Construcción de un perímetro defensivo con pfSense y Snort
Diseño práctico de un firewall perimetral en una pyme: segmentación VLAN, IDS inline con Snort, OpenVPN para acceso remoto y políticas de egress por defecto cerradas.

Topología mínima viable
Tres VLANs como punto de partida: LAN corporativa, servidores internos (DMZ interna) y wifi de invitados, cada una con su propio rango y reglas. El error común es tratar el firewall como puerta de entrada y dejar el tráfico este-oeste sin control. En una pyme real, el 80% del riesgo está en el tráfico interno: portátiles infectados, impresoras con firmware sin parchear, dispositivos IoT olvidados.
Reglas por defecto cerradas, también hacia fuera
Egress allowlist por VLAN es el cambio que más reduce impacto de incidentes. La mayoría de malware necesita salir a un C2 por HTTPS arbitrario; si la VLAN de servidores sólo puede hablar contra repositorios de paquetes y endpoints internos, ese vector se cierra. Para usuarios, proxy explícito con categorización y registro.
Snort en modo inline en la interfaz WAN con el ruleset Emerging Threats y un ajuste periódico para reducir falsos positivos. Sin ese ajuste, el operador deja de mirar las alertas en una semana — y entonces no sirve para nada.
Acceso remoto: OpenVPN, no port-forward
Cualquier RDP, SSH o panel administrativo expuesto a Internet acaba en una botnet. La regla en una pyme es: cero servicios administrativos públicos, acceso remoto sólo por OpenVPN con certificados por usuario, MFA opcional con Google Authenticator, y revocación inmediata cuando un empleado deja la compañía. Es mucho más barato que limpiar un ransomware.
