Que es una DMZ?

dmz.jpgUna DMZ (del inglés Demilitarized zone) o Zona DesMilitarizada. Una zona desmilitarizada (DMZ) o red perimetral es una red local que se ubica entre la red interna de una organización y una red externa, generalmente Internet.

El objetivo de una DMZ es que las conexiones desde la red interna y la externa a la DMZ estén permitidas, mientras que las conexiones desde la DMZ sólo se permitan a la red externa, es decir: los equipos locales (hosts) en la DMZ no pueden conectar con la red interna.

Esto permite que los equipos (hosts) de la DMZ's puedan dar servicios a la red externa a la vez que protegen la red interna en el caso de que intrusos comprometan la seguridad de los equipos (host) situados en la zona desmilitarizada. Para cualquiera de la red externa que quiera conectarse ilegalmente a la red interna, la zona desmilitarizada se convierte en un callejón sin salida.

La DMZ se usa habitualmente para ubicar servidores que es necesario que sean accedidos desde fuera, como servidores de e-mail, Web y DNS.

Esto se ve muchísimo más claro en un esquema:

dmz

Las conexiones que se realizan desde la red externa hacia la DMZ se controlan generalmente utilizando port address translation (PAT).

Habitualmente una configuración DMZ es usar dos cortafuegos, donde la DMZ se sitúa en medio y se conecta a ambos cortafuegos, uno conectado a la red interna y el otro a la red externa. Esta configuración ayuda a prevenir configuraciones erróneas accidentales que permitan el acceso desde la red externa a la interna. Este tipo de configuración también es llamado cortafuegos de subred monitoreada (screened-subnet firewall).

Origen del término:

El término zona desmilitarizada es tomado de la franja de terreno neutral que separa a ambas Coreas, y que es una reminiscencia de la Guerra de Corea, aún vigente y en tregua desde 1953. Paradójicamente, a pesar de que esta zona desmilitarizada es terreno neutral, es una de las más peligrosas del planeta, y por ello da nombre al sistema DMZ.

Un término relacionado directamente con esta tecnlogía es el llamado equipo bastión, éste, normalmente a través de dos tarjetas de red (interfaces) mantiene aislada la red local de la red externa, es decir, la LAN de la WAN.

En pocas palabras, un PC con dos patitas. :D

Esta explicación es una transcripción de la wikipedia, con partes de mi cosecha.

Per es perfecto para tener una nota rápida con un esquema claro.

38 Comments

  • Kimet dice:

    Decir sólamente que un equipo con 2 (o +) tarjetas de red se suele llamar "multihomed".

  • Solusan dice:

    The Litle green dwarf (-t) Dice
    La DMZ es para marietas!!!
    [...]

    :D

    Ahí ahí!! argumentando!

    Salud!!

  • Tal como decía mi gran maestro إبليس, el sistema más seguro y fiable es aquel que esta apagado, así pues, para un sistema apagado, no hace falta una DMZ.

    Por otro lado la DMZ no es más que una obligación impuesta por las necesidades de los usuarios de acceder a ciertos servicios y el peligro exponer algunos de los sistemas necesarios para estos servicios a la incompetencia e inutilidad de estos mismos usuarios. Justificar que un equipo ha de estar en la DMZ es como decir que el administrador de esa máquina no es capaz de controlarlas e impedir su mal uso.

    Se empieza poniendo una DMZ y se acaba retrocediendo y cediendo terreno ante cualquier intento de ataque, asímilación o posesión infernal...

  • Solusan dice:

    Ergo:

    Una DMZ es la forma de que un administrados de redes pueda tener vida propia :D

  • Richard, humildemente dice:

    Estimados todos,

    como la mayoría de los redactores y lectores de estos posts, yo también he sido administrador de una DMZ. La explicación es clara y concisa, por lo que no daré más detalles. Sin embargo, sí me gustaría dar mi opinión sobre algún comentario que se ha hecho, en concreto sobre los marietas.
    Una DMZ es un elemento imprescindible en toda red con acceso externo. Su uso, más allá de ser de cobardes, es de gente inteligente. De todos es sabido que los ataques son continuos, por lo que un sistema de defensa es lícito y recomendable. Un par de ejemplos:
    - Los policías llevan chalecos antibalas. Saben que les van a disparar. No creo que sea bueno decirles: 'un chaleco indica que no eres capaz de impedir y controlar el mal uso de las balas de tus atacantes'. Ridículo.
    - Los coches llevan airbags, abs, incluso limpiaparabrisas. 'Evita la lluvia' no es un gran argumento para quitarlos. Tampoco es criticable que el airbag sea para corregir el mal uso de los choques frontales.
    En cualquier caso, y para no extenderme, un sistema de seguridad pasiva en un mundo de ataque activo es más que recomendable. Y si esto es suficiente para que te tilden de 'cobarde', sólo tengo que añadir: La historia la escriben los cobardes, pues los valientes mueren. Y más concretamente: siempre hay un intruso más listo que el administrador valiente (temerario, diría yo) que no usa DMZ. Y no sólo uno más listo, sino seguramente miles. El administrador valiente está todo el día revisando posibles ataques, mientras que el 'cobarde' pasa el fin de semana con los amigos, tomándose sus cervezas, tranquilo de que sus sistemas están protegidos.

