Todo sobre DMZ: Para qué sirve y cómo configurarla en un router

Todo sobre DMZ: Para qué sirve y cómo configurarla en un router

Oscar Espinosa

Hoy en día la mayoría de conexiones a Internet utilizan IPv4, y por tanto, nuestro router hace NAT contra dicha IP pública que nos proporciona el operador. Si necesitamos abrir todos los puertos hacia una dirección IP en concreto, deberemos utilizar la función de DMZ que está incorporada en todos los routers. Hoy en RedesZone os vamos a explicar qué es la DMZ, y cómo podemos activarla a uno de los equipos de la red local doméstica. No obstante, antes de empezar, es necesario saber que abrir la DMZ hacia un equipo que no tenga protección de un firewall, es muy peligroso, porque estaremos reenviando todos los puertos y no tendremos ningún tipo de filtrado.

Normalmente, un usuario doméstico no se preocupa de las diferentes configuraciones y opciones que tiene en su router, el cual se lo ha proporcionado el operador, pero también lo ha podido comprar él mismo para sustituir el del operador que normalmente no funciona correctamente. En caso de que necesitemos montar diferentes servidores en nuestro hogar, tendremos que realizar apertura de puertos individual (port forwarding), o bien abrir la DMZ para hacer un reenvío de todos los puertos a un determinado equipo y que no tenga problemas de acceso desde el exterior.

Para qué sirve la DMZ

La DMZ (Zona desmilitarizada) nos permite abrir todos los puertos hacia una dirección IP privada en concreto. Internamente todos los routers domésticos suelen utilizar un sistema operativo Linux, por lo tanto, el firewall en Linux es iptables o nftables que nos proporcionan la funcionalidad de DMZ, con la finalidad de abrir todos los puertos hacia una IP en concreto. Esto se hace por varios motivos, y es que podemos desde abrir los puertos hacia una consola para no tener problemas con los juegos online, a realizar pruebas de firewall en un equipo hasta cambiar el router que nos proporciona la compañía. A continuación, os explicamos en detalle cuáles son los principales usos de la DMZ.

Juegos online desde PC o consola

Si queremos jugar online desde nuestro ordenador consola y no queremos tener problemas con el NAT moderado de diferentes tipos, entonces lo más recomendable es abrir la DMZ, pero solamente para las consolas, las cuales tienen un sistema operativo propio con un firewall correctamente configurado. Por seguridad, nunca es recomendable abrir la DMZ a un ordenador, a no ser que tengas un firewall muy bien configurado y activado para evitar las posibles intrusiones.

Al abrir la DMZ hacia la consola o PC, automáticamente se abrirán todos los puertos para que no haya problemas de conectividad a los juegos online, podremos activar como servidor de juegos sin tener que abrir manualmente los puertos de los diferentes juegos. Actualmente, cada juego online utiliza unos puertos determinados específicos, los cuales no pueden cambiar y tendremos que abrirlos obligatoriamente en la sección de «Reenvío de puertos» o «Port Forwarding» de nuestro router. Esto hace que para muchos jugadores online, sea una ventaja, ya que les da libertad y teóricamente, una conexión más rápida y directa entre la consola y la red.

Muchos expertos en seguridad indican que dar uso del DMZ del router para jugar online, no supone un problema para la seguridad. Pero esto lo reducen a las consolas más conocidas como Playstation o Xbox. Esto ocurre porque, a diferencia de un PC, cuentan con un sistema operativo cerrado y con muchas limitaciones en cuanto a funciones. Por lo cual las vulnerabilidades que pueden afectar a un PC, no afectan a las consolas. Por lo tanto, sí puede ser una buena opción al tratarse de videoconsolas, pero no si jugamos desde un PC.

