Módulo 7: Seguridad de Red - Bootcamp de Redes

Objetivos del Módulo

Configurar Access Control Lists (ACLs)
Implementar autenticación y autorización
Aplicar mejores prácticas de seguridad
Configurar seguridad en switches

1. Fundamentos de Seguridad de Red

La seguridad de red protege la integridad, confidencialidad y disponibilidad de los datos.

Confidencialidad

Solo usuarios autorizados pueden acceder a la información

Integridad

Los datos no han sido alterados sin autorización

Disponibilidad

Los recursos están disponibles cuando se necesitan

Amenazas Comunes:

DDoS: Ataque de denegación de servicio distribuido
Man-in-the-Middle: Interceptación de comunicaciones
Spoofing: Suplantación de identidad
Social Engineering: Manipulación humana

2. Access Control Lists (ACLs) Estándar

Las ACLs controlan el tráfico basándose en direcciones IP de origen.

Tipo de ACL	Rango de Números	Criterios de Filtrado
Estándar	1-99, 1300-1999	IP de origen únicamente
Extendida	100-199, 2000-2699	IP origen/destino, protocolos, puertos
Nombrada	N/A	Identificada por nombre

Configuración de ACL Estándar:

                                
! Crear ACL estándar

Router(config)# access-list 10 permit 192.168.1.0 0.0.0.255

Router(config)# access-list 10 deny 192.168.2.10 0.0.0.0

Router(config)# access-list 10 permit any

! Aplicar ACL a interfaz

Router(config)# interface gigabitethernet 0/1

Router(config-if)# ip access-group 10 out

Router(config-if)# exit

! ACL estándar nombrada

Router(config)# ip access-list standard BLOCK_SALES

Router(config-std-nacl)# permit 192.168.10.0 0.0.0.255

Router(config-std-nacl)# deny 192.168.20.0 0.0.0.255

Router(config-std-nacl)# permit any

Router(config-std-nacl)# exit

! Verificar ACLs

Router# show access-lists

Router# show ip access-lists

Router# show ip interface gi0/1

3. Access Control Lists Extendidas

Las ACLs extendidas proporcionan control granular sobre el tráfico de red.

Configuración de ACL Extendida:

                                
! ACL extendida numerada

Router(config)# access-list 100 permit tcp 192.168.1.0 0.0.0.255 any eq 80

Router(config)# access-list 100 permit tcp 192.168.1.0 0.0.0.255 any eq 443

Router(config)# access-list 100 permit udp 192.168.1.0 0.0.0.255 any eq 53

Router(config)# access-list 100 deny ip 192.168.1.0 0.0.0.255 any

Router(config)# access-list 100 permit ip any any

! ACL extendida nombrada

Router(config)# ip access-list extended WEB_FILTER

Router(config-ext-nacl)# permit tcp 192.168.10.0 0.0.0.255 any eq www

Router(config-ext-nacl)# permit tcp 192.168.10.0 0.0.0.255 any eq 443

Router(config-ext-nacl)# permit udp any any eq 53

Router(config-ext-nacl)# permit icmp any any echo-reply

Router(config-ext-nacl)# permit icmp any any unreachable

Router(config-ext-nacl)# deny ip any any

Router(config-ext-nacl)# exit

! Aplicar ACL extendida

Router(config)# interface gigabitethernet 0/0

Router(config-if)# ip access-group WEB_FILTER in

Router(config-if)# exit

Mejores Prácticas para ACLs:

Aplicar ACLs estándar cerca del destino
Aplicar ACLs extendidas cerca del origen
Las reglas se procesan de arriba hacia abajo
Siempre hay un "deny any" implícito al final
Usar comentarios para documentar las reglas

4. Autenticación y Autorización

Controlar quién puede acceder a los dispositivos de red y qué pueden hacer.

