🔐 Arquitectura de Acceso Remoto (VPN)

1️⃣ ALEGORÍA + 🧠 EXPLICACIÓN TÉCNICA

🧚 Alegoría:
Imagina que trabajas en un castillo muy bien protegido (tu empresa). Pero tú, la maga real, estás de viaje. No puedes estar físicamente dentro del castillo, pero necesitas acceder al grimorio sagrado (la base de datos o servidores internos). Para lograrlo, el castillo crea un túnel mágico invisible solo para ti, que te conecta directamente al corazón del castillo.
Ese túnel es una VPN (Virtual Private Network): una conexión segura, encriptada y exclusiva que atraviesa bosques, montañas y caminos públicos (Internet) sin ser vista ni interceptada.

🧠 Explicación Técnica:
La arquitectura de acceso remoto permite a usuarios conectarse a redes internas desde ubicaciones externas utilizando VPNs. Esta conexión crea un túnel cifrado que garantiza la confidencialidad, integridad y autenticidad del tráfico.
Hay tres topologías comunes de VPN:

1. VPN de acceso remoto (Cliente a Sitio) – Ideal para teletrabajadores.

2. VPN sitio a sitio – Conecta redes enteras de dos ubicaciones distintas.

3. VPN host a host – Conexión directa entre dos equipos, útil en entornos no confiables.

Protocolos actuales:

• TLS (usado por OpenVPN)

• IPSec (ampliamente adoptado en redes empresariales)

2️⃣ EJEMPLOS PRÁCTICOS

• Una empleada de soporte técnico accede desde casa al sistema de tickets internos mediante una VPN cliente a sitio.

• Dos sucursales de una empresa comparten acceso a una base de datos común mediante una VPN sitio a sitio.

• Un analista de malware crea una VPN host a host entre su equipo de análisis y un servidor aislado para observar el comportamiento del malware sin exponer otras máquinas.

3️⃣ APLICACIONES Y HERRAMIENTAS REALES

• 🔐 OpenVPN – Open source, multiplataforma.

• 🛡️ WireGuard – Moderna, ligera y rápida.

• 🧱 IPSec/IKEv2 – Nativo en muchas soluciones empresariales (Windows, Cisco ASA).

• ☁️ VPN concentrators – Hardware dedicado como Cisco VPN 3000 o software basado como pfSense + strongSwan.

4️⃣ QUÉ HACE CADA EQUIPO

🔴 Red Team:

• Intenta comprometer la VPN explotando vulnerabilidades como:

  • Fugas de DNS

  • Protocolos obsoletos (ej. PPTP)

  • Reutilización de credenciales filtradas

  • Inyección de paquetes si el túnel no está correctamente autenticado

🔵 Blue Team:

• Configura:

  • Políticas de acceso condicional (MFA, IP conocida, horario laboral)

  • Reglas de firewall en la pasarela VPN

  • IDS/IPS detrás de la VPN Gateway para tráfico malicioso dentro del túnel

• Realiza monitoreo constante y segmentación de red (no todo el tráfico remoto accede a toda la red)

🟣 Purple Team:

• Evalúa con red team si se puede evadir la autenticación multifactor

• Valida con blue team si los registros capturan correctamente los accesos VPN

• Ajusta configuraciones en conjunto: duración de sesiones, revocación de claves, posture checking

6️⃣ ✅ Resumen práctico

Una VPN crea un túnel seguro a través de Internet, permitiendo que usuarios remotos se conecten a recursos internos como si estuvieran dentro de la red empresarial.
Existen distintos modelos (cliente a sitio, sitio a sitio, host a host) según la necesidad. La seguridad de la VPN depende del protocolo utilizado, la configuración adecuada, la autenticación fuerte, y el monitoreo activo por parte del equipo de seguridad.
El rol de la Arquitecta de Seguridad es garantizar que esta infraestructura esté diseñada bajo el principio de Zero Trust, minimizando el acceso lateral y reforzando la visibilidad.

🧪 Ejemplo 1 – Ataque: Suplantación de VPN con certificado comprometido

🔐 Nivel Avanzado

🔴 Red Team — Ataque:

Escenario: Un atacante externo obtiene un certificado de cliente comprometido mediante un ataque a un endpoint descuidado (ingeniería social, malware, etc.).
Objetivo: Acceder a la red privada simulando ser un empleado autorizado mediante una conexión VPN cliente a sitio.
Herramientas: OpenVPN, Wireshark, Responder, Certutil.

