Campus
Diagrama de temas
-
-
1.0.2 ¿Qué aprenderé en este módulo?
Este módulo contiene lo siguiente:
- 2 Videos
- 1 Práctica de Laboratorio
- 1 Actividad de Packet Tracer
- 2 Actividades de Verifique su Comprensión
- 1 Prueba del Módulo
Título del módulo: Comprendiendo qué es Defensa
Objetivo del módulo: Explicar enfoques para la defensa de seguridad de la red.
Título del tema Objetivo del tema Defensa en profundidad Explicar cómo se utiliza la estrategia de defensa en profundidad para proteger las redes. Gestión de operaciones de ciberseguridad Explicar cómo una organización supervisa las amenazas de ciberseguridad. Políticas, reglamentos y normas de seguridad Explicar las políticas, reglamentos y normas de seguridad.
-
1.1.1 Activos, vulnerabilidades y amenazas
Los analistas de ciberseguridad deben prepararse para cualquier tipo de ataque. Es su trabajo proteger los activos de la red de la organización. Para ello, los analistas de ciberseguridad deben identificar primero lo siguiente:
- Activos - Cualquier cosa de valor para una organización que deba protegerse, incluidos servidores, dispositivos de infraestructura, dispositivos finales y el mayor activo, los datos.
- Vulnerabilidades - Una debilidad en un sistema o en su diseño que podría ser aprovechada por un atacante.
- Amenazas - Cualquier peligro potencial para un activo.
1.1.2 Identificar los activos
A medida que una organización crece, también lo hacen sus activos, por lo que es posible imaginar la cantidad de activos que debe proteger una organización de gran tamaño. Las organizaciones también pueden adquirir otros activos mediante fusiones con otras empresas. Como resultado, muchas organizaciones solamente tienen una idea general de los activos que necesitan proteger.
Los activos son el conjunto de todos los dispositivos y la información que la organización posee o administra. Los activos constituyen la superficie de ataque a la que podrían apuntar los agentes de amenaza. Estos activos deben inventariarse y evaluarse a fin de determinar el nivel de protección necesario para frustrar posibles ataques.
La administración de activos consiste en inventariar todos los activos y, luego, desarrollar e implementar políticas y procedimientos para protegerlos. Esta tarea puede ser agotadora si se tiene en cuenta que muchas organizaciones deben proteger usuarios y recursos internos, trabajadores móviles y servicios virtuales y basados en la nube.
Además, las organizaciones necesitan identificar dónde se almacenan los activos de información fundamentales, y cómo se obtiene acceso a dicha información. Los activos de información varían, al igual que las amenazas contra ellos. Por ejemplo, es posible que una tienda minorista almacene información de las tarjetas de crédito de los clientes. Una empresa de ingeniería almacenará software y diseños que no debe ver la competencia. Un banco almacenará los datos del cliente, información de la cuenta y otra información financiera confidencial. Cada uno de estos activos puede atraer distintos agentes de amenaza que tienen distintos niveles de habilidad y motivaciones.
1.1.3 Avatar
Estoy impresionado con su trabajo hasta ahora, aprendiz. Enfrentar un incidente de ciberseguridad es un desafío, pero mantuvo la calma y minimizó el impacto del incidente ayudando a @Apollo a reaccionar de manera rápida y eficaz.
Ha sido ascendido y ahora puede apoyar con la tarea más compleja de gestión de activos y riesgos en @Apollo. Hacerlo bien tendrá un gran impacto en la seguridad general de la organización.
Desplácese hacia abajo para comenzar.
1.1.4 Clasificación de los activos
La clasificación de activos asigna los recursos de una organización en grupos según características comunes. La información más importante debe recibir el mayor nivel de protección e incluso puede requerir un manejo especial.
Se puede utilizar un sistema de etiquetado para determinar el valor, la sensibilidad y la importancia de la información.Paso 1
Determine la categoría de identificación de activos correcta.
- Activos de información
- Activos de software
- Activos físicos
- Servicios
Paso 2
Establezca la responsabilidad de los activos identificando al propietario de cada activo de información y cada pieza de software:
- Identifique al propietario de todos los activos de información
- Identifique al propietario de todo el software de aplicaciones
Paso 3
Determine los criterios de clasificación.
- Confidencialidad
- Valor
- Tiempo
- Derechos de acceso
- Destrucción
Paso 4
Implemente un esquema de clasificación.
- Adoptar una forma consistente de identificar la información para garantizar una protección uniforme y facilitar el control.
1.1.5 Estandarización de activos
Los estándares de activos identifican productos de hardware y software específicos utilizados por una organización.
Cuando ocurre una falla, actuar inmediatamente ayuda a mantener tanto el acceso como la seguridad. Si una organización no estandariza su selección de hardware, el personal deberá esforzarse por encontrar los componentes de repuesto. Los entornos no estandarizados requieren más experiencia para su administración y aumentan el costo de los contratos de mantenimiento e inventario.
1.1.6 Etapas del ciclo de vida de los activos
Para los especialistas en ciberseguridad, parte del trabajo consiste en administrar los recursos de información y los sistemas relacionados durante todo el ciclo de vida de los recursos.
1.1.7 Su turno
@Apollo le ha pedido que administre algunos de sus recursos. ¿Puede identificar la etapa del ciclo de vida de cada uno?
1.1.8 Identificación de vulnerabilidades
La identificación de amenazas le brinda a una organización una lista de probables amenazas en un entorno determinado. Para identificar las amenazas, es importante hacerse varias preguntas:
- ¿Cuáles son las posibles vulnerabilidades de un sistema?
- ¿Quién podría aprovechar estas vulnerabilidades para obtener acceso a activos de información específicos?
- ¿Cuáles serían las consecuencias si alguien aprovecha vulnerabilidades del sistema y se pierden activos?
Amenazas de banca electrónica identificadas
La identificación de amenazas para un sistema de banca electrónica incluiría lo siguiente:
- Compromiso del sistema interno - El atacante utiliza los servidores de banca electrónica expuestos para entrar en un sistema bancario interno.
- Robo de datos de clientes - Un atacante roba los datos personales y financieros de los clientes del banco de la base de datos de clientes.
- Transacciones falsas desde un servidor externo - Un atacante altera el código de la aplicación de banca electrónica y realiza transacciones haciéndose pasar por un usuario legítimo.
- Transacciones falsas con una tarjeta inteligente o un PIN robados - Un atacante roba la identidad de un cliente y realiza transacciones maliciosas desde la cuenta robada.
- Ataque al sistema desde el interior - Un empleado del banco encuentra una falla en el sistema y la aprovecha para iniciar un ataque.
- Errores de ingreso de datos - Un usuario ingresa datos incorrectos o realiza solicitudes de transacciones incorrectas.
- Destrucción del centro de datos - Un evento catastrófico daña gravemente o destruye el centro de datos.
1.1.9 Identificar amenazas
Las organizaciones deben emplear un enfoque de defensa profunda para identificar amenazas y asegurar activos vulnerables. En este enfoque se utilizan varias capas de seguridad en el perímetro de la red, dentro de la red y en los terminales de la red.
Para ver un ejemplo, consulte la ilustración.
Enfoque de defensa en profundidad
La ilustración de esta diapositiva muestra una topología simple de un enfoque de defensa en profundidad.
- Router de borde - La primera línea de defensa se conoce como router de borde (R1 en la figura). El router perimetral tiene un conjunto de reglas que especifica el tráfico autorizado y denegado, y pasa por el firewall todas las conexiones destinadas a la red LAN interna.
- Firewall - La segunda línea de defensa es el firewall. El firewall es un dispositivo de control que efectúa un filtrado adicional y rastrea el estado de las conexiones. Deniega el inicio de conexiones desde las redes externas (no confiables) a la red interna (confiable) mientras permite que los usuarios internos establezcan conexiones bidireccionales con las redes no confiables. También puede realizar la autenticación de usuario (proxy de autenticación) para otorgarles a los usuarios remotos externos acceso a recursos de la red interna.
- Router interno - Otra línea de defensa es el router interno (R2 en la imagen). Puede aplicar las reglas de filtrado finales en el tráfico antes de que se reenvíe a su destino.
En el enfoque de seguridad de defensa en profundidad por capas, las diferentes capas trabajan juntas para crear una arquitectura de seguridad en la que la falla de una capa de protección no afecte la eficacia de las demás.1.1.10 Security Onion y Security Artichoke
Hay dos analogías comunes que se utilizan para describir un enfoque de defensa en profundidad.
1.1.11 Estrategias de defensa en profundidad
Si una organización solo cuenta con una medida de seguridad para proteger los datos y la información, los ciberdelincuentes solo deben superar esa única defensa para robar información o causar otro daño. Para garantizar la disponibilidad de los datos y la información, una organización debe elaborar distintos niveles de protección.
-
1.2.1 Avatar
Una buena administración operativa es clave para mantener un alto nivel de seguridad en todas las organizaciones, por lo que @Apollo debe conocer algunos procesos y procedimientos de administración importantes.
Comenzaremos analizando los requisitos de administración de la configuración.
1.2.2 Administración de la configuración
La gestión de la configuración se refiere a identificar, controlar y auditar la implementación y cualquier cambio realizado en la línea de base establecida de un sistema.
La configuración de referencia incluye todos los ajustes que se configuran para un sistema que proporciona la base para todos los sistemas similares ─como una especie de plantilla─.
Por ejemplo, los responsables de desplegar estaciones de trabajo Windows a los usuarios deben instalar las aplicaciones necesarias y establecer los ajustes del sistema según una configuración documentada. Esta es la configuración de referencia para las estaciones de trabajo con Windows dentro de esta organización.
1.2.3 Archivos de registro
Un registro registra todos los eventos a medida que ocurren. Las entradas de registro conforman el archivo de registro y contienen toda la información relacionada con un evento específico. Los registros precisos y completos son muy importantes en ciberseguridad.
Por ejemplo, un registro de auditoría sigue los intentos de autenticación del usuario y un registro de acceso proporciona todos los datos de solicitudes de archivos específicos en un sistema. Por lo tanto, monitorear los registros del sistema nos ayudará a determinar cómo ocurrió un ataque y cuáles de las defensas implementadas tuvieron éxito y cuáles no.
Dado que cada vez se genera un mayor número de archivos de registro con fines de seguridad informática, las organizaciones deberían considerar un proceso de gestión de registros. La administración de datos de registro de seguridad informática debe determinar los procedimientos para lo siguiente:
- Generación de archivos de registro
- Transmisión de archivos de registro
- Almacenamiento de archivos de registro
- Análisis de los datos de registro
- Eliminación de los datos de registro
1.2.4 Registros del sistema operativo y registros de seguridad de aplicaciones
Registros del sistema operativo:
Los registros del sistema operativo registran eventos vinculados a acciones que tienen que ver con el sistema operativo. Los eventos del sistema incluyen lo siguiente:
- Las solicitudes de clientes y las respuestas de servidores, como autenticaciones de usuario exitosas.
- Información de uso que contiene la cantidad y el tamaño de las transacciones en un período determinado.
Registro de seguridad de la aplicación:
Las organizaciones utilizan software de seguridad basado en la red y/o en el sistema para detectar actividades maliciosas.
Este software genera un registro de seguridad para proporcionar datos de seguridad informática. Estos registros son útiles para realizar análisis de auditoría e identificar tendencias y problemas a largo plazo. Los registros además permiten que una organización proporcione documentación que evidencie el cumplimiento de las leyes y los requisitos normativos.
1.2.5 Analizadores de protocolo
Los analizadores de paquetes, también conocidos como packet sniffers, interceptan y registran el tráfico de la red.
El analizador de paquetes captura cada paquete, mira los valores de varios campos del paquete y analiza su contenido. Puede capturar el tráfico de red tanto en redes cableadas como inalámbricas.
Los analizadores de paquetes realizan las siguientes funciones:
- Registro del tráfico.
- Análisis de problemas de red.
- Detección de usos indebidos de la red.
- Detección de intentos de intrusión en la red.
- Aislamiento de los sistemas vulnerados.
1.2.6 Avatar
@Apollo acaba de ponerse en contacto… Han encontrado dos archivos de registro diferentes, pero necesitan ayuda para identificarlos.
Esta es una excelente manera de mostrar sus conocimientos. ¿Seguro que puedes ayudar?-
CuestionarioRecibir una calificación
-
1.3.1 Políticas de la empresa
Política
Descripción
Políticas de la empresa
- Estas políticas establecen las normas de conducta y las responsabilidades tanto de los empleados como de los empresarios.
- Las políticas protegen los derechos de los trabajadores, así como los intereses comerciales de los empleadores.
- Dependiendo de las necesidades de la organización, diversas políticas y procedimientos establecen normas relativas a la conducta de los empleados, la asistencia, el código de vestimenta, la privacidad y otras áreas relacionadas con los términos y condiciones de empleo.
Políticas para los empleados
- Estas políticas son creadas y mantenidas por el personal de recursos humanos para identificar el salario de los empleados, el calendario de pagos, los beneficios de los empleados, el horario de trabajo, las vacaciones y más.
- Suelen entregarse a los nuevos empleados para que las revisen y las firmen.
Políticas de seguridad
- Estas políticas identifican un conjunto de objetivos de seguridad para una empresa, definen las reglas de comportamiento para los usuarios y administradores, y especifican los requisitos del sistema.
- Estos objetivos, reglas y requisitos garantizan colectivamente la seguridad de una red y de los sistemas informáticos de una organización.
- Al igual que un plan de continuidad, una política de seguridad es un documento en constante evolución basado en los cambios en el panorama de las amenazas, las vulnerabilidades y los requisitos de la empresa y los empleados.
1.3.2 Política de seguridad
Una política de seguridad integral tiene varios beneficios:
- Demuestra el compromiso de una organización con la seguridad
- Establece las reglas del comportamiento esperado
- Garantiza la uniformidad en las operaciones del sistema, el software y la adquisición y uso de hardware, y el mantenimiento
- Define las consecuencias legales de las violaciones
- Brinda al personal de seguridad el respaldo para la administración
En la siguiente tabla se mencionan las políticas que pueden incluirse en una directiva de seguridad.
Política Descripción Política de identificación y autenticación Especifica las personas autorizadas que pueden tener acceso a los recursos de la red y los procedimientos de verificación de la identidad.
Política de contraseñas Garantiza que las contraseñas cumplan los requisitos mínimos y se cambien regularmente.
Política de uso aceptable (AUP) Identifica las aplicaciones y usos de la red que son aceptables para la organización. También puede identificar las ramificaciones si se viola esta política.
Política de acceso remoto Identifica cómo los usuarios remotos pueden acceder a una red y a qué se puede acceder a través de la conectividad remota.
Política de mantenimiento de la red Especifica los sistemas operativos de los dispositivos de red y los procedimientos de actualización de las aplicaciones de los usuarios finales.
Procedimientos de gestión de incidentes Describe cómo se gestionan los incidentes de seguridad.
Uno de los componentes más comunes de la política de seguridad es una Política de Uso Aceptable (AUP) también denominada política de uso adecuado. Este componente define qué pueden y no pueden hacer los usuarios en los distintos componentes del sistema. Esto incluye el tipo de tráfico que se autoriza en la red. La AUP debe ser lo más explícita posible para evitar la malinterpretación.
Por ejemplo, una AUP puede especificar páginas web, grupos informativos o aplicaciones de uso intensivo de ancho de banda a los que los usuarios tengan prohibido el acceso utilizando las computadoras o la red de la empresa. Todos los empleados deben firmar una AUP y las AUP firmadas deben conservarse durante el término del empleo.1.3.3 – Políticas BYOD (Bring Your Own Device)
Hoy en día, muchas organizaciones también deben admitir el uso de dispositivos propios (BYOD, Bring Your Own Device). Esto les permite a los empleados utilizar sus propios dispositivos móviles para tener acceso a sistemas, software, redes o información de la empresa. BYOD supone numerosos beneficios clave para las empresas, como el aumento de la productividad, la reducción de costos operacionales y de TI, la optimización de la movilidad para los empleados y mayor atractivo a la hora de contratar y retener empleados.
Sin embargo, estas ventajas también presentan un aumento en el riesgo que corre la seguridad de la información, ya que BYOD puede conducir a violaciones de datos y a una mayor responsabilidad para la organización.
Es necesario desarrollar una política de seguridad de BYOD para lograr lo siguiente:
- Especificar los objetivos del programa BYOD.
- Identificar qué empleados pueden traer sus propios dispositivos.
- Identificar los dispositivos que se admitirán.
- Identificar el nivel de acceso que se otorgará a los empleados cuando utilicen dispositivos personales.
- Describir los derechos de acceso y las actividades autorizadas al personal de seguridad en el dispositivo.
- Identificar qué normas deben respetarse cuando los empleados utilicen sus dispositivos.
- Identificar medidas de seguridad para poner en marcha si un dispositivo está en riesgo.
Mejores prácticas
Descripción
Acceso protegido por contraseña
Utilice contraseñas únicas para cada dispositivo y cuenta.
Controle manualmente la conectividad inalámbrica
Desactive la conectividad Wi-Fi y Bluetooth cuando no la utilice. Conéctese solo a redes de confianza.
Manténgase actualizado
Mantenga siempre actualizado el sistema operativo del dispositivo y el resto del software. El software actualizado suele contener parches de seguridad para mitigar las últimas amenazas o exploits.
Haga una copia de seguridad de los datos
Habilite una copia de seguridad del dispositivo en caso de pérdida o robo.
Habilite “Buscar mi dispositivo”.
Suscríbase a un servicio de localización de dispositivos con función de borrado remoto.
Proporcione software antivirus
Proporcione software antivirus para los dispositivos BYOD aprobados.
Utilice software de gestión de dispositivos móviles (MDM)
El software MDM permite a los equipos de TI implementar ajustes de seguridad y configuraciones de software en todos los dispositivos que se conectan a las redes de la empresa.
1.3.4 Cumplimiento de reglamentos y normas
También hay reglas externas en materia de seguridad de la red. Los profesionales de seguridad de la red deben estar familiarizados con las leyes y los códigos de ética obligatorios para los profesionales de la seguridad de los sistemas de información (INFOSEC, Information Systems Security).
También hay reglas externas en materia de seguridad de la red. Los profesionales de seguridad de la red deben estar familiarizados con las leyes y los códigos de ética obligatorios para los profesionales de la seguridad de los sistemas de información (INFOSEC, Information Systems Security).
Muchas organizaciones deben desarrollar e implementar políticas de seguridad. Las reglas de cumplimiento definen qué organizaciones deben hacerlo y qué responsabilidad tienen si no las cumplen. Las reglas de cumplimiento que una organización está obligada a seguir dependen del tipo de organización y de los datos que maneja. Las reglas de cumplimiento específicas se analizarán más adelante en el curso. -
1.4.1 ¿Qué aprendí en este módulo?
-
Recibir una calificación
-
- 2 Videos
-
2.0.1 ¿Por qué debería tomar este módulo?
Este módulo se centra en la gestión de las operaciones de ciberseguridad, que implica el diseño, la construcción, el funcionamiento y el crecimiento continuo de la capacidad de seguridad completa de una organización. La seguridad física de los equipos en una red es la primera línea de defensa. Las medidas de seguridad de las aplicaciones están diseñadas para proteger el software. Los servicios de red y los protocolos tienen sus propias vulnerabilidades y, por lo tanto, sus propias técnicas para protegerlos. La segmentación es otra forma de fortalecer una red mediante la creación de VLAN. Para proteger las conexiones inalámbricas y móviles de sus usuarios utilice uno de los estándares WPA. Existen varias herramientas para garantizar la resiliencia de la ciberseguridad en el diseño de red. Por último, es importante que usted, como técnico de ciberseguridad, sea consciente de las muchas otras cosas que están conectadas, incluidos los dispositivos médicos, los coches y los drones. Todos ellos son susceptibles de ser atacados y deben ser protegidos. Toda organización debe tener capas de mecanismos y controles de seguridad para responder a las amenazas de ciberseguridad, y aquí aprenderá cómo se pueden gestionar y supervisar para detectar los riesgos y protegerse contra los ciberataques.
2.0.2 ¿Qué aprenderé en este módulo?
Este módulo contiene lo siguiente:
- 2 Videos
- 1 Práctica de Laboratorio
- 2 Actividades de Packet Tracer
- 1 Actividad 'Verifique su comprensión'
- 1 Prueba del Módulo
Título del módulo: Defensa del sistema y de la red
Objetivo del módulo: Poner en práctica algunos de los diversos aspectos de la defensa de sistemas y redes.
Título del tema Objetivo del tema Seguridad física Explicar cómo se implementan las medidas de seguridad física para proteger los equipos de red. Seguridad de las aplicaciones Explicar cómo se aplican las medidas de seguridad de las aplicaciones. Fortalecimiento de la red: Servicios y protocolos Explicar cómo fortalecer los servicios y protocolos de la red. Fortalecimiento de la red: Segmentación Explicar cómo la segmentación de la red puede ayudarle a endurecerla. Fortalecimiento de dispositivos inalámbricos y móviles Configurar el fortalecimiento y la seguridad de los routers inalámbricos. Resiliencia de la ciberseguridad Explicar la seguridad física con dispositivos loT. Sistemas embebidos y especializados Implementar la seguridad física con dispositivos loT.
-
2.1.1 Avatar
@Apollo tiene videovigilancia configurada en cada una de sus oficinas, pero hay muchas otras medidas de seguridad física que las organizaciones pueden utilizar. Exploremos más a fondo.
2.1.2 Cercas y barreras físicas
Las barricadas o el vallado suelen ser lo primero que se nos ocurre cuando pensamos en tipos de seguridad física.
En muchas situaciones, son la capa de defensa más externa y la más visible. Todas las barreras físicas deben cumplir con los requisitos específicos de diseño y con las especificaciones de los materiales.Las zonas de alta seguridad suelen requerir una 'protección superior' tal como alambre de púas o concertinas. Los protectores superiores actúan como un elemento disuasorio adicional y pueden retrasar al intruso causándole graves lesiones. Sin embargo, los atacantes pueden utilizar una manta o un colchón para aliviar esta amenaza.
