Conmutación VS Enrutamiento

Aunque conmutación y enrutamiento se relacionan y ambos forman parte de la infraestructura de red, no son lo mismo.

    🔁 ¿Cómo trabajan juntos?

    • Primero, los switches (conmutación) conectan los dispositivos dentro de una red local y crean los dominios de difusión.

    • Luego, los routers (enrutamiento) conectan las distintas redes entre sí y controlan qué tráfico puede salir o entrar.

    • Un switch de Capa 3 combina ambos roles: conmutación rápida + enrutamiento básico.

    🧠 Alegoría:

    Imagina un edificio:

    • Cada planta del edificio tiene su propia red (VLAN) con PCs, impresoras, etc. → esto es conmutación.

    • Pero para ir de una planta a otra, necesitas pasar por una escalera central con seguridadeso es enrutamiento.

    ✅ En resumen:

    La conmutación conecta dispositivos DENTRO de una red.
    El enrutamiento conecta diferentes redes ENTRE sí.

    Ambos son complementarios y esenciales para un diseño de red seguro, funcional y escalable. En una empresa profesional, se implementan ambas infraestructuras juntas.

    🔷 BLUE TEAM – RONDA 1x4: Preguntas por Nivel

    🧩 Nivel PRINCIPIANTE

    ❓ ¿Qué es un firewall y cómo ayuda a proteger una red?

    Explicación sencilla:
    Un firewall es como un portero que filtra lo que entra y sale de tu red. Solo deja pasar el tráfico autorizado y bloquea lo sospechoso.

    Tipos:

    • Firewall de red → Filtra paquetes entre segmentos.

    • Firewall de host → Protege un solo equipo.

    • Firewall de próxima generación (NGFW) → Añade inspección profunda, antivirus, IDS, etc.

    Ejemplo de configuración básica (iptables):

    sudo iptables -A INPUT -p tcp --dport 22 -j ACCEPT sudo iptables -A INPUT -j DROP

    Pasos defensivos:

    1. Definir qué servicios deben estar accesibles.

    2. Crear reglas explícitas para esos servicios.

    3. Bloquear todo lo demás.

    4. Monitorizar registros del firewall.

    Resultado:
    Controlo el tráfico autorizado y reduzco superficie de ataque.

    🧠 Nivel AVANZADO

    ❓ ¿Cómo detectar un ataque de escaneo de puertos (port scan) en tu red y responder a él?

    Objetivo Blue:
    Detectar herramientas como nmap, masscan, zmap antes de que el atacante comprometa sistemas.

    Pasos con herramientas:

    1. Sensor de red (ej. Zeek, Suricata o Snort):

      • Reglas como:

        snortCopiarEditaralert tcp any any -> any any (msg:"Port Scan Detected"; flags:S; threshold:type both, track by_src, count 20, seconds 10;)

    2. SIEM (ej. Splunk, Wazuh, Graylog):

      • Crear alerta si una IP hace conexiones a >20 puertos distintos en <10 segundos.

    3. Respuesta:

      • Bloqueo automático temporal con fail2ban o scripts.

      • Registrar IP atacante en lista negra.

      • Notificación automática al equipo de seguridad.

    Resultado:
    Detecto la fase de reconocimiento y corto el ataque antes de que explote vulnerabilidades.

    🔥 Nivel EXPERTO

    ❓ ¿Cómo segmentar una red empresarial con VLANs para mitigar el movimiento lateral?

    Objetivo:
    Evitar que si un atacante entra, pueda moverse libremente por toda la organización.

    Diseño defensivo:

    1. Divido la red por función y riesgo:

      • VLAN 10: Estaciones de trabajo

      • VLAN 20: Servidores

      • VLAN 30: IoT/Impresoras

      • VLAN 40: Invitados

    2. Uso ACLs y reglas de firewall entre VLANs:

      • Solo VLAN 10 puede acceder a puertos 80/443 en VLAN 20

      • VLAN 30 no puede acceder a VLAN 20

    3. Switches + router/firewall de capa 3:

      • La comunicación entre VLANs pasa por un firewall que inspecciona el tráfico.

