Capítulo 3: Seguridad de los

dispositivos de Red

Ing. Lucas Zuluaga Perez

CCNP R&S, CCNP SECURITY, CCDP
Advanced Security Architecture Specialization
 Seguridad de los dispositivos de acceso
HARDENING (palabra en inglés que significa endurecimiento) en seguridad informática es un
conjunto de actividades que son llevadas a cabo por el administrador de un sistema para reforzar al
máximo posible la seguridad de su equipo, esto se logra: deshabilitando servicios no utilizados,
cambiando las credenciales por defecto, instalando las ultimas versiones estables del S.O
Hardening en dispositivos de red
▪ Instalar las ultimas versiones estables de IOS / IOS-XE
▪ Restringir el acceso a las interfaces administrativas, desde ciertas subredes.
▪ Deshabilitar servicios no utilizados y apagando los puertos físicos que no estén en uso.

Presentation_ID © 2014 Cisco Systems, Inc. Todos los derechos reservados. Información confidencial de Cisco 2
 Seguridad de los dispositivos de acceso
▪ La protección de los distintos planos de operación de un dispositivo Layer2 (Switch) o un Layer3
(Router) Control Plane, Data Plane y Management Plane es una actividad importante para
minimizar los riesgos que se pueden presentar.
▪ La seguridad de las funciones de gestión y reportes de los dispositivos Cisco también es
importante, las practicas recomendadas para asegurar Syslog, SNMP, NTP.
▪ Deshabilitar servicios habilitados por defecto, muchas de la funciones que vienen habilitadas ya
no son necesarias y deberían ser desactivadas.

Presentation_ID © 2014 Cisco Systems, Inc. Todos los derechos reservados. Información confidencial de Cisco 3
 Control Plane
Este plano es el responsable de controlar los procesos que permiten generar una tabla de
enrutamiento en el Router. BGP, EIGRP, OSPF, IS-IS, RIP son algunas funciones que corren en
este plano.
▪ Toda la información de un protocolo de enrutamiento que un Router recibe de sus vecinos es
almacenada en la RIB (Router Information Base) donde se encuentran todos los prefijos de red.
▪ A partir de esta tabla RIB, se genera la FIB (Forward Information Base) que es la tabla que
utilizara el plano de datos para poder enrutar el trafico.
▪ Es importante proteger el plano de control de manera que el plano de datos no se vea afectado:

• Autenticación del protocolo de Enrutamiento

• Protección de CPU para Flood de trafico destinados al propio Router.

Presentation_ID © 2014 Cisco Systems, Inc. Todos los derechos reservados. Información confidencial de Cisco 4
 Control Plane
Autenticación del protocolo de Enrutamiento:
• Permite autenticar la fuente que esta enviando una actualización de enrutamiento.
• Previene falsas actualizaciones/actualizaciones maliciosas de fuentes no autorizadas.

Presentation_ID © 2014 Cisco Systems, Inc. Todos los derechos reservados. Información confidencial de Cisco 5
 Data Plane
▪ Este plano es el responsable del forwarding de paquetes.
▪ El trafico que se recibe en el Router, es procesado a través de CEF, utilizando la FIB para buscar
por donde conmutar el paquete.
▪ Mecanismos de protección en este plano:
• ACL (Listas de control de acceso) en las interfaces del Router para filtrar el trafico en transito.
• IPS Configurando el Router para hacer Deep Packet Inspection para inspección del header y
del payload.
• uRPF (Unicast Reverse Path Forwarding) para prevenir ataques de Spoofing.

Presentation_ID © 2014 Cisco Systems, Inc. Todos los derechos reservados. Información confidencial de Cisco 6
 Management Plane
▪ Este plano es el encargado de acceder a la interfaz de administración del Router.
▪ Utiliza protocolos como Telnet, SSH, HTTP, HTTPS para el acceso a la interfaz de administración.
▪ Es importante proteger este plano utilizando solo los protocolos seguros SSH o HTTPS, ya que
cifran la información.

