Líneas Base de Seguridad en la Red - Network Security Baselines (NSB)

1️. ¿Qué es? ¿Cómo funciona? ¿Por qué es importante?

🌐 Network Security Baseline – Línea Base de Seguridad de Red (NSB)

¿Qué es?
Es un conjunto mínimo de controles, configuraciones y buenas prácticas definidas para dispositivos y servicios de red como firewalls, switches, routers, access points, VPNs, etc.
Esta línea base garantiza que todos los elementos de red estén configurados de forma segura, coherente y conforme a políticas organizacionales.

¿Cómo funciona?
Se parte de una auditoría del entorno y se establecen reglas base que deben cumplir todos los equipos de red. Por ejemplo:

• 🔒 Deshabilitar protocolos inseguros (ej. Telnet)

• 🔄 Forzar uso de SSH v2

• 🔑 Cambiar credenciales por defecto

• 🎛️ Configurar ACLs y VLANs segmentadas

• 🔥 Configurar reglas de firewall mínimas

• 📡 Activar WPA3 en puntos de acceso Wi-Fi

• 📓 Habilitar logs y sincronización NTP

Estas configuraciones se documentan, se aplican de forma manual o automatizada (con herramientas como Ansible, Cisco Prime, SCAP) y se evalúan periódicamente.

¿Por qué es importante en la arquitectura de seguridad?
Porque la red es el sistema nervioso de toda organización. Una mala configuración en un switch o router puede ser tan crítica como una vulnerabilidad en un servidor.
Aplicar líneas base a la red:

• Previene accesos no autorizados

• Asegura comunicaciones cifradas

• Limita movimientos laterales

• Fortalece el perímetro y el tráfico interno

📖 Analogía realista:
Imagina una red como un castillo medieval. Cada torre (router), puerta (switch), o pasarela (firewall) debe estar cerrada con llave, vigilada y tener reglas de paso. La línea base de red es el plano de seguridad básico para todas esas entradas y estructuras.

2️. Ejemplos Prácticos

🏢 Entorno Corporativo (On-Premise)

• 🔐 El firewall de perímetro tiene reglas claras: solo permitir puertos 80/443 hacia servidores web.

• 🔁 Los switches de acceso tienen port security, desactivan puertos sin uso, y tienen BPDU Guard habilitado.

• 🧱 Los routers bloquean ICMP hacia el exterior y permiten solo rutas seguras.

☁️ Entorno Cloud (ej. AWS, Azure)

• 🔍 NSGs (Network Security Groups) aplican mínimos privilegios por aplicación.

• 🔁 Se revisan VPCs para asegurar que no haya rutas abiertas innecesarias.

• 📜 Configuración de CloudTrail y logs de red activados para visibilidad total.

🧪 Laboratorio/Entorno de pruebas

• Se configuran scripts de Ansible para aplicar reglas de firewall, reglas SNMP seguras, y políticas de contraseñas a routers simulados con GNS3 o Cisco Packet Tracer.

3️. Herramientas y Soluciones Reales

Herramienta / Tecnología Uso -- Compatibilidad

• SCAP (Security Content Automation Protocol) Automatiza auditoría de configuraciones según línea base -- Compatible con OpenSCAP, Nessus, Qualys
• Ansible / Chef / SaltStack Aplicación masiva de configuraciones en switches, firewalls, etc. -- Multi-proveedor (Cisco, Fortinet, etc.)
• Cisco Prime Infrastructure Gestión centralizada de redes Cisco -- Infraestructuras medianas-grandes
• Nessus / OpenVAS Escaneo de configuraciones de red -- Validación de cumplimiento de línea base
• Nmap + NSE scripts Verificación activa de puertos abiertos y protocolos inseguros -- Laboratorios y entornos reales

4️. Visión estratégica – Red, Blue y Purple Team

🔴 Red Team

• Busca configuraciones por defecto en routers (admin/admin).

• Explota protocolos inseguros activos (ej. Telnet, SNMP v1).

• Lanza ataques de pivoting desde equipos mal segmentados.

• Abusa de VLANs mal configuradas para saltar de red.

🔵 Blue Team

• Aplica línea base con herramientas automáticas.

• Verifica cumplimiento usando escáneres SCAP o scripts.

• Monitoriza puertos abiertos y protocolos en uso.

• Segmenta redes (VLANs, zonas DMZ) y aplica políticas estrictas.

