Tema 4

4. Fundamentos de tráfico de red para defensa: TCP/IP, puertos, protocolos y flujos

Para configurar firewalls, interpretar alertas IDS/IPS y endurecer servicios expuestos, primero hay que entender cómo viaja el tráfico: direcciones, puertos, protocolos, sesiones, estados y flujos.

Objetivo Entender el tráfico que controlan las defensas
Enfoque TCP/IP, puertos, protocolos y análisis defensivo
Resultado Leer reglas, logs y alertas con mejor criterio técnico

4.1 Introducción

Los controles defensivos trabajan con tráfico. Un firewall decide si permite o bloquea una comunicación. Un IDS/IPS observa paquetes o eventos para detectar actividad sospechosa. Un proceso de hardening define qué servicios deben estar disponibles y cuáles deben cerrarse.

Por eso es fundamental comprender los conceptos básicos de red: direcciones IP, puertos, protocolos, conexiones, sesiones y flujos. Sin esta base, una regla de firewall puede parecer una lista de números y una alerta IDS puede ser difícil de interpretar.

Este tema no busca reemplazar un curso completo de redes. Su objetivo es explicar lo necesario para tomar mejores decisiones defensivas.

4.2 Qué es el tráfico de red

El tráfico de red es el conjunto de datos que circula entre dispositivos. Puede ser una consulta DNS, una conexión HTTPS, una sesión SSH, una transferencia de archivos, una actualización de sistema o un intento de ataque.

Para defensa, no solo importa que exista comunicación. Importa saber:

  • Quién inicia la comunicación.
  • Hacia qué destino se dirige.
  • Qué protocolo utiliza.
  • Qué puerto o servicio está involucrado.
  • Cuánto dura la conexión.
  • Cuánto volumen de datos mueve.
  • Si el comportamiento es normal o anómalo.
En seguridad defensiva, entender el tráfico permite separar actividad esperada de actividad sospechosa.

4.3 Modelo TCP/IP visto desde la defensa

El modelo TCP/IP organiza la comunicación en capas. Para un analista defensivo, cada capa aporta información útil para filtrar, monitorear o investigar.

Capa Ejemplos Uso defensivo
Acceso a red Ethernet, Wi-Fi, direcciones MAC Control de acceso físico o inalámbrico, VLAN, detección de equipos no autorizados.
Internet IP, ICMP, rutas Filtrado por origen y destino, segmentación, análisis de conectividad.
Transporte TCP, UDP, puertos Reglas de firewall, estados de conexión, detección de escaneos.
Aplicación HTTP, DNS, SMTP, SSH, TLS Inspección de contenido, WAF, firmas IDS/IPS, hardening de servicios.

4.4 Dirección IP de origen y destino

Una dirección IP identifica un punto de comunicación dentro de una red. En un paquete IP suelen aparecer dos datos esenciales: la IP de origen y la IP de destino.

Para un firewall, esta información permite responder preguntas como:

  • ¿Desde qué red viene el tráfico?
  • ¿Hacia qué servidor intenta llegar?
  • ¿La comunicación cruza una zona de seguridad?
  • ¿El origen pertenece a una red interna, una DMZ, internet o una VPN?
  • ¿El destino es un servicio crítico o un recurso público?

En una regla defensiva, no es lo mismo permitir tráfico desde una red administrativa concreta que permitirlo desde cualquier origen.

4.5 Puertos y servicios

Los puertos ayudan a identificar servicios dentro de un equipo. Una misma dirección IP puede ofrecer varios servicios, y cada servicio suele escuchar en uno o más puertos.

Por ejemplo, un servidor puede usar el puerto 443 para HTTPS, el 22 para SSH y el 53 para DNS. En defensa, los puertos permiten definir qué servicios se exponen y cuáles deben bloquearse.

Puerto Servicio común Comentario defensivo
22/TCP SSH No debería exponerse libremente a internet. Usar VPN, bastión o restricción por origen.
53/TCP y UDP DNS Debe controlarse para evitar abuso, túneles DNS o resolutores abiertos.
80/TCP HTTP Conviene redirigir a HTTPS cuando corresponda.
443/TCP HTTPS Es común en aplicaciones web, pero igual requiere monitoreo e inspección.
3389/TCP RDP Muy riesgoso si está expuesto a internet. Requiere controles estrictos.
3306/TCP MySQL/MariaDB Normalmente no debería exponerse fuera de zonas internas controladas.

4.6 TCP y UDP

TCP y UDP son protocolos de transporte. Ambos permiten que aplicaciones se comuniquen, pero funcionan de manera diferente.

TCP establece una conexión y mantiene estado. UDP no establece una conexión del mismo modo; envía datagramas y suele usarse cuando se prioriza rapidez, simplicidad o baja latencia.

