Auditoria de seguridad de una red air-gapped: como auditar un entorno aislado sin falsa confianza
Una auditoria seguridad red air gapped debe empezar por demostrar que es realmente el entorno, no por asumir que "sin internet" significa "sin ruta de ataque alcanzable". En la practica, muchos entornos empresariales descritos como air-gapped son solo entornos logicamente aislados, fuertemente segmentados o dependientes de rutas de transferencia controladas. Esa diferencia cambia que se puede recopilar, como se validan los findings y que riesgos residuales siguen existiendo dentro del perimetro.
Este articulo se mantiene en el scope de las redes empresariales aisladas, no en programas de seguridad OT o ICS. Si su pregunta principal sigue siendo la auditoria de Active Directory dentro de un bosque aislado, use Como auditar Active Directory en un entorno air-gapped como deep dive. Aqui el objetivo es mas amplio: como revisar los controles de identidad, host, red, logging y transferencia que siguen importando cuando el entorno no puede depender de herramientas conectadas a internet ni de visibilidad cloud-native.
Que cuenta como red air-gapped para una auditoria seguridad red air gapped
La guia de implementacion de CISA para BOD 23-01 es util porque traza una linea clara entre los entornos fisicamente air-gapped y los que solo estan logicamente aislados. Eso importa para una auditoria porque, en cuanto exista aun un puente de administracion, un broker de transferencia, un tunel de proveedor o un sistema conectado a otro sistema que toca el entorno aislado, la revision tiene que incluir esa ruta.
| Modelo de aislamiento | Significado practico para una auditoria | Consecuencia para la auditoria |
|---|---|---|
| Sin internet | No existe acceso saliente directo a internet, pero siguen existiendo rutas internas y caminos de administracion. | Una auditoria local suele ser viable, pero los workflows dependientes del cloud pueden no servir. |
| Aislamiento logico | El acceso esta restringido mediante bastiones, brokers, jump hosts, firewalls o rutas de transferencia controladas. | El alcance del perimetro y de las rutas de transferencia forma parte de la auditoria, no del simple contexto. |
| Segmentado | El entorno es enrutable pero esta restringido por ACL, VLAN o politicas de firewall. | Hay que tratarlo como conectado para los riesgos de privilegio, protocolo y movimiento lateral. |
| Air-gapped fisico | No existe una ruta de red hacia internet ni hacia el entorno operativo mas amplio. | La recopilacion, la revision, la exportacion y la prueba de remediacion necesitan un workflow totalmente local. |
La cuestion no es ganar una discusion taxonomica. La cuestion es evitar una falsa confianza. Un entorno aislado puede seguir teniendo deriva de privilegios, administradores obsoletos, jump hosts sin gestionar, malas practicas con contraseñas de administrador local, configuraciones de protocolo debiles, mala retencion de logs o una ruta de transferencia que evita los controles que el equipo cree tener.
Lo que una auditoria seguridad red air gapped debe demostrar de verdad
Una auditoria de seguridad de una red air-gapped util no termina en "la red es dificil de alcanzar". NIST SP 800-115 enmarca la evaluacion de seguridad alrededor de la planificacion, la recopilacion de evidencia, el analisis de findings y el desarrollo de mitigaciones. En entornos aislados, eso significa que la auditoria debe demostrar al menos cinco cosas:
| Pregunta de auditoria | Lo que debe demostrarse localmente |
|---|---|
| Cual es el perimetro real? | Que sistemas estan dentro, que sistemas pueden administrarlos y que rutas de mantenimiento o transferencia siguen cruzando el limite |
| Quien tiene el poder efectivo? | Que cuentas, grupos, service principals, admins locales y roles delegados pueden cambiar identidad, politicas, logging o estado de actualizacion |
| Que permite aun movimiento lateral? | Que protocolos, recursos compartidos, rutas de relay y caminos de administracion siguen disponibles entre hosts o segmentos |
| Que evidencia sobrevive offline? | Que logs, subscriptions, configuraciones de retencion y procedimientos de exportacion conservan telemetria util dentro del perimetro |
| Se pueden revalidar las correcciones? | Si el mismo metodo de recopilacion local puede repetirse tras la remediacion para probar que la condicion de riesgo ya no existe |
Un minimum evidence pack para este tipo de revision deberia incluir:
| Clase de evidencia | Por que importa |
|---|---|
| Documentacion actual de la frontera de red y del enrutamiento | No se pueden probar afirmaciones de aislamiento con un diagrama obsoleto |
| Inventario de jump hosts, bastiones, brokers y rutas de transferencia | Suelen ser los verdaderos puentes a traves del "air gap" |
| Inventario de cuentas privilegiadas y rutas de administracion | El riesgo de identidad sigue siendo local aunque la exposicion a internet no lo sea |
| Configuracion local de logs, WEF/WEC y retencion | Estar offline no ayuda si la evidencia rota antes de revisarse |
| Proceso de importacion de parches, firmas y catalogos | La frescura de las actualizaciones es un proceso operativo, no una suposicion |
| Metadatos de rerun antes y despues | Las afirmaciones de remediacion son debiles si el scope o el colector cambian entre ejecuciones |
Delimite primero el borde, las rutas de transferencia y las rutas de administracion
El primer error de scoping en un entorno aislado es auditar solo los servidores claramente "dentro" de la zona e ignorar los sistemas que pueden administrarlos. Si un jump server, un credential broker, un proceso de medios extraibles o un host de staging puede introducir contenido o cambios en el entorno aislado, debe estar dentro del alcance.
