130
Propuesta 2 – Mover el Servidor de Base de datos fuera de la red DMZ.
Desventaja: Aunque todos los datos públicos accesibles están ahora en la red
DMZ, la protección al Servidor de Base de datos es debilitada. Si un hacker
toma control sobre el Servidor Web, él o ella puede ir directo a la Base de datos.
Propuesta 3 – Dividir DMZ en diferentes zonas.
Solución: La mejor propuesta para este escenario es dividir la net DMZ
en diferentes subredes de acuerdo a diferentes servicios y niveles de
seguridad de los componentes. Se coloca el Servidor de Base de datos y el
Servidor Web en interfaces separadas del firewall, y se configura las reglas de
acceso para cada interfaz. Si el hacker toma el control del Servidor Web,
él o ella aún tendrán acceso muy limitado al Servidor de Base de datos.
16.1.3
Beneficios
Como se ha ilustrado en la sección previa, el hacer buen uso de una red DMZ entrega
varias ventajas tanto en seguridad de red como en perspectivas de administración:
Repartir servicios no sólo por anfitriones, sino que con los limites de red en
•
Nivel de confianza entre componentes de red. Esta propuesta puede reducir mucho
la probabilidad de penetración en un componente utilizado para interrumpir en los
otros.
Dividir DMZ en diferentes zonas ayuda a restringir políticas de seguridad sobre
•
componentes que tienen diferentes funciones y niveles de seguridad.
La escalabilidad de la arquitectura de red es incrementada ubicando
•
components en diferentes subredes.
Guía de Usuario de los Firewalls D-Link
Capitulo16. DMZ & Port Forwarding
√