Módulo 16: Fundamentos de

seguridad de red
Introduction to Networks v7.0
(ITN)
Objetivos del módulo
Título del módulo: Fundamentos de seguridad de red
Objetivo del módulo : configurar conmutadores y enrutadores con funciones de refuerzo de
dispositivos para mejorar la seguridad.

Título del tema Objetivo del tema

Amenazas de seguridad y Explique por qué las medidas de seguridad básicas
vulnerabilidades son necesarias en los dispositivos de red.
Ataques de red Identificar vulnerabilidades de seguridad.

Mitigación de ataques a la red Identificar técnicas generales de mitigación.

Configure dispositivos de red con funciones de
Dispositivo de seguridad refuerzo de dispositivos para mitigar las amenazas
de seguridad.
16.1 Amenazas y
vulnerabilidades de
seguridad

© 2016 Cisco and/or its affiliates. All rights reserved. Cisco

Confidential 3
Security Threats and Vulnerabilities
Tipos de amenazas
Los ataques a una red pueden ser devastadores y pueden resultar en una
pérdida de tiempo y dinero debido a daños o robo de información o activos
importantes. Los intrusos pueden obtener acceso a una red a través de
vulnerabilidades de software, ataques de hardware o adivinando el nombre de
usuario y la contraseña de alguien. Los intrusos que obtienen acceso
modificando software o explotando vulnerabilidades de software se denominan
actores de amenazas.
Una vez que el actor de la amenaza obtiene acceso a la red, pueden surgir cuatro
tipos de amenazas:
• Robo de información
• Pérdida y manipulación de datos.
• El robo de identidad
• Interrupción del servicio
Security Threats and Vulnerabilities
Tipos de vulnerabilidades
La vulnerabilidad es el grado de debilidad en una red o un dispositivo. Algún grado de
vulnerabilidad es inherente a los enrutadores, conmutadores, equipos de escritorio, servidores
e incluso dispositivos de seguridad. Por lo general, los dispositivos de red bajo ataque son los
puntos finales, como servidores y computadoras de escritorio.
Hay tres vulnerabilidades o debilidades principales:
• Las vulnerabilidades tecnológicas pueden incluir debilidades del protocolo TCP / IP,
debilidades del sistema operativo y debilidades del equipo de red.
• Las vulnerabilidades de configuración pueden incluir cuentas de usuario no seguras,
cuentas del sistema con contraseñas fáciles de adivinar, servicios de Internet mal
configurados, configuraciones predeterminadas no seguras y equipos de red mal
configurados.
• Las vulnerabilidades de la política de seguridad pueden incluir la falta de una política de
seguridad escrita, políticas, falta de continuidad de autenticación, controles de acceso
lógico no aplicados, instalación de software y hardware y cambios que no siguen la política,
y un plan de recuperación ante desastres inexistente.
Las tres fuentes de vulnerabilidades pueden dejar una red o dispositivo abierto a varios
ataques, incluidos ataques de código malicioso y ataques de red.
Security Threats and Vulnerabilities
Seguridad física
Si los recursos de la red pueden verse físicamente comprometidos, un actor de amenazas
puede negar el uso de los recursos de la red. Las cuatro clases de amenazas físicas son las
siguientes:

• Amenazas de hardware: esto incluye daños físicos a servidores, enrutadores,

conmutadores, planta de cableado y estaciones de trabajo.
• Amenazas medioambientales: esto incluye temperaturas extremas (demasiado
calor o demasiado frío) o humedad extrema (demasiado húmedo o demasiado seco).
• Amenazas eléctricas: esto incluye picos de voltaje, voltaje de suministro
insuficiente (caídas de voltaje), energía no condicionada (ruido) y pérdida total de
energía.
• Amenazas de mantenimiento: esto incluye un manejo deficiente de los
componentes eléctricos clave (descarga electrostática), falta de repuestos críticos,
cableado deficiente y etiquetado deficiente.
Se debe crear e implementar un buen plan de seguridad física para abordar estos problemas.
16.2 Ataques a la red

