Diseño de redes seguras con GNS3

Para materializar estos principios, el diseño de una red segura integra habitualmente los siguientes componentes estructurales y defensivos:

A diferencia de otros programas orientados a la enseñanza básica, es vital entender la diferencia técnica de GNS3:

Al actuar como una plataforma de orquestación, GNS3 no incluye por defecto los sistemas operativos de los dispositivos de red.

Por motivos de licencias y derechos de autor, el programa no distribuye las imágenes de routers, firewalls u otros equipos. Por ello, el usuario debe proporcionar e importar las imágenes de los dispositivos que desea emular, ya sea utilizando sistemas libres como distribuciones de Linux o aportando imágenes obtenidas legalmente, como las de routers Cisco.

GNS3 se divide en dos componentes principales que trabajan de forma conjunta:

Aunque GNS3 puede ejecutarse directamente en el sistema local, la práctica recomendada es utilizar la GNS3 VM. De esta forma se obtiene un mejor rendimiento y se evitan posibles conflictos con el sistema operativo anfitrión.

EVE-NG (Emulated Virtual Environment Next Generation) es una plataforma de emulación de redes de grado profesional muy potente. Su principal diferencia con GNS3 radica en su arquitectura clientless donde todo se gestiona directamente desde un navegador web, sin necesidad de instalar un programa cliente (GUI) en el ordenador.

Packet Tracer es una herramienta de simulación desarrollada por Cisco y orientada principalmente a la enseñanza de redes. Es excelente para iniciarse, pero presenta limitaciones importantes ya que sólo simula dispositivos Cisco, no ejecuta sistemas operativos reales y los comandos disponibles están restringidos, lo que limita enormemente las pruebas avanzadas de ciberseguridad.

VirtualBox y VMware son hipervisores puros que permiten ejecutar máquinas virtuales completas pero no están diseñados para cablear y orquestar topologías de red complejas de forma visual. Por este motivo, su uso ideal es combinarlos como motores de apoyo para plataformas como GNS3 o EVE-NG.

Para este laboratorio necesitaremos un sistema operativo real que actúe como cliente en nuestra topología. En lugar de instalar un sistema desde cero (descargar la ISO, asignar discos, ejecutar el asistente de instalación…), utilizaremos OSBoxes.

Esta plataforma ofrece discos duros virtuales con sistemas operativos Linux preinstalados y listos para ejecutarse, lo que agilizará enormemente la preparación del laboratorio.

Enlace oficial:

Instrucciones:

Este paso sólo será necesario si tu sistema operativo físico es Linux. Si estás utilizando Windows o macOS, puedes saltar directamente al Paso 2.

GNS3 necesita permisos especiales de red en tu sistema operativo físico para poder crear los “cables virtuales” (túneles uBridge) que conectan VMware con GNS3.

Abre una terminal en tu sistema físico y ejecuta lo siguiente antes de abrir GNS3:

1. Instalación de uBridge:

2. Configuración de uBridge:

Después de instalarlo, tiene que otorgar los permisos de ejecución y red para que GNS3 pueda usarlo sin ser root.

Para que se aplique el cambio de grupo, puede cerrar la sesión actual y volver a entrar o ejecutar el siguiente comando para actualizar los grupos sin necesidad de cerrar sesión:

Una vez hecho esto, el programa GNS3 podrá crear las conexiones virtuales necesarias para conectar la máquina virtual de VMware con la GNS3 VM sin necesidad de ejecutar GNS3 como administrador.

Este paso es fundamental para que el servidor local de GNS3 y la máquina virtual de VMware puedan verse. Por defecto, GNS3 escucha en la dirección 127.0.0.1 (localhost), una red interna a la que las máquinas virtuales externas no tienen acceso. Debemos cambiar esto.

Para identificar cuál es la IP correcta, tienes que acceder a la consola de la máquina virtual de GNS3 VM y ejecutar el comando ip a.

En nuestro caso, la IP de la interfaz que conecta nuestro ordenador físico con la GNS3 VM está en la interfaz eth1 y es del tipo 172.16.232.X.

Una vez que has identificado la IP de tu GNS3 VM, selecciona en el campo Host binding la IP de tu ordenador que esté en esa misma red. Por ejemplo, en nuestro caso hemos seleccionado la IP 172.16.232.1.

Para que GNS3 pueda controlar la máquina de VMware sin errores, debemos configurar cómo gestiona las redes virtuales y la tarjeta de red de la propia máquina.

1. Configuración avanzada de VMware:

2. Configuración de la plantilla de Ubuntu:

El nodo NAT de GNS3 tiene una medida de seguridad (anti-spoofing) que bloquea IPs estáticas puestas a mano. Todo debe pedir IP por DHCP.

