<img height="1" width="1" alt="" style="display:none" src="https://www.facebook.com/tr?ev=6016380644279&amp;cd[value]=0.00&amp;cd[currency]=USD&amp;noscript=1">
canal-comstor-logo
El blog de Comstor México
  • Cisco Intersight: gestión de centro de datos basada en la nube
  • ¿Sus clientes están preparados para la nueva generación de red?
  • 3 recomendaciones para poder escoger un firewall de última generación
  • Cisco Intersight: gestión de centro de datos basada en la nube
  • ¿Sus clientes están preparados para la nueva generación de red?
  • Seguridad digital: los 6 principios de la defensa integrada contra amenazas

8 maneras de optimizar la seguridad de una red cableada

Publicado en 17-feb-2015 5:00:00

Cómo actualizar y mantener una red libre de amenazas e invasores en línea.

150217_Redes_Blog

 

A menudo los sistemas de seguridad de las redes corporativas se enfocan predominantemente en la parte inalámbrica de la red debido a la falta de barreras físicas. Es posible que alguien que no esté en el mismo entorno –estacionado en el garaje del edificio, por ejemplo– pueda  fácilmente detectar el identificador SSID (conjunto de caracteres que identifican la red inalámbrica) de  una red corporativa y lanzar un ataque contra ella.


Sin embargo, en un mundo de amenazas internas, ataques externos y hackers que utilizan la ingeniería social para acceder a redes corporativas, la seguridad de una red cableada también debe ser una prioridad.


Por causa de dichos factores, presentamos algunas maneras de optimizar la parte cableada de una red corporativa, independientemente de que el negocio sea una PYME o una empresa de grande porte.

 

1- Realizar una auditoría y un mapeo

Si esto no se ha hecho recientemente, lo ideal es que el CIO de la empresa realice una auditoría y un mapeo de la red corporativa. Es importante también tener una clara y completa comprensión de la infraestructura de la red, como por ejemplo el modelo, la ubicación, las configuraciones básicas de los firewalls, ruteadores, switches, puertos y cableo de Ethernet y Access Points Inalámbricos. Además, el CIO debe saber qué servidores, computadoras, impresoras y demás dispositivos están conectados a la red, dónde están conectados y si su conectividad pasa por la red corporativa.


Durante la auditoria y el mapeo es posible encontrar vulnerabilidades específicas de seguridad o formas a través de las cuales el CIO puede aumentar el nivel de protección, desempeño y confiabilidad de la red, o puede también detectar un firewall mal configurado.


Si la empresa está trabajando con una red pequeña con tan sólo pocos componentes de red y una docena o menos de estaciones de trabajo, el CIO tal vez necesite realizar la auditoría manualmente y crear un mapa visual en una hoja de papel. Para redes más grandes, el CIO puede utilizar software de auditoría y mapeo. Dicho software lograr escanear la red y generar un diagrama o mapa de la red.

 

Panorama de la Ciberseguridad Global: ¿Cómo proteger las redes corporativas frente a las amenazas virtuales?


2- Mantener la red actualizada

Después de que el CIO termine la auditoria y el mapeo de la red, hay que considerar la idea de ir aún más fondo. Es el momento de verificar las actualizaciones de firmware o software en todos los componentes de la infraestructura de la red. Es necesario ingresar en los componentes para garantizar que las contraseñas estándar fueron modificadas, revisar las definiciones para cualquier configuración peligrosa y observar otros aspectos o funcionalidades de seguridad que no esté utilizando la empresa.


Después sólo hay que verificar todas las computadoras y los dispositivos conectados a la red corporativa. Es necesario cerciorarse de que esté activado lo básico, como los sistemas operativos, las actualizaciones de drivers y cada uno de los firewalls. Es igualmente necesario asegurar que el antivirus esté operando bien y actualizado con las contraseñas igualmente actualizadas.


3- Garantizar la seguridad física de la red

A menudo la seguridad física de la red es un aspecto que las empresas minimizan o descuidan, pero que puede ser tan crucial como la actualización de un firewall. De la misma forma que la empresa necesita estar protegida contra hackers, malwares, robots y virus, también necesita estar protegida contra amenazas locales.


Si la red y el edificio no cuentan con un sistema robusto de seguridad, un hacker en las cercanías o incluso un colaborador se puede aprovechar de esta vulnerabilidad. Por ejemplo, puede existir la posibilidad de que se conecte un ruteador inalámbrico a un puerto Ethernet abierto, lo que daría acceso inalámbrico a cualquier persona ubicada cerca de la empresa. Sin embargo, si dicho puerto Ethernet no está visible o por lo menos está desconectado, esto no ocurrirá.


Es igualmente fundamental garantizar que la empresa tenga un buen plan de seguridad tanto para el edificio como para la red cableada a fin de evitar invasores y proteger los armarios de cableo y otros lugares donde se encuentran los componentes de la infraestructura de la red. Es pertinente pedirle al CIO que instale cerraduras en los gabinetes y puertas de acceso, así como en los Access Points inalámbricos. Después, en el caso de los puertos Ethernet no utilizados, lo más seguro es desconectarlos físicamente o a través de la configuración del Switch/Ruteador, principalmente en las áreas públicas del edificio.


