B4-T9: SEGURIDAD PERIMETRAL, VPN E IPsec
IDS vs IPS es la pregunta trampa más repetida: IDS solo detecta y alerta (pasivo), IPS detecta y bloquea (activo/inline). IPsec tiene dos preguntas clásicas: AH (autenticidad, sin cifrado) vs ESP (autenticidad + cifrado), y modo transporte (extremo a extremo) vs modo túnel (gateway a gateway). Los protocolos VPN modernos (WireGuard) están empezando a aparecer.
1. FIREWALLS
1.1 Tipos de firewall
| Tipo | Capa OSI | Descripción | Limitaciones |
|---|
| Packet Filter | 3-4 | Filtra paquetes según reglas estáticas: IP origen/destino, puerto, protocolo. Sin estado — analiza cada paquete individualmente | No entiende el contexto de la conexión. Fácil de evadir con paquetes fragmentados |
| Stateful Inspection | 3-4 | Mantiene una tabla de estados de las conexiones activas. Solo permite tráfico que pertenece a una conexión establecida o relacionada | No inspecciona el contenido de capa 7 |
| Application Proxy | 7 | Actúa como intermediario (proxy) entre cliente y servidor. Inspecciona el contenido de la aplicación (HTTP, FTP, etc.) | Lento (rompe la conexión directa). Necesita un proxy por protocolo |
| NGFW (Next-Generation Firewall) | 3-7 | Combina stateful + IPS + DPI (Deep Packet Inspection) + identificación de aplicaciones + filtrado por usuario. Puede bloquear aplicaciones específicas (ej. bloquear Telegram pero permitir WhatsApp) | Más caro. Requiere más capacidad de procesamiento |
| WAF (Web Application Firewall) | 7 | Firewall especializado en tráfico HTTP/HTTPS. Protege contra OWASP Top 10: SQLi, XSS, CSRF, file inclusion | Solo protege aplicaciones web. No reemplaza al firewall de red |
OJO examen: Un firewall stateful es más seguro que packet filter porque entiende el estado de la conexión — un paquete ACK suelto (sin SYN previo) sería rechazado. Un packet filter lo dejaría pasar si la regla lo permite.
1.2 Productos de firewall
| Producto | Tipo | Descripción |
|---|
| iptables / nftables | Open source (Linux) | Firewall del kernel Linux. nftables es el sucesor de iptables. Tablas: filter, nat, mangle. Cadenas: INPUT, OUTPUT, FORWARD |
| pfSense | Open source (FreeBSD) | Firewall/router con interfaz web. Stateful + NAT + VPN + IDS/IPS (Suricata/Snort) |
| OPNsense | Open source (FreeBSD) | Fork de pfSense con actualizaciones más frecuentes y UI modernizada |
| Palo Alto | Comercial NGFW | Líder en NGFW. Identificación de aplicaciones (App-ID), usuarios (User-ID), contenido (Content-ID) |
| Fortinet FortiGate | Comercial NGFW | NGFW con procesadores ASIC propios (FortiASIC) para alto rendimiento |
| Cisco ASA / Firepower | Comercial | ASA: firewall stateful clásico. Firepower: NGFW con Snort IPS integrado |
2. ARQUITECTURAS DE SEGURIDAD PERIMETRAL
2.1 DMZ (Zona Desmilitarizada)
La DMZ es una subred intermedia entre la red interna (LAN) y la red externa (Internet). Aloja servicios que necesitan ser accesibles desde Internet (servidores web, correo, DNS público) pero aislados de la red interna.
