PT: DMZ - Infraestructura de seguridad de redes

Luis OchoaLuis Ochoa
4 min read

DMZ

Una zona perimetral (DMZ, Demilitarized Zone) es un diseño de firewall donde, normalmente, hay una interfaz interna conectada a la red privada, una interfaz externa conectada a la red pública y una interfaz de DMZ, como se ve en la Figura.

  • El tráfico procedente de la red privada se inspecciona mientras viaja hacia la red pública o la DMZ. Este tráfico se permite casi sin restricciones. También se permite el tráfico inspeccionado que regresa a la red privada desde la DMZ o la red pública.

  • Con frecuencia, se bloquea el tráfico procedente de la DMZ que viaja hacia la red privada.

  • El tráfico procedente de la DMZ y que viaja hacia la red pública se permite, siempre y cuando cumpla con los requisitos de servicio.

  • El tráfico procedente de la red pública que viaja hacia la DMZ se permite de manera selectiva y se inspecciona. Este tipo de tráfico suele ser de correo electrónico, DNS, HTTP o HTTPS. Se permite de manera dinámica el tráfico que regresa de la DMZ a la red pública.

  • Se bloquea el tráfico procedente de la red pública que viaja hacia la red privada.

Diagrama de Topología Lógica

Configuración de una DMZ

Para configurar una DMZ (Zona Desmilitarizada), es fundamental que los dispositivos intermedios estén correctamente configurados con las configuraciones básicas necesarias. En este caso, el router que actúa como firewall y delimita la conexión es el F-HQ, el cual tiene una dirección de red en la interfaz que conecta con el ISP de 203.0.113.10/30.

Consideraciones Iniciales

Antes de comenzar, es importante tener en cuenta la siguiente información:

  • INSIDE WEB IP: 192.168.235.110/29 (Puertos TCP: 80, 443)

  • INSIDE EMAIL IP: 192.168.235.109/29 (Puertos TCP: 25, 110)

  • OUTSIDE IP: 203.0.113.9/30

Además, se deben configurar las redes Inside, Outside y las ACL (Listas de Control de Acceso). En este escenario, contamos con direcciones públicas limitadas, específicamente dos direcciones asignables del bloque 203.0.113.8/30: una para la interfaz g0/0/0 del router y otra para el gateway.

Estrategia de NAT

Hay dos formas de resolver este escenario:

  1. NAT Estática: Mapea direcciones privadas de los servidores a direcciones públicas del router, especificando puertos para cada servicio.

  2. NAT con Sobrecarga (PAT): Permite que múltiples dispositivos compartan una sola dirección pública.

En este caso, se utilizará NAT Estática para exponer los servicios específicos (web y correo) en la red pública.

Paso 1: Configuración de Interfaces y NAT

  1. Verificar las interfaces:
F-HQ#show ip int b | Section G
GigabitEthernet0/0/0   203.0.113.9     YES NVRAM  up  up 
GigabitEthernet0/0/1   192.168.235.105 YES manual up  up 
GigabitEthernet0/1/0   unassigned      YES unset  up  down
  1. Habilitar NAT en las interfaces:
F-HQ#conf t
F-HQ(config)#int g0/0/0
F-HQ(config-if)#ip nat outside
F-HQ(config-if)#int g0/0/1
F-HQ(config-if)#ip nat inside
F-HQ(config-if)#

Paso 2: Configuración de NAT Estática

Se configuran las reglas de NAT estática para los servicios web y correo, especificando los protocolos (TCP/UDP), las direcciones internas y los puertos correspondientes.

  • Sintaxis:
ip nat inside source static <protocolo> <IP-INSIDE> <PUERTO-INSIDE> <IP-OUTSIDE> <PUERTO-OUTSIDE>
  • Configuración:
F-HQ#conf t
F-HQ(config)#ip nat inside source static tcp 192.168.235.110 80 203.0.113.9 80
F-HQ(config)#ip nat inside source static tcp 192.168.235.110 443 203.0.113.9 443
F-HQ(config)#ip nat inside source static tcp 192.168.235.109 25 203.0.113.9 25
F-HQ(config)#ip nat inside source static tcp 192.168.235.109 110 203.0.113.9 110

Paso 3: Configuración de ACL

Para limitar el acceso solo a los dispositivos de la DMZ, se configuran ACL extendidas en la interfaz outside. Las ACL extendidas permiten filtrar el tráfico basándose en múltiples criterios, como direcciones IP, protocolos y puertos.

  1. Crear una ACL nombrada (DMZ_ACCESS):
F-HQ(config)#ip access-list extended DMZ_ACCESS
F-HQ(config-ext-nacl)#permit tcp any host 203.0.113.110 eq 80
F-HQ(config-ext-nacl)#permit tcp any host 203.0.113.110 eq 443
F-HQ(config-ext-nacl)#permit tcp any host 203.0.113.109 eq 25
F-HQ(config-ext-nacl)#permit tcp any host 203.0.113.109 eq 110
F-HQ(config-ext-nacl)#exit
  1. Aplicar la ACL a la interfaz outside:
F-HQ(config)#int g0/0/0
F-HQ(config-if)#ip access-group DMZ_ACCESS in
F-HQ(config-if)#
  1. Permitir tráfico de enrutamiento (por ejemplo, OSPF):
F-HQ(config-ext-nacl)#permit ospf any host 224.0.0.5
F-HQ(config-ext-nacl)#permit ospf any host 224.0.0.6
F-HQ(config-ext-nacl)#exit

Paso 4: Verificación

Para asegurarse de que la configuración de NAT y ACL funciona correctamente, se utilizan los siguientes comandos:

  1. Verificar traducciones NAT:
F-HQ#show ip nat translations
  1. Verificar estadísticas NAT:
F-HQ#show ip nat statistics
  1. Verificar ACL:
F-HQ#show access-lists
0
Subscribe to my newsletter

Read articles from Luis Ochoa directly inside your inbox. Subscribe to the newsletter, and don't miss out.

beginnerCiscoCisco Packet Tracernetworking

Written by

Luis Ochoa
Luis Ochoa

🏫 Estudiante interesado en 🔒🟦 Cybersecurity (Blue-Team), Networking, ℹ️ Data Analitycs y 🤖 Machine Learning, Y en busca de un mejor yo.