Etiquetas

SOPHOS - LAN & DMZ

🧱🔥 Práctica: Configuración de Red LAN SRV y DMZ en Sophos Firewall para Segmentación de Servidores Críticos

En esta práctica se implementará una arquitectura de red segmentada en Sophos Firewall, separando los servidores internos críticos de la empresa y los servicios expuestos al exterior mediante dos redes diferenciadas: una LAN SRV y una DMZ.

La red LAN SRV estará destinada a alojar servidores y activos críticos internos, como servidores de dominio, bases de datos, sistemas de monitorización, servidores de ficheros o plataformas corporativas que no deben estar expuestas directamente a Internet. Por otro lado, la red DMZ se utilizará para alojar un servidor con servicios publicados o accesibles desde otras redes, como aplicaciones web, servicios de prueba, portales internos expuestos o sistemas que requieren un mayor nivel de aislamiento.

En esta práctica se habilitarán dos interfaces adicionales del firewall:

  • Port 3 → LAN SRV
  • Port 4 → DMZ

Inicialmente, cada red entregará parámetros mediante DHCP a un servidor ubicado en cada segmento. Una vez que ambos servidores obtengan conectividad, se revisarán las concesiones DHCP desde Sophos Firewall para identificar correctamente cada equipo. Después, se configurará una IP fija para cada servidor, ya que al tratarse de sistemas críticos no es recomendable que su dirección IP cambie de forma dinámica.

El objetivo principal es comprender cómo diseñar una red más segura, ordenada y preparada para entornos empresariales, aplicando principios básicos de segmentación, control de acceso y estabilidad en la asignación de direcciones IP.

🧰 Tecnologías empleadas

Sophos Firewall

Sophos Firewall será el elemento central de la práctica. Actuará como dispositivo de seguridad perimetral y como punto de control entre las distintas redes del laboratorio.

En este escenario, Sophos no solo se utiliza como firewall de salida a Internet, sino también como elemento de segmentación interna. Esto significa que será el encargado de separar redes con distintos niveles de confianza, aplicar políticas de comunicación entre ellas y controlar qué tráfico puede pasar de una zona a otra.

Este enfoque es fundamental en entornos empresariales, ya que no todos los sistemas deben estar en la misma red. Un equipo de usuario, un servidor de base de datos y un servidor web expuesto no deben compartir el mismo nivel de acceso ni la misma superficie de riesgo.

Sophos permite organizar esta arquitectura mediante interfaces, zonas, reglas de firewall, servicios DHCP, reservas de IP y políticas de NAT, lo que lo convierte en una solución adecuada para construir un laboratorio realista de seguridad de red.

LAN SRV

La red LAN SRV representa una red interna dedicada a servidores y activos críticos de la empresa. A diferencia de una LAN de usuarios, esta red no está pensada para alojar equipos de trabajo normales, sino sistemas que prestan servicios importantes para la organización.

En esta red podrían encontrarse servidores como:

  • Controladores de dominio.
  • Servidores DNS internos.
  • Servidores de bases de datos.
  • Servidores de ficheros.
  • Sistemas de monitorización.
  • Plataformas SIEM o XDR.
  • Herramientas internas de administración.

La razón de crear una red específica para servidores es reducir el riesgo. Si todos los sistemas estuvieran mezclados en una única red, cualquier equipo comprometido podría intentar comunicarse directamente con servidores sensibles. Al separar los servidores en una LAN dedicada, se puede controlar mejor qué equipos acceden a ellos y bajo qué condiciones.

En esta práctica, la red LAN SRV se asignará al port 3 de Sophos Firewall.

DMZ

La DMZ, o zona desmilitarizada, es una red intermedia entre la red interna y redes menos confiables, como Internet o redes de usuarios.

Su función principal es alojar sistemas que necesitan ofrecer servicios a otras redes, pero que no deben estar directamente conectados a la LAN interna. Por ejemplo, un servidor web expuesto, un proxy inverso, un servidor de correo o una aplicación publicada podrían ubicarse en una DMZ.

