¿Qué es una DMZ y cómo se configura una en su red?
¿Qué significa "DMZ"? DMZ significa Zona desmilitarizada, pero eso en realidad significa diferentes cosas en diferentes reinos.
En el mundo real, una DMZ es una franja de tierra que sirve como punto de demarcación entre Corea del Norte y Corea del Sur. Pero cuando se trata de tecnología, DMZ es una subred separada lógicamente que generalmente contiene servicios de una red alojados externamente y orientados a Internet. Entonces, ¿cuál es exactamente el propósito de una DMZ? ¿Cómo te protege? ¿Y puedes configurar uno en tu enrutador?
¿Cuál es el propósito de una DMZ?
DMZ actúa como un escudo entre Internet no confiable y su red interna.
Al aislar los servicios más vulnerables de cara al usuario, como los servidores de correo electrónico, web y DNS, dentro de su propia subred lógica, el resto de la red interna o la red de área local (LAN) se puede proteger en caso de un compromiso.
Los hosts dentro de una DMZ tienen conectividad limitada a la red interna principal, ya que están ubicados detrás de un firewall intermedio que controla el flujo de tráfico entre los dos puntos de la red. Sin embargo, se permite cierta comunicación para que los hosts DMZ puedan ofrecer servicios tanto a la red interna como a la externa.
La premisa principal detrás de una DMZ es mantenerla accesible desde Internet mientras deja el resto de la LAN interna intacta e inaccesible para el mundo exterior. Esta capa adicional de seguridad evita que los actores de amenazas se infiltran directamente en su red.
¿Qué servicios se agregan dentro de una DMZ?
La forma más fácil de entender una configuración DMZ es pensar en un enrutador. Los enrutadores generalmente tienen dos interfaces:
- Interfaz interna: esta es su interfaz no orientada a Internet que tiene sus hosts privados.
- Interfaz externa: esta es la interfaz orientada a Internet que tiene su enlace ascendente y su interacción con el mundo exterior.
Para implementar una red DMZ, simplemente agregue una tercera interfaz conocida como DMZ. Todos los hosts a los que se puede acceder directamente desde Internet o que requieren una comunicación regular con el mundo exterior se conectan a través de la interfaz DMZ.
Los servicios estándar que se pueden colocar dentro de una DMZ incluyen servidores de correo electrónico, servidores FTP, servidores web y servidores VOIP, etc.
Se debe prestar especial atención a la política general de seguridad informática de su organización y se debe realizar un análisis de recursos antes de migrar los servicios a una DMZ.
¿Se puede implementar DMZ en una red doméstica o inalámbrica?
Es posible que haya notado que la mayoría de los enrutadores domésticos mencionan el host DMZ. En el verdadero sentido de la palabra, esta no es una DMZ real. La razón es que una DMZ en una red doméstica es simplemente un host en la red interna que tiene todos los puertos expuestos además de los que no se reenvían.
La mayoría de los expertos en redes advierten contra la configuración de un host DMZ para una red doméstica. Esto se debe a que el host DMZ es ese punto entre las redes internas y externas al que no se le otorgan los mismos privilegios de firewall que disfrutan otros dispositivos en la red interna.
Además, un host DMZ basado en el hogar aún mantiene la capacidad de conectarse a todos los hosts de la red interna, lo que no es el caso de las configuraciones DMZ comerciales en las que esas conexiones se realizan a través de cortafuegos separadores.
Un host DMZ en una red interna puede proporcionar una falsa sensación de seguridad cuando en realidad solo se usa como un método para reenviar puertos a otro firewall o dispositivo NAT.
La configuración de una DMZ para una red doméstica solo es necesaria si ciertas aplicaciones requieren acceso persistente a Internet. Aunque esto se puede lograr mediante el reenvío de puertos o la creación de servidores virtuales, a veces abordar la gran cantidad de números de puertos lo hace poco práctico. En tales casos, configurar un host DMZ es una solución lógica.
