C5 redes
Actualizado: 7 de marzo de 2026
C5 — Reto Tecnico: Ingenieria de Redes#
Cargo: Ingenieria de Redes Tipo de reto: Practico y presencial Equipamiento: Router TP-Link ER7206, APs EAP245/EAP225, switch manageable TL-SG3428, Starlink, modem LTE, cableado UTP Cat6, Wireshark, nmap Contexto operativo: Brigadas moviles que montan y desmontan infraestructura de red en cada ubicacion. Zonas urbanas y rurales, publico variable (30-200 personas), condiciones impredecibles. Metodologia de evaluacion: Ver 00-metodologia-evaluacion.md
1. Contexto del Reto#
El reto para Redes es practico y presencial, con equipamiento real del proyecto de brigadas.
1.1 Realidad operativa de las brigadas#
Las brigadas de INDOTEL se desplazan a comunidades en todo el territorio dominicano. Cada ubicacion es diferente:
- Montaje rapido: llegan al sitio, montan todo, y deben estar operativos en < 30 minutos
- Condiciones variables: espacios abiertos, canchas techadas, iglesias, escuelas, centros comunales
- Conectividad incierta: Starlink necesita cielo abierto (no funciona bajo techo metalico), LTE puede no tener cobertura en zonas rurales
- Publico real: personas con dispositivos variados — Android 8+, iPhones viejos, laptops, tablets. El captive portal debe funcionar en todos
- Incidentes en vivo: cables que se desconectan, equipos que se reinician, interferencia de otras redes locales, sobrecarga por muchas conexiones simultaneas
- Desmontaje ordenado: al terminar, desmontar todo sin perder configuracion, dejar equipos listos para la siguiente brigada
El candidato debe demostrar que entiende este contexto, no solo que sabe configurar un router en un escritorio.
1.2 Preparacion del espacio de evaluacion#
- Mesa de trabajo con equipamiento etiquetado
- Laptop con Wireshark, nmap, iperf3, speedtest-cli, y utilidades de red instaladas
- Generador de carga: script que simula 30+ dispositivos conectados (via herramientas o VMs)
- Acceso a documentacion del fabricante (manuales TP-Link, etc.)
- Evaluador presente observando y cronometrando
- Segundo evaluador (o script automatizado) inyectando incidentes durante retos avanzados
1.3 Reglas#
- Puede consultar documentacion (manuales, man pages). No puede pedir ayuda a terceros
- Debe explicar lo que hace al evaluador (comunicacion es criterio evaluado)
- Puede pedir clarificacion al evaluador sobre el enunciado, no sobre la solucion
- Debe tratar cada equipo como si fuera produccion: no dejar passwords por defecto, no dejar puertos abiertos innecesarios
2. Retos por Nivel — Resumen#
| # | Reto | Foco | Tiempo | Pts | Nivel |
|---|---|---|---|---|---|
| R1 | Configurar router dual-WAN + hardening basico | Conectividad + seguridad basica | 30 min | 25 | N1-N2 |
| R2 | VLANs con aislamiento y seguridad | Segmentacion + ACLs + captive portal | 35 min | 25 | N2-N3 |
| R3 | Diagnostico con Wireshark (incluye amenazas) | Analisis de trafico + deteccion de anomalias | 25 min | 20 | N3 |
| R4 | Diseno de red mesh para espacio movil | Cobertura + roaming + montaje rapido | 30 min | 20 | N3-N4 |
| R5 | Stress test y estabilidad bajo carga | Saturacion + degradacion + recovery | 25 min | 20 | N3-N4 |
| R6 | Despliegue movil completo con incidentes en vivo | Todo junto + edge cases + resolucion bajo presion | 60 min | 30 | N4 |
| R7 | Redundancia, failover y plan de recuperacion | Arquitectura + documentacion + viabilidad | 45 min | 25 | N4 |
Total posible: 165 pts (nadie los hace todos — depende del nivel).
