Orientación en La Seguridad de Las Infraestructuras de Red

Informe técnico sobre
ciberseguridad de la Agencia
de Seguridad Nacional
Orientación sobre la
seguridad de las
infraestructuras
de red
Marzo de 2022
PP-22-0266
Versión 1.0
Agencia de Seguridad Nacional | Informe técnico sobre
ciberseguridad
Orientación sobre la seguridad de las
infraestructuras de red
Avisos e historia
Renuncia a las garantías y al aval
La información y las opiniones contenidas en este documento se proporcionan "tal cual" y sin ninguna
garantía. La referencia en este documento a cualquier producto, proceso o servicio comercial específico
por su nombre comercial, marca registrada, fabricante o de otro modo, no constituye necesariamente ni
implica su respaldo, recomendación o favorecimiento por parte del Gobierno de los Estados Unidos, y
esta guía no se utilizará con fines publicitarios o de respaldo de productos.
Reconocimiento de la marca
Cisco® y Cisco IOS® son marcas registradas de Cisco Systems, Inc.
Información de publicación
Autor(es)
Dirección de Ciberseguridad de la
Agencia Nacional de Seguridad
Información de contacto
Requisitos del cliente / Consultas generales sobre ciberseguridad:
Centro de Requisitos de Ciberseguridad, 410-854-4200, Cybersecurity_Requests@nsa.gov
Consultas de los medios de comunicación / Servicio de prensa:

Relaciones con los medios de comunicación, 443-634-0721, MediaRelations@nsa.gov
Consultas de la Base Industrial de Defensa para servicios

de ciberseguridad: Programa de Ciberseguridad de la DIB,
DIB_Defense@cyber.nsa.gov
Propósito
Este documento se ha elaborado en cumplimiento de las misiones de ciberseguridad de la NSA. Esto
incluye sus responsabilidades para identificar y difundir las amenazas a los Sistemas de Seguridad
Nacional, los sistemas de información del Departamento de Defensa y la Base Industrial de Defensa, y
para desarrollar y emitir especificaciones y mitigaciones de ciberseguridad. Esta información puede
compartirse ampliamente para llegar a todas las partes interesadas apropiadas.
PP-22-0266 | MAR 2022 Ver. 1.0 ii

ciberseguridad
Contenido
Orientación sobre ......................... la seguridad de las infraestructuras de redi

...............................................................................................................................
Contenidoiii ...........................................................................................................
1. Introducción1 ............................................................................................................................
1.1 Sobre la confianza cero1 .......................................................................................................
2. Arquitectura y diseño de ............................................................................................. la red2
2.1 Instalar dispositivos de defensa .......................................................... perimetral e interna2
2.2 Agrupar sistemas de ...................................................................................... red similares3
2.3 Eliminar las conexiones ...........................................................................de puerta trasera4
2.4 Utilizar estrictos controles de acceso perimetral4 .................................................................

2.5 Implantar una solución .............................................. de control de acceso a la red (NAC)5
2.6 Limitar y cifrar las redes privadas virtuales (VPN)............................................................... 5

3. Mantenimiento de ............................................................................................. la seguridad8
3.1 Verificar la integridad .......................................................... del software y la configuración8
3.2 Mantener una gestión ........................... adecuada del sistema de archivos y del arranque9
3.3 Mantener el software y los sistemas operativos actualizados10 ...........................................

3.4 Manténgase al día con el hardware ...................................... soportado por el proveedor10
4. Autenticación, autorización y contabilidad (AAA) ............................................................. 11

4.1 Implantar servidores centralizados11 ....................................................................................
4.2 Configurar la autenticación12 ................................................................................................
4.3 Configurar la autorización13 .................................................................................................
4.4 Configurar la contabilidad14 ..................................................................................................
4.5 Aplicar el principio del mínimo privilegio15 ...........................................................................
4.6 Limitar los intentos de autenticación16 .................................................................................
5. Cuentas y contraseñas de administrador17 ..........................................................................
5.1 Utilice nombres de usuario y configuraciones de ....................................... cuenta únicos17
5.2 Cambiar las contraseñas ................................................................................ por defecto17
5.3 Eliminar las cuentas innecesarias18 .....................................................................................

5.4 Emplear cuentas individuales18 ............................................................................................
5.5 Almacenar las contraseñas con algoritmos seguros19 .........................................................
5.6 Crear contraseñas seguras21 ...............................................................................................
5.7 Utilizar contraseñas únicas22 ...............................................................................................
PP-22-0266 | MAR 2022 Ver. 1.0 iii

ciberseguridad
infraestructuras
5.8 de redcuando sea necesario22 ................................................................
Cambie las contraseñas
6. Registro y supervisión remotos24 ..........................................................................................
6.1 Activar el registro24 ...............................................................................................................
6.2 Establecer servidores de registro remotos centralizados25 ..................................................
6.3 Capturar la información de registro necesaria25 ..................................................................
6.4 Sincronizar los relojes26 .......................................................................................................
7. Administración remota y servicios de red28 .........................................................................
7.1 Desactivar los servicios de administración de ................................................. texto claro28
7.2 Garantizar una fuerza de encriptación adecuada29 .............................................................

7.3 Utilizar protocolos seguros30 ................................................................................................
7.4 Limitar el acceso a los servicios31 ........................................................................................
7.5 Establecer un período de ..................................................... tiempo de espera aceptable31
7.6 Activar el protocolo de control de transmisión (TCP) keep-alive32 .......................................

7.7 Desactivar las conexiones salientes32 .................................................................................
7.8 Eliminar las cadenas de ............................... comunidad de lectura y escritura de SNMP33
7.9 Desactivar los servicios de ..................................................................... red innecesarios34
7.10 Desactivar los protocolos de detección en interfaces específicas35 ..................................

7.11 Configuraciones de servicios de red35 ...............................................................................
7.11.1 SSH36 ..........................................................................................................................
7.11.2 HTTP38 ........................................................................................................................
7.11.3 SNMP39 .......................................................................................................................
8. Rutas39 ......................................................................................................................................
8.1 Desactivar el enrutamiento de ............................................................................origen IP40
8.2 Activar el reenvío de ................................................................. ruta inversa unicast (uRPF)

40
8.3 Activar la autentificación ........................................................................ del enrutamiento41
9. Puertos de interfaz42 ................................................................................................................

9.1 Desactivar el trunking dinámico42 ........................................................................................
9.2 Activar la seguridad de ................................................................................... los puertos43
..............................................................................................................................................
9.3 Desactivar la VLAN44 ........................................................................................ por defecto
9.4 Desactivar los puertos .................................................................................. no utilizados46
9.5 Desactivar la supervisión de puertos47 ................................................................................

9.6 Desactivar el protocolo de resolución de direcciones (ARP) .................................... proxy48
10. Pancartas de notificación48 ..................................................................................................
10.1 Presentar un banner de notificación49 ................................................................................
11. Conclusión50 ..........................................................................................................................
Acrónimos51 .................................................................................................................................
PP-22-0266 | MAR 2022 Ver. 1.0 iv

ciberseguridad
infraestructuras
Referencias53 de red
................................................................................................................................
Obras citadas53 ..........................................................................................................................
Orientación relacionada54 ..........................................................................................................
Figura 1: Perímetro de la red con cortafuegos y una DMZ3 .........................................................
PP-22-0266 | MAR 2022 Ver. 1.0 v

ciberseguridad
1. Introducción
Las directrices para proteger las redes siguen evolucionando a medida que los
adversarios explotan nuevas vulnerabilidades, se implementan nuevas funciones de
seguridad y se aplican nuevos métodos de protección.
los dispositivos son identificados. Configuración
inadecuada,
El papel del El manejo incorrecto de las configuraciones y
las claves de cifrado débiles pueden exponer
administrador es las vulnerabilidades de toda la red. Todas las
redes corren el riesgo de verse comprometidas,
fundamental para
especialmente si los dispositivos no se
asegurar las configuran y mantienen adecuadamente. El
papel del administrador es fundamental para
redes. asegurar la
red contra las técnicas de los adversarios y requiere personas dedicadas a asegurar los
dispositivos, las aplicaciones y la información en la red.
Este informe presenta las mejores prácticas para la seguridad general de la red y la
protección de los dispositivos de red individuales, y ayudará a los administradores a
evitar que un adversario explote su red. Aunque la orientación que se presenta aquí
es genérica y puede aplicarse a muchos tipos de dispositivos de red, se proporcionan
comandos de ejemplo para los dispositivos del Sistema Operativo de Red (IOS) de
Cisco que pueden ejecutarse para aplicar las recomendaciones.
1.1 En cuanto a la confianza cero

Zero Trust es un modelo de seguridad, un conjunto de principios de diseño de
sistemas y una estrategia coordinada de ciberseguridad y gestión de sistemas basada
en el reconocimiento de que las amenazas existen tanto dentro como fuera de los
límites tradicionales de la red. La Agencia de Seguridad Nacional (NSA) apoya
plenamente el modelo de seguridad de Confianza Cero, y gran parte de las
orientaciones de este informe pueden aplicarse en diferentes fronteras como se
recomienda en las orientaciones de Confianza Cero. Sin embargo, este informe se
centra en proporcionar orientación para mitigar las vulnerabilidades y debilidades
comunes en las redes existentes. A medida que los propietarios de los sistemas
introduzcan nuevos diseños de red destinados a lograr principios de Confianza Cero
más maduros, es posible que sea necesario modificar estas orientaciones.
PP-22-0266 | MAR 2022 Ver. 1.0 1

ciberseguridad
2. Arquitectura y diseño de redes
Un diseño de red seguro que implemente
múltiples capas defensivas es fundamental
Aplique múltiples
para defenderse de las amenazas y capas de defensa
proteger los recursos dentro de
la red. El diseño debe seguir para una
las mejores prácticas de seguridad y los diseño de redes seguras.
principios de confianza cero, tanto para el
perímetro de la red como para los
dispositivos internos.
2.1 Instalar dispositivos de defensa perimetral e interna

Una red requiere una estrategia defensiva sustancial para proteger los componentes
individuales y la información que contienen. Deben implementarse múltiples capas
de defensa en el perímetro de la red para protegerla de las amenazas externas y
para supervisar y restringir el tráfico entrante y saliente.
La NSA recomienda configurar e instalar dispositivos de seguridad en el perímetro de la

red según las mejores prácticas de seguridad:
• Instalar un router de frontera para facilitar la conexión con la red externa,

como un proveedor de servicios de Internet (ISP).
• Implemente varias capas de cortafuegos de nueva generación en toda la red
para restringir el tráfico entrante, restringir el tráfico saliente y examinar toda la
actividad interna entre las distintas regiones de la red. Cada capa debe utilizar
diferentes proveedores para protegerse contra un adversario que explote la
misma vulnerabilidad sin parches en un intento de acceder a la red interna.
• Coloque los sistemas de acceso público y los proxies de salida entre las capas
del cortafuegos en una o más subredes de la zona desmilitarizada (DMZ),
donde se puede controlar adecuadamente el acceso entre los dispositivos
externos, los dispositivos de la DMZ y los sistemas internos.
• Implantar una solución de supervisión de la red para registrar y rastrear el tráfico
entrante y saliente, como un sistema de detección de intrusiones en la red
(NIDS), un inspector de tráfico o un dispositivo de captura de paquetes
completos.
• Despliegue varios servidores de registro remotos dedicados para permitir
la correlación de la actividad entre los dispositivos y la detección del
PP-22-0266 | MAR 2022 Ver. 1.0 2
movimiento lateral.
• Implantar dispositivos redundantes en las zonas centrales para garantizar la
disponibilidad, que pueden equilibrarse en carga para aumentar el rendimiento
ciberseguridad
de la red ysobre
Orientación disminuir la latencia. de las
la seguridad
PP-22-0266 | MAR 2022 Ver. 1.0 3

ciberseguridad
Figura 1: Perímetro de red con cortafuegos y DMZ
2.2 Agrupar sistemas de red similares

Los sistemas similares dentro de una red deben agruparse lógicamente para
protegerlos contra el movimiento lateral de los adversarios desde otros tipos de
sistemas. Los adversarios se dirigirán a los sistemas que son más fáciles de explotar,
como las impresoras, y utilizarán ese acceso inicial para propagarse a otros sistemas
de la red. Una segmentación adecuada de la red reduce significativamente la
capacidad de un adversario para alcanzar y explotar estos otros sistemas (véase
"Layering Network Security Through Segmentation" de la Agencia de Ciberseguridad y
Seguridad de las Infraestructuras (CISA) y "Segment Networks and Deploy Application-
aware Defenses" de la NSA) [1], [2]. Además, las restricciones de acceso entre
diferentes tipos de sistemas son más fáciles de gestionar, controlar y supervisar si se
agrupan de forma lógica.
La NSA recomienda aislar los sistemas similares en diferentes subredes o redes de

área local virtual (VLAN), o separar físicamente las diferentes subredes mediante
cortafuegos o routers de filtrado. Las estaciones de trabajo, los servidores, las
impresoras, los sistemas de telecomunicaciones y otros periféricos de la red deben
estar separados entre sí. La tecnología operativa, como los sistemas de control
industrial, normalmente debe estar aislada de otras tecnologías de la información y de
redes de alto riesgo como Internet. Esta separación física proporciona una mayor
PP-22-0266 | MAR 2022 Ver. 1.0 4

ciberseguridad
infraestructuras
protección de red intermedio entre las subredes debe ser
porque el dispositivo
PP-22-0266 | MAR 2022 Ver. 1.0 5

ciberseguridad
comprometida para que un adversario se salte las restricciones de acceso.
Implemente restricciones de acceso en los routers, switches o firewalls internos para
permitir sólo aquellos puertos y protocolos que se requieran para las operaciones de la
red o la necesidad válida de la misión. Puede ser necesario duplicar las listas de
control de acceso (ACL) y aplicarlas directamente a los conmutadores para restringir el
acceso entre VLANs, o pueden aplicarse a los routers centrales donde se realiza el
enrutamiento entre subredes internas.
2.3 Eliminar las conexiones de puerta trasera

Una conexión de red de puerta trasera se produce entre dos o más dispositivos
situados en diferentes áreas de la red, generalmente con diferentes tipos de datos y
requisitos de seguridad. Si un dispositivo se ve comprometido, un adversario puede
utilizar esta conexión para eludir las restricciones de acceso y obtener acceso a otras
áreas de la red. Un ejemplo de conexión de red de puerta trasera es un router de
frontera externa conectado a un ISP que también está conectado directamente a las
redes internas o de gestión. Un adversario que pueda comprometer este router de
frontera externa probablemente tendría acceso a la red interna, saltándose todos los
cortafuegos.
NSA recomienda eliminar todas las conexiones de red de puerta trasera y tener cuidado
al conectar dispositivos con más de una interfaz de red. Verifique que todas las
interfaces de red de un dispositivo tengan niveles de seguridad similares, o que un
dispositivo intermedio proporcione una separación lógica y física entre las diferentes
áreas de la red.
2.4 Utilizar estrictos controles de acceso perimetral

Los dispositivos del perímetro de la red son elementos esenciales en un modelo de
seguridad y deben ser configurados para complementarse mediante la implementación
de ACLs para regular la entrada y salida del tráfico de la red. Estos conjuntos de reglas
de control de acceso deben ser configurados para permitir explícitamente sólo los
servicios y sistemas que se requieren para apoyar la misión de la red. Si los
cortafuegos y los enrutadores perimetrales no están configurados con las políticas de
seguridad de red adecuadas, se permitirá el acceso innecesario a la red interna o
desde ella y aumentará el riesgo de que la red se vea comprometida y se recabe
información.
NSA recomienda considerar cuidadosamente qué conexiones permitir, y crear

PP-22-0266 | MAR 2022 Ver. 1.0 6
ciberseguridad
infraestructuras
conjuntos de se
de reglas que redcentren en permitir sólo las permitidas y denegar todo lo
demás. Este método permite que una sola regla deniegue varios tipos de conexiones,
en lugar de tener que crear una regla distinta para cada conexión bloqueada. Si es
necesario aplicar dinámicamente conjuntos de reglas perimetrales adicionales para
evitar que los intentos de explotación sean
PP-22-0266 | MAR 2022 Ver. 1.0 7

ciberseguridad
completado o continuado, la NSA recomienda el uso de un sistema de prevención de
intrusiones (IPS).
NSA también recomienda habilitar el registro de estos conjuntos de reglas para incluir,
como mínimo, todos los que denieguen o abandonen el tráfico de red e incluyan el
acceso exitoso o fallido del administrador a los dispositivos críticos.
2.5 Implantar una solución de control de acceso a la red (NAC)

