Qué es una DMZ y cómo puede beneficiar a tu red doméstica o empresarial

Probablemente hayas oído hablar del acrónimo DMZ antes, pero ¿sabes lo que significa? Y lo que es más importante, ¿sabes cómo puede beneficiarte una DMZ en tu red doméstica o empresarial?

Índice de Contenido
  1. ¿Qué es una DMZ?
  2. La función de un firewall y una DMZ
  3. Protegiendo tu red con una DMZ
  4. Beneficios de utilizar una DMZ
  5. Inconvenientes de utilizar una DMZ
  6. Conclusión

¿Qué es una DMZ?

La DMZ (zona desmilitarizada) es una franja de tierra que separaba Corea del Norte y Corea del Sur. Era lo suficientemente ancha como para que los soldados de un lado estuvieran fuera del alcance de los disparos de los soldados del otro lado. Si alguien se aventuraba en la zona desmilitarizada, lo más probable es que fuera disparado.

Al ingresar a una DMZ de una red, es poco probable que te disparen. De hecho, se anima a hacerlo. Una DMZ de red es un buffer entre Internet y tu red interna. No, una DMZ no es otra palabra elegante para un firewall, pero proporciona un tipo similar de protección, solo de una manera diferente.

La función de un firewall y una DMZ

Un firewall es simplemente una barrera: un dispositivo de hardware o un paquete de software que se encuentra entre Internet y tu PC o red personal. El firewall utiliza reglas específicas para determinar qué paquetes están permitidos dentro o fuera del mismo, qué puertos están disponibles para el público, etc.

Una DMZ no hace esto. De hecho, una DMZ debe colocarse detrás de un firewall para aprovechar la protección que un firewall brinda. El verdadero beneficio de una DMZ se ve cuando se observa cómo se implementa. Una DMZ no es más que un segmento de tu red que está aislado del resto con fines de uso público. Veamos un ejemplo para ilustrar el concepto con más claridad.

Protegiendo tu red con una DMZ

Usar una DMZ protegerá tus servidores de la red interna y tu red interna de los servidores de acceso público. Esto se logra utilizando diferentes redes IP para cada parte de tu red. Veamos dos ejemplos para entenderlo mejor.

Cómo bloquear el tráfico SNMP en tu firewall y proteger tu red

Ejemplo 1:

Tienes dos servidores públicamente accesibles que brindan servicios de alojamiento web, acceso FTP, un servidor IRC, etc. Ambos sistemas son extremadamente públicos en los servicios que brindan. Tu LAN local, que consta de tres máquinas de escritorio Linux, un portátil Linux y un sistema Windows98, está separada de los dos servidores que se encuentran en una DMZ.

Los dos servidores tienen sus propias direcciones IP estáticas que son direcciones IP de Internet. Tu LAN local utiliza una red IP de clase C con un rango de direcciones de 192.168.1.1 a 192.168.1.254. Tienes varias direcciones IP estáticas de tu proveedor de servicios de Internet, pero solo utilizas tres de ellas: dos para los servidores públicos y otra como puerta de enlace para tu LAN. La conexión ADSL ingresa y se conecta a un switch 10/100. Tus dos servidores, cada uno con su propia dirección IP, están conectados al switch, lo que les brinda un acceso directo a Internet. Cada servidor está protegido por su propio firewall de software. La tercera dirección IP estática se asigna a un dispositivo de firewall/router que está conectado al switch. Conectado al router hay otro switch 10/100 al que se conectan las computadoras de tu LAN.

Esto permite que el tráfico fluya directamente a través del módem ADSL hacia y desde los dos servidores. El router proporciona servicios de firewall y NAT a la LAN local. Esto significa que, aunque tus dos servidores están a 20 pies de distancia de tus computadoras de escritorio, tus máquinas de escritorio los consideran como hosts de Internet externos, igual que cualquier otro sitio web remoto. Los dos servidores no saben absolutamente nada sobre tu red interna, y cualquier conexión a tus propios sitios web se considera que proviene de otra dirección IP asignada por tu proveedor de servicios de Internet.

