🧿 Administración Fuera de Banda y Servidores de Salto

Purple Mystara Vol.2 · Bastiones, canales secretos y guardianes del acceso

1️⃣ ALEGORÍA + 🧠 EXPLICACIÓN TÉCNICA

ALEGORÍA PARA COMPRENDER OOB Y SERVIDORES DE SALTO

Imagina un castillo con dos caminos de entrada:

  • Uno visible, transitado por comerciantes, nobles y mensajeros (en banda).

  • Otro secreto, oculto bajo tierra, accesible solo por el consejo real (fuera de banda).

Ese camino oculto es la administración fuera de banda (OOB): un túnel privado que solo los guardianes de alto rango pueden usar, incluso si el castillo está bajo ataque.

Y dentro del castillo, para evitar que cada mago acceda directamente a los salones secretos, se establece un portal único: el servidor de salto. Solo se puede pasar por ahí para entrar a cualquier cámara arcana. De esta forma, se controla quién entra, cuándo y cómo.

Así, se evita que los enemigos usen portales individuales dispersos. Todo el acceso se filtra y registra a través de un único guardián.

🧠 EXPLICACIÓN TÉCNICA

🔐 Acceso administrativo seguro

La administración remota se refiere a la capacidad de gestionar dispositivos como routers, firewalls y servidores desde otra red. Para hacerlo de forma segura, se crean canales protegidos, minimizando la exposición de interfaces críticas.

📌 MODOS DE ACCESO REMOTO

🎛️ Acceso en banda

  • Comparte la red de producción.

  • Más vulnerable si la red se ve comprometida.

  • Puede usarse si se aplica cifrado (SSH, RDP, IPsec).

🛰️ Acceso fuera de banda (Out-of-Band – OOB)

  • Red de administración separada físicamente o mediante VLAN dedicada.

  • Permite gestionar dispositivos incluso si la red principal falla.

  • Utiliza interfaces como:

    • Consola serie.

    • IPMI / iLO / DRAC.

    • Módems o terminales virtuales fuera del flujo de producción.

🖥️ Estaciones Administrativas Seguras (SAW)

  • Equipos aislados exclusivamente para tareas administrativas.

  • Sin acceso a Internet o con acceso limitado a proveedores confiables.

  • Controles estrictos de acceso, software mínimo y registro completo de auditoría.

🛡️ SERVIDORES DE SALTO (JUMP SERVERS / BASTION HOSTS)

🔁 ¿Qué hacen?

  • Actúan como único punto de entrada a redes internas seguras.

  • Solo aceptan conexiones administrativas (SSH, RDP, etc.).

  • Desde ahí, los administradores acceden a los recursos internos.

🔒 ¿Por qué son importantes?

  • Reducen la superficie de ataque.

  • Centralizan la auditoría y control de acceso.

  • Evitan conexiones directas desde estaciones no confiables a activos sensibles.

2️⃣ EJEMPLOS PRÁCTICOS

🛠️ Gestión de switches y firewalls a través de consola serial o VLAN OOB.
🏰 Administración de servidores en DMZ usando un solo servidor de salto SSH.
☁️ Acceso a infraestructura en la nube a través de un bastión con IP pública restringida.
🧱 Acceso de emergencia durante caídas de red a través de IPMI o módem OOB.

3️⃣ APLICACIONES Y HERRAMIENTAS REALES

🧰 Servidores de salto:

  • Linux con solo OpenSSH (modo bastión).

  • Soluciones avanzadas como Teleport, StrongDM, AWS Systems Manager Session Manager, Microsoft Jump Server design.

🔐 OOB Management:

  • IPMI, HP iLO, Dell DRAC, Cisco Terminal Server.

  • Consolas de gestión: Minicom, PuTTY, Serial, ConsoleServer.

🖥️ SAW:

  • Escritorio virtual controlado.

  • Imágenes reforzadas (hardened) sin acceso a red externa.

  • Navegador limitado, sin periféricos USB, monitorizado en todo momento.

4️⃣ ¿QUÉ HACE CADA EQUIPO?

🔴 Red Team (ataca):

  • Busca interfaces administrativas accesibles en la red principal.

  • Intenta escanear puertos abiertos como 22 (SSH), 443 (paneles), 3389 (RDP).

  • Realiza fuerza bruta contra servidores de salto si están mal protegidos.

  • Si compromete un SAW, intenta moverse lateralmente usando las credenciales almacenadas o sesiones activas.

🔵 Blue Team (defiende):

  • Separa la red de administración de la de producción (VLAN o física).

