Lección 9: Seguridad en Redes

Firewalls, ACLs, NAT, VPN e IDS/IPS

1. Principios de Seguridad en Redes

La seguridad de redes abarca las políticas, prácticas y tecnologías que protegen la integridad, confidencialidad y disponibilidad de los datos y recursos de una red. Los pilares fundamentales son:

Estos cinco principios se conocen como el modelo CIA Triad ampliado, o las 5A de la seguridad informática.

2. Firewalls

Un firewall (cortafuegos) es un dispositivo de seguridad que monitoriza y controla el tráfico de red entrante y saliente basándose en reglas predefinidas. Actúa como una barrera entre redes internas de confianza y redes externas no confiables (como Internet).

Tipos de Firewalls

Tipo Capa OSI Descripción
Filtrado de paquetes 3 y 4 Analiza cabeceras IP y puertos. Simple y rápido, pero no entiende el contexto.
Stateful (con estado) 3 y 4 Mantiene una tabla de conexiones activas. Sabe si un paquete pertenece a una conexión establecida.
Proxy (Gateway) 7 (Aplicación) Intermedia la comunicación entre cliente y servidor. Inspecciona el contenido de la aplicación.
NG Firewall (NGFW) 3-7 Firewall de nueva generación con IPS, filtrado de aplicaciones, antivirus y control de usuarios.
Firewall por defecto: Por seguridad, la política de un firewall debe ser "denegar todo por defecto y permitir solo lo necesario explícitamente" (principio de mínimos privilegios).

3. ACLs (Access Control Lists)

Las ACLs son listas secuenciales de reglas que definen qué tráfico se permite o deniega en un router o firewall. Se evalúan en orden ascendente y la primera coincidencia aplica (si no coincide ninguna, se deniega por defecto).

Tipos de ACLs en Cisco

Ejemplo: ACL extendida

Router(config)# access-list 100 permit tcp 192.168.1.0 0.0.0.255 any eq 80
Router(config)# access-list 100 deny ip any any
Router(config)# interface gigabitEthernet 0/0
Router(config-if)# ip access-group 100 in

Esta ACL permite tráfico HTTP (puerto 80) desde la red 192.168.1.0/24 hacia cualquier destino, y deniega el resto del tráfico entrante por Gig0/0.

Orden importa: Las ACLs se evalúan de arriba abajo. Pon las reglas más específicas al principio. Al final siempre debe ir un deny ip any any implícito.

4. NAT (Network Address Translation)

NAT traduce direcciones IP privadas (RFC 1918) a una o más direcciones IP públicas. Su uso principal es permitir que múltiples dispositivos en una red interna compartan una única IP pública para acceder a Internet.

Tipos de NAT

Tipo Funcionamiento Uso típico
NAT Estático (1:1) Una IP privada se traduce siempre a la misma IP pública Servidores accesibles desde Internet
NAT Dinámico (muchos:muchos) Varias IPs privadas compiten por un pool de IPs públicas Redes con pocos usuarios públicos simultáneos
PAT / NAT Sobrecarga (muchos:1) Múltiples IPs privadas usan una misma IP pública con puertos distintos La mayoría de redes domésticas y empresas pequeñas

Configuración de PAT (NAT con sobrecarga) en Cisco

Router(config)# access-list 1 permit 192.168.1.0 0.0.0.255
Router(config)# ip nat inside source list 1 interface gigabitEthernet 0/1 overload
Router(config)# interface gigabitEthernet 0/0
Router(config-if)# ip nat inside
Router(config-if)# exit
Router(config)# interface gigabitEthernet 0/1
Router(config-if)# ip nat outside

5. VPN (Virtual Private Network)

Una VPN crea un túnel cifrado entre dos puntos a través de una red pública (como Internet), permitiendo comunicación segura como si estuvieran en una red privada.

Tipos de VPN

Protocolos de tunelización y cifrado

Protocolo Puerto Cifrado Uso
IPsec UDP 500 (IKE), UDP 4500 (NAT-T) AES, 3DES Site-to-Site, Remote Access
OpenVPN UDP 1194 / TCP 443 AES, ChaCha20 Remote Access (SSL VPN)
WireGuard UDP 51820 ChaCha20-Poly1305 Remote Access, Site-to-Site
L2TP/IPsec UDP 1701 IPsec (AES) Remote Access (antiguo)

6. IDS y IPS

Los sistemas de detección y prevención de intrusiones monitorizan el tráfico de red en busca de actividad maliciosa o violaciones de políticas.

IDS (Intrusion Detection System)

IPS (Intrusion Prevention System)

Métodos de detección

Método Descripción Ventaja Desventaja
Basado en firmas Compara tráfico con patrones conocidos de ataques Preciso para ataques conocidos No detecta ataques nuevos (zero-day)
Anomalías Detecta desviaciones del comportamiento normal de la red Puede detectar ataques nuevos Altos falsos positivos
Basado en estado Analiza el estado del protocolo en cada conexión Detecta ataques de protocolo Consume más recursos

7. Buenas prácticas de seguridad

8. Resumen