Se deberían controlar los accesos a servicios internos y externos conectados en red.

El acceso de los usuarios a redes y servicios en red no debería comprometer la seguridad de los servicios en red si se garantizan:

a) que existen interfaces adecuadas entre la red de la Organización y las redes públicas o privadas de otras organizaciones;

b) que los mecanismos de autenticación adecuados se aplican a los usuarios y equipos;

c) el cumplimiento del control de los accesos de los usuarios a los servicios de información.

Mantenga el equilibrio entre controles de seguridad perimetrales (LAN/WAN) e internos (LAN/LAN), frente a controles de seguridad en aplicaciones (defensa en profundidad).

Prepare e implante estándares, directrices y procedimientos de seguridad técnicos para redes y herramientas de seguridad de red como IDS/IPS (detección y prevención de intrusiones), gestión de vulnerabilidades, etc.

Una falta de control permite la materialización de potenciales amenazas, entre otras posibles, como:

- Pérdida de servicios esenciales (telecomunicaciones, ...)

- Afectaciones por radiación (electromagnéticas, térmicas, ...)

- Compromiso de información (intercepción, espionaje en remoto, divulgación, datos de fuentes no fiables, manipulación de hardware, manipulación de software, detección de posición, ...)

- Fallos técnicos (falla o mal funcionamiento del equipo, exposición de la mantenibilidad del sistema de información...)

- Acciones no autorizadas (uso no autorizado de equipos, corrupción de datos, comportamientos no autorizados, procesamiento ilegal de datos, ...)

- Compromiso de las funciones (error en el uso, abuso de privilegios, suplantación de identidad, denegación de acciones, exposición de la disponibilidad del personal, ...) 

13.1.1 Controles de red: Se deberían administrar y controlar las redes para proteger la información en sistemas y aplicaciones.

13.1.2 Mecanismos de seguridad asociados a servicios en red: Se deberían identificar e incluir en los acuerdos de servicio (SLA) los mecanismos de seguridad, los niveles de servicio y los requisitos de administración de todos los servicios de red, independientemente de si estos servicios se entregan de manera interna o están externalizados.

13.1.3 Segregación de redes: Se deberían segregar las redes en función de los grupos de servicios, usuarios y sistemas de información.

Estadísticas de cortafuegos, tales como porcentaje de paquetes o sesiones salientes que han sido bloqueadas (p. ej., intentos de acceso a páginas web prohibidas; número de ataques potenciales de hacking repelidos, clasificados en insignificantes / preocupantes / críticos).

Número de incidentes de seguridad de red identificados en el mes anterior, dividido por categorías de leve / importante / grave, con análisis de tendencias y descripción comentada de todo incidente serio y tendencia adversa.

IPVoid: Permite a los usuarios escanear una dirección IP mediante múltiples motores de comprobación de reputación y de blacklists para facilitar la detección de posibles IP peligrosas.

SPICEWORKS: Solución completa para la gestión de de la monitorización, helpdesk, inventario de PCs y generador de informes muy práctico y dirigido a la gestión TI en pequeñas y medianas empresas.

TRASIR: En base a una dirección IP, DNS, e-mail o URL aporta información relevante de identificación para la verificación.

URLVoid: Permite a los usuarios escanear una dirección URL mediante múltiples motores de comprobación de reputación y de blacklists para facilitar la detección de posibles Web peligrosas.

CyberGhost: La comunicación entre el ordenador del usuario de CyberGhost VPN y el servidor de anonimización también está protegida para impedir una interceptación de las transmisiones de datos. Esta protección se crea en dos pasos con el establecimiento de la conexión: la conexión se establece mediante cifrado SSL de 1.024 bits y se proporciona una clave AES de 128 bits, que es única por conexión.

LogMeIn Hamachi: Ofrece conectividad de dispositivos de confianza y redes privadas a través de redes públicas. Cree redes virtuales seguras basadas en Internet mediante solicitud sin hardware dedicado o infraestructura de TI adicional.

