Modern Network Security Threats

Fundamentos de Seguridad de Redes CCNA Security 2012 Cisco and/or its affiliates. All rights reserved.N 2012 Cisco and/or its affiliates. All rights reserved.N1 2007, Cisco Systems, Inc. All rights reserved.CCNP2v5-Mod5-Lesson1Amenazas de Seguridad en Red Modernas Principios de Fundamentals de la seguridad de la redVirus, gusanos y caballos de TroyaMetodologas de ataqueSecuring Network DevicesProtegiendo el acceso al dispositivoAsignacin de Roles AdministrativosMonitoreo y gestin de los dispositivosAutomatizacin las funciones de seguridadAutenticacin, Autorizacin y Contabilidad (Authentication, Authorization, and Accounting; AAA)Finalidad de AAA Autenticacin local AAAServer-Based AAAAutenticacin Server-Based AAA.Servidor basado en AAA Autorizacin y ContabilidadContenido 2012 Cisco and/or its affiliates. All rights reserved.NImplementing Firewall TechnologiesListas de Control de AccesoSeguridad en las redes con FirewallsCaractersticas CBACZone-Based Policy Firewall CharacteristicsOperacin ZPFImplementing Intrusion Prevention Tecnologas de IPS Caractersticas de las FirmasConfiguracin de IPS en el Cisco IOS mediante el CLIVerificando de IPS en Cisco IOSSecuring the Local Area NetworkAsegurando los Dispositivos finales Configurando Seguridad de Capa 2Contenido (cont) 2012 Cisco and/or its affiliates. All rights reserved.NCryptographic Systems Hashes Criptogrficos Cifrado o encriptacin (Encryption) Encriptacin Simtrica versus AsimtricaImplementing Virtual Private Networks .VPNsConfiguracin de un Tnel GRE Sitio a SitioIntroduccin a IPSecConfiguracin de una VPN IPSec Sitio a SitioConfiguracin de IPsec usando SDMEl Entorno Empresarial CambianteManaging a Secure NetworkGarantizando una red seguraRed Autodefensiva de Cisco Presentacin de las Operaciones de SeguridadIntroduccin de las pruebas de SEGURIDAD en la RED Planificacin constanteCiclo de Vida de Desarrollo de SistemasDescripcin de Polticas de SeguridadContenido (cont) 2012 Cisco and/or its affiliates. All rights reserved.NAmenazas de Seguridad en Las Redes Modernas 2012 Cisco and/or its affiliates. All rights reserved.N 2012 Cisco and/or its affiliates. All rights reserved.N5 2007, Cisco Systems, Inc. All rights reserved.CCNP2v5-Mod5-Lesson1Para proteger los bienes!Histricamente hace a travs de la seguridad fsica y redes cerradas.

Propsito de la Seguridad

2012 Cisco and/or its affiliates. All rights reserved.NCon el arribo de las computadoras personales, las redes de rea local y el mundo totalmente abierto a Internet, las redes de hoy en da estn ms abiertas. Menos seguras!La Red Hoy

2012 Cisco and/or its affiliates. All rights reserved.NHay cuatro clases principales de amenazas a la seguridad de la red:Amenazas no estructuradasAmenazas estructuradosLas amenazas externasLas amenazas internasAmenazas

2012 Cisco and/or its affiliates. All rights reserved.NModelos de seguridad de red

2012 Cisco and/or its affiliates. All rights reserved.NModelos de seguridad Abierta

2012 Cisco and/or its affiliates. All rights reserved.NModelo de seguridad Restrictivo

2012 Cisco and/or its affiliates. All rights reserved.N 2012 Cisco and/or its affiliates. All rights reserved.NModelos de seguridad Cerrada

2012 Cisco and/or its affiliates. All rights reserved.NControladores para Seguridad de Redes 2012 Cisco and/or its affiliates. All rights reserved.N 2012 Cisco and/or its affiliates. All rights reserved.NLos palabra hacker tiene una variedad de significados. Para muchos, esto se relaciona a programadores de Internet que tratan de ganar el acceso no autorizado a dispositivos en el Internet. Tambin se utiliza para referirse a las personas que ejecutan programas para prevenir o reducir el acceso de red a un nmero grande de usuarios, o corromper o borrar datos en los servidores. Pero para algunos, el trmino hacker tiene una interpretacin positiva, como un profesional de red que usa sus habilidades de programacin sofisticada de Internet para garantizar que las redes no son vulnerables a ataques. Buena o malo, la piratera es una fuerza impulsora en la seguridad de la red.Hacker 2012 Cisco and/or its affiliates. All rights reserved.NPhreakerUn individuo que manipula la red de telefona con el fin de hacer que se realice una funcin que normalmente no se permite, como para hacer llamadas de larga distancia.Captain Crunch (John Drapper)SpammerIndividuo que enva grandes cantidades de mensajes de correo electrnico no solicitados.Los spammers a menudo utilizan los virus para tomar el control de los ordenadores para enviar sus mensajes a granel. PhisherUn individuo que usa email u otros medios, en un intento de engaar a los dems para que proporcione informacin confidencial, como nmeros de tarjetas de crdito o contraseas.Tipos de Hackers

2012 Cisco and/or its affiliates. All rights reserved.N1960s - Phone Freaks (Phreaks)1980s - Wardialing (WarGames)1988- Internet Worm1993- First def Con hacking conference held1995 - First 5 year federal prison sentence for hacking1997 - Nmap released 1997- First malicious scripts used by script kiddies2002- Melissa virus creator gets 20 months in jail

Evolucin del Hacking 2012 Cisco and/or its affiliates. All rights reserved.NPrimicias de seguridad

2012 Cisco and/or its affiliates. All rights reserved.NEl primer Virus por EmailEl virus Melissa, fue escrito por David Smith y dio lugar a desbordamientos de memoria en los servidores de correo de Internet.David Smith fue sentenciado a 20 meses de crcel en la Prisin Federal y una multa de U.S. $5.000.

2012 Cisco and/or its affiliates. All rights reserved.NEl primer GusanoRobert Morris cre el primer gusano de Internet con 99 lneas de cdigo.Cuando el gusano de Morris fue liberado, el 10% de los sistemas de Internet llegaron a un punto muerto.

2012 Cisco and/or its affiliates. All rights reserved.NEl primer SPAM

2012 Cisco and/or its affiliates. All rights reserved.NPrimer Ataque de DoSMafiaBoy era el alias de Internet de Michael Calce, de 15 aos, estudiante de la escuela secundaria de Montreal, Canad.Lanz ataques DoS muy publicitados en Feb 2000 hacia Yahoo!, Amazon.com, Dell, Inc., E*TRADE, eBay y CNN.

2012 Cisco and/or its affiliates. All rights reserved.NEl aumento de los ataques de redEl aumento de la sofisticacin de los ataquesLa mayor dependencia de la redEl acceso inalmbricoLa falta de personal capacitadoLa falta de concienciaLa falta de polticas de seguridadLegislacinDemandas

Tendencias que marcan la Seguridad de la Red 2012 Cisco and/or its affiliates. All rights reserved.N22HackersWhite HatBlack HatAttack tools, worms, etc

LegislationGLBHIPPACIPAPrivacy Act

LitigationNetwork Insurance against losses

Remember, these are why many companies are allocating the money for security initiatives. 2007, Cisco Systems, Inc. All rights reserved.CCNP2v5-Mod5-Lesson1Malware / Malicious Code 2012 Cisco and/or its affiliates. All rights reserved.N 2012 Cisco and/or its affiliates. All rights reserved.NExisten cuatro categorias de ataques:Codigo malicioso: Virus, Gusanos y Caballos de TroyaAtaques de ReconocimientoAtaques de AccesoAtaques de Denegacion de Servicios.

Tipos de ataquesLets focus on Malicious Code 2012 Cisco and/or its affiliates. All rights reserved.NSoftware Malicious es un software diseado para infiltrarse en un ordenador sin el consentimiento del propietario. Malware incluye:Los virus informticosGusanosCaballos de TroyaRootkitsBackdoors (mtodo para evitar la autenticacin de los procedimientos normales y generalmente se instala usando troyanos o gusanos.)Con fines de lucro (Spyware, botnets, capturadores de teclado y dialers)Malware

2012 Cisco and/or its affiliates. All rights reserved.NSpyware es una categora estrictamente con fines de lucro de malware diseado para :Supervisar la navegacin web de los usuarios.Mostrar anuncios no solicitados.Redirigir los ingresos de marketing de afiliacin al creador del spyware.Los programas de spyware se instalan generalmente por los agujeros de seguridad o programas de Caballo de Troya, como la mayora de los peer-to-peer.Spyware 2012 Cisco and/or its affiliates. All rights reserved.NUn virus es un software malicioso que se adjunta a otro programa para ejecutar una funcin determinada no deseado en la estacin de trabajo del usuario.Un gusano ejecuta cdigo arbitrario e instala copias de s mismo en la memoria de la computadora infectada, que infecta a otros hosts.Un Caballo de Troya es diferente slo en que toda la aplicacin fue escrita para que parezca otra cosa, cuando en realidad se trata de una herramienta de ataque. Virus, Caballos de Troya y Gusanos 2012 Cisco and/or its affiliates. All rights reserved.NUn virus informtico es un programa informtico malicioso (archivo ejecutable), que puede copiarse a s mismo e infectar un ordenador sin el permiso o conocimiento del usuario.Un virus slo puede propagarse de un ordenador a otro por:Enviarlos a travs de una red como un archivo o como una carga de correo electrnico.Llevndolo en un medio removible.Los virus necesitan la INTERVENCIN DEL USUARIO para propagarse

Virus

2012 Cisco and/or its affiliates. All rights reserved.NLos gusanos son un tipo particularmente peligroso de cdigo hostil.Ellos se reproducen de forma independiente explotando de vulnerabilidades de las redes.Los gusanos suelen ralentizar redes. Los Gusanos NO NECESITA LA INTERVENCION DEL USUARIO!Gusanos no requieren la participacin del usuario y se pueden propagar extremadamente rpida en la red.Gusanos 2012 Cisco and/or its affiliates. All rights reserved.NEn Enero de 2001, el Gusano SQL Slammer ralentizo el trfico global de Internet como resultado de DoS. Mas de 250.000 hosts fueron afectados en 30 minutos de su lanzamiento. El gusano explota un error de desbordamiento de bfer en SQL Server de Microsoft. Un parche para esta vulnerabilidad fue lanzado a mediados de 2002, por lo que los servidores en los que se vieron afectados fueron aquellos que no tienen el parche de actualizacin aplicado. Gusano SQL Slammer

2012 Cisco and/or its affiliates. All rights reserved.NCaballos de Troya 2012 Cisco and/or its affiliates. All rights reserved.N 2012 Cisco and/or its affiliates. All rights reserved.NKits que tienen por nombres comoT-IFramer, Liberty Exploit Systems y Elenore todos aumentaron la venta en mercados clandestinos con una venta entre $ 300 a $ 500, segn Kandek, permite al atacante instalar un programa troyano listo para descargar, a los deseos de los cibercriminales, desde spyware a software, haciendo simplemente un click. Estos tres kits explotaban 45 bugs nicos de Adobe Reader, junto con un menor nmero de errores en Internet Explorer, Microsoft Office, Firefox e inclusio Quicktime.Articulo completo:http://www.cbc.ca/technology/story/2009/12/16/f-forbes-adobe-hacked-software.htmlEl software de hackeo mas vendido en el ao 2009 2012 Cisco and/or its affiliates. All rights reserved.NUn caballo de Troya es un programa que aparece, para el usuario, para realizar una funcin deseable pero, de hecho, facilita el acceso no autorizado al sistema informtico del usuario..Los troyanos pueden parecer programas tiles o interesantes, o por lo menos inofensivo a un usuario desprevenido, pero en realidad son dainos cuando se ejecutan.Los troyanos no se auto-replican esto los distingue de los virus y gusanos. Caballo de Troya

2012 Cisco and/or its affiliates. All rights reserved.NTroyano de Acceso RemotoPermite el acceso remoto no autorizadoTroyano para envo de DatosProporciona el atacante datos confidenciales.Troyano DestructivoCorrompe o borra archivosTroyano ProxyEl PC del usuario funciona como un servidor proxy.Troyano FTP (abre el puerto 21)Deshabilita software de seguridad (detiene los programas antivirus o firewalls en funcionamiento)Troyano de Denegacion de Servicios (retarda o detiene la actividad de red)Clasificacin de un Troyano

2012 Cisco and/or its affiliates. All rights reserved.NCmo mitigar Virus y Gusanos?

2012 Cisco and/or its affiliates. All rights reserved.NEl principal medio de mitigar el virus y los ataques de caballo de Troya es un software antivirus.Para una total proteccion, los sistemas de prevencion de intrusos basados en hosts (HIPS), tal como el Cisco Security Agent debe ser implementado.HIPS protege el kernel del SO.El Anti-virus ayuda a evitar que los equipos se infecten y difundir cdigo malicioso. De todas formas, el antivirus debe ser usado de forma apropiada.Siempre debe estar actualizado con el .dat mas reciente y las ultimas versiones de las aplicaciones.Considere la posibilidad de que requiere mucho ms tiempo para limpiar ordenadores infectados que lo hace para mantener al da el antivirus y las definiciones de antivirus en las mquinas.Virus y Troyanos - Mitigacin 2012 Cisco and/or its affiliates. All rights reserved.NEl ataque de mitigacin del Gusano requiere diligencia por parte del personal de la administracin del sistema y de la red. Las cuatro fases para mitigar los ataques de un gusano activo, son:Mitigacin de una Gusano Activo

2012 Cisco and/or its affiliates. All rights reserved.NContencin:Limitar la propagacin de la infeccin del gusano de las reas de la red que ya estn afectados.Segmentar la red para reducir la velocidad o detener el gusano para evitar que los host infectados afecten a otros sistemas.Use ACL de entrada y salida en los routers y firewalls en los puntos de control dentro de la red.Inoculacin:Corre paralela a o con posterioridad a la fase de contencin. Todos los sistemas infectados estn parcheadas con el parche del proveedor adecuado para la vulnerabilidad. El proceso de inoculacin adems priva al gusano de cualquier blanco disponible. Mitigacin de un Gusano 2012 Cisco and/or its affiliates. All rights reserved.NCuarentena:Sigue la pista e identifica las mquinas infectadas dentro de las reas contenidas las mismas se deben desconectar, bloquear, o eliminar.Esto asla estos sistemas apropiadamente para la fase de tratamiento..Tratamiento:Activamente los sistemas infectados se desinfectan del gusano. Terminar el proceso del gusano, eliminar archivos modificados o configuraciones del sistema que el gusano haya introducido y parchear la vulnerabilidad que el gusano utiliza para explotar el sistema.En casos ms severos, completamente volver a instalar el sistema para asegurarse de que el gusano y sus derivados son eliminadosMitigacin de un Gusano 2012 Cisco and/or its affiliates. All rights reserved.NAtaques de reconocimiento 2012 Cisco and/or its affiliates. All rights reserved.N 2012 Cisco and/or its affiliates. All rights reserved.N40 2007, Cisco Systems, Inc. All rights reserved.CCNP2v5-Mod5-Lesson1Los ataques se clasifican en cuatro categoras:Cdigo Malicioso: Virus, Gusanos y TroyanosAtaques de ReconocimientoAtaques de AccesoAtaques de Denegacin de Servicios (DoS) Tipos de AtaquesLets focus on Reconnaissance attacks 2012 Cisco and/or its affiliates. All rights reserved.NEs la recopilacin de informacin mediante el descubrimiento no autorizado y la cartografa de los sistemas, servicios o vulnerabilidades en los mismos. En muchos casos precede a un ataque de DoS. Los ataques de Reconocimiento consisten en:Consultas de informacin de Internet. (whois, nslookup)Barridos de pingExploracion de puertosSniffers de paquetesReconocimiento 2012 Cisco and/or its affiliates. All rights reserved.NAtaques de Acceso 2012 Cisco and/or its affiliates. All rights reserved.N 2012 Cisco and/or its affiliates. All rights reserved.N43 2007, Cisco Systems, Inc. All rights reserved.CCNP2v5-Mod5-Lesson1Explotan vulnerabilidades conocidas en los servicios de autenticacin, servicios de FTP y servicios web para poder entrar a cuentas web, bases de datos confidenciales y otra informacin sensible, por estas razones:Recuperar datosObtener accesoElevar sus privilegios de acceso Tcnicas de Ataques de AccesoAtaques de contraseaExplotacin de ConfianzaRedireccin de PuertosMan-in-the-middleDesbordamiento de bferAtaques de Acceso 2012 Cisco and/or its affiliates. All rights reserved.NLos hackers ejecutan ataques de contrasea utilizando el siguiente:Ataques de Fuerza BrutaTroyanosSuplantacin de IPSniffers de PaquetesAtaques de Contrasea

2012 Cisco and/or its affiliates. All rights reserved.N45 2007, Cisco Systems, Inc. All rights reserved.CCNP2v5-Mod5-Lesson1L0phtCrack (loft-crack) takes the hashes of passwords and generates the plaintext passwords from them.Passwords are compromised using one of two methods:Dictionary crackingBrute-force computationPassword Attack Example

2012 Cisco and/or its affiliates. All rights reserved.N46 2007, Cisco Systems, Inc. All rights reserved.CCNP2v5-Mod5-Lesson1

Un ejemplo de un ataque de explotacin de confianza es cuando una red perimetral est conectada a una red corporativa. Estos segmentos de red suelen contener DNS, SMTP y HTTP.Debido a que estos servidores residen todas en el mismo segmento, un compromiso de un sistema puede llevar al compromiso de otros sistemas si esos otros sistemas tambin confan en los sistemas que estn conectados a la misma red.Explotacin de Confianza 2012 Cisco and/or its affiliates. All rights reserved.NRedireccin de Puertos

2012 Cisco and/or its affiliates. All rights reserved.N48The host outside the network can reach the host on the public services segment (Host A), but not the host on the inside (Host B). The host on the public services segment can reach the host on both the outside and the inside. If hackers are able to compromise the public services segment host, they can install software to redirect traffic from the outside host directly to the inside host. Though neither communication violates the rules that are implemented in the firewall, the outside host has now achieved connectivity to the inside host through the port redirection process on the public services host. An example of an application that provides that type of access is Netcat.

2007, Cisco Systems, Inc. All rights reserved.CCNP2v5-Mod5-Lesson1Los propsitos de este ataques son:El robo de informacinSecuestro de una sesin en curso para obtener acceso a los recursos de la red internaEl anlisis de trfico para obtener informacin sobre la red y los usuarios de la mismaDoSLa corrupcin de los datos transmitidosLa introduccin de la nueva informacin en sesiones de redUn ejemplo es cuando alguien que trabaja para el ISP, obtiene acceso a todos los paquetes de red y la transferencia entre la red y cualquier otra red.

Ataque Man-in-the-Middle 2012 Cisco and/or its affiliates. All rights reserved.NAtaque de DoS 2012 Cisco and/or its affiliates. All rights reserved.N 2012 Cisco and/or its affiliates. All rights reserved.N50 2007, Cisco Systems, Inc. All rights reserved.CCNP2v5-Mod5-Lesson1Tipos de ataques de DoS:Ping de la muerteAtaque Smurf Ataque de Inundacin TCP SYNOtros incluyen la fragmentacin de paquetes y reensamblaje, bombas de E-mail, CPU hogging, Aplicaciones Maliciosas, routers mal configurados, el ataque chargen, ataques out-of-band tales como WinNuke, Land.c, Teardrop.c y Targa.c.Denial of Service Attack (DoS) 2012 Cisco and/or its affiliates. All rights reserved.NDoS Attacks

2012 Cisco and/or its affiliates. All rights reserved.N52 2007, Cisco Systems, Inc. All rights reserved.CCNP2v5-Mod5-Lesson1Ataque legendario que enva una peticin de eco en un paquete IP ms grande que el tamao mximo de paquete de 65.535 bytes. Una variante de este ataque es el envo de fragmentos ICMP, que llenan los buffers de reensamblaje del equipo objetivo.Ping de la Muerte 2012 Cisco and/or its affiliates. All rights reserved.N

Este ataque enva un gran nmero de peticiones ICMP a las direcciones de broadcast, todas ellas con direcciones de origen falsas en la misma segmento de red. Ataque Smurf 2012 Cisco and/or its affiliates. All rights reserved.NEste ataque se envan gran cantidad paquetes con una direccin IP origen falsa.Cada paquete se maneja como una solicitud de conexin, haciendo que el servidor genere un medio de apertura ( conexin embrionaria) enviando de vuelta un TCP SYN-ACK y esperando una respuesta de paquete de la direccin origen.Sin embargo, debido a que la direccin origen es falso, la respuesta nunca llega. Estas conexiones medio abiertas saturar el nmero de conexiones disponibles que el servidor es capaz de hacer, evitando responder a las peticiones legtimas.Ataque de Inundacion TCP SYN 2012 Cisco and/or its affiliates. All rights reserved.NDDoS 2012 Cisco and/or its affiliates. All rights reserved.N 2012 Cisco and/or its affiliates. All rights reserved.NEjemplo de ataque de DDoS

2012 Cisco and/or its affiliates. All rights reserved.N57 2007, Cisco Systems, Inc. All rights reserved.CCNP2v5-Mod5-Lesson1Mitigacin de los Ataques 2012 Cisco and/or its affiliates. All rights reserved.N 2012 Cisco and/or its affiliates. All rights reserved.N58 2007, Cisco Systems, Inc. All rights reserved.CCNP2v5-Mod5-Lesson1La implementacin y aplicacin de una poltica que prohbe el uso de protocolos con susceptibilidades conocidas a escuchas. El uso de encriptacin que satisface las necesidades de seguridad de datos de la organizacin, sin imponer una carga excesiva sobre los recursos del sistema o los usuarios.Utilizar redes conmutadas.

Ataques de Reconocimiento 2012 Cisco and/or its affiliates. All rights reserved.N59 2007, Cisco Systems, Inc. All rights reserved.CCNP2v5-Mod5-Lesson1El escaneo de puertos y barrido ping no es un delito y no hay manera de detener estas exploraciones y barridos cuando un equipo est conectado a Internet.Los barridos de ping se puede detener si el echo de ICMP y la respuesta de eco-estn deshabilitados en los routers de borde.Mitigacin del escaneo de Puertos y Barrido de Pings 2012 Cisco and/or its affiliates. All rights reserved.NNo se puede evitar sin comprometer las capacidades de red.Sin embargo, el dao puede ser mitigado mediante sistemas de prevencin de intrusiones (IPS) en los niveles de red y host.

Mitigacin del escaneo de Puertos y Barrido de Pings

2012 Cisco and/or its affiliates. All rights reserved.NAutenticacionCriptografiaHerramientas Anti-snifferInfraestructura Conmutada

Mitigacion de un Sniffer de Paquetes 2012 Cisco and/or its affiliates. All rights reserved.NNo permita que los usuarios utilicen la misma contrasea en varios sistemas.Deshabilitar la cuenta tras un cierto nmero de intentos de conexin fallidos.Use OTP o una contrasea criptogrfico.Utilice contraseas "fuertes" que son al menos ocho caracteres y contener letras maysculas, minsculas, nmeros y caracteres especiales.No use contraseas en texto planoMitigacin de ataques de Contraseas 2012 Cisco and/or its affiliates. All rights reserved.NLos niveles de confianza dentro de una red deben estar bien sujetos garantizando que los sistemas dentro de un firewall pueda confiar absolutamente en los sistemas fuera de l.Mitigacin de Ataque de Explotacin de Confianza

2012 Cisco and/or its affiliates. All rights reserved.N64 2007, Cisco Systems, Inc. All rights reserved.CCNP2v5-Mod5-Lesson1Puede ser eficazmente mitigada slo a travs del uso de la criptografa (cifrado).Mitigacin del Man-in-the-MiddleHost AHost BRouter A ISP Router B Un ataque de man-in-the-middle slo puede ver el texto cifradoIPSec tunnel 2012 Cisco and/or its affiliates. All rights reserved.NMantener los parches hasta la fecha mediante la instalacin de todas las semanas o todos los das, si es posible, para evitar desbordamiento de bfer y ataques de escalacin de privilegios.Deshabilitar los servicios innecesarios y puertos.Utilice contraseas seguras y cambiarlas con frecuencia.Controlar el acceso fsico a los sistemas.Evite entradas innecesarias a pginas web.Realizar copias de seguridad y probar los archivos de copia de seguridad en una base regular.Educar a los empleados sobre los riesgos de la ingeniera social, y desarrollar estrategias para validar las identidades a travs del telfono, por correo electrnico o en persona.Encriptar y proteger con contrasea los datos sensibles.Implementar hardware y software de seguridad tales como firewalls, IPS, VPNs, anti-virus y filtrado de contenidos.Desarrollar una poltica de seguridad para la empresa.

10 Mejores Practicas 2012 Cisco and/or its affiliates. All rights reserved.NCisco Network Foundation Protection (NFP) 2012 Cisco and/or its affiliates. All rights reserved.N 2012 Cisco and/or its affiliates. All rights reserved.NNFP divide lgicamente routers y switches en tres reas funcionales:Plano de Control - Responsable del enrutamiento de datos correctamente. Consta de paquetes generado por el dispositivo necesarios para el funcionamiento de la red, tales como los mensajes ARP o anuncios de enrutamiento OSPF.Plano de Gestin - Responsable de la gestin de elementos de red. Generado por cualquiera de los dos dispositivos de red o estaciones de administracin que utilizan procesos y protocolos como Telnet, SSH, TFTP, FTP, NTP, AAA, SNMP, syslog, TACACS +, RADIUS y NetFlow.Plano de Datos - Responsable de la transmisin de los datos. Consiste en paquetes generados por los usuarios que se reenvan entre las estaciones finales. La mayora del trfico viaja a travs del router o switch, a travs del plano de datos.Cisco Network Foundation Protection (NFP) 2012 Cisco and/or its affiliates. All rights reserved.NCisco AutoSecure proporciona un bloqueo de un solo paso para los planos de control, gestin y datos.Protocolo de autenticacin de Enrutamiento impide que el router acepte actualizaciones fraudulentas de enrutamiento..Polticas del Plano de Control o CoPP evita que el trfico innecesario sobrecargue el procesador. CoPP trata el plano de control como una entidad separada y aplica reglas para la entrada y salida de las interfaces.Asegurando el Plano de Control 2012 Cisco and/or its affiliates. All rights reserved.NImplementar una poltica de inicio de sesin y contrasea para restringir el acceso a dispositivo.Notificacin legal actual desarrollado por el asesor legal de una corporacin.Garantizar la confidencialidad de los datos mediante el uso de protocolos de gestin de autenticacin fuerte.Utilice un papel de control de acceso basado en roles (RBAC) para asegurarse de que el acceso se concede slo a los usuarios autenticados, grupos y servicios.Restringir las acciones y puntos de vista que son permitidos por ningn usuario en particular del grupo, o servicio.Habilitar el registro de acceso de administracin y dar cuentas de todos los accesos.Asegurando el Plano de Gestin 2012 Cisco and/or its affiliates. All rights reserved.NUse ACLs para el filtrado de paquetes, asi como tambin:Bloquear el trfico no deseado o usuarios.Reducir el cambio de un ataque DoS.Mitigar los ataques de suplantacin de identidad.Proporcionar control de ancho de banda.Clasificar el trfico para proteger a los planos de control y gestin.Implementar seguridad de Capa 2:Port securityDHCP snoopingDynamic ARP Inspection (DAI)IP Source GuardAsegurando el Plano de Datos 2012 Cisco and/or its affiliates. All rights reserved.N

2012 Cisco and/or its affiliates. All rights reserved.N 2012 Cisco and/or its affiliates. All rights reserved.N