Métodos de Autenticación:

Local: Base de datos local
RADIUS: Servidor externo
TACACS+: Protocolo Cisco
LDAP: Directorio empresarial

Niveles de Privilegio:

0: Solo logout
1: Usuario básico
15: Administrador completo
2-14: Niveles personalizados

Configuración de Autenticación:

                                
! Configurar usuarios locales

Router(config)# username admin privilege 15 secret cisco123

Router(config)# username user1 privilege 1 secret user123

! Configurar autenticación en consola

Router(config)# line console 0

Router(config-line)# login local

Router(config-line)# exit

! Configurar autenticación en VTY

Router(config)# line vty 0 15

Router(config-line)# login local

Router(config-line)# transport input ssh

Router(config-line)# exit

! Configurar SSH

Router(config)# ip domain-name empresa.com

Router(config)# crypto key generate rsa

Router(config)# ip ssh version 2

Router(config)# ip ssh time-out 60

Router(config)# ip ssh authentication-retries 3

! Configurar AAA

Router(config)# aaa new-model

Router(config)# aaa authentication login default local

Router(config)# aaa authorization exec default local

5. Seguridad en Switches

Proteger la infraestructura de switching contra ataques comunes.

Port Security:

                                
! Habilitar port security

Switch(config)# interface fastethernet 0/1

Switch(config-if)# switchport mode access

Switch(config-if)# switchport port-security

Switch(config-if)# switchport port-security maximum 2

Switch(config-if)# switchport port-security violation shutdown

Switch(config-if)# switchport port-security mac-address sticky

Switch(config-if)# exit

! DHCP Snooping

Switch(config)# ip dhcp snooping

Switch(config)# ip dhcp snooping vlan 10,20

Switch(config)# interface gigabitethernet 0/1

Switch(config-if)# ip dhcp snooping trust

Switch(config-if)# exit

! Dynamic ARP Inspection

Switch(config)# ip arp inspection vlan 10,20

Switch(config)# interface gigabitethernet 0/1

Switch(config-if)# ip arp inspection trust

Switch(config-if)# exit

! Storm Control

Switch(config)# interface fastethernet 0/5

Switch(config-if)# storm-control broadcast level 50

Switch(config-if)# storm-control multicast level 40

Switch(config-if)# storm-control action shutdown

Switch(config-if)# exit

Hardening del Switch:

                                
! Deshabilitar servicios innecesarios

Switch(config)# no cdp run

Switch(config)# no ip http server

Switch(config)# no ip http secure-server

! Configurar banners

Switch(config)# banner motd #

**ACCESO AUTORIZADO SOLAMENTE**

Todas las actividades son monitoreadas

#

! Configurar timeouts

Switch(config)# line console 0

Switch(config-line)# exec-timeout 5 0

Switch(config-line)# exit

Switch(config)# line vty 0 15

Switch(config-line)# exec-timeout 10 0

Switch(config-line)# exit

! Deshabilitar puertos no utilizados

Switch(config)# interface range fastethernet 0/10-24

Switch(config-if-range)# shutdown

Switch(config-if-range)# switchport mode access

Switch(config-if-range)# switchport access vlan 999

Switch(config-if-range)# exit

6. Logging y Monitoring

Configurar logging para detectar y responder a incidentes de seguridad.

                                
! Configurar logging local

Router(config)# logging buffered 16384 informational

Router(config)# logging console warnings

Router(config)# logging monitor informational

! Configurar syslog server

Router(config)# logging host 192.168.1.100

Router(config)# logging trap informational

Router(config)# logging facility local0

! Configurar SNMP

Router(config)# snmp-server community public RO

Router(config)# snmp-server community private RW

Router(config)# snmp-server host 192.168.1.100 version 2c public

! Configurar NTP

Router(config)# ntp server 192.168.1.10

Router(config)# clock timezone PST -8

Router(config)# clock summer-time PDT recurring

! Verificar logs

Router# show logging

Router# show snmp

Router# show clock

Ejercicio Práctico

Pregunta 1:

¿Qué tipo de ACL puede filtrar por puerto de destino?

Estándar

Extendida

Nombrada

Pregunta 2:

¿Cuál es el nivel de privilegio más alto en Cisco?

10

15

20

Pregunta 3:

¿Qué función cumple DHCP Snooping?

Protege contra servidores DHCP no autorizados

Acelera las respuestas DHCP

Balancea carga DHCP

Seguridad de Red