Skip to content Skip to navigation Skip to footer

¿Qué es una red DMZ?

Una zona desmilitarizada (demilitarized zone, DMZ) es una red perimetral que protege la red de área local (local-area network, LAN) interna contra el tráfico no confiable. 

Un significado común para una DMZ es una subred que se encuentra entre la Internet pública y las redes privadas. Expone los servicios externos a redes no confiables y agrega una capa adicional de seguridad para proteger los datos confidenciales almacenados en redes internas, utilizando firewalls para filtrar el tráfico.

El objetivo final de una DMZ es permitir que una organización acceda a redes no confiables, como Internet, a la vez que garantiza que su red privada o LAN permanecen seguras. En la DMZ, las organizaciones normalmente almacenan servicios y recursos externos así como servidores para el sistema de nombres de dominio (Domain Name System, DNS), el protocolo de transferencia de archivos (File Transfer Protocol, FTP), correo, proxy, protocolo de voz sobre Internet (Voice over Internet Protocol, VoIP) y servidores web. 

Estos servidores y recursos están aislados y tienen acceso limitado a la LAN para garantizar que se pueda acceder a ellos a través de Internet, pero la LAN interna no puede hacerlo. Como resultado, un enfoque DMZ hace que sea más difícil para un pirata informático obtener acceso directo a los datos de una organización y a los servidores internos a través de Internet.

 

¿Cómo funciona una red DMZ?

Las empresas con un sitio web público que los clientes utilizan deben hacer que su servidor web sea accesible desde Internet. Hacerlo significa poner en riesgo toda su red interna. Para evitar esto, una organización podría pagarle a una empresa de alojamiento para que aloje el sitio web o sus servidores públicos en un firewall, pero esto afectaría el rendimiento. En lugar de eso, los servidores públicos se alojan en una red que es independiente y aislada.

Una red DMZ proporciona un búfer entre Internet y la red privada de una organización. La DMZ está aislada por una puerta de enlace de seguridad, como un firewall, que filtra el tráfico entre la DMZ y una LAN. Está protegida por otra puerta de enlace de seguridad que filtra el tráfico entrante de redes externas.

Idealmente se la ubica entre dos firewalls, y la configuración del firewall de la DMZ garantiza que un firewall u otras herramientas de seguridad observen los paquetes de red entrantes antes de que lleguen a los servidores alojados en la DMZ. Esto significa que incluso si un atacante sofisticado puede atravesar el primer firewall, también debe acceder a los servicios reforzados de la DMZ antes de que pueda causarle daño a una empresa.

Si un atacante puede penetrar el firewall externo y poner en peligro a un sistema en la DMZ, también deberá pasar por un firewall interno antes de obtener acceso a datos corporativos confidenciales. Un malhechor altamente calificado puede ser capaz de violar una DMZ segura, pero los recursos que esta contiene deberían activar alarmas que adviertan con mucha antelación que se está cometiendo una infracción.

Las organizaciones que necesitan cumplir con las regulaciones, como la Ley de Portabilidad y Responsabilidad de Seguros Médicos (Health Insurance Portability and Accountability Act, HIPAA), a veces instalan un servidor proxy en la DMZ. Esto les permite simplificar el monitoreo y la grabación de la actividad del usuario, centralizar el filtrado de contenido web y garantizar que los empleados utilicen el sistema para obtener acceso a Internet.

 

Beneficios de usar una DMZ

El principal beneficio de una DMZ es proporcionar una red interna con una capa de seguridad adicional al restringir el acceso a los servidores y datos confidenciales. Una DMZ permite que los visitantes del sitio web obtengan ciertos servicios mientras proporcionan un búfer entre ellos y la red privada de la organización. Como resultado, ofrece también beneficios de seguridad adicionales, tales como:

  1. Habilitación del control de acceso: Las empresas pueden proporcionar a los usuarios acceso a servicios fuera de los perímetros de su red a través de Internet pública. La DMZ permite el acceso a estos servicios al tiempo que implementa segmentación de red, para que a un usuario no autorizado se le dificulte llegar a la red privada. Una DMZ también puede incluir un servidor proxy, que centraliza el flujo de tráfico interno y simplifica el monitoreo y el registro de ese tráfico.
  2. Prevención del reconocimiento de la red: Al proporcionar un búfer entre Internet y una red privada, una DMZ evita que los atacantes realicen el trabajo de reconocimiento que hacen cuando obtienen datos de objetivos potenciales. Los servidores dentro de la DMZ están expuestos públicamente, pero un firewall ofrece otra capa de seguridad que evita que un atacante pueda ver dentro de la red interna. Incluso si un sistema DMZ se pone en peligro, el firewall interno separa la red privada de la DMZ para mantenerla segura y dificultar el reconocimiento externo.
  3. Bloqueo de suplantación del protocolo de Internet (IP): Los atacantes pueden intentar obtener acceso a los sistemas suplantando una dirección IP y haciéndose pasar por un dispositivo aprobado que ha iniciado sesión en una red. Una DMZ puede descubrir y detener estos intentos de suplantación de identidad, ya que otro servicio verifica la legitimidad de la dirección IP. La DMZ también proporciona segmentación de red con el fin de crear un espacio para que se organice el tráfico y se acceda a los servicios públicos lejos de la red privada interna.

Los servicios de una DMZ incluyen:

  1. Servidores DNS
  2. Servidores FTP
  3. Servidores de correo
  4. Servidores proxy
  5. Servidores web

Diseño y arquitectura de DMZ

Una DMZ es una “red abierta amplia”, pero existen varios enfoques de diseño y arquitectura que la protegen. Se la puede diseñar de varias maneras, desde un enfoque de cortafuegos único hasta cortafuegos dobles y múltiples. La mayoría de las arquitecturas modernas de DMZ utilizan firewalls dobles que pueden expandirse para desarrollar sistemas más complejos.