🟣 Purple Team

• Simula ataques de Red Team para evaluar configuraciones.

• Crea alertas SIEM sobre violaciones de la línea base (ej. nuevo servicio abierto).

• Integra herramientas de hardening de red en pipelines de Infraestructura como Código (IaC).

• Automatiza remediación ante desviaciones detectadas.

5️. Resumen

Las líneas base de seguridad de red son el punto de partida esencial para tener una red segura. Incluyen configuraciones mínimas para routers, switches, firewalls, puntos de acceso y dispositivos IoT.
Una red sin línea base es una selva sin ley, mientras que una con línea base es una ciudad segura con patrullas, semáforos y reglas de circulación claras.

6️. Conceptos Clave

Network Security Baseline – Línea Base de Seguridad de Red (NSB)

Conjunto mínimo de configuraciones seguras que deben cumplir todos los dispositivos de red: firewalls, switches, routers, etc. Incluye protocolos seguros, reglas de firewall, contraseñas fuertes, logging y segmentación.

SCAP – Security Content Automation Protocol

Estándar para automatizar auditorías de seguridad y validar si los dispositivos cumplen con la línea base definida por la organización.

Ansible – Herramienta de Automatización

Plataforma que permite aplicar configuraciones de red automáticamente a múltiples dispositivos (routers, switches) mediante playbooks.

Port Security – Seguridad de Puerto

Configuración en switches que restringe qué dispositivos pueden conectarse a cada puerto físico, evitando accesos no autorizados.

BPDU Guard – Bridge Protocol Data Unit Guard

Protección contra ataques de red como "switch spoofing" deshabilitando puertos que reciben BPDUs cuando no deberían.

SNMPv3 – Simple Network Management Protocol versión 3

Versión segura del protocolo SNMP usada para gestionar dispositivos de red con cifrado y autenticación.

ACL – Access Control List

Lista de reglas que permite o deniega tráfico en función de IP, puerto o protocolo. Se aplican en routers, switches y firewalls.

Nessus / OpenVAS – Escáneres de Vulnerabilidades

Herramientas que auditan configuraciones y buscan desviaciones respecto a las líneas base de seguridad.

CloudTrail – Servicio de Logging en AWS

Permite registrar todas las acciones realizadas sobre los recursos de red en la nube, útil para validar cumplimiento de línea base.

PARTE 2

1️. ¿Qué es? ¿Cómo funciona? ¿Por qué es importante?

🔒 Líneas Base Seguras – Secure Baselines (SB)

¿Qué son?
Son configuraciones estándar y mínimas de seguridad, definidas por la organización (o adoptadas de fuentes reconocidas), que deben aplicarse a todo sistema operativo, dispositivo de red, aplicación, hardware o servicio para garantizar una base segura de funcionamiento.

¿Qué incluyen?

• Cambiar contraseñas por defecto

• Desactivar servicios innecesarios

• Activar logs y monitoreo

• Aplicar parches y actualizaciones

• Reforzar políticas de contraseña y cifrado

• Usar protocolos seguros

• Control de acceso y MFA

• Revisión de puertos, ACLs, IDS/IPS, etc.

¿Por qué es importante?
Las configuraciones por defecto priorizan usabilidad sobre seguridad, lo cual es un punto débil crítico. Las líneas base unifican criterios, evitan errores humanos y hacen que el entorno sea más fácil de auditar, mantener y defender.

📖 Analogía:
Es como comprar un coche nuevo y cambiarle las cerraduras estándar por unas reforzadas, instalar alarma, GPS y bloquear el acceso remoto. La seguridad por defecto es baja, así que debes reforzarla tú misma.

2️. Ejemplos prácticos

🛠️ Equipos de red (switches y routers)

• Cambiar usuario y contraseña por defecto (ej. admin:admin)

• Deshabilitar Telnet, SNMPv1, HTTP → usar SSHv2, SNMPv3, HTTPS

• Activar port security y BPDU guard

• Aplicar ACLs por interfaz

• Activar logging remoto y sincronización NTP

• Proteger acceso físico (racks cerrados, acceso restringido)

🖥️ Servidores y sistemas operativos

• Desactivar servicios que no se usan (FTP, SMB, Remote Registry...)

• Aplicar parches con herramientas como WSUS, YUM, APT, etc.