© 2016 Cisco and/or its affiliates. All rights reserved. Cisco

Confidential 7
Network Attacks
Tipos de malware
Malware es la abreviatura de software malicioso. Es un código o software diseñado
específicamente para dañar, interrumpir, robar o infligir acciones "malas" o ilegítimas en los
datos, hosts o redes. Los siguientes son tipos de malware:
• Virus: un virus informático es un tipo de malware que se propaga insertando una copia
de sí mismo y formando parte de otro programa. Se propaga de una computadora a otra,
dejando infecciones mientras viaja.
• Gusanos: los gusanos informáticos son similares a los virus en que replican copias
funcionales de sí mismos y pueden causar el mismo tipo de daño. A diferencia de los
virus, que requieren la propagación de un archivo host infectado, los gusanos son un
software independiente y no requieren un programa host o ayuda humana para
propagarse.
• Trojan Horses: es un software dañino que parece legítimo. A diferencia de los virus y
gusanos, los caballos de Troya no se reproducen al infectar otros archivos. Se
autorreplican. Los caballos de Troya deben extenderse a través de la interacción del
usuario, como abrir un archivo adjunto de correo electrónico o descargar y ejecutar un
archivo de Internet.
Network Attacks
Ataques de reconocimiento Attacks
Además de los ataques de código malicioso, también es posible que las redes sean
víctimas de varios ataques de red. Los ataques a la red se pueden clasificar en tres
categorías principales:
• Ataques de reconocimiento : el descubrimiento y el mapeo de sistemas, servicios o
vulnerabilidades.
• Ataques de acceso : la manipulación no autorizada de datos, acceso al sistema o
privilegios del usuario.
• Denegación de servicio : la desactivación o corrupción de redes, sistemas o
servicios.
Para los ataques de reconocimiento, los actores de amenazas externas pueden usar
herramientas de Internet, como las utilidades nslookup y whois , para determinar
fácilmente el espacio de direcciones IP asignado a una determinada corporación o
entidad. Después de determinar el espacio de direcciones IP, un actor de amenazas puede
hacer ping a las direcciones IP disponibles públicamente para identificar las direcciones
que están activas.
Network Attacks
Ataques de acceso
Los ataques de acceso explotan vulnerabilidades conocidas en servicios de autenticación,
servicios FTP y servicios web para obtener acceso a cuentas web, bases de datos
confidenciales y otra información confidencial.
Los ataques de acceso se pueden clasificar en cuatro tipos:
• Ataques de contraseña: implementados con fuerza bruta, troyano y rastreadores de
paquetes
• Explotación de confianza: un actor de amenazas utiliza privilegios no autorizados
para obtener acceso a un sistema, posiblemente comprometiendo el objetivo.
• Redireccionamiento de puertos : un actor de amenaza utiliza un sistema
comprometido como base para ataques contra otros objetivos. Por ejemplo, un actor
de amenaza que usa SSH (puerto 22) para conectarse a un host A comprometido. El
host B confía en el host A y, por lo tanto, el actor de amenaza puede usar Telnet
(puerto 23) para acceder a él.
• Hombre en el medio: el actor de amenaza se coloca entre dos entidades legítimas
para leer o modificar los datos que pasan entre las dos partes.
Network Attacks
Ataques de denegación de servicio
Los ataques de denegación de servicio (DoS) son la forma de ataque más publicitada y
una de las más difíciles de eliminar. Sin embargo, debido a su facilidad de
implementación y daño potencialmente significativo, los ataques DoS merecen
especial atención por parte de los administradores de seguridad.
• Los ataques DoS toman muchas formas. En última instancia, evitan que personas
autorizadas utilicen un servicio al consumir recursos del sistema. Para ayudar a
prevenir ataques DoS, es importante mantenerse actualizado con las últimas
actualizaciones de seguridad para sistemas operativos y aplicaciones.
• Los ataques DoS son un riesgo importante porque interrumpen la comunicación y
causan una pérdida significativa de tiempo y dinero. Estos ataques son
relativamente simples de realizar, incluso por un actor de amenazas no calificado.
• Un DDoS es similar a un ataque DoS, pero se origina en múltiples fuentes
coordinadas. Por ejemplo, un actor de amenazas construye una red de hosts
infectados, conocidos como zombies. Una red de zombies se llama botnet. El actor
de amenaza utiliza un programa de comando y control (CnC) para instruir a la red
de bots de zombies para llevar a cabo un ataque DDoS.
Network Attacks
Lab – Research Network Security Threats
In this lab, you will complete the following objectives:
 Part 1: Explore the SANS Website
 Part 2: Identify Recent Network Security Threats
 Part 3: Detail a Specific Network Security Threat
16.3 Mitigaciones de ataque
a la red

