Un perímetro de red define dónde termina tu red interna y dónde empieza la conexión a Internet. En las redes privadas tradicionales, conocer este límite era fácil, ya que la puerta de enlace solía ser el router, por no mencionar que en el pasado todo estaba cableado.
Hoy en día, no es tan fácil, sobre todo cuando se trata de componentes basados en la nube y dispositivos móviles utilizados de forma remota. ¿Dónde está el límite entre lo que forma parte de la red y lo que no? Las redes no siempre están bajo el control total del administrador y esto puede quedar aún más oculto por la complejidad de una solución. Sean cuales sean tus herramientas de red y perímetro, en el fondo te enfrentas a una cuestión de confianza.
En este artículo, aprenderás qué es un perímetro de red y cómo puedes utilizarlo para proteger con éxito tu empresa contra los ciberataques, así como a tus propios usuarios. En primer lugar, veamos qué es un perímetro de red.
Tabla de Contenido
¿Qué es un Perímetro de Red?
Un perímetro de red es el límite entre lo que se considera de confianza y lo que no. Fundamentalmente, deberías considerar todo lo que está dentro de tu red como de confianza, y todo lo que está fuera de tu red como de no confianza. Parece bastante sencillo, ¿verdad?
Tomémonos un momento para considerar dónde empieza Internet para tu empresa. En cada sede, empieza en la “demarcación”. Aquí es donde el cable de la compañía de telecomunicaciones se une a la red privada. A menudo, es aquí donde el cable de telecomunicaciones entra en la propiedad.
Una de las primeras piezas de hardware que se utiliza es un router. O bien lo suministra el ISP, o bien es propiedad de la empresa. También se llama equipo de las instalaciones del cliente (CPE, Customer Premises Equipment). Este router dirige el tráfico entre Internet y el resto de tu red privada.
Ahora, echemos un vistazo a las herramientas de red que pueden ayudarte a definir el perímetro de tu red.
Firewalls (Cortafuegos)
Obviamente, necesitarás algún tipo de seguridad entre el router mencionado anteriormente y tu red. Aquí es donde entran en juego los cortafuegos. Puedes utilizar cortafuegos y añadir listas de control de acceso (ACL) que contengan reglas de entrada y salida para controlar quién tiene acceso a tu red.
DMZs
Una pregunta que puede hacerse es: “¿Cómo puedo hacer frente al acceso público a mi red?”. Muchas empresas utilizan una DMZ, también conocida como zona desmilitarizada. Se trata de una tercera zona en la que se producen comunicaciones fiables y no fiables, y que normalmente se asume como no fiable. A menudo, las empresas dividen los servidores, haciendo algunos públicos en una DMZ y otros privados y de confianza. Las ACL del cortafuegos controlan lo que entra en cada zona a modo de guardián.
Un ejemplo de esto pueden ser los usuarios que intentan acceder a sedes fuera de las horas normales de funcionamiento. Puedes distribuir dispositivos IDS frente a equipos o divisiones para restringir el acceso de diferentes miembros del equipo. Por ejemplo, puede que no quieras que tu equipo de diseño tenga acceso a tu división de redacción por alguna razón. Por último, también puedes configurar un IDS para que actúe automáticamente cuando detecte tráfico sospechoso.
La mayoría de las organizaciones también optan por utilizar una DMZ Wi-Fi específicamente para proporcionar a los invitados una conexión a Internet. Esto es para que puedan comprobar sus correos electrónicos, por ejemplo, mientras no interactúan con ninguna parte de la red privada.
Segmentación
También puedes optar por utilizar la anidación y las subredes para proteger los datos y a los usuarios de posibles amenazas. Se trata de una práctica útil, ya que puede dificultar a los ciberdelincuentes la escalada de permisos y el mapeo de tu red en su totalidad. Algunas empresas también optan por proteger zonas basándose en un equilibrio entre los requisitos de seguridad y las necesidades de los usuarios. Puedes encontrar empresas con zonas verdes de alta seguridad y alta confianza, como salas de servidores centrales.
A continuación, puedes tener una zona naranja que tiene políticas similares a una DMZ, pero está más diseñada para uso privado. Éstas proporcionan acceso a la red interna al personal de nivel básico y a invitados con autorización de seguridad. Son útiles para contratistas o terceras empresas que no necesitan acceder a soluciones administrativas.
Por último, puedes añadir una zona roja que sólo sea utilizada por el público en general; en esta zona no se llevará a cabo ningún negocio. Aquí la seguridad es baja, pero no se proporciona confianza. Un ejemplo de esto es el Wi-Fi para invitados en el vestíbulo de una empresa.
Ahora ya sabes qué es un perímetro de red y cómo puede utilizarse para garantizar que los ciberdelincuentes no puedan acceder a información sensible. Veamos ahora cómo las soluciones en la nube y el acceso remoto interfieren con estas ordenadas políticas de red.
