LA DMZ (Zona Desmilitarizada)
LA DMZ (Zona Desmilitarizada)
LA DMZ (Zona Desmilitarizada)
En primer lugar hay que tener claro que la nica idea de una DMZ es tener servidores que sean
accesibles desde Internet y que fsicamente estn instalados en nuestra red. El problema se
genera cuando la compaa tiene servidores locales que deben ser accesibles desde Internet y el
administrador de redes o encargado de la infraestructura se comienza a preguntar cmo y donde
los instalar. Veamos un ejemplo prctico de los casos tpicos.
Este es probablemente uno de los casos ms tpicos ya que no requiere muchos conocimientos ni
tampoco se requiere invertir en dispositivos de seguridad. Muchas compaas optan por instalar
sus servidores con una direccin IP pblica directa en cada una de las mquinas para que sean
visibles desde Internet. As, del rango disponible, una IP se configura en el router que har NAT en
toda la red LAN y el resto de las IP disponibles se van asignando a los servidores.
Este modelo funciona bien sino fuese por un pequeo detalle: la seguridad. Naturalmente que
queremos proteger los servidores de ataques, limitar los puertos o prevenir intentos de hacking.
Para eso necesitamos un firewall, pero donde lo instalamos ac? No tiene mucho sentido instalar
un firewall de hardware en este modelo, ya que se complicara todo. Por lo mismo, muchos optan
por instalar firewalls locales de software en cada uno de los servidores (iptables en Linux, por
ejemplo). Cuando hay dos o tres servidores no es problema, pero qu pasa si tenemos 20, 30, 40,
50 o 200 servidores y hay que modificar un puerto para una aplicacin, en todos ellos? Creo que
pasars unas divertidas 10 horas copiando y pegando comandos en todos los servidores. La
administracin de la seguridad se hace muy difcil al tener firewalls de software en cada servidor.
Desventajas: Se requiere un firewall de software para cada servidor. Modelo no escalable. Muy
difcil de administrar. Los firewalls de software consumen recursos importantes en los servidores.
La solucin a este dilema es mantener la seguridad centralizada en un firewall fsico, pero para eso
debemos mover los servidores dentro de nuestra infraestructura.
Tambin es comn ver este caso. La idea de proteger los servidores con un dispositivo centralizado
se puede hacer con el mismo router corporativo al hacerlo funcionar adems como un firewall
bsico (por ejemplo cuando se agregan ACLs) o bien con un firewall profesional que tambin
incluye la funcin de NAT.
En este caso tenemos un poco ms de proteccin ya que nuestro router se encargar del trabajo
de direccionamiento y seguridad. Cada servidor tendr una IP local (172.23.201.x/24) y los
usuarios de la red interna podrn acceder a sus servicios directamente en esas direcciones IP. Para
que los servidores sean vistos desde Internet, el router deber crear una poltica de NAT
esttico para cada servidor mapeando una IP pblica del rango 201.223.0.0/28.
Desventajas: Un ataque a los servidores dejara completamente vulnerable la red LAN interna. Se
debe implementar un servidor DNS de doble vista para resolver las IP internas.
Caso 3 Servidores en la DMZ
La solucin a los casos anteriores es la DMZ. Con ella creamos una interfaz nueva y una subred
independiente, pero siempre interna, para poder controlar mejor el acceso a los servidores.
La figura 4 es aclaratoria ya que podemos ver claramente cual es la idea detrs de una DMZ
finalmente. El firewall se configura con las siguientes polticas bsicas:
As se tendr una red mucho ms segura y fcil de administrar, sin exponer la LAN a un ataque
directo y centralizando las polticas en el cortafuegos. El concepto de DMZ es transversal en la
industria y todos los fabricantes lo utilizan de manera similar, por lo que esta descripcin se ajusta
a todos ellos. Para ver la configuracin en detalle de un firewall Cisco ASA (Adaptive Security
Appliance) consulta nuestro artculo al respecto