Professional Documents
Culture Documents
Dispositivos de Red
generacin.
Rendimiento, Escalabilidad y
Disponibilidad
Oficina
Virtual
Movilidad
Segura
Aplicaciones
Personalizables
Colaboraciones
Seguras
Servicios
Escalables
Medios
Enriquecidos
Los
Router 1 (R1)
LAN 1
Internet
192.168.2.0
Scenario 1
Escenario 2: se protg el trfico
R1
Firewall
Internet
LAN 1
192.168.2.0
Scenario 2
Escenario
3:
La
zona
directamente conectada con el
servidor
de
seguridad
se
denomina DMZ. Servidores con
acceso a Internet se encuentran
en la zona de distensin.
R1
Firewall
R2
Internet
LAN 1
192.168.2.0
DMZ
Scenario 3
2012 Cisco and/or its affiliates. All rights reserved.
de memoria posible.
Utilice la ltima versin estable del sistema operativo que cumpla con los
requisitos de caractersticas de la red.
Guarde una copia segura de la imagen del sistema operativo del router y el
archivo de configuracin del router como una copia de seguridad.
Autenticar el acceso
Asegrese de que el acceso se concede slo a los usuarios autenticados,
grupos y servicios.
Limitar el nmero de intentos fallidos de conexin y el tiempo entre los inicios
de sesin.
R1
10
11
12
seguras.
13
Por ejemplo:
My favorite spy is James Bond 007.
= MfsiJB007.
"Fue el mejor de los tiempos, era el peor de los tiempos." = Iwtbotiwtwot.
"Llvame a la luna. Y djame jugar entre las estrellas. " = FmttmAlmpats.
14
mejor.
Incluya una combinacin de letras maysculas y minsculas,
escritorio o un monitor.
2012 Cisco and/or its affiliates. All rights reserved.
15
16
17
18
19
20
21
R1# conf t
R1(config)# username JR-ADMIN password letmein
% Password too short - must be at least 10 characters. Password configuration
failed
R1(config)# username JR-ADMIN password cisco12345
R1(config)# username ADMIN secret cisco54321
R1(config)# line con 0
R1(config-line)# login local
Username: ADMIN
Password:
R1>
22
Welcome to SPAN
Engineering
User Access Verification
Password: cisco
Password: cisco1
Password: cisco12
Password: cisco123
Password: cisco1234
23
24
25
R1#
*Dec 10 15:38:54.455: %SEC_LOGIN-1-QUIET_MODE_ON: Still timeleft for watching failures
is 12 secs, [user: admin] [Source: 10.10.10.10] [localport: 23] [Reason: Login
Authentication Failed - BadUser] [ACL: PERMIT-ADMIN] at 15:38:54 UTC Wed Dec 10 2008
R1# show login
A login delay of 10 seconds is applied.
Quiet-Mode access list PERMIT-ADMIN is applied.
Router enabled to watch for login Attacks.
If more than 5 login failures occur in 60 seconds or less,
logins will be disabled for 120 seconds.
Router presently in Quiet-Mode.
Will remain in Quiet-Mode for 105 seconds.
Restricted logins filtered by applied ACL PERMIT-ADMIN.
R1#
26
SourceIPAddr
1.1.2.1
10.10.10.10
10.10.10.10
10.10.10.10
lPort
23
23
23
23
Count
5
13
3
1
TimeStamp
15:38:54 UTC
15:58:43 UTC
15:57:14 UTC
15:57:21 UTC
Wed
Wed
Wed
Wed
Dec
Dec
Dec
Dec
10
10
10
10
2011
2011
2011
2011
R1#
27
legal.
Los intrusos se han sabido ganar los casos judiciales porque no se
encuentran con mensajes de advertencia correspondientes.
Elegir qu colocar en los mensajes de inicio es muy importante y debe ser
revisado por un abogado antes de ser implementado.
Nunca use la palabra "bienvenido" o cualquier otro saludo familiar o similar
que pueda ser mal interpretado como una invitacin para utilizar la red.
28
sistema.
No utilice la palabra "bienvenido".
29
30
31
Por ejemplo:
R1(config)# access-list 30 permit 10.0.1.1 0.0.0.0
R1(config)# line vty 0 4
R1(config-line)# access-class 30 in
32
local.
33
34
35
36
dominio IP.
RSA.
Paso
entrantes.
