Académique Documents
Professionnel Documents
Culture Documents
Router y Switch
Seguridad Bsica
Router y Switch
Soportan una gran cantidad de servicios de red a usuarios y procesos para conectarse a red.
Pueden restringirse o desactivarse. Sin afectar la operatividad de la red.
Seguridad Bsica
Router de perimetro
Primer punto de defensa.
Ocultar direcciones IP internas. Acceso desde el exterior. Ocultar topologa interna
Topologas
Topologa de red enrutada simple.
LAN corporativa conectada a red no confiable Ruteador
debe proteger contra actividad maliciosa nica defensa Autenticar usuarios
Redes pequeas
Topologas
Topologa de red enrutada mediana.
Utilizan un firewall
Detrs del router de permetro Dispositivo de filtrado Permite:
Autenticacin de usuario Establecer zona DMZ
DMZ Firewall
Internet
Router de permetro
Topologas
Topologa de red enrutada mediana.
Incorporacin de caractersticas de router y firewall Alternativa de solucin para pequeas y medianas empresas
Red corporativa
Router de permetro (reglas de filtrado)
DMZ
Topologas
Topologa de red enrutada mediana.
Router interno Mayor seguridad
Filtrado de trfico en la red corporativa
Modulos de seguridad: IDS VPN SSL
Red corporativa (confiable)
Firewall Red no confiable
Router de permetro
DMZ
Router y Seguridad
Instalacin de un Router.
Instalacin segura del router, aplicar medidas no solo basadas en Oficina Principal software.
PSTN
Internet
Router y Seguridad
Dispositivos de bajo riesgo
Dispositivos SOHO, acceso al dispositivo y cableado no representa riesgo para la red. Difcil de proporcionar un gabinete (seguridad fsica). Decidir que dispositivo debe ser asegurado y cual no, anlisis de riesgo.
Router y Seguridad
Cmo limitar los daos fsicos al equipo?
Bloquear acceso no autorizados Anular accesos por techo o suelo Anular accesos por ductos Anular accesos por ventanas Registrar intentos de acceso (monitoreo) Cmaras de seguridad
Router y Seguridad
Cmo limitar los problemas de suministro elctrico?
Instalar UPS Instalar generadores Tener plan de mantenimiento preventivo Instalar equipos de suministro redundante Instalar reguladores de corriente y voltaje para cada servidor Sistema de alarma y monitoreo
Router y Seguridad
Control de acceso
Adems de proteger el acceso fsico es necesario proteger el acceso lgico Configuraciones seguras
Informacin confidencial Acceso al modo privilegiado Control de login
Puertos de consola
Lnea de consola: terminal conectada al puerto de consola del router. Seales Break o Ctrl-Break (recuperacin de contrasea) Acceso al puerto, a travs de una terminal, del cableado o de un modem
12
Router y Seguridad
Configuracin del puerto de consola con contrasea a nivel de usuario:
1. Entrar al modo de configuracin de la lnea de consola Router(config)#line console 0 2. Activar la comprobacin de contrasea (login) Router(config-line)#login 3. Establecer contrasea a nivel de usuario Router(config-line)#password cisco
13
Router y Seguridad
Configuracin de la lnea Auxiliar (AUX) con contrasea a nivel de usuario:
1. Entrar al modo de configuracin de la lnea auxiliar 2. Activar la comprobacin de contrasea (login) 3. Establecer contrasea a nivel de usuario 4. Definir la contrasea a nivel de usuario
14
Router y Seguridad
Acceso General
Router y Seguridad
Acceso General
Configuracin de los timeouts
Finaliza cualquier conexin de consola no atendida Factor de seguridad extra Router(config)#line vty inicio numero linea-fin numero linea Router(config-line)#exec-timeout minutos [segundos]
Router y Seguridad
Contraseas
Tipo 7
Algoritmo de encriptacin no tan estricto como el tipo 7 Se utiliza en los comandos enable password, username y line password
Tipo 5
Utiliza un hash MD5 (Message Digest 5) Mas estricto que el tipo 7
Router y Seguridad
Contraseas
Router(config)#line console 0 Router(config-line)#password cisco Router(config-line)#login Router(config-line)#end Router(config)#line vty 0 4 Router(config-line)#password cisco Router(config-line)#login Router(config-line)#end
Configuracin
Router#sh run version 12.2 no service password-encryption hostname Router enable password cisco ! line con 0 password cisco login line vty 0 4 password cisco login end
18
Router y Seguridad
Encriptacin contraseas
Impedir que se puedan visualizar las contraseas Cifrar las contraseas
Router(config)#service passwordencryption
Configuracin
Router#sh run service password-encryption hostname Router enable secret 5 $1$mERr$hx5rVt7rPNoS4wqbXKX 7m0 enable password 7 0822455D0A16 line con 0 password 7 0822455D0A16 login line vty 0 4 password 7 0822455D0A16 login
19
Router y Seguridad
Establecer niveles de privilegio
Cisco IOS permite configurar 16 niveles de usuario (0 a 15)
Modo de usuario Exec se ejecuta en nivel 1 Modo Exec privilegiado se ejecuta en nivel 15 Cada comando esta preasignado
Niveles
Usuario nivel - Predefinido para los privilegios de acceso a nivel de usuario. Usuario nivel 2 a 14 - Se pueden asignar diferentes comandos para cada nivel. Usuario nivel 15 - Acceso a modo privilegiado (enable)
Router(config)#privilege mode {level [nivel] [comando]} Router(config)#privilege exec level 2 ping Router(config)#enable secret level 3 patriot
20
Router y Seguridad
Mensaje de registro
Aviso que informa a los usuarios no autorizados la prohibicin de entrada
Mensaje por medio de un banner
Router(config)#banner {exec | incoming | login | motd | slipppp} d mensaje d Composicin del mensaje:
Que se considera un so adecuado del sistema Indicar la monitorizacin del sistema Indicar que no se debe esperar privacidad al usar el sistema NO USAR BIENVENIDO en el mensaje Revisin del mensaje por e departamento legal
21
Router y Seguridad
Mensaje de registro
cisco(config)#banner motd # Enter TEXT message. End with the character '#'. Warning: You are connected to a monitored network. unauthorized access and use of this network will be prosecuted. #
Press RETURN to get started.
Warning: You are connected to a monitored network. unauthorized access and use of this network will be prosecuted. cisco>
22
Router y Seguridad
Desactivacin de servicios
Servicios de las capas 2, 3, 4 y 7
Protocolos de capa 7 para conexin al router
Algunos ponen en riesgo a la seguridad Pueden ser desactivados o limitarse Muchos no son necesarios
Router y Seguridad
Desactivacin de servicios
Desactivar un servicio en el router no impide que soporte a una red que lo utilice. Evita que el router procese los paquetes o que pasen por l. Reduce las posibilidades de un ataque.
24
Router y Seguridad
Servicios IOS
Servicios CDP Servidores TCP pequeos Servidores UDP pequeos Servidor HTTP
Servidor BOOTA Autocarga de configuracin Proxy ARP Comportamiento de enrutamiento sin clase SNMP DNS
Descripcin Protocolo de capa 2 Servicios de red TCP Servicios de red UDP Algunos dispositivos se pueden configurar a travs de web Permite que un router se cargue desde otro Cargar configuracin desde TFTP El router acta como proxy para la resolucin de direcciones MAC El router reenviar los paquetes sin una ruta concreta Soporta peticiones y configuracin SNMP remota El router puede llevar a cabo una resolucin DNS
25
Router y Seguridad
Ver procesos que se estn ejecutando en el router y desactivar los que no se utilicen. Router#show proc Show proc CPU utilization for five seconds: 0%/0%; one minute: 0%; five minutes: 0%
PID QTy PC Runtime (ms) Invoked uSecs Stacks TTY Process 1 Csp 602F3AF0 0 1627 0 2600/3000 0 Load Meter 2 Lwe 60C5BE00 4 136 29 5572/6000 0 CEF Scanner 3 Lst 602D90F8 1676 837 2002 5740/6000 0 Check heaps 4 Cwe 602D08F8 0 1 0 5568/6000 0 Chunk Manager 5 Cwe 602DF0E8 0 1 0 5592/6000 0 Pool Manager 6 Mst 60251E38 0 2 0 5560/6000 0 Timers 7 Mwe 600D4940 0 2 0 5568/6000 0 Serial Backgrou 8 Mwe 6034B718 0 1 0 2584/3000 0 OIR Handler 9 Mwe 603FA3C8 0 1 0 5612/6000 0 IPC Zone Manage 10 Mwe 603FA1A0 0 8124 0 5488/6000 0 IPC Periodic Ti 11 Mwe 603FA220 0 9 0 4884/6000 0 IPC Seat Manage 12 Lwe 60406818 124 2003 61 5300/6000 0 ARP Input 13 Mwe 60581638 0 1 0 5760/6000 0 HC Counter Time 14 Mwe 605E3D00 0 2 0 5564/6000 0 DDR Timers 15 Msp 80164A38 0 79543 0 5608/6000 0 GraphIt 16 Mwe 802DB0FC 0 2 011576/12000 0 Dialer event 17 Cwe 801E74BC 0 1 0 5808/6000 0 Critical Bkgnd 18 Mwe 80194D20 4 9549 010428/12000 0 Net Background 19 Lwe 8011E9CC 0 20 011096/12000 0 Logger 20 Mwe 80140160 8 79539 0 5108/6000 0 TTY Background --More--
26
Router y Seguridad
cisco(config)#no servic tcp-small-servers cisco(config)# no servic udp-small-servers
cisco(config)# no ip finger cisco(config)# no service finger cisco(config)# exit
Necesito nueva imagen IOS Peticin BOOTP Conexin Finger 16.1.1.15 Conexin rechazada
16.1.1.15
Router y Seguridad
cisco(config)#no servic tcp-small-servers cisco(config)# no servic udp-small-servers
cisco(config)# no cdp run cisco(config)# no ip http server
R1 16.1.1.15
16.1.1.15
Router y Seguridad
Servicios: Enrutamiento, proxy ARP, ICMP Enrutamiento IP en origen Proxy ARP Difusin de IP dirigida Enrutamiento IP sin clase
29
Router y Seguridad
Aseguramiento del Router de Permetro
Se utiliza para limitar el trfico de entrada y salida.
Mtodos a implementar:
Listas de control de acceso (ACLs) NAT Autenticacin del protocolo de enrutamiento Filtrado de trfico Filtrado de ICMP Firewall IOS
30
Router y Seguridad
Control de trfico de entrada y salida
Trfico de entrada
Trfico de salida
31
Router y Seguridad
Trfico de entrada
Trfico de salida
Filtrado de paquetes con direccin interna como origen Filtrado de paquetes con direccin RFC 1918 Filtrado de paquetes BOOTP, TFTP y traceroute Permitir conexiones TCP slo si el origen es desde la red interna Permitir el resto de las conexiones de entrada que slo acceden a los servidores DMZ
32
Router y Seguridad
Trfico de entrada
Trfico de salida
Permitir slo los paquetes que tengan una direccin de origen procedente de la red interna para acceso a Internet Filtrar cualquier direccin IP que no est autorizada para salir de la red, como las definidas por las polticas de seguridad 33
Router y Seguridad
Trfico de salida
Trfico de entrada
Reglas generales
Desactivar los servicios, puertos y protocolos que no sean utilizados: en caso de que ninguno de los dispositivos lo
utilicen
con una ACL limitar el numero de usuarios o sistemas que los utilicen
34
Router y Seguridad
Lista de servicios
Servicio Puerto Transporte
1 7 9 11 13 15 69 93
Tcp y udp Tcp y udp Tcp y udp Tcp Tcp y udp Tcp Udp udp
35
Router y Seguridad
Conversin de direcciones Network Address Translation. Permite a un solo dispositivo (router), actuar como agente entre una red pblica y la red local.
Mantiene las direcciones IP internas se mantienen ocultas No informacin acerca de topologa y diseo de la red
Router y Seguridad
Ventajas de NAT
Tabla NAT
10.1.1.7 172.70.2.10 Global Interna Local Interna
BRI0 171.1.1.1
Router
E0 10.1.7.1
Router y Seguridad
Protocolo de enrutamiento y filtrado de actualizacin Un posible ataque es enviar paquetes de actualizacin de enrutamiento falsos.
Alterar la tabla de enrutamiento Proteccin de la tabla:
Usar solo rutas estticas. Funciona para redes pequeas. Autenticar actualizaciones. Usar protocolos de enrutamiento con autenticacin. Asegura que la actualizacin es de una fuente legtima.
38
Router y Seguridad
Otro posible ataque es evitar que las actualizaciones sean enviadas o recibidas
Puede hacer que parte de la red no funcione Posible solucin:
Convergencia rpida Rutas de respaldo
Interfaces Pasivas Previene que otros routers aprendan las rutas dinmicamente Evita que ciertas zonas conozcan ciertas rutas
Autenticacin con MD5 para los protocolos: RIP OSPF EIGRP BGP
passive-interface
39
Router y Seguridad
Filtrado de trfico
S0/0 R2 E0/1 16.2.1.1 Servidor WEB pblico 10.2.2.3 Servidor de autenticacin 16.2.1.2 Usuario 16.2.1.3 E0/0 16.1.1.2
Oficina remota
R5 E0/0 9.1.1.1 E0/1 9.2.1.1 Usuario remoto 9.0.0.0/8
Usuario 10.2.2.6
R3 E0/0 16.1.10.1 E0/1 16.2.2.1 E0/0 16.2.2.2 R4 E0/1 16.2.3.1 LAN protegida 16.2.3.0/24
DNS 16.1.1.4
40
Router y Seguridad
Filtrado de trfico
como regla general no se permite acceso a una red privada a ningn paquete IP con la direccin origen de ningn host interno o red.
E0/0 16.1.1.2
R2
E0/1 16.2.1.1
Ejemplo: Cualquier paquete que contenga las siguientes direcciones en su campo de origen ser denegado: Direccin de la red interna 16.2.1.0. Direcciones del host local 127.0.0.0/8. Direcciones privadas reservadas (RFC 1918). Direccin de la red 192.0.2.0/24. Direccin de la red 169.254.0.0/16. En el rango de direcciones de multicast IP (224.0.0.0/24).
41
Router y Seguridad
Ejemplo: Cualquier paquete que contenga las siguientes direcciones en su campo de origen ser denegado: Direccin de la red interna 16.2.1.0. Direcciones del host local 127.0.0.0/8. Direcciones privadas reservadas (RFC 1918). Direccin de la red 192.0.2.0/24. Direccin de la red 169.254.0.0/16. En el rango de direcciones de multicast IP (224.0.0.0/24).
R2
E0/0 16.1.1.2
E0/1 16.2.1.1
Router>en Router#config t Router(config)#access-list 150 deny ip 16.2.1.0 0.0.0.255 any log Router(config)#access-list 150 deny ip 127.0.0.0 255.255.255.255 any log Router(config)#access-list 150 deny ip 10.0.0.0 255.255.255.255 any log Router(config)#access-list 150 deny ip 0.0.0.0 255.255.255.255 any log Router(config)#access-list 150 deny ip 172.16.0.0 0.15.255.255 any log Router(config)#access-list 150 deny ip 10.0.0.0 0.255.255.255 any log Router(config)#access-list 150 deny 192.0.2.0 0.0.255.255 any log Router(config)#access-list 150 deny 169.254.0.0 0.0.255.255 any log Router(config)#access-list 150 deny 224.0.0.0 15.255.255.255 any log Router(config)#access-list 150 deny ip host 255.255.255.255 any log Router(config)#access-list 150 permit ip any 16.2.1.0 0.0.0.255 Router(config)#interface e0/0 Router(config-if)#ip address 16.1.1.2 255.255.0.0 Router(config-if)#ip access-group 150 in Router(config-if)#exit
42
Router y Seguridad
Administracin del Router IOS cuenta con varios comandos para implementar esquemas de seguridad. Soportan auditoria centralizada y administracin.
Tarea de administracin Logging Descripcin Local y remoto. Protocolos soportados: SNMP y syslog
Tiempo
Software y configuracin
43
Router y Seguridad
Logging Mensajes, niveles de severidad Contienen tres partes principales
Nivel
0 1 2 3 4 5 6 7
Nombre
Emergencies Alerts Critical Errors Warnings Notifications Informational Debugging
Descripcin
Router inservible Requiere accin inmediata Condicin crtica Condicin de error Codicin de aviso Evento normal aunque importante Mensaje informativo Mensaje de depuracin
44
Router y Seguridad
Logging Partes principales del mensaje
Hora del mensaje (timestamp)
45
Router y Seguridad
Informacin que el log del router puede registrar Errores del sistema Cambios en la red Estado de las interfaces Fallos de identificacin Coincidencias en las listas de acceso Otros:
Cambios en la configuracin y reinicios Receptores del trfico que violan las listas de acceso Cambios en una interfaz y estado de la red Violaciones de seguridad criptogrfica
Cambio en el nivel de privilegio Cambio de contrasea Cambio de configuracin a travs de SMNP Nueva configuracin almacenada en NVRAM
Eventos:
46
Router y Seguridad
Metodos de registro de mensajes en el log Logging de consola
Mensaje enviado a la consola No almacena los mensajes til para el operador
Logging syslog
Envia los mensajes a un servicio SYSLOG Almacena los mensajes en un archivo
Logging en bfer
Almacenamiento de mensajes en un bfer de memoria Acceso desde sesin exec Se borra en el reinicio
Logging de interrupcin
Mensajes de interrupcin SMNP Permite el monitoreo del router
47
Router y Seguridad
Administracin remota por SSH Administracin remota es critica, algunas veces es necesaria.
Telnet, puerto TCP 23 Trafico no seguro (no cifrado)
Router y Seguridad
Administracin por Secure Shell, sHell
49
Router y Seguridad
Tipos de SSH Dos versiones SSH v1 y SSH v2
Solo se puede implementar SSH v1
Router y Seguridad
Cliente SSH
Aplicacin ejecutada sobre SHH v1 que proporciona autenticacin y cifrado Permite conexin con cualquier otro dispositivo configurado como servidor SSH v1 Soporta cifrado:
DES 3DES Autenticacin de contrasea.
Sesin de telnet
51
Router y Seguridad
Servidor SSH
Permite a cualquier cliente SSH establecer una conexin segura y cifrada. Trabaja con clientes SSH pblicos y comerciales El router acta como cliente y servidor SSH.
52
Router y Seguridad
Servidor SSH 1. Configurar el hostname 2. Configurar el ip domain name 3. Generar la llave de cifrado (RSA)
Para eliminar la llave RSA usar el comando crypto key zeroize rsa (deshabilita el servidor SSH)
4. 5.
53
Incorporacin de WLAN
Seguridad; factor mas importante
VLAN:
Administracin PVLAN
Monitoreo:
SMNP SPAN
Listas de acceso:
ACL de puerto ACL de router ACL de VLAN
55
56