Seguridad : Dispositivos de seguridad adaptable Cisco ASA de la serie 5500

Protección de seguridad de red al otorgar acceso a terceros

15 Abril 2008 - Traducción manual
Otras Versiones: PDFpdf | Traducción Automática (31 Julio 2013) | Inglés (24 Enero 2007) | Comentarios

Contenido

Introducción
Requisitos previos
      Requerimientos
      Componentes utilizados
      Convenciones
Mejores prácticas
Discusiones relacionadas de la comunidad de soporte de Cisco

Introducción

Durante esta solicitud de servicio, puede que desee que los ingenieros de Cisco accedan a la red de su organización. Al otorgar dicho acceso, a menudo se consigue que la solicitud de servicio se resuelva más rápidamente. En estos casos, Cisco sólo accederá a su red con su permiso.

Requisitos previos

Requerimientos

No hay requerimientos específicos para este documento.

Componentes utilizados

Este documento no tiene restricciones específicas en cuanto a versiones de software y de hardware.

Convenciones

Consulte Convenciones sobre consejos técnicos de Cisco para obtener más información sobre las convenciones del documento.

Mejores prácticas

Cisco recomienda seguir estas pautas para proteger la seguridad de la red al otorgar acceso a cualquier ingeniero de soporte o persona que no pertenezca a la empresa u organización.

  • Si es posible, utilice Cisco Unified MeetingPlace para compartir información con los ingenieros de soporte. Cisco recomienda utilizar Cisco Unified MeetingPlace por estos motivos:

    • Cisco Unified MeetingPlace utiliza el protocolo de capa de zócalo seguro (SSL), que es más seguro que el shell seguro (SSH) o Telnet en algunos casos.

    • Cisco Unified MeetingPlace no requiere que se proporcionen contraseñas a cualquier persona ajena a la empresa u organización.

      Nota: Si concede acceso a la red a personas ajenas a la empresa u organización, todas las contraseñas que proporcione deben ser contraseñas temporales que son válidas solamente mientras las terceras personas necesiten acceder a la red.

    • Normalmente, Cisco Unified MeetingPlace no requiere que cambie la política de firewall, porque la mayoría de los firewalls empresariales permiten el acceso HTTPS de salida.

    Visite Cisco Unified MeetingPlace (en inglés) para obtener más información.

  • Si no puede utilizar Cisco Unified MeetingPlace y decide permitir el acceso de terceros a través de otra aplicación, como SSH, asegúrese de que la contraseña es temporal y está disponible para un solo uso. Además, debe cambiar o invalidar inmediatamente la contraseña cuando el acceso de terceros ya no sea necesario. Si utiliza una aplicación que no sea Cisco Unified MeetingPlace, puede seguir estos procedimientos y pautas:

    • Para crear una cuenta temporal en los routers de Cisco IOS, utilice este comando:

      Router(config)#username tempaccount secret QWE!@#
      
    • Para crear una cuenta temporal en PIX/ASA, utilice este comando:

      PIX(config)#username tempaccount password QWE!@#
      
    • Para eliminar la cuenta temporal, utilice este comando:

      Router (config)#no username tempaccount
      
    • Genere aleatoriamente la contraseña temporal. La contraseña temporal no debe estar relacionada con la solicitud de servicio concreta ni con el proveedor de servicios de soporte. Por ejemplo, no utilice contraseñas como cisco, cisco123 o ciscotac.

    • Nunca dé su propio nombre de usuario o contraseña.

    • No utilice Telnet por Internet. No es seguro.

  • Si el dispositivo de Cisco que requiere soporte está detrás de un firewall corporativo y se necesita un cambio en las políticas de firewall para que un ingeniero de soporte acceda al SSH del dispositivo de Cisco, asegúrese de que el cambio de políticas sea específico para el ingeniero de soporte asignado al problema. Nunca abra la excepción de política a todo Internet o a un rango mayor de hosts del necesario.

    • Para modificar una política de firewall en Firewall de Cisco IOS, agregue estas líneas a la lista de acceso de entrada en la interfaz principal de Internet:

      Router(config)#ip access-list ext inbound
      Router(config-ext-nacl)#1 permit tcp host
          <IP address for TAC engineer> host <Cisco device address> eq 22
      

      Nota: En este ejemplo, la configuración de Router(config-ext-nacl)# se muestra en dos líneas para ahorrar espacio. Sin embargo, al agregar este comando a la lista de acceso de entrada, la configuración debe aparecer en una sola línea.

    • Para modificar una política de firewall en un firewall de Cisco PIX/ASA, agregue esta línea al grupo de acceso de entrada:

      ASA(config)#access-list inbound line 1 permit tcp host
          <IP address for TAC engineer> host <Cisco device address> eq 22
      

      Nota: En este ejemplo, la configuración de ASA(config)# se muestra en dos líneas para ahorrar espacio. Sin embargo, al agregar este comando al grupo de acceso de entrada, la configuración debe aparecer en una sola línea.

    • Para permitir el acceso a SSH en los routers de Cisco IOS, agregue esta línea a la clase de acceso:

      Router(config)#access-list 2 permit host <IP address for TAC engineer>
      Router(config)#line vty 0 4
      Router(config-line)#access-class 2
      
    • Para permitir el acceso a SSH en Cisco PIX/ASA, agregue esta configuración:

      ASA(config)#ssh <IP address for TAC engineer> 255.255.255.255 outside
      		  

Si tiene preguntas sobre la información descrita en este documento o necesita ayuda adicional, póngase en contacto con el Centro de asistencia técnica de Cisco (TAC).

La finalidad de esta página Web es meramente informativa y se proporciona "tal cual" sin ninguna garantía. No se pretende que las mejores prácticas anteriores sean completas, sino que se sugieren para complementar los procedimientos actuales de seguridad de los clientes. La eficacia de cualquier práctica de seguridad depende de la situación concreta de cada cliente y se anima a los clientes a tener en cuenta todos los factores relevantes a la hora de determinar los procedimientos de seguridad más adecuados para sus redes.


Discusiones relacionadas de la comunidad de soporte de Cisco

La Comunidad de Soporte de Cisco es un foro donde usted puede preguntar y responder, ofrecer sugerencias y colaborar con colegas.


Document ID: 72884