• Si la autenticación de usuario se lleva a cabo por medio de RADIUS, asegúrese de que toda la
comunicación se produce dentro del entorno de seguridad o queda protegida por un canal
seguro.
• Tenga cuidado con los protocolos de capa de enlace, que no ofrecen una autenticación
propia entre los puntos finales, como ARP o IPv4. Un atacante podría utilizar los puntos
débiles de estos protocolos para atacar los hosts, switches y routers conectados a la red de
Layer 2, por ejemplo mediante manipulación (poisoning) de las cachés ART de sistemas en
la subred y posterior captura del tráfico de datos. Deben tomarse medidas de seguridad
adecuadas contra los protocolos de Layer 2 inseguros con el fin de impedir el acceso no
autorizado a la red. Así, por ejemplo, es posible proteger el acceso físico a la red local o utilizar
protocolos de capa superior más seguros.
Certificados y claves
• El dispositivo contiene un certificado SSL/TLS (RSA) predeterminado con una longitud de
clave de 2048 bits. Sustituya este certificado por otro de rango superior y de creación propia
con clave. Utilice un certificado firmado por una autoridad de certificación externa fiable o por
una interna. El certificado puede instalarse desde el WBM ("Sistema > Cargar y guardar").
• Utilice certificados con una clave de 4096 bits de longitud.
• Para firmar los certificados utilice una autoridad de certificación que incluya revocación y
gestión de claves.
• Asegúrese de que las contraseñas privadas personalizadas están protegidas y no están al
alcance de personas no autorizadas.
• Si sospecha que ha sufrido una infracción de seguridad, cambie de inmediato todos los
certificados y claves.
• Utilice certificados protegidos por contraseña con el formato "PKCS #12".
• Verifique los certificados por medio de las huellas dactilares en el lado servidor y en el lado
cliente para impedir ataques de interposición ("man-in-the-middle"). Utilice para ello una
segunda vía de transmisión segura.
• Antes de devolver el dispositivo a Siemens para su reparación, reemplace los certificados y
claves actuales por certificados y claves temporales de un solo uso que puedan destruirse
cuando se devuelva el dispositivo.
SCALANCE XP-200
Instrucciones de servicio, 02/2023, C79000-G8978-C428-10
Recomendaciones de seguridad
15