Académique Documents
Professionnel Documents
Culture Documents
Nota Importante: a nivel de pruebas de laboratorio se puede utilizar telnet para restringir
acceso; no asi cuando se trate de restringir en una infraestructura de red empresarial ya que la clave puede ser capturada por un usuario no autorizado ya que la misma viaja por la red en texto sin cifrar.
Memoria Flash: Es persistente, aun apagando el equipo, esta memoria no se borra. En esta memoria se almacena: -Configuracin de arranque. -Archivos del sistema IOS. Para empezar el anlisis tenemos que tener en cuenta, basndonos en los datos relativos a la filosofa de trabajo del router, una metodologa concreta, que consiste en: -No apagar ni reiniciar el router, evidentemente perderemos todos los datos almacenados en la RAM. Que son todos los datos que importan para el anlisis,
As con estos pocos y sencillos pasos tendremos una conexin directa de dos Routers Cisco con un 100% de funcionalidad.
sin ests datos, el anlisis no tiene sentido. -Aislar el router de la red, sobre todo si el ataque ya se ha realizado. Siempre con el cuidado de no desconectar la alimentacin. En algunas casos se puede realizar sin aislar pero despus de recoger informacin, para monitorizar si la actividad continua. -Conectarse para realizar el anlisis forense a travs del puerto consola del router y no a travs de la red, porque se corrompera la escena. -Grabar la sesin completa de anlisis de la consola en un archivo de log. -Ejecutar comandos que muestran configuraciones, pero nunca ejecutar comandos de configuracin del router. -Una vez extrada la informacin voltil, podemos analizar las vulnerabilidades del router y escanear sus servicios a travs de la red. Despus de tener en cuenta estas recomendaciones, pasamos a los comandos que tenemos que utilizar en la consola para extraer la configuracin activa y las tablas dinmicas. La sesin de consola en la que se ejecuten ests comandos, debe ser grabada. Los comandos son:
show clock detail show version show running-config show startup-config show reload show ip route show ip arp show users show logging show ip interface show interfaces show tcp brief all show ip sockets show ip nat translations verbose show ip cache flow show ip cef show snmp user show snmp group show clock detail
Despus de obtener est informacin pasaremos a encontrar las vulnerabilidades o servicios por los que se ha podido comprometer la seguridad del router. Para analizar vulnerabilidades utilizamos herramientas como: Router Audit Tool (RAT) y Nipper. Para analizar servicios utilizamos: nmap, Cisco Torch, Cisco Snmp Tool
Tambin podemos utilizar una herramienta automatizada para recabar esta informacin, se trata de CREED (Cisco Router Evidence Extraction Disk). Un disco auto arrancable que ejecuta un script para obtener esta informacin, ejecutando estos comandos: # terminal length 0 # show ip interfaces # dir /all # show access-lists # show clock detail # show tcp brief all # show ntp # show ip sockets # show version # show ip nat translations verbose # show running-config # show ip cache flow # show startup-config # show ip cef # show reload # show snmp users # show ip route # show snmp groups # show ip arp # show clock detail # show users # exit # show logging # show interfaces
comandos para configurar un router o un switch cisco El siguiente es un pequeo resumen sobre comandos para configurar un switch cisco : Rip NewYork(config)#interface fastethernet0/0 NewYork(config-if)#ip address 192.168.50.129 255.255.255.192 NewYork(config-if)#ip rip send version 1 NewYork(config-if)#ip rip receive version 1 NewYork(config)#interface fastethernet0/1 NewYork(config-if)#ip address 172.25.150.193 255.255.255.240 NewYork(config-if)#ip rip send version 1 2 Show ip protocols show interface interface show ip interface interface show running-config Show ip rip database OSPF Router(config)#router ospf process-id Router(config-router)#network address wildcard-mask area area-id Router(config)#interface lookback 0 Router(config-if)#ip address 192.168.3.33 255.255.255.255 Rtr(config-if)# bandwidth 64 Rtr(config-if)# ip ospf cost 1562 Autenticacin sin md5 Router(config-if)#ip ospf authentication-key password Router(config-router)#area area-number authentication Autenticacin con md5 Router(config-if)#ip ospf message-digest-key key-id encryption-type md5 key Router(config-router)#area area-id authentication message-digest Router(config-if)#ip ospf hello-interval seconds Router(config-if)#ip ospf dead-interval seconds debug ip ospf events --aumentar la prioridad para elegir un router DR sw(config)#interface fasethernet 0/0 sw(config-if)#ip osfp priority 50 sw(config-if)#end EIGRP Router(config)#router eigrp as-id Router(config-router)#network 192.168.3.0
Router(config-router)#end Router# show ip eigrp topology eigrp log-neighbor-changes resumen de rutas: router(config-router)#no auto-summary Switch Switch# dir flash: Switch#show flash Switch#show vlan Switch#vlan database Switch(vlan)#vlan vlan_number Switch(vlan)#exit Switch(config)#interface fastethernet 0/9 Switch(config-if)#switchport access vlan vlan_number Switch#vlan database Switch(vlan)#no vlan 300 Switch(config)#interface fastethernet 0/9 Switch(config-if)#switchport access vlan vlan_number Sw1#delete flash:vlan.dat Sw1#erase startup-config Sw1#reload Interface web Sw1(config)#ip http port 80 Ver la tabla MAC: Switch#show mac-address-table (? Mas opciones) Switch#clear mac-address-table Asignar una mac estatica Switch(config)#mac-address-table static interface FastEthernet vlan Switch(config)#no mac-address-table static interface FastEthernet vlan
Seguridad de Puerto
Sw1(config)#interface fastETehernet 0/2 Sw1(config-if)#switchport port-security ?(sale las opciones)
Catalyst 2950
Sw(config)#interface Vlan1 Sw(config-if)#ip address 192.168.1.2 255.255.255.0 Sw(config-if)#no shutdown Sw(config)# ip default-gateway 192.168.1.1
Catalyst 1900
Sw(config)#ip address 192.168.1.2 255.255.255.0 Sw(config)# ip default-gateway 192.168.1.1
Catalyst 2950:
Sw1(config)#interface fastETehernet 0/2 Sw1(config-if)#switchport port-security maximum 1 Configuracion del Puerto que se desconecte cuando se produce una violacion de seguridad Sw(config-if)#switchport port-security violation shutdown
Archivos de configuracion
Sw# copy running-config startup-config
Catalyst 1900 :
Sw#copy nvram tftp://tftp server ip add/destination_filename COnfiguracion de la velocidad Switch(config)#interface fastethernet 0/9 Switch(config-if)#duplex full Switch(config-if)#speed 100
Catalyst 2900xl:
Sw(config-if)#port security action shutdown
Catalyst 2900:
Sw(config)#interface fastethernet 0/1 Sw(config-if)#swicthport mode trunk Sw(config-if)#swicthport trunk encapsulation dot1q Sw(config-if)#end
Catalyst 1900:
Sw(config)#interface fastethernet 0/1 Sw(config-if)#swicthport mode trunk Sw(config-if)#swicthport trunk encapsulation dot1q Sw(config-if)#end Trunk en el router Router(config)#interface fastethernet 0/0 Router(config-if)#no shutdown Router(config-if)#interface fastEthernet 0/0.1 Router(config-subif)#encapsulation dot1q vlannumber Router(config-subif)#ip address.
show spanning-tree
Configuracion de VTP
switch#vlan database switch#vtp v2-mode switch(vlan)#vtp domain password switch#vtp {client | server | transparent}
Catalyst 2900:
sw#copy flash:nombre_del_archivo tftp