Una zona desmilitarizada (DMZ) es un segmento de red que está separado de otras redes. Muchas organizaciones los utilizan para separar sus redes de área local (LAN) de Internet. Esto agrega seguridad adicional entre su red corporativa y la Internet pública. También se puede usar para separar una máquina en particular del resto de una red, moviéndola fuera de la protección de un firewall.
Usos frecuentes
Los elementos comunes que se colocan en una DMZ son servidores públicos. Por ejemplo, si una organización mantiene su sitio web en un servidor, ese servidor web podría colocarse en una computadora «Zona desmilitarizada». De esta manera, si un ataque malintencionado compromete la máquina, el resto de la red de la empresa permanece a salvo del peligro. Alguien también puede colocar una computadora en una DMZ fuera de una red para probar los problemas de conectividad creados por un firewall que protege el resto del sistema.
Configuración y funcionalidad del enrutador
Al conectar una LAN a Internet, un enrutador proporciona una conexión física a la Internet pública y el software de firewall ofrece una puerta de enlace para evitar que ingresen datos maliciosos a la red. Un puerto del cortafuegos a menudo se conecta a la red mediante una dirección interna, lo que permite que el tráfico que envían las personas llegue a Internet. Otro puerto suele estar configurado con una dirección pública, lo que permite que el tráfico de Internet llegue al sistema. Estos dos puertos permiten que los datos entrantes y salientes se comuniquen entre la red e Internet.
Propósito de una zona desmilitarizada
Al crear una DMZ, una organización agrega otro segmento de red o subred que todavía es parte del sistema, pero que no está conectado directamente a la red. La adición de una DMZ hace uso de un tercer puerto de interfaz en el firewall. Esta configuración permite que el cortafuegos intercambie datos tanto con la red general como con la máquina aislada mediante la traducción de direcciones de red (NAT). El cortafuegos no suele proteger el sistema aislado, lo que le permite conectarse más directamente a Internet.
Funcionalidad NAT
La traducción de direcciones de red permite que los datos recibidos en un puerto o interfaz determinados se enruten a una red específica. Por ejemplo, cuando alguien visita el sitio web de una organización, el navegador se envía al servidor que aloja el sitio. Si esta organización mantiene su servidor web en una DMZ, el firewall sabe que todo el tráfico enviado a la dirección asociada con su sitio web debe pasar al servidor ubicado en la DMZ, en lugar de directamente a la red interna de la organización.
Inconvenientes y otros métodos
Dado que la computadora DMZ se encuentra fuera de la protección del firewall, puede ser vulnerable a ataques de programas maliciosos o piratas informáticos. Las empresas y las personas no deben almacenar datos confidenciales en este tipo de sistema y saber que una máquina de este tipo puede potencialmente corromperse y «atacar» al resto de la red. Muchos profesionales de redes recomiendan el «reenvío de puertos» para las personas que experimentan problemas de conexión o redes. Esto proporciona acceso específico y dirigido a ciertos puertos de red, sin abrir un sistema por completo.