Documentos de Académico
Documentos de Profesional
Documentos de Cultura
GU BastionadoCiscoIOS ICE IDC 1.3
GU BastionadoCiscoIOS ICE IDC 1.3
ICE
Adquisición de Hardware y
Software para iDC
Guía Bastionado Cisco IOS
Fecha: 2010-07-21
INSTITUTO COSTARRICENSE DE ELECTRIDAD Versión: 1.0a
Gerencia General
Tabla de Contenidos
0. Información del Documento .................................................................................................................................................... 4
1. Introdución............................................................................................................................................................................... 6
1.1. Alcance........................................................................................................................................................................... 6
1.2. Tareas de configuración................................................................................................................................................. 6
2. Gestión Nivel 1........................................................................................................................................................................ 7
2.1. Reglas Locales de Autenticación, Autorización y Accounting (AAA).............................................................................7
2.1.1. Servicio AAA.......................................................................................................................................................... 7
2.1.2. Autenticación AAA para el Inicio de Sesión...........................................................................................................7
2.1.3. Autenticación AAA para el Modo Activo.................................................................................................................7
2.2. Reglas de Acceso........................................................................................................................................................... 7
2.2.1. Requerir Usuario Local y Contraseña Encriptada..................................................................................................7
2.2.2. SSH para el Acceso Remoto a Dispositivos..........................................................................................................7
2.2.3. VTY Transporta SSH.............................................................................................................................................. 8
2.2.4. Timeout de Inicio de Sesión................................................................................................................................... 8
2.2.5. Puerto Auxiliar........................................................................................................................................................ 8
2.2.6. Control de Acceso SSH.......................................................................................................................................... 8
2.2.7. ACL VTY................................................................................................................................................................. 8
2.3. Banners........................................................................................................................................................................... 8
2.3.1. EXEC...................................................................................................................................................................... 8
2.3.2. Inicio de Sesión (Login).......................................................................................................................................... 9
2.3.3. MOTD..................................................................................................................................................................... 9
2.4. Contraseñas.................................................................................................................................................................... 9
2.4.1. Activación de Secret.............................................................................................................................................. 9
2.4.2. Servicio de Encriptación......................................................................................................................................... 9
2.5. SNMP.............................................................................................................................................................................. 9
2.5.1. String de Comunidad SNMP Privado y Público.....................................................................................................9
2.5.2. Accesos de Escritura y Lectura.............................................................................................................................. 9
2.5.3. SNMP y ACLs...................................................................................................................................................... 10
2.5.4. Control de Acceso................................................................................................................................................ 10
2.6. Control de memoria y de CPU...................................................................................................................................... 10
2.7. NetFlow......................................................................................................................................................................... 10
3. Gestión nivel 2....................................................................................................................................................................... 12
3.1. VLANs........................................................................................................................................................................... 12
3.2. STP............................................................................................................................................................................... 12
3.3. Ataques de MAC........................................................................................................................................................... 13
3.4. Control del ancho de banda.......................................................................................................................................... 13
3.5. DHCP Snooping............................................................................................................................................................ 14
4. Gestión capa 3...................................................................................................................................................................... 15
4.1. Autenticación en los protocolos de enrutamiento.........................................................................................................15
4.2. Autenticación y cifrado de las comunicaciones punto a punto.....................................................................................15
4.3. Ipv6............................................................................................................................................................................... 16
4.4. Multicast........................................................................................................................................................................ 16
5. Control................................................................................................................................................................................... 17
5.1. Reloj del Sistema.......................................................................................................................................................... 17
5.2. Reglas Globales de Servicio......................................................................................................................................... 17
5.2.1. CDP...................................................................................................................................................................... 17
5.2.2. Servicio Finger..................................................................................................................................................... 17
5.2.3. Servidor IP BOOTP.............................................................................................................................................. 17
5.2.4. Servicio de Identificación..................................................................................................................................... 17
5.2.5. Servidor IP HTTP................................................................................................................................................. 18
5.2.6. Configuración Remota del Inicio.......................................................................................................................... 18
5.2.7. Servicios TCP keepalives-in y out....................................................................................................................... 18
5.2.8. Servidores tcp-small y udp-small......................................................................................................................... 18
5.2.9. Servidor TFTP...................................................................................................................................................... 18
© Documento normativo propiedad del ICE, prohibida su reproducción total o parcial sin autorización.
INSTITUTO COSTARRICENSE DE ELECTRIDAD Versión: 1.0a
Gerencia General
© Documento normativo propiedad del ICE, prohibida su reproducción total o parcial sin autorización.