3. Detalle de cada Reto#
R1 — Configurar router dual-WAN + hardening basico (N1-N2)#
Material entregado:
- Router TP-Link ER7206 (reseteado a fabrica)
- Starlink conectada por ethernet
- Modem LTE con SIM activa
- Cables UTP Cat6 etiquetados
Tareas esperadas:
- Conectar Starlink a WAN1, LTE a WAN2
- Acceder al panel del router (192.168.0.1)
- Cambiar credenciales por defecto (admin/admin → password fuerte)
- Configurar WAN balancing: prioridad Starlink, failover a LTE
- Configurar health check de WAN: ping a 8.8.8.8 y 1.1.1.1 cada 10s, 3 fallos = failover
- Probar: desconectar cable Starlink y verificar que LTE toma en < 30 segundos
- Reconectar Starlink y verificar failback
- Hardening basico:
- Deshabilitar UPnP
- Deshabilitar gestion remota (WAN side)
- Cambiar puerto de admin (no 80/443 default)
- Deshabilitar PING desde WAN
- Configurar NTP (hora correcta para logs)
Criterios de evaluacion R1:
| Criterio | Pts | Descripcion |
|---|---|---|
| Dual-WAN funcional con failover | 8 | Desconectar Starlink → LTE toma en < 30s |
| Health check con ping externo | 2 | No solo link-down, valida con ping a 2+ destinos |
| Failback funcional | 2 | Reconectar Starlink → vuelve a ser primaria |
| Cambio de credenciales | 3 | Si deja admin/admin → descalifica |
| Hardening (UPnP, WAN mgmt, ping WAN) | 4 | Al menos 3 de 5 items de hardening |
| Configuracion de NTP | 1 | Hora correcta para correlacion de logs |
| Comunicacion y proceso | 2 | Explica lo que hace, sigue orden logico |
| Tiempo (< 30 min) | 3 | Penalizacion progresiva: -1 por cada 5 min extra |
Red flags (descalifican):
- Dejar credenciales por defecto en el router
- Dejar gestion remota habilitada por WAN
- No probar el failover (declarar listo sin verificar)
R2 — VLANs con aislamiento, ACLs y captive portal (N2-N3)#
Material entregado:
- Switch manageable (TP-Link TL-SG3428 o similar)
- 3 laptops etiquetadas: "Brigada" (VLAN 10), "Gestion" (VLAN 20), "IoT" (VLAN 30)
- Router configurado con internet (de R1 o preconfigurado)
- Servidor captive portal pre-instalado en un Mini-PC
Esquema esperado:
| VLAN | ID | Subred | Proposito | Internet | Acceso entre VLANs | Seguridad |
|---|---|---|---|---|---|---|
| Brigada | 10 | 192.168.10.0/24 | Captive portal, publico | Via captive portal | Aislada | Rate limit, filtro DNS |
| Gestion | 20 | 192.168.20.0/24 | Admin, VPN, monitoring | Directo | Accede a todas | SSH only, sin HTTP panel |
| IoT | 30 | 192.168.30.0/24 | Sensores, camaras | Limitado (solo API) | Aislada | Solo puertos especificos |
Tareas esperadas:
- Crear VLANs en el switch con tagging correcto
- Asignar puertos a cada VLAN
- Verificar aislamiento: laptop "Brigada" no puede hacer ping a laptop "Gestion"
- Verificar que "Gestion" si puede alcanzar a las demas
- Configurar ACLs en el switch: no solo depender del VLAN tagging
- Configurar DHCP server por VLAN (o relay al router)
- Verificar captive portal: laptop "Brigada" al abrir browser ve pagina de registro antes de navegar
- Cambiar credenciales del switch (no dejar default)
- Documentar: tabla de VLANs + diagrama + puertos asignados
Criterios de evaluacion R2:
| Criterio | Pts | Descripcion |
|---|---|---|
| VLANs creadas y funcionales | 4 | Las 3 VLANs existen con conectividad interna |
| Aislamiento real verificado | 4 | Ping cross-VLAN bloqueado (no solo "deberia funcionar" — lo demuestra) |
| ACLs configuradas | 3 | No depende solo de VLAN tag; ACL en switch o firewall rules en router |
| VLAN 20 (gestion) accede a todas | 2 | Admin puede alcanzar todos los segmentos |
| Captive portal funcional | 3 | Laptop Brigada ve portal al intentar navegar |
| DHCP por VLAN | 2 | Cada VLAN tiene su rango, no hay conflicto de IPs |
| Credenciales del switch cambiadas | 2 | Si deja default → -2 pts |
| Documentacion (tabla + diagrama) | 3 | Diagrama legible, tabla con puertos y VLANs |
| Tiempo (< 35 min) | 2 | Penalizacion progresiva |
Red flags:
- Aislamiento que no funciona en la practica (solo en teoria)
- Captive portal bypasseable con DNS manual
- Credenciales default en switch
R3 — Diagnostico con Wireshark (incluye amenazas de seguridad) (N3)#
Escenarios preparados (el candidato no sabe cual le toca):
El evaluador configura uno de estos escenarios de rendimiento y uno de seguridad:
Escenarios de rendimiento (1 de 3):
- A: DNS lento — DNS primario apunta a servidor que no responde (timeout 5s antes de fallback)
- B: MTU incorrecto — MTU en 576 bytes causando fragmentacion excesiva, paginas grandes no cargan
- C: Broadcast storm — Loop entre dos puertos del switch, red saturada
Escenarios de seguridad (1 de 3):
- D: Rogue DHCP — Un segundo servidor DHCP responde antes que el oficial, asigna gateway incorrecto
- E: ARP spoofing — Un dispositivo esta haciendo ARP poisoning, interceptando trafico del gateway
- F: DNS hijacking — Un dispositivo responde a queries DNS con IPs falsas (redirecciona a sitio malicioso)
El candidato debe encontrar AMBOS problemas.
