Distinción entre una extranet y una DMZ [cerrado]

8

He estado leyendo sobre intranets, extranets, DMZ y VPN ahora, y necesitaría algunas aclaraciones relacionadas con extranets y DMZ. Entiendo que son diferentes tipos de conceptos: la extranet permite un acceso limitado a algunos recursos de la intranet, mientras que DMZ es una subred que se encuentra entre Internet e intranet y aloja los servicios externos. Sin embargo, me gustaría saber cuál es su distinción en la práctica en una configuración habitual. El artículo de Wikipedia sobre extranets dice que las extranets son similares a las DMZ porque se usan para el mismo propósito (proporcionar acceso a algunos servicios / recursos sin exponer toda la intranet). El artículo también establece que una extranet es parte de una VPN, y este artículo de TechNettambién establece que el acceso a la extranet a menudo se implementa de manera similar al acceso remoto a la intranet, por ejemplo, con una VPN. El artículo de TechNet también dice que comúnmente la extranet está alojada dentro de la DMZ. Este artículo de Pearson dice "Aunque [la DMZ] está técnicamente ubicada dentro de la intranet, [puede] servir también como extranet". Esto es un poco confuso.

Considere este escenario: una empresa tiene un sitio web B2C alojado en la DMZ. Se puede acceder al sitio web desde cualquier lugar, pero requiere autenticación de usuario. La aplicación web subyacente tiene su base de datos dentro de la intranet y también interactúa con algunos servicios web alojados dentro de la intranet (es decir, accede a los recursos de la intranet). A mi modo de ver, el sitio web ofrece efectivamente un acceso restringido a la intranet. ¿Pero puede considerarse una extranet? Si tomamos la definición de Wikipedia de una extranet literalmente: "Una extranet es una red informática que permite el acceso controlado desde fuera de la intranet de una organización", creo que puede.

Digamos que lo anterior no puede considerarse una extranet. ¿Qué sucede si cambiamos ligeramente el escenario y decimos que es un sitio web B2B, donde el acceso está limitado, por ejemplo, a conexiones que provienen de un socio comercial específico (mediante el uso de VPN de sitio a sitio, por ejemplo)? En este caso seguramente es una extranet, ¿verdad? Si este es el caso, ¿la diferencia entre los servicios de extranet y cualquier otro servicio alojado en la DMZ es simplemente restricciones de acceso?

Markus Yrjölä
fuente
77
Mi consejo es que no se empañen en detalle, incluso dentro de las empresas estas definiciones varían. Si ayuda, rara vez uso la frase extranet: la mayoría de las personas declaran algo como público (incluso si está restringido por contraseñas) o interno. La DMZ es simplemente un concepto de red con respecto a los cortafuegos y la seguridad: puede alojar un sitio web frente a la DMZ, en la DMZ o detrás de la DMZ y sigue siendo un sitio web externo si se puede acceder desde Internet.
Dan
@ Dan, no me quedaría atrapado con esto si fuera la vida real, mira mi comentario a la respuesta de MDMarra. Quizás intente evitar mencionar extranets por completo ...
Markus Yrjölä

Respuestas:

14

Estas son distinciones académicas. En el mundo real, encontrará una combinación de todos estos conceptos que van en términos diferentes.

En algunas organizaciones, una DMZ tiene una conexión de red ISP separada y no tiene acceso a recursos internos. En otras organizaciones, hay máquinas unidas a un dominio en la DMZ que pueden comunicarse con un conjunto restringido de máquinas internas. A veces, internos y DMZ tienen firewalls separados. A veces tienen interfaces separadas en el mismo firewall.

Es importante saber por qué alguien debería usar una extranet o DMZ, porque esos son los conceptos de seguridad que importan. A partir de ahí, puede elegir cómo permitir el acceso a ciertos recursos. Lo que en realidad se llama no importa. En algunos casos, se divide los pelos.

MDMarra
fuente
Es curioso que hayas comenzado tu respuesta así, dado que hice esta pregunta como parte de la investigación que estoy haciendo para mi tesis de maestría. Desafortunadamente, tengo que ser académico con estas cosas Bueno, supongo que tendré que tratar de definir los términos de alguna manera y darles un poco de razonamiento.
Markus Yrjölä
7

No creo haber escuchado recientemente sobre una extranet fuera de los libros de texto y las aulas.

Una DMZ es una topología de red común con un segmento de red que está segregado por firewalls de la red interna y redes externas no confiables (también conocido como Internet ).

Por el contrario, la Extranet , si realmente está incluida en el diseño de la red, implica algo así como que está conectada a VPN o redes privadas reales en lugar de la totalidad de Internet.

Muchas compañías tienen múltiples redes DMZ y considerarían una red con una puerta de enlace / enrutador VPN o una interconexión privada solo otra DMZ.

Más a menudo, una extranet no es / era tanto una topología de red, sino más bien implicada como un servicio separado de la red interna que se proporciona para un conjunto restringido de usuarios, compañías y redes externas algo confiables, conocidos y / o autenticados.

Desde una perspectiva de red, su servidor web debe residir en la red DMZ. El hecho de que su sitio web permita que sus revendedores inicien sesión, naveguen por su catálogo, vean existencias y pedidos, significaría que los departamentos de marketing llamarían a su sitio web una extranet . El costo de desarrollo iría de $$ a $$$$.

HBruijn
fuente
1
Gracias, esto aclaró algunas cosas y coincide bastante bien con cómo lo entendí yo mismo. Sin embargo, recientemente escuché a personas hablar sobre extranets en el trabajo, por lo que aparentemente no es un término muerto.
Markus Yrjölä
2

Para mí, reduzco esto a la política de seguridad. Tenemos una política escrita de que ningún sistema de acceso público tendrá acceso entrante a la intranet a menos que se autorice una excepción específica. También tenemos una política de que la DMZ no tendrá acceso entrante a nuestra intranet y que nuestra extranet sí. Por ejemplo, tenemos un servidor web con una base de datos de back-end que debe sincronizar datos con una base de datos basada en intranet. Ponemos el servidor web en la DMZ, la base de datos de back-end en la Extranet, y se sincroniza con la base de datos de producción de la intranet. Entonces, para la calificación de confianza, la red pública sería 0, DMZ sería 1, Extranet sería 2 e intranet sería 3.

Corey Adam
fuente