Documentos de Académico
Documentos de Profesional
Documentos de Cultura
0 CAPITULO 2
por un routerde borde, que a menudo funciona como la primera y última línea de
defensa de una red. El router de borde ayuda a proteger el perímetro de una red
protegida e implementa acciones de seguridad basadas en las políticas de seguridad
de la organización. Por estas razones, la seguridad de routers de red es
imprescindible.
Seguridad física
Proporcionar seguridad física para los routers:
• Coloque el router y los dispositivos físicos que se conectan a él en una
habitación segura y cerrada que es accesible sólo al personal autorizado, está
libre de interferencias electrostáticas o magnéticas, tiene supresión de
incendios y tiene controles de temperatura y humedad.
• Instale una fuente de alimentación ininterrumpible (SAI) o un generador de
energía de respaldo diesel y mantenga los componentes de repuesto
disponibles. Esto reduce la posibilidad de una interrupción de red de la pérdida
de energía.
Seguridad del sistema operativo
Hay algunos procedimientos implicados en asegurar las características y el
funcionamiento de los sistemas operativos del ranurador:
• Configure el router con la cantidad máxima de memoria posible. La
disponibilidad de memoria puede ayudar a mitigar los riesgos para la red de
algunos ataques de denegación de servicio (DoS) mientras soporta la más
amplia gama de servicios de seguridad.
• Utilice la última versión estable del sistema operativo que cumpla con las
especificaciones de características del enrutador o dispositivo de red. Las
características de seguridad y cifrado en un sistema operativo se mejoran y se
actualizan con el tiempo, lo que hace que sea crítico tener la versión más
actualizada.
• Mantenga una copia segura de las imágenes del sistema operativo del enrutador
y los archivos de configuración del enrutador como copias de seguridad.
Router Hardening
Elimine el abuso potencial de puertos y servicios no utilizados:
seguro
•2.1.2.1Contraseñas Fuertes
Contraseñas Fuertes
Los atacantes implementan varios métodos para descubrir contraseñas
administrativas. Pueden mirar por encima del hombro de un usuario, intentar adivinar
contraseñas basadas en la información personal del usuario, o inhalar paquetes que
contengan archivos de configuración de texto sin formato. Los atacantes también
pueden usar un cracker de contraseñas, como L0phtCrack (Figura 1) o Cain & Abel
para descubrir contraseñas.
Los administradores deben asegurarse de que se utilizan contraseñas seguras en toda
la red. Siga las directrices de contraseña fuerte para proteger los activos, como routers
y conmutadores. En la Figura 2 se muestran pautas de contraseña fuertes. En
contraste, las Figuras 3 y 4 muestran ejemplos de contraseñas débiles y contraseñas
seguras.
En los routers de Cisco y muchos otros sistemas, los espacios que guían la contraseña
se ignoran, pero los espacios después del primer carácter no se ignoran. Un método
para crear una contraseña fuerte es utilizar un espacio en blanco en la contraseña o
crear una frase hecha de muchas palabras. Esto se llama una frase de contraseña. Una
contraseña es a menudo más fácil de recordar que una contraseña compleja. Una frase
de contraseña es más larga y más difícil de adivinar que una contraseña.
De forma predeterminada, la CLI del software Cisco IOS tiene dos niveles de acceso
a los comandos:
• Modo EXEC de usuario (nivel de privilegio 1) : proporciona los privilegios
de usuario de modo EXEC más bajo y sólo permite comandos de nivel de
usuario disponibles en el indicador de router.
• Modo EXEC privilegiado (nivel de privilegio 15) - Incluye todos los
comandos de habilitación en el indicador # del router.
Hay 16 niveles de privilegios en total, como se muestra en la Figura 3. Cuanto más
alto es el nivel de privilegios, más acceso tiene un router a un usuario. Los comandos
que están disponibles en niveles de privilegio más bajos también son ejecutables en
niveles más altos. Para asignar comandos a un nivel de privilegios personalizado,
utilice el comando de modo de configuración global de privilegios (Figura 4).
16 Niveles de privilegios
• Nivel 0: predefinido para privilegios de acceso a nivel de usuario.
Rara vez se utiliza, pero incluye cinco comandos: deshabilitar,
habilitar, salir, ayudar y cerrar la sesión.