Un adversario que desee obtener acceso interno a una red debe encontrar una forma
de atravesar el perímetro externo de la red u obtener acceso desde el interior de la
misma. Una solución NAC impide las conexiones físicas no autorizadas y supervisa las
conexiones físicas autorizadas en una red.
NSA recomienda implementar una solución NAC que identifique y autentique los
dispositivos únicos conectados a la red. La seguridad de los puertos es un mecanismo
que se puede implementar en los conmutadores para detectar cuando se conectan
dispositivos no autorizados a la
red a través de la dirección de control de acceso al medio (MAC) de un dispositivo. Sin
embargo, la seguridad de los puertos puede ser difícil de gestionar. Por ejemplo,
aumenta el número de tickets de soporte debido a los puertos de red bloqueados
válidos (por ejemplo, dispositivos conectados que cambian a menudo, como las salas
de conferencias). Además, los adversarios que pueden falsificar una dirección MAC
también pueden eludirla. Una solución más sólida utiliza 802.1X, que autentifica los
dispositivos basándose en un certificado digital de confianza instalado en el dispositivo.
Aunque es más difícil de implementar, debido a la generación e instalación de
certificados, es más fácil de gestionar que la seguridad de puertos y ofrece un mayor
nivel de garantía.
2.6 Limitar y cifrar las redes privadas virtuales (VPN)

Las pasarelas VPN suelen ser accesibles desde Internet y son propensas al escaneo
de la red, los intentos de fuerza bruta y las vulnerabilidades de día cero. Para mitigar
muchas de estas vulnerabilidades, los administradores deberían desactivar todas las
funciones innecesarias e implementar reglas estrictas de filtrado de tráfico para el
tráfico que fluye hacia las pasarelas VPN [2].
La NSA recomienda limitar el acceso de la pasarela VPN al Protocolo de Datagramas de

Usuario (UDP)
puerto 500, puerto UDP 4500, Encapsulating Security Payload (ESP), y otros puertos
PP-22-0266 | MAR 2022 Ver. 1.0 8
ciberseguridad
infraestructuras
apropiados según seade red
necesario. Cuando sea posible, limite el tráfico aceptado a las
direcciones de protocolo de Internet (IP) de pares VPN conocidos. Las VPN de acceso
remoto no pueden añadirse a una regla de filtrado estático si la dirección IP del par
remoto es desconocida. Si el tráfico no puede filtrarse a una IP específica
PP-22-0266 | MAR 2022 Ver. 1.0 9

ciberseguridad
direcciones, utilice un IPS delante de la pasarela VPN para supervisar el tráfico de
seguridad IP (IPsec) malformado e inspeccionar las negociaciones de la sesión IPsec.
Todas las configuraciones de VPN IPsec requieren una política IPsec y una política de
intercambio de claves de Internet (IKE). Estas políticas determinan cómo se negociará
cada fase al establecer el túnel IPsec. Si cualquiera de las fases está configurada
para permitir una criptografía débil, toda la VPN puede estar en riesgo y se perderá la
confidencialidad de los datos. Cada política IKE incluye al menos tres componentes
clave:
1. Algoritmo/grupo Diffie-Hellman
2. Algoritmo de encriptación
3. Algoritmo Hashing
A continuación se indican los ajustes mínimos recomendados por el Comité de

Política de Sistemas de Seguridad Nacional (CNSSP) 15:
• Grupo Diffie-Hellman: 16 con Exponente Modular de 4096 bits (MODP)

• Grupo Diffie-Hellman: 20 con grupo de curva elíptica de 384 bits (ECP)
• Encriptación: Estándar de cifrado avanzado (AES)-256
• Hash: Algoritmo de hash seguro (SHA)-384
El grupo 15 de Diffie-Hellman también es aceptable según los requisitos mínimos de

la CNSSP 15, pero el grupo 15 no se recomienda debido a los problemas de
interoperabilidad que se han observado.
Un túnel VPN puede establecerse entre dos puntos finales para proporcionar un canal
de comunicación encriptado a través de una red no fiable, como Internet. Al establecer
una propuesta, política o conjunto de transformación de VPN, asegúrese de que sigue
las recomendaciones de CNSSP 15 [4]. Los requisitos de la CNSSP 15 se explican en
el borrador del documento del Grupo de Trabajo de Ingeniería de Internet (IETF) sobre
"Commercial National Security Algorithm (CNSA) Suite Cryptography for Internet
Protocol Security (IPsec)" [5].
Para asegurarse de que no se utilicen inadvertidamente, desactive las políticas y

propuestas por defecto para el Protocolo de Asociación de Seguridad de Internet y
Gestión de Claves (ISAKMP) e IKEv2 con los siguientes comandos de configuración:
no crypto isakmp default policy

PP-22-0266 | MAR 2022 Ver. 1.0 10
ciberseguridad
no crypto ikev2 policy default
no crypto ikev2 proposal default
no crypto ipsec transform-set default
Nota: Si se desactivan las políticas por defecto, sólo se utilizarán las políticas
configuradas explícitamente.
Establezca una propuesta, política y perfil IKEv2 con los siguientes comandos de
configuración de ejemplo:
crypto ikev2 proposal <IKEV2_PROPOSAL_NAME>

cifrado aes-gcm-256
grupo [16|20]
crypto ikev2 policy <IKEV2_POLICY_NAME>

propuesta <IKEV2_PROPOSAL_NAME>
crypto ikev2 profile <IKEV2_PROFILE_NAME>

match identity remote ...
authentication remote ...
authentication local ...
La configuración del perfil dependerá de la red para la que se configure, y debe tener
métodos de autenticación local y remota y una declaración de coincidencia. También
se puede establecer un llavero independiente y aplicarlo al perfil para múltiples claves
precompartidas.
Establezca un conjunto de transformación IPsec con los siguientes comandos de

crypto ipsec transform-set <IPSEC_TRANSFORM_NAME> esp-gcm 256

mode tunnel
Establezca un perfil IPsec, que utilice el perfil IKEv2 y el conjunto de

transformación IPsec definido anteriormente, con los siguientes comandos de
crypto ipsec profile <IPSEC_PROFILE_NAME>

set transform-set <IPSEC_TRANSFORM_NAME>
set pfs group16
set ikev2-profile <IKEV2_PROFILE_NAME>
El perfil IPsec debe aplicarse a la interfaz del túnel con los siguientes comandos de
configuración:
PP-22-0266 | MAR 2022 Ver. 1.0 11
ciberseguridad
interfaz <TUNNEL_INTERFACE_NAME>
tunnel protection ipsec profile <IPSEC_PROFILE_NAME>
no hay cierre
Para más información, consulte "Configuración de redes privadas virtuales IPsec",

"Mitigación de vulnerabilidades recientes de VPN" y "Eliminación de configuraciones
obsoletas del protocolo de seguridad de la capa de transporte (TLS)" [6], [7], [8].
Volver al contenido
3. Mantenimiento de la seguridad
El hardware y el software obsoletos pueden contener vulnerabilidades conocidas
públicamente y proporcionar un mecanismo fácil para que los adversarios exploten la
red. Estas vulnerabilidades se mitigan actualizando regularmente el hardware y el
software a versiones más nuevas que
apoyado por el proveedor. Además, el
La integridad del software descargado Actualizar el hardware
debe verificarse antes y durante su uso. El
mantenimiento de la seguridad debe
y el software para
realizarse periódicamente para garantizar garantizar la eficacia y
que los dispositivos sigan funcionando de
forma segura. la seguridad.
3.1 Verificar la integridad del software y la configuración

Un adversario puede introducir software malicioso en los dispositivos de red
modificando los archivos del sistema operativo, el código ejecutable que se ejecuta en
la memoria o el firmware o cargador de arranque que carga el sistema operativo de un
dispositivo de red. El software que ha sido modificado maliciosamente en un
dispositivo de red puede ser utilizado por un adversario para violar la integridad de los
datos, exfiltrar información sensible y causar una denegación de servicio (DoS).
La NSA recomienda verificar la integridad de los archivos del sistema operativo

instalados y ejecutados en los dispositivos comparando el hash criptográfico del
archivo con el hash bueno conocido publicado por el proveedor. Al actualizar los
archivos del sistema operativo, realice la misma verificación de integridad en los
archivos antes y después de la instalación para asegurarse de que no se han
realizado modificaciones. Se puede calcular un hash básico en línea en un archivo de
imagen del sistema operativo con el siguiente comando exec:
PP-22-0266 | MAR 2022 Ver. 1.0 12
verificar /sha512 <PATH:nombre de archivo>
ciberseguridad
PP-22-0266 | MAR 2022 Ver. 1.0 13

ciberseguridad
Es posible que los dispositivos más antiguos sólo admitan un hash Message
Digest 5 (MD5), que puede calcularse con el siguiente comando exec:
verificar /md5 <PATH:nombre de archivo>
El hash calculado puede compararse con la información publicada para el archivo en

las páginas de soporte de https://www.cisco.com/ [9]. Más información sobre la
verificación de dispositivos de red está disponible en los documentos "Network Device
Integrity (NDI) Methodology", "Network Device Integrity (NDI) on Cisco IOS Devices" y
"Validate Integrity of Hardware and Software" [10], [11], [12].
En lugar de realizar estas modificaciones de software más complejas, un adversario

puede optar por cambiar simplemente la configuración. Los cambios de configuración
pueden ser una señal de que un dispositivo ha sido comprometido.
La NSA también recomienda implementar un proceso de control de cambios de

configuración que cree copias de seguridad de la configuración del dispositivo de
forma segura para detectar modificaciones maliciosas. Cuando sea necesario un
cambio de configuración, documente el cambio e incluya la autorización, el propósito
y la justificación de la misión. Verifique periódicamente que no se han aplicado
modificaciones comparando las configuraciones actuales de los dispositivos con las
copias de seguridad más recientes. Si se observan cambios sospechosos, verifique
que el cambio fue autorizado.
3.2 Mantener una gestión adecuada del sistema de archivos y del

arranque
Muchos dispositivos de red tienen al menos dos configuraciones diferentes, una o más
guardadas en el almacenamiento persistente y una copia activa que se ejecuta en la
memoria. Los cambios permanentes en la configuración deben guardarse o
confirmarse para evitar incoherencias en la configuración si el dispositivo se reinicia o
pierde energía. Los cambios de configuración se pueden guardar en un dispositivo con
el siguiente comando exec:
copy running-config startup-config
Si los cambios están destinados a ser temporales, NSA recomienda insertar

comentarios antes de las líneas de configuración actualizadas para incluir el motivo por
el que se ha realizado y cuándo se puede eliminar, y eliminar los comentarios y los
cambios temporales en el momento adecuado. Si el dispositivo no admite comentarios,
PP-22-0266 | MAR 2022 Ver. 1.0 14
ciberseguridad
infraestructuras
inserte deuna
comentarios en redcopia de seguridad de la configuración para compararla con
la versión del dispositivo. Utilice un protocolo encriptado cuando copie configuraciones
de forma remota, como el Protocolo de Transferencia Segura de Archivos (SFTP) o
PP-22-0266 | MAR 2022 Ver. 1.0 15

ciberseguridad
Protocolo de copia segura (SCP). Este mecanismo de copia de seguridad o archivo de
configuraciones, así como el repositorio de copias de seguridad, deben estar
protegidos contra el acceso no autorizado.
NSA también recomienda comprobar si hay archivos no utilizados o innecesarios en

cada dispositivo y eliminarlos con los siguientes comandos exec:
dir /recursive all-filesystems
delete <PATH:filename>
Los archivos del sistema operativo más antiguos o los archivos de configuración de
copia de seguridad obsoletos almacenados en el dispositivo son probablemente
innecesarios, y deben ser eliminados. El almacenamiento de varias versiones de
software ofrece al adversario la oportunidad de recargar el software obsoleto y
reintroducir las vulnerabilidades parcheadas en las versiones más recientes del sistema
operativo.
3.3 Mantener el software y los sistemas operativos actualizados

Mantener los sistemas operativos actualizados y el software estable protege contra las
vulnerabilidades críticas y los problemas de seguridad que han sido identificados y
corregidos en las nuevas versiones. Los dispositivos que ejecutan sistemas operativos
obsoletos o software vulnerable son susceptibles de sufrir una serie de
vulnerabilidades publicadas, y la explotación de estos dispositivos es una técnica
común utilizada por los adversarios para comprometer una red.
NSA recomienda actualizar los sistemas operativos y el software de todos los

dispositivos a la última versión estable disponible del proveedor. La actualización del
sistema operativo puede requerir actualizaciones adicionales de hardware o memoria,
y la obtención de una nueva versión de software puede requerir un contrato de
mantenimiento o soporte con el proveedor. La mayoría de los dispositivos de
infraestructura de red no admiten una función de actualización automática, por lo que
es necesario implementar un proceso de solicitud e instalación del software más
reciente con el proveedor.
Para obtener una lista de los archivos más recientes del sistema operativo de
Cisco, consulte las páginas de soporte en https://www.cisco.com/ [9].
3.4 Manténgase al día con el hardware soportado por el proveedor

PP-22-0266 | MAR 2022 Ver. 1.0 16
ciberseguridad
infraestructuras
Los de red
proveedores acaban dejando de dar soporte a plataformas de hardware
específicas y, si se produce un fallo, estos dispositivos que han llegado al final de su
vida útil no pueden ser reparados. Además de la inestabilidad del dispositivo y la
preocupación por los requisitos de memoria, existe un mayor riesgo de que un
adversario explote el dispositivo debido a la falta de actualizaciones de software para
corregir las vulnerabilidades conocidas. Los dispositivos más nuevos y de
PP-22-0266 | MAR 2022 Ver. 1.0 17

ciberseguridad
Las plataformas de hardware compatibles cuentan con características de
seguridad mejoradas, incluida la protección frente a vulnerabilidades conocidas.
Una vez que un proveedor publica un aviso de fin de vida útil o anuncia que un
dispositivo dejará de recibir soporte, la NSA recomienda elaborar un plan para
actualizar o sustituir los dispositivos afectados por equipos más nuevos, de acuerdo con
las recomendaciones del proveedor. Los dispositivos obsoletos o sin soporte deben
actualizarse o sustituirse inmediatamente para garantizar la disponibilidad de los
servicios de red y el soporte de seguridad.
Para obtener una lista de dispositivos Cisco compatibles, consulte las páginas de
soporte en https://www.cisco.com/ [9].
Volver al contenido
4. Autenticación, autorización y contabilidad (AAA)

Los servidores AAA centralizados proporcionan un mecanismo consolidado para
gestionar el acceso administrativo a los dispositivos, y las cuentas creadas son más
difíciles de comprometer para un adversario, ya que las credenciales no se almacenan
directamente en los dispositivos. Una configuración adecuada de estos servidores
proporciona una fuente autorizada para gestionar y supervisar el acceso,
mejora la coherencia del control de acceso,
reduce el mantenimiento de la Controlar el acceso
configuración y reduce los costes
y reducir el
administrativos. Todos los dispositivos
deben configurarse primero para utilizar mantenimiento
los modernos servicios AAA con el
siguiente comando de ejemplo de mediante el uso de
configuración para dispositivos Cisco IOS:
AAA.
aaa nuevo-modelo
La aplicación de la configuración anterior garantiza que un dispositivo no utilizará

métodos de autenticación y autorización heredados.
4.1 Implantar servidores centralizados

Todos los dispositivos deben estar configurados para utilizar servidores AAA
centralizados. NSA recomienda implementar al menos dos servidores AAA en la red
PP-22-0266 | MAR 2022 Ver. 1.0 18
para garantizar la disponibilidad y ayudar a la detección y prevención de actividades de
los adversarios. Si un servidor no está disponible
ciberseguridad
PP-22-0266 | MAR 2022 Ver. 1.0 19

ciberseguridad
debido al mantenimiento programado o por otras razones, los servidores restantes
seguirán proporcionando los servicios AAA centralizados. Los servidores deben ser:
• Configurado para autenticar los dispositivos con una clave precompartida única
y compleja para garantizar que sólo los dispositivos autorizados puedan utilizar
los servicios AAA (véase 5.6 Crear contraseñas seguras).
• Configurados para utilizar el mismo protocolo (por ejemplo, TACACS+,
RADIUS o LDAP) para mantener la coherencia, y utilizar el transporte
cifrado cuando sea compatible (por ejemplo, RadSec, Diameter, LDAPS o
IPsec encapsulado).
• Sincronizados entre sí para garantizar la coherencia de las credenciales de
los usuarios y los controles de acceso.
Un grupo de servidores con múltiples servidores AAA puede ser configurado con los
siguientes comandos de configuración:
aaa group server {tacacs+ | radius | ldap} <GROUP_NAME>

servidor-privado <dirección_IP_1> clave <KEY_1>
servidor-privado <dirección_IP_2> clave <KEY_2>
Algunos dispositivos antiguos pueden utilizar las palabras clave tacacs-server y

radius-server en la configuración, lo que impide asignar una clave única a cada
servidor.
La NSA recomienda sustituir estas líneas por el formato de configuración anterior y

asignar una clave precompartida única a cada servidor. Si un adversario obtiene la
clave precompartida de un servidor, la clave debe ser revocada, pero otros servidores
con claves diferentes pueden seguir siendo utilizados por los dispositivos.
4.2 Configurar la autenticación

La autenticación verifica la identidad de una persona o entidad. Todos los dispositivos
deben estar configurados para utilizar primero los servidores centralizados para los
servicios AAA, y las cuentas de administrador locales como método de respaldo sólo si
todos los servidores centralizados no están disponibles. Lo mismo se aplica a la
autenticación de nivel privilegiado; los dispositivos sólo deben utilizar la contraseña de
nivel privilegiado local si todos los servidores centralizados no están disponibles. Este
orden de precedencia evitará que un adversario, que obtenga las credenciales de la
cuenta de administrador local, pueda iniciar sesión en los dispositivos, ya que el acceso
estará normalmente controlado por los servidores AAA.
PP-22-0266 | MAR 2022 Ver. 1.0 20
ciberseguridad
NSA recomienda configurar la autenticación centralizada para el inicio de
sesión y el acceso (privilegiado) como método principal, como se muestra en
los siguientes comandos de configuración:
aaa authentication login default group <GROUP_NAME> local

aaa authentication enable default group <GROUP_NAME> enable
El uso de la palabra clave por defecto asegura que la configuración se aplica

globalmente en todas las instancias cuando no se especifica una lista de autenticación
explícita. Si se utiliza una lista con nombre personalizado en su lugar, sería necesario
aplicar explícitamente esta lista a todas las instancias en las que se utiliza AAA y
potencialmente dejar algunos servicios de gestión configurados incorrectamente y
abiertos al compromiso. La lista por defecto se aplica siempre cuando no se aplica
explícitamente una lista con nombre personalizado.
El <GROUP_NAME> debe ser el nombre personalizado del grupo de servidores AAA

(definido previamente) que incluye las direcciones IP de los servidores AAA
centralizados y sus claves asociadas.
La palabra clave de línea no debe ser utilizada ya que estas contraseñas no se

almacenan de forma segura en la configuración y no proporcionan responsabilidad.
La palabra clave none no debe usarse nunca, ya que desactiva la autenticación.
4.3 Configurar la autorización

La autorización valida que una persona o entidad tiene permiso para acceder a un
recurso específico o realizar una acción concreta. La organización, la situación y el
propósito del dispositivo dictarán los comandos de administrador autorizados. Como
mínimo, la autorización debe aplicarse al inicio de una sesión exec (shell) y a la
ejecución de otros comandos shell, incluidos los de configuración.
La NSA recomienda restringir adecuadamente lo que los administradores legítimos

están autorizados a ejecutar para evitar que un adversario realice acciones no
autorizadas con una cuenta comprometida. La mayoría de los administradores utilizan
el nivel de privilegio 1 para el acceso a nivel de usuario y el nivel de privilegio 15 para
el acceso a nivel privilegiado. La autorización debe aplicarse a estos dos niveles y a
cualquier otro nivel de privilegio utilizado por los administradores con los siguientes
comandos de configuración:
PP-22-0266 | MAR 2022 Ver. 1.0 21

ciberseguridad
infraestructuras
aaa authorizationdeexec
red default group <GROUP_NAME> local
PP-22-0266 | MAR 2022 Ver. 1.0 22

ciberseguridad
aaa authorization commands 1 group <GROUP_NAME> local
aaa authorization commands 15 group <GROUP_NAME> local
aaa authorization config-commands
La lista por defecto debe utilizarse para asegurar que la configuración se aplica en
todas partes.

Si se desea, se puede aplicar la palabra clave if-authenticated después de la

palabra clave local. Si un administrador ha iniciado la sesión con éxito y todos los
servidores AAA centralizados dejan de estar disponibles, ya no estará autorizado a
ejecutar comandos. La palabra clave if- authenticated asegura que un usuario
autenticado continuará siendo autorizado a ejecutar comandos. Sin embargo, tenga
cuidado con esta palabra clave ya que podría dar a un administrador acceso más allá
de lo que está configurado en los servidores AAA centralizados.
La palabra clave none no debe usarse nunca, ya que desactiva la autorización.
4.4 Configurar la contabilidad

La contabilidad mantiene registros de todos los recursos relevantes a los que se ha
accedido o de las acciones realizadas, responsabilizando a los administradores.
Esperar a que se detenga un evento para generar un registro contable es insuficiente,
ya que una acción concreta podría tardar un tiempo excesivo en completarse antes de
que se genere el registro. Los registros contables pueden recogerse para otros tipos
de eventos, pero depende de la organización y del propósito de los dispositivos.
La NSA recomienda que los cambios de configuración del sistema se registren de

forma centralizada, y que se implemente un proceso para revisar periódicamente estos
registros para detectar posibles actividades maliciosas. Como mínimo, los registros
contables deben recopilarse cuando se inicia y se detiene una sesión de ejecución
(shell), y cuando se inician y se detienen los comandos del shell.
De forma similar a la autorización, la contabilidad de comandos debe aplicarse a todos
los niveles de privilegio de administrador con los siguientes comandos de configuración:
aaa accounting exec default start-stop group <GROUP_NAME>

aaa accounting commands 1 default start-stop group <GROUP_NAME>
aaa accounting commands 15 default start-stop group <GROUP_NAME>
PP-22-0266 | MAR 2022 Ver. 1.0 23
ciberseguridad
La lista por defecto debe utilizarse para asegurar que la configuración se aplica en
todas partes.
PP-22-0266 | MAR 2022 Ver. 1.0 24

ciberseguridad
4.5 Aplicar el principio del mínimo privilegio

El mínimo privilegio es un concepto de seguridad que autoriza el acceso a una
persona o entidad al nivel de privilegio más bajo necesario para realizar las tareas
autorizadas. Muchas tareas comunes no requieren un nivel de acceso privilegiado,
como ver el estado de las interfaces de red o revisar las tablas de enrutamiento. Para
implementar el privilegio mínimo, los administradores deben iniciar sesión con el nivel
de privilegio más bajo necesario. Esto proporciona una capa adicional de seguridad
que un adversario debe sortear para comprometer completamente un dispositivo.
También evita que los administradores realicen inadvertidamente cambios de
configuración en un dispositivo.
NSA recomienda que todas las cuentas se configuren con un nivel de privilegio 1 o 0, y
que requieran que los administradores introduzcan credenciales adicionales para
elevar a un nivel de privilegio superior para realizar las tareas requeridas. Los niveles
de privilegio deben revisarse periódicamente, y los accesos innecesarios deben
eliminarse para evitar el uso inadvertido de comandos de nivel privilegiado en niveles
de privilegio inferiores.
El nivel de privilegio de las cuentas locales individuales se puede cambiar con la

palabra clave privilegio. Asigne a las cuentas locales el nivel de privilegio 1 con
el siguiente comando de configuración:
nombre de usuario <nombre_de_usuario> privilegio 1
Nota: Esto no cambia la contraseña de la cuenta.
Todas las cuentas de administrador que inicien sesión en el nivel de privilegio 1

deberán ejecutar el comando enable y proporcionar credenciales adicionales para
elevar a un nivel de privilegio superior. Además de revisar todas las cuentas de
administrador locales y asegurarse de que tienen asignado el nivel de privilegio más
bajo, también es necesario revisar todas las cuentas configuradas en los servidores
AAA centralizados.
Del mismo modo, el mismo concepto debe aplicarse a las líneas de consola (CON),
auxiliar (AUX) y teletipo virtual (VTY). Cuando la autorización AAA está correctamente
PP-22-0266 | MAR 2022 Ver. 1.0 25
ciberseguridad
infraestructuras
configurada, de depender
no debería red de la configuración de las líneas. Sin embargo, es
una buena práctica
PP-22-0266 | MAR 2022 Ver. 1.0 26

ciberseguridad
para asegurarse de que las líneas están configuradas al nivel de privilegio mínimo con
los siguientes comandos de configuración:
línea con 0
nivel de privilegio 1
línea auxiliar 0
línea vty 0 4
línea vty 5 15
Dependiendo del dispositivo, puede ser necesario aplicar una configuración similar a
otras líneas también. Si las líneas VTY 5 a 15 no existen en un dispositivo concreto, no
es necesario ejecutar esos comandos.
4.6 Limitar los intentos de autenticación

La limitación del número de intentos de autenticación y la introducción de un retardo
en el inicio de sesión impiden que un adversario realice un descifrado de
contraseñas por fuerza bruta contra un dispositivo en un intento de obtener acceso.
NSA recomienda restringir los intentos fallidos de administración remota a un máximo

de tres o menos con el siguiente comando de ejemplo de configuración para
dispositivos Cisco IOS:
intentos de autenticación aaa login 3
Del mismo modo, el mismo concepto de tres o menos intentos fallidos debe aplicarse a
las sesiones de Secure Shell (SSH) con el siguiente comando de configuración:
ip ssh authentication-retries 3
NSA también recomienda introducir un retraso de al menos un segundo entre los

intentos de inicio de sesión para ralentizar significativamente los intentos de fuerza
bruta con el siguiente comando de configuración:
retardo de inicio de sesión 1
Volver al contenido
PP-22-0266 | MAR 2022 Ver. 1.0 27

ciberseguridad
5. Cuentas y contraseñas de administrador local
Las cuentas locales son vitales para la gestión de los dispositivos de red. Si la
autenticación centralizada falla, las cuentas locales proporcionan a los administradores
acceso a los dispositivos de red para solucionar y diagnosticar problemas de red. Las
cuentas locales deben ser únicas,
autenticado con un único y complejo
Cree cuentas locales contraseña, y proporcionar la
responsabilidad de los administradores
únicas con contraseñas individuales. Si no existe una política de
contraseñas para la organización, establezca
complejas. y aplique una nueva política. Revisar
periódicamente la política y modificarla
cuando sea necesario.
Esta sección se centra principalmente en las cuentas y contraseñas locales. Los

dispositivos de red tradicionales utilizan métodos heredados para la gestión de las
cuentas locales, y es posible que no admitan los mecanismos recomendados para
componer, cambiar y verificar las contraseñas. La naturaleza simplista de estas
cuentas locales requiere que se apliquen recomendaciones diferentes. Esto contrasta
con los servidores AAA centralizados, en los que la autenticación multifactor, la
complejidad de las contraseñas, la comparación de contraseñas anteriores y otros
conceptos pueden aplicarse adecuadamente.
5.1 Utilizar nombres de usuario y configuraciones de cuenta únicos

La mayoría de los dispositivos tienen credenciales administrativas por defecto que se
anuncian al público, y a menudo conceden acceso administrativo completo a un
dispositivo. Mantener estas configuraciones ofrece al adversario una entrada fácil a la
red para conectarse y potencialmente obtener un acceso de nivel privilegiado para
supervisar o reconfigurar el dispositivo de forma anónima.
NSA recomienda eliminar todas las configuraciones por defecto y reconfigurar cada
dispositivo con una cuenta única y segura para cada administrador. No introduzca
ningún dispositivo nuevo en la red sin cambiar primero la configuración y las cuentas
administrativas por defecto. Tenga en cuenta que la cuenta de usuario por defecto de
algunos dispositivos no se puede eliminar.
5.2 Cambiar las contraseñas por defecto

PP-22-0266 | MAR 2022 Ver. 1.0 28
A la mayoría de los dispositivos se les asigna una contraseña por defecto, o a veces
ninguna, para permitir a un administrador un acceso fácil antes de la configuración
inicial. Muchas de estas contraseñas son de dominio público y normalmente no es
ciberseguridad
necesario cambiarlas
Orientación sobrepara que el dispositivo
la seguridad de lasfuncione correctamente. Son objetivos
infraestructuras
principales de escáneres
para que los red automatizados maliciosos (botnets) los exploten, ya
que las credenciales por defecto proporcionan un acceso de nivel privilegiado al
dispositivo.
PP-22-0266 | MAR 2022 Ver. 1.0 29

ciberseguridad
NSA recomienda eliminar todas las contraseñas por defecto y asignar una contraseña
única, compleja y segura a todos los niveles de acceso, incluyendo los niveles de
usuario y privilegiados. Además, cuando se introduzcan nuevos dispositivos en la red,
cambie las contraseñas por defecto de los niveles de usuario y privilegiado antes de
conectar el dispositivo a la red.
5.3 Eliminar las cuentas innecesarias

Algunos dispositivos tienen cuentas que no son necesarias. Como es posible que se
utilicen poco o nada, a menudo se pasa por alto el mantenimiento de su seguridad. Si
es posible, cambie el nombre o elimine las cuentas por defecto que no estén asociadas
a un administrador concreto.
NSA recomienda que el número de cuentas autorizadas para iniciar sesión en los
dispositivos se limite a lo necesario; todas las demás deben eliminarse. Cuando un
administrador abandona una organización o cambia de función, las cuentas asociadas
deben desactivarse o eliminarse. En los dispositivos Cisco IOS, elimine una cuenta
local con el siguiente comando de configuración:
sin nombre de usuario <NAME>
5.4 Emplear cuentas individuales

Las cuentas pueden ser utilizadas por administradores individuales o compartidas
entre un grupo. Sin embargo, si varios administradores utilizan una cuenta de grupo
para acceder al dispositivo, no se puede imponer la responsabilidad, ya que los
cambios de configuración no estarán asociados a un individuo específico. Por esta
razón, los adversarios tienen como objetivo las cuentas de grupo para obtener acceso
no autorizado a los dispositivos.
NSA recomienda deshabilitar todas las cuentas de administrador compartidas o de

grupo, y utilizar una cuenta única para cada administrador a fin de proporcionar
acceso para los cambios de configuración y garantizar la responsabilidad en cada
dispositivo. Si las cuentas de grupo son necesarias, NSA recomienda supervisar estas
cuentas para detectar cualquier actividad sospechosa. Puede que no sea factible
crear una cuenta local de reserva para cada administrador, pero una única cuenta de
grupo conocida por todos los administradores no proporciona responsabilidad
individual.
La NSA también recomienda que las cuentas locales sólo se utilicen en situaciones de
PP-22-0266 | MAR 2022 Ver. 1.0 30
ciberseguridad
infraestructuras
emergencia deservidores
cuando los red AAA centralizados no estén disponibles. Durante
este tipo de eventos, las contraseñas de las cuentas locales de emergencia deben ser
mantenidas por una persona de confianza que no tenga acceso directo a los
dispositivos. Los administradores pueden solicitar la cuenta y la contraseña locales y,
una vez finalizada la situación de emergencia, la persona de confianza puede
PP-22-0266 | MAR 2022 Ver. 1.0 31

ciberseguridad
cambiar la contraseña. Esto evitará la reutilización de la contraseña y garantizará la
responsabilidad. Todas las demás solicitudes de autenticación deben realizarse a
través de los servidores AAA centralizados.
5.5 Almacenar contraseñas con algoritmos seguros