¿Cómo Influyen la Computación en Nube y el Acceso Remoto en el Perímetro de la Red?
La computación en nube te permite iniciar sesión en servicios y ordenadores desde fuera de tu empresa. A veces incluso se accede desde un ordenador que no es propiedad de la empresa. Esto es un problema importante, ya que el sistema no conocerá la IP de la máquina que intenta conectarse o si tiene algún malware alojado en ella. ¿Qué puedes hacer al respecto? Aquí tienes 3 métodos que puedes poner en práctica para solucionar este problema:
Añadir autenticación multifactor (MFA)
Para mejorar la confianza, puedes probar a añadir la autenticación multifactor (MFA) para asegurarte de que la persona que se conecta es quien dice ser. Sin embargo, esto no significa que confíes en su máquina. Por ejemplo, ¿qué pasa si el usuario está accediendo a tu sistema desde el sitio de un cliente con su hardware? ¿Hasta qué punto son seguros su sitio y sus operaciones? Muchos ciberataques se han producido cuando el malware se ha alojado inicialmente en otro lugar de la cadena de suministro y se ha propagado a otras empresas antes de que se ejecute el ataque. Se suele recurrir a los proveedores, ya que suelen ser empresas más pequeñas con herramientas y políticas de seguridad deficientes.
Obligar a los usuarios a utilizar sólo los ordenadores de la empresa
Otra forma es obligar a los usuarios a utilizar únicamente los ordenadores de la empresa para acceder. Sin embargo, recuerda que incluso así, estos ordenadores podrían haberse visto comprometidos. Por ejemplo, la débil seguridad de la red doméstica de los usuarios y un ataque man-in-the-middle (MITM) orquestado contra ellos podría utilizarse para comprometer tu red. La buena noticia es que puedes tratar una solución en la nube de forma similar a una in situ. Basta con asumir que todo el tráfico no es de confianza y utilizar una DMZ. Utiliza zonas de confianza donde se utilicen políticas de confianza no implícitas.
Utilizar un firewall como solución de servicio (FWaaS)
Por último, puedes utilizar una solución de cortafuegos como servicio (FWaaS) para proteger la computación en nube sin arruinarte y asegurarte de que se aloja en el dominio de nube utilizado. Puedes utilizar una solución FWaaS en cualquier ordenador remoto para asegurar una conexión. Esto significa que no necesitas miles de licencias de cortafuegos para un usuario y varios puntos de acceso. Considera también la posibilidad de utilizar un cortafuegos a nivel de aplicación, también conocido como cortafuegos de tercera o cuarta generación, para ayudar a proteger las conexiones entre aplicaciones.
Ahora ya sabes qué infraestructura debes tener en cuenta a la hora de crear y mantener el perímetro de tu red. Pasemos ahora a examinar las ventajas y los riesgos asociados a los perímetros de red.
Ventajas y Riesgos de los Perímetros de Red
Un perímetro de red es el elemento básico de una red moderna. Atrás quedaron los días en que unos pocos académicos transferían datos entre un puñado de sitios. Hoy en día, necesitamos proteger una red de todo el mundo. Esto incluye a empleados con las mejores intenciones que podrían distribuir fácilmente la información de una empresa entre equipos, o incluso a través de Internet, en un abrir y cerrar de ojos. Es un riesgo que no queremos correr.
Entre las ventajas de contar con un perímetro de red se incluye la reducción del riesgo de que se produzcan ataques de malware con fines de interrupción, rescate o fraude. Puedes proteger tu red eficazmente utilizando el cortafuegos adecuado y configurando las reglas ACL correctas para tu red.
Además, considera la posibilidad de utilizar un IDS en los puntos finales o en estructuras aisladas para ayudar a complementar tu cortafuegos. Organiza la estructura de tu red para crear zonas de confianza verdes, naranjas y rojas y protégelas con políticas de confianza adecuadas. Estas prácticas reducirán los riesgos en toda la red.
Recapitulemos.
Reflexiones Finales
La seguridad perimetral de redes ayuda a definir qué es una fuente de confianza que entra en tu red y qué no lo es. Las zonas de confianza son excelentes para la productividad, pero deficientes para resistir los ciberataques.
Del mismo modo, las zonas que no son de confianza suelen ofrecer servicios y funcionalidades limitados, pero se utilizan mejor para impedir que los ataques se propaguen al resto de la red.
Puedes utilizar las DMZ para que actúen como una zona que asume que el acceso no debe ser de confianza para permitir el uso público. Segrega equipos y divisiones y utiliza IDS en los puntos finales para comprobar si hay tráfico anómalo, que luego puede señalarse a los administradores mientras los paquetes de datos se ponen automáticamente en cuarentena.