DMZ (rede)

Em redes de computadores, uma DMZ (zona desmilitarizada), também conhecida às vezes como uma rede perimetral ou uma sub-rede com tela, é uma sub-rede física ou lógica que separa uma rede local interna (LAN) de outras redes não confiáveis — geralmente a Internet pública. Os servidores, recursos e serviços de face externa estão localizados na zona DMZ. Portanto, eles são acessíveis a partir da Internet, mas o resto da LAN interna permanece inalcançável. Isto fornece uma camada adicional de segurança para a LAN, pois restringe a capacidade de um hacker de acessar diretamente servidores e dados internos através da Internet.

A qualquer serviço fornecido aos usuários na Internet pública deve ser colocado na rede DMZ. Alguns dos serviços mais comuns incluem servidores web e servidores proxy, bem como servidores para e-mail, sistema de nomes de domínio (DNS), Protocolo de Transferência de Arquivos (FTP) e voz sobre IP (VoIP).

Hackers e cibercriminosos ao redor do mundo podem alcançar os sistemas que executam esses serviços em servidores DMZ, que precisam ser reforçados para suportar ataques constantes. O termo DMZ vem da zona buffer geográfica que foi criada entre a Coreia do Norte e a Coreia do Sul no final da Guerra da Coreia.

Arquitectura da rede DMZs

Existem várias formas de desenhar uma rede com uma DMZ. Os dois métodos básicos são usar um ou dois firewalls, embora a maioria das DMZs modernas sejam projetadas com dois firewalls. Esta abordagem básica pode ser expandida para criar arquiteturas mais complexas.

Um único firewall com pelo menos três interfaces de rede pode ser usado para criar uma arquitetura de rede contendo uma DMZ. A rede externa é formada pela conexão da internet pública — via conexão de provedor de internet (ISP) — com o firewall na primeira interface de rede. A rede interna é formada a partir da segunda interface de rede e a própria rede DMZ é conectada à terceira interface de rede.

Diferentes conjuntos de regras de firewall para monitorar o tráfego entre a Internet e a DMZ, a LAN e a DMZ, e a LAN e a Internet controlam rigidamente quais portas e tipos de tráfego são permitidos para a DMZ a partir da Internet, limitam a conectividade a hosts específicos na rede interna e previnem conexões não solicitadas à Internet ou à LAN interna a partir da DMZ.

A abordagem mais segura para a criação de uma rede DMZ é uma configuração de dois firewalls, em que dois firewalls são implantados com a rede DMZ posicionada entre eles. O primeiro firewall — também chamado de firewall de perímetro — é configurado para permitir tráfego externo destinado apenas à DMZ. O segundo, ou firewall interno, permite apenas o tráfego da DMZ para a rede interna. Isto é considerado mais seguro porque dois dispositivos devem ser comprometidos antes que um atacante possa acessar a LAN interna.

Controles de segurança podem ser ajustados especificamente para cada segmento de rede. Por exemplo, um sistema de detecção e prevenção de intrusão de rede localizado em uma DMZ poderia ser configurado para bloquear todo o tráfego, exceto solicitações HTTPS para a porta TCP 443.

Como as DMZs funcionam

DMZs são destinadas a funcionar como uma espécie de zona buffer entre a Internet pública e a rede privada. Implementar a DMZ entre duas firewalls significa que todos os pacotes de rede de entrada são rastreados usando um firewall ou outro dispositivo de segurança antes que cheguem aos servidores que a organização hospeda na DMZ.

Se um ator de ameaças melhor preparado passar pelo primeiro firewall, ele deve então obter acesso não autorizado a esses serviços antes de poder fazer qualquer dano, e esses sistemas provavelmente serão endurecidos contra tais ataques.

Finalmente, assumindo que um ator de ameaças bem preparado é capaz de violar o firewall externo e assumir um sistema hospedado na DMZ, ele ainda deve romper o firewall interno antes de poder alcançar recursos empresariais sensíveis. Enquanto um atacante determinado pode violar até mesmo a arquitetura DMZ mais segura, uma DMZ sob ataque deve disparar alarmes, dando aos profissionais de segurança aviso suficiente para evitar uma violação total de sua organização.

Benefícios das DMZs

O principal benefício de uma DMZ é que ela oferece aos usuários do acesso público à Internet determinados serviços seguros, enquanto ainda mantém um buffer entre esses usuários e a rede interna privada. Os benefícios de segurança deste buffer manifestam-se de várias maneiras, incluindo:

Controle de Acesso para Organizações. As organizações podem fornecer aos utilizadores acesso a serviços situados fora do perímetro da sua rede através da Internet pública. Uma rede DMZ fornece acesso a estes serviços necessários e simultaneamente introduz um nível de segmentação de rede que aumenta o número de obstáculos que um usuário não autorizado deve contornar antes de poder ter acesso à rede privada de uma organização. Em alguns casos, uma DMZ inclui um servidor proxy, que centraliza o fluxo de tráfego interno — geralmente empregado — da Internet e torna o registro e monitoramento desse tráfego mais simples.

