La Red Plana: Un Trampolín para los Atacantes
Una red sin segmentación VLAN pone todos los dispositivos en el mismo dominio broadcast: las computadoras de gerencia, las impresoras, los teléfonos IP, los dispositivos IoT, los visitantes con WiFi de invitados. Si un atacante compromete cualquiera de estos dispositivos — y la mayoría tiene vulnerabilidades no parcheadas — puede moverse libremente hacia todos los demás sin ninguna barrera.
Diseño VLAN por Zona de Confianza
VLAN 10 — Datos Críticos: Servidores, NAS, sistemas de gestión. Solo pueden acceder dispositivos y usuarios corporativos previamente autenticados con 802.1X. Sin acceso desde ninguna otra VLAN por defecto.
VLAN 20 — Corporativa General: Computadoras de empleados, laptops, teléfonos corporativos. Acceso a Internet y a VLAN de Datos Críticos con ACLs específicas. No puede acceder a la VLAN de Gestión de Red.
VLAN 30 — IoT: Cámaras IP, impresoras, sensores, smart TVs. Solo acceso a internet. No pueden iniciar ninguna conexión hacia VLANs corporativas. Si un dispositivo IoT es comprometido, queda completamente aislado.
VLAN 40 — Invitados: WiFi de visitantes con Captive Portal. Acceso a internet con rate limiting. Completamente aislada del resto. No pueden ver ningún dispositivo interno.
¿Sus impresoras, cámaras IP y computadoras de gerencia están en la misma red?
Diseñamos e implementamos segmentación VLAN completa con UniFi que contiene brechas y protege sus activos más críticos.
Segmentar Mi Red Por Zonas
