ZONAS DE SEGURIDAD Y SEGMENTACIÓN DE RED

🧠 ¿Qué son las zonas de seguridad?

Una zona de seguridad es un conjunto de activos de red (hosts, servidores, dispositivos) que comparten un nivel similar de confianza, sensibilidad y requerimientos de control de acceso. Piensa en ellas como habitaciones de una fortaleza, cada una con sus propias llaves, guardianes y permisos de paso.

🧝‍♀️ Alegoría:
Imagina un castillo medieval:

  • 🏰 El núcleo interno (la torre del rey) es la zona más crítica (infraestructura central).

  • 🚪 La sala del consejo contiene documentos importantes (base de datos).

  • 🧱 El patio interior es donde viven los sirvientes y soldados (estaciones de trabajo).

  • 🧭 La puerta principal con guardias es donde entran visitantes (DMZ pública).

  • 🪪 El corral donde se deja entrar a extraños vigilados (zona de invitados).

    📐 Segmentación: Cómo se separan

    🔹 Física: Switches y routers independientes, cada uno con su propia red física.
    🔹 Lógica: VLANs, subredes IP, etiquetado 802.1Q.
    🔹 Virtualizada: SDN, microsegmentación (ej: VMware NSX).
    🔹 Cloud: VPCs, grupos de seguridad, subnets aisladas.

    🧱 Las zonas se interconectan solo a través de dispositivos de seguridad como:

    • Firewalls → controlan qué tráfico entra y sale de una zona.

    • ACLs (Listas de control de acceso) → reglas en switches o routers.

    • WAF, Proxy, Gateways → inspeccionan y controlan tráfico específico.

    🚦 Principios para diseñar zonas de seguridad

    1. Principio de menor privilegio: cada zona solo debe poder hacer lo que necesita.

    2. Zona única = un tipo de riesgo: no mezcles usuarios con servidores o invitados con internos.

    3. Un solo punto de entrada y salida: siempre controlado (como una aduana).

    4. Defensa en profundidad: cada zona tiene sus propias defensas.

    5. Evita la bidireccionalidad innecesaria: una app puede consultar la DB, pero la DB no necesita hablar con la app.



    🧪 Ejemplo Práctico: Control entre zonas

    Situación:
    Tu empresa tiene una VLAN para impresoras (zona sin confianza) y otra para los PCs del personal (zona interna).

    Mal diseño: Las impresoras pueden escanear y conectarse a cualquier PC → vector de ataque.

    Buen diseño:

    • La VLAN de impresoras solo permite salida hacia un servidor de impresión.

    • No puede hacer initiated connections a otras VLAN.

    • El firewall interzona bloquea toda conexión entrante.

    💡 Resultado ideal

    Diseño y configuro mi red como un castillo moderno donde cada sala tiene su llave, su guardia y sus propias reglas, y ningún intruso puede moverse libremente sin ser detectado.

      💜 Simulación Purple Team – Ataque Lateral desde Zona No Confiable a Base de Datos Interna

      🎯 Objetivo del ejercicio

      Verificar si es posible que un atacante en una zona no confiable (por ejemplo, una impresora hackeada o un dispositivo IoT expuesto) pueda moverse lateralmente y acceder a una base de datos que se encuentra en una zona de alta confidencialidad.

      🧨 Red Team – Simulación de ataque

      Escenario

      • Una impresora multifunción conectada a la red (VLAN 40) ha sido comprometida.

      • Tu objetivo como atacante es alcanzar una base de datos en la zona interna de datos (VLAN 10).

      🔴 Paso a paso del atacante (nivel experto):

      1. Reconocimiento de red local

        nmap -sn 10.0.40.0/24

        Escaneo para identificar otros dispositivos en la misma VLAN.

      2. Escaneo de red extendido

        nmap -sS -p- -T4 10.0.10.0/24

        Verifica si el atacante puede llegar a la VLAN 10 (zona interna). Si hay respuesta: ¡hay un fallo de segmentación!

      3. Enumeración de servicios en la base de datos

        nmap -sV -p 3306,5432,1433 10.0.10.10

        Busca puertos comunes de bases de datos (MySQL, PostgreSQL, SQL Server).

      4. Ataque de fuerza bruta o exploit

        hydra -l admin -P rockyou.txt 10.0.10.10 mysql

        Si logra entrar, la segmentación ha fallado completamente.

      🛡️ Blue Team – Verificación de defensa

      Controles que deben estar activados:

      1. Segmentación de red mediante firewall inter-VLAN

        • Regla: "La VLAN 40 no puede iniciar conexiones hacia la VLAN 10."

      2. Monitorización con SIEM

        • Alertas de escaneo o comportamiento anómalo desde IPs de VLANs "no confiables".

        • Detección de conexiones internas no autorizadas (alerta de lateral movement).

      3. ACLs en switches y routers

        • ACLs aplicadas en los routers para bloquear el tráfico entre VLANs que no lo requieren.

      4. Microsegmentación si es virtual

        • Reglas de NSX o similares para evitar que incluso dos máquinas en la misma VLAN hablen libremente.

      5. HoneyDB o honeypots

        • Dispositivo trampa en la zona interna que alerta si alguien intenta acceder sin permiso.

      💥 Resultados Esperados

      Resultado esperado si la red está bien segmentada 🔐 -- Resultado si hay fallo 🚨
      Nmap no devuelve hosts fuera de su VLAN -- Hosts visibles en VLAN10
      Escaneo no muestra puertos abiertos -- Muestra servicios de DB
      Firewall bloquea todo intento de conexión lateral -- Se puede conectar a la base de datos
      SIEM lanza alerta por escaneo -- Ninguna alerta generada

      🧪 Prueba final Purple Team

      Si el Red Team no puede llegar a la DB, pero el Blue Team detecta y responde a los intentos → ✅ la segmentación es efectiva y la defensa activa.

      Si el Red Team logra moverse lateralmente, incluso sin alertas → ⚠️ hay una brecha crítica de seguridad que debe ser parchada inmediatamente.
      Purple Mystara - Cristina Martínez Girol
      Todos los derechos reservados 2025
      Creado con Webnode Cookies
      ¡Crea tu página web gratis! Esta página web fue creada con Webnode. Crea tu propia web gratis hoy mismo! Comenzar
      Utilizamos cookies para permitir un correcto funcionamiento y seguro en nuestra página web, y para ofrecer la mejor experiencia posible al usuario.

      Configuración avanzada

      Puedes personalizar tus preferencias de cookies aquí. Habilita o deshabilita las siguientes categorías y guarda tu selección.