Actualizado: el artículo fue actualizado por última vez el 01/01/2017.

¿Qué es una DMZ?

Una red DMZ (por sus siglas en inglés de “Demilitarized Zone” o en español “Zona desmilitarizada”) corresponde a una red segura y aislada del resto.

Es decir, es una red que está aislada del resto de redes de la empresa (incluyendo la red interna) y en la que se controla cualquier tráfico que se establezca con el resto.

Vamos a verlo más claro con un ejemplo:

Tenemos una empresa con un servidor windows que utilizamos para administrar los usuarios de la red y las funciones más habituales.

Por otro lado adquirimos un programa que van a utilizar los comerciales para su actividad diaria. A esta última máquina se van a conectar los usuarios desde dentro de la oficina, pero también aquellos que visitan a los clientes. Hay que permitirles por tanto que accedan desde el exterior.

Se puede utilizar una conexión mediante VPN de modo que los equipos externos, establezcan una conexión segura con la red de la oficina. Pero… ¿qué sucede si utilizan sus propios equipos para conectarse? Si uno de ellos está comprometido y se conecta (aunque sea de forma segura) a la oficina, toda la red se habrá visto comprometida.

También existe la posibilidad de que se produzca un ataque interno, en el que un trabajador, de forma malintencionada, intente atacar el servidor de los comerciales.

Si esta máquina se encuentra en la misma red, el firewall de la empresa será totalmente ineficaz, puesto que el tráfico entre ambos dispositivos es siempre interno, no pasa por el UTM y por tanto no se puede restringir de ninguna forma.

Para esta y otras situaciones, se utiliza una red DMZ. El servidor de los comerciales se situaría dentro de esta red, totalmente separada del resto y únicamente conectada al resto de recursos de la empresa mediante el firewall perimetral.

Ahora, la única forma de establecer una conexión con él, es pasando por el firewall que permitirá el tráfico o no (a la dmz ip), en función de las reglas previamente definidas por nosotros.

¿Qué debemos incluir?

Dentro de la zona desmilitarizada deben incluirse todos aquellos servicios, máquinas, dispositivos etc, que consideremos críticos para nuestro negocio y que debamos tener bajo un especial control.

Dependiendo de la actividad de nuestra empresa pueden incluirse servidores de DNS, servidores de correo, aplicaciones de CRM, servidores de ERP y un largo etc.

Al mismo tiempo, no deben incluirse en la configuración de la zona desmilitarizada aquellos equipos que necesitan una configuración de seguridad demasiado permisiva.

Si los equipos de la red interna tienen que acceder a un servidor y necesitan que no se limite el tráfico, los puertos de conexiones, protocolos… no será buena idea incluir el equipo en este segmento. Al “abrir la mano” para este equipo, se pondrá en riesgo la seguridad del resto.

¿Qué filtrado debemos establecer?

Cuando configure la DMZ, lo más importante y fundamental es denegar todo el tráfico y permitir exclusivamente aquello que se considere indispensable.

Dentro de la zona DMZ hemos incluido el servidor para los comerciales, como dmz host y funciona sobre un entorno web.

La aplicación a la que se va a tener acceso es una web y por lo tanto, el único tráfico que se va a generar entre las redes es tráfico web (navegación).

Tendremos que definir reglas dentro de la configuración del firewall empresarial que permitan el acceso al servicio web (habitualmente las conexiones a los puertos 80/http y 443/https).

No tiene sentido que en este escenario, se habilite por ejemplo RDP service application (Conexión a escritorio remoto) para administrar esa máquina (desde la ip DMZ). Ni desde fuera de la oficina, ni desde dentro de la red interna. La administración de este equipo se puede hacer de forma local y así evitar posibles brechas de seguridad, al no utilizar aquellas características que son más vulnerables, evitaremos estar poniéndola en riesgo.

Reduciendo el número de funcionalidades permitidas, reducimos los riesgos de seguridad.

Escenario habitual.

Habitualmente las empresas crean la red DMZ utilizando el firewall como punto de unión entre las 3 (o más) redes de la empresa. Cada una, bien diferenciada, se conecta al UTM y en la configuración se establecen las reglas de tráfico entre ellas. (DMZ red interna, DMZ red externa y internal external)

  1. Por un lado está la red de Internet (red WAN) que permite el acceso hacia fuera de la oficina, mediante el router / routers del proveedor de Internet (ISP).
  2. La red local (LAN) o red interna donde están los equipos de los usuarios (impresoras, ordenadores, etc).
  3. La red independiente (DMZ) que alberga los equipos críticos o más sensibles.

Otras redes que se pueden independizar son:

  1. Redes wifi.
  2. Redes de acceso para invitados.
  3. Redes para distintos perfiles de acceso (Por ejemplo una para profesores, otra para alumnos, etc)
  4. DMZ externa

Las conexiones de estas redes pueden ser totalmente independientes mediante hardware diferente o utilizando los mismos aparatos y segmentándolos. Por ejemplo mediante la configuración de redes VLAN (Virtual LANs) que permiten que un mismo switch se comporte como 2 ó más switchs independientes. O incluso mediante la definición de redes por software o virtuales (para entornos virtualizados).

En instalaciones más complejas es habitual que se utilicen varios dispositivos firewall trabajando en paralelo y de diferentes fabricantes. Permite que aún cuando se encuentra una vulnerabilidad en uno de ellos o una situación que no es capaz de proteger, no afecte a la seguridad de la red.

Aunque es una medida que puede parecer un tanto extrema, no hay que olvidar que en cuestiones de seguridad toda medida es bienvenida. Los ciberciminales siempre buscan nuevas formas de acceder a los sistemas ajenos.

¿Necesitas crear una zona desmilitarizada en la red de tu empresa?

Si necesitas definir una red DMZ en la red de tu empresa para proteger tus servidores o equipos críticos, contacta con nosotros y estudiaremos juntos el proyecto para establecer la mejor configuración de seguridad.

tecnozero está certificada como distribuidor de Sophos y contamos con técnicos especializados en la implantación de dispositivos de seguridad perimetral y desarrollo de proyectos de networking.

Shares
Share This