🧿 Administración Fuera de Banda y Servidores de Salto
Purple Mystara Vol.2 · Bastiones, canales secretos y guardianes del acceso
1️⃣ ALEGORÍA + 🧠 EXPLICACIÓN TÉCNICA
✨ ALEGORÍA PARA COMPRENDER OOB Y SERVIDORES DE SALTO
Imagina un castillo con dos caminos de entrada:
-
Uno visible, transitado por comerciantes, nobles y mensajeros (en banda).
-
Otro secreto, oculto bajo tierra, accesible solo por el consejo real (fuera de banda).
Ese camino oculto es la administración fuera de banda (OOB): un túnel privado que solo los guardianes de alto rango pueden usar, incluso si el castillo está bajo ataque.
Y dentro del castillo, para evitar que cada mago acceda directamente a los salones secretos, se establece un portal único: el servidor de salto. Solo se puede pasar por ahí para entrar a cualquier cámara arcana. De esta forma, se controla quién entra, cuándo y cómo.
Así, se evita que los enemigos usen portales individuales dispersos. Todo el acceso se filtra y registra a través de un único guardián.
🧠 EXPLICACIÓN TÉCNICA
🔐 Acceso administrativo seguro
La administración remota se refiere a la capacidad de gestionar dispositivos como routers, firewalls y servidores desde otra red. Para hacerlo de forma segura, se crean canales protegidos, minimizando la exposición de interfaces críticas.
📌 MODOS DE ACCESO REMOTO
🎛️ Acceso en banda
-
Comparte la red de producción.
-
Más vulnerable si la red se ve comprometida.
-
Puede usarse si se aplica cifrado (SSH, RDP, IPsec).
🛰️ Acceso fuera de banda (Out-of-Band – OOB)
-
Red de administración separada físicamente o mediante VLAN dedicada.
-
Permite gestionar dispositivos incluso si la red principal falla.
-
Utiliza interfaces como:
-
Consola serie.
-
IPMI / iLO / DRAC.
-
Módems o terminales virtuales fuera del flujo de producción.
-
🖥️ Estaciones Administrativas Seguras (SAW)
-
Equipos aislados exclusivamente para tareas administrativas.
-
Sin acceso a Internet o con acceso limitado a proveedores confiables.
-
Controles estrictos de acceso, software mínimo y registro completo de auditoría.
🛡️ SERVIDORES DE SALTO (JUMP SERVERS / BASTION HOSTS)
🔁 ¿Qué hacen?
-
Actúan como único punto de entrada a redes internas seguras.
-
Solo aceptan conexiones administrativas (SSH, RDP, etc.).
-
Desde ahí, los administradores acceden a los recursos internos.
🔒 ¿Por qué son importantes?
-
Reducen la superficie de ataque.
-
Centralizan la auditoría y control de acceso.
-
Evitan conexiones directas desde estaciones no confiables a activos sensibles.
2️⃣ EJEMPLOS PRÁCTICOS
🛠️ Gestión de switches y firewalls a través de consola serial o VLAN OOB.
🏰 Administración de servidores en DMZ usando un solo servidor de salto SSH.
☁️ Acceso a infraestructura en la nube a través de un bastión con IP pública restringida.
🧱 Acceso de emergencia durante caídas de red a través de IPMI o módem OOB.
3️⃣ APLICACIONES Y HERRAMIENTAS REALES
🧰 Servidores de salto:
-
Linux con solo OpenSSH (modo bastión).
-
Soluciones avanzadas como Teleport, StrongDM, AWS Systems Manager Session Manager, Microsoft Jump Server design.
🔐 OOB Management:
-
IPMI, HP iLO, Dell DRAC, Cisco Terminal Server.
-
Consolas de gestión: Minicom, PuTTY, Serial, ConsoleServer.
🖥️ SAW:
-
Escritorio virtual controlado.
-
Imágenes reforzadas (hardened) sin acceso a red externa.
-
Navegador limitado, sin periféricos USB, monitorizado en todo momento.
4️⃣ ¿QUÉ HACE CADA EQUIPO?
🔴 Red Team (ataca):
-
Busca interfaces administrativas accesibles en la red principal.
-
Intenta escanear puertos abiertos como 22 (SSH), 443 (paneles), 3389 (RDP).
-
Realiza fuerza bruta contra servidores de salto si están mal protegidos.
