Podcast: Reproducir en una nueva ventana | Descargar
En seguridad informática denominados redes DMZ (o zona desmilitarizada) a una red perimetral donde se alojan todos los servicios de una corporación que deben ser accesibles desde Internet (servidores web, correo electrónico, servicios FTP, etc.). Esta red debería ser la única accesible desde Internet. En un entorno ideal las redes internas (la de los usuarios, intranets, etc.) pueden acceder a la DMZ mientras que los equipos que se ubican en la red DMZ sólo pueden salir a Internet pero no pueden acceder a las redes internas.
Una red DMZ no es una red externa conectada directamente a Internet, sino aquella red corporativa a la que enviamos todo el tráfico de peticiones desde Internet. Así pues la red DMZ es la red donde se ubican los servicios que ofrecemos de cara al público y, por lo tanto, será nuestra cara visible tanto para nuestros clientes como para usuarios malintencionados. Debemos tener en cuenta que todos los servicios ubicados en la red DMZ serán accesibles desde Internet y por lo tanto, tarde o temprano, atacados. Así pues las políticas de seguridad de la empresa debe hacer especial hincapié en todos los equipos que están en la red DMZ: son los que serán más atacados y, por ello, deberían ser los mejor securizados, con una correcta política de actualización, controles de acceso, protección por IDS/IPS, etc.
Aunque idealmente las redes DMZ no deberían conectar con redes internas de la empresa, la realidad es que sí hay una red a la que necesitan acceder: la red de base de datos. Generalmente las aplicaciones web modernas realizan consultas a una base de datos, de allí la existencia de los ataques por SQL Injection que vimos en los capítulos 17 y 18. Es habitual crear una segunda red para las bases de datos que sí es accesible desde la DMZ para que los servicios web puedan funcionar. las conexiones entre la red DMZ y la red de bases de datos está protegida, mínimo, por un firewall que asegura que los servidores web únicamente puedan acceder a su base de datos y exclusivamente en los puertos necesarios.
¿Por qué crear esta segunda red para bases de datos y no meterlas directamente en la DMZ? Se trata de una capa más de protección para las bases de datos. Como sabemos que en algún momento la DMZ será atacada y es posible que el atacante pueda llegar a comprometer un equipo (quizás consiguiendo una shell por una vulnerabilidad de nuestra aplicación) y desde allí moverse dentro de la red, esto comprometería las propias bases de datos aunque no tuvieran visibilidad directa desde Internet. Así está separación entre los frontales web y las bases de datos es una capa más de seguridad.