Magic Quadrant™ para la gestión de acceso privilegiado 2025: Netwrix reconocida por cuarto año consecutivo. Descarga el informe.

ContáctenosSoporteCommunity
English Español Italiano Français Deutsch Português
Plataforma
Soluciones

Data Security Posture Management

Descubra y clasifique datos en entornos híbridos. Evalúe, priorice y mitigue los riesgos para los datos sensibles.

Directory Management

Simplifique y asegure la administración del directorio reduciendo la complejidad, el riesgo y el esfuerzo manual.

Endpoint Management

Asegure los endpoints y prevenga la pérdida de datos mientras mantiene a los equipos productivos, sin importar dónde trabajen.

Identity Management

Asegure cada identidad, agilice cada proceso y manténgase a la vanguardia del cumplimiento, sin añadir complejidad.

Identity Threat Detection & Response

Manténgase a la vanguardia de las amenazas basadas en identidades: remedie proactivamente los riesgos, bloquee ataques y asegure una recuperación rápida.

Privileged Access Management

Reduzca su superficie de ataque eliminando privilegios permanentes, asegurando credenciales y monitoreando sesiones privilegiadas.
Productos destacados Ver todos los productos
Netwrix AuditorNetwrix Access AnalyzerNetwrix PingCastleNetwrix Endpoint Protector

La plataforma Netwrix 1Secure™

Explorar
Netwrix AI Entornos que protegemos Integraciones MSPs Riesgos de seguridad de Active Directory Cumplimiento Precios
Centro de Recursos Ver todo
BlogAttack CatalogCumplimientoHistorias de clientesMarcos de CiberseguridadGlosario de CiberseguridadEventosFreewareGuíasIdeas PortalNoticiasPodcastsPublicacionesAnuncios de ProductosInvestigaciónWebinars
Asset not found

Historia Destacada de un Cliente

DXC Technology permite a los clientes lograr el cumplimiento de PCI DSS y centrarse en iniciativas estratégicas
Socios
Programa de SociosConviértete en un SocioMSPsBuscador de sociosWebinars
Asset not found

Historia Destacada de Cliente

AppRiver mejora el control sobre Active Directory al tiempo que reduce significativamente el tiempo de auditoría
Asset not found

Historia Destacada de un Cliente

MSP ayuda a cliente a recuperarse de un ransomware en 6 horas
¿Por qué Netwrix?
Acerca de nosotrosLiderazgoNetwrix AIHistorias de clientesReconocimientoNoticiasCarreras
Asset not found

Historia Destacada de un Cliente

Horizon Leisure Centres acelera la clasificación de datos para cumplir con el RGPD y ahorra £80,000 al año
Asset not found

Historia Destacada de un Cliente

Samsung R&D Institute protege los datos con uso multiplataforma y despliegue rápido en macOS utilizando Netwrix Endpoint Protector
Centro de recursosMejores prácticas
Mejores prácticas de seguridad de red

Mejores prácticas de seguridad de red

Las mejores prácticas robustas de seguridad de red son más importantes que nunca para proteger contra las amenazas cibernéticas cada vez más sofisticadas de hoy en día. Este artículo explora una variedad de mejores prácticas y tecnologías de red y seguridad que necesita para fortalecer su red contra el acceso no autorizado y las violaciones de datos.

Tipos de dispositivos de red y soluciones de seguridad

Antes de profundizar en las mejores prácticas de seguridad de redes empresariales, revisemos los tipos comunes de dispositivos de red y soluciones de seguridad de las que las organizaciones pueden beneficiarse:

  • Los puentes se utilizaban anteriormente para conectar dos o más hosts o segmentos de red. Están obsoletos y ya no se utilizan.
  • Los concentradores eran utilizados para conectar dispositivos de red de área local (LAN). Debido a que no tienen inteligencia incorporada, los concentradores rara vez se usan en configuraciones de red modernas.
  • Un network switch es el dispositivo de red predeterminado que conecta computadoras, servidores, impresoras y otros dispositivos en una LAN. Utiliza direcciones MAC para gestionar y enviar datos a dispositivos específicos. A diferencia de un hub, un switch puede dirigir el tráfico de manera inteligente para reducir la congestión de la red y mejorar el rendimiento de la misma.
  • Un router de red dirige paquetes de datos entre diferentes redes para facilitar la conectividad a Internet y la comunicación de red interna. Los routers utilizan direcciones IP para determinar la ruta más eficiente para la transmisión de paquetes de datos a través de las redes. También pueden proporcionar características de seguridad como listas de control de acceso para restringir el acceso a la red.
  • Un gateway actúa como intermediario para dispositivos en redes separadas, permitiéndoles comunicarse incluso si utilizan diferentes protocolos de comunicación.
  • Un firewall segrega una red de otra. Los firewalls están disponibles en forma de hardware y software y pueden integrarse en dispositivos como enrutadores o servidores. El ejemplo clásico de un firewall es un dispositivo dedicado que actúa como barrera entre la red interna y el mundo exterior.
  • Un sistema de network access control (NAC) evalúa si los dispositivos que intentan acceder a la red cumplen con los estándares de seguridad definidos (como software antivirus actualizado, actualizaciones del sistema y configuraciones específicas) y luego otorga o deniega el acceso.
  • Un filtro web restringe el acceso a contenido de internet basado en criterios predefinidos. Por ejemplo, este tipo de solución de seguridad puede bloquear el acceso a sitios web maliciosos o inapropiados según lo definido por las políticas de una organización.
  • A proxy server acts as an intermediary between a user's device and the internet. Proxy servers can mask the user's IP address as well as filter web requests to block access to malicious sites or content.
  • Un filtro de correo electrónico (filtro de spam) ayuda a prevenir que los correos electrónicos no deseados lleguen a la bandeja de entrada del usuario o entrega el correo electrónico pero elimina los hipervínculos y adjuntos potencialmente maliciosos. Los filtros simples utilizan políticas organizacionales o patrones especificados por el proveedor para detectar spam; los filtros avanzados emplean métodos heurísticos para identificar patrones sospechosos o la frecuencia de palabras.
  • La mitigación de DDoS herramientas están diseñadas para identificar ataques de denegación de servicio distribuido (DDoS) en sus primeras etapas, absorber el aumento asociado del tráfico y ayudar a localizar el origen del ataque.
  • Los balanceadores de carga contribuyen a la seguridad de la red distribuyendo uniformemente el tráfico de red entre varios servidores. Por ejemplo, pueden ayudar a prevenir que un solo servidor se sobrecargue durante un ataque DDoS.

Para obtener más información de fondo, revise el modelo OSI para sistemas de red en el Apéndice A.

Mejores prácticas de seguridad de red empresarial

Con esos conceptos básicos en mente, exploremos las mejores prácticas de seguridad de red conocidas que pueden ayudar a su organización a mejorar su postura de seguridad para bloquear ataques, así como las mejores prácticas para detectar y responder rápidamente a amenazas en curso.

Mejores prácticas de seguridad de red para la prevención de amenazas

Segregue su red.

Una de las mejores prácticas fundamentales para la seguridad de la red, network segmentation implica dividir una red en zonas lógicas o funcionales. Esto se puede lograr mediante medios físicos como enrutadores y conmutadores, o virtualmente mediante el uso de VLANs. El objetivo es contener una violación de seguridad en una sola zona y así limitar la interrupción y el daño. La segmentación también permite a los equipos de TI aplicar diferentes controles de seguridad y monitoreo a cada zona. 

In particular, organizations can set up a demilitarized zone (DMZ) to serve as a buffer between its internal network and the internet or other untrusted networks. The DMZ hosts external-facing services like web application servers; if these services are compromised, an attacker does not have direct access to the internal network.

Una forma extrema de segmentación es el air gap, donde los sistemas (como servidores con copias de seguridad u otra información sensible) están completamente desconectados de la red.

Coloque sus dispositivos de seguridad correctamente.

La forma en que posicionas tus dispositivos de seguridad afecta el nivel de protección que proporcionan. El posicionamiento efectivo de los cortafuegos es especialmente importante. Idealmente, un cortafuegos debe estar situado en cada unión de zonas de red para funcionar como una barrera entre los diferentes segmentos. Los cortafuegos modernos a menudo vienen con características integradas como sistemas de detección y prevención de intrusiones, mitigación de DDoS y filtrado web, lo que los hace muy adecuados para la defensa perimetral.

Los firewalls de aplicaciones web (WAFs) se colocan mejor en zonas donde se alojan las aplicaciones, como la DMZ. Esta ubicación ayuda a proteger las aplicaciones web de amenazas como la inyección de SQL y el scripting entre sitios. Los balanceadores de carga que gestionan el tráfico de aplicaciones o los servidores DNS también deben ubicarse dentro de la DMZ para optimizar el flujo de tráfico y mejorar la seguridad.

Asegure físicamente los equipos de red.

Otra mejor práctica para la infraestructura de red segura es controlar estrictamente el acceso a la infraestructura de red. Solo el personal autorizado debe tener acceso a áreas como cuartos de cableado, bastidores de distribución principal (MDFs), bastidores de distribución intermedia (IDFs), servidores y especialmente centros de datos. Se debe requerir autenticación para entrar a cualquier área crítica.