Las contraseñas generalmente se almacenan en la configuración de un dispositivo o
en una base de datos local, como texto claro, encriptado o un hash unidireccional.
Nunca se debe utilizar texto claro, y algunas funciones de cifrado o hash se consideran
débiles y podrían romperse fácilmente utilizando herramientas disponibles al público.
Un adversario podría acumular contraseñas o hashes de la configuración o de la base
de datos local utilizando un analizador de red o comprometiendo un sistema de gestión
central que almacene archivos de configuración. El texto claro y las contraseñas de
algoritmo débil podrían ser fácilmente descifradas y utilizadas para obtener acceso de
nivel de usuario o privilegiado a un dispositivo. Cisco IOS admite los siguientes tipos de
hash unidireccional y cifrado:
• Las contraseñas de tipo 0 no deben utilizarse porque se almacenan en texto

claro
• Los hashtags de las contraseñas de tipo 4 no deben utilizarse porque son fáciles
de descifrar
• Deben evitarse los hashes de contraseñas de tipo 5 (MD5), excepto en los
sistemas operativos más antiguos que no admiten los tipos 6, 8 o 9
• Las contraseñas de tipo 6 están encriptadas con AES y sólo deben utilizarse
para contraseñas que necesiten ser encriptadas en lugar de con hash (como
en el caso de las claves VPN), o en sistemas que no admitan el tipo 8 (lo que
normalmente implica que el tipo 9 tampoco está disponible)
• Las contraseñas de tipo 7 no deben utilizarse porque son fácilmente
reversibles, aunque estén cifradas
• Se recomiendan los hashes de contraseña de tipo 8 (SHA-256 PBKDF2)
• Los hashes de contraseñas de tipo 9 (Scrypt) no están aprobados por el
Instituto Nacional de Normas y Tecnología (NIST)
Para más información sobre los tipos de contraseñas anteriores, consulte Tipos de
contraseñas de Cisco: Best Practices [13].
La NSA recomienda que todas las contraseñas de un dispositivo se almacenen

utilizando el algoritmo más seguro disponible, y nunca se almacenen como texto
claro. Los algoritmos hash unidireccionales son irreversibles y, por lo general,
PP-22-0266 | MAR 2022 Ver. 1.0 32
ciberseguridad
infraestructuras
deberían de almacenar
utilizarse para red las contraseñas. Sin embargo, si los algoritmos
hash unidireccionales no están disponibles, las contraseñas deben ser encriptadas
con una clave única y fuerte.
PP-22-0266 | MAR 2022 Ver. 1.0 33

ciberseguridad
Al crear una cuenta de usuario o asignar una contraseña, algunos dispositivos
requieren que se especifique el algoritmo. Se debe prestar especial atención a las
cuentas de nivel privilegiado, pero esta guía también se aplica a las cuentas de usuario,
los puertos de gestión, los protocolos de enrutamiento autenticados, las claves de VPN
y cualquier lugar donde se pueda especificar una contraseña en la configuración del
dispositivo.
Evite las contraseñas en texto claro con el siguiente comando de configuración:
servicio de cifrado de contraseñas
Guarde un hash de contraseña de tipo 8 para una cuenta local con el siguiente
comando de configuración:
nombre de usuario <nombre> algoritmo-tipo sha256 secreto <contraseña>
Tenga en cuenta que la palabra clave algorithm-type no se almacena en la

configuración guardada en nvram:/startup-config; en su lugar, la palabra clave
secret se sustituye por secret 8 antes de la contraseña con hash.
Si se necesitan contraseñas encriptadas reversibles (por ejemplo, para las claves

VPN), utilice AES de tipo 6 en lugar de contraseñas de tipo 7 con los siguientes
codificación de contraseñas aes

key config-key password-encrypt <KEY>
La <KEY> debe ser una contraseña única y compleja que se utiliza para generar la
clave para cifrar las contraseñas de tipo 6. No debe ser una contraseña por defecto,
débil o fácil de adivinar, y no debe ser reutilizada en otras partes de la configuración.
Un adversario que adivine esta clave podría utilizarla para descifrar todas las
contraseñas de tipo 6 almacenadas en la configuración. Una vez establecida esta
clave, generalmente no es necesario conservarla.
Nota: El comando de configuración config-key password-encrypt no se almacena en

la configuración guardada en nvram:/startup-config.
Dado que no es necesario conservarla, la NSA recomienda utilizar una clave única para
cada dispositivo, lo que evitará que un adversario utilice la misma clave para descifrar
las contraseñas de tipo 6 en todos los dispositivos. Tenga en cuenta que si la clave se
cambia alguna vez, las contraseñas encriptadas de tipo 6 tendrán que volver a
PP-22-0266 | MAR 2022 Ver. 1.0 34
ciberseguridad
infraestructuras
configurarse de red
manualmente.
PP-22-0266 | MAR 2022 Ver. 1.0 35

ciberseguridad
5.6 Cree contraseñas seguras
Un dispositivo configurado con una contraseña débil aumenta la capacidad de un
adversario para comprometer ese dispositivo. Un adversario puede ser capaz de
adivinar fácilmente una contraseña débil o descifrarla utilizando herramientas de
descifrado de contraseñas disponibles públicamente (por ejemplo, intentos de
diccionario o fuerza bruta). Una vez obtenido el nivel de acceso privilegiado, un
adversario puede realizar cambios de configuración que potencialmente comprometen
otros dispositivos en la red.
NSA recomienda asignar una contraseña única y compleja a todos los niveles de
acceso, incluyendo los accesos de nivel de usuario y privilegiado. También se deben
utilizar contraseñas únicas y complejas para la autenticación de enrutamiento, la
sincronización de tiempo, los túneles VPN, las cadenas de comunidad del Protocolo
Simple de Gestión de Redes (SNMP) y cualquier otro lugar donde se almacenen
contraseñas en la configuración. Las contraseñas deben cumplir los siguientes
requisitos de complejidad:
• Utilizar todas las clases de caracteres (mayúsculas, minúsculas, números y

caracteres especiales)
• Tener al menos quince caracteres
• No se basa en palabras o acrónimos no modificados
• No ser un paseo con el teclado
• No es lo mismo que el nombre de usuario
• No está relacionado con la red, la organización, la ubicación, el equipo
deportivo local u otros identificadores de función
• No es idéntica o similar a la última contraseña o contraseñas asignadas en otro
lugar
• No es una contraseña por defecto, en blanco o conocida públicamente
La política de contraseñas de una organización puede no requerir que las contraseñas

gestionadas a través de los servidores AAA centralizados se adhieran a todas estas
recomendaciones, especialmente cuando se combinan con la autenticación multifactor
y otros principales. Las orientaciones anteriores deberían aplicarse al menos a las
cuentas locales y otras contraseñas que se almacenan en la configuración de un
dispositivo de red, donde no se pueden aplicar controles de seguridad centralizados.
NSA desaconseja encarecidamente el uso de la versión 1 o 2c de SNMP. Para más

información, consulte 7.1 Desactivar los servicios de administración de texto claro y 7.8
PP-22-0266 | MAR 2022 Ver. 1.0 36
ciberseguridad
infraestructuras
Eliminar las cadenas de red
de comunidad de lectura y escritura de SNMP.
PP-22-0266 | MAR 2022 Ver. 1.0 37

ciberseguridad
Un adversario con conocimiento de la red, la ubicación, los programas, etc. podría
adivinar (o conocer) fácilmente estos términos, lo que le ayudaría a descifrar las
contraseñas.
La NSA también recomienda comprobar regularmente si las contraseñas son débiles

para hacer cumplir la política de contraseñas de la organización. La complejidad de
las contraseñas debe comprobarse antes de establecer una nueva contraseña, y los
administradores de red deben revisar periódicamente las configuraciones de los
dispositivos de red para identificar el uso de algoritmos de contraseñas débiles.
5.7 Utilizar contraseñas únicas

Asignar la misma contraseña a varias cuentas o a varios niveles de acceso podría
afectar a la responsabilidad y la autorización. Si un administrador accede al dispositivo
a través de un protocolo no cifrado, un adversario podría utilizar un analizador de red
para obtener la contraseña del tráfico de red. Si un adversario obtiene acceso a nivel
de usuario, podría reutilizar la misma contraseña para obtener también acceso a nivel
privilegiado.
Asignar la misma contraseña a varios dispositivos permite a un adversario

comprometer numerosos dispositivos al mismo tiempo, sin ningún esfuerzo adicional.
Si se asignara la misma contraseña a la mayoría de los dispositivos, un adversario sólo
necesitaría comprometer una única contraseña para obtener acceso de nivel
privilegiado a todos esos dispositivos.
NSA recomienda asignar una contraseña única, compleja y segura para cada cuenta y
nivel de privilegio en cada dispositivo.
La NSA también recomienda comprobar la reutilización de contraseñas en varias

cuentas y niveles de acceso, y en varios dispositivos. Los hashtags idénticos pueden
ser un indicio de reutilización de la contraseña.
5.8 Cambiar las contraseñas cuando sea necesario

Cambiar periódicamente las contraseñas ha conducido históricamente al uso de
contraseñas más débiles, y la aplicación de esta política puede no ser necesaria si los
usuarios siguen la guía en 5.6 Crear contraseñas fuertes. La creación inicial de
contraseñas seguras es un método más efectivo para reducir los compromisos de
contraseñas exitosas.
PP-22-0266 | MAR 2022 Ver. 1.0 38

ciberseguridad
Lainfraestructuras de red una contraseña inmediatamente si la contraseña o el
NSA recomienda cambiar
hash de la contraseña han sido comprometidos, y almacenarla de forma segura como
se describe en 5.5 Almacenar contraseñas con algoritmos seguros. Con el tiempo y los
recursos suficientes, toda contraseña puede ser adivinada o descifrada por fuerza
bruta, lo que supone un intento de todos los caracteres posibles
PP-22-0266 | MAR 2022 Ver. 1.0 39

ciberseguridad
combinaciones. Las contraseñas comprometidas que no han sido cambiadas dan a un
adversario aún más tiempo para utilizar estas técnicas. Además, si un adversario acaba
por descifrar una contraseña antigua, puede seguir intentando variaciones y adivinar la
contraseña actual si se basó en una contraseña anterior.
Desafortunadamente, puede ser difícil discernir cuando una contraseña ha sido

comprometida, especialmente las contraseñas locales almacenadas en la
configuración. Los dispositivos de red tradicionales son significativamente más
simplistas en la forma en que almacenan y transmiten la configuración, que incluye
contraseñas y hashes de contraseñas. Además, enviar por correo electrónico las
configuraciones de los dispositivos de red o almacenarlas en archivos compartidos no
protegidos podría constituir un compromiso, porque las contraseñas y los hashes de
las contraseñas almacenados en las configuraciones quedan desprotegidos. Además,
las contraseñas almacenadas con un algoritmo débil deben considerarse
comprometidas, ya que son significativamente más fáciles de descifrar.
Si no se puede mantener la confidencialidad de las contraseñas o la organización

desea intentar desalojar regularmente a los actores que puedan haber comprometido
las contraseñas sin ser detectados, la NSA recomienda establecer una política de
envejecimiento que incorpore el cambio de contraseñas de forma regular. El cambio de
contraseñas locales puede ser significativamente más engorroso que el de las
contraseñas centralizadas, por lo que es necesario elegir un plazo que sea
razonablemente práctico para que los administradores de la red lo sigan, al tiempo que
se reduce la cantidad de tiempo que un adversario puede utilizar una contraseña
potencialmente comprometida. Si el dispositivo no admite contraseñas largas, se
recomienda cambiar las contraseñas con mayor frecuencia para evitar que un
adversario pueda descifrar una contraseña que aún esté en uso.
Nota: Si una contraseña se almacena utilizando un secreto de tipo 9 enrevesado en el

que el hash de la contraseña de tipo 9 empieza por $14$, indica que la contraseña no
se ha cambiado recientemente. El hash de la contraseña se convirtió de Tipo 5 durante
una actualización anterior del sistema operativo. El secreto enrevesado de Tipo 9 debe
eliminarse cambiando la contraseña a un secreto de Tipo 8 con las palabras clave
algorithm-type sha256, tal y como se ha descrito anteriormente en 5.5 Almacenar
contraseñas con algoritmos seguros.
Volver al contenido
PP-22-0266 | MAR 2022 Ver. 1.0 40

ciberseguridad
6. Registro y supervisión remotos
El registro es un mecanismo importante para registrar las actividades de los dispositivos
y hacer un seguimiento de los eventos de seguridad de la red, proporcionando a los
administradores la capacidad de revisar los registros para detectar actividades
sospechosas e investigar incidentes. Una configuración incompleta de los registros en
un dispositivo puede llevar a la falta de información o a la inexactitud de la misma y a la
dificultad para correlacionar los eventos que
en un dispositivo o en la red. Correcto
Activar y configurar El registro incluye el envío de registros a
el registro para múltiples servidores de registro remotos, la

sincronización del reloj con múltiples fuentes de
identificar la tiempo autentificadas y la implementación de
políticas y procedimientos de gestión de
actividad maliciosa. registros. Una información de seguridad y gestión
de eventos (SIEM)
puede utilizarse para agregar y analizar los registros recibidos por los servidores de
registro remotos. Los registros deben conservarse según lo recomendado por el
Memorando M-21-31 de la Oficina de Gestión y Presupuesto (OMB) [14].
6.1 Activar el registro

Los mensajes de registro sólo se generarán en los dispositivos de red cuando el
registro esté activado. Los dispositivos deben estar configurados para enviar mensajes
de registro a un búfer de registro local y a servidores de registro centralizados
simultáneamente.
NSA recomienda habilitar el registro de syslog, configurar el búfer de registro local a 16

megabytes o más, y establecer un procedimiento para verificar que los registros se
reciben y revisan de forma regular. La mayoría de los dispositivos deberían ser
capaces de soportar el tamaño de búfer más grande, pero se puede reducir para un
dispositivo en particular si no hay suficiente memoria.
Asegúrese de que el registro de syslog está activado con el siguiente comando de

configuración:
iniciar la sesión
Aumente el búfer de registro local máximo con el siguiente comando de configuración:
PP-22-0266 | MAR 2022 Ver. 1.0 41

registro en el buffer 16777216 informativo
Nota: Esto de
Agencia también cambiará
Seguridad el nivel
Nacional de registro
| Informe a informativo,
técnico sobre ya que ambos valores
ciberseguridad
deben establecerse simultáneamente.
PP-22-0266 | MAR 2022 Ver. 1.0 42

ciberseguridad
6.2 Establecer servidores de registro remotos centralizados
Los mensajes de registro enviados a los servidores de registro remotos son menos
vulnerables al compromiso o al borrado, lo que garantiza que los mensajes no se verán
afectados en caso de que un dispositivo se vea comprometido, se reinicie o el búfer de
registro local se llene. La existencia de varios servidores de registro es fundamental a la
hora de defenderse de los efectos del DoS y de reducir un único punto de fallo.
NSA recomienda establecer al menos dos servidores de registro remotos y

centralizados para garantizar la supervisión, la redundancia y la disponibilidad de los
mensajes de registro de los dispositivos. Si se admite, asegúrese de que los mensajes
de registro estén cifrados en tránsito para evitar la divulgación no autorizada de
información confidencial. Los mensajes de syslog salientes sólo pueden cifrarse en un
dispositivo Cisco IOS mediante la creación de un túnel IPsec entre el dispositivo y los
servidores de syslog remotos, como se describe en 2.6 Limitar y cifrar las redes
privadas virtuales (VPN).
Configure al menos dos servidores de registro remotos con los siguientes comandos de
configuración:
registro de host <dirección IP1>

registro de host <dirección IP_2>
6.3 Capturar la información de registro necesaria

Los dispositivos configurados con suficiente información en los registros proporcionan a
los administradores la información que necesitan para analizar los eventos relacionados
con un incidente, incluyendo la correlación de múltiples eventos o eventos que ocurren
en otros dispositivos.
NSA recomienda configurar los niveles de registro de trampas y búferes en cada

dispositivo al menos al nivel de syslog "informativo" (código 6) para recoger toda la
información necesaria. Los dispositivos pueden configurarse para "depuración" (código
7), pero el mayor número de mensajes generados puede ralentizar el proceso de
revisión de registros. Establezca los niveles de registro de trampas y de búferes como
informativos con los siguientes comandos de configuración:
registro de la trampa informativa

registro en el buffer 16777216 informativo
Tenga en cuenta que esto también establecerá el tamaño máximo del búfer de registro
local, ya que ambos valores deben establecerse simultáneamente.
PP-22-0266 | MAR 2022 Ver. 1.0 43
ciberseguridad
También se puede activar el registro en las líneas de consola y VTY con las palabras
clave console y monitor, respectivamente. Estos métodos alertarán inmediatamente a
los administradores que estén conectados, pero los mensajes no se conservan. No es
necesario habilitar
PP-22-0266 | MAR 2022 Ver. 1.0 44

ciberseguridad
El registro de estos métodos no es posible a menos que los administradores lo deseen.
Se pueden desactivar con los siguientes comandos de configuración:
no logging console
no logging monitor
NSA también recomienda utilizar el Tiempo Universal Coordinado (UTC) para la zona
horaria, especialmente si la red abarca varias zonas horarias. Todos los mensajes de
registro deben contener una marca de tiempo correctamente configurada con la fecha
completa, incluyendo el año, la hora, incluyendo segundos y milisegundos, y la zona
horaria. Asegúrese de que la zona horaria está correctamente configurada y habilite
todas las funciones mencionadas anteriormente con los siguientes comandos de
configuración:
reloj zona horaria UTC 0 0

service timestamps log datetime msec localtime show-timezone year
service timestamps debug datetime msec localtime show-timezone year
Por último, NSA también recomienda habilitar los mensajes de registro para indicar
cuándo un usuario ha tenido éxito o no en el inicio de sesión en el sistema. Aunque
estos eventos se registran en los servidores AAA centralizados cuando la contabilidad
está correctamente configurada, esta información no se registra en el buffer local.
Asegúrese de que estos eventos se registran con los siguientes comandos de
configuración:
registro de inicio
de sesión en caso de
fallo registro de
inicio de sesión en
caso de éxito
6.4 Sincronizar los relojes

