Definición de segmento de red

Anuncios

La segmentación de redes en redes informáticas es el acto o la práctica de dividir una red informática en subredes, cada una de las cuales es un segmento de red. Las ventajas de esta división son principalmente para aumentar el rendimiento y mejorar la seguridad.

Segmento de red es un sinónimo de LAN: es un conjunto de equipos (computadoras y periféricos) conectados en red.

Una gran red en una organización puede estar compuesta por muchos segmentos de red conectados a la LAN principal llamada backbone, que existe para comunicar los segmentos entre sí.

En el gráfico puede observarse dos segmentos (que pueden estar en dos pisos distintos de una empresa) compuestos de tres computadoras conectados al backbone que los comunica.




Ventajas de la segmentación de redes

- Reducción de la congestión: Se consigue un mejor rendimiento, ya que en una red segmentada hay menos hosts por subred, lo que minimiza el tráfico local.

- Seguridad mejorada:

1) Las transmisiones serán contenidas a la red local. La estructura interna de la red no será visible desde el exterior.

2) Hay una superficie de ataque reducida disponible para pivotar si uno de los hosts en el segmento de red está comprometido. Los vectores de ataque comunes como el LLMNR y el envenenamiento por NetBIOS pueden ser parcialmente aliviados mediante una adecuada segmentación de la red, ya que sólo funcionan en la red local. Por esta razón, se recomienda segmentar las distintas áreas de una red por uso. Un ejemplo básico sería dividir los servidores web, los servidores de bases de datos y las máquinas de usuario estándar, cada uno en su propio segmento.

3) Al crear segmentos de red que contienen sólo los recursos específicos de los consumidores a los que autoriza el acceso, está creando un entorno de menor privilegio.

- Contención de problemas de red: Limitar el efecto de las fallas locales en otras partes de la red.

- Controlar el acceso de los visitantes: El acceso de los visitantes a la red puede controlarse mediante la implementación de VLANs para segregar la red.


Cuando un ciberdelincuente obtiene acceso no autorizado a una red, la segmentación o "zonificación" puede proporcionar controles eficaces para limitar el movimiento a través de la red. PCI-DSS (Payment Card Industry Data Security Standard), y normas similares, que proporcionan orientación sobre la creación de una separación clara de los datos dentro de la red, por ejemplo, separando la red para las autorizaciones de tarjetas de pago de la red para el tráfico de puntos de servicio (caja) o el tráfico wi-fi de clientes. Una buena política de seguridad implica la segmentación de la red en múltiples zonas, con diferentes requisitos de seguridad, y la aplicación rigurosa de la política sobre lo que se permite mover de una zona a otra.

Controlar el acceso de los visitantes

Los departamentos de Finanzas y Recursos Humanos suelen necesitar acceso a sus servidores de aplicaciones a través de su propia VLAN debido a la naturaleza confidencial de la información que procesan y almacenan. Otros grupos de personal pueden requerir sus propias redes segregadas, tales como administradores de servidores, administración de seguridad, gerentes y ejecutivos.

A los terceros se les suele exigir que tengan sus propios segmentos, con diferentes contraseñas de administración de la red principal, para evitar ataques a través de un sitio de terceros comprometido y menos protegido.