La seguridad de la red de computadoras de una empresa debe tomarse en serio ante las posibles amenazas internas, por ello aquí hay algunas precauciones que debe tomar, ya sea una pequeña o gran empresa.
2. La seguridad de la red de computadoras de una empresa
debe tomarse en serio ante las posibles amenazas internas,
por ello aquí hay algunas precauciones que debe tomar, ya
sea una pequeña o gran empresa.
3. 1. Realice Auditoría y Mapeo
Si no lo ha hecho recientemente, debe hacer algunas auditorías y el mapeo o
cartografía de la red. Tenga siempre una comprensión clara de la
infraestructura de toda la red.
Aspectos a considerar
• Proveedor/modelo
• Ubicación
• Configuración básica del firewall
• Routers
• Switches
• Cableado Ethernet
• Puertos
• Puntos de acceso inalámbricos
4. Además debe saber exactamente qué servidores dedicados, computadoras,
impresoras y otros dispositivos están conectados, dónde se conectan, y su
camino de conectividad en toda la red.
Durante su auditoría y cartografía es posible encontrar vulnerabilidades o
maneras en que se puede aumentar la seguridad, el rendimiento y la fiabilidad.
Tal vez se encuentre con un firewall mal configurado o amenazas físicas a la
seguridad.
Redes Pequeña y Grandes
Si está trabajando con una red pequeña que tiene unos pocos componentes de
red y una docena o menos estaciones de trabajo, podría realizar manualmente
la auditoría y crear un mapa visual en una hoja de un procesador de texto.
Para redes más grandes es posible encontrar programas de auditoría y
cartografía útiles, capaces de escanear la red y empezar a producir un mapa o
diagrama de la misma.
5. 2. Mantenga la Red al Día
Una vez que tenga una auditoría y mapeo completo de la red básica,
considere el buceo profundo. Compruebe si hay firmware o actualizaciones
de software en todos los componentes de la infraestructura de red.
Ingresa a los componentes para asegurar que las contraseñas por defecto
han sido cambiadas, revise la configuración de cualquier configuración
insegura, y considere otros elementos de seguridad o funcionalidad que
actualmente no esté utilizando.
También es recomendable dar un vistazo a todas las computadoras y
dispositivos conectados a la red.
6. Asegúrese de que las actualizaciones básicas estén activas:
• Sistema operativo actualizado
• Actualizaciones de los controladores
• Firewall personal esté activo
• Antivirus funcional y actualizado
• Contraseñas seguras
En la siguiente infografía podrá conocer algunos tips para crear contraseñas
seguras.
7.
8. 3. Asegure Físicamente la Red
Aunque a menudo se pasa por alto o se minimiza, la seguridad física de la red
puede ser tan importante como la de su firewall de Internet. Así como
necesita protegerse contra hackers, bots y virus, también necesita protegerse
contra las amenazas locales.
Sin una fuerte seguridad física de su edificio y la red, un hacker cercano o
incluso un empleado, podría tomar ventaja de ello.
Ejemplo:
Un empleado tal vez conecten un router inalámbrico en un puerto Ethernet
abierto, dándoles a ellos, y a cualquier persona cercana, un acceso
inalámbrico cercano a la red. Pero si ese puerto Ethernet no fuera visible o al
menos estuviera desconectado, eso no hubiera sucedido
9. Tips para Optimizar la Seguridad
Asegúrese de tener un buen plan de seguridad en el edificio para tratar de
evitar que entren los forasteros.
Asegúrese de que todos los armarios de cableado y/u otros lugares donde se
colocan los componentes de la infraestructura de red estén asegurado
físicamente tanto del público como de los empleados.
Compruebe que el cableado Ethernet se ejecuta fuera de la vista y no sea de
fácil acceso; lo mismo con los puntos de acceso inalámbricos.
Desconecte puertos Ethernet utilizados, físicamente o a través de la
configuración del switch/router, especialmente los de las zonas comunes del
edificio.
10. 4. Considere el Filtrado de Direcciones
MAC
Un problema de seguridad importante en la parte cableada de la red es la
falta de un método fácil y rápido de autenticación/cifrado; por el que la gente
puede conectarse y utilizar la red.
En el lado de la parte inalámbrica, debe tener al menos WPA2-Personal (PSK)
que es fácil de implementar.
Aunque el filtrado de direcciones MAC puede ser anulado por un hacker,
puede servir como la primera capa de seguridad. No detendrá por completo
al hacker, pero puede ayudar a evitar que un empleado, por ejemplo, cause
un agujero de seguridad potencialmente grave, como permitir que un
invitado se conecte a la red privada.
11. Para conocer más sobre la configuración del filtrado MAC te sugiero que veas el
siguiente video:
También le puede dar más control sobre qué dispositivos están en la red. Pero no
deje que esto le da una falsa sensación de seguridad, y esté preparado para
mantener actualizada la lista de direcciones MAC.
