Asegurando los Dispositivos de Red.

2012 Cisco and/or its affiliates. All rights reserved.

 El gran cambio es que ahora se tienen interfaces GigabitEthernet

http://www.cisco.com/en/US/products/ps10906/Products_Sub_Category_Home.html#

2012 Cisco and/or its affiliates. All rights reserved.

 Escenario 1:
El router protege la LAN.
Internet

Router 1 (R1) LAN 1

192.168.2.0

Scenario 1
Escenario 2:
El router recibe el trafico antes de un firewall (PIX/ASA).
R1 Internet Firewall LAN 1
192.168.2.0

Scenario 2
Escenario 3:
La zona conectada al firewall es llamada DMZ. Los equipos que se acceden desde Internet son localizados en esta DMZ.
2012 Cisco and/or its affiliates. All rights reserved.

R1 Internet

Firewall

R2

LAN 1
192.168.2.0

DMZ

Scenario 3
3

 La seguridad fsica
Instalar los equipos de infraestructura en una habitacin cerrada con llave Instalar un sistema de alimentacin ininterrumpida (UPS) y mantener los componentes de repuesto disponibles para reducir la posibilidad de un ataque DoS.

Sistema Operativo
Configure el router con la mayor cantidad de memoria posible. Utilizar la ltima versin estable del sistema operativo que cumpla con los requisitos de caractersticas de la red. Guardar una copia de seguridad de la imagen del router sistema operativo y el archivo de configuracin del router como una copia de seguridad.

2012 Cisco and/or its affiliates. All rights reserved.

 Robustez del Router

Control administrativo seguro para garantizar que slo el personal autorizado tenga acceso y que su nivel de acceso est controlado. Deshabilitar los puertos e interfaces no utilizados a fin de reducir el nmero de maneras que se puede acceder al dispositivo. Desactivar los servicios innecesarios que pueden ser utilizados por un atacante para obtener informacin o para la explotacin.

R1

2012 Cisco and/or its affiliates. All rights reserved.

 Restringir el acceso a dispositivo Iniciar y dar cuenta de todos los accesos Autenticar el acceso Autorizar las acciones Aviso Legal Actual Garantizar la confidencialidad de los datos

2012 Cisco and/or its affiliates. All rights reserved.

Asegurar el acceso administrativo

2012 Cisco and/or its affiliates. All rights reserved.

 Todos los routers necesitan una contrasea local para el acceso

al nivel privilegiado y a otros accesos.

R1(config)# enable secret cisco

R1(config)# line vty 0 4 R1(config-line)# password cisco R1(config-line)# login

R1(config)# line aux 0 R1(config-line)# password cisco R1(config-line)# login

R1

R1(config)# line con 0 R1(config-line)# password cisco R1(config-line)# login

2012 Cisco and/or its affiliates. All rights reserved.

 Modificar las contraseas frecuentemente. Las reglas locales pueden hacer que las contraseas sean ms

segura.

2012 Cisco and/or its affiliates. All rights reserved.

 Bsicamente una oracin / frase que sirve como contrasea ms segura.

Por ejemplo:
My favorite spy is James Bond 007. Fly me to the moon. And let me play among the stars. = MfsiJB007. = FmttmAlmpats.

2012 Cisco and/or its affiliates. All rights reserved.

10

 Utilice una longitud de contrasea de 10 caracteres o ms. Haga contraseas complejas mediante la inclusin de una combinacin

de letras maysculas y minsculas, nmeros, smbolos y espacios.

Evite contraseas basadas en secuencias de repeticin, palabras del

diccionario, letras o nmeros, nombres de usuario, nombres de mascotas o relativos, informacin biogrfica, como fechas de nacimiento, nmeros de identificacin, nombres de los antepasados, u otras piezas fcilmente identificables de la informacin.
Intencionadamente cree una mala contrasea.
Por ejemplo, Smith = Smyth = 5mYth o Security = 5ecur1ty .

Cambie las contraseas con frecuencia por lo que si una contrasea se

ve comprometida, sin saberlo, la ventana de oportunidad para que el atacante utilice la contrasea es limitado.
No escriba contraseas y dejarlas en lugares obvios, como en el

escritorio o un monitor.

