DMZ (redes)

En las redes informáticas, una DMZ (zona desmilitarizada), también conocida a veces como red perimetral o subred apantallada, es una subred física o lógica que separa una red de área local (LAN) interna de otras redes que no son de confianza, normalmente la Internet pública. Los servidores, recursos y servicios orientados al exterior se encuentran en la DMZ. Por lo tanto, son accesibles desde Internet, pero el resto de la LAN interna permanece inalcanzable. Esto proporciona una capa adicional de seguridad a la LAN, ya que restringe la capacidad de un hacker para acceder directamente a los servidores y datos internos a través de Internet.

Cualquier servicio proporcionado a los usuarios en la Internet pública debe colocarse en la red DMZ. Algunos de los servicios más comunes son los servidores web y los servidores proxy, así como los servidores de correo electrónico, el sistema de nombres de dominio (DNS), el protocolo de transferencia de archivos (FTP) y la voz sobre IP (VoIP).

Los piratas informáticos y los ciberdelincuentes de todo el mundo pueden llegar a los sistemas que ejecutan estos servicios en los servidores DMZ, que deben estar reforzados para resistir ataques constantes. El término DMZ proviene de la zona geográfica de amortiguación que se estableció entre Corea del Norte y Corea del Sur al final de la Guerra de Corea.

Arquitectura de las DMZ de red

Hay varias formas de diseñar una red con una DMZ. Los dos métodos básicos son utilizar uno o dos cortafuegos, aunque la mayoría de las DMZ modernas se diseñan con dos cortafuegos. Este enfoque básico puede ampliarse para crear arquitecturas más complejas.

Un solo cortafuegos con al menos tres interfaces de red puede utilizarse para crear una arquitectura de red que contenga una DMZ. La red externa se forma conectando la Internet pública -a través de la conexión del proveedor de servicios de Internet (ISP)- al cortafuegos en la primera interfaz de red. La red interna se forma a partir de la segunda interfaz de red y la red DMZ propiamente dicha se conecta a la tercera interfaz de red.

Diferentes conjuntos de reglas de cortafuegos para supervisar el tráfico entre Internet y la DMZ, la LAN y la DMZ, y la LAN e Internet controlan estrictamente qué puertos y tipos de tráfico se permiten en la DMZ desde Internet, limitan la conectividad a hosts específicos en la red interna y evitan las conexiones no solicitadas a Internet o a la LAN interna desde la DMZ.

El enfoque más seguro para crear una red DMZ es una configuración de doble cortafuegos, en la que se despliegan dos cortafuegos con la red DMZ colocada entre ellos. El primer cortafuegos, también llamado cortafuegos perimetral, está configurado para permitir el tráfico externo destinado a la DMZ únicamente. El segundo cortafuegos, o interno, sólo permite el tráfico de la DMZ a la red interna. Esto se considera más seguro porque dos dispositivos deben ser comprometidos antes de que un atacante pueda acceder a la LAN interna.

Los controles de seguridad pueden ser ajustados específicamente para cada segmento de red. Por ejemplo, un sistema de detección y prevención de intrusiones en la red situado en una DMZ podría configurarse para bloquear todo el tráfico excepto las peticiones HTTPS al puerto TCP 443.

Cómo funcionan las DMZ

Las DMZ están pensadas para funcionar como una especie de zona de amortiguación entre la Internet pública y la red privada. El despliegue de la DMZ entre dos cortafuegos significa que todos los paquetes de red entrantes se examinan mediante un cortafuegos u otro dispositivo de seguridad antes de que lleguen a los servidores que la organización aloja en la DMZ.

Si un actor de la amenaza mejor preparado atraviesa el primer cortafuegos, debe obtener acceso no autorizado a esos servicios antes de poder causar algún daño, y es probable que esos sistemas estén reforzados contra tales ataques.

Por último, suponiendo que un actor de la amenaza con buenos recursos sea capaz de atravesar el cortafuegos externo y tomar el control de un sistema alojado en la DMZ, aún debe atravesar el cortafuegos interno antes de poder llegar a los recursos sensibles de la empresa. Aunque un atacante decidido puede violar incluso la arquitectura DMZ mejor protegida, una DMZ bajo ataque debería hacer saltar las alarmas, dando a los profesionales de la seguridad la suficiente advertencia para evitar una violación completa de su organización.

Beneficios de las DMZ

El principal beneficio de una DMZ es que ofrece a los usuarios de la Internet pública acceso a ciertos servicios seguros mientras mantiene un buffer entre esos usuarios y la red interna privada. Los beneficios de seguridad de este buffer se manifiestan de varias maneras, incluyendo:

Control de acceso para organizaciones. Las organizaciones pueden proporcionar a los usuarios acceso a servicios situados fuera del perímetro de su red a través de la Internet pública. Una red DMZ proporciona acceso a estos servicios necesarios y al mismo tiempo introduce un nivel de segmentación de la red que aumenta el número de obstáculos que un usuario no autorizado debe sortear antes de poder acceder a la red privada de una organización. En algunos casos, una DMZ incluye un servidor proxy, que centraliza el flujo de tráfico de Internet interno -generalmente de los empleados- y hace que el registro y la supervisión de ese tráfico sean más sencillos.

