CCNA Security 2.0 Cap 2

CCNA Security 2.
0 CAPITULO 2
Capítulo 2Asegurar los dispositivos de red

2.1Asegurar el acceso al dispositivo
2.1.1Protección del router perimetral
2.1.1.1Protección de la infraestructura de red
Asegurar los dispositivos de red
La seguridad del tráfico de red saliente y el conteo del tráfico entrante son aspectos
críticos de la seguridad de la red. Asegurar el router de borde, que se conecta a la red
externa, es un primer paso importante en la seguridad de la red.
El endurecimiento de dispositivos es una tarea crítica al asegurar la red. Se trata de
utilizar la interfaz de línea de comandos de Cisco IOS (CLI) para implementar
métodos comprobados de seguridad física del routery proteger el acceso
administrativo del router. Algunos de estos métodos implican asegurar el acceso
administrativo, incluyendo el mantenimiento de contraseñas, la configuración de las
características de inicio de sesión virtual mejorado y la implementación de Secure
Shell (SSH). Debido a que no todo el personal de tecnología de la información debe
CISCO Neteorking Academy..............................Escuela de Telecomunicaciones del Ejército CETEL

CCNA Security 2.0 CAPITULO 2
tener el mismo nivel de acceso a los dispositivos de infraestructura, la definición de

funciones administrativas en términos de acceso es otro aspecto importante de la
protección de dispositivos de infraestructura.
También es importante proteger las funciones de administración y generación de
informes de los dispositivos Cisco IOS. En este capítulo se examinan las prácticas
recomendadas para proteger syslog, usar SNMP (Protocolo de administración de red
simple) y configurar Network Time Protocol (NTP).
Muchos servicios de routerestán habilitados de forma predeterminada. Algunas de
estas características están habilitadas por razones históricas, pero ya no son
necesarias. En este capítulo se describen algunos de estos servicios y se examina el
modo de bloqueo en un solo paso del comando de seguridad automática, que se puede
utilizar para automatizar las tareas de endurecimiento de dispositivos.
La autenticación de protocolo de enrutamiento es una práctica recomendada de
seguridad necesaria para evitar la falsificación de protocolos de enrutamiento. En este
capítulo se describe la configuración de la autenticación OSPF (Open Shortest Path
First) con el cifrado de Message Digest 5 (MD5) y el algoritmo Secure Hash
Algorithm (SHA). Los planos de control, gestión y datos se discuten con énfasis en el
funcionamiento del Control Plane Policing (CoPP).
Asegurar la infraestructura de red

Asegurar la infraestructura de red es fundamental para la seguridad general de la
red. La infraestructura de red incluye routers, switchs, servidores, puntos finales y
otros dispositivos.
Considere a un empleado descontento casualmente mirando por encima del hombro
de un administrador de red mientras el administrador se está conectando a un router
de borde. Es una manera sorprendentemente fácil para un atacante obtener acceso no
autorizado.
Si un atacante obtiene acceso a un router, la seguridad y la gestión de toda la red
pueden verse comprometidas. Por ejemplo, el atacante de la Figura 1 ha borrado la
configuración de inicio y está haciendo que el router se recargue en cinco
minutos. Cuando el router se reinicie, no tendrá una configuración de inicio.
Para evitar el acceso no autorizado a todos los dispositivos de infraestructura, deben
implementarse políticas y controles de seguridad apropiados. Los routers son un
objetivo primario para los ataques porque estos dispositivos actúan como policía de
tráfico, que dirigen el tráfico hacia dentro, hacia fuera y entre redes.
El routerde borde mostrado en la Figura 2 es el último routerentre la red interna y una
red no confiable, como Internet. Todo el tráfico de Internet de una organización pasa

por un routerde borde, que a menudo funciona como la primera y última línea de
defensa de una red. El router de borde ayuda a proteger el perímetro de una red
protegida e implementa acciones de seguridad basadas en las políticas de seguridad
de la organización. Por estas razones, la seguridad de routers de red es
imprescindible.
Tres áreas de seguridad del router

Asegurar el router de borde es un primer paso crítico en la seguridad de la red. Si hay
otros routers internos, también deben configurarse de forma segura. Se deben
mantener tres áreas de seguridad del router, como se muestra en la figura.

Seguridad física
Proporcionar seguridad física para los routers:
• Coloque el router y los dispositivos físicos que se conectan a él en una
habitación segura y cerrada que es accesible sólo al personal autorizado, está
libre de interferencias electrostáticas o magnéticas, tiene supresión de
incendios y tiene controles de temperatura y humedad.
• Instale una fuente de alimentación ininterrumpible (SAI) o un generador de
energía de respaldo diesel y mantenga los componentes de repuesto
disponibles. Esto reduce la posibilidad de una interrupción de red de la pérdida
de energía.
Seguridad del sistema operativo
Hay algunos procedimientos implicados en asegurar las características y el
funcionamiento de los sistemas operativos del ranurador:
• Configure el router con la cantidad máxima de memoria posible. La
disponibilidad de memoria puede ayudar a mitigar los riesgos para la red de
algunos ataques de denegación de servicio (DoS) mientras soporta la más
amplia gama de servicios de seguridad.
• Utilice la última versión estable del sistema operativo que cumpla con las
especificaciones de características del enrutador o dispositivo de red. Las
características de seguridad y cifrado en un sistema operativo se mejoran y se
actualizan con el tiempo, lo que hace que sea crítico tener la versión más
actualizada.
• Mantenga una copia segura de las imágenes del sistema operativo del enrutador
y los archivos de configuración del enrutador como copias de seguridad.
Router Hardening
Elimine el abuso potencial de puertos y servicios no utilizados:
• Control administrativo seguro. Asegúrese de que sólo el personal autorizado

tenga acceso y que su nivel de acceso esté controlado.
• Deshabilitar puertos e interfaces no utilizados. Reduzca el número de formas
de acceso a un dispositivo.
• Deshabilitar servicios innecesarios. Al igual que muchos equipos, un router
tiene servicios que están habilitados de forma predeterminada. Algunos de
estos servicios son innecesarios y pueden ser utilizados por un atacante para
recopilar información sobre el router y la red, que se aprovecha posteriormente
en un ataque de explotación.

Acceso administrativo seguro

Asegurar el acceso administrativo es una tarea de seguridad extremadamente
importante. Si una persona no autorizada obtiene acceso administrativo a un router,
esa persona podría alterar los parámetros de enrutamiento, deshabilitar las funciones
de enrutamiento o descubrir y obtener acceso a otros sistemas dentro de la red.
Varias tareas importantes están involucradas en asegurar el acceso administrativo a un
dispositivo de infraestructura, como se indica en la figura:
• Restringir la accesibilidad del dispositivo : limite los puertos accesibles,
restrinja los comunicadores permitidos y restrinja los métodos de acceso
permitidos.
• Registrar y contabilizar todos los accesos- Grabar a todos los que acceden
a un dispositivo, qué sucedió durante el acceso y cuándo se realizó el acceso
con fines de auditoría.
• Acceso de autenticación : asegúrese de que el acceso se conceda sólo a
usuarios, grupos y servicios autenticados. Limite el número de intentos fallidos
de inicio de sesión y el tiempo permitido entre los inicios de sesión.
• Autorizar acciones : restringir las acciones y vistas permitidas por cualquier
usuario, grupo o servicio en particular.
• Notificación legal actual - Visualizar un aviso legal, desarrollado
conjuntamente con el asesor jurídico de la empresa, para sesiones interactivas.

• Asegurar la confidencialidad de los datos - Proteger los datos almacenados

localmente y sensibles de ser vistos y copiados. Considere la vulnerabilidad de
los datos en tránsito a través de un canal de comunicación a sniffing, secuestro
de sesión, y man-in-the-middle (MITM).
Acceso administrativo seguro
____ Restringir la accesibilidad del

dispositivo
____ Registrar y contabilizar todos los

accesos
____ Acceso autenticado
____ Autorizar acciones

____ Notificación legal actual
____ Garantizar la confidencialidad de los

datos
Acceso local y remoto seguro

Se puede acceder a un router para fines administrativos local o remotamente:
• Acceso local - Todos los dispositivos de infraestructura de red se pueden
acceder localmente. El acceso local a un router generalmente requiere una
conexión directa a un puerto de consola en el router de Cisco y utilizando un
equipo que ejecuta software de emulación de terminal, como se muestra en la
Figura 1. El administrador debe tener acceso físico al router y utilizar un cable
de consola para conectarse al puerto de consola. El acceso local se utiliza
típicamente para la configuración inicial del dispositivo.
• Acceso remoto - Los administradores también pueden acceder remotamente a
los dispositivos de infraestructura, como se muestra en las Figuras 2 y 3.
Aunque la opción de puerto auxiliar está disponible, el método de acceso
remoto más común implica permitir conexiones Telnet, SSH, HTTP, HTTPS o
SNMP al router desde un ordenador. El equipo puede estar en la red local o en
una red remota.
Algunos protocolos de acceso remoto envían los datos, incluyendo nombres de
usuario y contraseñas, al router en texto claro. Si un atacante puede recopilar tráfico
de red mientras un administrador se está conectando remotamente a un router, el
atacante puede capturar contraseñas o información de configuración del router. Por
esta razón, es preferible permitir sólo el acceso local al router. Sin embargo, en
algunas situaciones, el acceso remoto puede ser necesario. Se deben tomar
precauciones al acceder a la red remotamente:
• Cifrar todo el tráfico entre el equipo del administrador y el router. Por ejemplo,
en lugar de usar Telnet, utilice SSH versión 2; o en lugar de utilizar HTTP,
utilice HTTPS.
• Establezca una red de administración dedicada, como se muestra en la Figura
4. La red de administración debe incluir sólo hosts de administración
identificados y conexiones a una interfaz dedicada en el router.

• Configure un filtro de paquetes para permitir que sólo los hosts de

administración identificados y los protocolos preferidos accedan al router. Por
ejemplo, permita que sólo las solicitudes SSH de la dirección IP de un host de
administración inicien una conexión a los routers de la red.
• Configure y establezca una conexión VPN con la red local antes de conectarse
a una interfaz de administración del router.
Estas precauciones son valiosas, pero no protegen la red por completo. También
deben aplicarse otros métodos de defensa. Uno de los métodos más básicos e
importantes es el uso de una contraseña segura.


•2.1Asegurar el acceso al dispositivo

•2.1.2Configuración del acceso administrativo
seguro
•2.1.2.1Contraseñas Fuertes
Contraseñas Fuertes
Los atacantes implementan varios métodos para descubrir contraseñas
administrativas. Pueden mirar por encima del hombro de un usuario, intentar adivinar
contraseñas basadas en la información personal del usuario, o inhalar paquetes que
contengan archivos de configuración de texto sin formato. Los atacantes también
pueden usar un cracker de contraseñas, como L0phtCrack (Figura 1) o Cain & Abel
para descubrir contraseñas.
Los administradores deben asegurarse de que se utilizan contraseñas seguras en toda
la red. Siga las directrices de contraseña fuerte para proteger los activos, como routers
y conmutadores. En la Figura 2 se muestran pautas de contraseña fuertes. En
contraste, las Figuras 3 y 4 muestran ejemplos de contraseñas débiles y contraseñas
seguras.
En los routers de Cisco y muchos otros sistemas, los espacios que guían la contraseña
se ignoran, pero los espacios después del primer carácter no se ignoran. Un método
para crear una contraseña fuerte es utilizar un espacio en blanco en la contraseña o
crear una frase hecha de muchas palabras. Esto se llama una frase de contraseña. Una
contraseña es a menudo más fácil de recordar que una contraseña compleja. Una frase
de contraseña es más larga y más difícil de adivinar que una contraseña.



Aumentar la seguridad del acceso

Hay varios comandos de configuración del router que se pueden usar para aumentar
la seguridad de la contraseña, como se muestra en la Figura 1:
• De forma predeterminada, la longitud de la contraseña mínima es de seis
caracteres. Para aumentar la longitud mínima, utilice el comando de modo de
configuración global de longitudes mínimas de contraseña de seguridad .
• De forma predeterminada, con la excepción de la contraseña generada por
el comando enable secret , todas las contraseñas del router de Cisco se
almacenan en texto plano en el arranque del router y en los archivos de
configuración en ejecución. Para cifrar todas las contraseñas de texto sin cifrar,
utilice el comando service encryption-password en el modo de configuración
global. Como se muestra en la Figura 2, el cifrado se invierte fácilmente con la
herramienta adecuada. Por este motivo, este comando no debe utilizarse con la
intención de proteger los archivos de configuración de ataques graves.

