Tema 1

1. Introducción a la defensa con firewalls, IDS/IPS y hardening

La defensa de una infraestructura no depende de una sola herramienta. Requiere controlar el tráfico, detectar actividad sospechosa, prevenir ataques cuando sea posible y reducir las debilidades de sistemas, servicios y dispositivos.

Objetivo Entender el rol de firewalls, IDS/IPS y hardening
Enfoque Defensivo, práctico y progresivo
Resultado Comprender la base del resto del curso

1.1 Introducción

Una organización conectada a internet, a una red interna, a servicios en la nube o a usuarios remotos siempre está expuesta a algún nivel de riesgo. Ese riesgo puede venir de atacantes externos, errores de configuración, equipos desactualizados, accesos excesivos, malware, credenciales robadas o servicios publicados sin control.

Este curso se centra en tres familias de controles defensivos: firewalls, IDS/IPS y hardening. Cada una cumple una función diferente, pero juntas forman una base muy importante para proteger redes, servidores, estaciones de trabajo, aplicaciones y servicios expuestos.

La idea principal es simple: no alcanza con permitir que los sistemas funcionen. También hay que decidir qué comunicaciones están permitidas, observar lo que ocurre, reaccionar ante señales de ataque y configurar los equipos para que tengan la menor cantidad posible de puntos débiles.

1.2 Qué significa defender una infraestructura

Defender una infraestructura significa aplicar medidas para reducir la probabilidad de un incidente, detectar actividad peligrosa y limitar el impacto si algo falla. No se trata de prometer seguridad absoluta, porque eso no existe. Se trata de administrar el riesgo de manera inteligente.

Una infraestructura defendida responde mejor a estas preguntas:

  • Qué tráfico debe entrar, salir o moverse entre redes internas.
  • Qué servicios están expuestos y por qué motivo.
  • Qué eventos indican una posible intrusión o abuso.
  • Qué sistemas necesitan parches, configuraciones más estrictas o cierre de servicios innecesarios.
  • Cómo se registra lo que ocurre para poder investigar después.
  • Qué hacer cuando se detecta una actividad sospechosa.
Defender no es solamente bloquear. También es conocer, ordenar, monitorear, reducir exposición y responder con criterio.

1.3 Los tres pilares del curso

Para entender el curso conviene separar los tres conceptos principales. Luego veremos cómo se conectan entre sí.

Control Función principal Ejemplo sencillo
Firewall Permitir o bloquear comunicaciones según reglas. Permitir HTTPS hacia un servidor web y bloquear administración remota desde internet.
IDS Detectar actividad sospechosa y generar alertas. Avisar que un equipo interno está escaneando muchos puertos.
IPS Detectar y además intentar bloquear o detener una amenaza. Interrumpir tráfico que coincide con una explotación conocida.
Hardening Endurecer configuraciones para reducir debilidades. Deshabilitar servicios innecesarios, exigir MFA y aplicar parches.

1.4 Qué es un firewall

Un firewall es un control que analiza comunicaciones y decide si las permite o las bloquea. Puede trabajar entre internet y una red interna, entre dos redes internas, entre una red y la nube, o incluso dentro de un servidor o equipo final.

La función más conocida de un firewall es filtrar tráfico según reglas. Por ejemplo: permitir que los usuarios naveguen por internet, permitir que clientes externos lleguen a una aplicación web, bloquear accesos administrativos desde redes no confiables o impedir que un equipo comprometido se comunique con destinos peligrosos.

Una regla de firewall suele responder preguntas como estas:

  • Origen: desde dónde viene la comunicación.
  • Destino: hacia dónde intenta llegar.
  • Servicio o puerto: qué protocolo o aplicación se quiere usar.
  • Acción: permitir, bloquear, registrar, inspeccionar o aplicar otra medida.
  • Condición: horario, usuario, zona, aplicación, reputación o contexto.
Un firewall no decide qué es "bueno" o "malo" por intuición. Decide según reglas, políticas y capacidades de inspección.

1.5 Qué es un IDS

Un IDS significa Intrusion Detection System, que en español se traduce como sistema de detección de intrusos. Observa actividad y genera alertas cuando encuentra indicios de comportamiento malicioso, anómalo o riesgoso. Su objetivo principal es dar visibilidad.

Un IDS puede analizar tráfico de red, eventos de un sistema operativo, registros de aplicaciones o actividad de endpoints. Cuando detecta algo relevante, no necesariamente lo bloquea. Muchas veces solo informa para que un analista, administrador o plataforma de seguridad investigue.