Las regulaciones locales pueden restringir el tipo de sistema de cercado que una organización puede usar y es importante recordar que las cercas requieren un mantenimiento regular. Los animales pueden cavar debajo de la cerca o la tierra puede socavarse y dejar la cerca inestable, lo que proporcionará un acceso sencillo al intruso. Los sistemas de cercado deberían ser inspeccionados regularmente.
Además, los vehículos nunca deben estacionarse cerca de una cerca de seguridad, ya que esto podría ayudar al intruso a trepar o causar daños a la cerca.2.1.3 Biometría
La biometría refiere a las características fisiológicas o de comportamiento de un individuo, y existen prácticas de seguridad basadas en la identificación y la concesión de acceso mediante la biometría.
2.1.4 Vigilancia
Todos los controles de acceso físico, incluidos los sistemas de disuasión y detección, dependen en última instancia de la intervención del personal para detener el ataque o la intrusión real.
Aquí está el área de recepción en @Apollo.
2.1.5 Avatar
¡Oh, no! El sistema de vigilancia se ha caído en @Apollo ...
¡Rápido! Vamos a tener que ayudar a @Apollo a protegerse…
2.2.10 Gestión de amenazas a las aplicaciones
Las organizaciones pueden implementar diversas medidas para manejar las amenazas al dominio de aplicación.
-
Recibir una calificación
-
-
2.2.1 Avatar
Una parte clave de la protección de una organización implica la protección de las aplicaciones, los sitios web y los servicios en línea que desarrolla y utiliza.
La seguridad debe ser la máxima prioridad al desarrollar, probar e implementar aplicaciones.
2.2.2 Desarrollo de aplicaciones
Para mantener la seguridad en todas las etapas del desarrollo de aplicaciones es necesario seguir un proceso sólido.
2.2.3 Técnicas de codificación de seguridad
Al codificar aplicaciones, los desarrolladores utilizan varias técnicas para validar que se hayan cumplido todos los requisitos de seguridad.
Normalización:
La normalización se utiliza para organizar los datos en una base de datos y ayudar a mantener la integridad de los mismos. La normalización convierte una cadena de entrada a su forma más simple conocida para garantizar que todas las cadenas tengan representaciones binarias únicas y que se identifique cualquier entrada maliciosa.
Stored procedure:
Un stored procedure es un grupo de instrucciones SQL precompiladas almacenadas en una base de datos que ejecuta una tarea. Si utiliza un stored procedure para aceptar parámetros de entrada de clientes que utilizan datos de entrada diferentes, reducirá el tráfico de red y obtendrá resultados más rápidos.
Ofuscación y camuflaje:
Un desarrollador puede utilizar la ofuscación y el camuflaje para evitar que el software sea objeto de ingeniería inversa. La ofuscación oculta los datos originales con caracteres o datos aleatorios. El camuflaje sustituye los datos sensibles por datos ficticios realistas.
Reutilización de código:
La reutilización del código significa utilizar el software existente para construir un nuevo software, ahorrando tiempo y costos de desarrollo. Sin embargo, hay que tener cuidado para evitar la introducción de vulnerabilidades.
SDK:
Las bibliotecas de terceros y los kits de desarrollo de software (SDK) proporcionan un repositorio de código útil para que el desarrollo de aplicaciones sea más rápido y barato. El inconveniente es que cualquier vulnerabilidad en los SDK o en las bibliotecas de terceros puede afectar potencialmente a muchas aplicaciones.
2.2.4 Avatar
Los ciberdelincuentes suelen apuntar a información confidencial almacenada en bases de datos. La implementación de prácticas de seguridad de aplicaciones ayuda a proteger las bases de datos contra ataques. Veamos esto más detalladamente.
2.2.5 Validación de entrada
Una parte clave de la protección de una organización implica la protección de las aplicaciones, los sitios web y los servicios en línea que desarrolla y utiliza.
La seguridad debe ser la máxima prioridad al desarrollar, probar e implementar aplicaciones.
Los ciberdelincuentes suelen apuntar a información confidencial almacenada en bases de datos. La implementación de prácticas de seguridad de aplicaciones ayuda a proteger las bases de datos contra ataques. Veamos esto más detalladamente.
La control del proceso de introducción de datos es fundamental para mantener la integridad de la base de datos. Muchos ataques se ejecutan contra una base de datos e insertan datos con formato incorrecto. Estos ataques pueden confundir, bloquear o hacer que la aplicación divulgue demasiada información al atacante. Desplácese hacia abajo para ver un ejemplo - en este caso, un ataque de entrada automatizado.
2.2.6 Reglas de validación
Una regla de validación verifica que los datos se incluyan en los parámetros definidos por el diseñador de la base de datos. Una regla de validación ayuda a garantizar la integridad, la precisión y la coherencia de los datos. Los criterios utilizados en una regla de validación incluyen los siguientes:
- Tamaño: Controla la cantidad de caracteres en un elemento de datos
- Formato: Controla que los datos se ajusten a un formato específico
- Coherencia: Controla la coherencia de los códigos en los elementos de datos relacionados
- Rango: Controla que los datos se encuentran dentro de un valor mínimo y un valor máximo
- Dígito de control: Proporciona un cálculo adicional para generar un dígito de control para la detección de errores.
1. Multiplique el primer dígito del ISBN por 10, el segundo dígito por 9… el noveno dígito por 2.
1x10 = 10
5 x9 = 45
8 x 8 = 64
7 x 7 = 49
1 x 6 = 6
4 x 5 = 20
3 x 4 = 12
7 x 3 = 21
3 x 2 = 62. Sume todos los números.
10 + 45 + 64 + 49 + 6 + 20 + 12 + 21 + 6 = 2333. El dígito de control es el número necesario para que el total se sume a un múltiplo de 11.
Sume 9 a 233 para ser igual a 242, un múltiplo de 112.2.7 Controles de integridad
Los datos comprometidos pueden poner en riesgo la seguridad de sus dispositivos y sistemas.
Un control de integridad puede medir la consistencia de los datos en un archivo, imagen o registro para garantizar que no se hayan dañado. El control de integridad realiza una función hash para tomar una instantánea de los datos y luego utiliza esta instantánea para garantizar que los datos permanezcan sin cambios. Un checksum es un ejemplo de una función de hash.Cómo funciona un checksum (suma de control):
Una suma de comprobación verifica la integridad de los archivos, o cadenas de caracteres, antes y después de que se transfieran entre dispositivos a través de una red local o de Internet. Las sumas de comprobación convierten cada pieza de información en un valor y suman el total. Para comprobar la integridad de los datos, un sistema receptor repite el proceso. Si las dos sumas son iguales, los datos son válidos. De lo contrario, se produjo un cambio en algún punto de la línea.
Funciones de hash:
Las funciones de hash comunes incluyen MD5, SHA-1, SHA-256 y SHA-512. Utilizan complejos algoritmos matemáticos para comparar los datos con un valor hash. Por ejemplo, después de descargar un archivo, el usuario puede verificar la integridad del mismo comparando los valores hash de la fuente con los generados por cualquier calculadora de hash.
Control de versiones:
Las organizaciones utilizan el control de versiones para evitar que los usuarios autorizados realicen cambios accidentales. El control de versiones significa que dos usuarios no pueden actualizar el mismo objeto, como un archivo, registro de base de datos o transacción, exactamente al mismo tiempo. Por ejemplo, el primer usuario que abre un documento tiene permiso para modificarlo; la segunda persona que intente abrirlo mientras el primer usuario sigue trabajando en él sólo podrá acceder a una versión de solo lectura.
Copias de respaldo:
Las copias de respaldo precisas permiten mantener la integridad de datos si los datos se dañan. Una organización necesita verificar su proceso de copia de seguridad para garantizar la integridad de la misma.
Authorization:
La autorización determina quién tiene acceso a los recursos de una organización según lo que necesita saber. Por ejemplo, los permisos de archivos y los controles de acceso del usuario garantizan que solo ciertos usuarios pueden modificar los datos. Un administrador puede configurar permisos de solo lectura para un archivo. Como resultado, un usuario con acceso a ese archivo no puede realizar ningún cambio.
2.2.8 Otras prácticas de seguridad de las aplicaciones
¿Cómo puede estar seguro de que un software que está instalando es auténtico o de que la información está segura al navegar por Internet?
2.2.9 Gestión de amenazas a las aplicaciones
Las organizaciones pueden implementar diversas medidas para manejar las amenazas al dominio de aplicación.
-
CuestionarioRecibir una calificación
-
2.3.1 Avatar
Las vulnerabilidades de la red dejarán a @Apollo abierto a ataques y podrían exponer a la organización y a sus clientes. Es importante fortalecer las redes para reducir la cantidad de ataques contra ellas. En primer lugar, se trata de proteger servicios y protocolos.
2.3.2 Servicios de red y enrutamiento
Los ciberdelincuentes usan servicios de red vulnerables para atacar un dispositivo o usarlo como parte de un ataque. Para verificar si existen servicios de red inseguros, revise el dispositivo y busque puertos abiertos mediante un escáner de puertos. Un escáner de puertos envía un mensaje a cada puerto y espera una respuesta que indique cómo se utiliza el puerto y si está abierto.
¡Pero cuidado, los ciberdelincuentes también utilizan los escáneres de puertos por esta misma razón! Proteger los servicios de red garantiza que solo los puertos necesarios estén expuestos y disponibles.2.3.3 Telnet, SSH y SCP
Secure Shell (SSH) es un protocolo que proporciona una conexión remota segura (cifrada) a un dispositivo. Telnet es un protocolo más antiguo que utiliza texto sin formato no seguro al autenticar un dispositivo (nombre de usuario y contraseña) y transmitir datos. Se debería usar SSH en lugar de Telnet para administrar las conexiones, ya que proporciona un cifrado sólido. El SSH utiliza el puerto TCP 22. Telnet utiliza el puerto TCP 23.
Secure copy (SCP) transfiere de forma segura archivos entre dos sistemas remotos. SCP utiliza SSH para la transferencia de datos y la autenticación, garantizando la autenticidad y la confidencialidad de los datos en tránsito.2.3.4 Protocolos seguros
Los atacantes pueden penetrar la infraestructura de una red a través de servicios, protocolos y puertos abiertos. Los protocolos más antiguos dejan una red en una posición vulnerable, por lo que los profesionales de ciberseguridad deben asegurarse de utilizar los protocolos actuales.
Protocolo simple de administración de redes (SNMP):
SNMP recopila estadísticas de dispositivos TCP/IP para monitorear la red y los equipos informáticos. SNMPv3 es el estándar actual: utiliza la criptografía para evitar las escuchas y asegurarse de que no se hayan manipulado los datos durante el tránsito.
HTTP:
El protocolo de transferencia de hipertexto (HTTP: Hypertext Transfer Protocol) proporciona conectividad web básica y utiliza el puerto 80. HTTP contiene seguridad integrada limitada y está abierto a la supervisión del tráfico al transmitir contenido, lo que deja la computadora del usuario abierta a ataques. Veamos cómo otros protocolos proporcionan una conexión más segura:- Secure Sockets Layer (SSL) administra el cifrado mediante un protocolo de enlace SSL al comienzo de una sesión para proporcionar confidencialidad y evitar escuchas y manipulaciones.
- Transport Layer Security (TLS) es un sustituto actualizado y más seguro de SSL.
- SSL/TLS cifra la comunicación entre el cliente y el servidor. Cuando se utiliza, el usuario verá HTTPS en el campo URL de un navegador en lugar de HTTP.
FTP:
File Transfer Protocol (FTP) transfiere archivos informáticos entre un cliente y un servidor. En FTP, el cliente utiliza un nombre de usuario y una contraseña en texto plano para conectarse. File Transfer Protocol Secure (FTPS) es más seguro: añade soporte para TLS y SSL para evitar escuchas, manipulaciones y falsificaciones en los mensajes intercambiados.POP, IMAP y MIME:
El correo electrónico utiliza Post Office Protocol (POP), Internet Message Access Protocol (IMAP) y Multipurpose Internet Mail Extensions (MIME) para adjuntar datos no textuales, como una imagen o un vídeo, a un mensaje de correo electrónico.
Para proteger POP (puerto 110) o IMAP (puerto 143), utilice SSL/TLS para cifrar el correo durante la transmisión. El protocolo Secure/Multipurpose Internet Mail Extensions (S/MIME) proporciona un método seguro de transmisión. Envía mensajes cifrados y firmados digitalmente que proporcionan autenticación, integridad de mensajes y no repudio.-
CuestionarioRecibir una calificación
-
2.4.1 Avatar
La segmentación implica dividir una red de computadoras en partes más pequeñas para mejorar el rendimiento y la seguridad de la red. Veamos cómo podemos usar esto en @Apollo.
2.4.2 Redes de área local virtuales (VLAN)
El gerente de RR. HH. de @Apollo está preocupado por proteger la información confidencial sobre el personal almacenado en la red. Guru sugiere utilizar una red de área local virtual, una VLAN, para segmentar la red y crear un área segura para los datos confidenciales.
2.4.3 La zona desmilitarizada (DMZ)
Una zona desmilitarizada (DMZ) es una red pequeña entre una red privada confiable e Internet.
Acceso a redes no confiables:
Los servidores web y los servidores de correo generalmente se colocan dentro de la DMZ para permitir que los usuarios accedan a una red no confiable, como Internet, sin comprometer la red interna.
Zonas de riesgo:
La mayoría de las redes tienen de dos a cuatro zonas de riesgo: la LAN privada confiable, la DMZ, Internet y una extranet.
- Dentro de la zona LAN el nivel de riesgo es bajo y el nivel de confianza es alto.
- Dentro de la zona de extranet el nivel de riesgo es medio-bajo y el nivel de confianza medio-alto.
- Dentro de la DMZ el nivel de riesgo es medio-alto y el nivel de confianza es medio-bajo.
- Dentro de la zona de Internet el nivel de riesgo es alto y el nivel de confianza es bajo.
Modelo Zero Trust (Confianza Cero):
Los firewalls gestionan el tráfico este-oeste (el tráfico que va entre servidores dentro del centro de datos de la organización) y el tráfico norte-sur (los datos que entran y salen de la red de la organización). Para proteger su red, una organización puede implementar un modelo de confianza cero (Zero Trust). Confiar automáticamente en los usuarios y los terminales de la organización puede poner en riesgo cualquier red, ya que los usuarios de confianza pueden desplazarse por toda la red para acceder a los datos. La red Zero Trust monitorea constantemente a todos los usuarios en la red, independientemente de su estado o función.
-
2.5.1 Avatar
Es probable que la red de su oficina incluya una amplia gama de dispositivos inalámbricos, desde teléfonos móviles y computadoras hasta routers y cámaras IP. Proteger sus dispositivos y redes inalámbricas de las ciberamenazas debería ser una de las principales preocupaciones.
Utilice los protocolos de seguridad y las protecciones de los dispositivos para estar a la vanguardia en lo que respecta a la seguridad de los dispositivos inalámbricos.
2.5.3 AutenticaciónLos dispositivos inalámbricos se han convertido en el tipo de dispositivo predominante en la mayoría de las redes modernas. Proporcionan movilidad y comodidad pero son vulnerables a una variedad de problemas de ciberseguridad. Están expuestos a robos, hackeos y accesos remotos no autorizados, sniffing, ataques man-in-the-middle, así como ataques contra el rendimiento y la disponibilidad.
La mejor manera de proteger una red inalámbrica es utilizar la autenticación y el cifrado. El estándar inalámbrico original (801.11) introdujo dos tipos de autenticación.
2.5.4 Protocolos de Autenticación
El protocolo de autenticación extensible (EAP: Extensible Authentication Protocol) es un marco de autenticación utilizado en redes inalámbricas. Veamos cómo funciona.
- El usuario solicita conectarse a la red inalámbrica a través de un punto de acceso.
- El punto de acceso le solicita al usuario los datos de identificación (nombre de usuario) que luego se envían a un servidor de autenticación.
- El servidor de autenticación solicita pruebas de que la ID es válida.
- El punto de acceso le solicita al usuario pruebas de que la ID es válida , en forma de contraseña.
- El usuario le proporciona al punto de acceso su contraseña. El punto de acceso envía esto de vuelta al servidor de autenticación.
- El servidor confirma que el nombre de usuario y la contraseña son correctos y pasa esta información al punto de acceso y al usuario.
- El usuario se conecta a la red inalámbrica.
EAP-TLS:
Requiere certificado de cliente: Sí
Requiere certificado de servidor: Sí
Fácil de implementar: Difícil
Seguridad: Alta
PEAP:
Requiere certificado de cliente: No
Requiere certificado de servidor: Sí
Fácil de implementar: Moderado
Seguridad: Media
EAP-TTLS:
Requiere certificado de cliente: No
Requiere certificado de servidor: Sí
Fácil de implementar: Moderado
Seguridad: MediaEAP-FAST:
Requiere certificado de cliente: No
Requiere certificado de servidor: No
Fácil de implementar: Fácil
Seguridad: Media2.5.5 Autenticación mutua
Su red inalámbrica y sus datos confidenciales son susceptibles de acceso no autorizado por parte de hackers mediante una conexión inalámbrica. Pero, ¿qué puede hacer para evitar un ataque?
Puntos de acceso no autorizados
Un punto de acceso es cualquier dispositivo de hardware que permite que otros dispositivos inalámbricos se conecten a una red cableada. Todo dispositivo que tenga un transmisor inalámbrico y una interfaz cableada a una red puede actuar potencialmente como punto de acceso no autorizado o falso. El punto de acceso no autorizado suele imitar a un punto de acceso autorizado, permitiendo a los usuarios conectarse a la red inalámbrica, pero pudiendo robar sus datos o realizar otras actividades nefastas en el proceso.
Prevención de ataques
Cuando se conecta a un punto de acceso no autorizado, el impostor que lo configura puede solicitar y copiar datos de su dispositivo. Este tipo de ataque de intermediarios (man-in-the-middle) es muy difícil de detectar y puede generar el robo de las credenciales de inicio de sesión y los datos. La autenticación mutua es una autenticación bidireccional que puede evitar puntos de acceso no autorizados. Es un proceso en el que ambas entidades en un enlace de comunicaciones se autentican entre sí antes de conectarse. Esto permite a los clientes detectar puntos de acceso no autorizados y evitar estos ataques MitM.
2.5.6 Avatar
Los dispositivos móviles utilizan comunicaciones celulares para conectarse con un proveedor de servicios. Los proveedores de redes inalámbricas utilizan redes 5G LTE basadas en IP para acceder a Internet y otros servicios de datos, por ejemplo.
2.5.7 Métodos de comunicación
Echemos un vistazo más de cerca a cómo los dispositivos móviles se conectan y comunican.
2.5.8 Administración de Dispositivos Móviles
Un dispositivo móvil suministrado por una organización puede contener tanto datos personales como de la organización: puede ser de propiedad corporativa o de propiedad personal (COPE).
Una organización también puede tener la opción Traiga Su Propio Dispositivo (BYOD: Bring-Your-Own-Device). Las políticas de seguridad y protección de datos deben aplicarse cuando hay información corporativa confidencial en el dispositivo de un usuario.Segmentación y contenedorización del almacenamiento
La segmentación y contenedorización del almacenamiento permiten separar el contenido personal y laboral en un dispositivo. Proporciona un área autenticada y cifrada que separa la información confidencial de la empresa de los datos personales del usuario.
La contenedorización también nos permite:
- Aislar aplicaciones.
- Controlar las funciones de las aplicaciones.
- Eliminar la información del contenedor.
- Borrar el dispositivo de manera remota.
Administración de contenido
Una organización debe considerar los riesgos de seguridad que implica el uso de aplicaciones que comparten datos, por ejemplo, Dropbox, Box, Google Drive e iCloud. Se puede utilizar un sistema de seguridad de administración de identidades para controlar a qué datos puede acceder un usuario.Administración de aplicaciones
Las listas blancas le permiten firmar digitalmente las aplicaciones para poder autorizar qué aplicaciones pueden instalar los usuarios. Esto ayuda a garantizar que las aplicaciones instaladas provengan de una fuente confiable.
La autenticación con contraseñas seguras es una buena práctica para aquellas aplicaciones que requieren credenciales de usuario.2.5.9 Protecciones de dispositivos móviles
Ya sea que un dispositivo móvil sea propiedad de la organización o sea un dispositivo personal utilizado para el trabajo, se deben tomar medidas para mantenerlo a salvo de las amenazas cibernéticas.
2.5.11 Video de Packet Tracer - Configure el fortalecimiento y la seguridad del router inalámbrico.
-
En esta actividad de Packet Tracer, completará los siguientes objetivos:
- Parte 1: Configurar los ajustes de seguridad básicos de un router inalámbrico
- Parte 2: configurar la seguridad de la red del router inalámbrico
- Parte 3: configurar la seguridad de la red de los clientes inalámbricos
- Parte 4: verificar las configuraciones de conectividad y seguridad
-
CuestionarioRecibir una calificación
-
2.6.1 Avatar
Como la mayoría de las organizaciones, @Apollo desea maximizar la disponibilidad de sus sistemas. Los empleados no pueden realizar sus tareas habituales cuando los sistemas están caídos, lo que puede afectar la productividad y los ingresos. El objetivo de @Apollo es, por tanto, minimizar el tiempo de inactividad de los procesos de misión crítica.
Veamos cómo la resiliencia del ciberespacio puede ayudar a @Apollo a lograr su objetivo.
2.6.2 Alta disponibilidad
El término 'alta disponibilidad' describe los sistemas diseñados para evitar el tiempo de inactividad tanto como sea posible. La disponibilidad continua de los sistemas de información es imprescindible, no solo para las organizaciones sino también para la vida moderna, ya que todos usamos y dependemos de los sistemas informáticos y de la información más que nunca.
Los sistemas de alta disponibilidad suelen basarse en tres principios de diseño.Eliminar puntos únicos de falla
El primer principio que define los sistemas de alta disponibilidad comienza con la identificación de todos los dispositivos y componentes del sistema cuya falla daría lugar a una falla en todo el sistema. Los métodos para eliminar los puntos únicos de falla incluyen el reemplazo o la eliminación de dispositivos de reserva activos, componentes redundantes y múltiples conexiones o rutas.Proporcionando un crossover confiable
Las fuentes de alimentación redundantes, los sistemas de alimentación de respaldo y los sistemas de comunicaciones de respaldo brindan un crossover confiable: el segundo principio de diseño.