-
Si compromete un SAW, intenta moverse lateralmente usando las credenciales almacenadas o sesiones activas.
🔵 Blue Team (defiende):
-
Separa la red de administración de la de producción (VLAN o física).
-
Aplica firewalls internos que solo permiten conexión desde el servidor de salto.
-
Configura control de acceso detallado: MFA, bastión con auditd, registros centralizados.
-
Usa SAWs sin conexión a Internet y con políticas de hardening extremo.
🟣 Purple Team (supervisa y refuerza):
-
Simula accesos no autorizados desde estaciones comunes hacia recursos de administración.
-
Verifica si el SIEM detecta conexiones desde IPs no autorizadas a interfaces administrativas.
-
Revisa logs de auditoría de bastiones para detectar uso fuera del horario, múltiples saltos o errores de autenticación.
-
Audita el comportamiento de los administradores en los servidores de salto (comandos peligrosos, conexiones a destinos inusuales).
6️⃣ ✅ RESUMEN PRÁCTICO
-
La administración fuera de banda asegura el control de los dispositivos incluso durante fallos o ataques.
-
Los servidores de salto centralizan y protegen el acceso administrativo a redes críticas.
-
Las estaciones SAW y las redes dedicadas reducen los vectores de ataque y mejoran la visibilidad.
-
Red Team ataca desde la periferia, Blue Team aísla y blinda, y Purple Team supervisa todo el canal de acceso.
🧭 1. ¿Por qué existe la Administración Fuera de Banda?
✨ Alegoría básica: el pasadizo secreto del castillo
Imagina que eres la Guardiana del Castillo Digital (la red empresarial).
Tu castillo tiene muchas puertas:
-
Unas para los nobles (usuarios)
-
Otras para los mensajeros (correo, navegación web)
-
Y una puerta trasera secreta, solo conocida por el consejo de seguridad (equipo de TI)
Esa puerta secreta es la administración fuera de banda (OOB): un camino especial para entrar y controlar el castillo incluso cuando todo lo demás está caído, bloqueado o atacado.
🔍 2. ¿Qué es Administración Fuera de Banda (OOB)?
🧠 Definición técnica:
Administración fuera de banda (OOB) es una forma de administrar remotamente un dispositivo sin pasar por la red de producción normal.
➡️ Es física o lógicamente separada de la red principal.
➡️ Permite acceder incluso si la red principal está caída, atacada o comprometida.
🧱 ¿Cómo se implementa?
📍 Ejemplos de hardware con acceso OOB:
-
🔌 Puerto de consola serie en un switch o router.
-
🌐 iLO (HP), DRAC (Dell), IPMI (genérico) para servidores físicos.
-
🧰 Acceso a través de una VLAN de administración o red secundaria.
➡️ Permite realizar tareas como:
-
Reiniciar el equipo.
-
Ver logs del BIOS o errores antes de arrancar.
-
Actualizar firmware, aplicar parches o acceder si el sistema operativo está caído.
🔐 3. ¿Qué es un Servidor de Salto (Jump Server o Bastion Host)?
✨ Alegoría visual: la torre del centinela
Imagina que todos los servidores importantes están protegidos en una cámara secreta.
No puedes llegar directamente a ellos.
Antes, tienes que pasar por la torre del centinela (servidor de salto).
Solo desde ahí se puede entrar a las cámaras.
Todo queda registrado, supervisado y controlado.
🧠 Definición técnica:
Un servidor de salto es un sistema intermediario, colocado entre la red externa (o red de administración) y los servidores críticos internos.
📌 Su objetivo:
-
Centralizar y controlar el acceso a sistemas sensibles.
-
Reducir la superficie de ataque.
-
Registrar toda la actividad.
💡 Cómo funciona:
-
El administrador se conecta al servidor de salto (SSH, RDP, etc.).
-
Desde ahí, se conecta a los servidores internos (web, bases de datos, routers…).
-
Los sistemas internos solo aceptan conexiones desde el servidor de salto (mediante firewall o ACL).
🔄 4. ¿Cómo se combinan OOB y Jump Servers?
📡 Administración OOB:
-
Permite acceder a switches, routers o servidores aún si el sistema operativo está roto o la red no responde.
🛡️ Servidor de salto:
-
Permite auditar y controlar el acceso a los equipos cuando sí están activos, pero aislados de accesos directos.
👉 Ambos sirven al propósito de resiliencia y seguridad en la administración, pero en momentos distintos del ciclo de vida.