© 2016 Cisco and/or its affiliates. All rights reserved. Cisco

Confidential 13
Network Attack Mitigations
El enfoque de defensa en profundidad
Para mitigar los ataques a la red, primero debe
proteger los dispositivos, incluidos enrutadores,
conmutadores, servidores y hosts. La mayoría de las
organizaciones emplean un enfoque de defensa en
profundidad (también conocido como enfoque en
capas) para la seguridad. Esto requiere una
combinación de dispositivos y servicios de red que
funcionen en conjunto.

Se implementan varios dispositivos y servicios de

seguridad para proteger a los usuarios y activos de
una organización contra las amenazas de TCP / IP:
• VPN
• ASA Firewall
• IPS
• ESA/WSA
• AAA Server
Network Attack Mitigations
Copias de seguridad
Hacer una copia de seguridad de las configuraciones y los datos del dispositivo es una de las
formas más efectivas de protección contra la pérdida de datos. Las copias de seguridad se deben
realizar de forma regular tal como se identifica en la política de seguridad. Las copias de
seguridad de datos generalmente se almacenan fuera del sitio para proteger los medios de copia
de seguridad si sucede algo en la instalación principal.
La tabla muestra consideraciones de respaldo y sus descripciones.

Consideración Descripción

•Realice copias de seguridad de forma regular tal como se identifica en la política de

seguridad.
Frecuencia •Las copias de seguridad completas pueden llevar mucho tiempo, por lo tanto, realice copias
de seguridad mensuales o semanales con frecuentes copias de seguridad parciales de los
archivos modificados.
•Siempre valide las copias de seguridad para garantizar la integridad de los datos y valide los
Almacenamiento
procedimientos de restauración de archivos.
•Las copias de seguridad deben transportarse a un lugar de almacenamiento externo
Seguridad
aprobado en una rotación diaria, semanal o mensual, según lo exija la política de seguridad.
•Las copias de seguridad deben protegerse con contraseñas seguras. La contraseña es
Validación
necesaria para restaurar los datos.
Network Attack Mitigations
Upgrade, Update, y Patch
A medida que se lanza un nuevo
malware, las empresas deben
mantenerse actualizadas con las últimas
versiones de software antivirus.
• La forma más efectiva de mitigar un
ataque de gusano es descargar
actualizaciones de seguridad del
proveedor del sistema operativo y
parchear todos los sistemas
vulnerables.
• Una solución para la administración
de parches de seguridad críticos es
asegurarse de que todos los sistemas
finales descarguen actualizaciones
automáticamente.
Network Attack Mitigations
Autenticación, autorización y contabilidad
Los servicios de seguridad de red de
autenticación, autorización y contabilidad
(AAA o "triple A") proporcionan el marco
principal para configurar el control de acceso
en dispositivos de red.
• AAA es una forma de controlar quién
tiene permiso para acceder a una red
(autenticar), qué acciones realizan
mientras acceden a la red (autorizar) y
hacer un registro de lo que se hizo
mientras están allí (contabilidad).
• El concepto de AAA es similar al uso de
una tarjeta de crédito. La tarjeta de
crédito identifica quién puede usarla,
cuánto puede gastar ese usuario y tiene
en cuenta en qué artículos gastó el dinero.
Network Attack Mitigations
Firewalls
Los firewalls de red residen entre dos o más
redes, controlan el tráfico entre ellos y
ayudan a evitar el acceso no autorizado.
Un firewall podría permitir el acceso
controlado de usuarios externos a servicios
específicos. Por ejemplo, los servidores
accesibles para usuarios externos
generalmente se encuentran en una red
especial denominada zona desmilitarizada
(DMZ). La DMZ permite a un administrador
de red aplicar políticas específicas para los
hosts conectados a esa red.
Network Attack Mitigations
Tipos de Firewalls
Los productos de firewall vienen empaquetados en varias formas. Estos productos
utilizan diferentes técnicas para determinar qué se permitirá o negará el acceso a una
red. Incluyen lo siguiente:
• Filtrado de paquetes : evita o permite el acceso basado en direcciones IP o MAC
• Filtrado de aplicaciones : evita o permite el acceso a tipos de aplicaciones
específicos según los números de puerto
• Filtrado de URL : evita o permite el acceso a sitios web basados en URL o
palabras clave específicas
• Inspección de paquetes con estado (SPI) : los paquetes entrantes deben ser
respuestas legítimas a las solicitudes de los hosts internos. Los paquetes no
solicitados se bloquean a menos que se permita específicamente. SPI también puede
incluir la capacidad de reconocer y filtrar tipos específicos de ataques, como la
denegación de servicio (DoS).
Network Attack Mitigations
Endpoint Security
Un punto final o host es un sistema o dispositivo informático individual que
actúa como un cliente de red. Los puntos finales comunes son computadoras
portátiles, computadoras de escritorio, servidores, teléfonos inteligentes y
tabletas.
Asegurar dispositivos de punto final es uno de los trabajos más desafiantes de
un administrador de red porque involucra la naturaleza humana. Una empresa
debe tener políticas bien documentadas y los empleados deben conocer estas
reglas.
Los empleados deben recibir capacitación sobre el uso adecuado de la red. Las
políticas a menudo incluyen el uso de software antivirus y la prevención de
intrusiones del host. Las soluciones de seguridad de punto final más completas
se basan en el control de acceso a la red.
16.4 Seguridad del
dispositivo

