Configuracin bsica de un Switch Cisco 2960

LINK: http://www.redesymas.org/2011/04/manual-de-comandos-basicos-de-switches.html
Esta pequea gua de comandos incluye algunas de las configuraciones bsicas que se
realizan en switches de capa de acceso de una red lan, que implemente vlan. Encontraras
informacin sobre configuracin de vlan, enlaces troncales, configuraciones bsicas de las
interfaces, configuracin de contraseas a las terminales, acceso remoto a los dispositivos
entre otros.
Configuracin bsica de un Switch Cisco 2960
Configuracin de nombre
----------------------------------------------------------------------------------------------------------Switch# enable
Switch# configure terminal
Switch(config)# hostname Sw1_Central
Configuracin de usuario y contrasea de enable
----------------------------------------------------------------------------------------------------------Sw#1_Centra# configure terminal
Sw#1_Central(config)# username admin pasword cisco
Sw#1_Central(config)# enable secret cisco ( ojo no se recomienda esta password)
Nota: si se desea que el usuario tenga privilegios de administracin desde el comienzo el
comando sera el siguiete: username admin privilege 15 pasword cisco

Configuracin de IP administrativa
----------------------------------------------------------------------------------------------------------Sw#1_Central# configure terminal
Sw#1_Central(config)# interface vlan 1
Sw#1_Central(config-if)# ip address 192.168.50.20 255.255.255.0
Sw#1_Central(config-if)# no shutdown
Creacin de Vlans
----------------------------------------------------------------------------------------------------------Sw#1_Central# configure terminal
Sw#1_Central(config-if)# vlan 200
Sw#1_Central(config-vlan)# name Test

Enrutamiento Tradicional

Enrutamiento entre Vlans:

http://www.redesymas.org/2011/04/intervlan-routing.html
Enrutamiento entre Vlans: con Switches Cisco Capa 3.
http://www.redesymas.org/2011/06/enrutamiento-entre-vlan-con-switches.html
Configuracin de Puertos Trunk
----------------------------------------------------------------------------------------------------------Sw#1_Central#configure terminal
Sw#1_Central(config)# interface g0/1
Sw#1_Central(config-if)# switchport mode trunk
Sw#1_Central(config-if# switchport trunk allowed vlan add all
Sw#1_Central(config-if))# description <>
Configuracin de interfaces
----------------------------------------------------------------------------------------------------------Sw#1_Central#configure terminal
Sw#1_Central(config)# interface f0/1
Sw#1_Central(config-if)# switchport mode access
Sw#1_Central(config-if)# switchport access vlan 2 {2-1001} (si se va asignar alguna vlan)
Sw#1_Central(config-if)# speed 100 {10, 100, auto}
Sw#1_Central(config-if)# duplex full {full, half o auto}
Sw#1_Central(config-if))# description <>
Configuracin de un rango de interfaces
----------------------------------------------------------------------------------------------------------Sw#1_Central#configure terminal
Sw#1_Central(config)# interface range f0/1 10 (realizar config del 1 al 10)
Sw#1_Central(config-if)# switchport mode access
Sw#1_Central(config-if)# switchport access vlan 2 {2-1001} (si se va asignar alguna vlan)
Configuracin de agente snmp
----------------------------------------------------------------------------------------------------------Sw#1_Central#configure terminal
Sw#1_Central(config)# snmp-server community public RO (No se recomienda utilizar
public)
Configuracin de acceso remoto al switch por medio de telnet
----------------------------------------------------------------------------------------------------------Sw#1_Central#configure terminal
Sw#1_Central(config)# line vty 0 4
Sw#1_Central(config-line)# login local

Configuracin de contraseas a la Consola

----------------------------------------------------------------------------------------------------------Sw#1_Central#configure terminal
Sw#1_Central(config)# line console 0
Sw#1_Central(config-line)# password contrasea
Configuracin bsica de un Switch Dell 3424
Configuracin de nombre
----------------------------------------------------------------------------------------------------------Switch> enable
Switch# configure
Switch(config)# hostname Sw1_Central
Configuracin de usuario y contrasea de enable
----------------------------------------------------------------------------------------------------------Sw#1_Centra# configure
Sw#1_Central(config)# username admin pasword dell level 15
Sw#1_Central(config)# enable secret dell ( ojo no se recomienda esta password)
Configuracin de IP administrativa
----------------------------------------------------------------------------------------------------------Sw#1_Central# configure
Sw#1_Central(config)# interface vlan 1
Sw#1_Central(config-if)# ip address 192.168.50.20 255.255.255.0
Sw#1_Central(config-if)# no shutdown
Creacin de Vlans
----------------------------------------------------------------------------------------------------------Sw#1_Central# configure
Sw#1_Central(config)# vlan database
Sw#1_Central(config-if)# vlan 200
Sw#1_Central(config-vlan)# name RRHH
Configuracin de Puertos Trunk
----------------------------------------------------------------------------------------------------------Sw#1_Central#configure
Sw#1_Central(config)# interface ethernet g1 { e e1 o e g1}
Sw#1_Central(config-if)# switchport mode trunk
Sw#1_Central(config-if# switchport trunk allowed vlan add all

