Chapter 26 - Network Device Access Control and Infrastructutre Security Flashcards
(31 cards)
¿Cuál es el propósito principal de una Lista de Control de Acceso (ACL) y dónde se aplica típicamente en un router IOS XE?
El propósito principal de una ACL es proporcionar funcionalidad básica de filtrado de tráfico, clasificar paquetes y asegurar la infraestructura de red. Típicamente se aplica a una interfaz de router (Layer 3) en una dirección específica (entrada o salida).
Explique la diferencia fundamental entre los comandos login y login local para la autenticación de línea en un dispositivo IOS XE.
El comando login se utiliza para habilitar la autenticación de contraseña de línea, donde se comprueba una contraseña configurada directamente en la línea. Por otro lado, el comando login local se utiliza para habilitar la autenticación basada en nombre de usuario y contraseña, donde el dispositivo busca credenciales en su base de datos de usuarios local.
Describa brevemente los tres componentes de AAA (Autenticación, Autorización, Contabilidad).
Autenticación verifica la identidad de un usuario antes de conceder acceso. La autorización define los privilegios y restricciones de acceso para un usuario autenticado. La contabilidad rastrea y registra el uso del usuario, incluyendo inicios de sesión, tiempos de inicio/parada y comandos ejecutados.
¿Por qué TACACS+ es el protocolo preferido para el control de acceso a dispositivos de red, en contraste con RADIUS?
TACACS+ es preferido para el control de acceso a dispositivos de red debido a su capacidad para separar las funciones de autenticación y autorización. Permite la autorización individual de comandos CLI, lo que no es posible con RADIUS, que devuelve todos los parámetros de autorización en una sola respuesta.
¿Cuál es la función principal del Firewall Basado en Zonas (ZBFw) en los routers IOS XE y en qué se diferencia de los ACL tradicionales en términos de inspección de tráfico?
ZBFw proporciona funcionalidad de firewall con estado en routers IOS XE, permitiendo la inspección de tráfico de la Capa 4 a la 7. A diferencia de las ACLs que son sin estado y solo controlan el acceso basado en el protocolo, IP de origen/destino y puertos, ZBFw puede detectar si un puerto está siendo “piggybacked” y mitigar intrusiones DDoS al mantener el estado de la transmisión.
Mencione las dos zonas integradas del sistema dentro de la arquitectura ZBFw y explique su propósito general.
Las dos zonas integradas del sistema en la arquitectura ZBFw son la zona self y la zona default. La zona self incluye todas las direcciones IP del router y está implícitamente permitida para el tráfico de administración (SSH, SNMP). La zona default es donde se coloca automáticamente cualquier interfaz que no sea miembro de otra zona de seguridad, y el tráfico que ingresa a una interfaz en esta zona es descartado a menos que se defina explícitamente una política.
¿Cuál es el objetivo de la Política de Plano de Control (CoPP) y qué recursos del router protege?
El objetivo de CoPP es proteger el procesador de ruta (RP) o CPU de un router. Limita el tráfico conocido a una velocidad determinada, evitando la sobrecarga de la CPU por tasas de tráfico inesperadamente altas que podrían impactar la estabilidad del router.
Cuando se configura SSH en un dispositivo IOS XE, ¿por qué SSHv2 es la versión recomendada sobre SSHv1?
SSHv2 es recomendado sobre SSHv1 porque es una reescritura completa y una versión más fuerte de SSH que corrige fallas de seguridad fundamentales presentes en SSHv1. SSHv2 es compatible con los estándares criptográficos FIPS 140-1 y 140-2 de NIST, lo que lo hace más seguro.
Identifique al menos dos métodos de “endurecimiento de dispositivos” que se pueden implementar en un router IOS XE para mejorar su postura de seguridad.
Dos métodos de endurecimiento de dispositivos son: 1) Deshabilitar herramientas de descubrimiento de topología, como CDP y LLDP, para evitar la exposición de información innecesaria a routers externos. 2) Deshabilitar servicios de redirección IP, donde un redireccionamiento ICMP puede ser usado para engañar a un dispositivo para que envíe tráfico a una ruta incorrecta.