1. Configurar el VPCS:

2. Configurar la máquina Ubuntu:

Realiza estas pruebas en orden desde la terminal de tu Ubuntu:

Para este laboratorio necesitaremos un sistema operativo real que actúe como cliente en nuestra topología. Utilizaremos OSBoxes para evitar instalar el sistema desde cero.

Enlace oficial:

Instrucciones:

Para que GNS3 pueda controlar la máquina de VMware e integrarla en la topología local, debemos configurar cómo gestiona las redes.

1. Configuración avanzada de VMware:

2. Configuración de la plantilla de Ubuntu:

Al arrastrar los elementos al área de trabajo, es crucial asegurarse de que todos se ejecutan en tu ordenador físico.

El nodo NAT proporciona direcciones IP automáticamente (DHCP) para aislar la topología y dar salida a Internet.

1. Configurar el VPCS:

2. Configurar la máquina Ubuntu:

Realiza estas pruebas desde la terminal de tu Ubuntu para confirmar el éxito del laboratorio:

La segmentación de red consiste en dividir la infraestructura en diferentes zonas o subredes aisladas entre sí.

En una red plana, todos los dispositivos pueden comunicarse directamente entre ellos. Esto facilita enormemente el movimiento lateral de un atacante que haya comprometido uno de los equipos.

La segmentación reduce este riesgo al limitar la comunicación entre diferentes partes de la red. Para que el tráfico pase de una zona a otra debe atravesar dispositivos de control como routers o firewalls.

El principio de defensa en profundidad establece que la seguridad no debe depender de un único mecanismo de protección.

En su lugar, se deben desplegar múltiples capas de seguridad, de modo que si una de ellas falla, las demás continúen protegiendo el sistema.

En una red empresarial, estas capas pueden incluir:

Este enfoque dificulta que un atacante pueda comprometer completamente la infraestructura.

El principio de mínimo privilegio (Principle of Least Privilege, PoLP) establece que cada usuario, aplicación o sistema debe disponer únicamente de los permisos estrictamente necesarios para realizar su función.

En el contexto de redes, esto significa que no todas las máquinas deben poder comunicarse con todas las demás.

Por ejemplo:

Aplicar este principio reduce considerablemente el riesgo de movimiento lateral dentro de la red.

Otro principio fundamental es limitar al máximo los elementos expuestos al exterior.

Esto implica:

Cuantos menos servicios estén disponibles, menor será la probabilidad de que aparezcan vulnerabilidades explotables.

Esta zona representa todas las redes que están fuera del control de la organización, principalmente Internet.

Desde el punto de vista de seguridad, esta zona se considera completamente hostil.

Por este motivo, el tráfico que proviene de Internet debe pasar obligatoriamente por dispositivos de control como firewalls perimetrales, que se encargan de filtrar las conexiones entrantes.

La DMZ (Demilitarized Zone) es una red intermedia situada entre Internet y la red interna.

En esta zona se ubican los servidores que deben ofrecer servicios públicos, como por ejemplo:

El objetivo de la DMZ es aislar estos sistemas del resto de la red corporativa.

Si un atacante compromete un servidor de la DMZ, no debería poder acceder directamente a los sistemas internos.

La red interna es la zona de mayor confianza de la organización.

En ella se encuentran:

Aun así, la red interna no debería ser completamente plana. Es recomendable segmentarla en múltiples VLANs o subredes para separar distintos departamentos o tipos de sistemas.

Los routers se encargan de interconectar diferentes redes y decidir por dónde deben circular los paquetes de datos.

Además de su función de enrutamiento, muchos routers pueden aplicar políticas de filtrado mediante listas de control de acceso (ACL).

Los switches permiten interconectar múltiples dispositivos dentro de una red local.

En redes modernas, los switches también pueden desempeñar funciones de seguridad como:

Los firewalls son dispositivos especializados en controlar el tráfico entre distintas redes.

Su función principal es permitir o bloquear conexiones en función de políticas de seguridad definidas por los administradores.

Los firewalls modernos utilizan técnicas de inspección avanzada que permiten analizar el estado de las conexiones y detectar comportamientos sospechosos.

Además de prevenir accesos no autorizados, es fundamental detectar posibles incidentes de seguridad.

Para ello se utilizan herramientas de monitorización que permiten analizar el tráfico de red y registrar eventos relevantes.

Entre estas herramientas se encuentran:

Estos sistemas permiten identificar actividades sospechosas y reaccionar rápidamente ante posibles ataques.

