Recomendaciones para la seguridad de la red
3.1 Recomendaciones de seguridad
Hardware/software
• Limite el uso de aplicaciones críticas y restrinja el acceso a servicios administrativos a las
redes privadas. Un dispositivo SINEC OS puede conectarse a Internet. Sin embargo, hay que
hacerlo con extrema precaución para proteger tanto el dispositivo como la red que hay detrás
de él, utilizando mecanismos seguros, como un cortafuegos o IPsec.
• Siempre que sea posible, utilice VLAN como protección contra ataques Denial-of-Service
(DoS) o contra acceso no autorizado.
• Los servicios seleccionados están activados en SINEC OS en el ajuste predeterminado. Se
recomienda activar únicamente los servicios que sean absolutamente necesarios para su
instalación.
Encontrará más información sobre los servicios disponibles en "Documentación
complementaria (Página 8)".
• Utilice la versión de navegador web más reciente que sea compatible con SINEC OS con el fin
de garantizar que se emplean los métodos de cifrado más seguros disponibles.
Adicionalmente, las últimas versiones de los navegadores web de Mozilla Firefox, Google
Chrome y Microsoft Edge tienen activada la distribución 1/n-1 de juegos de datos, con lo que
se reduce el riesgo de ataques como SSL/TLS Protocol Initialization Vector Implementation
Information Disclosure Vulnerability (p. ej. BEAST).
• Asegúrese de tener instalada la última versión de firmware y todos los parches de seguridad.
Encontrará información actual sobre los parches de seguridad para productos Siemens en las
páginas web Industrial Security (https://www.siemens.com/industrialsecurity) y
ProductCERT Security Advisories
advisories.htm).
Para obtener actualizaciones de las consignas de seguridad de productos Siemens, regístrese
en RSS-Feed en la página web ProductCert Security Advisories o siga @ProductCert en Twitter.
• Active únicamente los servicios que se utilizan en el dispositivo, incluidos los puertos físicos.
Existe la posibilidad de que los puertos físicos libres se utilicen para obtener acceso a la red
situada detrás del dispositivo.
• Para una seguridad óptima, utilice los mecanismos de autenticación y cifrado de SNMPv3
siempre que sea posible, y utilice contraseñas seguras.
• Es posible descargar archivos de configuración del dispositivo. Asegúrese de que los archivos
de configuración estén bien protegidos. Para hacerlo existen diferentes posibilidades, como
firmar y cifrar digitalmente los archivos, guardarlos en un lugar seguro o transferir los
archivos de configuración únicamente por canales de comunicación seguros.
Los archivos de configuración pueden protegerse con una contraseña cuando se descargan.
Encontrará más información sobre la protección por contraseña para archivos de
configuración en "Documentación complementaria (Página 8)".
• En caso de utilizar SNMP (Simple Network Management Protocol):
– Configure SNMP de forma que se genere una notificación en caso de errores de
– Asegúrese de modificar los Community Strings estándar en valores unívocos.
– Utilice SNMPv3 siempre que sea posible. SNMPv1 y SNMPv2c se consideran no seguros,
– Impida sobre todo el acceso en escritura siempre que sea posible.
18
autenticación.
Encontrará más información en "Documentación complementaria (Página 8)".
por lo que solo deben utilizarse en caso de ser absolutamente necesario.
(https://www.siemens.com/cert/en/cert-security-
Manual de producto, 04/2022, C79000-G8978-C585-01
SCALANCE XCM-300