Cómo configurar una VPN tipo Servidor para entrar a los archivos de tu casa de forma segura cuando se esta de viaje

 Le preguntamos a Gemini, la inteligencia artificial de Google cómo configurar una VPN tipo Servidor para  entrar a los archivos de tu casa de forma segura cuando se esta de viaje

Explicanos detalladamente cómo configurar una VPN tipo Servidor para entrar a los archivos de tu casa de forma segura cuando se esta de viaje

Configurar tu propio servidor VPN en casa es la forma más segura y profesional de acceder a tus archivos, cámaras de seguridad o dispositivos locales sin exponerlos directamente a los peligros de Internet.

Para lograr esto, el proceso se divide en tres fases: la preparación de tu red, la instalación del servidor y la configuración de tus dispositivos (clientes).

1. Elige tu Hardware y Protocolo

Primero, necesitas un dispositivo que esté siempre encendido en casa para actuar como "puerta de entrada".

Opción A (La más fácil): Un router moderno con soporte VPN integrado (marcas como ASUS, TP-Link o GL.iNet suelen incluirlo).

Opción B (La más flexible): Una Raspberry Pi o un ordenador antiguo con Linux.

Opción C: Un servidor NAS (Synology o QNAP) que ya tengas funcionando.

Protocolo recomendado: WireGuard

Aunque existe OpenVPN (muy seguro pero lento), hoy en día WireGuard es el estándar de oro. Es extremadamente rápido, consume poca batería en el móvil y es más fácil de configurar.

2. Preparación de la Red Doméstica

Para que puedas encontrar tu casa desde el exterior, necesitas resolver dos problemas técnicos:

A. DNS Dinámico (DDNS)

La mayoría de las casas tienen una IP pública que cambia cada vez que el router se reinicia. Un servicio de DDNS te da un nombre (ej. mi-casa.duckdns.org) que siempre apunta a tu IP actual.Muchos routers ofrecen su propio DDNS gratuito.Si no, puedes usar No-IP o DuckDNS.

B. Abrir Puertos (Port Forwarding)

Debes decirle a tu router que todo el tráfico que llegue por el puerto de la VPN se dirija al dispositivo que actúa como servidor.Para WireGuard, el puerto estándar es el 51820 (UDP).Para OpenVPN, suele ser el 1194 (UDP).

3. Instalación del Servidor (Ejemplo con Pi-VPN)

Si usas una Raspberry Pi o Linux, la herramienta más sencilla es Pi-VPN. Es un script que automatiza todo el proceso complejo.

Instala el software: Ejecuta en la terminal: curl -L https://install.pivpn.io | bash

Sigue el asistente: * Selecciona WireGuard.Confirma el puerto (51820).Elige tu dirección DDNS (ej. mi-casa.duckdns.org).

Crea un usuario: Una vez instalado, crea el perfil para tu móvil o portátil:pivpn add

Esto generará un archivo de configuración o un código QR.

4. Configuración del Cliente (Tu móvil o portátil)

Una vez que el servidor está listo, necesitas "la llave" para entrar.

Descarga la App: Instala la aplicación oficial de WireGuard en tu Android, iPhone o PC.

Importa la configuración: En el móvil:

Escanea el código QR generado por el servidor.

En el PC: Importa el archivo .conf que te dio el script.

Activa el túnel: Cuando estés fuera de casa (usando datos móviles o Wi-Fi de un hotel), activa la VPN.

5. Acceso a tus Archivos

Una vez que el túnel VPN está activo, tu dispositivo se comporta como si estuviera físicamente en tu sala de estar.

Para ver tus archivos: En Windows: Abre el explorador de archivos y escribe la IP local de tu servidor de archivos (ej. \\192.168.1.50).

En Mac : Usa "Conectarse al servidor" (smb://192.168.1.50).

