Documentos de Académico
Documentos de Profesional
Documentos de Cultura
ciberseguridad de la Agencia
de Seguridad Nacional
Orientación sobre la
seguridad de las
infraestructuras
de red
Marzo de 2022
PP-22-0266
Versión 1.0
Agencia de Seguridad Nacional | Informe técnico sobre
ciberseguridad
Orientación sobre la seguridad de las
infraestructuras de red
Avisos e historia
Renuncia a las garantías y al aval
La información y las opiniones contenidas en este documento se proporcionan "tal cual" y sin ninguna
garantía. La referencia en este documento a cualquier producto, proceso o servicio comercial específico
por su nombre comercial, marca registrada, fabricante o de otro modo, no constituye necesariamente ni
implica su respaldo, recomendación o favorecimiento por parte del Gobierno de los Estados Unidos, y
esta guía no se utilizará con fines publicitarios o de respaldo de productos.
Reconocimiento de la marca
Cisco® y Cisco IOS® son marcas registradas de Cisco Systems, Inc.
Información de publicación
Autor(es)
Dirección de Ciberseguridad de la
Agencia Nacional de Seguridad
Información de contacto
Requisitos del cliente / Consultas generales sobre ciberseguridad:
Centro de Requisitos de Ciberseguridad, 410-854-4200, Cybersecurity_Requests@nsa.gov
Propósito
Este documento se ha elaborado en cumplimiento de las misiones de ciberseguridad de la NSA. Esto
incluye sus responsabilidades para identificar y difundir las amenazas a los Sistemas de Seguridad
Nacional, los sistemas de información del Departamento de Defensa y la Base Industrial de Defensa, y
para desarrollar y emitir especificaciones y mitigaciones de ciberseguridad. Esta información puede
compartirse ampliamente para llegar a todas las partes interesadas apropiadas.
3.2 Mantener una gestión ........................... adecuada del sistema de archivos y del arranque9
Este informe presenta las mejores prácticas para la seguridad general de la red y la
protección de los dispositivos de red individuales, y ayudará a los administradores a
evitar que un adversario explote su red. Aunque la orientación que se presenta aquí
es genérica y puede aplicarse a muchos tipos de dispositivos de red, se proporcionan
comandos de ejemplo para los dispositivos del Sistema Operativo de Red (IOS) de
Cisco que pueden ejecutarse para aplicar las recomendaciones.
NSA recomienda eliminar todas las conexiones de red de puerta trasera y tener cuidado
al conectar dispositivos con más de una interfaz de red. Verifique que todas las
interfaces de red de un dispositivo tengan niveles de seguridad similares, o que un
dispositivo intermedio proporcione una separación lógica y física entre las diferentes
áreas de la red.
NSA también recomienda habilitar el registro de estos conjuntos de reglas para incluir,
como mínimo, todos los que denieguen o abandonen el tráfico de red e incluyan el
acceso exitoso o fallido del administrador a los dispositivos críticos.
NSA recomienda implementar una solución NAC que identifique y autentique los
dispositivos únicos conectados a la red. La seguridad de los puertos es un mecanismo
que se puede implementar en los conmutadores para detectar cuando se conectan
dispositivos no autorizados a la
red a través de la dirección de control de acceso al medio (MAC) de un dispositivo. Sin
embargo, la seguridad de los puertos puede ser difícil de gestionar. Por ejemplo,
aumenta el número de tickets de soporte debido a los puertos de red bloqueados
válidos (por ejemplo, dispositivos conectados que cambian a menudo, como las salas
de conferencias). Además, los adversarios que pueden falsificar una dirección MAC
también pueden eludirla. Una solución más sólida utiliza 802.1X, que autentifica los
dispositivos basándose en un certificado digital de confianza instalado en el dispositivo.
Aunque es más difícil de implementar, debido a la generación e instalación de
certificados, es más fácil de gestionar que la seguridad de puertos y ofrece un mayor
nivel de garantía.