El enfoque Zero Trust se basa en varios principios clave:

Aunque Zero Trust implica cambios en múltiples capas de la infraestructura tecnológica, algunos de sus principios pueden aplicarse directamente en el diseño de redes seguras, por ejemplo:

Este enfoque refuerza la idea de que la seguridad no debe depender únicamente del perímetro de la red, sino que debe integrarse en toda la infraestructura.

Una de las prácticas más importantes consiste en dividir la red en diferentes zonas según su nivel de confianza.

Por ejemplo:

Cada zona debe tener reglas de comunicación claramente definidas. Esto permite limitar el acceso entre segmentos y reducir el impacto de posibles incidentes.

Las políticas de red deben permitir únicamente las comunicaciones necesarias para el funcionamiento de los sistemas.

Por ejemplo:

Aplicar este principio reduce significativamente la superficie de ataque.

Otra buena práctica consiste en minimizar el número de servicios expuestos en la red.

Esto incluye:

Cuantos menos servicios estén disponibles, menor será la probabilidad de que existan vulnerabilidades explotables.

Las interfaces de administración de dispositivos críticos como routers, switches o firewalls deben estar situadas en redes de gestión separadas.

De esta forma se evita que usuarios o dispositivos de la red general puedan acceder directamente a los sistemas de administración de la infraestructura.

En entornos profesionales, estas redes de gestión suelen estar accesibles únicamente desde equipos de administración específicos.

Un diseño de red seguro debe incluir mecanismos que permitan detectar comportamientos anómalos o incidentes de seguridad.

Para ello es importante:

La visibilidad sobre el tráfico y los eventos de red es fundamental para responder de forma rápida ante posibles incidentes.

En una red plana, todos los dispositivos pertenecen al mismo dominio de red. Esto significa que cualquier equipo puede comunicarse directamente con cualquier otro dispositivo de la infraestructura.

Este diseño presenta varios problemas de seguridad:

En contraste, una red segmentada divide la infraestructura en múltiples redes lógicas. Cada segmento se comunica con los demás a través de dispositivos de enrutamiento o filtrado.

Esto permite controlar el tráfico entre segmentos y aplicar políticas como:

La segmentación ofrece varias ventajas importantes en el ámbito de la ciberseguridad:

Cuando un switch recibe una trama Ethernet, normalmente la envía a todos los puertos dentro de su dominio de difusión. Esto significa que todos los equipos conectados al switch participan en el mismo dominio de broadcast.

Las VLANs permiten crear múltiples dominios de broadcast dentro del mismo switch, separando el tráfico entre diferentes grupos de dispositivos.

Por ejemplo, en una empresa podemos crear VLANs para distintos departamentos:

Los equipos de cada VLAN solo podrán comunicarse con los dispositivos que pertenezcan a su misma VLAN.

Un dominio de broadcast es el conjunto de dispositivos que reciben mensajes de difusión enviados por un equipo de la red.

Ejemplos de mensajes broadcast:

En una red plana, todos los equipos reciben estos mensajes. Esto puede generar un gran volumen de tráfico innecesario.

Las VLANs dividen la red en múltiples dominios de broadcast, lo que mejora el rendimiento y reduce el impacto de ciertos tipos de ataques.

Una de las principales ventajas de las VLANs es que proporcionan aislamiento lógico entre dispositivos.

Dos equipos conectados al mismo switch físico pero en VLANs diferentes no pueden comunicarse directamente.

Para que puedan hacerlo es necesario un dispositivo de Capa 3, como un router o un firewall, que enrute el tráfico entre ambas redes.

Este punto es fundamental en el diseño de redes seguras, ya que permite inspeccionar y controlar el tráfico entre distintos segmentos de la infraestructura.

Un puerto de acceso es un puerto del switch que pertenece exclusivamente a una VLAN.

Este tipo de puerto se utiliza para conectar dispositivos finales, como ordenadores, impresoras o servidores.

El dispositivo conectado no necesita conocer la existencia de las VLANs. El switch se encarga de asociar automáticamente el tráfico del puerto con la VLAN correspondiente.

Un puerto troncal permite transportar tráfico de múltiples VLANs a través de un único enlace físico.

Este tipo de puerto se utiliza normalmente para conectar switches entre sí, switches con routers o switches con firewalls.

Para que el tráfico de diferentes VLANs no se mezcle, cada trama Ethernet se marca con una etiqueta que identifica la VLAN a la que pertenece.

El protocolo utilizado para etiquetar las tramas VLAN es el estándar IEEE 802.1Q.

Este estándar añade un campo adicional a la trama Ethernet que incluye el identificador de la VLAN (VLAN ID).