En Móvil: Usa aplicaciones como "Archivos" (iOS) o "Solid Explorer" (Android) para añadir una ubicación de red local.Resumen de Seguridad

Medida	Por qué es importante
No uses PPTP	Es un protocolo antiguo y fácilmente hackeable.
Usa llaves, no solo contraseñas	WireGuard usa criptografía de clave pública, mucho más robusta.
IP Estática Local	Asegúrate de que el servidor VPN siempre tenga la misma IP dentro de tu casa (DHCP Reservation).

Configurar esto te permite cerrar todos los demás puertos de tu router, dejando solo una "puerta blindada" abierta.

¿Te gustaría que te ayude con los comandos específicos para instalar WireGuard en un sistema Linux particular o prefieres revisar cómo abrir los puertos en tu modelo de router?

🌐 WiFi - Modulación (nivel de Enlace) - Aprendiendo Ciberseguridad paso a paso - Charla 27

n este video presentamos como se modulan las señales en las diferentes versiones de IEEE 802.11. Es una sencilla presentación de las metodologías FHSS y DSSS, intentando simplificar las decenas de horas que en la facultad requiere este tema

Fuente: https://www.youtube.com/watch?v=tPq02AWQzKk

Hablemos de Point to Point Protocol

 Le pedimos a gemini, la inteligencia artificial de Google que nos gable sobre Point to Point Protocol

Hablanos detalladamente sobre Poin to Point Protocol

El Point-to-Point Protocol ( PPP ) es uno de los protocolos fundamentales en la historia de las telecomunicaciones y sigue siendo relevante hoy en día, especialmente bajo su variante PPPoE ( PPP over Ethernet ) utilizada en conexiones de fibra y DSL.

A diferencia de otros protocolos de la capa de enlace, PPP fue diseñado para establecer una conexión directa entre dos nodos de red sin nada de por medio, permitiendo autenticación, cifrado y compresión de datos.

1. Los Tres Pilares de PPP

Para que PPP funcione, se apoya en tres componentes principales que trabajan de forma jerárquica:

Encapsulamiento de Datagramas: Utiliza una variante del formato HDLC (High-Level Data Link Control) para empaquetar los datos. Permite que múltiples protocolos de red (IPv4, IPv6, AppleTalk) viajen por el mismo enlace simultáneamente.

LCP ( Link Control Protocol ): Es el encargado de establecer, configurar y probar la conexión física. Antes de enviar datos, LCP negocia opciones como el tamaño máximo de paquete (MTU) o si se usará autenticación.

NCP ( Network Control Protocol ): Una vez que el enlace está "vivo", NCP configura los protocolos de la capa de red. Por ejemplo, IPCP (Internet Protocol Control Protocol) es el encargado de asignar la dirección IP al cliente.

2. Estructura de la Trama PPP

Una trama PPP es relativamente simple pero robusta. Se asegura de que ambos extremos sepan dónde empieza y termina la información.

Flag (0x7E): Indica el inicio o fin del paquete.

Address / Control: En conexiones punto a punto, estos campos suelen ser fijos (0xFF y 0x03), ya que no hay confusión de a quién va dirigido el paquete.

Protocol: Indica qué hay dentro del paquete (¿Es una actualización de LCP? ¿Es tráfico IPv4?).

FCS ( Frame Check Sequence ): Un código para detectar si el paquete se corrompió en el camino.

3. El Ciclo de Vida de una Conexión PPP

Establecer una sesión PPP no es simplemente "conectar el cable". Sigue una máquina de estados muy rigurosa:

Establecimiento del Enlace ( LCP ): Se envían tramas de configuración. Si el otro extremo responde, el enlace pasa a estar "Abierto".

Autenticación (Opcional): Aquí es donde el router o servidor pide credenciales. Los métodos más comunes son PAP y CHAP.

Configuración de Capa de Red ( NCP ): Se negocian los detalles de IP. Aquí es donde tu router recibe su IP pública de parte del ISP .

Transferencia de Datos: El enlace está activo y el tráfico de usuario fluye.