Todas las configuraciones de VPN IPsec requieren una política IPsec y una política de
intercambio de claves de Internet (IKE). Estas políticas determinan cómo se negociará
cada fase al establecer el túnel IPsec. Si cualquiera de las fases está configurada
para permitir una criptografía débil, toda la VPN puede estar en riesgo y se perderá la
confidencialidad de los datos. Cada política IKE incluye al menos tres componentes
clave:
1. Algoritmo/grupo Diffie-Hellman
2. Algoritmo de encriptación
3. Algoritmo Hashing
Un túnel VPN puede establecerse entre dos puntos finales para proporcionar un canal
de comunicación encriptado a través de una red no fiable, como Internet. Al establecer
una propuesta, política o conjunto de transformación de VPN, asegúrese de que sigue
las recomendaciones de CNSSP 15 [4]. Los requisitos de la CNSSP 15 se explican en
el borrador del documento del Grupo de Trabajo de Ingeniería de Internet (IETF) sobre
"Commercial National Security Algorithm (CNSA) Suite Cryptography for Internet
Protocol Security (IPsec)" [5].
Nota: Si se desactivan las políticas por defecto, sólo se utilizarán las políticas
configuradas explícitamente.
Establezca una propuesta, política y perfil IKEv2 con los siguientes comandos de
configuración de ejemplo:
La configuración del perfil dependerá de la red para la que se configure, y debe tener
métodos de autenticación local y remota y una declaración de coincidencia. También
se puede establecer un llavero independiente y aplicarlo al perfil para múltiples claves
precompartidas.
El perfil IPsec debe aplicarse a la interfaz del túnel con los siguientes comandos de
configuración:
PP-22-0266 | MAR 2022 Ver. 1.0 11
Agencia de Seguridad Nacional | Informe técnico sobre
ciberseguridad
Orientación sobre la seguridad de las
infraestructuras de red
interfaz <TUNNEL_INTERFACE_NAME>
tunnel protection ipsec profile <IPSEC_PROFILE_NAME>
no hay cierre
Volver al contenido
3. Mantenimiento de la seguridad
El hardware y el software obsoletos pueden contener vulnerabilidades conocidas
públicamente y proporcionar un mecanismo fácil para que los adversarios exploten la
red. Estas vulnerabilidades se mitigan actualizando regularmente el hardware y el
software a versiones más nuevas que
apoyado por el proveedor. Además, el
La integridad del software descargado Actualizar el hardware
debe verificarse antes y durante su uso. El
mantenimiento de la seguridad debe
y el software para
realizarse periódicamente para garantizar garantizar la eficacia y
que los dispositivos sigan funcionando de
forma segura. la seguridad.
delete <PATH:filename>
Los archivos del sistema operativo más antiguos o los archivos de configuración de
copia de seguridad obsoletos almacenados en el dispositivo son probablemente
innecesarios, y deben ser eliminados. El almacenamiento de varias versiones de
software ofrece al adversario la oportunidad de recargar el software obsoleto y
reintroducir las vulnerabilidades parcheadas en las versiones más recientes del sistema
operativo.
Para obtener una lista de los archivos más recientes del sistema operativo de
Cisco, consulte las páginas de soporte en https://www.cisco.com/ [9].
Una vez que un proveedor publica un aviso de fin de vida útil o anuncia que un
dispositivo dejará de recibir soporte, la NSA recomienda elaborar un plan para
actualizar o sustituir los dispositivos afectados por equipos más nuevos, de acuerdo con
las recomendaciones del proveedor. Los dispositivos obsoletos o sin soporte deben
actualizarse o sustituirse inmediatamente para garantizar la disponibilidad de los
servicios de red y el soporte de seguridad.
Para obtener una lista de dispositivos Cisco compatibles, consulte las páginas de
soporte en https://www.cisco.com/ [9].
Volver al contenido
• Configurado para autenticar los dispositivos con una clave precompartida única
y compleja para garantizar que sólo los dispositivos autorizados puedan utilizar
los servicios AAA (véase 5.6 Crear contraseñas seguras).
• Configurados para utilizar el mismo protocolo (por ejemplo, TACACS+,
RADIUS o LDAP) para mantener la coherencia, y utilizar el transporte
cifrado cuando sea compatible (por ejemplo, RadSec, Diameter, LDAPS o
IPsec encapsulado).
• Sincronizados entre sí para garantizar la coherencia de las credenciales de
los usuarios y los controles de acceso.
Un grupo de servidores con múltiples servidores AAA puede ser configurado con los
siguientes comandos de configuración:
La lista por defecto debe utilizarse para asegurar que la configuración se aplica en
todas partes.
NSA recomienda que todas las cuentas se configuren con un nivel de privilegio 1 o 0, y
que requieran que los administradores introduzcan credenciales adicionales para
elevar a un nivel de privilegio superior para realizar las tareas requeridas. Los niveles
de privilegio deben revisarse periódicamente, y los accesos innecesarios deben
eliminarse para evitar el uso inadvertido de comandos de nivel privilegiado en niveles
de privilegio inferiores.
Del mismo modo, el mismo concepto debe aplicarse a las líneas de consola (CON),
auxiliar (AUX) y teletipo virtual (VTY). Cuando la autorización AAA está correctamente
PP-22-0266 | MAR 2022 Ver. 1.0 25
Agencia de Seguridad Nacional | Informe técnico sobre
ciberseguridad
Orientación sobre la seguridad de las
infraestructuras
configurada, de depender
no debería red de la configuración de las líneas. Sin embargo, es
una buena práctica
línea con 0
nivel de privilegio 1
línea auxiliar 0
nivel de privilegio 1
línea vty 0 4
nivel de privilegio 1
línea vty 5 15
nivel de privilegio 1
Dependiendo del dispositivo, puede ser necesario aplicar una configuración similar a
otras líneas también. Si las líneas VTY 5 a 15 no existen en un dispositivo concreto, no
es necesario ejecutar esos comandos.
Del mismo modo, el mismo concepto de tres o menos intentos fallidos debe aplicarse a
las sesiones de Secure Shell (SSH) con el siguiente comando de configuración:
ip ssh authentication-retries 3
Volver al contenido
NSA recomienda eliminar todas las configuraciones por defecto y reconfigurar cada
dispositivo con una cuenta única y segura para cada administrador. No introduzca
ningún dispositivo nuevo en la red sin cambiar primero la configuración y las cuentas
administrativas por defecto. Tenga en cuenta que la cuenta de usuario por defecto de
algunos dispositivos no se puede eliminar.
NSA recomienda que el número de cuentas autorizadas para iniciar sesión en los
dispositivos se limite a lo necesario; todas las demás deben eliminarse. Cuando un
administrador abandona una organización o cambia de función, las cuentas asociadas
deben desactivarse o eliminarse. En los dispositivos Cisco IOS, elimine una cuenta
local con el siguiente comando de configuración:
La NSA también recomienda que las cuentas locales sólo se utilicen en situaciones de
PP-22-0266 | MAR 2022 Ver. 1.0 30
Agencia de Seguridad Nacional | Informe técnico sobre
ciberseguridad
Orientación sobre la seguridad de las
infraestructuras
emergencia deservidores
cuando los red AAA centralizados no estén disponibles. Durante
este tipo de eventos, las contraseñas de las cuentas locales de emergencia deben ser
mantenidas por una persona de confianza que no tenga acceso directo a los
dispositivos. Los administradores pueden solicitar la cuenta y la contraseña locales y,
una vez finalizada la situación de emergencia, la persona de confianza puede
Para más información sobre los tipos de contraseñas anteriores, consulte Tipos de
contraseñas de Cisco: Best Practices [13].
Guarde un hash de contraseña de tipo 8 para una cuenta local con el siguiente
comando de configuración:
La <KEY> debe ser una contraseña única y compleja que se utiliza para generar la
clave para cifrar las contraseñas de tipo 6. No debe ser una contraseña por defecto,
débil o fácil de adivinar, y no debe ser reutilizada en otras partes de la configuración.
Un adversario que adivine esta clave podría utilizarla para descifrar todas las
contraseñas de tipo 6 almacenadas en la configuración. Una vez establecida esta
clave, generalmente no es necesario conservarla.
Dado que no es necesario conservarla, la NSA recomienda utilizar una clave única para
cada dispositivo, lo que evitará que un adversario utilice la misma clave para descifrar
las contraseñas de tipo 6 en todos los dispositivos. Tenga en cuenta que si la clave se
cambia alguna vez, las contraseñas encriptadas de tipo 6 tendrán que volver a
PP-22-0266 | MAR 2022 Ver. 1.0 34
Agencia de Seguridad Nacional | Informe técnico sobre
ciberseguridad
Orientación sobre la seguridad de las
infraestructuras
configurarse de red
manualmente.
NSA recomienda asignar una contraseña única y compleja a todos los niveles de
acceso, incluyendo los accesos de nivel de usuario y privilegiado. También se deben
utilizar contraseñas únicas y complejas para la autenticación de enrutamiento, la
sincronización de tiempo, los túneles VPN, las cadenas de comunidad del Protocolo
Simple de Gestión de Redes (SNMP) y cualquier otro lugar donde se almacenen
contraseñas en la configuración. Las contraseñas deben cumplir los siguientes
requisitos de complejidad:
NSA recomienda asignar una contraseña única, compleja y segura para cada cuenta y
nivel de privilegio en cada dispositivo.
Volver al contenido
iniciar la sesión
Nota: Esto de
Agencia también cambiará
Seguridad el nivel
Nacional de registro
| Informe a informativo,
técnico sobre ya que ambos valores
ciberseguridad
deben establecerse simultáneamente.
Orientación sobre la seguridad de las
infraestructuras de red
Tenga en cuenta que esto también establecerá el tamaño máximo del búfer de registro
local, ya que ambos valores deben establecerse simultáneamente.
PP-22-0266 | MAR 2022 Ver. 1.0 43
Agencia de Seguridad Nacional | Informe técnico sobre
ciberseguridad
Orientación sobre la seguridad de las
infraestructuras de red
También se puede activar el registro en las líneas de consola y VTY con las palabras
clave console y monitor, respectivamente. Estos métodos alertarán inmediatamente a
los administradores que estén conectados, pero los mensajes no se conservan. No es
necesario habilitar
no logging console
no logging monitor
NSA también recomienda utilizar el Tiempo Universal Coordinado (UTC) para la zona
horaria, especialmente si la red abarca varias zonas horarias. Todos los mensajes de
registro deben contener una marca de tiempo correctamente configurada con la fecha
completa, incluyendo el año, la hora, incluyendo segundos y milisegundos, y la zona
horaria. Asegúrese de que la zona horaria está correctamente configurada y habilite
todas las funciones mencionadas anteriormente con los siguientes comandos de
configuración:
Por último, NSA también recomienda habilitar los mensajes de registro para indicar
cuándo un usuario ha tenido éxito o no en el inicio de sesión en el sistema. Aunque
estos eventos se registran en los servidores AAA centralizados cuando la contabilidad
está correctamente configurada, esta información no se registra en el buffer local.
Asegúrese de que estos eventos se registran con los siguientes comandos de
configuración:
registro de inicio
de sesión en caso de
fallo registro de
inicio de sesión en
caso de éxito
NSA también recomienda activar la autenticación NTP en todos los dispositivos para
evitar la manipulación del reloj, y configurar claves de autenticación NTP fuertes y
únicas entre los dispositivos y su fuente de tiempo especificada.
Establezca las claves NTP de confianza y habilite la autenticación NTP con los
siguientes comandos de configuración:
Sincronice el dispositivo con al menos dos servidores NTP diferentes con los siguientes
comandos de configuración:
Nota: El número que aparece al final de cada comando es la clave NTP de confianza
utilizada para autenticar ese servidor en particular.
La NSA recomienda utilizar servicios cifrados para proteger las comunicaciones de red
y desactivar todos los servicios de administración en texto claro (por ejemplo, Telnet,
HTTP, FTP, SNMP 1/2c). Esto asegura que la información sensible no pueda ser
obtenida fácilmente por un adversario que capture el tráfico de la red. Para obtener
información detallada sobre cómo habilitar los servicios encriptados, consulte 7.11
Configuraciones de servicios de red.
línea vty 0 4
transporte entrada
ninguno
PP-22-0266 | MAR 2022 Ver. 1.0 49
línea vty 5 15
transporte
Agencia entrada Nacional | Informe técnico sobre
de Seguridad
ninguno
ciberseguridad
Orientación sobre la seguridad de las
Dependiendo del dispositivo, puede ser necesario aplicar una configuración similar a
infraestructuras de red
otras líneas también. Si las líneas VTY 5 a 15 no existen en un dispositivo concreto, no
es
no ip http server
Para obtener información detallada sobre cómo activar el servicio HTTP seguro,
consulte 7.11.2 Configuraciones de servicios de red HTTP.
