Distinción entre una extranet y una DMZ [cerrado]

He estado leyendo sobre intranets, extranets, DMZ y VPN ahora, y necesitaría algunas aclaraciones relacionadas con extranets y DMZ. Entiendo que son diferentes tipos de conceptos: la extranet permite un acceso limitado a algunos recursos de la intranet, mientras que DMZ es una subred que se encuentra entre Internet e intranet y aloja los servicios externos. Sin embargo, me gustaría saber cuál es su distinción en la práctica en una configuración habitual. El artículo de Wikipedia sobre extranets dice que las extranets son similares a las DMZ porque se usan para el mismo propósito (proporcionar acceso a algunos servicios / recursos sin exponer toda la intranet). El artículo también establece que una extranet es parte de una VPN, y este artículo de TechNettambién establece que el acceso a la extranet a menudo se implementa de manera similar al acceso remoto a la intranet, por ejemplo, con una VPN. El artículo de TechNet también dice que comúnmente la extranet está alojada dentro de la DMZ. Este artículo de Pearson dice "Aunque [la DMZ] está técnicamente ubicada dentro de la intranet, [puede] servir también como extranet". Esto es un poco confuso.

Considere este escenario: una empresa tiene un sitio web B2C alojado en la DMZ. Se puede acceder al sitio web desde cualquier lugar, pero requiere autenticación de usuario. La aplicación web subyacente tiene su base de datos dentro de la intranet y también interactúa con algunos servicios web alojados dentro de la intranet (es decir, accede a los recursos de la intranet). A mi modo de ver, el sitio web ofrece efectivamente un acceso restringido a la intranet. ¿Pero puede considerarse una extranet? Si tomamos la definición de Wikipedia de una extranet literalmente: "Una extranet es una red informática que permite el acceso controlado desde fuera de la intranet de una organización", creo que puede.

Digamos que lo anterior no puede considerarse una extranet. ¿Qué sucede si cambiamos ligeramente el escenario y decimos que es un sitio web B2B, donde el acceso está limitado, por ejemplo, a conexiones que provienen de un socio comercial específico (mediante el uso de VPN de sitio a sitio, por ejemplo)? En este caso seguramente es una extranet, ¿verdad? Si este es el caso, ¿la diferencia entre los servicios de extranet y cualquier otro servicio alojado en la DMZ es simplemente restricciones de acceso?

Estas son distinciones académicas. En el mundo real, encontrará una combinación de todos estos conceptos que van en términos diferentes.

En algunas organizaciones, una DMZ tiene una conexión de red ISP separada y no tiene acceso a recursos internos. En otras organizaciones, hay máquinas unidas a un dominio en la DMZ que pueden comunicarse con un conjunto restringido de máquinas internas. A veces, internos y DMZ tienen firewalls separados. A veces tienen interfaces separadas en el mismo firewall.

Es importante saber por qué alguien debería usar una extranet o DMZ, porque esos son los conceptos de seguridad que importan. A partir de ahí, puede elegir cómo permitir el acceso a ciertos recursos. Lo que en realidad se llama no importa. En algunos casos, se divide los pelos.

No creo haber escuchado recientemente sobre una extranet fuera de los libros de texto y las aulas.

Una DMZ es una topología de red común con un segmento de red que está segregado por firewalls de la red interna y redes externas no confiables (también conocido como Internet ).

Por el contrario, la Extranet , si realmente está incluida en el diseño de la red, implica algo así como que está conectada a VPN o redes privadas reales en lugar de la totalidad de Internet.

Muchas compañías tienen múltiples redes DMZ y considerarían una red con una puerta de enlace / enrutador VPN o una interconexión privada solo otra DMZ.

Más a menudo, una extranet no es / era tanto una topología de red, sino más bien implicada como un servicio separado de la red interna que se proporciona para un conjunto restringido de usuarios, compañías y redes externas algo confiables, conocidos y / o autenticados.

Desde una perspectiva de red, su servidor web debe residir en la red DMZ. El hecho de que su sitio web permita que sus revendedores inicien sesión, naveguen por su catálogo, vean existencias y pedidos, significaría que los departamentos de marketing llamarían a su sitio web una extranet . El costo de desarrollo iría de $$ a $$$$.

Para mí, reduzco esto a la política de seguridad. Tenemos una política escrita de que ningún sistema de acceso público tendrá acceso entrante a la intranet a menos que se autorice una excepción específica. También tenemos una política de que la DMZ no tendrá acceso entrante a nuestra intranet y que nuestra extranet sí. Por ejemplo, tenemos un servidor web con una base de datos de back-end que debe sincronizar datos con una base de datos basada en intranet. Ponemos el servidor web en la DMZ, la base de datos de back-end en la Extranet, y se sincroniza con la base de datos de producción de la intranet. Entonces, para la calificación de confianza, la red pública sería 0, DMZ sería 1, Extranet sería 2 e intranet sería 3.