnel GRE, un túnel IPSEC... etc.
Si pones un verdadero cortafuegos como PFsense, efectivamente debes configurarlo en dirección DMZ si tu router no funciona en modo bridge, siempre que este esté configurado como enrutador.
También ten en cuenta que ahora tienes IPV6, que ofrece miles de millones de direcciones IP y permite comunicar directamente una máquina sin traducción de direcciones ni NAT.
Sin embargo, los routers a menudo tienen un cortafuegos que bloquea por defecto todas las conexiones entrantes IPv6.
--
y... ¡Voilá!
Usted dice: "es solo una dirección IP local que se designa para recibir todas las conexiones IP entrantes" .
Pero en mi caso, si mi anfitrión DMZ tiene una IP privada, no entiendo cómo puede recibir conexiones iniciadas desde Internet...
Si decido poner mi PC 192.168.1.x como anfitrión DMZ, ¿significa esto que se puede hacer una conexión directamente desde Internet hacia ese anfitrión?
Sigo estando un poco confundido. Las reglas de redirección PAT/NAT no me presentan problemas de comprensión, pero entonces esta famosa DMZ...
Pero en mi caso, si mi anfitrión DMZ tiene una IP privada, no entiendo cómo puede recibir conexiones iniciadas desde Internet...
Si decido poner mi PC 192.168.1.x como anfitrión DMZ, ¿significa esto que se puede hacer una conexión directamente desde Internet hacia ese anfitrión?
Sigo estando un poco confundido. Las reglas de redirección PAT/NAT no me presentan problemas de comprensión, pero entonces esta famosa DMZ...
sí,
por supuesto, toda conexión ipv4 proveniente de internet y destinada a la dirección pública del router (dirección wan) será redirigida a esta máquina por el router, como es una dirección privada, el router hará NAT (cambiar) la dirección de destino a esta dirección, pero modificará otra cosa (protocolo, puertos, etc.) solo el checksum del encabezado IP que cambiará, por supuesto, ya que se ha modificado una dirección.
En resumen, es un NAT más global y estático, sin PAT, y por lo tanto sin medio de diferenciar el destino como en NAT+PAT.
Además,
como la conexión está destinada primero al router (esa es su dirección de destino), si este está escuchando en el puerto o protocolo en cuestión, lo procesará directamente, lo cual es normal; solo enviará de vuelta lo que no maneja.
Por supuesto,
es necesario que la máquina en DMZ esté bien protegida a nivel de firewall.
Mientras que una verdadera DMZ en el sentido de un verdadero firewall, es un rango de direcciones locales o públicas accesibles desde internet y desde la red local, siendo el LAN inaccesible desde internet y desde la DMZ.
Por lo tanto, aquí es donde vamos a colocar los servidores públicos de la empresa, si están alojados localmente, lo cual sucede cada vez menos.
por supuesto, toda conexión ipv4 proveniente de internet y destinada a la dirección pública del router (dirección wan) será redirigida a esta máquina por el router, como es una dirección privada, el router hará NAT (cambiar) la dirección de destino a esta dirección, pero modificará otra cosa (protocolo, puertos, etc.) solo el checksum del encabezado IP que cambiará, por supuesto, ya que se ha modificado una dirección.
En resumen, es un NAT más global y estático, sin PAT, y por lo tanto sin medio de diferenciar el destino como en NAT+PAT.
Además,
como la conexión está destinada primero al router (esa es su dirección de destino), si este está escuchando en el puerto o protocolo en cuestión, lo procesará directamente, lo cual es normal; solo enviará de vuelta lo que no maneja.
Por supuesto,
es necesario que la máquina en DMZ esté bien protegida a nivel de firewall.
Mientras que una verdadera DMZ en el sentido de un verdadero firewall, es un rango de direcciones locales o públicas accesibles desde internet y desde la red local, siendo el LAN inaccesible desde internet y desde la DMZ.
Por lo tanto, aquí es donde vamos a colocar los servidores públicos de la empresa, si están alojados localmente, lo cual sucede cada vez menos.