La seguridad el tráfico que sale de la red y escrutar el tráfico ingresante son
aspectos críticos de la seguridad en redes. La seguridad del router de borde, que se conecta con la red externa, es un primer paso importante al asegurar la red. El hardening de dispositivos es una tarea esencial que nunca debe ser pasada por alto. Significa implementar métodos probados para asegurar el router físicamente y proteger el acceso administrativo utilizando la interfaz de línea de comandos (command-line interface - CLI) del IOS Cisco así como también el Administrador de Routers y Dispositivos de Seguridad de Cisco (Cisco Router and Security Device Manager - SDM). Algunos de estos métodos comprenden la seguridad del acceso administrativo, incluyendo mantener contraseñas, configurar funciones de identificación virtual mejoradas e implementar Secure Shell (SSH). Como no todo el personal de la tecnología de la información debería tener el mismo nivel de acceso a los dispositivos de infraestuctura, definir roles administrativos de acceso es otro aspecto importante de la seguridad los dispositivos de infraestructura. La seguridad de las funciones de administración y reportes del IOS de los dispositivos de Cisco también es importante. Las prácticas recomendadas para asegurar el syslog, utilizando el Protocolo de Administración de Redes Simple (Simple Network Management Protocol - SNMP), y configurando el Protocolo de Tiempo de Red (Network Time Protocol - NTP) son examinadas. Muchos servicios del router están habilitados por defecto. Muchas de estas funciones están habilitadas por razones históricas pero ya no son necesarias. Este capítulo discute algunos de estos servicios y examina las configuraciones de router con la función de Auditoría de Seguridad del Cisco SDM. Este capítulo también examina la función onestep lockdown del Cisco SDM y el comando auto secure, que puede ser utilizado para automatizar las tareas de hardening de dispositivos. La práctica de laboratorio del capítulo, Seguridad del router para acceso administrativo, es una práctica muy englobadora que presenta la oportunidad de practicar el amplio rango de funciones de seguridad presentadas en este capítulo. El laboratorio presenta los diferentes medios de asegurar el acceso administrativo a un router, incluyendo las buenas prácticas de contraseñas, una configuración de banner apropiada, funciones de identificación mejoradas y SSH. La función de acceso a la CLI basada en roles se basa en la creación de vistas como manera de proveer diferentes niveles de acceso a los routers. La función de Configuración Resistente del IOS de Cisco permite asegurar las imágenes de router y los archivos de configuración. Syslog y SNMP se utilizan para informes de administración. AutoSecure de Cisco es una herramienta automatizada para asegurar los routers Cisco utilizando la CLI. La función de Auditoría de Seguridad de SDI provee funcionalidades similares a AutoSecure. El laboratorio está en el manual de laboratorio en Academy Connection en cisco.netacad.net. La actividad de Packet Tracer Configurar los Routers Cisco para Syslog, NTP y SSH, proporciona a los alumnos prácticas adicionales para implementar las tecnologías presentadas en este capítulo. En particular, los alumnos configurarán con NTP, syslog, registro de mensajes con marca de tiempo, cuentas de usuario locales, conectividad SSH exclusiva y pares de claves RSA para servidores SSH. También se explora el uso del acceso del cliente SSH desde una PC Windows y desde un router Cisco.
Seguridad del router de borde
La seguridad la infraestructura de la red es crítica para la seguridad de toda la red. La infraestructura de la red incluye routers, switches, servidores, estaciones de trabajo y otros dispositivos. Considere un empleado descontento mirando casualmente por sobre el hombro del administrador de la red mientras el administrador se está identificando en el router de borde. Esto se conoce como shoulder surfing y es una manera sorprendentemente fácil para un atacante de ganar acceso no autorizado. Si un atacante obtiene acceso a un router, la seguridad y la administración de toda la red pueden ser comprometidas, dejando a los servidores y las estaciones de trabajo bajo riesgo. Es crítico que las políticas y controles de seguridad apropiados puedan ser implementados para prevenir el acceso no autorizado a todos los dispositivos de la infraestructura. Aunque todos los dispositivos de una infraestructura están en riesgo, los routers generalmente son el objetivo principal para los atacantes de redes. Esto ocurre porque los routers actúan como la policía del tránsito, dirigiendo el tráfico hacia, desde y entre redes. El router de borde es el último router entre la red interna y una red de confianza como Internet. Todo el tráfico a Internet de una organización pasa por este router de borde; por lo tanto, generalmente funciona como la primera y última línea de defensa de una red. A través del filtrado inicial y final, el router de borde ayuda a asegurar el perímetro de una red protegida. También es responsable de implementar las acciones de seguridad que están basadas en las políticas de seguridad de la organización. Por estas razones, es imperativo asegurar los routers de la red. La implementación del router de borde varía en función del tamaño de la organización y la complejidad del diseño de red requerido. Las implementaciones de router pueden incluir un solo router protegiendo toda una red interna o un router como la primera línea de defensa en un enfoque de defensa profunda.