Resumen de contenidos para Huawei NetEngine 40E Serie
Página 1
Guía de Seguridad de las TIC CCN-STIC 1419 Procedimiento de Empleo Seguro Routers Huawei NE40E Series Septiembre de 2021...
Página 2
Procedimiento de empleo seguro Enrutadores Huawei NE40E Series CCN-STIC-1419 Catálogo de Publicaciones de la Administración General del Estado https://cpage.mpr.gob.es Edita: 2.5.4.13=Qualified Certificate: AAPP-SEP- M-SW-KPSC, ou=sello electrónico, serialNumber=S2800155J, o=CENTRO CRIPTOLOGICO NACIONAL, c=ES 2022.01.28 11:17:30 +01'00' Centro Criptológico Nacional, 2021 NIPO: 083-21-167-5 Fecha de Edición: septiembre de 2021...
Procedimiento de empleo seguro Enrutadores Huawei NE40E Series CCN-STIC-1419 ÍNDICE 1. INTRODUCCIÓN ....................3 2. OBJETO Y ALCANCE ....................6 3. ORGANIZACIÓN DEL DOCUMENTO ............... 7 4. FASE DE DESPLIEGUE E INSTALACIÓN ..............8 4.1 ENTREGA SEGURA DEL PRODUCTO ................. 8 4.2 ENTORNO DE INSTALACIÓN SEGURO ..............
CCN-STIC-1419 1. INTRODUCCIÓN 1. Los enrutadores de la serie HUAWEI NetEngine40E (NE40E) se despliegan en el borde de las redes troncales IP, en las redes IP de área metropolitana (MAN) y otras redes IP a gran escala. Funcionan en conjunto con enrutadores core para proporcionar una solución de red IP completa y jerárquica.
Página 5
Procedimiento de empleo seguro Enrutadores Huawei NE40E Series CCN-STIC-1419 Funcionalidad Descripción Supresión Administración del tráfico de los usuarios tráfico Ancho de banda definido para cada usuario desconocido Límite de entradas ARP basado en la interfaz. Supresión de la marca de tiempo basada en las direcciones IP de destino y origen de las entradas ARP.
Página 6
Procedimiento de empleo seguro Enrutadores Huawei NE40E Series CCN-STIC-1419 Funcionalidad Descripción El NE40E puede actuar como cliente y servidor STelnet y cliente y servidor SFTP. Tanto el NE40E SSHv2 con STelnet como con SFTP son compatibles con SSH1 (SSH1.5) y SSH2 (SSH2.0).
Procedimiento de empleo seguro Enrutadores Huawei NE40E Series CCN-STIC-1419 2. OBJETO Y ALCANCE 4. La configuración evaluada del producto y por lo tanto incluida en la presente guía de empleo seguro consiste en la combinación del software/firmware V800R010C00SPC200 y el parche V800R010SPH220T con los modelos de los enrutadores Huawei NE40E Series: •...
Procedimiento de empleo seguro Enrutadores Huawei NE40E Series CCN-STIC-1419 3. ORGANIZACIÓN DEL DOCUMENTO 5. El presente documento se estructura en las secciones indicadas a continuación: a) Apartado 4. En este apartado se recogen recomendaciones a tener en cuenta durante la fase de despliegue e instalación del producto.
Embalaje externo. Se debe inspeccionar el embalaje y la cinta de embalaje con la marca de Huawei. Se debe comprobar que la cinta esté intacta y que no haya sido cortada ni se haya deteriorado en ningún punto. Además, se debe inspeccionar que la caja no presente cortes ni daños que permitan...
Procedimiento de empleo seguro Enrutadores Huawei NE40E Series CCN-STIC-1419 4.2 ENTORNO DE INSTALACIÓN SEGURO 8. Los componentes del producto deben instalarse en un entorno en el cual solo el personal técnico dispone de acceso y autorización para la configuración, despliegue y mantenimiento del producto.
Iniciar sesión en el producto a través de la interfaz de línea de comandos y ejecute la instrucción display license esn en para obtener el ESN del dispositivo. c) Iniciar sesión en el sistema ESDP de Huawei a través de un PC: http://app.huawei.com/isdp.
Página 12
Procedimiento de empleo seguro Enrutadores Huawei NE40E Series CCN-STIC-1419 Parámetro Configuración Data bits Tabla 2. Configuración de parámetros para conectarse al producto por consola 14. Al conectarse por primera vez a la interfaz serial, el producto requerirá una contraseña para el usuario root entre 8 y 16 caracteres. Se recomienda usar una contraseña de 16 caracteres que cumpla con los siguientes requisitos de...
Procedimiento de empleo seguro Enrutadores Huawei NE40E Series CCN-STIC-1419 5. FASE DE CONFIGURACIÓN 5.1 MODO DE OPERACIÓN SEGURO 18. La configuración necesaria para que el producto opere de forma segura consiste en aplicar una configuración segura de varias políticas a través de la interfaz de línea de comandos.
Procedimiento de empleo seguro Enrutadores Huawei NE40E Series CCN-STIC-1419 30. Se define una suite de cifrado seguras para el encriptado en SSH: ssh server cipher aes256_gcm 31. Se define una suites de cifrado segura para HMAC en SSH: ssh server hmac sha2_256 32.
Procedimiento de empleo seguro Enrutadores Huawei NE40E Series CCN-STIC-1419 • Clave pre-compartida para cifrar la comunicación entre un servidor RADIUS externo y el producto. 5.3 ADMINISTRACIÓN DEL PRODUCTO 5.3.1 ADMINISTRACIÓN LOCAL Y REMOTA 38. La administración local del producto se realiza a través de la interfaz serial. Para ello, es necesario conectar un PC al producto con un cable de consola.
Página 16
Procedimiento de empleo seguro Enrutadores Huawei NE40E Series CCN-STIC-1419 “User Permisos Descripción Privilege” configuración a nivel de comandos y comandos de depuración. Tabla 3. Nivel de privilegios y permisos asociados 42. Para asignar un nivel específico de “user privilege” a un usuario es necesario acceder a la interfaz de línea de comandos del producto con un usuario con “user...
Procedimiento de empleo seguro Enrutadores Huawei NE40E Series CCN-STIC-1419 local-aaa-user password policy administrator password expire 120 local-aaa-user password policy access-user password expire 120 45. Se deben configurar tiempos de cierre de sesión tras un tiempo mínimo de inactividad. Se recomienda, siempre que sea posible, que no exceda de los 10 minutos.
Procedimiento de empleo seguro Enrutadores Huawei NE40E Series CCN-STIC-1419 claves para SSH y TLS (grupo 14), por ello, se deben limitar las conexiones del producto, solo permitiendo que las comunicaciones se realice de forma local en los canales internos de la organización: Tipo Descripción suite de cifrado...
Al igual que los paquetes de parches, el producto comprueba la validez e integridad del software del sistema. Su extensión es (.cc). 60. Ambos tipos de actualizaciones puede descargarse de la web oficial de Huawei (https://support.huawei.com) y deben de subirse al directorio raíz del producto mediante SFTP.
Procedimiento de empleo seguro Enrutadores Huawei NE40E Series CCN-STIC-1419 62. Para configurar un software del sistema como el software por defecto del producto se deben ejecutar las siguientes instrucciones: startup system-software <nombre_System_Software>.cc startup saved-configuration vrpcfg.zip reboot fast g) Para listar el software del sistema y el paquete de parches configurados en el producto se debe de ejecutar la siguiente instrucción:...
Procedimiento de empleo seguro Enrutadores Huawei NE40E Series CCN-STIC-1419 • Fallos en establecer una sesión SSH. 66. El producto guarda la siguiente información de los eventos: Campo Descripción Fecha y hora Fecha y hora en la que se produce el evento.
Procedimiento de empleo seguro Enrutadores Huawei NE40E Series CCN-STIC-1419 info-center loghost <IP_servidor_syslog> channel loghost1 • Especificar el nivel mínimo de logs a enviar: info-center source arp channel loghost1 log level notification • Crear una política de SSL para la comunicación segura: ssl policy <nombrar_politica_SSL>...
Página 23
Procedimiento de empleo seguro Enrutadores Huawei NE40E Series CCN-STIC-1419 y ICMP Flood. Para ello, es necesario ejecutar los siguientes comandos en la interfaz de línea de comandos: system-view tcpsynflood enable udp-packet-defend enable car icmp cir 100 cbs 3000 abnormal-packet-defend enable fragment-flood enable 77.
Página 24
Procedimiento de empleo seguro Enrutadores Huawei NE40E Series CCN-STIC-1419 • Activar DHCP y IGMP snooping para IPV4 (hacer lo mismo para IPV6 si se utiliza): system view dhcp snooping enable ipv4 igmp-snooping enable ipv4 • Definir una interfaz y la VLAN a la que pertenece como interfaz de confianza para DHCP: interface <tipo_interfaz>...
Procedimiento de empleo seguro Enrutadores Huawei NE40E Series CCN-STIC-1419 6. FASE DE OPERACIÓN 79. Durante la fase de operación del producto, lo administradores de seguridad deberán llevar a cabo, al menos, las siguientes tareas de mantenimiento. • Comprobaciones periódicas del hardware y software para asegurar que no se ha introducido hardware o software no autorizado.
Procedimiento de empleo seguro Enrutadores Huawei NE40E Series CCN-STIC-1419 7. CHECKLIST ACCIONES SÍ OBSERVACIONES DESPLIEGUE E INSTALACIÓN Verificación de la entrega segura del producto Instalación en un entorno seguro Registro de la licencia del producto Activación de la licencia del producto Instalación del producto...
Procedimiento de empleo seguro Enrutadores Huawei NE40E Series CCN-STIC-1419 9. ABREVIATURAS Authentication, authorization, and accounting Active Link Protection Address Resolution Protocol Border Gateway Protocol Certification Authority Consuming model CMPv2 Certificate Management Protocol version 2 Central processing unit. DHCP Dynamic Host Configuration Protocol...
Página 29
Procedimiento de empleo seguro Enrutadores Huawei NE40E Series CCN-STIC-1419 L2VPN Layer 2 VPN L3VPN Layer 3 VPN Label Distribution Protocol Media Access Control Metropolitan Area Network MVPN Multidiffussion VPN Network Address Translation Network Management Server Network Time Protocol OSPF Open Shortest Path First...
Página 30
Procedimiento de empleo seguro Enrutadores Huawei NE40E Series CCN-STIC-1419 Centro Criptológico Nacional...