La idea de una DMZ es sencilla pero muy importante:

Si un servidor expuesto resulta comprometido, el atacante no debería tener acceso directo a la red interna crítica.

Por eso, una DMZ debe estar aislada mediante reglas de firewall. Normalmente se permite únicamente el tráfico necesario hacia los servicios publicados, y se restringe o bloquea cualquier acceso innecesario hacia la LAN SRV.

En esta práctica, la DMZ se asignará al port 4 de Sophos Firewall.

DHCP

DHCP es el protocolo que permite asignar automáticamente parámetros de red a los equipos conectados a una red. Estos parámetros suelen incluir:

  • Dirección IP.
  • Máscara de red.
  • Puerta de enlace.
  • Servidores DNS.
  • Tiempo de concesión.

En esta práctica se utilizará DHCP al inicio para facilitar la configuración inicial de los servidores. Esto permite comprobar rápidamente que cada red funciona, que el firewall entrega direcciones correctamente y que los servidores reciben conectividad sin necesidad de configurar manualmente todos los parámetros desde el principio.

Sin embargo, en servidores críticos, DHCP dinámico no suele ser la opción final recomendada, ya que la IP podría cambiar con el tiempo. Por eso, después de validar la conectividad inicial, se configurarán direcciones fijas.

DHCP Leases

Las DHCP leases, o concesiones DHCP, son los registros que muestran qué dirección IP ha sido entregada a cada dispositivo.

En Sophos Firewall, revisar las leases permite identificar información importante como:

  • IP asignada.
  • Dirección MAC del servidor.
  • Nombre del dispositivo, si está disponible.
  • Interfaz o red donde se ha entregado la dirección.
  • Tiempo restante de la concesión.

Este paso es muy útil porque permite confirmar qué servidor está conectado a cada red y qué dirección recibió inicialmente. A partir de esa información, se puede definir una asignación fija de IP de forma más segura y ordenada.

Direcciones IP estáticas

Una dirección IP estática es una dirección fija que no cambia con el tiempo. En servidores, esto es especialmente importante porque otros sistemas necesitan poder encontrarlos siempre en la misma dirección.

Por ejemplo, si un servidor web, un servidor DNS o una base de datos cambiara de IP automáticamente, podrían dejar de funcionar servicios, reglas de firewall, configuraciones de clientes o integraciones entre sistemas.

En esta práctica, después de validar el funcionamiento mediante DHCP, se configurará una IP fija para cada servidor. Esto puede hacerse mediante configuración manual en el sistema operativo o mediante una reserva DHCP asociada a la MAC del servidor, dependiendo del diseño elegido.

En entornos centralizados, una reserva DHCP puede ser especialmente cómoda porque permite mantener el control de las asignaciones desde el firewall, evitando configuraciones dispersas en cada servidor.

🎯 Objetivos de la práctica

El objetivo principal de esta práctica es aprender a diseñar y configurar una arquitectura de red segmentada utilizando Sophos Firewall.

Se busca comprender cómo separar correctamente una red de servidores internos y una red DMZ, asignando interfaces específicas, habilitando DHCP inicial y estableciendo posteriormente direcciones IP fijas para garantizar estabilidad.

También se pretende entender por qué los servidores críticos no deben depender de direcciones dinámicas, cómo verificar las concesiones DHCP desde Sophos y cómo utilizar esa información para aplicar una configuración definitiva más segura y profesional.

Al finalizar la práctica, se habrá construido una base sólida para escenarios más avanzados, como publicación de servicios, reglas entre zonas, NAT, control de acceso, monitorización y protección de servidores expuestos.

🧩 Desarrollo de la práctica

🧱 Diseño de la arquitectura de red

Antes de configurar cualquier parámetro, es importante entender el diseño que se va a implementar.

La arquitectura estará compuesta por varias zonas diferenciadas, donde Sophos Firewall actuará como punto central de comunicación. En este caso, se habilitarán dos nuevas redes:

  • Una red LAN SRV, conectada al port 3.
  • Una red DMZ, conectada al port 4.