Criterios de evaluacion R3:
| Criterio | Pts | Descripcion |
|---|---|---|
| Identifica problema de rendimiento | 4 | Describe causa raiz correctamente |
| Identifica problema de seguridad | 5 | Describe la amenaza y su impacto |
| Proceso de diagnostico logico | 3 | Empieza por basico (ping, arp -a, nslookup) antes de Wireshark |
| Uso efectivo de Wireshark | 3 | Filtros correctos, captura enfocada, no "captura todo y reza" |
| Resuelve ambos problemas | 2 | Corrige configuracion Y neutraliza amenaza |
| Propone prevencion | 2 | Sugiere como evitar que vuelva a pasar (DHCP snooping, port security, etc.) |
| Tiempo (< 25 min) | 1 | Ambos problemas resueltos en tiempo |
Bonificaciones:
| Item | Pts |
|---|---|
| Identifica MAC del atacante en el escenario de seguridad | +2 |
| Configura DHCP snooping o port security como mitigacion | +2 |
| Guarda captura .pcap con anotaciones/bookmarks | +1 |
R4 — Diseno de red mesh para espacio movil (N3-N4)#
Material entregado:
- Plano impreso del espacio (500m2 con paredes, pilares, areas abiertas)
- Fichas de APs disponibles (EAP245 v3, EAP225) con specs de cobertura y throughput
- Informacion adicional: "la brigada se monta en 2 horas y se desmonta en 1 hora. Los APs se montan con tripodes portatiles, no se atornillan a la pared."
- Lapiz, regla, marcadores de colores
Diferencia con un diseno estatico: El candidato debe pensar en portabilidad y montaje rapido, no solo en cobertura perfecta.
Entregable esperado:
- Plano con ubicacion de cada AP + justificacion de por que ahi
- Asignacion de canales (1, 6, 11 en 2.4GHz; canales en 5GHz) sin solapamiento
- Cobertura estimada con areas coloreadas
- Plan de montaje: orden de instalacion, cuanto tarda, que se valida primero
- Consideraciones de movilidad:
- APs en tripodes: como evitar que se caigan o los muevan accidentalmente
- Cableado temporal: canaletas portatiles o proteccion de cables en piso
- Que pasa si el espacio real es diferente al plano (columnas extra, muebles)
- Configuracion de roaming 802.11r para handoff sin corte
- SSID unico para todo el mesh (no un SSID por AP)
Criterios de evaluacion R4:
| Criterio | Pts | Descripcion |
|---|---|---|
| Cobertura completa sin zonas muertas | 4 | Areas criticas cubiertas, solapamiento razonable entre APs |
| Canales sin interferencia | 3 | APs adyacentes en canales no solapados, usa 5GHz donde puede |
| Cantidad razonable de APs | 2 | Justifica la cantidad (no 1 para 500m2 ni 10 innecesarios) |
| Consideracion de obstaculos | 2 | Paredes, pilares, materiales (metal atenua mas que drywall) |
| Plan de montaje y portabilidad | 3 | Orden de instalacion, proteccion de cables, tripodes |
| Adaptabilidad | 2 | Que hacer si el espacio es diferente al plano |
| Roaming 802.11r | 2 | Fast roaming configurado, SSID unico |
| Documentacion clara | 2 | Tabla + plano legible + leyenda |
Bonificaciones:
| Item | Pts |
|---|---|
| Incluye plan de canales en 5GHz ademas de 2.4GHz | +2 |
| Calcula throughput esperado por zona (no solo cobertura) | +1 |
| Propone kit de herramientas para verificacion rapida post-montaje | +1 |
R5 — Stress test y estabilidad bajo carga (N3-N4)#
Este reto no existia antes. Las brigadas atienden a decenas de personas simultaneamente — hay que probar que la red aguanta.
