2 SEGURIDAD DE LOS ROUTERS 2.1 SEGURIDAD EN EL ROUTER - Router de Borde -> Primera y ultima linea de defensa en una red.

Es el responsable de implementar acciones que estan basadas en politicas de seguridad . 2.1.1 MODELOS DE DEFENSA - De un solo Router: * Un solo R separa la LAN interna de internet. * Todas las politicas de seguridad estan instaladas en ese R. * Generalmente se implemente en sucursales u organizaciones pequ eas. * Pueden sersoportadas por ISR sin comprometer el rendemiento de l R. - Defensa Profunda: * El R de borde actua como primera linea de defensa y se le cono ce como "screening router", como segunda linea hay un FW al que el router envia todo el trafico que se dirige a la LAN. * FW provee control de acceso adicional ya que monitoriza el est ado de las conexiones, actuando como dispositivo de control. * El R tiene reglas que especifican que trafico permitir y que t rafico denegar. * El FW por default deniega todo el trafico originado desde el e xterior con destino la red interna. * El FW permite realizar autenticacin de usuario (Proxy de autent icacin) de manera que tengan que estar autenticados si desean tener acceso a la r ed. - Zona Desmilitarizada: * Ofrece un area intermedia llamada "Zona Desmilitarizada o DMZ" que es utilizada por los servidores que necesitan ser accesibles desde internet . * DMZ puede ser establecida entre dos R, con un R interno conect ado a la red interna y un R externo conectado a internet, o simplemente puede se r un puerto adicional configurado en un R. * Se puede instalar un FW entre los R para permitir las conexion es requeridas (Ejm: HTTP). El FW sirve como proteccin primaria para todos los dis positivos de la DMZ. * En el enfoque DMZ, el R sirve como filtrado de trafico, pero d eja la mayoria de la proteccin en manos del FW. NOTA: Hardening: Hace referencia a la robustez en el proceso y los mecanismos para asegurar el R. Ejm: restricciones de puertos y servicios no utilizados, acc eso controlado y solo a personal autorizado, etc. 2.1.2 COMPLEMENTOS DE SEGURIDAD - LOs CPD solo deben ser accesibles a personal autorizado, debe estar li bre de interferencia electromagnetica o electroestatica, debe tener sistema cont ra incendios

y controles de temperatura y humedad. Tambien se deben instalar sistemas de UPS (Reduce la probabilidad de ataques DoS). - Capacitar el router con el maximo de memoria disponible (Reduce la pro babilidad de ataques DoS). - Intalar una versin actualizada y estable del IOS de cisco (no necesaria mente la ultima versin es la mas estable). - Mantener una copia actualizada de la imagen IOS y del archivo startupconfig. - Deshabilitar puertos, servicios e interfaces no utilizadas. 2.1.3 ACCESO ADIMINISTRATIVO SEGURO Se debe establecer: - Longitudes minimas de contraseas (10 caracteres o mas, preferiblemente combianada: mayusculas, minusculas, numeros, espacios, etc). - Deshabilitar conexiones no utilizadas (SSH, Telnet, Aux, etc). - Cifrar todas las passwords en el archivo de configuracin -> Service pas sword-encryption. - Asiganacin de niveles de privilegios (modo usuario y modo privilegiado) y de lineas de comandos (consola, auxiliar, etc). 2.2 CONFIGURACION DE CONTRASEAS - Debe mantenerse por medio de un servidor de autenticacin central TACACS + o RADIUS como el Cisco ACS (Control de Acceso Seguro). - Todos los R deben ser configurados con PWD de modo usuario y de modo e xec privilegiado. - Se recomienda usa una base de datos de nombres de usuario local como c opia de respaldo si el servidor AAA (Autenticacin, Autorizacin y Auditoria) se enc uentra comprometido. - Establecer una longitud minima de caracteres para las PWD, los valore s van de 0 a 16 -> R(Config)#security passwords min-length "nro de caracteres". - Por default la interfaz administrativa esta activa por 10min, se recom ienda limitar este tiempo -> R(Config-line)# exec-timeout "minutos". - Deshabilitar el proceso "exec" para una linea especifica, ejm: puerto auxiliar, con lo cual solo se permitiria conexiones saliente en esa linea R(Conf ig-line)#no exec. - Encriptar las PWD para que no se puedan visualizar en el archivo de co nfiguracin (startup-config) R(Config)# service password-encryption -> Algoritmo t ipo 7. - El comando enable secret, encripta el acceso al modo privilegiado con algoritmo MD5. - Configurar nombres de usuario y contreseas: * R(Config)# username "nombre" password "pwd" * R(Config)# username "nombre" secret "pwd" -> Algoritmo MD5. Es util cuando la PWD atraviesa la red o es almacenada en un servidor TFTP. NOTA: Se habilita la base de datos para la autenticacin con: "R(Config-li ne)#login local" dentro de la linea de conexin. 2.2.1 CONTRASEA ENABLE SECRET - R(Config)#enable secret "password" 2.2.2 CONTRASEA DE CONSOLA - R(Config)#line console 0 R(Config-line)#password "pwd" R(Config-line)#login