R1# conf t
R1(config)# ip domain-name span.com
R1(config)# crypto key generate rsa general-keys modulus 1024
The name for the keys will be: R1.span.com
% The key modulus size is 1024 bits
% Generating 1024 bit RSA keys, keys will be non-exportable...[OK]
R1(config)#
*Dec 13 16:19:12.079: %SSH-5-ENABLED: SSH 1.99 has been enabled
R1(config)# username Bob secret cisco
R1(config)# line vty 0 4
R1(config-line)# login local
R1(config-line)# transport input ssh
R1(config-line)# exit
Opcionalmente, SSH se
puede
utilizar
para
configurar lo siguiente:
versin SSH
Nmero de intentos
de autenticacin
Perodo de tiempo
de espera de SSH
37
Versiones de SSH:
Cisco IOS versin 12.1 (1) T y posteriores admiten SSHv1.
Cisco IOS 12.3 (4) T y posteriores admite tanto SSHv1 y SSHv2 (modo de
compatibilidad).
Para cambiar las versiones, utilice la versin de ssh ip {1 | 2} comando
global.
Nmero de intentos de autenticacin:
Por defecto, un usuario que inicia sesin en dispone de 3 intentos antes de
ser desconectado.
Para configurar un nmero diferente de reintentos SSH consecutivos, utilice
el comando authentication-retries ssh ip en el modo de configuracin
global.
SSH Tiempos de espera:
El intervalo de tiempo predeterminado que el router esperar a que un cliente
SSH para responder durante la fase de negociacin de SSH es de 120
segundos.
Cambie la hora con ip ssh time-out seconds.
38
39
State
Session started
Session started
Bob
Bob
40
41
No!
Configure cualquiera:
Los niveles de privilegios
CLI basado en roles
42
43
44
45
Router(config)#
privilege mode {level level command | reset command}
Comando
Descripcin
mode
level
level command
(Opcional) Este parmetro es el nivel de privilegio que est asociado con un comando.
Puede especificar hasta 16 niveles de privilegio, utilizando nmeros del 0 al 15.
reset
command
46
47
Nivel 1.
Los nombres de usuario no distinguen entre maysculas y minsculas de
forma predeterminada.
Observe el smbolo indica el nivel 1 (R1>).
El comando ping que normalmente est disponible desde el nivel 1 ya no
est disponible.
User Access Verification
Username: user
Password: <cisco>
R1> show privilege
Current privilege level is 1
R1# ping 10.10.10.1
^
% Invalid input detected at '^' marker.
R1>
48
49
50
15.
Una vez ms, el comando enable nivel se utiliza para pasar de nivel 10 a
nivel 15.
Ahora todos los comandos estn disponibles.
R1# enable 15
Password: <cisco123>
R1# show privilege
Current privilege level is 15
R1# show running-config
Building configuration...
Current configuration : 1145 bytes
!
version 12.4
<output omitted>
51
52
53
Root Ver
Vista #1
Vista #2
Vista #3
show ip route
show run
show
interfaces
Vista #4
Vista #5
Vista #6
int fa0/0
54
de la vista raz.
55
56
la raz.
Vista Root requiere privilegios de nivel 15 autenticacin.
Router#
enable [privilege-level] [view [view-name]]
57
Permitir Parmetros
Router#
enable [privilege-level] [view [view-name]]
Parameter
Description
privilege-level
view
view-name
58
59
Router(config-view)#
commands parser-mode {include | include-exclusive | exclude} [all] [interface
interface-name | command]
Parametro
Descripcin
parser-mode
include
include-exclusive
exclude
all
interface interfacename
command
60
61
62
R1# show ?
ip
parser
version
IP information
Display parser information
System hardware and software status
63
R1# show ip ?
access-lists
accounting
aliases
arp
as-path-access-list
bgp
cache
casa
cef
community-list
dfp
dhcp
--More--
64
65
66
View 4.
Root Ver
CLI Vistas
Vista #1
Vista #2
Vista #3
Vista #4
Vista #5
Vista #6
command exec
command exec
command exec
command exec
command exec
command exec
Superview #1
View #1
View #2
View #4
command exec
Superview #2
View #3
View #5
command exec
command exec
View #4
View #6
command exec
command exec
67
68
69
70
<output omitted>
!
parser view SUPPORT superview
secret 5 $1$Vp1O$BBB1N68Z2ekr/aLHledts.
view SHOWVIEW
view VERIFYVIEW
!
parser view USER superview
secret 5 $1$E4k5$ukHyfYP7dHOC48N8pxm4s/
view SHOWVIEW
!
parser view JR-ADMIN superview
secret 5 $1$8kx2$rbAe/ji220OmQ1yw.568g0
view SHOWVIEW
view VERIFYVIEW
view REBOOTVIEW
!
71
R1#
72
on privileged commands
from the EXEC
echo messages
running system information
R1#
73
on privileged commands
from the EXEC
echo messages
and perform a cold restart
running system information
R1#
74
75
76
77
78
secure boot-image
79
80
81
82
-rw-rw-
23587052
600
c181x-advipservicesk9-mz.124-24.T.bin
vlan.dat
-rw----rw-rw-rw----
1396
24
1396
0
593
32
startup-config
private-config
underlying-config
ifIndex-table
IOS-Self-Sig#3401.cer
persistent-data
<output omitted>
83
84
85
-rw-
600
vlan.dat
86
recargar el router.
