Scribd Logo
Upload

Welcome to Scribd!

  • Capitulo 2 Ccna Security

    Uploaded by

    Tys Virtualstore
    185 views48 pages

    Copyright

    © Attribution Non-Commercial (BY-NC)

    Available Formats

    DOC, PDF, TXT or read online from Scribd

    Did you find this document useful?

    Is this content inappropriate?

    Report this Document

    Copyright:

    Attribution Non-Commercial (BY-NC)
    Download as DOC, PDF, TXT or read online from Scribd
    Flag for inappropriate content
    185 views48 pages

    Capitulo 2 Ccna Security

    Uploaded by

    Tys Virtualstore

    Copyright:

    Attribution Non-Commercial (BY-NC)
    Download as DOC, PDF, TXT or read online from Scribd
    Flag for inappropriate content
    of 48

    CAPITULO 2 SEGURIDAD DE LOS DISPOSITIVOS DE RED

    La seguridad el trfico que sale de la red y escrutar el trfico ingresante son aspectos crticos de la seguridad en redes. La seguridad del router de borde, que se conecta con la red externa, es un primer paso importante al asegurar la red. El hardening de dispositivos es una tarea esencial que nunca debe ser pasada por alto. Significa implementar mtodos probados para asegurar el router fsicamente y proteger el acceso administrativo utili ando la interfa de lnea de comandos !command"line interface " #L$% del $&S #isco as como tambin el 'dministrador de (outers y )ispositivos de Seguridad de #isco !#isco (outer and Security )evice *anager " S)*%. 'lgunos de estos mtodos comprenden la seguridad del acceso administrativo, incluyendo mantener contrase+as, configurar funciones de identificaci,n virtual me-oradas e implementar Secure Shell !SS.%. #omo no todo el personal de la tecnologa de la informaci,n debera tener el mismo nivel de acceso a los dispositivos de infraestuctura, definir roles administrativos de acceso es otro aspecto importante de la seguridad los dispositivos de infraestructura. La seguridad de las funciones de administraci,n y reportes del $&S de los dispositivos de #isco tambin es importante. Las prcticas recomendadas para asegurar el syslog, utili ando el /rotocolo de 'dministraci,n de (edes Simple !Simple 0et1or2 *anagement /rotocol " S0*/%, y configurando el /rotocolo de 3iempo de (ed !0et1or2 3ime /rotocol " 03/% son examinadas. *uchos servicios del router estn habilitados por defecto. *uchas de estas funciones estn habilitadas por ra ones hist,ricas pero ya no son necesarias. Este captulo discute algunos de estos servicios y examina las configuraciones de router con la funci,n de 'uditora de Seguridad del #isco S)*. Este captulo tambin examina la funci,n onestep loc2do1n del #isco S)* y el comando auto secure, que puede ser utili ado para automati ar las tareas de hardening de dispositivos. La prctica de laboratorio del captulo, Seguridad del router para acceso administrativo, es una prctica muy englobadora que presenta la oportunidad de practicar el amplio rango de funciones de seguridad presentadas en este captulo. El laboratorio presenta los diferentes medios de asegurar el acceso administrativo a un router, incluyendo las buenas prcticas de contrase+as, una configuraci,n de banner apropiada, funciones de identificaci,n me-oradas y SS.. La funci,n de acceso a la #L$ basada en roles se basa en la creaci,n de vistas como manera de proveer diferentes niveles de acceso a los routers. La funci,n de #onfiguraci,n (esistente del $&S de #isco permite asegurar las

    imgenes de router y los archivos de configuraci,n. Syslog y S0*/ se utili an para informes de administraci,n. 'utoSecure de #isco es una herramienta automati ada para asegurar los routers #isco utili ando la #L$. La funci,n de 'uditora de Seguridad de S)$ provee funcionalidades similares a 'utoSecure. El laboratorio est en el manual de laboratorio en 'cademy #onnection en cisco.netacad.net. La actividad de /ac2et 3racer #onfigurar los (outers #isco para Syslog, 03/ y SS., proporciona a los alumnos prcticas adicionales para implementar las tecnologas presentadas en este captulo. En particular, los alumnos configurarn con 03/, syslog, registro de mensa-es con marca de tiempo, cuentas de usuario locales, conectividad SS. exclusiva y pares de claves (S' para servidores SS.. 3ambin se explora el uso del acceso del cliente SS. desde una /# 4indo1s y desde un router #isco. Las actividades de /ac2et 3racer para ##0' Security estn disponibles en 'cademy #onnection en cisco.netacad.net.

    2.1.1 Seguridad del router de orde


    La seguridad la infraestructura de la red es crtica para la seguridad de toda la red. La infraestructura de la red incluye routers, s1itches, servidores, estaciones de traba-o y otros dispositivos. #onsidere un empleado descontento mirando casualmente por sobre el hombro del administrador de la red mientras el administrador se est identificando en el router de borde. Esto se conoce como shoulder surfing y es una manera sorprendentemente fcil para un atacante de ganar acceso no autori ado. Si un atacante obtiene acceso a un router, la seguridad y la administraci,n de toda la red pueden ser comprometidas, de-ando a los servidores y las estaciones de traba-o ba-o riesgo. Es crtico que las polticas y controles de seguridad apropiados puedan ser implementados para prevenir el acceso no autori ado a todos los dispositivos de la infraestructura. 'unque todos los dispositivos de una infraestructura estn en riesgo, los routers generalmente son el ob-etivo principal para los atacantes de redes. Esto ocurre porque los routers act5an como la polica del trnsito, dirigiendo el trfico hacia, desde y entre redes. El router de borde es el 5ltimo router entre la red interna y una red de confian a como $nternet. 3odo el trfico a $nternet de una organi aci,n pasa por este router de borde6 por lo tanto, generalmente funciona como la primera y 5ltima lnea de defensa de una red. ' travs del filtrado inicial y final, el router de borde ayuda a asegurar el permetro de una red protegida. 3ambin es responsable de implementar las acciones de seguridad que estn basadas en las polticas de seguridad de la organi aci,n. /or estas ra ones, es

    imperativo asegurar los routers de la red. La implementaci,n del router de borde vara en funci,n del tama+o de la organi aci,n y la comple-idad del dise+o de red requerido. Las implementaciones de router pueden incluir un solo router protegiendo toda una red interna o un router como la primera lnea de defensa en un enfoque de defensa profunda.

    En!o"ue de un solo router


    En el enfoque de un solo router, un solo router conecta la red protegida, o L'0 interna a $nternet. 3odas las polticas de seguridad estn configuradas en este dispositivo. 7eneralmente se utili a este esquema en implementaciones de sitios peque+os como sitios de sucursales y S&.&. En las redes ms peque+as, las funciones de seguridad requeridas pueden ser soportadas por $S(s sin comprometer el rendimiento del router. Enfoque de defensa profunda El enfoque de defensa profunda es ms seguro que el de un solo router. En este enfoque, el router de borde act5a como la primera lnea de defensa y se lo conoce como screening router. Enva al fire1all todas las conexiones dirigidas a la L'0 interna. La segunda lnea de defensa es el fire1all. El fire1all bsicamente retoma donde de-, el router y reali a filtrado adicional. /rovee control de acceso adicional ya que monitorea el estado de las conexiones, actuando como un dispositivo de control. El router de borde tiene un con-unto de reglas que especifican qu trfico permitir y qu trfico denegar. /or defecto, el fire1all deniega la iniciaci,n de conexiones desde las redes externas !no confiables% para la red interna !confiable%. Sin embargo, permite a los usuarios internos conectarse a las redes no confiables y permite que las respuestas vuelvan a travs del fire1all. 3ambin puede reali ar autenticaci,n de usuario !proxy de autenticaci,n% par que los usuarios tengan que estar autenticados para ganar acceso a los recursos de la red.

    En!o"ue D#$
    8na variante del enfoque de defensa profunda es ofrecer un rea intermedia llamada ona desmilitari ada !demilitari ed one " )*9%. La )*9 puede ser utili ada para los servidores que tienen que ser accesibles desde $nternet o alguna otra red externa. La )*9 puede ser establecida entre dos routers, con un router interno conectado a la red protegida y un router externo conectado a la red no protegida, o ser simplemente un puerto adicional de un solo router. El fire1all, ubicado entre las redes protegida y no protegida, se instala para permitir las conexiones requeridas !por e-emplo, .33/% de las redes externas !no confiables% a los servidores p5blicos en la )*9. EL fire1all sirve como protecci,n primaria para todos los dispositivos en la )*9. En el enfoque )*9,

    el router provee protecci,n filtrando alg5n trfico, pero de-a la mayora de la protecci,n a cargo del fire1all. !El foco de este curso est en las opciones de seguridad de $S(, incluyendo explicaciones sobre c,mo configurar estas opciones. #on respecto a las #isco 'daptive Security 'ppliance !'S'%, la discusi,n se limita a implementar dise+os. /ara configuraci,n de dispositivos 'S', vase %%%.cisco.co&.% 'segurar el router de borde es un primer paso crtico en la seguridad de la red. Si hay otros routers internos, tambin deben estar configurados con seguridad. )eben mantenerse tres reas de seguridad de routers. Seguridad fsica /roveer seguridad fsica para los routers: 8bicar el router y los dispositivos fsicos que se conectan a l en un cuarto ba-o llave que sea accesible solo para personal autori ado, est libre de interferencia magntica o electrosttica y tenga un sistema contra incendios y controles de temperatura y humedad. $nstalar un sistema de alimentaci,n ininterrumpida !uninterruptible po1er supply " 8/S% y mantener los componentes de repuesto disponibles. Esto reduce la posibilidad de un ataques de )oS a causa de prdida de electricidad en el edificio. Seguridad de los Sistemas &perativos Seguridad de las funciones y rendimiento de los sistemas operativos del router: #onfigurar el router con la mxima cantidad de memoria posible. La disponibilidad de la memoria puede ayudar a proteger la red de ataques de )oS, mientras que soporta el mximo rango de dispositivos de seguridad. 8sar la 5ltima versi,n estable del sistema operativo que cumpla los requerimientos de la red. Las funciones de seguridad de un sistema operativo evolucionan con el tiempo. 3enga en cuenta que la 5ltima versi,n de un sistema operativo puede no ser la versi,n ms estable disponible. *antenga una copia segura de resguardo de la imagen del sistema operativo y el archivo de configuraci,n del router. .ardening del router Elimine potenciales abusos de puertos y servicios no utili ados: 'segure el control administrativo. 'seg5rese de que solo personal autori ado tenga acceso y su nivel de acceso sea controlado. )eshabilite puertos e interfaces no utili adas. (edu ca la cantidad de maneras por las que puede accederse a un dispositivo.

    )eshabilitar servicios innecesarios. #omo muchas computadoras, el router tiene servicios habilitados por defecto. 'lgunos de estos servicios son innecesarios y pueden ser utili ados por un atacante para reunir informaci,n o para efectuar explotaciones. El acceso administrativo es un requerimiento para la administraci,n del router6 por lo tanto, asegurar el acceso admiistrativo es una tarea extremadamente importante. Si una persona no autori ada ganara acceso administrativo a un router, esa persona podra alterar parmetros de enrutamiento, deshabilitar funciones de enrutamiento o descubrir y ganar acceso a otros sistemas en la red. Se requieren muchas tareas importantes para asegurar el acceso administrativo a un dispositivo de una infraestructura: (estringir la accesibilidad de los dispositivos " Limitar los puertos administrativos, restringir los comunicadores permitidos y restringir los mtodos de acceso permitidos. (egistrar y -ustificar todos los accesos " /ara prop,sitos de auditora, registrar a todos los que acceden al dispositivo, incluyendo lo que ocurra durante el acceso y cundo ocurre. 'cceso autenticado " 'segurarse de que el acceso sea otorgado solo a usuarios, grupos y servicios autenticados. Limitar el n5mero de intentos de ingreso fallidos y el tiempo entre intentos. 'utori ar las acciones " (estringir las acciones y vistas permitidas a un usuario, grupo o servicio particular. /resentar notificaciones legales " *ostrar una notificaci,n legal, desarrollada en con-unto con el conse-o legal de la empresa, para sesiones interactivas. 'segurar la confidencialidad de los datos " /roteger los datos sensibles almacenados localmente de ser vistos o copiados. #onsiderar la vulnerabilidad de los datos en trnsito sobre un canal de comunicaci,n expuestos a sniffing, secuestros de sesi,n y ataques man in the middle !*$3*%. .ay dos maneras de acceder a un dispositivo para prop,sitos administrativos: local y remotamente. 3odos los dispositivos de la infraestructura de la red puede ser accedidos localmente. El acceso local a un router usualmente requiere una conexi,n directa a un puerto de consola en el router de #isco utili ando una computadora que est e-ecutando soft1are de emulaci,n de terminal. 'lgunos dispositivos de red pueden ser accedidos remotamente. El acceso remoto tpicamente requiere permitir conexiones 3elnet, Secure Shell !SS.%, .33/, .33/S o Simple 0et1or2 *anagement /rotocol !S0*/% al router desde una computadora. Esta

    computadora puede estar en la misma subred o en una diferente. 'lgunos protocolos de acceso remoto envan al router los datos en texto plano, incluyendo nombres de usuario y contrase+as. Si un atacante logra reunir trfico de red mientras un administrador est autenticado remotamente a un router, el atacante podr capturar las contrase+as o informaci,n de configuraci,n del router. /or esta ra ,n, se prefiere permitir solo acceso local al router. Sin embargo, el acceso remoto puede ser necesario de cualquier forma. #uando se accede a la red remotamente, deben tomarse algunas precauciones: #ifrar todo el trfico entre la computadora del administrador y el router. /or e-emplo, en lugar de usar 3elnet, usar SS.. & en lugar de usar .33/, usar .33/S. Establecer una red de administraci,n dedicada. La red de administraci,n deber incluir solo hosts de administraci,n identificados y conexiones a una interfa dedicada en el router. #onfigurar un filtro de paquetes para permitir que solo los hosts de administraci,n identificados y protocolos de preferencia accedan al router. /or e-emplo, permitir solo solicitudes SS. de la direcci,n $/ del host de administraci,n para iniciar una conexi,n a los routers en la red. Estas precauciones son valiosas, pero no protegen enteramente a la red. &tras lneas de defensa deben ser implementadas tambin. 8na de las ms bsicas e importantes es el uso de una contrase+a segura.

