Network Segmentation Flashcards
¿Qué es un firewall y cuál es su función principal?
FIREWALLS
Un firewall es un dispositivo o software que utiliza un conjunto de reglas para controlar el tráfico de red, permitiendo o denegando conexiones. Funciona como una barrera de seguridad que protege la red de accesos no autorizados.
¿Qué es un firewall basado en hardware y cuáles son sus ventajas?
FIREWALLS
Un firewall basado en hardware es un dispositivo físico que proporciona una puerta de enlace segura entre la red interna y el exterior.
Ventajas:
- No consume recursos del sistema anfitrión.
- Protege redes completas sin impactar el rendimiento de los dispositivos conectados.
- Ofrece funciones adicionales como NAT y PAT.
Desventajas:
- Requiere un mayor nivel de conocimiento técnico para su configuración.
- Puede ser costoso en comparación con soluciones de software.
¿Qué es un firewall basado en software y cuáles son sus ventajas y desventajas?
FIREWALLS
Un firewall basado en software se ejecuta directamente en un dispositivo individual, como un servidor o una estación de trabajo.
Ventajas:
- Proporciona control granular del tráfico a nivel de aplicación.
- Ideal para proteger dispositivos específicos como servidores y estaciones de trabajo.
Desventajas:
- Consume recursos del sistema anfitrión (CPU, RAM).
- Debe instalarse y gestionarse en cada dispositivo individualmente.
¿Qué son los firewalls en la nube y para quién son adecuados?
FIREWALLS
Los firewalls en la nube, o Firewall as a Service (FWaaS), son gestionados por proveedores de servicios de seguridad externos.
Ventajas:
- No requiere hardware adicional ni mantenimiento interno.
- Adecuados para empresas con infraestructuras distribuidas o recursos limitados.
- Gestión y actualización continua por parte de un proveedor externo.
Desventajas:
- Dependencia de terceros para la seguridad.
- Puede ser costoso para organizaciones pequeñas.
¿Qué es un firewall de filtrado de paquetes (Packet Filtering Firewall) y cuáles son sus ventajas y desventajas?
FIREWALLS
Un firewall de filtrado de paquetes examina los encabezados de los paquetes de datos y toma decisiones basadas en reglas predefinidas.
Ventajas:
- Alta eficiencia y velocidad.
- Bajo costo y fácil de implementar.
- Impacto mínimo en el rendimiento de la red.
Desventajas:
- Falta de contexto, no puede diferenciar entre tráfico legítimo y no legítimo.
- Vulnerable a técnicas de suplantación.
- Gestión de reglas puede volverse compleja en redes grandes.
¿Qué es un firewall con estado (Stateful Firewall) y cómo mejora la seguridad?
FIREWALLS
Un firewall con estado (stateful firewall) rastrea el estado de las conexiones activas y analiza el contexto completo de la conexión.
Ventajas:
- Monitoreo de sesión: Los firewalls con estado ofrecen un control más granular al monitorear la totalidad de la sesión, no solo los paquetes individuales. Esto permite decisiones de seguridad más informadas.
- Control sobre el tráfico: Proporciona un control detallado sobre el tráfico permitido o denegado, mejorando la seguridad sin la necesidad de abrir múltiples puertos.
- Registro y auditoría: Ofrece capacidades avanzadas de registro, lo que permite un mejor análisis y auditoría de los eventos de red.
Desventajas:
- Consumo de recursos: Monitorear el estado de las conexiones consume más recursos del sistema, lo que puede ralentizar la red, especialmente en grandes entornos.
- Costo: Son más caros de implementar y mantener en comparación con los firewalls de filtrado de paquetes.
- Limitación en autenticación: Aunque son efectivos para rastrear sesiones, no autentican el origen del tráfico, lo que podría permitir que tráfico malicioso previamente solicitado por un usuario desprevenido atraviese el firewall
¿Qué es un firewall de próxima generación (NGFW) y cuáles son sus características principales?
FIREWALLS
Un firewall de próxima generación (NGFW) es un dispositivo avanzado que combina la inspección profunda de paquetes (DPI) con la capacidad de analizar tráfico en las capas superiores del modelo OSI.
Ventajas:
- Seguridad avanzada: Los NGFW combinan DPI con la capacidad de inspeccionar tráfico en las capas de aplicación, proporcionando una seguridad mucho más completa que los firewalls tradicionales.
- Actualización continua: Pueden recibir actualizaciones automáticas de firmas de amenazas y reglas de seguridad, manteniendo la protección actualizada frente a nuevas amenazas.
- Integración de funcionalidades: Los NGFW pueden incluir múltiples funcionalidades de seguridad en un solo dispositivo, eliminando la necesidad de sistemas adicionales y simplificando la gestión de la seguridad.
