Última modificación: 19 de marzo de 2025

Norma nº 4204 Procedimiento de seguridad de routers y conmutadores

• Descargar el documento de procedimiento de seguridad de routers y conmutadores

Propósito

El propósito de este procedimiento es describir la configuración de seguridad mínima requerida para todos los enrutadores y conmutadores que se conectan a una red de producción o que se utilizan en una capacidad de producción en o en nombre de PCSD.

Alcance

Todos los empleados, contratistas, consultores, temporales y otros trabajadores de PCSD deben adherirse a este procedimiento. Todos los routers y switches conectados a las redes de producción de PCSD están afectados.

Procedimiento

Normas de configuración

• Sólo se configura una cuenta de usuario local en el router, utilizada como copia de seguridad si no se puede acceder a una fuente de autenticación externa. Los routers y switches deben utilizar RADIUS para todas las autenticaciones de usuario.
• La contraseña de habilitación del router o switch debe guardarse de forma encriptada y segura. El enrutador o conmutador debe tener la contraseña de habilitación configurada con la contraseña actual del enrutador o conmutador de producción de la organización de soporte del dispositivo.
• Sólo los empleados de soporte técnico autorizados pueden iniciar sesión en un router o switch. El Director de Tecnología o el Ingeniero de Redes pueden conceder derechos a un empleado.

Servicios o prestaciones para discapacitados

• Difusiones dirigidas IP
• Paquetes entrantes en el router/switch procedentes de direcciones no válidas, como direcciones RFC1918.
• Pequeños servicios TCP
• Pequeños servicios UDP
• Enrutamiento y conmutación en origen
• Todos los servicios web que se ejecutan en el router
• Protocolo de detección de Cisco en interfaces conectadas a Internet
• Servicios Telnet, FTP y HTTP
• Autoconfiguración

Servicios que deben inhabilitarse salvo justificación

• Troncales dinámicas
• Entornos de scripting, como el shell TCL

Configuraciones requeridas

• La encriptación de la contraseña debe estar activada.
• NTP debe configurarse a una fuente estándar corporativa.
• Todas las actualizaciones de enrutamiento se realizarán utilizando actualizaciones de enrutamiento seguras.
• Utilice cadenas de comunidad SNMP estandarizadas corporativas. Las cadenas por defecto, como public o private, deben eliminarse.
• SNMP debe configurarse para utilizar la versión más segura del protocolo que permita la combinación del dispositivo y los sistemas de gestión, al menos v2.
• Deben utilizarse listas de control de acceso para limitar la fuente y el tipo de tráfico que puede terminar en el propio dispositivo.
• Las listas de control de acceso para transitar por el dispositivo se irán añadiendo a medida que surjan necesidades empresariales.

Descargo de responsabilidad

Cada router debe tener la siguiente declaración presentada para todas las formas de inicio de sesión, ya sean remotas o locales:

, /\.__ _.-\

,/ /_\ _/ \ \ ,/~,_.~'”\ /_\_ /’

/\ /## \ / V#\/\ /~8# # ## V8 #\/8 8\

/~#'# "#""##V&#&# ##\/88# "#8# #" ##&"##" ##\ 

j# ##### # "#\&"###/###& # "#&## #&" # "#&# "#'\ 

/#"#"#####"###'\&##"/&#"####"### # #&#&##"#"### \ 

J#"###"#"#"#"####'\# #"##"#"##"#"#####&"## "#"&"##|\

+++++++++++++++++++++++++++++++++++++++++++++++++++++++++
Redes del Distrito Escolar de la Ciudad de Provo
SÓLO USUARIOS AUTORIZADOS  
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++

Controles de seguridad adicionales

• Telnet nunca debe ser utilizado a través de cualquier red para gestionar un router a menos que haya un túnel seguro protegiendo toda la ruta de comunicación. SSH versión 2 es el protocolo de gestión preferido.
• Los protocolos de enrutamiento dinámico deben utilizar autenticación en las actualizaciones de enrutamiento enviadas a los vecinos. El hash de contraseña para la cadena de autenticación debe estar habilitado cuando sea compatible.
• La norma de configuración del enrutador corporativo definirá la categoría de dispositivos sensibles de enrutamiento y conmutación, y exigirá servicios o configuraciones adicionales en los dispositivos sensibles, entre ellos:
  • Contabilidad de listas de acceso IP
  • Registro de dispositivos
  • Los paquetes entrantes en el enrutador de destino con direcciones no válidas, como las direcciones RFC1918, o los que podrían utilizarse para falsificar el tráfico de red, se descartarán.
  • El acceso a la consola del router y al módem debe restringirse mediante controles de seguridad adicionales

Último estado de actualización:

Actualizado en enero de 2015

Políticas y procedimientos relacionados

• 4204 Uso de la tecnología
• 4204 Uso aceptable
• 4204 Auditoría
• 4204 Escritorio limpio
• 4204 Plan de recuperación en caso de catástrofe
• 4204 Correo electrónico
• 4204 Formación para la concienciación sobre seguridad de los empleados
• Cifrado 4204
• 4204 Contraseña
• 4204 Acceso remoto
• 4204 Seguridad de routers y conmutadores
• 4204 Seguridad para puestos de trabajo sensibles
• 4204 Plan de respuesta de seguridad
• 4204 Seguridad del servidor
• 4204 Instalación del software
• 4204 Seguridad de los servicios del sitio web
• 4204 Comunicación de dispositivos inalámbricos
• 4204 Comunicación de infraestructuras inalámbricas