¿Cual es la configuración de red adecuada por lo que a seguridad se refiere?. Me he dado cuenta de que mucha gente se pregunta cual sería el esquema correcto para montar una red segura. Cada uno dice la suya, pero el caso es que solo existe una forma correcta.
Por una parte hemos de diferenciar dos grandes zonas o áreas, la red interna de la empresa y la parte expuesta al exterior. La parte interna de la empresa estará compuesta por todos los puestos de trabajo de la misma y la llamaremos LAN (Local Area Network). Dicha zona estará siempre aislada del exterior mediante medidas de seguridad, como una de las patas o tarjetas de red del firewall, un router con ACL's, un proxy con ACL's, etc...
Entre esta zona e Internet tenemos la zona desmilitarizada o DMZ, en la cual se hospedarán todos los servidores que desde el exterior se verán o se accederá, pero NUNCA dejaremos dentro de esta zona una base de datos (BDD). Más adelante explicaremos porqué. Esta zona debe estar protegida del exterior (Internet) mediante un Firewall con una serie de reglas muy explícitas que se encargaran de SOLO dejar entrar/salir el tráfico de red sobre los servicios/puertos y protocolos necesarios para cada servidor/servicio ofrecido.
Esta parte ha de ser también accesible desde la parte interna si se quiere administrar desde la LAN o tener acceso por razones x. Por lo que a Bases de datos (BBDD) se refiere, todas deben estar en la parte interna de la empresa, ya que normalmente recojerá muchos datos sensibles y jamás deben exponerse al exterior, ya que en caso de ataque podrían ser copiados o borrados causando un daño exponencialmente mayor a lo que se podría prever, incluso con consecuencias legales importantes (Ley Orgánica o de Protección de Datos).
Esta parte ha de ser también accesible desde la parte interna si se quiere administrar desde la LAN o tener acceso por razones x. Por lo que a Bases de datos (BBDD) se refiere, todas deben estar en la parte interna de la empresa, ya que normalmente recojerá muchos datos sensibles y jamás deben exponerse al exterior, ya que en caso de ataque podrían ser copiados o borrados causando un daño exponencialmente mayor a lo que se podría prever, incluso con consecuencias legales importantes (Ley Orgánica o de Protección de Datos).
No estaría de más, incluso es aconsejable disponer de alguna herramienta para localizar y alertarnos de posibles intentos de ataque, comportamientos extraños en la red o vulnerabilidades en la misma, como por ejemplo un servidor OSSIM, del cual ya hablaré en un futuro próximo...
Con esta configuración de red, en caso de ser vulneradas nuestras protecciones tan solo se verían expuestos datos relativamente poco sensibles, y en ningún caso se pondría en evidencia la seguridad de toda la empresa causando un paro en esta.
Un atacante siempre buscará la parte más débil de la red para atacar, y una vez dentro irá abriéndose camino para llegar a su objetivo final. Si dejamos la zona de trabajo (LAN) expuesta al exterior, tendremos un GRAN agujero de seguridad, ya que todos sabemos que los usuarios no tendrán sus equipos tan protegidos como tendríamos nosotros los servidores, ya sea por falta de conocimientos o por desconocimiento de los peligros (etc...).