🔵 Blue Team — Defensa:

Validación estricta del certificado (CRL/OCSP).

Registro de logs detallados en la VPN Gateway con correlación de eventos inusuales (IPs, horarios, comportamiento).

Implementación de autenticación basada en atributos y revocación automática de certificados con scripts conectados al IAM.

• Herramientas: strongSwan, Microsoft NPS, OCSP Stapling, Graylog.

🟣 Purple Team — Gestión:

Verifica que el sistema de revocación de certificados (CRL/OCSP) responda en tiempo real ante la revocación.

Simula una conexión con certificado revocado para validar la política de denegación.

Evalúa la respuesta del SIEM al evento, y propone automatizaciones: por ejemplo, revocar automáticamente certificados ante eventos de "user risk high" en el IAM.

✅ Logro: Se refuerzan los mecanismos de control de identidad en entornos de acceso remoto, validando la eficacia de la revocación y monitoreo de certificados comprometidos.

🧪 Ejemplo 2 – Ataque: VPN split-tunneling para exfiltrar datos sin pasar por monitoreo interno

🔐 Nivel Experto

🔴 Red Team — Ataque:

Escenario: Un atacante con acceso a la red mediante VPN habilita split-tunneling para enviar datos sensibles a un servidor externo, evitando los sistemas de monitoreo de la empresa.
Herramientas: PowerShell, curl, rsync, Obfuscation Tools.

🔵 Blue Team — Defensa:

• Bloqueo explícito de split-tunneling en las configuraciones del cliente VPN (IPsec o OpenVPN).

• Monitorización de tráfico DNS y HTTP hacia dominios no autorizados incluso desde clientes VPN.

• Configuración de reglas específicas en NDR/NIDS para detectar comportamiento de exfiltración fuera del túnel.
  Herramientas: OpenVPN, Cisco AnyConnect, Zeek, Suricata, DNS Sinkhole.

🟣 Purple Team — Gestión:

• Simula intentos reales de split-tunneling para validar que el firewall y las políticas lo bloquean correctamente.

• Usa Zeek para analizar patrones de tráfico saliente que no pasen por el túnel y genera firmas personalizadas.

• Integra reglas de alerta en SIEM para detectar clientes VPN conectados a direcciones IP externas no autorizadas.

✅ Logro: Se protege contra la evasión del monitoreo interno mediante técnicas de túneles divididos, y se garantiza la visibilidad total del tráfico de los usuarios remotos.

🧪 Ejemplo 3 – Ataque: Pivoting tras compromiso vía VPN en red plana (movimiento lateral)

🔐 Nivel Maestro

🔴 Red Team — Ataque:

Escenario: El atacante obtiene acceso vía VPN a una red mal segmentada y usa pivoting para moverse lateralmente, accediendo a sistemas críticos sin detección inmediata.
Tácticas: Enumeración de red, explotación de servicios internos vulnerables, movimiento lateral usando credenciales recicladas o sin MFA.
Herramientas: Impacket, BloodHound, CrackMapExec, Mimikatz.

🔵 Blue Team — Defensa:

• Segmentación de red basada en zonas (Zero Trust): los clientes VPN sólo pueden acceder a servicios específicos.

• Microsegmentación + control de acceso basado en identidad (IAM + NAC).

• Detección de técnicas de movimiento lateral en tráfico VPN: RDP, SMB, WinRM.
  Herramientas: pfSense, Azure AD Conditional Access, Cisco ISE, Elastic SIEM, CrowdStrike Falcon.

🟣 Purple Team — Gestión:

• Simula un ataque de movimiento lateral paso a paso tras una conexión VPN.

• Revisa si los sistemas de detección (EDR, NDR, SIEM) lo detectan en cada fase del ataque.

• Proporciona informes sobre puntos ciegos, ajusta las reglas de detección y propone aislar clientes VPN en VLANs aisladas por perfil de riesgo.

✅ Logro: Se comprueba que incluso en escenarios donde el atacante entra por una VPN autorizada, el movimiento lateral es contenido por diseño, visibilidad y reglas activas de respuesta.