Esto asegura que si uno de tus servidores es comprometido, el atacante no tendrá fácil acceso a tu red local. No hay rutas directas desde los servidores hacia la LAN, y la única accesibilidad a tu LAN es a través del firewall/router de hardware. Si los atacantes intentaran usar tus servidores para obtener acceso a la LAN, se encontrarían con los mismos obstáculos que si estuvieran tratando de acceder directamente desde su propio sistema. No hay callejones sin salida para tus datos personales.

Ejemplo 2:

Cómo configurar el sistema de transporte de correo Mercury/32

Otra forma de implementar una DMZ es utilizando una computadora Linux como firewall y enrutador para tu LAN. El firewall enruta los paquetes entrantes para los servicios de correo y web a una máquina en tu LAN para los servicios públicamente accesibles. Tiene dos tarjetas Ethernet instaladas, una para conectarse a Internet y otra para conectarse a tu LAN.

Para DMZ-izar tu configuración actual, necesitarás agregar otra tarjeta de red a tu máquina Linux, de modo que tengas eth0 conectado a Internet, eth1 conectado a tu LAN y eth2 conectado a tu DMZ. Luego, debes configurar eth2 y tus servidores para que utilicen otra red. Supongamos que tu dirección IP estática para Internet es 191.17.252.12 y que utilizas la dirección IP 192.168.1.x para tu LAN, mientras que tus servidores utilizan las direcciones IP 192.168.1.x. Ahora debes elegir otra red IP para tu DMZ. Por ejemplo, utilizaremos la red IP 192.168.100.x.

Tu firewall está configurado actualmente con eth0 asignado a la dirección 191.17.252.12. El dispositivo eth1 está configurado para ser 192.168.1.1, ya que es la puerta de enlace de la LAN hacia Internet. Configurarías eth2 como 192.168.100.1 y como puerta de enlace de la DMZ hacia Internet.

Si tienes dos servidores con las direcciones IP 192.168.1.12 y 192.168.1.23, puedes cambiar sus direcciones IP a 192.168.100.10 y 192.168.100.11, respectivamente, o cualquier otra dirección IP en esa red IP que elijas. En lugar de utilizar 192.168.1.1 como la dirección de puerta de enlace, configurarías tus servidores para utilizar 192.168.100.1 como dirección de puerta de enlace.

En la máquina del enrutador, configurarías la redirección para que todos los paquetes provenientes de eth2 lleguen también a Internet. Para lo contrario, indicarías en tus reglas de firewall que los paquetes se enrutaran hacia 192.168.100.10 en lugar de 192.168.1.12, para que todos los paquetes entrantes desde el exterior se envíen a la DMZ. Alternativamente, puedes configurar tu firewall para simplemente redirigir puertos específicos a tus servidores públicos (por ejemplo, reenviar el puerto 25 para servicios SMTP) en lugar de enrutar los paquetes en sí. Por último, configura las reglas de tu firewall para denegar todos los paquetes entrantes hacia el dispositivo eth1 a menos que se originen desde dicho dispositivo. También debes denegar cualquier paquete proveniente de eth2 y destinado a eth1, a menos que se originen desde eth1. Debes hacer esto porque no deseas que tus sistemas de DMZ tengan preferencias especiales. Recuerda, el objetivo principal es hacer que tus propios servidores se comporten como si estuvieran al otro lado del mundo (en cuanto a tu LAN se refiere). Esto significa que no deben saber nada sobre tu LAN local, incluyendo las direcciones IP o incluso la red IP en la que se encuentran. Según los servidores de DMZ, tu LAN no debería existir.

Beneficios de utilizar una DMZ

Los beneficios de usar una DMZ deberían ser bastante obvios. Al aislar tus servidores públicos del resto de tu LAN, aumentas considerablemente la seguridad de tu red. Si alguien hackea uno de tus sistemas públicos, no tendrás que asumir que tu LAN está comprometida. No proporciona una ruta fácil hacia tu LAN. Los atacantes que estén en uno de tus servidores tendrían la misma dificultad para infiltrarse en tu LAN que si intentaran hacerlo directamente desde su propio sistema o desde otro servidor comprometido en cualquier otro lugar de Internet. Teniendo en cuenta que no debería haber información sensible en tus servidores públicos, puedes estar un poco más tranquilo sabiendo que si tus sistemas públicos son comprometidos, la información sensible que debería restringirse a tu LAN no se robará ni se verá.