Desactive las versiones 1 y 2c de los servicios SNMP y SNMP trap eliminando las
cadenas de comunidad configuradas con los siguientes comandos de configuración:
no tftp-server <FILENAME>
no ip ftp username
no ip ftp password
Para conocer los requisitos y orientaciones relacionados con los sistemas del Gobierno
de EE.UU. que no son del NSS, consulte el Apéndice F del NIST SP 800-52 Revisión 2
[17].
La NSA recomienda utilizar 3072 bits o más para la generación de claves asimétricas
(públicas y privadas), 384 bits para las claves de criptografía de curva elíptica (ECC) y
256 bits para las claves de cifrado simétrico. Algunos sistemas pueden no soportar
3072 bits, por lo que puede ser necesario utilizar 4096 bits en su lugar. Para cualquier
dispositivo que tenga un tamaño de clave menor, regenere un nuevo par de claves y
configure los protocolos de cifrado para que sólo utilicen algoritmos aprobados. Un
tamaño de clave mayor puede aumentar el tiempo de conexión al servicio (debido a los
cálculos adicionales), pero es insignificante en la mayoría de los dispositivos. Para más
información sobre la configuración de servicios encriptados, consulte 7.11
Configuraciones de servicios de red.
La mayoría de los servicios de gestión sólo aceptan ACL estándar. Se puede listar
más de un dispositivo o red en líneas adicionales con la palabra clave permit. Aunque
todas las ACL tienen una declaración de denegación implícita al final, es una buena
práctica incluirla explícitamente para que se registren los intentos denegados. Cree
una ACL estándar para permitir sólo las direcciones IP utilizadas por los
administradores con los siguientes comandos de configuración:
no access-list <ACL#>
service tcp-keepalives-in
service tcp-keepalives-out
línea con 0
salida de transporte ninguna
línea vty 0 4
salida de transporte ninguna
Dependiendo del dispositivo, puede ser necesario aplicar una configuración similar a
otras líneas también. Si las líneas VTY 5 a 15 no existen en un dispositivo concreto, no
es necesario ejecutar esos comandos. Es fundamental tener en cuenta que esta
función debe estar explícitamente desactivada en la línea de consola.
Si las conexiones salientes son necesarias para copiar archivos hacia o desde los
dispositivos para el mantenimiento o la verificación de la integridad, restríngalo
sólo a SSH y limite el número de dispositivos a los que se puede acceder a través
de las ACL salientes; vuelva a la configuración anterior una vez que la tarea se
haya completado.
Por ejemplo, Cisco Smart Install es a menudo innecesario, pero cuando se deja
activado, un adversario remoto no autenticado podría utilizar este servicio para
obtener el archivo de configuración de un dispositivo, cargar una nueva configuración
o archivo de imagen del sistema operativo, o forzar un reinicio. Esto ha sido
documentado en el aviso de seguridad de Cisco cisco-sa-20170214-smi como un mal
uso del protocolo, pero la comunidad de seguridad ha observado y reconocido este
problema como una grave vulnerabilidad explotada por adversarios para obtener
archivos de configuración a través de Internet [18], [19].
sin vstack
Aunque este servicio está diseñado para los switches, los routers también pueden
configurarse como director de Cisco Smart Install; por lo tanto, debe desactivarse
no service tcp-small-servers
no service udp-small-servers
no service finger
NSA recomienda desactivar CDP y LLDP en todos los dispositivos capaces de utilizar
estos servicios. Si un servicio es necesario para las comunicaciones de red adecuadas
(por ejemplo, algunos teléfonos de voz sobre IP (VoIP) de Cisco), habilítelo sólo en los
enlaces punto a punto entre los dispositivos que requieren el protocolo o en los puertos
habilitados para voz.
no cdp run
no lldp run
interfaz <INTERFACE>
no cdp enable
línea vty 0 4
transporte entrada
ssh
línea vty 5 15
transporte entrada
ssh
Nota: Esto puede deshabilitar otros servicios habilitados en las líneas por defecto,
como Telnet. Si las líneas VTY 5 a 15 no existen en un dispositivo concreto, no es
necesario ejecutar esos comandos. Dependiendo del dispositivo, puede ser necesario
aplicar una configuración similar a otras líneas también.
ip ssh versión 2
Genere un nuevo par de claves ECC asimétricas para SSH con el siguiente comando
de configuración:
Para más información sobre los algoritmos aceptables, consulte CNSSP 15 [4]. Los
requisitos de la CNSSP 15 se explican en el borrador del documento del IETF sobre la
criptografía del conjunto de algoritmos de seguridad nacional comercial (CNSA) para
Secure Shell (SSH) [16].
