1. ¿Qué es exactamente una DMZ?
Es una red local aislada (una «subred») que se sitúa entre la red interna de una organización (la cual debe ser privada y segura) y una red externa no confiable (Internet).
Su función principal es permitir que los usuarios externos accedan a ciertos servicios sin que ello les otorgue permiso para entrar en la red interna donde residen los datos sensibles, los equipos de los empleados o los controladores de dominio.
2. Tipos de Arquitecturas de DMZ
Existen dos formas principales de implementar esta zona según la infraestructura de cortafuegos:
- Cortafuegos de tres patas (Single Firewall): Un solo dispositivo físico gestiona tres redes distintas mediante interfaces separadas: una para Internet, otra para la Red Local (LAN) y una tercera para la DMZ. Es la solución más común y económica.
- Cortafuegos en serie (Back-to-back): Se utilizan dos cortafuegos. El primero permite el tráfico desde Internet hacia la DMZ. El segundo permite el tráfico desde la DMZ hacia la red interna. Esta arquitectura es más segura porque, si el primer cortafuegos es comprometido, el atacante aún debe superar un segundo nivel de seguridad para llegar a la red interna.
3. Ejemplos Prácticos de Configuración de Reglas
Siguiendo el punto de «Definición de reglas» de tu documento, así es como se configurarían los flujos en una DMZ típica:
Ejemplo A: Servidor Web (HTTP/HTTPS)
- Escenario: Tienes una página web corporativa.
- Regla de entrada: Se permite el tráfico desde Internet hacia la IP del servidor en la DMZ por los puertos 80 y 443.
- Seguridad: Si un atacante logra hackear el servidor web, se queda «atrapado» en la DMZ. El cortafuegos bloquea cualquier intento del servidor web de iniciar una conexión hacia la red interna de la oficina.
Ejemplo B: Servidor de Correo (SMTP)
- Escenario: Recibes correos desde el exterior.
- Regla de entrada: Internet puede enviar datos al servidor de correo en la DMZ (Puerto 25).
- Regla de salida controlada: El servidor de correo de la DMZ puede enviar datos al servidor de correo interno (para que los empleados lean sus mensajes), pero solo a través de un puerto específico y una IP concreta, nunca acceso total.
4. ¿Qué servicios se suelen poner en una DMZ?
- Servidores Web (HTTP/HTTPS).
- Servidores de Correo (SMTP).
- Servidores DNS externos.
- Servidores FTP públicos.
- Proxies inversos.
Ampliación: La monitorización en la DMZ
Como menciona tu documento en el apartado de Monitorización con herramientas SIM/SIEM, el tráfico hacia la DMZ es el que más alertas genera. Los cortafuegos suelen registrar constantes intentos de escaneo de puertos y ataques de fuerza bruta en esta zona. Por ello, es vital monitorizar el «exceso de tráfico denegado» hacia la IP de la DMZ, ya que indica que alguien está intentando activamente encontrar una vulnerabilidad en esos servidores expuestos.
