Asegurando equipos de

red

Estrategia de reforzamiento de equipos

El reforzamiento de equipos es una ciencia inexacta.
Es el cambio de la postura por defecto de un sistema para volverlo ms

seguro
Va desde la deshabilitacin de servicios no necesarios hasta el apagado

de puertos en un equipo de red

Debe hacerse de forma regular segn los niveles de seguridad y requerimientos

de funcionalidad del equipo

Las condiciones a emplear
Polticas de seguridad
Ubicacin del equipo
Perfil de amenazas
Requerimientos funcionales
Requerimientos de administracin

Estrategia de reforzamiento de equipos

Polticas de seguridad
Establece la combinacin de requerimientos de reforzamiento que se

tienen
Ubicacin del equipo
Determina los requerimientos de reforzamiento de un equipo en

particular, la ubicacin especfica de un equipo puede determinar la

configuracin que tendr
Perfil de amenazas
Define cmo se puede atacar un equipo, define algunas estrategia en

funcin a la ubicacin del equipo

Estrategia de reforzamiento de equipos

Requerimientos funcionales
El mismo tipo de equipo, con el mismo perfil de amenazas, en la

misma pate de la red podr tener requerimientos de reforzamiento

diferentes, en funcin a sus requerimientos funcionales
Requerimientos de administracin
Sistemas diferentes con funciones similares pueden tener

requerimientos de administracin diferentes

Equipos de red
Incluye entre otros:
Routers
Switches
Firewalls
NIDS

Muchos de las caractersticas de cada equipos son similares, por

lo que tambin los aspectos de reforzamiento son similares

Reforzando la poltica de seguridad

perimetral

reas de Seguridad de un enrutador

Seguridad fsica
Asegurar la infraestructura del equipamiento en recintos
cerrados que:
Sean accesibles nicamente a personal autorizado.
Estn libres de interferencia electroesttica o magntica.
Tengan supresin de fuego.

Tengan controles de temperatura y humedad.

Instalar sistemas de alimentacin ininterrumpida

(UPS/SAI)
Mantener componentes de repuesto disponibles para
reducir la posibilidad de un ataque DoS debido a fallas
elctricas en el edificio.

reas de Seguridad de un enrutador

Seguridad del Sistema Operativo
Configurar los enrutadores con la mayor cantidad de
memoria posible.
Esto ayuda a protegerlo de algunos ataques DoS.

Utilizar la ltima versin estable del Sistema Operativo

que cumpla con los requerimientos de la red.

Mantener una copia de seguridad de las imgenes de los
sistemas operativos de los enrutadores y su configuracin.

reas de Seguridad de un enrutador

Reforzar el enrutador
Reforzar el control administrativo para asegurar que slo personal
autorizado tenga acceso a los equipos y que sus niveles de acceso
sean controlados.
Deshabilitar los puertos e interfaces no utilizados para reducir las
formas en que se pueda acceder al equipo.
Deshabilitar los servicios no necesarios que puedan ser utilizados por
los atacantes para obtener informacin o para explotar el sistema.

Acceso Administrativo Seguro

Restringir la accesibilidad al equipo

Limitar los puertos accesibles, restringir las

comunicaciones permitidas, y restringir los mtodos de

acceso permitidos.
Registrar y contabilizar todos los accesos
Para propsitos de auditora, se debe registrar a todo

aquel que acceda a un equipo, incluyendo lo que hizo y

cundo.
Autenticar los accesos
Asegurar que los accesos sean permitidos slo a

usuarios, grupos y servicios autenticados.

Limitar el nmero de intentos fallidos de inicio de sesin
(login) y el tiempo entre inicios de sesin.

Acceso Administrativo Seguro

Acciones autorizadas

Restringir las acciones y vistas permitidas por cualquier

usuario, grupo o servicio particular.

Presentar notificaciones legales
Mostrar algn aviso legal, desarrollado en conjunto con la

parte legal de la empresa para las sesiones interactivas.

Asegurar la confidencialidad de los datos
Proteger contra copias y vistas los datos sensibles

almacenados localmente.
Considerar la vulnerabilidad de los datos en trnsito sobre
canales de comunicacin a sniffing, session hijacking, y
ataques man-in-the-middle (MITM).

Proteccin de Contraseas

Utilice contraseas con una longitud de 10 o ms caracteres.

Use contraseas complejas combinando letras minsculas y

maysculas, nmeros, smbolos y espacios.

Evite contraseas basadas en repeticiones, palabras de diccionario,

secuencias de letras o nmeros, nombres de usuario, nombres de

parientes o mascotas, informacin biogrfica como cumpleaos,
nmeros de identificacin, nombres de ancestros, o cualquier otra pieza
de informacin fcilmente identificable.
Deliberadamente escriba contraseas con errores ortogrficos.
Por ejemplo, Smith = Smyth = 5mYth o Seguridad = 5egurydat.
Cambie las contraseas a menudo para reducir le ventana de

oportunidad de uso de la misma por un atacante.

No escriba las contraseas en lugares obvios como el escritorio o el

monitor.

Contraseas en un enrutador
Para obtener las contraseas, los atacantes:
Observan sobre el hombro.
Adivinan las contraseas basndose en la informacin
personal del usuario.
Capturan paquetes TFTP que contengan archivos de
configuracin en texto plano.
Utilizan herramientas tales como L0phtCrack o Cain &
Abel.
El primer paso para prevenir accesos no

autorizados al enrutador es el uso de contraseas

fuertes.

Contraseas en un enrutador
Todos los enrutadores necesitan tener configuradas contraseas

locales para acceso privilegiado y cualquier otro acceso.

Cifrar
todas
las
contraseas
Cifrar todas las contraseas de los archivos de configuracin de los
enrutadores.
Router(config)#

service password-encryption

R1(config)# service password-encryption

R1(config)# exit
R1# show running-config
enable password 7 06020026144A061E
!
line con 0
password 7 094F471A1A0A
login
!
line aux 0
password 7 01100F175804575D72
login
line vty 0 4
password 7 03095A0F034F38435B49150A1819
login

Asegurar las contraseas de las bases de

datos locales
R1# conf t
R1(config)# username JR-ADMIN password letmein
% Password too short - must be at least 10 characters. Password configuration
failed
R1(config)# username JR-ADMIN password cisco12345
R1(config)# username ADMIN secret cisco54321
R1(config)# line con 0
R1(config-line)# login local

R1# show run | include username

username JR-ADMIN password 7 060506324F41584B564347
username ADMIN secret 5 $1$G3oQ$hEvsd5iz76WJuSJvtzs8I0
R1#

R1 con0 is now available

Press RETURN to get started.
User Access Verification
Username: ADMIN
Password:
R1>

Deshabilitar las conexiones no utilizadas

Por defecto, una interfaz administrativa debiera estar activa

por 10 minutos despus de la ltima actividad en la sesin.

Despus de ello, la sesin debe finalizar y terminarse.

De igual forma, se deben desactivar todas las sesiones

establecidas que no han sido atendidas en un tiempo

prudente (10 minutos)
Esto provee un nivel de seguridad adicional si el administrador debe

alejarse de su sesin de consola.

Ejemplo, para terminar una sesin de consola no atendida luego de 3
minutos y 30 segundos:
Sudbury(config)# line console 0
Sudbury(config-line)# exec-timeout 3 30

Asegurar los inicios de sesin virtuales

Para mejorar la seguridad de

los inicios de conexin virtuales,

el proceso de inicio de sesin
debiera estar configurado con
parmetros especficos:
Implementar retardos entre

intentos de conexin sucesivos.

Desactivar los inicios de sesin
si se sosspecha de un ataque
DoS.
Generar mensajes de bitcora
para la deteccin de los incios de
sesin.

