• Una zona desmilitarizada es una red perimetral que protege la LAN interna de una organización del tráfico no confiable.
  • Los sitios web públicos necesitan servidores web accesibles, separados de las redes internas en una DMZ con fuertes medidas de seguridad.

Este artículo presentará la definición, los principios de funcionamiento y los beneficios de la red DMZ.

¿Qué es una red DMZ?

Una DMZ, también conocida como zona desmilitarizada, funciona como una red intermedia que protege la LAN interna de una organización del tráfico no confiable, reforzando la seguridad. El objetivo principal de una red DMZ es permitir el acceso desde redes no confiables como Internet, mientras se salvaguarda la seguridad de la LAN privada de la organización. Por lo general, los servicios orientados al exterior y los servidores esenciales como DNS, FTP, correo, proxy, VoIP y servidores web se alojan en la DMZ para reforzar las medidas de seguridad.

Lea también: 3 riesgos clave de seguridad en la computación en la nube

Lea también: Las amenazas de ciberseguridad más apremiantes

¿Cómo funciona?

Las empresas que operan sitios web públicos para sus clientes necesitan que sus servidores web sean accesibles en Internet. Para proteger sus redes corporativas internas, estos servidores web se despliegan en equipos separados, aislados de los recursos internos. La DMZ facilita una comunicación segura entre los activos empresariales protegidos, como las bases de datos internas, y el tráfico autorizado desde Internet. Una red DMZ actúa como un amortiguador entre Internet y la red privada de la organización, asegurada por un firewall o una puerta de enlace de seguridad similar que filtra el tráfico entre la DMZ y la LAN.

La DMZ suele incluir servidores protegidos por otro firewall que filtra el tráfico entrante desde redes externas.

Idealmente ubicada entre dos firewalls, la configuración de la DMZ garantiza que los paquetes de red entrantes sean examinados por las medidas de seguridad antes de llegar a los servidores alojados en la DMZ. Esta configuración impone una capa adicional de defensa: incluso si un atacante supera el firewall externo, debe comprometer los servicios reforzados dentro de la DMZ antes de acceder a sistemas empresariales críticos. En caso de una brecha en la que un atacante penetre el firewall externo y comprometa un sistema de la DMZ, aún debe atravesar un firewall interno para llegar a los datos corporativos confidenciales.

Aunque atacantes hábiles podrían vulnerar una DMZ segura, los recursos internos dentro de ella deberían activar alertas, proporcionando una advertencia temprana de cualquier brecha en curso. Las organizaciones que cumplen con requisitos regulatorios, como HIPAA, pueden implementar un servidor proxy en la DMZ. Esto simplifica la supervisión y el registro de la actividad de los usuarios, centraliza el filtrado de contenido web y garantiza que los empleados accedan a Internet de forma segura a través de sistemas controlados.

Beneficios de su uso

El principal beneficio de una DMZ es ofrecer a la red interna una capa de seguridad avanzada al restringir el acceso a datos y servidores confidenciales.

  • Facilitar el control de acceso: Las empresas permiten el acceso de los usuarios a servicios externos a través de Internet público, mientras emplean la segmentación de red a través de la DMZ para impedir el acceso no autorizado a la red privada. Una DMZ puede incorporar un servidor proxy para centralizar el flujo de tráfico interno y agilizar la supervisión y el registro de dichas actividades.
  • Impedir el reconocimiento de red: Posicionada como un amortiguador entre Internet y una red privada, una DMZ evita que los atacantes realicen reconocimientos para identificar objetivos potenciales. Los servidores en la DMZ están expuestos públicamente pero protegidos por un firewall que obstruye la visibilidad hacia la red interna. Incluso si un servidor de la DMZ se ve comprometido, un firewall interno aísla la red privada de la DMZ, mejorando la seguridad y complicando los esfuerzos de reconocimiento externo.