Adems de las soluciones IPS e IDS, se desarrollaron los firewalls para prevenir que trfico no deseado ingresara a ciertas

reas sealadas dentro de una red, proporcionando seguridad de permetro. En 1988 se cre el primer firewall de red en la
forma de un filtro de paquetes. Estos primeros firewalls inspeccionaban los paquetes para verificar que se correspondieran
con conjuntos de reglas predefinidas, con la opcin de forwardearlos o descartarlos.
Los firewalls de filtrado de paquetes inspeccionan cada paquete aisladamente sin examinar si es parte de una conexin
existente. En 1989, AT&T Bell Laboratories desarroll el primer firewall de estados (stateful). Como los firewalls de filtrado
de paquetes, los firewalls de estados utilizan reglas predefinidas para permitir o denegar trfico. A diferencia de los firewalls
de filtrado de paquetes, los firewalls de estados hacen seguimiento de las conexiones establecidas y determinan si un
paquete pertenece a un flujo de datos existente, ofreciendo mayor seguridad y procesamiento ms rpido
Las amenazas internas, ya sean intencionales o accidentales, pueden causar an ms dao que las amenazas externas, por
el acceso directo y conocimiento de la red y datos corporativos.
Estas amenazas internas caen, bsicamente, en dos categoras: falsificacin y DoS. Los ataques de falsificacin son ataques
en los que un dispositivo intenta hacerse pasar por otro falsificando datos. Por ejemplo, la falsificacin de direcciones MAC
ocurre cuando una computadora envia paquetes de datos cuya direccin MAC corresponde a otra computadora que no es
la propia. Los ataques de DoS hacen que los recursos de una computadora no estn disponibles para los usuarios a los que
estaban destinados.
La criptografa, el estudio y prctica de ocultar informacin, es ampliamente utilizada en la seguridad de redes moderna.
Hoy en da, cada tipo de comunicacin de red tiene un protocolo o tecnologa correspondiente, diseado para ocultar esa
comunicacin de cualquier otro que no sea el usuario al que est destinada.
La criptografa asegura la confidencialidad de los datos, que es uno de los tres componentes de la seguridad de la
informacin: confidencialidad, integridad y disponibilidad. El cifrado provee confidencialidad al ocultar los datos en texto
plano. La integridad de los datos, es decir, el hecho de que los datos sean preservados sin alteraciones durante una
operacin, se mantiene a travs del uso de mecanismos de hashing. La disponibilidad, que es la accesibilidad a los datos,
est garantizada por los mecanismos de network hardening y sistemas de resguardo de datos.
El hacking comenz en la dcada de 1960 con el phone freaking, o phreaking, que se refiere al hecho de usar varias
frecuencias de radio para manipular los sistemas de telfono. El phreaking comenz cuando AT&T comenz a incluir
conmutadores automticos en sus sistemas telefnicos. Algunos clientes de AT&T se percataron de que, imitando un tono
usando un silbato, podan explotar los conmutadores telefnicos para efectuar llamadas a larga distancia gratuitas.
El wardialing se populariz en la dcada de 1980 con el uso de modems de computadora. Los programas de wardialing
escaneaban automticamente los nmeros telefnicos de un rea, marcando cada uno en bsqueda de computadoras.
Cuando se encontraba un nmero de telfono, se usaban programas de cracking de contraseas para acceder.
El wardriving comenz en la dcada de 1990 y es popular aun hoy. Con el wardriving, los usuarios acceden sin autorizacin
a las redes por medio de access points inalmbricos. Esto se logra en usando un medio de transporte y una computadora o
PDA con acceso inalmbrico. Los programas de password cracking se usan para identificarse, si es necesario.
Otras amenazas herramientas de escaneo como Nmap y SATAN, as como herramientas de hacking de administracin de
sistemas remotos como Back Orifice.
El primer virus por correo electrnico, el virus Melissa, fue escrito por David Smith. Este virus result en overflows de
memoria en servidores de mail de Internet. Robert Morris cre el primer gusano de Internet con 99 lneas de cdigo.
