02 Manejo Del Perimetro I

Conceptos Fundamentales de Seguridad
45
Manejo del Permetro I
Al finalizar el captulo, el alumno podr:
Identificar y utilizar herramientas de ataque para contrarrestar los principales

ataques contra la infraestructura de red perimetral de la organizacin.
Identificar y aplicar las principales estrategias de configuracin segura en
switches y ruteadores.
Analizar los eventos registrados en los equipos de comunicaciones e
identifica los tipos de ataques y el origen de los mismos.
Temas:
1.
Concepto de permetro
2.
Defensa de Enlace
3.
Seguridad en Ruteadores
CIBERTEC
1.
46
Conceptos de Permetro
El permetro es el primer punto de acceso desde el exterior hacia la red de la

organizacin. Est compuesto por los equipos de comunicaciones que permiten la
comunicacin entre la red de la organizacin con el resto de redes.
Una red tpica puede estar representada por estaciones y servidores conectados al
switch de la organizacin, el cual est enlazado a un firewall quien controla el flujo de
informacin entre ellos e Internet. El firewall tiene una red DMZ en donde estn
conectados los servidores pblicos, aislados de la red privada de los clientes. De este
modo, el firewall est comunicado directamente al ruteador de la organizacin que lo
interconecta con Internet.
En el lado del permetro se incluyen las estructuras, mtodos de transmisin, formatos
de transporte y medidas de seguridad que son utilizadas para proveer
confidencialidad, integridad, disponibilidad y autenticacin para transmisiones de datos
sobre redes de comunicacin pblica y privada.
Confidencialidad.
Asegura la liberacin intencional o no, de informacin no autorizada de la
organizacin. La prdida de confidencialidad puede ocurrir de diversas formas. Por
ejemplo, por una liberacin intencional de informacin privada de la organizacin,
configuracin errnea de parmetros de red de los dispositivos, etc.
Algunos de los elementos utilizados para asegurar la confidencialidad son:
Protocolos de seguridad de red.

Servicios de autenticacin de red.
CIBERTEC
47
Servicios de encriptacin de datos.
Integridad.
Asegura que el mensaje enviado es recibido y que no fue modificado,
intencionalmente o no. El concepto de integridad incluye el de no repudiacin, lo que
significa que se tiene evidencia confiable de las actividades realizadas por una fuente
especfica.
Algunos de los elementos empleados para asegurar integridad son:
Servicios de firewall.
Administracin de comunicaciones
Servicios de deteccin de intrusos.
Disponibilidad.
Se refiere a los elementos que crean fiabilidad y estabilidad en una red y en los
sistemas. La disponibilidad asegura que los sistemas sean accesibles cuando sea
requerido, permitiendo a los usuarios autorizados acceder a la red o al sistema.
Autenticacin.
Se refiere a que los elementos deben validarse entre s, antes de iniciar una sesin. La
autenticacin evita que elementos no autorizados para comunicarse en la red, puedan
establecer sesiones.
En el permetro, el principal equipo de trabajo es el ruteador, complementando a ste
se encuentran el switch y el firewall.
1.1. Amenazas al Permetro y a la Red

Al ser el permetro el punto de acceso a la organizacin, se convierte en un punto
muy vulnerable y atractivo para ser atacado. Esto no descarta que el ataque
pueda provenir internamente desde la misma organizacin; por lo tanto, el
esquema de seguridad debe incluir a ambos puntos, sobre todo en la parte de
monitoreo.
Las principales amenazas, a nivel de permetro y de red, son las que se detallan
seguidamente.
A. Acceso no autorizado a servicios de red restringido, por medio de
evasin de los controles de seguridad.
Este tipo es denominado logon abuse y se refiere al acceso de usuarios
legtimos a servicios a los que no estn autorizados. A diferencia de los
ataques de intrusiones de red, se enfoca en aquellos usuarios que tienen
acceso legtimo a la red y tienen un nivel bajo de seguridad. Existe un ataque
donde el atacante pretende ser otro usuario, al que se le denomina camuflaje
(masquerading).
B. Uso no autorizado de la red para propsitos no relacionados con el
negocio
Se refiere al uso de la red para propsitos no relacionados con el giro de
negocio de la empresa. Por ejemplo, navegacin en sitios de distraccin
(juegos, deportes, noticias y otros), mensajera instantnea (Microsoft, Yahoo
Messenger, etc.), chat (IRC, etc.) y programas Peer to Peer (P2P: Kazaa,
Napster, eDonkey, etc.).
CIBERTEC
48
Estas actividades generan que los usuarios se distraigan y disminuyan su

performance. A nivel de recursos se consume el ancho de banda del acceso
a Internet y podra propiciar el ingreso de cdigo hostil en la red interna.
C. Eavesdropping (sniffing)
Este ataque consiste en la intercepcin no autorizada de trfico de red.
Todos los tipos de infraestructura de comunicaciones son susceptibles a este
tipo de ataque (satlite, inalmbricos, mviles, PDAs, cableado estructurado,
etc.). El tapping se refiere a la interceptacin fsica de un medio de
transmisin.
Existen 2 tipos de eavesdropping: Pasivo y activo.
Pasivo. El atacante monitorea en modo cubierto la transmisin de datos,

es decir, no genera ninguna actividad en la red.
Activo. El atacante genera un canal encubierto a travs del cual,
monitorea el trfico de red.
D. Denial of service
Estos ataques originan la cada de un servicio debido a la saturacin de los
recursos de la red. Esta saturacin puede ser dirigida contra los dispositivos
de red, servidores o la infraestructura que controla y maneja el ancho de
banda de los enlaces. Por ejemplo un ataque de negacin de servicio
distribuido.
E. Intrusiones de red
Se refiere al uso no autorizado del acceso a la red. Estos ataques son
generados por personas ajenas a la organizacin, lo que los distingue de los
atacantes internos del primer caso visto. Estos ataques son conocidos
tambin porque realizan ataques de penetracin y explotan vulnerabilidades
en el permetro de seguridad.
Presenta 3 subtipos: Spoofing, Piggy-backing y Backdoors.
Spoofing. Hace referencia a que el atacante falsea la informacin fuente e

induce al destino a tomar una accin, confiando en la informacin
proporcionada.
Piggy-backing. Se refiere a que un atacante gana acceso no autorizado a un
sistema, utilizando una conexin legtima. Esto sucede cuando un usuario
deja activa una sesin legtima o cuando sale equivocadamente de un
sistema permitindole el acceso al atacante.
Backdoors. Se refiere a la colocacin de puntos de acceso ocultos al
administrador, a travs del cual los atacantes pueden ingresar. Estos puntos
de acceso son empleados, generalmente, por los fabricantes de los sistemas
para acceso de emergencia o por propsitos administrativos, pero de los que
no se le comunica al comprador, quedando expuesto a ser vulnerado.
F. Indagacin (Probing/Scanning)
La indagacin es una variacin activa del eavesdropping. Mediante este
ataque se obtiene informacin de la red: configuracin, estaciones activas,
etc. informacin que posteriormente, se utilizar para efectuar un ataque.
Este ataque puede ser efectuado de manera manual o automtica.
CIBERTEC
49
G. Hijacking
Mediante este ataque, el atacante toma control de la sesin entre un usuario
y el servicio al que accede, hacindoles creer a ambos que la sesin se
realiza sin ningn inconveniente. El atacante se coloca en medio de la sesin
y recibe los paquetes que se intercambian entre el usuario y el servidor y
antes de que stos lleguen, los modifica o simplemente monitorea todo el
trfico. Este ataque se vale de tcnicas de spoofing y ataques TCP Sequence
Number.
CIBERTEC
2.
50
Defensa en la Capa de Enlace
Los switches son dispositivos de capa 2 que permiten la segmentacin del trfico de
red en cada uno de sus puertos, permitiendo que la comunicacin entre estaciones
conectadas en diferentes puertos del switch no pueda afectar la comunicacin entre
otras estaciones conectadas, es decir, los puertos del switch se comportan como
puertos bridge. Esta tcnica permite incrementar el ancho de banda de la red de datos.
2.1. Seguridad Fsica

El acceso fsico de los switches debe ser controlado. Si un switch no tiene ningn
tipo de control de acceso, entonces hay que aplicar seguridad de acceso sobre el
mismo. El punto de acceso a proteger en estos casos es el puerto de consola.
Por omisin los switches le permiten, al usuario que tiene acceso fsico,
interrumpir el proceso de inicio mientras ste, inicia sus operaciones e ingresa
una nueva clave.
Para evitar esto se agrega el siguiente comando en la configuracin del ruteador.
no service password-recovery
2.2. Ataques en la Red de Acceso

Existen diversos tipos de ataques que se dan contra la red de acceso. Entre los
ms notables se tienen los siguientes.
Denial of Service.
Spoofing.
ARP Spoofing.
CIBERTEC
51
2.2.1. Denial Of Service

Los ataques de tipo DoS tienen como objetivo dejar fuera de acceso a
determinados servidores, estaciones o incluso, al mismo switch.
Entre los ms destacados se encuentran los que se detallan a
continuacin.
A. MAC Address Flooding Storms
Tienen como objetivo anular la principal funcionalidad del switch: la
segmentacin. Por medios de herramientas de software como
macof, se inunda de tramas al switch con las siguientes
caractersticas a nivel de direcciones MAC:
Destino desconocidas.
Broadcasts o multicasts.
No existentes.
Buscan poblar la tabla MAC del switch hasta llenarla y en ese

momento el switch dejar de actuar como tal y se convertir en un
hub. En ese momento el trfico de red en el switch se replicar en
todos los puertos y podr ser monitoreado desde cualquier punto, en
especial del punto en que se inici el ataque.
La mejor forma de detenerlo es limitar el nmero de direcciones MAC
por puerto del switch.
Los comandos de habilitacin son:
switchport mode access
switchport port-security
switchport port-security maximum 2
switchport port-security violation {protect|restrict|shutdown}
El problema en esta configuracin es que la tabla MAC no podr ser
renovada hasta que el equipo se reinicie. En este caso es necesario
definir tiempos mximos de permanencia de las direcciones en la
tabla MAC y para ello, se hace uso de los siguientes comandos por
puerto de switch:
switchport port-security aging time 2
switchport port-security aging type inactivity
B. Spanning Tree Protocol (STP) Attacks
Lo que se pretende es convertir el switch, al que est conectado el
atacante en el root y de esta manera, derivar todo el trfico de la red
por este equipo y aplicar sniffing sobre el trfico que se ha derivado.
Para evitar que este tipo de ataques se produzca, se trabaja con el
comando root guard. Este comando se configura en las interfaces
de acceso y previene al equipo de reconfigurarse a cada rato y
seleccionar al switch de cliente como el switch root.
CIBERTEC
52
Se ingresa el siguiente comando por puerto del switch cliente:

spanning-tree root guard
Otra solucin es el uso del comando port-fast bpdu guard. El STP
deshabilita puertos que estn en modo port-fast-operational. Si se
recibe un paquete BPDU en un puerto port-fast-enabled, se tomar
como una configuracin invlida, entonces el comando pone el
puerto en un estado de error y lo deshabilita.
Para habilitar esta configuracin de seguridad se ingresa el siguiente
comando a nivel global:
spanning-tree portfast bpduguard default
C. Cisco Discovery Protocol (CPD) Attack
CPD es un protocolo desarrollado por Cisco para permitir
identificarse a sus equipos entre s. Es muy til cuando se pretende
administrar a los equipos y se quiere obtener rpidamente
informacin como: tipo de dispositivo, sistema operativo utilizado,
versin, etc. Tambin puede ser utilizado de manera hostil para
generar ataques de negacin de servicio para anular al dispositivo.
Algunas herramientas como IRPAS de Linux inundan el switch con
mensajes CDP. En algunas versiones de sistema operativo de Cisco,
no hay lmites de entradas CDP en memoria. Cuando un nmero
masivo de entradas CDP llegan al equipo, causan que ste colapse y
se caiga, incluso en los ruteadores. Para evitar esto, se debe
deshabilitar completamente el CDP. Se puede hacer mediante el
siguiente comando en cada puerto del switch:
no cdp enable
2.2.2. Spoofing
Es utilizado para engaar al switch de que una determinada estacin o
servidor se encuentra en un puerto y as, derivar el trfico hacia este
punto. Se utiliza tambin en conjunto con el tipo de ataque man-in-themiddle para derivar todo el trfico hacia el puerto del atacante para tomar
control de ciertas sesiones que realizan los usuarios conectados a esos
equipos.
El principal ataque es el que se describe a continuacin.
MAC Address Hijacking.

A nivel de sistemas operativos es posible efectuar cambios de
direcciones MAC, de tal manera que se puede realizar spoofing de
stas. Al realizar esto se puede engaar al switch de la identidad de
nivel de enlace de la estacin atacante y reflejar el trfico que va
hacia el poseedor de esa direccin hacia el puerto donde est
conectado el atacante. Para evitar esto, a cada puerto se le asigna
una direccin o grupo de direcciones MAC, para que cualquier
CIBERTEC
53
nueva direccin MAC fuera del rango definido en ese puerto sea
rechazada.
El comando para asignar direcciones estticas es el siguiente:
switchport port-security
2.2.3. Arp Spoofing
El protocolo ARP es utilizado para mapear una direccin IP a una
direccin MAC. La estacin que quiere comunicarse con otra, a travs del
protocolo IP, primero mapea la direccin IP a la MAC de la estacin
destino enviando un paquete broadcast ARP request, a todas las
estaciones preguntando por la direccin MAC y slo la estacin con esa
direccin IP responder con un paquete ARP Reply.
De acuerdo con el RFC ARP, los clientes pueden enviar un paquete ARP
Reply sin necesidad de un paquete ARP Request previo. Esto es
conocido como un paquete Gratuitous ARP. El objetivo de robar esta
identidad es brindar informacin errnea al resto de estaciones
hacindoles creer que el atacante es otra estacin, en especial
asumiendo la identidad del ruteador.
El atacante al realizar esto hace que el trfico, del resto de estaciones,
fluya a travs de su estacin. Los mecanismos de port-security no
pueden controlar este tipo de situaciones.
Las herramientas que permiten efectuar este ataque son: Ettercap, Dsniff,
Cain&Abel, etc.
Pero cmo evitar este tipo de ataques?, pues monitoreando
constantemente las asociaciones de direcciones IP a direcciones MAC.
Esto se puede lograr utilizando una aplicacin llamada ARPWatch
(WinARP Watch en Windows). Esta herramienta se ejecuta en la
estacin del cliente y registra todas las asociaciones de direccin IP a
direccin MAC. Cuando esta asociacin cambia, podra ser por una
situacin normal o por una situacin anmala y con esta informacin el
administrador de red efectuara las investigaciones del caso.
CIBERTEC
3.
54
Ruteadores
3.1. Las Funciones Actuales de los Ruteadores

En una red muy pequea es factible utilizar broadcast o mecanismos
secuenciales para trasladar datos de un punto a otro. En una red LAN esto se
realiza por medio de trfico broadcast, pero en redes ms complejas se
requieren otro tipo de mecanismos.
Los ruteadores son equipos que dirigen el trfico de paquetes entre redes
distintas permitiendo su interconexin. Este proceso se realiza utilizando el
protocolo TCP/IP.
Asimismo, los ruteadores proveen servicios que son esenciales para la operacin
adecuada y segura de la red donde son instalados.
El compromiso de seguridad de un ruteador puede generar lo siguiente:
Publicacin y Manipulacin de tablas de enrutamiento. Puede ocasionar

que la performance se reduzca, denegacin de servicios y exposicin de
datos confidenciales.
Control de acceso. Puede ocasionar que se expongan detalles de la
configuracin del equipo, denegacin de servicios y facilitar ataques contra
otros componentes de la red.
Una configuracin pobre de seguridad puede reducir el nivel de seguridad
del sistema completo, exponer a los componentes de red a ser atacados y
evitar encontrar rastros de los atacantes.
CIBERTEC
55
Los fabricantes han tomado conciencia de la importancia que tienen los

ruteadores dentro del diseo completo de seguridad y estn dotando de
funcionalidades de seguridad cada vez ms mejoradas.
En el caso de Cisco, esta estrategia es una de las mejor implementadas y
adems, la informacin es de acceso al pblico a travs de su pgina Web.
3.2. Principios y Objetivos de Seguridad del Ruteador

Con el ruteador se debe considerar la seguridad tanto fsica como lgica.
El siguiente checklist brinda los puntos que se toman en cuenta en la seguridad
del dispositivo:
A. Seguridad Fsica
Designacin de persona autorizada a instalar, desinstalar y mover el

ruteador.
Designacin de persona autorizada a efectuar el mantenimiento de
hardware y cambiar la configuracin fsica del ruteador.
Designacin de persona autorizada a efectuar las conexiones fsicas del
ruteador.
Definicin de controles en la ubicacin, uso de la consola y otros puertos de
conexin directa.
Definicin de procedimientos de recuperacin en caso de dao fsico del
ruteador o cuando se detecta evidencia de forzamiento del dispositivo.
B. Configuracin de Seguridad Esttica
Designacin de persona autorizada a validarse directamente al ruteador, va

puerto de consola u otros puertos de acceso directo.
Designacin de persona autorizada a asumir privilegios administrativos en el
ruteador.
Definicin de procedimientos y prcticas para efectuar cambios en la
configuracin esttica del ruteador.
Definicin de las polticas de claves para la creacin de cuentas de usuarios
y de claves de uso administrativo.
Designacin del personal autorizado a conectarse remotamente al ruteador.
Designacin de protocolos, procedimientos y redes permitidas para
conectarse al ruteador remotamente.
Definicin de procedimientos de recuperacin e identificacin del
responsable individual de la recuperacin de la configuracin esttica, en
caso que el ruteador sea comprometido.
Definicin de la poltica de registro de actividades en el ruteador incluyendo
un procedimiento de revisin del mismo.
Definicin de procedimientos y lmites en el uso del protocolo de
administracin remota (SNMP).
Bosquejo de procedimientos de respuesta a incidentes y lneas directivas
para la deteccin de ataques contra el ruteador en s.
Definicin de la poltica de manejo de llaves encriptacin (en caso sea
aplicable).
CIBERTEC
56
C. Configuracin de Seguridad Dinmica
Identificacin de los servicios de configuracin dinmica permitidos en el

ruteador y las redes permitidas a tener estos accesos.
Identificacin de los protocolos de enrutamiento a ser utilizados y las
caractersticas de seguridad a ser empleadas, en cada uno de ellos.
Designacin de mecanismos y polticas para la configuracin o el
mantenimiento automtico del reloj del ruteador.
Identificacin de acuerdos de llaves y algoritmos de seguridad autorizados
para uso en el establecimiento de tneles VPN con otras redes.
D. Servicio de Seguridad de Red
Enumeracin de protocolos, puertos y servicios a ser permitidos o filtrados

por el ruteador por cada interface o conexin (entrante y saliente) e
identificacin de procedimientos y autoridades para autorizarlos.
Descripcin de los procedimientos de seguridad y roles para interaccin con
los proveedores de servicios externos y tcnicos de mantenimiento.
E. Respuesta de Compromiso
Identificacin de las personas u organizaciones a ser notificadas en caso de

que la red sea comprometida.
Definicin de procedimientos de respuesta a incidentes, autoridades y
objetivos para la respuesta, en caso se produzca un ataque exitoso contra la
red que incluye la preservacin de evidencia y notificacin a las autoridades
policiales y legales.
3.3. Implementacin de la Seguridad en los Ruteadores Cisco

Los aspectos fundamentales en la configuracin de seguridad de un ruteador
Cisco son los que se detallan a continuacin.
Listas de Acceso y Filtrado.

Auditora y Registro de Actividades.
3.3.1. Acceso Seguro al Ruteador

Esta opcin permite controlar el acceso al ruteador considera los
siguientes puntos:
A. Logins
Al momento del login un usuario debe encontrar un mensaje de tipo

banner, el cual lo alerte de que est siendo vigilado y que debe tener
cuidado con lo que hace.
CIBERTEC
57
El comando para realizar esto es como se muestra.

banner motd mensaje
El primer punto de control de acceso es la consola. Si un administrador se
valida al ruteador y luego de un tiempo se olvida de salir del sistema, ste
debe sacarlo de manera automtica y forzarlo a validarse de nuevo. Los
siguientes comandos definen un tiempo de permanencia de conexin sin
actividad, luego del cual el ruteador cerrar la conexin.
Central#config t
Central(config)#line con 0
Central(config-line)#transport input none
Central(config-line)#login local
Central(config-line)#exec-timeout 5 0
Central(config-line)#end
Para que esta configuracin funcione debe existir al menos una cuenta de
usuario o de lo contrario, la consola se cerrar completamente. Para ello
se deben ingresar los siguientes comandos:
Central#config t
Central(config)#username administrator privilege 1 password
g00d+pa55w0rd
Central(config)#end
El puerto auxiliar debera ser deshabilitado ya que no tiene necesidad de
ser utilizado.
Central#config t
Central(config)#line aux 0
Central(config-line)#no exec
En caso se requiera el uso del puerto como una segunda conexin serial,
se deben ingresar los siguientes comandos.
Central#config t
Central(config)#line aux 0
Central(config-line)#exec
B. Privilegios
Cisco IOS provee 16 niveles de privilegios de seguridad que van desde el

rango 0 hasta el 15. Cisco provee niveles de usuario con nivel 2 por
omisin.
CIBERTEC
58
La configuracin se da a continuacin:
Central#config t
Central(config)#enable secret 2-mAny-rOUtEs
Central(config)#no enable password
Central(config)#end
C. Acceso Remoto
La administracin remota del equipo se logra va Telnet. Estas

conexiones son llamadas lneas terminales virtuales. Se debe considerar
con cuidado su aplicacin, debido a que puede ser monitoreado por
medio de un sniffer en una red LAN.
Para configurar el acceso se ingresan los siguientes comandos:
Central(config)#access-list 99 permit 10.20.7.10 log
Central(config)#access-list 99 permit 10.20.7.11 log
Central(config)#access-list 99 deny any log
Central(config)#line vty 0 4
Central(config-line)#access-class 99 in
Central(config-line)#transport input telnet
Central(config-line)#exec
3.3.2. Seguridad en los Servicios de Red del Ruteador

Los servicios de red del ruteador definen qu servicios estarn habilitados
para ser utilizados por el administrador. Muchos de estos servicios
pueden ser utilizados por los atacantes para iniciar acciones hostiles, por
lo que es necesario deshabilitarlos si es que no van a ser utilizados.
Tabla 1. Servicios que maneja el ruteador.
Caracterstica
Descripcin
Cisco
Protocolo propietario
Discovery
Cisco de nivel 2.
protocol (CDP)
Servicios de red
TCP small
estndares TCP:
servers
Finger, echo, etc.
Servicios de red
UDP small
estndares UDP:
servers
Finger, echo, etc.
Servicio de bsqueda
de usuario Unix que
permite identificar
Finger
quin est conectado
remotamente al
equipo.
HTTP server
Algunos equipos
Valor por
Omisin
Recomendacin
Habilitado.
Casi no se utiliza.
Deshabilitarlo.
11.3
deshabilitado.
11.2 habilitado.
11.3
deshabilitado.
11.2 habilitado.
Caracterstica
heredada.
Deshabilitarla.
Caracterstica
heredada.
Deshabilitarla.
Habilitado.
Las personas no
autorizadas no
requieren saber esto.
Deshabilitarlo.
Vara por
Si no se utiliza,
CIBERTEC
Cisco ofrecen
administracin va
Web.
Bootp server
Configuration
auto-loading
IP source
routing
Proxy ARP
IP directed
broadcast
Classless
routing
behavior
IP
unreachable
notifications
IP mask reply
IP redirects
NTP service
Servicio que les

permite a otros
ruteadoresm bootear
desde este ruteador.
El ruteador intentar
cargar su
configuracin va
TFTP.
Caracterstica IP que
le permite a los
paquetes especificar
sus propias rutas.
El ruteador actuar
como un proxy de
capa 2.
Los paquetes pueden
identificar un objetivo
LAN por el broadcast.
El ruteador enviar
paquetes sin rutas en
concreto.
El ruteador notificar
a emisores sobre
direcciones IP
incorrectas.
El ruteador enviar
esta respuesta a un
paquete ICMP mask
request.
El ruteador enviar
este mensaje ICMP
en respuesta a
ciertos paquetes de
ruteo.
El ruteador puede
actuar como un
servidor de tiempo
para otros
dispositivios.
Simple
Network
Management
Protocol
(SNMP)
Configuracin y
monitoreo remoto va
SNMP.
Domain Name
Service (DNS)
Los ruteadores
pueden efectuar
resolucin de
nombres.
59
dispositivo.
Habilitado.
Deshabilitado.
Habilitado.
Habilitado.
Habilitado
(versiones 11.3 y
anteriores)
Habilitado.
deshabilitarlo. Si no,
restringir el acceso.
Servicio raramente
utilizado y podra ser
un punto de ataque,
por lo que debe ser
deshabilitado.
Servicio utilizado
raramente. Se
recomienda
deshabilitarlo.
Puede ser utilizado
para un ataque.
Deshabilitarlo.
Deshabilitarlo a menos
que el ruteador acte
como un bridge de
LAN.
Puede ser utilizado
para ataques.
Deshabilitarlo.
Utilizado por algunos
ataques.
Deshabilitarlo.
Habilitado.
Utilizado para mapeo

de redes.
Deshabilitarlo.
Deshabilitado.

de redes.
Deshabilitarlo.
Habilitado.

de redes.
Deshabilitarlo.
Habilitado (si se
configura el
servicio NTP).
Si no se utiliza,
deshabilitarl. Si no,
Habilitado.
Si no se utiliza,
deshabilitarlo. Si no,
Habilitado
(broadcast)
Definir explcitamente
nombres de servidores
DNS; de lo contrario,
deshabilitarlo.
CIBERTEC
60
Adems, los siguientes comandos permitirn deshabilitar servicios innecesarios.

A.
Cisco Discovery Protocol (CDP)

Central#config t
Central(config)#no cdp run
Central(config)#exit
Central#show cdp
%CDP is not enabled
Central#
B.
TCP y UDP Small services

Central(config)#no service tcp-small-servers
Central(config)#no service udp-small-servers
C.
Finger server
Central#config t
Central(config)#no ip finger
Central(config)#no service finger
D.
HTTP server
Deshabilitacin:
Central(config)#no ip http server
Acceso restringuido:
Central(config)#username nzWeb priv 15 password 0C5A1rCarg0
Central(config)#ip http auth local
Central(config)#no access-list 29
Central(config)#access-list 29 permit host 10.20.7.0 0.0.0.255
Central(config)#access-list 29 deny any
Central(config)#ip http access-class 29
Central(config)#ip http server
E.
Bootp server
Central(config)#no ip bootp server
F.
Configuration auto-loading
Central(config)#no boot network
Central(config)#no service config
G.
IP Source routing
Central(config)#no ip source-route
CIBERTEC
H.
61
Proxy ARP
Central#config t
Central(config)#interface eth0/0
Central(config-if)#no ip proxy-arp
Central(config-if)#exit
Central(config-if)#end
I.
IP Directed broadcast
Central#no ip directed-broadcast
J.
IP Classless routing
Central(config)#no ip classless
K.
IP Unreachables, redirects y mask replies

Central#config t
Central(config-if)#no ip unreachable
Central(config-if)#no ip redirect
Central(config-if)#no ip mask-reply
L.
NTP Service
Central#config t
Central(config-if)#ntp disable
M. SNMP Services
Central#config t
Central(config)#no snmp-server community public RO
Central(config)#no snmp-server community admin RW
Central(config)#no access-list70
Central(config)#access-list70 deny any
Central(config)#snmp-server community aqiytj1726540942 ro 70
Central(config)#no snmp-server enable traps
Central(config)#no snmp-server system-shutdown
Central(config)#no snmp-server trap-auth
CIBERTEC
62
Central(config)#no snmp-server
Central(config)#end
N.
Resolucin de nombres DNS

Central#config t
router(config)#hostname Central
Central(config)#ip name-server 200.14.241.36
Central(config)#end
O.
Deshabilitacin de Interfaces No Utilizadas

Central#config t
Central(config-if)#shutdown
P.
Configuracin Ejemplo
!-----Seccin de servicios de red e IP
no cdp run
no ip source-route
no ip classless
no service tcp-small-serv
no service udp-small-serv
no ip finger
no service finger
no ip bootp server
no ip http server
no ip name-server
!-----Seccin de control Boot
no boot network
no service config
!-----Seccin de Control SNMP (deshabilitacin completa del servicio)
! configurar una lista de acceso completamente restrictiva
no access-list 70
access-list 70 deny any
! Hacer al SNMP de solo lectura y bajo el control de listas de
snmp-server community aqiytj1726540942 ro 11
! Deshabilitar Traps SNMP y caractersticas de shutdown del sistema
no snmp-server enable traps
no snmp-server system-shutdown
no snmp-server trap-auth
!Apagar completamente SNMP
no snmp-server
!-----Configuracin de servicios por interface
interface eth0/0
description Outside interface to 10.20.4.0/22 net
no ip proxy-arp
CIBERTEC
63
no ip directed-broadcast
no ip unreachable
no ip redirect
ntp disable
exit
interface eth0/1
description Inside interface to 10.20.7.0/24 net
no ip proxy-arp
no ip directed-broadcast
no ip unreachable
no ip redirect
ntp disable
exit
interface eth0/2
no ip proxy-arp
shutdown
no cdp enable
exit
interface eth0/3
no ip proxy-arp
shutdown
no cdp enable
exit
3.3.3. Listas de Acceso y Filtrado
Las listas de acceso permiten controlar el flujo de trfico que ingresa o
sale de una red, a travs del ruteador. Las listas de acceso son filtros de
trfico que contienen una o ms reglas. Para el caso de trfico IP existen
2 tipos de ACLs: estndar y extendida.
La ACL estndar permite crear filtros basados slo en la direccin IP
fuente. La ACL extendida permite crear filtros basados en sus
protocolos, direcciones IP fuente o destino, puertos TCP/UDP fuente,
destino o tipos de mensajes ICMP e IGMP.
Ambas ACLs pueden aplicarse a las interfaces de red, lneas vty, IPSec,
protocolos de ruteo y en otras caractersticas del ruteador. Para el caso
de SNMP slo se pueden aplicar ACLs estndar.
A. Sintaxis de las ACLs
Las ACLs de tipo estndar tienen la siguiente sintaxis.

access-list list-number {deny|permit} source [source-wildcard] [log]
Donde:
list-number
deny
permit
Nmero de la lista de acceso de valor decimal entre

1 y 99.
Deniega el acceso si la condicin es cumplida.
Permite el acceso si la condicin es cumplida.
CIBERTEC
64
source
sourcewildcard
log
Direccin IP de la red o del host del paquete

enviado.
Bits de comodn a ser aplicados a la fuente.
Aplicada para registrar eventos asociados a la regla.
La sintaxis para las ACLs de tipo extendida es la siguiente.

access-list list-number {deny | permit} protocol source source-wildcard
source-qualifiers destination destination-wildcard destination-qualifiers [
log | log-input]
Donde:
list-number
deny
permit
protocol
source
sourcewildcard
sourcequalifiers
destination
destinationwildcard
destinationqualifiers
log
log-input
Nmero de la lista de acceso de valor decimal entre

100 y 199.
Deniega el acceso si la condicin es cumplida.
Permite el acceso si la condicin es cumplida.
Nombre o el puerto de un protocolo IP. Puede ser
cualquiera de los siguientes: eigrp, gre, icmp, igmp,
igrp, ip, ipinip, nos, ospf, tcp o udp. Puede ser un
valor entre 0 y 255 para el caso del protocolo IP.
enviado.
Bits de comodn a ser aplicados a la fuente. La
palabra clave any puede ser utilizada en lugar de
source y source-wildcard.
Detalles opcionales en la fuente del paquete
incluyendo nmero de puertos y otra informacin
especfica al protocolo.
enviado.
Bits de comodn a ser aplicados al destino. La
palabra clave any puede ser utilizada en lugar de
destination y destination-wildcard.
Detalles opcionales en el destino del paquete
incluyendo nmero de puertos y otra informacin
especfica al protocolo.
Aplicada para registrar eventos asociados a la regla.
Registra la interface origen del evento.
B. Filtros
Se describirn los filtros de seguridad ms importantes a aplicar en un

ruteador.
Filtrado de trfico al ruteador
- Telnet
Este protocolo es utilizado para acceso remoto. Es necesario que
slo las estaciones definidas por el administrador puedan tener
acceso, va este protocolo al equipo.
CIBERTEC
65
Los comandos son los siguientes.

Central(config)#access-list 105 permit host 10.20.7.1 any eq 23
log
Central(config)#access-list 105 permit tcp host 10.20.7.11 any
eq 23 log
Central(config)#access-list 105 deny ip any any log
Central(config)#line vty 0 4
Central(config-line)#access-class 105 in
- SNMP
El ruteador puede ser configurado como un cliente SNMP. Cuando
este servicio es habilitado, los sistemas de administracin pueden
solicitarle informacin va este protocolo. Para evitar que esta
informacin sea obtenida desde otros lados, es necesario aplicarle
ACLs.
Central(config)#access-list 75 permit host 14.2.6.6
Central(config)#snmp-server community n3t-manag3m3nt ro 75
Filtrado de trfico a travs del ruteador
Existen diversos mecanismos de proteccin, dependiendo del punto
donde se aplica el filtro.
- Trfico Entrante (Inbound).
Uno de los ataques que se pueden evitar es el de tipo spoofing. A
travs de Internet, el trfico proveniente de redes privadas
(RFC1918) es interpretado como trfico hostil porque no debera
existir en ese entorno. Adems, se debe considerar hostil cualquier
trfico entrante que tenga como origen la misma direccin de red de
la organizacin, ya que no deberan haber 2 ms estaciones con
la misma direccin IP en Internet y en sitios diferentes.
Los filtros a aplicarse son los siguientes.
Central(config)#access-list
log
any log
any log
any log
any log
any log
log
100 deny ip 10.20.7.0 0.0.0.255 any

100 deny ip 127.0.0.0 0.255.255.255
100deny ip 10.0.0.0 0.255.255.255
100 deny ip 0.0.0.0 0.255.255.255
100 deny ip 172.16.0.0 0.15.255.255
100 deny ip 192.168.0.0 0.0.255.255
100 deny ip 192.0.2.0 0.0.0.255 any
CIBERTEC
66
Central(config)#access-list 100 deny ip 169.254.0.0 0.0.255.255

any log
Central(config)#access-list 100 deny ip 224.0.0.0 15.255.255.255
any log
Central(config)#access-list 100 deny ip host 255.255.255.255
any log
Central(config-if)#description "external interface"
Central(config-if)#ip address 10.20.6.30 255.255.252.0
Central(config-if)#ip access-group 100 in
Central(config-if)#description "internal interface"
- Trfico Saliente (Outbound).
El nico tipo de trfico que debe salir de su red de datos es aquel
que tiene como direccin origen, la direccin IP de la red asignada
a su organizacin. Cualquier otro tipo de trfico se debe considerar
como hostil.
Los comandos de configuracin son los siguientes.
Central(config)#no access-list 102
Central(config)#access-list 102 permit ip 10.20.7.0 0.0.0.255 any
Central(config-if)#description "internal interface"
- Proteccin Contra Exploits
Se definen algunas estrategias de proteccin contra los ataques
ms comunes y la forma en que el ruteador los anula o mitiga.
Los ataques ms comunes son los siguientes.
TCP SYN
Los ataques de tipo TCP SYN son conexiones que no se
completan en el destino. Esto genera colas de conexin
bloqueando los puertos y denegando el acceso a usuarios
autorizados. Para evitar este ataque se deniegan conexiones
desde el exterior.
En este escenario se permiten solo las conexiones iniciadas
desde la red interna de la organizacin. Cualquier intento de
conexin externa ser bloqueado.
Los comandos de configuracin son los que se muestran a
continuacin.
Central(config)#access-list 106 permit tcp any 10.20.7.0
0.0.0.255 established
CIBERTEC
67
Central(config-if)#description "external interface"
Land Attack
Se refiere a la llegada a un ruteador de un paquete desde el
exterior con la misma direccin de la red destino, lo cual es
imposible causando una situacin de denegacin de servicio o
degradacin en el objetivo. Para evitar esto se ejecutan los
siguientes comandos.
Central(config)#access-list 100 deny ip host 10.20.6.30 host
10.20.6.30 log
Central(config)#access-list 100 permit ip any any
Central(config-if)#description
"external
interface
to
10.20.6.30/22"
Smurf Attack
Es ejecutado al enviar paquetes ICMP Echo-Request contra la
direccin de red y la direccin broadcast de una red con el origen
falseado, con el objetivo de generar un ataque de tipo DoS. Para
evitar esto se debe filtrar cualquier tipo de trfico contra la
direccin de red y la direccin de broadcast de la organizacin.
Los comandos de configuracin son los siguientes.
Central(config)#access-list 110 deny ip any host 10.20.7.255
log
Central(config)#access-list 110 deny ip any host 10.20.4.0
log
3.3.4. Auditora y Registro de Actividades

El registro de actividades es importante pues muestra las actividades se
estn produciendo en el sistema. En el caso de los ruteadores registrar
el tipo de actividades tanto convencionales como anmalas que se
estuvieron produciendo y as el administrador de red podr tomar las
acciones necesarias. Junto con el proceso de registro de actividades se
tiene el de sincronizacin de tiempos. Es importante la sincronizacin
para que los hechos registrados puedan ser verificados con los que tiene
el administrador de la red origen del evento.
Por otro lado, ser necesario la revisin de las opciones de actividades.
Los ruteadores Cisco pueden registrar errores del sistema, cambios en la
red y el estado de la interface, fallas de login, correspondencia con ACLs,
entre otros eventos y registrarlos, segn el nivel de severidad.
En los equipos Cisco los eventos son registrados por niveles de
severidad, los cuales son descritos en la siguiente tabla.
CIBERTEC
68
Tabla 2. Niveles de severidad del registro de actividades Cisco
Nivel
Nombre del
Nivel
Descripcin
Emergencies
Alerts
2
3
Critical
Errors
Warnings
Notifications
Informational
El ruteador queda
inutilizado.
Se requiere accin
inmediata.
Condicin crtica.
Condicin de error.
Condicin de
advertencia.
Evento normal pero
importante.
Mensaje informativo.
Debugging
Mensaje de depuracin.
Ejemplo
IOS no puede cargar.
Temperatura muy alta.
No puede asignar memoria.
Tamao de memoria invlido.
Operacin fallida de
criptografa.
Interface cambi de estado.
Paquete denegado por ACL.
Aparece solo cuando el
debugging es habilitado.
Por ejemplo, el siguiente mensaje aparece cuando un usuario cambia la

configuracin. El nivel de severidad est definido como 5, que se refleja por el
campo numrico -5- en el nombre del mensaje.
Mar 3 19:00:16 EST: %SYS-5-CONFIG_I: Configured from console by vty 0
(10.20.7.2)
Por su parte, los eventos se pueden mostrar y registrar de diferentes maneras,

tales como:
Consola
Este tipo de registro no es persistente. Los mensajes enviados a la consola
no son almacenados en el ruteador ni en ningn otro lugar.
La configuracin es la siguiente.
Central#config t
Central(config)#logging console notification
Central(config)#logging on
Terminal Line
Cualquier sesin exec puede ser configurada para recibir mensajes de logs.
Esta forma de registro no es persistente y slo es til para el usuario que se
conecta bajo esta forma. Su configuracin es la siguiente.
Central(config)#logging monitor information
Central#terminal monitor
Central#config t
Central(config-if)#shutdown
CIBERTEC
69
Buffered
Los ruteadores Cisco pueden almacenar informacin en un buffer de
memoria. Si el ruteador es reiniciado, entonces esta informacin se pierde y
lo mismo ocurre cuando el buffer se llena.
La configuracin es la siguiente.
Central#config t
Central(config)#logging buffered 16000 information
Central(config)#service time stamp log date msec local show-timezo
Syslog
El servidor Syslog acepta los mensajes y los almacena en archivos de tipo
texto. Estos archivos pueden ser procesados por un software especializado
como un SIEM (Correlacionador de Eventos de Seguridad) como Arcsight
enVision, con el fin de obtener informacin estadstica referente a los eventos
detectados por el dispositivo. La configuracin es la siguiente.
Central#config t
Central(config)#logging trap information
Central(config)#logging 10.20.7.3
Central(config)#logging facility local 6
Central(config)#logging source-interface eth0/1
SNMP Trap
Esta opcin se habilita para algunos mensajes especficos y permite que el
ruteador sea monitoreado desde sistemas de administracin de red. Su
configuracin es la siguiente.
Central(config)#logging trap information
Central(config)#snmp-server host 10.20.7.3 traps public
Central(config)#snmp-server trap-source ethernet0/1
Central(config)#snmp-server enable traps syslog
3.3.5. Sincronizacin de Tiempo (Ntp)

La sincronizacin de eventos es muy importante para el seguimiento de
los mismos y en la colaboracin eficaz con otras entidades
administradoras de redes involucradas en algn evento hostil. Es
recomendable que todos los equipos tengan la misma hora y que se
encuentran en la hora correcta.
La sincronizacin se puede hacer de manera manual o automtica. La
configuracin manual es fijada por los administradores de red donde los
datos se ingresan de manera manual tomando en cuenta la hora, la zona
horaria. La configuracin es la siguiente.
CIBERTEC
70
Central#config t
Central(config)#clock timezone EST -5
Central#clock set 17:27:30 28 August 2003
La configuracin automtica se define de la siguiente manera.

Central#config t
Central(config-if)#no ntp disable
Central(config)#ntp server 10.20.7.3 source eth0/0
CIBERTEC

02 Manejo Del Perimetro I

Transféré par

Informations du document

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

02 Manejo Del Perimetro I

Transféré par

Droits d'auteur :

Formats disponibles

Conceptos Fundamentales de Seguridad

Manejo del Permetro I

Al finalizar el captulo, el alumno podr:

Identificar y utilizar herramientas de ataque para contrarrestar los principales

Manejo del Permetro I

El permetro es el primer punto de acceso desde el exterior hacia la red de la

Protocolos de seguridad de red.

Conceptos Fundamentales de Seguridad

Servicios de encriptacin de datos.

1.1. Amenazas al Permetro y a la Red

Manejo del Permetro I

Estas actividades generan que los usuarios se distraigan y disminuyan su

Pasivo. El atacante monitorea en modo cubierto la transmisin de datos,

Spoofing. Hace referencia a que el atacante falsea la informacin fuente e

Conceptos Fundamentales de Seguridad

Manejo del Permetro I

Defensa en la Capa de Enlace

2.1. Seguridad Fsica

2.2. Ataques en la Red de Acceso

Conceptos Fundamentales de Seguridad

2.2.1. Denial Of Service

Buscan poblar la tabla MAC del switch hasta llenarla y en ese

Manejo del Permetro I

Se ingresa el siguiente comando por puerto del switch cliente:

MAC Address Hijacking.

Conceptos Fundamentales de Seguridad

Manejo del Permetro I

3.1. Las Funciones Actuales de los Ruteadores

Publicacin y Manipulacin de tablas de enrutamiento. Puede ocasionar

Conceptos Fundamentales de Seguridad

Los fabricantes han tomado conciencia de la importancia que tienen los

3.2. Principios y Objetivos de Seguridad del Ruteador

Designacin de persona autorizada a instalar, desinstalar y mover el

B. Configuracin de Seguridad Esttica

Designacin de persona autorizada a validarse directamente al ruteador, va

Manejo del Permetro I

C. Configuracin de Seguridad Dinmica

Identificacin de los servicios de configuracin dinmica permitidos en el

D. Servicio de Seguridad de Red

Enumeracin de protocolos, puertos y servicios a ser permitidos o filtrados

Identificacin de las personas u organizaciones a ser notificadas en caso de

3.3. Implementacin de la Seguridad en los Ruteadores Cisco

Listas de Acceso y Filtrado.

3.3.1. Acceso Seguro al Ruteador

Al momento del login un usuario debe encontrar un mensaje de tipo

Conceptos Fundamentales de Seguridad

El comando para realizar esto es como se muestra.

Cisco IOS provee 16 niveles de privilegios de seguridad que van desde el

Manejo del Permetro I

La administracin remota del equipo se logra va Telnet. Estas

3.3.2. Seguridad en los Servicios de Red del Ruteador

Conceptos Fundamentales de Seguridad

Servicio que les

Utilizado para mapeo

Utilizado para mapeo

Utilizado para mapeo

Manejo del Permetro I

Adems, los siguientes comandos permitirn deshabilitar servicios innecesarios.

Cisco Discovery Protocol (CDP)

TCP y UDP Small services

Conceptos Fundamentales de Seguridad

IP Unreachables, redirects y mask replies

Manejo del Permetro I

Resolucin de nombres DNS