Skip to content

¿Qué es una VLAN, y cuál es su valor de seguridad?

Respuesta breve

Una VLAN (LAN virtual) particiona lógicamente un switch físico en dominios de difusión de capa 2 separados, de modo que dispositivos en VLAN distintas no pueden alcanzarse directamente aun en el mismo hardware. Se rotula con una etiqueta 802.1Q en los enlaces troncales. El valor de seguridad es la segmentación: aislar el tráfico de usuarios, servidores, invitados e IoT limita el alcance de la difusión y el movimiento lateral, forzando el tráfico entre VLAN a pasar por un router o cortafuegos donde se aplica la política.

Una VLAN permite que un solo switch físico se comporte como varios switches independientes. En lugar de comprar hardware separado para cada segmento de red, asignas puertos a LAN virtuales que no ven el tráfico de las demás en la capa 2. Es una de las herramientas de segmentación más comunes y rentables, por lo que aparece en las entrevistas.

Cómo funcionan las VLAN

Cada VLAN es su propio dominio de difusión. Una trama enviada en la VLAN 10 se queda dentro de los puertos de la VLAN 10; un host en la VLAN 20 nunca la ve. Los puertos de acceso transportan el tráfico no etiquetado de una sola VLAN (una estación de trabajo conectada a uno). Los puertos troncales transportan muchas VLAN entre switches y usan etiquetas 802.1Q — una pequeña cabecera insertada en cada trama que identifica a qué VLAN pertenece — para que el switch receptor sepa adónde enviarla. Para mover tráfico entre VLAN, debe pasar por un dispositivo de capa 3 (un router o «router-on-a-stick» / SVI), que es precisamente donde puedes aplicar la política del cortafuegos.

El valor de seguridad

La segmentación. Poner servidores, portátiles de empleados, wifi de invitados e IoT en VLAN separadas significa que una cámara IoT comprometida no puede alcanzar directamente los servidores financieros — tiene que cruzar una frontera enrutada que controlas y supervisas. Los dominios de difusión más pequeños también reducen la exposición a la escucha y el ruido.

Las advertencias

Una etiqueta VLAN no es por sí sola una frontera de seguridad. Los ataques de salto de VLAN abusan de la mala configuración: el switch spoofing (un host negocia un troncal mediante DTP) y el double tagging (apilar dos etiquetas 802.1Q para filtrar una trama a otra VLAN). Defensas: deshabilitar DTP/auto-trunking, definir una VLAN nativa dedicada y sin uso, podar las VLAN sin uso, y poner un cortafuegos real entre los segmentos sensibles.

Los entrevistadores quieren la idea de aislamiento de dominios de difusión, el beneficio de segmentación/movimiento lateral, y la conciencia de que las VLAN por sí solas no son un cortafuegos.

Posibles preguntas de seguimiento

  • ¿Qué es el salto de VLAN (switch spoofing, double tagging) y cómo se previene?
  • ¿Cómo funciona el etiquetado 802.1Q en un puerto troncal frente a un puerto de acceso?
  • ¿Por qué la separación por VLAN no sustituye a un cortafuegos entre segmentos?

Fuentes

Certificaciones

Consigue 100 preguntas de entrevista de ciberseguridad + respuestas

Déjanos tu correo y te enviaremos el pack en PDF gratuito y el mazo de flashcards.

Sin spam. Cancela tu suscripción cuando quieras.