Material entregado:
- Red ya configurada (de retos anteriores o preconfigurada)
- Herramientas: iperf3, stress-ng, hping3, macchanger, script generador de clientes simulados
- 5+ dispositivos fisicos (phones, tablets, laptops) para test real
- Script que simula 30 clientes DHCP simultaneos
Tareas esperadas:
- Baseline: medir throughput y latencia con la red descargada (iperf3 entre VLAN 10 y gateway)
- Carga progresiva: activar script de 30 clientes simulados + 5 dispositivos reales
- Medir degradacion: throughput, latencia, packet loss bajo carga
- Detectar punto de quiebre: cuantos clientes soporta antes de degradacion inaceptable (> 500ms latencia o > 5% packet loss)
- Recovery: despues de saturacion, cuanto tarda la red en volver a estado normal al reducir carga
- Edge cases de estabilidad:
- Desconectar y reconectar un AP mientras hay clientes conectados → los clientes migran al otro AP?
- Reiniciar el router durante operacion → cuanto tarda en volver? los clientes se reconectan solos?
- Conectar un cable en loop (broadcast storm accidental) → el switch tiene proteccion? cuanto tarda en detectarlo?
- Un dispositivo pidiendo IPs constantemente (DHCP flood) → se queda sin IPs el pool?
Criterios de evaluacion R5:
| Criterio | Pts | Descripcion |
|---|---|---|
| Baseline medido correctamente | 3 | Throughput y latencia documentados antes de carga |
| Carga aplicada y medida | 3 | 30+ clientes activos, metricas capturadas |
| Punto de quiebre identificado | 3 | Sabe cuantos clientes soporta y con que degradacion |
| Recovery time medido | 2 | Cuanto tarda en volver a normal despues de saturacion |
| Edge cases probados | 5 | Al menos 3 de 4 edge cases ejecutados con resultado documentado |
| Propone mitigaciones | 2 | Rate limiting, DHCP guard, storm control, cliente max por AP |
| Documentacion de resultados | 2 | Tabla con metricas: baseline vs carga vs saturacion vs recovery |
Ejemplo de tabla de resultados esperada:
| Metrica | Baseline (0 clientes) | 15 clientes | 30 clientes | 50 clientes | Recovery |
|---|---|---|---|---|---|
| Throughput (Mbps) | 95 | 78 | 52 | 28 | 90 (45s) |
| Latencia (ms) | 4 | 12 | 85 | 450 | 8 (60s) |
| Packet loss (%) | 0 | 0 | 0.3 | 8.2 | 0 (60s) |
| DHCP lease time (s) | 0.2 | 0.5 | 1.2 | timeout | 0.3 |
Red flags:
- No medir baseline antes de aplicar carga (no tiene punto de comparacion)
- Declarar "funciona" sin metricas cuantitativas
- No probar recovery (la brigada necesita volver a operar rapido despues de un incidente)
R6 — Despliegue movil completo con incidentes en vivo (N4)#
La prueba definitiva: simular una brigada real con todo lo que puede salir mal.
