DÍA 3: NETWORK SECURITY & INFRASTRUCTURE HARDENING

¡Esto se pone interesante! Vas a montar una infraestructura profesional y segura de red, al nivel de una empresa mediana, utilizando Open Source y Hardening real.
Te lo dejo muy bien estructurado y realista para que puedas hacerlo tú mismo en tu día 3 de formación. Aquí tienes el Programa completo:

DÍA 3: NETWORK SECURITY & INFRASTRUCTURE HARDENING

Objetivo del día

Configurar una infraestructura de red segmentada y segura mediante un router de nueva generación basado en software libre. Implementar firewall, IDS, IPS, VPN, VLANs y WiFi segregado, aplicando buenas prácticas de seguridad.

1. Esquema de la infraestructura

Topología:

[Router de operadora (modo bridge)]
           │
           │
    [PC con doble NIC (PCIe + integrada)]
           │
  ┌────────┴─────────┐
  │                  │
[Punto de acceso]   [Switch gestionable (opcional)]
  │
  ├── VLAN 10 - Red interna (Oficinas)
  ├── VLAN 20 - Invitados
  ├── VLAN 30 - Dispositivos móviles
  ├── VLAN 40 - POS & Comerciales
  ├── VLAN 50 - Administración y Socios
  └── VLAN 99 - DEVSECOPS (con acceso total)

2. Requisitos de hardware

✅ PC con mínimo:

CPU: 2 o más núcleos.
RAM: 4GB o más.
2 tarjetas de red (una integrada + una PCIe Gigabit).
Disco SSD de mínimo 32GB.

✅ Un punto de acceso WiFi que soporte VLANs (ej: TP-Link EAP, Ubiquiti o similar).

✅ Switch gestionable (si quieres cablear varias oficinas, opcional).

Cyber security, information privacy, data protection concept on modern server room background. Internet and digital technology concept.

3. Software gratuito recomendado

Función	Software
Sistema operativo router/firewall	OPNsense (Recomendado, basado en FreeBSD)
IDS / IPS	Suricata (integrado en OPNsense)
VPN	WireGuard y OpenVPN (ambos en OPNsense)
Honeypot (opcional)	Honeyd en máquina separada o en el propio PC
Monitorización / Logs	Graylog + OPNsense Logs

4. Plan de implementación

🟢 Paso 1: Configurar el router de la operadora en modo bridge

Desactiva NAT y DHCP en el router ISP.
Deja que pase la IP pública directamente al PC (WAN).

🟢 Paso 2: Instalar OPNsense

Descarga ISO de OPNsense: https://opnsense.org/download/
Instálalo en el PC (utilizando un USB booteable).
Configura las interfaces:
- WAN → Tarjeta conectada al router ISP.
- LAN → Tarjeta PCIe hacia el punto de acceso y switch.

🟢 Paso 3: Configuración básica OPNsense

Habilita Firewall con reglas estrictas por VLAN.
Activa DHCP por VLAN.
Crea las VLANs mencionadas.
Asigna SSID diferente por cada VLAN en tu punto de acceso.
Aplica políticas de seguridad:
- VLAN Invitados → Internet Only, sin acceso a LAN.
- VLAN Móviles → Internet + VPN corporativa.
- VLAN POS/Comerciales → Acceso solo a servidores internos.
- VLAN Administración/Socios → Acceso a red interna y servidores.
- VLAN DevSecOps → Acceso completo (también para pentesting).

🟢 Paso 4: Seguridad avanzada

Habilita IDS/IPS con Suricata.
Crea VPN WireGuard para acceso remoto.
Configura reglas de Firewall:
- Solo puertos necesarios abiertos.
- Bloqueo de tráfico sospechoso.
- Reglas anti-spoofing.
Honeypot:
- Instala Honeyd en una máquina virtual interna y crea un alias en la red.

🟢 Paso 5: Endurecimiento y buenas prácticas

Contraseñas robustas y únicas para cada VLAN/SSID.
Desactivar UPnP y protocolos inseguros.
Desactivar administración remota por WAN.
Programar backups automáticos de la configuración.
Establecer políticas de logs y alertas.

🎯 Resultado esperado

✅ Infraestructura segura y segmentada.
✅ Red corporativa separada de la de invitados.
✅ Control total sobre quién accede a qué.
✅ Posibilidad de auditar y registrar todo el tráfico.
✅ Acceso VPN seguro para teletrabajadores.
✅ Prácticas reales de Hardening & Network Security aplicadas a un caso real.

🟢 Documentación exigida para aprobar este día

✅ Captura de pantalla de configuración de VLANs.
✅ Captura de reglas de cortafuegos aplicadas.
✅ Informe exportado del estado de IDS/IPS.
✅ Archivo PDF firmado por el DevSecOps declarando que las configuraciones han sido aplicadas.