Segmentación de red
La segmentación de red en redes informáticas es el acto o la práctica de dividir una red informática en subredes, cada una de las cuales es un segmento de red. Las ventajas de esta división son principalmente mejorar el rendimiento y la seguridad.
Ventajas
- Congestión reducida: En una red segmentada, hay menos anfitriones por subred y el tráfico y por lo tanto la congestión por segmento se reduce
- Mejora de la seguridad:
- Las transmisiones se incluirán en la red local. La estructura interna de red no será visible desde fuera.
- Hay una superficie de ataque reducida disponible para pivotar en si uno de los anfitriones en el segmento de red está comprometido. Los vectores de ataque comunes, como LLMNR y NetBIOS, pueden aliviarse parcialmente por la segmentación adecuada de la red ya que solo trabajan en la red local. Por esta razón se recomienda segmentar las diversas áreas de una red por uso. Un ejemplo básico sería dividir servidores web, servidores de bases de datos y máquinas de usuario estándar cada uno en su propio segmento.
- Al crear segmentos de red que contienen sólo los recursos específicos para los consumidores a los que autoriza el acceso, usted está creando un entorno de mínimo privilegio
- Contiene problemas de red: Limitar el efecto de las fallas locales en otras partes de la red
- Control de acceso de visitantes: El acceso al visitante a la red puede controlarse mediante la implementación de VLAN para segregar la red
Mejora de la seguridad
Cuando un cibercriminal obtiene acceso no autorizado a una red, la segmentación o “zonificación” puede proporcionar controles efectivos para limitar el movimiento futuro a través de la red. PCI-DSS (Payment Card Industry Data Security Standard), y estándares similares, brindan orientación sobre cómo crear una separación clara de los datos dentro de la red, por ejemplo, separando la red para autorizaciones de tarjetas de pago de aquellas para el tráfico de punto de servicio (caja) o Wi-Fi de clientes. Una política de seguridad sólida implica segmentar la red en múltiples zonas, con distintos requisitos de seguridad, y hacer cumplir rigurosamente la política sobre lo que se permite mover de una zona a otra.
Control de acceso de visitantes
Los departamentos de finanzas y recursos humanos suelen necesitar acceso a través de su propia VLAN a sus servidores de aplicaciones debido a la naturaleza confidencial de la información que procesan y almacenan. Otros grupos de personal pueden requerir sus propias redes segregadas, como administradores de servidores, administración de seguridad, gerentes y ejecutivos.
Generalmente se requiere que terceros tengan sus propios segmentos, con contraseñas de administración diferentes a las de la red principal, para evitar ataques a través de un sitio de terceros comprometido y menos protegido.
Medios de segregación
La segregación se logra generalmente mediante una combinación de cortafuegos y redes de área local virtuales (VLAN). Las redes definidas por software (SDN) pueden permitir la creación y administración de redes microsegmentadas.
Véase también
- Dominio de colisión
- Solución de dominio cruzado
- Red plana
- Puente de red
- Interruptor de red
- Router (computing)
- Red unidireccional
Referencias
- ^ Carter, Kim (2019). "Network: Identificar riesgos". Holistic Info-Sec for Web Developers. Leanpub. Retrieved 11 de abril 2019.
- ^ Carter, Kim (2019). "Network: Lack of Segmentation". Holistic Info-Sec for Web Developers. Leanpub. Retrieved 11 de abril 2019.
- ^ Reichenberg, Nimmy (20 de marzo de 2014). "Improving Security via Proper Network Segmentation". Semana de la Seguridad.
- ^ Barker, Ian (21 de agosto de 2017). "Cómo la segmentación de la red puede ayudar a contener ataques cibernéticos". betanews.com. Retrieved 11 de abril 2019.
- ^ Reichenberg, Nimmy; Wolfgang, Mark (24 de noviembre de 2014). "Segmenting for security: Five steps to protect your network". Network World. Retrieved 11 de abril 2019.
- ^ Krebs, Brian (5 de febrero de 2014). "Target Hackers Broke en Via HVAC Company". KrebsonSecurity.com.
- ^ Fazio, Ross E. "Declaración sobre incumplimiento de datos de Target" (PDF). faziomechanical.com. Fazio Servicios mecánicos. Archivado desde el original (PDF) el 28 de febrero de 2014. Retrieved 11 de abril 2019.