• De forma predeterminada, una interfaz administrativa permanece activa y se

inicia sesión durante 10 minutos después de la actividad de la última
sesión. Para desactivar las conexiones desatendidas, utilice el comando exec-
timeout minutes [ seconds ] en el modo de configuración de línea para cada
una de las líneas configuradas para el acceso.
También puede desactivar el proceso EXEC para una línea específica, como en el
puerto auxiliar, utilizando el comando no exec en modo de configuración de
línea. Este comando permite sólo una conexión saliente en la línea, deshabilitando el
proceso EXEC para conexiones que pueden intentar enviar datos no solicitados al
router.

Algoritmos secretos de la contraseña

MD5 hashes ya no se consideran seguros porque los atacantes pueden reconstruir
certificados válidos. Esto puede permitir a los atacantes falsificar cualquier sitio
web. La contraseña secreta de habilitación, mostrada en la Figura 1, utiliza un hash
MD5 de forma predeterminada. Por lo tanto, ahora se recomienda que configure
todas las contraseñas secretas utilizando contraseñas tipo 8 o tipo 9. Tipo 8 y tipo 9 se
introdujeron en Cisco IOS 15.3 (3) M. El tipo 8 y el tipo 9 utilizan el cifrado
SHA. Debido a que el tipo 9 es ligeramente más fuerte que el tipo 8, se utilizará a lo
largo de este curso siempre que lo permita el Cisco IOS.
La Figura 2 muestra que la configuración del cifrado de tipo 9 no es tan fácil como
puede parecer. No puede simplemente ingresar enable secret 9 y la contraseña sin
cifrar. Para utilizar esta forma del comando, debe pegar en la contraseña cifrada, que
se puede copiar de otra configuración del router. Para introducir una contraseña no
cifrada, utilice la sintaxis de comando enable algorithm-type que semuestra en la
Figura 3. Un ejemplo de configuración se muestra en la Figura 4. Observe que la
configuración en ejecución ahora muestra una contraseña secreta de habilitar tipo 9.
El cifrado de tipo 8 y tipo 9 también se introdujo en Cisco IOS 15.3 (3) M para
el comando user name secret . De forma similar al comando enable secret, si
simplemente ingresa un usuario con el comando secreto de nombre de usuario, el
cifrado predeterminado será MD5. Utilice el nombre de usuario nombre algoritmo-
tipo comando para especificar tipo 9 cifrado. La sintaxis se muestra en la Figura 5
junto con un ejemplo.
Por razones de compatibilidad con versiones anteriores, los comandos enable
password , username password y line password están disponibles en Cisco
IOS. Estos comandos no usan cifrado de forma predeterminada. En el mejor de los
casos, sólo pueden usar cifrado de tipo 7, como se muestra en la Figura 6. Por lo
tanto, estos comandos no se utilizarán en este curso.




Acceso a la línea de seguridad

De forma predeterminada, la consola y los puertos auxiliares no requieren una
contraseña para el acceso administrativo. Además, el comando
de contraseña configurado en la consola, vty y líneas auxiliares sólo puede utilizar el
tipo 7. Por lo tanto, debe configurar la consola y las líneas auxiliares para la
autenticación de nombre de usuario / contraseña con el comando local de inicio de
sesión . Además, las líneas vty sólo se deben configurar para el acceso SSH, como se
muestra en la Figura 1.
Utilice el Comprobador de sintaxis de la Figura 2 para asegurar el acceso
administrativo a R2.
Nota : Algunos dispositivos Cisco tienen más de cinco líneas vty. Compruebe el
número de líneas vty en la configuración en ejecución antes de configurar la
contraseña. Por ejemplo, los switches Cisco admiten hasta 16 líneas vty simultáneas,
numeradas de 0 a 15.


•2.1.3Configuración de seguridad mejorada para
los inicios de sesión virtuales

•2.1.3.1Mejora del proceso de inicio de sesión
Mejorar el proceso de inicio de sesión

La asignación de contraseñas y autenticación local no impide que un dispositivo sea
atacado. Las mejoras de inicio de sesión de Cisco IOS que se muestran en la Figura 1
proporcionan más seguridad reduciendo los ataques, como los ataques de diccionario
y los ataques DoS. Habilitar un perfil de detección le permite configurar un
dispositivo de red para que reaccione ante intentos de inicio de sesión fallidos
repetidos al rechazar solicitudes de conexión adicionales (o bloqueo de inicio de
sesión). Este bloque puede ser configurado durante un período de tiempo, que se
llama período de silencio. Se pueden usar listas de control de acceso (ACL) para
permitir la conexión legítima de direcciones de administradores de sistemas
conocidos.
Los banners están desactivados de forma predeterminada y deben estar
explícitamente habilitados. Utilice el comando del modo de configuración global
de banner mostrado en la Figura 2 para especificar los mensajes apropiados. Los
banners protegen a la organización desde una perspectiva legal. La elección del texto
adecuado para colocar en los mensajes de banner es importante y debe ser revisado
por un abogado antes de ser colocado en los routers de red. Nunca use la palabra
bienvenida o cualquier otro saludo familiar que pueda ser mal interpretado como una
invitación a usar la red.


Configuración de las funciones de mejora de inicio de

sesión
Los comandos de mejoras de inicio de sesión de Cisco IOS, mostrados en la Figura 1,
aumentan la seguridad de las conexiones de inicio de sesión virtual. La figura 2
muestra un ejemplo de configuración. El comando login block-for puede defenderse
contra los ataques DoS al deshabilitar los inicios de sesión después de un número
especificado de intentos fallidos de inicio de sesión. El comando login quiet-mode
se asigna a una ACL que identifica los hosts permitidos. Esto garantiza que sólo los
hosts autorizados puedan intentar iniciar sesión en el router. El comando de inicio de
sesión especifica un número de segundos que el usuario debe esperar entre intentos
fallidos de inicio de sesión. Los comandos login-success y login-failurecomandan
los intentos de inicio de sesión exitosos e infructuosos.

Estas mejoras de inicio de sesión no se aplican a las conexiones de consola. Cuando

se trata de conexiones de consola, se supone que sólo el personal autorizado tiene
acceso físico a los dispositivos.
Nota : Estas mejoras de inicio de sesión sólo se pueden habilitar si se utiliza la base
de datos local para la autenticación para el acceso local y remoto. Si las líneas sólo
están configuradas para la autenticación por contraseña, las funciones de inicio de
sesión mejoradas no están habilitadas.

Habilitar mejoras de inicio de sesión

Para ayudar a que un dispositivo IOS de Cisco proporcione detección de DoS, utilice
el comando login block-for . Todas las demás funciones de mejora de inicio de
sesión están deshabilitadas hasta que se configure el comando de bloque de inicio de
sesión .
La Figura 1 muestra la sintaxis del comando y un ejemplo de configuración
del comando login-for-block .
Específicamente, el comando login-blockcontrola la actividad del dispositivo de
inicio de sesión y funciona en dos modos:
• Modo Normal - Esto también se conoce como modo de reloj. El router
mantiene la cuenta del número de intentos de inicio de sesión fallidos dentro de
una cantidad de tiempo identificada.
• Modo silencioso - Esto también se conoce como el período de silencio. Si el
número de inicios de sesión fallidos excede el umbral configurado, se
denegarán todos los intentos de inicio de sesión utilizando Telnet, SSH y HTTP
durante el tiempo especificado en el mandato login-for-block.
Cuando se habilita el modo silencioso, no se permiten todos los intentos de inicio de
sesión, incluido el acceso administrativo válido. Sin embargo, para proporcionar
hosts críticos, como el acceso de hosts administrativos específicos en todo momento,
este comportamiento se puede sobreescribir mediante una ACL. La ACL se crea e

identifica utilizando el mandato login-class de acceso de clase de acceso , como se

muestra en la Figura 2. Sólo los hosts identificados en la ACL tienen acceso al
dispositivo durante el modo silencioso.
Al implementar el comando login-for-block , se invoca automáticamente un retardo
de un segundo entre los intentos de inicio de sesión. Para hacerlo más difícil para un
atacante, el tiempo de retardo entre los intentos de inicio de sesión se puede
incrementar usando el comando login delay , como se muestra en la Figura 3. El
comando introduce un retardo uniforme entre intentos de inicio de sesión
sucesivos. El retraso se produce para todos los intentos de inicio de sesión, incluidos
los intentos fallidos o exitosos.
El bloque de inicio de sesión , inicio de sesión modo silencioso de acceso de
clase y de retardo de inicio de sesión comandos ayuda a bloquear los intentos
fallidos de autenticación por un período limitado de tiempo. Sin embargo, no pueden
impedir que un atacante vuelva a intentarlo. ¿Cómo puede un administrador saber
cuándo alguien intenta acceder a la red adivinando la contraseña?


•2.1.4Configuración de SSH
•2.1.4.1Pasos para configurar SSH

Pasos para configurar SSH

Hay cuatro requisitos que debe cumplir el router antes de configurar SSH:
• Ejecuta una versión de Cisco IOS que admite SSH
• Utiliza un nombre de host único
• Contiene el nombre de dominio correcto de la red
• Configurado para autenticación local o servicios AAA
La Figura 1 es un ejemplo de los cinco pasos necesarios para configurar un router
Cisco para dar soporte a SSH con autenticación local:
Paso 1 . Configure el nombre de dominio IP de la red mediante el comando ip
domain-name domain-name en modo de configuración global.
Paso 2 . Se deben generar claves secretas unidireccionales para que un router pueda
cifrar el tráfico SSH. Estas teclas se denominan llaves asimétricas. El software Cisco
IOS utiliza el algoritmo Rivest, Shamir y Adleman (RSA) para generar claves. Para
crear la clave RSA, utilice la clave cripto para generar el comando rsa general-
keys modulus modulus-size en modo de configuración global. El módulo determina
el tamaño de la clave RSA y se puede configurar de 360 bits a 4.096 bits. Cuanto
mayor sea el módulo, más segura será la tecla RSA. Sin embargo, las claves con
valores de módulo grandes toman un poco más de tiempo para generar, cifrar y
descifrar. La longitud mínima recomendada de la clave del módulo es de 1.024 bits.
Nota : SSH se activa automáticamente después de generar las teclas RSA.
Paso 3 . Aunque no es técnicamente necesario, ya que los routers de Cisco
predeterminados a SSH versión 2, puede configurar manualmente la versión 2 con
el comando de configuración global ip ssh versión 2 . La versión original tiene
vulnerabilidades conocidas.
Paso 4 . Asegúrese de que hay una entrada de nombre de usuario de base de datos
local válida. Si no, cree uno usando el nombre de usuario nombre algoritmo-tipo
scrypt secreto secreto comando.
Paso 5 . Habilitar vty las sesiones SSH entrantes usando los comandos vty de
línea, login local y ssh de entrada de transporte .
Para verificar SSH y mostrar las claves generadas, utilice el comando show crypto
key mypubkey rsa en modo EXEC privilegiado. Si hay pares de claves existentes, se
recomienda que se sobrescriban utilizando el comando rsa de cero de la clave
criptográfica . Si hay pares de claves existentes, se recomienda que se eliminen
mediante el comando rsa de cero de la clave criptográfica . La Figura 2
proporciona un ejemplo de verificación de las claves criptográficas SSH y la
eliminación de las claves antiguas.