Para que el tráfico de diferentes VLANs no se mezcle al viajar por un mismo cable físico (el enlace troncal), el estándar IEEE 802.1Q se encarga de inyectar una etiqueta (tag) de 4 bytes en cada paquete de datos. Esta etiqueta contiene el número identificador de la VLAN, permitiendo que el switch o router de destino sepa exactamente a qué red pertenece cada paquete.

Cuando una trama atraviesa un enlace troncal:

Este mecanismo permite que múltiples redes lógicas compartan un mismo enlace físico sin interferir entre sí.

Dentro del estándar IEEE 802.1Q existe un concepto de seguridad muy importante: la VLAN Nativa.

Por definición, el tráfico de la VLAN nativa viaja por los enlaces troncales sin etiqueta.

Por defecto en los equipos Cisco, la VLAN 1 es la nativa y también la VLAN de administración predeterminada. En entornos profesionales de ciberseguridad, se considera una buena práctica cambiar la VLAN nativa a una VLAN inutilizada que no sea la 1 para prevenir ataques de salto de VLAN (VLAN Hopping).

El tamaño de una subred se define mediante la notación CIDR (Classless Inter-Domain Routing).

Por ejemplo:

El número /24 indica que los primeros 24 bits de la dirección IP identifican la red.

Esto equivale a una máscara de subred:

Con esta configuración, la red dispone de:

Las subredes permiten organizar el direccionamiento IP de forma estructurada y facilitan el enrutamiento entre diferentes segmentos de red.

Para que un dispositivo pueda comunicarse con otras redes, necesita conocer la dirección de su puerta de enlace predeterminada (default gateway).

El gateway suele ser una interfaz de un router o firewall que conecta la subred con otras redes.

Por ejemplo:

Cuando un dispositivo necesita enviar tráfico fuera de su propia subred, lo envía al gateway para que este lo enrute hacia su destino.

En este enfoque, cada VLAN tiene su propio rango de direcciones IP.

Por ejemplo:

Este diseño facilita la gestión de la red y la aplicación de políticas de seguridad.

Mantener una correspondencia clara entre VLANs y subredes permite:

Por ejemplo, si sabemos que la subred 192.168.20.0/24 pertenece al departamento de Recursos Humanos, podemos crear reglas de seguridad que controlen el acceso de ese departamento a otros sistemas.

Además, este modelo facilita la escalabilidad de la red, ya que permite añadir nuevos segmentos sin modificar la arquitectura existente.

El protocolo ARP (Address Resolution Protocol) se utiliza en redes IPv4 para asociar direcciones IP con direcciones MAC dentro de una red local.

Cuando un dispositivo necesita enviar un paquete a otro equipo de la misma red, primero debe conocer su dirección MAC. Para ello envía una solicitud ARP en broadcast preguntando quién tiene la dirección IP con la que se quiere comunicar.

El equipo correspondiente responde con su dirección MAC, y esta información se almacena en una tabla ARP local.

El problema es que el protocolo ARP no incluye mecanismos de autenticación, lo que permite a un atacante enviar respuestas ARP falsas.

En un ataque de ARP Spoofing, el atacante envía respuestas ARP manipuladas para asociar su propia dirección MAC con la dirección IP de otro dispositivo, como por ejemplo el gateway de la red.

De esta forma, el tráfico destinado al gateway se envía primero al atacante, que puede:

Este tipo de ataque permite capturar credenciales, sesiones web u otra información sensible que circule por la red.

El protocolo DHCP (Dynamic Host Configuration Protocol) permite asignar automáticamente direcciones IP y otros parámetros de red a los dispositivos que se conectan a una red.

En un ataque de DHCP Spoofing, un atacante introduce un servidor DHCP falso dentro de la red.

Cuando un equipo nuevo se conecta y envía una solicitud DHCP, el servidor falso responde antes que el servidor legítimo y proporciona parámetros de red manipulados, como por ejemplo:

Esto permite redirigir el tráfico de las víctimas hacia sistemas controlados por el atacante, facilitando ataques de interceptación de tráfico o redirección hacia sitios fraudulentos.

Las VLANs permiten segmentar una red en múltiples redes lógicas independientes. Sin embargo, si la configuración no es correcta, es posible que un atacante consiga acceder a VLANs distintas a la suya mediante un ataque conocido como VLAN Hopping.

Existen dos técnicas principales para realizar este tipo de ataque.

Aunque estos ataques pueden ser peligrosos, existen diversas medidas de seguridad que permiten reducir significativamente el riesgo.

Port Security

Permite limitar el número de direcciones MAC que pueden utilizar un puerto del switch. Esto ayuda a evitar ataques en los que un atacante intenta conectar múltiples dispositivos o suplantar identidades MAC.