2.6.3 Los cinco nueves
Todas las organizaciones quieren ser capaces de operar sin interrupciones, incluso en condiciones extremas, como durante un ataque.
Una de las prácticas de alta disponibilidad más populares es la práctica de los cinco nueves. Recibe su nombre de su objetivo de lograr una tasa de disponibilidad del 99,999%, cinco nueves seguidos. En la práctica, esto significa que el tiempo de inactividad es inferior a 5,26 minutos al año.
2.6.4 Puntos únicos de falla
Los puntos únicos de falla son los puntos débiles en la cadena que pueden ocasionar interrupciones en las operaciones de la organización. Un punto único de falla es cualquier parte de la operación de la organización cuyo fallo significa la falla completa de todo el sistema; en otras palabras, si falla, todo el sistema falla.
Un punto único de falla puede ser una pieza específica de hardware, un proceso, una pieza de datos específica, o incluso una utilidad esencial. Por lo general, la solución a un punto único de falla es modificar la operación crítica para que no dependa de un solo elemento. La organización también puede desarrollar componentes redundantes en la operación crítica para controlar el proceso si uno de estos puntos falla.
2.6.5 Avatar
Como especialistas en ciberseguridad, nuestro trabajo consiste en identificar los puntos únicos de falla en @Apollo y establecer medidas de resiliencia para evitar que sean críticos mediante, por ejemplo, la construcción de componentes redundantes que se encarguen del proceso en caso de que uno de estos puntos falle.
Por lo tanto, debemos examinar detenidamente nuestras diferentes opciones.
2.6.6 Redundancia N+1
La redundancia N+1 ayuda a garantizar la disponibilidad del sistema en caso de falla de un componente. Esto significa que los componentes (N) deben tener al menos un componente de respaldo (+1).
Una buena manera de pensar en esto es que un automóvil tiene cuatro llantas (N) y una de repuesto (+1) en el baúl en caso de pinchazo.
Aunque un sistema con arquitectura N+1 contiene equipos redundantes, no es un sistema totalmente redundante.En una red, la redundancia N+1 significa que el diseño del sistema puede soportar la pérdida de uno de cada componente.
La N se refiere a cada uno de los diferentes componentes de la infraestructura que forman parte del sistema. Por ejemplo, un centro de datos incluye servidores, fuentes de alimentación, switches y routers. El +1 es el componente o sistema adicional en espera y listo para utilizarse si es necesario. La redundancia N+1 en un centro de datos que consta de los elementos anteriores significa que tenemos un servidor, una fuente de alimentación, un switch y un router en espera, listos para entrar en funcionamiento si algo le ocurre al servidor principal, a la fuente de alimentación principal, al switch o al router.
2.6.7 RAID
¿Cómo funciona?
La matriz redundante de discos independientes (RAID) toma datos normalmente almacenados en un disco duro y los extiende por varios discos. Excepto con RAID 0, si se pierde un disco, el usuario puede recuperar los datos de otros discos.
RAID también puede aumentar la velocidad de recuperación de datos, ya que varias unidades recuperarán más rápidamente los datos solicitados que un solo disco haciendo lo mismo.Almacenamiento de datos RAID
Una solución de RAID puede estar basada en hardware o software. Una solución basada en hardware requiere un controlador de hardware especializado en el sistema que contiene las unidades RAID, mientras que el RAID por software se gestiona mediante un software de utilidad en el sistema operativo.
Los siguientes términos describen las diversas formas en que RAID puede almacenar datos en la matriz de discos.- Mirroring - Almacena los datos, luego los duplica y los almacena en una segunda unidad.
- Striping - Escribe los datos en varias unidades para que los segmentos consecutivos se almacenen en diferentes unidades.
- Paridad - Más precisamente, striping con paridad. Después de la segmentación, se generan sumas de verificación para comprobar que no existan errores en los datos segmentados. Estos checksums se almacenan en una tercera unidad.
2.6.8 Spanning Tree
La redundancia aumenta la disponibilidad de la infraestructura protegiendo la red de un punto de falla único, como un cable de red o un switch defectuosos.
Pero cuando los diseñadores incorporan la redundancia física a una red, se producen bucles y tramas duplicadas. Esto trae consecuencias graves para las redes conmutadas.
El protocolo Spanning Tree (STP) resuelve estos problemas. La función básica del STP es evitar bucles en la red cuando los switches se interconectan a través de varias rutas. STP garantiza que los enlaces físicos redundantes estén libres de bucles y que solo se ejecute una ruta lógica entre todos los destinos de la red. Para lograr esto, el STP bloquea intencionalmente las rutas redundantes que pueden generar un bucle.
El bloqueo de las rutas redundantes es fundamental para evitar bucles en la red. Las rutas físicas aún existen para proporcionar redundancia, pero el STP deshabilita estas rutas para evitar que se generen bucles. Si un switch o cable de red falla, el STP recalcula las rutas y desbloquea los puertos necesarios para permitir que la ruta redundante se active.
Esta animación muestra las etapas del STP cuando se produce una falla.
- La PC1 envía una transmisión a la red.
- El enlace troncal entre el S2 y el S1 falla, lo que da como resultado una interrupción en la ruta original.
- S2 desbloquea el puerto que se había bloqueado anteriormente para Trunk2 y permite que el tráfico de broadcast atraviese la ruta alternativa alrededor de la red, permitiendo que la comunicación continúe.
- Si el enlace entre el S2 y el S1 tiene copia de respaldo, el STP bloquea el enlace entre el S2 y el S3.
2.6.9 Redundancia del router
El gateway predeterminado generalmente es el router que brinda a los dispositivos el acceso al resto de la red o a Internet. Si hay un solo router que funciona como gateway predeterminado, es un punto único de falla. Para evitarlo, una organización puede optar por instalar un router de reserva adicional.
2.6.10 Redundancia de la ubicación
Una organización también puede querer considerar la redundancia de la ubicación, dependiendo de sus necesidades.
Replicación sincrónica
- Sincroniza ambas ubicaciones en tiempo real.
- Requiere el uso intensivo de ancho de banda.
- Las ubicaciones deben estar juntas para reducir la latencia.
Replicación asíncrona
- Sincronizada en tiempo casi real.
- Requiere menos ancho de banda.
- Los sitios pueden estar separados porque la latencia no representa un problema.
Replicación puntual
- Actualiza la ubicación de los datos de la copia de seguridad periódicamente, a determinados momentos
- Más conservador en cuanto al ancho de banda porque no requiere una conexión constante
2.6.11 Diseño resiliente
Se denomina resiliencia a los métodos y configuraciones utilizados para que un sistema o una red sean tolerantes a los fallos.
2.6.12 Copias de seguridad del sistema y de los datos
Una organización puede perder datos si los delincuentes cibernéticos los roban, si el equipo falla, o si ocurre un desastre u otro error, por lo que es importante hacer una copia de seguridad de los datos con regularidad.
Una copia de seguridad de datos almacena una copia de la información de una computadora en un medio de respaldo. Cuando dichos medios son extraíbles, el operador los almacena en un lugar seguro.
La realización de copias de respaldo de datos es uno de los métodos más eficaces para evitar la pérdida de estos. Si el hardware falla, el usuario puede restaurar los datos desde la copia de seguridad una vez que el sistema vuelva a ser funcional, o incluso cuando se mueve a un nuevo sistema.
Una política de seguridad sólida debe incluir copias de respaldo de datos periódicas. Las copias de seguridad suelen almacenarse fuera de las instalaciones para proteger los datos en caso de que ocurra algo en las instalaciones principales.
2.6.13 Diseño de sistemas de alta disponibilidad
La alta disponibilidad incorpora tres principios fundamentales para lograr el objetivo de un acceso ininterrumpido a los datos y servicios:
2.6.14 Energía
Un aspecto crítico de la protección de los sistemas de información son los sistemas y las consideraciones de energía eléctrica. Un suministro continuo de energía eléctrica es esencial para las instalaciones masivas de servidores y almacenamiento de datos de hoy en día.
Estas son algunas reglas generales en el desarrollo de sistemas de suministro eléctrico eficaces:
- Los centros de datos deben estar en una fuente de alimentación distinta al resto del edificio.
- Utilice fuentes de alimentación redundantes: dos o más alimentaciones procedentes de dos o más subestaciones eléctricas.
- Implementar el acondicionamiento de la energía.
- Con frecuencia se requieren sistemas energéticos de respaldo.
- El sistema de alimentación ininterrumpida ( UPS) debe estar disponible para apagar los sistemas de manera correcta.
Exceso de energía.
- Pico: alto voltaje momentáneo.
- Sobretensión: alta tensión prolongada.
Pérdida de energía.- Falla: Pérdida de energía momentánea.
- Apagón: Pérdida de energía completa.
Degradación de energía.
- Caída: baja tensión momentánea.
- Baja de tensión: baja tensión prolongada.
- Corriente de irrupción: aumento inicial de la potencia.
2.6.15 Calefacción, ventilación y aire acondicionado (HAVC)
Los sistemas de HVAC son fundamentales para la seguridad de las personas y los sistemas de información en las instalaciones de la organización. En el diseño de las instalaciones informáticas modernas, estos sistemas desempeñan un papel muy importante en la estabilidad y seguridad generales.
Sistema HVAC
Los sistemas de calefacción, ventilación y aire acondicionado (HVAC) controlan el ambiente, incluyendo la temperatura, la humedad y el flujo de aire. Esto debe administrarse junto con los componentes de datos tales como hardware, cableado, almacenamiento de datos, protección contra incendios, sistemas de seguridad física y alimentación, y sus necesidades.
Un documento de especificaciones del productoCasi todos los dispositivos de hardware informático físicos tienen requisitos ambientales que incluyen temperatura y rangos de humedad aceptables. Los requisitos medioambientales se detallan en la documentación de las especificaciones del producto y/o en las guías de planificación física. Es fundamental mantener estos requisitos ambientales para evitar fallas del sistema y extender la vida útil de los sistemas de TI.
Contratista de sistemas de HVAC
Los sistemas de HVAC comerciales y otros sistemas de administración de edificios ahora se conectan a Internet para su supervisión y control. Pero los últimos acontecimientos han demostrado que estos sistemas 'inteligentes' también plantean grandes problemas de seguridad, ya que los contratistas de sistemas de calefacción, ventilación y aire acondicionado o los proveedores de terceros acceden a ellos y los gestionan.
Riesgos para la seguridad de la organización
Debido a que los técnicos de HVAC necesitan encontrar la información rápidamente, los datos cruciales tienden a almacenarse en muchos lugares diferentes, lo que los hace accesibles a muchas más personas. Esto permite que una amplia red de individuos, incluyendo a los asociados de los contratistas, tenga acceso al sistema HVAC. Pero cuanto más personas tengan acceso, menos seguros serán estos sistemas, mientras que su interrupción puede suponer un riesgo considerable para la seguridad de la organización.
2.6.16 Avatar
Hemos logrado proteger a @Apollo del reciente ataque cibernético, pero hay muchas otras amenazas del dominio de las instalaciones físicas que pueden poner a @Apollo y a otras organizaciones en riesgo.
Afortunadamente, hay muchas contramedidas a nuestra disposición para ayudar a administrar las amenazas.
2.6.17 Manejo de las amenazas a las instalaciones físicas
Las organizaciones pueden implementar varias medidas para manejar las amenazas a las instalaciones físicas. Por ejemplo:
- Control de acceso y cobertura de circuito cerrado de televisión (CCTV - Videovigilancia) en todas las entradas
- Políticas y procedimientos para los invitados que visitan la instalación.
- Pruebas de seguridad de los edificios, incluido el uso de medios digitales y físicos para acceder de forma encubierta
- Cifrado de credenciales para el ingreso
- Planificación de recuperación tras un desastre
- Planificación de continuidad de negocios
- Formación periódica en concientización sobre la seguridad
- Sistema de etiquetado de activos
-
CuestionarioRecibir una calificación
-
2.7.1 Avatar
Para comprender mejor las necesidades de seguridad de una organización como @Apollo, primero debemos analizar el panorama general…
Sectores industriales como el manufacturero, el energético, el de las comunicaciones y el del transporte conforman los sistemas de infraestructura de red críticos. Protegerlos es fundamental para proteger la economía de un país.
Veamos cómo los atacantes cibernéticos pueden atacar estos sistemas y qué se puede hacer para evitar estos ataques.
2.7.2 Amenazas para sectores clave de la industria
Durante la última década, los ciberataques como Stuxnet demostraron que un ataque cibernético puede destruir o interrumpir con éxito las infraestructuras críticas. El ataque de Stuxnet apuntó al sistema de control de supervisión y adquisición de datos (SCADA: Supervisory Control And Data Acquisition) utilizado para controlar y supervisar los procesos industriales. SCADA y otros sistemas de control industrial (ICS) se utilizan en sistemas de fabricación, producción, energía y comunicaciones.
¿Cómo pueden los ataques cibernéticos como estos afectar a los sectores de la industria y qué medidas se pueden tomar para evitar que se produzcan?
Un ciberataque de este tipo podría hacer caer o interrumpir instalaciones vitales como las telecomunicaciones, los sistemas de transporte o las centrales eléctricas. También puede interrumpir el sector de servicios financieros.
Los entornos que usan SCADA son vulnerables. Cuando se desarrolló por primera vez la arquitectura SCADA, los diseñadores no la conectaron al entorno de TI tradicional e Internet. Por lo tanto, no tuvieron en cuenta la ciberseguridad de manera adecuada durante la fase de desarrollo de estos sistemas.
Ahora, sin embargo, las organizaciones que utilizan sistemas SCADA reconocen el valor de la recopilación de datos para mejorar las operaciones y reducir los costos. La tendencia resultante es conectar los sistemas SCADA a la infraestructura de TI en línea más amplia de la organización. Esto aumenta la vulnerabilidad de los sectores que utilizan los sistemas SCADA.
Para evitar ataques a estos sistemas, segregue las redes internas y externas para separar la red SCADA de la LAN de la organización.2.7.3 El surgimiento de Internet de las Cosas
El Internet de las Cosas (IoT) es el conjunto de tecnologías que permiten la conexión de varios dispositivos a Internet. La evolución tecnológica asociada con la llegada del IoT está cambiando los entornos comerciales y de consumidores.
Las tecnologías de IoT permiten a las personas conectar miles de millones de dispositivos tales como automóviles, máquinas industriales, robots, dispositivos, cerraduras, motores y dispositivos de entretenimiento, por nombrar solo algunos. Esta tecnología afecta la cantidad de datos que necesitan protección. Como los usuarios necesitan acceder a estos dispositivos de forma remota, se colocan en línea, lo que en general aumenta la cantidad de posibles puntos de entrada a esa red local.
Además, con la aparición del IoT hay muchos más datos que gestionar y asegurar. Todos estos dispositivos, más la ampliación de la capacidad de almacenamiento y los servicios de almacenamiento ofrecidos a través de la nube y la virtualización, han provocado el crecimiento exponencial de los datos. Esta expansión de datos ha creado una nueva área de interés en la tecnología y los negocios denominada 'Big Data'.
Los dispositivos IoT amplían enormemente la superficie de ataque cibernético. En IoT, miles de nuevos dispositivos requieren acceso a redes para enviar datos y ser administrados y operados. Los dispositivos inteligentes conectados a Internet se infectaron con malware y se utilizaron para lanzar algunos de los ataques DDoS más grandes de la historia. Por lo tanto, la seguridad de los dispositivos IoT es extremadamente importante. Primero, todos los dispositivos IoT deben evaluarse para garantizar que puedan actualizar su firmware con parches de seguridad, preferiblemente a través de redes inalámbricas. Además, las credenciales de administrador predeterminadas en estos dispositivos siempre se deben cambiar de la configuración predeterminada porque esta configuración es de conocimiento público.
2.7.4 Sistemas embebidos
Los sistemas embebidos capturan, almacenan y acceden a los datos. Plantean desafíos de seguridad únicos debido a su amplia adopción tanto por el mundo corporativo como por el de consumo. Se utilizan en televisores inteligentes, sistemas de control de HVAC, dispositivos médicos e incluso automóviles.
2.7.5 Internet de las Cosas (IoT)
El despliegue y uso de dispositivos y sensores inteligentes es uno de los sectores de las tecnologías de la información que más rápido está creciendo. La industria informática lidera este sector como Internet de las cosas (IdC).
Las empresas y los consumidores usan dispositivos de IoT para automatizar procesos, supervisar condiciones del entorno y alertar a los usuarios acerca de condiciones adversas. La mayoría de los dispositivos de IoT se conectan a una red mediante tecnología inalámbrica. Incluyen cámaras, cerraduras de puertas, sensores de proximidad, luces y otros sensores utilizados para recoger información sobre un entorno o el estado de un dispositivo. Algunos fabricantes utilizan sensores de IoT para informar a los usuarios de que hay que sustituir piezas, que los componentes están fallando o que los suministros se están agotando.
Las organizaciones utilizan dispositivos IoT para hacer un seguimiento del inventario, los vehículos y el personal. Los dispositivos de IdC tienen sensores geoespaciales. Un usuario puede localizar, monitorear y controlar globalmente las variables del entorno, como la temperatura, la humedad y la iluminación. Las aplicaciones de IoT utilizan un sistema operativo en tiempo real (RTOS), un sistema operativo pequeño que permite el cambio rápido de tareas que se centran en el tiempo en lugar del rendimiento. Estas aplicaciones se ejecutan con sincronización precisa y alta confiabilidad. La tecnología RTOS se encuentra en dispositivos portátiles, dispositivos médicos, sistemas en vehículos y dispositivos de automatización del hogar.
El sector de IdC representa un enorme desafío para los profesionales de seguridad de la información porque muchos dispositivos de IdC capturan y transmiten información confidencial. Las vulnerabilidades asociadas con RTOS incluyen la inyección de código, los ataques de denegación de servicio y la inversión de prioridad (donde una tarea de mayor prioridad se adelanta por una tarea de menor prioridad).2.7.6 Avatar
El uso de un escáner de IoT como Shodan es una manera fácil de determinar si un dispositivo de automatización del hogar es vulnerable a los ataques. Los dispositivos de IoT se comunican mediante métodos de corto alcance, mediano o largo alcance e incluyen celular (4G, 5G), radio y Zigbee. Zigbee es un conjunto inalámbrico de protocolos para redes inalámbricas de área personal (WPAN).
Para proteger los dispositivos de IoT:
- Asegure la red inalámbrica.
- Sepa exactamente qué dispositivos se comunican en su red.
- Sepa lo que hace cada uno de los dispositivos de IoT en su red.
- Instale software de seguridad en los dispositivos siempre que sea posible.
- Proteja los smartphones y las aplicaciones móviles que se utilizan para comunicarse con los dispositivos de IoT.
2.7.7 Avatar
Los trabajadores remotos y los equipos en diferentes oficinas de @Apollo utilizan voz sobre IP (VoIP) para mantenerse en contacto, realizar reuniones de equipo virtuales e incluso reunirse con clientes. Pero, ¿es esta una forma segura de comunicarse? ¿Y qué podemos hacer para mejorar su seguridad?
2.7.8 Equipos de VoIP
VoIP utiliza Internet para realizar y recibir llamadas.
2.7.9 Avatar
Al utilizar equipos de VoIP, recuerde que cuando la red se caiga, las comunicaciones de voz también lo harán.
2.7.10 Sistemas embebidos de propósito especial
Los sistemas embebidos funcionan en una variedad de industrias. Puede encontrar dispositivos embebidos de propósito especial en sectores como la medicina, la industria automotriz y la aviación.
2.7.11 Tecnologías de engaño
Las organizaciones utilizan tecnologías de engaño para distraer a los atacantes de las redes de producción. También las utilizan para conocer los métodos de un atacante y para advertir sobre posibles ataques que podrían lanzarse contra la red. El engaño agrega una capa falsa a la infraestructura de la organización.
Mieleros:
Un honeypot es un sistema señuelo que se configura para imitar un servidor en la red de la organización. Se deja a propósito expuesto para atraer a los atacantes. Cuando un atacante persigue al honeypot, sus actividades se registran y monitorean para su posterior revisión. El honeypot distrae al atacante de los recursos de red reales de la organización.
Sumideros DNS:
Un DNS sinkhole impide la resolución de nombres de host para URL específicas y puede alejar a los usuarios de los recursos maliciosos.
2.7.12 Video de Packet Tracer - Implementar la seguridad física con dispositivos de IoT
En este Packet Tracer aprenderá cómo:
- Conexión de los dispositivos de IoT a la red
- Agregar dispositivos de IoT al servidor de registro:
- Explore la funcionalidad de los dispositivos de seguridad de IoT.
-
2.8.1 ¿Qué aprendí en este módulo?
-
Recibir una calificación
-
-
3.0.1 ¿Por qué debería tomar este módulo?
¿Cómo podemos restringir el acceso dentro de nuestra red? ¿Permitiría a todos los empleados accesar a todo? ¿O se diseñará para permitir el acceso de los usuarios en función de su rol en la empresa? ¿Cómo puede realizar un seguimiento de lo que el usuario ha accedido y lo que hizo cuando inició sesión? Responda a estas preguntas y a otras más aprendiendo sobre el control de acceso, los conceptos de control de acceso, la gestión de cuentas y el uso y funcionamiento de AAA.
3.0.2 ¿Qué aprenderé en este módulo?
Este módulo contiene lo siguiente:
- 2 Videos
- 1 Práctica de Laboratorio
- 2 Actividades de Packet Tracer
- 3 Actividades de Verifique su Comprensión
- 1 Prueba del Módulo
Título del módulo: Control de acceso
Objetivo del módulo: configurar el control de acceso local y basado en el servidor.
Título del tema
Objetivo del tema
Controles de acceso
Configurar el acceso seguro en un host.
Conceptos de control de acceso
Explicar cómo el control de acceso protege los datos de la red.
Gestión de cuentas
Explicar la necesidad de la gestión de cuentas y las estrategias de control de acceso.
Uso y funcionamiento de AAA
Configurar la autenticación basada en el servidor con TACACS+ y RADIUS.
-
3.1.1 Avatar
Hay muchos tipos diferentes de controles de acceso. En este tema exploraremos ejemplos de controles físicos, lógicos y administrativos antes de examinar detenidamente cómo se controla el acceso a través de "AAA": autorización, autenticación y accounting.