Cuando sali el gusano Morris, 10% de los sistemas de Internet se detuvieron. Uno de los hackers de Internet ms famosos,
Kevin Mitnick, hacke cuentas de tarjetas de crdito a principios de los aos 1990.
1.1.3 Organizaciones de Seguridad en Redes Los profesionales de la seguridad en redes deben colaborar con colegas
profesionales ms frecuentemente que en la mayora de las otras profesiones. Tres de las organizaciones de seguridad en
redes mejor establecidas son:

SysAdmin, Audit, Network, Security (SANS) Institute

Computer Emergency Response Team (CERT)
International Information Systems Security Certification Consortium ((ISC)2 se dice "I-S-C-squared" en ingls)

Otras: InfoSysSec , La Mitre Corporation. FIRST y Center for Internet Security (CIS)
SANS se estableci en 1989 como una organizacin cooperativa de investigacin y educacin. El objetivo de SANS es la
capacitacin y certificacin en seguridad de la informacin
El CERT fue creado para trabajar con la comunidad de Internet para detectar y resolver incidentes de seguridad en las
computadoras. El gusano Morris motiv la formacin del CERT. El CERT Coordination Center (CERT/CC) tiene por objetivo
coordinar la comunicacin entre los expertos durante emergencias de seguridad para ayudar a prevenir futuros accidentes.
El CERT se ocupa de cinco reas: aseguramiento del software, sistemas seguros, seguridad en las organizaciones, respuesta
coordinada y educacin y capacitacin.
(ISC)2 provee productos y servicios educativos independientes del proveedor en ms de 135 pases. La misin de (ISC)2 es
hacer del cibermundo un lugar seguro elevando la seguridad de la informacin al dominio pblico y soportando y
desarrollando profesionales de la seguridad de la informacin en todo el mundo.

feeds Really Simple Syndication (RSS). RSS es una familia de formatos basados en XML utilizados para publicar informacin
frecuentemente actualizada, como entradas de blogs, noticias, audio y video. RSS utiliza un formato estandarizado. Un canal
RSS incluye texto completo o resumido y metadatos, como fechas de publicacin y autoras. Los canales RSS pueden ser
ledos utilizando un lector RSS basado en web, tpicamente incrustado en un navegador web.
1.1.4 Dominios de la Seguridad en Redes
Los dominios proveen un marco organizado para facilitar el aprendizaje sobre la seguridad en redes.
Existen 12 dominios de seguridad en redes especificados por la International Organization for Standardization
(ISO)/International Electrotechnical Commission (IEC). Los 12 dominios estn diseados para servir como base comn para
desarrollar los estndares de seguridad en las organizaciones y las prctidas de administracin de seguridad efectiva, as
como tambin para ayudar a construir una confianza en las actividades que toman lugar dentro de la organizacin.
Evaluacin de riesgos: este es el primer paso en el proceso de administracin de riesgos. Determina el valor cuantitativo y
cualitativo del riesgo relacionado con una amenaza.
Poltica de seguridad: Documento que trata restricciones y comportamiento de los miembros de una organizacin.
Organizacin de la seguridad de la informacin: modelo de gobierno establecido por una organizaion para la seguridad de
la informacin.
Administracin de bienes: Inventario y esquema de clasificacin para los bienes de informacin.
Seguridad de los recursos humanos: trata de procedimientos de seguridad que guardan relacin con los empleados que
entran, se mueven dentro de una organizacin.
Seguridad fsica y ambiental: describe la proteccin de las instalaciones reales de las computadoras dentro de una
organizacin.
Administracin de las comunicaciones y las operaciones: describe la administracin de controles tcnicos de seguridad en
sistemas y redes.
Control de acceso: describe la restriccin de derechos de acceso a redes, sistemas, aplicaciones funciones y datos.
