- Management Plane, que administra tráfico enviado al dispositivo Cisco con IOS; y está hecho de aplicaciones tales como SSH y SNMP.
- Control Plane, parte de un dispositivo de red que procesa el tráfico que es la base para mantener el funcionamiento de una red. Los protocolos que se manejan aquí incluyen BGP, protocolos de gateway interior (IGPs) como EIGRP y OSPF.
- Data Plane, que reenvía el tráfico de datos a través del dispositivo de red.
Ahora, para asegurar los dispositivos debemos seguir una serie de recomendaciones que Cisco nos da:
Asegurar las operaciones, aunque podemos agregar configuraciones para aumentar la seguridad, éstas no pueden funcionar solas; para asegurar la red completamente debemos seguir procedimientos operacionales junto con las configuraciones. Por ejemplo:
Revisar las advertencias de seguridad y respuestas dadas en el Cisco Product Security Incident Response Team (PSIRT)
Leer las políticas en el Cisco Security Vulnerability Policy.
También debemos recurrir al Risk Triage para revisar los anuncios de vulnerabilidad y poder hacer un proceso de evaluación de nuestra seguridad.
Usar AAA en nuestra red (Authentication, Authorization and Accounting), esto es muy importante para dar seguridad al manejo de sesiones hacia nuestros dispositivos.
Centralizar la recolección de logs y su monitoreo; ya que en caso de un incidente, debemos tener toda la información de la red para su análisis; y algunos programas pueden ayudarnos a hacer una correlación entre los logs de los distintos dispositivos para facilitar el análisis y detectar vulnerabilidades.
Usar protocolos seguros cuando sea posible, por ejemplo, en lugar de TFTP o FTP, usar SCP (Secure Copy Protocol); o usar SSH en lugar de telnet, y limitar el uso de dichos protocolos por origen, por ejemplo, permitir sólo sesiones de SSH desde la LAN, bloquear el SNMP desde la WAN (SNMPv3 puede usar autenticación).
Usar Netflow para tener una mejor idea del tráfico en la red, poder identificarlo y rastrearlo hacia su origen en caso necesario.
Asegurando el Management Plane.
El management plane se usa para accesar, configurar y administrar dispositivos; así como para monitorear su operación dentro de la red.
Se debe asegurar un correcto manejo de passwords, es decir, que tengan al menos 8 caracteres, con minúsculas, mayúsculas, números y al menos un caracter especial, así como usar el enable secret para los dispositivos, y nunca sólo el comando password (si usamos el comando password, habrá que implementar el service password-encryption).
Limitar el número de intentos de login:
Bloquear la recuperación de passwords, ya que alguien con acceso al puerto de consola podría cambiar el registro de configuración y cambiar los passwords:
no service password-recovery
Si usamos este comando debemos recordar almacenar una copia de la configuración de cada dispositivo, así como un registro de los passwords usados y guardarlos en un lugar seguro, ya que no habrá posibilidad de recuperar los passwords si son perdidos.
•discard (port number 9)
•daytime (port number 13)
•chargen (port number 19)
Usar keepalives para mantener sesiones de TCP activas, y cuando el extremo remoto no esté disponible la sesión sea terminada, evitando que haya un hueco de seguridad por ese motivo.
Bloquear la recuperación de passwords, ya que alguien con acceso al puerto de consola podría cambiar el registro de configuración y cambiar los passwords:
no service password-recovery
Si usamos este comando debemos recordar almacenar una copia de la configuración de cada dispositivo, así como un registro de los passwords usados y guardarlos en un lugar seguro, ya que no habrá posibilidad de recuperar los passwords si son perdidos.
Debemos desactivar los servicios de TCP o UDPque no usamos, tales como:
•echo (port number 7)•discard (port number 9)
•daytime (port number 13)
•chargen (port number 19)
Adicionalmente debemos desactivar los servicios no usados como: Finger, BOOTP, DHCP, MOP, DNS, http server, service config, lldp, etc.
Debemos también limitar el tiempo que una sesión de administración está activa:
Usar keepalives para mantener sesiones de TCP activas, y cuando el extremo remoto no esté disponible la sesión sea terminada, evitando que haya un hueco de seguridad por ese motivo.
Estas son las sugerencias más importantes para asegurar el acceso a los dispositivos de red, así como su administración. Adicional a estas sugerencias, se deben asegurar el Control Plane y el Data Plane con una serie de procedimientos que podemos revisar en la página de Cisco:
No hay comentarios. :
Publicar un comentario