Sw#1_Central(config-if))# description Enlace a Sw#2

Configuracin de interfaces
----------------------------------------------------------------------------------------------------------Sw#1_Central(config)# interface e e1
Sw#1_Central(config-if)# switchport mode access
Sw#1_Central(config-if)# switchport access vlan 2 (si se va asignar alguna vlan)
Sw#1_Central(config-if)# speed 100 {10, 100, auto}
Sw#1_Central(config-if)# duplex full {full, half o auto}
Sw#1_Central(config-if))# description PC-Marcos
Configuracin de un rango de interfaces
----------------------------------------------------------------------------------------------------------Sw#1_Central#configure
Sw#1_Central(config)# interface range e e(1-10) (realizar config del 1 al 10)
Sw#1_Central(config-if)# switchport mode access
Sw#1_Central(config-if)# switchport access vlan 2 (si se va asignar alguna vlan)
Configuracin de agente snmp
----------------------------------------------------------------------------------------------------------Sw#1_Central#configure
Sw#1_Central(config)# snmp-server community public RO
Configuracin de acceso remoto al switch por medio de telnet
Sw#1_Central#configure
Sw#1_Central(config)# line vty 0 4
Sw#1_Central(config-line)# login local
Configuracin de contraseas a la Consola
----------------------------------------------------------------------------------------------------------Sw#1_Central#configure
Sw#1_Central(config)# line console 0
Sw#1_Central(config-line)# password contrasea
Configuracin bsica de NAT
Link: http://www.redesymas.org/2011/05/configuracion-basica-de-nat-network.html#more
En la configuracin bsica de NAT, todos los equipos de la red interna, compartirn la
misma direccin IP de la interface publica. Los enrutadores cisco permiten realizar la
configuracion de NAT de una manera bien sencilla.
http://1.bp.blogspot.com/QTw5KKcq7gM/TchsnyQSX1I/AAAAAAAAAG4/4QizBlBkj-8/s1600/NAT1.png

pre.cjk { font-family: "Droid Sans Fallback",monospace; }p { margin-bottom: 0.21cm; }

Configuracin General de NAT (Lista de Control)
-------------------------------------------Router#configure terminal
Router(config)#access-list 90 permit 192.168.1.0 0.0.0.255
Router(config)#access-list 90 permit 192.168.2.0 0.0.0.255
Router(config)#ip nat inside source list 90 interface Ethernet0/0
overload
Configuracin de la Interface F1/0 (LAN 1)
-------------------------------------------Router(config)#interface FastEthernet1/0
Router(config-if)#ip address 192.168.1.1 255.255.255.0
Router(config-if)#ip nat inside
Router(config-if)#exit
Configuracin de la Interface F1/0 (LAN 2)
-------------------------------------------Router(config)#interface FastEthernet1/1
Router(config-if)#ip address 192.168.2.1 255.255.255.0
Router(config-if)#ip nat inside
Router(config-if)#exit
Configuracin de la Interface F0/0 (Internet)
-------------------------------------------Router(config)#interface FastEthernet0/0
Router(config-if)#ip address 172.16.10.1 255.255.255.252
Router(config-if)#ip nat outside
Router(config-if)#end
Router#

En este ejemplo el enrutador cisco realiza la re-escritura de la direccin ip publica a todos

los dispositivos que se encuentran en ambas redes internas (LAN1 y LAN2). Cuando los
dispositivos se conecten a los equipos en Internet, parecern que estos lo hacen con la
direccin ip 172.16.10.1
El siguiente comando le indica al enrutador que deber de traducir cualquier direccin que
coincida con la lista de control de acceso 90. El enrutador realiza la traduccin de todos los
dispositivos con la direccin de la interface f0/0, o mejor dicho por la interface de red
conectada a la red publica.
Router(config)#ip nat inside source list 90 interface F0/0 overload

La palabra clave overload no es necesario indicarla pues el enrutador automticamente

configura la opcin.
La configuracin o el funcionamiento de NAT es confuso para algunos usuarios debido a
que por lo general lo relacionan con funciones de un firewall