DHCP Snooping

Esta función permite que el switch identifique qué puertos están autorizados para actuar como servidores DHCP.

Los puertos conectados a servidores DHCP legítimos se marcan como trusted, mientras que el resto se consideran untrusted. El switch bloquea cualquier respuesta DHCP procedente de puertos no autorizados.

Dynamic ARP Inspection (DAI)

Esta técnica permite verificar las respuestas ARP comparándolas con una base de datos de direcciones IP y MAC válidas. Si se detecta una respuesta ARP sospechosa, el switch puede bloquearla automáticamente.

Configuración segura de VLANs

Para prevenir ataques de VLAN Hopping es recomendable:

En lugar de conectar un cable físico por cada VLAN al router, se utiliza un enlace troncal (trunk) entre el switch y el router.

Este enlace permite transportar tráfico de múltiples VLANs a través del mismo cable, utilizando etiquetas VLAN basadas en el estándar IEEE 802.1Q.

El router recibe los paquetes etiquetados, identifica a qué VLAN pertenecen y decide cómo deben ser reenviados hacia otras redes.

Este diseño es muy común en laboratorios, redes pequeñas y entornos educativos porque permite implementar enrutamiento entre VLANs sin necesidad de hardware adicional.

El funcionamiento de Router-on-a-Stick se basa en tres elementos fundamentales:

Cuando un equipo de una VLAN necesita comunicarse con otro dispositivo de una VLAN distinta, el tráfico sigue este proceso:

Para que el router pueda identificar a qué VLAN pertenece cada paquete, es necesario utilizar el estándar IEEE 802.1Q, que añade una etiqueta VLAN a cada trama Ethernet.

En el router, cada subinterfaz se configura para aceptar tráfico etiquetado con un identificador de VLAN específico mediante el comando de encapsulación dot1Q.

Por ejemplo:

Esto indica que esa subinterfaz procesará el tráfico perteneciente a la VLAN 10.

Cada VLAN debe tener una puerta de enlace predeterminada (default gateway) que permita a los equipos comunicarse con otras redes.

En una arquitectura Router-on-a-Stick, el gateway de cada VLAN será la dirección IP configurada en la subinterfaz correspondiente del router.

Por ejemplo:

Los equipos de cada VLAN utilizarán esta dirección como gateway para enviar tráfico fuera de su red.

En esta arquitectura, todo el tráfico entre VLANs debe pasar por un único enlace físico entre el switch y el router.

Esto puede generar un cuello de botella, especialmente en redes con un gran volumen de tráfico interno.

Además, el router debe procesar cada paquete, lo que puede aumentar la carga de CPU.

En redes pequeñas esto no suele ser un problema, pero en infraestructuras más grandes puede afectar al rendimiento.

Una alternativa más eficiente consiste en utilizar switches multicapa (Layer 3 switches).

Estos dispositivos combinan las funciones de un switch tradicional con capacidades de enrutamiento.

En lugar de enviar el tráfico a un router externo, el propio switch puede realizar el enrutamiento entre VLANs utilizando interfaces virtuales conocidas como SVI (Switch Virtual Interfaces).

Las principales ventajas de los switches de capa 3 son:

Por este motivo, en redes empresariales modernas el enrutamiento entre VLANs suele realizarse directamente en switches de capa 3 situados en la capa de distribución o núcleo de la red.

En la red existen dos switches de capa 2 conectados a un router Cisco que se encargará de permitir la comunicación entre diferentes VLANs.

Cada switch tiene conectados dos equipos cliente. Los equipos se agruparán en dos VLANs diferentes para simular dos departamentos de una organización.

La topología de la red es la siguiente:

El router que utilizará en esta práctica será un Cisco 3725.

Para los switches se utilizarán switches genéricos de capa 2.

El puerto del switch que conecta con el router debe configurarse como enlace troncal (trunk) utilizando el estándar IEEE 802.1Q (dot1q).

Un enlace troncal permite que varias VLAN viajen por el mismo enlace físico, ya que cada trama Ethernet se etiqueta con el identificador de su VLAN correspondiente.

En esta práctica, el enlace troncal debe permitir al menos las VLAN 10 y VLAN 20, que son las que hemos creado para los distintos departamentos.

Si el puerto no está configurado como trunk 802.1Q, el router no recibirá correctamente las etiquetas de las VLAN y el enrutamiento entre VLANs (inter-VLAN routing) no funcionará.

La configuración de los switches será la siguiente:

Se definirá la siguiente segmentación y cada VLAN utilizará una subred IP diferente:

Deberá realizar las siguientes tareas.