Escenario:
El candidato llega a un espacio preparado (salon grande o area techada) y debe:
- Montar la red completa desde cero: router, switch, 2+ APs, cableado, VPN
- Ponerla operativa para atender a 20 personas simuladas (evaluadores con dispositivos)
- Resolver incidentes inyectados en vivo por el segundo evaluador (sin previo aviso)
- Desmontar al final, dejando todo embalado y listo para la siguiente brigada
Cronograma:
| Fase | Tiempo | Descripcion |
|---|---|---|
| Montaje | 20 min | Rack portatil, cables, router, switch, APs, verificacion |
| Operacion | 25 min | 20 personas conectadas, captive portal, navegacion |
| Incidentes | (durante operacion) | 3-4 incidentes inyectados sin aviso |
| Desmontaje | 15 min | Todo embalado, rotulado, listo para transporte |
Incidentes que el evaluador puede inyectar (3-4 de estos):
| Incidente | Que pasa | Que esperamos |
|---|---|---|
| Cable WAN desconectado | Internet se cae | Detecta en < 2 min, reconecta, verifica failover |
| AP se "cae" (evaluador lo apaga) | Zona sin cobertura | Detecta, reasigna clientes, comunica al publico |
| Loop de cable (broadcast storm) | Red saturada | Identifica el loop, desconecta el cable, verifica recovery |
| Starlink sin cielo abierto | Starlink no conecta | Detecta el problema (sin linea de vista), reubica o usa solo LTE |
| Dispositivo viejo no conecta al portal | Usuario frustrado | Diagnostica (Android 7? HTTPS issue?), ofrece alternativa |
| DHCP pool agotado | Nuevos dispositivos no obtienen IP | Detecta, amplia pool o reduce lease time |
| Password del router olvidada | No puede acceder al panel | Tiene procedimiento documentado o backup de config |
| Interferencia Wi-Fi | Canal saturado por red vecina | Cambia canal, verifica mejora con scanner Wi-Fi |
Criterios de evaluacion R6:
| Criterio | Pts | Descripcion |
|---|---|---|
| Montaje funcional en < 20 min | 5 | Red operativa, captive portal funcional, VPN conectada |
| Hardening durante montaje | 3 | Cambio de passwords, servicios innecesarios deshabilitados, VLANs activas |
| Atencion a 20 personas | 4 | Todos navegan via captive portal, sin quejas mayores |
| Resolucion de incidentes (3-4) | 8 | Detecta rapido, diagnostica correctamente, resuelve sin panico |
| Comunicacion bajo presion | 3 | Explica al publico "estamos resolviendo", no se paraliza |
| Desmontaje ordenado | 3 | Todo embalado, cables enrollados, equipos rotulados, config respaldada |
| Documentacion post-brigada | 2 | Anota incidentes, soluciones, y que mejorar para la proxima |
| Seguridad mantenida durante incidentes | 2 | No desactiva seguridad "para que funcione rapido" (ej: no pone CORS * equivalente en red) |
Red flags (descalifican o penalizan severamente):
- Desactivar VLANs o firewall para "resolver rapido" un problema
- Dejar passwords default porque "despues lo cambio"
- Panico visible que afecta la operacion (no comunicar, gritar, abandonar)
- No tener plan de desmontaje (dejar cables tirados, equipos sin rotular)
R7 — Redundancia, failover y plan de recuperacion (N4)#
Material entregado:
- Pizarra blanca o papel grande
- Acceso a todos los equipos de los retos anteriores
- Documentacion de Netbird (VPN mesh)
- Tiempo extendido: 45 minutos
Entregable esperado:
-
Diagrama de arquitectura completo que incluya:
- WAN primaria (Starlink) y secundaria (LTE)
- VPN Netbird conectando al servidor central
- VLANs con seguridad
- Fallback: si VPN y WAN caen, operacion local con sincronizacion posterior
- Mecanismo de deteccion de fallo (no solo "poner dos WANs")
-
Tabla de failover con edge cases de brigadas:
| Escenario | Deteccion | Failover | Tiempo | Accion | Impacto en usuarios |
|---|---|---|---|---|---|
| Starlink cae (nube/techo) | Health check ping | LTE toma automaticamente | < 30s | Ninguna | Breve corte, reconexion automatica |
| Starlink + LTE caen (zona sin cobertura) | Ambos health checks fallan | Modo offline local | Inmediato | App funciona con datos locales | Pueden registrarse pero datos sincn despues |
| VPN Netbird cae | Monitor de tunel | ngrok como fallback | < 2 min | Script automatico | Sin impacto si hay internet |
| VPN + WAN caen | Todo offline | Modo isla con sync posterior | Inmediato | Logs locales, sync al volver | Operacion continua, datos se suben despues |
| AP principal falla | Clientes pierden conexion | Roaming a AP secundario | < 10s | 802.11r handoff | Corte breve, transparente |
| Switch falla | Toda la red cae | No hay failover de switch | Manual | Bypass: conectar todo directo al router (sin VLANs) | Pierde segmentacion, pero opera |
| Router falla | Todo cae | No hay failover | Manual | Router backup pre-configurado (si disponible) | 5-10 min de downtime |
| Corte de luz | Todo cae | UPS da 15-30 min | Inmediato | Guardar estado, notificar equipo, desmontaje ordenado si UPS < 15 min | Operacion limitada por bateria |
-
Implementacion parcial: configurar failover WAN + VPN + modo offline en equipo real
-
Plan de recuperacion post-incidente:
- Checklist de verificacion despues de una caida total
- Orden de encendido (router primero, luego switch, luego APs)
- Verificacion: internet → VPN → VLANs → captive portal → sync de datos
- Tiempo estimado de recovery total: < 10 minutos
-
Consideraciones de seguridad en failover:
- Al caer VPN, el fallback (ngrok) es seguro? TLS? Autenticacion?