•
Nivel 1: El nivel predeterminado de inicio de sesión con el router
Router>. Un usuario no puede realizar cambios ni ver el archivo de
configuración en ejecución.
•
Niveles 2 -14: Puede personalizarse para privilegios a nivel de
usuario. Los comandos de niveles inferiores se pueden mover hasta
otro nivel superior, o los comandos de niveles más altos pueden
bajarse a un nivel inferior.
•
Nivel 15: Reservado para los privilegios de habilitar modo (habilitar
comando). Los usuarios pueden cambiar las configuraciones y ver
los archivos de configuración.
• Configurar el enrutamiento
• Configurar interfaces
• Emitir comandos de presentación
Paso 3 . Asigne una vista existente mediante el comando view view-name en modo
de configuración de vista. La Figura 2 muestra la sintaxis del comando para el
comando view.
Paso 4 . Salga del modo de configuración superview escribiendo el comando exit .
Más de una vista se puede asignar a una superview, y las vistas pueden ser
compartidas entre superviews. La Figura 3 proporciona un ejemplo de configuración
de tres superviews: USER, SUPPORT y JR-ADMIN. La Figura 4 muestra las
superviews configuradas en la configuración en ejecución.
Para acceder a las vistas existentes, ingrese el comando enable view view-name en
modo usuario e ingrese la contraseña asignada a la vista personalizada. Utilice el
mismo comando para cambiar de una vista a otra.
Utilice el Comprobador de sintaxis de la Figura 5 para configurar superviews en R2.
Paso 5 . Salir del modo de configuración global y emitir la copia comando para
copiar el archivo de configuración rescatado a la configuración en ejecución.
Recuperación de contraseña
Si alguien obtuvo acceso físico a un enrutador, podrían potencialmente obtener el
control de ese dispositivo mediante el procedimiento de recuperación de
contraseña. Este procedimiento, si se realiza correctamente, deja intacta la
configuración del enrutador. Si el atacante no hace grandes cambios, este tipo de
ataque es difícil de detectar. Un atacante puede utilizar este método de ataque para
descubrir la configuración del enrutador y otra información pertinente sobre la red,
como los flujos de tráfico y las restricciones de control de acceso.
Un administrador puede mitigar esta brecha de seguridad potencial utilizando
el comando de modo de configuración global de recuperación de contraseña sin
servicio . Este comando es un comando oculto de Cisco IOS y no tiene argumentos ni
palabras clave. Si un enrutador está configurado con el comando no-service
recovery-recovery , todo el acceso al modo ROMmon está deshabilitado.
Cuando se introduce el comando de recuperación de contraseña de servicio sin
servicio , se muestra un mensaje de advertencia y se debe confirmar antes de que se
habilite la función, como se muestra en la Figura 1.
Cuando se configura, el comando show running-config muestra una sentencia
de recuperación de contraseñas sin servicio , como se muestra en la Figura 2.
Como se muestra en la Figura 3, cuando se inicia el enrutador, la secuencia de
arranque inicial muestra un mensaje indicando que la FUNCIONALIDAD DE
RECUPERACIÓN DE PASSWORD ESTÁ DESACTIVADA.
Para recuperar un dispositivo después de que se ingresa el comando de recuperación
de contraseña de no servicio , inicie la secuencia de interrupción en cinco segundos
después de que la imagen se descomprime durante el inicio. Se le solicitará que
confirme la acción de la tecla de interrupción. Una vez confirmada la acción, la
configuración de inicio se borra por completo, el procedimiento de recuperación de
contraseña se habilita y el enrutador se inicia con la configuración predeterminada de
fábrica. Si no confirma la acción de interrupción, el enrutador arranca normalmente
con el comando de recuperación de contraseña de no servicio habilitado.
PRECAUCIÓN : Si la memoria flash del enrutador no contiene una imagen de Cisco
IOS válida debido a daños o supresión, el comando ROMmon xmodem no se puede
utilizar para cargar una nueva imagen de flash. Para reparar el enrutador, el
administrador debe obtener una nueva imagen de Cisco IOS en un SIMM de flash o
en una tarjeta PCMCIA. Sin embargo, si un administrador tiene acceso a ROMmon
pueden restaurar un archivo IOS a memoria flash utilizando un servidor
TFTP. Consulte Cisco.com para obtener más información sobre las imágenes de flash
de copia de seguridad.
La Figura 2 muestra más detalles para la red de gestión protegida. Aquí es donde
residen los hosts de administración y los servidores de terminales. Cuando se colocan
dentro de la red de gestión, los servidores de terminal ofrecen conexiones de consola
directas OOB a través de la red de gestión a cualquier dispositivo de red que requiera
gestión en la red de producción. La mayoría de los dispositivos deben conectarse a
este segmento de gestión y configurarse mediante la administración OOB.
Debido a que la red de administración tiene acceso administrativo a casi todas las
áreas de la red, puede ser un objetivo muy atractivo para los hackers. El módulo de
gestión del cortafuegos incorpora varias tecnologías diseñadas para mitigar dichos
riesgos. La principal amenaza es un hacker que intenta acceder a la red de
administración. Esto puede lograrse a través de un host gestionado comprometido al
que un dispositivo de administración debe tener acceso. Para mitigar la amenaza de
un dispositivo comprometido, se debe implementar un control de acceso sólido en el
cortafuegos y en cualquier otro dispositivo. Los dispositivos de administración deben
configurarse de una manera que impida la comunicación directa con otros hosts en la
misma subred de administración usando
opción es crear túneles seguros, utilizando protocolos como IPsec, para el tráfico de
gestión. Si el acceso de administración no es necesario en todo momento, se pueden
colocar agujeros temporales en un cortafuegos mientras se realizan funciones de
administración. Esta técnica debe utilizarse con cautela, y todos los agujeros deben
cerrarse inmediatamente cuando se completan las funciones de gestión. Las pautas de
administración en banda se muestran en la Figura 2.
Por último, si utiliza herramientas de gestión remota con gestión en banda, tenga
cuidado con las vulnerabilidades de seguridad subyacentes de la herramienta de
gestión en sí. Por ejemplo, los administradores SNMP se utilizan a menudo para
facilitar la solución de problemas y las tareas de configuración en una red. Sin
embargo, SNMP debe tratarse con el máximo cuidado porque el protocolo subyacente
tiene su propio conjunto de vulnerabilidades de seguridad.
Introducción a Syslog
La implementación de una instalación de registro es una parte importante de
cualquier política de seguridad de red. Cuando se producen ciertos eventos en una
red, los dispositivos de red tienen mecanismos de confianza para notificar al
administrador con mensajes detallados del sistema. Estos mensajes pueden ser no
críticos o significativos, y hay varias opciones disponibles para almacenarlos,
interpretarlos y mostrarlos. Los administradores pueden ser alertados de todos los
mensajes o sólo de los mensajes que pueden tener el mayor impacto en la
infraestructura de red.
El método más común de acceso a los mensajes del sistema de los dispositivos de red
es el uso de un protocolo llamado syslog, que se describe en RFC 5424. Syslog utiliza
el puerto UDP 514 para enviar mensajes de notificación de eventos a través de redes
IP a los recolectores de mensajes de eventos. se muestra en la figura.
Muchos dispositivos de red admiten syslog, incluidos enrutadores, conmutadores,
servidores de aplicaciones, firewalls y otros dispositivos conectados en red. El
servicio de registro de syslog proporciona tres funciones principales:
• La capacidad de recopilar información de registro para la supervisión y
solución de problemas
• La capacidad de seleccionar el tipo de información de registro que se captura
• La capacidad de especificar los destinos de los mensajes de syslog capturados
Operación Syslog
En los dispositivos de red de Cisco, el protocolo syslog comienza enviando mensajes
del sistema y la salida de depuración a un proceso de registro local que es interno al
dispositivo. La forma en que el proceso de registro administra y genera estos
mensajes se basa en las configuraciones del dispositivo. Por ejemplo, los mensajes
syslog pueden enviarse a través de la red a un servidor syslog externo. Estos mensajes
pueden ser recuperados y luego extraídos en varios informes para facilitar la lectura.
Los routers de Cisco pueden registrar información relacionada con cambios de
configuración, violaciones de ACL, estado de la interfaz, utilización de la CPU y
muchos otros tipos de eventos. Por ejemplo, utilice el umbral de la marca de agua
inferior libre de memoria ioy los comandos del procesador de marca de bajo
nivel de memoria libre de memoria para establecer umbrales de memoria. El
enrutador enviará notificaciones, especificadas en kilobytes al servidor syslog cuando
la memoria libre disponible caiga por debajo del umbral. El enrutador enviará
notificaciones de nuevo cuando la memoria libre disponible se eleve a un cinco por
ciento por encima del umbral.