Paso 1: Configuración de los Switches Genéricos

En GNS3, al usar el switch básico integrado, debes hacer clic derecho sobre él y seleccionar Configure.

Paso 2: Asignación de IPs a los clientes (VPCS)

Abre la consola de cada PC y asígnale una IP estática dentro de su subred, indicando que el router será su puerta de enlace (Gateway). Por ejemplo, para el PC1: ip 192.168.10.10 255.255.255.0 192.168.10.1

Paso 3: Configuración del Router (Inter-VLAN Routing)

Deberás acceder a la CLI del router Cisco 3725 y configurar subinterfaces (ej. FastEthernet0/0.10 y 0/0.20). Cada subinterfaz actuará como el Gateway de su respectiva VLAN mediante encapsulación 802.1Q.

Paso 4: Verificación y Pruebas

En nuestra topología, un único Switch genérico concentra las conexiones de seis equipos (VPCS) divididos en tres áreas. El switch se conecta mediante un enlace troncal (trunk) a la interfaz f0/1 del router R1.

Por su parte, el router utiliza su interfaz f0/0 para conectarse a un nodo NAT, el cual le proporcionará una IP dinámica y salida al exterior.

El router que se utilizará en esta práctica será un Cisco 3725.

Organización de la red:

Para confirmar que las políticas de seguridad y enrutamiento se han aplicado correctamente, realiza las siguientes pruebas de penetración desde la consola de PC1 (VLAN 10):

Si durante el Paso 3 alguno de los PCs no recibe una dirección IP o si recibe un error de DORA failed, el problema casi siempre está en la configuración del enlace troncal del switch o en la asignación de las VLANs a los puertos.

Para diagnosticar el estado del servidor DHCP y verificar qué está ocurriendo, puedes utilizar las siguientes herramientas:

En el Router (R1):

Este es el comando estrella. Te mostrará una tabla con todas las direcciones IP que el router ha entregado y la dirección MAC del PC que la ha recibido. Si la tabla está vacía, las peticiones DHCP de los PCs no están llegando al router.

Te muestra estadísticas detalladas de cada pool que hemos creado (VLAN10, VLAN20, VLAN30), incluyendo cuántas direcciones totales hay disponibles y cuántas se han alquilado (leased).

Utiliza este comando para asegurarte de que las subinterfaces (f0/1.10, etc.) están en estado up/up y tienen la IP correcta asignada.

En los equipos (VPCS):

Te permite ver la configuración de red actual del equipo (IP, máscara, Gateway y DNS), así como su dirección MAC.

Para forzar al PC a liberar su IP actual y volver a solicitar una nueva al router, puedes usar este comando para liberar la dirección IP asignada por DHCP.

Para solicitar una dirección IP nueva al servidor DHCP.

En este laboratorio unificaremos varios conceptos clave del diseño de redes seguras. Configuraremos una infraestructura donde tres departamentos distintos segmentados en tres VLANs tendrán salida a Internet a través de un único router central, pero estarán estrictamente aislados entre sí para evitar movimientos laterales en caso de que un equipo se vea comprometido.

Para lograr esto, utilizaremos la técnica Router-on-a-Stick junto con NAT para la salida exterior, y aplicaremos Listas de Control de Acceso (ACLs) para garantizar la segmentación de red. Además, el router actuará como servidor DHCP para asignar dinámicamente las IPs a todos los equipos.

En nuestra topología, un Switch Cisco IOSvL2 concentra las conexiones de seis equipos (VPCS) divididos en tres áreas. El switch se conecta mediante un enlace troncal (trunk) a la interfaz f0/1 del router R1 Cisco 3725.

Por su parte, el router utiliza su interfaz f0/0 para conectarse a un nodo NAT, el cual le proporcionará una IP dinámica y salida al exterior.

Organización de la red:

Existen dos enfoques principales a la hora de diseñar políticas de acceso en redes.

El modelo de seguridad Zero Trust (Confianza Cero) se basa precisamente en este principio.

En una arquitectura Zero Trust:

Este modelo asume que la red interna puede estar comprometida y, por lo tanto, aplica controles estrictos incluso dentro de la propia infraestructura.

Las ACL se utilizan para implementar diferentes políticas de seguridad dentro de una red, como por ejemplo:

En esencia, las ACL actúan como un firewall básico integrado en los dispositivos de red.

Las ACL estándar son las más simples. Solo analizan la dirección IP de origen del paquete.

Esto significa que una ACL estándar puede permitir o bloquear tráfico en función de la red desde la que proviene, pero no puede tener en cuenta el destino ni el tipo de servicio utilizado.