Herramienta de monitoreo de redes PRTG Network Monitor

Link:
http://www.es.paessler.com/network_monitoring_tool

Comandos Basicos Conf. Router Cisco ( CCNA )

Link:

http://foro.el-hacker.com/f35/comandos-basicos-conf-router-cisco-ccna-46237
http://www.buenastareas.com/ensayos/Comandos-Basicos-Cisco/125037.html

Auditora de Routers y Switches

http://www.wikilearning.com/monografia/auditoria_de_routers_y_switches/3448-1

1 - Resumen
====== El presente documento pretende ser un anlisis detallado sobre la utilizacin de
software (en especial RAT Router Audit Tool), para descubrir las vulnerabilidades que
tiene un enrutador (en particular Cisco 2500) al ser configurado por defecto, y se
presentan los pasos necesarios para la realizacin de hardening (aseguramiento) del
dispositivo en mencin, que permite establecer un diagnstico sobre posibles ataques. As
mismo se har una breve descripcin de lo que sucede con los switches (en partcular Intel
410T Standalone), esta descripcin tendr que ver principalmente con el aseguramiento
fsico del dispositivo. ======

2 - Introduccin
El presente documento pretende estudiar la importancia de la auditora de routers y
switches, procurando examinar los temas pertinentes a la revisin de los dispositivos antes
y despus de ser asegurados. El router es analizado con ms detenimiento, teniendo en
cuenta la importancia de las posibilidades que provee, mientras que el switch es estudiado
desde un punto de vista ms fsico que lgico. Es importante resaltar que el tratamiento del
aseguramiento es un tema muy importante en la actividad de un administrador de
seguridad, ya que permite identificar las vulnerabilidades de los dispositivos y por ende
desarrollar las herramientas y medidas necesarias para minimizar los riesgos ante posibles
amenazas.
El presente estudio se compone de cuatro secciones. La primera, presenta los objetivos
establecidos para la investigacin, la siguiente analiza las vulnerabilidades del enrutador al
ser configurado por defecto, establece el mecanismo para realizar su aseguramiento, y
verifica el mejoramiento del sistema con la nueva configuracin. En la tercera seccin se
menciona la configuracin por defecto del switch, y finalmente se concluye

3 - Objetivos
Revisar los conceptos del router y su configuracin por defecto para analizar que
aseguramiento tiene en sta configuracin.

 Utilizar la herramienta RAT para la identificacin de las vulnerabilidades del router y su

aseguramiento.
Revisar las caractersticas del switch y su configuracin por defecto

4 - Analizando el Router I
El dispositivo [9] en estudio es un router Cisco Serie 2500. Contiene cuatro interfaces:
Ethernet 0, Ethernet 1, Serial 0 y Serial 1, las cuales facilitan la conexin a otros
dispositivos tales como computadores, switches, hubs, entre otros; con la ventaja que
pueden activarse administrativamente (ponerse up o down) de acuerdo a las necesidades; es
decir que cualquiera de las cuatro interfaces puede activarse para que funcione o no lo haga
de acuerdo a lo que el administrador desee. El router cuenta con una conexin para consola
y otra auxiliar (ambas para cable RJ45) y desde luego la conexin de potencia.
El router est compuesto por memoria ROM, NVRAM, FlashRAM, RAM y registro de
configuracin. Brevemente se describen estos aspectos [9]:
ROM: contiene el Autotest de encendido (POST) y el programa de carga del
router (ste depende del que esta por defecto o el de la ltima configuracin). Los
circuitos integrados de la ROM tambin contienen parte o todo el sistema operativo
(IOS) del router.
NVRAM (No Volatil Random Access Memory): almacena el archivo de
configuracin de arranque para el router; ya que la memoria NVRAM mantiene la
informacin incluso si se interrumpe la corriente en el router.
Flash RAM: es un tipo especial de ROM que puede borrarse y reprogramarse.
Utilizada para almacenar el sistema operativo que ejecuta el router; algunos routers
ejecutan la imagen del sistema operativo directamente desde la Flash sin cargarlo en
la RAM, como la serie 2500. Habitualmente, el fichero del sistema operativo
almacenado en la memoria Flash, se almacena en formato comprimido.
RAM: Proporciona el almacenamiento temporal de la informacin (los paquetes
se guardan en la RAM mientras el router examina su informacin de
direccionamiento), adems de mantener otro tipo de informacin crtica, como la
tabla de enrutamiento que se est utilizando en ese momento.
Registro de Configuracin: Se utiliza para controlar la forma en que inicia el
router.
Considerando lo anterior, es necesario pasar al anlisis de la consola que es la parte bsica
para los procesos que se explican posteriormente. Para el presente caso, se conect el router
(consola) a un computador (puerto com) por medio del cable Rj45, y se configur por
hyperterminal[1] de la siguiente manera [9]:
Configuracin

