Documentos de Académico
Documentos de Profesional
Documentos de Cultura
SURCOLOMBIANO
Presentación
En Cisco IOS tiene múltiples formas de asegurar el acceso a los dispositivos Cisco como
router, switches, AP, etc.
Además, hay algunos pasos simples que se deben seguir que se aplican a la mayoría de los
sistemas operativos:
El acceso a los recursos del sistema debe restringirse solo a las personas que están
autorizadas a usar esos recursos.
Todos los servicios y aplicaciones innecesarios deben apagarse y desinstalarse cuando sea
posible.
Contraseñas
Para proteger los dispositivos de red, es importante utilizar contraseñas seguras. Aquí hay
pautas estándar a seguir:
Cambia las contraseñas con frecuencia. Si una contraseña se ve comprometida sin saberlo,
la oportunidad para que el actor de la amenaza use la contraseña es limitada.
No escribe las contraseñas y las deje en lugares obvios, como en el escritorio o el monitor.
En los routers Cisco, los espacios iniciales se ignoran para las contraseñas, pero los
espacios después del primer carácter no. Por lo tanto, un método para crear una contraseña
segura es usar la barra espaciadora y crear una frase compuesta de muchas palabras. Esto
se llama una frase de contraseña. Una frase de contraseña suele ser más fácil de recordar
que una contraseña simple. También es más largo y más difícil de adivinar.
Las contraseñas seguras solo son útiles si son secretas. Hay varios pasos que se pueden
tomar para ayudar a garantizar que las contraseñas permanezcan secretas en un Router y
Switch Cisco, incluidas estas:
Para garantizar que todas las contraseñas configuradas son un mínimo de una longitud
especificada, utiliza el comando security passwords min-length longitud en el modo de
configuración global. En el ejemplo, cualquier contraseña nueva configurada debería tener
una longitud mínima de ocho caracteres.
Los actores de amenazas pueden usar un software para descifrar contraseñas para llevar a
cabo un ataque de fuerza bruta en un dispositivo de red.
Autenticación de usuarios
Se recomienda tener una base de datos local en el router con los nombres de los usuarios y
contraseñas que pueden acceder a la configuración del router. Pueden utilizarse dos
comandos: username _ secret _ o username_ password _. El comando login local en la
configuración de línea habilita la base de datos local para la autenticación.
Ejemplo:
El comando login block- for # attempts # swithin permite aumentar la seguridad del router
ya que automáticamente bloquea nuevos intentos de inicio de sesión que pudieran ser
resultado de un ataque de fuerza bruta o de “diccionario”. Habilitando esta opción, login
block-for seconds attempts tries within seconds, y tras varios intentos fallidos de conexión
detectados se activarán periodos de calma para proteger el router de un ataque de
denegación de servicio.
Ejemplo:
login block-for 15 attempts 5within 60
Ejemplo:
permit 192.168.10.10
Ejemplo:
login delay 10
Los administradores de red pueden distraerse y accidentalmente dejar abierta una sesión de
modo EXEC privilegiado en un terminal. Esto podría permitir que un actor interno de
amenazas acceda a cambiar o borrar la configuración del dispositivo.
Por defecto, los routers Cisco cerrarán sesión en una sesión EXEC después de 10 minutos
de inactividad. Sin embargo, puede reducir esta configuración utilizando el comando de
configuración de línea exec-timeout minutos segundos. Este comando puede aplicarse a
las líneas de consola, auxiliares y vty. En el ejemplo, le estamos diciendo al dispositivo
Cisco que desconecte automáticamente a un usuario inactivo en una línea vty después de
que el usuario haya estado inactivo durante 5 minutos y 30 segundos.
Banner motd configura y permite el envío de mensajes que afectan a los usuarios de la red.
Ejemplo:
Revisar que el router tenga una versión que soporte SSH2 (superior a k8)
Para obtener este dato, (# show version)
Ejemplo:
ip domain-name yamboro.edu
Generar claves
Crypto key generate rsa permite generar una llave RSA3 en el modo de configuración
global. Se sugiere elegir 1024 bits.
ip ssh versión 2
Una vez elegida la línea de conexión, el comando transport input definirá qué protocolo será
usado para conectar la línea específica del router.
Ejemplo:
line vty 0 15
Habilitar SSH
Telnet simplifica el acceso a dispositivos remotos, pero no es seguro. Los datos contenidos
en un paquete Telnet se transmiten sin cifrar. Por esta razón, se recomienda
encarecidamente habilitar Secure Shell (SSH) en dispositivos para acceso remoto seguro.
Es posible configurar un dispositivo Cisco para admitir SSH mediante los siguientes seis
pasos:
A continuación, se crea una entrada de base de datos local para un usuario llamado Bob.
Finalmente, las líneas vty están configuradas para autenticarse en la base de datos local y
para aceptar solo sesiones SSH entrantes.
Los routers y switches de Cisco comienzan con una lista de servicios activos que pueden o
no ser necesarios en su red. Desactive los servicios no utilizados para preservar los
recursos del sistema, como los ciclos de CPU y la RAM, y evite que los actores de
amenazas exploten estos servicios. El tipo de servicios que están activados de manera
predeterminada variará según la versión del IOS. Por ejemplo, IOS-XE generalmente solo
tendrá abiertos los puertos HTTPS y DHCP. Puedes verificar esto con el comando show ip
ports all, como se muestra en el ejemplo.
Las versiones de IOS anteriores a IOS-XE usan el comando show control-plane host open-
ports. Mencionamos este comando porque puedes verlo en dispositivos más antiguos. La
salida es similar. Sin embargo, ten en cuenta que este Router anterior tiene un servidor
HTTP inseguro y Telnet en ejecución. Ambos servicios deben estar deshabilitados. Como se
muestra en el ejemplo, deshabilita HTTP con el comando de configuración global no ip http
server. Deshabilita Telnet especificando solo SSH en el comando de configuración de línea,
transport input ssh.
Niveles de acceso
La línea de comando de Cisco CLI (Command line interface) utiliza niveles jerárquicos de
acceso, que son modo EXEC usuario y modo EXEC privilegiado.
Una vez que presionamos el botón Intro de nuestro teclado, terminamos en el modo de
usuario de inmediato. No hay contraseña ni nada. Lo mismo se aplica al modo enable:
Switch>enable
Switch#
El acceso a modo privilegiado podemos bloquearla utilizando una clave encriptada por
medio del siguiente comando.
Clave simple:
La opción más simple para proteger el modo de usuario es agregar una contraseña, como
sigue:
Switch(config)#line console 0
Switch(config-line)#password cisco
Switch(config-line)#login
Username y Password:
Switch(config)#line console 0
Switch(config-line)#login local
Switch(config-line)#exit
Nivel de privilegio 15: incluye todos los comandos de nivel de habilitación en la petición de
entrada router#.
El comando “login local” le indica al switch que consulte una base de datos local de nombres
de usuarios y contraseñas.
El comando “username [user] privilege [nivel] secret [clave]”, indica el nombre del usuario, el
nivel de privilegio del usuario y una clave secreta encriptada.
Username: admin
Password:
Switch>
Para configurar el servicio SSH en shwitch cisco primero se debe adicionar una dirección IP
a la interfaz de vlan que se desee para el caso de estudio se va a trabajar con la vlan 1 que
es al de defecto que viene configurada en todos los dispositivos capa 2.
Problema
Se recomienda que todos los dispositivos de red se configuren, al menos, con un conjunto
mínimo de comandos de seguridad conforme a las prácticas recomendadas. Esto incluye
dispositivos para usuarios finales, servidores y dispositivos de red, como routers y switches.
Nota: los routers que se utilizan en las prácticas de laboratorio de son Cisco 2901, switches
que se utilizan son Cisco Catalyst 2960s con Cisco IOS versión 15.0(2) (imagen de
lanbasek9). Pueden utilizarse otros routers, switches y versiones de Cisco IOS. Según el
modelo y la versión de Cisco IOS, los comandos disponibles y los resultados obtenidos
pueden diferir de los que se muestran en las prácticas de laboratorio.
Nota: asegúrese de que los routers y los switches se hayan borrado y no tengan
configuraciones de inicio. Si no está seguro, consulte con el instructivo suministrado.
Recursos necesarios
Acorde a la topología anterior usted debe configurar conectividad entre todos los
dispositivos.
Datos router
Nombre: RO-1
G0/0 IP 192.168.0.1
G0/1 IP 192.168.10.1
Configurar clave de acceso enable secret cisco1
Dominio yamboro.edu
Crypto key 1024
Configurar SSH v2 usuario routerssh clave cisco
Datos switch1
Nombre: SW-1
IP 192.168.0.2 interfaz vlan 1
Default-gateway 192.168.0.1
Configurar clave de acceso enable secret cisco1
Dominio yamboro.edu
Crypto key 1024
Configurar SSH v2 usuario sw1ssh clave cisco
Datos switch2
Nombre: SW-2
IP 192.168.10.2 interfaz vlan 1
Default-gateway 192.168.10.1
Configurar clave de acceso enable secret cisco1
Dominio yamboro.edu
Crypto key 1024
Configurar SSH v2 usuario sw1ssh clave cisco
///configuraciones
Router
Building configuration...
!
!
!
!
!
ip cef
no ipv6 cef
!
!
!
username routerssh privilege 15 secret 5 $1$mERr$hx5rVt7rPNoS4wqbXKX7m0
!
!
license udi pid CISCO2901/K9 sn FTX1524SQ4L-
!
!
!
!
!
!
!
!
!
ip ssh version 2
ip domain-name yamboro.edu
!
!
spanning-tree mode pvst
!
!
!
!
!
!
interface GigabitEthernet0/0
ip address 192.168.0.1 255.255.255.0
duplex auto
speed auto
!
interface GigabitEthernet0/1
ip address 192.168.10.1 255.255.255.0
duplex auto
speed auto
!
interface Vlan1
no ip address
shutdown
!
ip classless
!
ip flow-export version 9
!
!
ip access-list extended sl_def_acl
deny tcp any any eq telnet
deny tcp any any eq www
deny tcp any any eq 22
permit tcp any any eq 22
!
!
!
!
!
!
line con 0
password pws
login
!
line aux 0
!
line vty 0 4
login local
transport input ssh
line vty 5 15
login local
transport input ssh
!
!
!
end
///configuración switch
Building configuration...
interface FastEthernet0/10
!
interface FastEthernet0/11
!
interface FastEthernet0/12
!
interface FastEthernet0/13
!
interface FastEthernet0/14
!
interface FastEthernet0/15
!
interface FastEthernet0/16
!
interface FastEthernet0/17
!
interface FastEthernet0/18
!
interface FastEthernet0/19
!
interface FastEthernet0/20
!
interface FastEthernet0/21
!
interface FastEthernet0/22
!
interface FastEthernet0/23
!
interface FastEthernet0/24
!
interface GigabitEthernet0/1
!
interface GigabitEthernet0/2
!
interface Vlan1
ip address 192.168.0.2 255.255.255.0
!
ip default-gateway 192.168.0.1
!
!
!
!
line con 0
password cisco
login
!
line vty 0 4
password cisco
login local
transport input ssh
line vty 5 15
password cisco
login local
transport input ssh
!
!
!
!
End
Como segunda practica se debe adecuar una routerboard mikritik en máquina virtual y
realizar las siguientes configuraciones.