Toda empresa que gestione un servidor de correo ele­c­tró­ni­co o aloje su web en un servidor propio se enfrenta a un mismo problema: los equipos que ofrecen servicios web o de correo deben ser ac­ce­si­bles a través de Internet. Además, los empleados de la red local o LAN (Local Area Network) siempre de­ma­n­da­rán rápido acceso a estos recursos. Sin embargo, el trabajo conjunto en la misma red re­pre­se­n­ta un alto riesgo de seguridad. Los se­r­vi­do­res que necesitan acceder a la red pública, como los DNS, de correo, proxy o web, son es­pe­cia­l­me­n­te pre­fe­ri­dos por hackers o personas sin es­crú­pu­los para llevar a cabo sus ataques. Si estas pasarelas de apli­ca­cio­nes (bastion host) se conectan di­re­c­ta­me­n­te a la red local, se corre el riesgo de que un servidor infectado pueda afectar a totalidad de la red. Una de las so­lu­cio­nes a este problema es la im­ple­me­n­ta­ción de redes pe­ri­me­tra­les, también llamadas zonas de­s­mi­li­ta­ri­za­das o DMZ por sus siglas en inglés, que permiten ex­te­r­na­li­zar se­r­vi­do­res vu­l­ne­ra­bles a ataques.

¿Qué es una zona de­s­mi­li­ta­ri­za­da?

En in­fo­r­má­ti­ca, una zona de­s­mi­li­ta­ri­za­da (de­mi­li­ta­ri­zed zone, DZM) hace re­fe­re­n­cia a una red de or­de­na­do­res con un rango de di­re­c­cio­nes IP privadas que sirve como franja de seguridad entre dos redes, se­pa­rá­n­do­las mediante estrictas reglas de acceso. Así, aunque fí­si­ca­me­n­te los se­r­vi­do­res dentro de una DMZ se en­cue­n­tran en la misma empresa, no están co­ne­c­ta­dos di­re­c­ta­me­n­te con los equipos de la red local. La es­tru­c­tu­ra del nivel de pro­te­c­ción más alto consiste en un co­r­ta­fue­gos que separa la zona de­s­mi­li­ta­ri­za­da, situada entre la red local e Internet, de las redes vecinas. Por su parte, en las ar­qui­te­c­tu­ras de red un poco más eco­nó­mi­cas, todas las redes están co­ne­c­ta­das a un único firewall con tres te­r­mi­na­les separados. En este caso se habla de una DMZ protegida.

DMZ con dos co­r­ta­fue­gos (dual firewall)

Con el fin de proteger a las redes co­r­po­ra­ti­vas de ataques desde las redes de área amplia (WAN por sus siglas en inglés) se suele aplicar el concepto de zona de­s­mi­li­ta­ri­za­da con dos co­r­ta­fue­gos, que consiste en un co­r­ta­fue­gos externo que protege la zona de­s­mi­li­ta­ri­za­da de la red pública y un co­r­ta­fue­gos interno entre la DMZ y la red em­pre­sa­rial. Los co­r­ta­fue­gos pueden ser in­de­pe­n­die­n­tes, de hardware, o de software, por ejemplo, desde un router.

Imagen: DMZ con dos cortafuegos (dual firewall)
Re­pre­se­n­ta­ción es­que­má­ti­ca de una zona de­mi­li­ta­ri­za­da con dos co­r­ta­fue­gos (fuente: https://commons.wikimedia.org/wiki/File%3ADMZ_network_diagram_2_firewall.svg)

Esta ar­qui­te­c­tu­ra de seguridad en dos etapas hace posible la co­n­fi­gu­ra­ción de rutas estáticas que regulan el tráfico entre las redes de la siguiente manera:

El usuario está… Acceso a la DMZ Acceso a la LAN Acceso a Internet
…en Internet (WAN) permitido denegado -
…en LAN permitido - permitido
…en la DMZ - denegado denegado

Así, los usuarios de la red local pueden acceder a la red pública y a la zona de­s­mi­li­ta­ri­za­da, los usuarios de Internet solo tienen acceso a la DMZ. El tráfico externo desde la DMZ está bloqueado por dos co­r­ta­fue­gos.

Es altamente re­co­me­n­da­ble im­ple­me­n­tar co­r­ta­fue­gos de di­fe­re­n­tes pro­vee­do­res. De no ser así, una vez ide­n­ti­fi­ca­da una vu­l­ne­ra­bi­li­dad en uno de los co­r­ta­fue­gos, un hacker podría acceder sin ningún problema al otro. Para evitar los ataques de un servidor infectado a otros di­s­po­si­ti­vos dentro de la zona de­s­mi­li­ta­ri­za­da, es posible im­ple­me­n­tar software de co­r­ta­fue­gos adi­cio­na­les o una se­g­me­n­ta­ción en redes de área local virtual o VLAN por sus siglas en inglés.

DMZ con un firewall

Para im­ple­me­n­tar una zona de­s­mi­li­ta­ri­za­da de manera más económica, es posible utilizar un único co­r­ta­fue­gos de gran alcance (un router con firewall) con te­r­mi­na­les para tres co­ne­xio­nes de red separadas: una para Intranet, otra para Internet y otra para la DMZ. En este tipo de zona de­s­mi­li­ta­ri­za­da, todos los puertos son su­pe­r­vi­sa­dos por separado por el mismo firewall, lo que lo convierte en el punto único de fallo (single point of failure, SPOF). Es fu­n­da­me­n­tal conseguir un co­r­ta­fue­gos que sea capaz de hacer frente al tráfico de Internet, así como a los di­fe­re­n­tes accesos a la red interna.

Imagen: DMZ con un firewall
En el caso de un Protected DMZ solo hay un co­r­ta­fue­gos su­pe­r­vi­sa­n­do las co­ne­xio­nes de red y co­n­tro­la­n­do tanto el tráfico desde Internet como los accesos desde la red local (fuente: https://commons.wikimedia.org/wiki/File%3ADMZ_network_diagram_2_firewall.svg)

Host expuesto

Muchos de los routers di­s­po­ni­bles en el mercado ofrecen soporte DMZ, incluso con sus tarifas más bajas. Sin embargo, una al­te­r­na­ti­va consiste en co­n­fi­gu­rar uno de los or­de­na­do­res en la red local como “host expuesto” o exposed host. Su función principal es la de recibir todas las so­li­ci­tu­des enviadas por el router desde Internet y que, ese­n­cia­l­me­n­te, no pe­r­te­ne­cen a las co­ne­xio­nes exi­s­te­n­tes. En otras palabras, este equipo es accesible a los usuarios de Internet. No obstante, un “host expuesto” no iguala el nivel de pro­te­c­ción ofrecido por una verdadera zona de­s­mi­li­ta­ri­za­da, pri­n­ci­pa­l­me­n­te debido a que este no está separado de la red local.

Ir al menú principal