| Arquitectura | Descripción |
|---|
| Single firewall (3 patas) | Un firewall con 3 interfaces: Internet, DMZ, LAN. Más económico, menos seguro (un solo punto de fallo) |
| Dual firewall | Dos firewalls: el externo entre Internet y DMZ, el interno entre DMZ y LAN. Más seguro — si comprometen el firewall externo, la LAN sigue protegida. Recomendación: usar fabricantes diferentes |
| Screened subnet | Router de filtrado + firewall + DMZ. El router filtra tráfico básico, el firewall inspecciona en profundidad |
| Bastion host | Servidor específicamente endurecido (hardened) expuesto a Internet. Mínimos servicios, máxima auditoría |
2.2 Segmentación de red
| Técnica | Descripción |
|---|
| VLANs | Segmentación lógica a nivel de enlace (capa 2). Ver rc10 |
| Microsegmentación | Políticas de seguridad a nivel de carga de trabajo individual (VM/contenedor). Implementada vía software (SDN, NSX, Calico) |
| Zero Trust | "Nunca confiar, siempre verificar". Todo acceso requiere autenticación + autorización, incluso desde la red interna. Principios: menor privilegio, verificación continua, asumir brecha |
| NAC (Network Access Control) | Controla qué dispositivos pueden conectarse. Verifica compliance (antivirus, SO parcheado). Protocolo: 802.1X |
3. IDS / IPS
CLAVE EXAMEN: IDS = detecta y alerta (pasivo). IPS = detecta y bloquea (activo/inline). Esta distinción es pregunta casi segura.
| Característica | IDS (Intrusion Detection System) | IPS (Intrusion Prevention System) |
|---|
| Acción | Detecta y alerta — no bloquea tráfico | Detecta y bloquea — corta conexiones maliciosas |
| Posición en red | Copia del tráfico (port mirror/SPAN) — pasivo | En línea (inline) entre origen y destino — activo |
| Impacto en tráfico | Ninguno (no está en el camino) | Puede añadir latencia. Si falla puede cortar tráfico (fail-open vs fail-close) |
| Falsos positivos | Generan alertas innecesarias | Pueden bloquear tráfico legítimo |
3.1 Tipos de IDS/IPS por ubicación
| Tipo | Ubicación | Qué monitoriza |
|---|
| NIDS/NIPS | Red (Network) | Tráfico de red (paquetes, flujos). Sondas en puntos estratégicos |
| HIDS/HIPS | Host | Actividad del sistema: logs, integridad de archivos, procesos, syscalls |
3.2 Métodos de detección
| Método | Descripción | Pros/Contras |
|---|
| Basado en firmas (signature-based) | Compara el tráfico con una base de datos de patrones de ataques conocidos | Muy preciso para ataques conocidos. No detecta ataques nuevos (zero-day) |
| Basado en anomalías (anomaly-based) | Establece un perfil de tráfico "normal" y alerta cuando se desvía significativamente | Puede detectar ataques desconocidos. Más falsos positivos (necesita entrenamiento) |
| Basado en políticas | Reglas definidas por el administrador (ej. "ningún tráfico SSH desde la DMZ") | Preciso según las reglas. Requiere configuración manual experta |
3.3 Productos IDS/IPS
| Producto | Tipo | Descripción |
|---|
| Snort | NIDS/NIPS | Open source (Cisco/Sourcefire). Basado en firmas (reglas). El más conocido |
| Suricata | NIDS/NIPS | Open source (OISF). Multi-hilo (más rápido que Snort). Compatible con reglas Snort |
| OSSEC | HIDS | Open source. Monitoriza logs, integridad de archivos, rootkit detection. Fork: Wazuh |
| Zeek (ex Bro) | NSM | Network Security Monitor. Genera metadata de tráfico para análisis forense (no basado en firmas) |
4. VPN (Virtual Private Network)
4.1 Tipos de VPN
| Tipo | Descripción | Ejemplo |
|---|
| Site-to-Site | Conecta dos redes completas (LAN a LAN) a través de Internet. Transparente para los usuarios | Oficina central ↔ sucursal |
| Remote Access | Un usuario individual se conecta a la red corporativa desde cualquier ubicación | Teletrabajador ↔ oficina |