Ejemplos de situaciones que puede alertar un IDS:

  • Un intento de explotación contra un servidor vulnerable.
  • Un escaneo de puertos desde una dirección interna o externa.
  • Comunicación con dominios asociados a malware.
  • Patrones conocidos de ataques contra servicios web.
  • Actividad inusual en horarios o volúmenes anormales.

1.6 Qué es un IPS

Un IPS significa Intrusion Prevention System, que en español se traduce como sistema de prevención de intrusos. Cumple una función parecida al IDS, pero con una diferencia importante: puede actuar automáticamente para bloquear, cortar, descartar o modificar tráfico peligroso.

Por ejemplo, si un IPS detecta un intento de explotación contra un servicio, puede interrumpir la conexión antes de que llegue al servidor. Esto lo convierte en un control preventivo y reactivo al mismo tiempo.

La capacidad de bloqueo también implica responsabilidad. Un IPS mal ajustado puede bloquear tráfico legítimo y afectar la operación. Por eso se configura con cuidado, se prueba, se monitorea y se ajusta con el tiempo.

Característica IDS IPS
Acción principal Detecta y alerta. Detecta y puede bloquear.
Impacto operativo Menor riesgo de interrumpir tráfico legítimo. Mayor capacidad defensiva, pero requiere más cuidado.
Uso comun Visibilidad, investigación y monitoreo. Prevención automática en puntos críticos.

1.7 Qué es hardening

Hardening significa endurecimiento. En ciberseguridad se refiere al proceso de configurar sistemas, servicios, aplicaciones y dispositivos para reducir su superficie de ataque.

Un sistema recién instalado suele traer servicios, opciones, usuarios o configuraciones que no siempre son necesarias para el entorno real. Cada elemento innecesario puede convertirse en una oportunidad para un atacante. El hardening busca cerrar esas oportunidades.

Algunas acciones típicas de hardening son:

  • Aplicar actualizaciones y parches de seguridad.
  • Eliminar o deshabilitar servicios innecesarios.
  • Restringir permisos de usuarios y grupos.
  • Exigir contraseñas robustas y autenticación multifactor.
  • Deshabilitar protocolos antiguos o inseguros.
  • Proteger accesos administrativos.
  • Configurar registros de auditoría.
  • Usar configuraciones base verificables y documentadas.
El hardening no es una acción única. Es un proceso continuo, porque los sistemas cambian, aparecen vulnerabilidades nuevas y las necesidades de negocio evolucionan.

1.8 Cómo trabajan juntos estos controles

Los firewalls, IDS/IPS y hardening se complementan. Ninguno reemplaza completamente a los demás.

Imaginemos un servidor web publicado en internet. Un enfoque defensivo podría incluir:

  1. Un firewall permite solo el tráfico necesario hacia el servidor, por ejemplo HTTP y HTTPS.
  2. El servidor se endurece: se actualiza, se eliminan servicios innecesarios y se protegen accesos administrativos.
  3. Un IDS observa intentos de ataque, escaneos o patrones sospechosos.
  4. Un IPS bloquea ciertos intentos de explotación conocidos.
  5. Los logs se revisan o se envían a una plataforma central para correlacionar eventos.

Si uno de estos controles falla, los demás pueden reducir el impacto. Esa es la idea de defensa en profundidad.

1.9 Defensa en profundidad

La defensa en profundidad consiste en usar varias capas de seguridad para que un atacante no dependa de superar una sola barrera. Si una capa no detecta o no detiene el ataque, otra puede hacerlo.

Un ejemplo cotidiano: para proteger una cuenta importante no usamos solo una contraseña. También podemos usar MFA, alertas de inicio de sesión, restricciones por ubicación, registros de actividad y recuperación controlada. En infraestructura ocurre lo mismo, pero aplicado a redes, servidores, servicios y usuarios.

Capa Ejemplo de control Propósito
Perímetro Firewall, WAF, protección DDoS Controlar exposición desde internet.
Red interna Segmentación, ACL, monitoreo de tráfico Limitar movimiento lateral.
Sistemas Hardening, parches, EDR, permisos mínimos Reducir debilidades del host.
Identidad MFA, roles, control de privilegios Evitar abuso de cuentas.
Monitoreo IDS/IPS, SIEM, alertas, auditoría Detectar y responder a tiempo.

1.10 Superficie de ataque

La superficie de ataque es el conjunto de puntos por los que un atacante podría intentar ingresar, observar, alterar o interrumpir un sistema. Cuanto mayor es la superficie, más oportunidades existen para cometer un error o explotar una debilidad.

