Volver a Knowledge Base UniFi

Seguridad de red con UniFi: mejores practicas

Guia completa para proteger tu red empresarial con VLANs, firewall, IDS/IPS y redes de invitados en UniFi.

Por que la seguridad de red es critica para tu empresa?

Una red empresarial sin proteccion adecuada es una puerta abierta para ataques ciberneticos, robo de datos y accesos no autorizados. Los equipos Ubiquiti UniFi ofrecen herramientas de seguridad de nivel empresarial a un costo accesible, pero es necesario configurarlas correctamente para aprovechar su potencial.

Esta guia cubre las mejores practicas de seguridad que toda empresa deberia implementar en su red UniFi.

Segmentacion con VLANs

Las VLANs (Virtual Local Area Networks) permiten dividir tu red fisica en multiples redes logicas aisladas. Esta es la medida de seguridad mas importante que puedes implementar.

Por que segmentar tu red?

Sin VLANs, todos los dispositivos de tu oficina estan en la misma red: computadoras, telefonos, camaras, impresoras y dispositivos IoT. Si un atacante compromete cualquier dispositivo, tiene acceso a todos los demas.

Estructura de VLANs recomendada

  • VLAN Corporativa (ID 10): Computadoras y laptops de empleados. Acceso completo a recursos internos
  • VLAN Servidores (ID 20): Servidores, NAS y equipos criticos. Acceso restringido solo desde la VLAN corporativa
  • VLAN VoIP (ID 30): Telefonos IP. Prioridad de trafico (QoS) para garantizar calidad de llamadas
  • VLAN IoT (ID 40): Camaras, sensores, impresoras y dispositivos inteligentes. Sin acceso a la red corporativa
  • VLAN Invitados (ID 50): Acceso solo a internet, completamente aislada del resto de la red

Tip: En UniFi Network, puedes crear VLANs desde Settings > Networks. Asigna cada SSID WiFi a una VLAN especifica y configura los puertos del switch segun el tipo de dispositivo conectado.

Reglas de firewall

Las reglas de firewall controlan que trafico puede fluir entre tus VLANs y hacia internet. UniFi permite configurar reglas en tres categorias:

Reglas esenciales entre VLANs

  1. Bloquear trafico entre VLANs por defecto: Configura una regla que bloquee toda comunicacion entre VLANs. Luego abre solo lo necesario
  2. Permitir corporativa a servidores: Permite que la VLAN corporativa acceda a servicios especificos en la VLAN de servidores (puertos 80, 443, 445, etc.)
  3. Permitir respuestas establecidas: Permite el trafico de respuesta (established/related) para que las conexiones ya iniciadas funcionen correctamente
  4. Bloquear IoT a todo: Los dispositivos IoT solo deben tener acceso a internet, no a otras VLANs

Reglas hacia internet

  • Bloquea el acceso a DNS externo desde IoT (forzar uso de DNS interno para filtrado)
  • Limita el ancho de banda de la VLAN de invitados
  • Bloquea puertos peligrosos de salida (como Telnet, RDP expuesto, etc.)

Importante: Siempre prueba tus reglas de firewall despues de configurarlas. Un error puede dejar sin acceso a servicios criticos. Configura las reglas durante horarios de baja actividad y ten acceso fisico al gateway por si necesitas revertir cambios.

IDS/IPS: deteccion y prevencion de intrusos

UniFi incluye un sistema de deteccion y prevencion de intrusos (IDS/IPS) integrado en sus gateways (Dream Machine, Dream Machine Pro, Security Gateway).

Que hace el IDS/IPS?

  • IDS (Intrusion Detection System): Monitorea el trafico de red y te alerta cuando detecta patrones de ataque conocidos, como escaneos de puertos, intentos de exploit o comunicacion con servidores maliciosos
  • IPS (Intrusion Prevention System): Ademas de detectar, bloquea automaticamente el trafico sospechoso antes de que llegue a tus dispositivos

Configuracion recomendada

  1. Activa el IDS/IPS desde Settings > Security > Threat Management
  2. Selecciona el nivel de sensibilidad. Comienza con un nivel medio para evitar falsos positivos excesivos
  3. Habilita las categorias de amenazas relevantes: malware, exploits, botnet, scan, y emerging threats
  4. Revisa las alertas periodicamente en el panel de seguridad y ajusta las reglas segun tu entorno

Nota: Activar el IPS puede reducir ligeramente el rendimiento del gateway, ya que inspecciona cada paquete en tiempo real. En un Dream Machine Pro, esto no es un problema para la mayoria de las conexiones. En un gateway mas basico, evalua el impacto en velocidad.

Red de invitados segura

Ofrecer WiFi a visitantes es comun, pero debe hacerse de forma segura. Una red de invitados mal configurada puede dar acceso a recursos internos de tu empresa.

Mejores practicas para redes de invitados

  • VLAN dedicada: Siempre coloca la red de invitados en su propia VLAN, completamente aislada
  • Portal cautivo: Configura una pagina de bienvenida donde los visitantes acepten terminos de uso antes de conectarse
  • Limite de ancho de banda: Restringe la velocidad por usuario para evitar que un visitante consuma todo tu ancho de banda
  • Aislamiento de clientes: Activa client isolation para que los dispositivos de invitados no puedan verse entre si
  • Expiracion de acceso: Configura un tiempo maximo de conexion (por ejemplo, 8 horas) para que el acceso expire automaticamente

Necesitas ayuda?

En Computo TPU nos especializamos en seguridad de redes con equipos UniFi. Podemos auditar tu red actual, implementar VLANs, configurar firewall y activar IDS/IPS para proteger tu empresa. Contactanos para una evaluacion de seguridad.

Necesitas ayuda con esto?

Nuestro equipo puede asistirte con la implementacion y configuracion.

Contactar a un experto