NOTA: Por default no requieren contrasea. 2.2.3 CONTRASEA DE TELNET - R(Config)#line vty 0 15 R(Config-line)#password "pwd" R(Config-line)#login 2.2.4 CONTRASEA AUXILIAR - R(Config)#line aux 0 R(Config-line)#password "pwd" R(Config-line)#login NOTA: Por default no requieren contrasea. 2.2.5 SEGURIDAD MEJORADA PARA CONEXIONES VIRTUALES Deben configurarse los siguientes parametros: - Retardos entre intentos de ingresos sucesivos. Ante repetidos intentos fallidos se rechazan las conexiones subsiguientes -> "login bloking". este bloq ueo puede ser configurado por un periodo de tiempo determinado llamado "perido silenci oso" -> "quiet period", durante este periodo se permiten las conexiones legitima s por medio de la configuracin de un ACL asociada a los Administradores del sistema. - Cierre de sesin si se sospecha de ataques DoS. - Generacin de mnjs de registros de sistema para deteccin de sesiones. Ejm: R#config t R(Config)#login block-for "seg de bloquear el sistema" attempts "nro de intentos" within "seg, en se realizaron los intentos" R(Config)#login quiet-mode access-class "nombre de ACL nro de ACL" R(Config)#login delay "segundos" R(Config)#login on-failure log "nro de intentos de ingreso" -> de 1 (def ault) a 65.535. R(Config)#login on-success log "nro de intentos de ingreso" -> de 1 (def ault) a 65.535. Donde: - login block-for: Habilita funciones de registro mejoradas. Los inicios de sesin se monitorizan y opera en dos modos: * Modo de vigilancia: Es el modo normal, se registran los intent os fallidos dentro de una cantidad de tiempo determinada. * Modo silencioso: se registran los intentos fallidos cuando sob repasan el umbral configurado. - login quiet-mode access-class: Proporciona acceso en todo momento a lo s host incluidos en la ACL (Generalmente los de Administracin). - login delay: con el comando "login block-for" se genera un retraso de 1seg entre intentos de ingreso (tanto fallidos como exitosos). Este comando lo m odifica. - El "auto secure" habilita el registro de mensajes para intentos fallid os (el registro de intento con exitos no esta habilitado por default). se aplica : * login on-failure log: Para registro de intento de ingreso fall idos. * login on-success log: Para registro de intento de ingreso exit osos. - security authentication failure rate "nro" log: Genera un mnj de regis tro cuando se excede la tasa de fallos de inicio de sesin.

