ATRIBUTOS DEL DISPOSITIVO

1️⃣ Explicación en profundidad

📌 ¿Qué son los "atributos del dispositivo"?

Son las características que definen cómo se comporta un dispositivo de seguridad en una red, y determinan:

  • Dónde se coloca (topología),

  • Cómo interactúa con los datos (activo vs pasivo),

  • Cómo responde ante fallos (apertura o cierre),

  • Cómo monitoriza el tráfico (TAP vs SPAN).

📎 Activo vs Pasivo

  • Dispositivo pasivo:
    Observa sin interactuar ni modificar el tráfico.
    Ejemplo: Sensor IDS conectado a un puerto espejo.
    🧠 Analogía: Como una cámara de seguridad invisible que graba sin que lo sepas.

  • Dispositivo activo:
    Interactúa, filtra, o necesita credenciales.
    Ejemplo: Firewall, proxy, antivirus, EDR.
    🧠 Analogía: Como un guardia de seguridad que revisa bolsos y decide si entras o no.

📎 En línea vs Monitorización (TAP / SPAN)

  • Dispositivo en línea:
    El tráfico debe pasar a través de él.
    🧠 Ejemplo: Firewall, balanceador de carga.
    → Pros: Control total.
    → Contras: Punto único de fallo.

  • TAP (Test Access Point):
    Copia todo el tráfico físico, incluso corrupto o malformado.
    → Ideal para IDS o análisis forense profundo.

  • SPAN (Switch Port Analyzer / Puerto espejo):
    El switch copia el tráfico a un puerto de análisis.
    → Puede perder paquetes en alta carga.
    → No capta errores o tramas malformadas.

📎 Apertura vs Cierre en fallo

  • Fail-Open (apertura):
    → Da prioridad a la disponibilidad.
    → Si falla, deja pasar todo.
    🛑 Riesgo: Un atacante podría forzar el fallo para desactivar el control.

  • Fail-Close (cierre):
    → Da prioridad a confidencialidad e integridad.
    → Si falla, bloquea todo.
    🛑 Riesgo: Inactividad de servicios críticos.

2️⃣ Ejemplos prácticos

Escenario > Tipo Activo/Pasivo > En línea / TAP / SPAN > Modo fallo

  • Firewall perimetral > Control Activo > En línea > Fail-close
  • IDS en red interna >  Detección Pasivo > SPAN > N/A
  • EDR en endpoint > Control Activo > Agente local > Fail-open o fail-close > configurable
  • Sensor forense en SOC > Monitorización Pasivo > TAP > N/A

3️⃣ Herramientas reales

Herramienta / Dispositivo Función Tipo
Suricata / Zeek IDS/NSM Pasivo (SPAN o TAP)
Palo Alto Firewall NGFW (Active control) Activo en línea
Wireshark + TAP Forense/Análisis Pasivo
CrowdStrike Falcon / SentinelOne EDR (control + detección) Activo en endpoint
Gigamon / Ixia TAPs Hardware TAP Pasivo físico


4️⃣ Visión estratégica de Red / Blue / Purple Team

🔴 Red Team – Cómo atacar estos atributos

  • Explotar un dispositivo Fail-Open provocando un DoS selectivo.

  • Atacar el puerto SPAN sabiendo que puede perder paquetes.

  • Introducir tráfico malformado que SPAN no capture pero TAP sí.

  • Manipular la configuración de un sensor para cambiarlo a pasivo o desactivarlo.

🔵 Blue Team – Cómo blindar y proteger

  • Elegir TAP sobre SPAN para misiones críticas o forenses.

  • Preferir Fail-Close en zonas sensibles (DMZ, servidores financieros).

  • Redundancia en dispositivos activos en línea (failover).

  • Monitorear estados de los sensores (heartbeat, logs).

🟣 Purple Team – Validación y ajuste

  • Simular fallo para validar comportamiento (¿abre o cierra?).

  • Inyectar tráfico malformado para verificar si se detecta.

  • Medir latencia introducida por dispositivos en línea.

  • Probar cargas elevadas para testear si el SPAN pierde tráfico.


    6️⃣ ✅ Resumen

Los atributos de un dispositivo de seguridad determinan cómo actúa dentro de la red, y pueden ser:
Activo, si interactúa con los datos y necesita configuración (como un firewall o EDR).
Pasivo, si solo observa el tráfico sin intervenir (como un IDS con TAP o SPAN).
Puede estar en línea, integrándose en la ruta del tráfico (controlando el paso), o fuera de banda, copiando tráfico desde TAP o SPAN.
En caso de fallo, puede optar por fail-open (sigue permitiendo acceso, pero inseguro) o fail-close (bloquea todo, pero protege los activos).
Como futura CISO, aprender a evaluar, combinar y validar estos atributos es clave para diseñar redes seguras, resilientes y auditablemente blindadas. Tu rol será decidir si un control debe priorizar la disponibilidad o la seguridad total, y entrenar a tu equipo para probarlo, atacarlo y reforzarlo desde la raíz.

EJERCICIOS PURPLE TEAM — Atributos del Dispositivo

🎯 Objetivo General

Entrenar la mente para:

  • Detectar debilidades según si un dispositivo es activo o pasivo, en línea o fuera de banda, y si responde en modo fail-open o fail-close.