Desventajas:
- Complejidad: Para maximizar su eficacia, los NGFW a menudo requieren integración con otros sistemas de seguridad, lo que puede ser un proceso complejo y técnicamente desafiante.
- Costo elevado: Su avanzada tecnología y funcionalidad integrada los hacen significativamente más caros que otros tipos de firewalls, tanto en términos de adquisición como de operación.
- Requiere conocimientos especializados: La correcta configuración y gestión de un NGFW puede requerir conocimientos especializados, lo que implica una mayor inversión en personal capacitado o en servicios externos.
¿Por qué es crucial registrar las acciones realizadas por los dispositivos de infraestructura de red, como los firewalls?
FIREWALLS
Es crucial registrar las acciones de los firewalls para tener un historial de eventos que permita analizar y responder a incidentes de seguridad. Cada acción tomada según una regla en la ACL debe ser registrada, incluidas las denegaciones, para mantener un control adecuado sobre el tráfico de red y la seguridad.
¿Qué es un Sistema de Gestión Unificada de Amenazas (UTM) y cuáles son sus beneficios?
FIREWALLS
Un UTM es una solución integral de seguridad que combina múltiples funciones de protección, como firewall, IDS/IPS, antimalware, y filtrado web en un solo dispositivo. Se coloca en el perímetro de la red y proporciona una seguridad holística y centralizada, simplificando la gestión de la seguridad.
Ventajas:
- Integración de múltiples funciones de seguridad en un solo dispositivo.
- Simplifica la gestión de seguridad al centralizar el control.
- Ofrece protección completa y actualizada.
Desventajas:
- Puede ser costoso en comparación con soluciones individuales.
- La dependencia de un solo dispositivo para múltiples funciones puede representar un punto único de falla.
¿Qué es una Access Control List (ACL)?
Access Control List (ACL)
Una ACL es un conjunto de reglas aplicadas a una interfaz de router, switch o firewall para controlar el acceso al tráfico de red. Estas reglas permiten o deniegan paquetes basándose en criterios como direcciones IP, direcciones MAC y números de puerto.
¿Cómo se procesa una ACL?
Access Control List (ACL)
Las acciones en una ACL se procesan de arriba hacia abajo. El tráfico se compara con cada regla en orden, y si coincide con una regla, se aplica la acción correspondiente y no se procesan las reglas posteriores.
Las reglas más específicas deben colocarse primero y las más generales al final.
¿Cuáles son los componentes clave de una regla en una ACL?
Access Control List (ACL)
Los componentes clave de una regla en una ACL incluyen el tipo de tráfico (TCP/UDP), la fuente (IP origen), el destino (IP destino y puerto) y la acción a tomar (permitir/denegar).
Recomendaciones de bloqueo de tráfico con ACLs
Access Control List (ACL)
Bloqueo de Direcciones IP Internas
Es importante bloquear las solicitudes entrantes de direcciones internas, direcciones de loopback, rangos de IP multicast o rangos experimentales si provienen del exterior de la red.
Por ejemplo, una dirección IP privada como 192.168.x.x que proviene de la interfaz de Internet debe ser bloqueada, ya que es una dirección no enrutable que normalmente es utilizada por atacantes que intentan suplantar su IP.
Bloqueo de Protocolos Locales
Se deben bloquear los protocolos que solo deben utilizarse localmente, como ICMP, DHCP, OSPF, SMB, entre otros, para que no ingresen a la red desde el exterior.
Por ejemplo, SMB no debería estar disponible directamente desde Internet, sino que debe estar restringido a la red local o utilizarse solo a través de una VPN.
Configuración de IPv6
Es recomendable bloquear todo el tráfico IPv6 o permitirlo solo para hosts y puertos autorizados.
Muchas organizaciones siguen utilizando IPv4 únicamente y deben desactivar IPv6 en sus hosts y configurarlo en su firewall para evitar accesos no controlados mediante direcciones IPv6.
¿Qué es el acceso basado en roles (RBAC) en el contexto de las ACLs?
Access Control List (ACL)
El acceso basado en roles (RBAC) permite definir privilegios y responsabilidades para los administradores que gestionan firewalls y ACLs.
Los permisos se asignan según el rol del usuario, asegurando que solo los usuarios autorizados puedan modificar las ACLs o realizar cambios específicos en la configuración de red.
¿Cuáles son las principales zonas de segmentación en una red y cómo se gestionan utilizando firewalls y ACLs?
SEGMENTATION ZONES
Trusted Zone (Inside Zone) - Zona Confiable:
Esta zona corresponde a la red de área local (LAN) de la empresa, también conocida como intranet. Es la zona más segura y controlada dentro de la red, donde se encuentran los dispositivos internos de la organización.