El Protocolo de Hora de Red (NTP) se utiliza para sincronizar los relojes de los
dispositivos en todo el mundo y para garantizar que las marcas de tiempo incluidas en
los mensajes de registro sean razonablemente precisas. Para proporcionar esta
fiabilidad, cada dispositivo debe sincronizarse con al menos dos fuentes de tiempo de
confianza. Esta precisión es fundamental para garantizar que las marcas de tiempo de
los mensajes de registro puedan correlacionarse fácilmente a través de zonas
horarias geográficamente dispersas, y utilizarse para rastrear colectivamente un
incidente de red de un dispositivo a otro.
PP-22-0266 | MAR 2022 Ver. 1.0 45
ciberseguridad
NSA recomienda que cada dispositivo y los servidores de registro remotos utilicen al
menos dos servidores de hora fiables y de confianza para garantizar la precisión y la
disponibilidad de la información. Los servidores de hora internos deben establecerse
como fuente primaria para todos los dispositivos, que posteriormente deben
sincronizarse con fuentes externas autorizadas. Este diseño disminuye el número de
solicitudes externas y asegura la consistencia de las marcas de tiempo en
PP-22-0266 | MAR 2022 Ver. 1.0 46

ciberseguridad
en el caso de que un servidor de hora externo sea inalcanzable. Al desplegar
servidores de tiempo en la red, los administradores deben confirmar que los
dispositivos pueden acceder a los servidores de tiempo, y que los relojes se sincronizan
después de aplicar la configuración.
NSA también recomienda activar la autenticación NTP en todos los dispositivos para
evitar la manipulación del reloj, y configurar claves de autenticación NTP fuertes y
únicas entre los dispositivos y su fuente de tiempo especificada.
Establezca las claves NTP de confianza y habilite la autenticación NTP con los
ntp authentication-key <#1> md5 <KEY>

ntp trusted-key <#1>
ntp authentication-key <#2> md5 <KEY>
ntp trusted-key <#2>
autenticación ntp
Se puede establecer cualquier número de claves de confianza. Tenga en cuenta que

las claves de autenticación NTP se almacenarán en la configuración como
contraseñas de tipo 7. Las contraseñas cifradas con AES de tipo 6 no son
compatibles con la autenticación NTP.
Sincronice el dispositivo con al menos dos servidores NTP diferentes con los siguientes
servidor ntp <dirección_IP_1> clave <#1>

servidor ntp <dirección_IP_2> clave <#2>
Nota: El número que aparece al final de cada comando es la clave NTP de confianza
utilizada para autenticar ese servidor en particular.
Después de esperar a que el reloj se sincronice, verifique la sincronización y el

estado de los servidores NTP con los siguientes comandos exec:
mostrar estado de ntp

mostrar asociaciones ntp
Nota: Es necesario verificar la sincronización del reloj después de cada cambio de

configuración de NTP, y pueden pasar varias horas para que la sincronización sea
correcta.
PP-22-0266 | MAR 2022 Ver. 1.0 47

ciberseguridad
infraestructuras
Volver al contenido de red
PP-22-0266 | MAR 2022 Ver. 1.0 48

ciberseguridad
7. Administración remota y servicios de red
Los dispositivos de red pueden ser gestionados a distancia por
administradores a través de varios servicios. Proteja sus
Algunos servicios de red comunes son SSH, el herramientas de
Protocolo de Transferencia de Hipertexto
(HTTP), SNMP y el Protocolo de Transferencia gestión de red
de Archivos (FTP). Estos servicios son útiles
de los adversarios.
para los administradores, pero también son
objetivo de los adversarios para explotar y obtener acceso de nivel privilegiado a un
dispositivo. Todos ellos deben estar correctamente configurados para reducir la
probabilidad de un compromiso.
7.1 Desactivar los servicios de administración de texto claro

Los protocolos de texto claro pasan el tráfico a través de la red "en claro" (es decir, sin
cifrar) y fueron diseñados antes del uso generalizado del cifrado. Por lo tanto, el uso de
estos protocolos para administrar remotamente dispositivos críticos puede llevar a una
revelación de información que podría afectar negativamente a la seguridad del
dispositivo y de la red. Un adversario podría comprometer la red, recopilando nombres
de usuario, contraseñas, información de configuración y otros datos sensibles a través
de técnicas comunes de recuperación de información (por ejemplo, un analizador de
red o una utilidad de captura de paquetes).
La NSA recomienda utilizar servicios cifrados para proteger las comunicaciones de red
y desactivar todos los servicios de administración en texto claro (por ejemplo, Telnet,
HTTP, FTP, SNMP 1/2c). Esto asegura que la información sensible no pueda ser
obtenida fácilmente por un adversario que capture el tráfico de la red. Para obtener
información detallada sobre cómo habilitar los servicios encriptados, consulte 7.11
Configuraciones de servicios de red.
Si un dispositivo no admite protocolos cifrados, conecte un sistema de gestión

directamente a la consola o al puerto de gestión, o establezca una red de gestión
dedicada fuera de banda para reducir la capacidad de un adversario de capturar
los protocolos de texto claro. Desactive el servicio Telnet con los siguientes
línea vty 0 4
transporte entrada
ninguno
PP-22-0266 | MAR 2022 Ver. 1.0 49
línea vty 5 15
transporte
Agencia entrada Nacional | Informe técnico sobre
de Seguridad
ninguno
ciberseguridad
es
PP-22-0266 | MAR 2022 Ver. 1.0 50

ciberseguridad
necesario para ejecutar esos comandos. Tenga en cuenta que estos comandos
también pueden desactivar otros servicios que están habilitados en las líneas por
defecto, incluyendo SSH. Para obtener información detallada sobre cómo habilitar SSH,
consulte 7.11.1 Configuraciones de servicios de red SSH.
Desactive el servicio HTTP con el siguiente comando de configuración:
no ip http server
Para obtener información detallada sobre cómo activar el servicio HTTP seguro,
consulte 7.11.2 Configuraciones de servicios de red HTTP.
Desactive las versiones 1 y 2c de los servicios SNMP y SNMP trap eliminando las
cadenas de comunidad configuradas con los siguientes comandos de configuración:
no snmp-server community <CANAL_COMUNITARIO>

no snmp-server host <HOSTNAME_OR_IP_ADDRESS> <COMMUNITY_STRING>
Para obtener información detallada sobre cómo activar la versión 3 de SNMP,

consulte 7.11.3 Configuraciones de servicios de red SNMP.
Desactive el Protocolo de Transferencia de Archivos Triviales (TFTP) eliminando

cualquier línea con el siguiente comando de configuración:
no tftp-server <FILENAME>
El servicio FTP generalmente no está habilitado como servicio de escucha, pero el

protocolo puede ser utilizado como cliente. Elimine las credenciales de FTP con los
no ip ftp username
no ip ftp password
7.2 Garantizar una fuerza de encriptación adecuada

Algunos servicios encriptados requieren que se genere un par de claves públicas y
privadas para que los clientes puedan conectarse y autenticarse con el servidor.
Además, el cliente y el servidor de una conexión cifrada pueden establecer
colectivamente una clave de sesión privada para cada conexión única. Las conexiones
cifradas que utilizan algoritmos débiles o un número reducido de bits facilitan a un
adversario la tarea de descifrar la clave de sesión privada y descifrar todos los datos
transferidos durante una conexión única.
PP-22-0266 | MAR 2022 Ver. 1.0 51
ciberseguridad
Para saber qué algoritmos y cifrados están aprobados por la NSA para los Sistemas de
Seguridad Nacional (NSS), consulte la CNSSP 15 [4]. Los requisitos de la CNSSP 15
se explican en los borradores de los documentos del IETF sobre Commercial National
Security Algorithm (CNSA) Suite Cryptography for Internet Protocol Security (IPsec),
Commercial National Security Algorithm (CNSA) Suite Profile for TLS and DTLS 1.2
and 1.3, y Commercial National Security Algorithm (CNSA) Suite Cryptography for
Secure Shell (SSH) [5], [15], [16].
Para conocer los requisitos y orientaciones relacionados con los sistemas del Gobierno
de EE.UU. que no son del NSS, consulte el Apéndice F del NIST SP 800-52 Revisión 2
[17].
Estos documentos contienen los últimos parámetros de encriptación recomendados.
La NSA recomienda utilizar 3072 bits o más para la generación de claves asimétricas
(públicas y privadas), 384 bits para las claves de criptografía de curva elíptica (ECC) y
256 bits para las claves de cifrado simétrico. Algunos sistemas pueden no soportar
3072 bits, por lo que puede ser necesario utilizar 4096 bits en su lugar. Para cualquier
dispositivo que tenga un tamaño de clave menor, regenere un nuevo par de claves y
configure los protocolos de cifrado para que sólo utilicen algoritmos aprobados. Un
tamaño de clave mayor puede aumentar el tiempo de conexión al servicio (debido a los
cálculos adicionales), pero es insignificante en la mayoría de los dispositivos. Para más
información sobre la configuración de servicios encriptados, consulte 7.11
Configuraciones de servicios de red.
7.3 Utilizar protocolos seguros

Varios servicios de administración comunes implementan protocolos que contienen
fallos en la implementación e intercambio de información, que pueden ser explotados
por un adversario. Algunos protocolos, como SSH, pueden configurarse para ser
compatibles con versiones anteriores y aceptar protocolos inseguros más antiguos,
junto con los más nuevos. Los protocolos más antiguos están sujetos a técnicas de
"hombre en el medio" que pueden forzar a los clientes y servidores a negociar
algoritmos más débiles, posiblemente sin que el usuario lo sepa.
NSA recomienda asegurarse de que los servicios de administración utilicen la última

versión de los protocolos, con los ajustes de seguridad adecuados. La versión 2 de
SSH es el método preferido para acceder de forma remota a los dispositivos. Los
servidores HTTP cifrados deben configurarse para que sólo acepten la versión 1.2 o
PP-22-0266 | MAR 2022 Ver. 1.0 52
ciberseguridad
infraestructuras
superior de Transportde redSecurity (TLS). Para más información sobre la limitación
Layer
de servicios a versiones específicas del protocolo, consulte 7.11 Configuraciones de
servicios de red.
PP-22-0266 | MAR 2022 Ver. 1.0 53

ciberseguridad
7.4 Limitar el acceso a los servicios
Si se permite que un gran número de dispositivos se conecten a los servicios de
gestión, son más vulnerables a la explotación. NSA recomienda configurar las ACL
para permitir que sólo los sistemas de administrador se conecten a los dispositivos
para su gestión remota. Los dispositivos que no tienen la capacidad de soportar ACLs
deben ser colocados en un segmento de gestión de red separado (por ejemplo,
VLAN). Una vez creada, debe aplicarse una ACL a esa VLAN o en el router de entrada
para restringir el acceso a este segmento de red. Puede ser necesario implementar un
firewall separado frente a los segmentos de red críticos para restringir qué sistemas
pueden conectarse a esa VLAN. Considere una alternativa al uso del protocolo de
configuración dinámica de host (DHCP); asigne a los sistemas del administrador
direcciones IP estáticas o utilice un grupo de direcciones más pequeño. Las
direcciones estáticas facilitarán la definición de la ACL y limitarán el acceso
administrativo a los servicios de gestión.
La mayoría de los servicios de gestión sólo aceptan ACL estándar. Se puede listar
más de un dispositivo o red en líneas adicionales con la palabra clave permit. Aunque
todas las ACL tienen una declaración de denegación implícita al final, es una buena
práctica incluirla explícitamente para que se registren los intentos denegados. Cree
una ACL estándar para permitir sólo las direcciones IP utilizadas por los
administradores con los siguientes comandos de configuración:
access-list <ACL#> permit <NETWORK> <WILDCARD_MASK> log

access-list <ACL#> deny any log
Para más información sobre cómo aplicar ACLs a servicios administrativos

específicos, consulte 7.11 Configuraciones de servicios de red.
NSA también recomienda eliminar las ACL no utilizadas de la configuración, ya que

pueden confundir a un administrador haciéndole creer que están aplicadas
correctamente cuando no lo están. Después de verificar que una ACL estándar no está
aplicada, elimínela con el siguiente comando de configuración:
no access-list <ACL#>
7.5 Establecer un período de tiempo de espera aceptable

Establecer un período de tiempo de espera para las conexiones inactivas permite que
las sesiones se cierren después de un tiempo prescrito de inactividad. Cuando los
periodos de tiempo de espera no se establecen o se establecen demasiado largos, es
PP-22-0266 | MAR 2022 Ver. 1.0 54
ciberseguridad
infraestructuras
posible de redinactivas continúen indefinidamente o incluso que causen
que las conexiones
una DoS si se han establecido conexiones simultáneas limitadas en el dispositivo. El
DoS persistirá hasta que el tiempo de espera de inactividad
PP-22-0266 | MAR 2022 Ver. 1.0 55

ciberseguridad
que puede ser indefinido si se ha desactivado el tiempo de espera. Un periodo de
espera más largo proporciona a un adversario más tiempo para secuestrar una
sesión mientras está inactiva.
NSA recomienda establecer el tiempo de espera de la sesión para las conexiones

administrativas en cinco minutos o menos en todos los dispositivos remotos (por
ejemplo, el tiempo de espera de ejecución en las líneas VTY, SSH, consola y puertos
auxiliares). No configure el período de tiempo de espera a cero, ya que la mayoría de
los dispositivos desactivarán la función de tiempo de espera con esta configuración.
Para más información sobre la limitación del tiempo de espera de la sesión en servicios
administrativos específicos, consulte 7.11 Configuraciones de servicios de red.
7.6 Activar el protocolo de control de transmisión (TCP) keep-alive

Los mensajes TCP keep-alive enviados y recibidos desde un dispositivo le permiten
evaluar el estado de la conexión cuando no se ha producido ninguna actividad en un
plazo determinado. Estos mensajes pueden utilizarse para detectar una pérdida
inadvertida de la conexión y mitigar los posibles riesgos de la red. En algunos
dispositivos, la falta de un servicio TCP keep-alive hace que las conexiones TCP
establecidas permanezcan abiertas después de una pérdida inadvertida de la conexión
en un extremo, dejando la sesión vulnerable al secuestro. Además, es posible que ni
siquiera se requiera la autenticación, especialmente en el caso de las conexiones no
cifradas, y el adversario podría simplemente reanudar la sesión, obteniendo
posiblemente un acceso de nivel privilegiado.
NSA recomienda habilitar la configuración de TCP keep-alive para los mensajes

entrantes y salientes de todas las conexiones TCP con los siguientes comandos de
configuración:
service tcp-keepalives-in
service tcp-keepalives-out
Tenga en cuenta que algunos dispositivos no admiten la configuración de mensajes TCP

keep-alive.
7.7 Desactivar las conexiones salientes

Después de autenticarse en un dispositivo a través de un puerto de gestión, un usuario
generalmente tiene la capacidad de conectarse remotamente a otros sistemas en la
red a través de protocolos compatibles (por ejemplo, Telnet y SSH). Si un adversario
fuera capaz de comprometer el dispositivo o utilizar una cuenta de administrador para
PP-22-0266 | MAR 2022 Ver. 1.0 56
ciberseguridad
infraestructuras
obtener dedered
acceso a nivel usuario, esta conexión saliente podría utilizarse
potencialmente para avanzar por la red. La revisión adecuada de las configuraciones
de los dispositivos y el aprovechamiento de las ACL pueden impedir que los sistemas
no autorizados accedan a los recursos de la red.
PP-22-0266 | MAR 2022 Ver. 1.0 57

ciberseguridad
NSA recomienda deshabilitar las conexiones salientes para limitar el movimiento de un
adversario a través de la red con los siguientes comandos de configuración:
línea con 0
salida de transporte ninguna
línea vty 0 4
salida de transporte ninguna
línea vty 5 15 salida

de transporte
ninguna
es necesario ejecutar esos comandos. Es fundamental tener en cuenta que esta
función debe estar explícitamente desactivada en la línea de consola.
Si las conexiones salientes son necesarias para copiar archivos hacia o desde los
dispositivos para el mantenimiento o la verificación de la integridad, restríngalo
sólo a SSH y limite el número de dispositivos a los que se puede acceder a través
de las ACL salientes; vuelva a la configuración anterior una vez que la tarea se
haya completado.
7.8 Eliminar las cadenas de comunidad de lectura y escritura de SNMP

