Identificar xarxa no utilitzada
Revisió
Durant les auditories realitzades sobre les diferents xarxes de l’organització, s’ha analitzat el segment 172.26.0.0/16, detectant-se que actualment es tracta d’una xarxa sense equips ni serveis operatius associats, mantenint únicament actiu el gateway corresponent.
En la revisió del gateway s’han identificat els ports 21 (FTP), 22 (SSH), 53 (DNS) i 80 (HTTP) exposats. S’ha comprovat que el servei web publicat al port 80 permet la visualització i descàrrega dels fitxers allotjats al servidor, mentre que el servei FTP també permet la descàrrega de contingut. Tot i que no s’ha detectat possibilitat de modificació o pujada d’arxius des de l’exterior, l’exposició d’aquests serveis podria representar un risc d’accés no autoritzat a informació interna si no existeix una necessitat operativa real.
Atès que la xarxa no presenta ús actiu ni equips assignats, es recomana valorar dues opcions:
- Assignar el segment a algun departament o servei futur que requereixi ampliació d’infraestructura.
- Mantenir la xarxa com a reserva, aplicant mesures de seguretat addicionals sobre el gateway, especialment restringint o deshabilitant els serveis FTP i HTTP si no són necessaris.
Com a mesura preventiva, també es recomana limitar l’exposició externa dels serveis detectats i revisar la configuració de permisos dels fitxers accessibles actualment.
Proposta utilització
Es proposa la implementació d’un gateway d’interconnexió entre la xarxa 172.26.0.0/16 i la xarxa 172.16.0.0/12, atès que ambdues infraestructures operen sota proveïdors ISP diferents i disposen d’ONT independents.
L’objectiu d’aquesta configuració és utilitzar la xarxa 172.26.0.0/16 com a segment de trànsit i pont d’interconnexió entre ambdues xarxes, permetent la comunicació controlada entre els dos entorns sense integrar directament les infraestructures principals. Aquesta arquitectura facilita la segmentació de xarxa, millora el control del trànsit i permet aplicar polítiques específiques d’encaminament i seguretat entre operadors diferents.
El gateway desplegat serà l’encarregat de gestionar l’encaminament entre la xarxa 172.26.0.0/16 i la xarxa 172.16.0.0/12, actuant com a punt intermedi entre les dues ONT i controlant el flux de dades entre ambdós entorns.
Aquesta interconnexió es planteja principalment amb l’objectiu de centralitzar la monitorització de les dues infraestructures des d’una única plataforma de supervisió, com per exemple Zabbix, facilitant així la gestió unificada d’equips, serveis, alertes i mètriques de xarxa des d’un únic panell de control.
Es recomana que aquest segment es mantingui dedicat exclusivament a funcions d’interconnexió i monitorització entre xarxes, evitant exposar serveis públics innecessaris. Igualment, serà necessari aplicar mesures addicionals de seguretat, com ara filtratge mitjançant firewall, restriccions d’accés i segmentació adequada, per reduir els riscos derivats de la connexió entre infraestructures de proveïdors diferents.