Deberá tener un buen conocimiento de estas áreas para asesorar a @Apollo y a otras organizaciones sobre cómo mantener sus datos seguros.
Desplácese hacia abajo para comenzar.
3.1.2 Controles de acceso físico
Los controles de acceso físico son barreras reales desplegadas para evitar el contacto físico directo con los sistemas. El objetivo es evitar que los usuarios no autorizados tengan acceso físico a las instalaciones, el equipamiento y otros activos de la organización.
Por ejemplo, el control de acceso físico determina quién puede entrar (o salir), dónde puede entrar (o salir) y cuándo puede entrar (o salir).
Estos son algunos ejemplos de controles de acceso físico:
- Guardias para vigilar las instalaciones
- Vallas para proteger el perímetro
- Detectores de movimiento para detectar objetos en movimiento
- Candados para computadoras portátiles para salvaguardar los equipos portátiles
- Puertas cerradas para evitar el acceso no autorizado
- Tarjetas magnéticas para permitir el acceso a zonas restringidas
- Perros guardianes para proteger las instalaciones
- Cámaras de vídeo para vigilar una instalación recogiendo y grabando imágenes
- Sistemas de entrada tipo trampa para escalonar el flujo de personas en la zona de seguridad y atrapar a los visitantes no deseados
- Alarmas para detectar intrusiones
3.1.3 Controles de acceso lógico
Los controles de acceso lógico son soluciones de hardware y software que se utilizan para administrar el acceso a recursos y sistemas. Estas soluciones basadas en tecnología incluyen las herramientas y los protocolos que los sistemas informáticos utilizan para la identificación, autenticación, autorización y responsabilidad.
Los ejemplos de control de acceso lógico incluyen:
- El cifrado es el proceso de tomar un texto plano y crear un texto cifrado.
- Las tarjetas inteligentes tienen un microchip integrado.
- Las contraseñas son cadenas de caracteres protegidas.
- La biometría son las características físicas de los usuarios.
- Las listas de control de acceso (ACL) definen el tipo de tráfico permitido en una red.
- Los protocolos son un conjunto de reglas que rigen el intercambio de datos entre dispositivos.
- Los firewalls evitan el tráfico de red no deseado.
- Los routers conectan al menos dos redes.
- Los sistemas de detección de intrusiones supervisan una red para detectar actividades sospechosas.
- Los niveles de recorte son ciertos umbrales de error permitidos antes de activar una bandera roja.
3.1.4 Controles de acceso administrativo
Los controles de acceso administrativo son las políticas y los procedimientos que definen las organizaciones para implementar y hacer cumplir todos los aspectos del control de acceso no autorizado.
Los controles administrativos se enfocan en las prácticas de personal y las prácticas empresariales.
- Las políticas son declaraciones de intenciones
- Los procedimientos son los pasos detallados necesarios para realizar una actividad
- Las prácticas de contratación definen los pasos que toma una organización para encontrar empleados calificados.
- La comprobación de los antecedentes es un tipo de examen de los empleados que incluye información sobre la verificación de empleos anteriores, el historial crediticio y los antecedentes penales.
- La clasificación de datos califica los datos según su sensibilidad
- La capacitación de seguridad educa a los empleados sobre las políticas de seguridad en una organización
- Las revisiones evalúan el rendimiento laboral de un empleado
3.1.5 Controles de acceso administrativo en detalle
Analicemos los controles de acceso administrativo con más detalle.
El concepto de control de acceso administrativo implica tres servicios de seguridad: autenticación, autorización y accounting (AAA).
Estos servicios proporcionan el marco principal para controlar el acceso, lo que evita el acceso no autorizado a una computadora, red, base de datos u otro recurso de datos.
3.1.6 ¿Qué es la identificación?
La identificación aplica las reglas establecidas por la política de autorización: Cada vez que se solicita el acceso a un recurso, los controles de acceso determinan si se concede o se deniega.
Un identificador único garantiza la asociación correcta entre las actividades permitidas y los sujetos. Un nombre de usuario es el método más común utilizado para identificar a un usuario. Un nombre de usuario puede ser una combinación alfanumérica, un número de identificación personal (PIN), una tarjeta inteligente o un método biométrico, por ejemplo, una huella digital, el escaneo de retina o el reconocimiento de voz.
Un identificador único garantiza que un sistema pueda identificar a cada usuario individualmente, permitiendo así que un usuario autorizado realice las acciones apropiadas en un recurso concreto.
3.1.7 Avatar
Las políticas de ciberseguridad y la sensibilidad de la información o los sistemas determinan qué controles de identificación deben utilizarse y cuán estrictos deben ser.
Como ha experimentado @Apollo, el aumento de las violaciones de datos está obligando a muchas organizaciones a reforzar sus controles de identificación.
3.1.7 Avatar
Las políticas de ciberseguridad y la sensibilidad de la información o los sistemas determinan qué controles de identificación deben utilizarse y cuán estrictos deben ser.
Como ha experimentado @Apollo, el aumento de las violaciones de datos está obligando a muchas organizaciones a reforzar sus controles de identificación.
3.1.8 Gestión de identidad federada
La gestión de identidad federada hace referencia a varias empresas que permiten a sus usuarios utilizar las mismas credenciales de identificación para obtener acceso a las redes de todas las empresas del grupo...
En general, una identidad federada vincula la identidad electrónica de un sujeto a través de distintos sistemas de gestión de identidades...
El objetivo de la administración de identidades federada es compartir la información de identidad automáticamente a través de los límites del castillo...
La gestión de identidad federada permite que múltiples organizaciones compartan información de identidad, pero aumenta la vulnerabilidad en caso de un ataque...
3.1.9 Métodos de autenticación
Como hemos dicho antes, los usuarios demuestran su identidad con un nombre de usuario o ID. Además, los usuarios tienen que verificar su identidad proporcionando uno de los siguientes datos:
3.1.10 Autenticación multifactor
Como hemos comentado antes, la autenticación multifactor utiliza al menos dos métodos de verificación, como una contraseña y algo que usted tiene, por ejemplo, un llavero de seguridad. Esto se puede llevar un paso más allá añadiendo algo que usted es, como un escáner de huellas dactilares.
La autenticación multifactor puede reducir la incidencia del robo de identidad en línea porque significa que conocer una contraseña no dará acceso a los ciberdelincuentes a la cuenta de un usuario.
Por ejemplo, un sitio web de banca online puede requerir una contraseña y un PIN único que el usuario recibe en su smartphone. En este caso, el primer factor es su contraseña y el segundo factor el PIN temporal, ya que demuestra que usted tiene acceso a lo que está registrado como su teléfono.
Sacar dinero de un cajero automático es otro ejemplo sencillo de autenticación multifactor, ya que el usuario debe tener la tarjeta bancaria y conocer el PIN antes de que el cajero automático le dispense dinero.
Tenga en cuenta que la autenticación de dos factores (2FA) es un método de autenticación multifactor que implica dos factores en particular, pero los dos términos se usan indistintamente.3.1.11 Autorización
La autorización controla lo que el usuario puede hacer o no en la red después de una autenticación satisfactoria: Después de que un usuario demuestre su identidad, el sistema verifica a qué recursos de la red puede acceder y qué puede hacer con esos recursos.
3.1.12 Implementación de Accountability
¿Qué es Accountability?
Accountability rastrea una acción hasta una persona o un proceso que realiza este cambio en un sistema. Accountability luego recopila esta información e informa los datos de uso. La organización puede utilizar estos datos para fines como auditorías o facturación. Los datos recogidos pueden incluir el tiempo de inicio de sesión de un usuario, si el inicio de sesión del usuario fue exitoso o no, o a qué recursos de red accedió. Esto permite a una organización rastrear acciones, errores y equivocaciones durante una auditoría o investigación.
Implementación de Accountability
La implementación de Accountability consiste en tecnologías, políticas, procedimientos y educación. Los archivos de registro proporcionan información detallada según los parámetros seleccionados. Por ejemplo, una organización puede ver el registro de los inicios de sesión fallidos y correctos. Las fallas de inicio de sesión pueden indicar que un delincuente intentó hackear una cuenta, y los inicios de sesión exitosos indican a una organización qué usuarios están usando qué recursos y cuándo.
Las políticas y los procedimientos de la organización explican qué medidas deben registrarse y cómo se generan, se revisan y almacenan los archivos de registro.Proporcionar Accountability
La conservación de los datos, la eliminación de los soportes y los requisitos de cumplimiento de la normativa brindan Accountability. Muchas leyes requieren la implementación de medidas para proteger diferentes tipos de datos. Estas leyes guían a una organización de forma correcta para administrar, almacenar y desechar datos. La educación y el conocimiento de las políticas, los procedimientos y las leyes relacionadas de una organización también pueden contribuir al Accountability.
3.1.13 Vídeo de Packet Tracer - Configurar el control de acceso
3.1.14 Vídeo de laboratorio - Configurar la autenticación y la autorización en Linux
-
CuestionarioRecibir una calificación
-
3.2.1 Seguridad de confianza cero
Zero Trust es un enfoque integral para garantizar el acceso a todas las redes, las aplicaciones y entornos. Este enfoque ayuda a proteger el acceso de usuarios, dispositivos de usuario final, API, IoT, microservicios, containers y mucho más. Protege las fuerzas de trabajo, las cargas de trabajo y el lugar de trabajo. El principio de un enfoque Zero Trust es, "nunca confíe, siempre verifique". Asuma Zero Trust cada vez que alguien o algo solicite acceso a los activos. Un marco de seguridad zero trust ayuda a evitar el acceso no autorizado, contener brechas y reducir el riesgo de movimiento lateral de un atacante a través de una red.
Tradicionalmente, el perímetro de la red, o el borde, era el límite entre el interior y el exterior, o de confianza y no confiable. En un enfoque Zero Trust, cualquier lugar en el que se requiera una decisión de control de acceso debe considerarse un perímetro. Esto significa que, aunque un usuario u otra entidad puede haber pasado correctamente el control de acceso anteriormente, no se confía en que accedan a otra área o recurso hasta que se autentiquen. En algunos casos, los usuarios pueden tener que autenticarse varias veces y de diferentes maneras, para obtener acceso a diferentes capas de la red.
Los tres pilares de "Zero Trust" son: la fuerza de trabajo, las cargas de trabajo y el lugar de trabajo.3.2.2 Modelos de control de acceso
Una organización debe implementar controles de acceso adecuados para proteger sus recursos de red, recursos de sistemas de información y la información misma.
Un analista de seguridad debe entender los diferentes modelos básicos de control de acceso para tener una idea acabada de cómo los atacantes pueden violar los controles de acceso.Control de Acceso Discrecional (DAC, Discretionary access control)
- Este es el modelo menos restrictivo y permite a los usuarios controlar el acceso de sus datos como si fueran propietarios de esos datos.
- El DAC puede utilizar ACLs u otros métodos para especificar qué usuarios o grupos de usuarios tienen acceso a la información.
Control de Acceso Obligatorio (MAC, Mandatory access control)
- Se aplica el más estricto control de acceso y suele utilizarse en aplicaciones militares o fundamentales para la misión.
- Asigna etiquetas del nivel de seguridad a la información y habilita el acceso de los usuarios en función del nivel de autorización de seguridad.
Control de Acceso Basado en Roles (Role-based access control - RBAC)
- Las decisiones de acceso se basan en los roles y las responsabilidades del individuo dentro de la organización.
- Se asignan privilegios de seguridad a diferentes roles y se asignan personas al perfil RBAC para el rol.
- Las funciones pueden incluir diferentes puestos, clasificaciones de puestos o grupos de clasificaciones de puestos.
- También se conoce como un tipo de control de acceso no discrecional.
Control de acceso basado en atributos (ABAC, Attribute-based access control)
Permite el acceso según los atributos del objeto (recurso) al que se tendrá acceso, el sujeto (usuario) que tendrá acceso al recurso y los factores del entorno respecto de cómo se tendrá acceso al objeto (por ejemplo, la hora del día).Control de acceso reglamentado (RBAC, Rule-based access control)
- El personal de seguridad de red especifica conjuntos de reglas o condiciones asociadas con el acceso a datos o sistemas.
- Estas reglas pueden especificar direcciones IP permitidas o denegadas, o ciertos protocolos y otras condiciones.
- También conocido como RBAC basado en reglas.
Control de acceso basado en tiempo (TAC, Time-based access control)
TAC Permite el acceso a los recursos de red en función de la hora y el día.Otro modelo de control de acceso es el principio de privilegios mínimos, que especifica un enfoque limitado y con base en las necesidades para otorgar derechos de acceso de usuarios y procesos a información y herramientas específicas. Según el principio de privilegios mínimos, a los usuarios solo se les debe otorgar el acceso mínimo necesario para desempeñar su función.
Un ataque común se conoce como escalamiento de privilegios. Durante este ataque, se explotan vulnerabilidades en servidores o sistemas de control de acceso para conceder a un usuario o proceso de software no autorizados más niveles de privilegio que los que deberían tener. Después de que el privilegio se otorga, el agente de amenaza puede tener acceso a información confidencial o tomar el control de un sistema.3.2.3 Sistemas de control de acceso a la red (NAC: Network Access Control)
Los sistemas de control de acceso a la red (NAC) apoyan la gestión del acceso aplicando las políticas de la organización con respecto a las personas y los dispositivos que intentan acceder a la red. Los sistemas NAC permiten a los profesionales de la ciberseguridad supervisar a los usuarios y dispositivos conectados a la red, y controlar manualmente el acceso según sea necesario.
Los sistemas de control de acceso a la red proporcionan las siguientes capacidades:- Aplicar rápidamente las políticas de acceso que se han creado para diferentes condiciones operativas.
- Reconocer y perfilar a los usuarios y dispositivos conectados para evitar que el software malicioso de los sistemas no conformes cause daños.
- Proporcionar acceso seguro a los invitados de la red, a menudo a través de portales de registro.
- Evaluar la conformidad de los dispositivos con las políticas de seguridad por tipo de usuario, tipo de dispositivo y sistema operativo antes de permitir el acceso a la red.
- Mitigar los incidentes de seguridad bloqueando, aislando o reparando los dispositivos no conformes.
El NAC es un componente importante de una arquitectura de seguridad de confianza cero que impone el cumplimiento de la política de seguridad a todos los dispositivos y usuarios que intentan acceder a la red.-
Recibir una calificación
-
3.3.1 Avatar
El administrador de red desempeña un papel importante en la seguridad del sistema. Garantizan que cada usuario de la organización tenga un tipo de cuenta adecuado a su función. Esto significa que los usuarios solo pueden acceder a los datos y modificarlos según la "necesidad de saber", lo que ayuda a gestionar los riesgos de seguridad o de cumplimiento.
Por ejemplo, @Apollo emite el siguiente tipo de cuentas:
- Cuenta de usuario: se utiliza para el uso diario de los recursos del sistema.
- Cuentas de servicio: se utilizan para la interacción con el sistema operativo.
- Cuentas de invitado: se utilizan para usuarios temporales que pueden necesitar acceder a aplicaciones instaladas.
3.3.2 Tipos de cuenta
Una organización no debe compartir cuentas para usuarios privilegiados, administradores o aplicaciones. La cuenta de administrador solo debe utilizarse para administrar un sistema. Si un usuario accede a un sitio web infectado con malware o abre un correo electrónico malicioso mientras usa la cuenta de administrador, esto pondría a la organización en riesgo.
Los administradores deben conocer las cuentas de grupo y de usuario por defecto que puede instalar un sistema operativo. Conocer estas cuentas ayudará al administrador a decidir cuáles deben permitirse y cuáles deshabilitarse.
Esto se debe a que las cuentas predeterminadas, como la cuenta de invitado o administrador, pueden ser un riesgo de seguridad en sistemas antiguos, ya que los atacantes están familiarizados con la configuración predeterminada utilizada. Para mejorar la seguridad reemplace siempre las cuentas predeterminadas y asegúrese de que todos los tipos de cuenta requieran una contraseña.
Es importante administrar correctamente las cuentas para mantener la seguridad.
- Al contratar a un nuevo empleado, cree un perfil de identidad, registre la computadora y los dispositivos móviles del empleado y habilite el acceso a la red de la organización. Como proveedor de identidades (IdP), la organización es responsable de autenticar su identidad.
- Deshabilite o desactive las cuentas que ya no sean necesarias y recupere los datos o las aplicaciones de la organización de los dispositivos del usuario.
- No conceda a un usuario más acceso del necesario para realizar las tareas asignadas (privilegio mínimo).
- Revise el acceso de los usuarios para identificar los ajustes de control de acceso que deban realizarse.
- Utilice las restricciones horarias para controlar cuándo puede conectarse un usuario.
- Utilice restricciones de ubicación para controlar desde dónde un usuario o dispositivo puede iniciar sesión.
- El geoperímetro (geofencing) se utiliza para disparar una acción cuando un usuario entra o sale de un límite geográfico.
- La geolocalización identifica un dispositivo en función de su ubicación geográfica.
- El geotetado (geotagging) añade un identificador a algo basado en la ubicación (como una foto tomada en un smartphone etiquetada con las coordenadas del lugar donde se tomó la foto).
3.3.3 Cuentas privilegiadas
Los ciberdelincuentes apuntan a cuentas con privilegios. ¿Por qué? Porque son las cuentas más potentes de la organización con acceso elevado y sin restricciones a los sistemas. Los administradores usan estas cuentas para implementar y administrar los sistemas operativos, las aplicaciones y los dispositivos de red.
Las organizaciones deben adoptar prácticas sólidas para proteger las cuentas privilegiadas.
- Identificar y reducir la cantidad de cuentas privilegiadas
- Aplique el principio de menor privilegio.
- Revocar los derechos de acceso cuando los empleados se van o cambian de trabajo.
- Eliminar las cuentas compartidas con contraseñas que no caducan.
- Proteja el almacenamiento de contraseña.
- Eliminar las credenciales compartidas entre varios administradores.
- Cambiar automáticamente las contraseñas de las cuentas privilegiadas cada 30 o 60 días.
- Registrar las sesiones privilegiadas.
- Implantar un proceso para cambiar las contraseñas embebidas de los scripts y las cuentas de servicio.
- Registrar toda la actividad de los usuarios.
- Generar alertas para los comportamientos inusuales.
- Deshabilitar las cuentas privilegiadas inactivas.
- Usar la autenticación multifactor para todos los accesos administrativos.
- Implementar un gateway entre el usuario final y los activos confidenciales para limitar la exposición de la red al malware.
3.3.4 Control de acceso a los archivos
Echemos un vistazo más de cerca a cómo los permisos pueden ayudar a proteger los datos.
Los permisos son reglas configuradas para limitar el acceso a carpetas o archivos para un individuo o un grupo. Los usuarios deben estar limitados a solo los recursos que necesitan en un sistema informático o red. Por ejemplo, no deberían estar disponibles para acceder a todos los archivos en un servidor si solo necesitan acceso a una sola carpeta. Si bien puede resultar más sencillo permitir el acceso de los usuarios a toda la unidad, es más seguro limitar el acceso solo a la carpeta que necesitan para realizar su trabajo. Este es el principio del menor privilegio y está estrechamente relacionado con el concepto de "necesidad de conocer" el acceso. Limitar el acceso a los recursos también evita que los ciberdelincuentes accedan a esos recursos si la computadora del usuario se infecta.
3.3.5 Avatar
Si un administrador deniega a un individuo o grupo los permisos para un recurso compartido de red, esto anulará cualquier otra configuración de permisos.
Por ejemplo, si un administrador le niega el permiso de acceso a un intercambio de red a una persona, el usuario no podrá acceder a este intercambio aunque sea el administrador o forme parte del grupo de administradores. La política de seguridad local debe describir los recursos a los que puede acceder cada usuario y grupo, y el tipo de acceso para cada uno.
Una vez que se establecen los permisos de la carpeta principal, las carpetas y los archivos que se crean dentro de ésta heredan sus permisos. Además, la ubicación de los datos y la acción realizada en los datos determinan la propagación de los permisos:
- Los datos movidos en el mismo volumen mantendrán los permisos originales.
- Los datos copiados en el mismo volumen heredarán los nuevos permisos.
- Los datos movidos a un volumen diferente heredarán los nuevos permisos.
- Los datos copiados a un volumen diferente heredarán los nuevos permisos.
3.3.6 Políticas de cuentas en Windows
En la mayoría de las redes que utilizan computadoras Windows, un administrador configura Active Directory con dominios en un servidor Windows. Las computadoras con Windows que se unen al dominio se convierten en miembros del dominio.
El administrador configura una política de seguridad de dominio que se aplica a todos los miembros del dominio. Por ejemplo, las políticas de cuenta se configuran automáticamente cuando un usuario inicia sesión en Windows.
Cuando una computadora no es parte de un dominio de Active Directory, el usuario configura las políticas a través de la política de seguridad local de Windows. En todas las versiones de Windows, excepto en Home Edition, introduzca 'secpol.msc' en el comando Run para abrir la herramienta Local Security Policy.
3.3.7 Gestión de la autenticación
Los problemas de autenticación y autorización incluyen credenciales sin cifrar, permisos incorrectos y violaciones de acceso. ¿Cómo mantener alejados a los ciberdelincuentes y facilitar el inicio de sesión de los usuarios autorizados? La gestión de la autenticación tiene como objetivo garantizar un inicio de sesión seguro y, al mismo tiempo, facilitar su uso.
- Una solución de inicio de sesión único (SSO) permite al usuario utilizar un conjunto de credenciales para autenticarse en varias aplicaciones, recordando solo una contraseña segura.
- OAuth es un estándar que permite usar información de cuenta de un usuario para servicios de terceros como Facebook o Google.
- Una bóveda de contraseñas protege y almacena las credenciales del usuario con una sola contraseña segura.
- La autenticación basada en el conocimiento (KBA) proporciona un restablecimiento de contraseña basado en preguntas o información personal conocida.
3.3.8 Avatar
Es importante mantener la seguridad al autorizar a los usuarios de la web, los dispositivos y las aplicaciones. Veamos.