Prevenir atacantes de realizar o reconhecimento da rede. Uma DMZ, porque age como um buffer, impede que um atacante seja capaz de estender o escopo de alvos potenciais dentro da rede. Mesmo que um sistema dentro da DMZ seja comprometido, a rede privada ainda é protegida pelo firewall interno que a separa da DMZ. Isso também torna o reconhecimento externo mais difícil pelo mesmo motivo. Embora os servidores na DMZ estejam expostos publicamente, eles são apoiados por outra camada de proteção. A face pública da DMZ impede que os atacantes vejam o conteúdo da rede privada interna. Se os atacantes conseguem comprometer os servidores dentro da DMZ, eles ainda estão isolados da rede privada pela barreira interna da DMZ.

Proteção contra spoofing de IP. Em alguns casos, os atacantes tentam contornar as restrições de controle de acesso através de spoofing de um endereço IP autorizado para imitar outro dispositivo na rede. Uma DMZ pode empatar potenciais spoofers IP enquanto outro serviço na rede verifica a legitimidade do endereço IP testando se ele é alcançável.

Em cada caso, a DMZ fornece um nível de segmentação de rede que cria um espaço onde o tráfego pode ser organizado, e serviços públicos podem ser acessados a uma distância segura da rede privada.

Para que servem as DMZs

As redes DMZ têm sido uma parte importante da segurança das redes empresariais durante quase tanto tempo quanto as firewalls têm sido utilizadas e, em grande parte, são implantadas por razões similares: para proteger sistemas e recursos organizacionais sensíveis. As redes DMZ podem ser usadas para isolar e manter os potenciais sistemas alvo separados das redes internas, assim como reduzir e controlar o acesso a esses sistemas fora da organização. O uso de uma DMZ há muito tempo tem sido a abordagem para hospedar recursos corporativos para disponibilizar pelo menos alguns deles a usuários externos autorizados.

Mais recentemente, as empresas optaram por usar máquinas virtuais (VMs) ou containers para isolar partes da rede ou aplicativos específicos do resto do ambiente corporativo. As tecnologias de nuvem eliminaram em grande parte a necessidade de muitas organizações terem servidores Web internos. Muitas das infraestruturas de face externa antes localizadas na DMZ corporativa agora migraram para a nuvem, como aplicativos software-como-um-serviço (SaaS).

Exemplos de DMZs

Alguns serviços em nuvem, como o Microsoft Azure, implementam uma abordagem híbrida de segurança na qual uma DMZ é implementada entre a rede local de uma organização e a rede virtual. Esta abordagem híbrida é tipicamente usada em situações em que as aplicações da organização são executadas em parte no local e em parte na rede virtual. Também é usada em situações onde o tráfego de saída precisa ser auditado, ou onde o controle de tráfego granular é necessário entre a rede virtual e o centro de dados local.

A DMZ também pode ser útil em uma rede doméstica na qual computadores e outros dispositivos estão conectados à Internet usando um roteador de banda larga e configurados em uma rede local. Alguns roteadores domésticos incluem um recurso de host DMZ, que pode ser contrastado com a sub-rede DMZ mais comumente implementada em organizações com muito mais dispositivos do que seria encontrado em uma residência. O recurso de host DMZ designa um dispositivo na rede doméstica para funcionar fora do firewall onde ele atua como DMZ enquanto o resto da rede doméstica fica dentro do firewall. Em alguns casos, um console de jogos é escolhido para ser o host DMZ para que o firewall não interfira com os jogos. Além disso, o console é um bom candidato para um host DMZ porque provavelmente guarda informações menos sensíveis que um PC.

Além do uso seletivo em casa e na nuvem, os DMZ’s fornecem uma solução potencial para os riscos de segurança colocados pela crescente convergência de TI e OT (tecnologia operacional). Equipamentos industriais como motores de turbina ou sistemas de controle industrial estão sendo fundidos com tecnologias de TI, o que torna os ambientes de produção mais inteligentes e eficientes, mas também cria uma maior superfície de ameaça. Muito do equipamento OT que se conecta à Internet não é projetado para lidar com ataques da mesma forma que os dispositivos de TI são.

O OT comprometido é potencialmente mais perigoso do que uma violação de TI também. As violações de OT podem levar a uma quebra de infra-estrutura crítica, a um lapso de tempo de produção valioso, e podem até ameaçar a segurança humana, enquanto que uma quebra de TI resulta em informação comprometida. A infra-estrutura de TI também pode normalmente recuperar de ciberataques com um simples backup, ao contrário da infra-estrutura OT, que muitas vezes não tem forma de recuperar o tempo de produção perdido ou danos físicos.

Por exemplo, em 2016 uma empresa de energia com sede nos EUA foi atacada por um resgate que afectou os seus dispositivos OT e impediu muitos dos seus clientes de receberem energia. A empresa não tinha uma DMZ estabelecida entre seus dispositivos IT e OT, e seus dispositivos OT não estavam bem equipados para lidar com o resgate uma vez que ele chegou até eles. Esta quebra afectou profundamente a infra-estrutura da empresa de electricidade e a multidão de clientes que contavam com o seu serviço.

A DMZ teria proporcionado uma maior segmentação da rede (tanto dentro da própria rede OT como entre as redes OT e IT) e poderia ter travado potencialmente os danos causados pelo resgate ao ambiente industrial.