miércoles, 8 de mayo de 2024

De redes sucias, limpias y filtradas

En las empresas existen redes, subredes, entornos y zonas en las que podemos estar más o menos seguros y confiar en ellas, pero debemos tener claro que en el origen puede estar un problema que puede propagarse por todas las subredes y hacer que estas divisiones, al final, no sirvan para nada.



De entornos

En cuanto a los entornos, generalmente se han diferenciado tres:

  • Producción o productivo: es el entorno donde los servidores, appliances y servicios son de carácter productivo, o sea, donde los usuarios hacen su trabajo diario generando datos e información para la organización.
  • Pre-producción, pre-productivo o de integración: entorno utilizado como sistema de pruebas y rendimiento antes de pasar a producción. Suelen ser entornos muy parecidos o idénticos a los de producción, pero con datos no reales y que sirven para probar en profundidad su funcionamiento y evitar problemas cuando estos se pongan en modo productivo.
  • Desarrollo, laboratorio, etc.: entorno en el que se desarrolla o configura un sistema durante un periodo de tiempo y que es pasado a pre-producción cuando es finalizado.

Los entornos están más relacionados con las fases de desarrollo y/o configuración de los distintos productos a usar por la organización. Suelen estar en subredes distintas y se pueden subdividir en otras subredes, VLANes, etc.

De redes/subredes

Aunque también se les suele llamar entornos, existen unas divisiones en cuanto a las comunicaciones de forma que de unas a otras haya restricciones, normalmente mediante routers y firewalls.

Estas redes suelen ser dos, principalmente:

  • DMZ o zona desmilitarizada que expone servicios a Internet
  • Intranet o zona privada de la organización que no expone servicios a Internet

A su vez, existen otras redes o subredes como son la Extranet que se podría decir que es una Intranet desde fuera, pero que no deja de ser (en la mayor parte de los casos) un servidor puesto en la DMZ que da paso a otro que está en la Intranet.

Además, existen elementos que subdividen y filtran el paso del tráfico y que son:

  • Firewalls que permiten bloquear puertos y tráfico de la red en cualquier sentido
  • Routers que enrutan el tráfico de red hacia donde hace falta, aquí también podemos mencionar los balanceadores que pueden dirigir el tráfico entre varios servidores para la misma tarea
  • VLANes o redes locales virtuales y que son una abstracción y virtualización de una red física donde partes de ella pueden ser o no ser accesibles. Suelen crearse para dividir unidades organizacionales como Ventas, Facturación, etc.

Con todo esto (y algunas cosas más, pero que no las incluiré para no liar más) se crea una arquitectura básica de red y servidores que nos indica el nivel de seguridad de esta y los accesos. Un ejemplo podría ser el siguiente:


De redes sucias, limpias y filtradas

¿Y qué tiene que ver esto con redes sucias, limpias y/o filtradas?, pues mucho. Para considerar una red como límpia hay que establecer su origen. El origen de una comunicación podemos decir que puede ser limpia cuando no hay interacción humana y está dentro de un ámbito de control muy determinado. Por ejemplo, en este caso entre servidores o VLANes dentro de la Intranet, como podría ser entre los servidores de tecnología y los de empresa.

Hay que entender también que no se han añadido elementos de detección y protección como son los DLP, XDR, Antivirus/Antimalware, etc., pero que se supone deben de estar considerados en todo el ámbito de la red.

En este sentido, si el origen es de un usuario, aunque este sea de dentro de la organización, o sea, dentro de la misma Intranet, se considerará que es tráfico de red sucio pues proviene de un elemento que es controlado por una persona no técnica ni es por un servidor de forma automatizada.

También podemos considerar una red sucia la que proviene de un usuario externo aunque esta pase por una VPN. Aquí pueden darse, además, variantes ya que la podemos considerar como sucia si proviene de un equipo no controlado por la organización (por ejemplo una subcontrata) y como filtrado si proviene de un equipo propio de la organización. Igual podemos determinar cuando es por equipos de usuarios dentro de la Intranet.

¿Se puede limpiar?, claro, siempre que ese tráfico pase por una serie de elementos como un antivirus, un XDR, etc., podríamos decir que está limpia y por tanto es algo muy subjetivo. También podemos considerar que, aunque pase por otros elementos de control y detección de malware consideramos que dicha parte de la red es sucia. En el caso del ejemplo, consideraríamos que tanto la VPN de acceso a externos como la VLAN de usuarios son redes sucias y las redes de tecnología y empresa son redes limpias.

Esto es muy importante a la hora de establecer donde deben estar los elementos de detección, control y bloqueo del tráfico y de cómo actuar cuando haya que establecer conectividades y accesos dentro de la organización.

Por ejemplo, en el ejemplo anterior, podríamos determinar los siguientes elementos de detección y control:


Hay que entender que todo esto es muy dinámico ya que podemos considerar, según la criticidad de la subred (pagos, industrial...), que las que al principio eran limpias ahora son sucias debido a que puede haber, por ejemplo, ataques en la cadena de suministro, pero es, sin duda, una buena manera de establecer determinados controles para evitar problemas.






No hay comentarios:

Publicar un comentario

El "timo de la estampita", más vigente que nunca

Que las nuevas tecnologías han mejorado la estafa es un hecho y que los viejos rockeros nunca mueren, también. La siguiente historia está ba...