4- Considerar un filtro de dirección MAC

Uno de los principales problemas de la parte cableada de la red es la falta de autenticación rápida y fácil o de un método de criptografía. Las personas pueden simplemente enchufar el cable en el equipo y usar la red. En una red inalámbrica existe al menos el protocolo de seguridad WPA2-Personal (PSK) que es más fácil de implantar.


Aunque un hacker pueda burlar un filtro de dirección MAC, éste puede funcionar como una primera capa de seguridad y evitar, por ejemplo, que un colaborador desatento abra una brecha grave de seguridad, como permitir que un invitado enchufe su equipo en la red privada de la empresa.


Este filtro también le da al CIO más control para determinar cuáles dispositivos pueden estar conectados a la red. Sin embargo, el CIO no puede pensar que esto es suficiente en términos de seguridad. Tiene que estar preparado para elaborar una lista de direcciones aprobadas con un MAC actualizado.


5- Implementar VLANs para segregar el tráfico

Si la empresa trabaja con una red menor, que aún no está segmentada en LANs virtuales, se debe considerar la posibilidad de pedirle al CIO de la empresa que cambie esta situación. Es posible utilizar VLANs para agrupar puertos de Ethernet, Access Points inalámbricos y usuarios en varias redes virtuales.


Quizás una buena opción sea la de usar VLANs para separar el tipo de tráfico de la red (accesos en general, VoIP, SAN y DMZ) por razones de desempeño o diseño y los tipos de usuarios (colaboradores, administración, invitados) por razones de seguridad. Las VLANs son particularmente útiles cuando están configuradas para asignación dinámica. Por ejemplo, si un usuario conectase su equipo a la red, una VLAN sería designada de forma automática y exclusiva a este usuario. Esto es posible a través de la inserción de etiquetas por dirección MAC o mediante una autenticación 802.1X, que es una opción más segura.


Para usar VLANs, los ruteadores y switches de la empresa deben admitir este tipo de red. Hay que pedirle al CIO que busque el soporte IEEE 802.1Q en las especificaciones del producto.


6- Usar 802.1X para autenticación

Muy a menudo la autenticación y criptografía de la parte cableada de la red reciben poca atención debido a la alta complejidad de los procesos. Cifrar conexiones inalámbricas es una cuestión de sentido común en el área de TI, pero lo ideal es no olvidarse de las conexiones cableadas. Un hacker local puede conectarse a la red y nada evitará que reciba y envíe paquetes de datos.


La implementación de la autenticación 802.1X no resulta en la criptografía del tráfico Ethernet. Pero, por lo menos garantiza su protección en el envío y acceso a la red hasta que el CIO otorgue una credencial de acceso. Otro gran beneficio de la 802.1X es su habilidad de asignar usuarios a VLANs de forma más dinámica.


Para implementar la autenticación 802.1X es necesario, en primer lugar, un servidor de servicio de autenticación remota por llamada telefónica (RADIUS), que básicamente funciona como una base de datos del usuario y es el componente que autoriza o niega el acceso a la red. Si la empresa utiliza un servidor Windows, entonces ya cuenta con un servidor RADIUS: el NPS (Network Policy Server) [Servidor de Políticas de Red] o en versiones más antiguas del Windows Server, el IAS (Internet Authentication Service) [Servicio de Autenticación Internacional].


7- Usar VPNs para cifrar tan sólo PCs y servidores específicamente seleccionados

Si la empresa está realmente dispuesta a cambiar el modelo de seguridad y garantizar un mayor nivel de protección al tráfico de la red, hay que considerar el uso de criptografía. No debemos olvidar que, a pesar de las VLANs y autenticaciones 802.1X, alguien puede observar la red (VLAN) y capturar tráfico no cifrado que puede contener contraseñas, correos electrónicos y documentos secretos.


Aunque exista la posibilidad de cifrar todo el tráfico, es mejor que el CIO primero analice la red corporativa. Tal vez tenga más sentido cifrar tan sólo ciertas comunicaciones seleccionadas que el CIO juzgue más sensibles y que aún no están cifradas, tales como SSL/HTTPS. El encargado de TI puede enviar el tráfico sensible a través de una VPN estandarizada.


8- Realizar la criptografía de toda la red

Es posible cifrar todo el tráfico de la red. Una opción es el OPsec. Mediante su uso un servidor Windows puede funcionar como un servidor IPsec y dar soporte a la capacidad del cliente. Sin embargo, el proceso de criptografía pode sobrecargar la red y disminuir drásticamente las tasas de transferencia efectivas.


Existen también soluciones de criptografía de red propia proporcionadas por proveedores de red, muchas de las cuales utilizan un abordaje de Layer 2 en vez de Layer 3 (la Layer 2 es ideal para redes menores, al contrario de la Layer 3 que es indicada para proyectos de conexión de redes entre sí) como IPsec para ayudar a disminuir lentitud y sobrecarga.

 

 
 
21 maneras de optimizar una red corporativa

Fuentes:

http://www.networkworld.com/news/2014/031714-wired-security-279554.html?hpg1=bn

http://forum.zwame.pt/showthread.php?t=554222

http://www.cisco.com/web/solutions/smb/need_to/five_ways_to_improve_your_wireless_security.html

http://www.pcmag.com/article2/0,2817,2420002,00.asp

http://www.pcworld.com/article/2068442/8-tips-to-protect-your-business-inalámbrica-network.html

 


Categorias: Redes