Repaso rápido: Seguridad – CCNA

Lo que realmente debes saber

La seguridad en CCNA se refiere a los controles básicos necesarios para proteger dispositivos, accesos, tráfico e infraestructura de red. No debes pensar en la seguridad solo como firewall o antivirus: en una red Cisco entran en juego hardening de dispositivos, autenticación, autorización, ACL, protecciones Layer 2, segmentación, logging, actualizaciones y acceso remoto seguro.

Para CCNA debes entender qué controles reducen el riesgo, dónde se aplican y qué problemas intentan prevenir. Muchas preguntas no piden solo la definición, sino qué medida es más adecuada en un escenario.

El punto central es este: la seguridad de red está formada por varias capas. Ningún control individual basta por sí solo.

Conceptos clave

• Tríada CIA: confidencialidad, integridad y disponibilidad.
• Threat: amenaza que puede causar daño.
• Vulnerability: debilidad explotable por una amenaza.
• Risk: posibilidad de que una amenaza explote una vulnerabilidad causando impacto.
• Hardening: reducción de la superficie de ataque de un dispositivo.
• AAA: Authentication, Authorization y Accounting.
• SSH: acceso remoto seguro y cifrado.
• Telnet: acceso remoto no cifrado, que debe evitarse.
• ACL: reglas que filtran tráfico.
• Port security: limita los MAC address permitidos en un puerto switch.
• DHCP snooping: protege contra servidores DHCP no autorizados.
• DAI: Dynamic ARP Inspection, protege contra ARP spoofing.
• VPN: crea comunicaciones cifradas sobre redes no confiables.
• Segmentación: separa redes y reduce movimiento lateral.
• Logging: registra eventos útiles para monitorización, auditoría y troubleshooting.

Diferencias que no debes confundir

Concepto	Significado principal
Authentication	Verifica identidad
Authorization	Establece qué está permitido
Accounting	Registra actividades
SSH	Acceso remoto cifrado
Telnet	Acceso remoto no cifrado
ACL	Filtra tráfico Layer 3/4
Port security	Controla MAC en puertos switch
DHCP snooping	Bloquea DHCP no autorizado
DAI	Protege contra ARP spoofing
VPN	Cifra comunicaciones
Segmentación	Separa redes y limita impacto

Tríada CIA

La tríada CIA es uno de los conceptos básicos de la seguridad.

• Confidentiality / Confidencialidad: impedir accesos no autorizados a la información.
• Integrity / Integridad: impedir modificaciones no autorizadas o incorrectas.
• Availability / Disponibilidad: garantizar que sistemas y servicios estén accesibles cuando se necesitan.

Ejemplos:

• cifrado y control de acceso ayudan a la confidencialidad;
• hashing, controles y autorizaciones ayudan a la integridad;
• redundancia, backups y protección contra ataques DoS ayudan a la disponibilidad.

Para CCNA debes saber relacionar un escenario con el principio CIA correcto.

Amenazas, vulnerabilidades y riesgo

Una amenaza es algo que puede causar daño, como malware, atacantes, errores humanos, configuraciones incorrectas o accesos no autorizados.

Una vulnerabilidad es una debilidad, como contraseñas débiles, software sin actualizar, puertos abiertos innecesariamente o protocolos inseguros.

El riesgo aparece cuando una amenaza puede explotar una vulnerabilidad causando impacto.

Ejemplo:

• amenaza: atacante;
• vulnerabilidad: Telnet habilitado;
• riesgo: robo de credenciales y acceso no autorizado al dispositivo.

Hardening de dispositivos

El hardening consiste en hacer que un dispositivo sea más seguro reduciendo funciones innecesarias, configuraciones débiles y superficies de ataque.

Ejemplos de hardening:

• usar SSH en lugar de Telnet;
• deshabilitar servicios no necesarios;
• usar contraseñas robustas;
• configurar privilege levels correctos;
• usar banners legales si se requieren;
• limitar acceso a las líneas VTY;
• usar ACL para management access;
• deshabilitar puertos no utilizados;
• actualizar firmware o software;
• guardar y proteger configuraciones.

Para CCNA debes recordar que hardening significa reducir posibilidades de abuso y acceso no autorizado.

SSH vs Telnet

SSH y Telnet permiten acceso remoto a la CLI, pero tienen una diferencia fundamental.

• SSH cifra la comunicación.
• Telnet envía datos en claro.

En un escenario seguro, SSH es la opción correcta. Telnet puede exponer usernames y contraseñas a interceptación.

Una configuración segura de acceso remoto puede incluir:

• hostname configurado;
• domain name configurado;
• claves RSA;
• username local;
• contraseñas o secrets robustos;
• líneas VTY habilitadas solo para SSH;
• ACL para limitar las direcciones origen autorizadas.

Contraseñas y privilegios

Las contraseñas protegen el acceso a los dispositivos, pero no todas las contraseñas tienen el mismo papel.

Conceptos importantes:

• contraseña console;
• contraseña VTY;
• enable password;
• enable secret;
• usuarios locales;
• privilege levels;
• cifrado de contraseñas en configuración.

Enable secret es preferible a enable password porque se guarda de forma más segura.

Para CCNA debes recordar que las contraseñas deben ser robustas, protegidas y asociadas a niveles de privilegio adecuados.

AAA

AAA significa:

• Authentication: verifica quién eres.
• Authorization: establece qué puedes hacer.
• Accounting: registra qué haces.

AAA puede gestionarse localmente o mediante servidores externos como RADIUS o TACACS+.

Ejemplo:

• un administrador se autentica;
• el sistema verifica qué comandos puede usar;
• sus actividades se registran.

AAA es importante porque centraliza y controla mejor accesos, permisos y trazabilidad.

RADIUS y TACACS+

RADIUS y TACACS+ son protocolos usados para AAA centralizado.

Conceptos generales:

• RADIUS se usa a menudo para autenticación de acceso a red, VPN y wireless.
• TACACS+ se usa mucho en entornos Cisco para administración de dispositivos y control más granular de comandos.

Para CCNA no hace falta conocer cada detalle profundo, pero debes saber que ambos pueden soportar autenticación centralizada.

ACL

Las ACL, Access Control List, filtran tráfico según criterios como:

• dirección IP de origen;
• dirección IP de destino;
• protocolo;
• puerto;
• dirección;
• interfaz.

Tipos generales:

• ACL estándar: filtran principalmente según la fuente.
• ACL extendidas: pueden filtrar fuente, destino, protocolo y puertos.

Las ACL son potentes pero deben ordenarse con atención.

Reglas importantes:

• se leen de arriba abajo;
• el primer match decide;
• existe un deny implícito final;
• dirección e interfaz son fundamentales.

Errores comunes con ACL

Los errores más frecuentes son:

• reglas en orden incorrecto;
• olvidar el deny implícito;
• aplicar la ACL en el puerto o interfaz equivocados;
• aplicarla inbound en lugar de outbound;
• bloquear tráfico de retorno necesario;
• usar wildcard masks erróneas;
• escribir reglas demasiado amplias;
• olvidar permitir servicios necesarios como DNS o DHCP.

En los quiz CCNA, si una ACL parece correcta pero el tráfico no pasa, revisa siempre orden, dirección y deny implícito.

Segmentación

La segmentación divide la red en zonas o dominios separados.

Puede hacerse con:

• VLAN;
• subnets;
• ACL;
• firewalls;
• VRF en escenarios más avanzados;
• redes guest separadas;
• DMZ en arquitecturas más estructuradas.

La segmentación ayuda a:

• limitar movimiento lateral;
• separar usuarios y servidores;
• proteger redes sensibles;
• aplicar políticas diferentes;
• reducir impacto de una compromisión.

Para CCNA debes recordar que VLAN diferentes no se comunican sin routing, y que el routing puede controlarse mediante ACL o firewalls.

Seguridad Layer 2

Muchos ataques ocurren en Layer 2, por lo que proteger solo el routing no basta.

Amenazas Layer 2 comunes:

• MAC flooding;
• rogue DHCP server;
• ARP spoofing;
• VLAN hopping;
• acceso físico no autorizado;
• conexión de dispositivos no autorizados.

Controles útiles:

• port security;
• DHCP snooping;
• Dynamic ARP Inspection;
• deshabilitar puertos no usados;
• asignar puertos no usados a VLAN no utilizadas;
• evitar VLAN 1 para tráfico importante;
• configurar trunks solo donde sea necesario.

Port security

Port security limita qué MAC address pueden usar un puerto switch.

Es útil sobre todo en puertos access hacia dispositivos finales.

Puede usar:

• MAC estáticas;
• MAC dinámicas;
• sticky MAC address.

Acciones en caso de violación:

• protect: descarta tráfico no autorizado sin logs detallados;
• restrict: descarta y puede generar logs o contadores;
• shutdown: pone el puerto en estado err-disabled.

En CCNA, shutdown suele ser el comportamiento predeterminado más severo.

DHCP snooping

DHCP snooping protege contra servidores DHCP no autorizados.

Funciona distinguiendo:

• puertos trusted;
• puertos untrusted.

Los puertos hacia servidores DHCP legítimos o uplinks controlados pueden ser trusted. Los puertos hacia usuarios finales normalmente deben ser untrusted.

Si un dispositivo en un puerto untrusted intenta enviar respuestas DHCP, DHCP snooping puede bloquearlas.

Esto ayuda a evitar que un rogue DHCP server distribuya gateways o DNS maliciosos.

Dynamic ARP Inspection

Dynamic ARP Inspection, o DAI, protege contra ARP spoofing y ARP poisoning.

DAI verifica los mensajes ARP comparándolos con información confiable, a menudo derivada de la DHCP snooping binding table.

Concepto importante:

• DHCP snooping construye una base confiable;
• DAI usa esa base para validar ARP.

DAI es un control Layer 2 útil contra ataques que intentan desviar tráfico o interceptar comunicaciones locales.

VLAN hopping

El VLAN hopping es un ataque en el que un host intenta acceder a tráfico de VLAN diferentes de la asignada.