| Client-to-Client | Conexión directa entre dos hosts a través de un túnel cifrado | Peer-to-peer cifrado |
4.2 Protocolos VPN
| Protocolo | Puerto | Descripción |
|---|
| IPsec | ESP: protocolo IP 50. AH: protocolo IP 51. IKE: 500/UDP (NAT-T: 4500/UDP) | Suite de protocolos para cifrado + autenticación a nivel de red (capa 3). Estándar de facto para VPN site-to-site. Ver sección 5 |
| L2TP/IPsec | 1701/UDP (L2TP) + IPsec | L2TP (Layer 2 Tunneling Protocol) crea el túnel pero no cifra por sí solo — siempre se usa con IPsec para cifrado. Combina características de PPTP (Microsoft) y L2F (Cisco) |
| OpenVPN | 1194/UDP (o TCP) | Open source, basado en SSL/TLS. Muy flexible: puede funcionar sobre UDP o TCP. Usa OpenSSL. Ampliamente utilizado. Modo TUN (capa 3, routing) o TAP (capa 2, bridging) |
| WireGuard | 51820/UDP | Moderno, código minimalista (~4.000 líneas vs 100.000 de OpenVPN). Criptografía moderna fija: Curve25519 + ChaCha20 + Poly1305. Integrado en kernel Linux desde 5.6. Muy rápido |
| SSTP | 443/TCP | Microsoft. Tunneling sobre HTTPS — difícil de bloquear (usa puerto 443). Nativo en Windows |
| PPTP | 1723/TCP + GRE | Point-to-Point Tunneling Protocol. INSEGURO — cifrado MPPE (RC4) roto. NO usar |
| GRE | Protocolo IP 47 | Generic Routing Encapsulation. Túnel sin cifrado (solo encapsulación). Se usa con IPsec para añadir cifrado |
4.3 Comparativa de protocolos VPN
| Aspecto | IPsec | OpenVPN | WireGuard |
|---|
| Capa OSI | 3 (red) | 3-4 (TLS sobre UDP/TCP) | 3 (kernel) |
| Velocidad | Alta (kernel/HW) | Media (userspace) | Muy alta (kernel, crypto moderna) |
| Complejidad | Alta (muchas opciones) | Media (configuración flexible) | Baja (minimalista) |
| Firewall friendly | Difícil (protocolo IP 50/51) | Sí (puede usar TCP 443) | Medio (UDP) |
| Uso | Site-to-site corporativo | Remote access, versatilidad | Remote access, rendimiento |
5. IPsec EN DETALLE
CLAVE EXAMEN: IPsec tiene dos preguntas clásicas: AH vs ESP (AH=autenticidad sin cifrado, ESP=autenticidad+cifrado) y modo transporte vs modo túnel.
5.1 Protocolos IPsec
| Protocolo | IP Proto | Cifrado | Autenticación | Protege |
|---|
| AH (Authentication Header) | 51 | NO | SÍ (integridad + autenticidad) | Cabecera IP + datos. Detecta modificaciones pero NO oculta el contenido |
| ESP (Encapsulating Security Payload) | 50 | SÍ | SÍ (integridad + autenticidad + confidencialidad) | Solo los datos (no la cabecera IP externa en modo túnel) |
En la práctica: ESP se usa casi siempre. AH es raro porque no cifra y es incompatible con NAT (modifica la cabecera IP, rompiendo la autenticación de AH).
5.2 Modos IPsec
| Modo | Protege | Encapsula | Uso |
|---|
| Transporte | Solo el payload (datos) del paquete IP original | Inserta cabecera AH/ESP entre la cabecera IP y los datos | Host-to-host (comunicación extremo a extremo). Menor overhead |
| Túnel | El paquete IP completo (cabecera + datos) | Encapsula el paquete original dentro de un nuevo paquete IP con cabecera AH/ESP | Gateway-to-gateway (VPN site-to-site). Las IPs originales quedan ocultas |
5.3 IKE (Internet Key Exchange)
| Concepto | Descripción |
|---|
| IKE | Protocolo de negociación de IPsec. Establece las SAs (Security Associations) y gestiona las claves. Puerto 500/UDP |
| IKEv1 | Dos fases: Fase 1 (establece ISAKMP SA — canal seguro) + Fase 2 (negocia IPsec SA — parámetros del túnel). Modos: Main Mode (6 mensajes, más seguro) o Aggressive Mode (3 mensajes, más rápido) |
| IKEv2 | Más simple y eficiente: 4 mensajes para establecer el túnel. Soporta MOBIKE (cambio de IP/red sin renegociar), EAP, NAT-T nativo. RFC 7296 |