Por ejemplo, una ACL estándar podría bloquear todo el tráfico procedente de una red específica.

Debido a sus limitaciones, las ACL estándar se utilizan principalmente en escenarios sencillos.

Las ACL extendidas ofrecen un control mucho más granular sobre el tráfico.

Permiten filtrar paquetes utilizando múltiples criterios, entre ellos:

Esto permite crear políticas mucho más precisas.

Por ejemplo, una ACL extendida podría permitir que un departamento acceda a un servidor web únicamente mediante el puerto HTTPS (443), bloqueando cualquier otro tipo de conexión.

Las reglas de una ACL se procesan de arriba hacia abajo.

Cuando un paquete llega al dispositivo, este compara el paquete con cada regla de la lista hasta encontrar una coincidencia.

En cuanto se encuentra una regla que coincide con el paquete, se aplica la acción correspondiente (permit o deny) y el resto de reglas ya no se evalúan.

Por este motivo, el orden de las reglas es extremadamente importante.

Todas las ACL incluyen automáticamente una regla invisible al final de la lista que equivale a:

Esto significa que cualquier paquete que no coincida con ninguna regla anterior será bloqueado automáticamente.

Por esta razón, es habitual añadir al final de las ACL una regla explícita que permita el tráfico que se desea mantener permitido.

Cuando una ACL se aplica en dirección inbound, el tráfico se filtra en el momento en que entra en la interfaz.

Esto significa que el dispositivo analiza el paquete antes de procesarlo o reenviarlo.

Aplicar las ACL en esta dirección suele ser más eficiente, ya que permite bloquear tráfico no deseado lo antes posible.

Cuando una ACL se aplica en dirección outbound, el tráfico se filtra justo antes de salir por la interfaz.

En este caso, el paquete ya ha sido procesado internamente por el dispositivo antes de aplicar el filtrado.

La elección entre inbound y outbound depende del diseño de la red y de las políticas de seguridad que se quieran implementar.

Una práctica habitual consiste en impedir que distintos departamentos de una organización puedan comunicarse directamente entre sí.

Por ejemplo:

Estas restricciones ayudan a limitar el movimiento lateral de un atacante dentro de la red.

Otra política común consiste en permitir únicamente ciertos servicios hacia servidores específicos.

Por ejemplo:

Este enfoque reduce significativamente la exposición de los sistemas críticos.

Cuando un dispositivo se conecta a la red, inicialmente no conoce la IP del servidor DHCP. Por este motivo, envía un mensaje de broadcast llamado DHCP Discover para localizar servidores disponibles.

Este mensaje se envía a la dirección MAC de difusión (FF:FF:FF:FF:FF:FF) y a la dirección IP de difusión limitada (255.255.255.255).

Los servidores DHCP que reciben el mensaje Discover responden con un mensaje DHCP Offer. En este mensaje el servidor propone una dirección IP disponible junto con otros parámetros de configuración.

El cliente selecciona una de las ofertas recibidas, generalmente la primera, y envía un mensaje DHCP Request para solicitar formalmente esa dirección IP.

Este mensaje se envía siempre como broadcast. El motivo es notificar a todos los servidores DHCP presentes en la red qué oferta ha sido aceptada, así los servidores rechazados pueden liberar la dirección IP que habían reservado temporalmente y devolverla a su pool.

Finalmente, el servidor DHCP responde con un mensaje DHCP Acknowledge (ACK), confirmando la asignación. En este momento el cliente ya puede utilizar la configuración recibida para comunicarse. Al igual que el mensaje Offer, el envío del ACK puede realizarse mediante unicast o broadcast según las capacidades del cliente.

El protocolo IPv4 dispone de un espacio limitado de direcciones (aproximadamente 4.300 millones). Debido al crecimiento de Internet, este espacio de direcciones se agotó hace años.

Para permitir que millones de dispositivos puedan acceder a Internet utilizando un número reducido de direcciones públicas, se desarrolló el mecanismo NAT.

Network Address Translation (NAT) es un mecanismo mediante el cual un router modifica la dirección IP de origen o destino de los paquetes cuando estos atraviesan el dispositivo.

Cuando un equipo de una red privada quiere comunicarse con Internet:

Cuando llega la respuesta del servidor remoto, el router realiza el proceso inverso para reenviar el paquete al dispositivo original dentro de la red privada.

PAT funciona utilizando números de puerto para identificar cada conexión individual.

Cuando varios dispositivos internos se comunican con Internet, el router:

Por ejemplo:

Gracias a este mecanismo, cientos o incluso miles de dispositivos pueden utilizar la misma dirección IP pública.