El modelo de cortafuegos simple y doble de una DMZ
Las configuraciones DMZ se pueden realizar de diferentes maneras. Los dos métodos más utilizados se conocen como red de tres patas (firewall único) y red con firewalls duales.
Dependiendo de sus requisitos, puede optar por cualquiera de estas arquitecturas.
Método de cortafuegos único o de tres patas
Este modelo lleva tres interfaces. La primera interfaz es la red externa del ISP al firewall, la segunda es su red interna y, por último, la tercera interfaz es la red DMZ que contiene varios servidores.
La desventaja de esta configuración es que el uso de un solo firewall es el único punto de falla para toda la red. Si el firewall se ve comprometido, toda la DMZ también se desactivará. Además, el firewall debería poder manejar todo el tráfico entrante y saliente tanto para la DMZ como para la red interna.
Método de cortafuegos dual
Como su nombre lo indica, se utilizan dos cortafuegos para diseñar esta configuración, lo que la convierte en el más seguro de los dos métodos. Se configura un firewall de front-end que permite que el tráfico pase hacia y desde la DMZ únicamente. El segundo o servidor de seguridad de fondo está configurado para luego pasar el tráfico desde la DMZ a la red interna.
Tener un firewall adicional reduce las posibilidades de que toda la red se vea afectada en caso de un compromiso.
Esto, naturalmente, tiene un precio más alto, pero proporciona redundancia en caso de que falle el firewall activo. Algunas organizaciones también se aseguran de que ambos firewalls estén hechos por diferentes proveedores para crear más obstáculos para los atacantes que buscan piratear una red.
Cómo configurar una DMZ en su enrutador doméstico
La forma más fácil y rápida de configurar una red DMZ en el hogar es mediante el modelo de tres patas. Cada interfaz se asignará como red interna, red DMZ y red externa. Por último, una tarjeta Ethernet de cuatro puertos en el firewall completará esta configuración.
Los siguientes pasos describen cómo configurar una DMZ en un enrutador doméstico. Tenga en cuenta que estos pasos serán similares para la mayoría de los enrutadores principales como Linksys, Netgear, Belkin y D-Link:
- Conecte su computadora al enrutador a través del cable Ethernet.
- Vaya al navegador web de su computadora y escriba la dirección IP de su enrutador en la barra de herramientas de direcciones. Normalmente, la dirección de un enrutador es 192.168.1.1. Presione la tecla "Enter" o la tecla de retorno.
- Verá una solicitud para ingresar la contraseña de administrador. Ingrese su contraseña que creó al momento de configurar el enrutador. La contraseña predeterminada en muchos enrutadores es "admin".
- Seleccione la pestaña "Seguridad" ubicada en la esquina superior superior de la interfaz web de su enrutador.
- Desplácese hasta la parte inferior y seleccione el cuadro desplegable que tiene la etiqueta "DMZ". Ahora elija la opción de menú habilitar .
- Ingrese la dirección IP del host de la computadora de destino. Puede ser cualquier cosa como una computadora de escritorio remota, un servidor web o cualquier dispositivo que necesite acceder a Internet. Nota: la dirección IP a la que está reenviando el tráfico de red debe ser estática, ya que una dirección IP asignada dinámicamente cambiará cada vez que se reinicie su computadora.
- Seleccione Guardar configuración y cierre la consola del enrutador.
Proteja sus datos y configure una DMZ
Los consumidores inteligentes siempre protegen sus enrutadores y redes de intrusos antes de acceder a redes externas. Una DMZ puede brindar una capa adicional de seguridad entre sus valiosos datos y los posibles piratas informáticos.
Como mínimo, usar una DMZ y utilizar consejos simples para asegurar sus enrutadores puede dificultar que los actores de amenazas penetren en su red. ¡Y cuanto más difícil sea para los atacantes acceder a sus datos, mejor será para usted!