Esta página explica qué es una red superpuesta, por qué Access Gate la utiliza y cómo se aplica en implementaciones reales.
¿Qué es la red superpuesta?
Una red superpuesta (overlay network) es una red lógica construida sobre una red física existente (la red subyacente o underlay).
- La red subyacente permanece sin cambios
- La red superpuesta introduce nuevas IPs, enrutamiento y controles de seguridad
- El tráfico se redirige a la red superpuesta solo cuando se requiere protección
Con Access Gate, la red superpuesta permite interceptar, autenticar, registrar y controlar el tráfico, sin reasignar IPs a los activos, modificar VLANs ni insertar dispositivos en línea.
Red subyacente vs. red superpuesta
| Dimensión | Red subyacente | Red superpuesta |
|---|---|---|
| Qué es | Su LAN, red OT o red de planta existente | Espacio de IP lógico propiedad de Access Gate y controlado por él |
| Direccionamiento IP | Los activos conservan sus IPs originales | Rango lógico separado (típicamente 100.64.0.0/16 CGNAT) |
| Cambios de topología | Ninguno — switches, VLANs y firewalls sin cambios | Se superpone a la red subyacente, sin recableado |
| Alcance | Transporta todo el tráfico existente | Solo las rutas de acceso protegidas |
| Modelo de seguridad | Confianza implícita dentro del segmento | Proxy con aplicación de identidad, sin conectividad directa |
Concepto clave: los activos permanecen donde están. El control de acceso ocurre en la red superpuesta.
Cómo funciona el enrutamiento superpuesto
Cada comunicación protegida tiene dos tramos: uno en la red superpuesta y otro en la red subyacente. Access Gate traduce entre ambos. En cada sesión, uno de los tramos siempre permanece en la red existente, razón por la cual los activos nunca necesitan reasignación de IP ni reubicación.
- Entrada (cliente → activo). El cliente envía un paquete con origen = su propia IP subyacente y destino = la IP superpuesta del activo. Las rutas en la red existente dirigen el tráfico destinado a la red superpuesta hacia Access Gate.
- NAT en la puerta de enlace. Access Gate termina la conexión, aplica la política y abre una nueva sesión hacia la IP subyacente del activo. El origen de esta nueva sesión es la propia IP subyacente de Access Gate (un NAT). El activo nunca ve la dirección superpuesta; desde su perspectiva, el tráfico proviene de otro dispositivo en la red subyacente.
- Salida (activo → cliente). El activo responde a la IP subyacente de Access Gate. Access Gate mapea la respuesta de vuelta a la sesión superpuesta original y la devuelve al cliente con origen = la IP superpuesta, destino = la IP subyacente del cliente.
El tramo del lado del activo siempre está en la red subyacente. La red superpuesta solo existe entre el cliente y Access Gate. Esta propiedad permite a Access Gate añadir acceso con aplicación de identidad frente a activos heredados sin modificar su direccionamiento ni la topología subyacente.
Por qué Access Gate utiliza una red superpuesta
Los enfoques de seguridad tradicionales se basan en dispositivos en línea, segmentación por VLAN o VPN planas. Estos enfoques introducen riesgos en entornos operativos.
La red superpuesta evita esos problemas:
- Sin riesgo de inserción en línea
- Access Gate no se sitúa en la ruta física del tráfico
- Sin punto único de fallo
- El tráfico de producción continúa aunque Access Gate esté fuera de línea
- Sin rediseño de red
- Sin cambios de VLAN
- Sin reasignación de IPs
- Sin reconfiguración de switches o routers más allá del enrutamiento hacia Access Gate
- Control de acceso
- Los clientes nunca se conectan directamente a los activos
- Todo el acceso protegido fluye a través del proxy de Access Gate
- La autenticación, autorización y registro se aplican de forma centralizada
Este enfoque de red superpuesta resulta especialmente valioso cuando ya existe una red en producción con configuraciones heredadas difíciles de modificar.
Qué habilita la red superpuesta
La red superpuesta permite a Access Gate aplicar:
- Acceso basado en identidad (quién puede acceder a qué)
- Permisos acotados en el tiempo y por tarea
- Proxy con reconocimiento de protocolo (HTTP, RDP, SSH, SMB, protocolos industriales)
- Registro completo de sesiones y trazabilidad
- Aislamiento o revocación rápidos sin tocar la red
Todo ello sin modificar la construcción física de su red.
Red superpuesta vs. VLANs + Firewall
| Dimensión | Segmentación por VLAN | Red superpuesta |
|---|---|---|
| Cambios en la red | Requiere rediseño | Cambios mínimos |
| Modelo de confianza | Límites estáticos | Políticas basadas en identidad |
| Auditabilidad | Difícil de auditar | Registro completo de accesos |
| Idoneidad para OT | Arriesgado | Muy adecuado |
La red superpuesta desplaza la seguridad desde la topología de red hacia la política e identidad.
Conclusión
La red superpuesta permite añadir seguridad, control y cumplimiento normativo sobre redes IT y OT existentes sin interrumpir las operaciones.
Es la base que permite a Access Gate ser:
- No intrusivo
- Sin agente
- Seguro para producción
- Alineado con los principios de NIS2, CMMC y Zero Trust