La importancia de separar la información pública de la interna mediante zonas desmilitarizadas (DMZ).

Fecha de publicación 12/12/2017
Autor
INCIBE (INCIBE)

Muchas empresas necesitan ofrecer algún tipo de servicio accesible a través de Internet a sus clientes o trabajadores, como por ejemplo el correo electrónico, la página web corporativa, una aplicación remota o un repositorio de ficheros. Algunas de estas empresas  optan por la subcontratación de estos servicios, mientras que otras prefieren hacerlo internamente y asumen la instalación y gestión de los servidores y equipos en sus propios locales, de forma que  pueden ahorrar costes y aumentar tanto la privacidad como el control sobre su información.

En este caso es necesario separar los servidores accesibles desde el exterior de los servidores privados de nuestra organización y para ello se realiza una separación de la información pública de la privada.

Para hacer que aquellos servidores que queremos sean accesibles desde Internet, es necesario abrir una parte de nuestra red, evitando siempre que el resto de la misma quede desprotegida: esto se consigue mediante el uso de cortafuegos.

Un cortafuegos (o firewall) es un sistema de seguridad capaz de establecer reglas para bloquear o permitir conexiones de entrada o salida de nuestra red.

Podemos utilizar el símil de una ciudad amurallada (nuestra red), protegida del exterior (Internet) donde pondremos un guardia (el cortafuegos) al que daremos indicaciones de quién puede entrar y salir y a qué edificios se puede dirigir (servidores).

Para que el cortafuegos “sepa” lo que está permitido y lo que no, deberemos configurar:

  1. Qué tipo de conexiones permitimos (web, correo, chat, descargas P2P, etc.).
  2. En qué sentido las permitimos (hacia Internet o desde Internet).
  3. A qué equipos afecta(todos los equipos, solo uno o un conjunto ellos)

Así pues, una configuración normal del cortafuegos podría incluir:

  • Permitir las conexiones de cualquier tipo, hacia internet, todos los ordenadores de los usuarios
  • Bloquear las conexiones de cualquier tipo, desde Internet,a los equipos de los usuarios.
  • Permitir las conexiones de tipo web, desde Internet, hacia el servidor web.
  • Permitir las conexiones de tipo correo, desde Internet, hacia el servidor de correo

Trasladándolo al símil de nuestra ciudad amurallada:

  • El guardia permitiría entrar y salir libremente a los ciudadanos (usuarios).
  • No permitiría que ningún forastero se dirigiese a los hogares de los ciudadanos (equipos de usuario).
  • Permitiría a los mercaderes forasteros dirigirse al mercado, a los leñadores forasteros a las leñeras, y a los sabios a la biblioteca.

Llegados a este punto podría parecer que con un cortafuegos es suficiente para proteger nuestros servidores internos, pero una vez hemos permitido el acceso a nuestra red, un posible atacante podría aprovechar una vulnerabilidad de nuestro servidor para comprometerlo y desde ahí intentar atacar a otros servidores a los que en un principio no tiene acceso desde el exterior de la red.

Para evitar esta posible brecha de seguridad existen las zonas (o redes) desmilitarizadas (DMZ).

¿Qué es una red DMZ?

Una red DMZ es una red aislada del resto de la red interna, donde se ubican únicamente los servidores que deben ser accesibles desde Internet. De esta forma, si se ataca y compromete uno de estos servidores, el resto de la red estará protegida.

Así pues, esta red DMZ, por el hecho de estar expuesta a ataques desde Internet, deberá estar especialmente controlada y monitorizada, siendo muy recomendable instalar detectores de intrusos, tener especial cuidado a la hora de securizar sus servidores y considerarlos  prioritarios a la hora de instalar actualizaciones y parches de seguridad críticos.

Algunos ejemplos de equipos candidatos a estar dentro de una DMZ serían:

  • Servidores de correo y webmail
  • Servidores de VPN
  • Servidores DNS

¿Cómo trasladamos esto a nuestra ciudad amurallada? Bastará con construir una plaza (DMZ) aislada del resto de la ciudad donde ubicaremos todos los edificios (servidores) susceptibles de ser visitados por forasteros y donde colocaremos centinelas (detectores de intrusos) atentos a cualquier movimiento sospechoso o intento de acceso al resto de la ciudad.

Tipos de DMZ

El siguiente grafico muestra la configuración de una DMZ básica donde se muestra la configuración de las conexiones permitidas y bloqueadas mediante un código de colores:

Configuración de una DMZ utilizando un firewall

 

No obstante esta configuración hace que ante un fallo en la gestión o seguridad del cortafuegos pueda comprometer la seguridad de toda la organización por lo que se recomienda el uso de un segundo cortafuegos como se muestra en el siguiente gráfico:

Configuración de DMZ utilizando dos cortafuegos.

En un entorno ideal, se recomienda además que ambos cortafuegos sean de marcas y modelos diferentes con el fin de evitar que una vulnerabilidad del fabricante pueda ser utilizada para traspasar ambas barreras de seguridad.

Por último debemos mencionar un tercer tipo de DMZ, que a pesar de no ser una DMZ como tal, su nomenclatura puede dar lugar a confusiones: algunos routers domésticos o de gama baja disponen de la opción de “meter equipos en DMZ”. Esta configuración, lejos de crear una DMZ real, hace que todo el equipo escogido pase a estar visible desde internet, con el consiguiente peligro. Por contrapartida, ese equipo no podrá conectarse con el resto de equipos de la red, pero se debe ser cauto al utilizar esta configuración ya que puede acarrear serios peligros para la seguridad del equipo.

Ahora que ya sabemos lo que es, preguntémonos…. ¿Necesitamos una DMZ?

Etiquetas