Terminación: El enlace se cierra por petición de un usuario o por pérdida de señal física.

4. Autenticación: PAP vs. CHAP

Esta es la parte donde muchos administradores de red suelen tener dolores de cabeza si no configuran los "secrets" correctamente.

PAP ( Password Authentication Protocol ): Es el método "flojo". Envía el usuario y la contraseña en texto plano. Si alguien intercepta la trama con tcpdump, verá tus credenciales.

CHAP ( Challenge Handshake Authentication Protocol ): Es mucho más seguro. El servidor envía un "desafío" (un valor aleatorio), y el cliente responde con un hash (usando MD5) que combina ese desafío y su contraseña. La contraseña nunca viaja por el cable.

5. PPP en el Mundo Moderno: PPPoE

Hoy en día, no usamos módems de 56k, pero usamos PPPoE. ¿Por qué? Porque Ethernet por sí solo no tiene una forma nativa de autenticar usuarios o asignar IPs de forma controlada por el ISP (como lo hace una sesión).

Al "meter" una trama PPP dentro de una trama Ethernet, los proveedores de servicios pueden:

Gestionar el acceso mediante usuario y contraseña.

Llevar un registro exacto de cuánto tiempo estás conectado.

Asignar IPs dinámicas fácilmente.

Resumen Técnico

Característica	Detalle
Capa OSI	Capa 2 (Enlace de Datos)
Protocolos Soportados	Multi-protocolo (IP, IPX, etc.)
Seguridad	Soporta PAP, CHAP y EAP
Detección de Errores	Sí, mediante el campo FCS
Principal uso actual	Autenticación en redes de banda ancha (PPPoE)

¿Te gustaría que viéramos cómo configurar un cliente PPPoE en un router Cisco o prefieres que analicemos cómo debugear una sesión fallida usando comandos de diagnóstico?

🌐 WiFi - Introducción (nivel de Enlace) - Aprendiendo CIBERSEGURIDAD paso a paso - Charla 26

Las redes Wifi, son sin lugar a dudas una realidad que estará presente en tus redes LAN, si sabemos implementar su seguridad de forma robusta, son tan confiables como cualquier cable o fibra óptica de las redes ethernet, pero para ello debes conocer cómo tapar todas sus fisuras, si no probablemente tendrás brechas de seguridad en tu arquitectura de red.

A partir de este vídeo, comenzaremos a indagar en las redes Wifi de área local (conexiones tipo LAN) y sus características. Entre este tipo de comunicaciones, el protocolo que más destaca en la actualidad es el estándar IEEE 802.11 y toda la familia que derivan de este (802.11a/b/g/n). Tener claro todas las funciones del protocolo, además de conocer al completo las conexiones entre los switches que proporcionan conexión a los puntos de acceso, es imprescindible a la hora de establecer la seguridad a nivel de enlace. Aprende para qué sirve y cómo aplicarlo a tu red, además de ejemplos del mismo a través de capturas de tráfico que realizaremos con, cómo no, nuestro querido amigo Wireshark.

 Fuente: https://www.youtube.com/watch?v=riotx9erBVM

Cómo configurar reglas de acceso remoto por SSH de forma segura

 Le pedimoss a Gemini, la inteligencia artificial de Google que nos explique cómo configurar reglas de acceso remoto por SSH de forma segura

Explicanos detalladamente cómo configurar reglas de acceso remoto por SSH de forma segura

Configurar SSH (Secure Shell) de forma segura es como poner una cerradura de alta seguridad en la puerta principal de tu servidor. Si lo dejas por defecto, estás permitiendo que robots de todo el mundo intenten "patear la puerta" 24/7.

Aquí tienes una guía detallada para blindar el acceso remoto, desde la configuración del servicio hasta las reglas de red.