Además, las organizaciones deberían prohibir el uso de memorias USB y discos externos para evitar que los internos extraigan datos sensibles.

Utilice la traducción de direcciones de red.

La traducción de direcciones de red (NAT) convierte todas las direcciones privadas de una organización en una única dirección IP pública para las comunicaciones externas. Sin NAT, el mundo se habría quedado sin direcciones IPv4 hace mucho tiempo. Pero el beneficio de NAT para la seguridad de la red es que oculta la estructura de la red interna a personas externas, añadiendo una capa de privacidad y seguridad.

Utilice cortafuegos personales.

Los cortafuegos personales son cortafuegos basados en software que residen en cada computadora o servidor. Aunque frecuentemente están integrados en el sistema operativo, también pueden ser instalados como aplicaciones de terceros. Al igual que los cortafuegos convencionales, restringen el tráfico entrante y saliente para proteger el dispositivo.

Configurar cortafuegos personales inicialmente puede llevar tiempo debido a la variedad de aplicaciones y servicios que se ejecutan en un dispositivo. Sin embargo, omitir este paso por comodidad puede dejar los dispositivos vulnerables a malware y ataques de piratería informática. Siempre active los cortafuegos personales para garantizar la seguridad de cada dispositivo dentro de la red más amplia.

Utilice la lista blanca cuando sea posible.

La lista blanca de aplicaciones es la práctica de crear una lista de software aprobado y permitir solo la ejecución de esas aplicaciones. Esta estrategia puede reducir significativamente el riesgo; por ejemplo, puede prevenir la ejecución de malware entregado por ataques de phishing o sitios web maliciosos.

Sin embargo, la lista blanca no siempre es práctica, ya que la lista debe mantenerse actualizada con todas las aplicaciones que alguien en la organización tenga una razón legítima para ejecutar.

Utilice un servidor proxy web para gestionar el acceso a internet.

Al autenticar y monitorear las conexiones salientes, un servidor proxy web ayuda a garantizar que solo se permita el tráfico web iniciado por usuarios legítimos. Por ejemplo, esto ayuda a prevenir que el malware dentro de la red se comunique con el servidor de comando y control del atacante.

Haga cumplir el principio de mínimo privilegio.

Centrarse únicamente en las amenazas cibernéticas externas puede pasar por alto el aspecto igualmente crítico de las amenazas internas. Es vital restringir los derechos de acceso de cada usuario a lo que es esencial para sus roles; esto reduce el daño que un usuario puede hacer accidental o deliberadamente, y el poder que un atacante ganaría al comprometer la cuenta. Además, implemente medidas de autenticación fuertes para hacer inútiles las credenciales robadas.

Requiera VPNs para el acceso remoto.

Una red privada virtual (VPN) establece una conexión de red segura y privada sobre una infraestructura de red pública. Permite a los usuarios remotos conectarse a la red como si estuvieran conectados localmente. Las VPN también se pueden utilizar para conectar de manera segura LANs a través de internet utilizando un túnel seguro que cifra todos los datos en tránsito. Las VPN requieren hardware especializado o software de VPN instalado en servidores y estaciones de trabajo.

Mejores prácticas de seguridad de red para la detección y respuesta ante amenazas

Establezca protocolos de red base y monitoree el uso.

Establezca el uso base de diferentes protocolos en sus redes cableadas e inalámbricas. Para crear una base precisa, los datos deben recopilarse de una variedad de fuentes, incluyendo enrutadores, conmutadores, cortafuegos, puntos de acceso inalámbricos, analizadores de red y recolectores de datos dedicados. Luego monitoree las desviaciones de estas bases, las cuales pueden ser indicativas de túneles de datos, software malicioso transmitiendo datos a destinos no autorizados y otras amenazas.

Utilice honeypots y honeynets.

Un honeypot es un sistema señuelo diseñado para parecer un activo de red real, y un honeynet es una red de honeypots que simula un entorno de red más grande y complejo. Están diseñados para atraer a los adversarios a interactuar con ellos, tanto para desviar a los actores maliciosos de los verdaderos activos como para permitir a los equipos de seguridad estudiar las técnicas de ataque y recopilar otra inteligencia para una gestión de amenazas efectiva.

Utilice sistemas de detección y prevención de intrusiones.