Pasos para configurar SSH

Hay cuatro requisitos que debe cumplir el router antes de configurar SSH:
• Ejecuta una versión de Cisco IOS que admite SSH
• Utiliza un nombre de host único
• Contiene el nombre de dominio correcto de la red
• Configurado para autenticación local o servicios AAA
La Figura 1 es un ejemplo de los cinco pasos necesarios para configurar un router
Cisco para dar soporte a SSH con autenticación local:
Paso 1 . Configure el nombre de dominio IP de la red mediante el comando ip
domain-name domain-name en modo de configuración global.
Paso 2 . Se deben generar claves secretas unidireccionales para que un router pueda
cifrar el tráfico SSH. Estas teclas se denominan llaves asimétricas. El software Cisco
IOS utiliza el algoritmo Rivest, Shamir y Adleman (RSA) para generar claves. Para
crear la clave RSA, utilice la clave cripto para generar el comando rsa general-
keys modulus modulus-size en modo de configuración global. El módulo determina
el tamaño de la clave RSA y se puede configurar de 360 bits a 4.096 bits. Cuanto
mayor sea el módulo, más segura será la tecla RSA. Sin embargo, las claves con
valores de módulo grandes toman un poco más de tiempo para generar, cifrar y
descifrar. La longitud mínima recomendada de la clave del módulo es de 1.024 bits.
Nota : SSH se activa automáticamente después de generar las teclas RSA.
Paso 3 . Aunque no es técnicamente necesario, ya que los routers de Cisco
predeterminados a SSH versión 2, puede configurar manualmente la versión 2 con
el comando de configuración global ip ssh versión 2 . La versión original tiene
vulnerabilidades conocidas.
Paso 4 . Asegúrese de que hay una entrada de nombre de usuario de base de datos
local válida. Si no, cree uno usando el nombre de usuario nombre algoritmo-tipo
scrypt secreto secreto comando.
Paso 5 . Habilitar vty las sesiones SSH entrantes usando los comandos vty de
línea, login local y ssh de entrada de transporte .
Para verificar SSH y mostrar las claves generadas, utilice el comando show crypto
key mypubkey rsa en modo EXEC privilegiado. Si hay pares de claves existentes, se
recomienda que se sobrescriban utilizando el comando rsa de cero de la clave
criptográfica . Si hay pares de claves existentes, se recomienda que se eliminen
mediante el comando rsa de cero de la clave criptográfica . La Figura 2
proporciona un ejemplo de verificación de las claves criptográficas SSH y la
eliminación de las claves antiguas.


Modificación de la configuración SSH

Para verificar los valores opcionales del comando SSH, utilice el comando show ip
ssh , como se muestra en la Figura 1. También puede modificar el intervalo de tiempo
de espera predeterminado SSH y el número de intentos de autenticación. Utilice
el comando de modo de configuración global de segundos de tiempo de espera ip
ssh para modificar el intervalo de tiempo de espera predeterminado de 120
segundos. Esto configura el número de segundos que SSH puede utilizar para
autenticar un usuario. Una vez que se ha autenticado, se inicia una sesión EXEC y se
aplica el tiempo de espera de ejecución estándar configurado para vty.
De forma predeterminada, un usuario que inicia sesión tiene tres intentos para
introducir la contraseña correcta antes de desconectarse. Para configurar un número
diferente de intentos consecutivos de SSH, utilice el comando ip ssh autenticación-
reintentos entero modo de configuración global.
Utilice el Comprobador de sintaxis en la Figura 2 para habilitar SSH en R2.

Conexión a un router habilitado para SSH

Para verificar el estado de las conexiones de cliente, utilice el comando show
ssh . Existen dos formas diferentes de conectarse a un router habilitado para SSH:
• De forma predeterminada, cuando se habilita SSH, un router Cisco puede
actuar como un servidor SSH o cliente SSH. Como servidor, un router puede
aceptar conexiones de cliente SSH. Como cliente, un router puede conectarse a
través de SSH a otro router habilitado para SSH (ver Figuras 1, 2 y 3).
• Conecte usando un cliente SSH que se ejecute en un host como se muestra en
las Figuras 4, 5, 6 y 7. Ejemplos de estos clientes incluyen PuTTY, OpenSSH y
TeraTerm.
El procedimiento para conectarse a un router Cisco varía en función de la aplicación
cliente SSH que se esté utilizando. Generalmente, el cliente SSH inicia una conexión
SSH al router. El servicio SSH del router solicita la combinación correcta de nombre
de usuario y contraseña. Una vez verificado el inicio de sesión, se puede gestionar el
router como si el administrador estuviera utilizando una sesión Telnet estándar.





•2.2Asignación de funciones administrativas

•2.2.1Configuración de los niveles de privilegio
•2.2.1.1Limitar la disponibilidad del comando
Limitación de la disponibilidad del comando

Las organizaciones grandes tienen muchas funciones de trabajo variadas dentro de un
departamento de TI. No todas las funciones de trabajo deben tener el mismo nivel de
acceso a los dispositivos de infraestructura (como se muestra en las figuras 1 y 2). El
software Cisco IOS tiene dos métodos para proporcionar acceso a la infraestructura:
nivel de privilegio y CLI basada en roles. Ambos métodos ayudan a determinar a
quién se debe permitir que se conecte al dispositivo y lo que esa persona debe ser
capaz de hacer con él. El acceso CLI basado en funciones proporciona más
granularidad y control.

De forma predeterminada, la CLI del software Cisco IOS tiene dos niveles de acceso
a los comandos:
• Modo EXEC de usuario (nivel de privilegio 1) : proporciona los privilegios
de usuario de modo EXEC más bajo y sólo permite comandos de nivel de
usuario disponibles en el indicador de router.
• Modo EXEC privilegiado (nivel de privilegio 15) - Incluye todos los
comandos de habilitación en el indicador # del router.
Hay 16 niveles de privilegios en total, como se muestra en la Figura 3. Cuanto más
alto es el nivel de privilegios, más acceso tiene un router a un usuario. Los comandos
que están disponibles en niveles de privilegio más bajos también son ejecutables en
niveles más altos. Para asignar comandos a un nivel de privilegios personalizado,
utilice el comando de modo de configuración global de privilegios (Figura 4).
Configuración de la sintaxis de nivel de

privilegios
- Configurar AAA
- Emitir comandos de presentación
- Configurar firewall
- Configurar IDS / IPS
- Configurar NetFlow

Privilegios de Ingeniero WAN

- Configurar el enrutamiento
- Configurar interfaces
- Emitir comandos de presentación

16 Niveles de privilegios
• Nivel 0: predefinido para privilegios de acceso a nivel de usuario.
Rara vez se utiliza, pero incluye cinco comandos: deshabilitar,
habilitar, salir, ayudar y cerrar la sesión.
•
Nivel 1: El nivel predeterminado de inicio de sesión con el router
Router>. Un usuario no puede realizar cambios ni ver el archivo de
configuración en ejecución.
•
Niveles 2 -14: Puede personalizarse para privilegios a nivel de
usuario. Los comandos de niveles inferiores se pueden mover hasta
otro nivel superior, o los comandos de niveles más altos pueden
bajarse a un nivel inferior.
•
Nivel 15: Reservado para los privilegios de habilitar modo (habilitar
comando). Los usuarios pueden cambiar las configuraciones y ver
los archivos de configuración.

Configuración y asignación de niveles de privilegio

Para configurar un nivel de privilegios con comandos específicos, use el nivel
de nivel de privilegio exec [ comando ] . La Figura 1 muestra ejemplos de tres
niveles de privilegios diferentes.
• Privilege level 5 tiene acceso a todos los comandos disponibles para el nivel
predefinido 1 y el comando ping.
• El nivel de privilegio 10 tiene acceso a todos los comandos disponibles para el
nivel 5, así como al comando de recarga.
• El nivel de privilegio 15 está predefinido y no necesita ser configurado
explícitamente. Este nivel de privilegios tiene acceso a todos los comandos
incluyendo ver y cambiar la configuración.
Existen dos métodos para asignar contraseñas a los diferentes niveles de privilegios:
• Para un usuario al que se le concede un nivel de privilegios específico, use
el nombre de usuario nombre clave de privilegios contraseña secreta modo de
configuración global comando
• Al nivel de privilegios, use el comando enable secret level level
contraseña global configuration mode
Nota : Los comandos secreto de nombre de usuario y de habilitar secreto están
configurados para el cifrado de tipo 9.
Utilice el comando username para asignar un nivel de privilegio a un usuario
específico. Utilice el comando enable secret para asignar un nivel de privilegio a una
contraseña de modo EXEC específica. Por ejemplo, al usuario de SUPPORT se le
asigna el nivel de privilegio 5 con la contraseña cisco5. Sin embargo, como se
muestra en la Figura 2, cualquier usuario puede acceder al nivel de privilegio 5 si ese
usuario sabe que la contraseña secreta enable es cisco5. La Figura 2 también
demuestra que el nivel de privilegio 5 no puede recargar el enrutador. En la Figura 3,
el usuario habilita el nivel de privilegio 10 que tiene acceso a la recargamando. Sin
embargo, los usuarios en el nivel de privilegio 10 no pueden ver la configuración en
ejecución. En la Figura 4, el usuario habilita el nivel de privilegio 15 que tiene acceso
completo para ver y cambiar la configuración, incluyendo ver el funcionamiento de la
configuración.



Limitaciones de los niveles de privilegios

El uso de niveles de privilegio tiene sus
limitaciones:
• No hay control de acceso a
interfaces, puertos, interfaces
lógicas y ranuras específicas en
un enrutador.
• Los comandos disponibles en
niveles de privilegio más bajos
son siempre ejecutables en
niveles superiores.
• Los comandos establecidos
específicamente en un nivel de
privilegio más alto no están disponibles para usuarios con privilegios bajos.
• Asignar un comando con varias palabras clave permite acceder a todos los
comandos que usan esas palabras clave. Por ejemplo, permitir el acceso a show
ip route permite al usuario acceder a todos los comandos show y show ip .
Nota : si un administrador debe crear una cuenta de usuario que tenga acceso a la
mayoría pero no a todos los comandos, las instrucciones de privilegio deben ser
configuradas para cada comando que se debe ejecutar en un nivel de privilegio
inferior a 15.
Utilice el Comprobador de sintaxis de la Figura 2 para configurar los niveles de
privilegios en R2.
Acceso CLI basado en funciones

En un esfuerzo por proporcionar más flexibilidad de lo que permiten los niveles de
privilegios, Cisco introdujo la función de acceso a la CLI basada en funciones en
Cisco IOS Release 12.3 (11) T. Esta característica proporciona un acceso más fino y
granular al controlar qué comandos están disponibles para roles específicos, como se
muestra en las Figuras 1 y 2. El acceso CLI basado en roles permite al administrador
de red crear vistas diferentes de las configuraciones del enrutador para diferentes
usuarios. Cada vista define los comandos CLI a los que cada usuario puede acceder.
Seguridad
El acceso CLI basado en funciones mejora la seguridad del dispositivo definiendo el
conjunto de comandos CLI accesibles por un usuario específico. Además, los
administradores pueden controlar el acceso de usuarios a puertos específicos,

interfaces lógicas y ranuras en un enrutador. Esto evita que un usuario cambie

accidental o deliberadamente una configuración o recopile información a la que no
debería tener acceso.
Disponibilidad
El acceso CLI basado en funciones evita la ejecución involuntaria de comandos CLI
por personal no autorizado y minimiza el tiempo de inactividad.
Eficiencia operacional
Los usuarios sólo ven los comandos CLI aplicables a los puertos ya la CLI a los que
tienen acceso. Por lo tanto, el enrutador parece ser menos complejo, y los comandos
son más fáciles de identificar cuando se utiliza la función de ayuda en el dispositivo.
Privilegios del operador de seguridad

• Configurar AAA
• Emitir comandos de presentación
• Configurar firewall
• Configurar IDS / IPS
• Configurar NetFlow
Privilegios del operador de seguridad

• Configurar el enrutamiento
• Configurar interfaces
• Emitir comandos de presentación
Vistas basadas en roles

La CLI basada en funciones proporciona tres tipos de vistas que determinan qué
comandos están disponibles:
Vista de la raíz
Para configurar cualquier vista del sistema, el administrador debe estar en la vista
raíz. La vista raíz tiene los mismos privilegios de acceso que un usuario que tiene
privilegios de nivel 15. Sin embargo, una vista de raíz no es lo mismo que un usuario
de nivel 15. Sólo un usuario de vista raíz puede configurar una nueva vista y agregar
o quitar comandos de las vistas existentes.
Vista CLI
Un conjunto específico de comandos puede agruparse en una vista CLI. A diferencia
de los niveles de privilegios, una vista CLI no tiene jerarquía de comandos ni vistas
superiores o inferiores. A cada vista se le deben asignar todos los comandos
asociados con esa vista. Una vista no hereda comandos de ninguna otra
vista. Además, los mismos comandos se pueden utilizar en varias vistas.
Superview
Una superview consiste en una o más vistas CLI. Los administradores pueden definir
qué comandos son aceptados y qué información de configuración es
visible. Superviews permite a un administrador de red asignar a usuarios y grupos de
usuarios múltiples vistas de CLI a la vez, en lugar de tener que asignar una única
vista de CLI por usuario con todos los comandos asociados con esa vista de CLI.
Las supervisiones tienen varias características específicas:
• Se puede compartir una sola vista CLI en varias superviews.
• Los comandos no se pueden configurar para una superview. Un administrador
debe agregar comandos a la vista CLI y agregar esa vista CLI a la superview.
• Los usuarios que están registrados en una superview pueden acceder a todos
los comandos que están configurados para cualquiera de las vistas CLI que
forman parte de la superview.
• Cada superview tiene una contraseña que se utiliza para cambiar entre
superviews o desde una vista CLI a una superview.

