DMZ
Subred intermedia donde se colocan los servicios accesibles desde internet, aislada tanto de la red interna como del exterior.
Qué es DMZ
En redes, una DMZ (zona desmilitarizada) es un segmento "tampón" entre internet y la red interna de confianza. Allí van los servidores que deben estar expuestos públicamente —web, correo, DNS— de forma que, si uno es comprometido, el atacante no llega directamente a la red interna.
Cómo funciona
Se monta con uno o dos cortafuegos: internet solo puede llegar a la DMZ; la DMZ tiene acceso muy limitado (o ninguno) a la red interna; y la red interna sí puede iniciar conexiones hacia la DMZ. Así el servidor expuesto queda encajonado.
Cómo protegerte
Es una arquitectura de empresas y servidores, no de uso doméstico. Ojo: la opción "DMZ host" de muchos routers caseros NO es esto: expone un dispositivo entero a internet sin protección, algo casi siempre desaconsejable. Si no sabes qué hace, no la actives.
Datos curiosos
- El nombre viene de las "zonas desmilitarizadas" geopolíticas, como la frontera entre las dos Coreas.
- La "DMZ" del router doméstico es una mala práctica: deja un dispositivo totalmente expuesto.
- Servicios en la nube modernos sustituyen la DMZ clásica por subredes públicas/privadas y balanceadores.
Preguntas frecuentes
¿Debo activar la DMZ de mi router?
Casi nunca. Expone por completo un dispositivo a internet. Mejor abrir solo el puerto concreto que necesites (y solo si lo necesitas).
¿Para qué sirve entonces una DMZ "de verdad"?
Para que servidores públicos de una empresa estén aislados de la red interna en caso de ataque.
¿Es lo mismo que segmentar?
Es un caso concreto de segmentación: el segmento donde van los servicios expuestos a internet.