III. Crear red segmentada segura

Cómo diseñar una red corporativa desde cero, segmentada y segura

Este punto es fundamental. Aquí tú decides cómo será defendida tu fortaleza, desde el plano físico hasta los bits que viajan. Diseñar una red segura desde cero te permite construir sobre roca, no sobre arena.

🔰 FASE 1 – Recolección de requisitos

Antes de dibujar cables:

1. ¿Qué tipo de empresa es?

   • ¿Es un coworking? ¿Una fábrica? ¿Un banco? ¿Una startup SaaS?

   • ¿Cuántos usuarios tendrá? ¿Cuántos departamentos?

2. ¿Qué servicios y flujos existen?

   • ¿Email interno? ¿ERP? ¿IoT? ¿VoIP? ¿VPNs?

   • ¿Hay invitados, empleados remotos o servicios públicos?

3. ¿Cuáles son los activos críticos?

   • Bases de datos, servidores, aplicaciones, identidad (AD/LDAP), backups…

4. ¿Cuál es el presupuesto, y qué tecnología se usará?

   • ¿Cisco, Fortinet, MikroTik, Ubiquiti, pfSense, virtualización?

🧩 FASE 2 – Segmentación basada en zonas de seguridad

📦 Crea zonas lógicas según nivel de privilegio:

Zona - Finalidad - Nivel de Confianza
🔒 Zona Alta Seguridad - Controladores de dominio, servidores de autenticación -- Muy alta
🧠 Zona de Datos - Bases de datos, file servers -- Alta
🖥️ Zona de Aplicaciones - Servidores de apps internas, web internos -- Media-Alta
🧑‍💻 Zona Usuarios - PCs, laptops, VoIP, impresoras -- Media
🌐 DMZ (Z. Desmilitar.) - Web, mail, VPN públicos -- Baja
🧳 Zona Invitados - Dispositivos temporales -- Muy baja
📡 Zona IoT  -Cámaras, sensores, dispositivos de fábrica -- Muy baja

🎯 Aplica el principio de mínimo privilegio: solo deja que una zona hable con otra si es estrictamente necesario. El resto: bloqueado por defecto.

🧱 FASE 3 – Diseño físico y lógico

📐 Topología física recomendada (modelo en 3 capas):

1. Core Layer (switch L3 + redundancia):

   • Switches de alto rendimiento que interconectan toda la red.

2. Distribution Layer:

   • Switches intermedios que agrupan por zonas (usuarios, servidores…).

3. Access Layer:

   • Switches para puestos de trabajo, puntos WiFi, etc.

📌 Tip extra: usa redundancia física (STP), enlaces troncales (802.1Q) y define VLANs por zona.

🧮 FASE 4 – Dirección IP y VLANs

• Asigna rangos IP por VLAN:

  • VLAN 10 – Zona Usuarios: 192.168.10.0/24

  • VLAN 20 – Zona Servidores: 192.168.20.0/24

  • VLAN 30 – DMZ: 192.168.30.0/24

  • VLAN 40 – Invitados: 192.168.40.0/24

  • VLAN 50 – IoT: 192.168.50.0/24

• Cada VLAN se trata como una subred distinta, aislada a nivel 2 y 3.

🧯 FASE 5 – Seguridad de capa 2 a capa 7

Capa OSI Controles a implementar
2 (Enlace) Port Security, BPDU Guard, Storm Control
3 (Red) ACLs, enrutamiento inter-VLAN, DHCP Snooping
4–7 (Aplicación) Firewall NGFW, IPS/IDS, proxies, WAF, segmentación por microservicio

🛡️ FASE 6 – Firewall y políticas entre zonas

• Usa un firewall NGFW para controlar el tráfico entre zonas.

• Implementa reglas basadas en:

  • Zonas (zona origen → zona destino)

  • Aplicaciones (puertos, protocolos, servicios)

  • Usuarios (si hay integración con AD)

  • Tiempo (restricciones por horario)

Ejemplos:

• Usuarios → Aplicaciones: solo HTTP/S, RDP a servidores específicos.

• IoT → Nada: puede enviar datos, no recibir.

• Invitados → Solo Internet: sin acceso a la red interna.

• DMZ → Zona App: solo lo necesario y monitorizado.

🧪 FASE 7 – Validación y pruebas

1. Test de conectividad: ICMP, traceroute, puertos.

2. Prueba de reglas de firewall: con Kali/Parrot o escaneos controlados.

3. Test de segmentación: ¿Puede un usuario acceder a la DMZ? ¿Puede un IoT hablar con una base de datos?

4. Test de caída controlada: simula fallos para evaluar redundancia.

📂 Documentación

• Mapa de red actualizado.

• Diagrama de zonas con colores.

• Tabla de VLANs / IPs / ACLs.

• Registro de configuraciones y backups automáticos.

🧙 Mantra de la Maestra Arquitecta

"No solo diseño redes… diseño barreras sagradas que protegen el corazón digital de la organización."