Característica TCP UDP
Conexión Orientado a conexión. No orientado a conexión.
Estado Permite seguimiento de sesión. Requiere criterios distintos para seguimiento.
Ejemplos HTTP, HTTPS, SSH, SMTP. DNS, VoIP, streaming, NTP.
Defensa Firewalls stateful pueden seguir conexiones. Se debe controlar origen, destino, tasa y comportamiento.

4.7 Estados de una conexión TCP

TCP usa un proceso de inicio de conexión conocido como three-way handshake. Simplificando, el cliente envía un SYN, el servidor responde SYN-ACK y el cliente confirma con ACK.

Este proceso permite a un firewall stateful saber si una conexión fue iniciada correctamente y si los paquetes pertenecen a una sesión válida.

Estados o señales importantes:

  • SYN: intento de iniciar una conexión.
  • SYN-ACK: respuesta del servidor aceptando el inicio.
  • ACK: confirmación de la comunicación.
  • FIN: cierre normal de conexión.
  • RST: interrupción o rechazo de conexión.
Entender estados TCP ayuda a interpretar escaneos, conexiones fallidas, bloqueos de firewall y alertas IDS/IPS.

4.8 Qué es un flujo de red

Un flujo de red representa una conversación entre origen y destino durante un período de tiempo. Normalmente se identifica por cinco elementos: IP de origen, puerto de origen, IP de destino, puerto de destino y protocolo.

Esta combinación suele llamarse 5-tupla. Es muy útil para firewalls, NetFlow, SIEM e investigación de incidentes.

Elemento Ejemplo Significado
IP origen 10.10.20.15 Equipo que inicia la comunicación.
Puerto origen 51432 Puerto temporal usado por el cliente.
IP destino 172.16.5.10 Servidor o servicio de destino.
Puerto destino 443 Servicio al que se intenta acceder.
Protocolo TCP Protocolo de transporte utilizado.

4.9 Protocolos de aplicación importantes

Los protocolos de aplicación definen cómo se comunican los servicios. Para defensa, es importante reconocer los más comunes y sus riesgos habituales.

Protocolo Uso común Riesgo defensivo
HTTP Aplicaciones web sin cifrado Exposición de datos si transporta información sensible.
HTTPS Aplicaciones web cifradas con TLS Protege el tránsito, pero no elimina vulnerabilidades de la aplicación.
DNS Resolución de nombres Puede abusarse para túneles, exfiltración o comunicación con malware.
SMTP Correo electrónico Puede usarse para phishing, spam o envío no autorizado.
SSH Administración remota segura Requiere control de origen, autenticación fuerte y monitoreo.
SMB Archivos compartidos en redes Windows Riesgoso entre segmentos si no se limita. Puede facilitar movimiento lateral.

4.10 Tráfico entrante, saliente y lateral

Para defensa conviene clasificar el tráfico según su dirección funcional.

  • Entrante: llega desde una red externa hacia un servicio propio. Por ejemplo, clientes accediendo a una aplicación web pública.
  • Saliente: sale desde la organización hacia internet u otros destinos. Por ejemplo, navegación web, actualizaciones o consultas DNS.
  • Lateral: ocurre entre equipos internos o segmentos internos. Por ejemplo, una estación de trabajo intentando conectarse a un servidor de archivos.

Muchas organizaciones controlan bastante el tráfico entrante, pero descuidan el saliente y el lateral. Esto deja espacio para exfiltración de datos, comunicación con malware y movimiento lateral.

4.11 Cómo usa esta información un firewall

Un firewall toma decisiones a partir de atributos del tráfico. Según su tipo y capacidades, puede evaluar direcciones IP, puertos, protocolos, estado de conexión, usuarios, aplicaciones, reputación de destinos y contenido.

Una regla básica suele tener esta forma lógica:

  • Desde este origen.
  • Hacia este destino.
  • Usando este protocolo o puerto.
  • Aplicar esta acción: permitir, bloquear, registrar o inspeccionar.

Ejemplo: permitir desde la red de usuarios hacia el proxy web por HTTPS, pero bloquear conexiones directas a puertos administrativos de servidores.

4.12 Cómo usa esta información un IDS/IPS

Un IDS/IPS analiza tráfico para encontrar patrones sospechosos. Puede revisar encabezados, estados de conexión, frecuencia de paquetes, contenido de protocolos, firmas conocidas, anomalías y comportamiento.

Ejemplos de señales que puede detectar:

  • Muchos SYN hacia puertos distintos, posible escaneo.
  • Tráfico DNS con dominios extraños o consultas excesivas.
  • Intentos de explotación contra un servicio web.
  • Conexiones desde un servidor interno hacia destinos inusuales.
  • Uso de protocolos administrativos desde una red no autorizada.
  • Patrones asociados a malware o herramientas de movimiento lateral.