Security Onion: Distro Linux para IDS (Detección de intrusiones) y NSM (Monitorización de la seguridad de la red). Está basada en Ubuntu y contiene Snort, Suricata, Bro, Sguil, Squert, Snorby, Xplico, NetworkMiner, entre otras muchas herramientas. Dispone de un menú de inicio rápido que permite construir sensores distribuidos para tu organización en minutos.

BACKSCATTERER: Sólo tiene que utilizar esta lista a través de DNS en ips.backscatterer.org para eliminar o rechazar rebotes (bounces) y llamadas de remitentes de sistemas abusivos.

BGP Monitor: Monitoriza tus prefijos de red y te alerta en el caso de sospechosos cambios en las rutas. Soporte para IPv6.

CYCLOPS: Es capaz de detectar diversas formas de ataque a rutas de comunicaciones, p.ej. cuando las rutas en Internet son maliciosamente redirigidas desde su estado original.

FOUNDSTONE: Herramienta que se utiliza para redirección de puertos y bypass de Firewall.

I2P Anonymous Network: I2P es un red para el anonimato que ofrece una capa para las aplicaciones sensibles a la identificación de modo que se pueda establecer una comunicación segura. Todos los datos se encapsulan con varias capas de cifrado y la red sirve para su distribución y cambio de nodos de modo dinámico.

MXTOOLBOX: Herramienta para comprobación de DNS Blacklisting on line.

MULTI RBL: Herramienta para comprobación FCrDNS (Forward Confirmed reverse DNS)..

NETWORK-TOOLS: Utilidades para comprobación de conectividad de sistemas.

PRIVOXY: Utilidad que se basa en TOR para garantizar la privacidad y que ofrece un avanzado web proxy desde el que controlar los accesos o administrar las cookies.

SQUID: Utilidad Proxy con optimización de uso de ancho de banda en las conexiones.

Stunnel: Utilidad Proxy con funcionalidad de Tunneling SSL para POP2, POP3, IMAP sin necesidad de modificaciones en los programas.

WEBFILTER: Herramienta que tiene el uso de proxy pero permite adicionalmente filtrar aquellos contenidos no deseables como publicidad, entre otros.

ISO: Las normas de la serie ISO/IEC 18028 están dedicadas a la seguridad en redes. Están siendo sustituidas paulatinamente por la normas ISO/IEC 27033.

Kismet Wireless Tools: Versión para Mac OS X de KisMET.

KISMET: rastreador capaz de pasar la tarjeta Airport en modo monitor y detectar todas las redes inalámbricas disponibles en las cercanías, y controlar el tráfico que se realiza a través de ellas.

md5deep and hashdeep: Set de herramientas para comprobar el hash de los ficheros y su estado en relación a los originales para comprobar posibles alteraciones.

Nipper: Network Infrastructure Parser es una herramienta open source de configuración, auditoría y gestión de redes y dispositivos de red.

NMAP: Herramienta en inglés de exploración de redes y auditoría de seguridad. Útil para inventario de red, planificación de actualizaciones y monitorización de disponiblidad de servidores o servicios.

OSWA: Herramienta gratuita de de auditoría de seguridad de redes inalámbricas, bluetooth y RFID.

ntop: Sonda de tráfico de red que muestra el uso de la red de manera similar al comando Unix. ntop se basa en libpcap y se ha escrito para ejecutar prácticamente en todas las plataformas Unix y Win32.

WireShark: Uno de los analizadores de rendimiento de red y redes inalámbricas más populares.

CISCO: Esta guía trata sobre el Cisco SAFE mejores prácticas, diseños y configuraciones, y proporciona a los ingenieros de red y seguridad con la información necesaria para ayudarles a tener éxito en el diseño, implementación y operación de infraestructuras de red seguras basadas en productos y tecnologías de Cisco. (inglés).

