GU BastionadoCiscoIOS ICE IDC 1.3

INSTITUTO COSTARRICENSE DE ELECTRICIDAD
GERENCIA GENERAL Versión 1.0a

Guía Bastionado Cisco IOS Página 1 de 22
Solicitud de Elaborado por: Aprobado por: Rige a partir de:
Cambio No: Consorcio ITSInfocom Gerencia General 2010-07-21
ICE
Adquisición de Hardware y
Software para iDC
Guía Bastionado Cisco IOS
Código de Proyecto: PRY_CNGS_02
Versión Numero: 1.0a
Autor: Consorcio ITSInfocom
Fecha: 2010-07-21
INSTITUTO COSTARRICENSE DE ELECTRIDAD Versión: 1.0a
Gerencia General
Adquisición de Hardware y Software para iDC Página 2 de 22
Tabla de Contenidos
0. Información del Documento .................................................................................................................................................... 4
1. Introdución............................................................................................................................................................................... 6
1.1. Alcance........................................................................................................................................................................... 6
1.2. Tareas de configuración................................................................................................................................................. 6
2. Gestión Nivel 1........................................................................................................................................................................ 7
2.1. Reglas Locales de Autenticación, Autorización y Accounting (AAA).............................................................................7
2.1.1. Servicio AAA.......................................................................................................................................................... 7
2.1.2. Autenticación AAA para el Inicio de Sesión...........................................................................................................7
2.1.3. Autenticación AAA para el Modo Activo.................................................................................................................7
2.2. Reglas de Acceso........................................................................................................................................................... 7
2.2.1. Requerir Usuario Local y Contraseña Encriptada..................................................................................................7
2.2.2. SSH para el Acceso Remoto a Dispositivos..........................................................................................................7
2.2.3. VTY Transporta SSH.............................................................................................................................................. 8
2.2.4. Timeout de Inicio de Sesión................................................................................................................................... 8
2.2.5. Puerto Auxiliar........................................................................................................................................................ 8
2.2.6. Control de Acceso SSH.......................................................................................................................................... 8
2.2.7. ACL VTY................................................................................................................................................................. 8
2.3. Banners........................................................................................................................................................................... 8
2.3.1. EXEC...................................................................................................................................................................... 8
2.3.2. Inicio de Sesión (Login).......................................................................................................................................... 9
2.3.3. MOTD..................................................................................................................................................................... 9
2.4. Contraseñas.................................................................................................................................................................... 9
2.4.1. Activación de Secret.............................................................................................................................................. 9
2.4.2. Servicio de Encriptación......................................................................................................................................... 9
2.5. SNMP.............................................................................................................................................................................. 9
2.5.1. String de Comunidad SNMP Privado y Público.....................................................................................................9
2.5.2. Accesos de Escritura y Lectura.............................................................................................................................. 9
2.5.3. SNMP y ACLs...................................................................................................................................................... 10
2.5.4. Control de Acceso................................................................................................................................................ 10
2.6. Control de memoria y de CPU...................................................................................................................................... 10
2.7. NetFlow......................................................................................................................................................................... 10
3. Gestión nivel 2....................................................................................................................................................................... 12
3.1. VLANs........................................................................................................................................................................... 12
3.2. STP............................................................................................................................................................................... 12
3.3. Ataques de MAC........................................................................................................................................................... 13
3.4. Control del ancho de banda.......................................................................................................................................... 13
3.5. DHCP Snooping............................................................................................................................................................ 14
4. Gestión capa 3...................................................................................................................................................................... 15
4.1. Autenticación en los protocolos de enrutamiento.........................................................................................................15
4.2. Autenticación y cifrado de las comunicaciones punto a punto.....................................................................................15
4.3. Ipv6............................................................................................................................................................................... 16
4.4. Multicast........................................................................................................................................................................ 16
5. Control................................................................................................................................................................................... 17
5.1. Reloj del Sistema.......................................................................................................................................................... 17
5.2. Reglas Globales de Servicio......................................................................................................................................... 17
5.2.1. CDP...................................................................................................................................................................... 17
5.2.2. Servicio Finger..................................................................................................................................................... 17
5.2.3. Servidor IP BOOTP.............................................................................................................................................. 17
5.2.4. Servicio de Identificación..................................................................................................................................... 17
5.2.5. Servidor IP HTTP................................................................................................................................................. 18
5.2.6. Configuración Remota del Inicio.......................................................................................................................... 18
5.2.7. Servicios TCP keepalives-in y out....................................................................................................................... 18
5.2.8. Servidores tcp-small y udp-small......................................................................................................................... 18
5.2.9. Servidor TFTP...................................................................................................................................................... 18
© Documento normativo propiedad del ICE, prohibida su reproducción total o parcial sin autorización.
Gerencia General

5.3. Registro de la Actividad (Logging)................................................................................................................................ 18
5.3.1. Ajustes Generales................................................................................................................................................ 18
5.3.2. Registros en el Servidor Syslog........................................................................................................................... 19
5.3.3. Registro del Trap Severity Level.......................................................................................................................... 19
5.3.4. Timestamps.......................................................................................................................................................... 19
5.4. NTP (Network Time Protocol)....................................................................................................................................... 19
6. Gestión de tránsitos............................................................................................................................................................... 20
6.1. Reglas de Enrutamiento............................................................................................................................................... 20
6.2. Filtrado.......................................................................................................................................................................... 20
6.2.1. Direcciones Privadas........................................................................................................................................... 20
6.2.2. Direcciones de Origen Exerno en Tráfico Saliente..............................................................................................21
7. Anexo..................................................................................................................................................................................... 22
7.1. Prerequisitos para la Configuración del SSH...............................................................................................................22
Gerencia General
0. Información del Documento
Las siguientes personas colaboraron en la elaboración del documento:
Colaborador Rol o Área Funcional Firma Fecha
Pablo BALLARÍN Consorcio ITS 09/01/10
Información del documento:
Fecha de creación:* 09/01/10

