Académique Documents
Professionnel Documents
Culture Documents
Dispositivos de Red
Introduccin Seguridad
No se debe iniciar hablando sobre seguridad en las redes sin antes comenzar con temas como:
Desarrollar procedimientos o normas de seguridad Hablar sobre las 3A AAA Establecer niveles de seguridad para acceder a los routers (configuracin) Comentar sobre los dispositivos de seguridad
Las 3 A
Bsicamente las 3 A son componentes bsicos de seguridad, entre los que se define:
Autenticacin Autorizacin Auditora o Contabilidad
Autenticacin
En esta etapa se identifica quien solicita los servicios de red. Por lo general se solicita un usuario y contrasea que un servidor autentica. Actualmente se utilizan claves dinmicas o de un solo uso como un PIN.
Autorizacin
En la etapa anterior, la autenticacin controla quien puede acceder a los recursos de red, pero la autorizacin dice lo que pueden hacer cuando acceden los recursos. La autorizacin varia de usuario a usuario dependiendo de los derechos que requiera el solicitante.
Auditora
Se requiere procedimientos que recopilen los datos de la actividad de la red. Esto responde a los incidentes que pueden suceder en una red. Normalmente se debe incluir los intentos de autenticacin y autorizacin, conocidos como pistas de auditora.
Seguridad en el Router
Para establecer autenticacin a nivel del router, se debe pensar primero en establecer una contrasea para el modo de conexin de consola. Cada dispositivo debe tener contraseas configuradas a nivel local para limitar el acceso.
Nota: El comando enable password puede usarse slo si enable secret no se ha configurado an o si no lo soporta el IOS.
Amenazas a la seguridad
Hoy en da existen muchos mecanismos para saltar esas barreras que usualmente los administradores de red colocan en sus redes. Actualmente se pueden crackear las contraseas almacenadas nivel 7 de Cisco, por lo tanto se recomienda usar enable secret password Se recomienda el nivel de password 5, basado en MD5.
Amenazas a la Seguridad
El comando para encriptar una contrasea utilizando el nivel de encripcin 5 es:
enable secret [level level] {password | [encryptiontype] encrypted-password}
Mensajes de Aviso
Aunque la solicitud de contraseas es un modo de impedir el acceso a la red de personas no autorizadas, resulta vital proveer un mtodo para informar que slo el personal autorizado debe intentar obtener acceso al dispositivo. El contenido o las palabras exactas de un aviso dependen de las leyes locales y de las polticas de la empresa.
Mensajes de Aviso
Amenazas a la Seguridad
Amenazas a la Seguridad
Pginas como esas y muchas otras indican cmo se descifra una contrasea nivel 7. Existen password decoders que utilizan fuerza bruta que descifran las contraseas en minutos, das, meses y hasta aos.
Cantidad de Caracteres
6 7 8 9 10
26 - Letras Minsculas
51 minutos 22,3 horas 24 das 21 meses 54 aos
36 - Letras y Dgitos
6 horas 9 das 10,5 meses 32,6 aos 1.160 aos
52 Maysculas y Minsculas 2,3 das 4 meses 17 aos 890 aos 45.840 aos
Longitud mnima. Mezcla de diferentes caracteres No usar palabras del diccionario. Cambiar la contrasea con frecuencia.
Generador de Contraseas
til para contraseas de Windows, dispositivos inalmbricos, email, etc.
Diccionario de contraseas
Amenazas a la Seguridad
No es una constante, pero Cisco advierte de vulnerabilidades en su IOS cada cierto tiempo. Entre las vulnerabilidades se puede presentar denegacin de servicio u obtener informacin de la red atacada, entre otras.
Proteccin y Seguridad
Exiten muchos servicios habilitados por defecto en los routers Cisco, muchos de ellos innecesarios, por lo que se recomienda deshabilitarlos, entre los cuales se encuentran:
1. Deshabilitar interfaces del router (shutdown) 2. Servicio CDP, utilizado para cargar ciertos ataques. 3. Servicio Gratuitous ARP, utilizado para ataques de envenenamiento ARP. 4. Y muchos mas.
Mitigacin en AAA
Al utilizar el modelo de seguridad con las AAA, es recomendable utilizar mecanismos seguros como RADIUS y TACACS+. Para RADIUS existe software IAS de Microsoft. TACACS, es una solucin propietaria de Cisco para la autenticacin.