Adquisicin, desarrollo y mantenimiento de los sistemas de informacin: describe integracin de la seguridad a las
aplicaciones.
Administracin de incidentes de seguridad de la informacin: Describe como anticipar y responder a las brechas de
seguridad de la informacin.
Administracin de la continuidad de los negocios: Describe proteccin, mantenimiento y recuperacin de procesos y
sistemas riticos para los negocios
Conformidad: Asegurar conformidad con las regulaciones, los estndares y las polticas de la seguridad de la informacin.
1.1.5 Politicas de Seguridad en las Redes La poltica de seguridad en redes es un documento amplio diseado para ser
claramente aplicable a las operaciones de una organizacin. La poltica se utiliza para asistir en el diseo de la red, transmitir
principios de seguridad y facilitar el despliegue de la red.
La arquitectura Cisco SecureX est diseada para proporcionar una seguridad eficaz para cualquier usuario, desde cualquier
lugar, en cualquier momento. Esta arquitectura incluye los siguientes componentes importantes: Motores de escaneo,
Mecanismos de entrega, Operaciones de Inteligencia de Seguridad (Security Intelligence Operations - SIO), Consolas de
Administracin de Polticas, Punto extremo de ltima generacin
1.2 Virus, Gusanos y Troyanos
1.2.1 Virus Las principales vulnerabilidades de las computadoras de los usuarios finales son los ataques de virus, gusanos y
troyanos: Un virus es un software malicioso que se adjunta a otro programa para ejecutar una funcin indeseada especfica
en una computadora. Un gusano ejecuta cdigo arbitrario e instala copias de s mismo en la memoria de la computadora
infectada, que luego infecta a otros hosts. Un troyano es una aplicacin escrita para parecerse a otra cosa. Cuando se
descarga y ejecuta un troyano, ataca a la computadora del usuario final desde dentro.
Un virus es cdigo malicioso que se adjunta a archivos ejecutables o programas legtimos. La mayora de los virus requiere
una activacin de parte del usuario final y puede permanecer inactivo por largos perodos de tiempo y luego activarse en
una fecha u hora especfica. Un virus simple puede instalarse en la primera lnea de cdigo en un archivo ejecutable.
Los gusanos son un tipo de cdigo hostil particularmente peligroso. Se multiplican explotando vulnerabilidades en las redes
independientemente. Los gusanos generalmente hacen que las redes operen ms lentamente. Mientras que los virus
requieren un programa husped para ejecutarse, los gusanos pueden ejecutarse solos. No requieren la participacin del
usuario y pueden diseminarse muy rpidamente en la red.
La mayora de los ataques de gusanos tiene tres componentes principales: Una vulnerabilidad habilitante - Los gusanos se
instalan utilizando un mecanismo de explotacin (adjunto de correo electrnico, archivo ejecutable, troyano) en un sistema
vulnerable. Sistema de propagacin- Luego de acceder a un dispositivo, el gusano se mmultiplica y localiza nuevos objetivos.
Carga - Cualquier cdigo malicioso que resulta en alguna accin. La mayora de las veces esto se usa para crear una puerta
trasera en el host infectado.
Hay cinco fases bsicas de ataque, ya sea un virus o un gusano el que se contagie.
Fase de exploracin - Se identifican los objetivos vulnerables. Se buscan computadoras que puedan ser explotadas. Se usan
escaneos de ping de Protocolo de Mensajes de Control de Internet para hacer mapas de la red. Luego la aplicacin escanea
e identifica sistemas operativos y software vulnerable.
Fase de penetracin - Se transfiere cdigo de explotacin al objetivo vulnerable.
Fase de persistencia - Luego de que el ataque haya sido exitosamente lanzado en la memoria, el cdigo trata de persistir
en el sistema vctima. El objetivo es asegurar que el cdigo atacante est ejecutndose y disponible al atacante incluso si el
sistema se reinicia.
Fase de propagacin - El atacante intenta extender el ataque a otros objetivos buscando mquinas vecinas vulnerables.
Fase de paralizacin - Se hace dao real al sistema. Se pueden borrar archivos, el sistema puede colapsar, se puede robar
informacin y se pueden lanzar ataques distribuidos de DoS (DDoS)

Un troyano, en el mundo de la computacin, es malware que realiza operaciones maliciosas bajo el disfraz de una funcin
deseada. Un virus o gusano puede llevar consigo un troyano. Los troyanos contienen cdigo malicioso oculto que explota
los privilegios del usuario que lo ejecuta.
Los troyanos generalmente se clasifican de acuerdo al dao que causan o la manera en que violan el sistema:
Troyanos de Acceso Remoto (permiten el acceso remoto no autorizado)
Troyano de Envo de Datos (provee al atacante de datos sensibles como contraseas)
Troyano Destructivo (corrompe o elimina archivos)
Troyano proxy (la computadora del usuario funciona como un servidor proxy)
Troyano FTP (abre el puerto 21)
Troyano inhabilitador de software de seguridad (detiene el funcionamiento de programas antivirus y/o firewalls) Troyano
de denegacin de servicio (reduce la velocidad o detiene la actividad en la red)
1.2.4 Mitigacion de Virus, Gusanos y Troyanos
La mayora de las vulnerabilidades descubiertas en el software tienen relacin con el desbordamiento del buffer. Un
desbordamiento en el buffer ocurre cuando un buffer de longitud fija llena su capacidad y un proceso intenta almacenar
datos ms all de ese lmite mximo. Los desbordamientos de buffer son generalmente el conducto principal a travs del
cual los virus, gusanos y troyanos hacen dao. Los virus y troyanos tienden a aprovecharse de los desbordamientos de
buffer de root locales. Un desbordamiento de buffer de root es un desbordamiento de buffer que busca obtener privilegios
de root en un sistema. Los desbordamientos de buffer de root locales requieren que el sistema o usuario final efecte algn
tipo de accin. Un desbordamiento de buffer de root local se inicia tpicamente cuando un usuario abre un adjunto de un
correo electrnico, visita un sitio web o intercambia un archivo a travs de mensajera instantnea.
El software antivirus ayuda a prevenir a los hosts de ser infectados y diseminar cdigo malicioso. El software antivirus es el
producto de seguridad ms ampliamente desplegado en el mercado de hoy en da. Los productos antivirus tienen opciones
de automatizacin de actualizaciones para que las nuevas definiciones de virus y actualizaciones de software puedan ser
descargadas automticamente o a peticin.
Los gusanos dependen ms de la red que los virus. La respuesta a una infeccin de un gusano puede separarse en cuatro
fases: contencin, inoculacin, cuarentena y tratamiento.
La fase de contencin consiste en limitar la difusin de la infeccin del gusano de reas de la red que ya estn infectadas.
Esto requiere compartimentizacin y segmentacin de la red para hacer ms lento o detener al gusano y prevenir que los
hosts actualmente infectados infecten a otros sistemas
La fase de inoculacin corre en paralelo o subsecuente a la fase de contencin. Durante la fase de inoculacin todos los
sistemas no infectados reciben un parche del vendedor apropiado para la vulnerabilidad. El proceso de inoculacin priva
an ms a los gusanos de objetivos disponibles.
La fase de cuarentena incluye el rastreo y la identificacin de mquinas infectadas dentro de las reas contenidas y su
desconexin, bloqueo o eliminacin.
la fase de tratamiento, los sistemas activamente infectados son desinfectados del gusano. Esto puede significar terminar el
proceso del gusano, eliminar archivos modificados o configuraciones del sistema que el gusano haya introducido e instalar
un parche para la vulnerabilidad que el gusano usaba para explotar el sistema.
En el caso del gusano SQL Slammer, el trfico malicioso fue detectado en el puerto UDP 1434, para prevenir la diseminacin
de este gusano sera necesario bloquear este puerto en todos los dispositivos de la red interna.
1.3 Metodologas de Ataque
Ataques de reconocimiento: consisten en el descubrimiento y mapeo de sistemas, servicios o vulnerabilidades sin
autorizacin. Los ataques de reconocimiento muchas veces emplean el uso de sniffers de paquetes y escners de puertos.
En un ataque de reconocimiento, el intruso malicioso tpicamente comienza por llevar a cabo un barrido de ping en la red
objetivo para determinar qu direcciones IP estn siendo utilizadas. El intruso entonces determina qu servicios o puertos
estn disponibles en las direcciones IP activas. Nmap es la aplicacin ms popular para escanear puertos. Los ataques de
reconocimiento utilizan varias herramientas para ganar acceso a una red:
- sniffer de paquetes es una aplicacin de software que utiliza una tarjeta de red en modo promiscuo para capturar todos
los paquetes de red que se transmitan a travs de una LAN.
-las aplicaciones de barrido de ping y escaneo de puertos efectan una serie de pruebas en los hosts y dispositivos para
identificar servicios vulnerables. La informacin se recolecta examinando el direccionamiento IP y datos de puerto o banner
de los puertos TCP y UDP. Un atacante usa barridos de ping y escaneos de puerto para adquirir informacin para
comprometer el sistema. El barrido de ping es una tcnica de escaneo de redes bsica que determina qu rango de
direcciones IP corresponde a los hosts activos. Un solo ping indica si un host especfico existe en la red. El escaneo de puertos
es un escaneo de un rango de nmeros de puerto TCP o UDP en un host para detectar servicios abiertos. Consiste en el
envo de un mensaje a cada puerto de un host. La respuesta recibida indica si el puerto es utilizado.
-Las bsquedas de informacin en Internet pueden revelar informacin sobre quin es el dueo de un dominio particular
y qu direcciones han sido asignadas a ese dominio. Tambin pueden revelar quin es el dueo de una direccin de IP
particular y qu dominio est asociado con la direccin.
Ataques de acceso explotan vulnerabilidades conocidas en servicios de autenticacin, FTP y web para ganar acceso a
cuentas web, bases de datos confidenciales y otra informacin sensible. Un ataque de acceso puede efectuarse de varias
maneras. Un ataque de acceso generalmente emplea un ataque de diccionario para adivinar las contraseas del sistema.

Los hackers utilizan los ataques de acceso en las redes o sistemas por tres razones: para obtener datos, para ganar acceso y
para escalar privilegios de acceso.
Los ataques de acceso generalmente emplean ataques de contrasea para adivinar las contraseas del sistema. Los ataques
de contrasea pueden ser implementados utilizando varios mtodos, incluyendo ataques de fuerza bruta, programas
troyanos, falsificacin de IPs y sniffers de paquetes. Sin embargo, la mayora de los ataques es por fuerza bruta, es decir,
repetidos intentos basados en un diccionario incorporado para identificar una cuenta de usuario o contrasea.
Un ataque de fuerza bruta generalmente se lleva a cabo usando un programa que corre a travs de la red e intenta ingresar
a un recurso compartido, como un servidor. Luego de que un atacante gana acceso a un recurso, tiene los mismos derechos
que el usuario cuya cuenta comprometi. Si esta cuenta tiene suficientes privilegios, el atacante puede crear una puerta
trasera para acceso futuro sin preocuparse por cambios de contrasea o de estado en relacin a la cuenta de usuario
comprometida.
Hay 5 tipo de ataque de acceso:
Ataques de contrasea - El atacante intenta adivinar las contraseas del sistema. Un ejemplo comn es un ataque de
diccionario.
Explotacin de la confianza - El atacante usa privilegios otorgados a un sistema en una forma no autorizada, posiblemente
causando que el objetivo se vea comprometido.
Redireccin de puerto - Se usa un sistema ya comprometido como punto de partida para ataques contra otros objetivos. Se
instala una herramienta de instrusin en el sistema comprometido para redireccin de sesiones.
Ataque Man in the Middle - El atacante se ubica en el medio de una comunicacin entre dos entidades legtimas para leer
o modificar los datos que pasan entre las dos partes.
Desbordamiento de buffer - El programa escribe datos ms all de la memoria de buffer alocada. Los desbordamientos de
buffer surgen generalmente como consecuencia de un error en un programa C o C++. Un resultado del desbordamiento es
que los datos vlidos se sobreescriben o explotan para permitir la ejecucin de cdigo malicioso.
Ataques de Denegacin de Servicio envan un nmero extremadamente grande de solicitudes en una red o Internet. Estas
solicitudes excesivas hacen que la calidad de funcionamiento del dispositivo vctima sea inferior. Como consecuencia, el
dispositivo atacado no est disponible para acceso y uso legtimo. Al ejecutar explotaciones o combinaciones de
explotaciones, los ataques de DoS desaceleran o colapsan aplicaciones y procesos.
El ataque de DoS es un ataque de red que resulta en algn tipo de interrupcin en el servicio a los usuarios, dispositivos o
aplicaciones. Muchos mecanismos pueden generar un ataque de DoS. El mtodo ms simple es generar grandes cantidades
de lo que simula ser trfico de red vlido. Este tipo de ataque de DoS satura la red para que el trfico de usuario vlido no
pueda pasar.
Los ataques de DoS intentan comprometer la disponibilidad de una red, un host o una aplicacin. Se los considera un riesgo
importante porque pueden interrumpir fcilmente un proceso de negocios y causar prdidas significativas.
Un ejemplo de un ataque DoS es el envo de un paquete venenoso. En otro ejemplo, un atacante enva un flujo continuo de
paquetes, que sobrecargan el ancho de banda disponible de los enlaces de la red. Un Ataque de Denegacin Distribuida de
Servicio (DDoS) es similar en intencin a un ataque DoS, excepto que un ataque DDoS se origina en mltiples fuentes
coordinadas.
-Tres ataques de DoS comunes para entender mejor cmo funcionan.
El ping de la muerte En un ataque de ping de la muerte, un hacker enva una solicitud de eco en un paquete IP ms grande
que el tamao de paquete mximo de 65535 bytes. Enviar un ping de este tamao puede colapsar la computadora objetivo.
Ataque Smurf En un ataque smurf, el atacante enva un gran nmero de solicitudes ICMP a direcciones broadcast, todos
con direcciones de origen falsificadas de la misma red que la vctima.
Inundacin TCP/SYN En un ataque de inundacin TCP/SYN, se enva una inundacin de paquetes SYN TCP, generalmente
con una direccin de origen falsa. Cada paquete se maneja como una solicitud de conexin, causando que el servidor genere
una conexin a medio abrir devolviendo un paquete SYN-ACK TCP y esperando un paquete de respuesta de la direccin del
remitente.
Hay cinco maneras bsicas en las que los ataques de DoS pueden hacer dao:
Consumo de los recursos, como ancho de banda, espacio en el disco o tiempo de procesador
Modificacin de la informacin de configuracin, como la informacin de ruteo
Modificacin de la informacin de estado, como el reinicio de las sesiones TCP
Modificacin de los componentes fsicos de la red
Obstruccin de las comunicaciones entre la vctima y otros.
1.3.4 Mitigacion de Ataques de Red
Los ataques de reconocimiento pueden ser mitigados de varias maneras.
Utilizar una autenticacin fuerte es una primera opcin para la defensa contra sniffers de paquetes. La autenticacin fuerte
es un mtodo de identificar a los usuarios que no puede ser fcilmente burlados. Una contrasea de una sola vez (One-Time
Password - OTP) es una forma de autenticacin fuerte.
El cifrado tambin es efectivo en la mitigacin de ataques de sniffers de paquetes. Si el trfico est cifrado, es prcticamente
irrelevante si un sniffer de paquetes est siendo utilizado, ya que los datos capturados no son legibles.