Una cadena de comunidad de lectura-escritura de la versión 1 o 2c de SNMP es
similar a una contraseña, y se puede utilizar para acceder o modificar las
configuraciones del dispositivo y los archivos del sistema operativo. Estas acciones
generalmente no se pueden realizar con una cadena de comunidad de sólo lectura.
Dado que las cadenas de comunidad de lectura-escritura de SNMP se envían en texto
claro, pueden ser explotadas por un adversario para obtener el control completo de un
dispositivo de red.
NSA recomienda eliminar todas las cadenas de comunidad de lectura-escritura de

SNMP y actualizarlas a la versión 3 de SNMP con cifrado y autenticación. Si se
requiere una cadena de comunidad de lectura-escritura SNMP de la versión 1 o 2c
para la administración remota y no se puede eliminar, se recomienda que la cadena
de comunidad de lectura-escritura sea significativamente diferente de otras cadenas
de comunidad para evitar que un adversario adivine la cadena de comunidad de
lectura-escritura si se obtiene una cadena de comunidad de sólo lectura.
PP-22-0266 | MAR 2022 Ver. 1.0 58

ciberseguridad
Todas las cadenas de comunidad SNMP de las versiones 1 y 2c pueden ser listadas
con el siguiente comando exec:
show running-config | include snmp-server community
PP-22-0266 | MAR 2022 Ver. 1.0 59

ciberseguridad
Nota: Una cadena de comunidad de lectura-escritura incluirá la palabra clave RW,
mientras que una cadena de comunidad de sólo lectura incluirá la palabra clave RO.
Desactive una cadena de comunidad de lectura-escritura de SNMP con el siguiente

no snmp-server community <CANAL_COMUNITARIO>
7.9 Desactivar los servicios de red innecesarios

Durante la instalación inicial de los dispositivos, se habilitan por defecto varios servicios
TCP y UDP, a pesar de que las funciones de red proporcionadas son innecesarias para
el funcionamiento normal. Estos servicios pueden degradar el nivel de seguridad de la
red, ofreciendo a un adversario puntos de acceso adicionales para explotar un
dispositivo y dejarlo susceptible de monitoreo no autorizado, recolección de información
y compromiso.
Por ejemplo, Cisco Smart Install es a menudo innecesario, pero cuando se deja
activado, un adversario remoto no autenticado podría utilizar este servicio para
obtener el archivo de configuración de un dispositivo, cargar una nueva configuración
o archivo de imagen del sistema operativo, o forzar un reinicio. Esto ha sido
documentado en el aviso de seguridad de Cisco cisco-sa-20170214-smi como un mal
uso del protocolo, pero la comunidad de seguridad ha observado y reconocido este
problema como una grave vulnerabilidad explotada por adversarios para obtener
archivos de configuración a través de Internet [18], [19].
NSA recomienda desactivar todos los servicios innecesarios en cada dispositivo. Si el

servicio es necesario y puede admitir una contraseña y ACL, cree una contraseña
basada en la guía de contraseñas seguras de NSA (véase 5.6 Creación de
contraseñas seguras) y aplique una ACL para permitir que sólo los sistemas
necesarios se conecten al servicio. Si un dispositivo no admite ACLs, se puede mover
a una VLAN separada, y se puede aplicar una ACL a la VLAN.
NSA también recomienda desactivar inmediatamente el servicio Cisco Smart Install en

todos los dispositivos con el siguiente comando de configuración:
sin vstack
Aunque este servicio está diseñado para los switches, los routers también pueden
configurarse como director de Cisco Smart Install; por lo tanto, debe desactivarse
PP-22-0266 | MAR 2022 Ver. 1.0 60

ciberseguridad
infraestructuras
explícitamente de los
en todos reddispositivos, especialmente cuando se configuran por
primera vez.
PP-22-0266 | MAR 2022 Ver. 1.0 61

ciberseguridad
Desactive otros servicios TCP y UDP innecesarios con los siguientes comandos de
configuración:
no service tcp-small-servers
no service udp-small-servers
no service finger
7.10 Desactivar los protocolos de detección en interfaces específicas

El Protocolo de Descubrimiento de Cisco (CDP) y el Protocolo de Descubrimiento de la
Capa de Enlace (LLDP) son protocolos de difusión que anuncian periódicamente la
topología de la red y la información de los dispositivos a los dispositivos vecinos que
soportan el protocolo y están a la escucha de los paquetes. Esta funcionalidad está
activada por defecto y puede ser útil para que los administradores obtengan
información sobre la red, pero también es extremadamente útil para un adversario que
pueda recopilar pasivamente información de configuración de la red. Un adversario que
sea capaz de desplegar un sniffer en una red podría recopilar los números de modelo
de los dispositivos, las versiones del sistema operativo, la información de la VLAN y las
direcciones físicas y lógicas, obteniendo información valiosa para explotar los
dispositivos de la red.
NSA recomienda desactivar CDP y LLDP en todos los dispositivos capaces de utilizar
estos servicios. Si un servicio es necesario para las comunicaciones de red adecuadas
(por ejemplo, algunos teléfonos de voz sobre IP (VoIP) de Cisco), habilítelo sólo en los
enlaces punto a punto entre los dispositivos que requieren el protocolo o en los puertos
habilitados para voz.
CDP y LLDP se pueden desactivar globalmente con los siguientes comandos de

configuración:
no cdp run
no lldp run
Si se requiere CDP en interfaces específicas, debe ser habilitado globalmente pero

deshabilitado en todas las demás interfaces, como se muestra en los siguientes
comandos de configuración para una sola interfaz:
interfaz <INTERFACE>
no cdp enable
7.11 Configuraciones de servicios de red

PP-22-0266 | MAR 2022 Ver. 1.0 62
ciberseguridad
infraestructuras
Esta sección describede red habilitar correctamente los servicios comunes de
cómo
administración de redes remotas.
PP-22-0266 | MAR 2022 Ver. 1.0 63

ciberseguridad
7.11.1 SSH
Permita las conexiones SSH entrantes con los siguientes comandos de configuración:
línea vty 0 4
transporte entrada
ssh
línea vty 5 15
transporte entrada
ssh
Nota: Esto puede deshabilitar otros servicios habilitados en las líneas por defecto,
como Telnet. Si las líneas VTY 5 a 15 no existen en un dispositivo concreto, no es
necesario ejecutar esos comandos. Dependiendo del dispositivo, puede ser necesario
aplicar una configuración similar a otras líneas también.
Los transportes de entrada permitidos se pueden confirmar con el siguiente comando

exec:
mostrar línea <Línea> <Número de línea>
Desactive las conexiones de la versión 1 de SSH y permita sólo la versión 2 del

protocolo con el siguiente comando de configuración:
ip ssh versión 2
Genere un nuevo par de claves asimétricas Rivest-Shamir-Adleman (RSA) para SSH

con el siguiente comando de configuración:
crypto key generate rsa modulus 3072
Nota: Este comando sobrescribirá un par de claves RSA existente.
Genere un nuevo par de claves ECC asimétricas para SSH con el siguiente comando
de configuración:
crypto key generate ec keysize 384
Nota: Este comando sobrescribirá un par de claves ECC existente.
Establezca el tamaño mínimo de la clave Diffie-Hellman en 4096 bits con el siguiente

ip ssh dh min 4096
PP-22-0266 | MAR 2022 Ver. 1.0 64

ciberseguridad
Nota: Algunos sistemas no soportan 3072 bits para el tamaño de la clave Diffie-
Hellman, por lo que se recomienda 4096 bits.
Los algoritmos de cifrado, intercambio de claves (KEX) y código de autenticación de

mensajes aceptados por el protocolo SSH pueden especificarse (para incluir el orden
preferido) con los siguientes comandos de configuración:
ip ssh server algorithm encryption <ALGORITHM> [<ALGORITHM> ...]

ip ssh server algorithm kex <ALGORITHM> [<ALGORITHM> ...]
ip ssh server algorithm mac <ALGORITHM> [<ALGORITHM> ...]
Para más información sobre los algoritmos aceptables, consulte CNSSP 15 [4]. Los
requisitos de la CNSSP 15 se explican en el borrador del documento del IETF sobre la
criptografía del conjunto de algoritmos de seguridad nacional comercial (CNSA) para
Secure Shell (SSH) [16].
La configuración del servicio SSH se puede confirmar con el siguiente comando exec:
mostrar ip ssh
Aplique una ACL estándar para permitir únicamente las direcciones IP utilizadas
por los administradores con los siguientes comandos de configuración:
línea vty 0 4
access-class <ACL#> en
línea vty 5 15
access-class <ACL#> en
Si las líneas VTY 5 a 15 no existen en un dispositivo concreto, no es necesario

ejecutar esos comandos. Tenga en cuenta que esta ACL también se aplicaría a Telnet
si estuviera habilitado en las líneas. Dependiendo del dispositivo, puede ser necesario
aplicar una configuración similar a otras líneas también. Consulte 7.4 Limitar el acceso
a los servicios para obtener más información sobre la creación de una ACL estándar.
Establezca la caducidad de la sesión a 5 minutos o menos con los siguientes comandos

de configuración:
línea con 0
exec-timeout 5 0
PP-22-0266 | MAR 2022 Ver. 1.0 65

ciberseguridad
línea vty 0 4
exec-timeout 5 0
línea vty 5 15
exec-timeout 5 0
Si las líneas VTY 5 a 15 no existen en un dispositivo en particular, no es necesario

ejecutar esos comandos. Tenga en cuenta que esto también se aplicaría a Telnet si
estuviera habilitado en las líneas. Dependiendo del dispositivo, puede ser necesario
aplicar una configuración similar a otras líneas también.
7.11.2 HTTP
Si se utiliza HTTP para la gestión, active HTTP sobre TLS con el siguiente comando de
configuración:
ip http secure-server
Sólo acepta la versión 1.2 de TLS con el siguiente comando de configuración:
ip http tls-version TLSv1.2
Los conjuntos de cifrado aceptados por el servicio HTTP cifrado pueden especificarse
(para incluir el orden preferido) con el siguiente comando de configuración:
ip http secure-ciphersuite <CIPHERSUITE> [<CIPHERSUITE> ...]
Para más información sobre los algoritmos aceptables, consulte CNSSP 15 [4]. Los
requisitos de la CNSSP 15 se explican en el borrador del documento del IETF sobre el
perfil del conjunto de algoritmos de seguridad nacional comercial (CNSA) para TLS y
DTLS 1.2 y 1.3 [15].
Aplique una ACL estándar para permitir únicamente las direcciones IP utilizadas
por los administradores con el siguiente comando de configuración:
ip http access-class <ACL#>
Nota: Esta ACL también se aplicaría al servicio HTTP de texto claro si estuviera
activado. Para más información sobre la creación de una ACL estándar, consulte 7.4
Limitar el acceso a los servicios.
El tiempo de espera por defecto de una conexión al servidor HTTP es de 180

segundos (tres minutos), por lo que no es necesario cambiar este valor.
PP-22-0266 | MAR 2022 Ver. 1.0 66

ciberseguridad
7.11.3 SNMP
Si se utiliza SNMP para la gestión, habilite la versión 3 de SNMP con autenticación y
privacidad (cifrado) con los siguientes comandos de configuración:
snmp-server group <SNMPv3_GROUP> v3 priv access <ACL#>

snmp-server user <USER> <SNMPv3_GROUP> v3 auth sha <AUTH_PASSWORD> priv aes
256 <PRIV_PASSWORD> acceso <ACL#>
Primero se debe definir un grupo, donde la palabra clave priv es equivalente a

authPriv (tanto autenticación como privacidad). Hay que definir uno o varios usuarios
y asignarlos a un grupo. Además de los parámetros de autenticación y cifrado, se
deben proporcionar dos contraseñas diferentes para cada usuario, una para la
autenticación y otra para la privacidad. Se han observado problemas de
interoperabilidad con AES-192 y AES-256, por lo que puede ser necesario utilizar
AES-128 para el cifrado en lugar de AES-256 con las palabras clave aes 128. Como
se ha mostrado anteriormente, se puede aplicar una ACL tanto al grupo como a cada
usuario individual especificándola como una opción separada al final de cada
comando con la palabra clave access.
La configuración SNMP anterior puede probarse desde un sistema Linux con el

siguiente comando de shell:
snmpget -v 3 -u <USUARIO> -a sha -l authPriv -A '<AUTH_PASSWORD> ' -x AES \N

-Se puede utilizar en cualquier momento.
-X '<CONTRASEÑA_PRIVADA> ' <DIRECCIÓN_IP> 1.3.6.1.2.1.5.0
Volver al contenido
8. Enrutamiento
Los routers reenvían paquetes de datos entre redes informáticas. Cuando un router
recibe un paquete, utiliza su tabla de enrutamiento y la información de la dirección de
red del paquete para
determinar el siguiente salto para llegar a su
Configure sus routers destino. Una configuración inadecuada del
propio router o de los protocolos de
para el uso de la red enrutamiento dinámico utilizados para
frente al abuso rellenar la tabla de enrutamiento podría
permitir a un adversario redirigir los paquetes
malicioso. a un destino diferente, permitiendo que los
datos sensibles sean
PP-22-0266 | MAR 2022 Ver. 1.0 67
recogidas, manipuladas o descartadas, que violen la confidencialidad, la integridad
o la disponibilidad.
ciberseguridad
PP-22-0266 | MAR 2022 Ver. 1.0 68

ciberseguridad
8.1 Desactivar el enrutamiento de origen IP
El enrutamiento de origen IP es una característica poco utilizada que permite al
remitente de un paquete especificar una lista predeterminada de nodos intermedios a
los que debe ser reenviado en lugar de utilizar la tabla de enrutamiento interna para
tomar una decisión. Aprovechando esta configuración, un adversario podría transmitir
paquetes a través de una ruta de su elección. Junto con la suplantación de direcciones
IP, un adversario puede utilizar la función de enrutamiento de origen IP para saltarse
las ACL y otras restricciones de red, eligiendo básicamente su propia ruta de red.
Aunque esta vulnerabilidad está asociada a los routers y a la forma de enrutar los
paquetes, la funcionalidad también puede ser explotada en los switches.
NSA recomienda desactivar el enrutamiento de origen IP en todos los dispositivos, no

sólo en los routers, ya que esta función no es necesaria para el funcionamiento normal
de la red. Dependiendo del proveedor de un producto, puede ser necesario deshabilitar
el reenvío de cada opción de ruta de origen IP individualmente. Una característica
similar está disponible en IPv6, y necesita ser deshabilitada por separado. Desactive el
enrutamiento de origen IP con los siguientes comandos de configuración:
no ip source-route
no ipv6 source-route
8.2 Activar el reenvío de ruta inversa unicast (uRPF)

uRPF es un método de protección contra la suplantación de IP que ordena a un router
examinar tanto la dirección de origen como la de destino en el paquete. Cuando se
recibe un paquete en una interfaz, la dirección de origen se compara con las entradas
de la tabla de enrutamiento y se reenvía si la ruta de retorno coincide con el lugar
donde se recibió el paquete. De lo contrario, se descarta debido a la preocupación de
que la dirección de origen del paquete pueda haber sido falsificada. Si uRPF no está
habilitado, un adversario puede ser capaz de falsificar con éxito la dirección de origen
de los paquetes IP enviados a la red.
NSA recomienda habilitar uRPF en las interfaces externas de los routers perimetrales.
En los routers, es necesario que Cisco Express Forwarding (CEF), que proporciona
búsquedas optimizadas para el reenvío eficiente de paquetes, esté habilitado antes de
uRPF. Tenga en cuenta que uRPF no debe habilitarse en las interfaces internas o en
los routers que tienen enrutamiento asimétrico (donde pueden existir dos o más rutas
de retorno para una dirección de origen determinada), ya que esta situación podría
PP-22-0266 | MAR 2022 Ver. 1.0 69
ciberseguridad
infraestructuras
hacer de paquetes
que se descarten red legítimos. Habilite uRPF en una sola interfaz con los
PP-22-0266 | MAR 2022 Ver. 1.0 70

ciberseguridad
ip cef
ip verify unicast reverse-path
8.3 Activar la autenticación de rutas

