UNIVERSIDAD TECNOLÓGICA DE NEZAHUALCÓYOTL

DIVISIÓN TELEMÁTICA

Carrera: Ing. Tecnologías De La Información Y Comunicación

Materia: Seguridad de la Información

Profesor: Rodolfo Hernandez Valdez

Nombre De La Actividad: Resumen Capitulo 2

Alumno:

Brandon Adrian Tenorio Flores - 191112031

Grupo: ITIC-1011M
 INTRODUCCION
Asegurar dispositivos de red
El endurecimiento del dispositivo es una tarea crítica al proteger la red. Implica utilizar la interfaz
de línea de comandos del IOS de Cisco para implementar métodos probados de asegurar
físicamente el enrutador y proteger el acceso administrativo del enrutador.
Asegurar el tráfico de red saliente y examinar el tráfico entrante son aspectos críticos de la
seguridad de la red. Asegurar el enrutador perimetral, que se conecta a la red externa, es un primer
paso importante para asegurar la red.
Algunos de estos métodos implican asegurar el acceso administrativo, incluido el mantenimiento
de contraseñas, la configuración de características mejoradas de inicio de sesión virtual y la
implementación de Secure Shell. Debido a que no todo el personal de tecnología de la información
debería tener el mismo nivel de acceso a los dispositivos de infraestructura, la definición de los
roles administrativos en términos de acceso es otro aspecto importante para asegurar los
dispositivos de infraestructura.
La autenticación del protocolo de enrutamiento es una práctica recomendada de seguridad
necesaria para evitar la falsificación del protocolo de enrutamiento.
 CAPITULO 2:
2.1.1 Asegurando la Infraestructura de Red
Asegurar la infraestructura de red es fundamental para la seguridad general de la red. La
infraestructura de red incluye enrutadores, conmutadores, servidores, puntos finales y otros
dispositivos.
Para evitar el acceso no autorizado a todos los dispositivos de infraestructura, se deben implementar
políticas y controles de seguridad adecuados. Los enrutadores son un objetivo principal para los
ataques porque estos dispositivos actúan como policías de tráfico, que dirigen el tráfico hacia
dentro, fuera y entre redes.

2.1.1.2 Enfoques de seguridad del enrutador perimetral

La implementación del enrutador perimetral varía según el tamaño de la organización y la
complejidad del diseño de red requerido. Las implementaciones de enrutadores pueden incluir un
solo enrutador que proteja una red interna completa o un enrutador que funcione como la primera
línea de defensa en un enfoque de defensa en profundidad.
Un enfoque de defensa en profundidad es más seguro que el enfoque de enrutador único. Utiliza
múltiples capas de seguridad antes de que el tráfico ingrese a la LAN protegida.
El cortafuegos normalmente se retiene donde el enrutador de borde se detiene y realiza un filtrado
adicional. Proporciona control de acceso adicional al rastrear el estado de las conexiones y actúa
como un dispositivo de punto de control. Por defecto, el firewall niega el inicio de conexiones
desde las redes externas (no confiables) a la red interna (confiable).
El firewall está ubicado entre las redes protegidas y no protegidas. El firewall está configurado
para permitir las conexiones requeridas, como HTTP, desde las redes externas (no confiables) a los
servidores públicos en la DMZ. El cortafuegos sirve como la protección principal para todos los
dispositivos en la DMZ.

2.1.1.3 Tres áreas de seguridad del enrutador

Seguridad física

Proporcionar seguridad física para los enrutadores:

➢ El enrutador y los dispositivos físicos que se conectan a él en una habitación segura y

cerrada que sea accesible solo para personal autorizado, esté libre de interferencias
electrostáticas o magnéticas, tenga extinción de incendios y controles de temperatura y
humedad.
➢ Una fuente de alimentación ininterrumpida (UPS) o un generador de energía de respaldo
diesel y mantenga disponibles los componentes de repuesto.
Seguridad del sistema operativo

Existen algunos procedimientos involucrados para asegurar las características y el rendimiento de

los sistemas operativos de enrutadores:

➢ Configure el enrutador con la máxima cantidad de memoria posible.

➢ Use la última versión estable del sistema operativo que cumpla con las especificaciones
de características del enrutador o dispositivo de red.
➢ Mantenga una copia segura de las imágenes del sistema operativo del enrutador y los
archivos de configuración del enrutador como copias de seguridad.

Endurecimiento del enrutador

Eliminar el posible abuso de los puertos y servicios no utilizados:

➢ Control administrativo seguro.

➢ Deshabilitar puertos e interfaces no utilizados.
➢ Deshabilitar servicios innecesarios.

