La Red – Características Y Seguridad

La Red – Características y Seguridad | Wifi Korman Vilares Resort ZeroG

Wifi Korman Vilares Resort ZeroG — La Red · Características y Seguridad

Cobertura 2.4 GHz / 5 GHz · Zona: Burbuja ZeroG · Enfoque: conectividad pública segura, filtrada y responsable.

Usuarios

≈200 invitados simultáneos

IPs admin

50 reservadas

Filtrado

Proxy + DNS

IDS/IPS

Suricata · Snort · ClamAV

Resumen ejecutivo

La Red ZeroG está diseñada para ofrecer Internet público responsable en el rango privado 10.10.0.0/24, con políticas de filtrado de contenidos sensibles y una pila de seguridad multicapa (proxy, DNS seguro, IDS/IPS, antivirus y reglas comunitarias GPL) que mantiene la red limpia y estable.

El acceso está apoyado por 8 scripts operativos que automatizan el arranque, la protección, el portal de bienvenida y la observabilidad. Estos scripts evolucionan continuamente a partir del análisis de logs y patrones de uso para optimizar rendimiento y seguridad.

Topología y direccionamiento

ElementoDirecciónNotas
Rango LAN10.10.0.0/24Red privada ZeroG
Gateway / Router10.10.0.1Portal + salida a Internet
Antena AP 110.10.0.122.4/5 GHz
Antena AP 210.10.0.142.4/5 GHz
Antena AP 310.10.0.162.4/5 GHz
Rango DHCP (dinámico)10.10.0.50 – 10.10.0.250≈ 200 clientes invitados
Reservas administrativas≈50 IPsEquipo de red y servicios
 
                 Internet
                     ▲
                     │  (salida protegida)
              ┌──────┴──────┐
              │  Router/    │  10.10.0.1
              │  Portal     │  DHCP · Proxy · IDS/IPS
              └──────┬──────┘
                     │ (LAN 10.10.0.0/24)
        ┌────────────┼──────────────┐
        │            │              │
   AP-1 10.10.0.12  AP-2 10.10.0.14 AP-3 10.10.0.16
  (2.4/5G)         (2.4/5G)        (2.4/5G)

Política de contenidos y navegación responsable

Proxy transparente activo en toda la red con listas y categorías que bloquean temáticas sensibles para uso público: drogas, pornografía, violencia, agresividad, apuestas y estafas. Esta capa mantiene la red limpia y reduce significativamente la exposición a riesgos.

DNS protegido mediante servicios de Cloudflare (perfil #FamilyGuardFilter) para reforzar la resolución segura y el bloqueo de dominios maliciosos a nivel de nombres.

Nota: los porcentajes internos (40% / 60% / 175%) son métricas orientativas de cobertura de controles y no equivalen a garantías absolutas.

Pila de seguridad (defensa en profundidad)

  • IDS/IPS multiproveedor (Open‑Source): combinación de 6 fuentes comunitarias para firmas y detecciones, con actualización periódica.
  • Suricata: inspección profunda de paquetes, reglas de amenaza y registro de eventos.
  • Snort (GPL Rules): refuerzo de detección basada en firmas abiertas.
  • ClamAV: análisis de tráfico y artefactos para malware conocido.
  • Proxy + ACLs: listas temáticas y reputación para filtrado HTTP/HTTPS (modo transparente cuando aplica).
  • DNS seguro: perfil #FamilyGuardFilter en Cloudflare para bloqueo preventivo.
  • Segmentación lógica: reservas administrativas separadas del pool dinámico de invitados.

Cadena operativa · 8 scripts

La red se despliega y mantiene mediante una ejecución en cadena de 8 scripts. Cada uno es idempotente y registra su estado. Se ajustan con los hallazgos de los logs y el comportamiento real de los usuarios.

0️⃣ Preparación & chequeos (inventario y entorno)

Verifica interfaces, rutas, módulos del kernel, tiempo del sistema y dependencias; crea copias de seguridad de reglas actuales y prepara variables comunes.

  • iptables-save/ip6tables-save a backup rotativo
  • Comprobación de conectividad WAN/VPN
  • Sincronización horaria
1️⃣ Firewall base (política segura por defecto)

Establece políticas drop‑by‑default con excepciones controladas; abre solo servicios necesarios internos y del portal.

  • Reglas INPUT/FORWARD/OUTPUT mínimas
  • Anti‑spoofing, estados y límites
2️⃣ Portal cautivo y redirecciones

DNAT/REDIRECT de :80/:443 a la página de bienvenida (10.10.0.1:80) hasta cumplir condiciones de acceso.

  • Excepciones puntuales (servidores autorizados)
  • Marcado de sesiones y trazabilidad
3️⃣ Salida a Internet (NAT + rutas + VPN si aplica)

Publicación vía masquerade y rutas por tun (VPN) o interfaz WAN; verifica que el tráfico de invitados salga conforme a política.

  • Conciliación con políticas de filtrado
  • Pruebas automáticas de egress
4️⃣ Proxy transparente + ACLs

Activa proxy en modo transparente y aplica listas temáticas: drogas, pornografía, violencia, agresividad, apuestas y estafas. Mantiene la red “limpia”.

  • Bypass para dominios/servicios críticos
  • Logs por categoría y tendencia
5️⃣ DNS seguro (Cloudflare · #FamilyGuardFilter)

Fuerza resolutores protegidos, bloquea resolución insegura y DoH/DoT no autorizados para evitar evasiones.

  • Validación y caches controladas
  • Lista de permitidos para dominios propios
6️⃣ IDS/IPS (Suricata + Snort GPL) & AV

Despliega sensores, aplica firmas y activa captura de eventos; ClamAV escanea artefactos. Exporta logs en tiempo real.

  • Firmas de 6 proveedores comunitarios OSS
  • Envío a SIEM / visor central
7️⃣ Observabilidad & optimización continua

Recolecta métricas de uso, amenazas bloqueadas, latencias y errores. Ajusta umbrales y reglas según hallazgos, manteniendo la experiencia de usuario.

  • Rotación y compresión de logs
  • Reportes periódicos y alertas

Monitorización y registros

  • Dashboards de salud de red: usuarios activos, ancho de banda, latencia, calidad por AP.
  • Eventos de seguridad: detecciones IDS/IPS, dominios bloqueados por DNS, categorías del proxy.
  • Forénsica ligera: preservación de evidencias técnicas bajo normativa y respeto a la privacidad.

Privacidad y uso responsable

Se promueve un uso cívico y respetuoso. Los controles se centran en proteger a usuarios y comunidad, minimizando datos personales y cumpliendo buena práctica técnica.

Próxima capa: Asistentes IA para el ciudadano

Está en evaluación la incorporación de IA asistencial (varios protocolos) para soporte al usuario en tiempo real: preguntas frecuentes, orientación de servicios locales y aviso de incidencias.