Si configuro una PC con Windows 10 con un firewall de software ( TinyWall , que es un extremo frontal para Firewall de Windows) y bloqueó todo el tráfico, excepto algunas aplicaciones y puertos que estaría usando (servidor de Minecraft y servidor Plex), ¿sería seguro colocar mi máquina en la DMZ de mi enrutador? ¿La PC, sus datos o mi red doméstica serían vulnerables a ataques externos?
Si el enrutador ofrece un DMZ real , el resto de la red sería seguro incluso si su Windows PC está comprometida. Una DMZ real es una red separada que no tiene o solo tiene un acceso muy restringido a la red interna.
Pero, lo que la mayoría de los enrutadores SoHo llaman DMZ es en realidad un host expuesto , es decir, el tráfico desde el exterior se reenvía a un único host dentro de la red interna y no a una red separada. Dado que este host expuesto está dentro de la red interna y tiene acceso total a la red, esta configuración no puede considerarse segura porque el compromiso del sistema expuesto también podría afectar la seguridad de los otros sistemas (no expuestos) dentro de la misma red interna.
Una DMZ real requiere que el propio enrutador proporcione una red adicional para los dispositivos expuestos que no tienen acceso a la red interna. Esta red también debe estar separada física o lógicamente de la red interna, es decir, diferente generalmente con un puerto Ethernet físico diferente pero tal vez solo con VLAN. Si el enrutador solo ofrece reenviar todo a un solo dispositivo dentro de su red interna (es decir, un host expuesto), puede intentar sacar lo mejor de él con un enrutador adicional configurado estrictamente como un host expuesto, que luego intenta ofrecer la verdadera red DMZ. Pero como el enrutador está ubicado dentro de la red interna, debe tener mucho cuidado con la configuración para que los dispositivos DMZ no puedan acceder a la red interna.
En cuanto a la seguridad del sistema expuesto: incluso si solo fuera posible acceder a los servidores de Minecraft y Plex desde fuera, no creería en la seguridad, ya que en el pasado había exploits para el servidor de Minecraft y exploits para Plex .
Aparte de eso, la mayoría de los ataques contra sistemas normales como el tuyo no son causados por ataques directos contra el sistema desde el exterior, sino por el hecho de que el usuario coloca maliciosamente en el sistema al navegar (drive-by-downloads) o leer el correo y abrir enlaces o adjuntos (es decir, de correos de phishing). Y el simple firewall de Windows no protegerá de ninguna manera contra esto. Antivirus y similares ayudarán mejor contra este malware, pero tampoco podrán lograr una cobertura completa.