© 2016 Cisco and/or its affiliates. All rights reserved. Cisco

Confidential 21
Device Security
Cisco AutoSecure
La configuración de seguridad se establece en los valores predeterminados cuando se instala un
nuevo sistema operativo en un dispositivo. En la mayoría de los casos, este nivel de seguridad
es inadecuado. Para los enrutadores Cisco, la función Cisco AutoSecure se puede utilizar para
ayudar a proteger el sistema.
Además, hay algunos pasos simples que se deben seguir que se aplican a la mayoría de los
sistemas operativos:
• Los nombres de usuario y contraseñas predeterminados deben cambiarse de inmediato.
• El acceso a los recursos del sistema debe restringirse solo a las personas que están
autorizadas a usar esos recursos.
• Todos los servicios y aplicaciones innecesarios deben apagarse y desinstalarse cuando sea
posible.
• A menudo, los dispositivos enviados por el fabricante han estado almacenados en un
almacén durante un período de tiempo y no tienen instalados los parches más actualizados.
Es importante actualizar cualquier software e instalar cualquier parche de seguridad antes
de la implementación.
Device Security
Passwords
Para proteger los dispositivos de red, es importante usar contraseñas seguras. Aquí hay pautas
estándar a seguir:
• Use una contraseña de al menos ocho caracteres, preferiblemente 10 o más caracteres.
• Hacer contraseñas complejas. Incluya una combinación de letras mayúsculas y minúsculas,
números, símbolos y espacios, si está permitido.
• Evite las contraseñas basadas en la repetición, palabras comunes del diccionario, secuencias de
letras o números, nombres de usuario, nombres relativos o de mascotas, información biográfica,
como fechas de nacimiento, números de identificación, nombres de antepasados u otra información
fácilmente identificable.
• Deliberadamente escribe mal una contraseña. Por ejemplo, Smith = Smyth = 5mYth o Security =
5ecur1ty.
• Cambia las contraseñas con frecuencia. Si una contraseña se ve comprometida sin saberlo, la
ventana de oportunidad para que el actor de la amenaza use la contraseña es limitada.
• No escriba las contraseñas y las deje en lugares obvios, como en el escritorio o el monitor.
En los enrutadores Cisco, los espacios iniciales se ignoran para las contraseñas, pero los espacios
después del primer carácter no. Por lo tanto, un método para crear una contraseña segura es usar la
barra espaciadora y crear una frase compuesta de muchas palabras. Esto se llama una frase de
contraseña. Una frase de contraseña suele ser más fácil de recordar que una contraseña simple.
También es más largo y más difícil de adivinar.
Device Security
Seguridad de contraseña adicional
Hay varios pasos que se pueden tomar para
ayudar a garantizar que las contraseñas
permanezcan secretas en un enrutador y
conmutador Cisco, incluidas estas:
• Cifre todas las contraseñas de texto sin
formato con el comando service password-
encryption.
• Establezca una longitud mínima de
contraseña aceptable con el comando security
passwords min-length.
• Determine los ataques de adivinación de