Incluso hay casos muy conocidos, donde ciertos videojuegos tenían muchos fallos a la hora del gameplay, pero que desaparecen a la hora de activar el DMZ para la consola. Como curiosidad añadida, esto era más frecuente en juegos donde los diferentes jugadores tenían un trato muy cercano, como puede ser un mapa de menor tamaño o una pista con varios coches. Siendo menos problemático en otros mas abiertos y sin tanta interacción.

Pruebas de firewall o VPN en un PC

Si quieres probar el cortafuegos de tu PC o servidor desde el exterior (Internet), entonces lo más aconsejable es activar la DMZ hacia la dirección IP privada del equipo, con el objetivo de poder comprobar si tenemos algún puerto abierto que debamos proteger. Por supuesto, en el caso de no tener la DMZ activada, por defecto en todos los routers los diferentes puertos se encuentran por defecto cerrados, es decir, no tenemos ninguna regla en la sección de «Reenvío de puertos» o «Port Forwarding» de nuestro router.

Hay protocolos VPN como Ipsec que necesitan la apertura de varios puertos, y aún así, es posible que tengamos problemas de conectividad desde los clientes VPN hasta nuestro servidor VPN por tema de puertos abiertos. Si tienes este problema, nuestra recomendación es activar la DMZ hacia nuestra IP privada con el objetivo de descartar problemas de puertos, y una vez que todo esté bien configurado en la VPN, entonces proceder con el cierre de la DMZ por seguridad, y abrir solamente los puertos que de verdad vamos a necesitar.

Poner tu propio router y no tener doble NAT

En el caso de disponer una conexión de fibra óptica, muchas veces estos router vienen tan limitados o cortos en recursos, que con el paso de los días o dependiendo el uso que hagamos, se bloquean o no nos proporcionan la cobertura y velocidad Wi-Fi adecuadas. En estos casos, muchos usuarios se decantan por cambiar el router directamente por uno comprado por ellos con mejores recursos internos, mejor software y tener libertad a la hora de configurarlo.

El principal problema es que muchas veces viene tan limitado por software, directamente la compañía no nos facilita los códigos de la ONT para poder configurar un router nuevo con ONT externa o integrada, o el router del operador no nos permite configurar el modo «bridge» para que el router que nosotros conectemos sea quien tenga la IP pública. Por este motivo, la única solución que nos queda es conectar a ese router otro router, asignarle una IP fija y abrir la DMZ a ese router. Esto se realiza porque tendremos doble NAT, y en el caso de que queramos abrir un puerto a un determinado equipo, tendremos que abrir un puerto en el router principal «apuntando» al segundo router, y posteriormente en este segundo router «apuntando» a la dirección IP privada del PC en cuestión. Gracias a la DMZ del router principal, solamente tendremos que abrir los puertos en este segundo router.

Una vez que ya conocemos los principales motivos y usos para utilizar la DMZ, os vamos a poner un ejemplo de cómo abrirla en un router doméstico.

Cómo abrir la DMZ en un router

Lo primero que tenemos que tener claro es saber qué modelo de router nos ha proporcionado nuestro ISP, o qué modelo de router tenemos en nuestro hogar. Normalmente dando la vuelta al router, veremos una etiqueta que pone los datos de acceso al router como dirección IP para entrar en su administración, usuario y contraseña de acceso. En caso de no tener esta información, deberás averiguar la puerta de enlace predeterminada y acceder con las típicas credenciales «admin/admin» o similares.

Una vez has averiguado los datos de acceso, es tan sencillo como acceder a tu navegador e introducir los datos de acceso que tienes debajo del router, o has averiguado gracias a algún otro usuario que hizo una guía. Una vez dentro de la configuración del router, deberás buscar un apartado que por norma general se encuentra en la zona de «configuración avanzada de los puertos«, si no lo encuentras te aconsejamos que busques alguna guía de tu router. Una vez ahí es tan sencillo como activar la casilla de DMZ, introducir la IP para la que queremos que el tráfico pase directamente con todos los puertos abiertos y darle a aplicar.

