Chapter 4

SEGURIDAD DE LA RED
REDES DE AREA AMPLIADA

WAN
CAPITULO 4
ITE PC v4.0 Chapter 1
2007 Cisco Systems, Inc. All rights reserved.
Cisco Public
SEGURIDAD: INTRODUCCION
Hacker de sombrero blanco: una persona que busca vulnerabilidades en los sistemas o en las redes y, a continuacin, informa estas vulnerabilidades a los propietarios del sistema para que las arreglen.
Hacker: es un trmino general que se ha utilizado histricamente para describir a un experto en programacin.
Hacker de sombrero negro: otro trmino que se aplica a las personas que utilizan su conocimiento de las redes o los sistemas informticos que no estn autorizados a utilizar, generalmente para beneficio personal o econmico.
Cisco Public
SEGURIDAD: INTRODUCCION
Cracker: es un trmino ms preciso para describir a una persona que intenta obtener acceso no autorizado a los recursos de la red con intencin maliciosa. Phreaker: una persona que manipula la red telefnica para que realice una funcin que no est permitida. Spammer: persona que enva grandes cantidades de mensajes de correo electrnico no solicitado.
Estafador: utiliza el correo electrnico u otro medio para engaar a otras personas para que brinden informacin confidencial, como nmeros de tarjetas de crdito o contraseas.
Cisco Public
SEGURIDAD: FASES DE UN ATAQUE

Paso 1. Realizar un anlisis del perfil (reconocimiento), puede empezar con la pgina web del objetivo.
Paso 2. Enumerar los datos, utilizando un sniffer Paso 3. Manipular a los usuarios para obtener acceso.- Ingeniera social
Paso 4. Aumentar los privilegios. Una vez que los agresores obtienen acceso bsico, utilizan sus habilidades para aumentar los privilegios de la red.
Paso 5. Recopilar ms contraseas y secretos. Paso 6. Instalar virus de puerta trasera. Paso 7. Potenciar el sistema comprometido. Una vez que un sistema est comprometido, los agresores lo utilizan para llevar a cabo ataques en otros hosts de la red.
Cisco Public
TIPOS DE DELITOS INFORMATICOS

Abuso del acceso a la red por parte de personas que pertenecen a la organizacin Propagar Virus Robo de dispositivos porttiles Penetracin en el sistema Fraude financiero
Deteccin de contraseas Registro de claves Alteracin de sitios Web Uso indebido de una aplicacin Web pblica Robo de informacin patentada Explotacin del servidor DNS de una organizacin
Fraude en las telecomunicaciones Sabotaje
Suplantacin de identidad (pishing)

Uso indebido de la mensajera instantnea
Denegacin de servicio Acceso no autorizado a la informacin

Robo de informacin de los clientes o de los empleados
Abuso de la red inalmbrica

Cisco Public
REDES ABIERTAS - CERRADAS
Cisco Public
DESARROLLO DE UNA POLITICA DE SEGURIDAD

RFC2196 establece que "una poltica de seguridad es una declaracin formal de las normas por las que se deben regir las personas que obtienen acceso a los bienes de tecnologa e informacin de una organizacin.
Informar a los usuarios, al personal y a los gerentes acerca de los requisitos obligatorios para proteger los bienes de tecnologa e informacin Especificar los mecanismos a travs de los cuales se pueden cumplir estos requisitos
Proporcionar una lnea de base a partir de la que se pueda adquirir, configurar y auditar redes y sistemas informticos para que cumplan la poltica
Cisco Public
DESARROLLO DE UNA POLITICA DE SEGURIDAD

La norma ISO/IEC 27002 es una base comn y una gua prctica para desarrollar normas de seguridad de la organizacin. Consta de 12 secciones:
Evaluacin de riesgos Poltica de seguridad
Organizacin de la seguridad de la informacin Administracin de activos
Seguridad de los recursos humanos Seguridad fsica y ambiental

Administracin de las comunicaciones y operaciones Control de acceso Adquisicin, desarrollo y mantenimiento de los sistemas informticos
Administracin de incidentes de seguridad de la informacin Administracin para la continuidad de la empresa

Cumplimiento
Cisco Public
VULNERABILIDADES
Cisco Public
VULNERABILIDADES
Cisco Public
10
VULNERABILIDADES
Cisco Public
11
AMENAZAS A LA INFRAESTRUCTURA FISICA

Amenazas al hardware: dao fsico a los servidores, routers, switches, planta de cableado y estaciones de trabajo Amenazas ambientales: temperaturas extremas o condiciones extremas de humedad Amenazas elctricas: picos de voltaje, voltaje intermitente (apagones). Amenazas al mantenimiento: manejo deficiente de los componentes elctricos clave (descarga electrosttica), falta de repuestos fundamentales, cableado insuficiente y rotulado incorrecto
Cisco Public
12
AMENAZAS A LA INFRAESTRUCTURA FISICA: MITIGACION
Cisco Public
13
Cisco Public
14
Cisco Public
15
Cisco Public
16
AMENAZAS A LAS REDES
Cisco Public
17
INGENIERIA SOCIAL
Consiste en engaar a las personas
Aprovechar de la ingenuidad y obtener informacin clave de una red o sistema
No constituye un ataque en si, pero puede ser la clave para tener xito en una intrusin. Parmetro que en la mayora de los casos no es tomado en cuenta por la gente de tecnologa
Cisco Public
18
TIPOS DE ATAQUES
Reconocimiento
Se conoce como recopilacin de informacin y, en la mayora de los casos, precede a otro tipo de ataque.
Acceso
Obtener acceso a un dispositivo del cual no se tiene cuenta ni contrasea. Herramientas de hacking
Denegacin de servicio
Se desactiva o daa redes, sistemas o servicios
Virus, gusanos y caballos de Troya

Software malicioso puede ser insertado en un host para perjudicar o daar un sistema, puede replicarse a s mismo, o denegar el acceso a las redes, los sistemas o los servicios.
Cisco Public
19
ATAQUES DE RECONOCIMIENTO
Consultas de informacin en Internet
nslookup y whois
Barridos de ping
fping o gping, que hace ping sistemticamente a todas las direcciones de red.
Escaneos de puertos
Nmap o Superscan, diseado para buscar puertos abiertos en un host de red
Programas detectores de paquetes

Analizadores de protocolos: wireshark, etc
Cisco Public
20
ATAQUES DE RECONOCIMIENTO
Medidas para contrarrestar las infiltraciones
Uso de redes conmutadas
Uso de encriptacin La encriptacin de contenido, afecta a los datos no a los encabezados de los protocolos, es decir, las actualizaciones de enrutamiento y dems procesos propios de los protocolos estn fuera de la encriptacin.
Implementaciones con protocolos seguros o que ofrezcan niveles de seguridad de acuerdo a las necesidades SNMP versin 3 puede encriptar cadenas comunitarias, es decir no habilitar SNMP versin 1.
Cisco Public
21
TIPOS DE ATAQUES
Ataques de acceso
Explotan las vulnerabilidades conocidas de los servicios de autenticacin, los servicios de FTP y los servicios Web para obtener acceso a cuentas vlidas y obtener informacin confidencial.
Ataques a las contraseas

Pueden implementarse mediante un programa detector de paquetes para proporcionar cuentas de usuarios y contraseas que se transmiten como texto sin cifrar. Normalmente se hace uso de programas para encontrar la contrasea, para lo cual utilizan diccionarios para en base a palabras conocidas encontrar la contrasea, esto se conoce como ataque de fuerza bruta L0phtCrack o Cain, son programas que intentan conectarse reiteradamente como usuario mediante el uso de palabras incluidas en un diccionario. Una tabla arco iris es una serie precalculada de contraseas que se forma creando cadenas de posibles contraseas de texto sin cifrar. El software de ataque aplica las contraseas de la tabla de arco iris hasta resolver la contrasea.
2007 Cisco Systems, Inc. All rights reserved. Cisco Public
22
TIPOS DE ATAQUES
Explotacin de confianza
El objetivo es comprometer un host de confianza, mediante su uso, con el fin de llevar a cabo ataques en otros hosts de una red.
La mitigacin de este tipo de ataques se la establece mediante restricciones a los permisos o niveles de confianza en los host de la red (VLANs)
Redireccin de puertos
Es un tipo de ataque de explotacin de confianza que utiliza un host comprometido para pasar trfico a travs de un firewall que, de lo contrario, estara bloqueado.
Utilizacin de IDSs
Ataque man-in-the-middle
Los agresores logran ubicarse entre dos hosts legtimos. Utilizacin de VPN para mitigar este tipo de ataques
Cisco Public
23
TIPOS DE ATAQUES
Ataques de DoS
Son la forma ms promocionada de ataques y tambin estn entre los ms difciles de eliminar.
Incluso dentro de la comunidad de hackers, los ataques de DoS son clasificados como triviales y se consideran de mal gusto, porque requieren muy poco esfuerzo para su ejecucin.
Saturacin SYNC
Utiliza el saludo de 3 vas utilizado por el protocolo TCP
Bombas de correo electrnico: los programas envan mensajes de correo electrnico masivo a personas, listas o dominios
Applets maliciosos: son los programas Java, JavaScript o ActiveX que destruyen o paralizan un recurso
Cisco Public
24
TIPOS DE ATAQUES
Ataques Ddos (Distribuido DoS)
Estn diseados para saturar los enlaces de la red con datos ilegtimos. Estos datos pueden sobrecargar un enlace de Internet y hacer que el trfico legtimo sea descartado.
Los ataques Smurf

Utilizan mensajes ping de broadcast suplantados para saturar un sistema objetivo.
Este tipo de ataques se los mitiga mediante ACLs Ataques de cdigo malicioso
Las principales vulnerabilidades de las estaciones de trabajo de los usuarios finales son los gusanos, virus y caballos de Troya.
Cisco Public
25
SEGURIDAD EN SERVIDORES Y HOST

Cambiar las contraseas y configuraciones por defecto
Manejar perfiles de acceso Desinstalar todo el software que no use o que sea innecesario Mantener actualizado el antivirus Activar un firewall personal en cada estacin o host Aplicar los parches de seguridad al sistema operativo de forma peridica, es recomendable nunca ir a la par del fabricante
Cisco Public
26
DETECCION Y PREVENCION DE INTRUSOS

Los sistemas de deteccin de intrusin (IDS) detectan ataques contra una red y envan registros a una consola de administracin. Los sistemas de prevencin de intrusin (IPS) impiden ataques contra la red y deben proporcionar los siguientes mecanismos activos de defensa adems de la deteccin:
Prevencin: impide la ejecucin del ataque detectado.
Reaccin: inmuniza el sistema contra ataques futuros de origen malicioso.
Cada tecnologa puede ser implementada a nivel de la red o a nivel del host, o a ambos niveles para brindar mxima proteccin.
Cisco Public
27
DETECCION Y PREVENCION DE INTRUSOS

Sistemas de deteccin de intrusin basada en hosts
La tecnologa pasiva, que fue la tecnologa de primera generacin, se denomina sistema de deteccin de intrusin basada en hosts (HIDS).
HIDS enva registros a una consola de administracin una vez que se produjo el ataque y se provoc el dao.
La tecnologa de lnea interna, denominada sistema de prevencin de intrusin basada en hosts (HIPS), realmente detiene el ataque, impide el dao y bloquea la propagacin de gusanos y virus.
La deteccin activa puede configurarse para apagar la conexin de la red o para detener los servicios afectados automticamente.
Cisco proporciona HIPS mediante el software del agente de seguridad de Cisco.
Se establece un servidor y un agente
Cisco Public
28
APLICACIONES Y DISPOSITIVOS DE SEGURIDAD
Control de amenazas: regula el acceso a la red, asla los sistemas infectados, previene intrusiones
Aplicaciones de seguridad adaptables ASA de la serie 5500 de Cisco Routers de servicios integrados (ISR)
Control de admisin a la red Agente de seguridad de Cisco para equipos de escritorio Sistemas de prevencin de intrusin de Cisco
Cisco Public
29

Comunicaciones seguras: asegura los extremos de la red con VPN.
Routers ISR Cisco con la solucin de VPN del IOS de Cisco, los dispositivos de la serie ASA 5500 de Cisco y los switches Catalyst 6500 de Cisco.
Control de admisin a la red (NAC): proporciona un mtodo basado en funciones que impide el acceso no autorizado a una red.
Cisco ofrece una aplicacin de NAC.
El Software IOS de Cisco de los Routers de servicios integrados (ISR) de Cisco

El software IOS de Cisco cuenta con el Firewall IOS de Cisco, IPsec, VPN de SSL y servicios de IPS.
Cisco Public
30

Aplicacin de seguridad adaptable ASA de la serie 5500 de Cisco
PIX evolucion hasta convertirse en una plataforma que integra muchas caractersticas de seguridad diferentes, denominada Aplicacin de seguridad adaptable (ASA) de Cisco. El ASA de Cisco cuenta con un firewall, seguridad de voz, VPN de SSL e IPsec, IPS y servicios de seguridad de contenidos en un solo dispositivo.
Sensores IPS de la serie 4200 de Cisco

En las redes ms grandes, los sensores IPS de la serie 4200 de Cisco proporcionan un sistema de prevencin de intrusiones de lnea interna.
Este sensor identifica, clasifica y detiene el trfico malicioso de la red.
Cisco Public
31

Aplicacin de NAC de Cisco
La aplicacin de NAC de Cisco utiliza la infraestructura de la red para hacer cumplir la poltica de seguridad respecto de todos los dispositivos que intentan obtener acceso a los recursos informticos de la red.
Agente de seguridad de Cisco (CSA)

El software del Agente de seguridad de Cisco ofrece capacidades de proteccin contra amenazas para sistemas informticos de servidor, escritorio y punto de servicio (POS).
Cisco Public
32
RUEDA DE LA SEGURIDAD
Una poltica debe cubrir

Identificar los objetivos de seguridad de la organizacin. Documentar los recursos que se deben proteger.
Identificar la infraestructura de la red con mapas e inventarios actuales.
Identificar los recursos crticos que deben protegerse (investigacin y desarrollo, financieros y humanos). Esto se denomina anlisis de riesgo.
Cisco Public
33
POLITICA DE SEGURIDAD
"Una poltica de seguridad es una declaracin formal de las reglas a las cuales se debe adherir el personal que tiene acceso a los bienes tecnolgicos y de informacin de una organizacin".
Proporciona un medio para auditar la seguridad actual de la red y compara los requisitos con lo que se encuentra instalado.
Planifica mejoras de seguridad, incluidos equipos, software y procedimientos.

Define las funciones y las responsabilidades de los ejecutivos, administradores y usuarios de la empresa. Define qu comportamientos estn permitidos y cules no. Define un proceso para manejar los incidentes de seguridad de la red.
Permite la implementacin y el cumplimiento de la seguridad global al funcionar como norma entre los sitios.
Crea una base para fundar acciones legales, en caso de ser necesario.
Cisco Public
34
FUNCIONES DE LA POLITICA DE SEGURIDAD

Proteger a las personas y a la informacin Establecer la normas de comportamiento esperadas de los usuarios, de los administradores del sistema, de la direccin y del personal de seguridad
Autorizar al personal de seguridad a monitorear, sondear e investigar Definir y autorizar las consecuencias de las violaciones
Cisco Public
35
COMPONENTES DE LA POLITICA DE SEGURIDAD
Cisco Public
36
FUNCIONES DEL ROUTER EN LA SEGURIDAD DE UNA RED

Los routers cumplen las siguientes funciones:
Publicar las redes y filtrar a quienes pueden utilizarlas. Proporcionar acceso a los segmentos de las redes y a las subredes.
Cisco Public
37
PROTECCION DE LA RED: ROUTERS

Seguridad fsica Actualizacin del IOS de los routers cuando sea conveniente Copia de seguridad de la configuracin y del IOS de los routers Aseguramiento del router para eliminar el abuso potencial de los puertos y servicios no utilizados
Cisco Public
38

R1(config)# username Student password cisco123
R1(config)# do show run | include username username Student password 0 cisco123 R1(config)#
El 0 que aparece en la configuracin en ejecucin indica que la contrasea no est oculta.
Manejo de la encriptacin de las contraseas

Encriptacin simple, que se denomina esquema de tipo 7.
Oculta la contrasea mediante el uso de un algoritmo de encriptacin simple.

Se aplica al utilizar el comando service password-encryption
Puede ser utilizada por los comandos enable password, username y line password, incluidos vty, line console y aux port. Encriptacin compleja, que se denomina esquema de tipo 5. Utiliza un hash MD5 ms seguro.
Configuracin manual a cada contrasea
Cisco Public
39

La encriptacin MD5 es un mtodo de encriptacin fuerte.
Se configura reemplazando la palabra clave password por secret.
R1(config)# username Student secret cisco R1(config)# do show run | include username username Student secret 5 $1$z245$lVSTJzuYgdQDJiacwP2Tv/ PAP y CHAP requieren contraseas en texto sin cifrar y no pueden utilizar contraseas encriptadas MD5.
El IOS Versin 12.3(1) y posteriores permite que los administradores definan la longitud mnima en caracteres de todas las contraseas de los routers utilizando el comando de configuracin global security passwords min-length
No afecta a las contraseas existentes
Cisco Public
40
PROTECCION A LA ADMINISTRACION
Las conexiones se pueden evitar por completo en cualquier lnea mediante la configuracin del router con los comandos login y no password.
Configurar para aceptar conexiones slo con los protocolos realmente necesarios. Comando transport input. UTILIZAR ACLS PARA MAYOR PROTECCION
Cisco Public
41
PROTECCION A LA ADMINISTRACION
Configurar los tiempos de espera de los VTY mediante el comando exec-timeout.
Verificacin de los mensajes de actividad de TCP en las conexiones entrantes mediante el comando service tcpkeepalives-in
Un problema que puede presentarse es cuando se establecen conexiones al router, pero despus de establecida la conexin, el usuario remoto corta su sesin inesperadamente, pero mantiene la conexin en lnea.
Esto puede ser usado por usuarios malintencionados para aduearse de la conexin.
service tcp-keepalives-in, ocasiona el corte inmediato de las sesiones que no responden.
Cisco Public
42
SSH
Utiliza el puerto TCP 22 No todas las imgenes del IOS admiten SSH.
Los ID de imagen de los nombres van con las letras k8 o k9
Pueden utilizar una base de datos local o remota, mediante un servidor AAA (TACAS o RADIUS)
Los equipos CISCO pueden actuar como cliente o como servidor
Cisco Public
43
SSH: CONFIGURACION
Cisco Public
44
SSH: CONFIGURACION
Cisco Public
45
ACTIVIDAD DE REGISTRO EN ROUTERS

Los routers admiten distintos niveles de registro.
Ocho niveles van desde 0, emergencias que indican que el sistema es inestable, hasta 7 para depurar mensajes que incluyen toda la informacin del router.
Un servidor de syslog es Kiwi Syslog Daemon.
La configuracin del registro (syslog) en el router se debe realizar con cuidado.
Enve los registros del router a un host de registro designado

Cisco Public
46
MANEJO DE LOS LOGs

Asignar un espacio de memoria en el router para almacenar y posterior anlisis
(config)# logging buffered 16000 (16000 es el tamao de la menoria)
Enviar los logs a un dispositivo que alberga un administrador de logs; en este caso Syslogd [13] en sistemas Linux y WSyslogD en sistemas WinNT.
(config)# logging 192.168.10.26 (config)# logging 192.168.10.28
(config)# logging trap 7
Establece la clase de logs que se quieren registrar, en este caso 7 (debugging).
Cisco Public
47
MANEJO DE LOS LOGs

Nivel 0
1
Nombre de Nivel Emergencias

Alerta
Descripcin Enrutador no funciona

Accin necesaria Inmediata
2
3
Critico
Errores
Condicin crtica
Condicin de error
4
5
Advertencias
Notificaciones
Condicin de advertencia
Eventos normales
6
7
Informacional
Debugging
Mensaje de informacin
Mensaje de debugging
Cisco Public
48
SERVICIOS VULNERABLES DE UN ROUTER
Servidores pequeos son demonios que se ejecutan en el router y sirven principalmente para diagnstico
Cisco Public
49
Cisco Public
50
Cisco Public
51

Servicios a desactivarse en los routers
Los servicios pequeos tales como echo, discard y chargen: use el comando no service tcp-small-servers o no service udp-small-servers. Demonios que corren en el router para diagnstico BOOTP: use el comando no ip bootp server.
Finger: use el comando no service finger.

HTTP: use el comando no ip http server. SNMP: use el comando no snmp-server.
Cisco Public
52

Protocolo de descubrimiento de Cisco (CDP): use el comando no cdp run. Configuracin remota: use el comando no service config. %Error opening tftp://255.255.255.255/network-confg (Timed out) %Error opening tftp://255.255.255.255/cisconet.cfg (Timed out) %Error opening tftp://255.255.255.255/router-confg (Timed out) %Error opening tftp://255.255.255.255/ciscortr.cfg (Timed out)
Enrutamiento de origen: use el comando no ip source-route.

Restricciones sobre los paquetes que pueden especificar rutas definidas de envo, controladas por opciones de enrutamiento contenidas en los datagramas. Enrutamiento sin clase: use el comando no ip classless. Comportamiento del enrutamiento sin clase
Cisco Public
53

Las interfaces del router pueden ser ms seguras si se utilizan determinados comandos en el modo de configuracin de interfaz: Interfaces no utilizadas: use el comando shutdown. Prevencin de ataques SMURF: use el comando no ip directedbroadcast.
Ataque de denegacin de servicio que utiliza mensajes de ping al broadcast con spoofing para inundar (flood) un objetivo (sistema atacado).
Enrutamiento ad hoc: use el comando no ip proxy-arp.
Cisco Public
54
VULNERABILIDADES DE SNMP, NTP Y DNS

SNMP
SNMP es el protocolo de Internet estndar del monitoreo
Las versiones de SNMP anteriores a la versin 3 transportan informacin en forma de texto sin cifrar.
NTP
Los routers Cisco y otros hosts utilizan NTP para mantener sus relojes con la hora del da exacta..
Desactivar NTP en una interfaz no impide que los mensajes de NTP viajen a travs del router. Para rechazar todos los mensajes de NTP en una interfaz determinada, use una lista de acceso.
DNS
El software IOS de Cisco admite la bsqueda de nombres de hosts con el Sistema de nombres de dominios (DNS).
DNS bsico no ofrece autenticacin ni aseguramiento de la integridad. De manera predeterminada, las consultas de nombres se envan a la direccin de broadcast 255.255.255.255.
ip name-server addresses permite definir manualmente los DNSs.

Cisco Public
55
PROTOCOLOS DE ENRUTAMIENTO
En los proceso de enrutamiento es conveniente asegurar la integridad de las tablas de enrutamiento

Utilizacin de las opciones de seguridad de los protocolos de enrutamiento RIPv2, EIGRP, OSPF, IS-IS y BGP, todos ellos admiten diversas formas de autenticacin MD5.
Cisco Public
56
RIP V2 CON OPCIONES DE SEGURIDAD
Paso 1. Impida la propagacin de actualizaciones de enrutamiento RIP

Forzar todas las interfaces del router a pasar al modo pasivo y, a continuacin, activar slo aquellas interfaces que son necesarias para enviar y recibir actualizaciones RIP. Una interfaz en modo pasivo recibe actualizaciones pero no las enva
Paso 2. Impida la recepcin de actualizaciones RIP no autorizadas

Activar la autenticacin MD5 en los routers
Paso 3. Verifique el funcionamiento del enrutamiento RIP

Cisco Public
57
passive-interface default
Desactiva las publicaciones de enrutamiento en los routers en todas las interfaces.
no passive-interface s0/0/0
Activa la interfaz S0/0/0 para enviar y recibir actualizaciones RIP.
Cisco Public
58
key chain RIP_KEY

crear una cadena de claves
key 1
Se puede considerar varias claves, pero en este caso se toma 1.
key-string cisco
La clave 1 est configurada para contener una cadena de claves denominada cisco
Cisco Public
59
Mostrar la tabla de enrutamiento del router, para verificar si hay rutas aprendidas por RIP
Cisco Public
60
EIGRP
Crear una cadena de claves para ser utilizada por todos los routers de la red.
Nmero de clave 1 y Un valor de cadena de claves de cisco.
Activar la autenticacin MD5 de los paquetes de EIGRP que viajan a travs de una interfaz.
Cisco Public
61
OSPF
El primer comando especifica la clave que se utilizar para la autenticacin MD5.
El comando siguiente activa la autenticacin MD5.
Cisco Public
62
AUTO SECURE CISCO

AutoSecure de Cisco utiliza un nico comando para desactivar procesos y servicios no esenciales del sistema y elimina amenazas de seguridad potenciales.
Modo interactivo: este modo le indica opciones para activar y desactivar servicios y otras caractersticas de seguridad. Es el modo predeterminado. Modo no interactivo: ejecuta automticamente el comando auto secure con la configuracin predeterminada recomendada de Cisco.
Utiliza la opcin del comando no-interact.
Cisco Public
63
SDM
Herramienta de administracin de dispositivos en Web, diseada para configurar LAN, WAN y las caractersticas de seguridad en routers con IOS de Cisco. Preinstalado en todos los routers nuevos de servicios integrados de Cisco. SDM se pueden instalar en routers, PC o en ambos.
PC ahorra memoria del router y le permite utilizar el SDM para administrar otros routers de la red. Si se encuentra preinstalado en el router, Cisco recomienda utilizar SDM para realizar la configuracin inicial.
Cisco Public
64
CARACTERISTICAS DE SDM
Simplifica la configuracin de routers y la seguridad mediante el uso de varios asistentes inteligentes

VPN Firewall
Los asistentes inteligentes del SDM, pueden detectar configuraciones incorrectas y proponen modificaciones
Trfico DHCP a travs de un firewall.
Cisco Public
65
CONFIGURACION DE UN ROUTER PARA QUE SEA COMPATIBLE CON SDM
Cisco Public
66
INICIO DEL SDM DE CISCO
El SDM de Cisco se almacena en la memoria flash del router, o tambin en una PC local.
Se utiliza el protocolo HTTPS y en el URL se coloca la direccin IP del router. El prefijo http:// puede ser utilizado si no hay SSL disponible.
Cisco Public
67
INICIO DEL SDM DE CISCO
Para el cuadro de dilogo de nombre de usuario y contrasea

Nombre de usuario y contrasea para la cuenta privilegiada (nivel de privilegio 15) en el router Creada mediante el comando username.
Una vez que aparece la pgina de inicio, se muestra un applet Java con signo del SDM que debe permanecer abierto mientras se ejecuta.
Dado que se trata de un applet Java, es posible que se solicite aceptar un certificado.
Los pasos de la secuencia de inicio de sesin pueden variar segn si ejecuta SDM desde una PC o, directamente, desde un router ISR de Cisco.
Cisco Public
68
INTERFAZ DEL SDM: pgina de inicio
Cisco Public
69
INTERFAZ DEL SDM: pgina de inicio
Muestra el modelo del router, cantidad total de memoria, las versiones de flash, IOS y SDM, el hardware instalado y un resumen de algunas caractersticas de seguridad, como estado del firewall y la cantidad de conexiones de VPN activas.
Informacin bsica sobre el hardware, software y la configuracin del router:

Barra de men: parte superior de la pantalla tiene una barra de men tpica con los elementos de men Archivo, Edicin, Ver, Herramientas y Ayuda.
Barra de herramientas: debajo de la barra de men, estn los asistentes y modos de SDM que se pueden seleccionar. Informacin del router: el modo actual se muestra del lado izquierdo, debajo de la barra de herramientas.
Cisco Public
70
SDM: AREA CERCA DEL ROUTER
La barra Disponibilidad de caractersticas (parte inferior de la ficha Acerca del router) muestra las caractersticas disponibles en la imagen del IOS del router.
Las marcas de verificacin indican que la caracterstica est configurada en el router.
Cisco Public
71
SDM: AREA DE DESCRIPCION GENERAL DE LA CONFIGURACION
Las pestaas ms importantes

Polticas del firewall: esta rea muestra informacin relativa al firewall: cantidad de interfaces confiables (internas), interfaces no confiables (externas) e interfaces de la DMZ.
Tambin muestra el nombre de la interfaz a la cual se ha aplicado un firewall, si la interfaz est diseada como interfaz interna o externa y si la regla de NAT se ha aplicado a esta interfaz.
VPN: muestra informacin de las VPN, incluidas la cantidad de conexiones VPN activas, la cantidad de conexiones VPN configuradas sitio a sitio y la cantidad de clientes VPN activos.
Enrutamiento: esta rea muestra la cantidad de rutas estticas, y qu protocolos de enrutamiento estn configurados. 2007 Cisco Systems, Inc. All rights reserved. Cisco Public
72
SDM: ASISTENTE
Cisco Public
73
BLOQUEO DE UN ROUTER CON SDM
SELECCIONE CONFIGURAR
SELECCIONE AUDITORIA DE SEGURIDAD
Las caractersticas de AutoSecure que se encuentran implementadas de manera diferente en SDM incluyen:
Desactiva SNMP y no configura la versin 3 de SNMP.
Activa y configura SSH en las imgenes encriptadas del IOS de Cisco.
No activa el Punto de control de servicio ni desactiva otros servicios de acceso y transferencia de 2007 Cisco Systems, Inc. All rights reserved. Cisco Public archivos, como el FTP.
74
SELECCIONE SI EN EL CUADRO
HAGA CLIC EN BLOQUEO DE UN PASO
Cisco Public
75
SDM REVISA LA CONFIGURACION ACTUAL Y COMPARA CON PRACTICAS DE SEGURIDAD MAS CONOCIDAS SDM MUESTRA UNA LISTA DE CONFIGURACIONES RECOMENDADAS
Cisco Public
76
LOS COMANDOS SE ENVIAN AL ROUTER
Cisco Public
77
MANTENIMIENTO DE LAS IMGENES DEL IOS

No siempre resulta conveniente actualizar a la ltima versin del software IOS de Cisco. Muchas veces esa versin no es estable
Herramientas informativa no conexin Cisco.com
Gua de referencia del IOS de Cisco: cubre los aspectos bsicos de la familia del software IOS de Cisco
Documentos tcnicos del software IOS de Cisco: documentacin de cada una de las versiones del software IOS de Cisco Centro de Software: descargas del software IOS de Cisco
Cisco Public
78
MANTENIMIENTO DE LAS IMGENES DEL IOS

Herramientas que requieren cuentas validas en cisco.com
Juego de herramientas para reparar defectos: busca modificaciones de software conocidas basadas en la versin de software. Feature Navigator de Cisco: busca las versiones compatibles con un conjunto de caractersticas de software y con el hardware, y compara las versiones Software Advisor: compara las versiones, caractersticas del IOS y averigua qu versin del software es compatible con un determinado dispositivo de hardware
Planificador de actualizaciones del IOS de Cisco: busca las versiones por hardware, versin y conjunto de caractersticas, y descarga las imgenes del IOS.
Cisco Public
79
SISTEMAS DE ARCHIVOS
El IOS cuentan con una caracterstica denominada Sistema de archivos integrados (IFS).
Permite crear, navegar y manipular directorios en un dispositivo Cisco. Los directorios disponibles dependen de la plataforma.
show file systems

Enumera todos los sistemas de archivos disponibles en un router. Cantidad de memoria disponible, tipo de sistema de archivos y sus permisos.
Slo lectura (ro), slo escritura (wo) y lectura y escritura (rw)

Cisco Public
80
show file systems

Hay varios sistemas de archivos enumerados, los de inters son: tftp, flash y nvram.
El sistema de archivos flash tiene un asterisco que indica el sistema de archivos predeterminado.
El IOS arranca desde la flash; por lo tanto, el smbolo numeral (#) agregado al listado de flash indica que se trata de un disco de arranque.
Cisco Public
81
Las imgenes tienen la extensin .bin
Cisco Public
82
El archivo de inters es el que almacena la configuracin de arranque
Cisco Public
83
PREFIJOS
Cisco Public
84
ADMINISTRACION DE ARCHIVOS
R2# copy running-config startup-config

copy system:running-config nvram:startup-config
R2# copy running-config tftp:

R2# copy system:running-config tftp:
R2# copy tftp: running-config

R2# copy tftp: system:running-config
R2# copy tftp: startup-config

R2# copy tftp: nvram:startup-config
Cisco Public
85
NOMENCLATURA DEL IOS
Conjuntos de caractersticas (ipbase) i: conjunto de caractersticas IP j : conjunto de caractersticas empresariales (todos los protocolos)
s: conjunto de caractersticas PLUS (ms colas, manipulacin o traducciones) 56i: designa la encriptacin DES de IPsec de 56 bits 3: designa el firewall/IDS
k2: designa la encriptacin 3DES de IPsec (168 bits)

Cisco Public
86
TFTP PARA ADMINISTRAR LAS IMAGENES
Cisco Public
87
COPIAS DE SEGURIDAD
Cisco Public
88
ACTUALIZACIONES DE LAS IMAGENES
Erase flash: . Borrar la memoria flash deja espacio para la nueva imagen
Cisco Public
89
RESTAURACION DE LA IMAGEN
Cisco Public
90
RESTAURACION DE LA IMAGEN
Cisco Public
91
USO DE XMODEM
xmodem [-cyr] [nombre de archivo].

-c especifica CRC-16, y especifica el protocolo Ymodem y r copia la imagen a la memoria RAM.
Cisco Public
92
COMANDOS PARA LA RESOLUCION DE PROBLEMAS
Cisco Public
93
COMANDOS RELACIONADOS CON DEBUG
Cisco Public
94
RECUPERACION DE CONTRASEAS
Cisco Public
95

Chapter 4

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Chapter 4

Cargado por

Copyright:

Formatos disponibles

SEGURIDAD DE LA RED

REDES DE AREA AMPLIADA

ITE PC v4.0 Chapter 1

2007 Cisco Systems, Inc. All rights reserved.

ITE PC v4.0 Chapter 1

2007 Cisco Systems, Inc. All rights reserved.

ITE PC v4.0 Chapter 1

2007 Cisco Systems, Inc. All rights reserved.

SEGURIDAD: FASES DE UN ATAQUE

2007 Cisco Systems, Inc. All rights reserved.

TIPOS DE DELITOS INFORMATICOS

Suplantacin de identidad (pishing)

Denegacin de servicio Acceso no autorizado a la informacin

Abuso de la red inalmbrica

2007 Cisco Systems, Inc. All rights reserved.

REDES ABIERTAS - CERRADAS

ITE PC v4.0 Chapter 1

2007 Cisco Systems, Inc. All rights reserved.

DESARROLLO DE UNA POLITICA DE SEGURIDAD

ITE PC v4.0 Chapter 1

2007 Cisco Systems, Inc. All rights reserved.

DESARROLLO DE UNA POLITICA DE SEGURIDAD

Seguridad de los recursos humanos Seguridad fsica y ambiental

Administracin de incidentes de seguridad de la informacin Administracin para la continuidad de la empresa

2007 Cisco Systems, Inc. All rights reserved.

ITE PC v4.0 Chapter 1

2007 Cisco Systems, Inc. All rights reserved.

ITE PC v4.0 Chapter 1

2007 Cisco Systems, Inc. All rights reserved.

ITE PC v4.0 Chapter 1

2007 Cisco Systems, Inc. All rights reserved.

AMENAZAS A LA INFRAESTRUCTURA FISICA

2007 Cisco Systems, Inc. All rights reserved.

AMENAZAS A LA INFRAESTRUCTURA FISICA: MITIGACION

ITE PC v4.0 Chapter 1

2007 Cisco Systems, Inc. All rights reserved.

AMENAZAS A LA INFRAESTRUCTURA FISICA: MITIGACION

ITE PC v4.0 Chapter 1

2007 Cisco Systems, Inc. All rights reserved.

AMENAZAS A LA INFRAESTRUCTURA FISICA: MITIGACION

ITE PC v4.0 Chapter 1

2007 Cisco Systems, Inc. All rights reserved.

AMENAZAS A LA INFRAESTRUCTURA FISICA: MITIGACION

ITE PC v4.0 Chapter 1

2007 Cisco Systems, Inc. All rights reserved.

AMENAZAS A LAS REDES

ITE PC v4.0 Chapter 1

2007 Cisco Systems, Inc. All rights reserved.

ITE PC v4.0 Chapter 1

2007 Cisco Systems, Inc. All rights reserved.

Virus, gusanos y caballos de Troya

2007 Cisco Systems, Inc. All rights reserved.

Programas detectores de paquetes

ITE PC v4.0 Chapter 1

2007 Cisco Systems, Inc. All rights reserved.

ITE PC v4.0 Chapter 1

2007 Cisco Systems, Inc. All rights reserved.

Ataques a las contraseas

ITE PC v4.0 Chapter 1

ITE PC v4.0 Chapter 1

2007 Cisco Systems, Inc. All rights reserved.

2007 Cisco Systems, Inc. All rights reserved.

Los ataques Smurf

ITE PC v4.0 Chapter 1