Firewalls, ACLs, NAT, VPN e IDS/IPS
La seguridad de redes abarca las políticas, prácticas y tecnologías que protegen la integridad, confidencialidad y disponibilidad de los datos y recursos de una red. Los pilares fundamentales son:
Estos cinco principios se conocen como el modelo CIA Triad ampliado, o las 5A de la seguridad informática.
Un firewall (cortafuegos) es un dispositivo de seguridad que monitoriza y controla el tráfico de red entrante y saliente basándose en reglas predefinidas. Actúa como una barrera entre redes internas de confianza y redes externas no confiables (como Internet).
| Tipo | Capa OSI | Descripción |
|---|---|---|
| Filtrado de paquetes | 3 y 4 | Analiza cabeceras IP y puertos. Simple y rápido, pero no entiende el contexto. |
| Stateful (con estado) | 3 y 4 | Mantiene una tabla de conexiones activas. Sabe si un paquete pertenece a una conexión establecida. |
| Proxy (Gateway) | 7 (Aplicación) | Intermedia la comunicación entre cliente y servidor. Inspecciona el contenido de la aplicación. |
| NG Firewall (NGFW) | 3-7 | Firewall de nueva generación con IPS, filtrado de aplicaciones, antivirus y control de usuarios. |
Las ACLs son listas secuenciales de reglas que definen qué tráfico se permite o deniega en un router o firewall. Se evalúan en orden ascendente y la primera coincidencia aplica (si no coincide ninguna, se deniega por defecto).
Router(config)# access-list 100 permit tcp 192.168.1.0 0.0.0.255 any eq 80 Router(config)# access-list 100 deny ip any any Router(config)# interface gigabitEthernet 0/0 Router(config-if)# ip access-group 100 in
Esta ACL permite tráfico HTTP (puerto 80) desde la red 192.168.1.0/24 hacia cualquier destino, y deniega el resto del tráfico entrante por Gig0/0.
deny ip any any implícito.
NAT traduce direcciones IP privadas (RFC 1918) a una o más direcciones IP públicas. Su uso principal es permitir que múltiples dispositivos en una red interna compartan una única IP pública para acceder a Internet.
| Tipo | Funcionamiento | Uso típico |
|---|---|---|
| NAT Estático (1:1) | Una IP privada se traduce siempre a la misma IP pública | Servidores accesibles desde Internet |
| NAT Dinámico (muchos:muchos) | Varias IPs privadas compiten por un pool de IPs públicas | Redes con pocos usuarios públicos simultáneos |
| PAT / NAT Sobrecarga (muchos:1) | Múltiples IPs privadas usan una misma IP pública con puertos distintos | La mayoría de redes domésticas y empresas pequeñas |
Router(config)# access-list 1 permit 192.168.1.0 0.0.0.255 Router(config)# ip nat inside source list 1 interface gigabitEthernet 0/1 overload Router(config)# interface gigabitEthernet 0/0 Router(config-if)# ip nat inside Router(config-if)# exit Router(config)# interface gigabitEthernet 0/1 Router(config-if)# ip nat outside
Una VPN crea un túnel cifrado entre dos puntos a través de una red pública (como Internet), permitiendo comunicación segura como si estuvieran en una red privada.
| Protocolo | Puerto | Cifrado | Uso |
|---|---|---|---|
| IPsec | UDP 500 (IKE), UDP 4500 (NAT-T) | AES, 3DES | Site-to-Site, Remote Access |
| OpenVPN | UDP 1194 / TCP 443 | AES, ChaCha20 | Remote Access (SSL VPN) |
| WireGuard | UDP 51820 | ChaCha20-Poly1305 | Remote Access, Site-to-Site |
| L2TP/IPsec | UDP 1701 | IPsec (AES) | Remote Access (antiguo) |
Los sistemas de detección y prevención de intrusiones monitorizan el tráfico de red en busca de actividad maliciosa o violaciones de políticas.
| Método | Descripción | Ventaja | Desventaja |
|---|---|---|---|
| Basado en firmas | Compara tráfico con patrones conocidos de ataques | Preciso para ataques conocidos | No detecta ataques nuevos (zero-day) |
| Anomalías | Detecta desviaciones del comportamiento normal de la red | Puede detectar ataques nuevos | Altos falsos positivos |
| Basado en estado | Analiza el estado del protocolo en cada conexión | Detecta ataques de protocolo | Consume más recursos |