Seguridad Bsica

Router y Switch

Seguridad Bsica
Router y Switch
Soportan una gran cantidad de servicios de red a usuarios y procesos para conectarse a red.
Pueden restringirse o desactivarse. Sin afectar la operatividad de la red.

Filtrado de trfico (paquetes).

Entrada y salida. ACLs
2

Seguridad Bsica
Router de perimetro
Primer punto de defensa.
Ocultar direcciones IP internas. Acceso desde el exterior. Ocultar topologa interna

Topologas
Topologa de red enrutada simple.
LAN corporativa conectada a red no confiable Ruteador
debe proteger contra actividad maliciosa nica defensa Autenticar usuarios

Redes pequeas

Topologas
Topologa de red enrutada mediana.
Utilizan un firewall
Detrs del router de permetro Dispositivo de filtrado Permite:
Autenticacin de usuario Establecer zona DMZ
DMZ Firewall

Internet
Router de permetro

Topologas
Topologa de red enrutada mediana.
Incorporacin de caractersticas de router y firewall Alternativa de solucin para pequeas y medianas empresas
Red corporativa
Router de permetro (reglas de filtrado)

DMZ

Topologas
Topologa de red enrutada mediana.
Router interno Mayor seguridad
Filtrado de trfico en la red corporativa
Modulos de seguridad: IDS VPN SSL
Red corporativa (confiable)
Firewall Red no confiable

Router de permetro

DMZ

Router y Seguridad
Instalacin de un Router.
Instalacin segura del router, aplicar medidas no solo basadas en Oficina Principal software.
PSTN

Internet

Bajo Riesgo SOHO

Alto Riesgo (Misin Crtica)

Router y Seguridad
Dispositivos de bajo riesgo
Dispositivos SOHO, acceso al dispositivo y cableado no representa riesgo para la red. Difcil de proporcionar un gabinete (seguridad fsica). Decidir que dispositivo debe ser asegurado y cual no, anlisis de riesgo.

Dispositivos de alto riesgo.

Dispositivos de misin crtica, ubicados en grandes oficinas o campus. Acceso local y de forma remota. Capacidad de enrutar grandes cantidades de trfico de datos, voz y video. Suponen mayor riesgo para la seguridad de la red.

Router y Seguridad
Cmo limitar los daos fsicos al equipo?
Bloquear acceso no autorizados Anular accesos por techo o suelo Anular accesos por ductos Anular accesos por ventanas Registrar intentos de acceso (monitoreo) Cmaras de seguridad

Cmo limitar los daos ambientales al equipo?

Controlar la temperatura Controlar la humedad Flujo de aire Usar sistemas de alarmas remotas (monitoreo)
10

Router y Seguridad
Cmo limitar los problemas de suministro elctrico?
Instalar UPS Instalar generadores Tener plan de mantenimiento preventivo Instalar equipos de suministro redundante Instalar reguladores de corriente y voltaje para cada servidor Sistema de alarma y monitoreo

Cmo limitar los daos relativos al mantenimiento?

Usar trayectorias de cableado limpias Etiquetar los cables Usar procedimientos de distribucin de software Contar con partes de refaccin (criticas) Controlar el acceso a los puertos de la consola
11

Router y Seguridad
Control de acceso
Adems de proteger el acceso fsico es necesario proteger el acceso lgico Configuraciones seguras
Informacin confidencial Acceso al modo privilegiado Control de login

Puertos de consola
Lnea de consola: terminal conectada al puerto de consola del router. Seales Break o Ctrl-Break (recuperacin de contrasea) Acceso al puerto, a travs de una terminal, del cableado o de un modem
12

Router y Seguridad
Configuracin del puerto de consola con contrasea a nivel de usuario:
1. Entrar al modo de configuracin de la lnea de consola Router(config)#line console 0 2. Activar la comprobacin de contrasea (login) Router(config-line)#login 3. Establecer contrasea a nivel de usuario Router(config-line)#password cisco
13

Router y Seguridad
Configuracin de la lnea Auxiliar (AUX) con contrasea a nivel de usuario:
1. Entrar al modo de configuracin de la lnea auxiliar 2. Activar la comprobacin de contrasea (login) 3. Establecer contrasea a nivel de usuario 4. Definir la contrasea a nivel de usuario

14

Router y Seguridad
Acceso General

Otros tipos de acceso (dependiendo del IOS):

telnet rlogin SSH Otros protocolos de red no basados en IP

Control de todas las lneas, establecer mecanismos de autenticacin

tty vty

Configuracin de los timeouts

15

Router y Seguridad
Acceso General
Configuracin de los timeouts
Finaliza cualquier conexin de consola no atendida Factor de seguridad extra Router(config)#line vty inicio numero linea-fin numero linea Router(config-line)#exec-timeout minutos [segundos]

Proteccin contra sesiones hurfanas o ataques

Actividad de TCP Router(config)#service tcp-keepalives-in Router(config)#service tcp-keepalives-out
16

Router y Seguridad
Contraseas

Tipo 7
Algoritmo de encriptacin no tan estricto como el tipo 7 Se utiliza en los comandos enable password, username y line password

Tipo 5
Utiliza un hash MD5 (Message Digest 5) Mas estricto que el tipo 7

Proteccin del modo exec privilegiado, usar solo enable secret

17

Router y Seguridad
Contraseas
Router(config)#line console 0 Router(config-line)#password cisco Router(config-line)#login Router(config-line)#end Router(config)#line vty 0 4 Router(config-line)#password cisco Router(config-line)#login Router(config-line)#end

Configuracin
Router#sh run version 12.2 no service password-encryption hostname Router enable password cisco ! line con 0 password cisco login line vty 0 4 password cisco login end
18

Router y Seguridad
Encriptacin contraseas
Impedir que se puedan visualizar las contraseas Cifrar las contraseas
Router(config)#service passwordencryption

Configuracin
Router#sh run service password-encryption hostname Router enable secret 5 $1$mERr$hx5rVt7rPNoS4wqbXKX 7m0 enable password 7 0822455D0A16 line con 0 password 7 0822455D0A16 login line vty 0 4 password 7 0822455D0A16 login
19

Router y Seguridad
Establecer niveles de privilegio
Cisco IOS permite configurar 16 niveles de usuario (0 a 15)
Modo de usuario Exec se ejecuta en nivel 1 Modo Exec privilegiado se ejecuta en nivel 15 Cada comando esta preasignado

Niveles
Usuario nivel - Predefinido para los privilegios de acceso a nivel de usuario. Usuario nivel 2 a 14 - Se pueden asignar diferentes comandos para cada nivel. Usuario nivel 15 - Acceso a modo privilegiado (enable)
Router(config)#privilege mode {level [nivel] [comando]} Router(config)#privilege exec level 2 ping Router(config)#enable secret level 3 patriot
20

Router y Seguridad
Mensaje de registro
Aviso que informa a los usuarios no autorizados la prohibicin de entrada
Mensaje por medio de un banner

Router(config)#banner {exec | incoming | login | motd | slipppp} d mensaje d Composicin del mensaje:
Que se considera un so adecuado del sistema Indicar la monitorizacin del sistema Indicar que no se debe esperar privacidad al usar el sistema NO USAR BIENVENIDO en el mensaje Revisin del mensaje por e departamento legal
21

Router y Seguridad
Mensaje de registro
cisco(config)#banner motd # Enter TEXT message. End with the character '#'. Warning: You are connected to a monitored network. unauthorized access and use of this network will be prosecuted. #
Press RETURN to get started.

Warning: You are connected to a monitored network. unauthorized access and use of this network will be prosecuted. cisco>

22

Router y Seguridad
Desactivacin de servicios
Servicios de las capas 2, 3, 4 y 7
Protocolos de capa 7 para conexin al router

Algunos ponen en riesgo a la seguridad Pueden ser desactivados o limitarse Muchos no son necesarios

Seguridad: solo soportar el trfico y los protocolos necesarios.

23

Router y Seguridad
Desactivacin de servicios
Desactivar un servicio en el router no impide que soporte a una red que lo utilice. Evita que el router procese los paquetes o que pasen por l. Reduce las posibilidades de un ataque.

24

Router y Seguridad
Servicios IOS
Servicios CDP Servidores TCP pequeos Servidores UDP pequeos Servidor HTTP
Servidor BOOTA Autocarga de configuracin Proxy ARP Comportamiento de enrutamiento sin clase SNMP DNS

Descripcin Protocolo de capa 2 Servicios de red TCP Servicios de red UDP Algunos dispositivos se pueden configurar a travs de web Permite que un router se cargue desde otro Cargar configuracin desde TFTP El router acta como proxy para la resolucin de direcciones MAC El router reenviar los paquetes sin una ruta concreta Soporta peticiones y configuracin SNMP remota El router puede llevar a cabo una resolucin DNS
25

Router y Seguridad
Ver procesos que se estn ejecutando en el router y desactivar los que no se utilicen. Router#show proc Show proc CPU utilization for five seconds: 0%/0%; one minute: 0%; five minutes: 0%
PID QTy PC Runtime (ms) Invoked uSecs Stacks TTY Process 1 Csp 602F3AF0 0 1627 0 2600/3000 0 Load Meter 2 Lwe 60C5BE00 4 136 29 5572/6000 0 CEF Scanner 3 Lst 602D90F8 1676 837 2002 5740/6000 0 Check heaps 4 Cwe 602D08F8 0 1 0 5568/6000 0 Chunk Manager 5 Cwe 602DF0E8 0 1 0 5592/6000 0 Pool Manager 6 Mst 60251E38 0 2 0 5560/6000 0 Timers 7 Mwe 600D4940 0 2 0 5568/6000 0 Serial Backgrou 8 Mwe 6034B718 0 1 0 2584/3000 0 OIR Handler 9 Mwe 603FA3C8 0 1 0 5612/6000 0 IPC Zone Manage 10 Mwe 603FA1A0 0 8124 0 5488/6000 0 IPC Periodic Ti 11 Mwe 603FA220 0 9 0 4884/6000 0 IPC Seat Manage 12 Lwe 60406818 124 2003 61 5300/6000 0 ARP Input 13 Mwe 60581638 0 1 0 5760/6000 0 HC Counter Time 14 Mwe 605E3D00 0 2 0 5564/6000 0 DDR Timers 15 Msp 80164A38 0 79543 0 5608/6000 0 GraphIt 16 Mwe 802DB0FC 0 2 011576/12000 0 Dialer event 17 Cwe 801E74BC 0 1 0 5808/6000 0 Critical Bkgnd 18 Mwe 80194D20 4 9549 010428/12000 0 Net Background 19 Lwe 8011E9CC 0 20 011096/12000 0 Logger 20 Mwe 80140160 8 79539 0 5108/6000 0 TTY Background --More--

26

Router y Seguridad
cisco(config)#no servic tcp-small-servers cisco(config)# no servic udp-small-servers
cisco(config)# no ip finger cisco(config)# no service finger cisco(config)# exit

cisco(config)# no ip boot server

Necesito nueva imagen IOS Peticin BOOTP Conexin Finger 16.1.1.15 Conexin rechazada

16.1.1.15

Desactivacin de carga de los servidores

Desactivacin del servicio Finger 27

Router y Seguridad
cisco(config)#no servic tcp-small-servers cisco(config)# no servic udp-small-servers
cisco(config)# no cdp run cisco(config)# no ip http server

Peticin CDP No tengo conocimiento

Peticin CDP Conexin rechazada http://16.1.1.15

R1 16.1.1.15

16.1.1.15

R1 Quines son tus vecinos?

Desactivacin del servicio http

Desactivacin del servicio CDP 28

Router y Seguridad
Servicios: Enrutamiento, proxy ARP, ICMP Enrutamiento IP en origen Proxy ARP Difusin de IP dirigida Enrutamiento IP sin clase

29

Router y Seguridad
Aseguramiento del Router de Permetro
Se utiliza para limitar el trfico de entrada y salida.

Mtodos a implementar:
Listas de control de acceso (ACLs) NAT Autenticacin del protocolo de enrutamiento Filtrado de trfico Filtrado de ICMP Firewall IOS
30

Router y Seguridad
Control de trfico de entrada y salida

Trfico de entrada

Trfico de salida

31

Router y Seguridad

Trfico de entrada

Trfico de salida

Filtrado de paquetes con direccin interna como origen Filtrado de paquetes con direccin RFC 1918 Filtrado de paquetes BOOTP, TFTP y traceroute Permitir conexiones TCP slo si el origen es desde la red interna Permitir el resto de las conexiones de entrada que slo acceden a los servidores DMZ
32

Router y Seguridad

Trfico de entrada

Trfico de salida

Permitir slo los paquetes que tengan una direccin de origen procedente de la red interna para acceso a Internet Filtrar cualquier direccin IP que no est autorizada para salir de la red, como las definidas por las polticas de seguridad 33

Router y Seguridad
Trfico de salida

Trfico de entrada

Reglas generales
Desactivar los servicios, puertos y protocolos que no sean utilizados: en caso de que ninguno de los dispositivos lo
utilicen

Limitar el acceso a los servicios, puertos o protocolos:

con una ACL limitar el numero de usuarios o sistemas que los utilicen
34

Router y Seguridad
Lista de servicios
Servicio Puerto Transporte

Tcpmux Echo Discard Systat Daytime Netstat Bootp Tftp

1 7 9 11 13 15 69 93

Tcp y udp Tcp y udp Tcp y udp Tcp Tcp y udp Tcp Udp udp

35

Router y Seguridad
Conversin de direcciones Network Address Translation. Permite a un solo dispositivo (router), actuar como agente entre una red pblica y la red local.
Mantiene las direcciones IP internas se mantienen ocultas No informacin acerca de topologa y diseo de la red

Ofrece seguridad de permetro adicional

36

Router y Seguridad
Ventajas de NAT
Tabla NAT
10.1.1.7 172.70.2.10 Global Interna Local Interna

BRI0 171.1.1.1

Router

E0 10.1.7.1

Oculta direcciones IP Tabla de conversin de direcciones IP

Para el exterior solo se tiene un cierto rango de IPs, asignadas a las internas Para la salida se tiene una direccin IP pblica Para la LAN extiende el espacio de direcciones IP
37

Router y Seguridad
Protocolo de enrutamiento y filtrado de actualizacin Un posible ataque es enviar paquetes de actualizacin de enrutamiento falsos.
Alterar la tabla de enrutamiento Proteccin de la tabla:
Usar solo rutas estticas. Funciona para redes pequeas. Autenticar actualizaciones. Usar protocolos de enrutamiento con autenticacin. Asegura que la actualizacin es de una fuente legtima.
38

Router y Seguridad
Otro posible ataque es evitar que las actualizaciones sean enviadas o recibidas
Puede hacer que parte de la red no funcione Posible solucin:
Convergencia rpida Rutas de respaldo

Interfaces Pasivas Previene que otros routers aprendan las rutas dinmicamente Evita que ciertas zonas conozcan ciertas rutas

Autenticacin con MD5 para los protocolos: RIP OSPF EIGRP BGP

passive-interface

39

Router y Seguridad
Filtrado de trfico
S0/0 R2 E0/1 16.2.1.1 Servidor WEB pblico 10.2.2.3 Servidor de autenticacin 16.2.1.2 Usuario 16.2.1.3 E0/0 16.1.1.2

Oficina remota
R5 E0/0 9.1.1.1 E0/1 9.2.1.1 Usuario remoto 9.0.0.0/8

LAN corporativa 16.1.0.0/16 R1 E0/1 16.2.0.10 E0/0 16.1.1.1

Servidor de correo 10.2.2.4

Servidor de administracin 10.2.2.5

Usuario 10.2.2.6

R3 E0/0 16.1.10.1 E0/1 16.2.2.1 E0/0 16.2.2.2 R4 E0/1 16.2.3.1 LAN protegida 16.2.3.0/24

Servidor FTP/WEB 10.2.3.2

DMZ LAN 16.2.2.0/24 Usuario 10.2.3.3

DNS 16.1.1.4

40

Router y Seguridad
Filtrado de trfico
como regla general no se permite acceso a una red privada a ningn paquete IP con la direccin origen de ningn host interno o red.
E0/0 16.1.1.2
R2

E0/1 16.2.1.1

LAN de acceso remoto

Ejemplo: Cualquier paquete que contenga las siguientes direcciones en su campo de origen ser denegado: Direccin de la red interna 16.2.1.0. Direcciones del host local 127.0.0.0/8. Direcciones privadas reservadas (RFC 1918). Direccin de la red 192.0.2.0/24. Direccin de la red 169.254.0.0/16. En el rango de direcciones de multicast IP (224.0.0.0/24).
41

Router y Seguridad
Ejemplo: Cualquier paquete que contenga las siguientes direcciones en su campo de origen ser denegado: Direccin de la red interna 16.2.1.0. Direcciones del host local 127.0.0.0/8. Direcciones privadas reservadas (RFC 1918). Direccin de la red 192.0.2.0/24. Direccin de la red 169.254.0.0/16. En el rango de direcciones de multicast IP (224.0.0.0/24).
R2

E0/0 16.1.1.2

E0/1 16.2.1.1

LAN de acceso remoto

Router>en Router#config t Router(config)#access-list 150 deny ip 16.2.1.0 0.0.0.255 any log Router(config)#access-list 150 deny ip 127.0.0.0 255.255.255.255 any log Router(config)#access-list 150 deny ip 10.0.0.0 255.255.255.255 any log Router(config)#access-list 150 deny ip 0.0.0.0 255.255.255.255 any log Router(config)#access-list 150 deny ip 172.16.0.0 0.15.255.255 any log Router(config)#access-list 150 deny ip 10.0.0.0 0.255.255.255 any log Router(config)#access-list 150 deny 192.0.2.0 0.0.255.255 any log Router(config)#access-list 150 deny 169.254.0.0 0.0.255.255 any log Router(config)#access-list 150 deny 224.0.0.0 15.255.255.255 any log Router(config)#access-list 150 deny ip host 255.255.255.255 any log Router(config)#access-list 150 permit ip any 16.2.1.0 0.0.0.255 Router(config)#interface e0/0 Router(config-if)#ip address 16.1.1.2 255.255.0.0 Router(config-if)#ip access-group 150 in Router(config-if)#exit
42

Router y Seguridad
Administracin del Router IOS cuenta con varios comandos para implementar esquemas de seguridad. Soportan auditoria centralizada y administracin.
Tarea de administracin Logging Descripcin Local y remoto. Protocolos soportados: SNMP y syslog

Tiempo
Software y configuracin

El tiempo exacto es importante en auditoria. Soporta NTP

Contar con la ltima versin de software y enterarse de los cambios de configuracin.

43

Router y Seguridad
Logging Mensajes, niveles de severidad Contienen tres partes principales
Nivel
0 1 2 3 4 5 6 7

Nombre
Emergencies Alerts Critical Errors Warnings Notifications Informational Debugging

Descripcin
Router inservible Requiere accin inmediata Condicin crtica Condicin de error Codicin de aviso Evento normal aunque importante Mensaje informativo Mensaje de depuracin
44

Router y Seguridad
Logging Partes principales del mensaje
Hora del mensaje (timestamp)

Nombre del mensaje y nivel de severidad

Oct 29 10:00:01 EST: %SYS-5-CONFIG_I: Configured from console by vty0 (16.2.2.6)

Texto del mensaje

45

Router y Seguridad
Informacin que el log del router puede registrar Errores del sistema Cambios en la red Estado de las interfaces Fallos de identificacin Coincidencias en las listas de acceso Otros:
Cambios en la configuracin y reinicios Receptores del trfico que violan las listas de acceso Cambios en una interfaz y estado de la red Violaciones de seguridad criptogrfica
Cambio en el nivel de privilegio Cambio de contrasea Cambio de configuracin a travs de SMNP Nueva configuracin almacenada en NVRAM

Eventos:

46

Router y Seguridad
Metodos de registro de mensajes en el log Logging de consola
Mensaje enviado a la consola No almacena los mensajes til para el operador

Logging de lnea de terminal

Enva el mensaje a cualquier lnea (sesin exec) No persistente

Logging syslog
Envia los mensajes a un servicio SYSLOG Almacena los mensajes en un archivo

Logging en bfer
Almacenamiento de mensajes en un bfer de memoria Acceso desde sesin exec Se borra en el reinicio

Logging de interrupcin
Mensajes de interrupcin SMNP Permite el monitoreo del router
47

Router y Seguridad
Administracin remota por SSH Administracin remota es critica, algunas veces es necesaria.
Telnet, puerto TCP 23 Trafico no seguro (no cifrado)

Secure Shell, Shell

Alternativa para telnet. Funcionalidad de telnet. Trafico de datos cifrado. Conexiones con privacidad e integridad de la sesin. Conexiones seguras sobre una red insegura.
48

Router y Seguridad
Administracin por Secure Shell, sHell

49

Router y Seguridad
Tipos de SSH Dos versiones SSH v1 y SSH v2
Solo se puede implementar SSH v1

Permite la configuracin remota de forma segura:

Conectar un router con mltiples vtys. Simplificar la conectividad con el rouer desde cualquier parte. Marcacin segura desde un modem Autenticacin.

Cliente y servidor SSH

50

Router y Seguridad
Cliente SSH
Aplicacin ejecutada sobre SHH v1 que proporciona autenticacin y cifrado Permite conexin con cualquier otro dispositivo configurado como servidor SSH v1 Soporta cifrado:
DES 3DES Autenticacin de contrasea.
Sesin de telnet

51

Router y Seguridad
Servidor SSH
Permite a cualquier cliente SSH establecer una conexin segura y cifrada. Trabaja con clientes SSH pblicos y comerciales El router acta como cliente y servidor SSH.

52

Router y Seguridad
Servidor SSH 1. Configurar el hostname 2. Configurar el ip domain name 3. Generar la llave de cifrado (RSA)
Para eliminar la llave RSA usar el comando crypto key zeroize rsa (deshabilita el servidor SSH)

4. 5.

Configurar parametros de control de SSH Definir el usuario y contrasea

1. Configurar las lneas para usar SSH

53

Switch, seguridad y el acceso a la red

La seguridad de la LAN es importante Ataques desde la LAN Switches son la primera defensa
Requieren proteccin

Incorporacin de WLAN
Seguridad; factor mas importante

La mayora de las configuraciones seguras se encuentran en los switches basados en IOS

Algunos tienen comandos de menu
54

Switch, seguridad y el acceso a la red

Seguridad en los switches de capa 2: Seguridad de puerto:
Limitar direcciones MAC Autenticacion basada en puerto (802.1x)

VLAN:
Administracin PVLAN

Monitoreo:
SMNP SPAN

Listas de acceso:
ACL de puerto ACL de router ACL de VLAN
55

56