3.3.9 Código de autenticación de mensajes basado en hash (HMAC, Hash-Based Message Authentication Code)
El código de autenticación de mensajes basados en hash (HMAC) utiliza una clave de cifrado con una función hash para autenticar a un usuario web. Muchos servicios web utilizan la autenticación básica, la cual no cifra el nombre de usuario y la contraseña durante la transmisión. Con el HMAC, el usuario envía un identificador de clave privada y un HMAC. El servidor busca la clave privada del usuario y crea un HMAC. El HMAC del usuario debe coincidir con el que calcula el servidor.
Las VPN que utilizan IPsec dependen de las funciones de HMAC para autenticar el origen de cada paquete y proporcionar verificación de la integridad de los datos.
Los productos de Cisco utilizan el hashing con fines de autenticación de entidades, integridad de datos y autenticidad de datos.
- Los routers de Cisco IOS utilizan el hash con las claves secretas utilizando el HMAC como la manera de agregar información de autenticación a las actualizaciones de protocolo de routing.
- Los gateways y los clientes de IPsec utilizan algoritmos de hash, como MD5 y SHA-1 en el modo HMAC, para proporcionar integridad y autenticidad del paquete.
- Las imágenes del software de Cisco en Cisco.com tienen un checksum basado en MD5 disponible para que los clientes puedan verificar la integridad de las imágenes descargadas.
3.3.10 Avatar
La palabra 'entidad' puede referirse a cualquier dispositivo o sistema dentro de una organización.
3.3.11 Protocolos y tecnologías de autenticación
Un protocolo de autenticación autentica datos entre dos entidades para evitar el acceso no autorizado. Un protocolo describe el tipo de información que debe compartirse para autenticarse y conectarse.
3.3.12 Aplicaciones de funciones hash criptográficas
Como hemos visto anteriormente, las funciones hash criptográficas nos ayudan a garantizar la integridad de los datos y a verificar la autenticación. Las funciones hash criptográficas se utilizan en las siguientes situaciones:
- Para proporcionar una prueba de autenticidad cuando se utiliza con una clave de autenticación secreta simétrica, como Seguridad IP (IPsec) o autenticación del protocolo de routing.
- Para proporcionar autenticación al generar respuestas de única vez y unidireccionales a los desafíos que se presentan en los protocolos de autenticación.
- Para proporcionar pruebas de comprobación de la integridad de los mensajes (como las que se utilizan en los contratos firmados digitalmente) y certificados de infraestructura de clave pública (PKI) (como los que se aceptan al acceder a un sitio web seguro).
3.3.13 Avatar
Mientras que el hashing puede detectar cambios accidentales, no puede proteger contra los cambios deliberados y, por lo tanto, es vulnerable a los ataques "man-in-the-middle".
3.3.14 Estrategias de control de acceso
-
Recibir una calificación
-
3.4.1 Funcionamiento de AAA
Una red debe diseñarse para controlar quién puede conectarse a ella y qué puede hacer cuando está conectado. Estos requisitos de diseño se identifican en la política de seguridad de la red. La política especifica cómo los administradores de redes, usuarios corporativos, usuarios remotos, partners comerciales y clientes tienen acceso a los recursos de la red. La política de seguridad de red también puede exigir la implementación de un sistema de auditoría que registre quién inició sesión y cuándo, y qué hizo mientras permaneció conectado. Algunas reglas de cumplimiento pueden especificar que el acceso se debe registrar y que se deben conservar los registros durante un plazo específico.
El protocolo de autenticación, autorización y auditoría (AAA) proporciona el marco de trabajo necesario para habilitar la seguridad de acceso escalable.
Las tres funciones de seguridad independientes que ofrece el marco arquitectónico AAA.Autenticación
- Los usuarios y administradores deben probar que son quienes dicen ser.
- La autenticación se puede establecer utilizando combinaciones de nombre de usuario y contraseña, preguntas de desafío y respuesta, tarjetas token y otros métodos.
- La autenticación AAA proporciona una forma centralizada de controlar el acceso a la red.
Autorización
- Una vez autenticado el usuario, los servicios de autorización determinan a qué recursos puede acceder el usuario y qué operaciones está habilitado para realizar.
- Un ejemplo es "El usuario 'estudiante' puede acceder al servidor host XYZ usando solo SSH".
Auditoría
- Los registros de Contabilidad tienen también la función de registrar lo que hace el usuario, incluidos los elementos a los que accede, la cantidad de tiempo que accede al recurso y todos los cambios que se realizaron.
- La contabilidad realiza un seguimiento de la forma en que se utilizan los recursos de red.
- Un ejemplo es “El usuario 'estudiante' tuvo acceso al servidor host XYZ mediante SSH durante 15 minutos”.
Este concepto es similar a utilizar una tarjeta de crédito, como se indica en la figura. La tarjeta de crédito identifica quién la puede utilizar y cuánto puede gastar ese usuario, y lleva un registro de los elementos en los que el usuario gastó dinero.
3.4.2 Autenticación AAA
La autenticación de AAA puede usarse para autenticar a los usuarios para el acceso administrativo o puede usarse para autenticar a los usuarios para el acceso remoto a la red.
Cisco ofrece dos métodos comunes de implementar servicios de AAA:
Autenticación AAA local:
Este método también se conoce como autenticación autónoma porque autentica a los usuarios en función de nombres de usuario y contraseñas almacenados localmente, como se ve en la imagen. AAA local es ideal para las redes pequeñas.
un cliente remoto se conecta a un router AAA, se le solicita un usuario y contraseña, el router revisa su base de datos local antes de permitir acceso a la red corporativa
Autenticación AAA basada en el servidor:
Este método autentica en función de un servidor AAA central que contiene los nombres de usuario y contraseñas de todos los usuarios. La autenticación AAA con base en el servidor es adecuada para redes de tamaño mediano a grande.
La autenticación AAA centralizada tiene más capacidad de escala y administración que la autenticación AAA local y, por lo tanto, es la implementación de AAA preferida.
Un sistema de AAA centralizado puede mantener bases de datos para la autenticación, autorización y auditoría de manera independiente. Puede aprovechar Active Directory o el protocolo ligero de acceso a directorios (LDAP, Lightweight Directory Access Protocol) para la autenticación de usuarios y la membrecía de grupos, manteniendo sus propias bases de datos de autorización y auditoría.
Los dispositivos se comunican con el servidor AAA centralizado usando los protocolos Remote Authentication Dial-In User Service (RADIUS) o Terminal Access Controller Access Control System (TACACS+).
En la tabla se mencionan las diferencias entre estos programas;
TACACS+ RADIUS Funcionalidad Separa las funciones de autenticación, autorización y contabilidad según la arquitectura AAA. Esto permite la modularidad de la implementación del servidor de seguridad. Combina la autenticación y la autorización pero separa la contabilidad, lo que permite una menor flexibilidad en la implementación que TACACS+ Estándar Soportado mayoritariamente por Cisco Estándar abierto/RFC Transporte Puerto TCP 49 Puertos UDP 1812 y 1813, o 1645 y 1646 Protocolo CHAP Desafío y respuesta bidireccionales como los utilizados en el Protocolo de Autenticación por Desafío (CHAP: Challenge Handshake Authentication Protocol) El NAC es un componente importante de una arquitectura de seguridad de confianza cero que impone el cumplimiento de la política de seguridad a todos los dispositivos y usuarios que intentan acceder a la red. Protocol (CHAP) Desafío y respuesta unidireccionales del servidor de seguridad RADIUS al cliente RADIUS Confidencialidad Cifra todo el cuerpo del paquete pero deja una cabecera TACACS+ estándar. Cifra solo la contraseña en el paquete de solicitud de acceso del cliente al servidor. El resto del paquete no está cifrado, dejando el nombre de usuario, los servicios autorizados y la contabilidad sin protección. Personalización Proporciona autorización de los comandos del router por usuario o por grupo No tiene la opción de autorizar los comandos del router por usuario o por grupo Contabilidad (Accounting) Limitada Amplia
3.4.3 Registros de contabilidad AAA
La AAA centralizada también permite el uso del método de contabilidad. Los registros de contabilidad provenientes de todos los dispositivos se envían a repositorios centralizados, lo que permite simplificar la Contabilidad de las acciones del usuario.
La auditoría de AAA recopila datos de uso en los registros de AAA y los informa. Estos registros son útiles para las auditorías de seguridad. Los datos recopilados pueden incluir la hora de inicio y finalización de la conexión, los comandos ejecutados, la cantidad de paquetes y el número de bytes.
Un uso muy implementado de la contabilidad es en combinación con la autenticación AAA. Esto ayuda a que el personal administrativo de la red administre el acceso a dispositivos de interconexión de redes. La auditoría proporciona más que solo autenticación. Los servidores AAA mantienen un registro detallado de lo que el usuario autenticado hace exactamente en el dispositivo, como se muestra en la imagen. Esto incluye todos los comandos EXEC y de configuración que emite el usuario. El registro contiene varios campos de datos, incluidos el nombre de usuario, la fecha y hora, y el comando real que introdujo el usuario. Esta información resulta útil para solucionar problemas de dispositivos y también proporciona evidencia contra individuos que realizan actividades maliciosas.
- Cuando se autentica a un usuario, el proceso de auditoría AAA genera un mensaje de inicio que comienza el proceso de auditoría.
- Cuando el usuario termina, se registra un mensaje de finalización y se da por terminado el proceso de auditoría.
-
Recibir una calificación
-
3.5 Resumen de Control de Acceso
-
Recibir una calificación
-
-
-
Recibir una calificación
-
-
4.0.1 ¿Por qué debería tomar este módulo?
En la comunidad cerrada donde viven sus abuelos, hay reglas para quién puede entrar y salir del local. El guardia no levantará la puerta para dejarte entrar a la comunidad hasta que alguien confirme que estás en una lista de visitantes aprobada. Al igual que el guardia en la comunidad cerrada, el tráfico de red que pasa a través de una interfaz configurada con una lista de control de acceso (ACL) ha permitido y denegado el tráfico. ¿Cómo se configuran estas ACL? ¿Cómo se modifican si no funcionan correctamente o si requieren otros cambios? ¡Comience con este módulo para obtener más información!
4.0.2 ¿Qué aprenderé en este módulo?
Este módulo contiene lo siguiente:
- 6 Actividades de Packet Tracer
- 1 Actividad del verificador de sintaxis
- 5 Actividades de Verifique su Comprensión
- 1 Prueba del Módulo
Objetivo del módulo: Implementar listas de control de acceso (ACL) para filtrar el tráfico y mitigar los ataques a la red.
Título del tema Objetivo del tema Introducción a las listas de control de acceso Describir las ACL estándar y extendidas de IPv4. Máscaras comodín Explicar cómo las ACL utilizan máscaras comodín. Configurar las ACL Explicar cómo configurar las ACL. Modificar las ACL Utilizar números de secuencia para editar las ACL IPv4 estándar existentes. Implementar las ACL Implementar las ACL. Mitigar ataques con ACL Usar las ACL para mitigar los ataques comunes a la red. ACL IPv6 Configurar ACL IPv6 utilizando la CLI.
-
4.1.1 ¿Qué es una ACL?
Los enrutadores toman decisiones de enrutamiento basadas en la información del encabezado del paquete. El tráfico que ingresa a una interfaz de enrutador se enruta únicamente en función de la información dentro de la tabla de enrutamiento. El router compara la dirección IP de destino con las rutas de la tabla de enrutamiento para encontrar la mejor coincidencia y, a continuación, reenvía el paquete según la mejor ruta de coincidencia. Ese mismo proceso se puede utilizar para filtrar el tráfico mediante una lista de control de acceso (ACL).
Una ACL es una serie de comandos del IOS que controlan si un router reenvía o descarta paquetes según la información que se encuentra en el encabezado del paquete. De forma predeterminada, un router no tiene ninguna ACL configurada. Sin embargo, cuando se aplica una ACL a una interfaz, el router realiza la tarea adicional de evaluar todos los paquetes de red a medida que pasan a través de la interfaz para determinar si el paquete se puede reenviar.
Una ACL utiliza una lista secuencial de declaraciones de permiso o denegación, conocidas como entradas de control de acceso (ACE).
Nota: Las ACE también suelen llamarse instrucciones ACL.
Cuando el tráfico de la red atraviesa una interfaz configurada con una ACL, el router compara la información dentro del paquete con cada ACE, en orden secuencial, para determinar si el paquete coincide con una de las ACE. Este proceso se denomina filtrado de paquetes.Limitan el tráfico de la red para aumentar su rendimiento.
- Una política corporativa prohíbe el tráfico de video para reducir la carga de la red.
- Se puede aplicar una directiva mediante ACL para bloquear el tráfico de vídeo.
Control proporcional del fluido de tráfico.
- Una política corporativa requiere que el tráfico del protocolo de enrutamiento se limite solo a cielos enlaces.
- Se puede implementar una política utilizando ACL para reestringir la entrega de actualizaciones de enrutamiento solo a aquellas que proporcionan de una fuente conocida.
Proporcionan un nivel básico de seguridad para el acceso a la red.- La política corporativa exige que el acceso a la red de Recursos Humanos esté restringido únicamente a usuarios autorizados.
- Se puede aplicar una política mediante ACL para limitar el acceso a redes específicas.
Filtran el tráfico según el tipo de tráfico.
- La política corporativa exige que se permite el tráfico de correo electrónico en una red, pero que se deniegue el acceso Telnet.
- Una directa se puede implementar mediante ACL para filtrar el tráfico por tipo.
Filtran a los hosts para permitirles o denegarles el acceso a los servicios de red.
- La política corporativa requiere que el acceso a algunos tipos de archivos (por ejemplo, FTP o HTTP) se limita a grupos de usuarios.
- Se puede implementar una política utilizando ACL para filtrar el acceso de los usuarios a los servicios.
Proporcionar prioridad a determinadas clases de tráfico de rojo.
- El tráfico corporativo específico que el tráfico de voz se renvíe lo más rápido posible para evitar cualquier interrupción.
- Se puede implementar una política utilizando ACL y servicios QoS para identificar el tráfico de voz y procesamiento de información.
4.1.2 Filtrado de paquetes
El filtrado de paquetes controla el acceso a una red mediante el análisis de los paquetes entrantes y salientes y la transferencia o el descarga de estos según criterios determinados. El filtrado de paquetes puede producirse en la capa 3 o capa 4, como se muestra en la ilustración.
Los routers Cisco admite los siguientes dos tipos de ACL:
- ACL estándar - Las ACL solo filtran en la capa 3 utilizando únicamente la dirección IPv4 de origen.
- ACL extensidas Las ACLs filtran en la capa 3 utilizando la dirección IPv4 de origen y/o destino. También puede filtrar en la Capa 4 usando TCP, puertos UDP e información de tipo de protocolo opcional para un control más fino.
4.1.3 ACL numeradas y denominadas
Numeradas ACL
Las ACL número 1 a 99, o 1300 a 1999 son ACL estándar, mujeres que las ACL número 100 a 199, o 2000 a 2699 son ACL extensidas, como se muestra en la salida.
ACL nombradas
Las ACL con nombre son el método preferido para configurar ACL. Específicamente, las ACL estándar y extendidas se pueden nombrar para proporcionar información sobre el propósito de la ACL. Por ejemplo, nombre un FILTRO FTP-ACL extendido es mucho mejor que tener un ACL 100 numerado.
El comercio de configuración global ip lista de acceso se utiliza para crear una ACL con nombre, como se muestra en el siguiente ejemplo.
A continuación se resumen las reglas que se deben seguir para las ACL con nombre:
- Asigne un nombre para identificar el propósito de la ACL.
- Los nombres pueden contener caracteres alfanuméricos.
- Los nombres no pueden contener espacios ni signos de puntuación.
- Se sugiere escribir el nombre en MAYUNSCULAS.
- Se puede agregar o eliminar entradas dentro de la ACL.
4.1.4 Funcionamiento de la ACL
Las ACL definen el conjunto de reglas que proporcionan un control adicional para los paquetes que ingresan por las interfaces de entrada, para los que retransmiten a través del router y para los que salen por las interfaces de salida del router.
Las ACL se pueden configurar para aplicar al tráfico entre y al tráfico saliente, como se muestra en la figura.
Nota: Las ACLs no actúan sobre los paquetes que se originan en el propio router.
Las ACL de entrada filtran los paquetes que ingresan a una interfaz específica y lo hacen antes de que se enruten a la interfaz de salida. Las ACL de entrada son eficaces, porque ahorran la sobrecarga de enrutar búsquedas si el paquete se descarga. Si las ACL permiten el paquete, este se procesa para el routing. Las ACL de entrada son ideales para filtrar los paquetes cuando la red conectada a una interfaz de entrada es el único origen de los paquetes que se deben examinar.
Las ACL de salida filtran los paquetes despés de que se enrutan, independientemente de la interfaz de entrada. Los paquetes entrantes se enrutan a la interfaz saliente y luego se procesa a través de la ACL saliente. Las ACL de salida son ideales cuando se aplica el mismo filtro a los paquetes que proporcionan varias interfaces de entrada antes de salir por la misma interfaz de salida.
Cuando se aplica una ACL a una interfaz, sigue un procedimiento operativo específico. Por ejemplo, estos son los pasos operativos utilizados cuando el tráfico ha entrado en una interfaz del router con una ACL IPv4 estándar entre configurado:- Un router configurado con una ACL de IPv4 estándar recupera la dirección IPv4 de origen del encabezado del paquete.
- El router comienza en la parte superior de la ACL y compra la dirección con cada ACE de manera segura.
- Cuando encuentra una coincidencia, el router realiza la instrucción, que puede ser permitir o denegar el paquete. Las demás entradas en el ACL no son analizadas.
- Si la dirección IPv4 de origen no coincide con ninguna ACE de la ACL, el paquete se descarga porque hay una ACE de denegación implícita aplicada automáticamente a todas las ACL.
Nota: Una ACL debe tener al menos una declaración de permiso, de lo contrario se denegará todo el tráfico debido a la declaración deny implícita de ACE. -
4.2.1 Descripción de la máscara comodín (wildcard)
En el tema anterior aprende sobre el propósito de las ACL. En este tema se explica cómo las ACL utilizan máscaras wildcard. Un ACE IPv4 utiliza una máscara wildcard de 32-bit para determinar qué bits de la dirección debe examinar para obtener una coincidencia. El protocolo de entrenamiento Open Shortest Path First (OSPF) también utiliza máscaras wildcard.
Una máscara wildcard es similar a una máscara de subred, ya que utiliza el proceso AnDing para identificar los bits de una dirección IPv4 que debe coincidir. Sin embargo, difieren en la forma en que coinciden binarios 1s y 0s. Sin embargo, a diferencia de una máscara de subred en la que el 1 binario equivale a una coincidencia y el 0 binario no es una coincidencia, en las máscaras wildcard es al revés.
Las máscaras wildcard utilizan las siguientes reglas para establecer la coincidencia entre los unos y ceros binarios:- Máscara wildcard bit 0 Coincide con el valor del bit correspondiente en la dirección
- Máscara comodín bit 1 - Ignora el valor del bit correspondiente en la dirección
Mascara comodín Último octeto (en binario) Significado (0 - coincide, 1 - se ignora) 0.0.0.0 00000000 Coincide con todos los octetos. 0.0.0.63 001111111 - Coincide con los tres primeros octetos
- Coincide con los dos bits más a la izquierda del último octeto
- Ignora los últimos 6 bits
0.0.0.15 00001111 - Coincide con los tres primeros octetos
- Coincide con los cuatro bits más a la izquierda del último octeto
- Ignora los últimos 4 bits del último octeto
0.0.0.252 11111100 - Coincide con los tres primeros octetos
- Ignora los seis bits más a la izquierda del último octeto
- Coincide con los dos últimos bits
0.0.0.255 111111111 - Coincide con los tres primeros octetos
- Ignora el último octeto
4.2.2 Tipos de máscaras comodín (wildcard)
Usar máscaras wildcard tomará algo de práctica. Consulta los ejemplos para obtener información sobre cómo se utiliza la máscara wildcard para filtrar el tráfico de un host, una subred y un rango de direcciones IPv4.
Haga clic en cada botón para ver cómo se utiliza la máscara wildcard en las ACL.
4.2.3 Cálculo de máscara comodín
El cálculo de máscaras de wildcard puede ser difícil. Un método abreviado es restaurar la máscara de subred a 255.255.255.255. Consulta los ejemplos para aprender a calcular la máscara wildcard mediana la máscara de subred.
Ejemplo 1
Suponga que desea un ACE en ACL 10 para permitir el acceso a todos los usuarios en la red 192.168.3.0/24. Para calcular la máscara wildcard, reste la máscara de subred (es decir, 255.255.255.0) de 255.255.255.255, como se muestra en la tabla.
El resultado géneros la máscara wildcard 0.0.0.255. Por lo tanto, la ACE sería lista de acceso 10 permiso 192.168.3.0 0.0.255.
Valor inicial 255.255.255.255 Reste la máscara de subred 255.255.255. 0 Máscara wildcard resultante 0. 0. 0. 255
Ejemplo 2
En este ejemplo, suponga que desea un ACE en ACL 10 para permitir el acceso a la red a los 14 usuarios en la subred 192.168.3.32/28. Resta la subred (es decir, 255.255.255.240) de 255.255.255.255, como se muestra en la tabla.
Esta solución produce la máscara wildcard 0.0.0.15. Por lo tanto, la ACE sería lista de acceso 10 permiso 192.168.3.32 0.0.0.15.
Valor inicial 255.255.255.255 Reste la máscara de subred - 255.255.255.240 Máscara wildcard resultante 0.0.0.15
Ejemplo 3
En este ejemplo, suponga que necesita una ACE en ACL 10 para permitir sólo las redes 192.168.10.0 y 192.168.11.0. Estas dos redes se pueden resumir como 192.168.10.0/23, que es una máscara de subred de 255.255.254.0. Nuevo, resta la máscara de subred 255.255.254.0 de 255.255.255.255, como se muestra en la tabla.
Esta solución produce la máscara wildcard 0.0.1.255. Por lo tanto, la ACE sería lista de acceso 10 permiso 192.168.10.0 0.0.1.255.
Valor inicial 255.255.255.255 Reste la máscara de subred - 255.255.254.0 Máscara wildcard resultante 0.0.1.255
Ejemplo 4
Considére un ejemplo en el que necesita un número 10 de ACL para que coincida con las redes en el rango entre 192.168.16.0/24 y 192.168.31.0/24. Este rango de red podría resumirse como 192.168.16.0/20, que es una máscara de subred de 255.255.240.0. Por lo tanto, reste la máscara de subred 255.255.240.0 de 255.255.255.255, como se muestra en la tabla.