En este curso veremos muchas formas de reducir esa superficie. Algunos ejemplos:

  • Bloquear puertos que no se usan.
  • No exponer administración remota a internet.
  • Separar redes de usuarios, servidores, invitados y administración.
  • Eliminar cuentas innecesarias.
  • Deshabilitar versiones antiguas de protocolos.
  • Aplicar configuraciones seguras por defecto.
  • Revisar reglas de firewall que quedaron obsoletas.

1.11 Controles preventivos, detectivos y correctivos

Para ordenar las defensas conviene clasificarlas según el momento en que actúan.

Tipo de control Qué busca Ejemplos
Preventivo Evitar que el incidente ocurra o reducir su probabilidad. Firewall, hardening, MFA, segmentación, cierre de puertos.
Detectivo Descubrir actividad sospechosa o no autorizada. IDS, logs, SIEM, monitoreo, alertas.
Correctivo Reducir el impacto y recuperar la operación. Bloqueo de IP, aislamiento de host, restauración, cambio de reglas.

Una defensa madura combina los tres. Si solo prevenimos pero no monitoreamos, podemos quedar ciegos. Si solo detectamos pero no sabemos corregir, las alertas no se convierten en protección real.

1.12 Ejemplo práctico: una pequeña empresa

Supongamos una pequeña empresa con usuarios internos, Wi-Fi, un servidor de archivos, una aplicación web publicada y empleados que trabajan de forma remota. Una estrategia básica podría ser:

  • Separar la red de invitados de la red interna.
  • Permitir desde internet solo los servicios públicos estrictamente necesarios.
  • Usar VPN o acceso seguro para administración remota.
  • Actualizar servidores y estaciones de trabajo.
  • Deshabilitar servicios que no se usan.
  • Registrar accesos, bloqueos y eventos relevantes.
  • Usar IDS/IPS para observar intentos de ataque y tráfico anómalo.
  • Revisar periódicamente reglas de firewall y cuentas con privilegios.

Este ejemplo muestra que la defensa no depende de una herramienta aislada. Depende de decisiones coordinadas.

1.13 Errores comunes al comenzar

Al implementar controles defensivos suelen repetirse algunos errores. Conocerlos desde el inicio ayuda a evitarlos.

  • Creer que un firewall resuelve todo: un firewall mal configurado o sin monitoreo puede dar una falsa sensación de seguridad.
  • Activar alertas sin proceso: muchas alertas sin análisis ni priorización terminan siendo ignoradas.
  • Bloquear sin entender: reglas demasiado agresivas pueden interrumpir servicios legítimos.
  • No documentar cambios: con el tiempo nadie sabe por qué existe una regla o excepción.
  • Endurecer una sola vez: el hardening necesita revisión, especialmente después de actualizaciones o cambios de arquitectura.
  • No probar: una regla, una firma o una configuración defensiva debe validarse antes y después de aplicarse.

1.14 Qué aprenderemos en el resto del curso

Este tema presenta el mapa general. En los próximos temas iremos profundizando paso a paso:

  • Principios de defensa en profundidad y reducción de superficie de ataque.
  • Arquitecturas defensivas para perímetro, red interna, DMZ, nube y entornos híbridos.
  • Tipos de firewalls y diseño de políticas de filtrado.
  • Reglas, ACL, NAT, segmentación y alta disponibilidad.
  • IDS/IPS, firmas, anomalías, sensores, alertas e integración con SIEM.
  • Hardening de sistemas operativos, servidores, servicios, red, nube y contenedores.
  • Validación, auditoría, respuesta a incidentes y operación continua.

1.15 Ideas clave para recordar

  • Un firewall controla comunicaciones, pero debe estar bien diseñado, documentado y monitoreado.
  • Un IDS detecta y alerta; un IPS puede detectar y bloquear.
  • El hardening reduce debilidades antes de que sean aprovechadas.
  • La defensa en profundidad combina varias capas para no depender de un único control.
  • La seguridad defensiva necesita equilibrio: proteger sin impedir la operación legítima.
  • La visibilidad es tan importante como el bloqueo: no se puede defender lo que no se ve.

1.16 Conclusión

Firewalls, IDS/IPS y hardening forman una base esencial de la ciberseguridad defensiva. Los firewalls ayudan a controlar el tráfico, los IDS/IPS aportan detección y prevención, y el hardening reduce las debilidades de los activos protegidos.

En el próximo tema estudiaremos los principios de defensa en profundidad y reducción de superficie de ataque. Esos principios servirán como criterio para tomar mejores decisiones al configurar firewalls, sensores, sistemas y servicios.

Volver al índice