Empiece cartografiando cuatro tipos de rutas:
- Rutas de administracion: jump hosts, estaciones privilegiadas, cuentas break-glass, rutas de mantenimiento de proveedor y cualquier trust de dominio o bosque que siga alcanzando la zona aislada.
- Rutas de transferencia: workflows con medios extraibles, file brokers, estaciones de transferencia unidireccional, espejos de paquetes y rutas de exportacion manual de logs o informes.
- Rutas de control: sistemas que pueden empujar GPO, scripts, certificados, software o catalogos de actualizacion al entorno.
- Rutas de observacion: servidores WEC, colectores locales, hosts de exportacion de logs y cualquier sistema usado para revisar findings fuera de la red aislada.
Aqui es donde muchas revisiones "air-gapped" fracasan. El riesgo principal no siempre es una superficie publica. A menudo es una dependencia silenciosa de administracion que nadie documento porque no se parece a acceso a internet.
Si el entorno aislado se apoya en Active Directory, este paso de delimitacion debe alinearse con la secuencia de revision mas profunda de Auditar la seguridad de Active Directory: que revisar primero y como demostrar la remediacion y con el modelo de repetibilidad de Auditoria recurrente de Active Directory: por que las auditorias anuales se vuelven obsoletas y como monitorizar la postura de forma continua. El aislamiento no elimina la necesidad de mapear quien puede cambiar realmente politicas, memberships, ACL, logging o emision de certificados.
Lo que aun puede auditarse sin acceso a internet
El acceso a internet no es un requisito previo para la mayor parte de la evidencia que importa en una red aislada con fuerte presencia de Windows. Las Open Specifications de Microsoft para Active Directory y Group Policy dejan claro el punto clave: los datos del directorio, los metadatos de las policies y el contenido de las policies almacenado en archivos son protocolos y repositorios locales, no dependencias cloud.
Una revision offline seria aun puede medir:
- estructura de identidad y privilegios: grupos privilegiados, grupos anidados, derechos delegados, administradores obsoletos, cuentas de servicio, trusts y rutas de administracion
- estado de Group Policy y SYSVOL: metadatos de GPO, contenido de policy basado en archivos, scripts, artefactos de preferencias e integridad de rutas
- postura de los hosts: rotacion de contraseñas de administrador local, firma SMB, firma LDAP, fallback NTLM, postura del firewall de Windows y baselines de hardening relevantes
- exposicion de red dentro del perimetro: rutas de administracion, protocolos permitidos, superficies relevantes para relay y reachability de jump hosts
- visibilidad de logs: generacion de eventos, forwarding, cobertura del colector, retencion y procedimiento de exportacion
- servicios de certificados, si existen: superficies de enrollment, exposicion de templates y rutas de administracion basadas en certificados
Por eso la auditoria de red mas amplia debe enlazar, y no reemplazar, el pillar AD especifico Como auditar Active Directory en un entorno air-gapped. La mecanica profunda de identidad sigue importando; este articulo solo amplia el scope hacia el borde, la transferencia, el logging y las limitaciones operativas.
