Tema 7

7. NAT, proxy, DMZ y control del perímetro

El perímetro es el punto donde una red se relaciona con entornos menos confiables, especialmente internet. Controlarlo bien implica decidir cómo se publican servicios, cómo salen las conexiones y qué intermediarios ayudan a reducir exposición y a ordenar el tráfico.

Objetivo Entender cómo proteger la frontera con internet
Enfoque Arquitectónico y operativo
Resultado Publicar y consumir servicios con menor exposición

7.1 Introducción

Una organización necesita comunicarse con el exterior. Usuarios navegan por internet, aplicaciones consumen APIs, proveedores acceden remotamente y algunos servicios deben ser publicados para clientes o terceros. Esa interacción es inevitable, pero también representa uno de los puntos más delicados de la seguridad de red.

El perímetro no es simplemente "la salida a internet". Es el conjunto de mecanismos, zonas y políticas que controlan cómo la red interna se expone hacia afuera y cómo se permite el ingreso o la salida de tráfico. En ese contexto aparecen conceptos como NAT, proxies y DMZ.

Estos mecanismos no reemplazan a la segmentación ni al filtrado, sino que los complementan. Ayudan a reducir exposición directa, a ocultar o traducir direcciones, a intermediar comunicaciones y a separar mejor los servicios que deben convivir cerca de internet.

7.2 Qué entendemos por perímetro

En seguridad clásica, el perímetro era la frontera clara entre la red interna y el exterior. Hoy ese límite puede ser más difuso por la nube, el acceso remoto y las integraciones con terceros, pero sigue existiendo como concepto de control.

En términos prácticos, el perímetro incluye:

  • Enlaces a internet o a terceros.
  • Firewalls y dispositivos de borde.
  • Servicios expuestos públicamente.
  • Proxies, balanceadores o gateways.
  • DMZ y zonas de publicación.
  • Políticas de entrada y salida.

7.3 NAT: traducción de direcciones

NAT, o Network Address Translation, es un mecanismo que modifica direcciones IP y en algunos casos puertos cuando el tráfico atraviesa un dispositivo intermedio. Su uso más común es permitir que múltiples direcciones privadas compartan una o varias direcciones públicas, o publicar servicios internos mediante traducciones controladas.

Desde el punto de vista funcional, NAT ayuda a administrar el uso de direcciones y a simplificar ciertos esquemas de conectividad. Desde la seguridad, tiene beneficios y límites que conviene entender bien.

7.4 Tipos comunes de NAT

Tipo Descripción Uso típico
Source NAT Traduce la dirección de origen Salida de usuarios o servidores a internet
Destination NAT Traduce la dirección de destino Publicación de servicios internos
PAT o NAT overload Traduce también puertos para compartir IP pública Navegación saliente masiva
Static NAT Mapeo fijo entre IP interna y externa Servicios que requieren correspondencia estable

7.5 NAT no es un control de seguridad completo

Un error frecuente es asumir que el solo hecho de usar NAT protege suficientemente la red. Es cierto que la traducción puede ocultar direcciones internas y dificultar cierta exposición directa, pero no reemplaza filtrado, segmentación ni control de acceso.

Limitaciones importantes:

  • No analiza intenciones ni contenido del tráfico.
  • No decide por sí solo qué flujos deberían permitirse.
  • No impide publicación insegura de servicios si se acompaña con reglas demasiado amplias.
  • No evita que un tráfico permitido sea malicioso.
NAT puede reducir visibilidad directa sobre direcciones internas, pero no debe confundirse con una política de seguridad. Seguridad real requiere control explícito del tráfico.

7.6 Publicación de servicios y riesgo perimetral

Publicar un servicio significa hacerlo accesible desde una red menos confiable, normalmente internet. Eso convierte al servicio publicado en un punto de exposición prioritaria. Cuanto más crítico sea el sistema detrás del servicio, más importante es separar publicación y activos internos.

Publicar directamente un servidor interno sensible suele ser una mala práctica. El enfoque recomendable es interponer controles, limitar funciones, usar zonas específicas y evitar que la exposición externa toque innecesariamente a los sistemas más valiosos.

7.7 Qué es una DMZ

La DMZ, o zona desmilitarizada, es un segmento intermedio diseñado para alojar servicios que deben ser accesibles desde el exterior sin otorgar acceso directo a la red interna. Actúa como una zona de exposición controlada.

En una DMZ suelen ubicarse:

  • Servidores web públicos.
  • Reverse proxies.
  • Relays o gateways de correo.
  • Servicios DNS públicos.
  • Portales de acceso o publicación.

La lógica es clara: si un servicio expuesto sufre un incidente, el daño no debería extenderse automáticamente al resto de la infraestructura.

7.8 Cómo protege una DMZ

La DMZ aporta seguridad porque introduce una separación estructural entre servicios expuestos y sistemas internos. Esa separación permite aplicar reglas mucho más restrictivas.

  • Internet puede llegar a ciertos servicios de la DMZ, no a toda la red interna.
  • La DMZ solo debería comunicarse con sistemas internos cuando exista una necesidad concreta y controlada.
  • Los accesos administrativos a la DMZ deben provenir de zonas de gestión, no de redes comunes.
  • Los registros y monitoreo de esta zona deberían ser prioritarios por su nivel de exposición.

7.9 Modelos de implementación de DMZ

Existen distintas formas de implementar una DMZ según la arquitectura y el equipamiento disponible.