- En modo offline, los datos locales estan encriptados?
- Al hacer sync posterior, como se resuelven conflictos?
- Bypass de switch (sin VLANs): que riesgos abre y como mitigarlos temporalmente?
Criterios de evaluacion R7:
| Criterio | Pts | Descripcion |
|---|---|---|
| Diagrama completo y correcto | 5 | Todos los componentes, conexiones, flujos de failover |
| Tabla de failover con edge cases reales | 5 | No solo "Starlink cae". Incluye switch falla, corte de luz, zona sin cobertura |
| Implementacion parcial funcional | 4 | Al menos dual-WAN + VPN funcionando en equipo real |
| Plan de recuperacion viable | 3 | Pasos claros, tiempos realistas, checklist de verificacion |
| Seguridad durante failover | 3 | Analiza riesgos de cada modo degradado (ngrok seguro? offline encriptado?) |
| Consideracion de presupuesto | 2 | Propuestas viables con el equipo disponible, no pide hardware fantastico |
| Viabilidad general | 3 | Un ingeniero de redes puede implementar esto en la vida real |
4. Edge Cases de Brigadas Moviles — Referencia para Evaluadores#
Esta seccion documenta situaciones reales que han ocurrido o pueden ocurrir en brigadas. Los retos R5 y R6 estan disenados para evaluar estas situaciones.
4.1 Conectividad#
| Edge case | Frecuencia | Impacto | Mitigacion esperada |
|---|---|---|---|
| Starlink sin linea de vista al cielo | Comun en interiores | Sin internet primario | Detectar rapido, reubicar antena o depender de LTE |
| LTE sin cobertura | Comun en zonas rurales | Sin internet secundario | Modo offline. Tener mapa de cobertura antes de ir |
| Ambas WANs caen simultaneamente | Raro pero posible | Modo isla | App local funciona, sync posterior |
| Latencia alta (> 500ms) por saturacion Starlink | Intermitente | App lenta, timeouts | Rate limiting por usuario, priorizacion de trafico |
4.2 Dispositivos del publico#
| Edge case | Frecuencia | Impacto | Mitigacion esperada |
|---|---|---|---|
| Android 7 o inferior no muestra captive portal | Comun | Usuario no puede conectarse | Pagina de fallback en HTTP, no solo HTTPS. Instrucciones manuales |
| iPhone con Private Relay activo | Comun en iPhones nuevos | Captive portal no intercepta | Documentar instruccion para desactivar Private Relay |
| Dispositivo con DNS over HTTPS (DoH) | Creciente | Captive portal bypasseado | DNS filtering a nivel de firewall, no solo DNS redirect |
| 50+ dispositivos simultaneos | Cada brigada grande | DHCP pool agotado, AP saturado | Pool amplio (/22 o mayor), lease time corto (1h), max clients por AP |
| Dispositivo que se queda con IP de otra VLAN | Raro | Acceso cruzado no autorizado | DHCP snooping, ARP inspection, lease time corto |
4.3 Hardware y fisico#
| Edge case | Frecuencia | Impacto | Mitigacion esperada |
|---|---|---|---|
| Cable pisado/desconectado por publico | Comun | Segmento de red cae | Canaletas portatiles, cinta adhesiva, cables por alto si posible |
| Tripode de AP se cae | Ocasional | Zona sin cobertura | Base pesada o sandbag. Ubicacion lejos de trafico |
| Reset accidental del router (boton fisico) | Raro | Toda la config se pierde | Backup de config exportada. Desactivar boton reset si el equipo lo permite |
| Corte de luz | Variable | Todo se apaga | UPS portatil para equipos criticos. Procedimiento de shutdown |
| Calor extremo en equipo al sol | Comun en exteriores | Equipo se apaga por proteccion termica | Sombra, ventilacion, no apilar equipos |
4.4 Seguridad en campo#
| Edge case | Frecuencia | Impacto | Mitigacion esperada |