Comando "Show": - Show login: Visualiza la configuracin del comando "login block-for". El R puede estar en estado "normal" o "silencioso" depende de los intentos fallido s. - Show login failures: Muestra mas informacin en relacin a los intentos fa llidos, como la IP de en la que se originaron dichos intentos. 2.2.6 BANNERS - Son muy importantes para la red desde la perspectiva legal. Debe ser r evisada por un ascesor legal antes de colocarse en los R de la red. - Nunca utilizar un mnj como "bienvenido" o similar, que pueda ser enten dido como una invitacin para utilizar la red. - Se habilita: * R(Config)#banner {exec | incoming | login | motd | slip-ppp} # "mensaje" #. Donde: + exec -> banner al ingresar al modo exec-privilegiado. + incoming -> banner cuando existe una conexin entrante. + login -> banner de saludo al iniciar conexin telnet. + motd -> banner de saludo diario. + slip-ppp -> banner cuando se unicia una conexin serial punto a punto. 2.2.7 CONFIGURACION DE SSH - Telnet: Puerto 23 TCP -> Datos en texto plano. - SSH: Puerto 22 TCP -> Datos cifrados. - Para configurar: * Los R de destino tienen que tener un nombre de host unico -> R (Config)#hostname "nombre" * Los R deden pertenecer al mismo dominio de la red -> R(Config) #domain-name "nombre" * Deben generarse claves asimetricas de una sola via para que el R cifre el trafico SSH, llamadas RSA (Rivest, Shamir and Adleman) -> R(Config) #crypto key generate rsa general-keys modulus "nro" (longitud de 360 a 2048 bits, recomendado min 1024) * Configurar una cuenta de usuario en la base de datos local -> R(Config)#username "name" password "pwd" * Habilitar sesiones SSH en el R de destino -> R(Config)#login l ocal y transport input ssh. Para prevenir sesiones telnet -> R(Config)#no trans port input telnet. * Opcionales: + Intervalo de tiempo que el R espera para que responda un cliente durante la fase de negociacin -> R(Config)#ip ssh timeout "seg" + Intentos para ingresar antes de ser desconectado -> R( Config)#ip ssh authentication-retries "nros" - Para conectarse a SSH (se habilita automaticamente al generar las clav es RSA) se usa de 2 formas: * Cliente: hace conexiones SSH. * Server: Acepta conexiones de clientes SSH. 2.2.8 CONFIGURACION DE SSH CON CCP - Cisco CCP (ConfiguratioN Profesional). - Para ver las configuracin actual selecciones -> configure/router access /ssh: tiene 2 opciones: * RSA key is not set on this router: Aparece si no hay clave de

cifrado configurada en el dispositivo. * RSA key is set on this router: Aparece si se ha generado una clave criptografica, en cuyo caso SSH esta habilitado en el R. 2.3 ASIGNACION DE ROLES - Configuraciones agregadas para permitir acceso a Administradores de di ferentes niveles y mantener segura la red. 2.3.1 CONFIGURACION DE NIVELES DE PRIVILEGIOS - Modos basicos: * Exec Usuario: Privilegios basicos, solo permite comandos de ni vel de usuario -> R> * Exec Privilegiado: nivel 15, comandos de nivel enable -> R(Con fig)# - Niveles de control: * Hay en total 16 niveles, los niveles 0, 1 y 15 tienen configur acin predeterminada. Los niveles superiores incluyen los privilegios de los nivel es inferiores. * Para configurar: + R(Config)#privilege "modo" level "nro de 0 a 15" + Deben configurarse niveles de privilegios para la aute nticacin. hay 2 formas: ^ R(Config)#enable secret "nivel" "pwd" ^ R(Config)#username "user" privilege "nivel" se cret "pwd" + Para visualizar el nivel de privilegio: R#show privile ge Nota: cuando aparece el siguiente mnj: % invalid input detected at ^ marker -> Sig nifica que el usuario no tiene suficiente nivel de acceso para el comando que qu iere ingresar. 2.3.2 CONFIGURACION DE ACCESO A LA CLI BASADO EN ROLES - Controla que comandos estan disponibles para roles epecificos. - Permite al administrador de red crear diferentes vistas de las configu raciones del R para diferentes usuarios. Cada vista define los comandos a los qu e el usuario tiene acceso. - Existen 3 tipos de vista: * Vista de Root: Tiene los mismos acceso que un usuario con nive l 15 de privilegios. Solo este usuario puede configurar una nueva vista y agrega r y remover comandos de las listas existentes. * ViSta CLI: No tiene jerarquias de comandos, por lo tanto no ha y vista superiores e inferiores. Deben asignarse todos los comandos asociados a cada vista, y las vistas no heredan comandos de otras vistas. * Supervista: Permite al administrador asignar a los grupos de u suarios multiples vistas de la CLI de una sola vez, en vez de tener que asignar usuario por usuario cada uno de los comandos asociados. - Las supervistas tienen las siguientes caracteristicas: * Una sola vista CLI puede ser compartida entre varias supervist as. * No pueden agregarse comandos para una supervista. El administr ador debe agregar comandos a la vista CLI y luego asignar dicha vista a la super vista.