La LAN SRV estará destinada a servidores internos críticos. Esta red debe considerarse una zona protegida y de alta confianza. No debe ser accesible libremente desde redes menos seguras.

La DMZ, en cambio, estará destinada a servidores que puedan ofrecer servicios a otras redes. Aunque sigue estando protegida por el firewall, su nivel de exposición suele ser mayor, por lo que debe estar separada de la LAN SRV.

Este diseño permite aplicar una regla básica de seguridad:

Los sistemas expuestos deben estar separados de los sistemas internos críticos.

Esta separación reduce el impacto de un posible incidente. Si un servidor de la DMZ se ve comprometido, el atacante no debería poder saltar directamente a los servidores críticos de la LAN SRV.

🌐 Configuración del port 3 como LAN SRV

El port 3 se configurará como la interfaz asociada a la red de servidores internos.

Esta interfaz tendrá su propia dirección IP, que actuará como puerta de enlace para los servidores ubicados en esa red. Por ejemplo, si la LAN SRV utiliza una red privada específica, la IP del firewall en esa red será el punto por el que los servidores saldrán hacia otras redes o hacia Internet, siempre que las reglas lo permitan.

Configurar correctamente esta interfaz es fundamental porque define el límite lógico de la red de servidores. A partir de ese momento, cualquier equipo conectado físicamente o virtualmente a esa red pertenecerá al segmento LAN SRV.

Además, esta interfaz podrá tener asociado un servicio DHCP temporal o controlado, que permitirá entregar direcciones IP iniciales a los servidores durante la fase de configuración.

🌍 Configuración del port 4 como DMZ

El port 4 se configurará como interfaz de la red DMZ.

La DMZ debe tener un rango IP distinto al de la LAN SRV. Esto es importante porque cada red debe poder identificarse claramente y aplicar políticas independientes.

El firewall será también la puerta de enlace de esta red. Todo el tráfico que salga del servidor de la DMZ hacia otras redes deberá pasar por Sophos, permitiendo aplicar reglas, restricciones y registros.

La DMZ no debe entenderse como una red “insegura”, sino como una red de exposición controlada. Su propósito es alojar servicios que podrían recibir conexiones desde otras zonas, pero sin permitir acceso directo a la red interna crítica.

En una arquitectura bien diseñada, el tráfico desde Internet hacia la DMZ se publica de forma específica mediante reglas y NAT, mientras que el tráfico desde la DMZ hacia la LAN SRV se limita al mínimo necesario o se bloquea directamente.

📡 Habilitación inicial de DHCP en ambas redes

Una vez creadas las interfaces, se habilitará DHCP en la red LAN SRV y en la red DMZ.

Este paso tiene una finalidad práctica: permitir que los servidores reciban automáticamente una configuración inicial de red sin necesidad de configurarlos manualmente desde el primer momento.

Cuando un servidor se conecta a la LAN SRV, solicitará parámetros de red y Sophos le entregará una dirección dentro del rango definido para esa red. Lo mismo ocurrirá con el servidor conectado a la DMZ.

El uso inicial de DHCP permite validar varias cosas:

  • Que la interfaz está activa.
  • Que el servidor está conectado a la red correcta.
  • Que Sophos entrega parámetros correctamente.
  • Que el servidor recibe puerta de enlace y DNS.
  • Que existe conectividad básica.

Este paso es especialmente útil en laboratorios porque permite detectar errores de cableado, asignación de interfaces o configuración de red de forma rápida.

🖥️ Conexión de un servidor en LAN SRV y otro en DMZ

Con DHCP habilitado, se conectará un servidor a cada red.

El servidor de la LAN SRV representará un activo crítico interno. Puede ser un sistema que simule una base de datos, un servidor de monitorización, un servicio interno o cualquier recurso que deba permanecer protegido dentro de la red empresarial.

El servidor de la DMZ representará un sistema con servicios expuestos. Este equipo podría alojar servicios web, aplicaciones de prueba o cualquier otro servicio que en un entorno real pudiera ser accedido desde redes externas o semiexternas.