    4. Ejemplo (Cisco IOS):

    ip access-list extended BLOCK-GUEST deny ip 192.168.40.0 0.0.0.255 192.168.20.0 0.0.0.255 permit ip any any interface vlan 40 ip access-group BLOCK-GUEST in

    1. Monitoreo de tráfico inter-VLAN en SIEM

    Resultado:
    El atacante no puede pivotar hacia servidores críticos aunque comprometa una estación.

    🧙 Nivel MAESTRO

    ❓ Diseña un sistema de detección de persistencia maliciosa en endpoints Windows y Linux, con monitoreo continuo y respuesta automatizada.

    Objetivo:
    Detectar técnicas de persistencia: claves de registro, tareas programadas, servicios maliciosos, backdoors, etc.

    🔍 MONITOREO DE PERSISTENCIA

    Windows

    • HKEY\Software\Microsoft\Windows\CurrentVersion\Run

    • WMI Event Consumers

    • Servicios nuevos sospechosos

    • schtasks.exe modificados

    • Detección con Sysmon + Sigma rules + SIEM

    Ejemplo de regla Sigma para tareas maliciosas:

    title: Suspicious Scheduled Task Creation logsource: product: windows category: process_creation detection: selection: Image|endswith: '\schtasks.exe' CommandLine|contains: '/create' condition: selection

    Linux

    • .bashrc, .profile o crontab -l

    • Nuevos servicios en /etc/systemd/system/

    • Sockets ocultos

    Herramientas:

    • auditd

    • osquery

    • Wazuh agent

    🤖 RESPUESTA AUTOMÁTICA

    • Correlación de eventos sospechosos + reputación hash/IP

    • Script de bloqueo automático (crowdstrike, ossec, wazuh)

    • Sandbox para análisis automático

    • Alertas al SOC + playbook de contención

    Resultado:
    Detecto y contengo persistencia en tiempo real, incluso si el atacante usa técnicas fileless.
    Fortaleza máxima de postura defensiva proactiva 🛡️🔥

    PURPLE TEAM – RONDA 1x4

    Nivel Principiante, Avanzado, Experto y Maestro

    🟣 NIVEL PRINCIPIANTE

    ❓ ¿Cómo detectar y responder a un ataque de phishing dentro de una organización?

    🔍 Red Team Perspective:

    • El atacante lanza un correo falso (spoofing), usando ingeniería social.

    • El objetivo hace clic en un enlace o ejecuta un adjunto.

    • Se roba la sesión, credenciales o se abre una puerta a la red.

    🛡️ Blue Team Perspective:

    • Se activa la alerta del EDR (Ej: Defender, CrowdStrike).

    • El SOC ve comportamiento anómalo (navegación a dominio desconocido, descarga de .exe, etc).

    • Se corta la conexión, se cambia la contraseña y se aísla el equipo.

    🤝 Purple Team Action:

    • Crear una simulación de phishing interna con GoPhish o Microsoft Attack Simulator.

    • Correlacionar eventos desde el EDR + proxy + correo.

    • Evaluar la respuesta: ¿quién reportó? ¿cuánto tardó? ¿qué usuario cayó?

    🧠 Resultado:
    Combino ataques controlados y visibilidad en tiempo real → entrenamiento real de defensa con impacto real.

    🟪 NIVEL AVANZADO

    ❓ ¿Cómo simular un ataque lateral (lateral movement) y verificar si las defensas lo detectan?

    🔍 Red Team:

    • Usan mimikatz, smbexec, o wmic para moverse de un host comprometido a otro usando credenciales obtenidas o servicios mal configurados.

    🛡️ Blue Team:

    • Correlacionan conexiones SMB, logs de eventos 4624 (inicio de sesión), 4672 (privilegios especiales), detecciones de Sysmon y alertas del EDR.

