Red DMZ

En seguridad informática, una red DMZ (a veces denominada «zona desmilitarizada») funciona como una subred que contiene los servicios de una organización expuestos hacia el exterior. Actúa como punto de exposición a una red no fiable, normalmente Internet.

El objetivo de una DMZ es añadir una capa adicional de seguridad a la red de área local de una organización. Un nodo de red protegido y monitorizado que da al exterior de la red interna puede acceder a lo que está expuesto en la DMZ, mientras que el resto de la red de la organización está a salvo protegido por un firewall.

Cuando se implanta correctamente, una red DMZ ofrece a las organizaciones una mayor protección a la hora de detectar y mitigar las brechas de seguridad antes de que lleguen a la red interna, donde se almacenan los activos valiosos.

Propósito de una DMZ

La red DMZ tiene como objetivo proteger los hosts más vulnerables a los ataques. Estos hosts normalmente implican servicios que se extienden a usuarios fuera de la red de área local, cuyos ejemplos más habituales son el correo electrónico, los servidores web y los servidores DNS. Debido al mayor potencial de ataque, se ubican en la subred monitorizada para ayudar a proteger el resto de la red en caso de que se vean comprometidos.

Los hosts en la DMZ tienen permisos de acceso muy controlados a otros servicios dentro de la red interna, porque los datos que pasan a través de la DMZ no son tan seguros. Además, las comunicaciones entre los hosts en la DMZ y la red externa también están restringidas para ampliar la zona fronteriza protegida. De este modo, los hosts de la red protegida pueden interactuar con la red interna y externa, mientras que el firewall separa y gestiona todo el tráfico compartido entre la DMZ y la red interna. Normalmente, un firewall complementario se encarga de proteger la DMZ de la exposición a todo lo que se encuentra en la red externa.

Todos los servicios accesibles a los usuarios al comunicarse desde una red externa pueden y deben ubicarse en la DMZ, si se utiliza una. Los servicios más frecuentes son:

• Servidores web: es posible que los servidores web responsables de mantener la comunicación con un servidor de base de datos interno deban ubicarse en una DMZ. De este modo se garantiza la seguridad de la base de datos interna, que a menudo almacena información confidencial. Los servidores web pueden así interactuar con el servidor de la base de datos interna a través de un firewall de aplicación o directamente, sin dejar de estar bajo el paraguas de las protecciones de la DMZ.
• Servidores de correo: los mensajes de correo electrónico, así como la base de datos de usuarios creada para almacenar las credenciales de inicio de sesión y los mensajes personales, suelen almacenarse en servidores sin acceso directo a Internet. Por lo tanto, se construirá o ubicará un servidor de correo electrónico dentro de la DMZ con el fin de interactuar y acceder a la base de datos de correo electrónico sin exponerla directamente al tráfico potencialmente dañino.
• Servidores FTP: pueden alojar contenido crítico en el sitio de una organización y permitir la interacción directa con los archivos. Por lo tanto, un servidor FTP siempre debe estar parcialmente aislado de los sistemas internos críticos.

Una configuración DMZ aporta una mayor seguridad frente a los ataques externos, pero normalmente no tiene ninguna relación con los ataques internos, como la interceptación de comunicaciones a través de un analizador de paquetes o el spoofing a través del correo electrónico u otros medios.

Diseños de DMZ

Existen numerosas maneras de construir una red con una DMZ. Los dos métodos principales son un único firewall (a veces denominado modelo de tres patas) o dos firewalls. Cada uno de estos sistemas puede ampliarse para crear arquitecturas complejas diseñadas para satisfacer los requisitos de la red:

• Firewall único: un enfoque modesto de la arquitectura de red implica el uso de un solo firewall, con un mínimo de 3 interfaces de red. La DMZ se ubicará en este firewall. El nivel de operaciones es el siguiente: el dispositivo de red externa establece la conexión desde el ISP, el segundo dispositivo conecta la red interna y el tercer dispositivo de red se encarga de las conexiones dentro de la DMZ.
• Doble firewall: el enfoque más seguro consiste en utilizar dos firewalls para crear una DMZ. El primer firewall (denominado «firewall frontal») está configurado para permitir únicamente el tráfico destinado a la DMZ. El segundo firewall (denominado «backend») es responsable únicamente del tráfico que viaja desde la DMZ hacia la red interna. Una forma más eficaz de aumentar la protección es utilizar firewalls desarrollados por distintos proveedores, ya que es menos probable que presenten las mismas vulnerabilidades de seguridad. Este sistema, aunque más eficaz, puede resultar más costoso de implantar en una gran red.

En muchas redes domésticas, los dispositivos habilitados para Internet se configuran en torno a una red de área local que accede a Internet desde un router de banda ancha. Sin embargo, el router sirve tanto de punto de conexión como de firewall, ya que automatiza el filtrado del tráfico para garantizar que solo entren en la red de área local mensajes seguros. Así, en una red doméstica, se puede construir una DMZ añadiendo un firewall propio entre la red de área local y el router. Aunque más cara, esta estructura puede contribuir a proteger los dispositivos internos de ataques sofisticados y protege mejor los dispositivos internos de posibles ataques del exterior.

Las DMZ son una parte esencial de la protección de la red, tanto para usuarios particulares como para grandes organizaciones. Constituyen una capa adicional de seguridad para la red informática, ya que restringen el acceso remoto a los servidores internos y a la información, lo que puede resultar muy perjudicial en caso de que se produzca una brecha.