Parmetro

Automtico
Emulacin de terminal

9600
Velocidad en baudios

Ninguna
Paridad

8
Bits de datos

Bits de parada

El primer paso teniendo lo anteriormente establecido, es recobrar el password del router,

porque tanto el login como el password por defecto son admin, lo cual no genera
seguridad alguna. Los pasos para recobrar el password son los siguientes [9]:
1. Apague el router y vuelva a encenderlo. Cuando el router se arranque, pulse
Ctrl+Enter.
2. A continuacin aparece en pantalla el modo Monitor ROM. Introduzca
e/s2000002, y despus pulse intro. Escriba en un papel el nmero de configuracin
virtual que aparezca en la pantalla.
3. En el indicador introduzca ahora o/r0x2142 y pulse intro. Con ello el router
ignorar el archivo de configuracin incluido en la NVRAM. Introduzca la letra

ien el indicador y pulse intro. El router volver a iniciar y presentar el cuadro de

dilogo de configuracin. Seleccione No para que no se inicie una
autoconfiguracin y pulse intro.
4. En el indicador del router, escriba enable para lanzar el modo privilegiado.
Introduzca copy startup-config running-config, y despus pulse intro para acceder
a la configuracin original del router almacenada en la RAM.
5. En el indicador de activacin, introduzca config. Ya se encuentra en el modo
configuracin. Escriba enable secret [NuevaContrasea], para el caso presente
[1qazxsw2].
6. Escriba en nmero de configuracin virtual config-register 0x, que no es ms
que el nmero que escribi antes en el papel, y pulse intro.
7. Ahora escriba end y pulse intro para salir del modo configuracin.
8. Reinicie el router. Ya tiene asignada la nueva contrasea.
La arquitectura inicial de prueba que se utiliz, es la que se muestra en la figura 1 donde el
dispositivo 192.168.10.27 se habilit como consola de configuracin del enrutador, a quien
se le asign la direccin ip 192.168.10.21 por la interfaz ethernet 0.

Figura 1 Arquitectura Propuesta

Para el ejercicio de aseguramiento se utiliz una configuracin inicial como se indica a
continuacin [1]:
Router# setup
System Configuration Dialog
At any point you may enter a question mark '?' for help.
Use ctrl-c to abort configuration dialog at any prompt.
Default settings are in square brackets '[]'.
Continue with configuration dialog? [yes]:
First, would you like to see the current interface summary? [yes]:
Interface IP-Address OK? Method Status Protocol
Ethernet0 unassigned YES not set administratively down down
Ethernet1 unassigned YES not set administratively down down
Serial0 unassigned YES not set administratively down down
Serial1 unassigned YES not set administratively down down
Configuring global parameters:

Enter host name [Router]: JuanK

The enable secret is a one-way cryptographic secret used
instead of the enable password when it exists.
Enter enable secret [<Use current secret>]: 1qazxsw2
The enable password is used when there is no enable secret
and when using older software and some boot images.
Enter enable password: 2wsxzaq1
Enter virtual terminal password: 3edcxsw2
Configure SNMP Network Management? [no]:
Configure IP? [yes]:
Configure IGRP routing? [yes]:
Your IGRP autonomous system number [1]:
Configuring interface parameters:
Configuring interface Ethernet0:
Is this interface in use? [no]: yes
Configure IP on this interface? [no]: yes
IP address for this interface: 192.168.10.21
Number of bits in subnet field [0]:
Class C network is 192.168.10.0, 0 subnet bits; mask is 255.255.255.0
Configuring interface Ethernet1:
Is this interface in use? [no]:
Configuring interface Serial0:
Is this interface in use? [no]:
Configuring interface Serial1:
Is this interface in use? [no]:
The following configuration command script was created:
hostname JuanK
enable secret 5 $1$xpDi$VNsqKR9m8rHE/sEJdbDs2.
enable password 2wsxzaq1
line vty 0 4
password 3edcxsw2
no snmp-server
!
ip routing