• Políticas de contraseñas + bloqueo por intentos fallidos

• Configurar firewalls host (ufw, firewalld, Windows Firewall)

• Aplicar el principio de mínimo privilegio (PoLP)

• Activar logs detallados y supervisión con agentes

• Habilitar antivirus, antimalware y escaneos programados

• Usar STIGs o CIS Benchmarks como guía

🧰 Aplicaciones y servicios

• Configurar TLS 1.2+ en servidores web

• Deshabilitar APIs de administración no cifradas

• Configurar timeout de sesión y bloqueo tras inactividad

• Integrar con sistemas de autenticación central (AD, LDAP, SSO)

3️. Herramientas y soluciones reales

Herramienta Función - Nivel
CIS Benchmarks Guías de configuración segura públicas y comunitarias - OS, apps, red
STIGs (DISA) Guías estrictas para sistemas del gobierno/DoD - Alta seguridad
CIS-CAT Pro Evalúa tu sistema contra CIS Benchmarks - Auditoría local
OpenSCAP Herramienta open source para validación SCAP - Linux, Windows
SCAP Compliance Checker (SCC) Validación contra STIGs - STIG & DoD
Ansible / Puppet / Chef Automatización de hardening - OS + Red
Microsoft GPOs Aplicación masiva de políticas en AD - Windows

4️. Visión Red / Blue / Purple Team

🔴 Red Team

• Busca servicios con configuraciones por defecto (ej. contraseñas, puertos abiertos)

• Lanza ataques conocidos contra servicios mal configurados

• Aprovecha privilegios excesivos o acceso físico mal controlado

• Explota SNMP v2 para extraer configuraciones de red

• Detecta errores comunes como Apache sin TLS, MySQL expuesto, SMB sin autenticación

🔵 Blue Team

• Aplica líneas base con herramientas de automatización

• Evalúa cumplimiento con escáneres SCAP, CIS-CAT, Nessus

• Usa GPOs y scripts para mantener coherencia

• Audita logs y cambios en configuraciones clave

• Aplica el principio de Zero Trust + Hardening por defecto

🟣 Purple Team

• Simula ataques sobre entornos con y sin hardening

• Verifica si el hardening bloquea técnicas de Red Team

• Integra validación automática en pipelines CI/CD

• Genera dashboards de cumplimiento de líneas base por entorno y sistema

• Ajusta la línea base según feedback del equipo ofensivo

5️. Resumen

Las líneas base seguras son los cimientos de la seguridad defensiva. Sin ellas, cualquier sistema operativo, red o aplicación está abierta a ataques conocidos.
Existen puntos de referencia públicos (CIS, STIG) y herramientas para evaluar, aplicar y mantener estas configuraciones en cualquier tipo de entorno: local, nube o híbrido.

6️. Conceptos Clave con Resumen

Secure Baseline – Línea Base Segura (SB)

Conjunto mínimo de configuraciones seguras recomendadas para sistemas, redes y aplicaciones. Sirve como punto de partida estandarizado.

CIS Benchmarks – Referencias de Seguridad del CIS

Guías públicas y actualizadas que describen las mejores prácticas para asegurar OS, navegadores, servidores, bases de datos, routers, etc.

STIG – Security Technical Implementation Guide

Guías de configuración estrictas desarrolladas por la DISA para el Departamento de Defensa de EE.UU. Basadas en alto cumplimiento y seguridad.

SCAP – Security Content Automation Protocol

Protocolo estándar que permite a herramientas automatizar la validación de seguridad y comparar configuraciones frente a un benchmark.

OpenSCAP – Herramienta de Evaluación SCAP

Suite de código abierto que permite evaluar si un sistema cumple con las configuraciones seguras definidas en benchmarks SCAP.

CIS-CAT Pro – Auditoría Contra Benchmarks CIS

Herramienta desarrollada por el CIS que escanea localmente la configuración de un sistema y entrega un informe de cumplimiento.

SCC – SCAP Compliance Checker

Herramienta oficial de DISA para evaluar el cumplimiento de un sistema con las STIGs del Departamento de Defensa.

Ansible / Puppet / Chef – Automatización de Configuraciones

Permiten aplicar de forma masiva y continua las líneas base seguras a entornos grandes o complejos.

Hardening – Reforzamiento del Sistema

Proceso de ajustar la configuración de sistemas, redes y software para minimizar vectores de ataque, eliminando opciones inseguras por defecto.

