← Volver al inicio

VPN, Proxy y Segmentación: El Submarino y el Túnel

Objetivo del Módulo

Aprender cómo la ingeniería civil se aplica al diseño de redes. No puedes construir un castillo gigantesco con una sola pared perimetral, porque si el enemigo rompe esa pared, conquistará toda la ciudad en minutos. Tienes que usar túneles secretos y compartimentos herméticos.

1. La VPN: El Túnel Subacuático Blindado

En la pandemia del 2020, millones de empleados tuvieron que trabajar desde casa. El problema es que conectarse directamente a la Base de Datos de la empresa a través del internet público de su casa es como intentar pasar un cofre del tesoro nadando por un río infestado de pirañas (Hackers, ISPs, Gobiernos).

Aquí entra la VPN (Virtual Private Network).

  • La Analogía: No nadas por el río. Construyes un Tubo de Acero Subacuático desde tu casa directamente hasta el servidor de la empresa.
  • Todo el tráfico (Tus contraseñas, documentos, correos) viaja por adentro del tubo. Las pirañas pueden ver el tubo de acero cruzando el río, pero no pueden morder lo que va adentro, ni pueden ver de qué color es el cofre.

El Riesgo de Seguridad: El tubo de acero es de dos vías. Si la computadora del empleado en su casa tiene un virus, y el empleado se conecta a la VPN de la empresa, el virus usará ese mismo tubo de acero para meterse a la red corporativa, saltándose por completo a los guardias de la puerta principal (El Firewall). Por eso, las VPNs modernas obligan a la computadora a pasar por un escáner de Antivirus antes de dejarla entrar al tubo.

2. El Proxy Forward y Reverse: La Secretaria

Un Proxy es un intermediario. Un servidor que habla con internet en tu lugar.

Forward Proxy (La Secretaria del Empleado)

  • La Analogía: Eres un oficinista. En lugar de gritarle a la tienda de la esquina para pedir un café, le das el dinero a la secretaria. Ella va a la calle, compra el café y te lo trae.
  • La Ventaja (Privacidad): La tienda nunca supo quién eras tú, solo vio a la secretaria. Además, si le pides a la secretaria que compre drogas, ella te dirá "No, las políticas de la empresa no me permiten comprar eso" y bloqueará la conexión. (Filtro de Contenido / Bloqueo de Facebook).

Reverse Proxy (El Guardaespaldas del Servidor)

  • La Analogía: Eres el CEO de la empresa. En lugar de atender directamente a mil clientes enojados, pones a un Guardaespaldas gigante en la puerta de tu oficina. Los clientes le dan la carta al guardaespaldas, él la revisa buscando cuchillos (Virus), y si está limpia, te la pasa.
  • La Ventaja (Protección del Servidor): El servidor principal de Amazon nunca "toca" directamente internet. El tráfico sucio choca contra el Reverse Proxy (Ej. Nginx), y el Reverse Proxy es quien recibe los golpes de los hackers (Protección contra ataques de Denegación de Servicio - DDoS).

3. Segmentación de Red: El Submarino

Este es el concepto más importante que usan los Arquitectos de Seguridad modernos para detener el movimiento lateral de los hackers.

  • El Error Histórico: Una red "Plana". Como un globo gigante. Si el hacker le hace phishing a la recepcionista, el hacker entra al globo y tiene acceso libre e inmediato a los servidores financieros, las bases de datos y el CEO.
  • La Arquitectura Correcta (Segmentación): La analogía es Un Submarino Nuclear. El submarino no está hueco por dentro; está dividido en 20 compartimentos separados por compuertas de titanio (VLANs y Firewalls Internos).

Si un torpedo impacta la cocina del submarino, suena la alarma, se cierran las puertas herméticas y la cocina se inunda. La empresa perdió la cocina, pero el submarino no se hunde.

¿Cómo funciona técnicamente? La computadora de la recepcionista se pone en una "VLAN" aislada (Segmento de Red A). El servidor de Finanzas se pone en otro segmento (Segmento de Red B). Entre el Segmento A y el Segmento B, se coloca un Firewall Interno que dice: "Prohibido que la recepcionista hable con Finanzas". Si el hacker infecta a la recepcionista, se quedará atrapado en el compartimento de la recepción para siempre.

4. Criterio de Dominio (Autoevaluación)

Revisa si podrías diseñar la arquitectura de un banco:

  1. Un empleado de ventas trabaja desde su laptop en una cafetería pública usando el Wi-Fi gratuito para subir los reportes financieros a la red corporativa. Si un Hacker está sentado en la misma cafetería haciendo un ataque Man-in-the-Middle (MitM), ¿Por qué la activación de la VPN de la empresa en la laptop del vendedor anula completamente la capacidad del hacker para robar los reportes?
  2. La arquitectura de red de tu empresa es "plana" (no hay segmentación). Un atacante envía un Phishing al Departamento de Recursos Humanos, infecta una PC y desde ahí logra acceder directamente al Servidor de Producción de la Tienda en Línea para borrarlo. Usando la analogía del Submarino, diseña la solución de arquitectura (Segmentación y Firewalls Internos) para asegurar que este ataque sea imposible en el futuro.
  3. Estás implementando un servidor web público. ¿Por qué exponer directamente el servidor Apache de tu aplicación al internet es una mala práctica de seguridad, y por qué deberías colocar un "Reverse Proxy" (como Nginx o Cloudflare) en frente de él?
  4. Un "Forward Proxy" corporativo se utiliza mucho para el Filtrado de Contenido y Control de Empleados. Explica cómo la Analogía de la Secretaria ayuda a entender por qué el empleado nunca interactúa de forma directa con la dirección IP de youtube.com.
← Anterior

Firewalls, IDS e IPS: Los Guardias del Castillo

Siguiente →

Antivirus, EDR y Hardening: El Cadenero vs El Detective

En esta página