Los protocolos de enrutamiento dinámico se utilizan para distribuir información a los
dispositivos vecinos y proporcionar rutas para llegar a otras redes. Los dispositivos de
red utilizarán esta información para rellenar su propia tabla de enrutamiento, que luego
se utiliza para determinar el siguiente salto para reenviar un paquete al destino
solicitado. Para controlar el flujo de tráfico, un adversario puede inyectar, modificar o
corromper la información de enrutamiento enviada y recibida por los dispositivos
vecinos. Para evitar la manipulación de las rutas, debe activarse la autenticación del
enrutamiento para garantizar que la información de enrutamiento recibida de los
dispositivos vecinos no ha sido manipulada por una fuente no fiable.
NSA recomienda habilitar la autenticación de enrutamiento en cualquier protocolo de

enrutamiento dinámico utilizado que reciba actualizaciones de enrutamiento de otros
dispositivos de la red. Habilite la autenticación de enrutamiento Open Shortest Path
First (OSPF) habilitándola en el proceso OSPF para cada área y aplicando la clave de
autenticación a cada interfaz asociada con ese proceso con los siguientes comandos
de configuración:
cadena de claves <KEY_CHAIN_NAME>

clave <número de clave>
cadena de claves <KEY>
algoritmo criptográfico hmac-sha-512
ip ospf authentication key-chain <KEY_CHAIN_NAME>
La NSA también recomienda utilizar una clave única entre todos los vecinos, en lugar
de utilizar la misma clave de autenticación para todas las interfaces en todos los
dispositivos. Si las claves son diferentes, un adversario no podría utilizar una clave
comprometida de una red para inyectar una ruta maliciosa en otra red.
Habilite la autenticación de enrutamiento del Protocolo de Pasarela Fronteriza (BGP)

aplicando una clave de contraseña única a cada peer individual con los siguientes
router bgp <AS_NUMBER>

peer <dirección_IP_1> password <KEY>
PP-22-0266 | MAR 2022 Ver. 1.0 71
ciberseguridad
Habilite la autenticación del Protocolo de Enrutamiento de Pasarela Interior Mejorado
(EIGRP) creando una cadena de claves y aplicándola a cada interfaz con los siguientes
cadena de claves <KEY_CHAIN_NAME>

clave <NÚMERO_DE_CLASE>
cadena de claves <KEY>
algoritmo criptográfico hmac-sha-512
ip authentication key-chain eigrp <AS_NUMBER> <KEY_CHAIN_NAME>
Nota: Se puede elegir un nombre y un número arbitrarios para cada clave. La <KEY> es
la clave compartida asignada a los dispositivos vecinos. El algoritmo criptográfico
también puede establecerse como hmac-sha-384 y seguir cumpliendo las directrices de
CNSSP 15 [4].
No utilice el Protocolo de Información de Enrutamiento (RIP). Es lento para converger,

no es escalable y la versión 1 de RIP no puede configurarse para autenticar routers
cercanos, lo que facilita que un adversario explote el protocolo. Los dispositivos que
sólo soportan RIP deberían utilizar rutas estáticas o por defecto hacia otros
dispositivos que soporten protocolos de enrutamiento modernos con autenticación.
Volver al contenido
9. Puertos de interfaz
Los puertos de interfaz de los conmutadores de red conectan físicamente las
estaciones de trabajo, los servidores y otros dispositivos a la red, mientras que las
interconexiones entre los routers y los conmutadores definen cómo se comunican los
sistemas a través de la red. Un adversario debe obtener primero
acceso físico a la red para conectarse
un sistema no autorizado, o utilizar un Evite que un
sistema ya establecido en la red para
explotar una conexión existente. Los
adversario se
puertos de interfaz correctamente conecte a su red.
configurados pueden impedir que un
adversario realice intentos de explotación
contra la red.
9.1 Desactivar el trunking dinámico

PP-22-0266 | MAR 2022 Ver. 1.0 72
Un tronco es un enlace punto a punto entre dos dispositivos que intercambian tramas
encapsuladas VLAN. Dependiendo del tráfico que se envíe por el enlace, es posible
que un puerto de interfaz se configure dinámicamente para ser un puerto troncal o de
ciberseguridad
acceso. Un adversario
PP-22-0266 | MAR 2022 Ver. 1.0 73

ciberseguridad
que está conectado a un puerto dinámico podría instruirlo para que se convierta en un
puerto troncal y potencialmente obtener acceso al tráfico de la red sin tener en cuenta
la separación de VLAN.
NSA recomienda desactivar el trunking dinámico ya que no es necesario que un puerto

de interfaz se configure dinámicamente. Cuando se añada un dispositivo a la red,
asegúrese de que todos los puertos de interfaz estén configurados explícitamente
como puertos troncales o de acceso. Los sistemas que no manejan tramas
encapsuladas en VLAN deben conectarse a un puerto configurado sólo para acceso.
Configure estrictamente un puerto de interfaz sólo para el acceso estático con los
switchport mode access
Configure estrictamente un puerto de interfaz para que sea un tronco con los
switchport mode trunk
9.2 Activar la seguridad de los puertos

Los puertos de interfaz física de los dispositivos suelen ser la última línea de defensa
y un medio principal para restringir el acceso a una red. La seguridad de los puertos
limita el número de direcciones MAC válidas que pueden conectarse a un puerto de
conmutación, restringiendo la conectividad sólo a las autorizadas. Un puerto de
conmutación no configurado para aplicar la seguridad de puertos podría permitir a un
adversario con acceso físico conectar un sistema no autorizado. El adversario podría
entonces actuar como un sistema de confianza y saltarse las restricciones de
seguridad existentes, recopilando información de la red, sondeando más
profundamente la red o comprometiendo los sistemas internos.
NSA recomienda habilitar la seguridad de puertos en todos los puertos de conmutación

activos de un dispositivo y configurar el número máximo de direcciones MAC
permitidas para cada puerto para que sea exactamente una, o dos si se utilizan las
capacidades de VoIP. La seguridad de puertos no sustituye a un NAC, como 802.1X,
pero debe utilizarse cuando no se pueda implementar un NAC. Si es posible, asigne
una dirección MAC fija a cada puerto de conmutación que esté conectado a un sistema
conocido, y configure cada puerto de conmutación para que se apague o envíe un
PP-22-0266 | MAR 2022 Ver. 1.0 74
ciberseguridad
infraestructuras
mensaje de red se produzca una violación de la seguridad de los puertos.
SNMP trap cuando
La seguridad de los puertos se puede activar en las interfaces troncales;
PP-22-0266 | MAR 2022 Ver. 1.0 75

ciberseguridad
sin embargo, no se recomienda ya que requiere conocer el número de dispositivos que
tienen tráfico que atraviesa ese tronco específico. Un puerto de conmutación dinámico
no puede tener la seguridad de los puertos activada simultáneamente, y debe ser
configurado primero para el acceso estático antes de que la seguridad de los puertos
pueda ser activada.
Habilite la seguridad de los puertos en un puerto de acceso estático con un máximo de

una dirección MAC con los siguientes comandos de configuración:
interface <INTERFACE>
switchport port-security
switchport port-security maximum 1
switchport port-security violation shutdown
switchport port-security mac-address sticky
La palabra clave sticky permitirá que el dispositivo inserte la dirección MAC en la

configuración una vez que el primer sistema autorizado se conecte a ese puerto.
Tenga en cuenta que la configuración tendrá que ser guardada para conservar la
información después de un reinicio. Si el cierre de un puerto no es una acción
aceptable por cuestiones de disponibilidad, la palabra clave shutdown puede ser
reemplazada por restrict para evitar que cualquier dirección MAC adicional se
comunique en ese puerto.
9.3 Desactivar la VLAN por defecto

La mayoría de los conmutadores utilizan la VLAN 1 por defecto, incluidos los puertos
de gestión, que pueden proporcionar acceso directo al conmutador para su
administración. Además, algunos protocolos de capa 2 (por ejemplo, el descubrimiento
o el trunking) necesitan ser enviados en una VLAN específica en los enlaces troncales,
y la VLAN 1 es generalmente seleccionada como la predeterminada. Si no se toman
medidas de mitigación, la VLAN por defecto puede abarcar toda la red, y colocar a los
dispositivos de confianza en un mayor riesgo de seguridad de explotación por parte de
dispositivos no confiables que obtengan acceso.
NSA recomienda trasladar todo el tráfico de gestión y operativo a diferentes VLAN (no
la predeterminada) que separen el tráfico de gestión de los datos de usuario y el
tráfico de protocolo, y utilizar varios conmutadores para separar los diferentes niveles
de seguridad del tráfico de red. La VLAN por defecto también debería estar
lógicamente desautorizada en todas las troncales y puertos de acceso que no la
PP-22-0266 | MAR 2022 Ver. 1.0 76

ciberseguridad
infraestructuras
requieran depuertos
(incluidos los red desconectados y apagados) para garantizar que no
transmite tráfico innecesario de difusión, multidifusión y de destino desconocido.
Las tramas que se envían y reciben en los puertos troncales suelen estar etiquetadas
con el ID de VLAN asociado a la trama. Las tramas recibidas que no están etiquetadas
son automáticamente
PP-22-0266 | MAR 2022 Ver. 1.0 77

ciberseguridad
colocado en la VLAN troncal nativa asociada a ese puerto. La VLAN troncal nativa
debe asignarse igual en ambos extremos de un enlace troncal. Del mismo modo, las
tramas que se envían y reciben en los puertos de acceso se asignan a la VLAN de
acceso asociada a ese puerto. Todos los puertos de conmutación se asignan a una
VLAN de acceso y a una VLAN troncal nativa, independientemente de si son puertos
troncales o de acceso.
NSA recomienda asignar todos los puertos troncales a una única VLAN troncal nativa
que sólo se asigna a los puertos troncales, y asignar la VLAN de acceso a una VLAN
no utilizada y desactivada. Del mismo modo, NSA recomienda asignar todos los
puertos de acceso a la VLANde acceso adecuada, y asignar la VLAN troncal nativa a
otra VLAN no utilizada y desactivada, diferente de las utilizadas por los puertos
troncales. Esta configuración evitará que un adversario salte entre las VLAN activas
etiquetando intencionadamente el tráfico que de otro modo quedaría sin etiquetar.
Cree una VLAN troncal única (500) y una VLAN de acceso no utilizada y desactivada
(997), ambas asignadas a un puerto troncal, con los siguientes comandos de
vlan 500
nombre NATIVE-TRUNK
vlan 997
nombre UNUSED-ACCESS
apagado
switchport mode trunk
switchport access vlan 997
switchport trunk native vlan 500
switchport trunk allowed vlan 2-4094
Esta configuración también permite que todas las VLAN, excepto la VLAN 1 por
defecto, atraviesen el tronco. Si se conocen todas las VLAN configuradas, NSA
recomienda permitir sólo esas VLAN específicas, en lugar de excluir sólo la VLAN 1.
Cree una VLAN no utilizada y desactivada (998), asignada a la VLAN troncal nativa de
un puerto de acceso, con los siguientes comandos de configuración de ejemplo:
vlan 998
nombre UNUSED-NATIVE
apagado
PP-22-0266 | MAR 2022 Ver. 1.0 78

ciberseguridad
switchport access vlan <ACCESS_VLAN#>
También se puede asignar a los puertos de conmutación una tercera VLAN, si se

utilizan las capacidades de VoIP, con los siguientes comandos de configuración:
switchport voice vlan <VOICE_VLAN#>
Todas las VLANs asociadas con puertos de conmutación individuales pueden

ser confirmadas con el siguiente comando exec:
mostrar interfaces switchport
9.4 Desactivar los puertos no utilizados

Dejar habilitados los puertos no utilizados en un dispositivo permite a un adversario
conectar un dispositivo falso a la red y realizar intentos de recopilación de información o
de compromiso. Todos los puertos que no se utilicen deben deshabilitarse y colocarse
en una VLAN no utilizada, que no sea la predeterminada.
NSA recomienda desactivar todos los puertos no utilizados en un dispositivo cerrando

las interfaces asociadas y, si el dispositivo lo admite, asignando los puertos no
utilizados a una VLAN no utilizada. Esto seguirá impidiendo el acceso a la red, incluso
si los puertos se habilitan. Antes de deshabilitar un puerto, es necesario verificar que
realmente no se utiliza y que no hay nada conectado. Si un dispositivo conectado al
puerto está apagado, puede parecer que el puerto de conmutación está sin usar.
Apague todas las interfaces que no se utilicen y asigne las VLAN de acceso y troncales
nativas a las VLAN no utilizadas y desactivadas con los siguientes comandos de
vlan 999
nombre UNUSED-DISABLED
apagado
switchport access vlan 999
no switchport voice vlan
shutdown
PP-22-0266 | MAR 2022 Ver. 1.0 79

ciberseguridad
Nota: No es necesario asignar la VLAN de voz a una VLAN no utilizada, ya que
permanecerá sin asignar si las capacidades de VoIP no están en uso.
9.5 Desactivar la supervisión de puertos

La monitorización de puertos se utiliza en un switch de red para enviar una copia de
los paquetes de red vistos en un switchport a una conexión de monitorización de red
en otro switchport. Un dispositivo que tiene definidas una o más sesiones de
monitorización de puertos permite que un conjunto de puertos de origen sea
monitorizado por un puerto de destino especificado, y todo el tráfico que se envíe
hacia o desde los puertos de origen también se enviará al puerto de destino. La
monitorización de puertos se utiliza normalmente para conectar un NIDS, diagnosticar
un problema o utilizar un analizador de red para monitorizar la red. Dependiendo del
proveedor, la monitorización de puertos también se conoce como "port mirroring" o
"port spanning". Un adversario conectado al puerto de destino de una sesión de
monitorización de puertos podrá recoger el tráfico de red enviado a través de todos los
puertos de origen especificados por la sesión.
NSA recomienda desactivar todas las sesiones de monitorización de puertos inactivas

en un dispositivo. La monitorización de puertos sólo debe activarse para aquellos
puertos en los que sea necesaria, y debe desactivarse una vez que ya no sean
necesarios. Ejemplos de esta necesidad son un NIDS o un administrador que
monitoriza la red.
Nota: Algunos proveedores no permiten que se envíe tráfico desde el puerto de

destino de una sesión de monitorización de puertos, deshabilitando efectivamente
el acceso a la red desde ese puerto. Este tipo de comportamiento es el deseado
cuando un NIDS está conectado a una sesión de monitorización de puertos.
Enumere las sesiones de monitorización definidas en la configuración con el siguiente

comando exec:
show monitor session [1|2|all]
Nota: Si se admite la palabra clave all, se listarán todas las sesiones definidas; de lo
contrario, será necesario especificar cada número de sesión individual en comandos
separados, generalmente 1 y 2.
Elimine una sesión de monitorización definida en la configuración con el siguiente

PP-22-0266 | MAR 2022 Ver. 1.0 80
ciberseguridad
no supervisar sesión <SESSION#>
PP-22-0266 | MAR 2022 Ver. 1.0 81

ciberseguridad
9.6 Desactivar el protocolo de resolución de direcciones (ARP) proxy
El proxy ARP es una técnica en la que un servidor proxy en una red responde a las
solicitudes ARP de una dirección IP que no está en esa red. Ayuda a los dispositivos
de una subred a alcanzar subredes remotas, sin configurar el enrutamiento en una
puerta de enlace predeterminada. Puede ser ventajoso, ya que puede añadirse a un
router sin desembolsar tablas de enrutamiento de otras redes, pero sólo es seguro
entre segmentos de red de área local (LAN) de confianza. Esta técnica introduce
vulnerabilidades en la red, ya que los adversarios pueden falsificar un sistema de
confianza e interceptar paquetes.
NSA recomienda deshabilitar el ARP proxy en todas las interfaces, a menos que el
dispositivo se utilice como puente LAN o para permitir la traducción de direcciones de
red entrantes (NAT) para múltiples direcciones IP de destino. Puede ser necesario
desactivar el ARP proxy en cada interfaz individual, en lugar de desactivarlo
globalmente.
Encuentre las interfaces que tienen proxy ARP habilitado con el siguiente comando
exec:
mostrar interfaz
ip
Desactive el ARP Proxy en una interfaz individual con los siguientes comandos de
configuración:
no ip proxy-arp
Volver al contenido
10. Banners de notificación y consentimiento

