Todo buen administrador de redes sabe que seguramente el próximo ataque a sus sistemas provenga de su red. Por malicia o desconocimiento, los usuarios que se encuentran del lado interno tienen mucho más poder destructivo que los externos y eso es así gracias a los administradores confiados.
Hoy en día la gran mayoría de administradores ya tiene esto en cuenta y los usuarios internos están más controlados, aunque sea a nivel de aplicación. Como este blog nace con la idea de ayudar a los que menos experiencia tienen, vamos a explicar un poco por encima lo que podemos hacer para no dejar andar a nuestros usuarios a su antojo por toda nuestra red.
Vamos a empezar por marcarnos un objetivo: Evitar que usuarios no autorizados (llamémosles NA) accedan a máquinas con datos confidenciales (digamos SERVIDOR). Lo típico ¿no?
Una vez tenemos claro el objetivo, vamos a radicalizar nuestra postura y bloquearemos todo acceso del grupo de usuarios NA a SERVIDOR. ¿Cómo? Vamos a tirar por la solución ideal.
1) Lo ideal si nuestra electrónica de red lo permite: Separarlos en 2 VLAN's distintas. Pongamos a NA en la VLAN "Usuarios" (ID 10) y a SERVIDOR en la VLAN "Servidores" (ID 20).
Acabamos de cortar todo acceso entre los puntos de red de los usuarios y los de los servidores. Asegurémonos de no dejar puertos libres en el switch configurados en la VLAN "Servidores", de forma que nadie pueda pinchar una máquina ahí y tardemos en darnos cuenta de la intrusión.
2) Vamos a colocar un firewall dentro de nuestra red:
La idea es tratar la VLAN de usuarios como "zona peligrosa" y la VLAN de servidores como "zona a proteger". Pincharemos el firewall en nuestro switch de la siguiente manera:
El puerto "externo" pinchado en la VLAN de usuarios y el puerto "interno" en la VLAN de servidores.
Una vez pinchado el firewall vamos a ponerle una IP interna, otra IP externa y configuraremos las rutas para que las máquinas de ambas VLAN's puedan intercambiar información. Acto seguido bloquearemos todo el tráfico entre las dos interfaces (VLAN 10 y 20).
3) Ahora toca establecer una tabla donde veamos de un vistazo rápido que máquinas de la VLAN de usuarios necesitan alcanzar ciertos recursos de la VLAN de servidores (y que recursos son estos). Con esta tabla trabajaremos en las políticas del firewall para filtrar todo el tráfico por listas de acceso.
A este nivel tendríamos una seguridad bastante decente para nuestra red interna. Ahora es el turno de los sysadmin para poner un nivel de más de seguridad mediante cuentas de usuario (lo que nos permite discriminar quien accede a qué, independientemente de que máquina use).
Incluso podríamos colaborar con el departamento de sistemas, y que nuestro firewall autorizara el paso a ciertos recursos después de consultar usuario y contraseña contra un servidor RADIUS... O de validar los usuarios remotos (que vengan por una VPN) también contra el RADIUS de los chicos de sistemas.
Fuente: http://www.seguridadinformatica.es/
Colaborador.
hgghmhgmghmhgmhm
ResponderEliminarvxdxcvxcv
Eliminar