contraseña de fuerza bruta con el comando
login block-for # attempts # within #.
• Deshabilite un acceso inactivo al modo EXEC
privilegiado después de un período de tiempo
especificado con el comando exec-timeout.
Device Security
Enable SSH
Es posible configurar un dispositivo Cisco para admitir SSH mediante los siguientes pasos:
1. Configure un nombre de host de dispositivo único . Un dispositivo debe tener un nombre de host único
que no sea el predeterminado.
2. Configure el nombre de dominio IP . Configure el nombre de dominio IP de la red utilizando el comando
de modo de configuración global ip-domain name .
3. Genere una clave para cifrar el tráfico SSH . SSH cifra el tráfico entre el origen y el destino. Sin
embargo, para hacerlo, se debe generar una clave de autenticación única utilizando el comando de
configuración global crypto key generate rsa general-keys modulus bits . Los bits
de módulo determinan el tamaño de la clave y se pueden configurar de 360 bits a 2048 bits. Cuanto mayor
sea el valor de bit, más segura será la clave. Sin embargo, los valores de bits más grandes también tardan
más en cifrar y descifrar información. La longitud mínima recomendada del módulo es de 1024 bits.
4. Verifique o cree una entrada de base de datos local . Cree una entrada de nombre de usuario de base de
datos local utilizando el comando de configuración global username.
5. Autenticar contra la base de datos local . Utilice el comando de configuración de línea login local para
autenticar la línea vty en la base de datos local.
6. Habilite las sesiones vty SSH entrantes . Por defecto, no se permite ninguna sesión de entrada en las
líneas vty. Puede especificar múltiples protocolos de entrada, incluidos Telnet y SSH, utilizando el
comando transport input [ssh | telnet] .
Device Security
Desactiva los servicios no utilizados
Los enrutadores y conmutadores de Cisco comienzan con una lista de servicios
activos que pueden o no ser necesarios en su red. Desactive los servicios no
utilizados para preservar los recursos del sistema, como los ciclos de CPU y la
RAM, y evite que los actores de amenazas exploten estos servicios.
• El tipo de servicios que están activados de manera predeterminada variará según la
versión del IOS. Por ejemplo, IOS-XE normalmente solo tendrá abiertos los puertos
HTTPS y DHCP. Puede verificar esto con el comando show ip ports all .
• Las versiones de IOS anteriores a IOS-XE usan el comando show control-plane
host open-ports .
Device Security
Packet Tracer – Configure Secure Passwords and SSH
In this Packet Tracer, you will configure passwords and SSH:
• The network administrator has asked you to prepare RTA and
SW1 for deployment. Before they can be connected to the
network, security measures must be enabled.
Device Security
Lab – Configure Network Devices with SSH
In this lab, you will complete the following objectives:
• Part 1: Configure Basic Device Settings
• Part 2: Configure the Router for SSH Access
• Part 3: Configure the Switch for SSH Access
• Part 4: SSH from the CLI on the Switch
16.5 Módulo de práctica y
cuestionario