Impedir que los atacantes realicen un reconocimiento de la red. Una DMZ, al actuar como un búfer, impide que un atacante pueda explorar objetivos potenciales dentro de la red. Incluso si un sistema dentro de la DMZ se ve comprometido, la red privada sigue estando protegida por el cortafuegos interno que la separa de la DMZ. También dificulta el reconocimiento externo por la misma razón. Aunque los servidores de la DMZ están expuestos públicamente, están respaldados por otra capa de protección. La cara pública de la DMZ impide que los atacantes vean el contenido de la red privada interna. Si los atacantes consiguen comprometer los servidores dentro de la DMZ, siguen estando aislados de la red privada por la barrera interna de la DMZ.

Protección contra la suplantación de IP. En algunos casos, los atacantes intentan saltarse las restricciones de control de acceso suplantando una dirección IP autorizada para hacerse pasar por otro dispositivo de la red. Una DMZ puede detener a los potenciales suplantadores de IP mientras otro servicio de la red verifica la legitimidad de la dirección IP comprobando si es alcanzable.

En cada caso, la DMZ proporciona un nivel de segmentación de la red que crea un espacio en el que se puede organizar el tráfico y se puede acceder a los servicios públicos a una distancia segura de la red privada.

Para qué se utilizan las DMZ

Las redes DMZ han sido una parte importante de la seguridad de la red empresarial durante casi tanto tiempo como los cortafuegos y, en gran parte, se despliegan por razones similares: para proteger los sistemas y recursos sensibles de la organización. Las redes DMZ pueden utilizarse para aislar y mantener los sistemas potenciales de destino separados de las redes internas, así como para reducir y controlar el acceso a esos sistemas fuera de la organización. El uso de una DMZ ha sido durante mucho tiempo el enfoque para alojar recursos corporativos para que al menos algunos de ellos estén disponibles para usuarios externos autorizados.

Más recientemente, las empresas han optado por utilizar máquinas virtuales (VM) o contenedores para aislar partes de la red o aplicaciones específicas del resto del entorno corporativo. Las tecnologías en la nube han eliminado en gran medida la necesidad de que muchas organizaciones tengan servidores web internos. Muchas de las infraestructuras de cara al exterior que antes se encontraban en la DMZ de la empresa han migrado a la nube, como las aplicaciones de software como servicio (SaaS).

Ejemplos de DMZ

Algunos servicios en la nube, como Microsoft Azure, implementan un enfoque de seguridad híbrido en el que se implementa una DMZ entre la red local de una organización y la red virtual. Este enfoque híbrido se suele utilizar en situaciones en las que las aplicaciones de la organización se ejecutan en parte en las instalaciones y en parte en la red virtual. También se utiliza en situaciones en las que es necesario auditar el tráfico saliente, o cuando se requiere un control granular del tráfico entre la red virtual y el centro de datos local.

Una DMZ también puede ser útil en una red doméstica en la que los ordenadores y otros dispositivos se conectan a Internet mediante un router de banda ancha y se configuran en una red de área local. Algunos routers domésticos incluyen una función de host DMZ, que se puede contrastar con la subred DMZ más comúnmente implementada en organizaciones con muchos más dispositivos que los que se encontrarían en un hogar. La función de host DMZ designa un dispositivo de la red doméstica para que funcione fuera del cortafuegos, donde actúa como DMZ, mientras que el resto de la red doméstica se encuentra dentro del cortafuegos. En algunos casos, se elige una consola de juegos como anfitrión DMZ para que el cortafuegos no interfiera con los juegos. Además, la consola es un buen candidato para un host DMZ porque probablemente contenga menos información sensible que un PC.

Además del uso selectivo en el hogar y en la nube, las DMZ ofrecen una solución potencial a los riesgos de seguridad que plantea la creciente convergencia de TI y OT (tecnología operativa). Los equipos industriales, como los motores de turbina o los sistemas de control industrial, se están fusionando con las tecnologías de la información, lo que hace que los entornos de producción sean más inteligentes y eficientes, pero también crea una mayor superficie de amenaza. Gran parte de los equipos de OT que se conectan a Internet no están diseñados para hacer frente a los ataques de la misma manera que los dispositivos de TI.

La vulneración de la OT también es potencialmente más peligrosa que la de la TI. Las violaciones de las tecnologías de la información pueden conducir a la interrupción de infraestructuras críticas, a la pérdida de un valioso tiempo de producción e incluso a la amenaza de la seguridad de las personas, mientras que una violación de las tecnologías de la información pone en peligro la información. La infraestructura de TI también puede recuperarse normalmente de los ciberataques con una simple copia de seguridad, a diferencia de la infraestructura de OT, que a menudo no tiene forma de recuperar el tiempo de producción perdido o los daños físicos.

Por ejemplo, en 2016 una compañía eléctrica con sede en Estados Unidos fue atacada por un ransomware que afectó a sus dispositivos de OT e impidió que muchos de sus clientes recibieran energía. La empresa no tenía una DMZ establecida entre sus dispositivos de TI y OT, y sus dispositivos OT no estaban bien equipados para manejar el ransomware una vez que los alcanzó. Esta brecha afectó profundamente a la infraestructura de la compañía eléctrica y a multitud de clientes que dependían de su servicio.

Una DMZ habría proporcionado una mayor segmentación de la red (tanto dentro de la propia red de OT como entre las redes de OT y de TI) y podría haber frenado los daños indirectos que el ransomware causó en el entorno industrial.