La configuración del servicio SSH se puede confirmar con el siguiente comando exec:
mostrar ip ssh
Aplique una ACL estándar para permitir únicamente las direcciones IP utilizadas
por los administradores con los siguientes comandos de configuración:
línea vty 0 4
access-class <ACL#> en
línea vty 5 15
access-class <ACL#> en
línea con 0
exec-timeout 5 0
línea vty 5 15
exec-timeout 5 0
7.11.2 HTTP
Si se utiliza HTTP para la gestión, active HTTP sobre TLS con el siguiente comando de
configuración:
ip http secure-server
Los conjuntos de cifrado aceptados por el servicio HTTP cifrado pueden especificarse
(para incluir el orden preferido) con el siguiente comando de configuración:
Para más información sobre los algoritmos aceptables, consulte CNSSP 15 [4]. Los
requisitos de la CNSSP 15 se explican en el borrador del documento del IETF sobre el
perfil del conjunto de algoritmos de seguridad nacional comercial (CNSA) para TLS y
DTLS 1.2 y 1.3 [15].
Aplique una ACL estándar para permitir únicamente las direcciones IP utilizadas
por los administradores con el siguiente comando de configuración:
Nota: Esta ACL también se aplicaría al servicio HTTP de texto claro si estuviera
activado. Para más información sobre la creación de una ACL estándar, consulte 7.4
Limitar el acceso a los servicios.
Volver al contenido
8. Enrutamiento
Los routers reenvían paquetes de datos entre redes informáticas. Cuando un router
recibe un paquete, utiliza su tabla de enrutamiento y la información de la dirección de
red del paquete para
determinar el siguiente salto para llegar a su
Configure sus routers destino. Una configuración inadecuada del
propio router o de los protocolos de
para el uso de la red enrutamiento dinámico utilizados para
frente al abuso rellenar la tabla de enrutamiento podría
permitir a un adversario redirigir los paquetes
malicioso. a un destino diferente, permitiendo que los
datos sensibles sean
PP-22-0266 | MAR 2022 Ver. 1.0 67
recogidas, manipuladas o descartadas, que violen la confidencialidad, la integridad
o la disponibilidad.
Agencia de Seguridad Nacional | Informe técnico sobre
ciberseguridad
Orientación sobre la seguridad de las
infraestructuras de red
no ip source-route
no ipv6 source-route
NSA recomienda habilitar uRPF en las interfaces externas de los routers perimetrales.
En los routers, es necesario que Cisco Express Forwarding (CEF), que proporciona
búsquedas optimizadas para el reenvío eficiente de paquetes, esté habilitado antes de
uRPF. Tenga en cuenta que uRPF no debe habilitarse en las interfaces internas o en
los routers que tienen enrutamiento asimétrico (donde pueden existir dos o más rutas
de retorno para una dirección de origen determinada), ya que esta situación podría
PP-22-0266 | MAR 2022 Ver. 1.0 69
Agencia de Seguridad Nacional | Informe técnico sobre
ciberseguridad
Orientación sobre la seguridad de las
infraestructuras
hacer de paquetes
que se descarten red legítimos. Habilite uRPF en una sola interfaz con los
siguientes comandos de configuración:
interfaz <INTERFACE>
ip ospf authentication key-chain <KEY_CHAIN_NAME>
La NSA también recomienda utilizar una clave única entre todos los vecinos, en lugar
de utilizar la misma clave de autenticación para todas las interfaces en todos los
dispositivos. Si las claves son diferentes, un adversario no podría utilizar una clave
comprometida de una red para inyectar una ruta maliciosa en otra red.
interfaz <INTERFACE>
ip authentication key-chain eigrp <AS_NUMBER> <KEY_CHAIN_NAME>
Nota: Se puede elegir un nombre y un número arbitrarios para cada clave. La <KEY> es
la clave compartida asignada a los dispositivos vecinos. El algoritmo criptográfico
también puede establecerse como hmac-sha-384 y seguir cumpliendo las directrices de
CNSSP 15 [4].
