Saltar al contenido principal
REDES#redes#firewall#IDS#IPS#snort#suricata#VLAN

Seguridad en Redes: Fundamentos de Defensa Perimetral y Monitorización

Guía práctica sobre seguridad en redes: firewalls, IDS/IPS, segmentación de red, VLANs y monitorización con herramientas open source como Snort y Suricata.

4 minCyberSecHub Team

Fundamentos de Seguridad en Redes

La seguridad en redes es la práctica de proteger la infraestructura de comunicaciones de accesos no autorizados, mal uso, modificación o denegación de servicio. Es la primera línea de defensa en cualquier arquitectura de ciberseguridad.

Modelo de Defensa en Profundidad

La estrategia más efectiva es la defensa en capas (Defense in Depth):

Internet
    │
[Firewall Perimetral]
    │
[DMZ — Zona Desmilitarizada]
    │  ├── Servidores Web
    │  ├── Mail Gateway
    │  └── DNS externo
[Firewall Interno]
    │
[Red Corporativa]
    │  ├── VLAN Usuarios
    │  ├── VLAN Servidores
    │  ├── VLAN IoT
    │  └── VLAN Administración
[IDS/IPS]
[SIEM]

Firewalls: Tipos y Configuración

Firewall de Paquetes (Packet Filtering)

Opera en capa 3-4. Examina cabeceras IP/TCP/UDP:

# Ejemplo con iptables (Linux)
# Política por defecto: DROP
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

# Permitir tráfico establecido y relacionado
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

# Permitir SSH solo desde red interna
iptables -A INPUT -p tcp --dport 22 -s 192.168.1.0/24 -j ACCEPT

# Permitir HTTP/HTTPS
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 443 -j ACCEPT

# Guardar reglas
iptables-save > /etc/iptables/rules.v4

Firewall de Aplicación (WAF)

Opera en capa 7. Examina el contenido HTTP:

# Ejemplo: ModSecurity con Nginx
modsecurity on;
modsecurity_rules_file /etc/nginx/modsec/main.conf;

Segmentación de Red con VLANs

Las VLANs (Virtual LANs) permiten segmentar lógicamente la red para:

  • Contener el movimiento lateral en caso de compromiso
  • Aplicar políticas de acceso diferenciadas
  • Mejorar el rendimiento reduciendo dominios de broadcast
# Configuración básica de VLANs en Cisco
Switch(config)# vlan 10
Switch(config-vlan)# name USUARIOS
Switch(config)# vlan 20
Switch(config-vlan)# name SERVIDORES
Switch(config)# vlan 30
Switch(config-vlan)# name IOT
Switch(config)# vlan 99
Switch(config-vlan)# name ADMINISTRACION

# Asignar puerto a VLAN
Switch(config)# interface fastethernet 0/1
Switch(config-if)# switchport mode access
Switch(config-if)# switchport access vlan 10

IDS/IPS: Detección y Prevención de Intrusiones

Snort — IDS/IPS Open Source

# Instalación en Ubuntu/Debian
apt install snort

# Regla básica: detectar escaneo Nmap
alert tcp any any -> $HOME_NET any (msg:"Possible Nmap Scan"; flags:S; threshold:type both, track by_src, count 20, seconds 60; sid:1000001;)

# Regla: detectar SQL injection básico
alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS $HTTP_PORTS (msg:"SQL Injection attempt"; content:"' OR '1'='1"; nocase; sid:1000002;)

# Ejecutar Snort en modo IDS
snort -A console -q -c /etc/snort/snort.conf -i eth0

Suricata — Alternativa moderna

# suricata.yaml — configuración básica
vars:
  address-groups:
    HOME_NET: "[192.168.0.0/16,10.0.0.0/8]"
    EXTERNAL_NET: "!$HOME_NET"

outputs:
  - eve-log:
      enabled: yes
      filetype: regular
      filename: /var/log/suricata/eve.json
      types:
        - alert:
            metadata: yes
        - http:
            extended: yes
        - dns
        - tls

Monitorización de Red con Zeek (antes Bro)

Zeek es un framework de análisis de tráfico de red que genera logs estructurados:

# Analizar archivo pcap
zeek -r captura.pcap

# Logs generados:
# conn.log — todas las conexiones
# http.log — tráfico HTTP
# dns.log — consultas DNS
# ssl.log — sesiones TLS/SSL
# files.log — archivos transferidos

# Buscar conexiones a IP sospechosa
cat conn.log | zeek-cut id.orig_h id.resp_h duration | grep "192.168.100.5"

Análisis de Tráfico con Wireshark

Filtros útiles para análisis de seguridad:

# Tráfico no cifrado con credenciales
http contains "password"
ftp.request.command == "PASS"

# Escaneos de puertos
tcp.flags.syn==1 && tcp.flags.ack==0

# Comunicaciones C2 posibles
http.request.method == "POST" && http.content_length > 1000

# DNS tunneling (muchas queries, payloads largos)
dns.qry.name.len > 50

# Beaconing (intervalos regulares)
ip.addr == 192.168.1.100 && tcp.dstport == 443

Checklist de Hardening de Red

[ ] Deshabilitar protocolos inseguros (Telnet, FTP, HTTP sin TLS)
[ ] Habilitar NTP con autenticación para sincronización de logs
[ ] Implementar 802.1X para autenticación de dispositivos en red
[ ] Configurar Port Security en switches para evitar MAC flooding
[ ] Habilitar BPDU Guard contra ataques de Spanning Tree
[ ] Implementar DHCP Snooping contra DHCP spoofing
[ ] Configurar Dynamic ARP Inspection (DAI)
[ ] Separar VLAN de administración del tráfico de usuarios
[ ] Monitorizar con NetFlow/sFlow para análisis de flujos
[ ] Centralizar logs en SIEM (ELK Stack, Splunk, Wazuh)

Recursos Adicionales

  • SANS Internet Stormcast: alertas diarias de amenazas de red
  • Emerging Threats: reglas para Snort/Suricata actualizadas
  • Shodan Monitor: alertas cuando tus IPs aparecen en Shodan
Libro Recomendado

The Practice of Network Security Monitoring

Guía práctica sobre detección y respuesta a incidentes en redes. Cubre IDS/IPS, monitorización y herramientas open source como Snort y Suricata en profundidad.

Ver en Amazon

Fuentes y Referencias

Aviso legal: Este contenido es estrictamente educativo. CyberFlows no apoya actividades ilegales. Úsalo solo en entornos autorizados.

Artículos Relacionados

Nmap: Guía Completa de Escaneo de Redes para Pentesters

20/2/2025 · 4 min

REAL-TIME VISITOR LOGS