  • Que grata sorpresa, ya era hora que alguien dijera algo en serio!!! Únicamente decirte que tienes toda la razón, siempre que tengas la mínima seriedad y te preocupes por tus sistemas. Si ese no es el caso, PASA DE DMZ Y DIVIERTETE CON EL ESPECTÁCULO!!! (la destrucción en vano no tiene gracia, así que como mínimo intenta aprender algo)

  • Juver dice:

    Tengo un problema y son conexiones intermitentes y lentas desde una Web en .NET que se conecta a una base de datos en SQL Server usando el puerto 1433, todo funcionaba de maravilla hasta que instalaron una DMZ, ahora la Web solo esta disponible por momentos, supongo que se satura la red con un cierto numero de conexiones abiertas, yo creo que si no se tiene idea de cómo configurar una DMZ mejor informarse o te echaran a los leones.

  • ¿Echar a los leones al técnico de sistemas? discrepo en tu veredicto de derecho romano (la versión original, no la actual que se imparte en los actuales estudios de derecho).

    ¡¡¡Lo de "suponer" lo he escuchado demasiadas veces y siempre culpa a la conexión!!!. En mi experiencia y en defensa del técnico, a cuantos webmasters, diseñadores, programadores y otros componentes de la gran familia que formamos nuestra gran apreciada empresa, de cuyo nombre no quiero acordarme, habría yo arrancado sus entrañas ante la frase "falla la conexión" para justificar grandes animaladas perpetuadas. Algunas que ahora mismo me vienen a la cabeza son, conexiones contra la base de datos que no se cerraban y quedaban abiertas colapsando el sistema, módulos de gestión de portales con opciones de autodestrucción si no se pasaban parámetros, imágenes de alta definición y tamaño para minúsculos iconos en la página principal, etc...

    En fin, una solución rápida al problema de los cortes es poner una nota en la página informando de la disponibilidad horaria de la página a los usuarios (para grandes males, grandes remedios) y con esto no llegamos a la necesidad de usar la violencia contra ninguno de los integrantes de la gran familia empresarial...

  • Solusan dice:

    Lo que tu propones es un 'workaround' viene documentado en ITIL

    ;)

  • gustavo dice:

    hola. a ver gente. tengo un problemita y no logro entender el tema DMZ... si quiero que puedan acceder a mi pc tengo que desactivar el DMZ? estoy haciendo pruebas con apache y no pueden ver la pagina ni a palos. esto me pasa con ARNET con fibertel no tengo problema (ADSL es nuevo para mi) uso no-ip por el tema de las ip no fijas... alguna ayuda? gracias.

  • Gonzalo dice:

    Si actico una direccion ip en mi router en la DMZ se abriran mas facil los puertos o que tengo que hacer cuando he probado todo!!!!

  • Anonimo dice:

    Gonzo, yo cuando he probado todo .... salgo a la calle de nuevo y cambio de pasteleria. :D

  • anderson dice:

    Haber amigos, no he podido entender loq ue han queri decir sobre DMZ, la verdad quiciera saber si tener una DMZ es recomendablñe o no y por que, ya que en la empresa en la que trabajo me han hablado sobre el DMZ y no saben que hacer si ponerlo o dejar las cosas asiy la verdad yo quiciera intentarlo poner o instalar en el pc mio qu esta en vista, se les agradeceria una respuesta concreta y rapida muchas gracias

  • Karel dice:

    OK people, necesito , al igual que todos o casi todos los que acuden acá , saber (en otras palabras aprender todo lo que pueda) acerca de DMZ, ya he estado investigando, pero necesito cosas mas aterrizadas, mas concretas... Ej: 1.- Filosofías de funcionamiento; 2.-Utilidades, facilidades de uso; 3.- configuraciones mas utilizadas; 4.-modos de configuración; 5.-Equipos y soporte; etc...

    Y si vale, ya sé que de seguro soy una molestia, pero es que estoy más perdido que una vaca en un cine.. Y en definitiva es para eso que estamos acá no??... Para ayudarnos...

    A cualquiera que pueda tirar un cable que por favor me escriba al mail [email protected], vale??!

    Gracias...
    Salu2
    KC

  • Pasqui dice:

    Un artículo muy interesante.

  • a leer dice:

    Instalar una dmz en vista interesante¡¡¡¡¡¡¡ ;)

  • "a leer" eso es un reto?? retas a alguien a instalar una dmz en windows en la dmz, en el router o desde un cliente windows

    es que a veces hay que especificar mas ... ya sabes como en el chiste de la policia de carreteras ;)

  • Solusan dice:

    ... qué chiste es?