1. Fortalecimiento del archivo sshd_config

Casi toda la magia ocurre en /etc/ssh/sshd_config. Antes de editarlo, haz una copia de seguridad. Los cambios principales que debes aplicar son:

Cambiar el puerto por defecto ( Puerto 22 ): No es "seguridad real", pero elimina el 99% del ruido de los bots automatizados que solo escanean el puerto 22.

Port 2222 (o cualquier puerto entre 1024 y 65535).

Deshabilitar el acceso de Root : Nunca permitas que root entre directamente. Entra con un usuario normal y usa sudo.

PermitRootLogin no

Limitar los intentos de autenticación:

MaxAuthTries 3

Deshabilitar contraseñas (Uso de Llaves SSH ): Este es el paso más importante. Las contraseñas son vulnerables a fuerza bruta; las llaves criptográficas no.

PasswordAuthentication no

Restringir usuarios específicos: Solo permite que ciertos usuarios puedan loguearse.

AllowUsers tu_usuario otro_usuario

2. Autenticación mediante Llaves Públicas (Public Key Auth)

En lugar de una contraseña, usas un par de llaves: una privada (que se queda en tu computadora) y una pública (que se sube al servidor).

Pasos para configurar:

Generar la llave en tu PC : Usa el algoritmo Ed25519 (es más rápido y seguro que RSA).

ssh-keygen -t ed25519 -C "tu_email@ejemplo.com"

Enviar la llave al servidor:

ssh-copy-id -p [puerto] usuario@ip_del_servidor

Probar la conexión: Asegúrate de que entras sin contraseña antes de deshabilitar PasswordAuthentication.

3. Reglas de Acceso Remoto (Firewalls)

Incluso con llaves SSH, no deberías permitir que cualquier IP del mundo intente conectarse. Debes filtrar el acceso a nivel de red.

En Linux (usando UFW o Firewalld):

Si tienes una IP fija en tu casa u oficina, limita el SSH solo a esa IP:

UFW : sudo ufw allow from 203.0.113.45 to any port 2222 proto tcp

Firewalld : firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="203.0.113.45" port protocol="tcp" port="2222" accept'

En Routers/Firewalls Cisco (ACLs):

Si estás protegiendo la terminal virtual (VTY) de un router:

Bash

ip access-list extended SSH_ONLY

 permit tcp host 203.0.113.45 any eq 2222

 deny tcp any any eq 2222

 !

line vty 0 4

 access-class SSH_ONLY in

 transport input ssh

4. Herramientas de Protección Activa

Si por alguna razón debes dejar el SSH abierto al mundo (IP dinámica), necesitas herramientas que reaccionen a ataques.

Fail2Ban: Es indispensable. Analiza los logs y, si ve 3 o 5 intentos fallidos desde una IP, crea una regla de firewall temporal para banear a ese atacante.

2FA (Autenticación de Dos Factores): Puedes usar Google Authenticator con el módulo PAM (libpam-google-authenticator). Esto requiere que, además de tu llave SSH, ingreses un código de 6 dígitos de tu celular.

5. Resumen de Mejores Prácticas

Medida	Por qué hacerlo
No usar contraseñas	Evita ataques de fuerza bruta y diccionarios.
Cambiar puerto	Reduce el tamaño de los archivos de log y el uso de CPU por ataques bots.
White-listing de IPs	Es la medida de seguridad más efectiva (solo entran los conocidos).
Mantener actualizado	Las vulnerabilidades en OpenSSH aparecen de vez en cuando; parchar es vital.

Tip de experto: Si el servidor es crítico, considera usar un Bastion Host o una VPN (como WireGuard) para que el puerto SSH ni siquiera sea visible desde la Internet pública.

¿Te gustaría que te ayude a redactar un script de configuración automática para asegurar el SSH de un servidor nuevo o prefieres profundizar en cómo configurar el Segundo Factor de Autenticación (2FA)?