2012 Cisco and/or its affiliates. All rights reserved.

11

 Para aumentar la seguridad de las contraseas, se debe utilizar

los siguientes comandos del Cisco IOS:

Longitud mnima de caracteres : security passwords min-length. Desactivar las conexiones sin actividad: exec-timeout. Encriptar las contraseas del archivo de configuracin: service password-encryption.

Nota:
El comando exec-timeout 0 0 que no habr tiempo de espera y la sesin permanecer activa durante un tiempo ilimitado.

2012 Cisco and/or its affiliates. All rights reserved.

12

 Por defecto son 10 minutos. Finaliza una conexin desatendida (consola o vty). Ofrece un nivel adicional de seguridad si el administrador se aleja

de una sesin de consola activa.

Router(config-line)# exec-timeout minutes [seconds]

Para finalizar una conexin de consola desatendida despus de 3 minutos y 30 segundos:

Sudbury(config)# line console 0 Sudbury(config-line)# exec-timeout 3 30

Para deshabilitar conexiones una linea particular:

Sudbury(config)# line aux 0 Sudbury(config-line)# no exec-timeout

2012 Cisco and/or its affiliates. All rights reserved.

13

Router(config)# service password-encryption R1(config)# service password-encryption R1(config)# exit R1# show running-config enable password 7 06020026144A061E ! line con 0 password 7 094F471A1A0A login ! line aux 0 password 7 01100F175804575D72 login line vty 0 4 password 7 03095A0F034F38435B49150A1819 login

2012 Cisco and/or its affiliates. All rights reserved.

14

 Configuracin de usuario tradicional con contrasea en texto plano.

username name password {[0] password | 7 hidden-password}

El uso de hash MD5 para la proteccin de contrasea segura. Ms seguro que el cifrado de tipo 7.
username name secret {[0] password | encrypted-secret}

2012 Cisco and/or its affiliates. All rights reserved.

15

R1# conf t R1(config)# username JR-ADMIN password letmein % Password too short - must be at least 10 characters. Password configuration failed R1(config)# username JR-ADMIN password cisco12345 R1(config)# username ADMIN secret cisco54321 R1(config)# line con 0 R1(config-line)# login local

R1# show run | include username username JR-ADMIN password 7 060506324F41584B564347 username ADMIN secret 5 $1$G3oQ$hEvsd5iz76WJuSJvtzs8I0 R1#

R1 con0 is now available Press RETURN to get started. User Access Verification Username: ADMIN Password: R1>

2012 Cisco and/or its affiliates. All rights reserved.

16

R1# configure terminal R1(config)# username ADMIN secret cisco54321 R1(config)# line vty 0 4 R1(config-line)# login local R1(config)# exit R1(config)# login block-for 120 attempts 5 within 60 R1(config)# ip access-list standard PERMIT-ADMIN R1(config-std-nacl)# remark Permit only Administrative hosts R1(config-std-nacl)# permit 192.168.10.10 R1(config-std-nacl)# permit 192.168.11.10 R1(config-std-nacl)# exit R1(config)# login quiet-mode access-class PERMIT-ADMIN R1(config)# login delay 10 R1(config)# login on-success log R1(config)# login on-failure log R1(config)# exit

2012 Cisco and/or its affiliates. All rights reserved.

17

R1# show login A login delay of 10 seconds is applied. Quiet-Mode access list PERMIT-ADMIN is applied. Router enabled to watch for login Attacks. If more than 5 login failures occur in 60 seconds or less, logins will be disabled for 120 seconds. Router presently in Normal-Mode. Current Watch Window Time remaining: 5 seconds. Login failures for current window: 4. Total login failures: 4.

2012 Cisco and/or its affiliates. All rights reserved.

18

R1# *Dec 10 15:38:54.455: %SEC_LOGIN-1-QUIET_MODE_ON: Still timeleft for watching failures is 12 secs, [user: admin] [Source: 10.10.10.10] [localport: 23] [Reason: Login Authentication Failed - BadUser] [ACL: PERMIT-ADMIN] at 15:38:54 UTC Wed Dec 10 2008 R1# show login A login delay of 10 seconds is applied. Quiet-Mode access list PERMIT-ADMIN is applied. Router enabled to watch for login Attacks. If more than 5 login failures occur in 60 seconds or less, logins will be disabled for 120 seconds. Router presently in Quiet-Mode. Will remain in Quiet-Mode for 105 seconds. Restricted logins filtered by applied ACL PERMIT-ADMIN. R1#