Volver al contenido
9. Puertos de interfaz
Los puertos de interfaz de los conmutadores de red conectan físicamente las
estaciones de trabajo, los servidores y otros dispositivos a la red, mientras que las
interconexiones entre los routers y los conmutadores definen cómo se comunican los
sistemas a través de la red. Un adversario debe obtener primero
acceso físico a la red para conectarse
un sistema no autorizado, o utilizar un Evite que un
sistema ya establecido en la red para
explotar una conexión existente. Los
adversario se
puertos de interfaz correctamente conecte a su red.
configurados pueden impedir que un
adversario realice intentos de explotación
contra la red.
Configure estrictamente un puerto de interfaz sólo para el acceso estático con los
siguientes comandos de configuración:
interfaz <INTERFACE>
switchport mode access
Configure estrictamente un puerto de interfaz para que sea un tronco con los
siguientes comandos de configuración:
interfaz <INTERFACE>
switchport mode trunk
interface <INTERFACE>
switchport mode access
switchport port-security
switchport port-security maximum 1
switchport port-security violation shutdown
switchport port-security mac-address sticky
NSA recomienda trasladar todo el tráfico de gestión y operativo a diferentes VLAN (no
la predeterminada) que separen el tráfico de gestión de los datos de usuario y el
tráfico de protocolo, y utilizar varios conmutadores para separar los diferentes niveles
de seguridad del tráfico de red. La VLAN por defecto también debería estar
lógicamente desautorizada en todas las troncales y puertos de acceso que no la
Las tramas que se envían y reciben en los puertos troncales suelen estar etiquetadas
con el ID de VLAN asociado a la trama. Las tramas recibidas que no están etiquetadas
son automáticamente
NSA recomienda asignar todos los puertos troncales a una única VLAN troncal nativa
que sólo se asigna a los puertos troncales, y asignar la VLAN de acceso a una VLAN
no utilizada y desactivada. Del mismo modo, NSA recomienda asignar todos los
puertos de acceso a la VLANde acceso adecuada, y asignar la VLAN troncal nativa a
otra VLAN no utilizada y desactivada, diferente de las utilizadas por los puertos
troncales. Esta configuración evitará que un adversario salte entre las VLAN activas
etiquetando intencionadamente el tráfico que de otro modo quedaría sin etiquetar.
Cree una VLAN troncal única (500) y una VLAN de acceso no utilizada y desactivada
(997), ambas asignadas a un puerto troncal, con los siguientes comandos de
configuración de ejemplo:
vlan 500
nombre NATIVE-TRUNK
vlan 997
nombre UNUSED-ACCESS
apagado
interface <INTERFACE>
switchport mode trunk
switchport access vlan 997
switchport trunk native vlan 500
switchport trunk allowed vlan 2-4094
Esta configuración también permite que todas las VLAN, excepto la VLAN 1 por
defecto, atraviesen el tronco. Si se conocen todas las VLAN configuradas, NSA
recomienda permitir sólo esas VLAN específicas, en lugar de excluir sólo la VLAN 1.
Cree una VLAN no utilizada y desactivada (998), asignada a la VLAN troncal nativa de
un puerto de acceso, con los siguientes comandos de configuración de ejemplo:
vlan 998
nombre UNUSED-NATIVE
apagado
interfaz <INTERFACE>
switchport voice vlan <VOICE_VLAN#>
Apague todas las interfaces que no se utilicen y asigne las VLAN de acceso y troncales
nativas a las VLAN no utilizadas y desactivadas con los siguientes comandos de
configuración de ejemplo:
vlan 999
nombre UNUSED-DISABLED
apagado
interface <INTERFACE>
switchport mode access
switchport access vlan 999
switchport trunk native vlan 998
no switchport voice vlan
shutdown
Nota: Si se admite la palabra clave all, se listarán todas las sesiones definidas; de lo
contrario, será necesario especificar cada número de sesión individual en comandos
separados, generalmente 1 y 2.