Esta separación permite observar claramente cómo dos servidores pueden estar gestionados por el mismo firewall, pero pertenecer a zonas distintas y tener políticas de acceso completamente diferentes.

🔎 Comprobación de DHCP Leases en Sophos

Después de conectar los servidores, se revisarán las DHCP leases en Sophos Firewall.

Este paso es muy importante porque permite confirmar qué IP ha recibido cada servidor y asociarla a su dirección MAC. La MAC es un identificador único de la tarjeta de red, por lo que resulta útil para reconocer de forma precisa cada equipo.

Desde las concesiones DHCP se podrá comprobar:

  • Qué servidor pertenece a la LAN SRV.
  • Qué servidor pertenece a la DMZ.
  • Qué IP recibió cada uno.
  • Qué dirección MAC tiene cada servidor.
  • Si el nombre del host aparece correctamente identificado.

Esta información será la base para configurar una IP fija o una reserva DHCP.

📌 Configuración de IP fija para servidores críticos

Una vez identificados los servidores, se configurará una IP fija para cada uno.

Este paso es fundamental porque los servidores no deben depender de direcciones dinámicas. Si una IP cambia, pueden verse afectados servicios, reglas de firewall, monitorización, accesos remotos, certificados, registros DNS o integraciones con otras plataformas.

Por ejemplo, si un servidor web en la DMZ cambia de IP, una regla de publicación o NAT podría dejar de funcionar. Si un servidor crítico en la LAN SRV cambia de IP, otros sistemas internos podrían dejar de comunicarse con él.

Por eso, en entornos profesionales, los servidores suelen utilizar direcciones fijas o reservas DHCP permanentes.

La diferencia entre ambos enfoques es importante:

  • Una IP estática configurada en el servidor se define directamente dentro del sistema operativo.
  • Una reserva DHCP se define en el firewall, asociando una dirección IP concreta a la MAC del servidor.

Ambas opciones son válidas, pero una reserva DHCP centralizada puede facilitar la administración en laboratorios y entornos gestionados, ya que todo queda documentado desde Sophos.

🔐 Importancia de la segmentación entre LAN SRV y DMZ

Separar LAN SRV y DMZ no es solo una cuestión de orden, sino de seguridad.

La LAN SRV debe proteger los activos más importantes de la empresa. La DMZ, en cambio, asume que algunos servicios pueden estar más expuestos. Por eso, permitir comunicación libre entre ambas sería un error.

Una buena práctica consiste en aplicar el principio de mínimo privilegio:

Solo se permite el tráfico estrictamente necesario.

Por ejemplo, si un servidor web en la DMZ necesita consultar una base de datos en la LAN SRV, se debería permitir únicamente ese tráfico concreto hacia ese servidor y puerto específico. Todo lo demás debería permanecer bloqueado.

Esta filosofía reduce el riesgo de movimiento lateral en caso de compromiso.

🔄 Flujo de tráfico esperado

Una vez configuradas ambas redes, Sophos actuará como punto de paso obligatorio.

El tráfico entre servidores, entre redes o hacia Internet deberá pasar por el firewall. Esto significa que Sophos podrá inspeccionar, permitir, bloquear o registrar la comunicación.

El flujo básico sería:

  1. Un servidor envía tráfico desde su red.
  2. El tráfico llega a la interfaz correspondiente de Sophos.
  3. Sophos identifica la zona de origen y destino.
  4. Se evalúan las reglas de firewall aplicables.
  5. Si la comunicación está permitida, el tráfico continúa.
  6. Si no existe regla o está bloqueado, el tráfico se descarta.

Comprender este flujo es esencial para resolver problemas y diseñar reglas de seguridad correctamente.

🧪 Validación de la configuración

Al finalizar la configuración, se validará que ambas redes funcionan correctamente.

Primero se comprobará que los servidores reciben parámetros por DHCP. Después se verificará que las leases aparecen correctamente en Sophos. Posteriormente, se aplicarán las IPs fijas y se confirmará que los servidores mantienen la dirección configurada.

