Asegurando

dispositivos de red

Asegurando el acceso y los ficheros

de los dispositivos
La seguridad el trfico que sale de la red y
escrutar el trfico ingresante son aspectos
crticos de la seguridad en redes.
La seguridad del router de borde, que se
conecta con la red externa, es un primer
paso importante al asegurar la red.
Hay que implementar mtodos probados
para asegurar el router fsicamente y
proteger el acceso administrativo
No todo el personal de la tecnologa de la
informacin debera tener el mismo nivel
de acceso a los dispositivos de
infraestructura.
Definir roles administrativos de acceso es
otro aspecto importante de la seguridad
los dispositivos de infraestructura.

Seguridad del router de

borde

La seguridad la infraestructura
de la red es crtica para la
seguridad de toda la red. La
infraestructura de la red incluye
routers, switches, servidores,
estaciones de trabajo y otros
dispositivos.
Si un atacante obtiene acceso a
un router:
Los servidores y las
estaciones de trabajo.
Los routers son el objetivo
principal para los atacantes.
El router de borde es el ltimo
router entre la red interna y
una red de confianza como
Internet.

Enfoques de defensa

Enfoque de un solo router

Un solo router conecta
la red protegida, o
LAN interna a Internet.
Las polticas de
seguridad estn
configuradas en este
dispositivo.
Se utiliza este
esquema en
implementaciones de
sitios pequeos como
sitios de sucursales y
SOHO.

Enfoque de defensa
profunda
Es ms seguro que el de un
solo router.
El router de borde acta como
la primera lnea de defensa.
Tiene un conjunto de reglas que
especifican qu trfico permitir
y qu trfico denegar.

Enva al firewall todas las

conexiones dirigidas a la LAN
interna
Enva al firewall todas las
conexiones dirigidas a la LAN
interna.

Enfoque DMZ
ES Una variante del enfoque de
defensa profunda llamada zona
desmilitarizada (demilitarized
zone - DMZ).
Es utilizada para los servidores
que tienen que ser accesibles
desde Internet o alguna otra
red externa.
EL firewall sirve como
proteccin primaria para todos
los dispositivos en la DMZ.
El router provee proteccin
filtrando algn trfico, pero
deja la mayora de la
proteccin a cargo del firewall.

reas de seguridad del

Router
Asegurar el router
de borde es un
primer paso crtico
en la seguridad de la
red. Si hay otros
routers internos,
tambin deben estar
configurados con
seguridad. Deben
mantenerse tres
reas de seguridad
de routers.

Seguridad fsica
Ubicar el router y los
dispositivos fsicos en
lugares seguros.
libre de interferencia
magntica o electrosttica
sistema contra incendios y
controles de temperatura
y humedad.
Instalar un sistema de
alimentacin
ininterrumpida

Seguridad de los Sistemas

Operativos
Configurar el router con la
mxima cantidad de
memoria posible.
Usar la ltima versin
estable del sistema
operativo que cumpla los
requerimientos de la red.
Mantenga una copia
segura de resguardo de la
imagen del sistema
operativo y el archivo de
configuracin del router.

Hardening del router

Asegure el
control
administrativo.
Deshabilite
puertos e
interfaces no
utilizadas.
Deshabilitar
servicios
innecesarios.

Asignacin de roles
administrativos

Configuracin de niveles de
privilegios
debe proporcionarse
acceso sin restricciones
a todos los empleados
de una empresa?
Habr que dar acceso
sin restricciones a
todos los empleados
del departamento de
Informtica?
Para el administrador
de sistemas que quiere
asegurar la red es
configurar niveles de
privilegio.

Asignacin de niveles de
privilegios
Esto es especialmente til en un
ambiente de help desk (soporte).
habilitados para configurar y monitorear
todas las parets del router nivel 15
Otros solo deben monitorear, pero no
configurar, el router (niveles
personalizados 2 a 14).

Hay 16 niveles de privilegios en total.

Los niveles 0, 1 y 15 tienen
configuracin predeterminada.

Asignacin de niveles de
privilegios
Un administrador puede
definir mltiples niveles de
privilegios personalizados y
asignar diferentes comandos
a cada nivel.
Los comandos disponibles en
niveles de privilegios ms
bajos tambin son ejecutables
a niveles ms altos.
No hay control de acceso a
interfaces, puertos, interfaces
lgicas y ranuras especficas
en un router.

CLI basada en roles

Para proporcionar mayor flexibilidad que la que otorgan los
niveles de privilegios.
Esta funcin provee acceso ms granular, ya que controla
especficamente cules comandos estn disponibles para
roles especficos.
Permite al administrador de la red crear diferentes vistas de
las configuraciones del router para diferentes usuarios.
Seguridad
define el grupo de comandos de la CLI que es accesible para un usuario
particular.

Disponibilidad
imposibilita la ejecucin no intencional de comandos de CLI por parte de
personal no autorizado

Eficiencia operativa
Los usuarios solo ven los comandos de la CLI que son aplicables a los
puertos y la CLI a los que tienen acceso;

La CLI basada en roles proporciona

tres tipos de vistas:
Cada vista
dictamina qu
comandos estn
disponibles.
Vista de root
Vista CLI
Supervista

Vista de root
El administrador debe estar en la vista
de root
La vista de root tiene los mismos
privilegios de acceso que un usuario
con nivel 15 de privilegios.
Solo un usuario de vista de root puede
configurar una nueva vista y agregar
o remover comandos de las vistas
existentes.

Vista de CLI
Puede asociarse un grupo especfico
de comandos a una vista CLI.
La vista CLI no tiene jerarquas de
comandos y, por lo tanto, no hay
vistas superiores o inferiores.
Los mismos comandos pueden ser
utilizados en varias vistas.

Supervista
Consiste en una o ms vistas CLI.
Las supervistas permiten al administrador de redes
asignar a los usuarios y grupos de usuarios mltiples
vistas CLI de una sola vez, en lugar de tener que asignar
una sola vista CLI por usuario con todos los comandos
asociados a esa nica vista CLI.
Caractersticas:
Una sola vista CLI puede ser compartida entre varias
supervistas.
No pueden configurarse comandos para una supervista.
Cada supervista tiene una contrasea que se usa para
moverse entre supervistas o de una vista CLI a una supervista
Eliminar una supervista no elimina las vistas CLI asociadas.

Vistas

Consideraciones.
Hay cinco pasos para crear y
administrar una vista especfica.
Paso 1. Habilitar AAA
Paso 2. Habilitar el modo de
configuracin de la vista (mximo de 15
vistas).
Paso 3. Asigne una contrasea secret a
la vista.
Paso 4. Asigne comandos a la vista
seleccionada
Paso 5. Salga del modo de configuracin