2012 Cisco and/or its affiliates. All rights reserved.

19

R1# show login failures Total failed logins: 22 Detailed information about last 50 failures Username admin Admin admin cisco R1# SourceIPAddr 1.1.2.1 10.10.10.10 10.10.10.10 10.10.10.10 lPort 23 23 23 23 Count 5 13 3 1 TimeStamp 15:38:54 UTC 15:58:43 UTC 15:57:14 UTC 15:57:21 UTC

Wed Wed Wed Wed

Dec Dec Dec Dec

10 10 10 10

2011 2011 2011 2011

In this example, the command identifies the number of failures,

usernames tried, and offending IP addresses with a timestamp added to each unsuccessful attempt.

2012 Cisco and/or its affiliates. All rights reserved.

20

 Los mensajes de Banner deben implementarse para advierten a

los posibles intrusos que no son bienvenidos en la red.

2012 Cisco and/or its affiliates. All rights reserved.

21

 Especifique lo que es uso apropiado" del sistema. Especificar que el sistema se est supervisando. Especifica que la privacidad no debe esperarse cuando se utiliza

este sistema.
No use la palabra "bienvenido. El departamento legal ha revisado el contenido del mensaje.
Router(config)# banner {exec | incoming | login | motd | slip-ppp} d message d

2012 Cisco and/or its affiliates. All rights reserved.

22

 Paso 1: Configure el nombre de

dominio IP. via

Paso 2: Genere llaves RSA de una Paso 3: Crear un username en la

base de datos local. entrantes via SSH.

Paso 4: Habilitar sesiones

R1# conf t R1(config)# ip domain-name span.com R1(config)# crypto key generate rsa general-keys modulus 1024 The name for the keys will be: R1.span.com % The key modulus size is 1024 bits % Generating 1024 bit RSA keys, keys will be non-exportable...[OK] R1(config)# *Dec 13 16:19:12.079: %SSH-5-ENABLED: SSH 1.99 has been enabled R1(config)# username Bob secret cisco R1(config)# line vty 0 4 R1(config-line)# login local R1(config-line)# transport input ssh R1(config-line)# exit

2012 Cisco and/or its affiliates. All rights reserved.

23

 Versin de SSH
ip ssh version {1 | 2} ip ssh authentication-retries integer ip ssh time-out seconds

Numero de reintentos de autenticacin Periodo de timeout SSH.

2012 Cisco and/or its affiliates. All rights reserved.

24

R1# show ip ssh SSH Enabled - version 1.99 Authentication timeout: 120 secs; Authentication retries: 3 R1# R1# conf t Enter configuration commands, one per line. End with CNTL/Z. R1(config)# ip ssh version 2 R1(config)# ip ssh authentication-retries 2 R1(config)# ip ssh time-out 60 R1(config)# ^Z R1# R1# show ip ssh SSH Enabled - version 2.0 Authentication timeout: 60 secs; Authentication retries: 2 R1#

2012 Cisco and/or its affiliates. All rights reserved.

25

R2 establishes an SSH connection with R1.

R2# ssh -l Bob 192.168.2.101 Password: R1>

There are no current SSH sessions ongoing with R1.

R1# sho ssh %No SSHv2 server connections running. %No SSHv1 server connections running. R1# There is an incoming and outgoing SSHv2 session with user Bob.

R1# sho ssh Connection Version Mode Encryption Hmac Username 0 2.0 IN aes128-cbc hmac-sha1 0 2.0 OUT aes128-cbc hmac-sha1 %No SSHv1 server connections running. R1#

State Session started Session started Bob Bob

2012 Cisco and/or its affiliates. All rights reserved.

26

 2012 Cisco and/or its affiliates. All rights reserved.

27

 2012 Cisco and/or its affiliates. All rights reserved.

28

 2012 Cisco and/or its affiliates. All rights reserved.

29

 2012 Cisco and/or its affiliates. All rights reserved.

30

 2012 Cisco and/or its affiliates. All rights reserved.

31

 2012 Cisco and/or its affiliates. All rights reserved.

32

 2012 Cisco and/or its affiliates. All rights reserved.

33