Redes · Firewall · Seguridad

Segmentación de red con IPFire: zonas RED, GREEN y ORANGE

En esta entrada documento cómo planteé una segmentación de red en un entorno virtualizado utilizando IPFire como firewall principal. El objetivo era separar el tráfico según su función y mejorar la seguridad de la infraestructura.

IPFire Proxmox VE Firewall DMZ Redes Seguridad

Objetivo de la segmentación

El objetivo principal era evitar que todos los servicios estuvieran en una única red plana. Para ello, se diseñó una separación lógica entre la zona de salida hacia Internet, la red interna y la zona destinada a servicios expuestos o semiexpuestos.

Esta separación permite aplicar reglas de filtrado más claras, reducir la superficie de exposición y controlar mejor qué tráfico puede circular entre las distintas partes de la infraestructura.

Zonas utilizadas en IPFire

IPFire trabaja con un sistema de zonas de red diferenciadas. En este laboratorio se utilizaron principalmente tres:

RED

Zona asociada a la salida hacia Internet o red externa. Es la parte menos confiable y debe tratarse como el punto de entrada o salida de tráfico.

GREEN

Zona interna de confianza. Se utiliza para equipos de administración, gestión interna o servicios que no deben estar expuestos directamente.

ORANGE

Zona tipo DMZ destinada a servicios que necesitan estar más separados de la red interna, como servidores web o servicios accesibles bajo reglas controladas.

Planteamiento de arquitectura

La infraestructura se planteó sobre Proxmox VE, utilizando máquinas virtuales y contenedores para separar funciones. IPFire actuaba como firewall entre las distintas zonas, permitiendo controlar el tráfico entre redes y servicios.

El diseño general fue: 

Internet / red externa
        │
        ▼
Zona RED
        │
        ▼
IPFire Firewall
   ├── Zona GREEN → administración y red interna
   └── Zona ORANGE → servicios web / DMZ

Ventajas de este enfoque

  • Separación clara entre red interna, servicios y salida exterior.
  • Mayor control sobre el tráfico entre zonas.
  • Reducción del impacto si un servicio expuesto se ve comprometido.
  • Mejor organización de la infraestructura.
  • Base sólida para aplicar reglas de firewall y futuras mejoras de seguridad.

Buenas prácticas aplicadas

Para publicar esta documentación no se incluyen IPs reales, dominios dinámicos, credenciales, reglas exactas sensibles ni capturas que puedan comprometer la infraestructura original. La entrada se centra en explicar el diseño técnico y las competencias demostradas.

  • Uso de direcciones e información genérica.
  • Separación entre documentación pública y configuración real.
  • No publicación de credenciales ni archivos de configuración sensibles.
  • Explicación orientada a empleabilidad y aprendizaje técnico.

Qué demuestra este laboratorio

Este laboratorio demuestra conocimientos de redes, firewall, segmentación, virtualización e infraestructura segura. También muestra capacidad para documentar decisiones técnicas y transformar una práctica académica en un caso profesional entendible.

Conclusión

La segmentación de red es una medida básica pero muy importante dentro de cualquier infraestructura. Separar correctamente las zonas permite controlar mejor los accesos, reducir riesgos y construir una arquitectura más segura, escalable y fácil de mantener.

Volver al blog