Nombre del archivo:* 673740524.odt
Última vez guardado:* 10/20/10
Última vez impreso:*
*se cambia con la opción de actualizar campos.
UBICACIÓN ELECTRÓNICA DEL DOCUMENTO

DIRECCIÓN: Runbook://folder/673740524.odt
RESPONSABLE: Micaela Vera Fernández
Historia de revisión del documento:
Fecha de Revisión Revisado por Área funcional Descripción general de cambios

09/01/10 Pablo BALLARÍN USIETO Consultor- Versión inicial
Consorcio ITS
10/01/10 Pablo BALLARÍN USIETO Consultor- Se ha completado el documento con 2 nuevas
Consorcio ITS secciones:
* seguridad en Capa2: Vlans, STP, Port Security
* seguridad en Capa3: autenticación de vecinos
en protocolos de routing
10/20/10 Pablo BALLARÍN USIETO Consultor- * se añade el apartado 2.6 Control de Memoria
Consorcio ITS con la opción “Memory Threshold Notifications”
* se añade el apartado 2.7 para la configuración
de NetFlow
* se completa el punto 3.3 añadiendo “unicast
flood protection”
* se añade el apartado 3.4 “Control de Ancho de
Banda”, que incluye el uso de storm-control
broadcast
* se añade HSRP dentro de la autentificación de
los protocolos de capa 3 en el apartado 4.1
* se añade el apartado 4.2 “Autenticación y
Cifrado de las comunicaciones punto a punto”
para incorporar la securización por IPSec
* se añade el apartado 4.6 “Ipv6”, donde se
referencian las mejores prácticas para Ipv6
10/25/10 Pablo BALLARÍN USIETO Consultor- * en el apartado 2.6 Control de Memoria se
Consorcio ITS añade la opción “CPU Threshold Notifications”
* en el apartado 2.5.2 Accesos de escritura y
Gerencia General

lectura SNMP, se recomienda no usar las
comunidades por defecto
* se añade un apartado 4.4 para multicast
11/09/10 Javier SANCHEZ Consultor- * se añade un apartado a la autenticación por
Consorcio ITS TACACS+
* se recomienda deshabilitar DHCP en aquellos
puertos donde no se esté usando el protocolo
* se recomienda no usar versiones de Ios
inferiores a 12.3
Gerencia General
1. Introducción
1.1. Alcance
Este documento aplica a los appliances Cisco IOS que ejecutan la versión 12.x o superior del software.
1.2. Tareas de configuración

Las tareas habituales de configuración de estos componentes son realizadas por el consorcio ITS.
Gerencia General
2. Gestión Nivel 1
Incluye los servicios, configuraciones y secuencias de datos relacionados con la creación y el examen de la configuración
estática y la autenticación y autorización de los administradores.
2.1. Reglas Locales de Autenticación, Autorización y Accounting (AAA)

2.1.1. Servicio AAA
Es preciso habilitar las reglas AAA utilizando el commando new-model:
hostname(config)#aaa new-model
2.1.2. Autenticación AAA para el Inicio de Sesión

Configurar el método de autenticación AAA para la autenticación del inicio de sesión:
hostname(config)#aaa authentication login { default | aaa_lista_nombres } local-case
La lista de métodos por defecto se aplica automáticamente a todas las interfaces en aquellas que tienen una
lista explícitamente definida. Una lista definida reemplaza a la lista predeterminada.
2.1.3. Autenticación AAA para el Modo Activo

Debe configurarse el método de autenticación AAA para habilitar la autenticación:
hostname(config)#aaa authentication enable { default } enable
2.1.4. Autenticación mediante TACACS+

En caso de ser necesaria la configuración del acceso mediante TACACS+, se introducirán los siguientes
comandos:
hostname(config)# aaa new-model

hostname(config)# aaa authentication ppp default if-needed tacacs+ local
hostname(config)# aaa authorization network tacacs+
hostname(config)# tacacs-server host <dirección IP>
hostname(config)# tacacs-server key goaway
hostname(config)# interface serial 0
hostname(config)# ppp authentication default
2.2. Reglas de Acceso

2.2.1. Requerir Usuario Local y Contraseña Encriptada
Verificar que al menos existe un usuario local y asegurar que todas las contraseñas de usuarios definidos
localmente están protegidas por cifrado. La configuración del dispositivo por defecto no requiere
autenticación fuerte de usuarios potenciales, que permitan el acceso sin restricciones a un atacante que
pueda llegar al dispositivo. Se debe crear un usuario local con una contraseña cifrada y compleja (no fácil de
adivinar).
! Sustituir "LOCAL PASSWORD" con el valor escojido.