Esta solución produce la máscara wildcard 0.0.15.255. Por lo tanto, la ACE sería lista de acceso 10 permiso 192.168.16.0 0.0.15.255.
Valor inicial 255.255.255.255 Reste la máscara de subred - 255.255.240.0 Máscara wildcard resultante 0.0.15.255
4.2.4 - Palabras clave de una máscara wildcard
Trabajar con representaciones decimales de los bits binarios de máscaras wildcard puede ser tedioso. Para simplificar esta tarea, Cisco IOS proporciona dos palabras clave para identificar los usos más comunes del masaje de comodines. Las palabras clave reducen las pulsaciones de teclas de la ACL pero, lo que es más importante, facilitan la lectura de la ACE.
Las dos palabras clave son:- anfitrión - Esta palabra clave sustituye a la máscara 0.0.0.0. Esta máscara indica que todos los bits de direcciones IPv4 deben coincidir para filtrar solo una dirección de host.
- cualquiera esta palabra clave sustituye a la máscara 255.255.255.255. Esta máscara establece que se omite la dirección IPv4 completa o que se acepta cualquier dirección.
Alternativamente, las palabras clave anfitrión y cualquiera podrían haber sido utilizadas para reemplazar la salida recaltada.
Los siguientes comandos cumplen la misma tarea que los comandos anteriores.
-
Recibir una calificación
-
4.3.1 Crear una ACL
En el módulo anterior aprendió acerca de lo que hace una ACL y por qué es importante. En este tema, aprenderá a crear ACL.
Todas las listas de control de acceso (ACL) deben planificarse. Sin embargo, esto es especialmente cierto para las ACL que requieren varias entradas de control de acceso (ACE).
Al configurar una ACL compleja, se sugiere que:
- Utilice un editor de texto y escriba los detalles de la política que se va a implementar.
- Agregue los comandos de configuración del IOS para realizar esas tareas.
- Incluya comentarios para documentar la ACL.
- Copie y pegue los comandos en el dispositivo.
- Pruebe siempre exhaustivamente una ACL para asegurarse de que aplica correctamente la política deseada.
4.3.2 Sintaxis de ACL IPv4 estándar numerada
Para crear una ACL estándar numerada, utilice el siguiente comando de configuración global:
Utilice el comando de configuración global no access-list access- list-number para eliminar una ACL estándar numerada.
La tabla proporciona una explicación detallada de la sintaxis de una ACL estándar.
Parámetro Descripción access-list-number - Es el número decimal de la ACL.
- El rango estándar de números de ACL es de 1 a 99 o de 1300 a 1999.
deny Deniega el acceso si se cumple la condición.
permit Permite el acceso si se cumple la condición.
remark text - (Opcional) Añade una entrada de texto con fines de documentación.
- Los comentarios son extremadamente útiles, especialmente en ACL más largas o complejas.
- Cada comentario está limitado a 100 caracteres.
source - Identifica la red de origen o la dirección de host que se va a filtrar.
- Utilice la palabra clave any para especificar todas las redes.
- Utilice la palabra clave host ip-address o simplemente introduzca una dirección ip (sin la palabra clave host) para identificar una dirección IP específica.
source-wildcard (Opcional) Se trata de una máscara comodín de 32 bits que se aplica a la fuente. Si se omite, se asume una máscara 0.0.0.0 por defecto.
log - (Opcional) Esta palabra clave genera un mensaje informativo cada vez que se produce una coincidencia con la ACE.
- El mensaje incluye el número de ACL, la condición de coincidencia (es decir, permitido o denegado), la dirección de origen y el número de paquetes.
- Este mensaje se genera para el primer paquete coincidente.
- Desafortunadamente, el registro de ACL puede ser intensivo para la CPU y puede afectar negativamente a otras funciones, por lo que solo debería implementarse para la resolución de problemas o por razones de seguridad.
4.3.3 Sintaxis de ACL IPv4 estándar con nombre
La asignación de nombres a las ACL hace más fácil comprender su función. Para crear una ACL estándar con nombre, utilice el siguiente comando de configuración global:
Este comando entra en el modo de configuración estándar con nombre en el que se configuran las ACE del ACL.
Los nombres de las ACL son alfanuméricos, distinguen mayúsculas de minúsculas y deben ser únicos. No es necesario que los nombres de las ACL comiencen con mayúscula, pero esto los hace destacarse cuando se observa el resultado de show running-config. También hace que sea menos probable que cree accidentalmente dos ACL diferentes con el mismo nombre pero con distinto uso de mayúsculas.
Nota: utilice el comando de configuración global no ip access-list standard access-list-name para eliminar una ACL IPv4 estándar con nombre.
En el ejemplo, se crea una ACL estándar para IPv4 llamada NO-ACCESS. Observe que el indicador cambia al modo de configuración de ACL estándar con nombre. Las sentencias ACE se introducen en el modo de subconfiguración ACL estándar con nombre. Utilice la función de ayuda para ver todas las opciones de ACE ACL estándar con nombre.
Las tres opciones resaltadas se configuran de forma similar a la ACL estándar numerada. A diferencia del método de ACL numeradas, no es necesario repetir el comando inicial ip access-list para cada ACE.
4.3.4 Sintaxis de ACL IPv4 extendida numerada
Los pasos del procedimiento para configurar ACL extendidas son los mismos que para las ACL estándar. Primero se configura la ACL extendida y, a continuación, se activa en una interfaz. Sin embargo, la sintaxis de los comandos y los parámetros son más complejos, a fin de admitir las funciones adicionales proporcionadas por las ACL extendidas.
Para crear una ACL extendida numerada, utilice el siguiente comando de configuración global:
Utilice el comando de configuración global no access-list access-list-number para eliminar una ACL extendida.
Aunque existen muchas palabras clave y parámetros para las ACL extendidas, no es necesario usarlas todas al configurar una ACL extendida. La tabla proporciona una explicación detallada de la sintaxis de una ACL extendida.Parámetro Descripción access-list-number - Es el número decimal de la ACL.
- El rango de números de ACL extendida es de 100 a 199 y de 2000 a 2699.
deny Deniega el acceso si se cumple la condición. permit Permite el acceso si se cumple la condición. remark text - (Opcional) Añade una entrada de texto con fines de documentación.
- Cada comentario está limitado a 100 caracteres.
protocol - Nombre o número de un protocolo de Internet.
- Las palabras clave más comunes son ip, tcp, udp e icmp.
- La palabra clave ip coincide con todos los protocolos IP.
source - Identifica la red de origen o la dirección de host a filtrar.
- Utiliza la palabra clave any para especificar todas las redes.Use the host ip-address keyword or simply enter an ip-address (without the host keyword) to identify a specific IP address.
source-wildcard (Opcional) Se trata de una máscara comodín de 32 bits que se aplica al origen. destination-wildcard (Opcional) Es una máscara comodín de 32 bits que se aplica al destino. destination - Identifica la red de destino o la dirección de host que se va a filtrar.
- Utiliza la palabra clave any para especificar todas las redes.
- Utiliza la palabra clave host ip-address o ip-address.
established - (Opcional) Solo para el protocolo TCP.
- Esta es una función del firewall de primera generación.
port (Opcional) El número decimal o el nombre de un puerto TCP o UDP. operator - (Opcional) Compara los puertos de origen o destino.
- Algunos operadores son lt (menor que), gt (mayor que), eq (igual) y neq (no igual).
log - (Opcional) Esta palabra clave genera un mensaje informativo cada vez que se produce una coincidencia con la ACE.
- El mensaje incluye el número de ACL, la condición de coincidencia (es decir, permitido o denegado), la dirección de origen y el número de paquetes.
- Este mensaje incluye el número de ACL, la condición de coincidencia (es decir, permitido o denegado), la dirección de origen y el número de paquetes.
- Este mensaje se genera para el primer paquete coincidente.
- Esta palabra clave solo debería implementarse para la resolución de problemas o por razones de seguridad.
El comando para aplicar una ACL extendida de IPv4 a una interfaz es el mismo que el comando utilizado para las ACL estándar de IPv4 .
Para eliminar una ACL de una interfaz, primero introduzca el comando de configuración de interfaz no ip access-group. Para eliminar la ACL del router utilice el comando de configuración global no access-list.
Nota: La lógica interna aplicada al ordenamiento de las instrucciones de las ACL estándar no se aplica a las ACL extendidas. El orden en que se introducen las instrucciones durante la configuración es el orden en que se muestran y se procesan.4.3.5 Protocolos y números de puerto
Las ACL extendidas pueden filtrar en muchos tipos diferentes de protocolos y puertos de Internet. Haga clic en cada botón para obtener más información acerca de los protocolos de Internet y los puertos en los que las ACL extendidas pueden filtrar.
4.3.6 Ejemplos de Configuración de Protocolos y Números de Puerto
Las ACL extendidas pueden filtrar en diferentes opciones de número de puerto y nombre de puerto. En este ejemplo se configura una ACL 100 extendida para filtrar el tráfico HTTP. El primer ACE usa el nombre de puerto www. El segundo ACE utiliza el número de puerto 80. Ambas ACE logran exactamente el mismo resultado.
La configuración del número de puerto es necesaria cuando no aparece un nombre de protocolo específico, como SSH (número de puerto 22) o HTTPS (número de puerto 443), como se muestra en el siguiente ejemplo.
4.3.7 ACL extendida establecida por TCP
TCP también puede realizar servicios básicos de firewall stateful utilizando la palabra clave TCP established. La palabra clave permite que el tráfico interno salga de la red privada interna y permite que el tráfico de respuesta devuelta entre en la red privada interna, como se muestra en la figura.Sin embargo, se deniega el tráfico TCP generado por un host externo e intentando comunicarse con un host interno.
La palabra clave established se puede usar para permitir solo el tráfico HTTP de retorno de los sitios web solicitados, mientras se deniega el resto del tráfico.
En la topología, el diseño de este ejemplo muestra que ACL 110, que se configuró previamente, filtrará el tráfico de la red privada interna. ACL 120, utilizando la palabra clave established, filtrará el tráfico que ingresa a la red privada interna desde la red pública externa.
En el ejemplo, ACL 120 está configurado para permitir sólo devolver tráfico web a los hosts internos. A continuación, la nueva ACL se aplica saliente en la interfaz R1 G0/0/0. El comando show access-list muestra ambas ACL. Aviso de las estadísticas de coincidencia que dentro de los hosts han estado accediendo a los recursos web seguros desde Internet.4.3.7 ACL extendida establecida por TCP
TCP también puede realizar servicios básicos de firewall stateful utilizando la palabra clave TCP established. La palabra clave permite que el tráfico interno salga de la red privada interna y permite que el tráfico de respuesta devuelta entre en la red privada interna, como se muestra en la figura.
Sin embargo, se deniega el tráfico TCP generado por un host externo e intentando comunicarse con un host interno.
La palabra clave established se puede usar para permitir solo el tráfico HTTP de retorno de los sitios web solicitados, mientras se deniega el resto del tráfico.
En la topología, el diseño de este ejemplo muestra que ACL 110, que se configuró previamente, filtrará el tráfico de la red privada interna. ACL 120, utilizando la palabra clave established, filtrará el tráfico que ingresa a la red privada interna desde la red pública externa.
En el ejemplo, ACL 120 está configurado para permitir sólo devolver tráfico web a los hosts internos. A continuación, la nueva ACL se aplica saliente en la interfaz R1 G0/0/0. El comando show access-list muestra ambas ACL. Aviso de las estadísticas de coincidencia que dentro de los hosts han estado accediendo a los recursos web seguros desde Internet.
Observe que el permiso de contadores HTTPS seguros (es decir, eq 443) en ACL 110 y los contadores de retorno establecidos en ACL 120 han aumentado.
El parámetro established permite que solo las respuestas al tráfico procedente de la red 192.168.10.0/24 vuelvan a esa red. Específicamente, se produce una coincidencia si el segmento TCP devuelto tiene los bits de indicador ACK o reset (RST) establecidos. Esto indica que el paquete pertenece a una conexión existente. Sin el parámetro established en la instrucción de la ACL, los clientes pueden enviar tráfico a un servidor web y recibir el tráfico que vuelve de dicho servidor. Todo el tráfico estaría permitido.4.3.8 Sintaxis de ACL IPv4 extendida con nombre
La asignación de nombres a las ACL hace más fácil comprender su función. Para crear una ACL extendida con nombre, utilice el siguiente comando de configuración global:
Este comando ingresa al modo de configuración extendida con nombre. Recuerde que los nombres de ACL son alfanuméricos, distinguen entre mayúsculas y minúsculas y deben ser únicos.
En el ejemplo, se crea una ACL extendida con nombre llamada NO-FTP-ACCESS y el indicador cambia a modo de configuración ACL extendida con nombre. Las instrucciones ACE se introducen en el modo de subconfiguración de ACL extendido con nombre.
4.3.9 Ejemplo de ACL IPv4 extendida con nombre
Las ACL extendidas con se crean esencialmente de la misma forma que las ACL estándar con nombre.
La topología de la figura se utiliza para demostrar la configuración y aplicación de dos ACL IPv4 extendidas con nombre a una interfaz:- SURFING - Esto permitirá que el tráfico interno HTTP y HTTPS salga a Internet.
- BROWSING - Esto solo permitirá el retorno del tráfico web a los hosts internos, mientras que el resto del tráfico que sale de la interfaz R1 G0/0/0 es implícitamente denegado.
La ACL de SURFING permite que el tráfico HTTP y HTTPS de los usuarios internos salga de la interfaz G0/0/1 conectada a Internet. La ACL de BROWSING permite que el tráfico web que regrese de Internet vuelva a la red privada interna.
La ACL de SURFING se aplica de entrada y la ACL de BROWSING se aplica de salida en la interfaz G0/0/0 en R1, como se muestra en el ejemplo.
Los hosts internos han estado accediendo a los recursos seguros de la web desde Internet. El comando show access-lists se utiliza para verificar las estadísticas de la ACL. Observe que los contadores HTTPS seguros de permiso (es decir, eq 443) en la ACL de SURFING y los contadores de retorno establecidos en la ACL de BROWSING han aumentado.
-
4.4.1 Dos métodos para modificar una ACL
Después de configurar una ACL, es posible que deba modificarse. Las ACL con varias ACE pueden ser complejas de configurar. A veces, el ACE configurado no produce los comportamientos esperados. Por estos motivos, las ACL pueden requerir inicialmente un poco de prueba y error para lograr el resultado de filtrado deseado.
En esta sección se analizarán dos métodos que se utilizarán al modificar una ACL:- Utilice un editor de texto.
- Utilice Números de secuencia
4.4.2 Método del editor de texto
Las ACL con varias ACE deben crearse en un editor de texto. Esto le permite planificar las ACE requeridas, crear la ACL y luego pegarla en la interfaz del router. También simplifica las tareas para editar y corregir una ACL.
Por ejemplo, supongamos que la ACL 1 se introdujo incorrectamente utilizando 19 en lugar de 192 para el primer octeto, como se muestra en la configuración en ejecución.
En el ejemplo, la primera ACE debería haber sido denegar el host en 192.168.10.10. Sin embargo, el ACE se ingresó incorrectamente.
Para corregir el error:- Copie la ACL de la configuración en ejecución y péguela en el editor de texto.
- Realice los cambios necesarios.
- Elimine la ACL configurada previamente en el router. De lo contrario, al pegar los comandos ACL editados solo se anexarán (es decir, se añadirán) a las ACE de las ACL existentes en el router.
- Copie y pegue la ACL editada de nuevo en el router.
4.4.3 Método del número de secuencia
Una ACE ACL también se puede eliminar o agregar utilizando los números de secuencia ACL. Los números de secuencia se asignan automáticamente cuando se introduce una ACE. Estos números se muestran en el comando show access-list. El comando show running-config no muestra números de secuencia.
En el ejemplo anterior, el ACE incorrecto para ACL 1 está utilizando el número de secuencia 10, como se muestra en el ejemplo.
Utilice el comando ip access-list standard para editar una ACL. Las instrucciones no se pueden sobrescribir con el mismo número de secuencia que el de una instrucción existente. Por lo tanto, la instrucción actual debe eliminarse primero con el comando no 10. A continuación, se configura el ACE correcto utilizando el número de secuencia 10. Verifique los cambios utilizando el comando show access-lists, como se muestra en el ejemplo.
-
4.5.1 Pautas de configuración de ACL
Una ACL está formada por una o más entradas de control de acceso (ACE) o instrucciones. Al configurar y aplicar una ACL, tenga en cuenta las pautas resumidas en esta lista:
- Cree una ACL a nivel global y luego aplíquela.
- Asegúrese de que la última declaración sea un deny any implícito o deny ip any any.
- Recuerde que el orden de las instrucciones es importante porque las ACL se procesan de arriba hacia abajo.
- En cuanto una sentencia coincide, se sale de la ACL.
- Siempre filtre de lo más específico a lo más genérico. Por ejemplo, deniegue un host específico y luego permita todos los demás hosts.
- Recuerde que solo se permite una ACL por interfaz, protocolo y dirección.
- Recuerde que las declaraciones nuevas para una ACL existente se agregan al final de la ACL de forma predeterminada.
- Recuerde que los paquetes generados por el router no son filtrados por las ACL salientes.
- Coloque las ACL estándar lo más cerca posible del destino.
- Coloque las ACL extendidas lo más cerca posible del origen.
4.5.2 Aplicar una ACL
Después de crear una ACL, el administrador puede aplicarla de diferentes maneras. A continuación se muestra la sintaxis del comando para aplicar una ACL a una interfaz o a las líneas vty.
La siguiente figura muestra una ACL estándar con nombre aplicada al tráfico saliente.
Ejemplo de ACL estándar con nombre
Esta figura muestra dos ACL extendidas con nombre. La ACL SURFING se aplica al tráfico de entrada y la ACL BROWSING se aplica al tráfico de salida.
Ejemplo de ACL extendida con nombre
ACL con nombre en líneas VTY con registro
La habilitación del parámetro log en un router o switch de Cisco afecta seriamente el rendimiento de ese dispositivo. El parámetro log solo debe utilizarse cuando la red está bajo ataque y un administrador intenta determinar quién es el atacante.
La aplicación de ACL a interfaces y líneas es solo uno de sus muchos usos posibles. Las ACL también son una parte integral de otras configuraciones de seguridad tales como la traducción de direcciones de red (NAT), los firewalls basados en zonas y las redes privadas virtuales.
Para eliminar una ACL de una interfaz, primero introduzca el comando no ip access-group interface configuration. Sin embargo, la ACL seguirá configurada en el enrutador Para eliminar la ACL, se utiliza el comando de configuración global no access-list.
4.5.3 Dónde ubicar las ACL
Cada ACL debe colocarse donde sea más eficiente.
La figura ilustra dónde deben ubicarse las ACL estándar y extendidas en una red empresarial. Suponga que el objetivo es evitar que el tráfico que se origina en la red 192.168.10.0/24 llegue a la red 192.168.30.0/24.
Las ACL extendidas deben ubicarse lo más cerca posible del origen del tráfico que se desea filtrar. De esta manera, el tráfico no deseado se deniega cerca de la red de origen, sin que cruce la infraestructura de red.
Las ACL estándar deben aplicarse lo más cerca posible del destino. Si se ha colocado una ACL estándar en el origen del tráfico, el "permiso" o la "denegación" se producirán en función de la dirección de origen dada, independientemente del destino del tráfico.
La colocación de la ACL y, por lo tanto, el tipo de ACL utilizada, también puede depender de una variedad de factores que se enumeran en la tabla.
Factores que influyen en la ubicación del LCA Explicación El grado de control de la organización La ubicación de la ACL puede depender de si la organización tiene o no el control de las redes de origen y destino. Ancho de banda de las redes implicadas Puede ser conveniente filtrar el tráfico no deseado en el origen para evitar la transmisión de tráfico que consume ancho de banda. Facilidad de configuración - Puede ser más fácil implementar una ACL en el destino, pero el tráfico utilizará el ancho de banda innecesariamente.
- Se podría utilizar una ACL extendida en cada router donde se origine el tráfico. Esto ahorraría ancho de banda al filtrar el tráfico en el origen, pero requeriría crear ACL extendidas en varios routers.
4.5.4 Ejemplo de ubicación de una ACL estándar
Siguiendo las pautas para la colocación de ACL, las ACL estándar deben ubicarse lo más cerca posible del destino.
En la ilustración, el administrador desea impedir que el tráfico que se origina en la red 192.168.10.0/24 llegue a la red 192.168.30.0/24.
Siguiendo las pautas básicas de colocación, el administrador colocaría una ACL estándar en el router R3. Hay dos interfaces posibles en R3 para aplicar la ACL estándar:- Interfaz R3 S0/1/1 ( entrante) - La ACL estándar puede aplicarse de forma entrante en la interfaz R3 S0/1/1 para denegar el tráfico de la red .10. Sin embargo, también filtraría el tráfico .10 a la red 192.168.31.0/24 (.31 en este ejemplo). Por lo tanto, la ACL estándar no debe aplicarse a esta interfaz.
- Interfaz R3 G0/0/0 (saliente) - La ACL estándar puede aplicarse de forma saliente en la interfaz R3 G0/0/0. Esto no afecta a las otras redes con las que se puede comunicar R3. Los paquetes de la red.10 seguirán siendo capaces de llegar a la red.31. Esta es la mejor interfaz para colocar la ACL estándar para cumplir con los requisitos de tráfico.
4.5.5 Ejemplo de ubicación de una ACL extendida
Las ACL extendidas deben ubicarse lo más cerca posible del origen del tráfico que se desea filtrar. Esto evita que el tráfico no deseado se envíe a través de varias redes y luego sea denegado cuando llegue a destino.
Sin embargo, los administradores de red solo pueden colocar las listas ACL en los dispositivos que controlan. Por lo tanto, la colocación se debe determinar en el contexto de hasta dónde se extiende el control del administrador de red.
En la figura, por ejemplo, la empresa A quiere denegar el tráfico Telnet y FTP a la red 192.168.30.0/24 de la compañía B desde su red 192.168.11.0/24 mientras permite el resto del tráfico.
