LA DMZ

En primer lugar hay que tener claro que la nica idea de una DMZ es tener servidores que sean
accesibles desde Internet y que fsicamente estn instalados en nuestra red. El problema se
genera cuando la compaa tiene servidores locales que deben ser accesibles desde Internet y el
administrador de redes o encargado de la infraestructura se comienza a preguntar cmo y donde
los instalar. Veamos un ejemplo prctico de los casos tpicos.

Caso 1 Servidores instalados fuera de la red

Este es probablemente uno de los casos ms tpicos ya que no requiere muchos conocimientos ni
tampoco se requiere invertir en dispositivos de seguridad. Muchas compaas optan por instalar
sus servidores con una direccin IP pblica directa en cada una de las mquinas para que sean
visibles desde Internet. As, del rango disponible, una IP se configura en el router que har NAT en
toda la red LAN y el resto de las IP disponibles se van asignando a los servidores.

Figura 1 Servidores instalados fuera de la red

Este modelo funciona bien sino fuese por un pequeo detalle: la seguridad. Naturalmente que
queremos proteger los servidores de ataques, limitar los puertos o prevenir intentos de hacking.
Para eso necesitamos un firewall, pero donde lo instalamos ac? No tiene mucho sentido instalar
un firewall de hardware en este modelo, ya que se complicara todo. Por lo mismo, muchos optan
por instalar firewalls locales de software en cada uno de los servidores (iptables en Linux, por
ejemplo). Cuando hay dos o tres servidores no es problema, pero qu pasa si tenemos 20, 30, 40,
50 o 200 servidores y hay que modificar un puerto para una aplicacin, en todos ellos? Creo que
pasars unas divertidas 10 horas copiando y pegando comandos en todos los servidores. La
administracin de la seguridad se hace muy difcil al tener firewalls de software en cada servidor.

Ventajas: Fcil configuracin. No requiere implementar cortafuegos fsico. Si un servidor sufre un

ataque la red LAN no estar comprometida.

Desventajas: Se requiere un firewall de software para cada servidor. Modelo no escalable. Muy
difcil de administrar. Los firewalls de software consumen recursos importantes en los servidores.
La solucin a este dilema es mantener la seguridad centralizada en un firewall fsico, pero para eso
debemos mover los servidores dentro de nuestra infraestructura.

Caso 2 Servidores instalados en la LAN

Tambin es comn ver este caso. La idea de proteger los servidores con un dispositivo centralizado
se puede hacer con el mismo router corporativo al hacerlo funcionar adems como un firewall
bsico (por ejemplo cuando se agregan ACLs) o bien con un firewall profesional que tambin
incluye la funcin de NAT.

Figura 2 Servidores instalados dentro de la LAN

En este caso tenemos un poco ms de proteccin ya que nuestro router se encargar del trabajo
de direccionamiento y seguridad. Cada servidor tendr una IP local (172.23.201.x/24) y los
usuarios de la red interna podrn acceder a sus servicios directamente en esas direcciones IP. Para
que los servidores sean vistos desde Internet, el router deber crear una poltica de NAT
esttico para cada servidor mapeando una IP pblica del rango 201.223.0.0/28.

Con este modelo solucionamos el problema de la complejidad de la administracin de seguridad

ya que esta se realizara solamente en un dispositivo centralizado, pero ponemos en riesgo toda la
red local que debe ser privada y protegida de accesos internos ya que si un hacker logra vulnerar
uno de los servidores, tendr acceso directo a la LAN.

Ventajas: Facilidad de administracin de seguridad. Movilidad de las direcciones IP pblicas. Los

usuarios acceden a los servicios directamente.

Desventajas: Un ataque a los servidores dejara completamente vulnerable la red LAN interna. Se
debe implementar un servidor DNS de doble vista para resolver las IP internas.
Caso 3 Servidores en la DMZ

La solucin a los casos anteriores es la DMZ. Con ella creamos una interfaz nueva y una subred
independiente, pero siempre interna, para poder controlar mejor el acceso a los servidores.

Figura 3 Servidores en una DMZ

Aqu conviene instalar un firewall corporativo de hardware en vez de agregarle funciones de

seguridad a un router estndar, ya que el primero es un dispositivo completamente diseado y
preparado para este tipo de tareas.

La DMZ es una subred independiente, separada de la LAN y de Internet (que en el mundo de

firewalls se conoce como outside). Al crear una DMZ se puede configurar el firewall para crear
reglas especficas de seguridad y NAT que permitan el trfico proveniente de Internet solamente
hacia esa zona. El NAT esttico estara asociado entre las IP pblicas y las IP asignadas a cada
servidor en la DMZ. As, si un hacker vulnera la seguridad de uno de los servidores, este no tendra
acceso a la red LAN corporativa. Para eso es clave entender como se deben crear las reglas de
trfico y como se deben definir los perfiles de seguridad entre las zonas outside, LAN (o inside) y
DMZ.
 Figura 4 Flujo de trfico usando DMZ

La figura 4 es aclaratoria ya que podemos ver claramente cual es la idea detrs de una DMZ
finalmente. El firewall se configura con las siguientes polticas bsicas:

Origen Destino Poltica

Outside DMZ Permitido

Outside Inside Denegado

DMZ Outside Permitido

DMZ Inside Denegado

Inside Outside Permitido

Inside DMZ Permitido

As se tendr una red mucho ms segura y fcil de administrar, sin exponer la LAN a un ataque
directo y centralizando las polticas en el cortafuegos. El concepto de DMZ es transversal en la
industria y todos los fabricantes lo utilizan de manera similar, por lo que esta descripcin se ajusta
a todos ellos. Para ver la configuracin en detalle de un firewall Cisco ASA (Adaptive Security
Appliance) consulta nuestro artculo al respecto