Welcome to SPAN
Engineering
User Access Verification
Password: cisco
Password: cisco1
Password: cisco12
Password: cisco123
Password: cisco1234

Deshabilitar el inicio de sesin para

intentos excesivos
R1# configure terminal
R1(config)# username ADMIN secret cisco54321
R1(config)# line vty 0 4
R1(config-line)# login local
R1(config)# exit
R1(config)# login block-for 120 attempts 5 within 60
R1(config)# ip access-list standard PERMIT-ADMIN
R1(config-std-nacl)# remark Permit only Administrative hosts
R1(config-std-nacl)# permit 192.168.10.10
R1(config-std-nacl)# permit 192.168.11.10
R1(config-std-nacl)# exit
R1(config)# login quiet-mode access-class PERMIT-ADMIN
R1(config)# login delay 10
R1(config)# login on-success log
R1(config)# login on-failure log
R1(config)# exit

Ejemplo, si ocurren ms de 5 intentos de inicios de sesin fallidos en 60

segundos, todos los intentos posteriores se inhabilitan por 120

segundos.
Los equipos del grupo PERMIT-ADMIN podrn conectarse incluso
cuando el inicio de sesin este inhabilitado.

Proveer Notificacin Legal

Se deben utilizar mensajes advirtiendo a los atacantes que no son

bienvenidos a la red.
Los mensajes son importantes sobre todo desde al perspectiva legal.
Los intrusos podran decir en un juicio que no encontraron mensajes de

advertencia apropiados.
El contenido del mensaje informativo debe ser revisado y aprobado por la
parte legal antes de ser implementado.
Indique cul es el uso apropiado del sistema.
Indique que el sistema est siendo monitoreado y que no se debe esperar
privacidad al usar dicho sistema.
No utilizar la palabra bienvenido.
Router(config)#
banner {exec | incoming | login | motd | slip-ppp} d mensaje d

Limitar el acceso
Proteger los enrutadores de un ataque remoto es importante, pero

tambin se debe controlar quin puede acceder a dicho enrutador.

Un atacante puede acceder a la red y capturar o adivinar los datos del

administrador del enrutador y realizar mucho dao.

Las conexiones por Telnet deben deshabilitarse y utilizar en su lugar

SSH.
De igual forma varios enrutadores presentan una interfaz web para

facilitar su administracin.
Estas interfaces son bastante peligrosas ya que pueden adolecer de

mecanismos de proteccin en su programacin.

As mismo pueden intercambiar trfico sin ningn tipo de proteccin.
Hay que utilizar el protocolo SSL para proteger la informacin.

Capturando la contrasea Telnet

Un atacante puede obtenerla contrasea de servicios Telnet.

Contenido de un flujo Telnet

Al hacer el seguimiento del flujo de datos Telnet, el atacante

puede capturar el nombre de usuario (Bob) y su contrasea

(cisco123).

Configurando SSH

Cuando se utiliza SSH, el atacante no puede ver los

paquetes Telnet.

Contenido de un flujo SSH

Si se hace el seguimiento del flujo de datos, el atacante slo

ve los paquetes TCP y SSH que slo revelan informacin

cifrada inutil.

1: Configurar el nombre de
Configurando SSH Paso
dominio.
Paso 2: Generar las claves RSA

secretas.
Paso 3: Crear una entrada en la
base de datos de usuarios local.
Paso 4: Habilitar las sesiones
SSH en la entrada VTY.
R1# conf t
R1(config)# ip domain-name span.com
R1(config)# crypto key generate rsa general-keys modulus 1024
The name for the keys will be: R1.span.com
% The key modulus size is 1024 bits
% Generating 1024 bit RSA keys, keys will be non-exportable...[OK]
R1(config)#
*Dec 13 16:19:12.079: %SSH-5-ENABLED: SSH 1.99 has been enabled
R1(config)# username Bob secret cisco
R1(config)# line vty 0 4
R1(config-line)# login local
R1(config-line)# transport input ssh
R1(config-line)# exit

Configuracin de privilegios
Es importante que el administrador de sistemas pueda

conectarse a un dispositivo y administrarlo con seguridad.

Por ello deben agregarse ms configuraciones para
mantener segura a la red.
Debe proporcionarse acceso controlado a todos los empleados de una

empresa, la mayora de los empleados de una empresa solo requiere

acceso a reas especficas de la red.
No todos los trabajos requieren los mismos privilegios de acceso a los
dispositivos de la infraestructura.