• La eliminación de una superview no elimina las vistas CLI asociadas. Las

vistas CLI permanecen disponibles para ser asignadas a otra superview.
Haga clic en Reproducir en la animación para obtener una explicación de las vistas.
Configuración de vistas basadas en funciones

Antes de que un administrador pueda crear una vista, AAA debe habilitarse utilizando
el comando aaa new-model . Para configurar y editar vistas, un administrador debe
iniciar sesión como vista raíz utilizando el comando EXEC privilegiado de habilitar
vista . La sintaxis de comando para el comando enable view se muestra en la Figura
1. También se puede usar el comando enable view root . Cuando se le solicite,
ingrese la contraseña secreta habilitar .
Hay cinco pasos para crear y administrar una vista específica:
Paso 1 . Active AAA con el comando de modo de configuración global aaa new-
model . Salir e ingresar la vista raíz con el comando enable view .
Paso 2 . Cree una vista utilizando el comando del modo de configuración
global vista-nombre vista- parser . Esto habilita el modo de configuración de
vista. Excluyendo la vista raíz, hay un límite máximo de 15 vistas en total.
Paso 3 . Asigne una contraseña secreta a la vista utilizando el comando de modo de
configuración de vista secreta de contraseña encriptada . La Figura 2 muestra la
sintaxis del comando para la vista del analizador y los comandos secretos .

Paso 4 . Asigne comandos a la vista seleccionada mediante el comando

comandos parser-mode en modo de configuración de vista. La Figura 3 muestra la
sintaxis de comandos para el comando commands.
Paso 5 . Salga del modo de configuración de vista escribiendo el comando exit .
La Figura 4 proporciona un ejemplo de configuración de tres vistas. Observe en el
ejemplo que el comando secreto sólo admite el cifrado MD5 (tipo 5). Además,
observe que cuando se agregó un comando a una vista antes de asignar la contraseña,
se produjo un error. La Figura 5 muestra las vistas configuradas en la configuración
en ejecución.
Utilice el Comprobador de sintaxis de la Figura 6 para configurar vistas en R2.



Configuración de supervisiones de CLI basadas en

roles
Los pasos para configurar una superview son esencialmente lo mismo que configurar
una vista CLI, excepto que el comando view view-name se utiliza para asignar
comandos a la superview. El administrador debe estar en la vista raíz para configurar
una superview. Para confirmar que se está utilizando la vista raíz, utilice
el comando enable view o enable view root . Cuando se le solicite, ingrese
la contraseña secreta .
Hay cuatro pasos para crear y administrar una superview:
Paso 1 . Cree una vista utilizando el comando de supervisión de nombre
de vista view-name de parser y entre en modo de configuración de superview.
Paso 2 . Asigne una contraseña secreta a la vista utilizando
el comando secreto encrypted-password . La Figura 1 muestra la sintaxis del
comando para la supervisión de la vista del analizador y los comandos secretos .

Paso 3 . Asigne una vista existente mediante el comando view view-name en modo
de configuración de vista. La Figura 2 muestra la sintaxis del comando para el
comando view.
Paso 4 . Salga del modo de configuración superview escribiendo el comando exit .
Más de una vista se puede asignar a una superview, y las vistas pueden ser
compartidas entre superviews. La Figura 3 proporciona un ejemplo de configuración
de tres superviews: USER, SUPPORT y JR-ADMIN. La Figura 4 muestra las
superviews configuradas en la configuración en ejecución.
Para acceder a las vistas existentes, ingrese el comando enable view view-name en
modo usuario e ingrese la contraseña asignada a la vista personalizada. Utilice el
mismo comando para cambiar de una vista a otra.
Utilice el Comprobador de sintaxis de la Figura 5 para configurar superviews en R2.


Verificación de las vistas CLI basadas en funciones

Para verificar una vista, utilice el comando enable view . Introduzca el nombre de la
vista para verificar y proporcione la contraseña para iniciar sesión en la vista. Utilice
el comando de signo de interrogación ( ? ) Para verificar que los comandos
disponibles en la vista son correctos.
La Figura 1 habilita la supervisión de USUARIO y enumera los comandos
disponibles en la vista.
La Figura 2 habilita la supervisión SUPPORT y enumera los comandos disponibles
en la vista.
La Figura 3 activa la vista JR-ADMIN y enumera los comandos disponibles en la
vista.
Al no especificar una vista para el comando enable view, como se muestra en la
Figura 4, puede iniciar sesión como root. Desde la vista raíz, use el comando show
parser view all para ver un resumen de todas las vistas. Observe cómo el asterisco
identifica superviews.


Característica de configuración de Cisco IOS Resilient

La característica de configuración resiliente de Cisco IOS permite una recuperación
más rápida si alguien reformatea de forma malintencionada o no intencional la
memoria flash o borra el archivo de configuración de inicio en NVRAM (memoria de
acceso aleatorio no volátil). La función mantiene una copia de seguridad del archivo
de imagen IOS del enrutador y una copia del archivo de configuración en
ejecución. Estos archivos seguros no pueden ser eliminados por el usuario y se
denominan el conjunto de inicio principal.
La figura describe algunos hechos acerca de la configuración Cisco IOS resiliente.

• El archivo de configuración del conjunto de inicio

principal es una copia de la configuración en
ejecución que se encontraba en el enrutador cuando
se habilitó la función por primera vez.
• La función asegura el conjunto de archivos de

trabajo más pequeño para conservar el espacio de
almacenamiento persistente. No se requiere espacio
adicional para proteger el archivo de imagen
principal de Cisco IOS.
• La función detecta automáticamente la falta de

coincidencia de la versión de imagen o
configuración.
• Sólo se utiliza almacenamiento local para proteger

archivos, eliminando los retos de mantenimiento de
escalabilidad de almacenar múltiples imágenes y
configuraciones en servidores TFTP.

• La función sólo se puede desactivar a través de una

sesión de consola.
• La función sólo está disponible para sistemas que

admitan una interfaz flash de ATA (Advanced
Technology Attachment) de PCMCIA.
Habilitación de la característica de resiliencia de

imagen de IOS
Los comandos para proteger la imagen de IOS y ejecutar el archivo de configuración
se muestran en la figura. Para proteger la imagen de IOS y habilitar la resiliencia de
imagen de Cisco IOS, use el comando de modo de configuración global de arranque
de imagen de arranque . Cuando se activa por primera vez, la imagen de Cisco IOS
en ejecución está protegida y se genera una entrada de registro. La característica de
resiliencia de imagen de Cisco IOS sólo se puede desactivar a través de una sesión de
consola utilizando la forma no del comando. Este comando funciona correctamente
sólo cuando el sistema está configurado para ejecutar una imagen desde una unidad
flash con una interfaz ATA. Además, la imagen en ejecución debe cargarse desde el
almacenamiento permanente para que se asegure como primaria. Las imágenes que se
cargan desde una ubicación remota, como un servidor TFTP, no se pueden proteger.
Para tomar una instantánea de la configuración de ejecución del enrutador y
archivarla de forma segura en almacenamiento persistente, utilice el comando de
configuración global de configuración segura de arranque , como se muestra en la
figura. Un mensaje de registro se muestra en la consola notificando al usuario que la
resiliencia de configuración está activada. El archivo de configuración está oculto y
no se puede ver ni eliminar directamente del indicador de la CLI. Puede utilizar
el mandato secure boot-config repetidamente para actualizar el archivo de
configuración a una versión más reciente después de que se hayan emitido nuevos
comandos de configuración.
Los archivos protegidos no aparecen en la salida de un comando dir que se emita
desde la CLI. Esto se debe a que el sistema de archivos Cisco IOS evita que se listen
archivos seguros. La imagen en ejecución y los archivos de configuración en
ejecución no son visibles en la salida del comando dir . Utilice el comando show
secure bootset para verificar la existencia del archivo, como se muestra en la figura.

La imagen de Bootset primaria

Restaure un conjunto de inicio primario de un archivo seguro después de que se haya
alterado el enrutador, como se muestra en la figura:
Paso 1 . Vuelva a cargar el enrutador utilizando el comando recargar . Si es
necesario, emita la secuencia de interrupción para entrar en modo ROMmon.
Paso 2 . Desde el modo ROMmon, ingrese el comando dir para listar el contenido
del dispositivo que contiene el archivo de inicio seguro.
Paso 3 . Arranque el enrutador con la imagen del botín de arranque seguro
mediante el comando de arranque seguido de la ubicación de la memoria flash (por
ejemplo flash0), dos puntos y el nombre de archivo que se encuentra en el paso 2.
Paso 4 . Ingrese al modo de configuración global y restaure la configuración segura a
un nombre de archivo de su elección usando el comando secure boot-config
restore seguido de la ubicación de la memoria flash (por ejemplo flash0), dos puntos
y un nombre de archivo de su elección. En la figura, se utiliza el nombre de archivo
rescue-cfg.

Paso 5 . Salir del modo de configuración global y emitir la copia comando para
copiar el archivo de configuración rescatado a la configuración en ejecución.
Configuración de la copia segura

La característica Cisco IOS Resilient proporciona un método para proteger los
archivos de imagen y configuración de IOS localmente en el dispositivo. Utilice la
función Protocolo de copia segura (SCP) para copiar de forma remota estos
archivos. SCP proporciona un método seguro y autenticado para copiar la
configuración del enrutador o los archivos de imagen del enrutador en una ubicación
remota. SCP se basa en SSH y requiere que la autenticación y la autorización AAA se
configuren para que el router pueda determinar si el usuario tiene el nivel de
privilegio correcto.
Nota : La configuración AAA se tratará con mayor detalle en un capítulo posterior.
Configure el enrutador para SCP del lado del servidor con AAA local:

Paso 1 . Configurar SSH, si aún no está configurado.

Paso 2 . Para la autenticación local, configure al menos un usuario con nivel de
privilegio 15.
Paso 3 . Active AAA con el comando de modo de configuración global aaa new-
model .
Paso 4 . Utilice el comando aaa authentication login default local para especificar
que la base de datos local se utilice para la autenticación.
Paso 5 . Utilice el comando aaa authorization exec default local para configurar la
autorización de comandos. En este ejemplo, todos los usuarios locales tendrán acceso
a los comandos EXEC.
Paso 6 . Active la funcionalidad SCP del servidor con el comando ip scp server
enable .
R1 es ahora un servidor SCP y usará conexiones SSH para aceptar transferencias
seguras de copias de usuarios autenticados y autorizados. Las transferencias pueden
originar desde cualquier cliente SCP si ese cliente es otro enrutador, conmutador o
estación de trabajo.
La Figura 2 muestra una transferencia de enrutador a SCP de enrutador. En R2, utilice
el comando copy . Especifique primero la ubicación del archivo de origen (flash0:
R2backup.cfg) y luego el destino (scp :). Responda a la serie de instrucciones para
establecer una conexión con el servidor SCP en R1. En R1, puede ingresar
el comando debug ip scp para ver la transferencia continuar. El problema de
autenticación más común es una combinación de nombre de usuario / contraseña
incorrecta. También existe un error de autenticación si la combinación nombre de
usuario / contraseña no se configuró con la palabra clave privilege 15 en el servidor
SCP.


Recuperación de una contraseña de router

Si un enrutador está comprometido o necesita recuperarse de una contraseña mal
configurada, el administrador debe utilizar procedimientos de recuperación de
contraseña, como los que se muestran en la figura. Por razones de seguridad, la
recuperación de contraseñas requiere que el administrador tenga acceso físico al
enrutador a través de un cable de consola. Los detalles del procedimiento de
recuperación de contraseñas pueden ser ligeramente diferentes para varios
dispositivos Cisco. Haga clic aquí para obtener una lista completa de los
procedimientos de recuperación de contraseñas.
Recuperación de contraseña
Si alguien obtuvo acceso físico a un enrutador, podrían potencialmente obtener el
control de ese dispositivo mediante el procedimiento de recuperación de
contraseña. Este procedimiento, si se realiza correctamente, deja intacta la
configuración del enrutador. Si el atacante no hace grandes cambios, este tipo de

ataque es difícil de detectar. Un atacante puede utilizar este método de ataque para
descubrir la configuración del enrutador y otra información pertinente sobre la red,
como los flujos de tráfico y las restricciones de control de acceso.
Un administrador puede mitigar esta brecha de seguridad potencial utilizando
el comando de modo de configuración global de recuperación de contraseña sin
servicio . Este comando es un comando oculto de Cisco IOS y no tiene argumentos ni
palabras clave. Si un enrutador está configurado con el comando no-service
recovery-recovery , todo el acceso al modo ROMmon está deshabilitado.
Cuando se introduce el comando de recuperación de contraseña de servicio sin
servicio , se muestra un mensaje de advertencia y se debe confirmar antes de que se
habilite la función, como se muestra en la Figura 1.
Cuando se configura, el comando show running-config muestra una sentencia
de recuperación de contraseñas sin servicio , como se muestra en la Figura 2.
Como se muestra en la Figura 3, cuando se inicia el enrutador, la secuencia de
arranque inicial muestra un mensaje indicando que la FUNCIONALIDAD DE
RECUPERACIÓN DE PASSWORD ESTÁ DESACTIVADA.
Para recuperar un dispositivo después de que se ingresa el comando de recuperación
de contraseña de no servicio , inicie la secuencia de interrupción en cinco segundos
después de que la imagen se descomprime durante el inicio. Se le solicitará que
confirme la acción de la tecla de interrupción. Una vez confirmada la acción, la
configuración de inicio se borra por completo, el procedimiento de recuperación de
contraseña se habilita y el enrutador se inicia con la configuración predeterminada de
fábrica. Si no confirma la acción de interrupción, el enrutador arranca normalmente
con el comando de recuperación de contraseña de no servicio habilitado.
PRECAUCIÓN : Si la memoria flash del enrutador no contiene una imagen de Cisco
IOS válida debido a daños o supresión, el comando ROMmon xmodem no se puede
utilizar para cargar una nueva imagen de flash. Para reparar el enrutador, el
administrador debe obtener una nueva imagen de Cisco IOS en un SIMM de flash o
en una tarjeta PCMCIA. Sin embargo, si un administrador tiene acceso a ROMmon
pueden restaurar un archivo IOS a memoria flash utilizando un servidor
TFTP. Consulte Cisco.com para obtener más información sobre las imágenes de flash
de copia de seguridad.


Determinación del tipo de acceso a la gestión

En una red pequeña, administrar y supervisar un pequeño número de dispositivos de
red es una operación sencilla. Sin embargo, en una gran empresa con cientos de
dispositivos, el monitoreo, la administración y el procesamiento de los mensajes de
registro pueden ser desafiantes. Desde el punto de vista de los informes, la mayoría
de los dispositivos de red pueden enviar datos de registro que pueden ser invaluables
cuando se solucionan problemas de red o amenazas de seguridad. Estos datos se
pueden ver en tiempo real, bajo demanda y en informes programados.
Al registrar y administrar la información, el flujo de información entre los hosts de
administración y los dispositivos administrados puede tomar dos caminos:
• In-band - Flujos de información a través de una red de producción
empresarial, Internet o ambos, utilizando canales de datos regulares.
• Out-of-band (OOB) - Flujos de información en una red de administración
dedicada en la que no hay tráfico de producción.
Por ejemplo, la red de la Figura 1 tiene dos segmentos de red separados por un
enrutador IOS de Cisco que está proporcionando servicios de firewall para proteger la
red de administración. La conexión a la red de producción permite a los hosts de
gestión acceder a Internet y proporciona un tráfico limitado de gestión en banda. La
gestión dentro de banda se produce sólo cuando la gestión OOB no es posible o está
disponible. Si se requiere administración en banda, entonces ese tráfico debe enviarse
de forma segura usando un túnel privado codificado o un túnel VPN.

La Figura 2 muestra más detalles para la red de gestión protegida. Aquí es donde
residen los hosts de administración y los servidores de terminales. Cuando se colocan
dentro de la red de gestión, los servidores de terminal ofrecen conexiones de consola
directas OOB a través de la red de gestión a cualquier dispositivo de red que requiera
gestión en la red de producción. La mayoría de los dispositivos deben conectarse a
este segmento de gestión y configurarse mediante la administración OOB.
Debido a que la red de administración tiene acceso administrativo a casi todas las
áreas de la red, puede ser un objetivo muy atractivo para los hackers. El módulo de
gestión del cortafuegos incorpora varias tecnologías diseñadas para mitigar dichos
riesgos. La principal amenaza es un hacker que intenta acceder a la red de
administración. Esto puede lograrse a través de un host gestionado comprometido al
que un dispositivo de administración debe tener acceso. Para mitigar la amenaza de
un dispositivo comprometido, se debe implementar un control de acceso sólido en el
cortafuegos y en cualquier otro dispositivo. Los dispositivos de administración deben
configurarse de una manera que impida la comunicación directa con otros hosts en la
misma subred de administración usando

Acceso fuera de banda y en banda

Como regla general, por razones de seguridad, la gestión OOB es apropiada para
redes de grandes empresas. Sin embargo, no siempre es deseable. La decisión de
utilizar la gestión de OOB depende del tipo de aplicaciones de gestión en ejecución y
de los protocolos que se supervisan. Por ejemplo, considere una situación en la que se
administran y supervisan dos conmutadores principales mediante una red OOB. Si un
vínculo crítico entre estos dos conmutadores de núcleo falla en la red de producción,
la aplicación que supervisa esos dispositivos nunca puede determinar que el enlace ha
fallado y nunca alertar al administrador. Esto se debe a que la red OOB hace que
todos los dispositivos aparezcan conectados a una sola red de administración
OOB. La red de administración OOB no se ve afectada por el enlace derribado. Con
aplicaciones de gestión como estas, es preferible ejecutar la aplicación de gestión in-
band de forma segura. Las pautas de administración de OOB se muestran en la Figura
1.
Se recomienda la gestión en banda en redes más pequeñas como medio para lograr un
despliegue de seguridad más rentable. En tales arquitecturas, el tráfico de gestión
fluye en banda en todos los casos. Se hace tan segura como sea posible utilizando
protocolos de gestión seguros, por ejemplo, utilizando SSH en lugar de Telnet. Otra

opción es crear túneles seguros, utilizando protocolos como IPsec, para el tráfico de
gestión. Si el acceso de administración no es necesario en todo momento, se pueden
colocar agujeros temporales en un cortafuegos mientras se realizan funciones de
administración. Esta técnica debe utilizarse con cautela, y todos los agujeros deben
cerrarse inmediatamente cuando se completan las funciones de gestión. Las pautas de
administración en banda se muestran en la Figura 2.
Por último, si utiliza herramientas de gestión remota con gestión en banda, tenga
cuidado con las vulnerabilidades de seguridad subyacentes de la herramienta de
gestión en sí. Por ejemplo, los administradores SNMP se utilizan a menudo para
facilitar la solución de problemas y las tareas de configuración en una red. Sin
embargo, SNMP debe tratarse con el máximo cuidado porque el protocolo subyacente
tiene su propio conjunto de vulnerabilidades de seguridad.
Directrices de gestión de OOB

- Proporcionar el más alto nivel de seguridad.
- Mitigar el riesgo de pasar protocolos de gestión
inseguros a través de la red de producción.
Directrices de gestión en banda

-Aplicar sólo a dispositivos que necesitan ser
administrados y supervisados.
-Utilice IPsec, SSH o SSL cuando sea posible.
-Decida si el canal de gestión debe estar abierto en
todo momento.
Introducción a Syslog
La implementación de una instalación de registro es una parte importante de
cualquier política de seguridad de red. Cuando se producen ciertos eventos en una
red, los dispositivos de red tienen mecanismos de confianza para notificar al
administrador con mensajes detallados del sistema. Estos mensajes pueden ser no
críticos o significativos, y hay varias opciones disponibles para almacenarlos,
interpretarlos y mostrarlos. Los administradores pueden ser alertados de todos los
mensajes o sólo de los mensajes que pueden tener el mayor impacto en la
infraestructura de red.
El método más común de acceso a los mensajes del sistema de los dispositivos de red
es el uso de un protocolo llamado syslog, que se describe en RFC 5424. Syslog utiliza

el puerto UDP 514 para enviar mensajes de notificación de eventos a través de redes
IP a los recolectores de mensajes de eventos. se muestra en la figura.
Muchos dispositivos de red admiten syslog, incluidos enrutadores, conmutadores,
servidores de aplicaciones, firewalls y otros dispositivos conectados en red. El
servicio de registro de syslog proporciona tres funciones principales:
• La capacidad de recopilar información de registro para la supervisión y
solución de problemas
• La capacidad de seleccionar el tipo de información de registro que se captura
• La capacidad de especificar los destinos de los mensajes de syslog capturados
Operación Syslog
En los dispositivos de red de Cisco, el protocolo syslog comienza enviando mensajes
del sistema y la salida de depuración a un proceso de registro local que es interno al
dispositivo. La forma en que el proceso de registro administra y genera estos
mensajes se basa en las configuraciones del dispositivo. Por ejemplo, los mensajes
syslog pueden enviarse a través de la red a un servidor syslog externo. Estos mensajes
pueden ser recuperados y luego extraídos en varios informes para facilitar la lectura.
Los routers de Cisco pueden registrar información relacionada con cambios de
configuración, violaciones de ACL, estado de la interfaz, utilización de la CPU y

muchos otros tipos de eventos. Por ejemplo, utilice el umbral de la marca de agua
inferior libre de memoria ioy los comandos del procesador de marca de bajo
nivel de memoria libre de memoria para establecer umbrales de memoria. El
enrutador enviará notificaciones, especificadas en kilobytes al servidor syslog cuando
la memoria libre disponible caiga por debajo del umbral. El enrutador enviará
notificaciones de nuevo cuando la memoria libre disponible se eleve a un cinco por
ciento por encima del umbral.
Los routers de Cisco pueden registrar información relacionada con cambios de
configuración, violaciones de ACL, estado de la interfaz y muchos otros tipos de
eventos. Los enrutadores Cisco se pueden configurar para enviar mensajes syslog a
varias instalaciones diferentes, como se muestra en la figura:
• Buffer de registro : los mensajes se almacenan en la memoria del enrutador
durante un período de tiempo. Sin embargo, los eventos se borran cuando se
reinicia el enrutador.
• Consola : el registro de la consola está activado de forma predeterminada. Los
mensajes Syslog se envían a la línea de consola cuando el administrador activa
la interfaz.
• Líneas de terminales : las sesiones EXEC habilitadas se pueden configurar
para recibir mensajes de registro en cualquier línea de terminal.
• Servidor Syslog : los enrutadores Cisco se pueden configurar para reenviar
mensajes de registro a un servicio syslog externo.

Mensaje Syslog
Los dispositivos Cisco producen mensajes syslog como resultado de eventos de
red. Cada mensaje syslog contiene un nivel de gravedad y una facilidad.
Los niveles numéricos más pequeños son las alarmas de syslog más críticas. El nivel
de gravedad de los mensajes se puede configurar para controlar dónde se muestra
cada tipo de mensaje (es decir, en la consola o en los otros destinos). La lista
completa de niveles syslog se muestra en la Figura 1. Cada nivel syslog tiene su
propio significado, como se muestra en la Figura 2.
Los niveles Syslog de cero a cuatro son mensajes sobre la funcionalidad de software
o hardware. La gravedad del problema determina el nivel actual de syslog
aplicado. Los niveles 5 y 6 de Syslog corresponden a notificaciones y mensajes
informativos. El nivel siete de Syslog indica que los mensajes se generan generando
varios comandos de depuración.
Además de especificar la gravedad, los mensajes syslog contienen información sobre
la instalación. Las instalaciones de Syslog son identificadores de servicio que
identifican y categorizan los datos de estado del sistema para el reporte de errores y
de mensajes de eventos. Las opciones de la instalación de registro que están
disponibles son específicas para el dispositivo de red.
El formato de los mensajes de syslog de Cisco IOS se muestra en la Figura 3.