El software antisniffer y las herramientas de hardware detectan cambios en el tiempo de respuesta de los hosts para
determiar si los hosts estn procesando ms trfico del que sus propias cargas de trfico indicara.
Una infraestructura switcheada es la norma hoy en da, lo cual dificulta la captura de datos que no sean los del dominio de
colisin inmediato, que probablemente contenga solo un host.
Es imposible mitigar el escaneo de puertos. Sin embargo, el uso de un IPS y un firewall puede limitar la informacin que
puede ser descubierta con un escner de puerto, y los barridos de ping pueden ser detenidos si se deshabilitan el eco y la
respuesta al eco ICMP en los routers de borde.

Tambin hay varias tcnicas disponibles para mitigar los ataques de acceso.
El uso de protocolos de autenticacin cifrados o de hash, en conjuncin con una poltica de contraseas fuerte, reduce
enormemente la probabilidad de ataques de acceso exitosos. Hay prcticas especficas que ayudan a asegurar una poltica
de contraseas fuerte: Deshabilitar cuentas luego de un nmero especfico de autenticaciones fallidas. Esta prctica
ayuda a prevenir los intentos de contrasea continuos. No usar contraseas en texto plano. Usar o una contrasea de una
sola vez (OTP) o una contrasea cifrada.

1.4 Sistema de Proteccion Basica de la Red Cisco

1.4.1 NFP
El marco de trabajo de Cisco Network Foundation Protection (NFP) brinda instrucciones abarcativas para proteger la
infraestructura de la red. Estas instrucciones conforman la base para una entrega constante de servicio.
NFP divide lgicamente los routers y switches en tres reas funcionales:
Plano de Control - Responsable de enrutar correctamente los datos. El trfico del plano de control consiste en paquetes
generados por dispositivos que se requieren para la operacin de la red en s tales como intercambios de mensajes ARP o
publicaciones de enrutamiento OSPF.
Plano de Administracin - Responsable de administrar elementos de la red. Plano de Administracin El trfico es generado
por dispositivos de red o estaciones de administracin de la red utilizando procesos y protocolos tales como Telnet, SSH,
TFTP, FTP, NTP, AAA, SNMP, syslog, TACACS+, RADIUS y NetFlow.
Plano de Datos (Forwarding Plane) - Responsable de forwardear los datos. El trfico del plano de datos normalmente
consiste en paquetes generados por el usuario que se envan entre estaciones finales.
Las ACLs llevan a cabo el filtrado de paquetes para controlar qu paquetes se desplazan a travs de la red y dnde se
permite ir a dichos paquetes. Las ACL se utilizan para asegurar el plano de datos de varias formas, incluyendo:
Bloqueo de trfico o usuarios no deseados - Las ACL pueden filtrar paquetes entrantes o salientes en una interfaz. Pueden
utilizarse para controlar el acceso basndose en las direcciones del origen, direcciones de destino, o autenticacin del
usuario.
Reducir las oportunidades de ataques DoS - Las ACL pueden usarse para especificar si el trfico proveniente de hosts,
redes o usuarios acceden a la red.
Mitigar ataques de spoofing - Las ACL permiten a los practicantes de la seguridad el implementar prcticas para mitigar
ataques de spoofing.
Proporcionar control del ancho de banda - Las ACL en un enlace lento pueden evitar el exceso de trfico.
Clasificar el trfico para proteger los planos de Administracin y Control - Las ACL pueden aplicarse en la lnea VTY.
Las ACL tambin pueden usarse como mecanismo antispoofing descartando trfico que tenga una direccin de origen
invlida. Esto obliga a los ataques a iniciarse desde direcciones IP vlidas y dentro del alcance, permitiendo el rastreo de
los paquetes hasta el origen del ataque.
Funciones tales como Envo de Rutas Inversas Unicast (uRPF) pueden utilizarse como estrategia antispoofing.