12. 5. Implemente las VLAN para Segregar
el Tráfico
Si está trabajando con una red más pequeña que aún no ha sido segmentada
en redes LAN virtuales, considere hacer el cambio. Puede utilizar VLAN para
los puertos Ethernet del grupo, puntos de acceso inalámbricos, y usuarios
entre múltiples redes virtuales.
Quizá utilice VLAN para separar la red por tipo de tráfico (acceso general,
VoIP, SAN, DMZ) por razones de rendimiento o de diseño y/o tipo de usuario
(empleados, gestión, clientes) por razones de seguridad.
13. A continuación dejo una presentación sobre las ventajas de la
implementación de las VLAN
14. Las VLAN son especialmente útiles cuando se configuran para la asignación
dinámica.
Ejemplo:
Puede conectar su computadora portátil en cualquier lugar de la red o a
través de Wi-Fi y automáticamente tendrá asignada su VLAN. Esto se puede
lograr a través del marcado de la dirección MAC o una opción más segura
sería la de utilizar la autenticación 802.1X.
Para utilizar las VLAN, el router y switches deben soportarla
Busque el apoyo IEEE 802.1Q en las especificaciones de productos. Y para los
puntos de acceso inalámbricos, es probable que querrá los que soportan
tanto el etiquetado VLAN y varios SSID.
Con múltiples SSID tiene la capacidad de ofrecer múltiples WLAN virtuales
que se pueden asignar a una determinada VLAN.
15. 6. Utilice 802.1X para la Autenticación
La autenticación y el cifrado en la parte cableada de la red es a menudo
ignorada, debido a la complejidad que implica. Para TI tiene sentido cifrar las
conexiones inalámbricas, pero no se olvide o ignore la parte cableada.
Un hacker local podría conectarse a su red sin nada que le impida el envío o
recepción de datos.
A pesar de que la implementación de la autenticación 802.1X no encriptaría
el tráfico Ethernet, por lo menos haría que dejen de enviar o acceder a los
recursos de la red hasta que se hayan proporcionado credenciales de acceso.
Puede utilizar la autenticación en el lado inalámbrico, entonces, para
implementar la seguridad WPA2 de nivel empresarial con el cifrado AES, que
tiene muchas más ventajas sobre el uso del nivel personal (PSK) de WPA2.
16.
17. Otra gran ventaja de la autenticación 802.1X es la capacidad de asignar
dinámicamente los usuarios a las VLAN.
Para implementar la autenticación 802.1X primero necesita un servidor de
autenticación remota Dial-In User Service (RADIUS), que sirve básicamente
como la base de datos de usuario, y es el componente que autoriza/niega el
acceso a la red.
Si tiene un servidor Windows que ya tiene un servidor RADIUS: el servidor de
políticas de red (NPS, por sus siglas en inglés); o en versiones anteriores de
Windows Server, es el Internet Authentication Service (IAS). Si no tiene un
servidor, podría considerar servidores RADIUS independientes.
18. En la siguiente imagen podrás notar como funciona los la autentificación
802.1X
19. 7. Utilice VPN para Cifrar PC o
Servidores Seleccionados
Si realmente busca asegurar el tráfico de red, considere el uso del cifrado.
Recuerde, incluso con la VLAN y la autenticación 802.1X, alguien puede espiar en
la red (VLAN) para capturar el tráfico sin cifrar, lo cual podría incluir contraseñas,
correos electrónicos y documentos.
Aunque puede cifrar todo el tráfico, primero analice su red. Podría tener más
sentido cifrar solo las comunicaciones seleccionadas que consideren las más
sensibles y que no están encriptadas.
Ejemplo:
A través de certificados SSL/HTTPS. Puede pasar el tráfico sensible a través de una
VPN estándar en el cliente, lo cual podría ser utilizado solo durante la
comunicación sensible o forzada a utilizarse todo el tiempo.
20. Consejo Extra: +1 Encripte Toda la Red
También puede cifrar o
encriptar una red
completa. Una opción es
IPsec. Un servidor de
Windows puede servir
como servidor de IPsec y la
capacidad de cliente
también está soportada
nativamente por Windows.
En la presentación de abajo
podrás conocer más sobre
los protocolos IPSec y sus
ventajas
21. En este sentido hay que considerar que el proceso de cifrado puede ser una
sobrecarga en la red; las tasas de rendimiento efectivas pueden caer
dramáticamente.
También hay soluciones de cifrado de red patentadas por ahí a proveedores
de redes, muchas de las cuales utilizan un enfoque Capa 2 en lugar de Capa 3
como IPsec para ayudar a la reducción de la latencia y los gastos generales.
Fuente Original:
http://www.servidores-dedicados.com.mx/blog/proteger-red-
de-computadoras