2.1.1.4 Acceso administrativo seguro

Asegurar el acceso administrativo es una tarea de seguridad extremadamente importante. Si una
persona no autorizada obtiene acceso administrativo a un enrutador, esa persona podría alterar los
parámetros de enrutamiento, desactivar las funciones de enrutamiento o descubrir y obtener acceso
a otros sistemas dentro de la red.

➢ Restrinja la accesibilidad del dispositivo: limite los puertos accesibles, restrinja los
comunicadores permitidos y restrinja los métodos de acceso permitidos.
➢ Registre y tenga en cuenta todos los accesos: registre a cualquier persona que acceda a
un dispositivo, lo que sucedió durante el acceso y cuándo se produjo el acceso con fines
de auditoría.
➢ Autenticar acceso: asegúrese de que el acceso se otorgue solo a usuarios, grupos y
servicios autenticados. Limite el número de intentos fallidos de inicio de sesión y el
tiempo permitido entre inicios de sesión.
➢ Autorizar acciones: restrinja las acciones y vistas permitidas por cualquier usuario,
grupo o servicio en particular.
➢ Presente notificación legal: muestre un aviso legal, desarrollado junto con el asesor
legal de la compañía, para sesiones interactivas.
➢ Garantice la confidencialidad de los datos: proteja los datos almacenados localmente y
confidenciales para que no se vean ni copien.

2.1.1.5 Acceso local y remoto seguro

➢ Cifrar todo el tráfico entre la computadora del administrador y el enrutador.
➢ Establecer una red de administración dedicada.
➢ Configurar un filtro de paquetes para permitir que solo los hosts de administración
identificados y los protocolos preferidos accedan al enrutador.
➢ Configure y establezca una conexión VPN a la red local antes de conectarse a una
interfaz de administración del enrutador.
2.1.2.1 Contraseñas seguras
Los atacantes implementan varios métodos para descubrir contraseñas administrativas. Pueden
mirar por encima del hombro de un usuario, intentar adivinar las contraseñas basadas en la
información personal del usuario o detectar paquetes que contienen archivos de configuración de
texto sin formato. Los atacantes también pueden usar un descifrador de contraseñas, como
L0phtCrack

2.1.2.2 Seguridad de acceso creciente

• Por defecto, la longitud mínima de la contraseña es de seis caracteres. Para aumentar la
longitud mínima, use el comando del modo de configuración global de longitud mínima
de las contraseñas de seguridad.

• De manera predeterminada, con la excepción de la contraseña generada por

el comando enable secret, todas las contraseñas del enrutador Cisco se almacenan en texto
sin formato en el inicio del enrutador y en los archivos de configuración en ejecución. Para
cifrar todas las contraseñas de texto sin formato, use el comando service password-
encryption en el modo de configuración global.

• De manera predeterminada, una interfaz administrativa permanece activa e iniciada sesión

durante 10 minutos después de la última actividad de la sesión. Para deshabilitar las
conexiones desatendidas, use el comando exec-timeout minutes [ segundos] en el modo de
configuración de línea para cada una de las líneas que están configuradas para el acceso.

2.1.2.3 Algoritmos de contraseña secreta

Los hash MD5 ya no se consideran seguros porque los atacantes pueden reconstruir certificados
válidos. Esto puede permitir a los atacantes falsificar cualquier sitio web.

Por razones de compatibilidad con versiones anteriores, los comandos de habilitar contraseña,
contraseña de nombre de usuario y contraseña de línea están disponibles en Cisco IOS. Estos
comandos no usan encriptación por defecto.

2.1.2.4 Asegurando el acceso a la línea

Por defecto, la consola y los puertos auxiliares no requieren una contraseña para el acceso
administrativo. Además, el comando de contraseña configurado en la consola, vty y las líneas
auxiliares solo pueden usar el tipo 7. Por lo tanto, debe configurar la consola y las líneas auxiliares
para la autenticación de nombre de usuario / contraseña con el comando de inicio de sesión local.
2.1.1.3 Mejorando el proceso de inicio de sesión
La habilitación de un perfil de detección le permite configurar un dispositivo de red para reaccionar
ante intentos fallidos de inicio de sesión rechazando más solicitudes de conexión (o bloqueo de
inicio de sesión). Este bloque se puede configurar por un período de tiempo, que se denomina
período de silencio. Las listas de control de acceso (ACL) se pueden usar para permitir una
conexión legítima desde direcciones de administradores de sistemas conocidos.

2.1.3.2 Configuración de las características de mejora de inicio de sesión

El comando de bloqueo de inicio de sesión puede defenderse contra ataques DoS al deshabilitar
los inicios de sesión después de un número específico de intentos fallidos de inicio de sesión. El
comando de inicio de sesión en modo silencioso se asigna a una ACL que identifica los hosts
permitidos. Esto garantiza que solo los hosts autorizados puedan intentar iniciar sesión en el
enrutador. El comando de retraso de inicio de sesión especifica una cantidad de segundos que el
usuario debe esperar entre intentos de inicio de sesión fallidos. El inicio de sesión en el éxito y la
entrada en el fallo de comandos de registro de intentos de acceso exitosos y no exitosos.

2.1.3.3 Habilitar mejoras de inicio de sesión

Específicamente, el comando block-for de inicio de sesión supervisa la actividad del dispositivo de
inicio de sesión y funciona en dos modos:
➢ Modo normal: también se conoce como modo reloj. El enrutador mantiene el recuento
de la cantidad de intentos fallidos de inicio de sesión dentro de un período de tiempo
identificado.
➢ Modo silencioso: también se conoce como el período silencioso. Si el número de inicios
de sesión fallidos supera el umbral configurado, todos los intentos de inicio de sesión
con Telnet, SSH y HTTP se rechazarán durante el tiempo especificado en el comando
de bloqueo de inicio de sesión.

2.1.3.4 Intentos fallidos de registro

Hay tres comandos que se pueden configurar para ayudar a un administrador a detectar un ataque
de contraseña
Use el comando show login para verificar la configuración del comando de bloqueo de inicio de
sesión y el modo actual. En la Figura 2, R1 se configuró para bloquear hosts de inicio de sesión
durante 120 segundos si fallan más de cinco solicitudes de inicio de sesión en 60 segundos. R1
también confirma que el modo actual es normal y que ha habido cuatro fallas de inicio de sesión
en los últimos 55 segundos porque quedan cinco segundos en el modo normal.

2.1.4.3 Pasos para configurar SSH

Paso 1. Configure el nombre de dominio IP de la red utilizando el comando ip domain-
name domain-name en el modo de configuración global.
Paso 2. Se deben generar claves secretas unidireccionales para que un enrutador pueda cifrar el
tráfico SSH. Estas claves se denominan claves asimétricas. El software Cisco IOS utiliza el
algoritmo Rivest, Shamir y Adleman (RSA) para generar claves. Para crear la clave RSA, use
la clave criptográfica generar el comando rsa general-keys modulus modulus-size en el modo de
configuración global. El módulo determina el tamaño de la clave RSA y puede configurarse de 360
bits a 4.096 bits. Cuanto mayor sea el módulo, más segura será la clave RSA. Sin embargo, las
claves con valores de módulo grandes tardan un poco más en generarse, cifrarse y descifrarse. La
longitud mínima recomendada de la clave del módulo es de 1.024 bits.
Paso 3. Aunque no es técnicamente necesario, debido a que los enrutadores Cisco configuran SSH
versión 2 de forma predeterminada, puede configurar manualmente la versión 2 con el comando
de configuración global ip ssh versión 2. La versión original tiene vulnerabilidades conocidas.
Paso 4. Asegúrese de que haya una entrada de nombre de usuario de base de datos local válida. De
lo contrario, cree uno utilizando el nombre de usuario nombre -algoritmo tipo scrypt
secreto secreto comando.
Paso 5. Habilite las sesiones SSH entrantes vty utilizando los comandos line vty, inicie sesión
localmente y transporte ssh de entrada.

2.2.1.1 Limitar la disponibilidad del comando

Las grandes organizaciones tienen muchas funciones laborales variadas dentro de un
departamento de TI. No todas las funciones de trabajo deberían tener el mismo nivel de acceso a
los dispositivos de infraestructura.
➢ Modo EXEC de usuario (nivel de privilegio 1): proporciona los privilegios de usuario
de modo EXEC más bajos y solo permite comandos de nivel de usuario disponibles en
el indicador del enrutador>.
➢ Modo EXEC privilegiado (nivel de privilegio 15): incluye todos los comandos de nivel
de habilitación en el indicador del router #.

2.2.1.2 Configurar y asignar niveles de privilegio

El nivel de privilegio 5 tiene acceso a todos los comandos disponibles para el nivel 1 predefinido
y el comando ping.
El nivel de privilegio 10 tiene acceso a todos los comandos disponibles para el nivel 5, así como
al comando de recarga.
El nivel de privilegio 15 está predefinido y no necesita ser configurado explícitamente. Este nivel
de privilegio tiene acceso a todos los comandos, incluida la visualización y el cambio de la
configuración.
2.2.1.3 Limitaciones de los niveles de privilegio
➢ Sin control de acceso a interfaces específicas, puertos, interfaces lógicas y ranuras en
un enrutador.
➢ Los comandos disponibles en los niveles de privilegio inferiores siempre son
ejecutables en los niveles superiores.
➢ Los comandos configurados específicamente en un nivel de privilegio superior no están
disponibles para usuarios con privilegios inferiores.
➢ Asignar un comando con varias palabras clave permite el acceso a todos los comandos
que usan esas palabras clave. Por ejemplo, permitir el acceso a show ip route permite al
usuario acceder a todos los comandos show y show ip.

2.2.2.1 Acceso a la CLI basado en roles

Seguridad
El acceso a la CLI basado en roles mejora la seguridad del dispositivo al definir el conjunto de
comandos de la CLI a los que puede acceder un usuario específico. Además, los administradores
pueden controlar el acceso de los usuarios a puertos específicos, interfaces lógicas y ranuras en un
enrutador. Esto evita que un usuario cambie accidental o deliberadamente una configuración o
recopile información a la que no debería tener acceso.
Disponibilidad
El acceso a la CLI basado en roles evita la ejecución involuntaria de comandos de la CLI por parte
de personal no autorizado y minimiza el tiempo de inactividad.
Eficiencia operacional
Los usuarios solo ven los comandos de la CLI aplicables a los puertos y la CLI a la que tienen
acceso. Por lo tanto, el enrutador parece ser menos complejo y los comandos son más fáciles de
identificar cuando se utiliza la función de ayuda en el dispositivo.

2.2.2.2 Vistas basadas en roles

Vista de raíz
Para configurar cualquier vista para el sistema, el administrador debe estar en la vista raíz. La vista
raíz tiene los mismos privilegios de acceso que un usuario con privilegios de nivel 15.
Vista CLI
Se puede agrupar un conjunto específico de comandos en una vista CLI. A diferencia de los niveles
de privilegio, una vista de la CLI no tiene jerarquía de comandos ni vistas superiores o inferiores.
Superview
Una supervista consta de una o más vistas CLI. Los administradores pueden definir qué comandos
se aceptan y qué información de configuración es visible.
2.2.2.3 Configurar vistas basadas en roles
Paso 1. Habilite AAA con el comando aaa new-model global configuration mode. Salga e ingrese
a la vista raíz con el comando enable view .
Paso 2. Cree una vista con el comando del modo de configuración global view-name view
del analizador. Esto habilita el modo de configuración de vista. Excluyendo la vista raíz, hay un
límite máximo de 15 vistas en total.
Paso 3. Asigne una contraseña secreta a la vista utilizando el comando secreto de modo de
configuración de vista de contraseña cifrada. La Figura 2 muestra la sintaxis del comando para
la vista del analizador y los comandos secretos.
Paso 4. Comandos de asignar a la vista seleccionada utilizando el comando analizador en
modo de comandos en el modo de configuración de la vista. La Figura 3 muestra la sintaxis del
comando para el comando de comandos.
Paso 5. Salga del modo de configuración de vista escribiendo el comando de salida.

2.2.2.4 Configuración de vistas generales de CLI basadas en roles

Paso 1. Cree una vista utilizando el comando de vista de vista de nombre de vista de analizador e
ingrese al modo de configuración de vista de vista.
Paso 2. Asigne una contraseña secreta a la vista utilizando el comando secreto encriptado-
contraseña. La Figura 1 muestra la sintaxis del comando para la vista general del analizador y
los comandos secretos.
Paso 3. Asigne una vista existente usando el comando view view-name en el modo de
configuración de vista. La Figura 2 muestra la sintaxis del comando para ver el comando.
Paso 4. Salga del modo de configuración de supervista escribiendo el comando de salida

2.2.2.5 Verifique las vistas de CLI basadas en roles

Para verificar una vista, use el comando enable view . Ingrese el nombre de la vista para verificar
y proporcione la contraseña para iniciar sesión en la vista. Utilice el comando de signo de
interrogación ( ? ) Para verificar que los comandos disponibles en la vista son correctos.

2.3.1.1 Característica de configuración resistente de Cisco IOS

La característica de configuración resistente Cisco IOS permite una recuperación más rápida si
alguien reformatea la memoria flash de forma malintencionada o involuntaria o borra el archivo
de configuración de inicio en la memoria de acceso aleatorio no volátil (NVRAM).

2.3.1.2 Habilitación de la función de resistencia de imagen IOS

Los comandos para asegurar la imagen IOS y el archivo de configuración en ejecución se muestran
en la figura. Para asegurar la imagen IOS y habilitar la resistencia de la imagen IOS de Cisco, use
el comando modo de configuración global de imagen de arranque seguro. Mecanismo de
propagación: después de obtener acceso a un dispositivo, el gusano se replica y localiza nuevos
objetivos.
2.3.1.3 La imagen primaria del conjunto de arranque
Paso 1. Vuelva a cargar el enrutador con el comando reload . Si es necesario, emita la secuencia de
interrupción para ingresar al modo ROMmon.
Paso 2. Desde el modo ROMmon, ingrese el comando dir para enumerar el contenido del
dispositivo que contiene el archivo de inicio seguro.
Paso 3. Arranque el enrutador con la imagen de arranque seguro usando el comando
de arranque seguido de la ubicación de la memoria flash (por ejemplo, flash0), dos puntos y el
nombre de archivo que se encuentra en el Paso 2.
Paso 4. Ingrese al modo de configuración global y restaure la configuración segura a un nombre de
archivo de su elección utilizando el comando de restauración de configuración de arranque
seguro seguido de la ubicación de la memoria flash (por ejemplo, flash0), dos puntos y un nombre
de archivo de su elección. En la figura, se usa el nombre de archivo rescue-cfg.
Paso 5. Salir del modo de configuración global y emitir la copia comando para copiar el archivo de
configuración rescatado a la configuración en ejecución.

2.3.1.4 Configurar copia segura

Paso 1. Configure SSH, si aún no está configurado.
Paso 2. Para la autenticación local, configure al menos un usuario con nivel de privilegio 15.
Paso 3. Habilite AAA con el comando aaa new-model global configuration mode.
Paso 4. Use el comando local predeterminado de inicio de sesión de autenticación aaa para
especificar que la base de datos local se use para la autenticación.
Paso 5. Utilice el comando local predeterminado aaaautor exec de autorización para configurar la
autorización del comando. En este ejemplo, todos los usuarios locales tendrán acceso a los
comandos EXEC.
Paso 6. Habilite la funcionalidad del lado del servidor SCP con el comando ip scp server enable .
2.3.1.5 Recuperación de una contraseña de enrutador
Por razones de seguridad, la recuperación de contraseña requiere que el administrador tenga
acceso físico al enrutador a través de un cable de consola. Dependiendo del dispositivo, el
procedimiento detallado para la recuperación de la contraseña varía.

2.3.1.6 Recuperación de contraseña

Un administrador puede mitigar esta posible violación de seguridad mediante el uso del comando
no service password-recovery global configuration mode. Este comando es un comando oculto de
Cisco IOS y no tiene argumentos ni palabras clave. Si un enrutador está configurado con el
comando no service password-recovery , se deshabilita todo acceso al modo ROMmon.
Para recuperar un dispositivo después de ingresar el comando de recuperación de contraseña sin
servicio, inicie la secuencia de interrupción dentro de los cinco segundos posteriores a la
descompresión de la imagen durante el arranque. Se le solicitará que confirme la acción de la tecla
de interrupción. Una vez que se confirma la acción, la configuración de inicio se borra por
completo, se habilita el procedimiento de recuperación de contraseña y el enrutador se inicia con
la configuración predeterminada de fábrica. Si no confirma la acción de interrupción, el enrutador
arranca normalmente con el comando sin servicio de recuperación de contraseña habilitado.
2.3.2.1 Determinar el tipo de acceso de gestión
En una red pequeña, administrar y monitorear una pequeña cantidad de dispositivos de red es una
operación sencilla. Sin embargo, en una gran empresa con cientos de dispositivos, monitorear,
administrar y procesar mensajes de registro puede ser un desafío. Desde el punto de vista de los
informes, la mayoría de los dispositivos de red pueden enviar datos de registro que pueden ser
invaluables al resolver problemas de red o amenazas de seguridad. Estos datos se pueden ver en
tiempo real, bajo demanda y en informes programados.

2.3.2.2 Acceso fuera de banda y dentro de banda

Como regla general, por razones de seguridad, la administración de OOB es apropiada para redes
de grandes empresas. Sin embargo, no siempre es deseable. La decisión de usar la administración
OOB depende del tipo de aplicaciones de administración que se ejecutan y de los protocolos que
se monitorean.
La administración en banda se recomienda en redes más pequeñas como un medio para lograr una
implementación de seguridad más rentable. En tales arquitecturas, el tráfico de gestión fluye dentro
de banda en todos los casos.

2.3.3.1 Introducción a Syslog

La implementación de una instalación de registro es una parte importante de cualquier política de
seguridad de red. Cuando ocurren ciertos eventos en una red, los dispositivos de red tienen
mecanismos confiables para notificar al administrador con mensajes detallados del sistema. Estos
mensajes pueden ser no críticos o significativos, y hay varias opciones
➢ La capacidad de recopilar información de registro para monitorear y solucionar
problemas
➢ La capacidad de seleccionar el tipo de información de registro que se captura
➢ La capacidad de especificar los destinos de los mensajes de syslog capturados

2.3.3.2 Operación Syslog

Los enrutadores Cisco pueden registrar información sobre cambios de configuración, violaciones
de ACL, estado de la interfaz y muchos otros tipos de eventos.
• Búfer de registro: los mensajes se almacenan en la memoria del enrutador durante un
período de tiempo. Sin embargo, los eventos se borran cuando se reinicia el enrutador.
• Consola: el registro de la consola está activado de forma predeterminada. Los mensajes de
Syslog se envían a la línea de la consola cuando el administrador activa la interfaz.
• Líneas de terminal: las sesiones EXEC habilitadas se pueden configurar para recibir
mensajes de registro en cualquier línea de terminal.
• Servidor Syslog : los enrutadores Cisco se pueden configurar para reenviar mensajes de
registro a un servicio externo de syslog.
2.3.3.3 Mensaje de Syslog
Los niveles de Syslog de cero a cuatro son mensajes sobre la funcionalidad de software o hardware.
La gravedad del problema determina el nivel real de syslog aplicado. Los niveles cinco y seis de
Syslog son para notificaciones y mensajes informativos. El nivel siete de Syslog indica que los
mensajes se generan generando varios comandos de depuración.

2.3.3.5 Syslog Systems

Las implementaciones de Syslog siempre contienen dos tipos de sistemas:
➢ Servidores Syslog: también conocidos como hosts de registro, estos sistemas aceptan
y procesan mensajes de registro de clientes syslog.
➢ Clientes de Syslog: enrutadores u otros tipos de equipos que generan y reenvían
mensajes de registro a los servidores de Syslog.

2.3.3.6 Configurar el registro del sistema

Paso 1. Configure el host de registro de destino con el comando host de registro.
Paso 2. (Opcional) Establezca el nivel de severidad de registro (trap) utilizando el comando trap de
registro.
Paso 3. Configure la interfaz de origen utilizando el comando logging source-interface, comando
especifica que los paquetes syslog contienen la dirección IPv4 o IPv6 de una interfaz específica,
independientemente de la interfaz que el paquete utilice para salir del enrutador.
Paso 4. Habilite el registro en todos los destinos habilitados con el comando de inicio de sesión

2.3.4.1 Introducción a SNMP

Otra herramienta de monitoreo común es el Protocolo simple de administración de redes
(SNMP). SNMP fue desarrollado para permitir a los administradores administrar dispositivos en
una red IP. Permite a los administradores de red monitorear el rendimiento de la red, administrar
dispositivos de red, solucionar problemas de red y planificar el crecimiento de la red.
SNMP consta de tres elementos relevantes para el Sistema de gestión de red (NMS):
➢ Administrador de SNMP
➢ Agentes SNMP (nodo gestionado)
➢ Base de información de gestión (MIB)
2.3.4.2 Base de información de gestión (MIB)
Los mensajes SNMP set, get y trap tienen acceso para crear y cambiar la información en la MIB.
Esta información está organizada jerárquicamente para que SNMP pueda acceder a ella
rápidamente. Cada pieza de información dentro de la MIB recibe una ID de objeto (OID).
El árbol MIB para cualquier dispositivo incluye ramas con variables comunes a muchos
dispositivos de red y ramas con variables específicas de ese dispositivo o proveedor.
2.3.4.3 Versiones SNMP
Varias versiones de SNMP están disponibles:
➢ SNMPv1: definido en RFC 1157; no proporcionó ningún mecanismo de autenticación
o encriptación
➢ SNMPv2c: definido en RFC 1901 a 1908; mejorado sobre SNMPv1 pero no
proporcionó ningún mecanismo de autenticación o encriptación
➢ SNMPv3: definido en las RFC 2273 a 2275; proporciona acceso seguro a dispositivos
mediante la autenticación y encriptación de paquetes a través de la red

2.3.4.4 Vulnerabilidades de SNMP

En cualquier topología de red, al menos un nodo administrador debe ejecutar el software de
administración SNMP. Los dispositivos de red que se pueden administrar, como conmutadores,
enrutadores, servidores y estaciones de trabajo, están equipados con el módulo de software del
agente SNMP. Estos agentes son responsables de proporcionar acceso al administrador SNMP a
una MIB local, que almacena datos sobre el funcionamiento del dispositivo.

2.3.4.5 SNMPv3
SNMPv3 proporciona tres características de seguridad:
➢ Integridad y autenticación de mensajes : garantiza que un paquete no haya sido
manipulado en tránsito y que provenga de una fuente válida.
➢ Cifrado: codifica el contenido de un paquete para evitar que una fuente no autorizada
lo vea.
➢ Control de acceso: restringe cada principal a ciertas acciones en porciones específicas
de datos

2.3.4.6 Configurar la seguridad SNMPv3

SNMPv3 se puede asegurar con solo unos pocos comandos, como se muestra en la figura.
Paso 1. Configure una ACL que permita el acceso a los administradores SNMP autorizados.
Paso 2. Configure una vista SNMP con el comando de vista snmp-server para identificar los OID
de MIB que el administrador SNMP podrá leer. Se requiere configurar una vista para limitar los
mensajes SNMP a acceso de solo lectura.
Paso 3. Configure las características del grupo SNMP con el comando snmp-server group :
➢ Configure un nombre para el grupo.
➢ Establezca la versión SNMP en 3 con la palabra clave v3 .
➢ Requerir autenticación y cifrado con la palabra clave priv .
➢ Asociar una vista al grupo y darle acceso de solo lectura con el comando de lectura .
➢ Especifique la ACL configurada en el Paso 1.
Paso 4. Configure las funciones de usuario del grupo SNMP con el comando de usuario snmp-
server:
➢ Configure un nombre de usuario y asocie al usuario con el nombre del grupo
configurado en el Paso 3.
➢ Establezca la versión SNMP en 3 con la palabra clave v3 .
➢ Establezca el tipo de autenticación en md5 o sha y configure una contraseña de
autenticación. Se prefiere SHA y debe ser compatible con el software de
administración SNMP.
➢ Requerir cifrado con la palabra clave priv y configurar una contraseña de cifrado.
2.3.5.1 Protocolo de tiempo de red
Por lo general, la configuración de fecha y hora en el enrutador se puede configurar mediante uno
de dos métodos:
➢ Editar manualmente la fecha y la hora
➢ Configurar el protocolo de tiempo de red (NTP)

2.3.5.2 Servidor NTP

Las comunicaciones (conocidas como asociaciones) entre máquinas que ejecutan NTP
generalmente están configuradas estáticamente. Cada dispositivo recibe la dirección IP de los
maestros NTP. El mantenimiento preciso del tiempo es posible mediante el intercambio de
mensajes NTP entre cada par de máquinas con una asociación.
En una red configurada con NTP, uno o más enrutadores se designan como el controlador de reloj
maestro (también conocido como maestro NTP) utilizando el comando del modo de configuración
global maestro ntp

2.3.5.3 Autenticación NTP

NTP versión 3 (NTPv3), y posterior, admite un mecanismo de autenticación criptográfica entre
pares NTP. Este mecanismo de autenticación se puede usar para ayudar a mitigar un ataque. Se
utilizan tres comandos en el maestro NTP y el cliente NTP:
➢ ntp autenticar (Figura 1)
➢ ntp número de clave de clave de autenticación md5 clave-valor (Figura 2)
➢ ntp número-clave de clave de confianza
2.4.1.1 Protocolos de descubrimiento CDP y LLDP
Los enrutadores Cisco se implementan inicialmente con muchos servicios que están habilitados de
manera predeterminada. Esto se hace por conveniencia y para simplificar el proceso de
configuración requerido para que el dispositivo funcione. Sin embargo, algunos de estos servicios
pueden hacer que el dispositivo sea vulnerable a ataques si la seguridad no está habilitada. Los
administradores también pueden habilitar servicios en los enrutadores Cisco que pueden exponer
el dispositivo a un riesgo significativo. Ambos escenarios deben tenerse en cuenta al proteger la
red.
2.4.1.2 Configuraciones para protocolos y servicios
Los atacantes eligen servicios y protocolos que hacen que la red sea más vulnerable a la explotación
maliciosa.
Muchas de estas características deben deshabilitarse o restringirse en sus capacidades en función
de las necesidades de seguridad de una organización. Estas características van desde protocolos de
descubrimiento de red, como CDP y LLDP, hasta protocolos disponibles a nivel mundial como
ICMP y otras herramientas de escaneo.

2.4.2.1 Cisco AutoSecure

AutoSecure puede bloquear las funciones del plano de administración y los servicios y funciones
del plano de reenvío de un enrutador. Existen varios servicios y funciones del plano de gestión:
➢ Servidores pequeños BOOTP, CDP, FTP, TFTP, PAD, UDP y TCP seguros, MOP,
ICMP
➢ Notificación legal usando un banner
➢ Contraseña segura y funciones de inicio de sesión
➢ NTP seguro
➢ Acceso seguro a SSH
➢ Servicios de intercepción TCP
Hay tres servicios y funciones de plano de reenvío que AutoSecure permite:
➢ Cisco Express Forwarding (CEF)
➢ Filtrado de tráfico con ACL
➢ Inspección de firewall Cisco IOS para protocolos comunes

2.4.2.2 Uso de la función Cisco AutoSecure

El modo no interactivo se configura con el comando auto seguro sin interacción. Esto ejecutará
automáticamente la función Cisco AutoSecure con la configuración predeterminada recomendada
de Cisco. El comando de seguridad automática también se puede ingresar con palabras clave para
configurar componentes específicos, como el plano de administración (palabra clave de
administración) y el plano de reenvío (palabra clave de reenvío).

2.4.2.3 Usando el comando auto seguro

Cuando se inicia el comando de seguridad automática, un asistente de CLI guía al administrador a
través de la configuración del dispositivo. Se requiere la entrada del usuario.
1. Se ingresa el comando de seguridad automática El enrutador muestra el mensaje de bienvenida
del asistente de configuración de AutoSecure.
2. El asistente recopila información sobre las interfaces externas.
3. AutoSecure asegura el plano de administración deshabilitando servicios innecesarios.
4. AutoSecure solicita un banner.
5. AutoSecure solicita contraseñas y habilita las funciones de contraseña e inicio de sesión.
6. Las interfaces están aseguradas.
7. El plano de reenvío está asegurado.
2.5.1.1 Falsificación de protocolo de enrutamiento
La información de enrutamiento de suplantación de identidad generalmente se puede usar para
hacer que los sistemas se desinforman (mientan) entre sí, provoquen un ataque DoS o hagan que el
tráfico siga una ruta que normalmente no seguiría. Hay varias consecuencias de que la información
de enrutamiento sea falsificada:
➢ Redirigir el tráfico para crear bucles de enrutamiento
➢ Redirigir el tráfico para que pueda ser monitoreado en un enlace inseguro
➢ Redirigir el tráfico para descartarlo
2.5.1.2 Autenticación de protocolo de enrutamiento OSPF MD5
La configuración de la interfaz anula la configuración global. Las contraseñas de autenticación
MD5 no tienen que ser las mismas en un área. Sin embargo, deben ser iguales entre vecinos.
OSPF admite la autenticación de protocolo de enrutamiento utilizando MD5. La autenticación
MD5 se puede habilitar globalmente para todas las interfaces o por interfaz.

2.5.1.3 Autenticación de protocolo de enrutamiento SHA OSPF

Paso 1. Especifique un llavero de autenticación en el modo de configuración global:
➢ Configure un nombre de cadena de clave con el comando de cadena de clave.
➢ Asignar el llavero de un número y una contraseña con la clave y la clave de cadena
de comandos.
➢ Especifique la autenticación SHA con el comando de algoritmo criptográfico.
➢ (Opcional) Especifique cuándo caducará esta clave con el comando enviar de por vida.
Paso 2. Asigne la clave de autenticación a las interfaces deseadas con el comando ip ospf
authentication key-chain.

2.5.2.1 Operaciones de dispositivos de red

➢ Paquetes de plano de datos: paquetes generados por el usuario que siempre son
reenviados por dispositivos de red a otros dispositivos de estación final.
➢ Paquetes de plano de control: paquetes de dispositivos de red generados o recibidos que
se utilizan para la creación y operación de la red.
➢ Paquetes del plano de administración: paquetes de dispositivos de red generados o
recibidos que se utilizan para administrar la red.
2.5.2.2 Vulnerabilidades en el plano de control y gestión
El procesador del enrutador (la CPU en el plano de control) es significativamente menos capaz de
manejar los tipos de velocidades de paquetes experimentados por CEF y, por lo tanto, nunca está
directamente involucrado en el reenvío de paquetes del plano de datos.
Una interfaz ACL es el enfoque tradicional y más generalmente disponible para administrar todos
los paquetes que ingresan o salen de un dispositivo de red. Las ACL se entienden bien y
generalmente son aplicables a los paquetes de datos, servicios, control y plano de gestión.
2.5.2.3 Operación CoPP
Control Plane Policing (CoPP) es una característica de Cisco IOS diseñada para permitir a los
administradores administrar el flujo de tráfico que se "puntea" al procesador de ruta, como se
muestra en la figura.
Cisco define el término "despeje" para describir la acción que realiza una interfaz al enviar un
paquete al procesador de ruta. CoPP está diseñado para evitar que el tráfico innecesario sobrepase
el procesador de ruta que, si no se reduce, podría afectar el rendimiento del sistema.
 Conclusión
En resumen, los administradores deben identificar todos los servicios, interfaces y servicios de
administración que son vulnerables a los ataques a la red. Esto se logra realizando auditorías de
seguridad de forma rutinaria.
Los administradores deben usar el comando de seguridad automática de Cisco IOS CLI antes de
implementar nuevos dispositivos en un entorno de producción. La autenticación del protocolo de
enrutamiento debe implementarse para proteger el plano de control de la falsificación del protocolo
de enrutamiento
Limitar el acceso administrativo también es importante. Los administradores deben proporcionar
acceso a dispositivos de infraestructura basados en niveles de privilegios e implementar una CLI
basada en roles para proporcionar acceso administrativo jerárquico.
 Bibliografía

Cisco. (2009). Cisco Networking Academy. 2020, de cisco Sitio web:

https://www.netacad.com/portal/learning