Para poder gestionar estas traducciones, el router mantiene una tabla NAT donde registra las conexiones activas.

Esta tabla contiene información como:

Cuando el router recibe una respuesta desde Internet, consulta esta tabla para determinar a qué dispositivo interno debe reenviar el paquete.

Los firewalls de filtrado de paquetes son la forma más básica de firewall.

Funcionan analizando los encabezados de los paquetes de red y aplicando reglas basadas en criterios como:

Este tipo de firewall no mantiene información sobre el estado de las conexiones, por lo que cada paquete se analiza de forma independiente.

Aunque son rápidos y sencillos, ofrecen un nivel de seguridad limitado.

Los firewalls con inspección de estado (Stateful Inspection) representan una evolución respecto a los firewalls básicos.

Además de analizar los encabezados de los paquetes, estos dispositivos mantienen una tabla de estados con información sobre las conexiones activas.

Esto permite distinguir entre:

Por ejemplo, si un usuario interno inicia una conexión hacia un servidor web en Internet, el firewall permitirá automáticamente el tráfico de respuesta asociado a esa conexión.

Este modelo proporciona un nivel de seguridad mucho mayor que el filtrado de paquetes tradicional.

Los Next Generation Firewalls (NGFW) representan la evolución más avanzada de los sistemas de filtrado de red.

Además de las funciones tradicionales de firewall, los NGFW integran características adicionales como:

Estos dispositivos permiten aplicar políticas de seguridad mucho más complejas y adaptadas a las necesidades actuales de las organizaciones.

Un router está diseñado principalmente para enrutar tráfico entre redes diferentes.

Sus funciones principales incluyen:

Aunque los routers pueden aplicar ACL para filtrar tráfico, su función principal no es la seguridad.

Un firewall está diseñado específicamente para controlar y proteger el tráfico de red.

Sus funciones incluyen:

En infraestructuras modernas, el firewall suele situarse en el perímetro de la red, actuando como puerta de enlace entre la red interna y el exterior.

En redes pequeñas o laboratorios es habitual que un router realice funciones básicas de filtrado.

Sin embargo, en entornos empresariales es recomendable utilizar firewalls dedicados, ya que ofrecen un nivel de control y seguridad mucho mayor.

pfSense funciona como un dispositivo de red con múltiples interfaces.

Las más comunes son:

Opcionalmente pueden configurarse interfaces adicionales para crear zonas como DMZ o redes internas adicionales.

Todo el tráfico que pasa entre estas interfaces es analizado por el firewall, que aplica las reglas de seguridad configuradas por el administrador.

pfSense ofrece numerosas funcionalidades de red y seguridad, entre ellas:

Gracias a estas características, pfSense permite construir infraestructuras de red seguras sin necesidad de utilizar soluciones propietarias.

En este laboratorio emularemos una arquitectura de red básica de borde. La topología está compuesta por tres componentes fundamentales:

Al igual que ocurre con los routers Cisco, GNS3 no incluye pfSense por defecto. Debemos importar su imagen o appliance para poder emularlo en nuestro servidor de GNS3 VM.

Recursos para obtener la imagen de pfSense:

Paso 1: Despliegue de la infraestructura

Paso 2: Configuración inicial del firewall vía consola

Paso 3: Configuración del cliente y acceso web a pfSense

Paso 4: Configuración inicial de pfSense vía web

Paso 5: Verificación y pruebas

Para confirmar que la configuración básica y el enrutamiento se han aplicado correctamente, realiza las siguientes pruebas desde webterm:

El éxito en estas pruebas confirmará que el tráfico de salida está siendo correctamente enrutado y nateado (NAT) por pfSense hacia la red externa.

La infraestructura está compuesta por las siguientes zonas y nodos:

Paso 1: Configuración de la red externa (WAN)

El router R1 se sitúa en el perímetro exterior. Debes configurarlo para que sirva de enlace entre la nube NAT y la interfaz WAN del firewall.

Paso 2: Configuración de VLANs en pfSense

Habilitaremos el etiquetado trunking en la interfaz física em1 de pfSense para que transporte el tráfico de los cuatro segmentos.

Paso 3: Configuración del enlace troncal (Trunk) en el switch central

Para que el tráfico llegue correctamente a pfSense, el switch central (o multiport) debe identificar las etiquetas de las VLANs:

Paso 4: Implementación de políticas de seguridad y filtrado

Debes configurar las reglas de firewall para garantizar el cumplimiento de las siguientes políticas:

Paso 5: Verificación de conectividad y aislamiento

Realiza las siguientes comprobaciones para validar el correcto funcionamiento: