6 de septiembre de 2015

Buenas prácticas en la gestión de la red

Un tema recurrente en la gestión (management) de la red es el de las buenas practicas, mejores prácticas o best practices.
En este sentido hay diferentes tipos de recomendaciones de este tipo: buenas prácticas de seguridad, buenas prácticas de configuración, buenas prácticas de gestión, etc.
A solicitud de uno de los miembros del grupo de Facebook, junto con varios miembros hemos confeccionado la lista que presento a continuación. Es preciso tener presente que para este post he mantenido solamente prácticas relacionadas con el acceso y gestión del plano de management de los dispositivos. En futuras entregas veremos de ir generando listas semejantes para otras implementaciones.

Han colaborado en esta lista: Luis Miguel Zavaleta Leiva, Raffic Vera Constante, Eduardo Mendez, Moisés Morales, Gonzalo Hernán Aguilera Gatica y Augusto Iparraguirre Torrau. Muchas gracias a todos.
  • Habilitar exclusivamente acceso remoto utilizando SSH (bloquear el Telnet).
  • Si se van a utilizar interfaces gráficas aplicar HTTPS (bloquear HTTP).
  • Definir una VLAN de gestión y autorizar solamente a dispositivos conectados a esa VLAN el acceso al plano de gestión aplicando ACLs con una política restrictiva.
  • Implementar AAA para realizar autenticación, autorización y accounting en el acceso a los dispositivos.
  • Si se va a implementar SNMP (tanto sea para monitoreo como para configuración) utilizar SNMP v3 con autenticación y cifrado.
  • Implementar un servidor NTP interno y utilizarlo como fuente de sincronización del reloj de todos los dispositivos y sistemas.
  • Implementar un servidor de Syslog para utilizarlo como repositorio de los registros de eventos los dispositivos de la red.
  • Mantener actualizado el sistema operativo de los dispositivos de la red que lo permitan.
  • Implementar un servidor FTP con control de acceso para mantener copias de respaldo actualizadas de configuraciones e imágenes de sistemas operativos.
  • Mantener información detallada y actualizada de la red, restringiendo a personal autorizado el acceso a esa documentación.
  • Mantener un inventario actualizado de hardware y software de la infraestructura.
  • Mantener documentación actualizada de los procedimientos y acciones concernientes a los planes de contingencia y continuidad del negocio en lo que respecta al área de networking.

6 comentarios:

  1. Excelente profesor. Esto se podria decir que es lo mismo o casi a la politica de seguridad del router.*Ducumentacion *contraseña *Autenticacion * autorizacion * administracion de un dispisitivo administable * Backups* Redundancia * protocolos de enrrutamiento a utilizar.

    ResponderEliminar
  2. Tengo una duda, para crear una vlan administradora de los equipos activos (switches,) ¿ tengo que definirla como vlan nativa? o solo creo una vlan normal y coloco todo mi equipo activo en ese segmento.

    saludos.

    ResponderEliminar
    Respuestas
    1. En los switches Catalyst la VLAN 1 es la única que está creada por defecto, y por defecto es VLAN de gestión y VLAN nativa.
      Sin embargo, VLAN nativa y VLAN de gestión son 2 conceptos diferentes y la buena práctica es modificar esta configuración por defecto de modo que no coincidan.
      La práctica más habitual es dejar la VLAN de gestión en la VLAN 1, utilizada exclusivamente con ese propósito; y cambiar la VLAN nativa en los enlaces troncales a una VLAN que no esté en uso.

      Eliminar
  3. Muchas Gracias profesor

    ResponderEliminar
  4. Profesor:

    Necesito otorgar permisos a un rango de ip 192.168.2.1-192.168.2.20 a algunos servidores y puertos en especifico, ¿Existe algun comando para decirle a la lista de acceso que del rango 2.1-2.20 tienen permiso de acceder al servidor 192.168.200.20 al puerto 135? o tiene que ser linea por linea ya que de ser asi mi lista de acceso seria muy larga porque son 4 puertos para 5 servidores.

    ResponderEliminar
    Respuestas
    1. Estimado.
      Quizás la manera más simple, flexible y escalable de conseguir tu objetivo es utilizar la lógica de grupos de objetos ne la definición de las ACLs: http://www.cisco.com/c/en/us/td/docs/ios-xml/ios/sec_data_acl/configuration/12-4t/sec-data-acl-12-4t-book/sec-object-group-acl.html

      Eliminar

Gracias por tu comentario.
En este blog los comentarios están moderados, por lo que su publicación está pendiente hasta la revisión del mismo.