Los routers de Cisco pueden registrar información relacionada con cambios de
configuración, violaciones de ACL, estado de la interfaz y muchos otros tipos de
eventos. Los enrutadores Cisco se pueden configurar para enviar mensajes syslog a
varias instalaciones diferentes, como se muestra en la figura:
• Buffer de registro : los mensajes se almacenan en la memoria del enrutador
durante un período de tiempo. Sin embargo, los eventos se borran cuando se
reinicia el enrutador.
• Consola : el registro de la consola está activado de forma predeterminada. Los
mensajes Syslog se envían a la línea de consola cuando el administrador activa
la interfaz.
• Líneas de terminales : las sesiones EXEC habilitadas se pueden configurar
para recibir mensajes de registro en cualquier línea de terminal.
• Servidor Syslog : los enrutadores Cisco se pueden configurar para reenviar
mensajes de registro a un servicio syslog externo.
Mensaje Syslog
Los dispositivos Cisco producen mensajes syslog como resultado de eventos de
red. Cada mensaje syslog contiene un nivel de gravedad y una facilidad.
Los niveles numéricos más pequeños son las alarmas de syslog más críticas. El nivel
de gravedad de los mensajes se puede configurar para controlar dónde se muestra
cada tipo de mensaje (es decir, en la consola o en los otros destinos). La lista
completa de niveles syslog se muestra en la Figura 1. Cada nivel syslog tiene su
propio significado, como se muestra en la Figura 2.
Los niveles Syslog de cero a cuatro son mensajes sobre la funcionalidad de software
o hardware. La gravedad del problema determina el nivel actual de syslog
aplicado. Los niveles 5 y 6 de Syslog corresponden a notificaciones y mensajes
informativos. El nivel siete de Syslog indica que los mensajes se generan generando
varios comandos de depuración.
Además de especificar la gravedad, los mensajes syslog contienen información sobre
la instalación. Las instalaciones de Syslog son identificadores de servicio que
identifican y categorizan los datos de estado del sistema para el reporte de errores y
de mensajes de eventos. Las opciones de la instalación de registro que están
disponibles son específicas para el dispositivo de red.
El formato de los mensajes de syslog de Cisco IOS se muestra en la Figura 3.
Sistemas Syslog
Las implementaciones de Syslog siempre contienen dos tipos de sistemas:
• Servidores Syslog : también conocidos como hosts de registro, estos sistemas
aceptan y procesan mensajes de registro de clientes syslog.
• Clientes Syslog - Enrutadores u otros tipos de equipos que generan y envían
mensajes de registro a los servidores de syslog.
La topología de la figura identifica el servidor syslog en la dirección IP 10.2.2.6. El
resto de los servidores y dispositivos de la topología se pueden configurar como
clientes syslog, que envían mensajes syslog al servidor syslog.
Introducción a SNMP
Otra herramienta de monitoreo común es el protocolo simple de administración de
red (SNMP). SNMP fue desarrollado para permitir a los administradores administrar
dispositivos en una red IP. Permite a los administradores de red supervisar el
rendimiento de la red, administrar dispositivos de red, solucionar problemas de red y
planificar el crecimiento de la red.
SNMP consta de tres elementos relevantes para el Sistema de Gestión de Redes
(NMS):
• Administrador SNMP
• Agentes SNMP (nodo gestionado)
• Base de Información de Gestión (MIB)
Los administradores y agentes de SNMP usan UDP para intercambiar
información. Específicamente, los agentes SNMP escuchan el puerto UDP 161
mientras que los administradores SNMP escuchan el puerto UDP 162. El gestor
SNMP ejecuta el software de gestión SNMP. Como se muestra en la figura, el gestor
SNMP puede recopilar información de un agente SNMP utilizando las solicitudes get
y puede cambiar las configuraciones en un agente utilizando la acción peticiones
establecidas. El agente SNMP debe configurarse para proporcionar acceso a la MIB
local. Además, los agentes SNMP se pueden configurar para enviar notificaciones
(trampas) directamente a un administrador SNMP.
