Alias: Astronaut | CNO V Security
← Volver a Actividades
馃摜 Descargar PDF

Actividad 4: Mecanismos de defensa de red

DATOS GENERALES:

  • Alumno: Mauricio Josafat Salinas Carrillo
  • Fecha: 4 de febrero de 2026
  • Materia: Seguridad Inform谩tica

Introducci贸n Contextual

La defensa de red moderna no se basa en una sola herramienta, sino en una estrategia de "Defensa en Profundidad". En este contexto, la configuraci贸n correcta de un firewall perimetral y de host es cr铆tica. Esta actividad se centra en la aplicaci贸n pr谩ctica de pol铆ticas de "cierre por defecto" (default drop) y la apertura selectiva de servicios esenciales como DNS y Web, minimizando la superficie de ataque.

Implementaci贸n de reglas Iptables

A continuaci贸n se detallan los comandos de iptables utilizados para configurar el cortafuegos de acuerdo con los requerimientos de seguridad establecidos:

1. Establecer pol铆tica restrictiva

Se configuran las cadenas por defecto para denegar todo el tr谩fico entrante, saliente y de reenv铆o por seguridad:

iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -P FORWARD DROP

2. Tr谩fico de conexiones establecidas

Permitir el tr谩fico de red de aquellas conexiones que ya han sido iniciadas previamente:

iptables -A INPUT

3. Tr谩fico DNS

Aceptar el tr谩fico DNS (protocolo TCP) saliente desde la red local:

iptables -A OUTPUT -p tcp -j ACCEPT

4. Gesti贸n de Correo Electr贸nico (Servidor 192.168.1.10)

  • Correo entrante: Aceptar tr谩fico desde internet dirigido al servidor de correo local en el puerto 25.
    iptables -A FORWARD -d 192.168.1.10 -p tcp --dport 25 -j ACCEPT
  • Correo saliente: Permitir la salida de tr谩fico hacia internet desde el servidor de correo local.
    iptables -A FORWARD -s 192.168.1.10 -p tcp --dport 25 -j ACCEPT

5. Servicios Web y Navegaci贸n HTTP

  • Servidor Web (192.168.1.20): Aceptar conexiones HTTP entrantes desde internet en el puerto 80.
    iptables -A FORWARD -d 192.168.1.20 -p tcp --dport 80 -j ACCEPT
  • Navegaci贸n de Red Local: Permitir que los usuarios de la red local (segmento 192.168.1.0/24) accedan a internet v铆a protocolo HTTP.
    iptables -A FORWARD -s 192.168.1.0/24 -p tcp --dport 80 -j ACCEPT

Reflexi贸n y Casos de Uso

Reflexi贸n sobre Defensa en Profundidad

La implementaci贸n de reglas de firewall no se trata solo de bloquear puertos, sino de orquestar el flujo de informaci贸n de la organizaci贸n. La pol铆tica de "Default Drop" (denegar todo lo que no est谩 expl铆citamente permitido) configurada al inicio es la pr谩ctica de seguridad m谩s robusta posible. Esta actividad demuestra c贸mo un firewall act煤a como la primera l铆nea de defensa, separando zonas de confianza (LAN) de zonas hostiles (Internet) y zonas intermedias (DMZ).

Casos de Uso en Infraestructura

  • Creaci贸n de DMZ (Zonas Desmilitarizadas):
    Aislamiento de servicios p煤blicos (Web, Correo) para que, si son comprometidos, el atacante no tenga acceso directo a la red interna sensible (Bases de datos, Archivos).
  • Micro-segmentaci贸n:
    Uso de reglas de forwarding para restringir el tr谩fico lateral entre departamentos (ej. Ventas no deber铆a ver servidores de Ingenier铆a), limitando el movimiento de un atacante dentro de la red.