InicioAgentesToolsblock_ip

Bloquear IP

Edge · cybersecurity · block_ip
← Volver

Descripción

Bloquea una IP o rango de IPs en el firewall local de forma inmediata.

Parámetros de la Tool

Entrada — lo que recibe
ParámetroTipoReq.Default
ipAddressstring✓ Sí
durationinteger
reasonstring
Salida — lo que devuelve
CampoTipoFormato
blockedboolean
ruleIdstring
timestampstringdate-time

Guía de Implementación

¿Por qué estos parámetros de entrada?

ipAddress es la IP a bloquear, obtenida directamente de detect_network_anomalies_local o detect_anomaly_patterns. duration define cuánto tiempo aplica el bloqueo — temporales para investigar sin interrumpir permanentemente servicios legítimos, permanentes para IPs de atacantes confirmados. reason se registra en el log de auditoría para cumplimiento normativo.

Cálculos y lógica a implementar

Agregar una regla de denegación al firewall local o al switch industrial vía su API (iptables, Cisco ACL, Fortinet API, etc.). Configurar el timeout de la regla si duration > 0. Generar un ruleId único para poder auditar o revertir la regla. Registrar la acción en el log de seguridad con timestamp, operador o agente que la ejecutó y la razón.

¿Por qué estos parámetros de salida?

blocked confirma que el bloqueo fue efectivo — si es false, el agente debe escalar al equipo de redes para intervención manual. ruleId permite al equipo de seguridad revisar, modificar o eliminar la regla desde el panel de gestión. timestamp es esencial para el log de incidentes y para correlacionar con otras alertas en el SIEM.

Interfaz gráfica recomendada

Panel de IPs bloqueadas con tabla: IP, Razón, Duración, Tiempo restante, Quién la bloqueó. Botón de desbloqueo por fila. Indicador de tiempo restante con countdown. Form de bloqueo rápido con campos IP, Duración y Razón.

Conexiones con otras Tools

Recibe de
detect_network_anomalies_local
ANOMALY_DETECTEDInternal

Anomalía crítica/alta activa bloqueo inmediato de IP

Evento ISO que genera esta tool

Cuando esta tool detecta un evento relevante, emite el siguiente evento al Simulador ISO. El campostandardEvent.module.iddebe usar este nombre exacto.
ip_block_action→ se visualiza en el Dashboard ISO y Reporte de Auditoría

Cláusulas ISO que cubre este evento

IEC 62443-3-3:2013§SR 5.1Segmentación de red

Bloqueo de IPs maliciosas para proteger la integridad de la red OT.

ISO 27001:2022§A.16.1Gestión de incidentes de seguridad

Respuesta activa ante incidentes de ciberseguridad mediante bloqueo de acceso.

Al ejecutar el demo de esta tool, el evento se guardará en el Simulador ISO con este identificador.

Demo en vivo

Listo

Presiona Ejecutar Demo para ver cómo actúa esta tool en tiempo real

Agentes que usan esta tool

🔐 Agente de Ciberseguridad IndustrialHybrid
Bloquear IP
Hola, soy el asistente de  Bloquear IP. ¿En qué puedo ayudarte?