Saltar al contenido Ir al menú de traducción
Search Icon

Última modificación: 19 de marzo de 2025

Norma nº 4204 Procedimiento de seguridad de routers y conmutadores

Propósito

El propósito de este procedimiento es describir la configuración de seguridad mínima requerida para todos los enrutadores y conmutadores que se conectan a una red de producción o que se utilizan en una capacidad de producción en o en nombre de PCSD.

Alcance

Todos los empleados, contratistas, consultores, temporales y otros trabajadores de PCSD deben adherirse a este procedimiento. Todos los routers y switches conectados a las redes de producción de PCSD están afectados.

Procedimiento

Normas de configuración

  • Sólo se configura una cuenta de usuario local en el router, utilizada como copia de seguridad si no se puede acceder a una fuente de autenticación externa. Los routers y switches deben utilizar RADIUS para todas las autenticaciones de usuario.
  • La contraseña de habilitación del router o switch debe guardarse de forma encriptada y segura. El enrutador o conmutador debe tener la contraseña de habilitación configurada con la contraseña actual del enrutador o conmutador de producción de la organización de soporte del dispositivo.
  • Sólo los empleados de soporte técnico autorizados pueden iniciar sesión en un router o switch. El Director de Tecnología o el Ingeniero de Redes pueden conceder derechos a un empleado.

Servicios o prestaciones para discapacitados

  • Difusiones dirigidas IP
  • Paquetes entrantes en el router/switch procedentes de direcciones no válidas, como direcciones RFC1918.
  • Pequeños servicios TCP
  • Pequeños servicios UDP
  • Enrutamiento y conmutación en origen
  • Todos los servicios web que se ejecutan en el router
  • Protocolo de detección de Cisco en interfaces conectadas a Internet
  • Servicios Telnet, FTP y HTTP
  • Autoconfiguración

Servicios que deben inhabilitarse salvo justificación

  • Troncales dinámicas
  • Entornos de scripting, como el shell TCL

Configuraciones requeridas

  • La encriptación de la contraseña debe estar activada.
  • NTP debe configurarse a una fuente estándar corporativa.
  • Todas las actualizaciones de enrutamiento se realizarán utilizando actualizaciones de enrutamiento seguras.
  • Utilice cadenas de comunidad SNMP estandarizadas corporativas. Las cadenas por defecto, como public o private, deben eliminarse.
  • SNMP debe configurarse para utilizar la versión más segura del protocolo que permita la combinación del dispositivo y los sistemas de gestión, al menos v2.
  • Deben utilizarse listas de control de acceso para limitar la fuente y el tipo de tráfico que puede terminar en el propio dispositivo.
  • Las listas de control de acceso para transitar por el dispositivo se irán añadiendo a medida que surjan necesidades empresariales.

Descargo de responsabilidad

Cada router debe tener la siguiente declaración presentada para todas las formas de inicio de sesión, ya sean remotas o locales:

, /\.__ _.-\

,/ /_\ _/ \ \ ,/~,_.~'”\ /_\_ /’

/\ /## \ / V#\/\ /~8# # ## V8 #\/8 8\
/~#'# "#""##V&#&# ##\/88# "#8# #" ##&"##" ##\ 
j# ##### # "#\&"###/###& # "#&## #&" # "#&# "#'\ 
/#"#"#####"###'\&##"/&#"####"### # #&#&##"#"### \ 
J#"###"#"#"#"####'\# #"##"#"##"#"#####&"## "#"&"##|\
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++
Redes del Distrito Escolar de la Ciudad de Provo
SÓLO USUARIOS AUTORIZADOS  
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++

Controles de seguridad adicionales

  • Telnet nunca debe ser utilizado a través de cualquier red para gestionar un router a menos que haya un túnel seguro protegiendo toda la ruta de comunicación. SSH versión 2 es el protocolo de gestión preferido.
  • Los protocolos de enrutamiento dinámico deben utilizar autenticación en las actualizaciones de enrutamiento enviadas a los vecinos. El hash de contraseña para la cadena de autenticación debe estar habilitado cuando sea compatible.
  • La norma de configuración del enrutador corporativo definirá la categoría de dispositivos sensibles de enrutamiento y conmutación, y exigirá servicios o configuraciones adicionales en los dispositivos sensibles, entre ellos:
    • Contabilidad de listas de acceso IP
    • Registro de dispositivos
    • Los paquetes entrantes en el enrutador de destino con direcciones no válidas, como las direcciones RFC1918, o los que podrían utilizarse para falsificar el tráfico de red, se descartarán.
    • El acceso a la consola del router y al módem debe restringirse mediante controles de seguridad adicionales

Último estado de actualización:

Actualizado en enero de 2015

Políticas y procedimientos relacionados

es_MXEspañol de México