¿Para qué sirve la DMZ en un router inalámbrico doméstico?

La DMZ es buena si quieres ejecutar un servidor doméstico al que se pueda acceder desde fuera de tu red doméstica (es decir, servidor web, ssh, vnc u otro protocolo de acceso remoto). Normalmente querrás ejecutar un cortafuegos en la máquina del servidor para asegurarte de que sólo los puertos que se desean específicamente tienen acceso desde ordenadores públicos.

Una alternativa al uso de la DMZ es configurar el reenvío de puertos. Con el reenvío de puertos puedes permitir sólo puertos específicos a través de tu router y también puedes especificar que algunos puertos vayan a diferentes máquinas si tienes varios servidores corriendo detrás de tu router.

Por favor, tenga cuidado. La DMZ en un entorno corporativo/profesional (con cortafuegos de alta gama) no es lo mismo que para un router inalámbrico doméstico (u otros routers NAT para uso doméstico). Es posible que tenga que utilizar un segundo router NAT para obtener la seguridad esperada (ver el artículo más abajo).

En el episodio 3 del podcast Security Now de Leo Laporte y el gurú de la seguridad Steve Gibson se habló de este tema. En la transcripción ver cerca de “tema realmente interesante porque es la llamada "DMZ”, la Zona Desmilitarizada, como se llama en los routers".

De Steve Gibson, http://www.grc.com/nat/nat.htm :

“Como puedes imaginar, la máquina "DMZ” de un router, e incluso una máquina “redirigida por puerto” necesita tener una seguridad sustancial o estará repleta de hongos de Internet en poco tiempo. Eso es un GRAN problema desde el punto de vista de la seguridad. ¿Por qué? … un router NAT tiene un switch Ethernet estándar que interconecta TODOS sus puertos del lado LAN. No hay nada “separado” en el puerto que aloja la máquina especial “DMZ”. Está en la LAN interna. Esto significa que cualquier cosa que pueda entrar en él a través de un puerto del router reenviado, o debido a que es el anfitrión de la DMZ, tiene acceso a cualquier otra máquina en la LAN privada interna. (Eso es realmente malo.)“

En el artículo también hay una solución a este problema que implica el uso de un segundo router NAT. Hay algunos diagramas muy buenos para ilustrar el problema y la solución.

Una DMZ o “zona desmilitarizada” es el lugar en el que se pueden instalar servidores u otros dispositivos a los que se debe acceder desde fuera de la red.

¿Qué es lo que debe estar ahí? Servidores web, servidores proxy, servidores de correo, etc.

En una red, los hosts más vulnerables a los ataques son los que proporcionan servicios a los usuarios fuera de la LAN, como los servidores de correo electrónico, web y DNS. Debido a la mayor posibilidad de que estos hosts se vean comprometidos, se colocan en su propia subred para proteger al resto de la red si un intruso tuviera éxito. Los hosts de la DMZ tienen una conectividad limitada a hosts específicos de la red interna, aunque se permite la comunicación con otros hosts de la DMZ y con la red externa. Esto permite a los hosts de la DMZ proporcionar servicios tanto a la red interna como a la externa, mientras que un cortafuegos intermedio controla el tráfico entre los servidores de la DMZ y los clientes de la red interna.

En las redes informáticas, una DMZ (zona desmilitarizada), también conocida a veces como red perimetral o subred blindada, es una subred física o lógica que separa una red de área local (LAN) interna de otras redes que no son de confianza, normalmente Internet. Los servidores, recursos y servicios orientados al exterior se encuentran en la DMZ. Así, son accesibles desde Internet, pero el resto de la LAN interna permanece inalcanzable. Esto proporciona una capa adicional de seguridad a la LAN, ya que restringe la capacidad de los hackers para acceder directamente a los servidores y datos internos a través de Internet.