  • Aplica firewalls internos que solo permiten conexión desde el servidor de salto.

  • Configura control de acceso detallado: MFA, bastión con auditd, registros centralizados.

  • Usa SAWs sin conexión a Internet y con políticas de hardening extremo.

🟣 Purple Team (supervisa y refuerza):

  • Simula accesos no autorizados desde estaciones comunes hacia recursos de administración.

  • Verifica si el SIEM detecta conexiones desde IPs no autorizadas a interfaces administrativas.

  • Revisa logs de auditoría de bastiones para detectar uso fuera del horario, múltiples saltos o errores de autenticación.

  • Audita el comportamiento de los administradores en los servidores de salto (comandos peligrosos, conexiones a destinos inusuales).

6️⃣ ✅ RESUMEN PRÁCTICO

  • La administración fuera de banda asegura el control de los dispositivos incluso durante fallos o ataques.

  • Los servidores de salto centralizan y protegen el acceso administrativo a redes críticas.

  • Las estaciones SAW y las redes dedicadas reducen los vectores de ataque y mejoran la visibilidad.

  • Red Team ataca desde la periferia, Blue Team aísla y blinda, y Purple Team supervisa todo el canal de acceso.


🧭 1. ¿Por qué existe la Administración Fuera de Banda?

Alegoría básica: el pasadizo secreto del castillo

Imagina que eres la Guardiana del Castillo Digital (la red empresarial).

Tu castillo tiene muchas puertas:

  • Unas para los nobles (usuarios)

  • Otras para los mensajeros (correo, navegación web)

  • Y una puerta trasera secreta, solo conocida por el consejo de seguridad (equipo de TI)

Esa puerta secreta es la administración fuera de banda (OOB): un camino especial para entrar y controlar el castillo incluso cuando todo lo demás está caído, bloqueado o atacado.

🔍 2. ¿Qué es Administración Fuera de Banda (OOB)?

🧠 Definición técnica:

Administración fuera de banda (OOB) es una forma de administrar remotamente un dispositivo sin pasar por la red de producción normal.

➡️ Es física o lógicamente separada de la red principal.
➡️ Permite acceder incluso si la red principal está caída, atacada o comprometida.

🧱 ¿Cómo se implementa?

📍 Ejemplos de hardware con acceso OOB:

  • 🔌 Puerto de consola serie en un switch o router.

  • 🌐 iLO (HP), DRAC (Dell), IPMI (genérico) para servidores físicos.

  • 🧰 Acceso a través de una VLAN de administración o red secundaria.

➡️ Permite realizar tareas como:

  • Reiniciar el equipo.

  • Ver logs del BIOS o errores antes de arrancar.

  • Actualizar firmware, aplicar parches o acceder si el sistema operativo está caído.

🔐 3. ¿Qué es un Servidor de Salto (Jump Server o Bastion Host)?

Alegoría visual: la torre del centinela

Imagina que todos los servidores importantes están protegidos en una cámara secreta.

No puedes llegar directamente a ellos.
Antes, tienes que pasar por la torre del centinela (servidor de salto).

Solo desde ahí se puede entrar a las cámaras.
Todo queda registrado, supervisado y controlado.

🧠 Definición técnica:

Un servidor de salto es un sistema intermediario, colocado entre la red externa (o red de administración) y los servidores críticos internos.

📌 Su objetivo:

  • Centralizar y controlar el acceso a sistemas sensibles.

  • Reducir la superficie de ataque.

  • Registrar toda la actividad.

💡 Cómo funciona:

  1. El administrador se conecta al servidor de salto (SSH, RDP, etc.).

  2. Desde ahí, se conecta a los servidores internos (web, bases de datos, routers…).

  3. Los sistemas internos solo aceptan conexiones desde el servidor de salto (mediante firewall o ACL).

🔄 4. ¿Cómo se combinan OOB y Jump Servers?

📡 Administración OOB:

  • Permite acceder a switches, routers o servidores aún si el sistema operativo está roto o la red no responde.

🛡️ Servidor de salto:

  • Permite auditar y controlar el acceso a los equipos cuando sí están activos, pero aislados de accesos directos.

👉 Ambos sirven al propósito de resiliencia y seguridad en la administración, pero en momentos distintos del ciclo de vida.