🌐 802.1ar - DevID (nivel de Enlace) - Aprendiendo Ciberseguridad paso a paso - Charla 25

En este video presentamos el tema de DevID. El desarrollo de este estándar: 802.1ar, nos permite implementar una metodología de "roadmap" para dar de alta de forma segura cada uno de los Dispositivos (Devices) de nuestra red LAN. Tengamos en cuenta que si no aseguramos cada uno de nuestros dispositivos, dejamos librado al azar que cualquiera "pinche" un switch, router o punto de acceso WiFi en nuestra LAN y conectarse a través del mismo. DevID, como su nombre lo dice, nos permite establecer una "Identidad" (ID) a cada dispositivo (Device) de nuestra LAN. 

 Como venimos desarrollando en todos estos videos, el empleo de esta criptografía en el nivel más bajo de la pila es un "golazo" pues no deja nada expuesto a cualquier persona que desee analizar lo que circula por nuestra red LAN. DevID también se apoya, al igual que vimos en la charla 22 y 24, en los otros servicios de autenticación fiables como pueden ser: TACACS (Terminal Access Controller Access Control System), RADIUS (Remote Authentication Dial-In User Service) y Kerberos

Si tras este parrafazo de información aún te quedan ganas de seguir informándote, aquí te dejamos una explicación de MacSec fácil, pero comprenderás aún mejor cómo implementarlo en la pila TCP/IP siguiendo de cerca nuestra serie “Aprendiendo Ciberseguridad Paso a Paso”. ¡Síguenos y no te pierdas ninguna actualización del canal!

Fuente: https://www.youtube.com/watch?v=Wi2Ph-tkTtQ

Cómo añadir una zona DMZ para un servidor web

 Le preguntamos a Gemini, la inteligencia artificial de Google cómo añadir una zona DMZ para un servidor web

Explicanos detalladamente cómo añadir una zona DMZ para un servidor web

Configurar una DMZ (Zona Desmilitarizada) es una de las mejores prácticas de seguridad cuando necesitas exponer un servicio (como un servidor web) a Internet. Su función principal es actuar como una "zona neutral" o amortiguadora: si un atacante logra comprometer tu servidor web, la DMZ evita que pueda saltar fácilmente a tu red privada (LAN) donde están tus computadoras personales y datos sensibles.

Existen dos formas de implementar esto: el método profesional (segmentación real) y el método doméstico (DMZ Host). Aquí te explico ambos detalladamente.

1. Concepto de la DMZ de "Tres Patas" (Arquitectura Profesional)

En un entorno profesional o con routers avanzados ( Cisco, pfSense, Fortigate ), se utiliza un esquema de tres interfaces físicas o lógicas:

WAN ( Internet ): El mundo exterior inseguro.

LAN ( Red Interna ): Tu red privada de confianza.

DMZ (Zona Segura Expuesta): Donde reside el servidor web.

2. Configuración en un Router Profesional o Firewall

Para añadir esta zona, sigue estos pasos lógicos:

A. Configuración de Interfaces

Asigna una interfaz específica del router para la DMZ.

IP LAN: 192.168.1.1/24

IP DMZ: 192.168.50.1/24 (Debe estar en una subred diferente a la LAN).

B. Definición de las Reglas del Firewall (Crucial)

El éxito de una DMZ reside en sus reglas de tráfico. Debes configurar el firewall siguiendo este orden de prioridad:

Origen	Destino	Protocolo/Puerto	Acción	Propósito
WAN	Servidor Web (DMZ)	TCP 80, 443	Permitir	Permite que el público vea tu web.
LAN	Servidor Web (DMZ)	TCP 22 (SSH) o RDP	Permitir	Permite que tú administres el servidor.
DMZ	LAN	Cualquiera	Bloquear	Regla de Oro: Evita que el servidor hackeado ataque tu red interna.
DMZ	WAN	HTTP/S, DNS	Permitir	Permite que el servidor descargue actualizaciones.

3. Configuración en un Router Doméstico (DMZ Host)

La mayoría de los routers residenciales no tienen una interfaz física para DMZ, sino una función llamada "DMZ Host".

