Política de Seguridad de la Red de SOMOS NETWORKS para el servicio de Internet y Televisión.
SOMOS NETWORKS COLOMBIA S.A.S. - 2025
La seguridad de la red se ha consolidado como un pilar fundamental para el desarrollo y la
sostenibilidad de las infraestructuras tecnológicas. De acuerdo con lo anterior, y en línea con el
compromiso de mantener un entorno digital seguro y confiable, el presente documento tiene
como objetivo principal exponer las políticas, estrategias y mecanismos implementados
para garantizar la integridad, confidencialidad y disponibilidad de nuestra red la cual soporta los
servicios de Internet y Televisión.
Detallaremos entonces la manera en cómo nuestra red funciona para presentar servicios de
internet y televisión seguros, y teniendo claro este contexto presentaremos las medidas
técnicas que hemos adoptado para cumplir con las mejores prácticas de la industria y de esta
manera mitigar riesgos y asegurar un ambiente de conectividad robusto y protegido. Este
informe busca proporcionar una visión clara y exhaustiva de nuestro enfoque proactivo en
seguridad de la red.
Las siguientes definiciones se aplican a esta política y a todos los procedimientos asociados
con la misma de manera transversal a Somos.
AAA (Autenticación, Autorización y Auditoría) es un “protcolo” de seguridad que gestiona el control de acceso a los recursos de una red.
Control. Medida que modifica un riesgo. Incluyen cualquier proceso, política, dispositivo, práctica, u otras acciones que modifiquen un riesgo.
Disponibilidad. El ser accesible y utilizable a demanda por una entidad autorizada.
Firewall: es un sistema de seguridad de red que monitorea y controla el tráfico de red entrante y saliente basándose en un conjunto predeterminado de reglas de seguridad.
Proceso. Conjunto de actividades interrelacionadas o que interactúan, que transforma entradas en salidas.
Switch: es un dispositivo de hardware que conecta múltiples dispositivos en una red local (LAN), como computadoras, impresoras y servidores. Su función principal es enviar tramas de datos de un dispositivo a otro de manera eficiente.
RADIUS (Servicio de Autenticación Remota de Usuario Marcado) es un protocolo de red para la Autenticación, Autorización y Auditoría (AAA) de usuarios que intentan acceder a un servicio de red. Opera bajo un modelo cliente/servidor.
Riesgo. La posibilidad de que una amenaza concreta pueda explotar una vulnerabilidad para causar una pérdida o daño de un activo de información. Se considera como una combinación de la probabilidad de un evento y sus consideraciones.
Router: es un dispositivo de red que conecta dos o más redes diferentes y dirige el tráfico de datos entre ellas. Su función principal es el enrutamiento de paquetes de datos.
VPN (Virtual Private Network) es una tecnología que crea una conexión segura y cifrada a través de una red pública menos segura, como Internet.
Vulnerabilidad. Debilidad de un activo o de un control que puede ser explotada por una o más amenazas.
La presente política tiene por objeto establecer las configuraciones básicas de seguridad tanto
en los dispositivos de red de Somos como en los servicios presentados de televisión e internet.
Se plantean los procesos para acceso, la gestión y el monitoreo de los activos de la red
implementando políticas que ayuden a minimizar los riesgos asociados a amenazas internas y
externas.
Objetivos específicos
Mejorar continuamente las configuraciones o implementaciones de control de acceso, gestión y monitoreo
Implementar, mantener y mejorar continuamente el conjunto de controles de seguridad de los dispositivos de red y la conexión de los usuarios.
Fortalecer continuamente la operación de Somos mediante la implementación, difusión y mejora continua de las configuraciones de los dispositivos de red.
Esta política es aplicable para los activos de Red, como routers, switches y Firewalls y demás
activos de red que hacen parte de Somos Networks, también se aplica a los procesos de
seguridad para la conexión de los usuarios a los servicios de internet y televisión.
La política de seguridad de red comprende lo siguiente:
Confidencialidad: Asegurar que la información y el acceso a los dispositivos de red solo sea accesible por las personas autorizadas. Este principio implica implementar controles de acceso estrictos para proteger contra accesos no autorizados.
Integridad: Garantizar los activos de red como switches, routers, firewalls, servidores y demás activos de la red, protegiéndolos contra modificaciones o destrucciones no autorizada. Este principio implica utilizar controles de respaldo como backups y monitoreo de los dispositivos.