Configuracin de Privilegios

Las necesidades del operador de seguridad de la red no son las

mismas que las de un ingeniero WAN.
Se deben establecer diferentes niveles de privilegios segn las
actividades que se realizan.

Niveles de privilegios
Los enrutadores presentan varios niveles de privilegios.
Cisco presenta 16 niveles:

Configuracin resistente
Cuando un enrutador es comprometido, corre el riesgo de que su

configuracin y la imagen de su sistema operativo puedan ser

borrados.
Es una amenaza contra la disponibilidad (downtime)

Recuperacin de contraseas
En el caso de que un enrutador se vea comprometido o necesite

recuperarse de una contrasea mal configurada, el administrador

debe entender todos los pasos del procedimiento de
recuperacin de contraseas.
Por razones de seguridad, la recuperacion de contraseas

requiere que el administrador tenga acceso fsico a los equipos.

Recuperacin de contraseas

Recuperacin de contraseas

Recuperacin de contraseas

Recuperacin de contraseas

Gestin de registros y bitcoras

En una red pequea, administrar y monitorear los dispositivos de

red es una operacin sencilla. Sin embargo, en una empresa

grande con cientos de dispositivos, monitorear, administrar y
procesar los mensajes de registros puede ser un desafo.
El registro y el reporte de informacin automticos de dispositivos

identificados a hosts de administracin tambin son

consideraciones importantes.
Estos registros e informes pueden incluir flujo de contenido,

cambios de configuracin y nuevas instalaciones de software,

para nombrar algunos.
la mayora de los dispositivos de redes pueden enviar datos de

syslog que pueden volverse invaluables en el momento de

contrarestar problemas en la red o amenazas de seguridad.

Rutas de Informacin
El flujo de informacin entre los equipos de gestin y los

dispositivos monitoreados puede tomar dos rutas.

Out of Band (OOB):

La Informacin viaja por una
red diferente a la red de
produccin.

In-Band:
La informacin atraviesa la
red de produccin o el
Internet (o ambos).

Consideraciones para la gestin de

registros
En el diseo de una solucin de gestin in-band debe

considerarse lo siguiente:
Qu protocolos de gestin soporta cada dispositivo?
El canal de gestin debe estar activo en todo momento?
Es SNMP necesario?
Cules son los registros ms importantes?
Cmo diferenciar los mensajes importantes de las notificaciones ordinarias?
Cmo evitar la manipulacin de los registros?
Cmo estar seguro de la coincidencia de tiempos en los registros?
Qu registros seran necesarios en investigaciones criminales?
Cmo lidiar con el volumen de los mensajes de registro?
Cmo controlar todos los dispositivos?
Cmo realizar un seguimiento de los cambios cuando se producen ataques

o fallos en la red?

Recomendaciones para Gestin In-Band

Aplicarla slo para equipos que necesiten ser gsetionados o

monitoreados.
Usar IPSec donde sea posible.

Usar SSH o SSL en vez de Telnet.

Definir si el canal de gestin necesita estar abierto todo el tiempo.
Mantener los relojes de los equipos y dispositivos de red

sincronizados.
Registrar los cambios y registrar las configuraciones.

Recomendaciones para Gestin OOB

Provee un mayor nivel de seguridad y mitiga el riesgo de que la

informacin de gestin atraviese la red de produccin.

Mantener los relojes de los equipos y dispositivos de red

sincronizados.
Registrar los cambios y registrar las configuraciones.

Implementando mensajes de bitcora

para seguridad
Los enrutadores debieran configurarse para enviar mensajes de

bitcora a diferentes destinos:

Consola
Lneas de Terminal
Buffer de memoria
Servidores SNMP
Servidores Syslog

Destinos de la bitcora
Considere que el destino de las bitcoras impacta en la

sobrecarga del sistema.

Registrar a la the consola.

Most overhead

Registrar a VTY.
Registrar a un Syslog Server.
Registrar a un buffer interno.

Least overhead

Niveles de mensajes de Error de Syslog

Niveles de Log de Cisco

Formato de Mensajes de Syslog

Marca de Tiempo

Texto del Mensaje

Oct 29 10:00:01 EST: %SYS-5-CONFIG_I: Configured from console by vty0 (10.2.2.6)

Nombre del
mensaje de
registro y nivel de
severidad
Nota: El mensaje de registro no necesariamente es el mismo que el nombre del nivel de
severidad

Implementacin de Syslog

Lo
0

R3(config)#
R3(config)#
R3(config)#
R3(config)#

logging
logging
logging
logging

R3

10.2.2.6
trap informational
source-interface loopback 0
on

NTP
NTP est diseado para sincronizar el tiempo por la red.
NTP corre sobre UDP.
Una red NTP usualmente obtiene el tiempo de una fuente confiable

autorizada, como un reloj de radio o atmico.

NTP distribuye el tiempo por la red.
Es eficiente. No requiere ms de un paquete por minuto para
sincronizar dos equipos con una diferencia de 1 mSec.
NTP v3 (RFC 1305) es el estndar de Internet.

Entendiendo NTP
Muchas caractersticas en una red de computadoras requieren de

un tiempo sincronizado:
Certidumbre en los mensajes de bitcora Syslog.
Autenticacin baasda en certificados para VPNs.
Configuracin de ACLs con rangos de tiempo

Seguridad de NTP
El tiempo que un equipos maneja es un recurso crtico, por lo

que, el uso de caractersticas de seguridad para NTP permitirn

evitar un malicioso o accidental cambio del tiempo.
Los mecanismos disponibles:
Esquemas de restriccin basados en ACLs.
Autenticacin cifrada.

Deshabilitar Servicios no utilizados

Para asegurar una red empresarial, todos los
servicios no necesarios en un enrutador deben ser
desahabilitados.

Router(config)#
Router(config)#
Router(config)#
Router(config)#
Router(config)#
Router(config)#
Router(config)#
Router(config)#
Router(config)#
Router(config)#
Router(config)#
Router(config)#

no
no
no
no
no
no
no
no
no
no
no
no

ip bootp server
cdp run
ip source-route
ip classless
service tcp-small-servers
service udp-small-servers
ip finger
service finger
ip http server
ip name-server
boot network
service config

Servicios no necesarios
Router Service

Default

Best Practice

This service allows a router to act as a BOOTP

server for other routers.
If not required, disable this service.

Enabled

Disable.
no ip bootp server

Cisco Discovery
Protocol (CDP)

CDP obtains information of neighboring Cisco

devices.
If not required, disable this service globally or on a
per-interface basis.

Enabled

Disable if not required.

no cdp run

Configuration autoloading

Auto-loading of configuration files from a network

server should remain disabled when not in use by
the router.

Disabled

Disable if not required.

no service config

The FTP server enables you to use your router as

an FTP server for FTP client requests.
Because this server allows access to certain files in
the router Flash memory, this service should be
disabled when not required.

Disabled

Disable if not required.

Otherwise encrypt traffic
within an IPsec tunnel.

Same as FTP.

Disabled

Disable if not required.

Otherwise encrypt traffic
within an IPsec tunnel.

Disabled

Disable if not required.

Otherwise configure NTPv3
and control access between
permitted devices using ACLs.

BOOTP server

FTP server

TFTP server

Network Time Protocol

(NTP) service

Description

When enabled, the router acts as a time server for

other network devices.
If configured insecurely, NTP can be used to
corrupt the router clock and potentially the clock of
other devices that learn time from the router.
If this service is used, restrict which devices have
access to NTP.

Protegiendo la integridad de las tablas de

enrutamiento
Usar slo rutas estticas:
Funciona bien en redes pequeas.

No aconsejado para redes grandes.

Autenticar las actualizaciones de la tabla de enrutamiento:

Configurar el enrutamiento con autenticacin.
Las actualizaciones de un enrutador autenticado aseguran su origen

legtimo.

Interfaces Pasivas
La configuracin de interaces pasivas previene que los atacantes

aprendan acerca de la existencia de enrutadores o protocolos de

enrutamiento utilizados.