Escolar Documentos
Profissional Documentos
Cultura Documentos
http://www.cisco.com/en/US/products/ps10906/Products_Sub_Category_Home.html#
Escenario 1:
El router protege la LAN.
Internet
Scenario 1
Escenario 2:
El router recibe el trafico antes de un firewall (PIX/ASA).
R1 Internet Firewall LAN 1
192.168.2.0
Scenario 2
Escenario 3:
La zona conectada al firewall es llamada DMZ. Los equipos que se acceden desde Internet son localizados en esta DMZ.
2012 Cisco and/or its affiliates. All rights reserved.
R1 Internet
Firewall
R2
LAN 1
192.168.2.0
DMZ
Scenario 3
3
La seguridad fsica
Instalar los equipos de infraestructura en una habitacin cerrada con llave Instalar un sistema de alimentacin ininterrumpida (UPS) y mantener los componentes de repuesto disponibles para reducir la posibilidad de un ataque DoS.
Sistema Operativo
Configure el router con la mayor cantidad de memoria posible. Utilizar la ltima versin estable del sistema operativo que cumpla con los requisitos de caractersticas de la red. Guardar una copia de seguridad de la imagen del router sistema operativo y el archivo de configuracin del router como una copia de seguridad.
R1
Restringir el acceso a dispositivo Iniciar y dar cuenta de todos los accesos Autenticar el acceso Autorizar las acciones Aviso Legal Actual Garantizar la confidencialidad de los datos
R1
Modificar las contraseas frecuentemente. Las reglas locales pueden hacer que las contraseas sean ms
segura.
Por ejemplo:
My favorite spy is James Bond 007. Fly me to the moon. And let me play among the stars. = MfsiJB007. = FmttmAlmpats.
10
Utilice una longitud de contrasea de 10 caracteres o ms. Haga contraseas complejas mediante la inclusin de una combinacin
diccionario, letras o nmeros, nombres de usuario, nombres de mascotas o relativos, informacin biogrfica, como fechas de nacimiento, nmeros de identificacin, nombres de los antepasados, u otras piezas fcilmente identificables de la informacin.
Intencionadamente cree una mala contrasea.
Por ejemplo, Smith = Smyth = 5mYth o Security = 5ecur1ty .
ve comprometida, sin saberlo, la ventana de oportunidad para que el atacante utilice la contrasea es limitado.
No escriba contraseas y dejarlas en lugares obvios, como en el
escritorio o un monitor.
11
Nota:
El comando exec-timeout 0 0 que no habr tiempo de espera y la sesin permanecer activa durante un tiempo ilimitado.
12
Por defecto son 10 minutos. Finaliza una conexin desatendida (consola o vty). Ofrece un nivel adicional de seguridad si el administrador se aleja
13
Router(config)# service password-encryption R1(config)# service password-encryption R1(config)# exit R1# show running-config enable password 7 06020026144A061E ! line con 0 password 7 094F471A1A0A login ! line aux 0 password 7 01100F175804575D72 login line vty 0 4 password 7 03095A0F034F38435B49150A1819 login
14
El uso de hash MD5 para la proteccin de contrasea segura. Ms seguro que el cifrado de tipo 7.
username name secret {[0] password | encrypted-secret}
15
R1# conf t R1(config)# username JR-ADMIN password letmein % Password too short - must be at least 10 characters. Password configuration failed R1(config)# username JR-ADMIN password cisco12345 R1(config)# username ADMIN secret cisco54321 R1(config)# line con 0 R1(config-line)# login local
R1# show run | include username username JR-ADMIN password 7 060506324F41584B564347 username ADMIN secret 5 $1$G3oQ$hEvsd5iz76WJuSJvtzs8I0 R1#
R1 con0 is now available Press RETURN to get started. User Access Verification Username: ADMIN Password: R1>
16
R1# configure terminal R1(config)# username ADMIN secret cisco54321 R1(config)# line vty 0 4 R1(config-line)# login local R1(config)# exit R1(config)# login block-for 120 attempts 5 within 60 R1(config)# ip access-list standard PERMIT-ADMIN R1(config-std-nacl)# remark Permit only Administrative hosts R1(config-std-nacl)# permit 192.168.10.10 R1(config-std-nacl)# permit 192.168.11.10 R1(config-std-nacl)# exit R1(config)# login quiet-mode access-class PERMIT-ADMIN R1(config)# login delay 10 R1(config)# login on-success log R1(config)# login on-failure log R1(config)# exit
17
R1# show login A login delay of 10 seconds is applied. Quiet-Mode access list PERMIT-ADMIN is applied. Router enabled to watch for login Attacks. If more than 5 login failures occur in 60 seconds or less, logins will be disabled for 120 seconds. Router presently in Normal-Mode. Current Watch Window Time remaining: 5 seconds. Login failures for current window: 4. Total login failures: 4.
18
R1# *Dec 10 15:38:54.455: %SEC_LOGIN-1-QUIET_MODE_ON: Still timeleft for watching failures is 12 secs, [user: admin] [Source: 10.10.10.10] [localport: 23] [Reason: Login Authentication Failed - BadUser] [ACL: PERMIT-ADMIN] at 15:38:54 UTC Wed Dec 10 2008 R1# show login A login delay of 10 seconds is applied. Quiet-Mode access list PERMIT-ADMIN is applied. Router enabled to watch for login Attacks. If more than 5 login failures occur in 60 seconds or less, logins will be disabled for 120 seconds. Router presently in Quiet-Mode. Will remain in Quiet-Mode for 105 seconds. Restricted logins filtered by applied ACL PERMIT-ADMIN. R1#
19
R1# show login failures Total failed logins: 22 Detailed information about last 50 failures Username admin Admin admin cisco R1# SourceIPAddr 1.1.2.1 10.10.10.10 10.10.10.10 10.10.10.10 lPort 23 23 23 23 Count 5 13 3 1 TimeStamp 15:38:54 UTC 15:58:43 UTC 15:57:14 UTC 15:57:21 UTC
10 10 10 10
usernames tried, and offending IP addresses with a timestamp added to each unsuccessful attempt.
20
21
Especifique lo que es uso apropiado" del sistema. Especificar que el sistema se est supervisando. Especifica que la privacidad no debe esperarse cuando se utiliza
este sistema.
No use la palabra "bienvenido. El departamento legal ha revisado el contenido del mensaje.
Router(config)# banner {exec | incoming | login | motd | slip-ppp} d message d
22
23
Versin de SSH
ip ssh version {1 | 2} ip ssh authentication-retries integer ip ssh time-out seconds
24
R1# show ip ssh SSH Enabled - version 1.99 Authentication timeout: 120 secs; Authentication retries: 3 R1# R1# conf t Enter configuration commands, one per line. End with CNTL/Z. R1(config)# ip ssh version 2 R1(config)# ip ssh authentication-retries 2 R1(config)# ip ssh time-out 60 R1(config)# ^Z R1# R1# show ip ssh SSH Enabled - version 2.0 Authentication timeout: 60 secs; Authentication retries: 2 R1#
25
R1# sho ssh %No SSHv2 server connections running. %No SSHv1 server connections running. R1# There is an incoming and outgoing SSHv2 session with user Bob.
R1# sho ssh Connection Version Mode Encryption Hmac Username 0 2.0 IN aes128-cbc hmac-sha1 0 2.0 OUT aes128-cbc hmac-sha1 %No SSHv1 server connections running. R1#
26
27
28
29
30
31
32
33