Guías de Cisco para la securización de dispositivos IOS

Leo en el estupendo blog de Ivan Pepelnjak, Cisco IOS hints and tricks, que Cisco ha publicado una guía de securización de dispositivos IOS, Cisco Guide to Harden Cisco IOS Devices (Document ID: 13608) también disponible en formato pdf (PDF, Inglés, 99 KB, 61 páginas).

El documento arranca con una introducción a la Operación Segura (Secure Operations), consistente en el seguimiento sistemático de los Security Advisories, uso del protocolo AAA, recolección y monitorización centralizada tanto de los logs como de los flujos de tráfico, uso de protocolos seguros e implementación de un control de cambios y gestión de configuraciones (Configuration Management).

El núcleo del documento está estructurado en torno a los tres planos en los cuales se pueden categorizar las funciones de los dispositivos de red: el Plano de Gestión (Management Plane), el Plano de Control (Control Plane) y el Plano de Datos (Data Plane).

El Plano de Gestión (Management Plane) es el que se encarga de manejar el tráfico que se envía a los dispositivos de red para gestionarlos y está hecho a partir de aplicaciones y protocolos como Telnet, SSH, SNMP, FTP, TFTP, TACACS+, Radius, NetFlow, NTP o Syslog. Entre los puntos que se tratan están el uso de listas de acceso (ACLs) para controlar el acceso a la infrastructura, el uso de AAA, el uso de protocolos seguros para acceder y transferir datos (ssh vs telnet, scp vs ftp), fortificación de SNMP, logging y gestión de las configuraciones.

El Plano de Control (Control Plane) procesa el tráfico que mantiene la funcionalidad de la red. Lo conforman aplicaciones y protocolos que actúan entre los dispositivos de red, incluyendo los protocolos de enrutamiento (BGP, EIGRP, OSPF, IS-IS...). Se presentan mecanismos que protegen el plano de control limitando el impacto que tienen las cargas de tráfico sobre la CPU, así como la securización de BGP, de los protocolos de enrutamiento interiores así como de los protocolos de redundancia de primer salto (GLBP, HSRP y VRRP).

Por último se trata el Plano de Datos (Data Plane), que se encarga de mover la información por la red de origen a destino, excluyendo el tráfico que se envía a los propios dispositivos (que caería en el ámbito del plano de Gestión) y el que se envían entre los dispositivos para mantener la infrastructura (que pertenecería el Plano de Control). Se ve como filtrar tráfico por medio de ACLs, técnicas Anti-Spoofing, mecanismos de limitación de impacto sobre la CPU, identificación de tráfico, control de acceso mediante VLAN Maps y Port Access Control Lists y el uso de VLANs privadas.

Se trata en definitiva de un documento bastante completo que contiene múltiples enlaces a otras guías más específicas que desarrollan aspectos concretos.

Pero si queremos profundizar más podemos recurrir al libro Router Security Strategies (Cisco Press 2008) dedicado por completo a este tema. El enfoque del libro es el expuesto anteriormente: planos de Gestión, Control y Datos, y añade otro más, el Plano de Servicios (Services plane), similar al de Datos en el sentido de que porta tráfico hacia, desde y entre los usuarios, servidores y otras entidadades no enrutadoras pero que se diferencia del Data Plane en la forma en que se procesan los paquetes de los servicios que lo componen: VPN tunneling (MPLS, IPsec, SSL, GRE), traducciones (IPv6-to-IPv4, NAT), firewalls, IDS/IPS, voz , video... Todos estos servicios son típicamente manejados por procesadores adicionales que funcionan en capas por encima de las del plano de Datos tradicional, y que precisan un manejo de extremo a extremo (QoS).

Router Security Strategies
Autores: Gregg Schudel y David J. Smith
Editorial: Cisco Press
Fecha de publicación: 8 de enero, 2008
ISBN: 1587053365
672 páginas

Indice
1 Internet Protocol Operations Fundamentals
2 Threat Models for IP Networks
3 IP Network Traffic Plane Security Concepts
4 IP Data Plane Security
5 IP Control Plane Security
6 IP Management Plane Security
7 IP Services Plane Security
8 Enterprise Network Case Studies
9 Service Provider Network Case Studies
A Answers to Chapter Review Questions
B IP Protocol Headers
C Cisco IOS to IOS XR Security Transition
D Security Incident Handling

Fuente: Cisco vía Cisco IOS hints and tricks. Si te interesó este post puedes suscribirte a través del Feed RSS. (¿Qué es RSS?).