UniFi ofrece un sistema de seguridad robusto y flexible. Su firewall permite crear reglas en dos modos: uno simple, más amigable para usuarios sin experiencia técnica, y un modo avanzado, orientado a administradores de red. Desde este entorno es posible definir políticas para bloquear subredes, direcciones IP específicas, dominios web, entre otros.
En versiones recientes, UniFi ha incorporado un Zone-Based Firewall (ZBFW), similar al que emplea Cisco, lo que permite segmentar el tráfico en zonas y aplicar políticas específicas entre ellas. Además, cuenta con un Next-Generation Firewall (NGFW) que incluye funciones de IPS/IDS (detección y prevención de intrusos), basado en el motor Suricata, lo que mejora la protección frente a amenazas avanzadas.
Toda la configuración de reglas se centraliza en la sección Policy Engine o Motor de Políticas, desde donde se administran:
- Reglas de firewall (entrantes, salientes e interzonas).
- Políticas de rutas: permiten redirigir tráfico específico por interfaces determinadas, como una segunda WAN (WAN2) o un túnel VPN.
- Reenvío de puertos (Port Forwarding): redirige tráfico entrante desde Internet hacia IPs internas, como cámaras IP, servidores o servicios VPN. Estas reglas crean automáticamente entradas de NAT estático.
- Reglas NAT: permiten traducir direcciones para acceso a Internet desde redes internas. Las reglas NAT por defecto no pueden ser eliminadas ni modificadas, ya que se crean automáticamente al habilitar el acceso a Internet para una red LAN o VLAN.
En NAT podemos habilitar la traducción a todas las redes o solo especificas dependiendo de nuestras necesidades.
Seguridad Avanzada
En la sección CyberSecure podemos habilitar diversas opciones de seguridad y privacidad.
La opción DNS cifrado permite aplicar DNS over HTTPS (DoH) o DNS over TLS (DoT) que permite encriptar las consultas DNS de los dispositivos con el obejetivo de tener mayor privacidad. Cuando los dispositivos de la red realizan consultas DNS para obtener la IP de un dominio, se envía en texto plano, por lo cual, cualquier dispositivo intermedio como el ISP o un atacante puede ver las direcciones que se están consultando.
Esta opción en UniFi permite que el UDM Pro o cualquier UniFi Gateway compatible:
- Use DoH o DoT para comunicarse con los servidores DNS externos (como Cloudflare 1.1.1.1, Google 8.8.8.8, NextDNS, etc.).
- Aumente la privacidad de la red: tu ISP ya no puede ver qué dominios consultan los usuarios.
- Prevenga ataques de tipo DNS spoofing o MITM, donde un atacante puede modificar la respuesta DNS si no está cifrada.
Prevención de intrusiones
En el apartado de prevención de intrusiones podemos activar el firewall avanzado IDS/IPS, según nuestros requerimientos deberemos activar el IDS o IPS, agregar las redes que queremos que sean examinadas y añadir las categorías que queremos que sean detectadas. El Instrusion Detection System (IDS) detecta el tráfico malicioso según las categorías y solo manda alertas, en cambio el Instrusion Prevesion System detecta y bloquea el tráfico malicioso.
Hola mundo !