Cabe destacar, que la IP del dispositivo que queremos configurar en DMZ, debe ser fija. Si tenemos DHCP activado y las direcciones IP de los dispositivos van cambiando, esto no será efectivo más que en la IP que seleccionamos. Por lo cual puede ser cualquier dispositivo al cual se le asigne esa IP. De este modo, abriremos todos los puertos, por lo cual, puede que no nos interese que está configuración se aplique en según qué dispositivos. El menú de la DMZ tiene el siguiente aspecto:

Una vez que hayamos activado la DMZ y puesta la IP, simplemente basta con pinchar en «Aplicar» y ya tendremos todos los puertos disponibles.

Principales ventajas de utilizar una DMZ

Como ya habéis podido observar, las DMZ pueden ser de bastante utilidad, sobre todo si las utilizamos en casos concretos como los que hemos descrito en este artículo, pero de entre todas sus ventajas, podemos destacar algunas que sobresalen del resto.

Una de estas ventajas, y de hecho diríamos que puede ser de las mejores, si no la mejor, es el hecho de que nos proporciona una red interna cuya capa adicional de seguridad es bastante avanzada y permite restringir el acceso tanto a servidores como a datos que pudieran ser confidenciales.

Además, sus beneficios a nivel de seguridad, se extienden más allá, ya que en cuanto a control de acceso se trata, la DMZ tiene la capacidad, por ejemplo, dentro de una empresa, de proveer a los usuarios el acceso a los servicios hacia fuera de la estructura de la red de la propia empresa a través de la conexión a Internet.

Siguiendo esta misma línea, proporciona una seguridad extra en cuanto a falsificaciones de IP, ya que bloquea de manera instantánea los intentos de cualquier atacante, normalmente lo que suelen intentar es falsificar la dirección IP y hacerse pasar por algún dispositivo miembro de la red. Con una DMZ, es más complicado que esto suceda, ya que suele detectar este tipo de suplantaciones mediante un servicio que se encarga de verificar constantemente la autenticidad de las direcciones IP que son miembros de la red.

Y, por último, podemos destacar, que al facilitar un búfer entre la red privada y la conexión a internet utiliza una capa de seguridad mediante un firewall, que ayuda a evitar cualquier tipo de intromisión, ya que, aunque sus servidores se encuentren expuestos de manera pública, dicho firewall evita que la información de la red privada se vea expuesta o comprometida de alguna manera.

¿La DMZ abre realmente todos los puertos?

Tenéis que tener una cosa clara, y es que si habíais activado algún puerto para una IP concreta en el port-forwarding (normalmente se llama así en los routers), esa configuración prevalece por encima de la DMZ, es decir, los puertos que hayamos abiertos específicamente tiene prioridad sobre los que no están abiertos específicamente, por lo que el tráfico de estos puertos en concreto no se desviará a la DMZ. Internamente la mayoría de routers incorporan un sistema operativo basado en Linux, y estos utilizan el firewall iptables, quien se encarga también de hacer NAT. Si nosotros hemos abierto puertos anteriormente, la regla de la DMZ se colocará justo al final de la cadena.

En los últimos años, los fabricantes simplificaron mucho la configuración de sus dispositivos, siendo mucho más sencillo configurar equipos en DMZ. Pero esto no quita de que tengamos que realizar estas configuraciones con cautela.

Nuestro consejo es que, si estáis pensando activar la DMZ y no sabéis donde se encuentra el menú, busquéis alguna guía concreta de vuestro router donde os podrán ayudar más específicamente a llegar a esta funcionalidad tan interesante. Es muy necesario que si abrís la DMZ a un determinado equipo, tenga un firewall bien configurado para filtrar todo el tráfico entrante, ya que estaremos abriendo todos los puertos (menos los que tenemos específicamente abiertos en el router), por lo que podríamos ser vulnerables a escaneos de puertos y explotación de diferentes vulnerabilidades si nuestro software no lo tenemos actualizado.

6 Comentarios