    2.1.2 Con!iguraci'n de un acceso ad&inistrati(o seguro


    Los atacantes usan varios mtodos de descubrimiento de contrase+as administrativas. /ueden hacer shoulder surfing, intentar adivinar las contrase+as basndose en la informaci,n personal del usuario, o hacer sniffing de los paquetes 3;3/ que contienen archivos de configuraci,n en texto plano. Los atacantes tambin pueden usar herramientas como L<pht#rac2 y #ain = 'bel para efectuar ataques de fuer a bruta para adivinar las contrase+as. /ara proteger bienes como routers y s1itches, siga estos conse-os comunes para elegir contrase+as fuertes. Estos conse-os han sido dise+ados para hacer que las contrase+as sean menos fcilmente descubiertas por medio de herramientas de crac2ing y de adivinaci,n inteligente: 8tilice una contrase+a de >< o ms caracteres de longitud. #uanto ms larga, me-or. .aga a su contrase+a comple-a. $ncluya una me cla de letras may5sculas y min5sculas, smbolos y espacios. Evite contrase+as basadas en repeticiones, palabras de diccionario, secuencias de letras

    o n5meros, nombres de usuario, nombres de mascotas o parientes, informaci,n biogrfica !como cumplea+os, n5mero de pasaporte o documento, nombres de ancestros% u otros tipos de informaci,n fcilmente identificable. Escriba la contrase+a deliberadamente mal, reali ando algunos reempla os de letras. /or e-emplo, Smith ? Smyth ? @mAth o Security ? @ecur>ty. #ambie las contrase+as seguido. Si una contrase+a est comprometida sin su conocimiento, la ventana de oportunidad para que el ataque la use ser limitada. 0o escriba las contrase+as en papel o las de-e en lugares obvios como el escritorio o el monitor. En los routers #isco y muchos otros sistemas, los espacios antes de la contrase+a son ignorados, no as los espacios dentro de la contrase+a. /or lo tanto, un mtodo para crear una contrase+a fuerte es utili ar la barra espaciadora en la contrase+a y crear una frase compuesta de varias palabras. Esto se denomina frase de acceso. La frase de acceso es generalmente ms fcil de recordar que una simple contrase+a. 3ambin es ms larga y ms difcil de adivinar. Los administradores deben asegurarse de que se usen contrase+as fuertes en toda la red. 8na manera de lograr esto es usando las mismas herramientas de ataques de fuer a bruta y crac2ing que usara un atacante para verificar la solide de las contrase+as. *uchos puertos de acceso requieren contrase+as en un router #isco, incluyendo el puerto de consola, el puerto auxiliar y las conexiones de terminal virtual. La administraci,n de las contrase+as en una red grande debera mantenerse por medio de un servidor de autenticaci,n central 3'#'#SB o (')$8S como el Servidor de #ontrol de 'cceso Seguro de #isco !'#S%. 3odos los routers deben ser configurados con las contrase+as de usuario y de ECE# privilegiado. 3ambin se recomienda el uso de una base de datos de nombres de usuario local como copia de resguardo si el acceso a un servidor de autenticaci,n, autori aci,n y registro de auditora !authentication, authori ation, and accounting " '''% se encuentra comprometido. El uso de una contrase+a y la asignaci,n de niveles de privilegios son maneras simples de proporcionar control de acceso terminal en una red. )eben establecerse contrase+as para el modo de acceso ECE# privilegiado y lneas individuales como las lneas de consola y auxiliar. Contrase)a ena le secret El comando de configuraci,n enable secret contrase+a restringe el acceso al modo

    ECE# privilegiado. La contrase+a enable secret siempre est dispersa !hashed% dentro de la configuraci,n del router usando un algoritmo *essage )igest @ !*)@%. Si la contrase+a enable secret se pierde o se olvida, debe ser reempla ada utili ando el procedimiento de recuperaci,n de contrase+as de los routers #isco. l*nea de consola /or defecto, el puerto de lnea de consola no requiere una contrase+a para el acceso administrativo de la consola6 sin embargo, siempre debe ser configurado con una contrase+a a nivel de lnea de puerto de consola. 8se el comando line console < seguido de los subcomandos login y pass1ord para solicitar el ingreso y establecer una contrase+a de ingreso en la lnea de consola. l*neas de ter&inal (irtual /or defecto, los routers de #isco soportan hasta cinco sesiones simultneas de terminal virtual vty !3elnet o SS.%. En el router, los puertos vty se numeran del < al D. 8se el comando line vty < D seguido por los subcomandos login y pass1ord para solicitar ingreso y establecer una contrase+a de ingreso a las sesiones 3elnet entrantes. l*nea au+iliar /or defecto, los puertos auxiliares del router no requieren una contrase+a para acceso administrativo remoto. Los administradores algunas veces usan este puerto para configurar y monitorear remotamente el router usando una conexi,n de m,dem dialup. /ara acceder a la lnea auxiliar, use el comando line aux <. 8se los subcomandos login y pass1ord para solicitar ingreso y establecer una contrase+a de ingreso a las conexiones entrantes. /or defecto, con excepci,n de la contrase+a enable secret, todas las contrase+as de router de #isco estn almacenadas en texto plano dentro de la configuraci,n del router. Estas contrase+as pueden ser visuali adas con el comando sho1 running"config. Los sniffers tambin pueden ver estas contrase+as si los archivos de configuraci,n de servidor 3;3/ atraviesan una conexi,n no asegurada de intranet o $nternet. Si un intruso gana acceso al servidor 3;3/ donde estn almacenados los archivos de configuraci,n del router, podr obtener estas contrase+as. /ara aumentar la seguridad de las contrase+as, debe configurarse lo siguiente: Establecer longitudes mnimas de contrase+as. )eshabilitar conexiones no utili adas. #ifrar todas las contrase+as en el archivo de configuraci,n. Longitud de caracteres mnima

    ' partir de la (elease >E.F!>% del $&S de #isco, los administradores pueden especificar la longitud de caracteres mnima para todas las contrase+as de routers con un valor de < a >G caracteres usando el comando de configuraci,n global security pass1ords minlength longitud. Se recomienda fuertemente establecer la longitud mnima de la contrase+a en >< caracteres, para eliminar contrase+as comunes que resultan cortas y prevalecen en la mayora de las redes, como HlabH y HciscoH. Este comando afecta las contrase+as de usuario, las enable secret y las de lnea que se creen luego de que el comando sea e-ecutado. Las contrase+as de router ya existentes no son afectadas. #ualquier intento de crear una nueva contrase+a que contenga menos caracteres que la longitud especificada fallar y se mostrar un mensa-e de error similar al siguiente: /ass1ord too short " must be at least >< characters. /ass1ord configuration failed. Des,a ilitar cone+iones no utili-adas /or defecto la interfa administrativa permanece activa y autenticada por >< minutos luego de la 5ltima actividad de la sesi,n. Luego de eso, la sesi,n caduca y se cierra. Si un administrador est le-os de la terminal mientras la conexi,n de la consola permanece activa, una atacante tendr hasta >< minutos para ganar acceso privilegiado. Se recomienda, por lo tanto, que estos relo-es sean a-ustados para limitar la cantidad de tiempo a un mximo de dos a tres minutos. Estos relo-es pueden ser a-ustados usando el comando exec"timeout modo de configuraci,n de lnea para cada uno de los tipos de lnea utili ado. 3ambin es posible deshabilitar el proceso exec para una lnea especfica, como el puerto auxiliar, usando el comando no exec dentro del modo de configuraci,n del lnea. Este comando permite solo conexiones salientes en la lnea. El comando no exec permite deshabilitar el proceso ECE# para conexiones que pueden intentar enviar datos no solicitados al router. Ci!rar todas las contrase)as /or defecto, algunas contrase+as se muestran en texto plano, o sea, sin cifrar, en la configuraci,n del soft1are $&S de #isco. #on excepci,n de la contrase+a enable secret, todas las otras contrase+as en texto plano en el archivo de configuraci,n pueden ser cifradas con el comando service pass1ord"encryption. Este comando dispersa contrase+as en texto plano actuales y futuras en el archivo de configuraci,n a un texto cifrado. /ara detener el proceso de cifrado de las contrase+as, use la forma no del comando. Solo las contrase+as creadas luego de que se emita el comando no sern no

    cifradas. Las contrase+as ya existentes que estn cifradas permanecern de esa manera. El comando service pass1ord"encryption es 5til principalmente para evitar que individuos no autori ados puedan ver contrase+as en el archivo de configuraci,n. El algoritmo utili ado por el comando service pass1ord"encryption es simple y fcilmente reversible por alguien que tenga acceso al texto cifrado y una aplicaci,n de crac2ing de contrase+as. /or esta ra ,n, el comando no deber ser utili ado con la intenci,n de proteger los archivos de configuraci,n contra ataques serios. El comando enable secret es mucho ms seguro, ya que cifra la contrase+a utili ando *)@, un algoritmo mucho ms fuerte. &tra funci,n de seguridad disponible es la autenticaci,n. Los routers de #isco mantienen una lista de nombres de usuario y contrase+as en una base de datos local en el router para reali ar autenticaci,n local. .ay dos mtodos para configurar nombres de usuario de cuentas locales. userna&e no& re .ass%ord contrase)a username nombre secret contrase+a El comando username secret es ms seguro porque usa el algoritmo ms fuerte, *)@, para dispersar las claves. *)@ es un algoritmo mucho me-or que el tipo I estndar utili ado por el comando service pass1ord"encryption. La capa agregada de protecci,n que proporciona *)@ es 5til en ambientes en los que la contrase+a atraviesa la red o es almacenada en un servidor 3;3/. 3enga en consideraci,n que al configurar una combinaci,n de nombre de usuario y contrase+a deben seguirse las restricciones de longitud de contrase+a. 8se el comando login local en la configuraci,n de linea para habilitar la base de datos local para autenticaci,n. 3odos los e-emplos restantes en este captulo usan la configuraci,n username secret en lugar de username pass1ord.

    2.1./ Con!iguracion de seguridad &e0orada .ara autenticaci'n (irtual


    'signar contrase+as y autenticaci,n local no evita que un dispositivo pueda ser ob-etivo de un ataque. Los ataques de )oS inundan los dispositivos con tantas solicitudes de conexi,n que el dispositivo puede no proveer un servicio normal de autenticaci,n para los administradores legtimos del sistema. El ataque de diccionario, usado para conseguir acceso administrativo a un sistema, inunda al dispositivo con cientos de combinaciones de usuario y contrase+a. El resultado final es muy parecido al del ataque de )oS, ya que el dispositivo no puede procesar las solicitudes de usuarios legtimos.

    La red necesita tener sistemas para detectar y ayudar a prevenir estos ataques. .abilitando un perfil de detecci,n, el dispositivo de red puede ser configurado para reaccionar a repetidos intentos de ingreso fallidos con un recha o a las solicitudes de conexi,n subsiguientes !login bloc2ing%. Este bloqueo puede ser configurado para un perodo de tiempo que se denomina perodo silencioso !quiet period%. )urante un perodo silencioso se permiten los intentos de conexi,n legtimos por medio de la configuraci,n de una lista de control de acceso !access control list " '#L% con las direcciones asociadas con los administradores de sistemas. La funci,n de identificaci,n me-orada del $&S #isco proporciona ms seguridad para los dispositivos $&S al crear una conexi,n virtual como 3elnet, SS. o .33/, ya que hace ms lentos los ataques de diccionario y detiene los ataques de )oS. /ara configurar me-or la seguridad de las conexiones de ingreso virtuales, el proceso de autenticaci,n deber ser configurado con parmetros especficos: (etardos entre intentos de ingreso sucesivos Cierre de sesi'n si se sos.ec,an ata"ues de DoS 7eneraci,n de mensa-es de registro del sistema para detecci,n de sesiones Estas me-oras no se aplican a las conexiones de consola. Se asume que solo el personal autori ado tendr acceso fsico a los dispositivos. Se dispone de los siguientes comandos para configurar un dispositivo $&S de #isco para que soporte las funciones de ingreso me-oradas. (outerJ configure terminal (outer!config%J login bloc2"for segundos attempts intentos 1ithin segundos (outer!config%J login quiet"mode access"class Kacl"nombre L acl"n5meroM (outer!config%J login delay segundos (outer!config%J login on"failure log Nevery loginO (outer!config%J login on"success log Nevery loginO La autenticaci,n en las lneas vty debe ser configurada para usar una combinaci,n de nombre de usuario y contrase+a. Si se configuran las lneas para usar solo una contrase+a, no se habilitarn las funciones de ingreso me-oradas. 12u3 ,ace cada co&ando4 /or defecto, todas las funciones de ingreso me-oradas estn deshabilitadas. 8se el comando login bloc2"for para habilitarlas.

    La funci,n login bloc2"for monitorea la actividad de inicio de sesi,n en el dispositivo y opera en dos modos: *odo normal !de vigilancia% " El router cuenta la cantidad de intentos de ingreso fallidos dentro de una cantidad de tiempo determinada. *odo silencioso !perodo silencioso% " Si el n5mero de ingresos fallidos sobrepasa el umbral configurado, todos los intentos de ingreso de 3elnet, SS. y .33/ sern denegados. #uando se habilita el modo silencioso, no se permite ning5n intento de ingreso, incluso el acceso administrativo vlido. Sin embargo, este comportamiento puede esquivarse para proporcionar acceso a los hosts crticos en todo momento mediante el uso de una '#L. La '#L debe ser creada e identificada usando el comando login quiet"mode access"class. /or defecto, los dispositivos $&S de #isco pueden aceptar conexiones, como 3elnet, SS. y .33/, tan rpidamente como pueden stas ser procesadas. Esto hace a los dispositivos susceptibles a herramientas de ataque de diccionario como #ain o L<pht#rac2, que son capaces de e-ecutar miles de intentos de contrase+a por segundo. El comando login bloc2"for invoca un retraso de un segundo entre intentos de ingreso. El atacante tendr que esperar un segundo antes de probar con otra contrase+a. Este tiempo de retraso puede modificarse mediante el comando login delay. El comando login delay introduce un retraso uniforme entre intentos sucesivos de ingreso. El retraso ocurre en todos los intentos de ingreso, tanto fallidos como exitosos. Los comandos login bloc2"for, login quiet"mode access"class y login delay ayudan a bloquear los intentos de ingreso fallidos por un perodo de tiempo limitado, pero no pueden evitar que el atacante intente nuevamente. P#,mo puede un administrador saber cundo alguien intenta ganar acceso a la red adivinando la contrase+aQ El comando auto secure habilita el registro de mensa-es para intentos fallidos de ingreso. El registro de intentos de ingreso exitosos no est habilitado por defecto. Estos comandos pueden ser utili ados para mantener un registro del n5mero de intentos de ingreso exitosos y fallidos. login on"failure log Nevery loginO genera registros para las solicitudes de ingreso fallidas. login on"success log Nevery loginO genera mensa-es en el registro para las solicitudes de ingreso exitosas.

    El n5mero de intentos de ingreso antes de que se genere un mensa-e puede especificarse mediante el parmetro Nevery loginO. El valor por defecto es >. El rngo vlido va de > a G@,@F@. #omo alternativa, el comando security authentication failure rate tasa umbral log genera un mensa-e en el registro cuando se excede la tasa de fallos de inicio de sesi,n. /ara verificar que el comando login bloc2"for est configurado y el modo en el que est el router, use el comando sho1 login. El router puede estar en modo normal o silencioso, dependiendo de si se ha excedido el umbral de intentos de ingreso. El comando sho1 login failures muestra ms informaci,n en relaci,n a los intentos fallidos, como la direcci,n $/ de la que se origin, el intento de ingreso fallido. 8se mensa-es banner para presentar una notificaci,n legal a los potenciales intrusos para informarles que no son bienvenidos en esa red. Los banners son muy importantes para la red desde una perspectiva legal. .a habido casos en que los intrusos han ganado en la corte porque no se toparon con mensa-es de advertencia apropiados al acceder a redes enrutadas. 'dems de advertir a intrusos potenciales, los banners tambin pueden ser utili ados para informar a administradores remotos de las restricciones de uso. La elecci,n del contenido de los mensa-es banner es importante y debe ser revisada por un asesor legal antes de colocarse en routers de red. 0unca use la palabra HbienvenidoH o alg5n otro saludo familiar que puede ser sacado de contexto o entendido como una invitaci,n para usar la red. Los banners estn deshabilitados por defecto y deben ser habilitados explcitamente. 8se el comando banner desde el modo de configuraci,n global para especificar mensa-es apropiados. banner Kexec L incoming L login L motd L slip"pppM d message d Los to2ens son opcionales y pueden ser utili ados en la secci,n del mensa-e del comando banner: R!hostname% " *uestra el nombre de host del router. R!domain% " *uestra el nombre de dominio del router. R!line% " *uestra los n5meros de lnea vty o tty !asncrona%. R!line"desc% " *uestra la descripci,n de la lnea. 3enga cuidado al colocar esta informaci,n en el router, ya que provee ms informaci,n a un potencial intruso. 3ambin se puede usar el S)* de #isco para configurar mensa-es de banner.

    E.>.D Con!iguraci'n de SS5


    'l permitir el acceso administrativo remoto, tambin es importante considerar las implicancias de seguridad al enviar informaci,n a travs de la red. 3radicionalmente, el acceso remoto en los routers era configurado usando 3elnet sobre el puerto EF de 3#/. Sin embargo, 3elnet fue desarrollado cuando la seguridad no era un problema, por lo tanto, todo el trfico de 3elnet se enva en texto plano. 'l usar este protocolo, los datos crticos, como configuraciones del router, son de fcil acceso para los atacantes. Los hac2ers pueden capturar paquetes reenviados por la computadora de un administrador usando un anali ador de protocolos como 4ireshar2. Si el atacante captura el flu-o 3elnet inicial, podr aprender el nombre de usuario y la contrase+a del administrador. Sin embargo, el acceso remoto puede ahorrarle tiempo y dinero a una organi aci,n a la hora de hacer cambios necesarios en la configuraci,n. Entonces, Pc,mo puede establecerse una conexi,n de acceso remoto segura para administrar dispositivos $&S de #iscoQ SS. ha reempla ado a 3elnet como prctica recomendada para proveer administraci,n de router remota con conexiones que soportan confidencialidad e integridad de la sesi,n. /rovee una funcionalidad similar a una conexi,n 3elnet de salida, con la excepci,n de que la conexi,n est cifrada y opera en el puerto EE. #on autenticaci,n y cifrado, SS. permite comunicaciones seguras sobre una red no segura. )eben completarse cuatro pasos antes de configurar un router para el protocolo SS.: /aso >. 'segurarse de que los routers destino estn e-ecutando una imagen del $&S de #isco release >E.>!>%3 o posterior, para que soporten SS.. Solo las imgenes criptogrficas del $&S de #isco que contienen el grupo de funciones $/sec soportan SS.. Especficamente, las imgenes criptogrficas del $&S de #isco >E.> o la posterior $/sec )ES o el 3riple )ata Encryption Standard !F)ES% soportan SS.. Estas imgenes generalmente tienen el $) 2S o 2T en su nombre de imagen. /or e-emplo, c>SD>" advipservices2T"m .>ED"><b.bin es una imagen que soporta SS.. /aso E. 'segurarse de que cada uno de los routers destino tenga un nombre de host 5nico. /aso F. 'segurarse de que cada router destino est usando el nombre de dominio correcto para la red. /aso D. 'segurarse de que los routers destino estn configurados para autenticaci,n local o servicios ''' para autenticaci,n de usuario y contrase+a. Esto es obligatorio para una conexi,n SS. de router a router. 8sando la #L$, hay cuatro pasos para configurar un router #isco para que soporte SS.:

    /aso >. Si el router tiene un nombre de host 5nico, configure el nombre de dominio $/ de la red usando el comando ip domain"name nombre"dominio en el modo de configuraci,n global. /aso E. )eben generarse las claves secretas de una sola va para que un router cifre el trfico SS.. Estas claves se denominan claves asimtricas. El soft1are $&S de #isco usa el algoritmo (ivest, Shamir, and 'dleman !(S'% para generar claves. /ara crear la clave (S', use el comando crypto 2ey generate rsa general"2eys m,dulo modulus"si e en el modo de configuraci,n global. El m,dulo determina el tama+o de la clave (S' y puede ser configurado de FG< bits a E<DS bits. #uanto ms grande sea el m,dulo, ms segura ser la clave (S'. Sin embargo, las claves con valores de m,dulo grandes toman ms tiempo para ser generadas y para cifrarse y descifrarse. La longitud mnima de clave m,dulo recomendada es de ><ED bits. /ara verificar el SS. y mostrar las claves generadas, use el comando sho1 crypto 2ey mypub2ey rsa en modo ECE# privilegiado. Si hay pares de claves existentes, se recomienda que sean sobreescritos usando el comando crypto 2ey eroi e rsa. /aso F. 'seg5rese de que haya una entrada de nombre de usuario vlida en la base de datos local. Si no la hay, cree una usando el comando username nombre secret contrase+a. /aso D. .abilite sesiones SS. vty de entrada usando los comandos de lnea vty login local y transport input ssh. SS. se habilita automticamente luego de que se generan las claves (S'. /uede accederse al servicio SS. del router usando soft1are de cliente SS.. Co&andos SS5 o.cionales &pcionalmente, pueden usarse comandos SS. para configurar lo siguiente: Uersi,n SS. /erodo de vencimiento de sesi,n SS. 05mero de reintentos de autenticaci,n Los routers #isco soportan dos versiones de SS.: SS. version > !SS.v>% y SS. version E !SS.vE%, la versi,n ms nueva y segura. SS.vE proporciona me-or seguridad usando el intercambio de claves )iffie".ellman y el c,digo de autenticaci,n de mensa-es !message authentication code " *'#% de fuerte revisi,n de integridad. El $&S de #isco (elease >E.>!>%3 y posteriores soportan SS.v>. El $&S de #isco (elease >E.F!D%3 y posteriores operan en modo de compatibilidad y soportan tanto SS.v> como SS.vE. /ara cambiar del modo de compatibilidad a una versi,n

    especfica, use el comando de configuraci,n global ip ssh version K> L EM. El intervalo de tiempo que el router espera para que responda el cliente SS. durante la fase de negociaci,n SS. puede ser configurado usando el comando ip ssh time"out segundos en el modo de configuraci,n global. El intervalo por defecto es de >E< segundos. #uando se inicia la sesi,n ECE#, se aplica el tiempo de vencimiento estndar de exec configurado para vty. /or defecto, el usuario tiene tres intentos para ingresar antes de ser desconectado. /ara configurar un n5mero diferente de intentos consecutivos SS., use el comando ip ssh authentication"retries entero en el modo de configuraci,n global. /ara verificar las configuraciones de comandos SS. opcionales, use el comando sho1 ip ssh. Luego de que SS. haya sido configurado, el cliente SS. deber conectarse a un router con SS. habilitado. .ay dos maneras de conectarse a un router con SS. habilitado: #onectarse mediante un router #isco con SS. habilitado usando el comando de modo privilegiado ECE# ssh. #onectarse usando un cliente SS. p5blico y disponible comercialmente e-ecutndose en un host. 'lgunos e-emplos de estos clientes son /u33A, &penSS., and 3era3erm. Los routers de #isco son capaces de actuar como el servidor SS. y como un cliente SS. para conectarse a otro dispositivo que tenga SS. habilitado. /or defecto, ambas de estas funciones estn habilitadas en el router cuando se habilita SS.. #omo servidor, el router puede aceptar conexiones de cliente SS.. #omo cliente, el router puede hacer SS. con otro router que tenga SS. habilitado. El procedimiento para conectarse a un router #isco vara en relaci,n con la aplicaci,n del cliente SS.. 7eneralmente, el cliente SS. inicia una conexi,n SS. al router, luego el servicio SS. del router pide el nombre de usuario con la contrase+a correcta. Si la autenticaci,n es exitosa, el router puede ser administrado como si el administrador estuviera usando una sesi,n 3elnet estndar. 8tilice el comando sho1 ssh para verificar el estado de las conexiones cliente. El S)* de #isco puede ser usado para configurar un demonio SS. en un router. /ara ver la configuraci,n actual de las claves SS., vaya a #onfigure V 'dditional 3as2s V (outer 'ccess V SS.. La configuraci,n de las claves SS. tiene dos opciones de estado. (S' 2ey is not set on this router " Esta notificaci,n aparece si no hay una clave criptogrfica configurada para el dispositivo. Si no hay clave configurada, ingrese un

    tama+o de m,dulo y genere la clave. (S' 2ey is set on this router " Esta notificaci,n aparece si se ha generado una clave criptogrfica, en cuyo caso SS. est habilitado en el router. El archivo de configuraci,n que viene por defecto con un router #isco con S)* habilitado automticamente habilita acceso 3elnet y SS. desde la interfa L'0 y genera una clave (S'. El bot,n 7enerate (S' configura una clave criptogrfica si no hay una en existencia. 'parece luego la ventana de dilogo Wey *odulus Si e. Si el valor de m,dulo debe estar entre @>E y ><ED, ingrese un valor entero que sea m5ltiplo de GD. Si el valor debe ser mayor a ><ED, ingrese >@FG o E<DS. Si se ingresa un valor mayor a @>E, la generaci,n de las claves puede tomar un minuto o ms. Luego de que se ha habilitado SS. en el router, deben configurarse las lneas vty para soportar SS.. Uaya a #onfigure V 'dditional 3as2s V (outer 'ccess V U3A. Se desplegar la ventana U3A Lines con las configuraciones vty del router. .aga clic sobre el bot,n Edit para configurar los parmetros vty.

    2.2 Asignaci'n de roles ad&inistrati(os 2.2.1 Con!iguraci'n de ni(eles de .ri(ilegios


    'unque es importante que el administrador de sistemas pueda conectarse a un dispositivo y administrarlo con seguridad, deben agregarse ms configuraciones para mantener segura a la red. /or e-emplo, Pdebe proporcionarse acceso sin restricciones a todos los empleados de una empresaQ La respuesta a esta pregunta generalmente es no. La mayora de los empleados de una empresa solo requiere acceso a reas especficas de la red. P.abr que dar acceso sin restricciones a todos los empleados del departamento de $nformticaQ 3enga en consideraci,n que las grandes organi aciones tienen muchos empleados en diferentes tipos de traba-os agrupados dentro del departamento de $nformtica. /or e-emplo, hay empleados con el ttulo de Xefe de Servicios $nformticos !#$&%, &perador de Seguridad, 'dministrador de (edes, $ngeniero 4'0, 'dministrador L'0, 'dministrador de Soft1are, Soporte 3cnico y otros. 0o todos los traba-os requieren los mismos privilegios de acceso a los dispositivos de la infraestructura. 3omemos este e-emplo: un administrador de red se va de vacaciones y, como precauci,n, le da las contrase+as de modo privilegiado ECE# de todos los dispositivos de la infraestructura a otro administrador de red a su cargo. 'lgunos das despus, el

    administrador curioso accidentalmente deshabilita toda la red de la empresa. Este escenario no es tan poco com5n, ya que demasiado seguido se asegura a los los routers solo con las contrase+as de modo privilegiado ECE#. #ualquiera que tenga conocimiento de esta contrase+a tiene acceso sin restricciones a todo el router. El siguiente paso para el administrador de sistemas que quiere asegurar la red es configurar niveles de privilegio. Los niveles de privilegio determinan a quin le ser permitido conectarse al dispositivo y qu podr hacer una ve que se conecte. La #L$ del soft1are $&S de #isco tiene dos niveles de acceso a los comandos. El modo de usuario ECE# !nivel > de privilegios% " /roporciona los privilegios ms bsicos al usuario del modo ECE# y le permite solo comandos de nivel de usuario con el promptrouterV. El modo ECE# privilegiado !nivel >@ de privilegios% " $ncluye todos los comandos de nivel enable con el prompt routerJ . 'unque estos dos niveles proporcionan control, algunas veces se necesita un nivel de control ms preciso. El soft1are $&S de #isco tiene dos mtodos para proveer acceso a la infraestructura: nivel de privilegios y #L$ basada en roles. 'signaci,n de niveles de privilegios ' partir de la (elease ><.F del $&S de #isco, los routers #isco le permiten al administrador configurar m5ltiples niveles de privilegios. Esto es especialmente 5til en un ambiente de help des2 !soporte% donde ciertos administradores deben estar habilitados para configurar y monitorear todas las parets del router !nivel >@% y otros administradores solo deben monitorear, pero no configurar, el router !niveles personali ados E a >D%. .ay >G niveles de privilegios en total. Los niveles <, > y >@ tienen configuraci,n predeterminada. 8n administrador puede definir m5ltiples niveles de privilegios personali ados y asignar diferentes comandos a cada nivel. #uanto ms alto el nivel de privilegios, ms acceso al router tiene el usuario. Los comandos disponibles en niveles de privilegios ms ba-os tambin son e-ecutables a niveles ms altos, porque cada nivel de privilegios incluye los privilegios de todos los otros niveles inferiores. /or e-emplo, un usuario autori ado para el nivel de privilegios >< tiene acceso a comandos permitidos en los niveles < a >< !si tambin estn definidos%. 8n usuario de nivel >< no puede acceder a los comandos otorgados al nivel de privilegios >> !o mayor%. 8n usuario autori ado para privilegios de nivel >@ puede e-ecutar todos los comandos de $&S de #isco.

    /ara asignar comandos a un nivel de privilegios personali ado, utilice el comando privilege del modo de configuraci,n global. (outer!config%J privilege modo Klevel nivel de comando L resetM comando Es importante tener en cuenta que asignar un comando con m5ltiples palabras clave, como sho1 ip route, a un nivel especfico de privilegios asigna automticamente a todos los comandos asociados con las primeras palabras claves al nivel de privilegios especfico. /or e-emplo, tanto el comando sho1 como el comando sho1 ip sern asignados automticamente al nivel de privilegios al que sho1 ip route fue asignado. Esto es necesario porque el comando sho1 ip route no puede ser e-ecutado si no se tiene acceso a los comandos sho1 y sho1 ip. Los subcomandos que siguen a sho1 ip route tambin se asignan al mismo nivel de privilegios. 'signar el comando sho1 ip route permite al usuario emitir todos los comandos sho1, como sho1 version. )eben configurarse niveles de privilegios para autenticaci,n. .ay dos mtodos para asignar contrase+as a los diferentes niveles: /ara el nivel privilegiado usando el comando de configuraci,n global enable secret level contrase+a del nivel. /ara un usuario que tiene acceso a un nivel de privilegios especfico, usando el comando de configuraci,n global username nombre privilege nivel secret contrase+a. /or e-emplo, un administrador puede asignar cuatro niveles de acceso a los dispositivos dentro de una organi aci,n: 8na cuenta 8SE( !nivel >, que no incluya ping% 8na cuenta S8//&(3 !todo el acceso al nivel >, ms el comando ping% 8na cuenta X("')*$0 !acceso a los niveles > a @, ms el comando reload% 8na cuenta ')*$0 !acceso sin restricciones% $mplementar niveles de privilegio vara dependiendo de la estructura de la organi aci,n y las diferentes funciones que requieran acceso a los dispositivos de la infraestructura. En el caso de 8SE(, que requiere acceso de nivel > por defecto !(outerV%, no se definen niveles de privilegio personali ados. Esto es causado porque el modo de usuario por defecto es equivalente al nivel >. Se puede asignar un nivel de acceso mayor a la cuenta S8//&(3, como nivel @. El nivel @ automticamente hereda los comandos de los niveles > a D, adems de comandos adicionales que pueden asignarse. 3enga en consideraci,n que cuando se asigna un comando a un nivel especfico, el acceso a ese comando se quita de todos los niveles inferiores. /or e-emplo, para asignar el comando ping al nivel @, use la siguiente secuencia de comandos.

    privilege exec level @ ping La cuenta 8S8'($& !nivel >% ya no tiene acceso al comando ping, porque el usuario debe tener acceso al nivel @ o mayor para reali ar la funci,n ping. /ara asignar una contrase+a al nivel @, ingrese el siguiente comando. enable secret level @ cisco@ /ara acceder al nivel @, debe usarse la contrase+a cisco@. /ara asignar un nombre de usuario especfico al nivel @, ingrese el siguiente comando. username support privilege @ secret cisco@ Solo los usuarios que ingresen ba-o el nombre support podrn acceder al nivel @, que tambin hereda los privilegios del nivel >. La cuenta X("')*$0 requiere acceso a todos los comandos de los niveles > y @, as como tambin al comando reload. )ebe asignarse a esta cuenta un nivel de acceso ms alto, como nivel ><. El nivel >< automticamente heredar todos los comandos de los niveles inferiores. /ara asignar el nivel >< al comando reload de modo ECE# privilegiado, use la siguiente secuencia de comandos. privilege exec level >< reload username -r"admin privilege >< secret cisco>< enable secret level >< cisco>< 'l emitir estos comandos, el comando reload solo est disponible para los usuarios de nivel de acceso >< o mayor. Se otorga acceso al nivel de privilegios >< al nombre de usuario -r"admin -unto con todos los comandos asociados, incluyendo aquellos comandos asignados a niveles de privilegios inferiores. /ara acceder al nivel >< de privilegios, se requiere la contrase+a cisco><. /uede asignarse a una cuenta ')*$0 el nivel de acceso >@ para el modo ECE# privilegiado. En esta instancia, no debern definirse comandos personali ados. /uede asignarse una contrase+a personali ada usando el comando enable secret level >@ cisco>EF, sin embargo, sta no sobreescribe la contrase+a enable secret, que tambin debe ser utili ada para acceder al nivel >@. 8se el comando username admin privilege >@ secret cisco>@ para asignar nivel >@ de acceso al usuario ')*$0 con la contrase+a cisco>@. 3enga en consideraci,n que cuando asigna nombres de usuario a niveles de privilegio, las palabras clave privilege y secret no son intercambiables. /or e-emplo, el comando username 8SE( secret cisco privilege > no asigna nivel de acceso > a la cuenta 8SE(.

    En su lugar, crea una cuenta con la contrase+a Hcisco privilege >H. /ara acceder a niveles de privilegio establecidos, ingrese el comando enable nivel desde el modo de usuario e ingrese la contrase+a que fue asignada al nivel de privilegio personali ado. 8se el mismo comando para moverse de un nivel inferior a un nivel superior. /ara moverse del nivel > al nivel @, use el comando enable @ en el prompt ECE#. /ara moverse al nivel ><, use el comando enable >< con la contrase+a correcta. /ara moverse del nivel >< al nivel >@, use el comando enable. Si no se especifica ning5n nivel de privilegio, se asume el nivel >@. 'lgunas veces es fcil que un usuario olvide qu nivel de acceso tiene actualmente. 8se el comando sho1 privilege para mostrar y confirmar el nivel de privilegio actual. (ecuerde que los niveles de privilegio superiores automticamente heredan los accesos a los comandos de los niveles inferiores. 'unque asignar niveles de privilegios otorga algo de flexibilidad, algunas organi aciones pueden no hallar este sistema adecuado, por las siguientes limitaciones: 0o hay control de acceso a interfaces, puertos, interfaces l,gicas y ranuras especficas en un router. Los comandos disponibles en niveles inferiores de privilegios siempre son e-ecutables en niveles superiores. Los comandos especficamente asociados a un nivel de privilegios superior nunca estn disponibles para usuarios de niveles de privilegio inferiores. 'signar un comando con m5ltiples palabras clave a un nivel especfico de privilegios tambin asigna todos los comandos asociados con las primeras palabras clave del mismo nivel de privilegios. 8n e-emplo es el comando sho1 ip route. Sin embargo, la mayor limitaci,n es que si un administrador necesita crear una cuenta que tenga acceso a la mayora de, aunque no todos, los comandos, deben configurarse sentencias privilege exec para cada comando que debe ser e-ecutado en un nivel de privilegios inferior al >@. Este puede ser un proceso bastante tedioso. P#,mo pueden superarse las limitaciones de asignar niveles de privilegiosQ

    2.2.2 Con!iguraci'n de acceso a la CLI asado en roles


    CLI asada en roles /ara proporcionar mayor flexibilidad que la que otorgan los niveles de privilegios, #isco introdu-o la funci,n de 'cceso a la #L$ Yasado en (oles en la (elease >E.F!>>%3 del $&S. Esta funci,n provee acceso ms granular, ya que controla especficamente cules comandos estn disponibles para roles especficos. El acceso a la #L$ basado en

    roles permite al administrador de la red crear diferentes vistas de las configuraciones del router para diferentes usuarios. #ada vista define los comandos #L$ a los que cada usuario tiene acceso. Seguridad El acceso a la #L$ basado en roles me-ora la seguridad del dispositivo, ya que define el grupo de comandos de la #L$ que es accesible para un usuario particular. 'dems, los administradores pueden controlar el acceso del usuario a puertos, interfaces l,gicas y ranuras especficas en un router. Esto detiene al usuario de cambiar la configuraci,n o recolectar informaci,n a la que no debera tener acceso. Dis.oni ilidad El acceso a la #L$ basado en roles imposibilita la e-ecuci,n no intencional de comandos de #L$ por parte de personal no autori ado, lo que podra dar resultados no deseados. Esto minimi a el perodo de inactividad. Eficiencia operativa Los usuarios solo ven los comandos de la #L$ que son aplicables a los puertos y la #L$ a los que tienen acceso6 por lo tanto, el router parece menos comple-o y los comandos son de ms fcil identificaci,n cuando se usa la funci,n de ayuda en el dispositivo. La #L$ basada en roles proporciona tres tipos de vistas: Uista de root Uista #L$ Supervista #ada vista dictamina qu comandos estn disponibles. Vista de root /ara configurar cualquier vista en el sistema, el administrador debe estar en la vista de root. La vista de root tiene los mismos privilegios de acceso que un usuario con nivel >@ de privilegios. Sin embargo, una vista de root no es lo mismo que un usuario de nivel >@. Solo un usuario de vista de root puede configurar una nueva vista y agregar o remover comandos de las vistas existentes. Vista de CLI /uede asociarse un grupo especfico de comandos a una vista #L$. ' diferencia de los niveles de privilegios, la vista #L$ no tiene -erarquas de comandos y, por lo tanto, no hay vistas superiores o inferiores. )eben asignarse todos los comandos asociados con cada vista, y las vistas no heredan comandos de otras vistas. 'dicionalmente, los mismos comandos pueden ser utili ados en varias vistas.

    Su.er(ista La supervista consiste en una o ms vistas #L$. Los administradores pueden definir qu comandos son aceptados y qu informaci,n de configuraci,n es visible. Las supervistas permiten al administrador de redes asignar a los usuarios y grupos de usuarios m5ltiples vistas #L$ de una sola ve , en lugar de tener que asignar una sola vista #L$ por usuario con todos los comandos asociados a esa 5nica vista #L$. Las supervistas tienen las siguientes caractersticas: 8na sola vista #L$ puede ser compartida entre varias supervistas. 0o pueden configurarse comandos para una supervista. El administrador debe agregar comandos a la vista #L$ y luego agregar esa vista #L$ a la supervista. Los usuarios que estn autenticados en una supervista pueden acceder a todos los comandos que estn configurados para cualquiera de las vistas #L$ que son parte de la supervista. #ada supervista tiene una contrase+a que se usa para moverse entre supervistas o de una vista #L$ a una supervista. Eliminar una supervista no elimina las vistas #L$ asociadas. Las vistas #L$ permanecen disponibles para ser asignadas a otra supervista. 'ntes de que un administrador pueda crear una vista, debe habilitarse ''' con el comando aaa ne1"model o S)* de #isco. /ara configurar y editar las vistas, el administrador debe ingresar a la vista de root usando el comando de ECE# privilegiado enable vie1 . 3ambien puede usarse el comando enable vie1 root. $ngrese la contrase+a enable secret cuando se la pida. .ay cinco pasos para crear y administrar una vista especfica. /aso >. .abilitar ''' con el comando de configuraci,n global aaa ne1"model. Salga e ingrese a la vista de root con el comando enable vie1. /aso E. #ree una vista usando el comando parser vie1 nombre"vista. Esto habilita el modo de configuraci,n de la vista. Excluyendo la vista de root, hay un lmite mximo de >@ vistas en total. /aso F. 'signe una contrase+a secret a la vista usando el comando secret contrase+acifrada. /aso D. 'signe comandos a la vista seleccionada usando el comando commands parsermode Kinclude L include"exclusive L excludeM NallO Ninterface nombre"interfa L comandoO en el modo de configuraci,n de vista. /aso @. Salga del modo de configuraci,n de la vista emitiendo el comando exit.

    Los pasos para configurar una supervista son esencialmente los mismos que para configurar una vista #L$, excepto que en lugar de usar el comando commands para asignar comandos, debe usarse el comando vie1 nombre"vista para asignar vistas. El administrador debe estar en la vista de root para configurar una supervista. /ara confirmar que se est usando la vista de root, use el comando enable vie1 o el comando enable vie1 root. $ngrese la contrase+a enable secret cuando se la solicite. .ay cuatro pasos para crear y administrar una supervista. /aso >. #ree una vista usando el comando parser vie1 nombre"vista supervie1 e ingrese al modo de configuraci,n de supervista. /aso E. 'signe una contrase+a secret a la vista usando el comando secret contrase+acifrada. /aso F. 'signe una vista existente usando el comando vie1 nombre"vista en el modo de configuraci,n de vista. /aso D. Salga del modo de configuraci,n de supervista emitiendo el comando exit. /uede asignarse ms de una vista a una supervista, y las vistas pueden ser compartidas por ms de una supervista. /ara acceder a las vistas existentes, ingrese el comando enable vie1 nombre"vista en el modo de usuario e ingrese la contrase+a que se asign, a la vista personali ada. 8se el mismo comando para moverse de una vista a la otra. /ara verificar una vista, use el comando enable vie1. $ngrese el nombre de la vista para verificar y proporcione la contrase+a para ingresar a la vista. 8se el comando de signo de pregunta !Q% para verificar que los comandos disponibles en la vista sean los correctos. )esde la vista de root, use el comando sho1 parser vie1 all para ver un resumen de todas las vistas.

    2./ #onitoreo 6 ad&inistraci'n de dis.ositi(os 2./.1 Seguridad de los arc,i(os de con!iguraci'n 6 la i&agen IOS de cisco
    Si un atacante obtuviera acceso a un router, podra hacer muchas cosas. /or e-emplo, podra alterar el flu-o del trfico, cambiar las configuraciones e incluso borrar el archivo de configuraci,n de inicio y la imagen del $&S de #isco. Si la configuraci,n o la imagen del $&S se borran, el operador qui s nunca recupere una copia archivada para restaurar el router. El proceso de recuperaci,n debe, entonces, tomar lugar en cada router afectado, agregndose al perodo de inactividad total de la red.

    La funci,n de configuraci,n resistente !(esilient #onfiguration% del $&S de #isco permite una recuperaci,n ms rpida si alguien reformatea la memoria flash o borra el archivo de configuraci,n de inicio en la 0U('*. Esta funci,n permite al router soportar intentos maliciosos de borrar los archivos, asegurando la imagen del router y manteniendo una copia segura de la configuraci,n actual. #uando se asegura una imagen $&S de #isco, la funci,n de configuraci,n resistente deniega todas las solicitudes para copiarla, modificarla o eliminarla. La copia segura de la configuraci,n de inicio se almacena en la flash -unto con la imagen segura del $&S. Este con-unto de los archivos de configuraci,n actual y la imagen del $&S de #isco se conoce como el con-unto de arranque !bootset%. La funci,n de configuraci,n resistente del $&S de #isco solo est disponible para sistemas que soporten una interfa flash 'dvanced 3echnology 'ttachment !'3'% /#*#$'. La imagen del $&S de #isco y configuraci,n actual de respaldo en el dispositivo de almacenamiento externo estn ocultas, por lo que los archivos no se incluyen en ning5n listado de directorios del disco. .ay dos comandos de configuraci,n global disponibles para configurar las funciones de configuraci,n resistente del $&S de #isco: secure boot"image y secure boot"config. El co&ando secure oot7i&age El comando secure boot"image habilita la resistencia de la imagen del $&S de #isco. #uando se habilita por primera ve , se asegura la imagen actual del $&S de #isco, al mismo tiempo que se crea una entrada en el registro. Esta funci,n puede ser deshabilitada solo por medio de una sesi,n de consola usando la forma no del comando. Este comando solo funciona adecuadamente cuando el sistema est configurado para e-ecutar una imagen de un dispositivo de almacenamiento externo con una interfa '3'. 'dicionalmente, la imagen actual debe ser cargada desde un dispositivo de almacenamiento permanente para ser asegurada como primaria. Las imgenes que arrancan de la red, como un servidor 3;3/, no pueden ser aseguradas. La funci,n de configuraci,n resistente del $&S de #isco detecta diferencias en la versi,n de la imagen. Si el router est configurado para arrancar con la funci,n de resistencia del $&S de #isco y se detecta una versi,n diferente del soft1are $&S de #isco, se muestra un mensa-e similar al siguiente: ios resilience: 'rchived image and configuration version >E.E differs from running version >E.F

    /ara actuali ar el archivo de imagen a la nueva imagen actual, reingrese el comando secure boot"image desde la consola. Se mostrar un mensa-e en relaci,n a la actuali aci,n de la imagen. La imagen vie-a ser liberada y visible en la salida del comando dir. El co&ando secure oot7con!ig /ara tomar una instantnea de la configuraci,n actual del router y archivarla de manera segura en el dispositivo de almacenamiento permanente, use el comando secure bootconfig en el modo de configuraci,n global. Se mostrar un mensa-e del registro en la consola notificando al usuario de que funci,n de adaptabilidad de la configuraci,n ha sido activada. El archivo de configuraci,n est oculto y no puede ser visto o eliminado directamente desde el prompt de la #L$. El escenario de actuali aci,n de la configuraci,n es similar a una actuali aci,n de imagen. Esta funci,n detecta una versi,n diferente de las configuraciones del $&S de #isco y notifica al usuario de la diferencia de versiones. /uede e-ecutarse el comando secure boot"config para actuali ar el archivo de configuraci,n a una nueva versi,n luego de que se han emitido nuevos comandos de configuraci,n. Los archivos de configuraci,n asegurados no aparecen en la salida de un comando dir que se emite desde la #L$. Esto ocurre porque el sistema de archivos del $&S de #isco no de-a que los archivos asegurados sean enlistados. Aa que la imagen actual y los archivos de configuraci,n actuales no son visibles a travs del comando dir, use el comando sho1 secure bootset para verificar la existencia del archivo. Este paso es importante para verificar que la imagen del $&S de #isco y los archivos de configuraci,n hayan sido resguardados y asegurados apropiadamente. 'unque el sistema de archivos del $&S de #isco previene a estos archivos de ser vistos, el modo (&* monitor !(&*mon% no tiene tales restricciones y puede listar los archivos asegurados y arrancar desde ellos. .ay cinco pasos para restaurar un con-unto de arranque primario de un archivo seguro luego de que el router ha sido manipulado !si se ha borrado la 0U('* o se ha formateado el disco%: /aso >. (einiciar el router usando el comando reload. /aso E. )esde el modo (&*mon, ingrese el comando dir para listar los contenidos del dispositivo que contiene el archivo asegurado de con-unto de arranque. )esde la #L$, el nombre del dispositivo puede hallarse en la salida del comando sho1 secure bootset. /aso F. 'rranque el router con la imagen del con-unto de arranque asegurada usando el comando boot con el nombre de archivo encontrado en el /aso E. #uando el router

    comprometido arranca, cambie al modo ECE# privilegiado y restaure la configuraci,n. /aso D. $ngrese al modo de configuraci,n global usando el comando conf t. /aso @. (estaure la configuraci,n segura al nombre de archivo proporcionado usando el comando secure boot"config restore nombre"archivo. /or si llegara a ocurrir que un router fuera comprometido o necesitara ser recuperado de una contrase+a mal configurada, el administrador debe entender los procedimientos de recuperaci,n de contrase+as. /or ra ones de seguridad, la recuperaci,n de contrase+as requiere que el administrador tenga acceso fsico al router a travs de un cable de consola. (ecuperar la contrase+a del router toma varios pasos. /aso >. #onectarse al puerto de consola. /aso E. 8se el comando sho1 version para ver y grabar el registro de configuraci,n. El registro de configuraci,n es similar al Y$&S de una computadora, en que controla el proceso de arranque. El registro de configuraci,n, representado por un solo valor hexadecimal, le dice al router qu pasos especficos tomar cuando se enciende. Los registros de configuraci,n tienen muchos usos, y la recuperaci,n de contrase+as probablemente sea el ms popular. /ara ver y grabar el registro de configuraci,n, use el comando sho1 version. (>V sho1 version Z&utput omittedV #onfiguration register is <xE><E El registro de configuraci,n generalmente est puesto en <xE><E o <x><E. Si ya no hay acceso al router !por una contrase+a de ingreso o 3'#'#S perdida% el administrador puede asumir con seguridad que el registro de configuraci,n estar en <xE><E. /aso F. 8se el interruptor para apagar y prender el router. /aso D. Emita la secuencia de brea2 dentro de los G< segundos de que el router ha sido apagado y prendido para que el router inicie en modo (&*mon. /aso @. Escriba confreg <xE>DE en el prompt rommon >V. Esto cambia el registro de configuraci,n por defecto y causa que el router se saltee la configuraci,n de inicio donde la contrase+a enable pass1ord est almacenada. /aso G. Escriba reset en el prompt rommon EV. El router volver a iniciarse, pero ignorar la configuraci,n guardada. /aso I. Escriba no como respuesta a todas las preguntas del setup, o presione #trl"# para saltearse el procedimiento de setup inicial. /aso S. Escriba enable en el prompt (outerV. Esto pone al router en modo enable y le

    permite ver el prompt (outerJ. /aso T. Escriba copy startup"config running"config para copiar la 0U('* a la memoria. 3enga cuidado de no escribir copy running"config startup"config porque entonces la configuraci,n inicial se borrar. /aso ><. Escriba sho1 running"config. En esta configuraci,n, el comando shutdo1n aparece ba-o todas las interfaces porque todas las interfaces estn desactivadas. El administrador ahora puede ver las contrase+as !contrase+as enable pass1ord, enable secret, vty y consola%, ya sea en formado cifrado o no cifrado. Las contrase+as no cifradas pueden volver a ser usadas, pero las contrase+as cifradas necesitan que se cree una nueva contrase+a en su lugar. /aso >>. $ngrese a la configuraci,n global e ingrese el comando enable secret para cambiar la contrase+a enable secret. /or e-emplo (>!config%J enable secret cisco /aso >E. Emita el comando no shutdo1n en todas las interfaces que va a utili ar. Luego emita el comando sho1 ip interface brief en el modo ECE# privilegiado para confirmar que la configuraci,n de las interfaces es correcta. 3odas las interfaces que sern usadas deberan mostrar Hup up.H /aso >F. )esde el modo de configuraci,n global, ingreseconfig"register configuration[register[setting. Se modificar el registro de configuraci,n para mostrar el valor del paso E o <xE><E. /or e-emplo: (>!config%J config"register <xE><E /aso >D. Salve los cambios de configuraci,n usando el comando copy running"config startup"config. La recuperaci,n de contrase+a ha sido completada. $ngrese el comando sho1 version para confirmar que el router vaya a usar el n5mero de registro de configuraci,n ingresado en el pr,ximo arranque. Si alguien ganara acceso fsico al router, podra tomar control del dispositivo a travs del procedimiento de recuperaci,n de contrase+a. Este procedimiento, si se lo lleva a cabo correctamente, de-a intacta la configuraci,n del router. Si el atacante no efect5a grandes cambios, este tipo de ataque es difcil de detectar. 8n atacante puede usar este mtodo para descubrir la configuraci,n del router y otra informaci,n pertinente sobre la red, como flu-os de trfico y restricciones de control de acceso. El administrador puede mitigar esta brecha de seguridad potencial usando el comando de configuraci,n global no service pass1ord"recovery. El comando no service

    pass1ord"recovery es un comando oculto del $&S de #isco y no tiene argumentos o palabras clave. Si se configura un router con el comando no service pass1ord"recovery, se deshabilita el acceso al modo (&*mon. #uando se ingresa el comando no service pass1ord"recovery, se muestra un mensa-e de advertencia que debe ser aceptada para que la funci,n se habilite. El comando sho1 running configuration muestra una sentencia no service pass1ordrecovery. 'dicionalmente, cuando el router arranca, la secuencia de arranque inicial muestra un mensa-e que dice H/'SS4&() (E#&UE(A ;80#3$&0'L$3A $S )$S'YLE)H !la funci,n de recuperaci,n de contrase+a est deshabilitada%. /ara recuperar a un dispositivo luego de que se ingresa el comando no service pass1ord"recovery, debe emitir la secuencia brea2 dentro de los cinco segundos luego de que la imagen se descomprima durante el arranque. Se le pedir que confirme la acci,n de brea2. Luego de que se confirme la acci,n, se borra completamente la configuraci,n de inicio, se habilita el procedimiento de recuperaci,n de contrase+a y el router se reinicia con la configuraci,n por defecto de fbrica. Si no confirma la acci,n de brea2, el router arranca normalmente con el comando no service pass1ord"recovery habilitado. 8na advertencia: si la memoria flash del router no contiene una imagen del $&S de #isco vlida por corrupci,n del archivo o eliminaci,n, el comando (&*mon xmodem no puede ser usado para cargar una nueva imagen flash. /ara reparar el router, el administrador debe obtener una nueva imagen del $&S de #isco e un S$** flash o una tar-eta /#*#$' card. Uisite #isco.com para ms informaci,n en relaci,n con el resguardo de imgenes flash.

    2./.2 Ad&inistraci'n 6 re.ortes seguros


    Los administradores de red deben administrar con seguridad todos los dispositivos y hosts en la red. En una red peque+a, administrar y monitorear los dispositivos de red es una operaci,n sencilla. Sin embargo, en una empresa grande con cientos de dispositivos, monitorear, administrar y procesar los mensa-es de registros puede ser un desafo. )eben considerarse muchos factores al implementar una administraci,n segura. Esto incluye administraci,n de cambios en la configuraci,n. #uando una red est ba-o ataque, es importante conocer el estado de dispositivos crticos de la red y cundo

    ocurrieron las 5ltimas modificaciones conocidas. La administraci,n de cambios en la configuraci,n tambin incluye temas como asegurarse de que la gente correcta tenga acceso cuado se adoptan nuevas metodologas de administraci,n y c,mo mane-ar herramientas y dispositivos que ya no se usan. #rear un plan para la administraci,n de cambios debe ser parte de una poltica de seguridad englobadora6 sin embargo, mnimamente, deben registrarse los cambios usando sistemas de autenticaci,n sobre las configuraci,n es de archivos y dispositivos que usen ;3/ o 3;3/. PSe est siguiendo una poltica o un plan de administraci,n de cambiosQ Estos temas deben ser establecidos y mane-ados con una poltica de administraci,n de cambios. El registro y el reporte de informaci,n automticos de dispositivos identificados a hosts de administraci,n tambin son consideraciones importantes. Estos registros e informes pueden incluir flu-o de contenido, cambios de configuraci,n y nuevas instalaciones de soft1are, para nombrar algunos. /ara identificar las prioridades de reporte y monitoreo, es importante tener datos de la administraci,n y de los equipos de redes y seguridad. La poltica de seguridad tambin debera tener un rol importante a la hora de responder a qu informaci,n registrar y reportar. )esde un punto de vista de reportes, la mayora de los dispositivos de redes pueden enviar datos de syslog que pueden volverse invaluables en el momento de contrarestar problemas en la red o amena as de seguridad. Se pueden enviar datos de cualquier dispositivo a un host de anlisis de syslog para su revisi,n. Estos datos pueden ser revisados en tiempo real, ba-o demanda y en informes programados. .ay varios niveles de registro para asegurar que la cantidad correcta de datos sea enviada, de acuerdo con el dispositivo que enva los datos. 3ambin es posible marcar los datos de registro del dispositivo dentro del soft1are de anlisis para permitir vistas granulares y reportes. /or e-emplo, durante un ataque, los datos de registro provistos por los s1itches de capa E no suelen ser tan interesantes como los datos provistos por el sistema de prevenci,n de intrusos !$/S%. *uchas aplicaciones y protocolos, como S0*/, estn disponibles para su uso en sistemas de administraci,n de redes, con el prop,sito de monitorear y efectuar cambios en la configuraci,n de los dispositivos de manera remota. #uando se registra y se administra informaci,n, el flu-o de informaci,n entre los hosts de administraci,n y los dispositivos administrados puede tomar uno de dos caminos: ;uera de banda !out"of"band " &&Y% " ;lu-os de informaci,n en una red de administraci,n dedicada en los cuales no reside trfico de producci,n. En banda !in"band% " ;lu-os de informaci,n que atraviesan la red de producci,n de la

    empresa, $nternet o ambos a travs de canales de datos comunes. /or e-emplo, una red tiene dos segmentos de red separados por un router $&S de #isco que act5a como un fire1all y un dispositivo de terminaci,n de red privada virtual !U/0%. 8n lado del fire1all est conectado a todos los hosts de administraci,n y a los routers $&S de #isco que act5an como servidores terminales. Los servidores terminales ofrecen conexiones directas &&Y a cualquier dispositivo que solicite administraci,n en la red de producci,n. La mayora de los dispositivos debera estar conectada a este segmento y configurarse usando administraci,n &&Y. El otro lado del fire1all se conecta con la red de producci,n en s. La conexi,n a la red de producci,n solo es provista para el acceso selectivo a $nternet proveniente de los hosts de administraci,n, el trfico de administraci,n en banda limitado y el trfico de administraci,n cifrado proveniente de hosts predeterminados. La administraci,n en banda ocurre solo cuando una aplicaci,n de administraci,n no usa &&Y o cuando el dispositivo de #isco que se administra no tiene suficientes interfaces fsicas para soportar la conexi,n normal a la red de administraci,n. Si un dispositivo debe contactar a un host de administraci,n por medio del envo de datos a travs de la red de producci,n, ese trfico debera ser enviado de manera segura usando un t5nel cifrado privado o un t5nel U/0. El t5nel deber ser preconfigurado para permitir solo el trfico requerido para administraci,n y reportes de estos dispositivos. El t5nel tambin deber permanecer cerrado para que solo los hosts apropiados puedan iniciar y terminar t5neles. El fire1all del $&S de #isco est configurado para permitir pasar informaci,n syslog al segmento de administraci,n. 'dicionalmente, se permiten 3elnet, SS. y S0*/ con la condici,n de que estos servicios sean iniciados por la red de administraci,n. #omo la red de administraci,n tiene acceso adminstrativo a casi todas las reas de la red, puede ser un ob-etivo muy atractivo para los hac2ers. El m,dulo de administraci,n del fire1all fue dise+ado con muchas tecnologas hechas especialmente para mitigar tales riesgos. La principal amena a es un hac2er que intente ganar acceso a la red de administraci,n en s. Esto puede ser logrado a travs de un host administrado comprometido al que el dispositivo de administraci,n deba acceder. /ara mitigar la amena a de un dispositivo comprometido, debe implementarse un fuerte control de acceso en el fire1all y en todos los otros dispositivos. 'dicionalmente, los dispositivos de administraci,n deben colocarse de manera tal que prevenga comunicaci,n directa con otros hosts de la misma subred de administraci,n, usando segmentos L'0 o UL'0s separados.

    #omo regla general, para prop,sitos de seguridad, la administraci,n &&Y es apropiada para redes de empresas grandes. Sin embargo, no siempre es deseable. *uchas veces, la decisi,n depende del tipo de aplicaciones de administraci,n que estn corriendo y los protocolos que se estn monitoreando, por e-emplo, una herramienta de administraci,n que tiene el prop,sito de determinar la posibilidad de alcance de todos los dispositivos de una red. #onsidere una situaci,n en la que dos s1itches principales estn siendo administrados y monitoreados a travs de una red &&Y. Si un enlace crtico entre estos dos s1itches de administraci,n falla en la red de producci,n, la aplicaci,n que los monitorea puede nunca llegar a determinar que el enlace ha fallado para poder alertar al administrador. Esto ocurrira porque la red &&Y hace que todos los dispositivos apare can como asociados a una sola red de administraci,n &&Y. La red de administraci,n &&Y no es afectada por el enlace cado. #on aplicaciones de administraci,n como stas, es preferible e-ecutar la aplicaci,n de administraci,n en banda de manera segura. La administraci,n en banda tambin se recomienda en redes peque+as, como forma de reducir los costos de la seguridad en la red. En tales arquitecturas, el trfico de administraci,n fluye en banda en todos los casos y se asegura en lo posible usando variantes seguras ante protocolos de administraci,n inseguros !SS. en lugar de 3elnet, por e-emplo%. &tra opci,n es crear t5neles seguros, usando protocolos como $/sec, para el trfico de administraci,n. Si el acceso de administraci,n no es necesario constantemente, qui s se puedan hacer agu-eros temporarios en el fire1all con el exclusivo fin de reali ar las funciones de administraci,n. Esta tcnica debe ser usada con precauci,n y todos los agu-eros deben cerrarse inmediatamente despus de completar las funciones de administraci,n. ;inalmente, si se usan herramientas de administraci,n remota con administraci,n en banda, tenga cuidado con las vulnerabilidades de seguridad subyacentes en la herramienta de administraci,n misma. /or e-emplo, los administradores de S0*/ generalmente estn acostumbrados a resolver problemas y reali ar tareas de configuraci,n en la red. Sin embargo, S0*/ debe ser tratado con el mayor cuidado, ya que el protocolo subyacente tiene su propio grupo de vulnerabilidades de seguridad.

    2././ Uso de s6slog .ara la seguridad en redes


    La implementaci,n de una herramienta de registro en el router es una parte importante de cualquier poltica de seguridad de redes. Los routers de #isco pueden registrar informaci,n en relaci,n a los cambios de configuraci,n, violaciones de las '#L, el estado de las interfaces y muchos otros tipos de eventos. Los routers de #isco pueden enviar mensa-es de registro a muchos destinos diferentes. El router debera ser configurado para enviar mensa-es de registro a uno o ms de los siguientes destinos. #onsola " El registro de consola est habilitado por defecto. Los mensa-es se registran a la consola y pueden ser visuali ados cuando se modifica o se prueba el router usando soft1are de emulaci,n de terminal mientras se est conectado al puerto de consola del router. Lneas de terminal " Las sesiones ECE# habilitadas pueden ser configuradas para recibir mensa-es de registro en cualquiera de las lneas de terminal. Similar al registro de consola, este tipo de registro no se almacena en el router y, por lo tanto, solo es 5til para el usuario en esa lnea. (egistro de buffer " El registro de buffer es un poco ms 5til como herramienta de seguridad porque los mensa-es quedan almacenados en la memoria del router por un cierto tiempo. Sin embargo, los eventos se limpian cada ve que el router se reinicia. S0*/ traps " 'lgunos umbrales pueden ser preconfigurados en los routers y otros dispositivos. Los eventos de los routers, como la superaci,n de un umbral, pueden ser procesados por el router y reenviados como traps S0*/ a un servidor S0*/ externo. Las traps S0*/ son una herramienta de registro de seguridad viable, pero requieren la configuraci,n y mantenimiento de un sistema S0*/. Syslog " Los routers #isco pueden ser configurados para reenviar mensa-es de registro a un servicio syslog externo. Este servicio puede residir en uno o muchos servidores o estaciones de traba-o, incluyendo sistemas basados en 80$C o *icrosoft 4indo1s, o el dispositivo *'(S de Seguridad de #isco. Syslog es la herramienta de registro de mensa-es ms popular, ya que proporciona capacidades de almacenamiento de registro de largo pla o y una ubicaci,n central para todos los mensa-es del router. Los mensa-es de registro de los routers #isco caen en uno de ocho niveles. #uanto ms ba-o el n5mero de nivel, mayor su severidad. Los mensa-es de registro de los routers #isco contienen tres partes principales: *arca de tiempo 0ombre y nivel de severidad del mensa-e de registro 3exto del mensa-e

    Syslog es el estndar para registrar eventos del sistema. Las implementaciones syslog contienen dos tipos de sistemas. Servidores syslog " 3ambin conocidos como hosts de registro, estos sistemas aceptan y procesan mensa-es de registro de clientes syslog. #lientes syslog " (outers u otros tipos de equipamiento que generan y reenvan mensa-es de registro a servidores syslog. El protocolo syslog permite que se enven mensa-es de inicio de sesi,n desde un cliente syslog al servidor syslog. 'unque la habilidad de enviar registros a un servidor syslog central es parte de una buena soluci,n de seguridad, tambin puede ser parte de un problema potencial de seguridad. El problema ms grande es la enormidad de la tarea de navegar toda la informaci,n resultante, correlacionar los eventos de varios dispositivos de red diferentes y servidores de aplicaciones, y reali ar diferentes tipos de acciones basndose en una evaluaci,n de vulnerabilidades que causaron el incidente. El Sistema de *onitoreo, 'nlisis y (espuesta de Seguridad de #isco !Security *onitoring, 'nalysis, and (esponse System " *'(S% es un dispositivo de seguridad de #isco que puede recibir y anali ar mensa-es syslog de varios dispositivos de red y hosts de #isco y otras marcas. El *'(S de seguridad de #isco extiende la lnea de productos de administraci,n de seguridad para la iniciativa de la (ed 'utodefensiva de #isco. El *'(S de seguridad de #isco es el primer dispositivo ideado para el prop,sito de la mitigaci,n de amena as de seguridad en tiempo real. El *'(S de seguridad de #isco monitorea muchos tipos de trfico de registros y reportes disponible en los productos de seguridad y red en la red de la empresa. El *'(S de seguridad de #isco combina todos estos datos de registros en una serie de sesiones que luego compara con una base de datos de reglas. Si las reglas indican que puede haber un problema, se dispara un incidente. #on el uso de este mtodo, el administrador de la red puede hacer que el dispositivo *'(S de seguridad de #isco procese la mayora de los datos de registro de los dispositivos de la red y enfocar los esfuer os humanos en los problemas potenciales. 8se los siguientes pasos para configurar el registro del sistema. /aso >. Estable ca el host de registro de destino usando el comando logging host. /aso E. !&pcional% Estable ca el nivel de severidad del registro !trap% usando el comando logging trap nivel. /aso F. Estable ca la interfa de origen usando el comando logging source"interface. Esto especifica que los paquetes syslog contienen la direcci,n $/vD o $/vG de una interfa particular, sin importar cul interfa usa el paquete para salir del router.

    /aso D. .abilite el registro usando el comando logging on. /uede habilitar o deshabilitar el registro para estos destinos individualmente usando los comandos logging buffered, logging monitor y logging de configuraci,n global. Sin embargo, si el comando logging on est deshabilitado, no se envan mensa-es a estos destinos. Solo la consola recibe mensa-es. /ara habilitar el registro de syslog en su router usando el 'dministrador de )ispositivos de Seguridad !Security )evice *anager " S)*% y el (outer #isco, siga estos pasos. /aso >. Uaya a #onfigure V 'dditional 3as2s V (outer /roperties V Logging. /aso E. )esde el panel de registro, seleccione Edit. /aso F. En la ventana de registro, seleccione Enable Logging Level y vaya al nivel de registro desde la ca-a de Logging Level. Los mensa-es sern registrados para el nivel seleccionado y los inferiores. /aso D. .aga clic en 'dd e ingrese una direcci,n $/ de un host de registro en el campo $/ 'ddress\.ostname. /aso @. .aga clic sobre &W para volver a la ca-a de dilogo del registro. /aso G. .aga clic en &W para aceptar los cambios y volver al panel de registro. Los S)* de #isco pueden ser usados para monitorear el registro eligiendo *onitor V Logging. )esde la pesta+a Syslog puede reali ar las siguientes funciones: Uer los hosts de registro a los cuales el router registra mensa-es. Eli-a el nivel de severidad mnimo para ver. *onitorear los mensa-es de syslog del router, actuali ar la ventana para que muestre las entradas del registro ms recientes y borrar todos los mensa-es syslog del buffer del registro del router.

    2./.8 Uso de S9#P .ara la seguridad en redes


    &tra herramienta com5n de monitoreo es S0*/. S0*/ fue desarrollado para administrar nodos, como servidores, estaciones de traba-o, routers, s1itches, hubs y dispositivos de seguridad, en una red $/. S0*/ es un protocolo de capa de aplicaci,n que facilita el intercambio de informaci,n de administraci,n entre dispositivos de red. S0*/ es parte de la suite del protocolo 3#/\$/. S0*/ permite a los administradores de red administrar el rendimiento de la red, encontrar y resolver problemas en la red, y planear su crecimiento. .ay diferentes versiones de S0*/. S0*/ version > !S0*/v>% y S0*/ version E !S0*/vE% estn basadas en administradores !sistemas de administraci,n de redes " net1or2 management systems

    N0*SsO%, agentes !nodos administrados%, y Yases de $nformaci,n de 'dministraci,n !*anagement $nformation Yases " *$Ys%. En cualquier configuraci,n, por lo menos un administrador e-ecuta soft1are de administraci,n S0*/. Los dispositivos de red que requieren administraci,n, como los s1itches, routers, servidores y estaciones de traba-o, estn equipados con un m,dulo de soft1are de agente S0*/. El agente es responsable de proveer acceso a una *$Y local de ob-etos que refle-a los recursos y actividad en su nodo. Las *$Ys almacenan datos sobre la operaci,n del dispositivo y se espera que estn disponibles para usuarios remotos autenticados. El administrador S0*/ puede obtener !get% informaci,n del agente y cambiar !set% informaci,n en el agente. Los sets pueden cambiar variables de configuraci,n en el dispositivo agente o iniciar acciones en los dispositivos. 8na respuesta a un set indica la nueva configuraci,n en el dispositivo. /or e-emplo, un set puede hacer que un router se reinicie o que enve o reciba un archivo de configuraci,n. Las traps S0*/ permiten a un agente notificar a la estaci,n de administraci,n de eventos significativos mediante el envio de un mensa-e S0*/ no solicitado. La acci,n de los gets y sets conforma las vulnerabilidades que de-an a S0*/ abierto a ataques. Los agentes S0*/ aceptan comandos y solicitudes de los sistemas de administraci,n S0*/ solo si esos sistemas tienen un community string correcto. 8n community string S0*/ es una cadena de texto que puede autenticar mensa-es que pasan entre una estaci,n de administraci,n y un agente S0*/ y permite acceso a la informaci,n en las *$Ys. Los community strings se usan esencialmente para autenticaci,n de solo contrase+a en los mensa-es entre el 0*S y el agente. .ay dos tipos de community strings. #ommunity strings de solo lectura " /roporcionan acceso de solo lectura a todos los ob-etos en la *$Y, excepto los community strings. #ommunity strings de lectura"escritura " /roporcionan acceso de lectura"escritura a todos los ob-etos en la *$Y, excepto los community strings. Si el administrador usa uno de los community strings de solo lectura correctos, puede hacer get o set de la informaci,n en el agente. En efecto, tener acceso set a un router es equivalente a tener la contrase+a enable pass1ord del router. /or defecto, la mayora de los sistemas S0*/ usa HpublicH como community string. Si usted configura su router agente S0*/ para que use este community string tan com5nmente conocido, cualquiera que tenga un sistema S0*/ podr leer la *$Y del router. #omo las variables de la *$Y de los routers pueden apuntar a tablas de enrutamiento y otras partes crticas de la configuraci,n del router, es extremadamente

    importante que usted cree sus propios community strings S0*/ personali ados. Sin embargo, incluso si se cambia el community string, los strings se envan en texto plano. Esta es una enorme vulnerabilidad en la arquitectura S0*/v> y S0*/vE. Si se usa una administraci,n en banda, para reducir los riesgos de seguridad, la administraci,n S0*/ deber configurarse para solo extraer informaci,n de los dispositivos en lugar de adems permitirse insertar cambios HsetH en los dispositivos. /ara asegurar que la informaci,n de administraci,n sea extrada, cada dispositivo deber configurarse con un community string S0*/ de solo lectura. *antener el trfico S0*/ en un segmento de administraci,n permite al trfico atravesar un segmento aislado cuando la informaci,n de administraci,n se extrae de dispositivos y cuando los cambios de configuraci,n se insertan en un dispositivo. /or lo tanto, si se usa una red &&Y, es aceptable configurar un community string S0*/ de lectura"escritura6 sin embargo, tenga en consideraci,n el aumento de riesgos de seguridad de un string en texto plano que permite modificaciones de las configuraciones de los dispositivos. La versi,n actual de S0*/vF resuelve las vulnerabilidades de las versiones anteriores incluyendo tres servicios importantes: autenticaci,n, privacidad y control de acceso. S0*/vF es un protocolo interoperable basado en estndares para administraci,n de redes. S0*/vF usa una combinaci,n de autenticaci,n y cifrado de paquetes en la red para proporcionar acceso seguro a los dispositivos. S0*/vF proporciona tres funciones de seguridad. $ntegridad del mensa-e " 'segura que el paquete no ha sido manipulado en su trnsito por la red. 'utenticaci,n " )etermina que el mensa-e proviene de un origen vlido. #ifrado " *e cla los contenidos de un paquete para evitar que pueda ser visuali ado por una fuente no autori ada. 'unque se recomienda usar S0*/vF cuando sea posible por las funciones de seguridad agregadas, configurar S0*/vF est ms all del alcance de este curso. 'l habilitar S0*/, es importante considerar el modelo y el nivel de seguridad. El modelo de seguridad es una estrategia de autenticaci,n que se establece para un usuario y el grupo en el que el usuario reside. 'ctualmente, el soft1are $&S de #isco soporta tres modelos de seguridad: S0*/v>, S0*/vE y S0*/vF. El nivel de seguridad es el nivel permitido de seguridad dentro de un modelo de seguridad. El nivel de seguridad es un tipo de algoritmo de seguridad que se emplea en cada paquete S0*/. .ay tres niveles de seguridad.

    no'uth " 'utentica el paquete por medio de una comparaci,n de strings en el nombre de usuario o community string. auth " 'utentica el paquete usando el #,digo de 'utenticaci,n de *ensa-e )ifuso !.ashed *essage 'uthentication #ode " .*'#% con el mtodo *)@ o el mtodo de 'lgoritmos de )ifusi,n Seguros !Secure .ash 'lgorithms " S.'%. (;# E><D, .*'#: Weyed".ashing for *essage 'uthentication describe el mtodo .*'#. priv " 'utentica el paquete usando los algoritmos .*'# *)@ o .*'# S.' y cifra el paquete usando los algoritmos de Estndar de #ifrado de )atos !)ata Encryption Standard " )ES%, )ES 3riple !F)ES%, o Estndar de #ifrado 'van ado !'dvanced Encryption Standard " 'ES%. La combinaci,n del modelo y el nivel determina el mecanismo de seguridad que se emplea cuando se mane-a un paquete S0*/. Solo S0*/vF soporta los niveles de seguridad auth y priv. Sin embargo, el S)* de #isco no soporta la configuraci,n de S0*/vF. /ara habilitar S0*/v> y S0*/vE usando un S)* de #isco, siga los siguientes pasos: /aso >. Uaya a #onfigure V 'dditional 3as2s V (outer /roperties V S0*/. .aga clic sobre Edit. /aso E. )esde la ventana S0*/ /roperties, seleccione Enable S0*/ para habilitar el soporte de S0*/. Estable ca community strings e ingrese la informaci,n del administrador de traps desde la misma ventana de S0*/ /roperties que us, para habilitar el soporte. /aso F. En la ventana de S0*/ /roperties, haga clic sobre 'dd para crear nuevos community strings, haga clic sobre Edit para editar un community string existente, o haga clic sobre )elete para eliminar un community string. 8n comando e-emplo de la #L$ que S)* generara basndose en un community string de solo lectura cisco>EF sera snmp"server community cisco>EF ro. ro " 'signa un community string de solo lectura. r1 " 'signa un community string de lectura"escritura. El administrador puede tambin configurar dispositivos a los que el router enva traps. Estos dispositivos se conocen como receptores de traps. Los S)* de #isco pueden ser usados para agregar, editar o borrar un receptor de traps. /aso >. )esde el panel S0*/ en el S)* de #isco, haga clic sobre Edit. Se mostrar la ventana S0*/ /roperties. /aso E. /ara agregar un nuevo receptor de traps, haga clic sobre 'dd en la secci,n 3rap (eceiver de la ventana S0*/ /roperties. Se mostrar la ventana 'dd a 3rap (eceiver.

    /aso F. $ngrese la direcci,n $/ o nombre de host del receptor de traps y la contrase+a que se usar para conectarse a l. 3picamente, la direcci,n $/ ser la de la estaci,n de administraci,n S0*/ que monitorea su dominio. Uerifique la direcci,n con el administrador del sitio si no est seguro. /aso D. .aga clic sobre &W para terminar de agregar el receptor de traps. /aso @. /ara editar un receptor de traps existente, eli-a uno de la lista y haga clic sobre Edit. /ara eliminar un receptor de traps existente, eli-a uno de la lista y haga clic sobre )elete. /aso G. #uando la lista de receptores de traps est completa, haga clic sobre &W para volver al panel de S0*/. La ventana de S0*/ /roperties tambin contiene los campos S0*/ Server )evice Location field y S0*/ Server 'dministrator #ontact. 'mbos campos son campos de texto que pueden ser usados para ingresar informaci,n descriptiva sobre la ubicaci,n del servidor e informaci,n de contacto de la persona que administra el servidor S0*/. Estos campos no son obligatorios y no afectan la operaci,n del router.

    2./.: Uso de 9TP


    *uchos aspectos de la seguridad de una red, como los registros de seguridad, dependen de una fecha y marca de tiempo correcta y precisa. #uando se lucha contra una amena a, cada segundo importa, ya que es importante identificar el orden en que ocurri, un ataque especfico. /ara asegurarse de que los mensa-es del registro estn sincroni ados entre s deben mantenerse los relo-es de los hosts y los dispositivos de red sincroni ados entre s. 3picamente, se pueden configurar la fecha y la hora en el router mediante dos mtodos: Editando la fecha y hora manualmente #onfigurando el /rotocolo de la .ora de la (ed !0et1or2 3ime /rotocol " 03/% 'unque el mtodo manual funciona en el ambiente de una red peque+a, a medida que una red crece se vuelve difcil asegurarse de que todos los dispositivos de la infraestructura estn operando con la fecha sincroni ada. $ncluso en un ambiente de red peque+a, el mtodo manual no es lo ideal. Si se reinicia un router, P)e d,nde sacar una fecha y marca de tiempoQ 8na me-or soluci,n es configurar 03/ en la red. 03/ permite a los routers de la red sincroni ar sus configuraciones de tiempo con un servidor 03/. 8n grupo de clientes 03/ puede obtener informaci,n de fecha y hora de una sola fuente y tener configuraciones ms consistentes. #uando se implementa 03/ en la red, puede configurarse para que se sincronice con un relo- privado o puede sincroni arse con un

    servidor 03/ disponible p5blicamente en $nternet. 03/ usa el puerto 8)/ >EF y est documentado en (;# >F<@. 'l determinar si deber usarse una sincroni aci,n con un relo- privado o un relop5blico, es necesario poner los riesgos y los beneficios de ambos en una balan a. Si se implementa un relo- privado, puede ser sincroni ado al #oordinated 8niversal 3ime !83#% va satlite o radio. El administrador deber asegurarse de que la fuente de tiempo sea vlida y provenga de un sitio seguro6 si no lo hiciera, puede introducir vulnerabilidades. /or e-emplo, un atacante puede lan ar un ataques de )oS enviando datos 03/ falsos a travs de $nternet y hacia la red en un intento de cambiar los relo-es en los dispositivos de red, posiblemente haciendo que los certificados digitales de-en de ser vlidos. El atacante puede intentar confundir al administrador de red durante un ataque cambiando los valores de los relo-es en los dispositivos de red. Esto dificultara al administrador determinar el orden de los eventos syslog en m5ltiples dispositivos. Extraer la hora de un relo- de $nternet significa que se permitirn paquetes no seguros a travs del fire1all. *uchos servidores 03/ en $nternet no solicitan ninguna autenticaci,n de sus pares6 por lo tanto, el administrador de la red debe confiar en que el relo- mismo es confiable, vlido y seguro. Las comunicaciones !conocidas como asociaciones% entre mquinas que e-ecutan 03/ generalmente tienen una configuraci,n esttica. Se da a cada dispositivo la direcci,n $/ de los masters 03/. Es posible obtener una fecha y hora precisa intercambiando mensa-es 03/ entre cada par de mquinas con una asociaci,n. En una red configurada con 03/, se designan uno o ms routers como master 03/ !los encargados de mantener el relo-% usando el comando de configuraci,n global ntp master. Los clientes 03/ contactan al master o escuchan mensa-es del master para sincroni ar sus relo-es. /ara contactar al master, use el comando ntp server direcci,n"servidor"ntp. En un ambiente L'0, 03/ puede ser configurado para usar mensa-es de broadcast $/ en lugar de usar el comando ntp broadcast client. Esta alternativa reduce la comple-idad de la configuraci,n ya que cada mquina puede ser configurada para enviar o recibir mensa-es de broadcast. La precisi,n de la hora es marginalmente reducida porque el flu-o de informaci,n tiene una sola va. La hora que mantiene la mquina es un recurso crtico, por lo que las funciones de seguridad de 03/ pueden ser usadas para evitar la configuraci,n, accidental o maliciosa, de una hora incorrecta. Existen dos mecanismos de seguridad: Esquema de restricciones basado en '#Ls *ecanismo de autenticaci,n cifrado ofrecido por 03/ versi,n F o posterior

    03/ versi,n F !03/vF% y posteriores soportan un mecanismo de autenticaci,n criptogrfico entre pares 03/. Este mecanismo de autenticaci,n, en con-unto con las '#Ls que especifican a qu dispositivos de red se les permite sincroni arse con otros dispositivos de red, puede ser usado para ayudar a mitigar tal ataque. /ara asegurar el trfico 03/, se recomienda fuertemente la implementaci,n de 03/ versi,n F o posterior. 8se los siguientes comandos en tanto el cliente 03/ como el master 03/. ntp authenticate ntp authentication"2ey n5mero"clave md@ valor"clave ntp trusted"2ey n5mero"clave La autenticaci,n es para el beneficio del cliente para asegurar que est obteniendo la hora de un servidor autenticado. Los clientes configurados sin autenticaci,n tambin obtienen la hora del servidor. La diferencia est en que estos clientes no autentican al servidor como una fuente segura. 8se el comando sho1 ntp associations detail para confirmar que el servidor sea una fuente autenticada. 0ota: el valor de la clave tambin puede configurarse como un argumento en el comando ntp server direcci,n"servidor"ntp. Los S)* de #isco permiten al administrador de la red ver la informaci,n de servidor 03/ configurada, agregar nueva informaci,n y editar o eliminar informaci,n existente. 'gregar un servidor 03/ usando un S)* de #isco toma siete pasos. /aso >. Uaya a #onfigure V 'dditional 3as2s V (outer /roperties V 03/\S03/. 'parecer el panel de 03/, mostrando la informaci,n de todos los servidores 03/ configurados. /aso E. /ara agregar un nuevo servidor 03/, haga clic sobre 'dd. 'parecer la ventana de 'dd 03/ Server )etails. /aso F. 'gregue un servidor 03/ por nombre si el router est configurado para usar un servidor )0S !)omain 0ame System% o por direcci,n $/ si no. /ara agregar un servidor 03/ por direcci,n $/, ingrese la direcci,n $/ en el campo contiguo a la opci,n 03/ Server $/ 'ddress. Si la organi aci,n no tiene un servidor 03/, el administrador puede querer usar un servidor p5blico, como uno de la lista de servidores disponible en http:\\support.ntp.org\bin\vie1\Servers\4eb.ome. /aso D. !&pcional% )esde la lista desplegable 03/ Source $nterface, eli-a la interfa que usa el router para comunicarse con el servidor 03/. El campo de 03/ Source $nterface es opcional, y si se lo de-a en blanco, los mensa-es 03/ sern enviados desde la interfa

    ms cercana al servidor 03/ seg5n la tabla de enrutamiento. /aso @. Seleccione /refer si este servidor 03/ ha sido designado como el servidor 03/ preferido. Los servidores 03/ preferidos son contactados antes que los no preferidos. /uede haber ms de un servidor 03/ preferido. /aso G. Si el servidor 03/ usa autenticaci,n, seleccione 'uthentication Wey e ingrese el n5mero de clave y su valor. /aso I. .aga clic sobre &W para terminar de agregar el servidor.

    2.8.1 Auditorias de seguridad


    Los routers de #isco se despliegan inicialmente con muchos servicios habilitados por defecto. Esto es producto de la conveniencia y para simplificar el proceso de configuraci,n requerido para tener el dispositivo plenamente operativo. Sin embargo, algunos de estos servicios pueden hacer que el dispositivo se vuelva vulnerable a ataques si no se habilita seguridad. 'dicionalmente, los administradores pueden habilitar otros servicios en los routers #isco que pueden exponer el dispositivo a riesgos significativos. 'mbas situaciones deben tomarse en cuenta al asegurar la red. /or e-emplo, el /rotocolo de )escubrimiento de #isco !#isco )iscovery /rotocol " #)/% es un e-emplo de un servicio habilitado por defecto en los routers de #isco. Se usa principalmente para obtener direcciones de protocolo de los dispositivos de #isco circundantes y para descubrir las plataformas de esos dispositivos. )esafortunadamente, un atacante en la red puede usar #)/ para descubrir dispositivos en la red local. 'dicionalmente, los atacantes no necesitan tener dispositivos habilitados para #)/. /uede descargarse soft1are como el #)/ *onitor de #isco, para obtener la informaci,n. El prop,sito de #)/ es el de facilitar la tarea del administrador al descubrir y resolver problemas en otros dispositivos #isco de la red. Sin embargo, por las implicancias de seguridad, el uso de #)/ debe restringirse. 'unque es una herramienta extremadamente 5til, no debera estar en toda la red. Los dispositivos de borde son un e-emplo de un dispositivo que no debe tener esta funci,n hablitada. Los atacantes seleccionan los servicios y protocolos que hacen ms vulnerable a la red frente a acciones maliciosas. )ependiendo de las necesidades de seguridad de la organi aci,n, muchos de estos servicios deberan estar deshabilitados o mnimamente restringidos en sus capacidades. Estas funciones van desde los protocolos propietarios de #isco, como el /rotocolo de )escubrimiento de #isco !#)/%, hasta protocolos globalmente disponibles como $#*/ y otras herramientas de escaneo.

    'lgunas de las configuraciones por defecto en el soft1are $&S de #isco estn ah por ra ones hist,ricas: cuando fueron elegidas eran necesarias pero probablemente seran diferentes si se eligieran nuevas opciones por defecto hoy en da. &tras configuraciones por defecto son aplicables para la mayora de los sistemas pero pueden crear agu-eros de seguridad si es usan en dispositivos que forman parte de la defensa de permetro de la red. .ay otras opciones por defecto que realmente son requeridas por los estndares, pero no son siempre deseables desde un punto de vista de seguridad. *uchas prcticas ayudan a certificar que un dispositivo sea seguro. )eshabilitar los servicios e interfaces innecesarios. )eshabilitar y restringir los servicios de administraci,n com5nmente configurados, como S0*/. )eshabilitar servicios de sonda y escaneo, como $#*/. 'segurar la seguridad del acceso terminal. )eshabilitar el /rotocolo de (esoluci,n de )irecciones !'dress (esolution /rotocol " '(/% gratuito y proxy. )eshabilitar broadcasts dirigidos por $/. /ara asegurar los dispositivos de red, los administradores deben determinar primero las vulnerabilidades existentes en la configuraci,n actual. La me-or manera de lograrlo es usando una herramienta de auditora de seguridad. La herramienta de auditora de seguridad efect5a revisiones en el nivel de seguridad de las configuraciones comparndolas con configuraciones recomendadas y recolectando discrepancias. Luego de que se identifican las vulnerabilidades, los administradores de red deben modificar la configuraci,n para reducir o eliminar las vulnerabilidades, asegurando el dispositivo y la red. Tres ,erra&ientas de auditor*a de seguridad son; El asistente de 'uditora de Seguridad " una funci,n de auditora de seguridad proporcionada a travs del S)* de #isco. El asistente de 'uditora de Seguridad proporciona una lista de vulnerabilidades y luego permite al administrador elegir cules cambios en la configuraci,n potencialmente relacionados con la seguridad implementarn en el router. 'utoSecure de #isco " una funci,n de auditora de seguridad disponible a travs de la #L$ del $&S de #$sco. El comando autosecure inicia una auditora de seguridad y luego permite cambios de configuraci,n. Yasndose en el modo seleccionado, los cambios de configuraci,n pueden ser automticos o requerir participaci,n del administrador de la red.

    &ne"Step Loc2do1n " una funci,n de auditora de seguridad proporcionada por el S)* de #isco. La funci,n &ne"Step Loc2do1n proporciona una lista de vulnerabilidades y luego efect5a los cambios de configuraci,n recomendados para la seguridad automticamente. 3anto el asistente de 'uditora de Seguridad como &ne"Step Loc2do1n estn basadas en la funci,n 'utosecure del $&S de #isco. Asistente de Auditor*a de Seguridad El asistente de 'uditora de Seguridad examina la configuraci,n del router para determinar si existen problemas de seguridad potenciales en la configuraci,n y luego muestra una pantalla que permite al administrador determinar cules de estos problemas de seguridad arreglar. En esta instancia, el asistente de 'uditora de Seguridad efect5a los cambios necesarios en la configuraci,n del router para arreglar los problemas. El asistente de 'uditora de Seguridad compara la configuraci,n del router contra las configuraciones recomendadas y hace lo siguiente: 'paga todos los servidores innecesarios. )eshabilita los servicios innecesarios. 'plica el fire1all a las interfaces externas. )eshabilita o hace hardening en S0*/. 'paga las interfaces no utili adas. Uerifica cun fuertes son las contrase+as. $nstaura el uso de '#Ls. #uando se inicia una auditora de seguridad, el asistente de 'uditora de Seguridad debe saber qu interfaces del router conectar a la red interna y cules conectar a la parte externa de la red. El asistente de 'uditora de Seguridad luego examina la configuraci,n del router para determinar si existen posibles problemas de seguridad. Luego muestra una pantalla que despliega todas las opciones de configuraci,n examinadas y si la configuraci,n actual del router pasa esos exmenes. #uando se completa la auditora, el asistente de 'uditora de Seguridad identifica posibles vulnerabilidades en la configuraci,n y proporciona una manera de corregir esos problemas. 3ambin le da al administrador la posibilidad de arreglar los problemas automticamente, en cuyo caso determina los comandos de configuraci,n necesarios. Se proporciona una descripci,n de los problemas especficos y una lista de los comandos del $&S de #isco usados para corregir los problemas. 'ntes de que se efect5e cualquier cambio en la configuraci,n, una pgina de resumen

    muestra una lista de todos los cambios de configuraci,n que el asistente de 'uditora de Seguridad est por hacer. El administrador debe hacer clic sobre ;inish para enviar esas configuraciones al router.

    E.D.E Seguridad del router con AutoSecure


    AutoSecure de Cisco Lan ado con la versi,n >E.F del $&S de #isco, 'utoSecure de #isco es una funci,n que se inicia desde la #L$ y e-ecuta un script. 'utoSecure primero efect5a recomendaciones para arreglar vulnerabilidades de seguridad y luego modifica la configuraci,n de seguridad del router. 'utoSecure puede asegurar las funciones del plano de administraci,n y las funciones y servicios del plano de reenvos de un router. El plano de administraci,n es la ruta l,gica de todo el trfico relacionado con la administraci,n de una plataforma de enrutamiento. Se usa para controlar todas las otras funciones de enrutamiento y para administrar un dispositivo a travs de su conexi,n con la red. .ay muchas funciones y servicios del plano de administraci,n: /eque+os servidores de Y&&3/, #)/, ;3/, 3;3/, /'), 8)/ y 3#/, *&/, $#*/ !redirecciones, respuestas a solicitudes de mscaras de red%, enrutamiento de origen $/, ;inger, cifrado de contrase+as, 2eepalives de 3#/, '(/ gratuito, '(/ proxy y broadcast dirigidos seguros 0otificaci,n legal a travs de un banner #ontrase+as y funciones de autenticaci,n seguras 03/ seguro 'cceso SS. seguro Servicios de interceptaci,n de 3#/ El plano de reenvos es responsable del reenvo de paquetes !o pac2et s1itching%, que es el acto de recibir paquetes en las interfaces del router y enviarlos fuera de l a travs de otras interfaces. .ay tres servicios y funciones del plano de reenvos: .abilita #isco Express ;or1arding !#E;% .abilita filtrado de trfico con '#Ls $mplementa inspecci,n del fire1all del $&S de #isco para protocolos comunes 7eneralmente se usa 'utoSecure para proporcionar una poltica de seguridad bsica en un router nuevo. Las funciones pueden ser alteradas posteriormente para soportar la poltica de seguridad de la organi aci,n.

    8se el comando auto secure para habilitar la configuraci,n de la funci,n 'utoSecure de #isco. Esta configuraci,n puede ser interactiva o no interactiva. auto secure Nno"interactO En el modo interactivo, el router presenta opciones para habilitar o deshabilitar servicios y otras funciones de seguridad. Este es el modo por defecto, pero tambin puede ser configurado mediante el comando auto secure full. El modo no interactivo es parecido a la funci,n de auditora de seguridad &ne"Step Loc2do1n del S)*, ya que e-ecuta el comando 'utoSecure de #isco automticamente con las configuraciones por defecto recomendadas por #isco. Este modo se habilita con el modo de ECE# privilegiado auto secure no"interact. El comando auto secure tambin puede ingresarse con palabras clave para configurar componentes especficos, como los planos de administraci,n y de reenvos. #uando se inicia el comando auto secure, se muestra un asistente que lleva al administrador a travs de toda la configuraci,n del dispositivo. Se requiere participaci,n del usuario. #uando se completa el asistente, se muestra la configuraci,n actual con todos los cambios hechos a la configuraci,n.

    2.8./ Loc<ing do%n a router using SD#


    One7Ste. Loc<do%n de Cisco &ne"step loc2do1n examina la configuraci,n del router buscando problemas de seguridad potenciales y efect5a automticamente los cambios necesarios a la configuraci,n para corregirlos. &ne"Step Loc2do1n de #isco deshabilita: Servicio de ;inger Servicio de /') Servicio de peque+os servidores 3#/ Servicio de peque+os servidores 8)/ Servicio de servidores Y&&3/ $/ Servicio de identificaci,n de $/s #isco )iscovery /rotocol (uta de origen $/ 7'(/s $/ S0*/ (edirecciones $/

    '(/ proxy $/ Yroadcast dirigido por $/ Servicio *&/ $/s inalcan ables (espuesta de solicitud de mscara $/ $/s inalcan ables en interfa nula &ne"Step Loc2do1n de #isco habilita: Servicio de cifrado de contrase+as Weepalives 3#/ para sesiones 3elnet entrantes y salientes 05meros de secuencia y marcas de tiempo en los debugs #onmutaci,n de $/ #isco Express ;or1arding Enable 0et;lo1 (everse /ath ;or1arding !(/;% 8nicast en interfaces externas ;ire1all en todas las interfaces externas SS. para acceso al router ''' &ne"Step Loc2do1n de #isco configura: Longitud de contrase+a mnima en seis caracteres 3asa de fallos de autenticaci,n a menos de tres intentos 3iempo syn1ait 3#/ Yanner de notificaciones /armetros de inicio de sesi,n #ontrase+a enable secret pass1ord Scheduler interval Scheduler allocate 8suarios 3elnet #lase de acceso al servicio de servidor .33/ #lase de acceso en lneas vty )ecidir cul funci,n de loc2do1n automati ado usar, si 'utoSecure o one"step loc2do1n de 'uditora de Seguridad S)*, es bsicamente una cuesti,n de preferencias. .ay diferencias en c,mo cada uno implementa las buenas prcticas de seguridad. El S)* de #isco no implementa todas las funciones que implementa 'utoSecure de #isco. ' partir de la versi,n E.D del S)* de #isco, las siguientes funciones de

    'utoSecure de #isco ya no forman parte de one"step loc2do1n de S)* de #isco: .abilitar 03/ " Yasndose en el input, el 'utoSecure de #isco deshabilita 03/ si no est siendo usado. Si no es as, 03/ se configura con autenticaci,n *)@. El S)* de #isco no soporta la deshabilitaci,n de 03/. #onfigurar de ''' " Si el servicio ''' no est configurado, el 'utoSecure de #isco configura ''' local y pide la configuraci,n de una base de datos de nombre de usuario y contrase+a local al router. El S)* de #isco no soporta configuraci,n '''. #onfigurar de valores de )escarte de /aquetes Selectivo !Selective /ac2et )iscard " S/)% " El S)* de #isco no establece valores S/). .abilitar de interceptaciones 3#/ " El S)* de #isco no habilita interceptaciones 3#/. #onfigurar de '#Ls antifalsificaci,n en las interfaces externas " 'utoSecure de #isco crea tres listas de acceso nombradas para prevenir las direcciones de origen de antifalsificaci,n. El S)* de #isco no configura estas '#Ls. Las siguientes funciones 'utoSecure de #isco son implementadas de manera diferente en el S)* de #isco: .abilitar SS. para acceso al router " El S)* de #isco habilita y configura SS. en las imgenes $&S de #isco que pueden tener el grupo de funciones $/Sec6 sin embargo, a diferencia de 'utoSecure de #isco, el S)* de #isco no habilita Secure #opy /rotocol !S#/% o deshabilita otros servicios de transferencia de archivos o de acceso, como ;3/. )eshabilitar S0*/ " El S)* de #isco deshabilita S0*/6 sin embargo, a diferencia de 'utoSecure de #isco, el S)* de #isco no provee una opci,n para configurar S0*/vF. La opci,n de S0*/vF no est disponible en todos los routers. Sin importar cul funci,n automtica eli-a, sta debe ser usada como base y luego alterada para satisfacer las necesidades de la organi aci,n.

    You might also like