▪ El monitoreo de los dispositivos se debería realizar utilizando SNMP versión 3

▪ Configurar Syslog (Registro de logs de eventos en un servidor) y NTP para tener la hora
sincronizada.

Presentation_ID © 2014 Cisco Systems, Inc. Todos los derechos reservados. Información confidencial de Cisco 7
 Seguridad de los dispositivos de acceso

Laboratorio:
Realizar el Hardening de un Router Cisco que cuenta con una configuración básica.

Presentation_ID © 2014 Cisco Systems, Inc. Todos los derechos reservados. Información confidencial de Cisco 8
 Funciones de seguridad automatizadas
▪ AutoSecure es una herramienta de Cisco incorporada a partir de la versión IOS 12.3 y superiores
que ayuda a asegurar los Router mas fácilmente. Las tareas que se pueden realizar con
AutoSecure son las siguientes:
▪ Deshabilita servicios vulnerables
▪ Habilita servicios que mejoran la seguridad
▪ Deshabilita servicios vulnerables por interface.
▪ Nos guía en la implementación de sistemas de autenticación.
▪ Ajusta parámetros de acceso al dispositivo.
▪ Configura bloqueos y restricciones en la interfaces.

Presentation_ID © 2014 Cisco Systems, Inc. Todos los derechos reservados. Información confidencial de Cisco 9
 Funciones de seguridad automatizadas
▪ Modo Interactivo
▪ Modo por defecto
▪ Funciona como un cuestionario, consultándonos la función de seguridad a activar en el
dispositivo de red.
▪ Asegura el dispositivo configurando servicio, interfaces, usuario, acceso y otras medidas.

Modo No Interactivo
• Se indica añadiendo el parámetro no-interact después del comando general.
• Configura varias opciones generales de seguridad recomendadas por cisco.

Presentation_ID © 2014 Cisco Systems, Inc. Todos los derechos reservados. Información confidencial de Cisco 10
 Banners
▪ Un Banner es un mensaje que aparece, según sea, antes o después de ganar un acceso al
Router.
▪ Simplemente sirve para dar a conocer la política de seguridad y quien puede acceder al Router o
incluso un numero de contacto del área encargada de gestionar el dispositivo.
▪ Tipos de Banners:
• Modt (Mensaje del dia): el primer mensaje que aparece cuando se accede al Router por
consola.
• Incoming: Es mostrado cuando comienza una sesión de telnet o SSH
• Login: Es mostrado antes de que el proceso de login (Usuario y contraseña) comience.

Presentation_ID © 2014 Cisco Systems, Inc. Todos los derechos reservados. Información confidencial de Cisco 11
 Banners
▪ El Banner nunca debería incluir palabras como “Bienvenido” porque podría interpretarse como
una invitación a romper la seguridad del dispositivo desde un punto de vista legal.
▪ El comando y un texto típico para un banner login puede ser el siguiente:

Router (Config)# banner motd #

***ATENCION *** El acceso a esta terminal de computo solo esta permitido a usuarios previamente autorizados por la
compañía. Cualquier acceso no autorizado esta estrictamente prohibido y será sancionado según marca la ley.
#

Presentation_ID © 2014 Cisco Systems, Inc. Todos los derechos reservados. Información confidencial de Cisco 12
 Acceso administrativo seguro
▪ Los administradores deben asegurarse que se usen contraseñas fuertes en toda la red. Los
atacantes utilizan varios métodos para el descubrimiento de contraseñas, como ataques por
diccionario o Brute Force.

▪ Para aumentar la seguridad de las contraseñas se deben configurar según lo siguiente:

• Establecer longitudes mínimas de contraseñas

• Deshabilitar conexiones no utilizadas (HTTP, HTTPS, Telnet)
• Cifrar todas las contraseñas en el archivo de configuración.

Presentation_ID © 2014 Cisco Systems, Inc. Todos los derechos reservados. Información confidencial de Cisco 13