La función de los routers en la seguridad de la red

La seguridad de los routers es un elemento crítico de las

implementaciones de seguridad. Los routers son objetivos
definidos de los agresores de las redes. Si un agresor puede
comprometer y obtener acceso a un router, puede ser una
ayuda potencial para ellos. Conocer las funciones que cumplen
los routers en la red le ayudará a comprender sus
vulnerabilidades.

Los routers cumplen las siguientes funciones:

· Publicar las redes y filtrar a quienes pueden utilizarlas.
· Proporcionar acceso a los segmentos de las redes y a las
subredes.

Los routers son objetivos

Dado que los routers proporcionan gateways a otras redes,
son objetivos obvios y están sujetos a una diversidad de
ataques.
Ejemplos de los diversos problemas de seguridad:

. El compromiso del control de acceso puede exponer los

detalles de configuración de la red y, de este modo, se
facilita la concreción de ataques contra otros
componentes de la red.

· El compromiso de las tablas de enrutamiento puede

disminuir el rendimiento, denegar los servicios de
comunicación de la red y exponer información
confidencial.

· La configuración incorrecta de un filtro de tráfico del

router puede exponer los componentes internos de la
red a escaneos y ataques, lo que ayuda a los agresores
a evitar su detección.

Los agresores pueden comprometer a los routers de

diferentes maneras, de modo que no hay un enfoque que
los administradores puedan utilizar para combatirlos.
Protección de su red
La protección de los routers que se encuentran dentro del perímetro de la
red es un primer paso importante para protegerla.

Piense en la seguridad de los routers en función de las siguientes

categorías:
· Seguridad física: los dispositivos físicos utilizados para conectarse al
router se deben guardar en un local cerrado con llave, o deben
permanecer en poder de una persona de confianza para que no se
vean comprometidos. Un dispositivo que se deja al aire libre podría
tener troyanos o algún otro tipo de archivo ejecutable almacenado en
él.
Provea al router de la máxima cantidad de memoria posible. La
disponibilidad de memoria puede servir como protección contra
algunos ataques DoS, mientras que admite la gama más amplia de
servicios de seguridad.

· Actualización del IOS de los routers cuando sea conveniente :las

características de seguridad de un sistema operativo evolucionan con
el tiempo. Sin embargo, la última versión de un sistema operativo
puede no ser la versión más estable disponible. Para obtener el mejor
rendimiento de la seguridad de su sistema operativo, utilice la versión
estable más reciente que cumpla los requisitos de las características
de su red.
· Copia de seguridad de la configuración y del IOS de los routers :
debe tener siempre una copia de seguridad de una
configuración y el IOS a mano para el caso de que se produzca
una falla en un router. Mantenga una copia segura de la
imagen del sistema operativo del router y del archivo de
configuración del router en un servidor TFTP como respaldo.

· Aseguramiento del router para eliminar el abuso potencial de los

puertos y servicios no utilizados para proporcionar seguridad
física, ubique el router en un cuarto cerrado con llave, donde
sólo pueda ingresar personal autorizado. Asimismo, dicho
cuarto no debe tener interferencia electrostática ni magnética y
debe tener controles de temperatura y humedad. Para
disminuir la posibilidad de DoS debido a una falla de
alimentación, instale una fuente de energía ininterrumpible
(UPS) y mantenga los componentes de repuesto disponibles.

Asegure el router para hacerlo tan seguro como sea posible. Un

router tiene muchos servicios activados de forma
predeterminada. Muchos de estos servicios son innecesarios y
pueden ser utilizados por un agresor para compilar o explotar
información. Debe asegurar la configuración de su router
mediante la desactivación de los servicios innecesarios.
Aplicación de las características de seguridad del IOS
de Cisco a los routers
Antes de configurar las características de seguridad del
router, debe planificar todos los pasos de la configuración
de seguridad del IOS de Cisco.
La figura muestra los pasos que se deben seguir para
proteger un router. Los primeros cuatro pasos se
analizan en este capítulo. Si bien las listas de control de
acceso (ACL) se analizan en el capítulo siguiente, son
una tecnología crítica y deben configurarse para controlar
y filtrar el tráfico de la red.

Administración de la seguridad de los routers

La seguridad básica de los routers consiste en la
configuración de contraseñas. Una contraseña sólida es
el elemento más fundamental para controlar el acceso
seguro a un router. Por este motivo, siempre se deben
configurar contraseñas sólidas.
Entre las buenas prácticas en materia de contraseñas se
incluyen las siguientes:
· No escribir las contraseñas ni dejarlas en lugares obvios.
· Evitar el uso nombres, números de teléfono y fechas.
· Combinar letras, números y símbolos. Incluir, por lo
menos, una letra minúscula, una letra mayúscula, un
dígito y un carácter especial.
· Escribir mal una contraseña deliberadamente.
· Crear contraseñas largas. La mejor práctica es tener,
como mínimo, ocho caracteres.
· Modificar las contraseñas con la mayor frecuencia posible.
La modificación de las contraseñas suele tener dos
ventajas. Esta práctica limita la ventana de oportunidad
en que un pirata informático puede descifrar una
contraseña y limita la ventana de exposición una vez que
se ha comprometido una contraseña.
Contraseñas con frases
Un método recomendado para crear contraseñas complejas sólidas es
utilizar contraseñas con frases. Una contraseña con frase es
básicamente una oración o frase que sirve como contraseña más
segura. Asegúrese de que la frase sea lo suficientemente larga como
para que sea difícil de adivinar pero fácil de recordar y de escribir
correctamente.
De forma predeterminada, el software IOS de Cisco deja contraseñas
en texto sin cifrar cuando se introducen en un router.
Si se usa el comando enable password o el comando username
username password password estas contraseñas se mostrarían al
observar la configuración en ejecución.
Por ejemplo:
R1(config)# username Student password cisco123
R1(config)# do show run | include username
username Student password 0 cisco123
R1(config)#
El 0 que aparece en la configuración en ejecución indica que la
contraseña no está oculta.
Por este motivo, todas las contraseñas deben estar encriptadas en un
archivo de configuración. El IOS de
Cisco ofrece dos esquemas de protección de contraseñas:

· Encriptación simple, que se denomina esquema de tipo 7. Utiliza el

algoritmo de encriptación definido por Cisco y oculta la contraseña
mediante el uso de un algoritmo de encriptación simple.
· Encriptación compleja, que se denomina esquema de tipo 5. Utiliza un hash
MD5 más seguro.
La encriptación del tipo 7 puede ser utilizada por los comandos enable
password, username y line password, incluidos vty, line console y aux
port. No ofrece una gran protección, ya que sólo oculta la contraseña
utilizando un algoritmo de encriptación simple. Pese a que no es tan segura
como la encriptación de tipo 5, sigue siendo mejor que no utilizar ninguna
encriptación.
Para encriptar contraseñas mediante la encriptación de tipo 7, use el
comando de configuración global service passwordencryption como se lo
muestra en la figura. Mediante este comando las contraseñas que aparecen
en la pantalla no son legibles.

Por ejemplo:
R1(config)# service password-encryption
R1(config)# do show run | include username
username Student password 7 03075218050061
R1(config)#
El 7 que aparece en la configuración en ejecución indica que la contraseña
está oculta. En la figura, se puede ver que la contraseña de la consola de
línea ahora está oculta.
 Cisco recomienda utilizar la encriptación de Tipo 5 en lugar de la
de Tipo 7, cuando sea posible. La encriptación MD5 es un
método de encriptación fuerte. Debe ser utilizado siempre que
sea posible. Se configura reemplazando la palabra clave
password por secret.
Por lo tanto, para proteger el nivel privilegiado EXEC tanto como
sea posible, siempre debe configurar el comando enable secret
como se observa en la figura. También debe asegurarse de que
la contraseña secreta sea única y no coincida con ninguna otra.
Un router siempre utiliza la contraseña secreta antes que la
contraseña de enable. Por este motivo, el comando enable
password nunca se debe configurar, ya que puede revelar la
contraseña de un sistema.
Los nombres de usuario de la base de datos local también
deben estar configurados mediante el comando de configuración
global username username secret password. Por ejemplo:
R1(config)# username Student secret cisco
R1(config)# do show run | include username
username Student secret 5 $1$z245$lVSTJzuYgdQDJiacwP2Tv/
R1(config)#
Longitud de la contraseña

El software IOS de Cisco Versión 12.3(1) y posteriores

permite que los administradores definan la longitud
mínima en caracteres de todas las contraseñas de los
routers utilizando el comando de configuración global
security passwords minlength, como se observa en
la figura. Este comando proporciona acceso con mayor
seguridad al router, al permitirle que especifique una
longitud mínima para las contraseñas, y elimina las
contraseñas comunes que predominan en la mayoría de
las redes, como "lab" y "cisco".

Este comando afecta a las contraseñas de usuario

nuevas, las de enable y las secretas, y las contraseñas
de línea creadas una vez que el comando fue ejecutado.
El comando no afecta las contraseñas de routers
actuales.
Uso del SDM de Cisco

Descripción general del SDM de Cisco

¿Qué es el SDM de Cisco?

El Administrador de routers y dispositivos de seguridad (SDM) es una

herramienta de administración de dispositivos basada en la Web y fácil
de usar, diseñada para configurar la LAN, la WAN y las características
de seguridad en los routers basados en el software IOS de Cisco.

Ayuda a los administradores de redes de empresas pequeñas a

medianas a realizar las operaciones cotidianas. Proporciona asistentes
inteligentes fáciles de usar, automatiza la administración de seguridad
de los routers y brinda ayuda en línea y tutoriales integrales.

SDM de Cisco admite una amplia gama de versiones de software IOS

de Cisco.
Configuración de su router para que sea compatible
con el SDM de Cisco
El SDM de Cisco debe estar instalado en todos los routers de Cisco
nuevos. Si tiene un router que ya está en uso, pero no tiene SDM de
Cisco, puede instalarlo y ejecutarlo sin interrumpir el tráfico de la red.
Antes de instalarlo en un router en funcionamiento, debe asegurarse de
que el archivo de configuración del router cuente con algunos valores de
configuración.
La figura muestra una topología en la que el administrador del sistema
instala el SDM de Cisco en el router R1.

Pasos Para configurar el SDM de Cisco en un router que ya está en uso,

sin interrumpir el tráfico de la red.

Paso 1. Obtenga acceso a la interfaz CLI de Cisco del router mediante la

conexión Telnet o de consola.

Paso 2. Active los servidores HTTP y HTTPS en el router.

Paso 3. Cree una cuenta de usuario configurada con nivel de privilegio 15

(active los privilegios).

Paso 4. Configure SSH y Telnet para la conexión local y nivel de privilegio

15
Inicio del SDM d e Cisco

El SDM de Cisco se almacena en la memoria flash del router.

También se puede almacenar en una PC local. Para iniciar el SDM de
Cisco utilice el protocolo HTTPS y coloque la dirección IP del router
en el explorador. La figura muestra el explorador con la dirección
https://198.162.20.1 y la página de inicio del SDM de Cisco. El
prefijo http:// puede ser utilizado si no hay SSL disponible. Cuando
aparece el cuadro de diálogo de nombre de usuario y contraseña
(no se muestra), escriba un nombre de usuario y una contraseña
para la cuenta privilegiada (nivel de privilegio 15) en el router. Una
vez que aparece la página de inicio, aparece un applet Java con
signo del SDM de Cisco que debe permanecer abierto mientras se
ejecuta el SDM de Cisco. Dado que se trata de un applet Java con
signo del SDM de Cisco, es posible que se le solicite que acepte un
certificado. La alerta de seguridad del certificado aparece en el
extremo inferior derecho de la figura.
La interfaz SDM d e Cisco
Descripción general de la página de inicio de SDM de Cisco
Esta página muestra el modelo del router, la cantidad total de memoria,
las versiones de flash, IOS y SDM, el hardware
instalado y un resumen de algunas características de seguridad, como
estado del firewall y la cantidad de conexiones de VPN
activas.
Específicamente, proporciona información básica sobre el hardware, el
software y la configuración del router:
 Barra de menú: la parte superior de la pantalla tiene una barra de
menú típica con los elementos de menú Archivo,
Edición, Ver, Herramientas y Ayuda.
 Barra de herramientas: debajo de la barra de menú, están los
asistentes y modos de SDM que se pueden
seleccionar.
 Información del router: el modo actual se muestra del lado izquierdo,
debajo de la barra de herramientas.
pantalla. Las demás áreas de la pantalla cambian de acuerdo con el modo
y la función que se está ejecutando.
 Descripción general de la configuración: resume los valores de
configuración.
Área Acerca de su router

Acerca de su router: el área de la página de inicio del SDM de Cisco que le

muestra información básica sobre el hardware y
el software del router e incluye los siguientes elementos:
 Nombre de host: esta área muestra el nombre de host configurado para el
router, que es Router X.
 Hardware: esta área muestra el número de modelo del router, las
cantidades disponibles y totales de RAM
disponible y la cantidad de memoria Flash disponible.
 Software: esta área describe el software IOS de Cisco y las versiones de
SDM de Cisco que se están ejecutando en
el router.
 La barra Disponibilidad de características, que se encuentra en la parte
inferior de la ficha Acerca de su router muestra las características disponibles
en la imagen del IOS de Cisco que está utilizando el router. Si el indicador
que se encuentra la lado de cada característica es verde, la característica
está disponible. Si es rojo, no está disponible. Las marcas de verificación
indican que la característica está configurada en el router. En la figura, el
SDM de Cisco muestra que las características IP, firewall, VPN, IPS y NAC
están disponibles, pero sólo IP está configurada.
Área Descripción general de la configuración

La figura muestra el área de la descripción general de la configuración

de la página de inicio del SDM de Cisco. Al hacer clic
en los botones de la figura, puede ver los detalles asociados con cada
uno de los siguientes elementos de la GUI:
Interfaces y conexiones: esta área muestra información relacionada
con las interfaces y conexiones, incluidas la cantidad de
conexiones que se encuentran activas e inactivas, la cantidad total de
interfaces LAN y WAN que están presentes en el
router y la cantidad de interfaces LAN y WAN actualmente
configuradas en el router. También muestra información de
DHCP.
Políticas del firewall: esta área muestra información relativa
al firewall, por ejemplo, si hay un firewall

implementado, la cantidad de interfaces confiables (internas),

interfaces no confiables (externas) e interfaces de la DMZ.
También muestra el nombre de la interfaz a la cual se ha aplicado un
firewall, si la interfaz está diseñada como interfaz
interna o externa y si la regla de NAT se ha aplicado a esta interfaz.

 VPN: esta área muestra información relacionada con las

VPN, incluidas la cantidad de conexiones VPN activas, la
cantidad de conexiones VPN configuradas sitio a sitio y la cantidad de
clientes VPN activos.

 Enrutamiento: esta área muestra la cantidad de rutas

estáticas, y qué protocolos de enrutamiento están
configurados.