¿Qué es una DMZ en la arquitectura de red, y por qué usarías una?
Respuesta breve
Una DMZ (zona desmilitarizada) es un segmento de red situado entre la Internet no confiable y la red interna de confianza, que aloja servicios expuestos al público como servidores web, de correo y DNS. Las reglas del cortafuegos permiten que Internet alcance la DMZ pero restringen estrictamente el acceso de la DMZ a la red interna. El objetivo es la contención: si un servidor público se ve comprometido, el atacante queda atrapado en la zona de amortiguación en lugar de aterrizar dentro de la LAN.
Una DMZ encarna una idea simple y duradera: cualquier cosa que Internet pueda alcanzar será sondeada tarde o temprano y puede ser vulnerada, así que no dejes esos sistemas expuestos junto a tus joyas. La DMZ es la amortiguación que absorbe ese riesgo.
Qué es
Una DMZ (zona desmilitarizada) es un segmento de red separado, colocado entre la Internet hostil y la red interna de confianza. Aloja servicios que deben ser alcanzables desde fuera: servidores web, proxys inversos, pasarelas de correo, DNS público. La política del cortafuegos es todo el propósito:
- Internet → DMZ: permitido, pero solo a servicios/puertos específicos.
- DMZ → Interna: muy restringido, idealmente a hosts/puertos específicos (por ejemplo, el servidor web solo puede alcanzar una pasarela de aplicación, nunca toda la LAN).
- Interna → DMZ: controlado según haga falta.
Por qué usar una — la contención
Si un atacante compromete un servidor web público sin DMZ, a menudo aterriza directamente dentro de la red corporativa y salta libremente. Con una DMZ, la máquina comprometida queda confinada en la zona de amortiguación; el segundo conjunto de reglas entre la DMZ y la red interna le impide alcanzar controladores de dominio, bases de datos y servidores de archivos sin cruzar otra frontera controlada. Esto es defensa en profundidad y reducción del radio de impacto en forma concreta.
Diseños y buenas prácticas
Una DMZ de doble cortafuegos (un cortafuegos hacia Internet, otro hacia el interior, idealmente de fabricantes distintos) es más sólida que un diseño de un solo cortafuegos de tres patas, porque un fallo de un cortafuegos no derrumba ambas fronteras. Una práctica clave: un servidor web en la DMZ no debería contener datos sensibles directamente — debería comunicarse por una ruta estrictamente acotada hacia un back-end situado más adentro. El concepto de DMZ también alimenta de forma natural el pensamiento moderno sobre segmentación y zero trust.
Los entrevistadores quieren la definición de zona de amortiguación, las reglas de cortafuegos asimétricas, y la justificación de contención/radio de impacto.
Posibles preguntas de seguimiento
- ¿Cuál es la diferencia entre un diseño de DMZ de un solo cortafuegos y uno de doble cortafuegos?
- ¿Por qué un servidor web en la DMZ no debería contener la base de datos directamente?
- ¿Cómo se relaciona una DMZ con la segmentación de red y el zero trust?