¿Tal cosa como demasiada segregación de red?

Navega tus respuestas
5

Uno de los mayores puntos de fricción que veo entre equipos de redes, equipos de seguridad y usuarios es la idea de la segregación de la red. Por ejemplo, el equipo de red desea aislar a todos los que están detrás de las VLAN, de modo que, por ejemplo, los usuarios ni siquiera puedan navegar por la dirección IP de una herramienta de seguridad. El razonamiento es que si todo está segregado, entonces eso limita la exposición potencial de ese dispositivo sensible al ataque. A la inversa, los usuarios del equipo de seguridad encuentran esto incómodo, porque si necesitan VPN y ver eventos por la noche, deben utilizar un cuadro de salto porque no pueden acceder a la interfaz desde la VLAN de la que forman parte.

Lo que quiero saber es cómo las personas suelen abordar este choque entre "seguridad" y usabilidad. Para mí, preferiría que la aplicación realizara la autenticación, en lugar de confiar en la VLAN en la que se encuentra alguien.

    
pregunta appsecguy 24.02.2015 - 03:27
fuente

3 respuestas

2

Usted tiene toda la razón acerca de dónde deberían existir los mecanismos de control de acceso: dentro de la aplicación.

Algunas OWASP Top Ten verborrea aquí para usted:

  

No confíe en las credenciales falsificadas como única forma de autenticación, como direcciones IP o máscaras de rango de direcciones, DNS o búsquedas de DNS inversas, encabezados de referencias o similares

Sin embargo, en algunas redes heredadas donde la seguridad por defecto no es la norma, la segregación puede permitir mejoras continuas de control de DMZ e iSMS a lo largo del tiempo. Soy de la opinión de que este tipo de redes solo deben cerrarse, apagarse y olvidarse, pero los costos de reemplazo y las necesidades de las empresas a menudo dictan lo contrario. A menudo, esto es un indicador claro de que las empresas, TI y la gestión de servicios / cambios no están alineadas y que la organización debería contratar un nuevo CIO o reemplazar su actual.

    
respondido por el atdre 24.02.2015 - 03:49
fuente
2

A su primer punto, por supuesto, existe tal cosa como demasiada segregación. Sin embargo, no estoy de acuerdo con las respuestas aquí de que la segregación de la red es obsoleta o no tiene sentido. Es importante segregar redes dispares, y quizás piezas específicas del todo más grande.

Considere que un firewall de red es un host de bastión. Normalmente ejecuta un sistema operativo muy reducido y se utiliza para una sola función. Por lo general, a algunos usuarios se les confía acceso, y los cambios también se respaldan automáticamente usando algo como rancio.

Esto permite dos cosas. Uno es un fragmento de papel de los cambios realizados en estos dispositivos, que generalmente se realizan bajo condiciones controladas. Dos, puede hacer que sea más difícil para un atacante acceder a los datos que están buscando. Si una máquina solo puede comunicarse con los sistemas en su VLAN, es posible que no tenga acceso directo a sus datos importantes. Si todo está en un solo cubo, un único host comprometido se convierte inmediatamente en un pivote para usar contra toda su infraestructura crítica. Si tienes segmentación, esto puede ser mucho más difícil.

En cuanto a cómo enfocarlo, debe equilibrar los costos de usabilidad e implementación de la segmentación de la red con el valor de los datos involucrados. Si usted es una organización grande a la que se le puede causar un daño financiero significativo debido a una infracción, puede ser que la segregación de la red tenga sentido. Normalmente recomiendo un host de salto con autenticación de 2 factores para controlar cualquier acceso a un entorno de producción, y una pequeña lista de roles con este acceso.

    
respondido por el theterribletrivium 24.02.2015 - 21:47
fuente
0

El uso de la segregación de VLAN solo evitará la piratería informal. Los hackers profesionales no se verán obstaculizados significativamente por la segregación de VLAN. Por lo tanto, la incomodidad para los empleados es probablemente mucho mayor que la seguridad que ofrecen las VLAN.

Desafortunadamente, estás tratando con la psicología de la "ilusión de seguridad" aquí, por lo que no hay mucho que hacer.     

respondido por el Tyler Durden 24.02.2015 - 04:19
fuente

Lea otras preguntas en las etiquetas

Certificados de cliente ¿La clase ProtectedData sigue siendo un método aceptable para almacenar contraseñas?