Tema 19

19. Hardening de red: routers, switches, Wi-Fi, administración remota y protocolos seguros

La infraestructura de red también debe endurecerse. Routers, switches, access points y consolas de administración sostienen la conectividad; si se comprometen, el atacante puede observar, redirigir o interrumpir tráfico crítico.

Objetivo Endurecer dispositivos e infraestructura de red
Enfoque Routers, switches, Wi-Fi, administración y protocolos
Resultado Reducir riesgo en el plano de red y administración

19.1 Introducción

Los dispositivos de red suelen recibir menos atención que servidores y aplicaciones, pero son igual de críticos. Un router comprometido puede modificar rutas. Un switch mal configurado puede facilitar ataques internos. Un access point inseguro puede abrir acceso no autorizado. Una consola administrativa expuesta puede entregar el control de toda la red.

El hardening de red busca proteger dispositivos, protocolos, accesos administrativos y configuraciones. También ayuda a mejorar trazabilidad y disponibilidad.

En este tema veremos medidas aplicables a routers, switches, Wi-Fi, administración remota y protocolos seguros.

19.2 Principios de hardening de red

Antes de entrar en controles específicos, conviene establecer principios generales.

  • Separar tráfico de administración del tráfico de usuarios.
  • Usar protocolos seguros.
  • Eliminar servicios innecesarios.
  • Aplicar mínimo privilegio a operadores.
  • Registrar accesos y cambios.
  • Respaldar configuraciones.
  • Actualizar firmware y sistema operativo de red.
  • Monitorear disponibilidad y eventos relevantes.
La red no solo transporta tráfico: también define caminos de confianza. Por eso su administración debe estar especialmente protegida.

19.3 Plano de administración

El plano de administración incluye las interfaces, protocolos y cuentas usadas para configurar dispositivos. Es una de las áreas más sensibles.

Buenas prácticas:

  • Usar una red o VLAN dedicada de administración.
  • Permitir acceso solo desde bastiones o equipos autorizados.
  • Aplicar MFA cuando la plataforma lo permita.
  • Usar cuentas individuales, no compartidas.
  • Registrar inicios de sesión y cambios de configuración.
  • Bloquear administración desde internet.
  • Aplicar listas de acceso a interfaces administrativas.

19.4 Protocolos seguros de administración

Los protocolos usados para administrar dispositivos deben proteger credenciales y contenido. Protocolos antiguos o sin cifrado pueden exponer información sensible.

Evitar Preferir Motivo
Telnet SSH Telnet no cifra credenciales ni sesión.
HTTP HTTPS La administración web debe cifrarse.
SNMPv1/v2c SNMPv3 SNMPv3 permite autenticación y cifrado.
FTP/TFTP sin control SFTP/SCP o repositorios protegidos Respaldos y configuraciones pueden contener secretos.

19.5 Cuentas y roles

Los operadores de red no siempre necesitan el mismo nivel de acceso. Separar roles reduce riesgo.

Controles recomendados:

  • Cuentas individuales para cada administrador.
  • Roles diferenciados: lectura, operación, administración completa.
  • Autenticación centralizada con RADIUS, TACACS+ u otro sistema equivalente cuando sea posible.
  • Registro de comandos o cambios si el dispositivo lo permite.
  • Deshabilitar cuentas por defecto.
  • Revisar cuentas inactivas y accesos de terceros.

19.6 Hardening de routers

Los routers conectan redes y toman decisiones de encaminamiento. Un router mal protegido puede permitir redirección de tráfico, interrupciones o acceso a redes no autorizadas.

Buenas prácticas:

  • Proteger interfaces de administración.
  • Usar protocolos seguros.
  • Deshabilitar servicios innecesarios.
  • Filtrar tráfico hacia el propio router.
  • Proteger protocolos de enrutamiento con autenticación cuando aplique.
  • Registrar cambios y eventos.
  • Respaldar configuraciones.
  • Actualizar firmware o sistema operativo.

19.7 Hardening de switches

Los switches conectan equipos dentro de redes locales. Aunque operen en capas bajas, su configuración afecta mucho la seguridad interna.

Controles frecuentes:

  • Deshabilitar puertos no utilizados.
  • Asignar puertos a VLAN correctas.
  • Evitar VLAN por defecto para usuarios.
  • Aplicar port security cuando corresponda.
  • Proteger puertos troncales.
  • Usar DHCP snooping, Dynamic ARP Inspection o controles equivalentes si están disponibles.
  • Separar red de administración.

19.8 Puertos no utilizados

Un puerto de switch activo sin uso puede convertirse en un punto de acceso no autorizado. En oficinas, salas técnicas o espacios compartidos, esto puede ser relevante.

Buenas prácticas:

  • Deshabilitar puertos sin uso.
  • Asignar puertos no usados a una VLAN aislada.
  • Documentar puertos activos.
  • Revisar cambios de conexión.
  • Usar control de acceso a red cuando sea posible.

19.9 VLAN y troncales

Las VLAN ayudan a separar redes, pero una mala configuración puede exponer segmentos. Los enlaces troncales transportan varias VLAN y deben protegerse especialmente.

Controles recomendados:

  • Permitir en troncales solo VLAN necesarias.
  • No usar VLAN de usuarios como VLAN nativa.
  • Documentar qué VLAN viajan por cada enlace.
  • Evitar negociación automática de troncales si no se necesita.
  • Revisar consistencia entre switches.

19.10 Seguridad Wi-Fi

La red inalámbrica extiende el perímetro físico. Un atacante no necesita conectarse a un cable si puede intentar acceder desde la cobertura Wi-Fi.

Buenas prácticas:

  • Usar WPA2-Enterprise o WPA3-Enterprise cuando sea posible.
  • Separar Wi-Fi corporativa y Wi-Fi de invitados.
  • Aislar clientes en redes de invitados.
  • Evitar contraseñas compartidas débiles.
  • Rotar credenciales compartidas si se usan.
  • Detectar access points no autorizados.
  • Controlar administración de controladoras y AP.

19.11 Red de invitados

La red de invitados debe considerarse no confiable. Su propósito suele ser brindar salida a internet, no acceso a recursos internos.

Controles recomendados:

  • Separación completa de redes internas.
  • Salida a internet controlada.
  • Aislamiento entre clientes si corresponde.
  • Portal o aceptación de términos si la organización lo requiere.
  • Limitación de ancho de banda cuando sea necesario.
  • Logs suficientes para investigación según política.

19.12 Protocolos inseguros

Algunos protocolos fueron diseñados en contextos donde la seguridad no era prioridad. Si se usan sin protección, pueden exponer credenciales o información sensible.

Protocolo Riesgo Alternativa o control
Telnet Credenciales en claro. SSH.
HTTP para administración Sesión sin cifrado. HTTPS.
SNMPv1/v2c Comunidades débiles y sin cifrado. SNMPv3.
FTP Credenciales y datos sin cifrado. SFTP o SCP.
Protocolos antiguos de cifrado Debilidades conocidas. Versiones modernas y configuraciones seguras.

19.13 SNMP y monitoreo

SNMP permite monitorear dispositivos de red, pero debe configurarse de forma segura. Las comunidades por defecto o débiles pueden revelar información sensible.

Buenas prácticas:

  • Preferir SNMPv3.
  • Restringir orígenes autorizados.
  • Usar credenciales fuertes.
  • Evitar comunidades por defecto.
  • Limitar permisos de lectura y escritura.
  • Registrar accesos o cambios cuando sea posible.

19.14 Syslog, NTP y DNS

Los dispositivos de red necesitan servicios auxiliares seguros y confiables. Syslog centraliza logs, NTP sincroniza hora y DNS permite resolución de nombres.

Recomendaciones:

  • Enviar logs a servidores centralizados.
  • Sincronizar hora con fuentes NTP confiables.
  • Usar servidores DNS internos autorizados.
  • Restringir acceso a estos servicios desde dispositivos de red.
  • Monitorear pérdida de logs o desincronización horaria.
Sin hora sincronizada, los logs de red pierden mucho valor durante una investigación.

19.15 Backups de configuración

Las configuraciones de routers, switches, firewalls y controladoras Wi-Fi deben respaldarse. Una pérdida de configuración puede afectar disponibilidad o seguridad.

Buenas prácticas:

  • Respaldos automáticos o periódicos.
  • Versionado de configuraciones.
  • Almacenamiento protegido.
  • Cifrado si contienen secretos.
  • Pruebas de restauración.
  • Comparación de cambios no autorizados.

19.16 Actualizaciones de firmware

Los dispositivos de red también tienen vulnerabilidades. El firmware o sistema operativo de red debe mantenerse actualizado con planificación.

Antes de actualizar:

  • Revisar notas de versión.
  • Validar compatibilidad.
  • Respaldar configuración.
  • Planificar ventana de mantenimiento.
  • Definir reversión.
  • Probar conectividad y funciones después del cambio.

19.17 Monitoreo de dispositivos de red

La infraestructura de red debe monitorearse para detectar fallas, saturación, cambios y eventos sospechosos.

Eventos y métricas útiles:

  • Uso de CPU y memoria.
  • Estado de interfaces.
  • Cambios de configuración.
  • Inicios de sesión administrativos.
  • Errores de enlace.
  • Flaps de interfaces.
  • Cambios de rutas.
  • AP no autorizados o clientes Wi-Fi sospechosos.

19.18 Ejemplo práctico: switch de acceso

Un switch de acceso en una oficina puede endurecerse con estas medidas:

  • Administración solo desde VLAN de gestión.
  • SSH y HTTPS habilitados; Telnet y HTTP deshabilitados.
  • Puertos no usados deshabilitados.
  • VLAN de usuarios, invitados y telefonía separadas.
  • Troncales limitadas a VLAN necesarias.
  • Logs enviados a syslog central.
  • SNMPv3 configurado para monitoreo.
  • Configuración respaldada automáticamente.

19.19 Errores frecuentes

  • Administración desde cualquier red: expone dispositivos críticos.
  • Usar Telnet o HTTP: transmite información sin protección adecuada.
  • Dejar puertos activos sin uso: facilita conexiones no autorizadas.
  • No respaldar configuraciones: complica recuperación ante fallas.
  • No actualizar firmware: deja vulnerabilidades conocidas.
  • Usar SNMP inseguro: puede exponer información de red.
  • No separar Wi-Fi de invitados: abre camino hacia recursos internos.

19.20 Lista de verificación inicial

  • Separar red de administración.
  • Deshabilitar Telnet, HTTP y servicios innecesarios.
  • Usar SSH, HTTPS y SNMPv3.
  • Aplicar cuentas individuales y roles.
  • Restringir acceso administrativo por origen.
  • Deshabilitar puertos de switch no usados.
  • Separar Wi-Fi corporativa e invitados.
  • Enviar logs a syslog central y sincronizar NTP.
  • Respaldar configuraciones y probar restauración.
  • Monitorear cambios, interfaces y eventos críticos.

19.21 Ideas clave para recordar

  • Routers, switches y AP son activos críticos de seguridad.
  • La administración de red debe estar separada, restringida y registrada.
  • Protocolos inseguros deben reemplazarse por alternativas cifradas.
  • Los puertos no usados y VLAN mal configuradas aumentan exposición.
  • Wi-Fi requiere separación, autenticación fuerte y monitoreo.
  • Backups, firmware y monitoreo son parte del hardening de red.

19.22 Conclusión

El hardening de red protege la infraestructura que sostiene todas las comunicaciones. Endurecer routers, switches, Wi-Fi y administración remota reduce la posibilidad de interceptar, redirigir o interrumpir tráfico crítico.

En el próximo tema estudiaremos hardening en nube, contenedores y plataformas virtualizadas.

Volver al índice