Versiones de SNMP
Varias versiones de SNMP están disponibles:
• SNMPv1 - Definido en RFC 1157; siempre que no haya mecanismo de
autenticación o cifrado
• SNMPv2c - Definido en los RFC 1901 a 1908; mejorado con SNMPv1 pero
sin mecanismo de autenticación o encriptación
• SNMPv3 - Definido en los RFC 2273 a 2275; proporciona acceso seguro a
dispositivos mediante la autenticación y el cifrado de paquetes a través de la
red
Los detalles del modelo de seguridad para cada versión se muestran en la figura.
Vulnerabilidades de SNMP
En cualquier topología de red, al menos un nodo gestor debe ejecutar el software de
gestión SNMP. Los dispositivos de red que se pueden administrar, como switches,
enrutadores, servidores y estaciones de trabajo, están equipados con el módulo de
software del agente SNMP. Estos agentes son responsables de proporcionar al
administrador SNMP acceso a una MIB local, que almacena datos sobre la operación
del dispositivo.
SNMP es vulnerable a ataques precisamente porque los agentes SNMP pueden ser
consultados con las solicitudes get y aceptar cambios de configuración con las
peticiones establecidas, como se muestra en la figura. Por ejemplo, una solicitud de
conjunto puede hacer que un enrutador se reinicie, envíe un archivo de configuración
o reciba un archivo de configuración. También se puede configurar un agente SNMP
para enviar trampas o notificaciones. En SNMPv1 y SNMPv2c, estas solicitudes y
notificaciones no se autentican o encriptan.
SNMPv3
SNMPv3 autentica y cifra los paquetes a través de la red para proporcionar acceso
seguro a los dispositivos. Esto abordó las vulnerabilidades de las versiones anteriores
de SNMP.
SNMPv3 proporciona tres características de seguridad:
• Integridad y autenticación del mensaje - Asegura que un paquete no ha sido
manipulado en tránsito y es de una fuente válida, como se muestra en la Figura
1.
• Cifrado : codifica el contenido de un paquete para evitar que sea visto por una
fuente no autorizada, como se muestra en la Figura 2.
• Control de acceso - Restringe cada principal a ciertas acciones en porciones
específicas de datos, como se muestra en la Figura 3.
Servidor NTP
Al determinar si usar un reloj privado para la sincronización contra un reloj público,
es necesario pesar los riesgos y los beneficios de ambos.
Si se implementa un reloj maestro privado, el administrador debe asegurarse de que
la fuente de tiempo es válida y de un sitio seguro. Pueden introducirse
vulnerabilidades si el sitio no es seguro. Por ejemplo, un atacante puede lanzar un
ataque DoS enviando datos NTP falsos a través de Internet a la red en un intento de
cambiar los relojes. Este ataque podría ocasionar que los certificados digitales se
invalidaran. Un atacante podría intentar confundir a un administrador de red durante
un ataque interrumpiendo los relojes en los dispositivos de red. Este escenario
dificultaría que el administrador de red determinara el orden de sucesos de syslog en
varios dispositivos.
Obtener tiempo de reloj desde Internet significa que los paquetes no garantizados son
permitidos a través del firewall. Muchos servidores NTP en Internet no requieren
Autenticación NTP
NTP versión 3 (NTPv3), y posteriores, soporta un mecanismo de autenticación
criptográfica entre pares NTP. Este mecanismo de autenticación se puede utilizar para
ayudar a mitigar un ataque. Se utilizan tres comandos en el maestro NTP y en el
cliente NTP:
• ntp authenticate (Figura 1)
• ntp authentication-key key-number md5 valor-clave (Figura 2)
• ntp número de clave de clave de confianza(Figura 3)
La Figura 4 muestra una configuración de autenticación NTP de ejemplo.
Los clientes configurados sin autenticación aún obtienen la hora del servidor. La
diferencia es que estos clientes no autentican el servidor como una fuente segura.
Utilice el comando show ntp associations detail, como se muestra en la Figura 5,
para confirmar que el servidor es una fuente autenticada.
Nota : También puede establecer el valor del número de clave como un argumento en
el mandato ntp-server-address del servidor ntp .
