1. Fundamentos: pilares de defensa de red

🔥 Firewall (cortafuegos)

  • Función: Controla el tráfico que entra y sale de la red según políticas definidas.

  • Tipos:

    • 🔹 Firewall tradicional (de capa 3) → Bloquea por IP/puerto.

    • 🔹 Stateful firewall → Inspección con estado de conexión.

    • 🔹 NGFW (Next-Gen Firewall) → Incluye DPI, control de apps y antivirus integrado.

🛡️ Alegoría: El firewall es como el portero de un castillo: decide quién puede entrar, quién debe salir y por qué puerta.


👁️ IDS (Sistema de Detección de Intrusiones)

  • Función: Detecta comportamientos anómalos o ataques conocidos mediante firmas o comportamiento heurístico.

  • Modos:

    • 📡 NIDS: Network-based IDS (ej: Snort, Suricata).

    • 🧠 HIDS: Host-based IDS (ej: OSSEC).

🔍 Analiza pero no actúa, solo avisa. Ideal para SOCs bien entrenados.


IPS (Sistema de Prevención de Intrusiones)

  • Función: Actúa de forma automática ante amenazas detectadas:

    • Bloquea IPs.

    • Finaliza sesiones TCP.

    • Aplica firmas dinámicas.

⚔️ El IPS no solo detecta al ladrón, lo detiene antes de que robe.


🌐 Filtros Web (Web Proxy / Web Gateway)

  • Función: Restringe el acceso a contenido web no autorizado o malicioso.

  • Ventajas:

    • Prevención de phishing/malware.

    • Políticas de navegación por usuarios/grupos.

    • Supervisión del uso web corporativo.

🧰 Ejemplos: Squid Proxy, Zscaler, Cisco Umbrella, FortiWeb.


⚙️ 2. Claves técnicas y buenas prácticas Purple

Componente Buenas Prácticas -- Herramientas recomendadas

  • Firewall Segmentar redes, bloquear por defecto, registrar logs --pfSense, FortiGate, Palo Alto
  • IDS Usar reglas actualizadas, integrar con SIEM -- Snort, Suricata, Wazuh
  • IPS Activar protección activa en perímetro y servidores críticos -- Suricata IPS, Security Onion
  • Filtro Web Listas negras/dominios, políticas por usuario -- Cisco Umbrella, Squid Proxy, WebTitan

🧠 3. Mentalidad avanzada Purple Team

  • 🔄 Simular ataques con Red Team (ej: escaneo de puertos, DNS tunneling) y verificar si IDS/IPS lo detecta.

  • 📈 Correlacionar eventos en SIEM tras alertas de IDS, conexiones de firewall y tráfico web sospechoso.

  • 🧪 Revisar reglas de firewall/IPS con regularidad: muchas veces bloquean lo malo… pero también lo necesario.

  • 🗺️ Visión de red segmentada: Define zonas (DMZ, LAN, Guest, IoT) y aplica controles distintos por riesgo.

🧪 4. Ejercicio de laboratorio Purple Team

🔬 Escenario: Simular y detectar una intrusión de escaneo

🔴 Red Team:

  • Ejecuta nmap -sS -T4 <target> desde una máquina externa.

  • Usa hping3 para simular un ataque de SYN Flood.

🔵 Blue Team:

  • IDS Snort detecta escaneo de puertos (ET SCAN NMAP -sS).

  • IPS bloquea la IP atacante.

  • Firewall genera alerta y logea la conexión anómala.

  • Filtro web bloquea acceso a malicious.com.

🟣 Purple Team:

  • Asegura que el SIEM (ej. Wazuh + ELK) recibe todos los logs.

  • Mide tiempo de detección → respuesta.

  • Genera un informe post-mortem con:

    • Línea de tiempo de eventos.

    • Claves de mejora en reglas IPS/Firewall.

    • Lecciones aprendidas.

🎯 ¿Qué más necesitas saber para ser excelente en esta área?

  1. Domina los logs de red: qué significan, cómo correlacionarlos.

  2. Aprende a escribir tus propias reglas IDS/IPS.

  3. Monta un laboratorio real: VirtualBox + pfSense + Snort + Kali + SIEM como Wazuh.

  4. Practica detección de amenazas reales: DNS tunneling, malware HTTP, tráfico anómalo.

  5. Aprende a identificar "falsos positivos": fundamental para no caer en el ruido.

  6. Alinea la defensa a los TTPs del MITRE ATT&CK.

  7. Documenta todo con mentalidad de arquitecta: política, justificación, evidencia, plan de respuesta.

Purple Mystara - Cristina Martínez Girol
Todos los derechos reservados 2025
Creado con Webnode Cookies
¡Crea tu página web gratis! Esta página web fue creada con Webnode. Crea tu propia web gratis hoy mismo! Comenzar