¿Cómo funciona? Envía todo el tráfico entrante de Internet que no haya sido solicitado (y que no tenga una regla de Port Forwarding específica) hacia una sola dirección IP interna.

Pasos para activarlo:

Asigna una IP Estática al Servidor : Ve a la configuración de tu servidor web y asegúrate de que siempre use la misma IP (ej. 192.168.1.100).

Entra al Router : Busca la sección Security o Advanced y localiza DMZ.

Activa el DMZ Host : Ingresa la dirección IP de tu servidor (192.168.1.100) y guarda los cambios.

⚠️ Advertencia de Seguridad: En el modo "DMZ Host", tu servidor queda totalmente desnudo ante Internet. Debes instalar un firewall local (como ufw en Linux o Windows Firewall) directamente en el servidor para protegerlo, ya que el router dejará pasar todo el tráfico malicioso hacia él.

4. Implementación con VLANs (Segmentación Lógica)

Si tienes un router que soporta VLANs pero no tienes más puertos físicos, puedes crear una VLAN de DMZ.

Crea la VLAN 50 (etiquetada como DMZ).

Asigna el puerto donde está conectado el servidor a esa VLAN.

En el firewall del router, crea las reglas de aislamiento mencionadas en el paso 2 para que la VLAN 50 no pueda comunicarse con la VLAN de la LAN.

5. Lista de Verificación Final (Seguridad)

Doble NAT : Si tu servidor está detrás de un router que a su vez está detrás del módem de la operadora, asegúrate de que el primer módem esté en modo Bridge o tenga los puertos abiertos hacia el segundo router.

Aislamiento de servicios: No uses el servidor web de la DMZ para guardar copias de seguridad de tu red LAN.

Logs: Activa el registro de eventos (logging) en la zona DMZ para detectar intentos de intrusión.

¿Te gustaría que te ayudara con los comandos específicos para configurar estas reglas en un sistema operativo en particular (como Linux con iptables) o en un router de alguna marca específica como MikroTik o Cisco ?

🌐 802.1ae - MacSec (nivel de Enlace) - Aprendiendo Ciberseguridad paso a paso - Charla 24

Cuando queremos implementar criptografía a la seguridad de una red ethernet cableada, inmediatamente pensamos en los niveles más altos. En el nivel 3 o 4 (nivel de red y nivel de transporte) por ejemplo, tenemos protocolos como el protocolo IP. TCP o UDP protegiendo los paquetes de tráfico y la segmentación de la red. Sin embargo, recordando el vídeo sobre el 802.1x (PBNAC), el switch o boca de red no impide un acceso por cable de cualquier usuario. La sola presencia de un servicio de autenticación puede no ser suficiente para la protección de las capas inferiores del modelo TCP/IP. Aquí entra en juego el protocolo 802.1ae, más conocido como "MacSec", que nos ofrece la posibilidad de emplear Confidencialidad e Integridad a nivel de enlace. 

 Como venimos desarrollando en todos estos videos, el empleo de esta criptografía en el nivel más bajo de la pila es un "golazo" pues no deja nada expuesto a cualquier persona que desee analizar lo que circula por nuestra red LAN. También se apoya, al igual que vimos en la charla 22, en los otros servicios de autenticación fiables como pueden ser: TACACS ( Terminal Access Controller Access Control System ), RADIUS ( Remote Authentication Dial-In User Service ) y Kerberos

 Fuente: https://www.youtube.com/watch?v=eSLNGINELnI

Cómo configurar un firewall en un router Cisco

 Le preguntamos a Gemini, la inteligencia artificial de Google cómo instalar y configurar un firewall en un router Cisco

Explicanos detalladamente cómo instalar y configurar un firewall en un router Cisco

Configurar un firewall en un router Cisco no se trata de "instalar" una aplicación, sino de activar y configurar las capacidades de seguridad que ya vienen integradas en el sistema operativo Cisco IOS (Internetwork Operating System).