Minimum Privilege – Mínimo Privilegio (PoLP)

Política que garantiza que cada usuario, cuenta o servicio tiene solo los permisos estrictamente necesarios para operar.

CURIOSIDADES Y CLAVES IMPORTANTES SOBRE NSB

🔎 1. Cada fabricante de red tiene su propia "idea" de seguridad

• Las configuraciones por defecto de Cisco, Juniper, Fortinet o MikroTik son distintas… ¡y muchas veces inseguras!

• Por eso, crear una línea base estandarizada para toda la red requiere traducir buenas prácticas a cada plataforma.

Ejemplo: Cisco permite Telnet por defecto en muchos switches. Fortinet no.

🔐 2. El 80% de los ataques avanzados comienzan por una configuración de red débil

• Ataques como:

  • Man-in-the-Middle

  • Pivoting

  • ARP Spoofing

  • Rogue DHCP

  Ocurren porque la red no tiene segmentación, ni ACLs, ni servicios bloqueados.

🧠 3. No todas las líneas base son iguales: hay niveles de madurez

Nivel Descripción
🟤 Básico Solo se cambian contraseñas y se bloquea Telnet
🔵 Intermedio Se aplican ACLs, VLANs, SNMPv3, logs
🟣 Avanzado Todo lo anterior + automatización, validación continua, segmentación dinámica
⚫ Experto NSB integrada en CI/CD con Infraestructura como Código (IaC)

🔁 4. Muchas líneas base de red quedan obsoletas porque nadie las revisa

• Si no se automatiza la revisión, se vuelve papel mojado.

• La realidad: se define una línea base una vez, se entrega al equipo de redes, y nunca más se vuelve a auditar 😱

💡 Solución Purple Team: Integrar la revisión de NSB como una fase obligatoria del ciclo DevSecOps.

🔌 5. Pocos protegen bien los puertos físicos de switches

• El atacante solo necesita un cable Ethernet libre en la sala de reuniones y ya está dentro.

• Clave olvidada: Port Security + 802.1X en todos los puertos, no solo en el Wi-Fi.

📦 6. Una buena NSB también contempla dispositivos IoT y sistemas de control industrial (ICS)

• Cámaras, impresoras, sensores industriales y routers domésticos conectados a la red interna son vectores de entrada.

• A menudo:

  • Contraseña por defecto.

  • Sin logs.

  • Protocolos abiertos (UPnP, Telnet).

🔒 7. Los servicios de gestión deben estar siempre fuera de la red de usuarios

• La consola del firewall, el router o el switch no debe estar accesible desde la red interna normal.

• Solución profesional: zonas administrativas aisladas + jumpbox + VPN de acceso restringido.

📡 8. Muchos ataques inalámbricos se aprovechan de fallos en la línea base de red

• Un punto de acceso sin WPA3 ni autenticación empresarial es tan peligroso como un switch sin ACLs.

• Además, la red Wi-Fi suele estar conectada directamente a la red interna, sin firewalls ni segmentación 😱

🔧 9. Puedes convertir tu NSB en código con herramientas como:

• Ansible + YAML: Aplicar línea base a routers/switches.

• Terraform: Aplicar NSB en entornos cloud (Azure, AWS, GCP).

• SCAP + OpenSCAP: Auditar cumplimiento.

• Git + Jenkins: Control de versiones y validación antes de desplegar.

Esto permite auditar, probar y versionar la seguridad de tu red como si fuera código de software (IaC + SaC).

🧩 10. Tu NSB define tu modelo de defensa en profundidad

Si tu NSB no contempla:

• ACLs por función

• Segmentación de red real

• Control de acceso físico

• Logging y alertas

• Accesos remotos protegidos

Entonces toda tu arquitectura Zero Trust o DiD está cojeando desde la base.

🧠 REFLEXIÓN DE ARQUITECTA

Una red mal configurada puede hacer inútil hasta el mejor SIEM del mundo.
Sin una Network Security Baseline viva, revisada y automatizada, cualquier atacante con conocimientos medios puede entrar y pivotar como si nada.
Tu NSB es tu pacto sagrado con la red: define lo que permites y lo que nunca aceptarás.