    Hay que reconocer que la frase de "a leer" es ambigua y sin signos de puntuación, es como decir:

    - deme cuarto y mitá de neuronas interesante!!!!
    :?

  • diego dice:

    Hola tengo un problema, estoy instalando un sistema de seguridad de camaras y este sistema tiene la opcion de vision remota por medio de una direccion ip, mas o menos son como camaras ip, he activado DMZ y he puesto la direccion ip de las camaras para que pueda acceder desde el internet, si pongo la direccion ip local de las camaras las puedo ver (solo desde mi lan) pero si quiero ver desde fuera con la direccion ip publica no me permite ver....alguna idea o sugerencia

  • Julian dice:

    Hoy en dia parece ser que la DMZ es la solucion a todos los problemas y nos estamos olvidadndo para que se usa realmente.

    La DMZ se usa en grandes empresas y coporaciones las cuales tienen que ofrecer multiples servicios de conexion a otras empresas y las reglas en el firewall y el enrutado, se hace demasiado completo.

    En opinion, utilzar una DMZ para servicios caseros es matar moscas a cañonazos, lo mejor es redirigir los puertos atraves de nat.

  • Carlos dice:

    Muchas gracias por el articulo y la explicación, me queda claro el termino.

  • Nacho dice:

    me podrian explicar por favor como se desactiva el dmz?
    POR FAVOR! estoy en una urgencia!

  • Alala dice:

    Tan todos de cabeza!
    DMZ es PARA GRANDES REDES Y NI SIQUIERA ES NECESARIA A VECES

  • ANONIMO dice:

    ESTA RED ES CONFIABLE?
    Y CUALES SON SUS VENTAJAS Y DESVENTAJAS

  • juan dice:

    necesito quien me ayude a montar una dmz,

  • Lisbeth dice:

    Saludos amigos, quisiera que me indiquen como puedo instalar una DMZ en mi red, cuales son los pasos que deberia seguir y si es una DMZ multiplataforma muchisismo mejor.

    Gracias.

  • carlos dice:

    entendido que es DMZ, pero tus conceptos no ilustran muy bien como interactua en una red

  • [...] y enviar Spam, Pedofilia, etc (imaginen el quilombo en que nos veríamos metido) 5) Habilitar el DMZ (se mira la tabla de ips habilitadas por DHCP y se prueba habilitando el DMZ a cada ip) de esta [...]

  • rejonathan dice:

    jajajaja todo es un caso, primero pork quieren instalar un DMZ en vista, jajajaj bueno eso es a falta de información... que se hace

    bueno a mi parecer un DMZ es para una seguridad extrema, como para una corporación que brinda diversos servicios y no para casa... pero no esta de mas aprender....

  • jvianel dice:

    Srs. KAREL tiene razón, en verdad ya todos los que han visto este foro están conciente del termino y de su uso, pero vamos al grano : Ej: 1.- Filosofías de funcionamiento; 2.-Utilidades, facilidades de uso; 3.- configuraciones mas utilizadas; 4.-modos de configuración; 5.-Equipos y soporte; etc…

    gracias!!!!!!!!!!!!

  • coie dice:

    hola..tengo un problama..tengo una playtation3 y no se como activar DMZ serian tan amable de darme una repuesta?gracias...

  • [...] las conexiones de tipo wifi, existe una DMZ ---> http://www.solusan.com/que-es-una-dmz.html/comment-page-1 este link es para saber q lo q es, por si les interesa, siempre es bueno aprender un poquito mas, [...]

  • JAIRO C dice:

    para el gran maestro de The Litle green dwarf aplica la siguiente frase:
    Si no quiere fracasar en la vida, mejor no intente nada.

  • stanxz dice:

    Gracias, me sirvio para entender unos diagramas

  • Anónimo dice:

    [...] lo solucione por nosotros... Solucion... En las conexiones de tipo wifi, existe una DMZ ---> http://www.solusan.com/que-es-una-dmz.html/comment-page-1 este link es para saber q lo q es, por si les interesa, siempre es bueno aprender un poquito mas, [...]

  • Miguel Angel dice:

    Buenas, a ver si alguien puede ayudarme, estoy intentado conectar con una cámara en stream unicast, he abierto el puerto correspondiente de stream, el problema viene cuando intento conectar (rtsp://). Solo cuando activo DMZ en el router a la ip de la cámara, consigo acceso a la misma pues parece que abre otro puerto aleatorio. ¿Si abro el DMZ a una ip interna (la cámara), el resto de redirecciones nat dejan de funcionar ? Se os ocurre algo? he probado con varios reproductores como vlc y tengo el mismo problema. ¿puede que dependa de la configuración del receptor de stream?
    Gracias de antemano.

  • [...] desmilitarizada (Dmz) o red perimetral (http://www.solusan.com/que-es-una-dmz.html ) es una red local que se ubica entre la red interna de una organización y una red externa, [...]

Leave a Reply

Your email address will not be published.