
## Fundamentos de Seguridad en Redes

La seguridad en redes es la práctica de proteger la infraestructura de comunicaciones de accesos no autorizados, mal uso, modificación o denegación de servicio. Es la primera línea de defensa en cualquier arquitectura de ciberseguridad.

## Modelo de Defensa en Profundidad

La estrategia más efectiva es la **defensa en capas** (Defense in Depth):

```
Internet
    │
[Firewall Perimetral]
    │
[DMZ — Zona Desmilitarizada]
    │  ├── Servidores Web
    │  ├── Mail Gateway
    │  └── DNS externo
[Firewall Interno]
    │
[Red Corporativa]
    │  ├── VLAN Usuarios
    │  ├── VLAN Servidores
    │  ├── VLAN IoT
    │  └── VLAN Administración
[IDS/IPS]
[SIEM]
```

## Firewalls: Tipos y Configuración

### Firewall de Paquetes (Packet Filtering)
Opera en capa 3-4. Examina cabeceras IP/TCP/UDP:

```bash
# Ejemplo con iptables (Linux)
# Política por defecto: DROP
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

# Permitir tráfico establecido y relacionado
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

# Permitir SSH solo desde red interna
iptables -A INPUT -p tcp --dport 22 -s 192.168.1.0/24 -j ACCEPT

# Permitir HTTP/HTTPS
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 443 -j ACCEPT

# Guardar reglas
iptables-save > /etc/iptables/rules.v4
```

### Firewall de Aplicación (WAF)
Opera en capa 7. Examina el contenido HTTP:

```nginx
# Ejemplo: ModSecurity con Nginx
modsecurity on;
modsecurity_rules_file /etc/nginx/modsec/main.conf;
```

## Segmentación de Red con VLANs

Las VLANs (Virtual LANs) permiten segmentar lógicamente la red para:
- Contener el movimiento lateral en caso de compromiso
- Aplicar políticas de acceso diferenciadas
- Mejorar el rendimiento reduciendo dominios de broadcast

```
# Configuración básica de VLANs en Cisco
Switch(config)# vlan 10
Switch(config-vlan)# name USUARIOS
Switch(config)# vlan 20
Switch(config-vlan)# name SERVIDORES
Switch(config)# vlan 30
Switch(config-vlan)# name IOT
Switch(config)# vlan 99
Switch(config-vlan)# name ADMINISTRACION

# Asignar puerto a VLAN
Switch(config)# interface fastethernet 0/1
Switch(config-if)# switchport mode access
Switch(config-if)# switchport access vlan 10
```

## IDS/IPS: Detección y Prevención de Intrusiones

### Snort — IDS/IPS Open Source

```bash
# Instalación en Ubuntu/Debian
apt install snort

# Regla básica: detectar escaneo Nmap
alert tcp any any -> $HOME_NET any (msg:"Possible Nmap Scan"; flags:S; threshold:type both, track by_src, count 20, seconds 60; sid:1000001;)

# Regla: detectar SQL injection básico
alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS $HTTP_PORTS (msg:"SQL Injection attempt"; content:"' OR '1'='1"; nocase; sid:1000002;)

# Ejecutar Snort en modo IDS
snort -A console -q -c /etc/snort/snort.conf -i eth0
```

### Suricata — Alternativa moderna

```yaml
# suricata.yaml — configuración básica
vars:
  address-groups:
    HOME_NET: "[192.168.0.0/16,10.0.0.0/8]"
    EXTERNAL_NET: "!$HOME_NET"

outputs:
  - eve-log:
      enabled: yes
      filetype: regular
      filename: /var/log/suricata/eve.json
      types:
        - alert:
            metadata: yes
        - http:
            extended: yes
        - dns
        - tls
```

## Monitorización de Red con Zeek (antes Bro)

Zeek es un framework de análisis de tráfico de red que genera logs estructurados:

```bash
# Analizar archivo pcap
zeek -r captura.pcap

# Logs generados:
# conn.log — todas las conexiones
# http.log — tráfico HTTP
# dns.log — consultas DNS
# ssl.log — sesiones TLS/SSL
# files.log — archivos transferidos

# Buscar conexiones a IP sospechosa
cat conn.log | zeek-cut id.orig_h id.resp_h duration | grep "192.168.100.5"
```

## Análisis de Tráfico con Wireshark

Filtros útiles para análisis de seguridad:

```
# Tráfico no cifrado con credenciales
http contains "password"
ftp.request.command == "PASS"

# Escaneos de puertos
tcp.flags.syn==1 && tcp.flags.ack==0

# Comunicaciones C2 posibles
http.request.method == "POST" && http.content_length > 1000

# DNS tunneling (muchas queries, payloads largos)
dns.qry.name.len > 50

# Beaconing (intervalos regulares)
ip.addr == 192.168.1.100 && tcp.dstport == 443
```

## Checklist de Hardening de Red

```
[ ] Deshabilitar protocolos inseguros (Telnet, FTP, HTTP sin TLS)
[ ] Habilitar NTP con autenticación para sincronización de logs
[ ] Implementar 802.1X para autenticación de dispositivos en red
[ ] Configurar Port Security en switches para evitar MAC flooding
[ ] Habilitar BPDU Guard contra ataques de Spanning Tree
[ ] Implementar DHCP Snooping contra DHCP spoofing
[ ] Configurar Dynamic ARP Inspection (DAI)
[ ] Separar VLAN de administración del tráfico de usuarios
[ ] Monitorizar con NetFlow/sFlow para análisis de flujos
[ ] Centralizar logs en SIEM (ELK Stack, Splunk, Wazuh)
```

## Recursos Adicionales

- **SANS Internet Stormcast**: alertas diarias de amenazas de red
- **Emerging Threats**: reglas para Snort/Suricata actualizadas
- **Shodan Monitor**: alertas cuando tus IPs aparecen en Shodan


Guía práctica sobre seguridad en redes: firewalls, IDS/IPS, segmentación de red, VLANs y monitorización con herramientas open source como Snort y Suricata.

Seguridad en Redes: Fundamentos de Defensa Perimetral y Monitorización

📚 Fuentes y Referencias