Fuentes de datos y herramientas que aun funcionan offline
Las auditorias mas solidas en redes aisladas utilizan varias fuentes locales de evidencia porque ningun sistema individual cuenta toda la historia.
| Fuente de datos o workflow | Lo que demuestra | Limitacion clave |
|---|---|---|
| Consultas LDAP o LDAPS | Usuarios, grupos, equipos, delegacion, trusts, configuracion del directorio y muchos atributos relevantes para privilegios | Los datos del directorio por si solos no muestran el contenido de GPO almacenado en archivos ni todas las configuraciones del host |
| SYSVOL por SMB | Scripts, archivos de Group Policy template, artefactos basados en policies y cierta exposicion de contraseñas o preferencias | Debe correlacionarse con los metadatos de GPO almacenados en AD |
| Logs locales mas WEF/WEC | Lo que realmente se genero, reenvio, retuvo y centralizo dentro del perimetro | WEF es pasivo; no habilita la audit policy, no cambia el tamaño de los logs ni activa channels deshabilitados |
| PowerShell local e inventario read-only de hosts | Configuraciones de protocolo, postura de administrador local, estado del software y evidencia de hardening seleccionada | El scope y los permisos deben documentarse para que los reruns sigan siendo comparables |
Escaneo offline de actualizaciones Microsoft mediante WUA y Wsusscn2.cab | Si faltan actualizaciones de seguridad de Microsoft en sistemas Windows sin acceso live a internet | Cubre metadatos de actualizaciones de seguridad, no los payloads ni una telemetria conectada completa |
| Paquete de exportacion controlado | Que evidencia puede salir del perimetro, con que aprobaciones y en que formato | La comodidad de exportacion no equivale a una cadena de custodia defendible |
Aqui importan dos caveats especificos de Microsoft.
Primero, Group Policy no es solo un problema de AD. Microsoft documenta que las GPO tienen componentes logicos en Active Directory y componentes fisicos en el Group Policy template almacenado en SYSVOL. Si inspecciona solo datos LDAP, la superficie de policy queda infrarrevisada.
Segundo, WEF ayuda, pero es limitado. Microsoft indica que WEF lee eventos operativos o administrativos ya existentes y reenvia los eventos seleccionados a un servidor WEC, pero sigue siendo pasivo respecto a la generacion de eventos. No puede cambiar el tamaño de los event logs, habilitar event channels deshabilitados, modificar permisos de channels ni ajustar la security audit policy. En otras palabras, reenviar logs incompletos de forma mas eficiente sigue siendo logging incompleto.
En entornos de dominio, Microsoft tambien indica que el trafico WEF se cifra con Kerberos por defecto incluso cuando se selecciona HTTP, y que HTTPS se necesita principalmente cuando la autenticacion basada en certificados sustituye a Kerberos. Eso hace que WEF/WEC sea realista en muchos entornos Windows aislados, pero solo si las fuentes de eventos ya generan la evidencia correcta.
Revise juntos los controles de identidad, host, red y logging
Los entornos aislados son faciles de auditar mal cuando cada familia de controles se revisa por separado. El enfoque mas defendible es correlacionar los controles de identidad, host, red y logging en la misma pasada.
Identidad y privilegios
Empiece por quienes pueden cambiar el entorno, no por quienes solo pertenecen a el. Eso incluye administradores de dominio y locales, cuentas break-glass, cuentas de servicio, derechos delegados y operadores de jump hosts o servidores de transferencia. Para entornos muy centrados en AD, use Auditar la seguridad de Active Directory: que revisar primero y como demostrar la remediacion para la secuencia detallada de revision de identidad y Windows LAPS no implementado: por que las contraseñas de administrador local compartidas siguen importando cuando sigan existiendo credenciales locales compartidas entre hosts Windows aislados.
Postura del host y de los protocolos
Las debilidades de protocolo no dejan de importar solo porque esten dentro del perimetro. Firma SMB, exposicion NTLM, firma LDAP, practicas antiguas sobre administradores locales y rutas propicias para relay siguen siendo problemas locales de movimiento lateral. Si la red utiliza de forma intensa autenticacion de Windows, Firma SMB deshabilitada: por que aun permite NTLM relay sigue siendo directamente relevante, igual que la revision de rutas de certificados mediante Rutas de ataque ADCS: como errores de certificados se convierten en rutas de escalada en Active Directory cuando exista AD CS.
Red y rutas de transferencia
Revise que sistemas pueden comunicarse con que sistemas para administracion, importacion de actualizaciones, exportacion de logs y transferencia de paquetes. Un bastion host que puede llegar a domain controllers, mirrors de paquetes y file brokers es un punto de control de alto valor aunque nunca navegue por internet. Si los medios extraibles forman parte del workflow, audite la aprobacion, el escaneo, el staging y la importacion como una superficie de control, no como una simple nota operativa.
Logging y retencion
La visibilidad local debe diseñarse. Revise la generacion de eventos en los sistemas que importan, la configuracion de forwarding cuando se utilice WEF/WEC, la salud del colector, la retencion, el comportamiento con backlog y el procedimiento de exportacion. Si el equipo necesita un mapa event-by-event para la actividad AD, use Supervision Seguridad AD: Event IDs y SIEM como referencia mas profunda, pero la auditoria mas amplia de red aislada debe contestar primero si el entorno puede conservar suficiente evidencia local para respaldar sus propias afirmaciones de seguridad.