© 2016 Cisco and/or its affiliates. All rights reserved. Cisco

Confidential 29
Module Practice and Quiz
Packet Tracer – Secure Network Devices
In this activity you will configure a router and a switch based on a list of
requirements.
Module Practice and Quiz
Lab – Secure Network Devices
In this lab, you will complete the following objectives:
• Configure Basic Device Settings
• Configure Basic Security Measures on the Router
• Configure Basic Security Measures on the Switch
Module Practice and Quiz
¿Qué aprendí en este módulo?
• Una vez que el actor de la amenaza obtiene acceso a la red, pueden surgir cuatro tipos
de amenazas: robo de información, pérdida y manipulación de datos, robo de identidad
e interrupción del servicio.
• Hay tres vulnerabilidades o debilidades principales: tecnología, configuración y política
de seguridad.
• Las cuatro clases de amenazas físicas son: hardware, medio ambiente, electricidad y
mantenimiento.
• Malware es la abreviatura de software malicioso. Es un código o software diseñado
específicamente para dañar, interrumpir, robar o infligir acciones "malas" o ilegítimas
en los datos, hosts o redes. Los virus, gusanos y caballos de Troya son tipos de
malware.
• Los ataques a la red se pueden clasificar en tres categorías principales:
reconocimiento, acceso y denegación de servicio.
• Para mitigar los ataques a la red, primero debe proteger los dispositivos, incluidos
enrutadores, conmutadores, servidores y hosts. La mayoría de las organizaciones
emplean un enfoque de defensa en profundidad para la seguridad. Esto requiere una
combinación de dispositivos y servicios de red que trabajen juntos.
• Se implementan varios dispositivos y servicios de seguridad para proteger a los
usuarios y activos de una organización contra las amenazas TCP / IP: VPN, firewall
ASA, IPS, ESA / WSA y servidor AAA..
Module Practice and Quiz
¿Qué aprendí en este módulo?(Cont.)
• Los dispositivos de infraestructura deben tener copias de seguridad de los archivos
de configuración e imágenes IOS en un servidor de archivos FTP o similar. Si la
computadora o el hardware de un enrutador falla, los datos o la configuración se
pueden restaurar utilizando la copia de seguridad.
• La forma más efectiva de mitigar un ataque de gusano es descargar
actualizaciones de seguridad del proveedor del sistema operativo y parchear todos
los sistemas vulnerables. Para administrar parches de seguridad críticos, para
asegurarse de que todos los sistemas finales descarguen actualizaciones
automáticamente.
• AAA es una forma de controlar quién puede acceder a una red (autenticar), qué
pueden hacer mientras están allí (autorizar) y qué acciones realizan al acceder a la
red (contabilidad).
• Los firewalls de red residen entre dos o más redes, controlan el tráfico entre ellos y
ayudan a evitar el acceso no autorizado.
• Asegurar dispositivos de punto final es crítico para la seguridad de la red. Una
empresa debe tener políticas bien documentadas, que pueden incluir el uso de
software antivirus y la prevención de intrusiones del host. Las soluciones de
seguridad de punto final más completas se basan en el control de acceso a la red.
Module Practice and Quiz
¿Qué aprendí en este módulo?(Cont.)
• Para los enrutadores Cisco, la función Cisco AutoSecure se puede utilizar para
ayudar a proteger el sistema. Para la mayoría de los sistemas operativos, los
nombres de usuario y contraseñas predeterminados deben cambiarse de
inmediato, el acceso a los recursos del sistema debe restringirse solo a las
personas autorizadas para usar esos recursos, y los servicios y aplicaciones
innecesarios deben desactivarse y desinstalarse cuando sea posible.
• Para proteger los dispositivos de red, es importante usar contraseñas seguras.
Una frase de contraseña suele ser más fácil de recordar que una contraseña
simple. También es más largo y más difícil de adivinar.
• Para los enrutadores y conmutadores, encripte todas las contraseñas de texto sin
formato, establezca una longitud de contraseña mínima aceptable, impida los
ataques de adivinación de contraseña de fuerza bruta y desactive un acceso de
modo EXEC privilegiado inactivo después de un período de tiempo especificado.
• Configure los dispositivos apropiados para admitir SSH y deshabilite los servicios
no utilizados.
Module 16: Network Security Fundamentals
New Terms and Commands
• threat actor • service password-encryption

• malware • security passwords min-length

• reconnaissance attacks • login block-for

• access attacks • exec-timeout

• defense-in-depth • crypto key generate rsa general-keys

modulus
• authentication, authorization, and
accounting (AAA) • username password | secret

• demilitarized zone (DMZ) • login local

• Cisco AutoSecure • transport input ssh

• passphrase • show ip ports all

• show control-plan host open-ports