Cortafuegos y zona desmilitarizada

Para minimizar los riesgos derivados de un servidor con acceso desde Internet que pudiera comprometer la seguridad de la organización.

Se debe utilizar un cortafuegos o firewall y una red local denominada zona desmilitarizada o DMZ (por su traducción del inglés, Demilitarized Zone).

Una configuración errónea de una red en una organización que cuenta con un servidor de correo y un servidor web, sería la siguiente.

Riesgos de utilizar servidores propios

Cuando se permite el acceso desde Internet a una página web, servidor de correo, servidor de ficheros, red privada virtual, etc., aumenta el riesgo de sufrir un incidente de seguridad.

Si un ciberdelincuente consigue vulnerar la seguridad de uno de estos servidores, podría comprometer el resto de dispositivos conectados a la red, incluso aquellos que no son accesibles desde Internet.

Un acceso no deseado podría derivar en una infección por ransomware, comunicaciones espiadas, ficheros robados, caídas de servicio, etc.

¿Qué es un cortafuegos?

Los cortafuegos o firewall son unos dispositivo de seguridad cuya función principal es la de filtrar el tráfico de red entrante y saliente por medio de una serie de reglas, que permitirán su paso o lo rechazarán.

Una vez que una comunicación llega al cortafuegos, por ejemplo una petición al servidor web de la empresa, esta podrá ser aceptada o rechazada, según se hayan configurado las reglas.

Este tipo de herramientas pueden ser tanto dispositivos específicos dedicados, o software, como el integrado por defecto en el sistema operativo.

Los dispositivos dedicados, por lo general, cuentan con más capacidades de procesamiento que los basados en software, ya que se han diseñado específicamente para esa tarea, aunque por el contrario, su coste económico es superior.

Si un ciberdelincuente comprometiera un servidor de la zona desmilitarizada, tendría muchos más complicado acceder a la red local de la organización, ya que las conexiones procedentes de la DMZ se encuentran bloqueadas.

¿Qué es una zona desmilitarizada?

Una zona desmilitarizada es una red aislada que se encuentra dentro de la red interna de la organización.

En ella se encuentran ubicados exclusivamente todos los recursos de la empresa que deben ser accesibles desde Internet, como el servidor web o de correo.

Por lo general, una DMZ permite las conexiones procedentes tanto de Internet, como de la red local de la empresa donde están los equipos de los trabajadores, pero las conexiones que van desde la DMZ a la red local, no están permitidas.

Esto se debe a que los servidores que son accesibles desde Internet son más susceptibles a sufrir un ataque que pueda comprometer su seguridad.

Configuración básica de un firewall con DMZ

Para configurar una zona desmilitarizada en la red de la organización, es necesario contar con un cortafuegos o firewall.

Este dispositivo, será el encargado de segmentar la red y permitir o denegar las conexiones.

En la siguiente tabla, de manera somera, se muestra el tipo de conexiones recomendables que permitiría o denegaría el firewall dependiendo su origen y destino:

Doble firewall

No obstante, si se quiere aumentar aún más la seguridad de la red interna frente a un ataque proveniente de la DMZ, se pueden ubicar dos firewall.

Ir al contenido