Es vital monitorear y registrar la actividad a través de la red y analizarla para detectar inicios de sesión inusuales, eventos sospechosos en computadoras y otras anomalías. Un intrusion detection system (IDS) monitorea los flujos de datos de la red en busca de actividad potencialmente maliciosa y alerta a los administradores sobre anomalías. Un intrusion prevention system (IPS) también monitorea el tráfico de la red en busca de amenazas; sin embargo, además de alertar a los administradores, puede tomar medidas automáticamente para bloquear o mitigar las amenazas. 

Estas herramientas pueden ser una parte valiosa de su estrategia de seguridad de red. Por ejemplo, al comparar la actividad actual con una línea base establecida, podrían detectar un pico en la actividad de la red que podría indicar un ataque de ransomware o inyección SQL. También pueden utilizar firmas de ataque — características comunes a un ataque específico o patrón de ataques — para detectar ataques que no generan actividad que viole la línea base de su organización.

Automatice la respuesta a los ataques cuando sea apropiado.

Muchas herramientas de seguridad modernas pueden configurarse para responder automáticamente a amenazas conocidas. Por ejemplo, estos sistemas pueden:

  • Bloquear dirección IP — Un IPS o firewall puede bloquear la dirección IP desde la cual se originó el ataque. Esta opción es muy efectiva contra ataques de phishing y de denegación de servicio. Sin embargo, algunos atacantes falsifican la dirección IP fuente durante los ataques, por lo que se bloqueará la dirección incorrecta.
  • Terminar conexiones — Los enrutadores y cortafuegos pueden configurarse para interrumpir las conexiones que un intruso mantiene con el sistema comprometido enviando paquetes TCP RESET hacia el atacante.
  • Adquiera información adicional — Las herramientas también pueden recopilar información valiosa que ayuda a determinar el punto de acceso inicial, qué cuentas fueron comprometidas, cómo se movieron los intrusos a través de la red y qué datos fueron comprometidos.

Mejor práctica adicional

Una última mejor práctica de seguridad de red se aplica tanto a la prevención de amenazas como a la detección y respuesta.

Utilice múltiples proveedores.

El uso de soluciones de diferentes proveedores refuerza la ciberresiliencia al reducir el riesgo asociado con un único punto de fallo — si una solución de un proveedor se ve comprometida, la presencia de soluciones de otros proveedores ayuda a mantener el escudo defensivo. Este enfoque también permite una mayor adaptabilidad en respuesta a amenazas y requisitos de seguridad en evolución. De manera más amplia, puede llevar a precios competitivos e impulsar la innovación, ya que los proveedores se esfuerzan por ofrecer las soluciones más avanzadas y rentables.

Conclusión

Al seguir las mejores prácticas de seguridad de red detalladas aquí, su organización puede reducir el riesgo de costosas interrupciones del negocio e incidentes de seguridad, así como garantizar el cumplimiento de las estrictas normativas legislativas de hoy.

Appendix A: El Modelo OSI

El modelo OSI (Interconexión de Sistemas Abiertos) es un marco establecido para sistemas de red. Comprende siete capas, desde el hardware físico hasta las interacciones a nivel de aplicación:

Capa

Función

Tipos de dispositivos de red

Protocolos o Estándares

7: Aplicación

Proporciona servicios como correo electrónico, transferencias de archivos y servidores de archivos

HTTP, FTP, TFTP, DNS, SMTP, SFTP, SNMP, RLogin, BootP, MIME

6: Presentación

Proporciona cifrado, conversión de código y formateo de datos

MPEG, JPEG, TIFF

5: Sesión

Negocia y establece una conexión con otro ordenador

Pasarelas

SQL, X- Window, ASP, DNA, SCP, NFS, RPC

4: Transporte

Soporta la entrega de datos de extremo a extremo

Gateway

TCP, UDP, SPX

3: Red

Realiza el enrutamiento de paquetes

Router

IP, OSPF, ICMP, RIP, ARP, RARP

2: Enlace de datos

Proporciona comprobación de errores y transferencia de marcos de mensajes

Cambiar

Ethernet, Token Ring, 802.11

1: Físico

Se conecta físicamente con el medio de transmisión y envía datos a través de la red

Hub

EIA RS-232, EIA RS-449, IEEE, 802

Netwrix Auditor for Network Devices

Mejore la seguridad de su red con visibilidad en los cambios de configuraciones, intentos de inicio de sesión, amenazas de escaneo y malfunciones de hardware en sus dispositivos de red

Descargue la Prueba Gratuita de 20 Días

Compartir en

Recursos Relacionados

Profundiza con nuestros recursos relacionados

Centro de Recursos
eBook

Facilitando la prevención de pérdida de datos con Netwrix Solutions

Prevención de Pérdida de Datos
eBook

Desplegando software en Windows: Doloroso pero no tiene que serlo

Endpoint Management