Untrusted Zone (Outside Zone) - Zona No Confiable:
Esta zona incluye todo lo que está fuera de la red interna, como internet u otras redes externas. Se considera no confiable y se aplican restricciones estrictas para el tráfico entrante, protegiendo así la red interna.
Screened Subnet (DMZ) - Subred Protegida:
La subred protegida, o DMZ, es una zona intermedia que alberga servidores que necesitan ser accesibles desde la zona no confiable, como servidores web o de correo. Aunque se permite el acceso desde el exterior, esta zona no se considera completamente confiable, por lo que se segmenta para aplicar controles adicionales de seguridad.
¿Cómo se gestionan las zonas de segmentación con firewalls y ACLs?
SEGMENTATION ZONES
Se utilizan firewalls y listas de control de acceso (ACLs) para crear reglas específicas en cada zona.
Untrusted Zone → Trusted Zone:
Generalmente, no se permite el tráfico directo desde la zona no confiable a la zona interna, a menos que haya sido solicitado desde la Trusted Zone (por ejemplo, cuando un usuario interno solicita un recurso en internet).
Trusted Zone → Screened Subnet:
Aunque la Screened Subnet no es completamente confiable, se permite el tráfico cuando es necesario (por ejemplo, acceso a un servidor de correo), pero con restricciones para proteger la red interna.
Screened Subnet → Untrusted Zone:
La subred protegida puede solicitar información desde internet y recibir tráfico entrante en puertos específicos (por ejemplo, puertos 25, 110 y 143 para correo electrónico, y puertos 80 y 443 para tráfico web).
¿Por qué es importante la Screened Subnet en la segmentación de redes?
SEGMENTATION ZONES
La Screened Subnet permite que dispositivos externos accedan a servicios específicos sin comprometer la seguridad de la red interna, aplicando un control más estricto con tecnologías adicionales como IDS/IPS y UTM.
¿Cuál es la función principal de una screened subnet en la arquitectura de red?
SCREENED SUBNET Y JUMPBOX
La función principal de una screened subnet es aislar y proteger los servidores expuestos a internet, permitiendo que reciban tráfico desde la outside zone sin poner en riesgo la inside zone. De esta manera, los dispositivos internos permanecen invisibles y protegidos de amenazas externas.
¿Qué tipo de servidores se deben ubicar en la screened subnet?
SCREENED SUBNET Y JUMPBOX
En la screened subnet se deben ubicar servidores que necesitan ser accesibles desde internet, como servidores de correo, web, proxy y acceso remoto.
Estos servidores deben estar debidamente fortalecidos y protegidos debido a su exposición a posibles ataques externos.
¿Qué es un bastion host y qué características debe tener en la screened subnet?
SCREENED SUBNET Y JUMPBOX
Cualquier host ubicado en la screened subnet debe ser un bastion host, es decir, un servidor configurado sin servicios que se ejecuten en la red local.
Por ejemplo, no se debe ejecutar un servicio interno como Active Directory en la screened subnet. Solo deben ejecutarse servicios orientados a internet, como correo electrónico, web y acceso remoto, ya que estos pueden ser fortalecidos y están diseñados para ser más resistentes a los ataques.
¿Cuál es la función de un jumpbox en la gestión de la screened subnet?
SCREENED SUBNET Y JUMPBOX
Para configurar de manera segura los dispositivos dentro de la screened subnet, se utiliza un jumpbox.
Un jumpbox es un servidor fortalecido que proporciona acceso a otros hosts dentro de la screened subnet.
Este servidor actúa como un punto intermedio que permite a los administradores conectarse de manera segura a los dispositivos en la screened subnet. Todo el acceso desde la red interna hacia la screened subnet se gestiona a través del jumpbox, lo que hace que sea crucial mantenerlo bien protegido y seguro.
El jumpbox puede ser una PC física o una máquina virtual. Muchas organizaciones prefieren usar máquinas virtuales como jumpbox porque pueden ser fácilmente fortalecidas, utilizadas temporalmente y luego eliminadas y reconstruidas rápidamente a partir de una imagen conocida y segura.
¿Por qué es importante fortalecer tanto el jumpbox como la estación de gestión?
SCREENED SUBNET Y JUMPBOX
Estos dispositivos son los únicos que tienen permiso para atravesar el firewall y acceder a la screened subnet desde la red interna, por lo que su seguridad es crítica.
Tanto el jumpbox como la estación de gestión utilizada para conectarse a él deben tener solo el software mínimo necesario para realizar sus funciones y deben estar debidamente fortalecidos.