La Arquitectura de Red On-Premises (o arquitectura de red local) es el diseño de toda la infraestructura de red que está físicamente ubicada dentro de las instalaciones de una organización. Es decir, todo el hardware, software, servidores, switches, routers y firewalls están bajo el control directo de la empresa, alojados normalmente en su propio centro de datos o sala de servidores.

🧱 ¿Qué componentes incluye una arquitectura On-Premises?

▪️ Servidores físicos: para servicios como bases de datos, aplicaciones, correo interno, archivos, DNS, DHCP, etc.
▪️ Switches y routers: conectan todos los dispositivos entre sí y con Internet.
▪️ Firewall de perímetro: controla el tráfico que entra y sale de la red.
▪️ Controladores de dominio / AD: gestión de usuarios, políticas, permisos.
▪️ Sistemas de almacenamiento local (SAN/NAS): donde se alojan archivos y copias de seguridad.
▪️ Sistemas de seguridad: IDS/IPS, proxies, VPN, SIEM, etc.

🧠 Alegoría realista

Imagina que tu empresa es una ciudad amurallada:

  • Todo está dentro de la muralla (los servidores, datos y dispositivos).

  • Tú tienes las llaves de cada puerta.

  • La seguridad depende exclusivamente de ti: tú decides cuántos guardias pones, qué muros construyes, y cómo se comportan los habitantes (usuarios).

  • Si pasa algo (como un ataque o un incendio), nadie externo viene a ayudarte rápidamente, tú eres responsable de TODO.

📌 Características clave de un entorno On-Premises

▪️ Control total: la organización es 100% responsable del mantenimiento, la seguridad y la configuración.
▪️ Alta personalización: se adapta a las necesidades específicas de negocio o cumplimiento.
▪️ Coste inicial elevado: requiere comprar, instalar y mantener hardware físico.
▪️ Escalabilidad limitada: necesitas comprar más hardware si quieres crecer.
▪️ Actualizaciones manuales: los parches, nuevas versiones y mejoras deben aplicarse internamente.

🔐 Seguridad en entornos On-Premises

Aunque parece más seguro "tener todo en casa", eso solo es cierto si se gestiona bien. Muchas veces, los entornos on-prem están desactualizados o mal segmentados. Por eso es clave:

▪️ Tener segmentación de red (DMZ, VLANs, subredes).
▪️ Aplicar políticas de control de acceso.
▪️ Usar monitorización continua (SIEM).
▪️ Tener respaldo y redundancia.
▪️ Diseñar un plan de continuidad y recuperación ante desastres.

🧬 ¿Y en un mundo Zero Trust?

Aunque parezca contradictorio, el modelo Zero Trust también se aplica a redes On-Premises. Ya no se asume que porque algo esté "dentro" de la red, es confiable. Se verifica usuario, dispositivo y contexto, incluso si está conectado por cable en tu oficina.

Diseño de una arquitectura de red On-Premises corporativa, alineada con los principios de seguridad moderna, segmentación de red y el enfoque de Confianza Cero (Zero Trust Architecture - ZTA). Será escalable, segura y modular, pensada para proteger activos críticos ante amenazas internas y externas.


🏛️ Arquitectura de Red On-Premises con Confianza Cero

🔹 1. Núcleo de Infraestructura Física

▫️ Centro de Datos / Sala de Servidores
▫️ Aislamiento físico, con acceso controlado por tarjeta + CCTV.
▫️ SAI + refrigeración redundante.
▫️ Firewall físico (NGFW) en el perímetro.

▫️ Hardware principal
▫️ Servidores físicos para:
  🔸 Controladores de Dominio (AD)
  🔸 DNS/DHCP internos
  🔸 Servidor de archivos y copias de seguridad (NAS/SAN)
  🔸 SIEM + Syslog
  🔸 Hypervisor (VMware, Hyper-V, Proxmox)
  🔸 Aplicaciones críticas internas (ERP, CRM)

🔹 2. Segmentación de Red (Zonas lógicas)

Aplicamos zonas de seguridad, tipo bastiones, para reducir superficie de ataque. Cada zona se comunica solo con lo necesario.

Zona Propósito Reglas clave
🟦 Zona de Administración (MGMT) Gestión de dispositivos y sistemas Solo accesible desde estaciones SAW
🟨 Zona Servidores (SRV) Servidores internos y BBDD Segmentada, sin acceso directo desde usuarios finales
🟩 Zona de Usuario (UserLAN) Equipos de empleados Acceso restringido y autenticado a recursos
🟥 Zona DMZ Servicios expuestos (VPN, Proxy, Web) Aislamiento total del resto de zonas
🟪 Zona de Invitados (GUEST) WiFi de visitas o dispositivos externos Separada físicamente o vía VLAN sin acceso a recursos internos

🔹 3. Seguridad y Acceso (Zero Trust)

▫️ Gestión de Identidades (IAM)
▫️ Active Directory + MFA (con RADIUS o Azure AD)
▫️ Control de sesiones privilegiadas (PAM)

▫️ Microsegmentación + NAC (Network Access Control)
▫️ Autenticación 802.1X por puerto
▫️ Dispositivos categorizados por rol (empleado, contratista, IoT)
▫️ El acceso se otorga por política, no por ubicación

▫️ Firewall + IPS (NGFW)
▫️ Filtro por aplicación, puerto y contexto
▫️ Reglas distintas para cada zona
▫️ Inspección TLS (SSL offloading si procede)

▫️ Endpoint Protection (EDR)
▫️ En todos los dispositivos con agente EDR/XDR
▫️ Detección de comportamiento anómalo