    🤝 Purple Team:

    1. Se simula un movimiento lateral usando Impacket + Cobalt Strike o Caldera de MITRE.

    2. Se activa el monitoreo de logs (SIEM) y alertas (EDR).

    3. Se valida si los analistas reciben la alerta y si la acción fue contenida.

    📘 Ejemplo:

    bashCopiarEditarwmiexec.py domain/user@target

    🧠 Resultado:
    Pruebo si el movimiento lateral es detectado y contenido a tiempo, reforzando visibilidad + reglas del SIEM + EDR.

    🟣 NIVEL EXPERTO

    ❓ ¿Cómo evaluar la eficacia de tu segmentación de red y microsegmentación frente a un atacante real?

    🔍 Red Team:

    • El atacante escanea puertos internos (nmap, masscan) y busca pivotar a otras VLANs o zonas críticas.

    🛡️ Blue Team:

    • Usa NetFlow, logs de firewall, alertas de escaneo anómalo, y segmentación por Zero Trust (ZTNA).

    🤝 Purple Team:

    1. Lanza un escaneo desde un host comprometido.

    2. Observa si logra alcanzar otras subredes (IoT, servidores, backups).

    3. Evalúa si los firewalls inter-VLAN lo impiden, y si la alerta se genera.

    4. Mide el tiempo de respuesta ante intentos de lateral movement.

    🎯 Herramientas Purple:

    • AttackIQ, SCYTHE, MITRE Caldera, Atomic Red Team.

    🧠 Resultado:
    Valido si las defensas están aislando zonas críticas como se espera → si no, reconfiguro políticas y ACLs para cerrar rutas internas de ataque.

    🟪 NIVEL MAESTRO

    ❓ Diseña una operación Purple Team completa para simular un ataque de ransomware y medir la resiliencia de toda la organización.

    🎯 Objetivo: Evaluar cada eslabón de la cadena de ataque + defensa: intrusión, persistencia, lateralidad, cifrado, contención, recuperación.

    🧪 Red Team Execution (Simulación controlada):

    • Entrada: Phishing o explotación remota (CVE, MSFVenom, etc.)

    • Persistencia: schtasks, registry, WMI

    • Movimiento lateral: PsExec, RDP, RPC

    • Impacto: Falso ransomware (NotPetya, Lockbit simulado)

    🛡️ Blue Team Defense:

    • Detección de IOC (hash, IP, comportamiento).

    • Alertas del EDR/SIEM + acciones automáticas.

    • Respuesta del SOC: aislamiento, contención, comunicación interna.

    • Recuperación: restauración desde backup, análisis forense.

    🤝 Purple Team Coordination:

    • Planificación con TTPs reales del MITRE ATT&CK.

    • Simulación realista con documentación.

    • Debriefing tras el ejercicio → ¿qué se detectó? ¿qué no? ¿por qué?

    • Fortalecimiento del Playbook IR.

    🛠 Herramientas clave:

    • Caldera, Red Canary, Prelude Operator, Velociraptor, Elastic Security, Wazuh, Arkime.

    🧠 Resultado:
    La organización practica una operación de alto impacto y bajo riesgo, entrenando al equipo real ante una amenaza de vida o muerte digital.
    Refuerza resiliencia total: personas + procesos + tecnología 💪

    Purple Mystara - Cristina Martínez Girol
    Todos los derechos reservados 2025
    Creado con Webnode Cookies
    ¡Crea tu página web gratis! Esta página web fue creada con Webnode. Crea tu propia web gratis hoy mismo! Comenzar
    Utilizamos cookies para permitir un correcto funcionamiento y seguro en nuestra página web, y para ofrecer la mejor experiencia posible al usuario.

    Configuración avanzada

    Puedes personalizar tus preferencias de cookies aquí. Habilita o deshabilita las siguientes categorías y guarda tu selección.