NSA recomienda deshabilitar el ARP proxy en todas las interfaces, a menos que el
dispositivo se utilice como puente LAN o para permitir la traducción de direcciones de
red entrantes (NAT) para múltiples direcciones IP de destino. Puede ser necesario
desactivar el ARP proxy en cada interfaz individual, en lugar de desactivarlo
globalmente.
Encuentre las interfaces que tienen proxy ARP habilitado con el siguiente comando
exec:
mostrar interfaz
ip
Desactive el ARP Proxy en una interfaz individual con los siguientes comandos de
configuración:
interfaz <INTERFACE>
no ip proxy-arp
Volver al contenido
La NSA recomienda que cada dispositivo esté configurado para presentar el banner
de notificación completo cada vez que un usuario inicie sesión en un sistema de
información o se conecte a cualquier servicio remoto.
Los dispositivos Cisco IOS tienen dos tipos de banners; el banner de inicio de sesión se
muestra antes de que el usuario inicie la sesión, y luego el "mensaje del día" se
muestra después de que el usuario se autentique con éxito. Como mínimo, el banner de
notificación debería mostrarse tanto a los usuarios autorizados como a los no
autorizados que intenten iniciar sesión. Si se desea, se puede proporcionar la misma
información o información adicional a los usuarios autenticados después de iniciar la
sesión.
Nota: El símbolo de intercalación ("^") se utiliza como delimitador para que el banner
pueda abarcar varias líneas, suponiendo que el símbolo de intercalación no se utilice
en el propio banner. Después de insertar este comando en la configuración, el
delimitador aparecerá generalmente como "^C" en lugar de "^". No escriba "^C" como
parte del comando, de lo contrario el banner comenzará con una "C".
PP-22-0266 | MAR 2022 Ver. 1.0 84
Agencia de Seguridad Nacional | Informe técnico sobre
ciberseguridad
Orientación sobre la seguridad de las
infraestructuras de red
Añada el mismo banner de notificación o información adicional para los usuarios
autorizados que se hayan autenticado correctamente con el siguiente comando de
configuración:
Volver al contenido
11. Conclusión
Las orientaciones de este informe se han generado a partir de una amplia experiencia
en la asistencia a los clientes de la NSA en la evaluación de sus redes y en la
formulación de recomendaciones para reforzar inmediatamente los dispositivos de
red. Además de las funciones esenciales de mantenimiento, los administradores
desempeñan un papel fundamental en la defensa de las redes contra las amenazas
adversas. El seguimiento de esta guía ayudará a estos defensores de la red a poner
en práctica las mejores prácticas de ciberseguridad, reduciendo el riesgo contra el
compromiso y garantizando una red más segura y mejor protegida.
Orientación relacionada
• Biden (2021), Orden ejecutiva 14028: Mejora de la ciberseguridad de la nación.
Disponible en: https://www.federalregister.gov/documents/2021/05/17/2021-10460/improving-
the-nations- cybersecurity
• Instituto Nacional de Estándares y Tecnología (2020), Publicación especial 800-207: Zero
Trust Architecture. Disponible en: https://www.nist.gov/publications/zero-trust-architecture
• Defense Information Systems Agency (DISA) y National Security Agency (NSA) Zero Trust
Engineering Team (2021), Department of Defense (DOD) Zero Trust Reference Architecture.
Disponible en:
https://dodcio.defense.gov/Portals/0/Documents/Library/(U)ZT_RA_v1.1(U)_Mar21.pdf
• National Institute for Standards and Technology (2020), Publicación especial 800-63B:
Digital Identity Guidelines - Authentication and Lifecycle Management. Disponible en:
https://pages.nist.gov/800-63-3/sp800-63b.html
• Agencia de Seguridad Nacional (2019), Caza continua de intrusiones en la red.
Disponible en: https://www.nsa.gov/cybersecurity-guidance
• Agencia Nacional de Seguridad (2021), Embracing a Zero Trust Security Model.
Disponible en: https://www.nsa.gov/cybersecurity-guidance
• Agencia Nacional de Seguridad (2020), Hardening Network Devices.
Disponible en: https://www.nsa.gov/cybersecurity-guidance