Sistemas Syslog
Las implementaciones de Syslog siempre contienen dos tipos de sistemas:
• Servidores Syslog : también conocidos como hosts de registro, estos sistemas
aceptan y procesan mensajes de registro de clientes syslog.
• Clientes Syslog - Enrutadores u otros tipos de equipos que generan y envían
mensajes de registro a los servidores de syslog.
La topología de la figura identifica el servidor syslog en la dirección IP 10.2.2.6. El
resto de los servidores y dispositivos de la topología se pueden configurar como
clientes syslog, que envían mensajes syslog al servidor syslog.
Configuración del registro del sistema

Configurar el registro del sistema:
Paso 1 . Establezca el host de registro de destino mediante el comando host de
registro , como se muestra en la Figura 1.
Paso 2 . (Opcional) Defina el nivel de gravedad del registro (trampa) mediante
el comando de captura de registro , como se muestra en la Figura 2.

Paso 3 . Establezca la interfaz de origen utilizando el comando log-interface de

registro , como se muestra en la Figura 3. Este comando especifica que los paquetes
syslog contienen la dirección IPv4 o IPv6 de una interfaz específica,
independientemente de la interfaz que use el paquete para salir del enrutador.
Paso 4 . Habilite el registro en todos los destinos habilitados con el comando
de inicio de sesión , como se muestra en la Figura 4.
La Figura 5 muestra la topología de referencia syslog. La Figura 6 muestra una
configuración de syslog de ejemplo para R1. Utilice el comando show logging para
ver la configuración de registro y los mensajes de syslog almacenados en búfer.



Introducción a SNMP
Otra herramienta de monitoreo común es el protocolo simple de administración de
red (SNMP). SNMP fue desarrollado para permitir a los administradores administrar
dispositivos en una red IP. Permite a los administradores de red supervisar el
rendimiento de la red, administrar dispositivos de red, solucionar problemas de red y
planificar el crecimiento de la red.
SNMP consta de tres elementos relevantes para el Sistema de Gestión de Redes
(NMS):
• Administrador SNMP
• Agentes SNMP (nodo gestionado)
• Base de Información de Gestión (MIB)
Los administradores y agentes de SNMP usan UDP para intercambiar
información. Específicamente, los agentes SNMP escuchan el puerto UDP 161
mientras que los administradores SNMP escuchan el puerto UDP 162. El gestor
SNMP ejecuta el software de gestión SNMP. Como se muestra en la figura, el gestor
SNMP puede recopilar información de un agente SNMP utilizando las solicitudes get
y puede cambiar las configuraciones en un agente utilizando la acción peticiones
establecidas. El agente SNMP debe configurarse para proporcionar acceso a la MIB
local. Además, los agentes SNMP se pueden configurar para enviar notificaciones
(trampas) directamente a un administrador SNMP.

Base de Información de Gestión (MIB)

Los mensajes SNMP set, get y trap tienen acceso para crear y cambiar la información
en la MIB. Esta información está organizada jerárquicamente para que SNMP pueda
acceder a ella rápidamente. Cada pieza de información dentro de la MIB recibe un ID
de objeto (OID). El MIB organiza los OID basados en los estándares RFC en una
jerarquía de OIDs, como se muestra en la Figura 1. El significado de cada uno de los
niveles del árbol está fuera del alcance de este curso. Sin embargo, observe que los
mensajes SNMP para dispositivos Cisco se almacenan en la MIB en las siguientes
ubicaciones: 1.3.6.1.4.1.9. Esto es sólo un ejemplo. El árbol MIB de cualquier
dispositivo incluye ramas con variables comunes a muchos dispositivos de red y
ramas con variables específicas para ese dispositivo o proveedor.
Cisco SNMP Object Navigator permite a un administrador de red investigar detalles
sobre un OID en particular. La figura 2 muestra un ejemplo de determinación de que
el OID 1.3.6.1.2.1.4.21 está reservado para la tabla de encaminamiento de un
dispositivo. Haga clic aquí para abrir el navegador de objetos SNMP de Cisco.


Versiones de SNMP
Varias versiones de SNMP están disponibles:
• SNMPv1 - Definido en RFC 1157; siempre que no haya mecanismo de
autenticación o cifrado
• SNMPv2c - Definido en los RFC 1901 a 1908; mejorado con SNMPv1 pero
sin mecanismo de autenticación o encriptación
• SNMPv3 - Definido en los RFC 2273 a 2275; proporciona acceso seguro a
dispositivos mediante la autenticación y el cifrado de paquetes a través de la
red
Los detalles del modelo de seguridad para cada versión se muestran en la figura.

Vulnerabilidades de SNMP
En cualquier topología de red, al menos un nodo gestor debe ejecutar el software de
gestión SNMP. Los dispositivos de red que se pueden administrar, como switches,
enrutadores, servidores y estaciones de trabajo, están equipados con el módulo de
software del agente SNMP. Estos agentes son responsables de proporcionar al
administrador SNMP acceso a una MIB local, que almacena datos sobre la operación
del dispositivo.
SNMP es vulnerable a ataques precisamente porque los agentes SNMP pueden ser
consultados con las solicitudes get y aceptar cambios de configuración con las
peticiones establecidas, como se muestra en la figura. Por ejemplo, una solicitud de
conjunto puede hacer que un enrutador se reinicie, envíe un archivo de configuración
o reciba un archivo de configuración. También se puede configurar un agente SNMP
para enviar trampas o notificaciones. En SNMPv1 y SNMPv2c, estas solicitudes y
notificaciones no se autentican o encriptan.

SNMPv3
SNMPv3 autentica y cifra los paquetes a través de la red para proporcionar acceso
seguro a los dispositivos. Esto abordó las vulnerabilidades de las versiones anteriores
de SNMP.
SNMPv3 proporciona tres características de seguridad:
• Integridad y autenticación del mensaje - Asegura que un paquete no ha sido
manipulado en tránsito y es de una fuente válida, como se muestra en la Figura
1.
• Cifrado : codifica el contenido de un paquete para evitar que sea visto por una
fuente no autorizada, como se muestra en la Figura 2.
• Control de acceso - Restringe cada principal a ciertas acciones en porciones
específicas de datos, como se muestra en la Figura 3.



Configuración de la seguridad SNMPv3

SNMPv3 se puede asegurar con sólo unos pocos comandos, como se muestra en la
figura.
Paso 1 . Configure una ACL que permita el acceso a administradores SNMP
autorizados.
Paso 2 . Configure una vista SNMP con el comando snmp-server view para
identificar los OID MIB que el administrador SNMP podrá leer. Es necesario
configurar una vista para limitar los mensajes SNMP a acceso de sólo lectura.
Paso 3 . Configure las características del grupo SNMP con el comando snmp-server
group :
• Configure un nombre para el grupo.
• Establezca la versión SNMP en 3 con la palabra clave v3 .
• Requiere autenticación y cifrado con la palabra clave priv .
• Asociar una vista al grupo y darle acceso de sólo lectura con el comando read .

• Especifique la ACL configurada en el paso 1.

Paso 4 . Configure las características del usuario del grupo SNMP con
el comando snmp-server user :
• Configure un nombre de usuario y asocie al usuario con el nombre de grupo
configurado en el paso 3.
• Establezca la versión SNMP en 3 con la palabra clave v3 .
• Establezca el tipo de autenticación en md5o sha y configure una contraseña de
autenticación. SHA es el preferido y debe ser soportado por el software de
gestión SNMP.
• Requiere cifrado con la palabra clave priv y configure una contraseña de
cifrado.
Una discusión completa de las opciones de configuración para SNMPv3 está fuera
del alcance de este curso.
Ejemplo de configuración segura de SNMPv3

La Figura 1 muestra un ejemplo de configuración para asegurar SNMPv3.

Paso 1 . Una ACL estándar se denomina PERMIT-ADMIN y está configurada para

permitir sólo la red 192.168.1.0/24. Todos los hosts conectados a esta red podrán
acceder al agente SNMP que se ejecuta en R1.
Paso 2 . Una vista SNMP se denomina SNMP-RO y está configurada para incluir
todo el árbol iso desde la MIB. En una red de producción, el administrador de red
probablemente configuraría esta vista para incluir sólo los OID MIB que eran
necesarios para supervisar y administrar la red.
Paso 3 . Un grupo SNMP está configurado con el nombre ADMIN. SNMP se
establece en la versión 3 con autenticación y cifrado necesario. El grupo tiene acceso
de sólo lectura a la vista (SNMP-RO). El acceso para el grupo está limitado por la
ACL de PERMIT-ADMIN.
Paso 4 . Un usuario SNMP, BOB, está configurado como miembro del grupo
ADMIN. SNMP se establece en la versión 3. La autenticación está configurada para
utilizar SHA y se configura una contraseña de autenticación. Aunque R1 soporta
cifrado AES 256, el software de administración SNMP sólo admite AES 128. Por lo
tanto, el cifrado se establece en AES 128 y se configura una contraseña de cifrado.
Utilice el Comprobador de sintaxis en la Figura 2 para configurar R1 con la
autenticación SNMPv3 mediante una ACL.

Verificación de la configuración SNMPv3

Verifique la mayor parte de la configuración de seguridad de SNMPv3 al ver la
configuración en ejecución, como se muestra en la Figura 1. Observe que la
configuración de usuario de snmp-server está oculta. Utilice el comando show snmp
user para ver la información del usuario.
Compruebe que el administrador SNMP puede enviar solicitudes de obtención a R1
mediante una herramienta de administración SNMP, como el navegador SNMP MIB
de ManageEngine . Configure la herramienta con los detalles del usuario, como se
muestra en la Figura 2. Cuando se configura un usuario, utilice las características de
la herramienta de administración SNMP para probar que el usuario configurado
puede acceder al agente SNMP. En la Figura 3, el administrador de red introdujo el
OID para la tabla de direcciones IP. La solicitud get devolvió toda la información de
direccionamiento para R1. El administrador de red autenticado con las credenciales
adecuadas. Compruebe que los datos se cifraron ejecutando un analizador de
protocolo, como Wireshark, y capturar los paquetes SNMP (consulte la Figura 4).
Haga clic aquí para ver la demostración de Keith Barker de configurar y verificar
SNMPv3.



Protocolo de tiempo de red

Muchas de las cosas involucradas en la seguridad de una red, como los registros de
seguridad, dependen de una fecha exacta y una marca de tiempo. Los segundos
importan cuando se trata de un ataque porque es importante identificar el orden en el
que ocurrió un ataque especificado. Asegúrese de que los mensajes de registro estén
marcados con precisión mediante el mantenimiento de la sincronización de los relojes
en los hosts y dispositivos de red.
Normalmente, la configuración de fecha y hora en el enrutador se puede establecer
mediante uno de los dos métodos siguientes:
• Editar manualmente la fecha y la hora
• Configure el Protocolo de tiempo de red (NTP)
La figura muestra un ejemplo de ajuste manual del reloj. A medida que crece una red,
se hace difícil asegurar que todos los dispositivos de infraestructura estén operando
con tiempo sincronizado. Incluso en un entorno de red más pequeño, el método

manual no es ideal. Si un enrutador se reinicia, ¿cómo se obtendrá una fecha exacta y

marca de tiempo?
Una solución mejor es configurar el NTP en la red. Este protocolo permite a los
enrutadores de la red sincronizar sus configuraciones de tiempo con un servidor
NTP. Un grupo de clientes NTP que obtienen información de fecha y hora de una sola
fuente tiene configuraciones de tiempo más consistentes. Cuando NTP se implementa
en la red, puede configurarse para sincronizarse con un reloj maestro privado o puede
sincronizarse con un servidor NTP públicamente disponible en Internet.
NTP utiliza UDP puerto 123 y está documentado en RFC 1305.
Servidor NTP
Al determinar si usar un reloj privado para la sincronización contra un reloj público,
es necesario pesar los riesgos y los beneficios de ambos.
Si se implementa un reloj maestro privado, el administrador debe asegurarse de que
la fuente de tiempo es válida y de un sitio seguro. Pueden introducirse
vulnerabilidades si el sitio no es seguro. Por ejemplo, un atacante puede lanzar un
ataque DoS enviando datos NTP falsos a través de Internet a la red en un intento de
cambiar los relojes. Este ataque podría ocasionar que los certificados digitales se
invalidaran. Un atacante podría intentar confundir a un administrador de red durante
un ataque interrumpiendo los relojes en los dispositivos de red. Este escenario
dificultaría que el administrador de red determinara el orden de sucesos de syslog en
varios dispositivos.
Obtener tiempo de reloj desde Internet significa que los paquetes no garantizados son
permitidos a través del firewall. Muchos servidores NTP en Internet no requieren

ninguna autenticación de los compañeros. Por lo tanto, el administrador de red debe

confiar en que el reloj en sí es fiable, válido y seguro.
Las comunicaciones (conocidas como asociaciones) entre máquinas que ejecutan
NTP suelen configurarse estáticamente. Cada dispositivo recibe la dirección IP de los
maestros de NTP. El mantenimiento preciso del tiempo es posible mediante el
intercambio de mensajes NTP entre cada par de máquinas con una asociación.
En una red configurada NTP, uno o más enrutadores se designan como guardián del
reloj maestro (también conocido como maestro NTP) utilizando el comando de modo
de configuración global maestro ntp , como se muestra en la Figura 1.
Los clientes NTP pueden ponerse en contacto con el maestro o escuchar los mensajes
del maestro para sincronizar sus relojes. Póngase en contacto con el maestro mediante
el comando ntp server ip-address , como se muestra en la Figura 2.
En un entorno LAN, NTP puede configurarse para usar mensajes de difusión IP
utilizando el comando de configuración de interfaz de cliente de difusión ntp , como
se muestra en la Figura 3. Esta alternativa reduce la complejidad de la configuración
porque cada máquina puede configurarse para enviar o recibir mensajes de
difusión. La exactitud de la hora se reduce marginalmente porque el flujo de
información es unidireccional solamente.
La Figura 4 muestra un maestro NTP maestro y una topología de servidor NTP. Las
figuras 5 y 6 muestran las configuraciones que son necesarias para soportar esa
topología en R1 y R2.