* Los usuarios que estan autenticados en una supervista pueden a cceder a todos los comandos que estan configurados para cualquiera de las vistas CLI que son parte de la supervista. * Cada supervista tiene una contrasea que se usa para moverse ent re ellas o de una vista CLI a una supervista. * Eliminar una supervista no elimina las vistas CLI asociadas. L as vistas CLI permanecen disponibles para ser asignadas a otra supervista. - Configuracin y edicin de vistas: * Ingresar a la vista root-> R>enable view R>enable view root * Habilitar AAA -> R(Config)#aaa new-mode * Salir y volver ingresar a la vista root. * Crear una vista -> R(Config)#parser view "nombre". Esto crea u na vista, excluyendo la vista root, hay 15 en total. * Asignar una contrasea "secret" -> R(Config-view)#secret "nivel" "pwd" * Asignar comandos a la vista seleccionada -> R(Config-view)#com mand exec "include/exclude" "comando" - Configuracin y edicin de supervistas: * Ingresar a la configuracin de supervista root-> R(Config)#parse r view "nombre" superview * Asignar la contrasea secret-> R(Config-view)#secret "pwd" * Asignar una vista existente a la supervista-> R(Config-view)#v iew "nombre" NOTA: Puede asignarse mas de una vista a una supervista. Las vistas pueden ser compartidas entre varias supervistas. - Para verificar: * Acceder a las vistas existentes-> R>enable view "nombre" . Lue go es necesario ingresar la pwd de la vista. Se utiliza el mismo comando para mo verse de una vista a otra. * Para verificar una vista R#enable view. * Para visualizar un resumen de todas las vistas-> R#show parser view all 2.4 PROTECCION DE ARCHIVOS Y CONTRASEAS - Cuando se asegura una imagen IOS de cisco, se deniega las solicitudes para copiarla, modificarla o eliminarla. - Si alguien gana acceso fisico al R, puede tomar control del equipo med iante el procedimiento de recuperacin de contrasea. 2.4.1 RESGUARDO DE LA CONFIGURACION DE LA IMAGEN IOS DE CISCO - "Resilient Configuration" -> Permite una recuperacin rapida si alguien formatea la memoria flash o borra el archivo de configuracin de inicio de la NVRA M. - La copia de la configuracin de inicio se almacena en la flash junto a l a imagen IOS. A este conjunto se conoce como conjunto de arranque (bootset). - Alguna de sus caracteristicas: * El archivo de configuracin de respaldo es una copia de la confi guracin actual que estaba en el R cuando se habilito la funcin. * Asegura el grupo de archivos mas pequeo para preservar el espac io de almacenamiento. No se requiere espacio extra para asegurar el archivo prim ario de la imagen IOS. * Detecta automaticamente diferencia de versiones de imagen o de configuraciones. * Utiliza almacenamiento local para asegurar los archivos. * La funcin solo puede deshabilitarse desde una sesin de consola.

- Configuracin (hay 2 formas): * "Secure Boot-Image" -> Habilita la resistencia de la imagen de l IOS. Cuando se habilita por primera vez, asegura la imagen actual, al mismo ti empo crea una imagen en el registro. puede ser deshabilitada solo por una sesin de consola. -> R(Config)#secure boot-image. * "secure boot-config" -> Registra la configuracin actual del rou ter y la archiva de manera segura en el dispositivo de almacenamiento permanente . NOTA: Los archivos de configuracin actuales no son visibles a traves del comando "dir", para ver el archivo se utiliza -> R#show secure bootset. - El modo ROMmon si puede listar los archivos configurados. Hay 5 pasos para restaurar un conjunto de arranque primario de un archivo seguro: 1- Reiniciar el router -> R#reload. 2- Desde el modo ROMmon, ingrese el comando "dir" para listar el contenido del archivo de configuracin asegurado del conjunto de arranque. Desde la CLI utilizamos el comando -> R#show secure bootset. 3- Arracar el router con la imagen del conjunto de arranque aseg urado usando el comando "boot" con el nombre de archivo encontrado en el paso 2. Cuando el router comprometido arranque , cambiar al modo EXEC Privilegiado y rest aurar la configuracin. 4- Ingresar al modo de configuracin global y restaurar la configu racin segura al nombre del archivo proporcionado usando el comando "secure boot-c onfig restore" con el nombre de archivo correspondiente.