Tema 11

11. Seguridad en switching y redes LAN: VLAN, STP, DHCP snooping y port security

La red local suele percibirse como un entorno interno y controlado, pero muchas brechas comienzan precisamente allí. La seguridad de switching busca endurecer la capa 2, limitar comportamientos no autorizados y reducir riesgos que aparecen antes incluso de que el tráfico llegue al firewall.

Objetivo Proteger la LAN desde la capa 2
Enfoque Técnico y preventivo
Resultado Entender controles clave sobre switches y puertos

11.1 Introducción

Cuando se habla de seguridad de red, la atención suele concentrarse en el perímetro, los firewalls o los servicios expuestos. Sin embargo, la red LAN también tiene una superficie de ataque importante. Un dispositivo conectado físicamente, un puerto mal configurado o un servicio local sin protección pueden convertirse en punto de entrada o de propagación.

El switching seguro busca reducir esos riesgos mediante controles en la capa de enlace. Es decir, antes de que el tráfico se enrute entre redes o llegue a políticas de capa superior, el switch ya puede aplicar restricciones, validaciones y límites.

En este tema veremos cómo VLAN, STP, DHCP snooping y port security forman parte de ese endurecimiento, junto con una visión más general de qué significa proteger una red LAN.

11.2 Por qué la LAN también es un frente de seguridad

En muchas organizaciones, la red local es el lugar donde conviven usuarios, impresoras, teléfonos IP, puntos de acceso, cámaras, dispositivos IoT y sistemas de administración. Esa convivencia puede volverse peligrosa si no existen controles de capa 2 adecuados.

Algunos riesgos frecuentes en LAN son:

  • Conexión de dispositivos no autorizados a puertos físicos.
  • Suplantación de servicios locales como DHCP.
  • Intercepción de tráfico mediante ataques ARP.
  • Movimiento lateral dentro del mismo dominio local.
  • Mala segmentación entre usuarios, servidores y dispositivos especiales.

11.3 Qué protege la seguridad en switching

La seguridad en switching busca proteger el comportamiento local de la red y el acceso inmediato al medio. Eso incluye:

  • Qué equipos pueden conectarse a un puerto.
  • Qué VLAN se asigna a cada enlace o dispositivo.
  • Qué servicios locales se consideran confiables.
  • Cómo se previenen bucles o cambios topológicos maliciosos.
  • Cómo se limita la capacidad de un dispositivo para afectar a otros dentro de la LAN.
Un switch no es solo un equipo de conectividad. También es un punto de control capaz de reforzar o debilitar mucho la seguridad de la red local.

11.4 VLAN: segmentación lógica en capa 2

Una VLAN, o Virtual LAN, permite separar lógicamente dominios de broadcast dentro de una misma infraestructura de switching. De esa forma, equipos físicamente conectados a los mismos switches pueden pertenecer a redes lógicas distintas.

Desde el punto de vista de seguridad, las VLAN ayudan a:

  • Separar usuarios de servidores.
  • Distinguir redes corporativas de invitados.
  • Aislar dispositivos de menor confianza, como cámaras o IoT.
  • Reducir exposición lateral dentro de un mismo segmento físico.

Sin embargo, como ya vimos en temas anteriores, una VLAN no garantiza seguridad por sí sola. La protección real depende también de cómo se controlan los flujos entre esas VLANs.

11.5 Buenas prácticas con VLAN

  • Asignar VLANs según función, criticidad y nivel de confianza.
  • Evitar usar una única VLAN amplia para múltiples tipos de activos.
  • Documentar claramente qué dispositivos pertenecen a cada segmento.
  • Restringir el tráfico entre VLANs mediante firewalls o ACL.
  • Evitar VLANs por defecto para servicios sensibles.

11.6 Riesgos de mala configuración de VLAN

Problema Qué implica Impacto posible
VLAN por defecto excesivamente usada Muchos dispositivos comparten el mismo dominio Mayor exposición lateral
Trunks mal definidos Transporte de VLANs innecesarias Exposición entre segmentos
Asignaciones incorrectas Un dispositivo queda en una red no prevista Acceso indebido a recursos
Inter-VLAN demasiado permisivo La separación lógica pierde valor real Movimiento lateral simple

11.7 STP: Spanning Tree Protocol

STP es un protocolo diseñado para evitar bucles de capa 2 en topologías con enlaces redundantes. Sin STP, un bucle puede provocar tormentas de broadcast, inestabilidad MAC y caída severa de la red local.

Aunque su objetivo principal es la estabilidad, también tiene impacto en seguridad, porque un comportamiento malicioso o una mala conexión física pueden desencadenar cambios topológicos perjudiciales.

11.8 Riesgos relacionados con STP

  • Un dispositivo no autorizado podría influir en la topología si se conecta donde no debe.
  • Un switch mal configurado puede intentar convertirse en root bridge.
  • Errores en enlaces redundantes pueden provocar inestabilidad generalizada.
  • Un incidente físico o lógico puede amplificarse rápidamente en toda la LAN.

Por eso, el endurecimiento del comportamiento STP forma parte del switching seguro.

11.9 Medidas habituales de protección alrededor de STP

  • Definir de forma explícita el root bridge esperado.
  • Usar protecciones como BPDU Guard o Root Guard según el caso.
  • Tratar puertos de acceso de forma distinta a puertos troncales o uplinks.
  • Revisar cambios topológicos inesperados y eventos asociados.