📊 5. Comparativa visual (tabla mental):

Elemento OOB Servidor de Salto
¿Cuándo se usa? Cuando el sistema está caído Cuando el sistema está activo
Nivel Físico o bajo nivel Lógico / Sistema operativo
Ejemplos IPMI, iLO, consola serie SSH a un servidor bastión
Protocolo HTTPS, Telnet, consola física SSH, RDP
Visibilidad Total del hardware Limitada al sistema operativo
Seguridad esperada Red separada, acceso limitado Control de acceso, auditoría total

🔐 6. ¿Cómo se protege cada uno?

OOB:

  • VLAN dedicada o red física separada.

  • Usuarios limitados.

  • Logs de acceso a nivel firmware.

  • Red sin Internet.

Jump Server:

  • Sin acceso a Internet.

  • Solo protocolos autorizados (SSH, RDP).

  • Logging completo (auditd, session recording, SIEM).

  • Autenticación multifactor y control de permisos mínimos.

🧠 7. ¿Cómo lo aplico como futura CISO?

✅ Diseñas una red donde ningún servidor crítico es accesible directamente.
✅ Controlas todo acceso a producción pasando por el bastión (jump).
✅ Configuras red de administración (OOB) por VLAN o red física.
✅ Proteges y supervisas SAWs (Secure Administrative Workstations).
✅ En caso de ataque, puedes acceder desde la red secreta y recuperar sistemas comprometidos.

📌 8. Esquema visual de implementación


    🧪 LABORATORIO PURPLE TEAM – Servidores de Salto y Administración Fuera de Banda (OOB)

    🔐 Bastiones fortificados, portales secretos y guardianes de la red interna

    📍ATAQUE 1 – Nivel AVANZADO

    🎯 Objetivo: Acceso no autorizado a una interfaz administrativa desde red de producción

    🔴 Red Team:

    Simulación:

    • Escaneas subred interna en busca de puertos de administración (22, 3389, 443, 8443):

    bash:nmap -p 22,3389,443,8443 192.168.1.0/24 --open

    • Intentas acceder directamente vía SSH o RDP desde una máquina no autorizada.

    • Pruebas acceso a interfaces web administrativas mal expuestas (ej. switches, firewalls, vCenter, etc.).

    🔵 Blue Team:

    Defensa:

    • Aísla todas las interfaces administrativas en una VLAN o subred OOB dedicada.

    • Aplica reglas de firewall para permitir acceso únicamente desde el servidor de salto.

    • Activa alerta en SIEM ante cualquier intento de conexión a puertos administrativos desde IPs no autorizadas.

    🟣 Purple Team:

    Supervisión:

    • Simulas conexiones desde máquinas comunes fuera de la VLAN de administración.

    • Validas si:

      • Se genera log (ej. eventd, firewalld, iptables).

      • El SIEM detecta y alerta.

      • El firewall bloquea.

    • Documentas puntos ciegos o accesos inadvertidos.

    Qué se logra: Se comprueba si la red de administración está realmente aislada y bien monitorizada frente a escaneos y accesos no autorizados.

    📍ATAQUE 2 – Nivel EXPERTO

    🎯 Objetivo: Acceso persistente al servidor de salto y movimiento lateral desde ahí

    🔴 Red Team:

    Simulación:

    • Obtienes acceso al servidor de salto mediante credenciales filtradas o fuerza bruta controlada.

    • Accedes a un sistema interno con:

    bash:ssh usuario@bastion ssh usuario@app-servidor-interno

    • Intentas moverte lateralmente a varios destinos sin dejar rastro evidente.

    🔵 Blue Team:

    Defensa:

    • Restringe el acceso al servidor de salto con:

      • Claves SSH con passphrase.

      • MFA (Duo, Google Authenticator, tokens).

    • Activa auditd, sudo logs y monitoreo con osquery o EDR.

    • Revisa conexiones salientes desde el bastión y controla accesos concurrentes.

    🟣 Purple Team:

    Supervisión:

    • Simulas accesos a través del bastión, tanto legítimos como sospechosos.

    • Verificas si:

      • Se registran los comandos ejecutados.

      • Se detectan patrones de comportamiento inusual.

    • Correlacionas eventos del bastión con actividad interna posterior.

    Qué se logra: Evaluación de la seguridad interna del bastión, visibilidad del movimiento lateral y efectividad del monitoreo continuo.

    📍ATAQUE 3 – Nivel MAESTRO

    🎯 Objetivo: Compromiso de una estación SAW y escalada hacia canal OOB

    🔴 Red Team:

    Simulación:

    • Atacas una SAW mal protegida mediante:

      • USB malicioso (Rubber Ducky, Bash Bunny).

      • Acceso físico no controlado.

      • Ingeniería social para engañar al admin a ejecutar un script.