|---|---|---|---|
| Alguien intenta acceder al panel del router | Posible | Configuracion comprometida | Password fuerte + puerto no default + solo desde VLAN gestion |
| Rogue AP (alguien pone su propio AP en la red) | Raro pero posible | Man-in-the-middle, confusion | 802.1X en puertos del switch, wireless IDS si disponible |
| Persona intenta descargar contenido ilegal via la red | Posible | Responsabilidad legal | DNS filtering (bloquear categorias), logs de acceso, politica de uso en captive portal |
| Dispositivo infectado entra a la red | Comun | Propagacion lateral, ARP spoofing | VLANs aisladas, client isolation en AP, no hay trafico directo entre clientes |
5. Sprint Planning — Que completar segun tu nivel#
| Reto | N1 Junior | N2 Semi-Senior | N3 Senior | N4 Arquitecto |
|---|---|---|---|---|
| R1 Dual-WAN + hardening | Obligatorio | Obligatorio | Obligatorio | Obligatorio |
| R2 VLANs + ACLs + captive | — | Obligatorio | Obligatorio | Obligatorio |
| R3 Wireshark + amenazas | — | — | Obligatorio | Obligatorio |
| R4 Mesh movil | — | — | Obligatorio | Obligatorio |
| R5 Stress test + estabilidad | — | — | Obligatorio | Obligatorio |
| R6 Despliegue movil + incidentes | — | — | — | Obligatorio |
| R7 Redundancia + failover + recovery | — | — | — | Obligatorio |
6. Timebox#
| Nivel | Tiempo total | Retos | Expectativa |
|---|---|---|---|
| N1 — Junior | 30 min | R1 | Dual-WAN con failover + hardening basico. No deja defaults |
| N2 — Semi-Senior | 65 min | R1 + R2 | Dual-WAN + VLANs con aislamiento real + ACLs + captive portal |
| N3 — Senior | 120 min | R1-R5 | Todo anterior + diagnostico Wireshark (rendimiento + seguridad) + mesh movil + stress test |
| N4 — Arquitecto | 225 min (~4h) | R1-R7 | Todo anterior + despliegue en vivo con incidentes + redundancia documentada |
7. Evaluacion General — Criterios de Peso#
| Criterio | Peso | Descripcion |
|---|---|---|
| Resultado tecnico | 30% | La configuracion funciona? Los problemas se resolvieron? |
| Seguridad | 20% | Credenciales cambiadas? Hardening aplicado? Amenazas detectadas? |
| Proceso y metodologia | 15% | Siguio proceso logico o fue prueba-error sin rumbo? |
| Estabilidad y edge cases | 15% | Probo bajo carga? Considero escenarios de brigada movil? |
| Comunicacion | 10% | Explico, pidio clarificacion, mantuvo calma bajo presion? |
| Documentacion | 10% | Deja algo util para el siguiente ingeniero? |
Cambio vs version anterior: Seguridad y estabilidad ahora tienen peso explicito (35% combinado). Antes era solo "resultado tecnico" generico.
8. Entregables#
| # | Entregable | Descripcion | Obligatorio |
|---|---|---|---|
| E1 | Configuracion funcional | Equipos configurados, hardening aplicado, funcionando | Si |
| E2 | Documentacion de VLANs y seguridad | Tabla de VLANs, ACLs, passwords cambiados, ports | Si para N2+ |
| E3 | Capturas de Wireshark (.pcap) | Con anotaciones/bookmarks identificando problema y amenaza | Solo N3+ |
| E4 | Plano de cobertura mesh con plan de montaje | Ubicacion de APs, canales, orden de montaje, portabilidad | Solo N3+ |
| E5 | Reporte de stress test | Tabla de metricas: baseline vs carga vs saturacion vs recovery | Solo N3+ |
| E6 | Log de incidentes del despliegue | Que paso, como lo resolvio, cuanto tardo, que mejorar | Solo N4 |
| E7 | Diseno de redundancia completo | Diagrama + tabla failover con edge cases + plan recovery + analisis de seguridad | Solo N4 |
Reto especifico para C5 — Redes. Para la rubrica general y metodologia, ver 00-metodologia-evaluacion.md