Zona DMZ: zona segura, a salvo de intrusos

¿Qué vamos a ver en este artículo?

Índice de contenido

1 ¿Qué es una DMZ?
2 DMZ ejemplos:
- 2.1 ¿Y si el ataque es desde dentro de la red?
3 ¿Qué debemos incluir?
4 ¿Qué filtrado debemos establecer?
5 Escenario habitual.
- 5.1 Otras redes que se pueden independizar son:
6 ¿Necesitas crear una zona desmilitarizada en la red de tu empresa?

¿Qué es una DMZ?

Una red DMZ (por sus siglas en inglés de “Demilitarized Zone” o en español “Zona desmilitarizada” o «franja de terreno neutral») corresponde a una red segura y aislada del resto.

Es una red que está aislada del resto de redes de la empresa (incluyendo la red interna). En ella que se controla cualquier tráfico que se establezca con el resto.

Un terreno neutral que separa los recursos de varias redes.

El acceso a esta red es restringido y limitado exclusivamente a los servicios a los que los usuarios pueden acceder.

Es decir, colocamos en una red independiente los equipos que prestan un servicio y que deben ser accesibles desde Internet (por ejemplo). De modo que aún estando dentro de la empresa, no están en la misma red que los usuarios. Si uno de los equipos se ve comprometido, no afectará a la seguridad del resto de la compañía.

DMZ ejemplos:

Vamos a verlo más claro con un ejemplo:

Tenemos una empresa con un servidor windows que utilizamos para administrar los usuarios de la red y las funciones más habituales.

Por otro lado adquirimos un programa que van a utilizar los comerciales para su actividad diaria. A esta última máquina se van a conectar los usuarios desde dentro de la oficina. También aquellos que visitan a los clientes. Hay que permitirles por tanto, que accedan desde el exterior.

Con una red vpn los equipos externos establecerán una conexión segura con la red interna de la oficina. Pero… ¿qué sucede si utilizan sus propios equipos para conectarse?. Si uno de ellos está comprometido y se conecta (aunque sea de forma segura) a la oficina, toda la red se habrá visto comprometida.

¿Y si el ataque es desde dentro de la red?

También existe la posibilidad de que se produzca un ataque interno. El trabajador, de forma malintencionada, intenta atacar el servidor de los comerciales.

Si esta máquina se encuentra en la misma red, el firewall de la empresa será totalmente ineficaz, puesto que el tráfico entre ambos dispositivos es siempre interno. No pasa por el UTM y por tanto, no se puede restringir de ninguna forma.

Para esta y otras situaciones, se utiliza una red DMZ. El servidor de los comerciales se situaría dentro de esta red, totalmente separada del resto y únicamente conectada al resto de recursos de la empresa mediante el firewall perimetral.

Ahora, la única forma de establecer una conexión con él, es pasando por el firewall que permitirá el tráfico o no, (a la dmz ip), en función de las reglas previamente definidas por nosotros.

¿Qué debemos incluir?

Dentro de la zona desmilitarizada deben incluirse todos aquellos servicios, máquinas, dispositivos etc, que consideremos críticos para nuestro negocio y que debamos tener bajo un especial control.

Dependiendo de la actividad de nuestra empresa pueden incluirse:

Servidores de DNS.
Servidores de correo electrónico. A
plicaciones de CRM.
Servidores de ERP.
Servidor web, de base de datos y un largo etc.

También puede ser una red entre dos cortafuegos.

Al mismo tiempo, no deben incluirse en la configuración de la zona desmilitarizada aquellos equipos que necesitan una configuración de seguridad demasiado permisiva.

Si los equipos de la red interna tienen que acceder a un servidor y necesitan que no se limite el tráfico, los puertos de conexiones, protocolos… no será buena idea incluir el equipo en este segmento. Al “abrir la mano” para este equipo, se pondrá en riesgo la seguridad del resto. Es decir:

No debemos incluir aquellos equipos que comprometan la seguridad del resto.

¿Qué filtrado debemos establecer?

Cuando configure la DMZ, lo más importante y fundamental es denegar todo el tráfico. Así permitimos exclusivamente aquello que se considere indispensable.

Dentro de la zona DMZ hemos incluido el servidor para los comerciales, como dmz host y funciona sobre un entorno web con una dirección ip específica.

La aplicación a la que se va a tener acceso es una web y por lo tanto, el único tráfico que se va a generar entre las redes es tráfico web (navegación).

Tendremos que definir reglas dentro de la configuración del firewall empresarial que permitan el acceso al servicio web (habitualmente las conexiones a los puertos 80/http y 443/https).

No tiene sentido que en este escenario, se habilite por ejemplo RDP service application (Conexión a escritorio remoto) para administrar esa máquina (desde la ip DMZ). Ni desde fuera de la oficina, ni desde dentro de la red interna. Como vemos, la administración de este equipo se puede hacer de forma local y así evitar posibles brechas de seguridad.

Al no utilizar aquellas características que son más vulnerables, evitaremos estar poniéndola en riesgo. Las reglas deben ser lo más estrictas posibles sin que por ello afecten a la operativa de la empresa.

Reduciendo el número de funcionalidades permitidas, reducimos los riesgos de seguridad.

Escenario habitual.

Habitualmente las empresas crean la red DMZ solo utilizando el firewall como punto de unión entre las 3 (o más) redes de la empresa. Cada una, bien diferenciada, se conecta al UTM y en la configuración se establecen las reglas de tráfico entre ellas. (DMZ red interna, DMZ red externa y internal external)

Por un lado está la red de Internet (red WAN) que permite el acceso hacia fuera de la oficina, mediante el router / routers del proveedor de Internet (ISP).
La red lan o (red local LAN) o red interna donde están los equipos de los usuarios (impresoras, ordenadores, etc).
La red independiente (DMZ) que alberga los equipos críticos o más sensibles.

Otras redes que se pueden independizar son:

Redes wifi.
Wifi para invitados o redes independientes.
Redes para distintos perfiles de acceso. (Por ejemplo una para profesores, otra para alumnos, etc)
DMZ empresa externa

Las conexiones de estas redes pueden ser totalmente independientes mediante hardware diferente o utilizando los mismos aparatos y segmentándolos.

Por ejemplo mediante la configuración de redes VLAN (Virtual LANs) que permiten que un mismo switch se comporte como 2 ó más switchs independientes. O incluso mediante la definición de redes por software o virtuales (para entornos virtualizados).

En instalaciones más complejas es habitual que se utilicen varios dispositivos firewall trabajando en paralelo y de diferentes fabricantes. Permite que aún cuando se encuentra una vulnerabilidad en uno de ellos o una situación que no es capaz de proteger, no afecte a la seguridad de la red.

Aunque es una medida que puede parecer un tanto extrema, no hay que olvidar que en cuestiones de seguridad toda medida es bienvenida. Los ciberciminales siempre buscan nuevas formas de acceder a los sistemas ajenos.

¿Necesitas crear una zona desmilitarizada en la red de tu empresa?

Si necesitas activar el DMZ en la red de tu empresa para proteger tus servidores o equipos críticos, contacta con nosotros y estudiaremos juntos el proyecto para establecer la mejor configuración de seguridad.

tecnozero está certificada como distribuidor de Sophos y contamos con técnicos especializados en la implantación de dispositivos de seguridad perimetral y desarrollo de proyectos de networking.

Otros artículos de tecnozero: