Qué es una DMZ y cómo te puede ayudar a proteger tu empresa

Fecha de publicación 19/09/2019
Autor
INCIBE (INCIBE)
Imagen de acompañamiento.

En cualquier empresa, es habitual ofrecer distintos servicios accesibles desde Internet, ya sea para empleados o clientes, tales como una página web, correo electrónico o un simplemente, un servidor de ficheros. Estos servicios pueden subcontratarse a una empresa especializada en cloud, o se pueden afrontar de forma interna, desde la organización, mediante recursos propios. La principal ventaja de abordarlo de forma interna será ostentar el control de su propia información, sin exponerla a terceros, lo que redundará en preservar la privacidad. Otra ventaja es que el servidor puede diseñarse a medida en función de las necesidades de la propia empresa frente a servidores cloud más genéricos.

Riesgos de utilizar servidores propios

Cuando se permite el acceso desde Internet a una página web, servidor de correo, servidor de ficheros, red privada virtual, etc., aumenta el riesgo de sufrir un incidente de seguridad. Si un ciberdelincuente consigue vulnerar la seguridad de uno de estos servidores, podría comprometer el resto de dispositivos conectados a la red, incluso aquellos que no son accesibles desde Internet. Un acceso no deseado  podría derivar en una infección por ransomware, comunicaciones espiadas, ficheros robados, caídas de servicio, etc.

Una configuración errónea de una red en una organización que cuenta con un servidor de correo y un servidor web, sería la siguiente.

Diagrama de red sin firewall.

Cortafuegos y zona desmilitarizada «DMZ»

Para minimizar los riesgos derivados de un servidor con acceso desde Internet que pudiera comprometer la seguridad de la organización, se debe utilizar un cortafuegos o firewall y una red local denominada zona desmilitarizada o DMZ (por su traducción del inglés, Demilitarized Zone).

¿Qué es un cortafuegos?

Los cortafuegos o firewall son unos dispositivo de seguridad cuya función principal es la de filtrar el tráfico de red entrante y saliente por medio de una serie de reglas, que permitirán su paso o lo rechazarán. Una vez que una comunicación llega al cortafuegos, por ejemplo una petición al servidor web de la empresa, esta podrá ser aceptada o rechazada, según se hayan configurado las reglas.

Este tipo de herramientas pueden ser tanto dispositivos específicos dedicados, o software, como el integrado por defecto en el sistema operativo Windows o OS X. Los dispositivos dedicados, por lo general, cuentan con más capacidades de procesamiento que los basados en software, ya que se han diseñado específicamente para esa tarea, aunque por el contrario, su coste económico es superior.

En la siguiente imagen se muestra la red de una empresa que cuenta con un cortafuegos.

Diagrama de red con firewall.

¿Qué es una zona desmilitarizada?

Una zona desmilitarizada es una red aislada que se encuentra dentro de la red interna de la organización. En ella se encuentran ubicados exclusivamente todos los recursos de la empresa que deben ser accesibles desde Internet, como el servidor web o de correo. Un ejemplo de una red local con una DMZ es:

Diagrama de red con firewall y segmentada la red con una zona desmilitarizada y otra LAN.

Por lo general, una DMZ permite las conexiones procedentes tanto de Internet, como de la red local de la empresa donde están los equipos de los trabajadores, pero las conexiones que van desde la DMZ a la red local, no están permitidas. Esto se debe a que los servidores que son accesibles desde Internet son más susceptibles a sufrir un ataque que pueda comprometer su seguridad. Si un ciberdelincuente comprometiera un servidor de la zona desmilitarizada, tendría muchos más complicado acceder a la red local de la organización, ya que las conexiones procedentes de la DMZ se encuentran bloqueadas.

Ciberdelincuente atacando una DMZ pero no pudiendo acceder a la LAN.

Configuración básica de un firewall con DMZ

Para configurar una zona desmilitarizada en la red de la organización, es necesario contar con un cortafuegos o firewall. Este dispositivo, será el encargado de segmentar la red y permitir o denegar las conexiones. En la siguiente tabla, de manera somera, se muestra el tipo de conexiones recomendables que permitiría o denegaría el firewall dependiendo su origen y destino:

tabla de políticas

La siguiente imagen muestra de forma gráfica el tráfico permitido y denegado por el firewall.

Diagrama de conexiones permitidas y denegadas entre la LAN, DMZ e Internet.

Doble firewall

No obstante, si se quiere aumentar aún más la seguridad de la red interna frente a un ataque proveniente de la DMZ, se pueden ubicar dos firewall.

Diagrama de red con dos firewall.

Router como DMZ

Muchos router que proporcionan los proveedores de Internet, cuentan en su configuración, con una opción para habilitar una DMZ mediante la cual un equipo de la empresa se hace accesible desde Internet. Activar esta opción, no es muy recomendable, ya que haríamos que la protección de red dependiera exclusivamente del router. Y hay que tener en cuenta que un router no es un dispositivo que se haya diseñado específicamente para cumplir las funciones de cortafuegos, siendo sus características de seguridad mucho más reducidas.

Además, puesto que la DMZ es más propensa a recibir ataques, es recomendable utilizar otro tipo de herramientas de monitorización, detección y prevención. Para ello, se utilizarán de sistemas de prevención y detección de intrusos o IDS e IPS. Por último, será una tarea crítica mantener los sistemas que se encuentren en la zona desmilitarizada actualizados a la última versión disponible.

 

Publicar cualquier servicio en Internet desde la red a la empresa siempre aumentará el riesgo de sufrir un incidente de seguridad. Para reducir los riesgos y proteger la información y dispositivos internos de la empresa se puede crear una zona desmilitarizada. ¡Si vas a publicar un servidor en Internet en tu empresa ubícalo en una DMZ!

 

Etiquetas