La idea es evitar que dispositivos finales o enlaces no previstos alteren la topología de switching.

11.10 DHCP snooping

DHCP snooping es un mecanismo de seguridad que ayuda a proteger la red contra servidores DHCP no autorizados. El switch distingue entre puertos confiables y no confiables, y solo permite respuestas DHCP válidas desde los puertos marcados como autorizados.

Esto es importante porque un servidor DHCP malicioso o accidental puede entregar configuración de red incorrecta a los clientes y redirigir tráfico, provocar indisponibilidad o facilitar ataques de interceptación.

11.11 Qué riesgos mitiga DHCP snooping

  • Asignación de gateway falso para redirigir tráfico.
  • Distribución de DNS malicioso.
  • Interrupción del acceso legítimo por respuestas incorrectas.
  • Preparación de escenarios de Man in the Middle.
En una LAN, un servicio local falso puede ser tan peligroso como un servicio público comprometido, porque actúa desde una posición de cercanía y confianza implícita.

11.12 Port security

Port security es un conjunto de funciones que limita qué dispositivos pueden usar un puerto de switch. Una de sus aplicaciones más conocidas es restringir la cantidad o las direcciones MAC permitidas en un puerto determinado.

Su utilidad es directa: si un puerto está destinado a un único equipo, no debería aceptar múltiples dispositivos o cambios inesperados sin control.

11.13 Qué aporta port security

  • Reduce conexión de equipos no autorizados en puertos físicos.
  • Dificulta ciertos escenarios de reemplazo o suplantación local.
  • Ayuda a detectar cambios físicos no previstos.
  • Refuerza la disciplina operativa sobre el uso de puertos de acceso.

Por sí solo no sustituye 802.1X, pero puede ser un complemento útil, especialmente en entornos donde no todo puede autenticarse dinámicamente.

11.14 Puertos de acceso y puertos troncales

Desde el punto de vista de seguridad, no todos los puertos del switch deben tratarse igual. Un puerto de acceso para un endpoint final no tiene las mismas necesidades ni riesgos que un trunk entre switches o hacia infraestructura de virtualización.

Tipo de puerto Uso típico Riesgo de seguridad
Acceso Conectar endpoint final Ingreso no autorizado o cambio de dispositivo
Troncal Transportar múltiples VLANs Exposición entre segmentos si está mal configurado
Uplink Interconectar capas de switching Impacto alto si hay error o manipulación

Endurecer la configuración según el tipo de puerto es una práctica básica de switching seguro.

11.15 Otros controles relevantes en LAN

Aunque este tema se concentra en algunos mecanismos clave, la seguridad en switching suele incluir otros controles relacionados de capa 2:

  • Protección frente a ARP spoofing.
  • Restricción de VLANs permitidas en trunks.
  • Deshabilitación de puertos no utilizados.
  • Separación clara entre usuarios, voz, IoT y administración.
  • Monitoreo de eventos locales anómalos.

11.16 Errores frecuentes en redes LAN

  • Dejar puertos activos sin uso ni control.
  • Usar una misma VLAN para demasiados tipos de activos.
  • No distinguir puertos confiables y no confiables para servicios locales.
  • Permitir trunks donde solo deberían existir puertos de acceso.
  • No endurecer cambios topológicos o eventos de STP.
  • Confiar en que la red interna es segura solo por estar "adentro".

11.17 Relación con segmentación y acceso a la red

La seguridad de switching no reemplaza la segmentación ni el control de acceso, pero los complementa. Las VLAN organizan el dominio local, 802.1X decide quién entra, y los firewalls o ACL deciden qué puede cruzar entre zonas. Cada capa suma una barrera distinta.

Si falla la seguridad en capa 2, la red queda expuesta antes incluso de llegar a controles superiores. Por eso endurecer la LAN forma parte del enfoque de defensa en profundidad.

11.18 Recomendaciones prácticas

  1. Separar roles de red mediante VLANs bien definidas.
  2. Deshabilitar puertos no utilizados y revisar puertos activos.
  3. Aplicar port security cuando tenga sentido operativo.
  4. Implementar DHCP snooping para controlar fuentes de configuración legítima.
  5. Endurecer comportamiento STP en puertos de acceso.
  6. Documentar trunks, VLANs permitidas y puertos críticos.

11.19 Qué debes recordar de este tema

  • La red LAN también es una superficie de ataque importante.
  • Las VLAN ayudan a segmentar la capa 2, pero deben complementarse con controles superiores.
  • STP protege la estabilidad de la topología y debe endurecerse frente a cambios no autorizados.
  • DHCP snooping evita que servidores DHCP falsos influyan sobre los clientes.
  • Port security limita qué dispositivos pueden usar un puerto y refuerza el control físico lógico.

11.20 Conclusión

La seguridad en switching y LAN es fundamental porque actúa en una etapa muy temprana de la comunicación. Si la capa 2 queda desprotegida, un atacante puede ganar posición, observar servicios locales o preparar ataques que luego se expanden al resto de la red. VLAN, STP, DHCP snooping y port security son herramientas concretas para reducir esa exposición y fortalecer la base sobre la que opera toda la infraestructura.

En el próximo tema estudiaremos la seguridad en redes Wi-Fi, incluyendo WPA2, WPA3, rogue access points y endurecimiento del entorno inalámbrico.

Volver al índice