También será importante comprobar que cada servidor utiliza Sophos como puerta de enlace y que pertenece a la red correcta.

Esta validación demuestra que:

  • Las interfaces están activas.
  • DHCP funciona correctamente.
  • Sophos reconoce los servidores.
  • Las IPs fijas están aplicadas.
  • La segmentación inicial está preparada.

🔍 ¿Por qué es importante esta práctica?

Esta práctica es importante porque enseña uno de los fundamentos más importantes de la seguridad de red: la segmentación.

En muchas redes mal diseñadas, todos los sistemas conviven en el mismo segmento. Esto facilita la administración inicial, pero aumenta enormemente el riesgo. Si un equipo se compromete, el atacante puede intentar descubrir y alcanzar otros sistemas internos con facilidad.

Separar servidores internos y servicios expuestos permite construir una arquitectura mucho más segura. La LAN SRV protege los activos críticos, mientras que la DMZ sirve como zona controlada para servicios que necesitan mayor exposición.

Además, configurar IPs fijas en servidores es una práctica básica de estabilidad. Los servidores deben ser predecibles. Sus direcciones deben permanecer constantes para que las reglas, servicios y sistemas de monitorización funcionen correctamente.

Esta práctica sienta las bases para configuraciones más avanzadas como NAT, publicación de servicios, reglas interzonas, IPS, monitorización con Wazuh y hardening perimetral.

✅ Resultados esperados

Al finalizar la práctica, Sophos Firewall tendrá habilitadas dos nuevas redes correctamente diferenciadas.

La red LAN SRV estará asociada al port 3 y preparada para alojar servidores internos críticos. La red DMZ estará asociada al port 4 y preparada para alojar servicios expuestos o semiexpuestos.

Cada servidor habrá recibido inicialmente parámetros mediante DHCP, sus concesiones habrán sido verificadas desde Sophos y posteriormente se habrá configurado una dirección IP fija para garantizar estabilidad.

El resultado final será una arquitectura más ordenada, segura y profesional, donde los servidores críticos y los servicios expuestos quedan separados desde el diseño inicial.

El flujo conseguido será:

Interfaces → Zonas → DHCP → Leases → IP fija → Segmentación segura

🚀 Conclusión técnica

Esta práctica representa un paso fundamental en la construcción de un laboratorio empresarial realista.

No se trata únicamente de crear dos redes, sino de entender por qué deben existir, qué función cumple cada una y cómo Sophos Firewall permite controlar la comunicación entre ellas.

La LAN SRV protege los activos más valiosos.
La DMZ contiene los servicios con mayor exposición.
Sophos actúa como punto de control entre ambas.

Con esta base ya se puede avanzar hacia configuraciones más profesionales como reglas de firewall entre zonas, publicación de servicios, NAT, protección IPS, monitorización de logs e integración con sistemas SIEM.

🏢 Propuesta empresarial

La empresa Clockwork Computer se encuentra en un proceso de mejora de su infraestructura de red interna. Actualmente, varios servidores y activos críticos conviven en segmentos de red poco diferenciados, lo que dificulta aplicar políticas de seguridad específicas y aumenta el riesgo en caso de incidente.

El departamento de IT ha decidido reorganizar la arquitectura de red para separar claramente los sistemas internos críticos de aquellos servicios que deben estar más expuestos o disponibles para otras redes. Para ello, se utilizará Sophos Firewall como punto central de segmentación y control.

La empresa necesita implementar dos nuevas redes:

  • Una red LAN SRV, destinada a alojar servidores internos y activos críticos.
  • Una red DMZ, destinada a alojar un servidor con servicios expuestos o semiexpuestos.

La red LAN SRV deberá conectarse al port 3 de Sophos Firewall, mientras que la red DMZ deberá conectarse al port 4. Cada una de estas interfaces deberá quedar correctamente configurada con su propio direccionamiento, zona de seguridad y servicio DHCP inicial.

⚙️ Estructura de red inicial

⚙️ Estructura de red final



Enviar entrada por correo electrónico
Labels:

Comentarios

Publicar un comentario

Entradas populares