Existen varias formas de lograr estos objetivos. Una ACL extendida en R3, que bloquee Telnet y FTP de la red, cumpliría el objetivo, pero el administrador no controla R3. Además, esta solución también permite que el tráfico no deseado cruce toda la red y luego sea bloqueado en el destino. Esto afecta la eficacia general de la red.
La solución es colocar una ACL extendida en R1 que especifique las direcciones de origen y destino.
La figura muestra dos interfaces en R1 en las que sería posible aplicar la ACL extendida:
Interfaz R1 S0/1/0 (outbound) - La ACL extendida puede aplicarse outbound en la interfaz S0/1/0. Sin embargo, esta solución procesará todos los paquetes que salgan de R1, incluidos los paquetes de 192.168.10.0/24.
Interfaz R1 G0/0/1 (inbound) - La ACL extendida puede aplicarse inbound en el G0/0/1 para que solo los paquetes de la red 192.168.11.0/24 estén sujetos al procesamiento de la ACL en R1. Como el filtro debe limitarse solo a los paquetes que salen de la red 192.168.11.0/24, aplicar la ACL extendida a G0/0/1 es la mejor solución.-
CuestionarioRecibir una calificación
-
4.6.1 Mitigar los ataques de suplantación de identidad
Las ACL pueden utilizarse para mitigar muchas amenazas de red, tales como la suplantación de direcciones IP y los ataques de denegación de servicio (DoS). La mayoría de los ataques de DoS utilizan algún tipo de suplantación. La suplantación de direcciones IP anula el proceso normal de creación de paquetes mediante la inserción de un encabezado IP personalizado con una dirección IP de origen diferente. Los atacantes pueden ocultar su identidad falsificando la dirección IP de origen.
Hay muchas clases conocidas de direcciones IP que nunca deben verse como direcciones IP de origen para el tráfico que ingresa a la red de una organización. Por ejemplo, en la figura, la interfaz S0/0/0 está conectada a Internet y nunca debe aceptar paquetes entrantes de las siguientes direcciones:- Todas las direcciones con ceros
- Direcciones de difusión (broadcast)
- Direcciones de host local (127.0.0.0/8)
- Direcciones IP privadas automáticas (APIPA) (169.254.0.0/16)
- Direcciones privadas reservadas (RFC 1918)
- Rango de direcciones IP multicast (224.0.0.0/4)
Entrante en S0/0/0:
Entrante en G0/0:
4.6.2 Permitir el tráfico necesario a través de un firewall
Una estrategia eficaz para mitigar los ataques es permitir explícitamente solo ciertos tipos de tráfico a través de un firewall. Por ejemplo, el Sistema de Nombres de Dominio (DNS), el Protocolo Simple de Transferencia de Correo (SMTP) y el Protocolo de Transferencia de Archivos (FTP) son servicios que a menudo se deben permitir a través de un firewall. También es común configurar un firewall para que los administradores puedan tener acceso remoto a través del firewall. Secure Shell (SSH), syslog y Protocolo Simple de Administración de Redes (SNMP) son ejemplos de servicios que un router puede necesitar incluir. Si bien muchos de estos servicios son útiles, deben controlarse y monitorearse. La explotación de estos servicios genera vulnerabilidades de seguridad.
La figura muestra un ejemplo de topología con configuraciones de ACL para permitir servicios específicos en la interfaz serial 0/0/0.Entrante en S0/0/0:
4.6.3 Mitigar los ataques de ICMP
Los hackers pueden utilizar paquetes de eco (pings) del Protocolo de Mensajes de Control de Internet (ICMP) para descubrir subredes y hosts en una red protegida y para generar ataques de inundación DoS. Los hackers pueden usar mensajes de redireccionamiento ICMP para alterar las tablas de routing de host. El router debe bloquear los mensajes entrantes de eco y redireccionamiento de ICMP.
Se recomiendan varios mensajes de ICMP para el correcto funcionamiento de la red y deben permitirse en la red interna:- Echo reply - Permitire a los usuarios hacer ping a hosts externos.
- Fuente quench - Solicita al emisor que disminuya la tasa de tráfico de mensajes.
- Unreachable - Se genera para los paquetes que son denegados administrativamente por una ACL.
- Echo - Permitire a los usuarios hacer ping a hosts externos.
- Parámetro problem - Informa al host de los problemas de encabezado de los paquetes.
- Packet too big - Activa el descubrimiento de la unidad de transmisión máxima (MTU) de los paquetes.
- Fuente quench - Reduce el tráfico cuando es necesario.
Las ACL se utilizan para bloquear la suplantación de direcciones IP, permitir servicios específicos a través de un firewall y permitir solo los mensajes ICMP requeridos. La figura muestra una topología de ejemplo y posibles configuraciones de ACL para permitir servicios ICMP específicos en las interfaces G0/0 y S0/0/0.Entrante en S0/0/0:
Entrante en S0/0/0:
4.6.4 Mitigar los ataques de SNMP
Los protocolos de administración, como SNMP, son útiles para la supervisión remota y la administración de dispositivos en red. Sin embargo, aún pueden ser explotados. Si el SNMP es necesario, la explotación de las vulnerabilidades del SNMP se puede mitigar aplicando ACLs de interfaz para filtrar los paquetes SNMP de los sistemas no autorizados. Un exploit todavía puede ser posible si el paquete SNMP proviene de una dirección que ha sido falsificada y está permitida por la ACL.
Estas medidas de seguridad son útiles, pero el medio más efectivo de prevención de explotación es deshabilitar el servidor SNMP en los dispositivos IOS para los que no es necesario. Como se muestra en la figura, utilice el comando no snmp-server para deshabilitar los servicios SNMP en el IOS de los dispositivos Cisco.
-
4.7.1 Descripción general de ACL IPv6
En los últimos años muchas redes han comenzado la transición a un entorno IPv6. Parte de la necesidad de la transición a IPv6 se debe a las debilidades inherentes a IPv4.
Lamentablemente, a medida que la migración a IPv6 continúa, los ataques a IPv6 son cada vez más generalizados. IPv4 no desaparecerá de la noche a la mañana. IPv4 coexistirá con IPv6 y luego se reemplazará gradualmente por IPv6. Esto crea posibles brechas de seguridad. Un ejemplo de una preocupación de seguridad son los actores de amenazas que aprovechan IPv4 para explotar IPv6 en entornos de doble pila. La doble pila es un método de integración en el que un dispositivo tiene conectividad tanto a redes IPv4 como a IPv6. En un entorno de doble pila los dispositivos funcionan con dos pilas de protocolo IP.
Los actores de la amenaza pueden llevar a cabo ataques sigilosos que resultan en la explotación de la confianza mediante el uso de hosts de doble pila, mensajes falsos del Protocolo de Descubrimiento de Vecinos (NDP) y técnicas de túnel. El túnel Teredo, por ejemplo, es una tecnología de transición a IPv6 que proporciona una asignación automática de direcciones IPv6 cuando los hosts IPv4/IPv6 se encuentran detrás de dispositivos de traducción de direcciones de red (NAT) IPv4. Logra esto embebiendo los paquetes IPv6 dentro de los paquetes UDP de IPv4. El actor de la amenaza gana un punto de apoyo en la red IPv4. El host comprometido envía anuncios de router (RA) falsos, lo que activa a los hosts de doble pila para obtener una dirección IPv6. El actor de la amenaza puede entonces utilizar este punto de apoyo para moverse, o pivotar, dentro de la red. El agente de amenazas puede comprometer hosts adicionales antes de devolver el tráfico fuera de la red, como se muestra en la figura.
Ejemplo de vulnerabilidad de IPv6Es necesario desarrollar e implementar una estrategia para mitigar los ataques contra infraestructuras y protocolos IPv6. Esta estrategia de mitigación debe incluir el filtrado en el perímetro mediante diversas técnicas, tales como las ACL de IPv6.
4.7.2 Sintaxis de ACL IPv6
La funcionalidad de ACL en IPv6 es similar a la de las ACL en IPv4. Sin embargo, no existe un equivalente a las ACL estándar de IPv4. Además, todas las ACL de IPv6 deben configurarse con un nombre. Las ACLs IPv6 permiten el filtrado basado en las direcciones de origen y destino que viajan de entrada y salida a una interfaz específica. También admiten el filtrado de tráfico basado en las cabeceras de opción de IPv6 y la información opcional de tipo de protocolo de capa superior para una mayor granularidad de control, similar a las ACL extendidas en IPv4. Para configurar una ACL de IPv6, utilice el comando ipv6 access-list para ingresar al modo de configuración de ACL de IPv6. A continuación, utilice la sintaxis que se muestra en la figura para configurar cada entrada de la lista de acceso para permitir o denegar específicamente el tráfico. La sintaxis que se muestra es una versión simplificada de la sintaxis de ACE IPv6. Hay opciones adicionales. A partir de la sintaxis proporcionada debería quedar claro que las ACL IPv6 son considerablemente más flexibles que las ACL IPv4.
Aplique una ACL IPv6 a una interfaz con el comando ipv6 traffic-filter.
Parámetro Descripción deny | permit Especifica si se debe denegar o permitir el paquete. protocol
Introduzca el nombre o el número de un protocolo de Internet, o un número entero que represente un número de protocolo IPv6. source-ipv6-prefix /
prefix-length
destination-ipv6-address / prefix-lengthLa red IPv6 de origen o destino o la clase de redes para las que se establecen las condiciones de denegación o permiso. any Introduzca any como abreviatura del prefijo IPv6 ::/O. Esto coincide con todas las direcciones. host Para host source-ipv6-address o destination-ipv6-address, introduzca la dirección de host IPv6 de origen o destino para la que se establecen las condiciones deny o permit. operator
(Opcional) Un operador que compara los puertos de origen o destino del protocolo especificado. Los operandos son It (menor que), gt (mayor que), eq (igual), neq (no igual) y range. port-number
(Opcional) Un número decimal o el nombre de un puerto TCP o UDP para filtrar TCP o UDP, respectivamente. dscp
(Opcional) Compara un valor de punto de código de servicios diferenciados con el valor de la clase de tráfico en el campo Traffic Class de cada cabecera de paquete IPv6. El rango aceptable es de 0 a 63. fragments
(Opcional) Coincide con paquetes fragmentados no iniciales en los que la cabecera de extensión de fragmentos contiene un desplazamiento de fragmentos distinto de cero. La palabra clave fragments es una opción solo si no se especifican los argumentos del operador [port-number ]. Cuando se utiliza esta palabra clave, también coincide cuando el primer fragmento no tiene información de la capa 4. log
(Opcional) Hace que se envíe a la consola un mensaje de registro informativo sobre el paquete que coincide con la entrada. (El nivel de los mensajes que se registran en la consola se controla con el comando logging console.) log input
(Opcional) Proporciona la misma función que la palabra clave log, excepto que el mensaje de registro también incluye la interfaz de entrada. sequence value
(Opcional) Especifica el valor del número de secuencia para la declaración de la lista de acceso. El rango aceptable es de 1 a 4294967295.. time-range name
(Opcional) Especifica el rango de tiempo que se aplica a la declaración de permiso. El nombre del rango de tiempo y sus restricciones se especifican mediante los comandos time-range y absolute o periodic, respectivamente.
4.7.3 Configurar ACL IPv6
Una ACL IPv6 contiene un deny ipv6 any any implícito. Cada ACL de IPv6 también contiene reglas de permiso implícitas para habilitar la detección de vecinos de IPv6. El Protocolo de Descubrimiento de Vecinos (NDP) de IPv6 requiere el uso de la capa de red de IPv6 para enviar anuncios de vecinos (NA) y solicitudes de vecinos (NS). Si un administrador configura el comando deny ipv6 any any sin permitir explícitamente la detección de vecinos, el NDP se deshabilitará.
En la figura, R1 está permitiendo el tráfico entrante en G0/0 desde la red 2001:DB8:1:1::/64. Los paquetes NA y NS están explícitamente permitidos. El tráfico proveniente de cualquier otra dirección IPv6 se rechaza explícitamente. Si el administrador solo configurara la primera declaración de permiso, la ACL tendría el mismo efecto. Sin embargo, es una buena práctica documentar las declaraciones implícitas configurándolas explícitamente.
-
5.0.1 ¿Por qué Debería Tomar este Módulo?
Con las numerosas amenazas a la seguridad de la red, ¿cómo se pueden diseñar las redes para proteger los recursos de datos y garantizar que los servicios de red se presten según sea necesario? La infraestructura de seguridad de red define la manera en que los dispositivos se conectan entre sí para lograr comunicaciones seguras integrales. Así como hay muchos tamaños de redes, también hay muchas maneras de diseñar una infraestructura de red segura. Sin embargo, hay algunos diseños estándares que el sector de redes recomienda para lograr el diseño de redes disponibles y seguras. Este módulo cubre las formas básicas en que los firewalls pueden utilizarse para crear una arquitectura de seguridad de red.
5.0.2 – ¿Qué aprenderé en este módulo?
Este módulo contiene lo siguiente:
- 2 Actividades de Verifique su Comprensión
- 1 Prueba del Módulo
Objetivo del módulo: Explicar cómo se implementan los firewalls para proporcionar seguridad de red.
Título del tema Objetivo del tema Proteger las redes con firewalls Explicar cómo se utilizan los firewalls para ayudar a asegurar las redes. Firewalls en el diseño de redes Explicar las consideraciones de diseño para la implementación de tecnologías de firewall.
-
5.1.1 Firewalls
Un firewall es un sistema o grupo de sistemas que impone una política de control de acceso entre redes.
Reproduzca en la figura para ver una animación de cómo funciona un firewall.Propiedades comunes de firewall
Propiedades comunes de firewall
Todos los firewalls comparten algunas propiedades comunes:- Los firewalls resisten ataques de red.
- Los firewalls son el único punto de tránsito entre las redes corporativas internas y las redes externas porque todo el tráfico circula por ellos.
- Los firewalls aplican la política de control de acceso.
Ventajas del firewall
Los firewalls en una red brindan numerosos beneficios:
- Evitan la exposición de hosts, recursos y aplicaciones confidenciales a usuarios no confiables.
- Sanean el flujo de protocolos, lo que evita el aprovechamiento de las fallas de protocolos.
- Bloquean los datos maliciosos de servidores y clientes.
- Simplifican la administración de la seguridad, ya que la mayor parte del control del acceso a redes se deriva a unos pocos firewalls de la red.
Limitaciones del firewall
Los firewalls también tienen algunas limitaciones:
- Un firewall mal configurado puede tener graves consecuencias para la red, por ejemplo, convertirse en un punto único de falla.
- Los datos de muchas aplicaciones no se pueden transmitir con seguridad mediante firewalls.
- Los usuarios pueden buscar maneras de esquivar el firewall para recibir material bloqueado, lo que expone a la red a posibles ataques.
- Puede reducirse la velocidad de la red.
- El tráfico no autorizado se puede tunelizar u ocultar como tráfico legítimo a través del firewall.
5.1.2 Tipos de firewalls
Es importante entender los diferentes tipos de firewalls y sus capacidades específicas, de modo que se utilice el firewall adecuado para cada situación.
Firewall para filtrado de paquetes (sin estado)
Los firewalls de filtrado de paquetes suelen formar parte de un firewall de router, que autoriza o rechaza el tráfico a partir de la información de las capas 3 y 4. Son firewalls sin estado que utilizan una simple búsqueda en la tabla de políticas que filtra el tráfico según criterios específicos.
Por ejemplo, los servidores SMTP escuchan el puerto 25 de manera predeterminada. Un administrador puede configurar el firewall de filtrado de paquetes para bloquear el puerto 25 desde una estación de trabajo específica a fin de evitar que difunda un virus por correo electrónico.
Red
Los firewalls con estado son los más versátiles y las tecnologías de firewall más comúnmente usadas. Los firewalls activos proporcionan un filtrado de paquetes utilizando la información de conexión que se mantiene en una tabla de estados. El filtrado con estado es una arquitectura de firewall que se clasifica en la capa de red. También analiza el tráfico en las capas 4 y 5 de OSI.
Firewall del gateway de aplicaciones
Un firewall de gateway de aplicaciones (firewall proxy), como se muestra en la figura, filtra la información en las capas 3, 4, 5 y 7 del modelo de referencia OSI. La mayor parte del control y filtrado del firewall se realiza en el software. Cuando un cliente necesita tener acceso a un servidor remoto, se conecta a un servidor proxy. El servidor proxy se conecta al servidor remoto en nombre del cliente. Por lo tanto, el servidor solamente ve una conexión desde el servidor proxy.
Firewall de próxima generación
Los firewalls de próxima generación (NGFW) van más allá de los firewalls con estado y ofrecen lo siguiente:
- Prevención de intrusiones integrada.
- Control y reconocimiento de aplicaciones para ver y bloquear aplicaciones riesgosas.
- Rutas de actualización para incluir futuros datos de información.
- Técnicas para afrontar amenazas de seguridad en constante evolución.
Otros métodos de implementación de firewall incluyen los siguientes:
- Firewall basado en host (servidor y personal) - Una PC o servidor con software de firewall ejecutándose en él.
- Firewall transparente - Filtra el tráfico IP entre un par de interfaces puenteadas.
- Firewall híbrido - Una combinación de los distintos tipos de firewall. Por ejemplo, un firewall de inspección de aplicación combina un firewall con estado y un firewall de gateway de aplicación.
5.1.3 Beneficios y limitaciones del firewall de filtrado de paquetes
Los firewalls de filtrado de paquetes suelen formar parte de un firewall de router, que autoriza o rechaza el tráfico a partir de la información de las capas 3 y 4. Son firewalls sin estado que utilizan una búsqueda de tabla de políticas simple que filtra el tráfico según criterios específicos, como se ve en la figura. Por ejemplo, los servidores SMTP escuchan el puerto 25 de manera predeterminada. Un administrador puede configurar el firewall de filtrado de paquetes para bloquear el puerto 25 desde una estación de trabajo específica a fin de evitar que difunda un virus por correo electrónico.
Existen varias ventajas de usar un firewall de filtrado de paquetes:
- Los filtros de paquetes implementan conjuntos simples de reglas de permiso o denegación.
- Los filtros de paquetes tienen un bajo impacto en el rendimiento de la red.
- Los filtros de paquetes son fáciles de implementar y son compatibles con la mayoría de los routers.
- Los filtros de paquetes proporcionan un grado inicial de seguridad en la capa de red.
- Los filtros de paquetes realizan casi todas las tareas de un firewall de gama alta a un costo mucho menor.
- Los filtros de paquetes son susceptibles a la suplantación de IP. Los atacantes pueden enviar paquetes arbitrarios que cumplan con los criterios de la ACL y pasar por el filtro.
- Los filtros de paquetes no filtran de manera confiable los paquetes fragmentados. Dado que los paquetes IP fragmentados llevan el encabezado TCP en el primer fragmento y los filtros de paquetes filtran la información del encabezado TCP, todos los fragmentos después del primero pasan sin condiciones. Las decisiones de usar filtros de paquetes suponen que el filtro del primer fragmento aplica con precisión la política.
- Los filtros de paquetes utilizan ACL complejas, que pueden ser difíciles de implementar y mantener.
- Los filtros de paquetes no pueden filtrar dinámicamente ciertos servicios. Por ejemplo, las sesiones que utilizan negociaciones de puerto dinámicas son difíciles de filtrar sin abrir el acceso a una amplia gama de puertos.
5.1.5 Beneficios y limitaciones del firewall stateful
El uso de un firewall stateful en una red tiene varias ventajas:
- Los firewalls stateful se utilizan a menudo como medio principal de defensa, filtrando el tráfico no deseado, innecesario o indeseable.
- Los firewalls stateful refuerzan el filtrado de paquetes proporcionando un control más estricto de la seguridad.
- Los firewalls stateful mejoran el rendimiento en comparación con los filtros de paquetes o los servidores proxy.
- Los firewalls stateful protegen contra la suplantación de identidad y los ataques de denegación de servicio determinando si los paquetes pertenecen a una conexión existente o provienen de una fuente no autorizada.
- Los firewalls stateful proporcionan más información de registro que un firewall de filtrado de paquetes.
- Los firewalls stateful no pueden evitar ataques de la capa de aplicaciones porque no examinan el contenido real de la conexión HTTP.
- No todos los protocolos tienen estado. Por ejemplo, UDP e ICMP no generan información de conexión para una tabla de estado y, por lo tanto, no tienen tanto soporte para el filtrado.
- Es difícil realizar un seguimiento de las conexiones que utilizan la negociación dinámica de puertos. Algunas aplicaciones abren varias conexiones. Esto requiere un rango completamente nuevo de puertos que se deben abrir para permitir esta segunda conexión.
- Los firewalls stateful no admiten la autenticación de usuarios.
Beneficios Limitaciones Principal medio de defensa No hay inspección de la capa de aplicación Fuerte filtrado de paquetes Seguimiento limitado de los protocolos sin estado Mejor rendimiento que los filtros de paquetes Difícil de defender contra la negociación dinámica de puertos Defiende contra la suplantación de identidad y los ataques DoS No hay soporte de autenticación Registro de datos más rico -
5.2.1 Arquitecturas de seguridad comunes
Principalmente, el diseño de firewall tiene por objetivo permitir o denegar el tráfico según el origen, el destino y el tipo de tráfico. Algunos diseños son tan simples y solo consisten en diseñar una red externa y una interna, que son determinadas por dos interfaces en un firewall.
Aquí hay tres diseños comunes de firewall.
Privado y público.
Como se ve en la Figura, la red pública (o externa) no es de confianza y la red privada (o interna) es de confianza.
Normalmente, un firewall con dos interfaces se configura del siguiente modo:- El tráfico procedente de la red privada se autoriza e inspecciona mientras viaja hacia la red pública. También se autoriza el tráfico inspeccionado que regresa de la red pública y está relacionado con el tráfico que se originó en la red privada.
- Generalmente, se bloquea el tráfico procedente de la red pública que viaja hacia la red privada.
Zona perimetral
Una zona perimetral (DMZ, Demilitarized Zone) es un diseño de firewall donde, normalmente, hay una interfaz interna conectada a la red privada, una interfaz externa conectada a la red pública y una interfaz de DMZ, como se ve en la Figura.