INSTITUTO COSTARRICENSE DE ELECTRIDAD Versión: 1.0a
Gerencia General
© Documento normativo propiedad del ICE, prohibida su reproducción total o parcial sin autorización.
INSTITUTO COSTARRICENSE DE ELECTRIDAD Versión: 1.0a
Gerencia General
© Documento normativo propiedad del ICE, prohibida su reproducción total o parcial sin autorización.
INSTITUTO COSTARRICENSE DE ELECTRIDAD Versión: 1.0a
Gerencia General
1. Introducción
1.1. Alcance
Este documento aplica a los appliances Cisco IOS que ejecutan la versión 12.x o superior del software.
© Documento normativo propiedad del ICE, prohibida su reproducción total o parcial sin autorización.
INSTITUTO COSTARRICENSE DE ELECTRIDAD Versión: 1.0a
Gerencia General
2. Gestión Nivel 1
Incluye los servicios, configuraciones y secuencias de datos relacionados con la creación y el examen de la configuración
estática y la autenticación y autorización de los administradores.
hostname(config)#aaa new-model
La lista de métodos por defecto se aplica automáticamente a todas las interfaces en aquellas que tienen una
lista explícitamente definida. Una lista definida reemplaza a la lista predeterminada.
© Documento normativo propiedad del ICE, prohibida su reproducción total o parcial sin autorización.
INSTITUTO COSTARRICENSE DE ELECTRIDAD Versión: 1.0a
Gerencia General
© Documento normativo propiedad del ICE, prohibida su reproducción total o parcial sin autorización.
INSTITUTO COSTARRICENSE DE ELECTRIDAD Versión: 1.0a
Gerencia General
2.3. Banners
Las reglas en la clase banner permiten comunicar los derechos legales a los usuarios.
2.3.1. EXEC
El banner EXEC aparece antes de mostrar el símbolo del sistema, después de iniciar un proceso EXEC,
normalmente después de mostrar el mensaje del día y los banners de acceso y después de que el usuario se
conecte al dispositivo. Los banners de red son mensajes electrónicos que dan un aviso a los usuarios de sus
derechos legales sobre las redes informáticas. Para configurarlo:
2.3.3. MOTD
El banner MOTD aparece cuando un usuario se conecta por primera vez al dispositivo, normalmente antes de
mostrar el mensaje de inicio de sesión y el Exec. Para configurar el mensaje del día que aparece cuando un
usuario se conecta por primera vez al dispositivo:
2.4. Contraseñas
2.4.1. Activación de Secret
Activar una contraseña secreta utilizando una encriptación fuerte para proteger el acceso al modo privilegiado
EXEC que se utiliza para configurar el dispositivo. Para activar esta opción:
! Debe sustituirse "ENABLE SECRET" con el valor escogido. No debe utilizarse "ENABLE SECRET"
hostname(config)#service password-encryption
2.5. SNMP
2.5.1. String de Comunidad SNMP Privado y Público
La configuración no debe contener strings de comunidad predetermindados. Se debería utilizar SNMPv3, que
proporciona autenticación, autorización y privatización de los datos (encriptación). El siguiente comando
deshabilita los strings predeterminados:
hostname(config)#no snmp-server community {private}
hostname(config)#no snmp-server community {public}
© Documento normativo propiedad del ICE, prohibida su reproducción total o parcial sin autorización.
INSTITUTO COSTARRICENSE DE ELECTRIDAD Versión: 1.0a
Gerencia General
hostname(config)#no snmp-server
Se recomienda no usar las comunidades que vienen definidas por defecto en Cisco.
Si no existe una ACL aplicada, ningún string de comunidad SNMP será aceptado. Para configurar las
restricciones del acceso SNMP vía ACL:
<kb> hace referencia al número de kilobytes libres, por debajo de los cuales debería enviarse una alarma. El valor
concreto varía, ya que lo lógico es usar un porcentaje de la memoria disponible del dispositivo en cuestión. Por
ejemplo, los 7613 tienen unos 640MB de memoria para procesador y 64 mb para IO, así que los valores serían
aproximadamente 200/20 MB, es decir:
hostname(config)# memory free low-watermark io 20000
hostname(config)# memory free low-watermark processor 200000
2.7. NetFlow
NetFlow es un protocolo de red que proporciona información sobre el tráfico IP, como el uso de red, picos, o cuellos
© Documento normativo propiedad del ICE, prohibida su reproducción total o parcial sin autorización.
INSTITUTO COSTARRICENSE DE ELECTRIDAD Versión: 1.0a
Gerencia General
© Documento normativo propiedad del ICE, prohibida su reproducción total o parcial sin autorización.
INSTITUTO COSTARRICENSE DE ELECTRIDAD Versión: 1.0a
Gerencia General
3. Gestión nivel 2
3.1. VLANs
Para gestionar el tráfico de capa2, debe ser obligatorio el uso de redes de área local virtuales (VLANs). Se trata de
agrupaciones, definidas por software, de estaciones LAN que se comunican entre sí como si estuvieran conectadas
al mismo cable, incluso estando situadas en segmentos diferentes de una red de edificio o de campus. Es decir, la
red virtual es la tecnología que permite separar la visión lógica de la red de su estructura física mediante el soporte
de comunidades de intereses, con definición lógica, para la colaboración en sistemas informáticos de redes.
Las VLANs proveen seguridad, segmentación, flexibilidad, permiten agrupar usuarios de un mismo dominio de
broadcast con independencia de su ubicación física en la red. Usando la tecnología VLAN se pueden agrupar
lógicamente puertos del switch y los usuarios conectados a ellos en grupos de trabajo con interés común. Es posible
asociar usuarios lógicamente con total independencia de su ubicación física incluso a través de una WAN. Las
VLAN pueden existir en un solo switch o bien abarcar varios de ellos. Las VLAN pueden extenderse a múltiples
switches por medio de enlaces troncales que se encargan de transportar tráfico de múltiples VLANs.
El rendimiento de una red se ve ampliamente mejorado al no propagarse las difusiones de un segmento a otro
aumentando también los márgenes de seguridad. Para que las VLANs puedan comunicarse son necesarios los
servicios de routers quienes pueden implementan el uso de ACL para mantener el margen de seguridad necesario.
Definimos a continuación los comandos básicos para creación de una vlan y asignación de un puerto a esa vlan:
hostname (config)#vlan vlan_Id
hostname (config-if)#vlan mode access
hostname (config-if)#switchport access vlan vlan_Id
3.2. STP
Para mejorar la disponibilidad de una red, se suelen diseñar rutas redundantes agregando equipos y cables. De esta
manera, existen siempre varios caminos entre dos puntos, y la interrupción de una ruta no implica incomunicación.
Hay dos inconvenientes que aparecen con la creación de rutas redundantes:
• bucles en capa 2. Esto es provocado por el hecho que las tramas de Ethernet no poseen un tiempo de vida
(TTL, Time to Live) como los paquetes IP que viajan por los routers. En consecuencia, si no finalizan de
manera adecuada en una red conmutada, las mismas siguen rebotando de switch en switch
indefinidamente o hasta que se interrumpa un enlace y elimine el bucle.
• Tormentas de bradcast: esto es debido a que el tráfico de broadcast se envía a todos los puertos del
switch, todos los dispositivos conectados deben procesar todo el tráfico de broadcast que fluye
indefinidamente en la red con bucles. Esto puede producir que el dispositivo final no funcione debido a los
requerimientos de alto procesamiento para sostener una carga de tráfico de esas dimensiones en la tarjeta
de interfaz de red.
Para evitar bucles en red y tormentas de bradcast, es necesario usar STP (Spanning Tree Protocol), estándar
utilizado en la administración de redes, basado en el algoritmo de Árbol Abarcador, para describir como los puentes
y conmutadores puedes comunicarse para evitar bucles en la red. STP viene habilitado por defecto en Cisco.
El protocolo STP automatiza la administración de la topología de la red con enlaces redundantes, la función principal
del protocolo spanning-tree es permitir rutas conmutadas/puenteadas duplicadas sin considerar los efectos de
latencia de los loops en la red.
Al crear redes tolerantes a las fallas, una ruta libre de loop debe existir entre todos los nodos de la red. El algoritmo
de spanning tree se utiliza para calcular una ruta libre de loops. Las tramas del spanning tree, denominadas
unidades de datos del protocolo puente (BPDU), son enviadas y recibidas por todos los switches de la red a
intervalos regulares y se utilizan para determinar la topología del spanning tree.
Solución:
• Para el funcionamiento correcto de puertos de usuarios es necesario poner el puerto como “spanning-tree
portfast”, esto deshabilita STP haciendo que si ocurre un loop, este no se detecte.
© Documento normativo propiedad del ICE, prohibida su reproducción total o parcial sin autorización.
INSTITUTO COSTARRICENSE DE ELECTRIDAD Versión: 1.0a
Gerencia General
Siempre hay algún visitante que requiere una conexión que es proporcionada sin respetar las políticas de seguridad
de la empresa; o un trabajador de la propia organización que trae su propia laptop y decide conectarla a nuestra red.
Para esto el recurso más frecuente es desconectar una terminal conectada a la red y utilizar esa boca para ganar
acceso a Internet. Esto se puede evitar implementando en los switches uno de los dos modelos siguientes: port-
security, unicast flood protection.
Port Security
Port Security es un feature de los switches Cisco que permite retener las direcciones MAC conectadas a cada
puerto del dispositivo y permitir solamente a esas direcciones MAC comunicarse a través de esa boca del switch. Si
un dispositivo con otra dirección MAC intenta comunicarse a través de esa boca, port-security deshabilitará el
puerto.
hostname(config)#int <puerto>
hostname(config-if)#switchport port-security
Si se ingresa solamente el comando básico, se asumen los valores por defecto: solo permite una dirección MAC en
el puerto, que será la primera que se conecte al mismo, en caso de que otra dirección MAC intente conectarse
utilizando el mismo puerto, este será deshabilitado o bloqueado. Todos estos parámetros son modificables.
Para su configuración, se debe asignar un porcentaje a uno o varios puertos, de manera que se descarte todo el
tráfico (sin distinción) que supere el porcentaje en un determinado período de tiempo.
© Documento normativo propiedad del ICE, prohibida su reproducción total o parcial sin autorización.
INSTITUTO COSTARRICENSE DE ELECTRIDAD Versión: 1.0a
Gerencia General
La configuración se hace de manera global y para las vlans que se desea securizar.
© Documento normativo propiedad del ICE, prohibida su reproducción total o parcial sin autorización.
INSTITUTO COSTARRICENSE DE ELECTRIDAD Versión: 1.0a
Gerencia General
4. Gestión capa 3
4.1. Autenticación en los protocolos de enrutamiento
Los mecanismos de seguridad de capa 3 que se recomiendan son los mecanismos de autenticación de vecinos de router.
Se trata de la autenticación que ocurre cuando dos equipos intercambian rutas en la capa de red. Esta autenticación
asegura que un routers recibe información de routing fiable de una fuente conocida. De esta manera, se previene el envío
de fuentes remotas no conocidas y malintencionadas que puedan propagar información falsa (rutas falsas) y conocer las
rutas propagadas.
Para poder usar la MD5, es necesario que las versiones de IOS no sean inferiores a 12.3.
crypto keyring NL
pre-shared-key address <IP_address> key <llave_usada>
!
crypto isakmp policy 1
encr 3des
hash md5
authentication pre-share
group 2
!
crypto isakmp client configuration group NOADMIN
key ad5916e4
pool NOPOOL
crypto isakmp profile RA
match identity group NOADMIN
© Documento normativo propiedad del ICE, prohibida su reproducción total o parcial sin autorización.
INSTITUTO COSTARRICENSE DE ELECTRIDAD Versión: 1.0a
Gerencia General
4.3. Ipv6
IPv6 es el protocolo que seguirá a IPv4 y que proporciona un espacio mayor de direcciones y nueva jerarquía de
direccionamiento.
La seguridad de IPv6 no es muy diferente de IPv4, y se emplean los mismos elementos (FW, filtrados de
paquetes,..). Una de las características principales es que IPsec (autenticación y cifrado de las comunicaciones
entre dispositivos punto a punto) es de obligatoria implementación y su uso recomendado.
En caso de implementar IPv6, se recomienda seguir las reglas de seguridad de Cisco Best Practices para IPv6:
Ipv6_BestPractices.pdf. Este documento está ubicado en la misma carpeta del Runbook que la presente guía de
basionado.
4.4. Multicast
La plataforma no requiere multicast routing, y no se hacen recomendaciones para ello.
Si en el futuro se configurara multicast de Internet para algún servicio, esto es lo que cisco recomienda (incluye
configuración): Cisco_RecomendacionesMulticast.pdf. Este documento está ubicado en la misma carpeta del
Runbook que la presente guía de basionado.
© Documento normativo propiedad del ICE, prohibida su reproducción total o parcial sin autorización.
INSTITUTO COSTARRICENSE DE ELECTRIDAD Versión: 1.0a
Gerencia General
5. Control
El control comprende la supervisión (monitorización), las actualizaciones de la tabla de ruta, y en general el funcionamiento
dinámico del router. Servicios, configuraciones y secuencias de datos que dan soporte y documentan la operacionalidad, el
control de tráfico y el estado dinámico del router. Ejemplos de estos servicios son: el registro de logs (por ejemplo, Syslog),
los protocolos de enrutamiento, los protocolos de estado como el CDP y HSRP, los protocolos de topología de red como
STP, y la seguridad de los protocolos de control de tráfico, como IKE. Protocolos de control de red como ICMP, NTP, ARP y
IGMP dirigido o enviado por el propio router, también se incluyen en esta sección.
hostname(config)#no ip finger
hostname(config)#no identd
© Documento normativo propiedad del ICE, prohibida su reproducción total o parcial sin autorización.
INSTITUTO COSTARRICENSE DE ELECTRIDAD Versión: 1.0a
Gerencia General
El servicio tcp keepalives-out, para conexiones salientes, permite que el dispositivo detecte cuando el host
remoto no funciona y ha caido la sesión. Éste debe ser habilitado para matar las sesiones en las que la parte
remota ha muerto, procediendo con:
hostname(config)#service tcp-keepalives-out
hostname(config)#no tftp-server
hostname(config)#logging on
© Documento normativo propiedad del ICE, prohibida su reproducción total o parcial sin autorización.
INSTITUTO COSTARRICENSE DE ELECTRIDAD Versión: 1.0a
Gerencia General
Para una mayor seguridad debe configurarse el nivel de registro en la consola del dispositivo de la siguiente
manera:
5.3.4. Timestamps
Las marcas de tiempo deben incluirse en los registros de depuración y en los de actividad. Para
configurarlos, respectivamente, procede:
© Documento normativo propiedad del ICE, prohibida su reproducción total o parcial sin autorización.
INSTITUTO COSTARRICENSE DE ELECTRIDAD Versión: 1.0a
Gerencia General
6. Gestión de tránsitos
Esta sección afecta a los servicios y ajustes relacionados con los datos que pasan a través del router. La configuración del
router en este ámbito incluye listas de acceso a la interfaz, la funcionalidad (por ejemplo, CBAC), NAT e IPSec. Los ajustes
del tráfico que afectan a servicios como la verificación del RPF unicast y CAR / QoS también quedan incluidos.
hostname(config)#interface id-interfaz
hostname(config-if)#no ip directed-broadcast
• Deshabilitar el enrutamiento de origen, funcionalidad IP mediante la cual los paquetes individuales pueden
especificar rutas, para evitar ataques.
hostname(config)#no ip source-route
hostname(config)#interface {nombre_interfaz}
hostname(config-if)#no ip proxy-arp
6.2. Filtrado
6.2.1. Direcciones Privadas
La configuración de los controles de acceso puede ayudar a prevenir los ataques de suplantación de
identidad (spoofing). Para reducir la eficacia de la falsificación de direcciones IP, se debe configurar el control
de acceso para denegar cualquier tráfico de la red externa que tenga una dirección origen que deba residir
en la red interna. Se incluye la dirección del host local o cualquier dirección reservada privada (RFC 1918).
Para configurar las ACLs:
En nuestro caso, son los firewalls quienes se encargan de hacer anti-spoofing y por definición se deben evitar
© Documento normativo propiedad del ICE, prohibida su reproducción total o parcial sin autorización.
INSTITUTO COSTARRICENSE DE ELECTRIDAD Versión: 1.0a
Gerencia General
Idem. Sí añadiría un subapartado de ACLs de autoprotección del equipo que sólo permitan el acceso desde
las Ips de la red de gestión autorizadas. Los switches por lo general no suelen realizar funciones de filtrado
de tráfico a no ser que no existan firewalls, sólo de autoprotección.
© Documento normativo propiedad del ICE, prohibida su reproducción total o parcial sin autorización.
INSTITUTO COSTARRICENSE DE ELECTRIDAD Versión: 1.0a
Gerencia General
7. Anexo
7.1. Prerequisitos para la Configuración del SSH
Antes de configurar el acceso SSH, deben realizarse las siguientes tareas:
1. Configurar el hostname del dispositivo.
2. Configurar el nombre del dominio del dispositivo.
3. Generar un par de claves RSA, necesaria para el acceso SSH.
4. Guardar el par de claves RSA.
hostname(config)#hostname { hostname_dispositivo }
hostname(config)#domain-name { nombre-dominio }
hostname(config)#crypto key generate rsa modulus { 2048 }
hostname(config)#write mem
© Documento normativo propiedad del ICE, prohibida su reproducción total o parcial sin autorización.