  • Explotar estas debilidades desde Red Team.

  • Detectarlas y mitigarlas desde Blue Team.

  • Validar configuraciones y resiliencia desde Purple Team.

💥 Escenario 1: El Sensor Silencioso

📍Contexto:

Tu empresa ha colocado un sensor de red pasivo conectado por SPAN en el switch principal. El sensor usa Zeek para registrar tráfico DNS y HTTP.

🔴 Red Team:

  1. Envía tráfico DNS tunneling (iodine, dnscat2) con carga oculta.

  2. Lanza un ataque DoS simulado para saturar el switch y hacer que el SPAN pierda tráfico.

  3. Inyecta tramas malformadas (scapy) que el SPAN puede no replicar.

🔵 Blue Team:

  1. Valida si Zeek ha detectado los paquetes DNS anómalos.

  2. Monitorea la carga de red: ¿hay pérdidas en la captura? ¿Alertas por pérdida de visibilidad?

  3. Verifica integridad de logs y uso de CPU en el sensor.

🟣 Purple Team:

  1. Compara la captura SPAN con una de TAP (si hay acceso) para ver diferencias.

  2. Valida si las reglas de Zeek se activan.

  3. Revisa si el equipo de red está monitoreando la calidad del SPAN.

  4. Propón migrar de SPAN a TAP si hay pérdida crítica de datos.


🔒 Escenario 2: Firewall en modo Fail-Open

📍Contexto:

Tu firewall de perímetro tiene una configuración por defecto que, ante un reinicio o fallo, pasa a modo fail-open (deja pasar todo el tráfico para no interrumpir operaciones).

🔴 Red Team:

  1. Simula una sobrecarga en el firewall con tráfico pesado (ej: hping3, slowloris, tcpdump flood) para forzar un fallo.

  2. Detecta cuándo el firewall entra en fail-open y lanza un escaneo rápido (nmap, masscan) para detectar puertos liberados.

  3. Explora servicios expuestos para explotación (hydra, searchsploit).

🔵 Blue Team:

  1. Configura monitoring de estado del firewall (SNMP, Zabbix, Syslog).

  2. Asegura que haya alertas si el firewall entra en modo degradado.

  3. Asegura un plan de failover activo (firewall redundante o bypass con control).

🟣 Purple Team:

  1. Valida qué alertas se generan en el SOC cuando el firewall entra en fallo.

  2. Evalúa el impacto real de dejarlo en fail-open vs fail-close en horas críticas.

  3. Diseña un plan para implementar redundancia activa-activa y fail-close inteligente con notificaciones.


🛡️ Escenario 3: TAP vs SPAN — Validación Forense

📍Contexto:

Has recibido una alerta de exfiltración de datos. Sospechas que el atacante está usando canales laterales como HTTP POST ofuscado. Tienes:

  • Un sensor en SPAN.

  • Otro en TAP.
    Ambos conectados al mismo segmento de red.

🔴 Red Team:

  1. Usa exfiltrator, curl, o scripts para exfiltrar datos en HTTP POST y DNS covert channels.

  2. Inyecta errores y tramas corruptas para ver cuál de los sensores detecta mejor.

🔵 Blue Team:

  1. Analiza ambos logs: ¿cuál captó más datos útiles?

  2. Detecta patrones anómalos con Suricata, Zeek, Wireshark.

🟣 Purple Team:

  1. Documenta las diferencias entre SPAN y TAP.

  2. Valora si el sensor SPAN está perdiendo paquetes o corrompiendo el análisis.

  3. Propón cambios en la arquitectura para elevar visibilidad:

    • Mover sensores a TAP.

    • Usar balanceadores de tráfico de red (brokers).

    • Filtrado inteligente en captura para evitar saturación.


🧠 BONUS — Mini-Challenge para entrenar en casa

Imagina que diriges un Red Team y tu objetivo es entrar a un segmento de red vigilado solo con SPAN. ¿Cómo explotarías su debilidad?
Ahora, como Blue Team, diseña la detección y defensa para evitar que esto ocurra.
Finalmente, como Purple Team, diseña una validación cíclica para asegurar que el SPAN sigue operativo y no ha sido sabotajeado.

✅ Conclusión estratégica para CISO Purple Team

Como CISO, entiendes que:

  • No todos los dispositivos son iguales ni tienen el mismo nivel de visibilidad o control.

  • Debes decidir cuándo priorizar la disponibilidad (fail-open) o la seguridad (fail-close) según el riesgo del activo.

  • La colocación de sensores es un arte: SPAN puede ser suficiente o un punto ciego mortal.

  • Un buen Purple Team debe probar y validar continuamente el diseño de red y su respuesta ante fallos, ataques, y errores humanos.

Purple Mystara - Cristina Martínez Girol
Todos los derechos reservados 2025
Creado con Webnode Cookies
¡Crea tu página web gratis! Esta página web fue creada con Webnode. Crea tu propia web gratis hoy mismo! Comenzar
Utilizamos cookies para permitir un correcto funcionamiento y seguro en nuestra página web, y para ofrecer la mejor experiencia posible al usuario.

Configuración avanzada

Puedes personalizar tus preferencias de cookies aquí. Habilita o deshabilita las siguientes categorías y guarda tu selección.