Proteccin de protocolos de enrutamiento

Como administrador de la red, debe saber que sus routers corren el riesgo de sufrir ataques en la misma medida que sus sistemas de usuario final. Las personas que cuentan con un programa detector de paquetes, como Wireshark pueden leer la informacin que se propaga entre routers. En general, los sistemas de enrutamiento pueden sufrir ataques de dos maneras: Interrupcin de pares Falsificacin de informacin de enrutamiento

2006 Cisco Systems, Inc. Todos los derechos reservados.

Informacin pblica de Cisco

104

Proteccin de protocolos de enrutamiento

La interrupcin de pares Es el menos crtico de los dos ataques, porque los protocolos de enrutamiento se reparan a s mismos, lo que hace que la interrupcin dure solamente un poco ms que el ataque mismo. Una clase ms sutil de ataque se centra en la informacin que se transporta dentro del protocolo de enrutamiento. La informacin de enrutamiento falsificada Puede utilizarse para hacer que los sistemas se proporcionen informacin errnea (mientan) entre s, para provocar un DoS o hacer que el trfico siga una ruta que, normalmente, no seguira. Las consecuencias de falsificar informacin de enrutamiento son las siguientes: 1. El trfico se redirecciona para crear routing loops. 2. El trfico se redirecciona para que pueda monitorearse en un enlace inseguro. 3. El trfico se redirecciona para descartarlo.
2006 Cisco Systems, Inc. Todos los derechos reservados. Informacin pblica de Cisco

105

Proteccin de protocolos de enrutamiento

La figura muestra la manera en la que cada router de la cadena de actualizacin crea una firma. Los tres componentes de dicho sistema incluyen: 1. Algoritmo de encriptacin que, por lo general, es de conocimiento pblico. 2. Clave utilizada en el algoritmo de encriptacin, que es un secreto compartido por los routers que autentican sus paquetes. 3. Contenidos del paquete en s mismo.

2006 Cisco Systems, Inc. Todos los derechos reservados.

Informacin pblica de Cisco

106

Proteccin de protocolos de enrutamiento

Configuracin de RIPv2 con autenticacin del protocolo de enrutamiento RIPv2 admite la autenticacin del protocolo de enrutamiento. Para proteger las actualizaciones de enrutamiento, cada router debe configurarse para admitir la autenticacin. Los pasos para proteger las actualizaciones de RIPv2 son los siguientes: Paso 1. Impida la propagacin de actualizaciones de enrutamiento RIP Paso 2. Impida la recepcin de actualizaciones RIP no autorizadas Paso 3. Verifique el funcionamiento del enrutamiento RIP

2006 Cisco Systems, Inc. Todos los derechos reservados.

Informacin pblica de Cisco

107

Proteccin de protocolos de enrutamiento

Impedir la propagacin de actualizaciones de enrutamiento RIP Debe impedir que un intruso que est escuchando en la red reciba actualizaciones a las que no tiene derecho. Debe hacerlo forzando todas las interfaces del router a pasar al modo pasivo y, a continuacin, activando slo aquellas interfaces que son necesarias para enviar y recibir actualizaciones RIP.

Una interfaz en modo pasivo recibe actualizaciones pero no las enva.

Debe configurar las interfaces en modo pasivo en todos los routers de la red.

2006 Cisco Systems, Inc. Todos los derechos reservados.

Informacin pblica de Cisco

108

Proteccin de protocolos de enrutamiento

Impedir la recepcin de actualizaciones RIP no autorizadas Los resultados muestran los comandos necesarios para configurar la autenticacin del protocolo de enrutamiento en el router R1. Los routers R2 y R3 tambin deben ser configurados con estos comandos en las interfaces adecuadas. El ejemplo muestra los comandos necesarios para crear una cadena de claves denominada RIP_KEY. Pese a que es posible considerar varias claves, nuestro ejemplo muestra slo una clave. La clave 1 est configurada para contener una cadena de claves denominada cisco. La cadena de claves es similar a una contrasea y los routers que intercambian claves de autenticacin deben estar configurados con la misma cadena de claves. La interfaz S0/0/0 est configurada para admitir la autenticacin MD5. La cadena RIP_KEY y la actualizacin de enrutamiento se procesan mediante el algoritmo MD5 para producir una firma nica. Una vez que R1 est configurado, los otros routers reciben actualizaciones de enrutamiento encriptadas y, en consecuencia, ya no pueden descifrar las actualizaciones provenientes de R1. Esta condicin se mantiene hasta que cada router de la red est configurado con autenticacin del protocolo de enrutamiento.
2006 Cisco Systems, Inc. Todos los derechos reservados. Informacin pblica de Cisco

109

Proteccin de protocolos de enrutamiento

Impedir la recepcin de actualizaciones RIP no autorizadas

2006 Cisco Systems, Inc. Todos los derechos reservados.

Informacin pblica de Cisco

110

Proteccin de protocolos de enrutamiento

Verificar el funcionamiento del enrutamiento RIP Despus de configurar todos los routers de la red, debe verificar el funcionamiento del enrutamiento RIP en la red. Al usar el comando show ip route, el resultado confirma que el router R1 se ha autenticado con los dems routers y ha logrado adquirir las rutas provenientes de los routers R2 y R3.

2006 Cisco Systems, Inc. Todos los derechos reservados.

Informacin pblica de Cisco

111

Proteccin de protocolos de enrutamiento

EIGRP La figura muestra los comandos necesarios para configurar la autenticacin del protocolo de enrutamiento de EIGRP en el router R1. Estos comandos son muy similares a los que utiliz para la autenticacin MD5 de RIPv2. Los pasos necesarios para configurar la autenticacin del protocolo de enrutamiento de EIGRP en el router R1 son los siguientes: Paso 1. El rea superior resaltada muestra cmo crear una cadena de claves para ser utilizada por todos los routers de la red. Estos comandos crean una cadena de claves denominada EIGRP_KEY y coloca su terminal en el modo de configuracin de cadena de claves, un nmero de clave 1 y un valor de cadena de claves de cisco. Paso 2. El rea inferior resaltada muestra cmo activar la autenticacin MD5 de los paquetes de EIGRP que viajan a travs de una interfaz.

2006 Cisco Systems, Inc. Todos los derechos reservados.

Informacin pblica de Cisco

112

Proteccin de protocolos de enrutamiento

OSPF La figura muestra los comandos necesarios para configurar la autenticacin del protocolo de enrutamiento de OSPF en el router R1 de la interfaz S0/0/0. El primer comando especifica la clave que se utilizar para la autenticacin MD5. El comando siguiente activa la autenticacin MD5.

2006 Cisco Systems, Inc. Todos los derechos reservados.

Informacin pblica de Cisco

113

Bloqueo de su router con Auto Secure de Cisco

AutoSecure de Cisco utiliza un nico comando para desactivar procesos y servicios no esenciales del sistema y elimina amenazas de seguridad potenciales. Puede configurar AutoSecure en el modo EXEC privilegiado mediante el comando auto secure en uno de estos dos modos: Modo interactivo: este modo le indica opciones para activar y desactivar servicios y otras caractersticas de seguridad, es el modo predeterminado. Modo no interactivo: ejecuta automticamente el comando auto secure con la configuracin predeterminada recomendada de Cisco, este modo se activa con la opcin del comando no-interact.
114

2006 Cisco Systems, Inc. Todos los derechos reservados.

Informacin pblica de Cisco

Bloqueo de su router con Auto Secure de Cisco

AutoSecure en un router Cisco Los resultados de la pantalla muestran un resultado parcial de la configuracin de AutoSecure de Cisco. Para iniciar el proceso de proteger un router, emita el comando auto secure. AutoSecure de Cisco le pide una cantidad de elementos, entre los que se incluyen: Detalles de la interfaz Ttulos Contraseas SSH Caractersticas del firewall del IOS

Nota: El Administrador de routers y dispositivos de seguridad (SDM, Security Device Manager) proporciona una caracterstica similar al comando AutoSecure de Cisco.
2006 Cisco Systems, Inc. Todos los derechos reservados. Informacin pblica de Cisco

115