Una revisión detecta que la red es plana — los servidores financieros comparten dominio de difusión con el Wi-Fi de invitados. ¿Qué recomiendas primero?
Respuesta breve
Las redes planas permiten que un único dispositivo de invitado comprometido alcance directamente los sistemas más valiosos. Segmenta por nivel de confianza y aplica tráfico de mínimo privilegio entre zonas para contener y monitorizar el movimiento lateral. Un firewall de borde no hace nada por el tráfico este-oeste entre hosts que ya están dentro. Re-direccionar las IP de los servidores financieros es seguridad por oscuridad que cualquier escaneo derrota. El antivirus es una capa de detección, no un sustituto del control arquitectónico de aislar los sistemas sensibles.
Una red plana es uno de los hallazgos arquitectónicos más comunes — y más peligrosos. La señal de seniority aquí es reconocer que la amenaza es el movimiento lateral, y que solo la segmentación lo aborda.
Por qué la segmentación es el primer movimiento correcto
Cuando los servidores financieros comparten dominio de difusión con el Wi-Fi de invitados, el portátil comprometido de cualquier visitante está en el mismo segmento de capa 2 que tus sistemas más sensibles. No hay nada entre ellos — ni punto de aplicación de políticas, ni inspección, ni cuello de botella. Un atacante que aterriza en un dispositivo de invitado puede alcanzar, escanear y atacar directamente los servidores financieros. La segmentación divide la red en zonas por nivel de confianza y obliga al tráfico entre ellas a pasar por rutas controladas (VLAN/subredes con reglas de firewall o ACL que aplican el mínimo privilegio, idealmente avanzando hacia la micro-segmentación y el zero-trust). Eso contiene una brecha, reduce el radio de impacto y te da un lugar para monitorizar y bloquear el movimiento este-oeste.
Por qué los distractores son incorrectos
- Comprar un NGFW de perímetro y darlo por hecho. Un firewall perimetral gobierna el tráfico norte-sur que cruza la frontera. Es ciego al tráfico este-oeste entre la VLAN de invitados y los servidores financieros que ya comparten segmento. No hace nada por el problema real.
- Ocultar los servidores cambiando sus IP. Pura seguridad por oscuridad. Cualquiera en el mismo dominio de difusión puede hacer un ARP-scan o barrer la subred y encontrarlos en segundos. Renumerar no cambia nada respecto a la accesibilidad.
- Instalar antivirus en los servidores financieros. El antivirus es una única capa de detección/prevención en el host. No aísla los sistemas, no detiene el reconocimiento ni el movimiento lateral, y no es un control arquitectónico. Útil como defensa en profundidad, inútil como primera corrección.
Qué está sondeando el entrevistador
Quiere verte diagnosticar el riesgo real — movimiento lateral sin restricciones — y recurrir al control estructural que lo arregla. La señal de una buena respuesta es nombrar este-oeste frente a norte-sur, rechazar el pensamiento de solo-perímetro y oscuridad, y tratar el antivirus como una capa en lugar de la solución. Punto extra por esbozar un despliegue por fases y una ruta hacia la segmentación zero-trust.
Posibles preguntas de seguimiento
- ¿Cuál es la diferencia entre los controles perimetrales (norte-sur) y laterales (este-oeste)?
- ¿Cómo desplegarías la segmentación por fases sin romper el tráfico de producción?
- ¿Dónde encajan la micro-segmentación y el zero-trust más allá de las VLAN y las ACL?