Cómo añadir una zona DMZ para un servidor web

 Le preguntamos a Gemini, la inteligencia artificial de Google cómo añadir una zona DMZ para un servidor web

Explicanos detalladamente cómo añadir una zona DMZ para un servidor web

Configurar una DMZ (Zona Desmilitarizada) es una de las mejores prácticas de seguridad cuando necesitas exponer un servicio (como un servidor web) a Internet. Su función principal es actuar como una "zona neutral" o amortiguadora: si un atacante logra comprometer tu servidor web, la DMZ evita que pueda saltar fácilmente a tu red privada (LAN) donde están tus computadoras personales y datos sensibles.

Existen dos formas de implementar esto: el método profesional (segmentación real) y el método doméstico (DMZ Host). Aquí te explico ambos detalladamente.

1. Concepto de la DMZ de "Tres Patas" (Arquitectura Profesional)

En un entorno profesional o con routers avanzados ( Cisco, pfSense, Fortigate ), se utiliza un esquema de tres interfaces físicas o lógicas:

WAN ( Internet ): El mundo exterior inseguro.

LAN ( Red Interna ): Tu red privada de confianza.

DMZ (Zona Segura Expuesta): Donde reside el servidor web.

2. Configuración en un Router Profesional o Firewall

Para añadir esta zona, sigue estos pasos lógicos:

A. Configuración de Interfaces

Asigna una interfaz específica del router para la DMZ.

IP LAN: 192.168.1.1/24

IP DMZ: 192.168.50.1/24 (Debe estar en una subred diferente a la LAN).

B. Definición de las Reglas del Firewall (Crucial)

El éxito de una DMZ reside en sus reglas de tráfico. Debes configurar el firewall siguiendo este orden de prioridad:

Origen	Destino	Protocolo/Puerto	Acción	Propósito
WAN	Servidor Web (DMZ)	TCP 80, 443	Permitir	Permite que el público vea tu web.
LAN	Servidor Web (DMZ)	TCP 22 (SSH) o RDP	Permitir	Permite que tú administres el servidor.
DMZ	LAN	Cualquiera	Bloquear	Regla de Oro: Evita que el servidor hackeado ataque tu red interna.
DMZ	WAN	HTTP/S, DNS	Permitir	Permite que el servidor descargue actualizaciones.

3. Configuración en un Router Doméstico (DMZ Host)

La mayoría de los routers residenciales no tienen una interfaz física para DMZ, sino una función llamada "DMZ Host".

¿Cómo funciona? Envía todo el tráfico entrante de Internet que no haya sido solicitado (y que no tenga una regla de Port Forwarding específica) hacia una sola dirección IP interna.

Pasos para activarlo:

Asigna una IP Estática al Servidor : Ve a la configuración de tu servidor web y asegúrate de que siempre use la misma IP (ej. 192.168.1.100).

Entra al Router : Busca la sección Security o Advanced y localiza DMZ.

Activa el DMZ Host : Ingresa la dirección IP de tu servidor (192.168.1.100) y guarda los cambios.

⚠️ Advertencia de Seguridad: En el modo "DMZ Host", tu servidor queda totalmente desnudo ante Internet. Debes instalar un firewall local (como ufw en Linux o Windows Firewall) directamente en el servidor para protegerlo, ya que el router dejará pasar todo el tráfico malicioso hacia él.

4. Implementación con VLANs (Segmentación Lógica)

Si tienes un router que soporta VLANs pero no tienes más puertos físicos, puedes crear una VLAN de DMZ.

Crea la VLAN 50 (etiquetada como DMZ).

Asigna el puerto donde está conectado el servidor a esa VLAN.

En el firewall del router, crea las reglas de aislamiento mencionadas en el paso 2 para que la VLAN 50 no pueda comunicarse con la VLAN de la LAN.

5. Lista de Verificación Final (Seguridad)

Doble NAT : Si tu servidor está detrás de un router que a su vez está detrás del módem de la operadora, asegúrate de que el primer módem esté en modo Bridge o tenga los puertos abiertos hacia el segundo router.

Aislamiento de servicios: No uses el servidor web de la DMZ para guardar copias de seguridad de tu red LAN.

Logs: Activa el registro de eventos (logging) en la zona DMZ para detectar intentos de intrusión.

¿Te gustaría que te ayudara con los comandos específicos para configurar estas reglas en un sistema operativo en particular (como Linux con iptables) o en un router de alguna marca específica como MikroTik o Cisco ?

🌐 802.1ae - MacSec (nivel de Enlace) - Aprendiendo Ciberseguridad paso a paso - Charla 24

Cuando queremos implementar criptografía a la seguridad de una red ethernet cableada, inmediatamente pensamos en los niveles más altos. En el nivel 3 o 4 (nivel de red y nivel de transporte) por ejemplo, tenemos protocolos como el protocolo IP. TCP o UDP protegiendo los paquetes de tráfico y la segmentación de la red. Sin embargo, recordando el vídeo sobre el 802.1x (PBNAC), el switch o boca de red no impide un acceso por cable de cualquier usuario. La sola presencia de un servicio de autenticación puede no ser suficiente para la protección de las capas inferiores del modelo TCP/IP. Aquí entra en juego el protocolo 802.1ae, más conocido como "MacSec", que nos ofrece la posibilidad de emplear Confidencialidad e Integridad a nivel de enlace. 

 Como venimos desarrollando en todos estos videos, el empleo de esta criptografía en el nivel más bajo de la pila es un "golazo" pues no deja nada expuesto a cualquier persona que desee analizar lo que circula por nuestra red LAN. También se apoya, al igual que vimos en la charla 22, en los otros servicios de autenticación fiables como pueden ser: TACACS ( Terminal Access Controller Access Control System ), RADIUS ( Remote Authentication Dial-In User Service ) y Kerberos

 Fuente: https://www.youtube.com/watch?v=eSLNGINELnI

Cómo configurar un firewall en un router Cisco

 Le preguntamos a Gemini, la inteligencia artificial de Google cómo instalar y configurar un firewall en un router Cisco

Explicanos detalladamente cómo instalar y configurar un firewall en un router Cisco

Configurar un firewall en un router Cisco no se trata de "instalar" una aplicación, sino de activar y configurar las capacidades de seguridad que ya vienen integradas en el sistema operativo Cisco IOS (Internetwork Operating System).

Existen dos métodos principales: las ACLs (Listas de Control de Acceso) clásicas y el más moderno y potente ZPF (Zone-Based Policy Firewall). Aquí te explicaré cómo configurar el ZPF, que es el estándar actual para firewalls de estado en Cisco.

1. El Concepto de ZPF (Zone-Based Firewall)

En lugar de aplicar reglas directamente a las interfaces, el ZPF agrupa las interfaces en Zonas de Seguridad (ej. "Privada" y "Pública"). Luego, se definen políticas para el tráfico que viaja entre esas zonas.

2. Paso 1: Definir las Zonas de Seguridad

Primero, debemos crear las zonas lógicas en el router.

Bash

Router(config)# zone security PRIVADA

Router(config)# zone security PUBLICA

3. Paso 2: Definir el Tráfico a Inspeccionar (Class Maps)

Usamos un class-map para identificar qué protocolos queremos que el firewall analice. El parámetro match-any indica que si el tráfico coincide con cualquiera de los protocolos, será seleccionado.

Bash

Router(config)# class-map type inspect match-any MAPA-TRAFICO-INTERNO

Router(config-cmap)# match protocol tcp

Router(config-cmap)# match protocol udp

Router(config-cmap)# match protocol icmp

Router(config-cmap)# exit

4. Paso 3: Configurar la Política (Policy Maps)

Aquí decidimos qué hacer con el tráfico identificado en el paso anterior. En un firewall de estado, la acción clave es inspect, que permite que el tráfico salga y automáticamente crea una regla temporal para que la respuesta pueda volver a entrar.

Bash

Router(config)# policy-map type inspect POLITICA-SALIDA

Router(config-pmap)# class type inspect MAPA-TRAFICO-INTERNO

Router(config-pmap-c)# inspect // Inspección de estado (Stateful)

Router(config-pmap-c)# exit

Router(config-pmap)# exit

5. Paso 4: Definir el Par de Zonas (Zone-Pairs)

El Zone-Pair le dice al router en qué dirección se aplica la política (por ejemplo, de la zona PRIVADA hacia la zona PUBLICA).

Bash

Router(config)# zone-pair security PAR-PRIVADA-A-PUBLICA source PRIVADA destination PUBLICA

Router(config-zp)# service-policy type inspect POLITICA-SALIDA

Router(config-zp)# exit

6. Paso 5: Asignar Interfaces a las Zonas

Finalmente, debemos decirle al router qué interfaces físicas pertenecen a qué zona.

Bash

Router(config)# interface GigabitEthernet0/0

Router(config-if)# description Enlace a Internet (WAN)

Router(config-if)# zone-member security PUBLICA

Router(config-if)# exit



Router(config)# interface GigabitEthernet0/1

Router(config-if)# description Red Local (LAN)

Router(config-if)# zone-member security PRIVADA

Router(config-if)# exit

Componente	Función
Security Zones	Divide el router en áreas (Interior, Exterior, DMZ).
Class Maps	Selecciona qué paquetes queremos vigilar (TCP, UDP, HTTP).
Policy Maps	Decide la acción: inspect (permitir y vigilar), pass (permitir sin vigilar), o drop (bloquear).
Zone Pairs	Establece el sentido del tráfico (Origen → Destino).

Verificación y Mantenimiento

Una vez configurado, es vital verificar que el firewall está funcionando y ver las sesiones activas (las conexiones que el router está "recordando").

Ver sesiones activas: show policy-map type inspect zone-pair sessions

Ver configuración de zonas: show zone security

Siguiente paso sugerido

Esta configuración permite que todo el tráfico salga de tu red pero bloquea cualquier intento de entrada no solicitado. ¿Te gustaría que te explicara cómo añadir una zona DMZ para un servidor web o cómo configurar reglas de acceso remoto por SSH de forma segura?