| SA (Security Association) | Conjunto de parámetros acordados: algoritmo de cifrado, autenticación, claves, tiempo de vida. Identificada por SPI (Security Parameter Index). Unidireccional |
| NAT-T (NAT Traversal) | Encapsula ESP en UDP puerto 4500 para atravesar NAT (que rompería IPsec sin encapsular) |
5.4 Algoritmos usados en IPsec
| Función | Algoritmos |
|---|
| Cifrado (ESP) | AES-128/256 (CBC o GCM), 3DES (deprecado), ChaCha20-Poly1305 |
| Integridad (AH/ESP) | HMAC-SHA256, HMAC-SHA512, AES-XCBC, AES-GCM (AEAD) |
| Intercambio claves (IKE) | DH Group 14 (2048-bit), DH Group 19 (ECC 256-bit), DH Group 20 (ECC 384-bit) |
| Autenticación (IKE) | Pre-Shared Key (PSK), certificados X.509, EAP |
6. CATÁLOGOS DE VULNERABILIDADES
| Catálogo | Mantenido por | Descripción |
|---|
| CVE (Common Vulnerabilities and Exposures) | MITRE / NVD (NIST) | Identificador único para cada vulnerabilidad conocida. Formato: CVE-YYYY-NNNNN. Ej: CVE-2021-44228 (Log4Shell) |
| CWE (Common Weakness Enumeration) | MITRE | Catálogo de tipos de debilidades de software (no vulnerabilidades específicas). Ej: CWE-79 (XSS), CWE-89 (SQL Injection) |
| CVSS (Common Vulnerability Scoring System) | FIRST | Puntuación de severidad de 0 a 10: None (0), Low (0.1-3.9), Medium (4.0-6.9), High (7.0-8.9), Critical (9.0-10.0). Versión actual: CVSS v4.0 |
| NVD (National Vulnerability Database) | NIST | Base de datos que añade análisis CVSS y CWE a los CVE |
| MITRE ATT&CK | MITRE | Base de conocimiento de tácticas, técnicas y procedimientos (TTPs) de atacantes. Matrices: Enterprise, Mobile, ICS |
| CAPEC | MITRE | Common Attack Pattern Enumeration and Classification. Catálogo de patrones de ataque |
OJO examen: CVE = vulnerabilidad concreta (ej. "Log4Shell"). CWE = tipo de debilidad genérica (ej. "SQL Injection"). CVSS = puntuación numérica de gravedad. No confundir.
7. INTERFACES DE TÚNEL
| Interfaz | Capa | Descripción |
|---|
| TUN | 3 (Red) | Interfaz virtual de routing. Transporta paquetes IP. Usado por VPNs en modo routed (OpenVPN, WireGuard) |
| TAP | 2 (Enlace) | Interfaz virtual de bridging. Transporta tramas Ethernet completas. Permite que los extremos estén en la misma LAN virtual |
8. PROXY Y REVERSE PROXY
| Tipo | Descripción | Ejemplo |
|---|
| Forward Proxy | Intermediario del cliente. Recibe peticiones del cliente y las reenvía al servidor. Funciones: caché, filtrado, anonimato, control de acceso | Squid, proxy corporativo |
| Reverse Proxy | Intermediario del servidor. Recibe peticiones de Internet y las distribuye a los servidores internos. Funciones: load balancing, caché, SSL termination, WAF, compresión | NGINX, HAProxy, Apache (mod_proxy), Traefik, Envoy |
| Transparent Proxy | Proxy invisible para el cliente (no requiere configuración). Intercepta el tráfico de forma transparente | Filtrado en red corporativa/ISP |
8.1 Balanceo de carga
| Algoritmo | Descripción |
|---|
| Round Robin | Distribuye peticiones secuencialmente entre servidores (1→2→3→1→...) |
| Least Connections | Envía al servidor con menos conexiones activas |
| IP Hash | La IP del cliente determina el servidor (sticky sessions) |
| Weighted | Asigna más tráfico a servidores más potentes (peso configurable) |
| Health checks | El balanceador comprueba periódicamente la salud de los backends y retira los caídos |
FUENTES PÚBLICAS
Este resumen ha sido elaborado íntegramente a partir de fuentes de dominio público. No se ha utilizado material con copyright de terceros ni material de preparadores.
| Fuente | Tipo | Referencia |
|---|
| RFCs 4301-4309 — IPsec | Estándar | IETF |
| RFC 7296 — IKEv2 | Estándar | IETF |
| Documentación de OpenVPN y WireGuard | Documentación oficial | Código abierto (GPL) |
| NIST SP 800-41, SP 800-77 | Estándar | NIST |