🔹 4. Supervisión y Respuesta

▫️ SIEM centralizado
▫️ Recoge logs de firewall, AD, endpoints, red, VPN, correo, etc.
▫️ Correlación de eventos y alertas automáticas
▫️ Dashboards de riesgo y cumplimiento

▫️ NDR (Network Detection & Response)
▫️ Análisis de tráfico lateral y comportamiento de red
▫️ Detección de beaconing, movimientos laterales y exfiltración

▫️ Plan de Respuesta ante Incidentes (IRP)
▫️ Playbooks definidos por tipo de amenaza
▫️ Simulacros periódicos (Tabletop y Red Team)

🔹 5. Acceso Remoto Seguro

▫️ VPN IPSec o SSL con MFA
▫️ Acceso por rol
▫️ Logueo centralizado
▫️ Autenticación de dispositivo + usuario

▫️ Jump Server / Bastion Host
▫️ Único punto de entrada a servidores críticos
▫️ Auditoría de comandos y sesiones

▫️ Estaciones Administrativas Seguras (SAW)
▫️ Equipos limpios, sin acceso a Internet
▫️ Solo usados para gestión de red/sistemas

🔹 6. Copias de Seguridad y Continuidad

▫️ Backups automáticos diarios
▫️ Almacenados en:
  🔸 On-prem (NAS)
  🔸 Off-site cifrado (almacenamiento físico externo)
▫️ Verificación y test de restauración
▫️ Encriptación en tránsito y reposo

▫️ Alta disponibilidad para servicios críticos
▫️ Clustering o réplicas activas
▫️ Balanceo de carga (HAProxy, F5)

🔹 7. Integración Cloud (Modelo híbrido)

▫️ Controla acceso desde y hacia la nube
▫️ Aplica políticas de confianza cero para:
  🔸 Office 365
  🔸 Servicios SaaS
  🔸 Entornos IaaS (Azure, AWS)
▫️ SIEM integrado con logs cloud
▫️ Identity Federation (SSO + MFA)

🎯 Resultado final

Con esta arquitectura On-Premises moderna:

✅ Aíslo los activos críticos en zonas segmentadas.
✅ Aplico controles de identidad, red y dispositivo (ZTA).
✅ Detecto amenazas en tiempo real con SIEM + NDR.
✅ Tengo planes de contingencia, recuperación y respuesta.
✅ Extiendo de forma segura hacia entornos híbridos o cloud.

🟣 Ejercicios Purple Team – Arquitectura On-Premises

⚔️ Nivel Avanzado – Ataque al perímetro clásico

🟥 Red Team:

Simulo un escaneo de red desde el exterior buscando puertos abiertos en el firewall perimetral (TCP SYN scan + Nmap NSE). Intento explotar un servicio web legacy expuesto en el puerto 8080 sin WAF.

🟦 Blue Team:

Configuro el firewall perimetral para cerrar todos los puertos no necesarios (Zero Trust inbound). Aplico WAF + reverse proxy frente al servicio web expuesto, y habilito alertas en el SIEM para escaneos de puertos.

🟪 Purple Team:

Correlaciono logs de Nginx, firewall y SIEM para detectar comportamiento anómalo en servicios no estándar (8080). Simulo tráfico legítimo vs. tráfico de escaneo para ajustar el umbral de detección. Evalúo si la respuesta automática del IDS bloquea correctamente.


⚔️ Nivel Experto – Movimiento lateral tras comprometer un host

🟥 Red Team:

Consigo acceso a una máquina Windows vía RDP usando credenciales filtradas. Uso SharpHound para mapear Active Directory y muevo lateralmente con PsExec hacia un controlador de dominio mal segmentado.

🟦 Blue Team:

Segmento la red creando VLANs separadas entre usuarios y controladores de dominio. Activo reglas de detección para herramientas de post-explotación. Registro todos los intentos de RDP y uso de herramientas de administración remota (Sysmon + ELK).

🟪 Purple Team:

Valido si la segmentación impide el movimiento lateral. Corro simulaciones con BloodHound desde cuentas no privilegiadas para ver el verdadero camino hacia el dominio. Integro alertas con MITRE ATT&CK (T1075, T1021.002).


⚔️ Nivel Maestro – Ataque silencioso desde dentro + desactivación de backups

🟥 Red Team:

Accedo a la red local como insider (consultor malicioso). Identifico el servidor NAS que gestiona copias de seguridad. Inyecto ransomware en el servidor principal, y borro los respaldos en el NAS vía SMBv1 desprotegido.

🟦 Blue Team:

Activo autenticación multifactor para todo acceso a backups. Aislo físicamente el servidor NAS mediante VLAN y solo accedible por scripts de copia. Implemento versiones inmutables y alertas SIEM sobre accesos inusuales vía SMB.

🟪 Purple Team:

Simulo eliminación de backups y evalúo si se genera una alerta. Verifico si el equipo responde rápido para activar el plan de recuperación. Corrijo permisos NTFS/Samba y aplico detección de ransomware en backups con firmas y anomalías de compresión.


🧠 Reflexión de Arquitecta Purple Team

Diseñar entornos On-Premises no es solo "levantar servidores". Es crear una ciudad fortificada donde cada edificio, calle y habitante tienen reglas, alarmas y rutas de evacuación.

Como arquitecta Purple Team:

  • Visualizo el recorrido del atacante desde fuera y dentro.

  • Identifico cuellos de botella de defensa y hardening sin afectar operaciones.

  • Alineo monitoreo + segmentación + backup en un todo armónico.

  • Y sobre todo: desconfío de todo. Incluso de lo que parece estar dentro.

Purple Mystara - Cristina Martínez Girol
Todos los derechos reservados 2025
Creado con Webnode Cookies
¡Crea tu página web gratis! Esta página web fue creada con Webnode. Crea tu propia web gratis hoy mismo! Comenzar