Utilice el Comprobador de sintaxis en la Figura 6 para configurar la autenticación
NTP en R1.
disponible, tal como Cisco CDP Monitor mostrado en la Figura 2, se puede descargar
para obtener la información. La intención de CDP y LLDP es facilitar a los
administradores la detección y resolución de problemas de otros dispositivos en la
red. Sin embargo, debido a las implicaciones de seguridad, estos protocolos de
descubrimiento deben utilizarse con precaución. Si bien es una herramienta
extremadamente útil, no debe estar en todas partes en la red. Los dispositivos de
borde son un ejemplo de un dispositivo que debería tener esta característica
desactivada.
Algunos de los ajustes predeterminados en el software Cisco IOS están ahí por
razones históricas. Eran configuraciones lógicas por defecto en el momento en que el
software fue escrito originalmente. Otras configuraciones predeterminadas tienen
sentido para la mayoría de los sistemas, pero pueden crear exposiciones de seguridad
si se utilizan en dispositivos que forman parte de una defensa perimetral de la
red. Todavía otros estándares son requeridos por las normas, pero no siempre son
deseables desde el punto de vista de la seguridad.
La Figura 1 resume la característica y la configuración predeterminada para
protocolos y servicios. La Figura 2 muestra la configuración de seguridad
recomendada para protocolos y servicios.
Existen varias prácticas importantes disponibles para ayudar a asegurar que un
dispositivo sea seguro:
• Deshabilite servicios e interfaces innecesarios.
• Deshabilite y restrinja servicios de administración comúnmente configurados,
como SNMP.
• Deshabilitar sondas y exploraciones, como ICMP. Asegurar la seguridad del
acceso al terminal.
• Deshabilite los protocolos de resolución de direcciones (ARP) gratuitos y de
proxy.
• Inhabilitar las transmisiones dirigidas por IP.
Cisco AutoSecure
Lanzado en IOS versión 12.3, Cisco AutoSecure es una característica que se inicia
desde la CLI y ejecuta un script. AutoSecure hace recomendaciones para corregir
vulnerabilidades de seguridad y luego modifica la configuración de seguridad del
enrutador, como se muestra en la figura.
AutoSecure puede bloquear las funciones del plano de gestión y los servicios y
funciones del plano de reenvío de un enrutador. Hay varios servicios y funciones del
plano de gestión:
• Proteja los servidores pequeños de BOOTP, CDP, FTP, TFTP, PAD, UDP y
TCP, MOP, ICMP (redireccionamientos, respuestas de máscara), enrutamiento
de origen IP, Finger, encriptación de contraseña, TCP keepalives, ARP gratuito,
proxy ARP y broadcast dirigido
• Notificación legal mediante un banner
• Contraseña segura y funciones de inicio de sesión
• Secure NTP
• Acceso SSH seguro
• Servicios de interceptación TCP
Hay tres servicios y funciones de plano de reenvío que AutoSecure permite:
• Reenvío Cisco Express (CEF)
• Filtrado de tráfico con ACL
• Inspección de firewall Cisco IOS para protocolos comunes
AutoSecure se utiliza a menudo en el campo para proporcionar una política de
seguridad de línea de base en un nuevo enrutador. Las características pueden ser
alteradas para apoyar la política de seguridad de la organización.
Cuando el asistente está completo, una configuración en ejecución muestra todas las
configuraciones y cambios.
Nota : AutoSecure debe utilizarse cuando se configura inicialmente un enrutador. No
se recomienda en los routers de producción.
Utilice el Comprobador de sintaxis en la Figura 8 para asegurar R1 usando
AutoSecure.
Operación CoPP
Control Plane Policing (CoPP) es una característica de Cisco IOS diseñada para
permitir a los administradores administrar el flujo de tráfico que se "compite" con el
procesador de rutas, como se muestra en la figura. El término "punt" está definido por
Cisco para describir la acción que toma una interfaz al enviar un paquete al
procesador de ruta. CoPP está diseñado para evitar que el tráfico innecesario
sobrecargue el procesador de rutas, que si no se detiene, podría afectar el rendimiento
del sistema.
CoPP protege el procesador de rutas en dispositivos de red al tratar los recursos del
procesador de rutas como una entidad independiente con su propia interfaz. En
consecuencia, una política de CoPP puede ser desarrollada y aplicada solamente a
aquellos paquetes dentro del plano de control. A diferencia de las ACL de interfaz, no
se desperdicia ningún esfuerzo investigando paquetes de planos de datos que nunca
llegarán al plano de control.