Disponibilidad: asegurar que la infraestructura de red este operativa y disponible, esto implica la implementación de copias de seguridad regulares y controles de seguridad como Firewalls para prevenir los accesos no autorizados a los dispositivos
Minimización de Privilegios: Otorgar a los usuarios solo los permisos mínimos necesarios para realizar sus funciones específicas y nada más. Evitando el uso de cuentas con privilegios elevados para tareas rutinarias y revisar periódicamente los permisos asignados.
Responsabilidad y Trazabilidad: Asegurar que las acciones realizadas en la red puedan ser rastreadas hasta una entidad responsable, Implementando sistemas de registro (logging) y monitoreo de eventos
Actualización y Mejora Continua: Reconocer que el panorama de amenazas cibernéticas evoluciona constantemente y que la seguridad de la red debe adaptarse y mejorar de forma continua para esto es necesario Implementar un ciclo de vida de seguridad que incluya monitoreo constante, aplicación de parches, evaluaciones de vulnerabilidades, pruebas de penetración y revisión periódica de la política de seguridad de la red
Concienciación y Formación del Usuario: Reconocer que el elemento humano es crucial en la seguridad de la red y que los usuarios deben estar informados y capacitados.
Para entender la política de seguridad de Red, es necesario dar un contexto general de como
se realiza la conexión y como viajan los datos en la red de Somos.
En el siguiente diagrama se muestra la topología de red a alto nivel.
Teniendo en cuenta el diagrama anterior se puede decir que la red de Somos, se divide en tres
capas que permiten la conexión de los clientes finales a internet. Estas capas son Acceso,
Transporte y Core. Cada capa cuenta con activos o dispositivos como switches y routers que
interactúan con diferentes protocolos para permitir que los clientes cuenten con conectividad a
internet. A continuación, se describe el proceso de como los datos viajan en cada una de estas
capas.
Red de acceso
El recorrido comienza en los dispositivos de los clientes (PC, celulares, servidores, etc..), que
se conectan al CPE (módem o router doméstico) mediante Wi-Fi o cable LAN. Este equipo
encapsula los datos en tramas Ethernet y paquetes IP, que se transmiten hacia la red de
acceso. Esta red, generalmente de nivel 2 (L2), está soportada por tecnologías como Ethernet
sobre fibra óptica, con enlaces de 10G que llegan hasta los equipos de capa 3 (L3), conocidos
como AGP. El AGP se encarga de agregar múltiples servicios de los usuarios y dirigirlos hacia
la red de transporte mediante el protocolo OSPF.
Red de Transporte
Desde el acceso, los datos son encaminados a la red de transporte, generalmente pasando por
switches de agregación (L2), o en algunos casos, enlaces directos ”back to back” a los equipos
Provider Egde o PEs que se tienen en cada punto de presencia o POP. Aquí, las tramas se
convierten en paquetes IP/MPLS para optimizar el enrutamiento y la entrega del tráfico, esta
red suele estar formada por enlaces de alta capacidad como interfaces agregadas compuestas
por links de 40G y 100G escalando en ancho de banda según la necesidad y que interconectan
con los diferentes nodos o POPs, transportando grandes volúmenes de datos con fuente/origen
nodos vecinos y los AGPs locales de la red de acceso, aquí se usan protocolos como
OSPF/MPLS/LDP/MP-BGP con el fin de llegar de la manera mas optima y rápida para
entregar/recibir un paquete hacia/desde los datacenters o Red de Core mas cercana.
Red de core
Esta capa de la infraestructura está diseñada para manejar altos volúmenes de tráfico
provenientes de los POPs y PEs de la red. Está compuesta por múltiples equipos como
switches en stack para proveer alta disponibilidad, pasando routers con diferentes roles como
lo son Internet Gateway (IGWs), Carrier Grade NAT (CGNAT) e Internet Access Routers (IARs)
encargados de procesar y encaminar los paquetes que vienen/van hacia la red de agregación
IP/MPLS. En la capa de Internet access provider (IAP) el protocolo BGP toma un papel
fundamental para determinar la mejor ruta hacia un destino determinado en internet o si
consumir contenido local almacenado en nuestros CDNs o caches de los principales OTTs
como lo son (Google,Netflix,Meta, etc...). Estos routers intercambian prefijos mediante BGP
con nuestros operadores en Upstream y determinan el camino más óptimo hacia cualquier
destino global en Internet.
En camino inverso El retorno de la información o la respuesta del destino de los clientes, sigue el camino inverso.
Entra a través de los enlaces de IP Transit o canales en Upstream, Peering o CDNs locales,
atravesando la red de core, y de transporte hasta llegar a los nodos de acceso que a su vez
entregan a los CPEs de clientes y permitir la navegación de nuestros usuarios.
Durante la instalación del servicio, el personal técnico de Somos registra los datos del CPE
(Customer Premises Equipment) del cliente en la plataforma, incluyendo la dirección MAC del
equipo, Esta información es enviada automáticamente al sistema de autenticación Radius vía
API, donde se almacena para validar el acceso del usuario.
Una vez el equipo del usuario se conecta a la red, inicia un proceso de solicitud de conexión.
Esta solicitud viaja a través de los nodos de red (con arquitectura redundante para alta
disponibilidad) hacia el servidor DHCP, el cual es responsable de entregar una dirección IP.
Antes de asignar una IP, el servidor DHCP consulta al servidor de autenticación(RADIUS) para
verificar si la dirección MAC del equipo está autorizada en el sistema. Si la operación es exitosa
(es decir, la MAC fue previamente registrada), el servidor DHCP procede con la asignación de
una IP válida, permitiendo así el acceso del usuario a Internet. En caso de que la dirección
MAC no esté registrada o sea inválida, el proceso se detiene y no se asigna una dirección IP,
bloqueando efectivamente el acceso a la red.
Objetivo de este mecanismo
Este modelo de autenticación garantiza que sólo los dispositivos autorizados puedan
acceder a la red, reforzando la seguridad y evitando el uso no autorizado de los recursos de
conectividad. Además, al centralizar la verificación en el servidor de autenticación (RADIUS), se
facilita el control, trazabilidad y gestión de accesos a nivel de infraestructura.
Para tener una visual del proceso; en el siguiente grafico se detalla el proceso de autenticación.
Para garantizar el cumplimiento de la ley y proteger a la población vulnerable (especialmente
niños, niñas y adolescentes) en SOMOS NETWORKS, se utiliza porwer-dns con bind9, donde
tenemos implementado una zona rpz.blacklist donde están creados los sitios que se deben de
realizar bloqueos. La herramienta de power-dns captura la solicitud del trafico y la reenvía al
servidor proteccion.somosinternet.net. En la zona rpz.blacklist se interceptan todos los tipos de
apuntamientos de dns y reescritos por SOA.
A continuación de describen los elementos que interactúan en este proceso y su función.
Usuario: Representa un dispositivo que intenta acceder a un sitio web.
Servicio Bin Autoritativo: Es el primer punto de contacto para las consultas DNS del
cliente. Actúa como un forwarder o recursor.
Servicio de Protección (Power-DNS proteccion.somosinternet.net): Este contiene la
zona RPZ.
Zona rpz.blacklist: Un sub-componente dentro del servidor BIND9 que contiene las entradas de los sitios a bloquear.
Servicio SOA (Start of Authority): es un servicio dedicado para el registro DNS de tipo SOA que se devuelve como respuesta reescrita para los dominios bloqueados.
Flujo de Tráfico y Lógica de Bloqueo
Consulta DNS del Cliente:
○ Un usuario intenta acceder a un dominio (ej. sitio.malicioso.com).
○ La consulta DNS se envía al Servidor DNS Local.
2. Reenvío de PowerDNS: ○ BIND está configurado para reenviar todas las consultas DNS al servidor de
protección: proteccion.somosinternet.net.
3. Intercepción en Power-DNS:
○ El servidor proteccion.somosinternet.net recibe la consulta.
○ Power-DNS verifica si el dominio solicitado (sitio.malicioso.com) existe en
la zona rpz.blacklist. 4. Lógica de la Zona rpz.blacklist: ○ Si el dominio NO está en rpz.blacklist: resuelve la consulta de forma
normal, consultando a servidores DNS autoritativos en Internet si es necesario, y
devuelve la dirección IP legítima, y la devuelve al cliente.
○ Si el dominio SÍ está en rpz.blacklist: Se interrumpe la resolución
normal. En lugar de devolver una dirección IP, se reescribe la respuesta DNS
para devolver un registro SOA. Este registro SOA es una forma de indicar que
el dominio no existe o no está disponible, lo que efectivamente bloquea el
acceso. Respuesta al Cliente:
○ Si es sitio autorizado: se envía la IP legítima.
○ Si el sitio no esta autorizado: se envía una respuesta al cliente que no podrá
resolver el dominio y mostrará el siguiente banner
Para garantizar el buen uso del internet, y evitar la generación de SPAM desde la red de Somos
Networks, se genera una restricción del puerto 25 en TCP y UDP. Esta restricción se realiza
desde los equipos NAT’s ubicados en la Capa Core de la Red. A continuación, se describe los
elementos asociados a este proceso. 1. Usuario/Dispositivo: Representa cualquier equipo conectado a tu red interna que
genera tráfico de red.
2. Red Interna: Comprende las Capas de Acceso, transporte y Core. Capas de la Red de
Somos por donde se envía el trafico
3. NAT: Este es el componente clave. Cuando un dispositivo en la red interna intenta
comunicarse con el exterior, el tráfico pasa por el NAT. Aquí es donde se configuran las
reglas RAW
4. Internet: El destino final del tráfico permitido. En el siguiente diagrama se detalla la interacción de cada componente al momento de realizar
el bloqueo de posible SPAM.
Flujo de Trafico y Lógica de Bloque de tráfico SPAM
1. El cliente realiza una conexión, o envio de trafico
2. El trafico pasa por la red de Somos Networks, incluyendo la capa de Acceso, Transporte
y Core hasta llegar a uno de los dispositivos NATs.
3. En el NAT se realizan las políticas de RAW que inspeccionan el tráfico que sale de la
red. La lógica principal aquí es verificar el puerto de destino.
a. Si es Puerto 25 (SMTP): Si el tráfico saliente intenta conectarse al puerto 25 de
un servidor externo (lo que a menudo indica un intento de enviar correo
electrónico, o peor, spam desde una máquina comprometida), se aplica la
restricción. Las reglas RAW están diseñadas para descartar o rechazar este
tráfico antes de que la traducción NAT se complete, impidiendo que llegue a
Internet. El resultado es que el tráfico SMTP generado internamente no
autorizado (potencialmente spam) no puede salir de la red
b. Si NO es Puerto 25: Si el tráfico saliente utiliza cualquier otro puerto (ej. 80 para
HTTP, 443 para HTTPS, etc.), se permite y se realiza la traducción NAT normal y
se enruta sin problemas a su destino. Configuración en Dispositivos NAT /ip firewall raw
add action=drop chain=prerouting comment="drop port 25 to prevent
spam" port=25 protocol=tcp src-address=100.64.0.0/10
add action=drop chain=prerouting comment="drop port 25 to prevent
spam" port=25 protocol=udp src-address=100.64.0.0/10
En el marco del proceso de instalación del servicio de televisión, el personal técnico de Somos,
una vez se encuentra en las instalaciones del cliente, realiza el requerimiento de creación de
las credenciales necesarias para habilitar el acceso al sistema de TV.
Este requerimiento es gestionado por Artemis, la plataforma central de Somos, la cual
orquesta los procesos operativos de provisión de servicios. Una vez recibida la solicitud,
Artemis genera de manera automática las credenciales del usuario, asegurando su
correcta identificación y vinculación al servicio contratado.
Posteriormente, por medio de una integración vía API, la plataforma Artemis transmite esta
información a la plataforma del sistema de TV, lo que permite que el usuario final pueda
acceder al contenido autorizado de manera segura y eficiente.
Para garantizar un acceso seguro, controlado y confiable al servicio de streaming, Somos ha
implementado una arquitectura de seguridad robusta, centrada en el uso del panel X-UI One
como puerta de enlace cifrada para la gestión y distribución del contenido.
Esta solución combina múltiples capas de protección diseñadas para mitigar riesgos y asegurar
la integridad del servicio, incluyendo:
● Cifrado de última generación, que protege los datos en tránsito y evita la
interceptación de tráfico.
● Autenticación multifactor (MFA), asegurando que solo usuarios autorizados puedan
acceder al sistema.
● Restricciones a nivel de red, mediante filtrado por IP, permitiendo únicamente
conexiones originadas desde la red de Somos.
● Sistema de firewall avanzado, que bloquea intentos de acceso no autorizados,
ataques por fuerza bruta y permite configurar políticas de seguridad dinámicas.
● Limitación de solicitudes por segundo, como mecanismo anti-DDoS para prevenir
saturaciones del sistema y garantizar estabilidad.
● Enmascaramiento de tráfico, dificultando la identificación y rastreo de patrones por
actores maliciosos.
En el siguiente diagrama se muestra el proceso de autenticación de los usuarios de televisión;
Para mantener la seguridad en los dispositivos de red de somos se comprenden los siguientes
lineamientos: a- Gestión de Acceso y Autenticación
● Cambiar contraseñas por defecto y borrar usuarios admin, user, root por defecto.
● Implementar contraseñas que incluyan una combinación de letras mayúsculas y
minúsculas, números y caracteres especiales.
● Cambio de puertos de gestión, SSH (Secure Shell) en lugar de Telnet
● Limitar el acceso administrativo, solo se permite el acceso a los dispositivos de red solo
desde IPs autorizadas y en subredes específicas.
● Desactivar servicios o puertos que no son estrictamente necesario (FTP, Telnet, HTTP) b- Configuración de Seguridad
● Configurar firewall en cada dispositivo, denegando todo por defecto y permitir
explícitamente lo necesario. Filtrando por IP de origen y destino, puertos y protocolos,
definiendo que IPs pueden comunicarse con qué IPs, a través de qué puertos y con qué
protocolos.
● Implementar segmentación de red (VLANs), Dividiendo la red en segmentos lógicos
para aislar diferentes tipos de tráfico y limitar el movimiento lateral de un atacante. Se
divide red de usuarios de la red de servidores
● Deshabilitar puertos no utilizados, apagar puertos físicos no utilizados en los
dispositivos
● Configuración de los dispositivos para que sincronicen su hora con un servidor NTP
confiable. c- Monitoreo y Mantenimiento
● Registrar y centralizar logs (Syslog), los dispositivos envíen sus logs a un servidor
Syslog centralizado.
● Monitoreo de la actividad de red utilizando Zabbix
● Mantener el firmware y software actualizados para corregir vulnerabilidades
● Hacer backups de las configuraciones
De acuerdo con los lineamientos anteriormente definidos a continuación se describe la línea
base de seguridad para los dispositivos de red: a- Línea base de seguridad de equipos de la red de acceso
● Habilitan solo servicios requeridos de gestión y operación: SSH, SNMP, Windbox
(Mikrotik), HTTPS, NTP, Syslog, ICMP y protocolos de la capa de servicio OSPF,
LDP,BFD, DHCP, BGP, VRRP.
● Listas de control de acceso permitiendo solo los servicios activos.
● Syslog.
● Radius para el control de acceso.
● Acceso por VPN.
● Política de actualización cuando se tienen vulnerabilidades de seguridad (reporte de
parches de las versiones página del proveedor de equipos). Línea base equipos Mikrotik: Servicios deshabilitados: /ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set api disabled=yes
set api-ssl disabled=yes Syslog activo: /system logging
set 0
topics=info,!account,!backup,!bfd,!bgp,!dns,!dhcp,!ssh,!firewall,!int
erface,!ntp,!ospf,!radius,!script,!system,!timer
set 1
topics=error,!account,!backup,!bfd,!bgp,!dns,!dhcp,!ssh,!firewall,!in
terface,!ntp,!ospf,!radius,!script,!system,!timer
set 2
topics=warning,!backup,!account,!bfd,!bgp,!dns,!dhcp,!ssh,!firewall,!
interface,!ntp,!ospf,!radius,!script,!system,!timer
set 3 action=memory
topics=critical,!account,!backup,!bfd,!bgp,!dns,!dhcp,!ssh,!firewall,
!interface,!ntp,!ospf,!radius,!script,!system,!timer
add action=echo topics=critical
add action=systemremote prefix=info_
topics=info,!account,!backup,!bfd,!bgp,!dns,!dhcp,!ssh,!firewall,!int
erface,!ntp,!ospf,!radius,!script,!system,!timer
add action=systemremote prefix=warning_
topics=warning,!account,!backup,!bfd,!bgp,!dns,!dhcp,!ssh,!firewall,!
interface,!ntp,!ospf,!radius,!script,!system,!timer
add action=systemremote prefix=critical_
topics=critical,!account,!backup,!bfd,!bgp,!dns,!dhcp,!ssh,!firewall,
!interface,!ntp,!ospf,!radius,!script,!system,!timer
add action=systemremote prefix=error_
topics=error,!account,!backup,!bfd,!bgp,!dns,!dhcp,!ssh,!firewall,!in
terface,!ntp,!ospf,!radius,!script,!system,!timer add action=accountlocaldisk prefix=account_
topics=account,!raw,!debug
add action=backuplocaldisk prefix=backup_ topics=backup,!debug,!raw
add action=echo topics=critical
add action=systemremote prefix=info_
topics=info,!account,!backup,!bfd,!bgp,!dns,!dhcp,!ssh,!firewall,!int
erface,!ntp,!ospf,!radius,!script,!system,!timer
add action=systemremote prefix=warning_
topics=warning,!account,!backup,!bfd,!bgp,!dns,!dhcp,!ssh,!firewall,!
interface,!ntp,!ospf,!radius,!script,!system,!timer
add action=systemremote prefix=critical_
topics=critical,!account,!backup,!bfd,!bgp,!dns,!dhcp,!ssh,!firewall,
!interface,!ntp,!ospf,!radius,!script,!system,!timer
add action=systemremote prefix=error_
topics=error,!account,!backup,!bfd,!bgp,!dns,!dhcp,!ssh,!firewall,!in
terface,!ntp,!ospf,!radius,!script,!system,!timer
add action=accountlocaldisk prefix=account_
topics=account,!raw,!debug
add action=backuplocaldisk prefix=backup_ topics=backup,!debug,!raw
add action=bfdlocaldisk prefix=bfd_ topics=bfd,!debug,!raw
add action=bgplocaldisk prefix=bgp_ topics=bgp,!debug,!raw
add action=dnslocaldisk prefix=dns_ topics=dns,!debug,!raw,!packet
add action=dhcplocaldisk prefix=dhcp_ topics=dhcp,!raw,!debug
add action=firewalllocaldisk prefix=firewall_
topics=firewall,!debug,!raw
add action=interfacelocaldisk prefix=interface_
topics=interface,bridge,!raw,!debug
add action=ntplocaldisk prefix=ntp_ topics=ntp,!debug,!raw
add action=ospflocaldisk prefix=ospf_ topics=ospf,!debug,!raw
add action=radiuslocaldisk prefix=radius_ topics=radius,!debug,!raw
add action=scriptlocaldisk prefix=script_ topics=script,!debug,!raw
add action=systemlocaldisk prefix=system_
topics=system,!raw,!debug,!account
add action=timerlocaldisk prefix=timer_ topics=timer,!debug,!raw
add action=sshlocaldisk prefix=ssh_ topics=ssh,!debug,!raw
add action=systemremote prefix=account_ topics=account,!raw,!debug
add action=systemremote prefix=backup_ topics=backup,!debug,!raw
add action=systemremote prefix=bfd_ topics=bfd,!debug,!raw add action=systemremote prefix=bgp_ topics=bgp,!debug,!raw
add action=systemremote prefix=dns_ topics=dns,!debug,!raw,!packet
add action=systemremote prefix=dhcp_ topics=dhcp,!raw,!debug
add action=systemremote prefix=firewall_ topics=firewall,!debug,!raw
add action=systemremote prefix=interface_
topics=interface,bridge,!raw,!debug
add action=systemremote prefix=ntp_ topics=ntp,!debug,!raw
add action=systemremote prefix=ospf_ topics=ospf,!debug,!raw
add action=systemremote prefix=radius_ topics=radius,!debug,!raw
add action=systemremote prefix=script_ topics=script,!debug,!raw
add action=systemremote prefix=system_
topics=system,!debug,!raw,!account
add action=systemremote prefix=timer_ topics=timer,!debug,!raw
add action=systemremote prefix=ssh_ topics=ssh,!debug,!raw
add topics=snmp Listas de control de acceso: /ip firewall filter
add action=accept chain=input comment=WHOIS
src-address-list=IFCONFIGME
add action=accept chain=input comment=MGMT src-address-list=MGMT
add action=accept chain=input comment="Allow ICMP" protocol=icmp
add action=accept chain=input comment="Allow OSPF" protocol=ospf
add action=accept chain=input comment="Allow BGP" port=179
protocol=tcp
add action=accept chain=input comment="Allow BFD" port=3784
protocol=udp
add action=accept chain=input comment="Allow LDP/MPLS" port=646
protocol=tcp
add action=accept chain=input comment="Allow LDP/MPLS" port=646
protocol=udp
add action=accept chain=input comment="Allow VRRP" protocol=vrrp
add action=accept chain=input comment="Allow SNMP" port=161
protocol=udp src-address-list=MGMT
add action=accept chain=input comment="Allow DHCP BootP" port=67,68
protocol=udp add action=accept chain=input comment="Allow MNDP" port=5678
protocol=udp
add action=accept chain=input comment="Allow UNDP" port=10001,10002
protocol=udp
add action=accept chain=input comment="Allow NTP" dst-port=123
protocol=udp
add action=drop chain=input comment="Drop everything else"
add action=accept chain=input comment=MGMT
src-address-list=IFCONFIGME Control de acceso: /user group
add name=read-somos
policy=local,telnet,ssh,read,test,winbox,password,sniff,api,!ftp,!reb
oot,!write,!policy,!web,!sensitive,!romon,!rest-api
/user aaa
set default-group=read-somos use-radius=yes b- Línea base de seguridad de equipos de la red de core
● Habilitan solo servicios requeridos de gestión y operación: SSH, SNMP, Windbox
(Mikrotik), HTTPS, NTP, Syslog, ICMP y protocolos de la capa de servicio OSPF,
LDP,BFD, DHCP, BGP, VRRP.
● Listas de control de acceso permitiendo solo los servicios activos.
● Syslog.
● Radius para el control de acceso.
● Acceso por VPN.
● Política de actualización cuando se tienen vulnerabilidades de seguridad (reporte de
parches de las versiones página del proveedor de equipos). Línea base equipos Juniper:
Syslog
set system syslog user * any emergency
set system syslog host 10.0.2.12 any notice
set system syslog host 10.0.2.12 port 1514
set system syslog host 10.0.2.12 source-address 100.127.41.4
set system syslog file interactive-commands interactive-commands any
set system syslog file messages any notice
set system syslog file messages authorization info Listas de control de acceso: set firewall filter re-protect term tcp-estab from tcp-established
set firewall filter re-protect term tcp-estab then accept
set firewall filter re-protect term bgp-allow from prefix-list
bgp_neighbors
set firewall filter re-protect term bgp-allow from protocol tcp
set firewall filter re-protect term bgp-allow from destination-port
bgp
set firewall filter re-protect term bgp-allow then accept
set firewall filter re-protect term icmp from protocol icmp
set firewall filter re-protect term icmp from icmp-type-except
router-advertisement
set firewall filter re-protect term icmp from icmp-type-except
redirect
set firewall filter re-protect term icmp then policer rate-limit-sm
set firewall filter re-protect term icmp then accept
set firewall filter re-protect term traceroute from protocol udp
set firewall filter re-protect term traceroute from destination-port
33434-33523
set firewall filter re-protect term traceroute then policer
rate-limit-sm
set firewall filter re-protect term traceroute then accept
set firewall filter re-protect term mgmt from source-prefix-list
admin-hosts
set firewall filter re-protect term mgmt from protocol tcp
set firewall filter re-protect term mgmt from port ssh
set firewall filter re-protect term mgmt then policer rate-limit-lg
set firewall filter re-protect term mgmt then accept set firewall filter re-protect term ftp from source-prefix-list
admin-hosts
set firewall filter re-protect term ftp from protocol tcp
set firewall filter re-protect term ftp from port ftp
set firewall filter re-protect term ftp from port ftp-data
set firewall filter re-protect term ftp then accept
set firewall filter re-protect term snmp from source-prefix-list
admin-hosts
set firewall filter re-protect term snmp from protocol udp
set firewall filter re-protect term snmp from port snmp
set firewall filter re-protect term snmp then policer rate-limit-med
set firewall filter re-protect term snmp then accept
set firewall filter re-protect term ospf from protocol ospf
set firewall filter re-protect term ospf then accept
set firewall filter re-protect term dns from protocol tcp
set firewall filter re-protect term dns from protocol udp
set firewall filter re-protect term dns from port domain
set firewall filter re-protect term dns then policer rate-limit-sm
set firewall filter re-protect term dns then accept
set firewall filter re-protect term bfd from protocol udp
set firewall filter re-protect term bfd from port 3784
set firewall filter re-protect term bfd then accept
set firewall filter re-protect term allow-ntp from protocol udp
set firewall filter re-protect term allow-ntp from protocol tcp
set firewall filter re-protect term allow-ntp from port ntp
set firewall filter re-protect term allow-ntp then policer
rate-limit-sm
set firewall filter re-protect term allow-ntp then accept
set firewall filter re-protect term mpls-ldp from source-prefix-list
admin-hosts
set firewall filter re-protect term mpls-ldp from protocol tcp
set firewall filter re-protect term mpls-ldp from protocol udp
set firewall filter re-protect term mpls-ldp from port 646
set firewall filter re-protect term mpls-ldp then accept
set firewall filter re-protect term radius from source-prefix-list
admin-hosts
set firewall filter re-protect term radius from protocol udp
set firewall filter re-protect term radius from port radacct
set firewall filter re-protect term radius from port radius
set firewall filter re-protect term radius then accept
set firewall filter re-protect term default-to-deny-everything-else
then count firewall-counter
set firewall filter re-protect term default-to-deny-everything-else
then log
set firewall filter re-protect term default-to-deny-everything-else
then discard Control de acceso: set system authentication-order password
set system authentication-order radius
Para acceder a los activos de la red de somos como CPE de Usuarios, Controladoras,
Servidores, Switches, Routers y firewalls se definen los siguientes lineamientos: Uso de Red Privada Virtual (VPN): ● Acceso Remoto Exclusivo: Todo acceso a los dispositivos de red desde ubicaciones
externas a la red debe realizarse obligatoriamente a través de una conexión VPN
segura.
● Cliente VPN Aprobado: Se debe utilizar únicamente el software cliente VPN y las
configuraciones proporcionadas y aprobadas.
● Cifrado de Tráfico: La VPN debe garantizar el cifrado de todo el tráfico de datos entre
el dispositivo del usuario y la red, utilizando protocolos y algoritmos de cifrado robustos
y actualizados.
AAA (Authentication, Authorization, Accounting):
Para garantizar la seguridad y la trazabilidad en el acceso a la infraestructura de red, se debe
implementar un sistema centralizado de Autenticación, Autorización y Contabilidad (AAA)
basado en el protocolo RADIUS. Este enfoque permite un control unificado sobre quién accede
a los dispositivos de red, qué acciones puede realizar y un registro detallado de todas las
actividades.
1. Autenticación Centralizada
● Integración con Directorio Corporativo: Todos los usuarios deben autenticarse
utilizando credenciales corporativas únicas, integradas con un sistema de gestión de
identidades como Active Directory o LDAP.
2. Flujo de Operación del AAA (basado en RADIUS)
1. Solicitud de acceso (Access-Request): Cuando un usuario intenta iniciar sesión en un
dispositivo de red (router, switch, etc.), el dispositivo actúa como NAS (Network Access
Server) y envía la solicitud de autenticación al servidor RADIUS centralizado.
2. Verificación de credenciales: El servidor RADIUS valida las credenciales recibidas
contra la base de datos registrada de Somos Internet.
3. Respuesta de autenticación:
○ Si las credenciales son correctas, el servidor responde con un Access-Accept,
permitiendo el acceso.
○ Si son incorrectas o no cumplen las políticas de seguridad, se devuelve un
Access-Reject.
4. Aplicación de políticas de autorización: Basado en el perfil del usuario, el servidor
RADIUS define los privilegios permitidos (lectura, escritura, administración) en el
dispositivo.
5. Contabilidad (Accounting): Cada sesión autenticada genera registros de actividad. El
NAS envía mensajes Accounting-Request al servidor RADIUS para registrar el inicio,
duración y finalización de la sesión, así como las acciones realizadas.
3. Arquitectura en la red
● Servidores AAA centralizados: Ubicados en los datacenters, con redundancia y alta
disponibilidad para garantizar la continuidad del servicio.
● Alcance en la red: Todos los dispositivos de la red (routers,agregadores,pe,entre otros)
deben tener configurado el RADIUS apuntando a los servidores AAA tanto medellin
como en bogota.
● Auditoría y trazabilidad: Los registros generados por el servidor RADIUS son
almacenados