Los cinco tipos de contraseñas para proteger tu router Cisco

Inconvenientes de utilizar una DMZ

Como todo en la vida, utilizar una DMZ también tiene sus inconvenientes. Se ha dicho que la única forma de lograr una seguridad completa es hacer que la usabilidad sea inexistente. Cuanto más seguro sea algo, más difícil o doloroso será utilizarlo, y esto también es cierto con una DMZ adecuada.

Al tener tu servidor web en una DMZ, aislado de tu LAN local, tus empleados no podrán montar directorios web a través de Samba o NFS y modificar directamente páginas web u otros archivos. Tendrán que utilizar un cliente FTP para cargar y descargar páginas. Esto puede ser bastante tedioso, especialmente sabiendo que el servidor web está en la habitación de al lado.

El acceso a los servidores públicos también será mucho más restringido cuando estén aislados en una DMZ. Si solías combinar servicios públicos con servicios privados (por ejemplo, tu servidor web también servía como un servidor de archivos e impresión para tu LAN), deberás reconfigurar tu red y posiblemente adquirir otro sistema para manejar los servicios privados, ya que no podrás imprimir en un servidor en la DMZ. No creo que esto sea realmente un problema, ya que realmente no deberías combinar servicios públicos con privados en el mismo sistema. Sin embargo, si lo has hecho, será otro obstáculo que deberás superar al reconfigurar tu red, lo cual sería algo bueno de hacer independientemente de si estás considerando una DMZ o no.

Por último, si tienes un sitio web que utiliza una base de datos como MySQL, deberás reevaluar cómo se recupera esa información. Por ejemplo, si anteriormente tenías tu servidor web que obtenía información de una base de datos central en tu LAN, es posible que debas configurar otro servidor de base de datos en el propio servidor web o en otro sistema que también se encuentre en la DMZ. A algunas personas les incomoda tener una base de datos en el mismo sistema que el servidor web, por lo que es posible que necesites obtener otra computadora para alojar la base de datos. Esta computadora también debe estar en la DMZ, pero debes configurar tu firewall para no permitir ninguna conexión entrante o saliente desde ese sistema a través de Internet. Debes configurar el sistema de base de datos para permitir el acceso solo desde la dirección IP del servidor web. Esto protegerá tu base de datos y aún te permitirá mantener una DMZ adecuada. Nuevamente, tendrás acceso limitado a la base de datos a menos que te sientes físicamente detrás de la computadora e inicies sesión en ella o lo hagas a través de la computadora del servidor web.

Conclusión

Determinar si utilizar una DMZ o no requiere un poco de reflexión y una planificación cuidadosa. Puede ser un beneficio excelente para tu red doméstica o empresarial y, si se configura correctamente, puede mejorar la seguridad de tu red local. Sin embargo, debes sopesar las consecuencias de configurar una DMZ en términos de usabilidad de tus servidores.

Personalmente, creo que la seguridad debe ser lo primero, y las inconveniencias de utilizar una DMZ son mínimas en comparación con las posibles consecuencias de no usarla. Para ser honestos, nunca he tenido un sistema comprometido por no usar una DMZ, ni tampoco he tenido uno comprometido después de cambiar a un sistema con DMZ. Sin embargo, me siento mucho más tranquilo sabiendo que tengo una capa adicional de protección.

Guía completa para entender las direcciones IP y su importancia en redes

Los firewalls son excelentes herramientas, pero solo son una de las muchas capas que puedes y debes utilizar. Debes considerar usar una DMZ porque agrega un nivel adicional de defensa entre un posible atacante y tu información sensible. Cuantas más capas de seguridad tengas en su lugar, más protegida estará tu información.

En Newsmatic nos especializamos en tecnología de vanguardia, contamos con los artículos mas novedosos sobre Redes, allí encontraras muchos artículos similares a Qué es una DMZ y cómo puede beneficiar a tu red doméstica o empresarial , tenemos lo ultimo en tecnología 2023.

Artículos Relacionados

Subir

Utilizamos cookies para mejorar su experiencia de navegación, mostrarle anuncios o contenidos personalizados y analizar nuestro tráfico. Al hacer clic en “Aceptar todo” usted da su consentimiento a nuestro uso de las cookies.