Autenticación NTP
NTP versión 3 (NTPv3), y posteriores, soporta un mecanismo de autenticación
criptográfica entre pares NTP. Este mecanismo de autenticación se puede utilizar para
ayudar a mitigar un ataque. Se utilizan tres comandos en el maestro NTP y en el
cliente NTP:
• ntp authenticate (Figura 1)
• ntp authentication-key key-number md5 valor-clave (Figura 2)
• ntp número de clave de clave de confianza(Figura 3)
La Figura 4 muestra una configuración de autenticación NTP de ejemplo.
Los clientes configurados sin autenticación aún obtienen la hora del servidor. La
diferencia es que estos clientes no autentican el servidor como una fuente segura.
Utilice el comando show ntp associations detail, como se muestra en la Figura 5,
para confirmar que el servidor es una fuente autenticada.
Nota : También puede establecer el valor del número de clave como un argumento en
el mandato ntp-server-address del servidor ntp .
Utilice el Comprobador de sintaxis en la Figura 6 para configurar la autenticación
NTP en R1.


Protocolos de descubrimiento CDP y LLDP

Los enrutadores Cisco se implementan inicialmente con muchos servicios habilitados
de forma predeterminada. Esto se hace por conveniencia y para simplificar el proceso
de configuración necesario para que el dispositivo funcione. Sin embargo, algunos de
estos servicios pueden hacer que el dispositivo sea vulnerable a ataques si la
seguridad no está habilitada. Los administradores también pueden habilitar servicios
en routers de Cisco que pueden exponer el dispositivo a un riesgo
significativo. Ambos escenarios deben tenerse en cuenta al asegurar la red.
Cisco Discovery Protocol (CDP) es un ejemplo de un servicio habilitado por defecto
en routers Cisco. El Protocolo de detección de capa de enlace (LLDP) es un estándar
abierto que se puede habilitar en dispositivos Cisco, así como en otros dispositivos de
proveedores que admiten LLDP. La configuración y verificación de LLDP es similar
a CDP. En la Figura 1, R1 y S1 están configurados con LLDP, usando el comando de
configuración global de ejecución de lldp . Ambos dispositivos ejecutan CDP de
forma predeterminada. La salida para mostrar los detalles de los vecinos
cdp y mostrar los detalles de los vecinos lldp revelará la dirección de un
dispositivo, la plataforma y los detalles del sistema operativo.
Lamentablemente, los atacantes no necesitan tener dispositivos compatibles con CDP
o LLDP para recopilar esta información confidencial. El software fácilmente

disponible, tal como Cisco CDP Monitor mostrado en la Figura 2, se puede descargar
para obtener la información. La intención de CDP y LLDP es facilitar a los
administradores la detección y resolución de problemas de otros dispositivos en la
red. Sin embargo, debido a las implicaciones de seguridad, estos protocolos de
descubrimiento deben utilizarse con precaución. Si bien es una herramienta
extremadamente útil, no debe estar en todas partes en la red. Los dispositivos de
borde son un ejemplo de un dispositivo que debería tener esta característica
desactivada.

Configuración de protocolos y servicios

Los atacantes eligen servicios y protocolos que hacen que la red sea más vulnerable a
la explotación maliciosa.
Muchas de estas características deben ser inhabilitadas o restringidas en sus
capacidades basadas en las necesidades de seguridad de una organización. Estas
características van desde protocolos de descubrimiento de redes, como CDP y LLDP,
hasta protocolos disponibles globalmente como ICMP y otras herramientas de
exploración.

Algunos de los ajustes predeterminados en el software Cisco IOS están ahí por
razones históricas. Eran configuraciones lógicas por defecto en el momento en que el
software fue escrito originalmente. Otras configuraciones predeterminadas tienen
sentido para la mayoría de los sistemas, pero pueden crear exposiciones de seguridad
si se utilizan en dispositivos que forman parte de una defensa perimetral de la
red. Todavía otros estándares son requeridos por las normas, pero no siempre son
deseables desde el punto de vista de la seguridad.
La Figura 1 resume la característica y la configuración predeterminada para
protocolos y servicios. La Figura 2 muestra la configuración de seguridad
recomendada para protocolos y servicios.
Existen varias prácticas importantes disponibles para ayudar a asegurar que un
dispositivo sea seguro:
• Deshabilite servicios e interfaces innecesarios.
• Deshabilite y restrinja servicios de administración comúnmente configurados,
como SNMP.
• Deshabilitar sondas y exploraciones, como ICMP. Asegurar la seguridad del
acceso al terminal.
• Deshabilite los protocolos de resolución de direcciones (ARP) gratuitos y de
proxy.
• Inhabilitar las transmisiones dirigidas por IP.



Cisco AutoSecure
Lanzado en IOS versión 12.3, Cisco AutoSecure es una característica que se inicia
desde la CLI y ejecuta un script. AutoSecure hace recomendaciones para corregir
vulnerabilidades de seguridad y luego modifica la configuración de seguridad del
enrutador, como se muestra en la figura.
AutoSecure puede bloquear las funciones del plano de gestión y los servicios y
funciones del plano de reenvío de un enrutador. Hay varios servicios y funciones del
plano de gestión:
• Proteja los servidores pequeños de BOOTP, CDP, FTP, TFTP, PAD, UDP y
TCP, MOP, ICMP (redireccionamientos, respuestas de máscara), enrutamiento
de origen IP, Finger, encriptación de contraseña, TCP keepalives, ARP gratuito,
proxy ARP y broadcast dirigido
• Notificación legal mediante un banner
• Contraseña segura y funciones de inicio de sesión
• Secure NTP
• Acceso SSH seguro
• Servicios de interceptación TCP
Hay tres servicios y funciones de plano de reenvío que AutoSecure permite:
• Reenvío Cisco Express (CEF)
• Filtrado de tráfico con ACL
• Inspección de firewall Cisco IOS para protocolos comunes
AutoSecure se utiliza a menudo en el campo para proporcionar una política de
seguridad de línea de base en un nuevo enrutador. Las características pueden ser
alteradas para apoyar la política de seguridad de la organización.

Uso de la característica Cisco AutoSecure

Utilice el comando auto secure para habilitar la configuración de la característica
Cisco AutoSecure. Esta configuración puede ser interactiva o no interactiva. La
Figura 1 muestra la sintaxis del comando de seguridad automática . La figura 2
muestra los parámetros de comando. La Figura 3 muestra descripciones de los
parámetros de comando.
En modo interactivo, el enrutador solicita opciones para habilitar y deshabilitar
servicios y otras funciones de seguridad. Este es el modo predeterminado, pero
también se puede configurar mediante el comando seguro automático completo .
El modo no interactivo se configura con el comando auto-secure no-interact . Esto
ejecutará automáticamente la función Cisco AutoSecure con la configuración
predeterminada de Cisco recomendada. El comando seguro automático también se
puede introducir con palabras clave para configurar componentes específicos, como
el plano de administración ( palabra clave de administración) y el plano
de reenvío ( palabra clave de reenvío ).


Uso del comando de seguridad automática

Cuando se inicia el comando de seguridad automática , un asistente de CLI indica al
administrador a través de la configuración del dispositivo. Es necesaria la entrada de
usuario.
1. Se ingresa el comando de seguridad automática . El enrutador muestra el mensaje
de bienvenida del asistente de configuración de AutoSecure, como se muestra en la
Figura 1.
2. El asistente recopila información sobre las interfaces externas, como se muestra en
la Figura 2.
3. AutoSecure asegura el plano de gestión mediante la desactivación de servicios
innecesarios, como se muestra en la Figura 3.
4. AutoSecure solicita un banner, como se muestra en la Figura 4.
5. AutoSecure solicita contraseñas y habilita las características de contraseña y de
inicio de sesión, como se muestra en la Figura 5.
6. Las interfaces están aseguradas, como se muestra en la Figura 6.
7. El plano de reenvío está asegurado, como se muestra en la Figura 7.

Cuando el asistente está completo, una configuración en ejecución muestra todas las
configuraciones y cambios.
Nota : AutoSecure debe utilizarse cuando se configura inicialmente un enrutador. No
se recomienda en los routers de producción.
Utilice el Comprobador de sintaxis en la Figura 8 para asegurar R1 usando
AutoSecure.




Protocolo de enrutamiento Spoofing

Los sistemas de enrutamiento se pueden atacar interrumpiendo los enrutadores de red
de pares, o falsificando o falsificando la información transportada dentro de los
protocolos de enrutamiento. La información de enrutamiento falsa puede usarse
generalmente para hacer que los sistemas desinformen (mentir) entre sí, causar un
ataque DoS o hacer que el tráfico siga un camino que normalmente no seguiría. Hay
varias consecuencias de la falsificación de información de enrutamiento:
• Redirigir el tráfico para crear bucles de enrutamiento
• Redirigir el tráfico para que pueda ser supervisado en un enlace inseguro
• Redireccionar el tráfico para descartarlo
Haga clic en el botón Reproducir de la animación para ver un ejemplo de ataque que
crea un bucle de enrutamiento.
Supongamos que un atacante ha podido conectarse directamente al enlace entre R1 y
R2. El atacante envía información de enrutamiento de R1 falsa indicando que R2 es
el destino preferido de la red 192.168.10.0/24. Aunque R1 ya tiene una entrada de
tabla de enrutamiento a la red 192.168.10.0/24, la nueva ruta tiene una métrica más
baja y por lo tanto es la entrada preferida en la tabla de enrutamiento.
Por consiguiente, cuando PC3 envía un paquete a PC1 (192.168.10.10/24), R3 envía
el paquete a R2 que a su vez lo reenvía a R1. R1 no envía el paquete al host PC1. En
su lugar, encamina el paquete a R2 porque la mejor ruta aparente a 192.168.10.0 / 24
es a través de R2. Cuando R2 obtiene el paquete, busca en su tabla de enrutamiento y
encuentra una ruta legítima a la red 192.168.10.0/24 a través de R1 y reenvía el
paquete a R1, creando el bucle. El bucle fue causado por la desinformación inyectada
en R1.
Para obtener más información sobre amenazas genéricas a los protocolos de
enrutamiento, haga clic aquí y consulte RFC 4593. Mitigar los ataques de protocolo
de enrutamiento al configurar la autenticación OSPF.