Modelo Descripción general Ventaja
Tres interfaces Un firewall con zonas separadas para internet, DMZ e interior Simplifica control centralizado
Dos firewalls Un dispositivo hacia internet y otro hacia la red interna Separa mejor funciones y capas
DMZ lógica Separación mediante VLANs y políticas sobre infraestructura compartida Mayor flexibilidad y menor costo

7.10 Qué es un proxy

Un proxy es un intermediario que recibe solicitudes en nombre de un cliente o de un servidor. En vez de existir comunicación directa entre dos extremos, el proxy participa en la conversación y puede aplicar controles, registrar actividad, reenviar solicitudes o filtrar contenido.

En seguridad, los proxies son valiosos porque permiten desacoplar a los extremos y ejercer un mayor control sobre el tráfico.

7.11 Forward proxy y reverse proxy

Tipo Para quién intermedia Uso habitual
Forward proxy Para clientes internos Controlar salida web, navegación o acceso a destinos externos
Reverse proxy Para servicios publicados Proteger y distribuir acceso a aplicaciones expuestas

El forward proxy ayuda a gobernar qué sale hacia internet. El reverse proxy ayuda a proteger qué entra hacia servicios expuestos.

7.12 Beneficios de usar proxies

  • Ocultan la topología o ubicación real de ciertos servicios.
  • Permiten aplicar autenticación, filtrado o políticas adicionales.
  • Ayudan a registrar solicitudes y respuestas relevantes.
  • Pueden actuar como punto de inspección o terminación TLS.
  • Reducen la exposición directa de aplicaciones internas.
  • Facilitan balanceo, cacheo o control de acceso centralizado.

7.13 Control del perímetro de entrada

Controlar el perímetro de entrada implica decidir qué servicios se publican, desde dónde se puede acceder, qué protecciones existen antes del sistema final y cómo se observa ese tráfico.

Buenas prácticas en este punto incluyen:

  • Publicar solo lo estrictamente necesario.
  • Ubicar servicios expuestos en DMZ o detrás de reverse proxy.
  • Evitar administración directa desde internet.
  • Aplicar cifrado y autenticación adecuados.
  • Registrar intentos de acceso, errores y anomalías.

7.14 Control del perímetro de salida

Muchas organizaciones protegen bien la entrada y descuidan la salida. Sin embargo, el tráfico saliente puede ser usado para exfiltración de datos, descarga de malware, comunicaciones de comando y control o abuso de servicios externos.

Controlar la salida significa:

  • Limitar qué redes o servicios pueden conectarse a internet.
  • Restringir protocolos o destinos cuando no sean necesarios.
  • Usar proxies o gateways para ciertos tipos de tráfico.
  • Observar patrones anómalos de conexión saliente.
  • Evitar que servidores internos inicien conexiones arbitrarias.

7.15 Riesgos comunes en el perímetro

  • Publicar servicios sin una justificación clara.
  • Exponer paneles administrativos directamente a internet.
  • Permitir que una DMZ tenga acceso amplio a la red interna.
  • Usar NAT como sustituto de políticas de filtrado reales.
  • No revisar reglas antiguas de publicación.
  • Permitir salida irrestricta desde redes o servidores sensibles.
  • No monitorear intentos fallidos o tráfico inusual en el borde.
En el perímetro, un error pequeño puede tener impacto desproporcionado, porque suele afectar la zona de mayor exposición de toda la infraestructura.

7.16 Relación entre DMZ, NAT y firewalls

Estos mecanismos suelen aparecer juntos, pero cumplen funciones distintas:

  • La DMZ organiza la arquitectura y separa zonas expuestas.
  • El firewall decide qué tráfico puede cruzar entre esas zonas.
  • NAT adapta direccionamiento para publicar o salir a internet.
  • El proxy intermedia y añade control sobre la comunicación.

Confundir estos roles lleva a arquitecturas débiles. Una publicación bien hecha combina los cuatro conceptos de manera coherente cuando hace falta.

7.17 Buenas prácticas para una publicación segura

  1. Determinar si el servicio realmente debe ser público.
  2. Ubicarlo en una zona apropiada y no directamente en la red interna.
  3. Definir reglas de acceso mínimas necesarias.
  4. Usar reverse proxy o intermediación cuando corresponda.
  5. Separar administración del tráfico público.
  6. Registrar actividad y revisar exposición periódicamente.
  7. Aplicar hardening y actualización continua al servicio publicado.

7.18 Qué debes recordar de este tema

  • El perímetro controla cómo la red se relaciona con entornos menos confiables.
  • NAT traduce direcciones, pero no reemplaza controles de seguridad.
  • La DMZ reduce el riesgo al separar servicios expuestos de la red interna.
  • Los proxies intermedian el tráfico y permiten aplicar controles adicionales.
  • Tan importante como publicar servicios es gobernar correctamente el tráfico saliente.

7.19 Conclusión

Controlar el perímetro significa mucho más que abrir puertos en un firewall. Implica decidir cómo se expone un servicio, qué intermediarios participan, qué zonas quedan involucradas y cómo se limita el impacto si algo falla. NAT, proxies y DMZ son herramientas clave para construir esa frontera de forma más ordenada y resiliente.

En el próximo tema estudiaremos protocolos inseguros y protocolos seguros, comparando pares como HTTP/HTTPS, Telnet/SSH y FTP/SFTP para entender cómo cambia el riesgo según el mecanismo de comunicación elegido.

Volver al índice