📊 5. Comparativa visual (tabla mental):
Elemento OOB Servidor de Salto
¿Cuándo se usa? Cuando el sistema está caído Cuando el sistema está activo
Nivel Físico o bajo nivel Lógico / Sistema operativo
Ejemplos IPMI, iLO, consola serie SSH a un servidor bastión
Protocolo HTTPS, Telnet, consola física SSH, RDP
Visibilidad Total del hardware Limitada al sistema operativo
Seguridad esperada Red separada, acceso limitado Control de acceso, auditoría total
🔐 6. ¿Cómo se protege cada uno?
OOB:
-
VLAN dedicada o red física separada.
-
Usuarios limitados.
-
Logs de acceso a nivel firmware.
-
Red sin Internet.
Jump Server:
-
Sin acceso a Internet.
-
Solo protocolos autorizados (SSH, RDP).
-
Logging completo (auditd, session recording, SIEM).
-
Autenticación multifactor y control de permisos mínimos.
🧠 7. ¿Cómo lo aplico como futura CISO?
✅ Diseñas una red donde ningún servidor crítico es accesible directamente.
✅ Controlas todo acceso a producción pasando por el bastión (jump).
✅ Configuras red de administración (OOB) por VLAN o red física.
✅ Proteges y supervisas SAWs (Secure Administrative Workstations).
✅ En caso de ataque, puedes acceder desde la red secreta y recuperar sistemas comprometidos.
📌 8. Esquema visual de implementación
🧪 LABORATORIO PURPLE TEAM – Servidores de Salto y Administración Fuera de Banda (OOB)
🔐 Bastiones fortificados, portales secretos y guardianes de la red interna
📍ATAQUE 1 – Nivel AVANZADO
🎯 Objetivo: Acceso no autorizado a una interfaz administrativa desde red de producción
🔴 Red Team:
Simulación:
-
Escaneas subred interna en busca de puertos de administración (22, 3389, 443, 8443):
bash:nmap -p 22,3389,443,8443 192.168.1.0/24 --open
-
Intentas acceder directamente vía SSH o RDP desde una máquina no autorizada.
-
Pruebas acceso a interfaces web administrativas mal expuestas (ej. switches, firewalls, vCenter, etc.).
🔵 Blue Team:
Defensa:
-
Aísla todas las interfaces administrativas en una VLAN o subred OOB dedicada.
-
Aplica reglas de firewall para permitir acceso únicamente desde el servidor de salto.
-
Activa alerta en SIEM ante cualquier intento de conexión a puertos administrativos desde IPs no autorizadas.
🟣 Purple Team:
Supervisión:
-
Simulas conexiones desde máquinas comunes fuera de la VLAN de administración.
-
Validas si:
-
Se genera log (ej. eventd, firewalld, iptables).
-
El SIEM detecta y alerta.
-
El firewall bloquea.
-
-
Documentas puntos ciegos o accesos inadvertidos.
✅ Qué se logra: Se comprueba si la red de administración está realmente aislada y bien monitorizada frente a escaneos y accesos no autorizados.
📍ATAQUE 2 – Nivel EXPERTO
🎯 Objetivo: Acceso persistente al servidor de salto y movimiento lateral desde ahí
🔴 Red Team:
Simulación:
-
Obtienes acceso al servidor de salto mediante credenciales filtradas o fuerza bruta controlada.
-
Accedes a un sistema interno con:
bash:ssh usuario@bastion ssh usuario@app-servidor-interno
-
Intentas moverte lateralmente a varios destinos sin dejar rastro evidente.
🔵 Blue Team:
Defensa:
-
Restringe el acceso al servidor de salto con:
-
Claves SSH con passphrase.
-
MFA (Duo, Google Authenticator, tokens).
-
-
Activa auditd, sudo logs y monitoreo con osquery o EDR.
-
Revisa conexiones salientes desde el bastión y controla accesos concurrentes.
🟣 Purple Team:
Supervisión:
-
Simulas accesos a través del bastión, tanto legítimos como sospechosos.
-
Verificas si:
-
Se registran los comandos ejecutados.
-
Se detectan patrones de comportamiento inusual.
-
-
Correlacionas eventos del bastión con actividad interna posterior.
✅ Qué se logra: Evaluación de la seguridad interna del bastión, visibilidad del movimiento lateral y efectividad del monitoreo continuo.