Autenticación de protocolo de enrutamiento OSPF

MD5
OSPF admite la autenticación de protocolo de enrutamiento utilizando MD5. La
autenticación MD5 se puede habilitar globalmente para todas las interfaces o por
interfaz.
Habilitar la autenticación global de OSPF MD5:
• ip ospf mensaje-digest-clave clave md5 contraseña interfaz configuración
comando.
• area area-id de autenticación message-digest router configuration command.
Este método fuerza la autenticación en todas las interfaces habilitadas para OSPF. Si
una interfaz no está configurada con el comando ip ospf message-digest-key , no
será capaz de formar adyacencias con otros vecinos OSPF.
Habilite la autenticación MD5 por interfaz:
• ip ospf mensaje-digest-clave clave md5 contraseña interfaz configuración
comando.
• comando de configuración de interfaz ip-ospf de autenticación de mensajes .
La configuración de la interfaz reemplaza la configuración global. Las contraseñas de
autenticación MD5 no tienen que ser las mismas en toda la zona. Sin embargo, tienen
que ser los mismos entre los vecinos.
En la Figura 1, R1 y R2 están configurados con OSPF y el enrutamiento está
funcionando correctamente. Sin embargo, los mensajes OSPF no se autentican ni
encriptan. En la Figura 2, R1 y R2 están configurados con autenticación OSPF
MD5. La autenticación se configura en una base de interfaz porque ambos
enrutadores están utilizando sólo una interfaz para formar adyacencias
OSPF. Observe que cuando R1 está configurado, la adyacencia OSPF se pierde con
R2 hasta que R2 se configura con la autenticación MD5 coincidente.


Autenticación de protocolo de enrutamiento SHP

de OSPF
MD5 ahora se considera vulnerable a los ataques y sólo se debe utilizar cuando
una autenticación más fuerte no está disponible. Cisco IOS versión 15.4 (1) T
añadió soporte para la autenticación SHA de OSPF, como se detalla en RFC
5709. Por lo tanto, el administrador debe utilizar la autenticación SHA siempre
y cuando todos los sistemas operativos del enrutador soporten la autenticación
SHA de OSPF.
La autenticación SHA de OSPF incluye dos pasos principales. La sintaxis de los
comandos se muestra en la Figura 1:
Paso 1. Especifique un llavero de autenticación en el modo de configuración
global:

• Configure un nombre de la cadena con el comando de la cadena de

teclas .
• Asignar el llavero de un número y una contraseña con la clave y la clave
de cadena de comandos.
• Especifique la autenticación SHA con el comando de algoritmo
criptográfico .
• (Opcional) Especifique cuando esta clave expirará con el comando send-
lifetime .
Paso 2. Asigne la clave de autenticación a las interfaces deseadas con
el comando ip ospf authentication key-chain .
En la Figura 2, R1 y R2 se configuran con autenticación SHA OSPF utilizando
una clave denominada SHA256 y la cadena clave ospfSHA256. Observe que
cuando R1 está configurado, la adyacencia OSPF se pierde con R2 hasta que R2
se configura con la autenticación SHA correspondiente.
Utilice el Comprobador de sintaxis en la Figura 3 para configurar la
autenticación OSPF con SHA 256.


Operaciones de dispositivos de red

Aunque la función principal de los routers es transmitir contenido generado por
el usuario a través del plano de datos, los enrutadores también generan y
reciben tráfico destinado a los planos de control y administración. Por lo tanto,
los enrutadores deben ser capaces de distinguir entre plano de datos, plano de
control y paquetes de plano de gestión para tratar cada paquete apropiadamente,
como se muestra en la figura.
• Paquetes de plano de datos - Paquetesgenerados por el usuario que
siempre son reenviados por dispositivos de red a otros dispositivos de
estación final. Desde la perspectiva del dispositivo de red, los paquetes de
plano de datos siempre tienen una dirección IP de destino de tránsito y
pueden ser manejados por procesos de reenvío basados en direcciones IP
de destino normales.
• Paquetes de plano de control - Dispositivos de red generados o
recibidos paquetes que se utilizan para la creación y operación de la
red. Los ejemplos incluyen protocolos, como OSPF, ARP, Border
Gateway Protocol (BGP) y otros protocolos que mantienen la red
convergida y funcionando correctamente. Los paquetes de plano de
control son generalmente paquetes enviados al enrutador o dispositivo de
red. La dirección IP de destino es la del enrutador.
• Paquetes de planos de administración: los paquetes generados o
recibidos por el dispositivo de red que se utilizan para administrar la
red. Los ejemplos incluyen protocolos, como Telnet, SSH, SNMP, NTP y
otros protocolos utilizados para administrar el dispositivo o la red.
En condiciones normales de funcionamiento de la red, la gran mayoría de los
paquetes manejados por dispositivos de red son paquetes de plano de
datos. Estos paquetes son manejados por Cisco Express Forwarding
(CEF). CEF utiliza el plano de control para rellenar previamente la tabla Base
de información de reenvío CEF (FIB) en el plano de datos con la interfaz de
salida adecuada para un flujo de paquetes dado. Los paquetes subsiguientes que
fluyen entre esa misma fuente y destino son reenviados por el plano de datos
basado en la información contenida en el FIB.

Control and Management Plane Vulnerabilities

The router processor (the CPU in the control plane) is significantly less capable of
handling the kinds of packet rates experienced by CEF, and therefore, it is never
directly involved in the forwarding of data plane packets.
In contrast, when high packet rates overload the control or management plane, route
processor resources can be overwhelmed. This reduces the availability of these
resources for tasks critical to the operation and maintenance of the network.
Malicious and non-malicious events can overwhelm route processor resources.
Malicious events include crafted packet attacks or simply high rates of packets
directed at the control plane. Non-malicious events may result from router or network
misconfigurations, software bugs, or network failure re-convergence events. It is
important to take appropriate steps to protect the route processor from being
overwhelmed, whether by malicious or non-malicious events.
An interface ACL is the traditional and most generally available approach for
managing all packets entering or exiting a network device. ACLs are well understood
and are generally applicable to data, services, control, and management plane
packets. As shown in the figure, ACLs are applied at the interface level to each packet
ingressing (or egressing) the interface, not just control plane packets. In addition,

ACLs must be applied to every interface to which the policy is to be applied. On

large routers, this can be a time-consuming task.
Operación CoPP
Control Plane Policing (CoPP) es una característica de Cisco IOS diseñada para
permitir a los administradores administrar el flujo de tráfico que se "compite" con el
procesador de rutas, como se muestra en la figura. El término "punt" está definido por
Cisco para describir la acción que toma una interfaz al enviar un paquete al
procesador de ruta. CoPP está diseñado para evitar que el tráfico innecesario
sobrecargue el procesador de rutas, que si no se detiene, podría afectar el rendimiento
del sistema.
CoPP protege el procesador de rutas en dispositivos de red al tratar los recursos del
procesador de rutas como una entidad independiente con su propia interfaz. En
consecuencia, una política de CoPP puede ser desarrollada y aplicada solamente a
aquellos paquetes dentro del plano de control. A diferencia de las ACL de interfaz, no
se desperdicia ningún esfuerzo investigando paquetes de planos de datos que nunca
llegarán al plano de control.

La configuración de CoPP está fuera del alcance de este curso.
Resumen del capítulo 2: Asegurar los dispositivos de

red
Al asegurar una red, el endurecimiento del dispositivo debe ser el primer paso. Esto
incluye asegurar el perímetro de red, asegurar el acceso administrativo a dispositivos
de infraestructura, mejorar la seguridad de inicio de sesión virtual y utilizar
protocolos seguros en un protocolo no seguro. Por ejemplo, usar SSH en lugar de
Telnet o HTTPS en lugar de HTTP.
Limitar el acceso administrativo también es importante. Los administradores deben
proporcionar acceso a dispositivos de infraestructura basados en niveles de
privilegios e implementar una CLI basada en roles para proporcionar acceso
administrativo jerárquico.
Las imágenes de IOS y los archivos de configuración deben protegerse mediante la
función de configuración resiliente de Cisco IOS. Se debe implementar la supervisión
de la red, incluida la configuración de Syslog, SNMP y NTP.
En Resumen, los administradores deben identificar todos los servicios, interfaces y
servicios de administración que son vulnerables a ataques de red. Esto se logra
mediante la realización rutinaria de auditorías de seguridad. Los administradores
deben utilizar el comando Cisco IOS CLI auto secure antes de implementar nuevos
dispositivos en un entorno de producción. La autenticación de protocolo de
enrutamiento debe implementarse para proteger el plano de control de la suplantación
de protocolos de enrutamiento.

CCNA Security 2.0 Cap 2

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

CCNA Security 2.0 Cap 2

Cargado por

Copyright:

Formatos disponibles

CCNA Security 2.

Capítulo 2Asegurar los dispositivos de red

CISCO Neteorking Academy..............................Escuela de Telecomunicaciones del Ejército CETEL

tener el mismo nivel de acceso a los dispositivos de infraestructura, la definición de

Asegurar la infraestructura de red

CISCO Neteorking Academy..............................Escuela de Telecomunicaciones del Ejército CETEL

Tres áreas de seguridad del router

CISCO Neteorking Academy..............................Escuela de Telecomunicaciones del Ejército CETEL

• Control administrativo seguro. Asegúrese de que sólo el personal autorizado

CISCO Neteorking Academy..............................Escuela de Telecomunicaciones del Ejército CETEL

Acceso administrativo seguro

CISCO Neteorking Academy..............................Escuela de Telecomunicaciones del Ejército CETEL

• Asegurar la confidencialidad de los datos - Proteger los datos almacenados

Acceso administrativo seguro

____ Restringir la accesibilidad del

____ Registrar y contabilizar todos los

____ Acceso autenticado

____ Autorizar acciones

CISCO Neteorking Academy..............................Escuela de Telecomunicaciones del Ejército CETEL

____ Notificación legal actual

____ Garantizar la confidencialidad de los

Acceso local y remoto seguro

CISCO Neteorking Academy..............................Escuela de Telecomunicaciones del Ejército CETEL

• Configure un filtro de paquetes para permitir que sólo los hosts de

CISCO Neteorking Academy..............................Escuela de Telecomunicaciones del Ejército CETEL

CISCO Neteorking Academy..............................Escuela de Telecomunicaciones del Ejército CETEL

•2.1Asegurar el acceso al dispositivo

CISCO Neteorking Academy..............................Escuela de Telecomunicaciones del Ejército CETEL

CISCO Neteorking Academy..............................Escuela de Telecomunicaciones del Ejército CETEL

CISCO Neteorking Academy..............................Escuela de Telecomunicaciones del Ejército CETEL

Aumentar la seguridad del acceso

CISCO Neteorking Academy..............................Escuela de Telecomunicaciones del Ejército CETEL

• De forma predeterminada, una interfaz administrativa permanece activa y se

CISCO Neteorking Academy..............................Escuela de Telecomunicaciones del Ejército CETEL

Algoritmos secretos de la contraseña

CISCO Neteorking Academy..............................Escuela de Telecomunicaciones del Ejército CETEL

CISCO Neteorking Academy..............................Escuela de Telecomunicaciones del Ejército CETEL

CISCO Neteorking Academy..............................Escuela de Telecomunicaciones del Ejército CETEL

CISCO Neteorking Academy..............................Escuela de Telecomunicaciones del Ejército CETEL

Acceso a la línea de seguridad

CISCO Neteorking Academy..............................Escuela de Telecomunicaciones del Ejército CETEL

•2.1Asegurar el acceso al dispositivo

los inicios de sesión virtuales

Mejorar el proceso de inicio de sesión

CISCO Neteorking Academy..............................Escuela de Telecomunicaciones del Ejército CETEL

CISCO Neteorking Academy..............................Escuela de Telecomunicaciones del Ejército CETEL

Configuración de las funciones de mejora de inicio de

CISCO Neteorking Academy..............................Escuela de Telecomunicaciones del Ejército CETEL

Estas mejoras de inicio de sesión no se aplican a las conexiones de consola. Cuando

CISCO Neteorking Academy..............................Escuela de Telecomunicaciones del Ejército CETEL

Habilitar mejoras de inicio de sesión

CISCO Neteorking Academy..............................Escuela de Telecomunicaciones del Ejército CETEL

identifica utilizando el mandato login-class de acceso de clase de acceso , como se

CISCO Neteorking Academy..............................Escuela de Telecomunicaciones del Ejército CETEL

•2.1Asegurar el acceso al dispositivo

•2.1.4.1Pasos para configurar SSH

CISCO Neteorking Academy..............................Escuela de Telecomunicaciones del Ejército CETEL

Pasos para configurar SSH

CISCO Neteorking Academy..............................Escuela de Telecomunicaciones del Ejército CETEL

CISCO Neteorking Academy..............................Escuela de Telecomunicaciones del Ejército CETEL

CISCO Neteorking Academy..............................Escuela de Telecomunicaciones del Ejército CETEL

CISCO Neteorking Academy..............................Escuela de Telecomunicaciones del Ejército CETEL

Pasos para configurar SSH

CISCO Neteorking Academy..............................Escuela de Telecomunicaciones del Ejército CETEL