Existen dos métodos principales: las ACLs (Listas de Control de Acceso) clásicas y el más moderno y potente ZPF (Zone-Based Policy Firewall). Aquí te explicaré cómo configurar el ZPF, que es el estándar actual para firewalls de estado en Cisco.

1. El Concepto de ZPF (Zone-Based Firewall)

En lugar de aplicar reglas directamente a las interfaces, el ZPF agrupa las interfaces en Zonas de Seguridad (ej. "Privada" y "Pública"). Luego, se definen políticas para el tráfico que viaja entre esas zonas.

2. Paso 1: Definir las Zonas de Seguridad

Primero, debemos crear las zonas lógicas en el router.

Bash

Router(config)# zone security PRIVADA

Router(config)# zone security PUBLICA

3. Paso 2: Definir el Tráfico a Inspeccionar (Class Maps)

Usamos un class-map para identificar qué protocolos queremos que el firewall analice. El parámetro match-any indica que si el tráfico coincide con cualquiera de los protocolos, será seleccionado.

Bash

Router(config)# class-map type inspect match-any MAPA-TRAFICO-INTERNO

Router(config-cmap)# match protocol tcp

Router(config-cmap)# match protocol udp

Router(config-cmap)# match protocol icmp

Router(config-cmap)# exit

4. Paso 3: Configurar la Política (Policy Maps)

Aquí decidimos qué hacer con el tráfico identificado en el paso anterior. En un firewall de estado, la acción clave es inspect, que permite que el tráfico salga y automáticamente crea una regla temporal para que la respuesta pueda volver a entrar.

Bash

Router(config)# policy-map type inspect POLITICA-SALIDA

Router(config-pmap)# class type inspect MAPA-TRAFICO-INTERNO

Router(config-pmap-c)# inspect // Inspección de estado (Stateful)

Router(config-pmap-c)# exit

Router(config-pmap)# exit

5. Paso 4: Definir el Par de Zonas (Zone-Pairs)

El Zone-Pair le dice al router en qué dirección se aplica la política (por ejemplo, de la zona PRIVADA hacia la zona PUBLICA).

Bash

Router(config)# zone-pair security PAR-PRIVADA-A-PUBLICA source PRIVADA destination PUBLICA

Router(config-zp)# service-policy type inspect POLITICA-SALIDA

Router(config-zp)# exit

6. Paso 5: Asignar Interfaces a las Zonas

Finalmente, debemos decirle al router qué interfaces físicas pertenecen a qué zona.

Bash

Router(config)# interface GigabitEthernet0/0

Router(config-if)# description Enlace a Internet (WAN)

Router(config-if)# zone-member security PUBLICA

Router(config-if)# exit



Router(config)# interface GigabitEthernet0/1

Router(config-if)# description Red Local (LAN)

Router(config-if)# zone-member security PRIVADA

Router(config-if)# exit

Componente	Función
Security Zones	Divide el router en áreas (Interior, Exterior, DMZ).
Class Maps	Selecciona qué paquetes queremos vigilar (TCP, UDP, HTTP).
Policy Maps	Decide la acción: inspect (permitir y vigilar), pass (permitir sin vigilar), o drop (bloquear).
Zone Pairs	Establece el sentido del tráfico (Origen → Destino).

Verificación y Mantenimiento

Una vez configurado, es vital verificar que el firewall está funcionando y ver las sesiones activas (las conexiones que el router está "recordando").

Ver sesiones activas: show policy-map type inspect zone-pair sessions

Ver configuración de zonas: show zone security

Siguiente paso sugerido

Esta configuración permite que todo el tráfico salga de tu red pero bloquea cualquier intento de entrada no solicitado. ¿Te gustaría que te explicara cómo añadir una zona DMZ para un servidor web o cómo configurar reglas de acceso remoto por SSH de forma segura?