  1. Firewall único: una DMZ con un diseño de firewall único requiere tres o más interfaces de red. La primera es la red externa, que conecta la conexión de Internet pública al firewall. La segunda forma la red interna, y la tercera se conecta a la DMZ. Varias reglas monitorean y controlan el tráfico que puede acceder a la DMZ y limitan la conectividad a la red interna.
  2. Firewall doble: la implementación de dos firewalls con una DMZ entre ellos suele ser una opción más segura. El primer firewall solo permite el tráfico externo hacia la DMZ, y el segundo solo permite el tráfico que va desde la DMZ hacia la red interna. Un atacante tendría que poner a ambos firewalls en peligro para obtener acceso a la LAN de una organización.

Las organizaciones también pueden ajustar los controles de seguridad para varios segmentos de red. Esto significa que un sistema de detección de intrusiones (intrusion detection system, IDS) o un sistema de prevención de intrusiones (intrusion prevention system, IPS) dentro de una DMZ podrían configurarse para bloquear cualquier tráfico diferente de las solicitudes de protocolo de transferencia de hipertexto seguro (Hypertext Transfer Protocol Secure, HTTPS) al puerto 443 del protocolo de control de transmisión (Transmission Control Protocol, TCP).

 

La importancia de las redes DMZ: ¿Cómo se usan?

Las redes DMZ han sido fundamentales para asegurar las redes empresariales desde la introducción de los firewalls. Protegen los datos, sistemas y recursos confidenciales de las organizaciones al mantener las redes internas separadas de los sistemas a los que pueden dirigirse los atacantes. Las DMZ también permiten que las organizaciones controlen y reduzcan los niveles de acceso a los sistemas sensibles.

Cada vez más las empresas utilizan contenedores y máquinas virtuales (virtual machine, VM) para aislar sus redes o aplicaciones particulares del resto de sus sistemas. El crecimiento de la nube significa que muchas empresas ya no necesitan servidores web internos. También han migrado gran parte de su infraestructura externa a la nube mediante el uso de aplicaciones de software como servicio (Software-as-a-Service, SaaS). 

Por ejemplo, un servicio en la nube como Microsoft Azure permite que una organización que ejecuta aplicaciones en las instalaciones y en redes privadas virtuales (virtual private networks, VPN) use un enfoque híbrido con la DMZ puesta entre las dos. Este método también se puede utilizar cuando el tráfico saliente necesita auditoría o hay que controlar el tráfico entre un centro de datos local y las redes virtuales.

Además, las DMZ son útiles para contrarrestar los riesgos de seguridad que presentan los dispositivos con Internet de las cosas (Internet-of-Things, IoT) y los sistemas de tecnología operativa (operational technology, OT), que hacen que la producción y la fabricación sean más inteligentes pero genera una amplia superficie para amenazas. Esto se debe a que el equipo de OT no se ha diseñado para hacer frente a los ataques cibernéticos o recuperarse de ellos de la manera en que se diseñaron los dispositivos IoT, lo que presenta un riesgo sustancial para los datos y recursos críticos de las organizaciones. Una DMZ proporciona segmentación de red para reducir el riesgo de un ataque que puede causar daños a la infraestructura industrial.

Cómo puede ayudar Fortinet

El firewall de próxima generación (NGFW) FortiGate de Fortinet contiene una red DMZ que puede proteger los servidores y las redes de los usuarios. Crea un agujero en la protección de red para que los usuarios accedan a un servidor web protegido por la DMZ y solo otorga acceso que se ha habilitado explícitamente. Consulte el libro de recetas de Fortinet para obtener más información sobre cómo proteger un servidor web con una DMZ

Preguntas frecuentes

¿Qué es una DMZ?

Una DMZ, que es la abreviatura de una zona desmilitarizada, es una red perimetral que permite que las organizaciones protejan sus redes internas. Permite que las organizaciones proporcionen acceso a redes no confiables, como Internet, mientras mantienen seguras las redes privadas o las redes de área local (LAN). Una DMZ generalmente se utiliza para almacenar recursos, servidores y servicios externos.

¿Es segura una DMZ?

La red DMZ no es segura en sí misma. Permite que los hosts y sistemas almacenados dentro de ella sean accesibles desde redes externas no confiables, como Internet, mientras mantiene aislados otros hosts y sistemas en redes privadas.

¿Cuál es el beneficio de la DMZ?

Una DMZ proporciona una capa adicional de seguridad a una red interna. Restringe el acceso a datos confidenciales, recursos y servidores al colocar un búfer entre los usuarios externos y una red privada. Otros beneficios incluyen controlar el acceso, evitar que los atacantes realicen reconocimiento de posibles objetivos y proteger a las organizaciones de ser atacadas a través de suplantación de identidad.

¿Debería usted usar una DMZ en su enrutador?

Una DMZ se puede utilizar en un enrutador en una red doméstica. El enrutador se convierte en una LAN, con computadoras y otros dispositivos conectados a ella. Algunos enrutadores domésticos también tienen una función de host DMZ que asigna un dispositivo para que funcione fuera del firewall y actúe como la DMZ. Todos los demás dispositivos se encuentran dentro del firewall, dentro de la red doméstica. A menudo una consola de videojuegos es una buena opción para usar como un host DMZ. Garantiza que el firewall no afecte el rendimiento de los juegos y es probable que contenga datos menos sensibles que una computadora portátil o una PC.