    • Desde la SAW comprometida, accedes a switches/firewalls a través del canal fuera de banda.

    🔵 Blue Team:

    Defensa:

    • Aplica imagen endurecida en SAWs: sin Internet, sin periféricos, software mínimo.

    • Controla puertos USB y uso de medios extraíbles.

    • Aplica AppArmor, SELinux, o Applocker para limitar ejecución de comandos y binarios.

    • Registra todas las acciones con monitoreo de procesos y de red saliente.

    🟣 Purple Team:

    Supervisión:

    • Simulas ataque a SAW virtual con usuario distraído.

    • Evalúas si el sistema detecta:

      • Cambios en procesos o comportamiento inusual.

      • Conexiones desde la SAW a interfaces OOB.

    • Diseñas una política de contención automática ante compromiso de estación de administración.

    Qué se logra: Se validan controles físicos, de endpoint y de red aplicados a SAWs. Se refuerza el modelo de confianza cero en los nodos más sensibles.

    🧬 BONUS CHALLENGE – VISIÓN DE ARQUITECTA

    🎯 Diseña una alerta SIEM para detectar abuso del servidor de salto

    Ejemplo de lógica correlacional:

    nginx:SI Conexión SSH desde el servidor de salto Y Destino no habitual para ese usuario Y Comandos ejecutados fuera de su perfil base ENTONCES Alerta: "Comportamiento anómalo en servidor de salto – posible cuenta comprometida"


    🔥 PARTE 2 – EJERCICIOS PURPLE TEAM

    📍Ataque 1 – Nivel AVANZADO: Acceso lateral a través del Jump Host

    🔴 Red Team:

    • Escalas privilegios en una máquina expuesta.

    • Encuentras un archivo .bash_history con acceso a un jump server (ssh admin@jump.internal.local).

    • Te conectas al salto y pivotas al backend.

    🔵 Blue Team:

    • Detectas uso no autorizado de sesión SSH.

    • Configuras SIEM para alertar cuando un host que no sea SAW intente acceder al jump.

    • Revisas logs con auditd o session recordings.

    🟣 Purple Team:

    • Automatizas intentos de conexión anómalos al jump.

    • Verificas que solo los SAW tienen acceso a esa IP.

    • Documentas el flujo de acceso y refuerzas MFA.


    📍Ataque 2 – Nivel EXPERTO: Explotación de IPMI sin segmentación

    🔴 Red Team:

    • Encuentras acceso a IPMI de servidor sin aislamiento.

    • Con ipmitool, reinicias el sistema o extraes información.

    bashCopiarEditaripmitool -I lanplus -H 192.168.1.250 -U admin -P admin chassis status

    🔵 Blue Team:

    • Detectas tráfico a IPMI en red de producción.

    • Bloqueas IPMI en la red principal (solo accesible por red OOB).

    • Activación de alertas ante acceso no programado.

    🟣 Purple Team:

    • Escaneas periódicamente red para puertos como 623 (RMCP) o IPMI HTTP.

    • Verificas que las VLAN de gestión no se mezclan con producción.

    • Automatizas playbook de detección y respuesta ante escaneo de OOB.


    📍Ataque 3 – Nivel MAESTRO: Infiltración por jump server no endurecido

    🔴 Red Team:

    • Comprometes un servidor mal configurado con puerto RDP expuesto.

    • Usas acceso RDP para instalar ngrok o un túnel inverso y acceder a otros servidores.

    🔵 Blue Team:

    • Detectas tráfico saliente anómalo hacia túneles externos.

    • Restringes el salto con AppLocker o políticas estrictas de ejecución.

    • Activas alerta SIEM ante uso de software no autorizado en el Jump Host.

    🟣 Purple Team:

    • Ejecutas pruebas regulares de hardening y control de software en el Jump Server.

    • Simulas acceso con herramientas legítimas + tunneling (plink, socat, reverse SSH) para probar si se detecta.

    • Creas alertas para patrones de uso anómalo de recursos desde el Jump Host.

    Purple Mystara - Cristina Martínez Girol
    Todos los derechos reservados 2025
    Creado con Webnode Cookies
    ¡Crea tu página web gratis! Esta página web fue creada con Webnode. Crea tu propia web gratis hoy mismo! Comenzar
    Utilizamos cookies para permitir un correcto funcionamiento y seguro en nuestra página web, y para ofrecer la mejor experiencia posible al usuario.

    Configuración avanzada

    Puedes personalizar tus preferencias de cookies aquí. Habilita o deshabilita las siguientes categorías y guarda tu selección.