SAMHAIM: Sistema de detección de intrusiones basado en host de código abierto (HIDS) proporciona la comprobación de integridad de archivos y registro de monitoreo archivo / análisis, así como la detección de rootkits, supervisión de puertos, detección de ejecutables SUID maliciosos y procesos ocultos. Diseñado para monitorear múltiples hosts con potencialmente diferentes sistemas operativos (Unix, Linux, Cygwin / Windows).

Tripwire: Herramienta de seguridad e integridad de datos útil para el monitoreo y alerta sobre el cambio de archivo específico (s) en una gama de sistemas. El proyecto se basa en el código originalmente aportado por Tripwire, Inc. en 2000.

AIDE: Analizador IDS (Host-based tool).

Enumeración de subdominios: comparativa del italiano Ricardo Iramar con diversas herramientas de enumeración de subdominios.

ZAP: Zed Attack Proxy es una herramienta de código abierto utilizada para ayudar a los profesionales de seguridad de la información a escanear sitios web para encontrar vulnerabilidades. Está bajo licencia de Apache. Muchos voluntarios lo mantienen y el proyecto de aplicación web abierta conocido como OWASP lo respalda. Actúa como un proxy man-in-the-middle. Por lo tanto, se debe configurar su navegador para poder usarlo.

Suricata: Los sistemas de detección de intrusos son un conjunto de dispositivos o piezas de software que juegan un papel muy importante en las organizaciones modernas para defenderse de intrusiones y actividades maliciosas. El papel de los sistemas de detección de intrusos basados ​​en la red es detectar anomalías en la red mediante el monitoreo del tráfico entrante y saliente. Una de las IDS más utilizadas es Suricata. Suricata es un IDS / IPS de código abierto desarrollado por la Open Information Security Foundation (OISF)

Zeek: Es uno de los NIDS más populares y poderosos. Zeek era conocido antes por Bro. Esta plataforma de análisis de red está respaldada por una gran comunidad de expertos. Por lo tanto, su documentación es muy detallada y bien desarrollada por la Open Information Security Foundation (OISF)

OSSEC: es un potente sistema de detección de intrusos basado en host. Proporciona detección de intrusiones basada en registros (LID), detección de rootkits y malware, auditoría de cumplimiento, monitoreo de integridad de archivos (FIM) y muchas otras capacidades.

DNS Dumpster: DNS Dumpster puede ver registros DNS para obtener una huella de la empresa. Puede encontrar cosas como qué tipo de servicios de correo electrónico usan, a qué servicio SaaS se suscriben e incluso encontrar subdominios no publicados que pueden darle una idea de cómo ejecutan su TI. Para comenzar, simplemente ingrese el nombre de dominio principal en el cuadro de búsqueda.

ZoneAlarm : Bloquea el tráfico no deseado y controla el acceso de programas a Internet.

Wazuh: Solución de monitoreo de seguridad gratuita y de código abierto lista para empresas para la detección de amenazas, monitoreo de integridad, respuesta a incidentes y cumplimiento.

ZeroShell: Distribución basada en Linux dedicada a la implementación de dispositivos de enrutador y firewall completamente administrable a través de la interfaz web. Zeroshell está disponible para plataformas x86 / x86-64 y dispositivos basados ​​en ARM como Raspberry Pi. Algunas de las funciones: Load Balancing and Failover of Multiple Internet Connections, VPN Site to Site and VPN Host to Site, Captive Portal Access for Internet Hotspot, Firewall Rules using Deep Packet Inspection (Layer 7 Filters and nDPI), Quality of Services and Traffic Shaping using Deep Packet Inspection.

Haproxy: Solución gratuita, muy rápida y confiable que ofrece alta disponibilidad, equilibrio de carga y proxy para aplicaciones basadas en TCP y HTTP. Es particularmente adecuado para sitios web de mucho tráfico y alimenta a muchos de los más visitados del mundo. Se distribuye con la mayoría de las distribuciones de Linux convencionales y, a menudo, se implementa de forma predeterminada en plataformas en la nube.