- El tráfico procedente de la red privada se inspecciona mientras viaja hacia la red pública o la DMZ. Este tráfico se permite casi sin restricciones. También se permite el tráfico inspeccionado que regresa a la red privada desde la DMZ o la red pública.
- Con frecuencia, se bloquea el tráfico procedente de la DMZ que viaja hacia la red privada.
- El tráfico procedente de la DMZ y que viaja hacia la red pública se permite, siempre y cuando cumpla con los requisitos de servicio.
- El tráfico procedente de la red pública que viaja hacia la DMZ se permite de manera selectiva y se inspecciona. Este tipo de tráfico suele ser de correo electrónico, DNS, HTTP o HTTPS. Se permite de manera dinámica el tráfico que regresa de la DMZ a la red pública.
- Se bloquea el tráfico procedente de la red pública que viaja hacia la red privada.
Firewall de políticas basados en zonasEn los firewalls de políticas basadas en zonas (Zone-based policy firewalls, ZPF) se utiliza el concepto de zonas para ofrecer mayor flexibilidad. Una zona es un grupo de al menos una interfaz con funciones o características similares. Las zonas ayudan a especificar dónde se debe implementar una regla o política de firewall Cisco IOS. En la Figura, las políticas de seguridad para las redes LAN 1 y LAN 2 son similares y pueden agruparse en una zona para las configuraciones de firewall. De manera predeterminada, el tráfico entre interfaces en la misma zona no está sujeto a ninguna política y pasa libremente. Sin embargo, se bloquea todo el tráfico de zona a zona. Con el fin de permitir el tráfico entre zonas, debe configurarse una política que permita o inspeccione el tráfico.
La única excepción a esta política predeterminada de denegar todo (deny any) es la auto-zona del router. La zona autónoma del router es el router en sí mismo e incluye todas las direcciones IP de interfaz de router. Las configuraciones de políticas que incluyen la zona autónoma se aplican al tráfico al router y procedente de él. De manera predeterminada, no hay ninguna política para este tipo de tráfico. El tráfico que debe tenerse en cuenta al diseñar una política para la zona autónoma incluye el tráfico del plano de control y del plano de administración, como SSH, SNMP y protocolos de enrutamiento.
5.2.2 Defensa por capas
- Seguridad principal de la red - Protege contra software malicioso y anomalías de tráfico, aplica políticas de red y garantiza la supervivencia
- Seguridad perimetral - Protege los límites entre zonas
- Seguridad de las comunicaciones - Proporciona seguridad de la información
- Seguridad de terminales - Proporciona identidad y cumplimiento de políticas de seguridad de dispositivos
Un enfoque de defensa por capas no es todo lo que se necesita para garantizar una red interna segura. Un administrador de red debe considerar muchos factores a la hora de construir una defensa completa en profundidad:- Los firewalls generalmente no detienen las intrusiones que provienen de hosts dentro de una red o zona.
- Los firewalls no protegen contra las instalaciones de puntos de acceso fraudulentos.
- Los firewalls no reemplazan los mecanismos de respaldo y recuperación de desastres como resultado de ataques o fallas de hardware.
- Los firewalls no pueden sustituir a usuarios y administradores informados.
Esta lista parcial de mejores prácticas puede servir como punto de partida para una política de seguridad de firewall.
- Coloque firewalls en los límites de seguridad. Los firewalls son una parte fundamental de la seguridad de la red, pero no es prudente confiar exclusivamente en un firewall para la seguridad.
- Denegar todo el tráfico por defecto.
- Permitir solo los servicios que sean necesarios.
- Asegurarse de controlar el acceso físico al firewall.
- Monitorear regularmente los registros de firewall.
- Practicar la gestión de cambios para los cambios de configuración del firewall.
- Recuerde que los firewalls protegen principalmente contra ataques técnicos que se originan desde el exterior.
-
5.3.1 – ¿Qué aprendí en este módulo?
-
6.0.1 ¿Por qué Debería Tomar este Módulo?
Los firewalls de política basados en zonas (ZPF) son un paso evolutivo más allá de los firewalls clásicos. Mientras que los firewalls clásicos se basan en la configuración de seguridad de las interfaces del router, un ZPF permite asignar interfaces a zonas. Las políticas de seguridad se definen en función de la zona y las relaciones de seguridad entre zonas. Es posible hacer que varias interfaces sean miembros de una zona y las políticas de zona se aplicarán a esas interfaces. Los requisitos de seguridad se pueden definir por la naturaleza de las zonas, no por las redes IP que se comunican a través de una interfaz determinada.
En este módulo aprenderá sobre los ZPF y cómo implementar un diseño básico de ZPF.6.0.2 ¿Qué aprenderé en este módulo?
Este módulo contiene lo siguiente:
- 1 Video
- 1 Actividad de Packet Tracer
- 1 Actividad del verificador de sintaxis
- 1 Actividad 'Verifique su comprensión'
- 1 Prueba del Módulo
Objetivo del módulo: Implementar firewall basado en políticas de zona mediante la CLI.
Título del tema Objetivo del tema Visión general de ZPF Explicar cómo se utilizan los firewalls de políticas basados en zonas para ayudar a proteger una red. Funcionamiento del ZPF Explicar el funcionamiento de un firewall de políticas basado en zonas. Configurar un ZPF Configurar un firewall de políticas basado en zonas con la CLI.
-
6.1.1 Beneficios de un ZPF
Hay dos modelos de configuración para Cisco IOS Firewall:
- Classic Firewall - El modelo de configuración tradicional en el que la política de firewall se aplica en las interfaces.
- Zone-based Policy Firewall (ZPF) - El modelo de configuración en el que las interfaces se asignan a zonas de seguridad, y la política de firewall se aplica al tráfico que se mueve entre las zonas.
Topología Básica de Zonas de Seguridad
Las principales motivaciones para que los profesionales de seguridad de redes migren al modelo ZPF son la estructura y la facilidad de uso. El enfoque estructurado es útil para la documentación y la comunicación. La facilidad de uso hace que las implementaciones de seguridad de la red sean más accesibles para una comunidad más grande de profesionales de seguridad.
Las ventajas de una ZPF son varias:
- No depende de las ACL.
- La postura de seguridad del router es bloquear, a menos que se permita explícitamente.
- Las políticas son fáciles de leer y corregir con Cisco Common Classification Policy Language (C3PL). C3PL es un método estructurado para crear políticas de tráfico basadas en eventos, condiciones y acciones. Esto proporciona escalabilidad porque una política afecta cualquier tráfico dado, en lugar de necesitar varias ACL y acciones de inspección para diferentes tipos de tráfico.
- Las interfaces virtuales y físicas pueden agruparse en zonas.
- Las políticas se aplican al tráfico unidireccional entre zonas.
6.1.2 Diseño de ZPF
El diseño de ZPF implica varios pasos:
Paso 1. Determinar las zonas
El administrador se centra en la separación de la red en zonas. Las zonas establecen las fronteras de seguridad de la red. Una zona define una frontera donde el tráfico se somete a las restricciones de las políticas al pasar a otra región de la red. Por ejemplo, la red pública sería una zona y la red interna sería otra zona.Paso 2. Establecer políticas entre zonas
Para cada par de zonas de 'origen-destino' (por ejemplo, de la red interna a Internet externa), defina las sesiones que los clientes en las zonas de origen pueden solicitar a los servidores en las zonas de destino. Estas sesiones suelen ser sesiones TCP y UDP, pero también pueden ser sesiones ICMP tales como el eco ICMP. Para el tráfico que no se basa en el concepto de sesiones, el administrador debe definir flujos de tráfico unidireccionales desde el origen hasta el destino y viceversa. Las políticas son unidireccionales y se definen en función de las zonas de origen y destino conocidas como pares de zonas.Paso 3. Diseñar la infraestructura física
Después de identificar las zonas y documentar los requisitos de tráfico entre ellas, el administrador debe diseñar la infraestructura física. El administrador debe tener en cuenta los requisitos de seguridad y disponibilidad al diseñar la infraestructura física. Esto incluye dictar la cantidad de dispositivos entre las zonas más seguras y las menos seguras y determinar los dispositivos redundantes.Paso 4. Identificar subconjuntos dentro de zonas y combinar requisitos de tráfico
Para cada dispositivo de firewall en el diseño, el administrador debe identificar los subconjuntos de zonas que están conectados a sus interfaces y combinar los requisitos de tráfico para esas zonas. Por ejemplo, varias zonas pueden estar asociadas indirectamente a una sola interfaz de firewall. Esto daría lugar a una política entre zonas específica del dispositivo. Aunque es una consideración importante, la implementación de subconjuntos de zonas está más allá del alcance de este currículum.LAN a Internet
Firewall con servidores públicos 1
Firewall con servidores públicos 2
Firewalls redundantes
Firewall complejo
-
6.2.1 Acciones de ZPF
Las políticas identifican las acciones que ZPF realizará en el tráfico de red. Se pueden configurar tres acciones posibles para procesar el tráfico por protocolo, zonas de origen y destino (pares de zonas) y otros criterios.
- Inspecciona - Realiza la inspección de paquetes de Cisco IOS stateful.
- Descart - Esto es análogo a una declaración Denegar en una ACL. Hay disponible una opción log para registrar los paquetes rechazados.
- Pasa - Esto es análogo a una declaración permitir en una ACL. La acción Pasa no realiza un seguimiento del estado de las conexiones o sesiones dentro del tráfico.
6.2.2 Reglas para el tráfico de tránsito
Las reglas dependen de si las interfaces de entrada y salida son miembros de la misma zona:
- Si ninguna de las interfaces es miembro de la zona, la acción resultante es pasar el tráfico.
- Si ambas interfaces son miembros de la misma zona, la acción resultante es pasar el tráfico.
- Si una interfaz es miembro de una zona, pero la otra no, la acción resultante es eliminar el tráfico, independientemente de si existe un par de zonas.
- Si ambas interfaces pertenecen al mismo par de zonas y existe una política, la acción resultante es inspeccionar, permitir o descartar según lo definido por la política.
¿Interfaz de origen miembro de la zona? ¿Interfaz de destino miembro de la zona? ¿Existe un par de zonas? ¿Existe una política? Resultado NO NO NO DISPONIBLE NO DISPONIBLE PASA SÍ NO NO DISPONIBLE NO DISPONIBLE DESCARTA NO SÍ NO DISPONIBLE NO DISPONIBLE DESCARTA SÍ (privado) SÍ (privado) NO DISPONIBLE NO DISPONIBLE PASA SÍ (privado) SÍ (público) NO NO DISPONIBLE DESCARTA SÍ (privado) SÍ (público) SÍ NO PASA SÍ (privado) SÍ (público) SÍ SÍ INSPECCIONA
El tráfico que transita por las interfaces del router está sujeto a varias reglas que rigen el comportamiento de la interfaz. Para el ejemplo de tráfico de tránsito, consulte la topología mostrada en la figura.
Topología Básica de Zonas de Seguridad -
6.3.1 Configurar un ZPF
Paso 1: Cree las zonas.
Paso 2: Identifique el tráfico con un mapa de clase.
Paso 3: Defina una acción con un mapa de políticas.
Paso 4: Identifique un par de zonas y relaciónelo con un mapa de políticas.
Paso 5: Asigne zonas a las interfaces correspondientes.
La topología que se muestra en la figura se utilizará en el resto de este tema para demostrar la configuración de ZPF. No se requiere la secuencia de pasos. Sin embargo, algunas configuraciones deben completarse en orden. Por ejemplo, se debe configurar un class-map antes de asignarlo a un policy-map. De manera similar, no se puede asignar un policy-map a un zone-pair hasta que se configura la política. Si se intenta configurar una sección que depende de otra parte de la configuración que aún no se configuró, el router responde con un mensaje de error.
Pasos para la configuración del firewall de política basada en la zona
6.3.2 Paso 1. Crear las zonas
El primer paso es crear las zonas. Sin embargo, antes de crear las zonas responda algunas preguntas:
- ¿Qué interfaces se deben incluir en las zonas?
- ¿Cuál será el nombre de cada zona?
- ¿Qué tráfico es necesario entre las zonas y en qué dirección?
6.3.3 Paso 2. Identificar tráfico
El segundo paso es utilizar un mapa de clase para identificar el tráfico al que se aplicará una política. Una clase es una forma de identificar un conjunto de paquetes según su contenido mediante condiciones de “coincidencia”. Por lo general, define una clase para poder aplicar una acción al tráfico identificado que refleja una política. Una clase se define con mapas de clase.
El siguiente ejemplo muestra la sintaxis del comando class-map. Hay varios tipos de mapas de clases. Para una configuración de ZPF utilice la palabra clave inspect para definir un mapa de clase. Determine cómo se evalúan los paquetes cuando existen varios criterios de coincidencia. Los paquetes deben cumplir uno de los criterios de coincidencia (match-any) o todos los criterios de coincidencia (match-all) para ser considerados miembros de la clase.
Parámetro
Descripción
match-any
Los paquetes deben cumplir uno de los criterios de coincidencia para ser considerados miembros de la clase.
match-all
Los paquetes deben cumplir todos los criterios de coincidencia para ser considerados miembros de la clase.
class-map-name
Nombre del mapa de clase que se utilizará para configurar la política para la clase en el mapa de política.
El ejemplo siguiente muestra la sintaxis de las declaraciones de coincidencia en el modo de subconfiguración de class-map. Haga coincidir el tráfico con una ACL, un protocolo específico o incluso otro mapa de clase.
Parámetro Descripción match access-group Configura los criterios de coincidencia para un mapa de clase basado en el número o nombre de la ACL especificada. match protocol Configura los criterios de coincidencia para un mapa de clase basado en el protocolo especificado. match class-map Utiliza otro mapa de clase para identificar el tráfico.
En la topología, se permite que el tráfico HTTP cruce R1 desde la zona PRIVATE a la zona PUBLIC. Al permitir el tráfico HTTP, se recomienda incluir específicamente protocolos HTTPS y DNS, como se muestra en el ejemplo a continuación. El tráfico puede coincidir con cualquiera de las instrucciones para convertirse en miembro de la clase HTTP-TRAFFIC.
6.3.4 Paso 3. Definir una acción
El tercer paso es utilizar un mapa de políticas para definir qué medidas se deben tomar para el tráfico que es miembro de una clase. El siguiente ejemplo muestra la sintaxis del comando para configurar un mapa de políticas. Una acción es una funcionalidad específica. Por lo general, se asocia con una clase de tráfico. Por ejemplo, inspect, descarta, y pass son acciones.
Parámetro
Descripción
inspect
Acción que ofrece un control del tráfico basado en el estado. El router mantiene la información de la sesión para TCP y UDP y permite el tráfico de retorno.
descarta
Descarta el tráfico no deseado.
pass
Una acción sin estado que permite al router reenviar el tráfico de una zona a otra.
El siguiente ejemplo muestra un ejemplo de configuración de asignación de políticas. La clase HTTP-TRAFFIC que se configuró en el paso anterior está asociada a un nuevo mapa de políticas llamado PRIV-TO-PUB-POLICY. El tercer comando inspect configura R1 para mantener la información de estado de todo el tráfico que es miembro de la clase HTTP-TRAFFIC.
- inspect - Esta acción ofrece un control del tráfico basado en el estado. Por ejemplo, si se inspecciona el tráfico que viaja desde la zona PRIVADA a la zona PÚBLICA, el router mantiene la información de conexión o sesión para el tráfico TCP y UDP. El router permitiría entonces el tráfico de retorno enviado desde los hosts de la zona PUBLIC en respuesta a las solicitudes de conexión de la zona PRIVATE.
- descarta - Esta es la acción por defecto para todo el tráfico. Al igual que el Denegar any implícito al final de cada ACL, hay un descarta explícito aplicado por el IOS al final de cada policy-map. Aparece como class class-default en la última sección de la configuración de cualquier policy-map. También se pueden configurar otros mapas de clases dentro de un mapa de políticas para eliminar el tráfico no deseado. A diferencia de las ACLs, el tráfico se descarta silenciosamente y no se envían mensajes ICMP inalcanzables al origen del tráfico.
- pass - Esta acción permite al router reenviar el tráfico de una zona a otra. La acción pass no realiza un seguimiento del estado de las conexiones. Pasa sólo permite el tráfico en una dirección. Se debe aplicar la política correspondiente para permitir que el tráfico de retorno pase en la dirección opuesta. La acción pass es ideal para protocolos seguros con comportamiento predecible, como IPsec. Sin embargo, en ZFW el tráfico de la mayoría de las aplicaciones se procesa mejor con la acción inspect.
6.3.5 Paso 4. Identificar un par de zonas y hacerlo coincidir con una política
El cuarto paso es identificar un par de zonas y asociar ese par de zonas a un mapa de políticas. El siguiente ejemplo muestra la sintaxis del comando. Cree un par de zonas con el comando de seguridad zone-pair. Luego use el comando service-policy type inspect para adjuntar un mapa de políticas y su acción asociada al par de zonas.
Parámetro
Descripción
source source-zone-name
Especifica el nombre de la zona desde la que se origina el tráfico.
destination destination-zone-name
Especifica el nombre de la zona a la que se destina el tráfico.
self
Especifica la zona definida por el sistema. Indica si el tráfico va a ir hacia o desde el propio router.
El siguiente ejemplo muestra un ejemplo de configuración de pares de zonas. Se crea un par de zonas denominado PRIV-PUB con PRIVATE asignado como zona de origen y PUBLIC asignado como zona de destino. Luego, el mapa de políticas creado en el paso anterior se asocia al par de zonas.
Una vez configurada la política de firewall, el administrador la aplica al tráfico entre un par de zonas mediante el comando de seguridad zone-pair. Para aplicar una política, se asigna a un par de zonas. El par de zonas debe especificar la zona de origen, la zona de destino y la política para manejar el tráfico entre las zonas de origen y destino.
6.3.6 Paso 5. Asignar zonas a las interfaces
El quinto paso es asignar zonas a las interfaces correspondientes. La asociación de una zona a una interfaz aplicará inmediatamente la política de servicio asociada a la zona. Si aún no se configura una política de servicio para la zona, se descartará todo el tráfico de tránsito. Utilice el comando zone-member security para asignar una zona a una interfaz, como se muestra en el ejemplo a continuación.
En el siguiente ejemplo, GigabitEthernet 0/0 tiene asignada la zona PRIVATE y Serial 0/0/0 la zona PUBLIC.
La política de servicio ahora está activa. Se inspeccionará el tráfico HTTP, HTTPS y DNS que proviene de la zona PRIVATE y está destinado a la zona PUBLIC. El tráfico que proviene de la zona PUBLIC y está destinado a la zona PRIVATE solo se permitirá si forma parte de las sesiones iniciadas originalmente por los hosts de la zona PRIVATE.
6.3.7 Verificar la configuración de un ZPF
Verifique la configuración de ZPF viendo la configuración en ejecución. Observe que el mapa de clase aparece primero. Luego, el mapa de políticas hace uso del mapa de clases. Además, fíjese en la clase resaltada class-default que dejará caer todo el resto del tráfico que no sea miembro de la clase HTTP-TRAFFIC.
Las configuraciones de zona siguen las configuraciones del mapa de políticas con el nombramiento de zonas, el emparejamiento de zonas y la asociación de una política de servicio al par de zonas. Por último, las interfaces son zonas asignadas.
El siguiente ejemplo muestra información de verificación después de una prueba de la configuración de ZPF. Un host de la zona PRIVADA 192.168.1.3 estableció una sesión HTTPS con un servidor web en 10.1.1.2. Observe más abajo en la salida del comando que cuatro paquetes coinciden con la clase class-default. Esta información de verificación se generó haciendo que el host 192.168.1.3 hiciera ping al servidor web en 10.1.1.2.
El siguiente ejemplo muestra otros cuatro comandos de verificación de ZPF que permiten ver partes específicas de la configuración de ZPF.
6.3.8 Consideraciones sobre la configuración de un ZPF
Al configurar un ZPF con la CLI, hay varios factores a tener en cuenta:
- El router nunca filtra el tráfico entre las interfaces en la misma zona.
- Una interfaz no puede pertenecer a varias zonas. Para crear una unión de zonas de seguridad, especifique una nueva zona y un mapa de políticas y pares de zonas adecuados.
- ZPF puede coexistir con un firewall clásico, aunque no se pueden utilizar en la misma interfaz. Elimine el comando de configuración de la interfaz ip inspect antes de aplicar el comando de seguridad zone-member.
- El tráfico nunca puede fluir entre una interfaz asignada a una zona y una interfaz que no ha sido asignada a una zona. La aplicación del comando de configuración zone-member siempre da como resultado una interrupción temporal del servicio hasta que el otro miembro de zona esté configurado.
- La política predeterminada entre zonas es descartar todo el tráfico, a menos que la política de servicio configurada específicamente para el par de zonas lo permita.
- El comando zone-member no protege el router en sí (el tráfico hacia y desde el router no se ve afectado) a menos que los pares de zona se configuren con la zona automática predefinida.
-
6.4.1 - ¿Qué aprendí en este módulo?
-
Bienvenido al Examen de punto de control de evaluación de alertas de seguridad.
Hay 24 preguntas en total.
Los ítems de este examen cubren las siguientes habilidades de ciberseguridad:- Determinar si las alertas de seguridad de la red indican vulnerabilidades de seguridad reales utilizando herramientas de monitoreo de seguridad de la red.
Tiene intentos ilimitados para aprobar el examen. -
Bienvenido al examen final del curso Defensa de la Red (NetDef).
Esta evaluación cubre los conceptos y habilidades principales presentados en los Módulos 1 - 11 del curso Defensa de la Red (NetDef).
Los ítems de este examen cubren las siguientes habilidades de ciberseguridad:- Utilizar los conceptos de ciberseguridad para documentar una estrategia de seguridad de la red.
- Configure medidas de seguridad en dispositivos de red y terminales de Linux y Windows.
- Implemente fases de gestión del ciclo de vida de la identidad.
- Configure un firewall de red simulado.
- Recomiende medidas de seguridad en la nube dado un escenario.
- Determine el mecanismo de protección de datos adecuado para garantizar el transporte y el almacenamiento seguros de los datos de la red.
- Determine si las alertas de seguridad de la red indican ataques de seguridad reales mediante herramientas de monitoreo de seguridad de la red.
Tiene intentos ilimitados para aprobar el examen.-
Recibir una calificación
Campus