Contramedidas comunes:

• deshabilitar trunking automático donde no sea necesario;
• configurar puertos de usuario como access ports;
• no usar VLAN 1 para tráfico importante;
• usar una native VLAN no utilizada;
• impedir que access ports negocien trunks;
• limitar VLAN permitidas en trunks.

Para CCNA debes recordar que los puertos hacia usuarios finales no deberían convertirse en trunks.

VPN

Una VPN crea un túnel cifrado a través de una red no confiable, como Internet.

Puede usarse para:

• acceso remoto de usuarios;
• enlaces site-to-site;
• protección del tráfico entre sedes;
• conexiones seguras hacia recursos empresariales.

Una VPN protege el tráfico en tránsito, pero no sustituye autenticación fuerte, ACL, firewalls, patching y monitorización.

Logging y monitorización

Logging y monitorización ayudan a detectar problemas, analizar incidentes y verificar actividades sospechosas.

Ejemplos:

• logins correctos y fallidos;
• cambios de configuración;
• interfaces up/down;
• eventos ACL;
• errores de protocolo;
• alertas de seguridad;
• mensajes Syslog.

Centralizar logs ayuda porque un dispositivo puede perder logs locales tras un reinicio o quedarse sin memoria.

Para CCNA debes recordar que el logging es útil tanto para troubleshooting como para seguridad.

Actualizaciones y patching

Actualizar dispositivos y software reduce el riesgo de vulnerabilidades conocidas.

El patching debe ser controlado:

• verificar versión;
• leer release notes;
• planificar ventana de mantenimiento;
• hacer backup de configuración;
• probar cuando sea posible;
• prever rollback;
• documentar el cambio.

Un dispositivo no actualizado puede ser vulnerable aunque esté bien configurado.

Seguridad wireless

También las redes wireless requieren controles específicos.

Buenas prácticas:

• usar WPA2 o WPA3;
• evitar WEP;
• usar contraseñas robustas si PSK;
• preferir 802.1X/RADIUS en enterprise;
• separar redes guest;
• usar VLAN dedicadas;
• limitar acceso a la red interna;
• monitorizar AP no autorizados;
• gestionar correctamente controladores y políticas.

Wireless no es solo señal: incluye autenticación, cifrado, VLAN, DHCP, DNS y políticas.

Buenas prácticas operativas

Buenas prácticas generales:

• usar SSH;
• deshabilitar Telnet;
• proteger acceso console y VTY;
• usar enable secret;
• limitar management access con ACL;
• deshabilitar puertos no utilizados;
• usar VLAN separadas;
• documentar cambios;
• hacer backup de configuraciones;
• habilitar logging;
• actualizar dispositivos;
• aplicar el principio de least privilege.

Estas medidas no eliminan todos los riesgos, pero reducen mucho la superficie de ataque.

Troubleshooting de seguridad

Cuando un problema parece relacionado con seguridad, verifica:

• ACL aplicadas;
• dirección ACL;
• orden de reglas;
• deny implícito;
• líneas VTY;
• configuración SSH;
• credenciales;
• privilege level;
• port security;
• DHCP snooping;
• DAI;
• VLAN y trunks;
• firewall o políticas externas;
• logs del dispositivo.

Ejemplo: si un usuario no puede acceder por SSH, el problema puede ser contraseña, usuario local, claves RSA, VTY, ACL de management o reachability IP.

Errores comunes en los quiz

• Pensar que Telnet es tan seguro como SSH.
• Confundir authentication y authorization.
• Olvidar accounting en AAA.
• Pensar que ACL no tienen deny implícito.
• Aplicar ACL en la dirección equivocada.
• Confundir port security con ACL.
• Pensar que DHCP snooping bloquea todo DHCP.
• Olvidar que DAI protege contra ARP spoofing.
• Pensar que una VPN sustituye firewall y autenticación.
• Pensar que VLAN equivale automáticamente a seguridad completa.
• Olvidar proteger puertos switch no utilizados.
• Pensar que logging es útil solo después de un incidente grave.
• Usar WEP en escenarios wireless seguros.

Mini escenario de examen

Un administrador quiere impedir que usuarios conecten dispositivos no autorizados a los puertos access de los switches. La solución más adecuada es usar port security, limitando los MAC address permitidos en el puerto.

Otro escenario: un atacante conecta un servidor DHCP no autorizado e intenta distribuir gateways maliciosos a los clientes. La protección más adecuada es DHCP snooping, configurando correctamente puertos trusted y untrusted.

Mini checklist antes del quiz

Antes de empezar el quiz deberías saber explicar:

• qué significa la tríada CIA;
• la diferencia entre threat, vulnerability y risk;
• qué significa hardening;
• por qué SSH es preferible a Telnet;
• qué significa AAA;
• la diferencia entre authentication, authorization y accounting;
• qué hacen ACL estándar y extendidas;
• por qué el deny implícito es importante;
• qué hace port security;
• para qué sirve DHCP snooping;
• para qué sirve Dynamic ARP Inspection;
• por qué la segmentación reduce el riesgo;
• para qué sirve una VPN;
• por qué logging y patching son controles importantes.