Documentos de Académico
Documentos de Profesional
Documentos de Cultura
red
seguro
Va desde la deshabilitacin de servicios no necesarios hasta el apagado
tienen
Ubicacin del equipo
Determina los requerimientos de reforzamiento de un equipo en
Equipos de red
Incluye entre otros:
Routers
Switches
Firewalls
NIDS
Seguridad fsica
Asegurar la infraestructura del equipamiento en recintos
cerrados que:
Sean accesibles nicamente a personal autorizado.
Estn libres de interferencia electroesttica o magntica.
Tengan supresin de fuego.
(UPS/SAI)
Mantener componentes de repuesto disponibles para
reducir la posibilidad de un ataque DoS debido a fallas
elctricas en el edificio.
Reforzar el enrutador
Reforzar el control administrativo para asegurar que slo personal
autorizado tenga acceso a los equipos y que sus niveles de acceso
sean controlados.
Deshabilitar los puertos e interfaces no utilizados para reducir las
formas en que se pueda acceder al equipo.
Deshabilitar los servicios no necesarios que puedan ser utilizados por
los atacantes para obtener informacin o para explotar el sistema.
Acciones autorizadas
almacenados localmente.
Considerar la vulnerabilidad de los datos en trnsito sobre
canales de comunicacin a sniffing, session hijacking, y
ataques man-in-the-middle (MITM).
Proteccin de Contraseas
monitor.
Contraseas en un enrutador
Para obtener las contraseas, los atacantes:
Observan sobre el hombro.
Adivinan las contraseas basndose en la informacin
personal del usuario.
Capturan paquetes TFTP que contengan archivos de
configuracin en texto plano.
Utilizan herramientas tales como L0phtCrack o Cain &
Abel.
El primer paso para prevenir accesos no
Contraseas en un enrutador
Todos los enrutadores necesitan tener configuradas contraseas
Cifrar
todas
las
contraseas
Cifrar todas las contraseas de los archivos de configuracin de los
enrutadores.
Router(config)#
service password-encryption
Welcome to SPAN
Engineering
User Access Verification
Password: cisco
Password: cisco1
Password: cisco12
Password: cisco123
Password: cisco1234
bienvenidos a la red.
Los mensajes son importantes sobre todo desde al perspectiva legal.
Los intrusos podran decir en un juicio que no encontraron mensajes de
advertencia apropiados.
El contenido del mensaje informativo debe ser revisado y aprobado por la
parte legal antes de ser implementado.
Indique cul es el uso apropiado del sistema.
Indique que el sistema est siendo monitoreado y que no se debe esperar
privacidad al usar dicho sistema.
No utilizar la palabra bienvenido.
Router(config)#
banner {exec | incoming | login | motd | slip-ppp} d mensaje d
Limitar el acceso
Proteger los enrutadores de un ataque remoto es importante, pero
SSH.
De igual forma varios enrutadores presentan una interfaz web para
facilitar su administracin.
Estas interfaces son bastante peligrosas ya que pueden adolecer de
Configurando SSH
paquetes Telnet.
1: Configurar el nombre de
Configurando SSH Paso
dominio.
Paso 2: Generar las claves RSA
secretas.
Paso 3: Crear una entrada en la
base de datos de usuarios local.
Paso 4: Habilitar las sesiones
SSH en la entrada VTY.
R1# conf t
R1(config)# ip domain-name span.com
R1(config)# crypto key generate rsa general-keys modulus 1024
The name for the keys will be: R1.span.com
% The key modulus size is 1024 bits
% Generating 1024 bit RSA keys, keys will be non-exportable...[OK]
R1(config)#
*Dec 13 16:19:12.079: %SSH-5-ENABLED: SSH 1.99 has been enabled
R1(config)# username Bob secret cisco
R1(config)# line vty 0 4
R1(config-line)# login local
R1(config-line)# transport input ssh
R1(config-line)# exit
Configuracin de privilegios
Es importante que el administrador de sistemas pueda
Configuracin de Privilegios
Niveles de privilegios
Los enrutadores presentan varios niveles de privilegios.
Cisco presenta 16 niveles:
Configuracin resistente
Cuando un enrutador es comprometido, corre el riesgo de que su
Recuperacin de contraseas
En el caso de que un enrutador se vea comprometido o necesite
Recuperacin de contraseas
Recuperacin de contraseas
Recuperacin de contraseas
Recuperacin de contraseas
Rutas de Informacin
El flujo de informacin entre los equipos de gestin y los
In-Band:
La informacin atraviesa la
red de produccin o el
Internet (o ambos).
considerarse lo siguiente:
Qu protocolos de gestin soporta cada dispositivo?
El canal de gestin debe estar activo en todo momento?
Es SNMP necesario?
Cules son los registros ms importantes?
Cmo diferenciar los mensajes importantes de las notificaciones ordinarias?
Cmo evitar la manipulacin de los registros?
Cmo estar seguro de la coincidencia de tiempos en los registros?
Qu registros seran necesarios en investigaciones criminales?
Cmo lidiar con el volumen de los mensajes de registro?
Cmo controlar todos los dispositivos?
Cmo realizar un seguimiento de los cambios cuando se producen ataques
o fallos en la red?
monitoreados.
Usar IPSec donde sea posible.
sincronizados.
Registrar los cambios y registrar las configuraciones.
sincronizados.
Registrar los cambios y registrar las configuraciones.
Destinos de la bitcora
Considere que el destino de las bitcoras impacta en la
Most overhead
Registrar a VTY.
Registrar a un Syslog Server.
Registrar a un buffer interno.
Least overhead
Nombre del
mensaje de
registro y nivel de
severidad
Nota: El mensaje de registro no necesariamente es el mismo que el nombre del nivel de
severidad
Implementacin de Syslog
Lo
0
R3(config)#
R3(config)#
R3(config)#
R3(config)#
logging
logging
logging
logging
R3
10.2.2.6
trap informational
source-interface loopback 0
on
NTP
NTP est diseado para sincronizar el tiempo por la red.
NTP corre sobre UDP.
Una red NTP usualmente obtiene el tiempo de una fuente confiable
Entendiendo NTP
Muchas caractersticas en una red de computadoras requieren de
un tiempo sincronizado:
Certidumbre en los mensajes de bitcora Syslog.
Autenticacin baasda en certificados para VPNs.
Configuracin de ACLs con rangos de tiempo
Seguridad de NTP
El tiempo que un equipos maneja es un recurso crtico, por lo
Router(config)#
Router(config)#
Router(config)#
Router(config)#
Router(config)#
Router(config)#
Router(config)#
Router(config)#
Router(config)#
Router(config)#
Router(config)#
Router(config)#
no
no
no
no
no
no
no
no
no
no
no
no
ip bootp server
cdp run
ip source-route
ip classless
service tcp-small-servers
service udp-small-servers
ip finger
service finger
ip http server
ip name-server
boot network
service config
Servicios no necesarios
Router Service
Default
Best Practice
Enabled
Disable.
no ip bootp server
Cisco Discovery
Protocol (CDP)
Enabled
Configuration autoloading
Disabled
Disabled
Same as FTP.
Disabled
Disabled
BOOTP server
FTP server
TFTP server
Description
legtimo.
Interfaces Pasivas
La configuracin de interaces pasivas previene que los atacantes