EJERCICIOS PURPLE TEAM – NSB (Network Security Baselines)

EJEMPLO 1 – Nivel Avanzado

Escenario: Switch de acceso sin línea base, puerto físico expuesto

🔴 Red Team

1. El atacante accede físicamente a un puerto Ethernet libre (sala de reuniones).

2. Detecta que no hay port security ni autenticación 802.1X.

3. Se conecta, obtiene una IP por DHCP y lanza un escaneo interno (nmap -sV).

4. Encuentra servicios internos activos (SMB, MySQL) en otros segmentos.

5. Usa herramientas como CrackMapExec para probar contraseñas por defecto.

🔵 Blue Team

1. Detecta actividad anómala en el switch mediante syslog y alertas del SIEM (nuevo host conectado sin aviso).

2. Verifica que el switch no tiene aplicada la línea base:

   • Port security desactivado

   • SNMP v2 activo

   • Logging inhabilitado

3. Aplica la Network Security Baseline inmediatamente:

   • Limita cada puerto a 1 MAC

   • Cambia SNMP a v3

   • Habilita logging + syslog + NTP

   • Habilita BPDU Guard

🟣 Purple Team

1. Simula un ataque mensual de puerto libre en distintas salas.

2. Verifica si se detecta el intento en tiempo real.

3. Automatiza la verificación de la línea base en switches con Ansible + playbooks NSB.

4. Documenta el gap y establece remediación automática al detectar puertos sin configuración.

EJEMPLO 2 – Nivel Experto

Escenario: Configuración débil en firewall y router expuesto

🔴 Red Team

1. Realiza un escaneo externo con nmap -Pn -p- hacia el firewall de la organización.

2. Detecta que hay puertos abiertos innecesarios (FTP, Telnet, SNMPv2).

3. Encuentra que el router permite acceso remoto sin cifrado.

4. Usa Hydra para lanzar fuerza bruta sobre Telnet.

5. Gana acceso y extrae configuración completa de red.

🔵 Blue Team

1. Usa herramientas como OpenVAS o Nessus para escanear configuración de red.

2. Detecta desviaciones respecto a la línea base:

   • Protocolos inseguros activos

   • Acceso remoto sin control

   • Falta de syslog o autenticación fuerte

3. Aplica la NSB:

   • Deshabilita servicios inseguros

   • Activa SSHv2 con claves

   • Establece control de acceso por IP

   • Activa logs hacia servidor central

🟣 Purple Team

1. Crea scripts de validación diaria con SCAP + cronjobs que comparan configuraciones contra línea base.

2. Automatiza el escaneo de red con nmap + parsing de resultados.

3. Mide el cumplimiento de NSB por dispositivo → si cae por debajo del 95%, se lanza alerta.

EJEMPLO 3 – Nivel Maestro

Escenario: Línea base de red implementada… pero no integrada en DevOps ni auditada

🔴 Red Team

1. Consigue acceso a un entorno de staging (pruebas) olvidado en la red.

2. Encuentra que las configuraciones de red son distintas al entorno de producción.

3. Explota una mala configuración en NSG (Security Group) que permite acceso total al puerto 22 desde cualquier IP.

4. Utiliza un repositorio mal protegido con configuraciones antiguas (.conf con credenciales).

5. Gana acceso al core de red en preproducción y realiza pivoting a otros entornos.

🔵 Blue Team

1. Detecta actividad fuera de patrón mediante correlaciones en el SIEM.

2. Comprueba que staging no tiene las políticas de red del entorno principal.

3. Cierra puertos globales, reestructura los NSG y segmenta entornos.

4. Revisa los repos de Git internos y elimina configuraciones obsoletas.

🟣 Purple Team

1. Integra las NSB en los pipelines de despliegue (CI/CD) con validación automática.

2. Cada commit que modifica configuraciones de red es auditado automáticamente.

3. Usa Terraform + Sentinel para impedir que se despliegue algo que no cumpla con la línea base.

4. Desarrolla un dashboard visual donde se ve el nivel de cumplimiento de la NSB por entorno (Prod, Dev, Staging) con colores y porcentajes.

RESULTADO DEL ENTRENAMIENTO:

• 🚨 Identificas configuraciones débiles como punto de entrada en firewalls, switches y Wi-Fi.

• 🔐 Estableces líneas base como contratos vivos, no documentos estáticos.

• 🤖 Automatizas validación, remediación y monitoreo de desviaciones en red.

• 🔄 Integras NSB en procesos de DevSecOps, logrando una arquitectura defensiva evolutiva.