La Zona Desmilitarizada (DMZ)

Hace un tiempo, tuve oportunidad de revisar los resultados de una auditoría realizada a una empresa de mediano tamaño, en los mismos observé que se hacía un énfasis en realizar pruebas de penetración al servidor Web -ubicado en la DMZ- y se obviaba casi por completo la realización de pruebas del mismo tipo al servidor de base de datos, puesto que se consideraba que se encontraba en la zona “segura”, a diferencia del servidor Web el cual era accesible desde Internet. El servidor de base de datos estaba en la misma subred que el resto de los equipos de la red interna, a merced de que cualquier empleado malintencionado se hiciera con los datos, lo cual en efecto, llegó a ocurrir al tiempo.

En ciertos casos, he observado que el concepto de Zona Desmilitarizada es entendido erróneamente como la zona que se ha de proteger más, puesto que es la zona que se encuentra accesible y expuesta públicamente a Internet.

Antes que nada, busquemos la definición de la palabra “desmilitarizada”. Según el diccionario de la lengua española, “Desmilitarizar” significa:

1. Suprimir la organización o el carácter militar de una colectividad
2. Reducir o suprimir el sometimiento a la disciplina militar
3. Desguarnecer de tropas e instalaciones militares un territorio, obedeciendo a un acuerdo
   

Por lo cual, se podría inferir que en dicha zona habría poca o nula actividad de fuerzas de seguridad protegiendo la zona, sin embargo, a veces se entiende exactamente a la inversa: proteger la zona a toda costa implementando la mayor cantidad de controles de seguridad posibles.

Creo que esto puede darse por dos razones, primero, al escuchar la palabra “Militar” al oyente descuidado le puede parecer que más bien debe haber un reforzamiento de la seguridad, segundo, comúnmente he observado que se traduce equivocadamente la palabra “Demilitarized” del Inglés a “Demilitarizada” (sin la letra “s”), esto, por insignificante que parezca le quita toda la connotación a la palabra, puesto que el prefijo “des” en el idioma español precisamente denota la negación o la inversión del significado de la palabra que antecede; al utilizar “de” en lugar de “des” más bien puede entenderse que se pretende una “Demarcación militar” y de nuevo un reforzamiento de los controles de seguridad.

Entonces, supongamos que la DMZ es la zona donde debe desplegarse la mayor cantidad de batallones de infantería y cuerpos de la armada, entonces... ¿qué habría de protegerse en esta zona?

En realidad, el propósito de una DMZ es agregar una capa adicional de seguridad a la red interna, no a la DMZ misma. En caso de violar la seguridad inicial, un atacante quedaría limitado y solo tendría acceso a los equipos de la DMZ con poca probabilidad de acceder a la red interna. Los servidores de esta red sin duda recibirán ataques y probablemente algunos tendrán éxito y la zona se verá comprometida, sin embargo, ésta es realmente la función de la zona, contener los ataques y evitar que traspasen el perímetro hacia dentro de la red interna.

Ahora bien, no significa con esto que los servidores que ubiquemos en la zona desmilitarizada estarán totalmente desprotegidos, pero, puesto que esta zona por definición es terreno de nadie, obviamente, los servidores puestos aqui no deben ser servidores críticos para el negocio, por ejemplo, un servidor de base de datos definitivamente no debería encontrarse en esta zona. Los servicios colocados en esta zona han de ser mayormente transaccionales, tales como servidores proxy, servidores Web o servidores de transferencia de correo; idealmente no debe haber depósitos de información tales como bases de datos o el correo privado de los usuarios, por lo cual en esta zona puede encontrarse distintos tipos de servicios intermediarios que inspeccionen el tráfico a nivel de aplicación entre la zona privada (protegida) y la zona pública (Internet), por ejemplo, firewalls de aplicación, antispam, servicios proxy Web y proxy inverso.

La DMZ es como el patio delantero de tu casa, el cual forma parte de tu propiedad y en donde tal vez puedas dejar una que otra cosa que no te importe compartir con el vecino, sin embargo, cualquier objeto de valor estará más seguro dentro de la casa. Y más aún, dentro de la casa, deberás guardarlo en una caja fuerte, protegido con candado y al cuidado de un vigilante a tiempo completo. Ha de recordarse que el objetivo principal es proteger las joyas de la corona, no la fortaleza en sí misma, así, por supuesto que hay que proteger el servidor Web que sirve de interfaz, pero la prioridad es y será proteger la información en la base de datos.