📍ATAQUE 3 – Nivel MAESTRO
🎯 Objetivo: Compromiso de una estación SAW y escalada hacia canal OOB
🔴 Red Team:
Simulación:
-
Atacas una SAW mal protegida mediante:
-
USB malicioso (Rubber Ducky, Bash Bunny).
-
Acceso físico no controlado.
-
Ingeniería social para engañar al admin a ejecutar un script.
-
-
Desde la SAW comprometida, accedes a switches/firewalls a través del canal fuera de banda.
🔵 Blue Team:
Defensa:
-
Aplica imagen endurecida en SAWs: sin Internet, sin periféricos, software mínimo.
-
Controla puertos USB y uso de medios extraíbles.
-
Aplica AppArmor, SELinux, o Applocker para limitar ejecución de comandos y binarios.
-
Registra todas las acciones con monitoreo de procesos y de red saliente.
🟣 Purple Team:
Supervisión:
-
Simulas ataque a SAW virtual con usuario distraído.
-
Evalúas si el sistema detecta:
-
Cambios en procesos o comportamiento inusual.
-
Conexiones desde la SAW a interfaces OOB.
-
-
Diseñas una política de contención automática ante compromiso de estación de administración.
✅ Qué se logra: Se validan controles físicos, de endpoint y de red aplicados a SAWs. Se refuerza el modelo de confianza cero en los nodos más sensibles.
🧬 BONUS CHALLENGE – VISIÓN DE ARQUITECTA
🎯 Diseña una alerta SIEM para detectar abuso del servidor de salto
Ejemplo de lógica correlacional:
nginx:SI Conexión SSH desde el servidor de salto Y Destino no habitual para ese usuario Y Comandos ejecutados fuera de su perfil base ENTONCES Alerta: "Comportamiento anómalo en servidor de salto – posible cuenta comprometida"
🔥 PARTE 2 – EJERCICIOS PURPLE TEAM
📍Ataque 1 – Nivel AVANZADO: Acceso lateral a través del Jump Host
🔴 Red Team:
-
Escalas privilegios en una máquina expuesta.
-
Encuentras un archivo .bash_history con acceso a un jump server (ssh admin@jump.internal.local).
-
Te conectas al salto y pivotas al backend.
🔵 Blue Team:
-
Detectas uso no autorizado de sesión SSH.
-
Configuras SIEM para alertar cuando un host que no sea SAW intente acceder al jump.
-
Revisas logs con auditd o session recordings.
🟣 Purple Team:
-
Automatizas intentos de conexión anómalos al jump.
-
Verificas que solo los SAW tienen acceso a esa IP.
-
Documentas el flujo de acceso y refuerzas MFA.
📍Ataque 2 – Nivel EXPERTO: Explotación de IPMI sin segmentación
🔴 Red Team:
-
Encuentras acceso a IPMI de servidor sin aislamiento.
-
Con ipmitool, reinicias el sistema o extraes información.
bashCopiarEditaripmitool -I lanplus -H 192.168.1.250 -U admin -P admin chassis status
🔵 Blue Team:
-
Detectas tráfico a IPMI en red de producción.
-
Bloqueas IPMI en la red principal (solo accesible por red OOB).
-
Activación de alertas ante acceso no programado.
🟣 Purple Team:
-
Escaneas periódicamente red para puertos como 623 (RMCP) o IPMI HTTP.
-
Verificas que las VLAN de gestión no se mezclan con producción.
-
Automatizas playbook de detección y respuesta ante escaneo de OOB.
📍Ataque 3 – Nivel MAESTRO: Infiltración por jump server no endurecido
🔴 Red Team:
-
Comprometes un servidor mal configurado con puerto RDP expuesto.
-
Usas acceso RDP para instalar ngrok o un túnel inverso y acceder a otros servidores.
🔵 Blue Team:
-
Detectas tráfico saliente anómalo hacia túneles externos.
-
Restringes el salto con AppLocker o políticas estrictas de ejecución.
-
Activas alerta SIEM ante uso de software no autorizado en el Jump Host.
🟣 Purple Team:
-
Ejecutas pruebas regulares de hardening y control de software en el Jump Server.
-
Simulas acceso con herramientas legítimas + tunneling (plink, socat, reverse SSH) para probar si se detecta.
-
Creas alertas para patrones de uso anómalo de recursos desde el Jump Host.