• Si la autenticación de usuario se lleva a cabo por medio de RADIUS, asegúrese de que toda la
comunicación se produce dentro del entorno de seguridad o queda protegida por un canal
seguro.
• Tenga cuidado con los protocolos de capa de enlace, que no ofrecen una autenticación
propia entre los puntos finales, como ARP o IPv4. Un atacante podría utilizar los puntos
débiles de estos protocolos para atacar los hosts, switches y routers conectados a la red de
Layer 2, por ejemplo mediante manipulación (poisoning) de las cachés ART de sistemas en
la subred y posterior captura del tráfico de datos. Deben tomarse medidas de seguridad
adecuadas contra los protocolos de Layer 2 inseguros con el fin de impedir el acceso no
autorizado a la red. Así, por ejemplo, es posible proteger el acceso físico a la red local o utilizar
protocolos de capa superior más seguros.
Certificados y claves
• A partir de la versión de firmware V5.2.5 para SCALANCE X‑200/XF-200 o V5.5.2 para
SCALANCE X‑200IRT/XF-200IRT se ha pasado de los certificados RSA a los certificados para
criptografía de curva elíptica ("certificados ECDSA"). Utilice únicamente certificados ECDSA
en formato PEM que se hayan generado con las siguientes curvas:
– secp256r1 (NIST P-256)
– secp384r1 (NIST P-384)
– secp521r1 (NIST P-521)
Los certificados RSA dejan de ser compatibles a partir de esta versión de firmware. Los
certificados RSA que haya en el dispositivo se reemplazarán automáticamente por
certificados ECDSA autofirmados.
• El dispositivo dispone de un certificado SSL predeterminado con una longitud de clave de 256
bits para la criptografía de curva elíptica. Sustituya este certificado por otro de creación
propia con clave. Se recomienda utilizar un certificado firmado por una autoridad de
certificación externa fiable o por una interna.
• Para firmar los certificados utilice una entidad de certificación que incluya revocación y
gestión de claves.
• Asegúrese de que las contraseñas privadas personalizadas están protegidas y no están al
alcance de personas no autorizadas.
• Verifique los certificados y las huellas dactilares en el lado servidor y en el lado cliente para
evitar ataques de interposición ("man-in-the-middle").
• Cambie inmediatamente los certificados y las claves si existe sospecha de que se hallan
comprometidos.
SCALANCE X-200
Instrucciones de servicio, 01/2023, C79000-G8978-C674-01
Recomendaciones para la seguridad de la red
15