Las recomendaciones técnicas proporcionadas en este documento pueden reducir
significativamente la probabilidad de que un adversario explote una vulnerabilidad en la
red. Lamentablemente, un
El adversario o la persona con acceso a
información privilegiada aún puede encontrar un
Mostrar las uso autorizado y el

notificaciones de consentimiento para
PP-22-0266 | MAR 2022 Ver. 1.0 82

de la vigilancia. debilidad para comprometer, eludir o interrumpir
la red. técnico
Agencia de Seguridad Nacional | Informe Tener un cartel de notificación puede
sobre
ciberseguridad dejar claro lo que está permitido a cualquier
Orientación sobre la seguridadpersona
de lasque acceda al sistema, y añadir los
infraestructuras de red avisos y exenciones de responsabilidad
necesarios.
PP-22-0266 | MAR 2022 Ver. 1.0 83

ciberseguridad
10.1 Presentar un banner de notificación
Dependiendo de los requisitos de la organización, un banner de notificación puede
proporcionar un aviso a los usuarios de que la conexión al dispositivo de red es sólo
para uso autorizado y que cualquier uso del sistema está sujeto a la supervisión para
cualquier propósito autorizado. Una pancarta legalmente suficiente garantiza que el
propietario de la red y otros, incluido el Gobierno, puedan tomar las medidas
necesarias para supervisar y asegurar la red. Sin embargo, los requisitos precisos de
dicho cartel variarán según la organización y la jurisdicción. Por ejemplo, los elementos
del DoD deben utilizar un banner que cumpla con los requisitos de la Instrucción
8500.01 del DoD. Otras entidades del Gobierno de EE.UU. deben aplicar los requisitos
de NIST SP800-53, AC-8. Para las entidades del sector privado, la Agencia de
Ciberseguridad y Seguridad de las Infraestructuras ha publicado una guía muy útil para
desarrollar un banner apropiado [20].
La NSA recomienda que cada dispositivo esté configurado para presentar el banner
de notificación completo cada vez que un usuario inicie sesión en un sistema de
información o se conecte a cualquier servicio remoto.
Los dispositivos Cisco IOS tienen dos tipos de banners; el banner de inicio de sesión se
muestra antes de que el usuario inicie la sesión, y luego el "mensaje del día" se
muestra después de que el usuario se autentique con éxito. Como mínimo, el banner de
notificación debería mostrarse tanto a los usuarios autorizados como a los no
autorizados que intenten iniciar sesión. Si se desea, se puede proporcionar la misma
información o información adicional a los usuarios autenticados después de iniciar la
sesión.
Añade un banner de notificación, con el banner de la organización debidamente

insertado, antes de que los usuarios inicien la sesión con el siguiente comando de
configuración:
banner de inicio de sesión ^

INSERTE AQUÍ EL BANNER DE NOTIFICACIÓN
^
Nota: El símbolo de intercalación ("^") se utiliza como delimitador para que el banner
pueda abarcar varias líneas, suponiendo que el símbolo de intercalación no se utilice
en el propio banner. Después de insertar este comando en la configuración, el
delimitador aparecerá generalmente como "^C" en lugar de "^". No escriba "^C" como
parte del comando, de lo contrario el banner comenzará con una "C".
PP-22-0266 | MAR 2022 Ver. 1.0 84
ciberseguridad
Añada el mismo banner de notificación o información adicional para los usuarios
autorizados que se hayan autenticado correctamente con el siguiente comando de
configuración:
PP-22-0266 | MAR 2022 Ver. 1.0 85

ciberseguridad
banner motd ^
INSERTE AQUÍ EL BANNER DE
NOTIFICACIÓN INFORMACIÓN
ADICIONAL
^
Volver al contenido
11. Conclusión
Las orientaciones de este informe se han generado a partir de una amplia experiencia
en la asistencia a los clientes de la NSA en la evaluación de sus redes y en la
formulación de recomendaciones para reforzar inmediatamente los dispositivos de
red. Además de las funciones esenciales de mantenimiento, los administradores
desempeñan un papel fundamental en la defensa de las redes contra las amenazas
adversas. El seguimiento de esta guía ayudará a estos defensores de la red a poner
en práctica las mejores prácticas de ciberseguridad, reduciendo el riesgo contra el
compromiso y garantizando una red más segura y mejor protegida.
PP-22-0266 | MAR 2022 Ver. 1.0 86

ciberseguridad
Acrónimos
AAA Autenticación, autorización y contabilidad
ACL Lista de control de acceso
AES Estándar de cifrado avanzado
ARP Protocolo de resolución de direcciones
AUX Auxiliar
BGP Protocolo de pasarela fronteriza
CDP Protocolo Cisco Discovery
CEF Cisco Express Forwarding
CISA Agencia de Ciberseguridad y Seguridad de las Infraestructuras
CNSA Conjunto de algoritmos comerciales de seguridad nacional
CNSSP Comisión de Política de Sistemas de Seguridad Nacional
CON Consola
DHCP Protocolo de configuración dinámica de host
DMZ Zona desmilitarizada
DoS Denegación de servicio
ECC Criptografía de curva elíptica
ECP Grupo de curvas elípticas módulo de un primo
EIGRP Protocolo de enrutamiento de pasarela interior mejorado
ESP Encapsulación de la carga útil de seguridad
FTP Protocolo de transferencia de archivos
HTTP Protocolo de transferencia de hipertexto
IETF Grupo de Trabajo de Ingeniería de Internet
IKE Intercambio de claves en Internet
IOS Sistema operativo de la red
IP Protocolo de Internet
IPS Sistema de prevención de intrusiones
IPsec Seguridad del Protocolo de Internet
ISAKMP Asociación de Seguridad de Internet y Protocolo de Gestión de Claves
ISP Proveedor de servicios de Internet
KEX Intercambio de llaves
LAN Red de área local
LLDP Protocolo de descubrimiento de la capa de enlace
MAC Control de acceso a los medios de comunicación
MD5 Resumen de mensajes 5
MODP Exponente modular
NAC Control de acceso a la red
NAT Traducción de direcciones de red
NDI Integridad de los dispositivos de red
NIDS Sistema de detección de intrusos en la red
NIST Instituto Nacional de Normas y Tecnología
NSA Agencia de Seguridad Nacional
PP-22-0266 | MAR 2022 Ver. 1.0 87

ciberseguridad
NSS Sistema(s) de seguridad nacional
NTP Protocolo de tiempo de red
OMB Oficina de Gestión y Presupuesto
OSPF Abrir primero el camino más corto
RIP Protocolo de Información de Enrutamiento
RSA Rivest-Shamir-Adleman
SCP Protocolo de copia segura
SFTP Protocolo de transferencia segura de archivos
SHA Algoritmo Hash seguro
SIEM Información de seguridad y gestión de eventos
SNMP Protocolo simple de gestión de redes
SSH Shell seguro
TCP Protocolo de Control de Transmisión
TFTP Protocolo trivial de transferencia de archivos
TLS Seguridad de la capa de transporte
UDP Protocolo de datagramas de usuario
uRPF Reenvío de ruta inversa unicast
UTC Tiempo universal coordinado
VLAN Red de área local virtual
VoIP Voz sobre IP
VPN Red privada virtual
VTY Teletipo virtual
PP-22-0266 | MAR 2022 Ver. 1.0 88

ciberseguridad
Referencias
Obras citadas
[1] Agencia de Ciberseguridad y Seguridad de las Infraestructuras (2022), Layering Network
Security Through Segmentation. Disponible en:
https://www.cisa.gov/sites/default/files/publications/layering-network- security-
segmentation_infographic_508_0.pdf
[2] Agencia Nacional de Seguridad (2019), Segmentar las redes y desplegar defensas conscientes
de las aplicaciones.
Disponible en: https://www.nsa.gov/cybersecurity-guidance
[3] Agencia de Seguridad Nacional (2021), Selecting and Hardening Remote Access VPN Solutions.
[4] Comité de Sistemas de Seguridad Nacional (2016), Política 15 del CNSS.
Disponible en: https://www.cnss.gov/CNSS/issuances/Policies.cfm
[5] Corcoran, Jenkins, NSA (2021), Commercial National Security Algorithm (CNSA)
Suite Cryptography for Internet Protocol Security (IPsec). Disponible en:
https://datatracker.ietf.org/doc/html/draft-corcoran-cnsa-ipsec-profile
[6] Agencia de Seguridad Nacional (2020), Configuring IPsec Virtual Private Networks.
[7] Agencia de Seguridad Nacional (2019), Mitigación de las recientes vulnerabilidades
de las VPN. Disponible en: https://www.nsa.gov/cybersecurity-guidance
[8] Agencia de Seguridad Nacional (2021), Eliminación de las configuraciones obsoletas del
protocolo de seguridad de la capa de transporte (TLS). Disponible en:
https://www.nsa.gov/cybersecurity-guidance
[9] Cisco Systems, Inc. (2022), Soporte y descargas. Disponible
en: https://www.cisco.com/c/en/us/support/index.html
[10] Agencia Nacional de Seguridad (2016), Metodología de integridad de dispositivos de red
(NDI). Disponible en: https://www.iad.gov/iad/library/reports/network-device-integrity-
methodology.cfm
[11] Agencia de Seguridad Nacional (2016), Network Device Integrity (NDI) en dispositivos
Cisco IOS. Disponible en: https://www.iad.gov/iad/library/reports/network-device-
integrity-ndi-cisco-ios- devices.cfm
[12] Agencia de Seguridad Nacional (2016), Validar la integridad del hardware y el software.
Disponible en: https://www.iad.gov/iad/library/ia-guidance/security-tips/validate-integrity-of-
hardware-and- software.cfm
[13] Agencia Nacional de Seguridad (2022), Tipos de contraseñas de Cisco: Best
Practices. Disponible en: https://www.nsa.gov/cybersecurity-guidance
[14] Oficina de Gestión y Presupuesto (2021), Improving the Federal Government's Investigative and
Remediation Capabilities Related to Cybersecurity Incidents. Disponible en:
https://www.whitehouse.gov/wp-content/uploads/2021/08/M-21-31-Improving-the-Federal-
Gobiernos - Capacidades de investigación y reparación relacionadas con incidentes de
ciberseguridad.pdf
[15] Cooley, D, NSA (2021), Commercial National Security Algorithm (CNSA) Suite Profile for TLS
and DTLS 1.2 and 1.3. Disponible en: https://datatracker.ietf.org/doc/html/draft-cooley-cnsa-
PP-22-0266 | MAR 2022 Ver. 1.0 89
ciberseguridad
infraestructuras
dtls- tlsprofile de red
PP-22-0266 | MAR 2022 Ver. 1.0 90

ciberseguridad
[16] Gajcowski, Jenkins, NSA (2021), Commercial National Security Algorithm (CNSA) Suite
Cryptography for Secure Shell (SSH). Disponible en:
https://datatracker.ietf.org/doc/html/draft- gajcowski-cnsa-ssh-profile
[17] Instituto Nacional de Normas y Tecnología (2020), Publicación especial 800-52 Rev. 2:
Directrices para la selección, configuración y uso de la seguridad de la capa de transporte
(TLS)
Implementaciones. Disponible en: https://csrc.nist.gov/publications/detail/sp/800-52/rev-2/final
[18] Cisco Systems, Inc. (2017), Uso indebido del protocolo de instalación inteligente de Cisco.
Disponible en: https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-
20170214-smi
[19] Agencia de Seguridad Nacional (2017), Cisco Smart Install Protocol Misuse.
[20] Agencia de Ciberseguridad y Seguridad de las Infraestructuras (2022), Guidance on
Consent Banners. Disponible en: https://www.cisa.gov/publication/guidance-consent-
banners
Orientación relacionada
• Biden (2021), Orden ejecutiva 14028: Mejora de la ciberseguridad de la nación.
Disponible en: https://www.federalregister.gov/documents/2021/05/17/2021-10460/improving-
the-nations- cybersecurity
• Instituto Nacional de Estándares y Tecnología (2020), Publicación especial 800-207: Zero
Trust Architecture. Disponible en: https://www.nist.gov/publications/zero-trust-architecture
• Defense Information Systems Agency (DISA) y National Security Agency (NSA) Zero Trust
Engineering Team (2021), Department of Defense (DOD) Zero Trust Reference Architecture.
Disponible en:
https://dodcio.defense.gov/Portals/0/Documents/Library/(U)ZT_RA_v1.1(U)_Mar21.pdf
• National Institute for Standards and Technology (2020), Publicación especial 800-63B:
Digital Identity Guidelines - Authentication and Lifecycle Management. Disponible en:
https://pages.nist.gov/800-63-3/sp800-63b.html
• Agencia de Seguridad Nacional (2019), Caza continua de intrusiones en la red.
• Agencia Nacional de Seguridad (2021), Embracing a Zero Trust Security Model.
• Agencia Nacional de Seguridad (2020), Hardening Network Devices.
PP-22-0266 | MAR 2022 Ver. 1.0 91

Orientación en La Seguridad de Las Infraestructuras de Red

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Orientación en La Seguridad de Las Infraestructuras de Red

Cargado por

Copyright:

Formatos disponibles

Informe técnico sobre

Consultas de los medios de comunicación / Servicio de prensa:

Consultas de la Base Industrial de Defensa para servicios

PP-22-0266 | MAR 2022 Ver. 1.0 ii

Orientación sobre ......................... la seguridad de las infraestructuras de redi

2.1 Instalar dispositivos de defensa .......................................................... perimetral e interna2

2.2 Agrupar sistemas de ...................................................................................... red similares3

2.3 Eliminar las conexiones ...........................................................................de puerta trasera4

2.4 Utilizar estrictos controles de acceso perimetral4 .................................................................

2.6 Limitar y cifrar las redes privadas virtuales (VPN)............................................................... 5

3.1 Verificar la integridad .......................................................... del software y la configuración8

3.3 Mantener el software y los sistemas operativos actualizados10 ...........................................

4. Autenticación, autorización y contabilidad (AAA) ............................................................. 11

5.2 Cambiar las contraseñas ................................................................................ por defecto17

5.3 Eliminar las cuentas innecesarias18 .....................................................................................

PP-22-0266 | MAR 2022 Ver. 1.0 iii

7.2 Garantizar una fuerza de encriptación adecuada29 .............................................................

7.5 Establecer un período de ..................................................... tiempo de espera aceptable31

7.6 Activar el protocolo de control de transmisión (TCP) keep-alive32 .......................................

7.9 Desactivar los servicios de ..................................................................... red innecesarios34

7.10 Desactivar los protocolos de detección en interfaces específicas35 ..................................

8.2 Activar el reenvío de ................................................................. ruta inversa unicast (uRPF)

9. Puertos de interfaz42 ................................................................................................................

9.5 Desactivar la supervisión de puertos47 ................................................................................

PP-22-0266 | MAR 2022 Ver. 1.0 iv

PP-22-0266 | MAR 2022 Ver. 1.0 v

1.1 En cuanto a la confianza cero

PP-22-0266 | MAR 2022 Ver. 1.0 1

2.1 Instalar dispositivos de defensa perimetral e interna

La NSA recomienda configurar e instalar dispositivos de seguridad en el perímetro de la

• Instalar un router de frontera para facilitar la conexión con la red externa,

PP-22-0266 | MAR 2022 Ver. 1.0 3

Figura 1: Perímetro de red con cortafuegos y DMZ

2.2 Agrupar sistemas de red similares

La NSA recomienda aislar los sistemas similares en diferentes subredes o redes de

PP-22-0266 | MAR 2022 Ver. 1.0 4

PP-22-0266 | MAR 2022 Ver. 1.0 5

2.3 Eliminar las conexiones de puerta trasera

2.4 Utilizar estrictos controles de acceso perimetral

NSA recomienda considerar cuidadosamente qué conexiones permitir, y crear

PP-22-0266 | MAR 2022 Ver. 1.0 7

2.5 Implantar una solución de control de acceso a la red (NAC)

2.6 Limitar y cifrar las redes privadas virtuales (VPN)

La NSA recomienda limitar el acceso de la pasarela VPN al Protocolo de Datagramas de

PP-22-0266 | MAR 2022 Ver. 1.0 9

A continuación se indican los ajustes mínimos recomendados por el Comité de

• Grupo Diffie-Hellman: 16 con Exponente Modular de 4096 bits (MODP)

El grupo 15 de Diffie-Hellman también es aceptable según los requisitos mínimos de

Para asegurarse de que no se utilicen inadvertidamente, desactive las políticas y

no crypto isakmp default policy

no crypto ikev2 proposal default

no crypto ipsec transform-set default

crypto ikev2 proposal <IKEV2_PROPOSAL_NAME>

crypto ikev2 policy <IKEV2_POLICY_NAME>

crypto ikev2 profile <IKEV2_PROFILE_NAME>

Establezca un conjunto de transformación IPsec con los siguientes comandos de

crypto ipsec transform-set <IPSEC_TRANSFORM_NAME> esp-gcm 256

Establezca un perfil IPsec, que utilice el perfil IKEv2 y el conjunto de

crypto ipsec profile <IPSEC_PROFILE_NAME>

Para más información, consulte "Configuración de redes privadas virtuales IPsec",

3.1 Verificar la integridad del software y la configuración

La NSA recomienda verificar la integridad de los archivos del sistema operativo

PP-22-0266 | MAR 2022 Ver. 1.0 13