!
interface Ethernet0
no shutdown
ip address 192.168.10.21 255.255.255.0
!
interface Ethernet1
shutdown
no ip address
!
interface Serial0
shutdown
no ip address
ip routing
!
interface Serial1
shutdown
no ip address
!
router igrp 1
network 192.168.10.0
!
end
Use this configuration? [yes/no]: yes
Building configuration...
%LINEPROTO-5-UPDOWN: Line protocol on Interface Ethernet0, changed state to up
%LINK-3-UPDOWN: Interface Ethernet0, changed state to up[OK]
Use the enabled mode 'configure' command to modify this configuration.
JuanK#
Con la actual configuracin, se ejecut ncat_config.exe[2] por medio del cual se actualiz
el archivo de configuracin del enrutador, a travs de la realizacin de algunas preguntas
sobre del estado del mismo, y se utiliz RAT (Router Audit Tool) [6] [5] en su ejecucin,
teniendo como parmetros la direccin IP del enrutador, para este caso 192.168.10.21, y el
flag a (snarf), indicando que la configuracin deber ser descargada del archivo de
configuracin previamente establecido. A continuacin, se presenta la interfaz de comandos

Figura 2 Ejecucin RAT

Tras la ejecucin de RAT, se genera un archivo index.html, en el que se muestran una lista
de vulnerabilidades para cada una de las pruebas ejecutadas desde ncat.conf [6]. El archivo
de salida fue el siguiente:

Figura 3 Resultado Inicial RAT

donde las lneas sombreadas reflejan una configuracin inadecuada que puede sugerir
riesgos de accesos no autorizados al enrutador [4].

5 - Analizando el Router II
La primera de estas fallas seala que las diferentes lneas de acceso al sistema requieren un
password. Los siguientes comandos especifican un password para cada unas de las lneas
(consola y auxiliar):
JuanK (config)# line console 0
JuanK (config-line)# password 0okmnji9
JuanK (config-line)# exit
JuanK (config)# line aux 0
JuanK (config-line)# password 9ijnbhu8
JuanK (config-line)# exit
La siguiente falla hace referencia al establecimiento de restricciones sobre los paquetes que
puedan especificar rutas especficas de envio, controladas por opciones de enrutamiento
contenidas en los datgramas, las cuales pueden ser utilizadas en diferentes clases de
ataques, tales como spoofing. La siguiente instruccin hace que este servicio no este
disponible:

JuanK (config)# no ip source-route

El protocolo CDP[1] utilizado por Cisco Routers para identificar otros dispositivos
enrutadores dentro de la misma red. Este protocolo permite que dispositivos puedan
determinar la clase de enrutador que se tiene, asi mismo como la versin de IOS, pudiendo
ser esta informacin utilizada en diseo de ataques de denegacin del servicio (Denial Of
Service) y debera estar no disponible dentro de los servicios del enrutador [3]. La siguiente
instruccin, logra establecer esta condicin:
JuanK (config)# no cdp run
Dentro de las siguientes fallas se reporta, para cada unas de los enlaces de acceso (vty,
console y aux), que no tienen un control de tiempo para sesiones de usuarios; es decir, se
trata de prevenir que usuarios no autorizados ingresen a travs de sesiones abandonadas. La
ejecucin del comando exec-tiemout 5 en cada una de las conexiones hace que tras 5
minutos de abandono por parte del usuario, la comunicacin sea interrumpida
JuanK (config)# line vty 0 4
JuanK (config-line)# exec-timeout 5
JuanK (config-line)# exit
JuanK (config)# line console 0
JuanK (config-line)# exec-timeout 5
JuanK (config-line)# exit
JuanK (config)# line aux 0
JuanK (config-line)# exec-timeout 5
JuanK (config-line)# exit
Al mostrarse la configuracin del enrutador por pantalla, los passwords de acceso son
mostrados en texto plano; para evitar esto, la ejecucin del comando service passwordencryption hace que los passwords mostrados por pantalla no sean vistos y aprendidos por
personas no autorizadas.
JuanK (config)# service password-encryption
De igual forma, otro problema que puede presentarse, sucede cuando se establecen
conexiones al enrutador, donde despus de establecida la conexin, el usuario remoto corta
su sesin inesperadamente, pero mantiene la conexin en lnea. Esto podra ocasionar que
usuarios malintencionados se adueen de la conexin. La ejecucin del comando service
tcp-keepalives-in, hace que las sesiones que no responden se corten inmediatamente.
JuanK (config)# service tcp-keepalives-in
Es importante resaltar que los enrutadores Cisco en su configuracin por defecto permiten
ser usados como servidores Proxy de direcciones de red (MAC), actuando como
intermediarios en el manejo de ARP (Address Resolution Protocol) entre diferentes
segmentos LAN. Con la ejecucin de no ip proxy-arp, se establece que esta funcin no sea
asumida por el enrutador para cada unas de las interfaces [8]. La ejecucin es la siguiente
JuanK (config)# interface serial 0
JuanK (config-if)# no ip proxy-arp