Pfsense:  Los dispositivos virtuales de Netgate® con el software pfSense® extienden sus aplicaciones y conectividad a usuarios autorizados en todas partes, a través de los servicios en la nube de Amazon AWS y Microsoft Azure. Conecta en red a empleados, socios, clientes y otras partes para compartir recursos en conectividad del sitio a nube, nube a nube y nube privada virtual (VPC). Funcionalidad completa de firewall/VPN/enrutador (todo en uno) disponible en la nube a partir de $0.08/hr.

IPFire: Fácil de configurar, el sistema de detección de intrusiones evita que los atacantes entren en la red. En la configuración predeterminada, la red se divide en varias zonas con diferentes políticas de seguridad, como una LAN y DMZ para administrar los riesgos dentro de la red y tener una configuración personalizada para las necesidades específicas de cada segmento de la red.

OPNSense: Plataforma de enrutamiento y firewall basada en HardenedBSD de código abierto, fácil de usar y fácil de construir. OPNsense incluye la mayoría de las funciones disponibles en firewalls comerciales caros, y más en muchos casos. Implementa el amplio conjunto de características de ofertas comerciales con los beneficios de fuentes abiertas y verificables.

Microsoft remote connectivity analyzer: Analizador de conectividad remota de Microsoft para soluciones como Office 365.

Cacti; Open Source que utiliza la funcionalidad de recopilación de datos (polling) de red para recopilar información de dispositivos en redes de cualquier tamaño utilizando el sistema RRDTool de registro de logs y gráficos. Muestra el estado y el rendimiento de la red en visualizaciones fáciles de entender que se pueden personalizar para su (s) red (es) específica (s).

Icinga: Open Source con herramientas de monitoreo de red que miden la disponibilidad y el rendimiento a través de una interfaz web. Es nativamente escalable y se puede configurar con cualquier dispositivo de red. Con los módulos Icinga, puede integrar y monitorear tipos adicionales de dispositivos, como la nube vSphere de VMware y los certificados de dispositivos o aplicaciones, o acceder a las herramientas de modelado de procesos comerciales.

LibreNMS: Open source que utiliza múltiples protocolos de red para monitorear dispositivos en redes de cualquier tamaño. Su API incorporada recupera, gestiona y diagrama los datos recopilados para proporcionar visualizaciones e información sobre la red. La herramienta incluye opciones de alerta flexibles que se integran con los sistemas de alerta por correo electrónico y SMS, así como con las aplicaciones de iOS y Android que los administradores pueden usar para monitorear de forma remota la red.

Pandora FMS: Open source con capacidades completas de monitoreo de red. Puede rastrear el estado y el rendimiento del sistema para cualquier dispositivo de TI, incluidos los servidores físicos y virtuales. El software también proporciona monitoreo basado en agentes para el tiempo de latencia de la red, la temperatura del sistema y la disponibilidad del servicio. Se integra con la mayoría de las aplicaciones de código abierto de terceros, así como con dispositivos de los principales fabricantes de infraestructura.

Prometheus:  Open source para la recopilación y el análisis de datos. Utiliza pings de SNMP para recopilar información de dispositivos y examinar el rendimiento de la red. El sistema interno de PromQL luego analiza los datos y le proporciona una variedad de información y ofrece alertas personalizadas.

Zabbix Open source que incluye la funcionalidad de monitoreo de red y puede rastrear e informar sobre el estado y el rendimiento de cualquier red. Detecta problemas de estado de conexión y nodo de red, realiza análisis de indicadores de estado, incluido el uso de ancho de banda, pérdida de paquetes y uso de CPU/memoria, y proporciona informes predictivos de tendencias.

ENISA informe de riesgos para redes 5G: Un grupo de expertos con expertos de operadores móviles, proveedores, investigación y la Comisión Europea ha contribuido al trabajo de ENISA con información sobre material 5G existente, desarrollos actuales en el mercado e investigación y garantía de calidad del documento actual. Además, los miembros del NIS CG, la Comisión Europea y ENISA han revisado este documento.