Prof.

Sergio Quesada

Config.
Dispositivos
de Red

IN TR O D U C C I N A LA
S EG U R ID A D EN
R ED ES Y

Introduccin Seguridad
No se debe iniciar hablando sobre

seguridad en las redes sin antes

comenzar con temas como:
Hablar sobre las 3A AAA
Desarrollar procedimientos o normas de

seguridad
Establecer niveles de seguridad para
acceder a los routers (configuracin)
Comentar sobre los dispositivos de
seguridad

Las 3 A
Bsicamente las 3 A son

componentes bsicos de seguridad,

entre los que se define:
Autenticacin
Autorizacin
Auditora o Contabilidad

Autenticacin
En esta etapa se identifica quien

solicita los servicios de red. Por lo

general se solicita un usuario y
contrasea que un servidor
autentica, por ejemplo Active Directory.
Actualmente se utilizan claves
dinmicas o de un solo uso como un
PIN.

Autenticacin
El proceso general de autenticacin

consta de los siguientes pasos:

El usuario solicita acceso a un sistema.
El sistema solicita al usuario que se

autentique.
El usuario aporta las credenciales que le
identifican y permiten verificar la
autenticidad de la identificacin.
El sistema valida segn sus reglas si las
credenciales aportadas son suficientes para
dar acceso al usuario o no.

Autorizacin
En la etapa anterior, la autenticacin

controla quien puede acceder a los

recursos de red, pero la autorizacin
dice lo que pueden hacer cuando
acceden los recursos.
La autorizacin varia de usuario a
usuario dependiendo de los derechos
que requiera el solicitante.

Auditora
Se requiere procedimientos que

recopilen los datos de la actividad de

la red. Esto responde a los incidentes
que pueden suceder en una red.
Normalmente se debe incluir los
intentos de autenticacin y
autorizacin, conocidos como pistas
de auditora.

Elcifrado de los D atos

Es un proceso que mezcla los datos

para protegerlos de su lectura por

alguien que no sea el receptor
esperado.
Se utilizan dispositivos que cifran los
datos como un router, un servidor o
sistema dedicado para cifrar o
descrifrar.
Es una opcin de seguridad muy til,
proporciona confidencialidad de los

N iveles de seguridad en un
Router
Establecer contraseas en los

diferentes modos de acceso (modo

privilegiado, consola, terminal virtual
o telnet)

Seguridad en elRouter
Para establecer autenticacin a nivel

del router, se debe pensar primero

en establecer una contrasea para el
modo de conexin de consola.
Cada dispositivo debe tener
contraseas configuradas a nivel
local para limitar el acceso.

Seguridad M odo Consola

Se establece una contrasea para limitar el

acceso de los dispositivos mediante

conexin de consola. Con esto se asegura
que nadie se conecte el puerto de consola
sino es mediante el pedido de una
contrasea.
Los comandos son:
Router(config)#line console 0
Router (config-line)#password Contrasea
Router (config-line)#login

N ivelde Seguridad -Consola

Al igual que el router, un switch se
configura de manera similar.

N ivelde Seguridad -EXEC

Para proporcionar una mayor

seguridad, utilice el comando enable

password o el comando enable
secret. Puede usarse cualquiera de
estos comandos para establecer la
autenticacin antes de acceder al
modo EXEC privilegiado (enable).
Se recomienda el segundo comando
(la contrasea se encripta).

N ivelde Seguridad -EXEC

Nota: El comando enable password puede usarse slo si enable secret

no se ha configurado an o si no lo soporta el IOS.

N ivelde Seguridad - VTY

Las lneas vty permiten el acceso a

un router a travs de Telnet. En

forma predeterminada, muchos
dispositivos Cisco admiten cinco
lneas VTY con numeracin del 0 al 4.
Es necesario configurar una
contrasea para todas las lneas vty
disponibles

N ivelde Seguridad - VTY

Se recomienda establecer por medio

del comando exec-timeout 5, que al

cabo de 5 minutos de abandono por
parte del usuario, la comunicacin
sea interrumpida, con esto se
previene que usuarios no autorizados
ingresen a travs de sesiones
abandonadas.

Am enazas a la seguridad
Hoy en da existen muchos

mecanismos para saltar esas

barreras que usualmente los
administradores de red colocan en
sus redes.
Actualmente se pueden crackear las
contraseas almacenadas nivel 7 de
Cisco, por lo tanto se recomienda
usar enable secret password
Se recomienda el nivel de password

Am enazas a la Seguridad
El comando para encriptar una contrasea

utilizando el nivel de encripcin 5 es:

enable secret [level level] {password |
[encryption-type] encrypted-password}

Al ejecutar el comando show-run vemos

que la contrasea ha sido encriptada.

enable secrect level 5 5
$1$mER$hx5rVt7rPNoS4wqbXKX7mo

Activacin delServicio de Encripcin

Las contraseas mediante el uso del

comando enable password quedan en

texto plano, y sin cifrar.
El comando service passwordencryption aplica una encriptacin dbil
a todas las contraseas no encriptadas.
El propsito de este comando es evitar
que individuos no autorizados vean las
contraseas en el archivo de
configuracin.

M ensajes de Aviso
Aunque la solicitud de contraseas

es un modo de impedir el acceso a la

red de personas no autorizadas,
resulta vital proveer un mtodo para
informar que slo el personal
autorizado debe intentar obtener
acceso al dispositivo.
El contenido o las palabras exactas
de un aviso dependen de las leyes
locales y de las polticas de la

M ensajes de Aviso

Am enazas a la Seguridad

Am enazas a la Seguridad
Pginas como esas y muchas otras

indican cmo se descifra una

contrasea nivel 7.
Existen password decoders que
utilizan fuerza bruta que descifran
las contraseas en minutos,
das,
52 Cantidad
96 - Todos
26 - Letras
36 - Letras
Maysculas
meses Minsculas
y hastay Dgitos
aos. y
de
los
Caracteres

Minsculas

Caracteres

51 minutos

6 horas

2,3 das

3 meses

22,3 horas

9 das

4 meses

24 aos

24 das

10,5 meses

17 aos

2.288 aos

21 meses

32,6 aos

890 aos

219.601
aos

10

54 aos

1.160 aos

45.840 aos

21.081.705

Recom endaciones sobre

Contraseas
Longitud mnima (>= 8 caracteres).
Mezcla de diferentes caracteres

(Aa123&*/)
No usar palabras del diccionario.
No usar datos personales.
Cambiar la contrasea con
frecuencia (Aging Password).

G enerador de Contraseas
til para contraseas de Windows,

dispositivos inalmbricos, email, etc.

D iccionario de contraseas

Ataques de fuerza bruta

Con la utilizacin de diccionarios de

contraseas, se utilizan programas

como Medusa, ytr, Hydra para
realizar ataques.

Am enazas a la Seguridad
No es una constante, pero Cisco

advierte de vulnerabilidades en su
IOS cada cierto tiempo. Entre las
vulnerabilidades se puede presentar
denegacin de servicio u obtener
informacin de la red atacada, entre
otras.
Actualmente existen 453 avisos de
problemas de seguridad con
dispositivos Cisco que requieren una

Am enazas a la Seguridad
Existen varios tipos de ataques, los

cuales pueden dejar expuesta

nuestra red y los datos de nuestra
empresa.
Los ms comunes son:
Ataques DoS contra el cortafuegos
Ataques de negacin de servicio.
Inundacin SYN, ICMP, UDP

Proteccin y Seguridad
Exiten muchos servicios habilitados por

defecto en los routers Cisco, muchos de ellos

innecesarios, por lo que se recomienda
deshabilitarlos, entre los cuales se
encuentran:
1. Deshabilitar interfaces del router (shutdown)
2. Servicio CDP, utilizado para cargar ciertos

ataques.
3. Servicio Gratuitous ARP, utilizado para ataques de
envenenamiento ARP.
4. Y muchos mas.

D ispositivos de Seguridad
Existen muchos dispositivos para

proteger la red de ataques como lo

son:
Firewalls (Software y Hardware)
IDS o Sistemas de Deteccin de Intrusos
IPS o Sistemas de Prevencion de Intrusos
Antivirus (spyware, antimalware,

troyanos)
Smartcards
PIX, ASA

M itigacin en AAA
Al utilizar el modelo de seguridad

con las AAA, es recomendable

utilizar mecanismos seguros como
RADIUS y TACACS+.
Para RADIUS existe software IAS de
Microsoft o NPS de Win2k8.
TACACS o TACACS+, es una solucin
propietaria (protocolo) de Cisco para
la autenticacin.

ACS de Cisco

Autenticacin en enrutam iento

RIPv2, EIGRP, OSPF, y otros pueden

configurarse para encriptar y

autenticar su informacin de
enrutamiento.
Esto garantiza que los routers slo
aceptarn informacin de
enrutamiento de otros routers que
estn configurados con la misma
contrasea o informacin de
autenticacin.

Autenticacin en O SPF
OSPF puede configurarse para

autenticacin en el modo de interfaz

por medio del comando:
Router(config-if)#ip ospf authentication-key contrasea

Las interfaces OSPF de un router

pueden presentar una clave de

autenticacin distinta, que funcione
como una contrasea entre los
routers OSPF de la misma rea.

M ecanism os de D efensa
Actualmente existen muchos

mecanismos de defensa en el tema

de seguridad informtica.
A continuacin se muestra la

utilizacin de mecanismos de
seguridad analizadas en 3 aos en
pases como Mexico, Argentina, Per,
Colombia, Venezuela, Paraguay.

U tilizacin de m ecanism os de
seguridad en las em presas