JuanK (config-if)# exit

JuanK (config)# interface serial 1
JuanK (config-if)# no ip proxy-arp
JuanK (config-if)# exit
JuanK (config)# interface ethernet 0
JuanK (config-if)# no ip proxy-arp
JuanK (config-if)# exit
JuanK (config)# interface ethernet 1
JuanK (config-if)# no ip proxy-arp
JuanK (config-if)# exit
La configuracin inicial del enrutador inclua la aceptacin de cualquier protocolo para la
comunicacin remota al enrutador a travs del enlace vty 0 4. Con el comando transport
input se quiere seleccionar solo los protocolos admitidos por cada unos de los enlaces. Para
el caso del enrutador Cisco Router Series 2500 se opto por telnet como protocolo, pero se
advierte que este protocolo enva los mensajes por texto plano. Se puede seleccionar otros
protocolos como ssh pero la versin de enrutador que trabajamos no lo reconoce. La
instruccin es
JuanK (config)# line vty 0 4
JuanK (config-line)# transport input telnet
JuanK (config-line)# exit
Para la actual arquitectura, el puerto aux no se encuentra en uso, siendo una potencial ruta
de acceso para ataques, por lo tanto se considera importante no activarla y bloquear
cualquier tipo de protocolo de acceso. Hay que advertir que ante cualquier contingencia es
til tener el puerto abierto para comunicaciones va MODEM, esto siendo una decisin de
configuracin. La siguiente instruccin, deshabilita protocolos de comunicacin:
JuanK (config)# line aux 0
JuanK (config-line)# no exec
JuanK (config-line)# transport input none
JuanK (config-line)# exit
Al finalizar las instrucciones de hardening, se salv la configuracin, ejecutando la
siguiente lnea de comando:
JuanK # write memory
Realizada la configuracin anterior, la herramienta RAT es de nuevo ejecutada sobre el
enrutador, obtenindose el siguiente resultado:

Figura 4 Resultado final RAT

En la nueva salida de RAT, reporta un fallo de seguridad con respecto a la autenticacin de

logins de acceso. Esto debido a que debera implantarse un servidor de logins, por medio
del protocolo tacacs+[2] [8] y hacer la autenticacin y centralizacin de nombres. La
ejecucin del siguiente comando verifica este requerimiento:
JuanK(config)# line vty 0 4
JuanK(config-line)# login authentication default
JuanK(config-line)# exit
Con la actual configuracin, se realiz otra prueba de scanner con otro analizador llamado
Nessus [12], el cual report fallos de bajo riesgo. Estos fallos se resumen a continuacin:
Se encuentra habilitado Service Finger, quien hace parte de la familia de pequeos servicios
disponibles por IOS y puede liberar informacin de usuarios a posibles atacantes [3].
Aunque no constituye alto riesgo, se pueden deshabilitar si no se estn utilizando, con la
siguiente ejecucin:
JuanK (config)# no service finger
Siendo el servicio Finger un integrante de los pequeos servicios de UTP / TCP,
deshabilitando estos servicios se inhabilita el servicio Finger. Esto se consigue con la
ejecucin de:
JuanK (config)# no service tcp-small-servers
JuanK (config)# no service udp-small-servers
Dentro del concepto de endurecimiento (hardening) se incluye el aseguramiento de logs
generados por IOS donde existen varias estrategias para el manejo de los mismos [3], en
estas se incluyen, guardar los logs generados en un sector de memoria del enrutador, y
establecer una conexin con otro dispositivo donde se quieran enviar, para su posterior
anlisis en incidentes deseguridad.
Para la primera opcin se asigna un sector de memoria, lo que se consigue con la ejecucin
de logging buffered, al cual se le da el tamao de la memoria de asignacin, verificando
previamente la capacidad de la memoria actual. La instruccin se muestra a continuacin:
JuanK (config)# logging buffered 16000
Para el segundo caso, se envan los logs generados a un dispositivo que alberga un
administrador de logs; en este caso Syslogd [13] en sistemas Linux y WSyslogD en
sistemas WinNT. Se ejecuta el comando logging indicando la direccin IP del dispositivo al
que se pretende enviar los logs, como se indica:

JuanK (config)# logging 192.168.10.26

JuanK (config)# logging 192.168.10.28
JuanK (config)# logging trap 7
el dispositivo con direccin IP 192.168.10.26 tiene a Syslogd como administrador de logs,
mientras que el dispositivo con direccin 192.168.10.28 tiene instalado WSyslogD [7]. Los
logs se pueden ver en su visor, como se muestra
a continuacin:

Figura 5 Visor de logs en WSyslogD

La ejecucin logging trap 7 establece la clase de logs que se quieren registrar, en este caso
7 (debugging).
La salida del comando show logging muestra por consola los logs generados por IOS,
como se muestra:
JuanK# show logging
Syslog logging: enabled (0 messages dropped, 0 flushes, 0 overruns)
Console logging: level debugging, 21 messages logged
Monitor logging: level debugging, 0 messages logged
Trap logging: level informational, 25 message lines logged
Logging to 192.168.10.26, 25 message lines logged
.
.
.
Oct 6 09:31:08.515 UTC: %SYS-5-CONFIG_I: Configured from console by console
Oct 6 09:33:53.439 UTC: %SYS-5-CONFIG_I: Configured from console by console
JuanK#
La estructura de los logs generados est compuesta por 3 partes: la fecha y hora cuando el
mensaje fue generado, nombre del mensaje y nivel de severidad (ver Tabla 1) y por ltimo
el testo del mensaje. El ltimo mensaje mostrado, se genero en Octubre 6 a las 9:33.53
a.m., el nivel de severidad es 5 que corresponde notifications y por ltimo muestra el texto,
notificando que ha habido una actualizacin de la configuracin por medio de consola [8].

Tabla 1 Niveles de severidad en Cisco logs

Nombre de
Nivel

Descripcin

Emergencias

Enrutador no funciona

Alerta

Accin necesaria
Inmediata

Critico

Condicin crtica

Errores

Condicin de error

Nivel

Advertencias Condicin de
advertencia
4

Notificaciones Eventos normales

5

Informacional Mensaje de
informacin
6

Debugging

Mensaje de debugging

Por ltimo, el establecimiento de usuarios autorizados para sesiones remotas de acceso

(telnet), se establece por medio de la creacin de modelos de acceso [3]. Estos permiten
establecer una conexin para un usuario, por medio de la autenticacin de login y
password. La siguiente instruccin, establece un modelo [8] en el que se requiere el nombre
de usuario (login) y password correspondiente, y luego verifica acceso a IOS y la
configuracin del enrutador, por medio del parmetro enable., como se muestra:
JuanK (config)# aaa new-model
JuanK (config)# aaa authentication login default local
JuanK (config)# aaa authentication enable default enable
A continuacin se crean usuarios autorizados para acceso remoto:
JuanK (config)# username camilo password 8uhbvgy7
Lo anterior seala la creacin del usuario camilo con el password 8uhbvgy7.
La configuracin final del enrutador se presenta a continuacin:
Using 1265 out of 32762 bytes
!
! Last configuration change at 15:19:32 UTC Sat Oct 4 2003
! NVRAM config last updated at 15:19:40 UTC Sat Oct 4 2003
!
version 10.3
no service finger
service tcp-keepalives-in
service timestamps log datetime msec show-timezone
service password-encryption
no service udp-small-servers

no service tcp-small-servers

6 - Analizando el Switch
El dispositivo[11] analizado en un Intel 410T Standalone. El switch tienen 16 puertos para
conexiones con cable UTP. La conexin a un computador para revisar la configuracin se
hace a travs de un cable null-modem (9 pines) al puerto com. Tal como se hizo con el
router, para el switch se establece una conexin al hyperterminal del computador
configurando lo siguiente: 9600 baudios, 8 data bits, No parity, 1 stop bit y No Flow
Control. Esta configuracin debe hacerse de sta manera para obtener en el hyperterminal
las caractersticas actuales del switch. Despus de generar la consola esta despliega lo
siguiente:

Figura 6 Hyperterminal de Consola para el Switch

En esta ventana se pueden configurar los puertos y las velocidades de los mismos, lo cual
es una gran ventaja. De la misma forma el Switch permite conectar otros dispositivos tales
como, switches o hubs, adems de computadores, para lo cual tiene un botn MDI o MDIX para permitir esta tarea.
La seguridad del switch es bsicamente fsica; es decir que hay que tener polticas de
seguridad como mantenerlo en un lugar con acceso nicamente al personal autorizado,
porque las conexiones al mismo se controlan fsicamente de manera sencilla y por lo tanto
el dispositivo puede llegar a ser vulnerado

7 - Conclusiones
Es importante resaltar la importancia del aseguramiento de los dispositivos tales como
enrutadores y switches puesto que generan graves riesgos de seguridad para una red si no se
toman las medidas adecuadas. En el caso del router la configuracin por defecto es bastante
deficiente en cuestiones de seguridad, ya que teniendo en cuenta lo observado en la figura
3, las vulnerabilidades estn a la orden del da (o del atacante).
Es necesario conocer en profundidad los dispositivos para poder comprender lo que sucede
con los mismos y como se pueden proteger adecuadamente. As mismo es necesario revisar
los diferentes documentos relacionados con seguridad para entender los propsitos de cada
medida y apoyarse en software (como Rat) que ayuda realmente en la identificacin las
vulnerabilidades de los dispositivos.
De acuerdo con la National Security Agency (NSA), los enrutadores proveen servicios que
son esenciales, as mismo el comprometer un enrutador puede dejar varios problemas de

seguridad para el segmento que sirven o aun con otras redes que intercomunican, hace que
se conviertan en un blanco para los atacantes. Como se dijo anteriormente, la utilizacin de
herramientas como RAT, provee una gua para el aseguramiento del enrutador, pero hay que
tener en cuenta que estas decisiones deben ser tomadas en base a los requerimientos del
segmento, y cada unas de las vulnerabilidades dadas por el reporte son sugerencias, y que la
decisin recae sobre la persona responsable de la configuracin, de corregirlas o no.
8 - REFERENCIAS:

[1] Cisco. Router Installation and Configuration Guide. Configuring the Router, Chapter 4.
[2] Hatta, Mohammed Shafri. Institute. Securing IP Routing and Telnet Access On Cisco
Routers. SANS Reading Room. September 20, 2001. URL:
http://rr.sans.org/netdevices/telnet.php
[3] Cisco. Improving Security on Cisco Routers. URL:
http://www.cisco.com/warp/public/707/21.html
[4] Brian Stewart. Router Audit Tool: Securing Cisco Routers Made Easy! March 29th
2002. Version 1.3
[5] Jones, George. Router Audit Tool and Benchmark. SANS Webcast. February 20, 2002.
[6] RAT. Router Audit Tool, Software. URL: http://www.cisecurity.org/
http://www.cisecurity.org
[7] WSyslogD, Software. Syslog for WinNT. URL:
http://support.3com.com/software/utilities_for_windows_32_bit.htm
[8] National Security Agency. Router Security Configuration Guide. November 21, 2001.
URL: http://nsa2.www.conxion.com/cisco/
[9] Manual Cisco CCNA, captulo 3.
Las interfaces de un router.
http://willie.sintax.info/cisco03.asp
[10] CISCO http://cisco.com/ http://cisco.com
Se consulto como sitio de referencia para temas varios
[11] http://www.intel.com/support/%20express/switches/410/ http://www.intel.com/support/
express/switches/410/

[12] Nessus http://www.nessus.org/ http://www.nessus.org

[13] RFC 3164
http://www.rfc-editor.org/ http://www.rfc-editor.org
[14] Cisco An introduction to IGRP http://www.cisco.com/warp/public%20/707/5.html
http://www.cisco.com/warp/public/707/5.html
[15] Manual Cisco CCNA
http://willie.sintax.info/cisco.asp

9 - Anexo - Comandos bsicos de interaccin con Cisco IOS [15]

http://www.zonagratuita.com/
show interfaces muestra informacin sobre las interfaces del enrutador
show interface [interfaz] muestra informacin de una interfaz especfica
show clock muestra los parmetros de la fecha y hora para el enrutador
show versin muestra informacin de la configuracin de hardware
show protocols lista los protocolos de red configurados actuales
show processes muestra informacin sobre la utilizacin de la CPU
show cdp neighbor muestra los vecinos de interconexin
show running-config muestra la configuracin actual que se ejecuta
show startup-config muestra la configuracin de arranque del enrutador
show logging muestra los logs generados y almacenados en memoria
show flash muestra la cantidad de memoria flash disponible y no disponible
clock set [hora] [fecha] modifica la fecha actual del enrutador
config terminal establece al enrutador en modo de configuracin
line console 0 establece la conexin por consola en modo de configuracin

 line vty 0 4 establece la conexin de sesiones telnet en modo de configuracin

copy running-config startup-config guarda cambios hechos a la configuracin actual
setup inicializa asistente de configuracin
? muestra las posibles opciones de comandos actuales con su explicacin
^z salir de modo de configuracin
enable instruccin para entrar en modo privilegiado
disable sale del modo privilegiado
show ip interface brief muestra las interfaces ip y su estado
logging synchronous establece sincronizacin entre los mensajes mostrados por consola y
las entradas del usuario