! No utilitzar "LOCAL PASSWORD"
Gerencia General

hostname(config)#username { LOCAL_USERNAME } password { LOCAL_PASSWORD }
!Para versiones posteriores a 12.0(18)S, 12.1(8a)E, 12.2(8)T, utilitzar:
hostname(config)#username { LOCAL_USERNAME } secret { LOCAL_PASSWORD }
2.2.2. SSH para el Acceso Remoto a Dispositivos

SSH debe ser el único protocolo permitido para el acceso remoto al dispositivo. SSH utiliza criptografía de
clave pública RSA para establecer una conexión segura entre un cliente y un servidor. Debe ser utilizado
para reemplazar a Telnet.
hostname(config)#ip ssh timeout [60]

hostname(config)#ip ssh authentication-retries [3]
2.2.3. VTY Transporta SSH

Aplicar el transporte VTY SSH en todas las líneas de gestión:
hostname(config)#line {aux | console | tty | vty} {numero-linea} [numero-ultima-linea]

hostname(config-line)#transport input ssh
2.2.4. Timeout de Inicio de Sesión

Esto evita que usuarios no autorizados utilicen indebidamente sesiones abandonadas. Debe configurarse el
dispositivo de tiempo de espera (a 10 minutos) para desconectar sesiones después de un tiempo de
inactividad determinado.
hostname(config)#line {aux | console | tty | vty} {numero-linea} [numero-linea-final]

hostname(config-line)#exec-timeout {timeout_en_minutos} [ timeout_en_segundos ]
2.2.5. Puerto Auxiliar

Deberán desactivarse los puertos que no se utilizan y no son requeridos por cuestiones de negocio. Para
llevar a cabo esta tarea:
hostname(config)# line aux 0

hostname(config-line)# no exec
hostname(config-line)# transport input none
2.2.6. Control de Acceso SSH

Se debe configurar el control de acceso para restringir el acceso remoto a las personas autorizadas para
administrar el dispositivo, evitando que los usuarios no autorizados accedan al sistema. Para ello deberán
deben configurarse las restrcciones de administración para todas las líneas VTY de la siguiente manera:
hostname(config)#line {aux | console | tty | vty} {numero-linea} [numero-linea-final]

hostname(config-line)# access-class [ numero_acl_vty ] in
2.2.7. ACL VTY

Es preciso establecer las ACLs pertinentes para restringir el acceso al dispositivo. Es importante configurar
las ACLs para las líneas VTY, restringiendo así las fuentes que un usuario puede utilizar del dispositivo. Para
ello se indicaran los hosts específicos o la red/es autorizadas para realizar la conexión:
hostname(config)#access-list {numero_acl_vty} permit tcp {bloque_acl_vty_con_mascara} any

hostname(config)#access-list {numero_acl_vty} permit tcp host [ vty_acl_host ] any
Gerencia General

hostname(config)#deny ip any any log
2.3. Banners
Las reglas en la clase banner permiten comunicar los derechos legales a los usuarios.
2.3.1. EXEC
El banner EXEC aparece antes de mostrar el símbolo del sistema, después de iniciar un proceso EXEC,
normalmente después de mostrar el mensaje del día y los banners de acceso y después de que el usuario se
conecte al dispositivo. Los banners de red son mensajes electrónicos que dan un aviso a los usuarios de sus
derechos legales sobre las redes informáticas. Para configurarlo:
hostname(config)#banner {exec texto-mensaje}
2.3.2. Inicio de Sesión (Login)

Para configurar el mensaje que se presenta cuando un usuario inicia sesión en el dispositivo:
hostname(config)#banner {login texto-mensaje}
2.3.3. MOTD
El banner MOTD aparece cuando un usuario se conecta por primera vez al dispositivo, normalmente antes de
mostrar el mensaje de inicio de sesión y el Exec. Para configurar el mensaje del día que aparece cuando un
usuario se conecta por primera vez al dispositivo:
hostname(config)#banner {motd texto-mensaje}
2.4. Contraseñas
2.4.1. Activación de Secret
Activar una contraseña secreta utilizando una encriptación fuerte para proteger el acceso al modo privilegiado
EXEC que se utiliza para configurar el dispositivo. Para activar esta opción:
! Debe sustituirse "ENABLE SECRET" con el valor escogido. No debe utilizarse "ENABLE SECRET"
hostname(config)#enable secret {ENABLE_SECRET}
2.4.2. Servicio de Encriptación

Debe habilitarse este servicio para proteger las contraseñas de la configuración de los dispositivos:
hostname(config)#service password-encryption
2.5. SNMP
2.5.1. String de Comunidad SNMP Privado y Público
La configuración no debe contener strings de comunidad predetermindados. Se debería utilizar SNMPv3, que
proporciona autenticación, autorización y privatización de los datos (encriptación). El siguiente comando
deshabilita los strings predeterminados:
hostname(config)#no snmp-server community {private}
hostname(config)#no snmp-server community {public}
Gerencia General
2.5.2. Accesos de Escritura y Lectura

La primera recomendación es utilizar SNMPv3 ya que las versiones 1 y 2 utilizan strings en texto plano.
Siempre que no sea imprescindible, los accesos de escritura y lectura SNMP deben deshabilitarse. Para
realizarlo,
hostname(config)#no snmp-server
Para sólo deshabilitar los permisos de escritura,
hostname(config)#no snmp-server community {string_de_la_comunidad}
Se recomienda no usar las comunidades que vienen definidas por defecto en Cisco.
2.5.3. SNMP y ACLs

Las ACLs deben configurarse para restringir el acceso, especificando que sólo es posible acceder des de
unas estaciones de trabajo autorizadas en una zona de gestión fiable:
hostname(config)#access-list { numero_ACL_snmp }permit {snmp_access-list}

hostname(config)#access-list deny any log
Si no existe una ACL aplicada, ningún string de comunidad SNMP será aceptado. Para configurar las
restricciones del acceso SNMP vía ACL:
hostname(config)#snmp-server community {string_comunidad} {ro | rw} {numero_ACL_snmp}
2.5.4. Control de Acceso

Se deben configurar los strings de lectura autorizados de la comunidad SNMP y restringir el acceso, a
aquellos sistemas de gestión autorizados. La cadena de la comunidad debe ser distinta a todas las
credenciales de cualquier otro dispositivo. Para ello puede utilizarse:
hostname(config)#snmp-server community {read_community_ string} {ro} {snmp_access-

list_number}
2.6. Control de memoria y de CPU

Se recomienda la configuración de umbrales de alerta de CPU disponible. El umbral recomendado es 60%, y en el
ejemplo la información guardada corresponde a los últimos 300 segundos:
hostname(config)# process cpu statistics limit entry-percentage 60 size 300
Se recomienda también la configuración de umbrales de alerta de memoria disponible. El umbral recomendado es

70%, para que la alarma salte si se superan 2/3 de uso):
hostname(config)# memory free low-watermark io <kb>
hostname(config)# memory free low-watermark processor <kb>
<kb> hace referencia al número de kilobytes libres, por debajo de los cuales debería enviarse una alarma. El valor
concreto varía, ya que lo lógico es usar un porcentaje de la memoria disponible del dispositivo en cuestión. Por
ejemplo, los 7613 tienen unos 640MB de memoria para procesador y 64 mb para IO, así que los valores serían
aproximadamente 200/20 MB, es decir:
hostname(config)# memory free low-watermark io 20000
hostname(config)# memory free low-watermark processor 200000
2.7. NetFlow
NetFlow es un protocolo de red que proporciona información sobre el tráfico IP, como el uso de red, picos, o cuellos
Gerencia General

de botella. Se recomienda su uso para el análisis y monitorización de redes.
En caso de Se implementa de la siguiente manera:

hostname# conf t
hostname (config-if)# int <interface>
hostname (config-if)#ip route-cache flow --> habilitar el flow
hostname (config-if)#exit
hostname (config)#ip flow-export destination <IP_ColectorNetflow> 9996 --> configuración de donde van
los paquetes
hostname (config)#ip flow-export source <interface> --> configuración de la interfaz desde la cual se envían
los paquetes
hostname (config)#ip flow-export version 9 --> se elige la versión del protocolo, la 9
hostname (config)#ip flow-cache timeout active 1 --> configuración de timeout
hostname (config)#ip flow-cache timeout inactive 15 --> configuración de timeout
Gerencia General
3. Gestión nivel 2
3.1. VLANs
Para gestionar el tráfico de capa2, debe ser obligatorio el uso de redes de área local virtuales (VLANs). Se trata de
agrupaciones, definidas por software, de estaciones LAN que se comunican entre sí como si estuvieran conectadas
al mismo cable, incluso estando situadas en segmentos diferentes de una red de edificio o de campus. Es decir, la
red virtual es la tecnología que permite separar la visión lógica de la red de su estructura física mediante el soporte
de comunidades de intereses, con definición lógica, para la colaboración en sistemas informáticos de redes.
Las VLANs proveen seguridad, segmentación, flexibilidad, permiten agrupar usuarios de un mismo dominio de
broadcast con independencia de su ubicación física en la red. Usando la tecnología VLAN se pueden agrupar
lógicamente puertos del switch y los usuarios conectados a ellos en grupos de trabajo con interés común. Es posible
asociar usuarios lógicamente con total independencia de su ubicación física incluso a través de una WAN. Las
VLAN pueden existir en un solo switch o bien abarcar varios de ellos. Las VLAN pueden extenderse a múltiples
switches por medio de enlaces troncales que se encargan de transportar tráfico de múltiples VLANs.
El rendimiento de una red se ve ampliamente mejorado al no propagarse las difusiones de un segmento a otro
aumentando también los márgenes de seguridad. Para que las VLANs puedan comunicarse son necesarios los
servicios de routers quienes pueden implementan el uso de ACL para mantener el margen de seguridad necesario.
Definimos a continuación los comandos básicos para creación de una vlan y asignación de un puerto a esa vlan:
hostname (config)#vlan vlan_Id
hostname (config-if)#vlan mode access
hostname (config-if)#switchport access vlan vlan_Id
3.2. STP
Para mejorar la disponibilidad de una red, se suelen diseñar rutas redundantes agregando equipos y cables. De esta
manera, existen siempre varios caminos entre dos puntos, y la interrupción de una ruta no implica incomunicación.
Hay dos inconvenientes que aparecen con la creación de rutas redundantes:
• bucles en capa 2. Esto es provocado por el hecho que las tramas de Ethernet no poseen un tiempo de vida
(TTL, Time to Live) como los paquetes IP que viajan por los routers. En consecuencia, si no finalizan de
manera adecuada en una red conmutada, las mismas siguen rebotando de switch en switch
indefinidamente o hasta que se interrumpa un enlace y elimine el bucle.
• Tormentas de bradcast: esto es debido a que el tráfico de broadcast se envía a todos los puertos del
switch, todos los dispositivos conectados deben procesar todo el tráfico de broadcast que fluye
indefinidamente en la red con bucles. Esto puede producir que el dispositivo final no funcione debido a los
requerimientos de alto procesamiento para sostener una carga de tráfico de esas dimensiones en la tarjeta
de interfaz de red.
Para evitar bucles en red y tormentas de bradcast, es necesario usar STP (Spanning Tree Protocol), estándar
utilizado en la administración de redes, basado en el algoritmo de Árbol Abarcador, para describir como los puentes
y conmutadores puedes comunicarse para evitar bucles en la red. STP viene habilitado por defecto en Cisco.
El protocolo STP automatiza la administración de la topología de la red con enlaces redundantes, la función principal
del protocolo spanning-tree es permitir rutas conmutadas/puenteadas duplicadas sin considerar los efectos de
latencia de los loops en la red.
Al crear redes tolerantes a las fallas, una ruta libre de loop debe existir entre todos los nodos de la red. El algoritmo
de spanning tree se utiliza para calcular una ruta libre de loops. Las tramas del spanning tree, denominadas
unidades de datos del protocolo puente (BPDU), son enviadas y recibidas por todos los switches de la red a
intervalos regulares y se utilizan para determinar la topología del spanning tree.
Solución:
• Para el funcionamiento correcto de puertos de usuarios es necesario poner el puerto como “spanning-tree
portfast”, esto deshabilita STP haciendo que si ocurre un loop, este no se detecte.
Gerencia General

• BPDU Guard, deshabilita puerto “port-fast” que reciban BPDUs - Root Guard, bloquea el puerto al
dispositivo que intente conectarse como root.
A continuación se muestra como activar el spanning-tree en una vlan particular:

hostname(config)# spanning-tree vlan vlan_ID
3.3. Ataques de MAC

Una dimensión importante en la seguridad de nuestras redes LAN, es el control de quiénes pueden (y quiénes no)
acceder a la red interna de la empresa. Esta opción no es obligatoria, pero es recomendable en casos que el
administrador lo vea conveniente (limitar el número de accesos, limitar ciertas MACs,..).
Siempre hay algún visitante que requiere una conexión que es proporcionada sin respetar las políticas de seguridad
de la empresa; o un trabajador de la propia organización que trae su propia laptop y decide conectarla a nuestra red.
Para esto el recurso más frecuente es desconectar una terminal conectada a la red y utilizar esa boca para ganar
acceso a Internet. Esto se puede evitar implementando en los switches uno de los dos modelos siguientes: port-
security, unicast flood protection.
Port Security
Port Security es un feature de los switches Cisco que permite retener las direcciones MAC conectadas a cada
puerto del dispositivo y permitir solamente a esas direcciones MAC comunicarse a través de esa boca del switch. Si
un dispositivo con otra dirección MAC intenta comunicarse a través de esa boca, port-security deshabilitará el
puerto.
hostname(config)#int <puerto>
hostname(config-if)#switchport port-security
Si se ingresa solamente el comando básico, se asumen los valores por defecto: solo permite una dirección MAC en
el puerto, que será la primera que se conecte al mismo, en caso de que otra dirección MAC intente conectarse
utilizando el mismo puerto, este será deshabilitado o bloqueado. Todos estos parámetros son modificables.
Unicast flood protection

Esta featura permite poner control sobre la cantidad de unicast floods que un host remoto puede generar. La
configuración de esta feature puede:
• mandar una alerta cuando un límite establecido por el usuario administrador del switch ha sido alcanzado,
• filtrar el tráfico,
• deshabilitar el port que esta generando la inundación.(esta función la tiene por ejemplo el Cisco Catalyst
6500 )
Para cada VLAN V, los comandos serían las siguientes, siendo los valores “limit” y “timeout” los recomendados por
Cisco). La última línea especifica la acción en caso de superación del límite: enviar una alerta y/o desactivar el
puerto.
mac-address-table unicast-flood limit 10 { vlan <V> }
mac-address-table unicast-flood filter { vlan <V> } timeout 5
mac-address-table unicast-flood {vlan vlan} { alert | shutdown }
3.4. Control del ancho de banda

En aquellos puertos donde fueran a conectarse sistemas ajenos a la plataforma (por ejemplo portátiles), podrá
usarse la opción storm-control para autolimitar el ancho de banda. El administrador de red deberá evaluar su uso,
teniendo especial cuidado en no usarlo en puertos donde estén conectados servidores.
Para su configuración, se debe asignar un porcentaje a uno o varios puertos, de manera que se descarte todo el
tráfico (sin distinción) que supere el porcentaje en un determinado período de tiempo.
(config)# interface <interfaz>

(config-if)# storm-control broadcast level <x> --> configuración de storm control a x%
Gerencia General
3.5. DHCP Snooping

DHCP snooping es una característica de seguridad de DHCP que filtra los mensajes DHCP no deseados y mantiene
una tabla e DHCP.
La configuración se hace de manera global y para las vlans que se desea securizar.
Switch# configure terminal

Switch(config)# ip dhcp snooping
Switch(config)# ip dhcp snooping vlan 10 100
Switch(config)# ip dhcp snooping information option
Switch(config-if)# ip dhcp snooping trust
Switch(config-if)# ip dhcp snooping limit rate 100
Gerencia General
4. Gestión capa 3
4.1. Autenticación en los protocolos de enrutamiento
Los mecanismos de seguridad de capa 3 que se recomiendan son los mecanismos de autenticación de vecinos de router.
Se trata de la autenticación que ocurre cuando dos equipos intercambian rutas en la capa de red. Esta autenticación
asegura que un routers recibe información de routing fiable de una fuente conocida. De esta manera, se previene el envío
de fuentes remotas no conocidas y malintencionadas que puedan propagar información falsa (rutas falsas) y conocer las
rutas propagadas.
La autentificación de vecino debe usarse para los siguientes protocolos de capa 3:

• Border Gateway Protocol (BGP)
hostname (config)# router bgp bgp_Id
hostname (config)# neighbor <IP_vecino> password <Password>
• IP Enhanced Interior Gateway Routing Protocol (EIGRP)

hostname (config) # interface <interface>
hostname (config-subif)#ip authentication mode eigrp AS_Id md5
hostname (config-subif)#ip authentication key-chain eigrp AS_Id <Password>
• Open Shortest Path First (OSPF)

hostname (config-if)#ip address x.x.x.x <mask>
hostname (config-if)#ip ospf authentication-key <Password>
• Routing Information Protocol (RIP) version 2

hostname (config-if)#ip rip authentication mode md5
hostname (config-if)#ip rip authentication key-chain <Password>
• Hot-Standby Routing Protocol

hostname (config-if)# standby x.x.x.y authentication md5 key-string <Password>
Para poder usar la MD5, es necesario que las versiones de IOS no sean inferiores a 12.3.
4.2. Autenticación y cifrado de las comunicaciones punto a punto

Se recomienda el uso de IPsec para la autenticación y cifrado de las comunicaciones punto a punto, por ejemplo
para la securización de VPNs. Se recomienda su implementación siguiendo las directrices de configuración de
Cisco.
La configuración de IPSec propuesta es la siguiente, y usa los esquemas de cifrado/firma 3DES/MD5 al ser los
estándares considerados seguros a día de hoy.
crypto keyring NL
pre-shared-key address <IP_address> key <llave_usada>
!
crypto isakmp policy 1
encr 3des
hash md5
authentication pre-share
group 2
!
crypto isakmp client configuration group NOADMIN
key ad5916e4
pool NOPOOL
crypto isakmp profile RA
match identity group NOADMIN
Gerencia General

client authentication list AUTHEN
isakmp authorization list AUTHOR
client configuration address respond
crypto isakmp profile L2L-NLOC
keyring NL
match identity address <IP_address> <mask>
!
!
crypto ipsec transform-set PROPOSAL1 esp-3des esp-md5-hmac
!
crypto dynamic-map CDMAP 10
set transform-set PROPOSAL1
set isakmp-profile RA
reverse-route
!
!
crypto map CMAP 10 ipsec-isakmp
set peer <IP_Address>
set transform-set PROPOSAL1
set isakmp-profile L2L-NLOC
match address 110
crypto map CMAP 20 ipsec-isakmp dynamic CDMAP
4.3. Ipv6
IPv6 es el protocolo que seguirá a IPv4 y que proporciona un espacio mayor de direcciones y nueva jerarquía de
direccionamiento.
La seguridad de IPv6 no es muy diferente de IPv4, y se emplean los mismos elementos (FW, filtrados de
paquetes,..). Una de las características principales es que IPsec (autenticación y cifrado de las comunicaciones
entre dispositivos punto a punto) es de obligatoria implementación y su uso recomendado.
En caso de implementar IPv6, se recomienda seguir las reglas de seguridad de Cisco Best Practices para IPv6:
Ipv6_BestPractices.pdf. Este documento está ubicado en la misma carpeta del Runbook que la presente guía de
basionado.
4.4. Multicast
La plataforma no requiere multicast routing, y no se hacen recomendaciones para ello.
Si en el futuro se configurara multicast de Internet para algún servicio, esto es lo que cisco recomienda (incluye
configuración): Cisco_RecomendacionesMulticast.pdf. Este documento está ubicado en la misma carpeta del
Runbook que la presente guía de basionado.
Gerencia General
5. Control
El control comprende la supervisión (monitorización), las actualizaciones de la tabla de ruta, y en general el funcionamiento
dinámico del router. Servicios, configuraciones y secuencias de datos que dan soporte y documentan la operacionalidad, el
control de tráfico y el estado dinámico del router. Ejemplos de estos servicios son: el registro de logs (por ejemplo, Syslog),
los protocolos de enrutamiento, los protocolos de estado como el CDP y HSRP, los protocolos de topología de red como
STP, y la seguridad de los protocolos de control de tráfico, como IKE. Protocolos de control de red como ICMP, NTP, ARP y
IGMP dirigido o enviado por el propio router, también se incluyen en esta sección.
5.1. Reloj del Sistema

En este punto debe realizarse lo siguiente:
• Configurar el reloj de los dispositivos con la hora universal coordinada (UTC) de forma explícita:
hostname(config)#clock timezone UTC 0
• Deshabilitar el reloj que incluye los ajustes para el horario de verano:
hostname(config)#no clock summer-time
5.2. Reglas Globales de Servicio

5.2.1. CDP
Debe deshabilitarse el CDP (Cisco Discovery Protocol), ya que permite la identificación de otros dispositivos
del segmento LAN. Para deshabilitarlo de manera global:
hostname(config)#no cdp run
5.2.2. Servicio Finger

Este servicio permite identificar qué usuarios están loggeados en el dispositivo. Puede exponer el sistema a
ataques de denegación de servicio, DoS. Para deshabilitarlo:
• Para versiones posteriores a 12.1 (5) y 12.1 (5) T:
hostname(config)#no ip finger
• Para versiones anteriores a 12.1 (5) y 12.1 (5) T:
hostname(config)#no service finger
5.2.3. Servidor IP BOOTP

Deben deshabilitarse servicios innecesarios como echo, discard, chargen, etc. Para hacerlo se desactivará el
servidor BOOTP:
hostname(config)#no ip bootp server
5.2.4. Servicio de Identificación

Este protocolo identifica las sessions TCP de los usuarios. Esto puede proporcionar información de los
usuarios a un atacante. Deberá deshabilitarse el servidor ident de la siguiente manera:
hostname(config)#no identd
Gerencia General
5.2.5. Servidor IP HTTP

Este servidor permite la gestión remota de los routers, al ser una version no segura de http debe
deshabilitarse:
hostname(config)#no ip http server
5.2.6. Configuración Remota del Inicio

El servicio de configuración permite que el dispositivo cargue automáticamente su configuración de arranque
desde un dispositivo remoto (por ejemplo, un servidor TFTP). Los protocolos utilizados para transferir los
archivos de configuración, tales como el protocolo trivial de transferencia de archivos (TFTP) y File Transfer
Protocol (FTP), no son seguros. Debe desactivarse la carga automática de los archivos de configuración de
forma remota desde un servidor de red, de la siguiente manera:
hostname(config)#no boot network

hostname(config)#no service config
5.2.7. Servicios TCP keepalives-in y out

El servicio tcp keepalives-in, para conexiones entrantes, permite que el dispositivo detecte cuando el host
remoto no funciona y ha caido la sesión. Éste debe ser habilitado para matar las sesiones en las que la parte
remota ha muerto, procediendo con:
hostname(config)#service tcp-keepalives-in
El servicio tcp keepalives-out, para conexiones salientes, permite que el dispositivo detecte cuando el host
remoto no funciona y ha caido la sesión. Éste debe ser habilitado para matar las sesiones en las que la parte
remota ha muerto, procediendo con:
hostname(config)#service tcp-keepalives-out
5.2.8. Servidores tcp-small y udp-small

Los servicios TCP small como echo, chargen y daytime, no suelen utilizarse y a menudo se utilizan por
atacantes para lanzar ataques DoS (Denial of Service). Deben deshabilitarse como procede:
hostname(config)#no service tcp-small-servers

hostname(config)#no service udp-small-servers
5.2.9. Servidor TFTP

Trivial File Transfer Protocol (TFTP) no es un servicio seguro. Permite a cualquiera, que pueda conectarse al
dispositivo, transferir archivos, tales como listas de control de acceso, las configuraciones de los routers y
imágenes del sistema. Para deshabilitarlo:
hostname(config)#no tftp-server
5.3. Registro de la Actividad (Logging)

5.3.1. Ajustes Generales
El logging debe ser activado para poder permitir el control tanto del funcionamiento como la seguridad de los
eventos relacionados. Los registros son críticos para responder a los incidentes de seguridad. Para
habilitarlo:
hostname(config)#logging on
Gerencia General

El dispositivo puede copiar y almacenar los mensajes de registro en un buffer de memoria interna. El buffer
de datos está disponible sólo desde un exec del router o una sesión Exec habilitada. Esta forma de registro
es útil para la depuración y el seguimiento de las conexiones al router. Para configurar el buffer, con un
tamaño recomendado de 16000, procede:
hostname(config)#logging buffered tamaño_del_buffer
Para una mayor seguridad debe configurarse el nivel de registro en la consola del dispositivo de la siguiente
manera:
hostname(config)#logging console critical
5.3.2. Registros en el Servidor Syslog

Se deben designar uno o más servidores syslog por dirección IP, siguiendo:
hostname(config)#logging host servidor_syslog
Además, también se deben trasladar los resultados a un sistema externo.
5.3.3. Registro del Trap Severity Level

Esto determina la gravedad de los mensajes que genera el protocolo simple de administración de red (SNMP)
trap y/o mensajes de syslog. Este valor debe ser fijado a “debugging” (7) o “informacional” (6), pero no
inferior. Para establecerlo:
hostname(config)#logging trap informacional
5.3.4. Timestamps
Las marcas de tiempo deben incluirse en los registros de depuración y en los de actividad. Para
configurarlos, respectivamente, procede:
hostname(config)#service timestamps debug datetime { msec } { show-timezone }

hostname(config)#service timestamps log datetime { msec } { show-timezone }
5.4. NTP (Network Time Protocol)

Network Time Protocol (NTP) permite a los dispositivos mantener la hora exacta cuando se sincroniza con un
servidor horario de confianza y fiable. La sincronización de la hora del sistema centralizado con una fuente confiable
y en tiempo real permite la correlación fiable de los acontecimientos sobre la base de la secuencia real en que
ocurrieron. Por esto debe designarse un servidor NTP primario, horario y de confianza, procediendo:
hostname(config)#ntp server {ntp_server_1}
Gerencia General
6. Gestión de tránsitos
Esta sección afecta a los servicios y ajustes relacionados con los datos que pasan a través del router. La configuración del
router en este ámbito incluye listas de acceso a la interfaz, la funcionalidad (por ejemplo, CBAC), NAT e IPSec. Los ajustes
del tráfico que afectan a servicios como la verificación del RPF unicast y CAR / QoS también quedan incluidos.
6.1. Reglas de Enrutamiento

Todos los servicios/funcionalidades innecesarias deben deshabilitarse, de entre ellas:
• Deshabilitar la el broadcast IP en cada interfaz para evitar ataques DoS.
hostname(config)#interface id-interfaz
hostname(config-if)#no ip directed-broadcast
• Deshabilitar el enrutamiento de origen, funcionalidad IP mediante la cual los paquetes individuales pueden
especificar rutas, para evitar ataques.
hostname(config)#no ip source-route
• Deshabilitar el IP Proxy ARP en todas las interfaces.
hostname(config)#interface {nombre_interfaz}
hostname(config-if)#no ip proxy-arp
• No deben definirse interfaces Tunnel.
hostname(config)#no interface tunnel {instance}
Servicios que deben estar habilitados:

• RPF (Unicast Reverse-Path Forwarding) debe estar habilitado en todas las interfaces o externas o de alto
riesgo:
hostname(config)#ip cef hostname(config)#interface {nombre_interfaz}
hostname(config-if)#ip verify unicast reverse-path rx (versiones posteriores a 12.0(15)S)
hostname(config-if)#ip verify unicast reverse-path (versiones anteriores a 12.0(15)S)
6.2. Filtrado
6.2.1. Direcciones Privadas
La configuración de los controles de acceso puede ayudar a prevenir los ataques de suplantación de
identidad (spoofing). Para reducir la eficacia de la falsificación de direcciones IP, se debe configurar el control
de acceso para denegar cualquier tráfico de la red externa que tenga una dirección origen que deba residir
en la red interna. Se incluye la dirección del host local o cualquier dirección reservada privada (RFC 1918).
Para configurar las ACLs:
hostname(config)#access-list {access-list} deny ip {redes_internas} any log

hostname(config)#access-list {access-list} deny ip 127.0.0.0 0.255.255.255 any log
hostname(config)#access-list {access-list} deny ip host 255.255.255.255 any log
hostname(config)#access-group {access-list} in interface {interfaz}
En nuestro caso, son los firewalls quienes se encargan de hacer anti-spoofing y por definición se deben evitar
Gerencia General

filtros duplicados. Yo eliminaría esto
6.2.2. Direcciones de Origen Exerno en Tráfico Saliente

El tráfico que salga de la red debe contener única y exclusivamente direcciones internas válidas. Para
asegurarlo:
hostname(config)#access-list {access-list} permit ip {redes_internas} any

hostname(config)#access-group {access-list} in interface {interfaz}
Idem. Sí añadiría un subapartado de ACLs de autoprotección del equipo que sólo permitan el acceso desde
las Ips de la red de gestión autorizadas. Los switches por lo general no suelen realizar funciones de filtrado
de tráfico a no ser que no existan firewalls, sólo de autoprotección.
Gerencia General
7. Anexo
7.1. Prerequisitos para la Configuración del SSH
Antes de configurar el acceso SSH, deben realizarse las siguientes tareas:
1. Configurar el hostname del dispositivo.
2. Configurar el nombre del dominio del dispositivo.
3. Generar un par de claves RSA, necesaria para el acceso SSH.
4. Guardar el par de claves RSA.
hostname(config)#hostname { hostname_dispositivo }
hostname(config)#domain-name { nombre-dominio }
hostname(config)#crypto key generate rsa modulus { 2048 }
hostname(config)#write mem

GU BastionadoCiscoIOS ICE IDC 1.3

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

GU BastionadoCiscoIOS ICE IDC 1.3

Cargado por

Copyright:

Formatos disponibles

INSTITUTO COSTARRICENSE DE ELECTRICIDAD

GERENCIA GENERAL Versión 1.0a

Código de Proyecto: PRY_CNGS_02

Versión Numero: 1.0a

Autor: Consorcio ITSInfocom

Adquisición de Hardware y Software para iDC Página 2 de 22

Guía Bastionado Cisco IOS

Adquisición de Hardware y Software para iDC Página 3 de 22

Guía Bastionado Cisco IOS

Adquisición de Hardware y Software para iDC Página 4 de 22

Guía Bastionado Cisco IOS

0. Información del Documento

Las siguientes personas colaboraron en la elaboración del documento:

Colaborador Rol o Área Funcional Firma Fecha

Pablo BALLARÍN Consorcio ITS 09/01/10

Información del documento:

Fecha de creación:* 09/01/10

UBICACIÓN ELECTRÓNICA DEL DOCUMENTO

Historia de revisión del documento:

Fecha de Revisión Revisado por Área funcional Descripción general de cambios

Adquisición de Hardware y Software para iDC Página 5 de 22

Guía Bastionado Cisco IOS

Adquisición de Hardware y Software para iDC Página 6 de 22

Guía Bastionado Cisco IOS

1.2. Tareas de configuración

Adquisición de Hardware y Software para iDC Página 7 de 22

Guía Bastionado Cisco IOS

2.1. Reglas Locales de Autenticación, Autorización y Accounting (AAA)

2.1.2. Autenticación AAA para el Inicio de Sesión

hostname(config)#aaa authentication login { default | aaa_lista_nombres } local-case

2.1.3. Autenticación AAA para el Modo Activo

hostname(config)#aaa authentication enable { default } enable

2.1.4. Autenticación mediante TACACS+

hostname(config)# aaa new-model

2.2. Reglas de Acceso

! Sustituir "LOCAL PASSWORD" con el valor escojido.

Adquisición de Hardware y Software para iDC Página 8 de 22

Guía Bastionado Cisco IOS

2.2.2. SSH para el Acceso Remoto a Dispositivos

hostname(config)#ip ssh timeout [60]

2.2.3. VTY Transporta SSH

hostname(config)#line {aux | console | tty | vty} {numero-linea} [numero-ultima-linea]

2.2.4. Timeout de Inicio de Sesión

hostname(config)#line {aux | console | tty | vty} {numero-linea} [numero-linea-final]

2.2.5. Puerto Auxiliar

hostname(config)# line aux 0

2.2.6. Control de Acceso SSH

hostname(config)#line {aux | console | tty | vty} {numero-linea} [numero-linea-final]

2.2.7. ACL VTY

hostname(config)#access-list {numero_acl_vty} permit tcp {bloque_acl_vty_con_mascara} any

Adquisición de Hardware y Software para iDC Página 9 de 22

Guía Bastionado Cisco IOS

hostname(config)#banner {exec texto-mensaje}

2.3.2. Inicio de Sesión (Login)

hostname(config)#banner {login texto-mensaje}

hostname(config)#banner {motd texto-mensaje}

hostname(config)#enable secret {ENABLE_SECRET}

2.4.2. Servicio de Encriptación

Adquisición de Hardware y Software para iDC Página 10 de 22

Guía Bastionado Cisco IOS

2.5.2. Accesos de Escritura y Lectura

Para sólo deshabilitar los permisos de escritura,

hostname(config)#no snmp-server community {string_de_la_comunidad}

2.5.3. SNMP y ACLs