El documento describe las diferentes zonas de una red corporativa y cómo se segmentan para mejorar la seguridad. Se explica que los servicios accesibles desde Internet se colocan en una zona desmilitarizada (DMZ), mientras que los servicios internos están en la intranet. Los routers dividen la red y controlan el tráfico entre zonas. También se menciona la importancia de actualizar el firmware de los dispositivos de red y auditar el tráfico de red para detectar anomalías.

1. 1

2. 2

3. 3

4. 4

5. 5

6. Dentro de una red siempre habrá servicios que deberán ser accesibles desde
cualquier parte del mundo o desde las delegaciones de una empresa. Esos servicios
accesibles desde lugares externos a la intranet de la empresa, se instalarán en lo que
se conoce como la zona desmilitarizada, donde los servidores pueden ser accedidos
desde Internet y se permite el tráfico entrante desde fuera de la red de la empresa,
normalmente desde Internet.
Habrá otra parte de la red interna o intranet de la empresa (zona privada) donde
estarán los servicios que no deben ser accesibles desde el exterior. Puede incluso que
algunos servidores que están en la zona desmilitarizada o zona DMZ accedan para
solicitar información. Un claro ejemplo es el servidor web que se coloca en la zona
desmilitarizada pero que necesita realizar accesos a la base de datos de la empresa
para responder a consultas o proporcionar datos de clientes.
Son los routers los que dividen la red interna de la empresa en unidades más
pequeñas, los que dicen qué tráfico está permitido y cual no y mantienen una lista
con los equipos pueden realizar solicitudes hacia otras redes u otros servidores
concretos. Se encargan pues de filtrar el tráfico y de autorizar o denegar el acceso.
En ocasiones, los criminales con conocimientos informáticos consiguen controlar
alguno de los equipos que se encuentran en la zona desmilitarizada. Posteriormente
averiguan si a ese equipo el router le permite contactar con alguna máquina concreta
de la intranet con el fin de tomar el control de la misma y poder acceder a los datos
que circulan por ella.
6

7. Para evitarlo, a veces se separan las redes no solo por un router, sino que es
necesario atravesar dos para llegar a la red de destino.
En el espacio entre estos dos routers no se ubican servicios ni máquinas. El objetivo
es que ambos actúen como barreras naturales contra tráfico que pretende vulnerar la
seguridad. A estas redes se las conoce como redes perimetrales pues separan
entornos o redes con seguridad diferente.
6

8. 7

9. Todos los dispositivos de red, llevan su propio software de control, que debe
actualizarse siempre que haya versiones nuevas que resuelvan fallos de seguridad,
mejoren o añadan algoritmos de cifrado u optimicen su trabajo de algún modo. Este
software es conocido con el nombre de firmware. Ejemplos de dispositivos de red
con firmware son los switches y los routers. Aunque también otros aparatos
electrónicos como los televisores y los reproductores de video permiten actualizar el
firmware.
La mayoría de dispositivos de red se puede configurar remotamente. Del mismo
modo, puede leerse su configuración y pueden enviar información en intervalos de
tiempo sobre rendimientos, consumo de memoria, temperatura, errores que se han
producido, etc. La información que estos dispositivos proporcionan pueden
trasladarla a una base de datos mediante el protocolo estándar SNMP.
Posteriormente y mediante consultas es posible acceder a esta base de datos y
conocer la configuración de cada dispositivo de la red, además de datos técnicos
específicos.
Muchos de estos dispositivos pueden auditar las comunicaciones y la información
que se envía por la red, a pesar de que ello puede ralentizarla y reducir el
rendimiento de estos dispositivos. Durante las tareas de auditoria o logging,
normalmente la información registrada se almacena en algún equipo conectado a la
red que aglutina los informes recibidos.
Existen herramientas que pueden instalarse en los servidores con el fin de que todos
8

10. ellos envíen por la red toda la información que registran a un único punto de control,
de modo que además de almacenar cada uno su parte de la información, se hace una
copia completa de toda ella en otro sistema. Esto permite que los sistemas de
detección de intrusos puedan detectar anomalías en la red, tráfico no habitual, o
abusos en el uso de los recursos, y puedan emitir una alarma.
8

11. Para que una red sea segura, debe diseñarse en base a unas normas, que deben
mantenerse mientras exista la infraestructura de red.
Las normas deben especificar cómo debe crecer la red, por qué tiene el diseño
actual, qué tecnologías emplea, como se gestionan los niveles de seguridad y que
estándares sigue.
Además debe definir como deben actuar los usuarios de la misma, qué medidas de
seguridad deben seguir, a quienes deben acudir y en qué casos, quien podrá
solventar sus dudas, y qué operaciones están permitidas y cuales no.
Dado que las incidencias son inevitables, cuando se produzcan, los protocolos de
actuación ayudarán a reducir los tiempos de respuesta y de recuperación, así como a
reducir los posibles daños.
Evitarán también que se pierdan pruebas y permitirán analizar el incidente con
posterioridad con el fin de tomar medidas adicionales.
9

12. 10

13. 11

14. 12

15. 13

16. 14

17. 15

18. 16

19. 17