Acceso Seguro Al Router

SEGURIDAD EN REDES CORPORATIVAS (CCNA SEGURITY)
SRC5501
Experiencia de aprendizaje 1
Acceso seguro al router, local y remoto
Unidad de Aprendizaje N°1
Fundamentos e Implementación en redes seguras
Aprendizajes Esperados:
• Ejecutar el acceso seguro a dispositivos CISCO IOS utilizando AAA.
• Trabajar en equipo para alcanzar los objetivos y soluciones a los problemas.
• Realizar el trabajo bajo presión de acuerdo al tiempo del encargo.
• Reconocer las redes de seguridad y los conceptos y políticas para la mitigación
de amenazas y ataques.
Introducción a la Mantención y Resolución de Problemas
Introducción
 La detección y resolución de problemas es una habilidad y
que se acrecienta en base a la práctica, aumentando la
confianza.
 Sin embargo, no podemos desear que sucedan problemas
en nuestra organización, sólo para obtener más experiencia.
 Además, no existe un camino correcto o incorrecto para
detectar o corregir fallos, pero si una manera más eficiente y
efectiva de realizar esta tarea.
Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 3
Asegurando el router de borde
Asegurando infraestructura de red
 Determinar la infraestructura de la red es fundamental para la seguridad

general de la red.
 Para prevenir el acceso no autorizado a todos los dispositivos de la
infraestructura, se deben implementar políticas de seguridad adecuadas.
 Aunque todos los dispositivos de la infraestructura están en riesgo, los
routers son un objetivo principal para los atacantes de la red, ya que los
routers actúan como dispositivo central, dirigiendo el tráfico hacia, desde
y entre redes.
 Todo el tráfico de Internet de la organización pasa por el router de borde.
 A través de la filtración inicial y final, el router de borde ayuda a asegurar
el perímetro de una red protegida e implementa acciones de seguridad
que se basan en las políticas de seguridad de la organización.
Implementando Seguridad
 Enfoque de un único router
 Enfoque de defense profundah
 Enfoque con DMZ
Asegurando el Router
Tres áreas de seguridad del router deben mantenerse:
Accesos administrativos Seguro
 Restringir el acceso de dispositivo: Límites de los puertos accesibles,
restringe los comunicadores permitidos, y restringe los métodos de
acceso permitido.
 Registrar y dar cuenta de todo acceso: Registros cualquier persona
que accede a un dispositivo, incluyendo lo que ocurre y cuándo.
 Autenticar el acceso: Se asegura de que se conceda el acceso sólo a
los usuarios autenticados, grupos y servicios.
 Autorizar acciones: Restringe las acciones y vistas permitidas por
cualquier usuario particular, grupo o servicio.
 Presente la notificación legal: Muestra un aviso legal.
 Garantizar la confidencialidad de los datos: Protege almacenado
localmente datos sensibles de leer y copiar.
Configuración de Acceso Administrativo Seguro
Asegurando las Contraseñas
Accesos Administrativos Seguros
Incrementando Seguridad en las Contraseñas
Para incrementar la seguridad en las contraseñas:
 Hacer cumplir las longitudes mínimas de contraseña:

Los administradores pueden establecer la longitud mínima de caracteres para
todas las contraseñas de router de 0 a 16, utilizando el comando security
passwords min-length.
 Cifrar todas las contraseñas en el archivo de configuración:
Usar comando service password-encryption.
Configuración de bases de datos locales seguros
Configuración de bases de datos locales seguros
Ejemplo
Configuración de seguridad mejorada para las conexiones virtuales
Mejorar el proceso de login
Ejemplo
Ejemplo
Si se producen más de 5 errores de entrada dentro de los 60 segundos,
entonces todo inicio de sesión se desactivará durante 120 segundos.
Estos comandos eximen a las estaciones administrativas, desde el inicio
de sesión. Si no se configura, todas las solicitudes de acceso serán
denegados.
Este comando opcional configura un retardo de 10 segundos entre consecutiva
intento de inicio de sesión. Si no se establece un retraso predeterminado de 1
segundo, se aplica después del comando login block-for
Registro de intentos fallidos
Para detectar un ataque de contraseña, utilice los siguientes comandos:
Verificamos
Registro de intentos fallidos
En este ejemplo, el comando identifica la cantidad de fallos, y nombres de usuarios
intentaron acceder.
Proporcionar Aviso Legal
Use mensajes de banner para presentar la notificación legal a posibles intrusos.
Configurando SSH
Requisitos previos
Cuatro pasos deben ser completados antes de la configuración de routers
para el protocolo SSH:
Paso 1: Asegúrese de que los routers de destino están ejecutando una
versión de Cisco IOS que soporte SSH.
Paso 2: Asegúrese de que cada uno de los routers de destino tiene un
nombre de host único.
Paso 3: Asegúrese de que cada uno de los routers objetivo utilicen el
nombre de dominio correcto.
Paso 4: Asegúrese de que los routers de destino están configurados para
los servicios de autenticación o AAA locales para nombre de usuario y la
autenticación de contraseña. Esto es obligatorio para una conexión SSH de
enrutador a enrutador.
Configurando SSH
Configurando SSH
Uso de línea de comandos, hay cuatro pasos para configurar un router
Cisco para SSH:
Paso 1: Defina nombre de dominio con el comando ip domain-name .
Paso 2: Generar un solo sentido de claves secretas que deben ser generados por
un router para cifrar el tráfico SSH. Para crear la clave RSA, utilice el crypto key
generate rsa general-keys modulus
Paso 3: Asegúrese de que haya una entrada de base de datos de nombre de
usuario local válida. Si no es así, cree uno utilizando el comando
username name secret.
Paso 4: Habilitar sesiones SSH entrantes vty utilizando el comando loginlocal y
transport input ssh.
Para verificar SSH y mostrar las claves generadas, utilice el comando show
crypto key mypubkey rsa .
Configurando SSH
Comando adicionales SSH
Configurando SSH
Conectandose al router via SSH
 Usando el comando ssh del modo EXEC privilegiado
 Utilice emuladores de terminal como PuTTY, OpenSSH, o TeraTerm
Asignando Roles Administrativos
Configurando niveles de privilegio
Limitando disponibilidad de comandos
 La configuración de los niveles de privilegio, es el siguiente paso para el
administrador del sistema para asegurar la red.
 Los niveles de privilegios determinan, que se debe permitir para conectar
con el dispositivo y lo que esa persona debe ser capaz de hacer con ella.
 El CLI del software Cisco IOS, tiene dos niveles de acceso a los
comandos :
• User EXEC mode (privilege level 1)
• Privileged EXEC mode (privilege level 15)
• Software Cisco IOS tiene dos métodos de proporcionar acceso a la

infraestructura y un método más preciso de control de acceso :
• privilege level
• role-based CLI
Niveles de Privilegio
 Nivel 0:
• Predefinido para los privilegios de acceso de nivel de usuario.
• Rara vez se utiliza, e incluye cinco comandos : disable, enable, exit, help,
y logout.
 Nivel 1 (Usuario EXEC):
• El nivel predeterminado de inicio de sesión con indicador de router Router>.
• Un usuario no puede realizar ningún cambio o ver el archivo de configuración en
ejecución.
 Niveles 2 –14:
• Personalizables.
• Comandos a partir de los niveles más bajos pueden moverse hacia arriba a un nivel
superior, o comandos desde niveles más altos pueden ser movidos hacia abajo para
un nivel más inferior.
 Niveles 15 (Privilegio EXEC):
• Solo modo privilegiado (enable command).
• Todos los permisos.
Existen dos métodos como muestran los ejemplos:
Configurando Role-Based CLI
Role-Based CLI Access
 Introducido en Cisco IOS 12.3 (11) T, proporciona un acceso más

granular mediante el control de los comandos específicos que están
disponibles para funciones específicas.
 Mejora la seguridad del dispositivo mediante la definición de un conjunto
de comandos CLI accesible por un usuario específico.
 Previene la ejecución accidental de comandos CLI por personal no
autorizadas.
 Los usuarios sólo ven comandos de la línea de comandos aplicable a los
puertos y comandos para los que tienen acceso.
Role-Based Views
 Root view:
• Puede configurar cualquier vista para el sistema, el administrador debe estar a
la vista root.
• Tiene los mismos privilegios de acceso como un usuario que tiene el nivel 15.
Sin embargo, una vista raíz no es lo mismo que un usuario de nivel 15.
• Sólo un usuario vista raíz puede configurar una nueva vista y añadir o eliminar
comandos.
 CLI view:
Un conjunto específico de comandos.
 Superview
A supervista consiste en uno o más puntos de vista de la CLI. Los
administradores pueden definir qué comandos son aceptados y que la
información de configuración es visible.
Hay cinco pasos para crear y gestionar una vista específica:
Paso 1. Habilitar AAA con el comando modo de configuración global Nuevo
modelo AAA. Salir y entrar en la vista de raíz con el enable view comando.
Paso 2. Cree una vista utilizando el parser view view-name configuración
del router comando modo. Esto permite que el modo de vista de configuración.
Excluyendo la vista de raíz, hay un límite de 15 vistas en total.
Paso 3. Asignar una contraseña secreta a la vista mediante
la secret encrypted-password vista de configuración.
Paso 4. Asignar comandos a la vista seleccionada mediante el commands
parser-mode {include | include-exclusive | exclude} [all]
[interface interface- name | command] comando en el modo de
vista de configuración.
Paso 5. Salga del modo de vista de configuración escribiendo el exit .
Configuring Role-Based CLI
Verificando Role-Based CLI Views
Supervisión y Administración de dispositivos
Asegurar Cisco IOS y archivos de configuración
Recobrando contraseñas
 Conecte al puerto de consola.
 Registre el valor del registro de configuración.
 Apagar y encender el router.
 Emitir la secuencia de descanso.
 Tipee confreg 0x2142.
 Tipee reset para reiniciar el router.
 Enter privileged EXEC mode.
 Copie la startup configuration en la running configuration.
 Verifique la running configuration.
 Modifique la contraseña.
 Rehabilite las interfaces .
 Cambie en número de registro config-register 0x2102
 Salve la configuración y reinicie el router.
Administración segura y Presentación de Informes
Gestión y Supervisión de dispositivos de red
El uso de Syslog para la Seguridad de la red
Introducción a Syslog
Funciones:
 Capacidad de reunir información de registro para el seguimiento y la
resolución de problemas.
 Capacidad para seleccionar el tipo de información de registro que se
captura y capacidad de especificar los destinos de mensajes syslog
capturados.
Operación Syslog
Los Routers Cisco, pueden iniciar sesión de información sobre los cambios
de configuración, violaciones de ACL, estado de la interfaz y muchos otros
tipos de eventos. El router puede ser configurado para enviar mensajes
syslog a una o más de las ubicaciones en el diagrama a continuación.
Operación Syslog
Dispositivos Cisco producen mensajes syslog como resultado de eventos
de red.
Niveles de Seguridad
Sistemas Syslog
 Syslog servers - También conocido como anfitriones de registro. Estos
sistemas aceptan mensajes de registro de proceso de los clientes.
 Syslog clients - Los routers u otros tipos de equipos que generan y los
mensajes de registro a plazo a los servidores Syslog.
Uso de SNMP para la Seguridad de la red
Introducción a SNMP
El sistema SNMP consta de tres elementos:
 SNMP manager
 SNMP agents
 Management Information Base (MIB)
SNMP Operación
 Agentes SNMP que residen en los dispositivos administrados recpgen y
almacenan información sobre el dispositivo y su funcionamiento.
 Esta información se almacena por el agente localmente en la MIB.
 El administrador SNMP utiliza entonces el agente SNMP para acceder a
la información dentro de la MIB.
SNMP Agent Traps
 Agentes SNMP pueden generar y enviar capturas a informar al NMS de
inmediato de ciertos eventos.
 Los TRAPs son mensajes no solicitados de alerta al administrador SNMP
a una condición o evento en la red.
Vulnerabilidades SNMP
Las acciones get y set, crean vulnerabilidades SNMP:
Comunidades SNMP
Hay dos tipos de comunidad :

 Read-only community strings - Proporciona acceso de sólo lectura a
todos los objetos en la MIB, excepto las cadenas de comunidad.
 Read-write community strings - Proporciona acceso de lectura y
escritura a todos los objetos en la MIB, excepto las cadenas de
comunidad.
SNMPv3
SNMPv3, proporciona las siguientes funciones de seguridad :
 Integridad y Autentificación - Asegura que un paquete no ha sido

alterado en tránsito y es de una fuente válida.
 Cifrado - Codifica el contenido de un paquete para evitar que sea visto
por una fuente no autorizada.
 Control de Acceso - Restringe ciertas acciones en partes específicas de
los datos.
Usando NTP
Network Time Protocol
 La fecha y hora del router se puede configurar usando uno de dos
métodos:
• Edición manual de la fecha y hora.
• Configuración del Network Time Protocol (NTP).
 NTP está diseñado para sincronizar el tiempo de una red. NTP se ejecuta
a través de UDP.
 Una red NTP generalmente obtiene el tiempo desde una fuente horaria
con autoridad, como un reloj de radio o un reloj atómico.
• NTP luego distribuye este tiempo en toda la red.
• NTP es extremadamente eficiente; no más de un paquete por minuto es
necesario para sincronizar dos dispositivos.
 Servicios NTP, están habilitadas en todas las interfaces de forma
predeterminada. Para desactivar NTP en una interfaz específica, utilice el
comando ntp disable.
Usando NTP
Network Time Protocol
 En una red NTP, uno o más routers se designan como el reloj maestro,
utilizando el comando ntp master.
 Clientes NTP deben sincronizarse con el master NTP. Para ponerse en
contacto con el maestro, utilice el comando ntp server ip-
address.
 Un entorno LAN, NTP puede ser configurado para utilizar mensajes de
difusión IP no por el uso del comando de interface ntp broadcast
client.
Uso de las funciones de seguridad automatizada
Realizando auditorías de la seguridad
Cisco Discovery Protocol
 Cisco Discovery Protocol (CDP) es un ejemplo de un servicio que está
activado por defecto en los routers Cisco.
 La intención del CDP, es hacer que sea más fácil para los
administradores descubrir otros dispositivos de Cisco en la red.
 Un intruso en la red puede utilizar CDP, para descubrir dispositivos en la
red local.
 Debido a las implicaciones de seguridad, CDP se debe utilizar con
precaución.
 Deshabilite CDP en dispositivos de borde.
Realizando auditorías de la seguridad
Protocolos y Servicios de Configuraciones
predeterminados
Desactivación y restricción de los siguientes componentes ayuda a
asegurar que un dispositivo es seguro :
 Servicios innecesarios e interfaces.

 Servicios de gestión configuradas comúnmente, tales como SNMP.
 Prueba y sondeos, como ICMP. Garantizar la seguridad de acceso de
terminal.
 Gratuitous Address Resolution Protocol (ARP).
 IP-directed broadcasts.
Bloqueos de seguridad en un router con ayuda AutoSecure
Cisco AutoSecure
La característica de Cisco AutoSecure, se inicia desde la CLI y ejecuta un
script. En primer lugar, hace recomendaciones para la fijación de las
vulnerabilidades de seguridad y luego modifica la configuración de
seguridad del router.
Uso de la función Cisco AutoSecure
El commando, auto secure command permitir la

configuración de característica de Cisco AutoSecure. Esta
configuración, puede ser interactivo o no interactivo:
 En el modo interactivo (por defecto), el router solicita opciones para activar y
desactivar servicios y otras características de seguridad.
 El modo no interactivo ejecuta automáticamente el comando Cisco
AutoSecure con la configuración predeterminada y se habilita con el
commando auto secure no-interact.
Uso de la función Cisco AutoSecure

Acceso Seguro Al Router

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Acceso Seguro Al Router

Cargado por

Copyright:

Formatos disponibles

SEGURIDAD EN REDES CORPORATIVAS (CCNA SEGURITY)

 Determinar la infraestructura de la red es fundamental para la seguridad

 Enfoque de defense profundah

 Enfoque con DMZ

 Hacer cumplir las longitudes mínimas de contraseña:

• Software Cisco IOS tiene dos métodos de proporcionar acceso a la

 Introducido en Cisco IOS 12.3 (11) T, proporciona un acceso más

Hay dos tipos de comunidad :

 Integridad y Autentificación - Asegura que un paquete no ha sido

 Servicios innecesarios e interfaces.

El commando, auto secure command permitir la

También podría gustarte