Resumen
Diseño de zonas y DMZ, perímetro con proxy/WAF/CDN, accesos de administración seguros (bastion/RDP Gateway), protecciones de acceso (SLAAC/RA Guard, DHCP Snooping, DAI), DNS seguro (DNSSEC, Split-Horizon, DoT/DoH), VPNs (IPsec, SSL, IKEv2, PFS), Wi-Fi empresarial (WPA3-Enterprise, 802.1X/EAP-TLS) y principios de Zero Trust con telemetría de red.
Zonificación, DMZ y flujos controlados
Una red segura empieza por segmentar en zonas con límites de confianza claros (Usuarios, DMZ, Núcleo/Back-end). Entre zonas, aplica el principio de exposición mínima: publicar solo lo imprescindible y concentrar la entrada en pocos puntos visibles y controlados. Así reducimos superficie y facilitamos inspección profunda en los límites.
La DMZ separa servicios públicos del resto. El servidor web público acepta tráfico de Internet, pero los accesos a back-end (p. ej., base de datos) viajan por un único flujo explícitamente permitido: ACLs/Firewall que abren solo el puerto necesario, solo entre IPs concretas y normalmente de DMZ a interior. La base de datos jamás es accesible desde Internet.
Para el movimiento este-oeste dentro del centro de datos, crea segmentos (VLAN/VXLAN) y aplica microsegmentación o firewalls internos entre capas (web↔app↔db). Complementa con deny por defecto y listas de servicios autorizados, de modo que cada nuevo flujo requiera una justificación de negocio.
Perímetro moderno: Reverse Proxy, WAF y CDN
En el borde, un reverse proxy centraliza terminación TLS, oculta IPs internas y aplica políticas de cabeceras (HSTS, CSP) y rate-limiting. Facilita rotación de certificados y offloading para que los backends se centren en la lógica de negocio.
Un WAF añade inspección de capa 7 frente a patrones de abuso (inyección, XSS, control de acceso roto) y puede integrarse con el proxy para descartar tráfico malicioso antes de llegar a la aplicación. No sustituye desarrollo seguro, pero reduce exposición mientras se corrigen defectos.
Un CDN acerca contenido estático al usuario, absorbe picos y ayuda frente a DDoS en la capa de aplicación. Mantén 443/TCP como servicio publicado por defecto y evalúa cuidadosamente la exposición de 80/TCP (redirección segura a HTTPS).
Acceso administrativo: Bastion y RDP Gateway
La administración debe pasar por un bastion/jump host ubicado en una zona controlada. Desde Internet nunca exponemos SSH 22 o RDP 3389 directamente; en su lugar, usamos un RDP Gateway o un proxy SSH que encapsula las sesiones, centraliza la autenticación con MFA y registra actividad.
Este patrón permite concentrar controles: políticas de acceso, revisión de cuentas privilegiadas, bloqueo por IP/país, registro centralizado y grabación de sesión cuando procede. Además, facilita rotación de claves y credenciales efímeras.
Siempre aplica principio de mínimo privilegio y separación de funciones. El bastion es el único punto expuesto, con actualizaciones y hardening estrictos. Desde él, el flujo a activos internos se controla con ACLs y listas de destinos permitidos.
Capa de acceso: IPv6/IPv4 y protección de primer salto
En IPv6, la autoconfiguración SLAAC usa Router Advertisements (RA). Un atacante puede enviar Rogue RA y secuestrar tráfico. En switches de acceso, activa RA Guard y políticas que solo acepten RA de puertos de router autorizados. Complementa con DHCPv6 Guard y ND Inspection para validar mensajes de vecindad.
En IPv4, evita servidores DHCP falsos con DHCP Snooping y bloquea ARP spoofing con Dynamic ARP Inspection (DAI), apoyándote en la base de arrendamientos de Snooping. Limita MACs por puerto con Port-Security y aplica BPDU Guard para impedir que un usuario introduzca un switch malicioso que altere STP.
Estas funciones de First-Hop Security detienen ataques locales antes de que escalen. Añade storm control y client isolation donde aplique, y registra los eventos para detectar intentos de abuso en el borde.
DNS seguro: DNSSEC, Split-Horizon y canales cifrados
DNSSEC no cifra; aporta integridad y autenticidad mediante firmas digitales en los registros. Protege contra cache poisoning y suplantación de respuestas. Mantén las claves al día y monitorea el chain of trust.
Usa Split-Horizon DNS para ofrecer respuestas distintas a internos y externos (p. ej., IP privada para intranet y pública para Internet). Controla las transferencias de zona (TSIG/ACLs) y registra consultas para detectar anomalías o exfiltración DNS.
Para la confidencialidad de consultas, emplea DoT (DNS-over-TLS, 853/TCP) o DoH (DNS-over-HTTPS, 443/TCP). Integra con filtros/validadores en recursivos y aplica políticas de resolución seguras.
VPNs y acceso remoto: IPsec, SSL, IKEv2 y PFS
IPsec (con IKEv2) protege capa 3 y es común en site-to-site entre sedes. Las SSL/TLS VPN son habituales para usuarios remotos y pueden operar a nivel de app o red. La elección depende de dispositivos, rendimiento y visibilidad requerida.
Define si el túnel será full (todo el tráfico por la VPN) o split (solo redes corporativas). Full ofrece mayor control/filtrado; split reduce carga y mejora experiencia, pero requiere endpoints endurecidos y controles en el dispositivo.
Busca Perfect Forward Secrecy (PFS) mediante Diffie-Hellman efímero (DHE/ECDHE) para que la exposición de una clave a futuro no descifre sesiones pasadas. Usa certificados y MFA para elevar la seguridad del acceso remoto.
Wi-Fi empresarial seguro: WPA3-Enterprise y 802.1X
Para entornos corporativos, usa WPA3-Enterprise con 802.1X/EAP-TLS (certificados) en lugar de PSK compartidas. Esto proporciona autenticación fuerte por dispositivo/usuario y elimina el riesgo de claves conocidas por muchos.
Separa SSIDs por propósito (corporativo, invitados, dispositivos IoT) y aplica VLANs y client isolation donde aplique. Evita WEP/WPA/WPA2-TKIP y desactiva WPS. Considera Management Frame Protection (802.11w) para proteger planos de control.
Integra la Wi-Fi con políticas de NAC/802.1X (postura, pertenencia a grupos) y telemetría para detectar anomalías de roaming, intentos de asociaciones sospechosas o picos anómalos de tráfico.
Zero Trust de red y telemetría
Zero Trust asume red hostil y verificación continua. La identidad (usuario, dispositivo, contexto) decide el acceso, no la mera ubicación IP. Microsegmentación y políticas dinámicas limitan cada flujo al mínimo necesario y se reevalúan con cambios de contexto.
Un NAC con 802.1X controla quién y qué entra en la red según postura (parches, cifrado, EDR) y asigna VLAN/perfil. En entornos remotos, ZTNA/SDP publica solo aplicaciones específicas tras autenticación fuerte.
La telemetría (NetFlow/IPFIX, logs del proxy/WAF, eventos de firewall) aporta visibilidad. NetFlow da metadatos de flujo (quién, a dónde, cuánto) sin paquetes completos, útil para detección y capacidad. Centraliza y correlaciona para ver patrones de abuso.