R1# erase startup-config
Erasing the nvram filesystem will remove all configuration files! Continue?
[confirm]
[OK]
Erase of nvram: complete
R1# show startup-config
startup-config is not present
R1# reload
System configuration has been modified. Save? [yes/no]: n
Proceed with reload? [confirm]
...
Router> enable
Router# show secure bootset
%IOS image and configuration resilience is not active
87
88
89
R1# dir
Directory of flash:/
No files in directory
128237568 bytes total (104640512 bytes free)
Router# reload
Proceed with reload? [confirm]
*Oct 17 02:37:37.127: %SYS-5-RELOAD: Reload requested
: Reload Command.
90
...
cisco Systems, Inc.
170 West Tasman Drive
San Jose, California 95134-1706
Cisco IOS Software, C181X Software (C181X-ADVIPSERVICESK9-M), Version 12.4(24)T,
RELEASE SOFTWARE (fc1)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2009 by Cisco Systems, Inc.
Compiled Thu 26-Feb-09 03:22 by prod_rel_team
...
R1> enable
Password:
91
92
93
94
95
96
97
PRECAUCIN:
Se desactivar Todos los accesos a la ROMmon.
Para reparar el router, debe obtener una nueva imagen de IOS de Cisco en
un SIMM Flash, o en una tarjeta PCMCIA (3600) o devolver el router Cisco.
98
99
100
muy difcil.
101
Dentro de la banda:
La informacin fluye a travs
de la red de la empresa de
produccin o de Internet (o
ambos).
102
103
supervisado.
Utilizar IPsec cuando sea posible.
Utilice SSH o SSL en lugar de Telnet.
Decida si el canal de gestin debe estar abierta en todo
momento.
Mantener los relojes en los hosts y dispositivos de red
sincronizada.
Registre los cambios y configuraciones de archivo.
104
sincronizada.
105
106
sobrecarga el sistema.
La mayor parte de arriba
107
108
Nivel ms alto
Nivel ms bajo
109
Nivel y Nombre
Definicin
Ejemplo
0 LOG_EMERG
1 LOG_ALERT
La temperatura es
demasiado alta.
2 LOG_CRIT
No se puede asignar
memoria.
3 LOG_ERR
Errores
Tamao de la memoria
no vlida.
4 LOG_WARNING
5 LOG_NOTICE
Interfaz cambiado de
estado, arriba o abajo
6 LOG_INFO
mensajes informativos
7 LOG_DEBUG
110
Marca de Tiempo
Mensajes de Texto
Mensaje de
registro Nombre y
Nivel de gravedad
Nota: El nombre del mensaje de registro no es el mismo que un nombre de nivel de gravedad.
111
Parametro
host-name
ip-address
Descripcin
El nombre de la mquina que desea utilizar como servidor syslog.
La direccin IP de la mquina que desea utilizar como servidor syslog.
112
Parametro
level
Descripcin
Limita el registro de mensajes a los servidores syslog a un nivel especificado.
Puede introducir el nmero de nivel (0 a 7) o el nombre del nivel.
113
Parametro
Descripcin
interface-type
interface-number
114
4. Habilitar registro
Puede habilitar o deshabilitar el registro de forma individual:
115
Lo
0
R3(config)#
R3(config)#
R3(config)#
R3(config)#
logging
logging
logging
logging
R3
10.2.2.6
trap informational
source-interface loopback 0
on
116
Para ver los mensajes del sistema durante una sesin VTY (line
117
118
Por qu?
Una terminal de monitoreo est activado, no se puede desactivar en la sesin
VTY.
Una gran cantidad de datos de registro se puede generar, oscureciendo el
VTY con el registro de salida y la toma de entrada de comandos es muy difcil
a veces.
119
Configuracin NTP
120
pasar a la vez.
El NTP FAQ y HOWTO - http://www.ntp.org/ntpfaq/
sincronizacin de tiempo:
Para obtener informacin de la hora exacta de los mensajes syslog.
121
software.
Este reloj realiza un seguimiento del tiempo a partir del momento se inicia el
sistema.
122
Una red NTP generalmente obtiene el tiempo desde una fuente de hora
123
124
Router(config)#
ntp server {ip-address | hostname} [version number] [key keyid] [source interface]
[prefer]
125
configuracin de interfaz.