¿Qué son los niveles de privilegio en Cisco IOS XE CLI y cómo contribuyen al control de acceso basado en roles (RBAC)?
Los niveles de privilegio en Cisco IOS XE CLI definen qué comandos están disponibles para un usuario. Existen tres niveles predeterminados (0, 1, 15), y niveles adicionales (2-14) pueden configurarse para control de acceso personalizado. Esto permite el control de acceso basado en roles (RBAC) al asignar diferentes conjuntos de comandos y permisos a los usuarios según su rol.
Access Control List (ACL) / Lista de Control de Acceso (ACL)
Una lista secuencial de entradas de control de acceso (ACEs) que permiten o deniegan la clasificación de paquetes basada en declaraciones de coincidencia predefinidas. Utilizada para filtrar tráfico.
Authentication / Autenticación
La función de seguridad que permite identificar y verificar a un usuario antes de conceder acceso a un dispositivo de red y/o servicios de red.
Authorization / Autorización
La función de seguridad que define los privilegios y restricciones de acceso que se aplicarán a un usuario autenticado.
Accounting (AAA) / Contabilidad (AAA)
La función de seguridad que proporciona la capacidad de rastrear y registrar el uso del usuario, incluyendo identidades de usuario, tiempos de inicio y parada, comandos ejecutados (es decir, comandos CLI) y más. Mantiene un registro de seguridad de los eventos.
Control Plane Policing (CoPP) / Políticas de Plano de Control (CoPP)
Una política de QoS que se aplica al tráfico que se dirige o es generado por la CPU del plano de control del router. Protege la CPU del router de tasas de tráfico inesperadamente altas que podrían impactar la estabilidad del router.
Device Hardening / Endurecimiento de Dispositivos
Un conjunto de medidas de configuración adicionales destinadas a mejorar la postura de seguridad general de los routers IOS XE, minimizando la cantidad de información expuesta externamente y reduciendo la utilización de CPU y memoria causada por paquetes innecesarios.
EXEC Timeout / Tiempo de Espera EXEC
Un comando de configuración de línea que se utiliza para desconectar las sesiones de usuario inactivas después de un período de tiempo especificado.
Login Command / Comando Login
Un comando de configuración de línea utilizado para habilitar la autenticación de contraseña de línea.
Login Local Command / Comando Login Local
Un comando de configuración de línea utilizado para habilitar la autenticación de nombre de usuario y contraseña.
Password Types / Tipos de Contraseña
Diferentes algoritmos de encriptación o hashing utilizados para proteger contraseñas en Cisco IOS XE, como Tipo 0 (texto sin formato), Tipo 5 (MD5), Tipo 7 (Vigenere reversible), Tipo 8 (PBKDF2) y Tipo 9 (scrypt).
Port ACLs (PACLs) / ACLs de Puerto (PACLs)
ACLs que se pueden aplicar en la Capa 2 de los switchports de Cisco para filtrar el tráfico en la Capa 3 o para filtrar el tráfico basado en direcciones MAC de la Capa 2. Solo admiten el filtrado de tráfico entrante.
Privilege Level / Nivel de Privilegio
Un nivel de acceso asignado a un usuario que define qué comandos están disponibles en la interfaz de línea de comandos (CLI) de un dispositivo Cisco IOS XE. Los niveles predeterminados son 0, 1 y 15.
Remote Authentication Dial-in User Service (RADIUS)
Un protocolo AAA estándar IETF que sigue un modelo cliente/servidor, donde el cliente inicia las solicitudes al servidor. Preferido para el control de acceso seguro a la red (inalámbrico y cableado).
Role-Based Access Control (RBAC) / Control de Acceso Basado en Roles (RBAC)
Un mecanismo de seguridad donde los permisos se basan en los roles de los usuarios dentro de una organización, a menudo implementado mediante niveles de privilegio.
