🌐 Guía Completa de Redes en AWS (VPC)

 


1. 🧱 VPC – Virtual Private Cloud

Una VPC es tu propia red virtual dentro de AWS, donde puedes lanzar recursos como EC2, RDS, ELB, etc.

  • Tú defines: rango de IPs (CIDR), subredes, rutas, ACLs, etc.

  • Por defecto no tiene acceso a Internet, ni a otras VPC.

🔹 Ejemplo:

nginx
CIDR VPC: 10.0.0.0/16

2. 🌐 Subnets (Subredes)

Dividen tu VPC en zonas públicas o privadas:

Tipo de SubredTiene acceso a Internet directamenteRequiere NAT Gateway
Pública✅ Sí (tiene Internet Gateway)❌ No
Privada❌ No✅ Sí (si desea salir a Internet)

🔹 Ejemplo:

  • Subred pública: 10.0.1.0/24

  • Subred privada: 10.0.2.0/24

3. 📡 Internet Gateway (IGW)

Permite que instancias en la subred pública accedan a Internet y sean accedidas desde afuera.

  • Se asocia a la VPC

  • Las rutas deben apuntar al IGW para tráfico 0.0.0.0/0

4. 🔄 NAT Gateway o NAT Instance

Permite que instancias en subred privada accedan a Internet, pero no puedan ser accedidas desde afuera.

CaracterísticaNAT GatewayNAT Instance
Manejada por AWS✅ Sí❌ No (autoservicio)
Alta disponibilidad✅ Sí (multi-AZ)❌ Manual
Escala automáticamente✅ Sí❌ No

5. 🔐 Security Groups vs Network ACLs

CaracterísticaSecurity GroupNetwork ACL
NivelInstancia (EC2)Subred (todo lo que entra/sale)
EstadoStateful (retorno permitido)Stateless (hay que permitir entrada y salida)
ReglasSolo permitePermite y niega
EvaluaciónSolo si está asociadoAutomática por orden de reglas

🔹 Ejemplo: SG abre puerto 22 solo a tu IP; NACL puede bloquear todos los puertos a ciertas IPs.

6. 🧭 Route Tables

Define hacia dónde va el tráfico según el destino.

  • Cada subred tiene una tabla de ruteo asociada.

  • Puedes definir rutas a:

    • Internet Gateway (0.0.0.0/0)

    • NAT Gateway

    • Otra VPC (via peering)

    • VPN

7. 🔌 Elastic Network Interface (ENI)

Una ENI es una tarjeta de red virtual. Las instancias EC2 pueden tener una o más ENIs.

  • Se pueden mover entre instancias.

  • Útil para alta disponibilidad o failover.

8. 🌉 VPC Peering y Transit Gateway

🔗 VPC Peering:

  • Conecta 2 VPCs directamente.

  • No permite transitividad (A->B y B->C no da A->C).

🌀 Transit Gateway:

  • Conecta muchas VPCs y VPNs centralmente.

  • Escalable, ideal para topologías de red grandes.

📌 BONUS: Otros elementos de red importantes

  • Elastic IP (EIP): IP pública fija que puedes asociar a instancias o NAT Gateway.

  • DHCP Option Sets: Define dominio DNS, nombres de host, etc.

  • Route 53: Servicio DNS administrado que se integra con VPC.

  • PrivateLink: Acceso privado a servicios como S3 o API Gateway sin salir a Internet.




Comentarios

Publicar un comentario

Entradas populares de este blog

Implementación del Modelo AAA

Imagen
Servicios de autenticación. Servicios de autenticación: Local, LDAP, Kerberos. En cuanto a los servicios de autenticación, existen diversos enfoques. La autenticación local es el método más básico y consiste en almacenar las credenciales directamente en el sistema que las valida, como ocurre en los archivos /etc/shadow de Linux o la base de datos SAM en Windows. Este método es sencillo y no requiere infraestructura adicional, pero no es escalable en entornos con muchos equipos y dificulta la gestión centralizada de usuarios .   Ilustración 1 . Proceso de autenticación local, donde el usuario valida sus credenciales contra el archivo de contraseñas almacenado en el sistema operativo (/etc/shadow en Linux o SAM en Windows). Para escenarios más complejos, se utiliza LDAP (Lightweight Directory Access Protocol), un protocolo abierto que permite acceder y administrar servicios de directorio. A través de un servidor LDAP (como OpenLDAP, 389 Directory Server o Active Directory...
Leer más

Simulaciones para dos tipos de vulneribilidades A03:Cross-Site Scripting (XSS) y A04: Insecure Direct Object References (IDOR) del OWASP Top Ten.

Imagen
El presente taller tiene como finalidad proporcionar una comprensión práctica y teórica sobre la realización de pruebas de penetración en un entorno organizacional. A través de ejercicios prácticos y el uso de herramientas especializadas, se busca fortalecer las habilidades necesarias para identificar, evaluar y mitigar vulnerabilidades de seguridad. La Open Web Application Security Project (OWASP) es una organización sin fines de lucro dedicada a mejorar la seguridad del software. OWASP proporciona recursos, metodologías y herramientas para evaluar y mitigar riesgos en aplicaciones web, siendo una referencia esencial en la ciberseguridad. Uno de sus principales aportes es el OWASP Top Ten, una lista de las diez vulnerabilidades de seguridad más críticas en aplicaciones web, que incluye problemas como: Inyección de código (SQL, NoSQL, OS, LDAP, etc.) Autenticación rota Exposición de datos sensibles Entidades externas XML (XXE) Control de acceso defectuoso Configuraciones de seguridad i...
Leer más

Representación de la Cadena de Custodia y DFD según ISO/IEC 27037

Imagen
  INTRODUCCIÓN La cadena de custodia con base en la ISO/IEC 27037 es un concepto crucial en la gestión de evidencia digital, especialmente en el contexto de incidentes relacionados con delitos cibernéticos, investigaciones forenses y procedimientos judiciales. En el mundo actual los delitos cibernéticos, como el robo de datos, el fraude en línea, el acceso no autorizado a sistemas y el sabotaje informático, se han vuelto cada vez más comunes, lo que ha incrementado la necesidad de métodos eficientes y seguros para manejar la evidencia digital. La cadena de custodia en este ámbito tiene como objetivo principal preservar la integridad de los datos y garantizar que no hayan sido alterados, contaminados o manipulados de ninguna forma a lo largo de su proceso de recolección, análisis y presentación. El manejo adecuado de la evidencia digital requiere un enfoque minucioso debido a las características específicas de los datos cibernéticos, como su volatilidad, la facilidad de modificación...
Leer más