Última modificación: 19 de marzo de 2025
Norma nº 4204 Procedimiento de seguridad de routers y conmutadores
Propósito
El propósito de este procedimiento es describir la configuración de seguridad mínima requerida para todos los enrutadores y conmutadores que se conectan a una red de producción o que se utilizan en una capacidad de producción en o en nombre de PCSD.
Alcance
Todos los empleados, contratistas, consultores, temporales y otros trabajadores de PCSD deben adherirse a este procedimiento. Todos los routers y switches conectados a las redes de producción de PCSD están afectados.
Procedimiento
Normas de configuración
- Sólo se configura una cuenta de usuario local en el router, utilizada como copia de seguridad si no se puede acceder a una fuente de autenticación externa. Los routers y switches deben utilizar RADIUS para todas las autenticaciones de usuario.
- La contraseña de habilitación del router o switch debe guardarse de forma encriptada y segura. El enrutador o conmutador debe tener la contraseña de habilitación configurada con la contraseña actual del enrutador o conmutador de producción de la organización de soporte del dispositivo.
- Sólo los empleados de soporte técnico autorizados pueden iniciar sesión en un router o switch. El Director de Tecnología o el Ingeniero de Redes pueden conceder derechos a un empleado.
Servicios o prestaciones para discapacitados
- Difusiones dirigidas IP
- Paquetes entrantes en el router/switch procedentes de direcciones no válidas, como direcciones RFC1918.
- Pequeños servicios TCP
- Pequeños servicios UDP
- Enrutamiento y conmutación en origen
- Todos los servicios web que se ejecutan en el router
- Protocolo de detección de Cisco en interfaces conectadas a Internet
- Servicios Telnet, FTP y HTTP
- Autoconfiguración
Servicios que deben inhabilitarse salvo justificación
- Troncales dinámicas
- Entornos de scripting, como el shell TCL
Configuraciones requeridas
- La encriptación de la contraseña debe estar activada.
- NTP debe configurarse a una fuente estándar corporativa.
- Todas las actualizaciones de enrutamiento se realizarán utilizando actualizaciones de enrutamiento seguras.
- Utilice cadenas de comunidad SNMP estandarizadas corporativas. Las cadenas por defecto, como public o private, deben eliminarse.
- SNMP debe configurarse para utilizar la versión más segura del protocolo que permita la combinación del dispositivo y los sistemas de gestión, al menos v2.
- Deben utilizarse listas de control de acceso para limitar la fuente y el tipo de tráfico que puede terminar en el propio dispositivo.
- Las listas de control de acceso para transitar por el dispositivo se irán añadiendo a medida que surjan necesidades empresariales.
Descargo de responsabilidad
Cada router debe tener la siguiente declaración presentada para todas las formas de inicio de sesión, ya sean remotas o locales:
, /\.__ _.-\
,/ /_\ _/ \ \ ,/~,_.~'”\ /_\_ /’
/\ /## \ / V#\/\ /~8# # ## V8 #\/8 8\
/~#'# "#""##V&#&# ##\/88# "#8# #" ##&"##" ##\
j# ##### # "#\&"###/###& # "#&## #&" # "#&# "#'\
/#"#"#####"###'\&##"/&#"####"### # #&#&##"#"### \
J#"###"#"#"#"####'\# #"##"#"##"#"#####&"## "#"&"##|\
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++ Redes del Distrito Escolar de la Ciudad de Provo SÓLO USUARIOS AUTORIZADOS +++++++++++++++++++++++++++++++++++++++++++++++++++++++++
Controles de seguridad adicionales
- Telnet nunca debe ser utilizado a través de cualquier red para gestionar un router a menos que haya un túnel seguro protegiendo toda la ruta de comunicación. SSH versión 2 es el protocolo de gestión preferido.
- Los protocolos de enrutamiento dinámico deben utilizar autenticación en las actualizaciones de enrutamiento enviadas a los vecinos. El hash de contraseña para la cadena de autenticación debe estar habilitado cuando sea compatible.
- La norma de configuración del enrutador corporativo definirá la categoría de dispositivos sensibles de enrutamiento y conmutación, y exigirá servicios o configuraciones adicionales en los dispositivos sensibles, entre ellos:
- Contabilidad de listas de acceso IP
- Registro de dispositivos
- Los paquetes entrantes en el enrutador de destino con direcciones no válidas, como las direcciones RFC1918, o los que podrían utilizarse para falsificar el tráfico de red, se descartarán.
- El acceso a la consola del router y al módem debe restringirse mediante controles de seguridad adicionales
Último estado de actualización:
Actualizado en enero de 2015
Políticas y procedimientos relacionados
- 4204 Uso de la tecnología
- 4204 Uso aceptable
- 4204 Auditoría
- 4204 Escritorio limpio
- 4204 Plan de recuperación en caso de catástrofe
- 4204 Correo electrónico
- 4204 Formación para la concienciación sobre seguridad de los empleados
- Cifrado 4204
- 4204 Contraseña
- 4204 Acceso remoto
- 4204 Seguridad de routers y conmutadores
- 4204 Seguridad para puestos de trabajo sensibles
- 4204 Plan de respuesta de seguridad
- 4204 Seguridad del servidor
- 4204 Instalación del software
- 4204 Seguridad de los servicios del sitio web
- 4204 Comunicación de dispositivos inalámbricos
- 4204 Comunicación de infraestructuras inalámbricas