4.13 Logs básicos de tráfico

Los logs de tráfico son fundamentales para monitoreo e investigación. Un log útil debe permitir reconstruir qué ocurrió, cuándo ocurrió y qué decisión tomó el control defensivo.

Campos comunes en un log de firewall o flujo:

  • Fecha y hora.
  • IP y puerto de origen.
  • IP y puerto de destino.
  • Protocolo.
  • Acción aplicada: permitido, bloqueado, descartado.
  • Regla que coincidió.
  • Zona o interfaz de entrada y salida.
  • Cantidad de bytes o paquetes.
  • Usuario o aplicación, si el sistema lo identifica.
Un log que no indica origen, destino, puerto, acción y hora tiene poco valor para investigar.

4.14 Ejemplo práctico: interpretar una conexión

Supongamos este flujo:

Campo Valor
Origen 10.20.30.15:52644
Destino 172.16.10.25:443
Protocolo TCP
Acción Permitido
Zona origen Usuarios internos
Zona destino Servidores

La lectura defensiva sería: un equipo de usuarios internos inició una conexión TCP hacia un servidor interno usando HTTPS. Para decidir si es correcto, debemos saber si ese usuario o segmento tiene necesidad real de llegar a ese servidor por ese puerto.

4.15 Patrones sospechosos comunes

Al observar tráfico, algunos patrones merecen atención:

  • Un equipo intenta conectarse a muchos puertos en poco tiempo.
  • Un usuario común accede a puertos administrativos.
  • Un servidor inicia conexiones salientes que no forman parte de su función.
  • Hay muchas conexiones rechazadas desde el mismo origen.
  • Se observan consultas DNS a dominios generados o poco habituales.
  • Un equipo transfiere un volumen inusual de datos fuera de horario.
  • Un segmento de invitados intenta acceder a servidores internos.

4.16 Relación con hardening

El hardening también depende de entender tráfico. Si un servidor solo debe prestar un servicio web, no tiene sentido que mantenga abiertos puertos de administración, bases de datos, compartición de archivos o servicios de prueba.

Una revisión defensiva básica debería comparar:

  • Qué servicios deberían estar activos.
  • Qué puertos están realmente abiertos.
  • Desde dónde se permite acceder a ellos.
  • Qué protocolos son seguros o inseguros.
  • Qué registros se generan cuando alguien se conecta.

Si aparece un puerto abierto sin justificación, debe investigarse y cerrarse si no es necesario.

4.17 Errores frecuentes

  • Permitir por puerto sin entender el servicio: el puerto indica una pista, pero no siempre garantiza qué aplicación está usando la comunicación.
  • Confiar solo en tráfico entrante: el tráfico saliente y lateral también puede ser peligroso.
  • No registrar bloqueos: los bloqueos ayudan a detectar escaneos, errores o intentos de abuso.
  • Exponer administración: puertos como SSH o RDP deben tener controles estrictos.
  • Ignorar UDP: muchos ataques y abusos usan UDP, especialmente DNS, NTP o servicios mal configurados.
  • No distinguir zonas: una misma conexión puede ser aceptable en una zona y peligrosa en otra.

4.18 Lista de verificación inicial

  • Identificar puertos expuestos en servidores críticos.
  • Confirmar qué servicios corresponden a cada puerto abierto.
  • Revisar reglas de firewall por origen, destino, puerto y protocolo.
  • Registrar tráfico permitido y bloqueado en puntos importantes.
  • Monitorear tráfico saliente y lateral, no solo entrante.
  • Validar que servicios administrativos no estén expuestos innecesariamente.
  • Revisar alertas IDS/IPS relacionadas con escaneos y explotación.
  • Comparar tráfico observado contra el comportamiento esperado.

4.19 Ideas clave para recordar

  • El tráfico se entiende mejor observando origen, destino, protocolo, puerto y estado.
  • TCP mantiene conexiones; UDP requiere otros criterios de control y monitoreo.
  • Los puertos ayudan a identificar servicios, pero no reemplazan el análisis de contexto.
  • Un flujo resume una conversación de red y es muy útil para investigación.
  • Firewalls e IDS/IPS dependen de esta información para permitir, bloquear, alertar o prevenir.
  • El hardening usa esta base para cerrar servicios innecesarios y limitar exposición.

4.20 Conclusión

Comprender el tráfico de red es esencial para cualquier tarea defensiva. Las direcciones IP, puertos, protocolos, estados y flujos permiten crear reglas más precisas, interpretar alertas con menos confusión y detectar comportamientos que se salen de lo esperado.

En el próximo tema estudiaremos los tipos de firewalls: filtrado de paquetes, stateful, proxy, NGFW y WAF. Allí veremos cómo distintos firewalls usan esta información para tomar decisiones de seguridad.

Volver al índice