Restricciones sobre actualizaciones, firmas e inteligencia de vulnerabilidades
Aqui es donde las revisiones de redes aisladas suelen volverse demasiado optimistas.
Microsoft documenta que Windows Update Agent puede escanear sistemas offline en busca de actualizaciones de seguridad usando un paquete Wsusscn2.cab proporcionado localmente. Eso es util, pero no equivale a una inteligencia de parches plenamente conectada. El catalogo contiene metadatos de actualizaciones relacionadas con seguridad y ayuda a responder la pregunta "que actualizaciones de seguridad de Microsoft parecen faltar?" No incluye las actualizaciones en si, y no resuelve el problema del software no Microsoft, drivers, firmware de appliances ni el retraso operativo introducido por procesos manuales de importacion.
Por eso una buena auditoria debe revisar el proceso, no solo el resultado del ultimo escaneo:
- Como se importan los catalogos de seguridad de Microsoft y con que frecuencia?
- Como se espejan en el entorno las firmas de terceros, el contenido de EDR o los datos de vulnerabilidades, si existe ese proceso?
- Cuanto tiempo tarda un paquete o una firma nueva en cruzar el perimetro?
- Que activos se excluyen de forma intencionada porque no existe un metodo offline fiable?
- Quien aprueba las excepciones cuando una guidance conectada no puede aplicarse directamente dentro del perimetro?
Si las respuestas son informales, el entorno depende de que la gente recuerde como mantenerlo al dia. Eso no es un control auditable.
Validacion despues de la remediacion
La remediacion en redes aisladas debe validarse de la misma forma en que se descubrio: con el mismo scope local, desde el mismo lado del perimetro y usando las mismas clases de evidencia.
Una secuencia practica de validacion se parece a esto:
- Congelar el scope del rerun: mismos segmentos, mismos dominios, mismos colectores y mismas hipotesis sobre las rutas de acceso.
- Volver a medir la condicion de riesgo: privilegios, configuraciones de host, logging, rutas de transferencia o estado de actualizaciones.
- Confirmar que el cambio no rompio la visibilidad local: logging, forwarding WEF/WEC o procedimientos de exportacion deben seguir funcionando tras el hardening.
- Registrar las excepciones restantes con un owner y una fecha de revision, especialmente donde la compatibilidad legacy siga impidiendo una correccion limpia.
- Conservar la evidencia antes y despues con fechas de recopilacion, supuestos de frontera y blind spots conocidos.
Warning: un PDF exportable no es prueba por si solo. En entornos aislados, la prueba depende de una recopilacion local repetible y de un metodo de rerun estable.
Como EtcSec ayuda en auditorias de redes empresariales aisladas
Para este use case, el limite de producto importante es simple. Los materiales oficiales de EtcSec sobre el collector describen un colector read-only que puede ejecutarse en modo standalone completamente local, mantener los datos dentro del entorno en ese modo y recopilar evidencia de Active Directory por LDAP/LDAPS y SYSVOL. Ese modelo de despliegue es materialmente mas relevante en una red empresarial aislada que cualquier afirmacion sobre dashboards o comodidad cloud.
En la practica, eso significa que un equipo puede mantener el colector dentro de la misma frontera de confianza que los sistemas revisados, repetir la auditoria localmente despues de la remediacion y conservar un modelo de evidencia coherente entre ciclos de revision. Si necesita el detalle del producto y no la guia de proceso, use ETC Collector para el modelo de despliegue y Comparativa de herramientas de auditoria AD: como comparar PingCastle, Purple Knight y flujos de auditoria repetibles para entender cuando un workflow local y repetible cambia la decision.
El valor aqui no es decir que una red aislada necesita una herramienta offline magica. El valor es disponer de recopilacion local read-only, reruns estables y findings que sigan siendo utilizables despues de la primera ola de limpieza.
Primary References
- CISA: BOD 23-01 Implementation Guidance
- NIST SP 800-115: Technical Guide to Information Security Testing and Assessment
- Microsoft Learn: Use Windows Event Forwarding to help with intrusion detection
- Microsoft Learn: Using WUA to Scan for Updates Offline
- Microsoft Open Specifications: MS-ADOD
- Microsoft Open Specifications: MS-GPOD Group Policy Structure
- ANSSI: Recommandations pour l'administration securisee des SI reposant sur AD
