# Política de Seguridad — Consultoria-AS

> **Estado**: Parcialmente implementada  
> **Última revisión**: 9 Junio 2026

---

## Estado de Seguridad por Capa

| Capa | Estado | Detalle |
|---|---|---|
| Perimetral (Firewall) | ⚠️ Degradado | OPNsense desactivado, modem ISP como firewall |
| Host (UFW) | ✅ Parcial | Activado en servidores Ubuntu |
| Red (VLANs) | ❌ No implementado | Switch sin configurar |
| Aplicación | ⚠️ Variable | Depende del servicio |
| Datos | ⚠️ Parcial | Backups manuales |
| Acceso remoto | ❌ Inseguro | SSH con password, sin VPN |

---

## Riesgos Identificados

| Riesgo | Severidad | Mitigación Actual | Mitigación Propuesta |
|---|---|---|---|
| Sin firewall perimetral | 🔴 Alto | Modem ISP básico | Reparar OPNsense |
| SSH con password | 🔴 Alto | — | Claves SSH + fail2ban |
| IPs dinámicas sin DDNS | 🟡 Medio | Actualización manual | Cloudflare API + script |
| Sin VLANs | 🟡 Medio | Red plana | Configurar switch Cisco |
| Sin VPN | 🔴 Alto | — | WireGuard |
| Sin 2FA | 🟡 Medio | — | Habilitar en servicios críticos |
| Backup sin automatizar | 🟡 Medio | Manual | vzdump + cron |

---

## Credenciales por Defecto (Cambiar)

| Servicio | Usuario | Password | Ubicación |
|---|---|---|---|
| VMs Ubuntu 24.04 nuevas | root | Aasi940812 | TYAN LXC 200, 201, 202 |

## Recomendaciones

1. Implementar autenticación SSH por clave pública
2. Deshabilitar login root vía SSH
3. Configurar fail2ban en todos los servidores
4. Habilitar 2FA en Gitea, Proxmox
5. Configurar WireGuard VPN para acceso remoto
6. Implementar backups automatizados
7. Configurar DDNS para IP dinámica

---

*Documentación de seguridad - Consultoria-AS*