Asegurando dispositivos de red

Asegurando el acceso y los ficheros de los dispositivos• La seguridad el tráfico que sale de la red y

escrutar el tráfico ingresante son aspectos críticos de la seguridad en redes.

• La seguridad del router de borde, que se conecta con la red externa, es un primer paso importante al asegurar la red.

• Hay que implementar métodos probados para asegurar el router físicamente y proteger el acceso administrativo

• No todo el personal de la tecnología de la información debería tener el mismo nivel de acceso a los dispositivos de infraestructura.

• Definir roles administrativos de acceso es otro aspecto importante de la seguridad los dispositivos de infraestructura.

Seguridad del router de borde• La seguridad la infraestructura de la red

es crítica para la seguridad de toda la red. La infraestructura de la red incluye routers, switches, servidores, estaciones de trabajo y otros dispositivos.

• Si un atacante obtiene acceso a un router:– Los servidores y las estaciones de

trabajo.– Los routers son el objetivo principal

para los atacantes.– El router de borde es el último router

entre la red interna y una red de confianza como Internet.

Enfoques de defensa

Enfoque de un solo router– Un solo router conecta

la red protegida, o LAN interna a Internet.

– Las políticas de seguridad están configuradas en este dispositivo.

– Se utiliza este esquema en implementaciones de sitios pequeños como sitios de sucursales y SOHO.

Enfoque de defensa profunda • Es más seguro que el de un solo

router. • El router de borde actúa como la

primera línea de defensa.– Tiene un conjunto de reglas que

especifican qué tráfico permitir y qué tráfico denegar.

• Envía al firewall todas las conexiones dirigidas a la LAN interna– Envía al firewall todas las

conexiones dirigidas a la LAN interna.

Enfoque DMZ • ES Una variante del enfoque de

defensa profunda llamada zona desmilitarizada (demilitarized zone - DMZ).

• Es utilizada para los servidores que tienen que ser accesibles desde Internet o alguna otra red externa.

• EL firewall sirve como protección primaria para todos los dispositivos en la DMZ.

• El router provee protección filtrando algún tráfico, pero deja la mayoría de la protección a cargo del firewall.

Áreas de seguridad del Router

Asegurar el router de borde es un primer paso crítico en la seguridad de la red. Si hay otros routers internos, también deben estar configurados con seguridad. Deben mantenerse tres áreas de seguridad de routers.

Seguridad física

• Ubicar el router y los dispositivos físicos en lugares seguros.

• libre de interferencia magnética o electrostática

• sistema contra incendios y controles de temperatura y humedad.

• Instalar un sistema de alimentación ininterrumpida

Seguridad de los Sistemas Operativos

• Configurar el router con la máxima cantidad de memoria posible.

• Usar la última versión estable del sistema operativo que cumpla los requerimientos de la red.

• Mantenga una copia segura de resguardo de la imagen del sistema operativo y el archivo de configuración del router.

Hardening del router

• Asegure el control administrativo.

• Deshabilite puertos e interfaces no utilizadas.

• Deshabilitar servicios innecesarios.

Asignación de roles administrativos

Configuración de niveles de privilegios

• ¿debe proporcionarse acceso sin restricciones a todos los empleados de una empresa?

• ¿Habrá que dar acceso sin restricciones a todos los empleados del departamento de Informática?

• Para el administrador de sistemas que quiere asegurar la red es configurar niveles de privilegio.

Asignación de niveles de privilegios

• Esto es especialmente útil en un ambiente de help desk (soporte).– habilitados para configurar y monitorear todas las

parets del router nivel 15– Otros solo deben monitorear, pero no configurar,

el router (niveles personalizados 2 a 14).• Hay 16 niveles de privilegios en total. Los

niveles 0, 1 y 15 tienen configuración predeterminada.

Asignación de niveles de privilegios • Un administrador puede definir

múltiples niveles de privilegios personalizados y asignar diferentes comandos a cada nivel.

• Los comandos disponibles en niveles de privilegios más bajos también son ejecutables a niveles más altos.

• No hay control de acceso a interfaces, puertos, interfaces lógicas y ranuras específicas en un router.

CLI basada en roles • Para proporcionar mayor flexibilidad que la que otorgan los niveles de

privilegios.• Esta función provee acceso más granular, ya que controla

específicamente cuáles comandos están disponibles para roles específicos.

• Permite al administrador de la red crear diferentes vistas de las configuraciones del router para diferentes usuarios.– Seguridad

• define el grupo de comandos de la CLI que es accesible para un usuario particular.– Disponibilidad

• imposibilita la ejecución no intencional de comandos de CLI por parte de personal no autorizado

– Eficiencia operativa • Los usuarios solo ven los comandos de la CLI que son aplicables a los puertos y la CLI

a los que tienen acceso;

La CLI basada en roles proporciona tres tipos de vistas:

• Cada vista dictamina qué comandos están disponibles. – Vista de root – Vista CLI – Supervista

Vista de root

• El administrador debe estar en la vista de root• La vista de root tiene los mismos privilegios de

acceso que un usuario con nivel 15 de privilegios.

• Solo un usuario de vista de root puede configurar una nueva vista y agregar o remover comandos de las vistas existentes.

Vista de CLI

• Puede asociarse un grupo específico de comandos a una vista CLI.

• La vista CLI no tiene jerarquías de comandos y, por lo tanto, no hay vistas superiores o inferiores.

• Los mismos comandos pueden ser utilizados en varias vistas.

Supervista • Consiste en una o más vistas CLI.• Las supervistas permiten al administrador de redes asignar a

los usuarios y grupos de usuarios múltiples vistas CLI de una sola vez, en lugar de tener que asignar una sola vista CLI por usuario con todos los comandos asociados a esa única vista CLI.

• Características:– Una sola vista CLI puede ser compartida entre varias supervistas. – No pueden configurarse comandos para una supervista.– Cada supervista tiene una contraseña que se usa para moverse entre

supervistas o de una vista CLI a una supervista– Eliminar una supervista no elimina las vistas CLI asociadas.

Vistas

Consideraciones.

• Hay cinco pasos para crear y administrar una vista específica.– Paso 1. Habilitar AAA – Paso 2. Habilitar el modo de configuración de la

vista (máximo de 15 vistas).– Paso 3. Asigne una contraseña secret a la vista.– Paso 4. Asigne comandos a la vista seleccionada– Paso 5. Salga del modo de configuración de la

vista.