Router(config-if)#
126
127
Command
Description
ntp authenticate
128
129
209.165.201.1
R1
Fa0/0
209.165.200.225
Internet
R2
Fa0/1
R3
130
La desactivacin de servicios e
interfaces de red Cisco no
utilizados del router
131
132
133
Router Service
Descripcin
Defecto
Mejores Prcticas
BOOTP server
Habilitado
Deshabilitar.
no ip server BOOTP
Cisco Discovery
Protocol (CDP)
Habilitado
No si no es necesario.
no cdp run
Configuration autoloading
FTP server
TFTP server
Desabilitado
No si no es necesario.
no service config
Desabilitado
No si no es necesario.
Si no cifrar el trfico IP
dentro de un tnel etc.
Desabilitado
No si no es necesario.
Si no cifrar el trfico IP
dentro de un s tnel etc
Desabilitado
No si no es necesario.
De lo contrario NTPv3
configurar el acceso y el
control entre los
dispositivos permitidos
con ACL.
134
Servicio Router
Descripcin
Defecto
Mejores Prcticas
No si no es necesario.
Ensamblador y
desensamblador de
paquetes (PAD)
Servicio
Habilitar
Habilitar (pre
11.3)
Desabilitado
(11.3+)
Mantenimiento
Operacin Protocolo
(MOP) Servicio
Habilitar
No si no es necesario.
no hay serviciotcpsmall-servers
no hay servicioudpsmall-servers
Desactivar
explcitamente si
no es necesario.
135
Servicio
Simple Network
Management
Protocol (SNMP)
Descripcin
Defecto
Mejores Prcticas
Habilitado
Desactivar el
servicio. De lo contrario
configurar SNMPv3.
Dispositivo
dependientes
No si no es necesario,
Restringir el acceso
mediante ACLs.
no ip http server
Servicio
cliente Habilitado
No si no es necesario.
De lo contrario
configurar
explcitamente la
direccin del servidor
DNS.
no ip domain-lookup
no ip name-server
Configuracin de
HTTP y monitoreo
Sistema de nombres
de dominio (DNS)
136
Mecanismos de
Integridad Path
Redirecciones
ICMP
Fuente de
enrutamiento
IP
Descripcin
Redirecciones ICMP causan el router para
enviar mensajes de redireccionamiento ICMP
cada vez que el router est obligado a enviar
un paquete a travs de la misma interfaz en la
que se recibi el paquete.
Esta informacin puede ser utilizada por los
atacantes para redirigir paquetes a un
dispositivo no es de confianza.
Defecto
Mejores Prcticas
Habilitado
Desactivar el servicio.
Habilitado
No, si no es necesario.
no ip source-route
137
Sondas y funciones
de escaneo
Descripcin
Defecto
Mejores Prcticas
Servicio
Finger
Habilitado
No si no es necesario.
.no ip finger
no service finger
Habilitado
Desactivar explcitamente
en las interfaces no son
de confianza.
Desabilitado
Desactivar explcitamente
en las interfaces no son
de confianza.
Notificaciones
inalcanzable
ICMP
Respuesta de
mscara ICMP
2012 Cisco and/or its affiliates. All rights reserved.
138
Terminal de Acceso
de Seguridad
Descripcin
Defecto
Mejores Prcticas
IP identification
service
Activado
Desactivado
TCP Keepalives
Desactivado
Activado
139
Difusiones Dirigidas
de IP
Descripcion
Defecto
Mejores Prcticas
ARP Gratuito
Habilitado
No, si no es necesario.
Habilitado
No, si no es necesario.
140
Difusiones Dirigidas
de IP
Descripcion
Defecto
Mejores Prcticas
Habilitado
(pre 12.0)
Disabilitado
(12.0+)
No si no es necesario.
Difusiones Dirigidas
de IP
similares.
Difusiones dirigidas permiten una gran cantidad
en un segmento LAN para iniciar una
transmisin fsica en un segmento LAN
diferente.
Esta tcnica fue utilizada en algunos de los
antiguos ataques DoS, y la configuracin por
defecto de Cisco IOS es rechazar mensajes de
difusin.
141
Router(config)#
Router(config)#
Router(config)#
Router(config)#
Router(config)#
Router(config)#
Router(config)#
Router(config)#
Router(config)#
Router(config)#
Router(config)#
Router(config)#
no
no
no
no
no
no
no
no
no
no
no
no
ip bootp server
cdp run
ip source-route
ip classless
service tcp-small-servers
service udp-small-servers
ip finger
service finger
ip http server
ip name-server
boot network
service config
142
143
144
145
fortalecimiento.
146
147
NTP Protocolo
SSH Acceso
Servicios TCP Intercept
2012 Cisco and/or its affiliates. All rights reserved.
148
149
Router#
150
Parametro
Descripcin
Administracin
Reenvo
Sin interactuar
Completo
NTP
Cargar
SSH
Firewall
Tcp-intercept
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165