En - CCNAS - v11 - Ch02 Español PDF

Seguridad en los
Dispositivos de Red
2012 Cisco and/or its affiliates. All rights reserved.
Cisco cuenta con una nueva serie de routers de segunda
generacin.
Rendimiento, Escalabilidad y
Disponibilidad
ISR G2 han integrado interfaces Gigabit Ethernet.
Oficina
Virtual
Movilidad
Segura
Aplicaciones
Personalizables
Colaboraciones
Seguras
Servicios
Escalables
Medios
Enriquecidos
Los
Routers se utilizan para

asegurar el permetro de la red.
Router 1 (R1)
LAN 1
Internet
192.168.2.0
Escenario 1: Protege la LAN.
Scenario 1
Escenario 2: se protg el trfico
con el router y pasa por un

servidor de seguridad (PIX/ASA).
R1
Firewall
Internet
LAN 1
192.168.2.0
Scenario 2
Escenario
3:
La
zona
directamente conectada con el
servidor
de
seguridad
se
denomina DMZ. Servidores con
acceso a Internet se encuentran
en la zona de distensin.
R1
Firewall
R2
Internet
LAN 1
192.168.2.0
DMZ
Scenario 3
La Seguridad Fsica: Equipos de infraestructura segura en un cuarto

cerrado que:
Es accesible slo al personal autorizado.

Est libre de la interferencia electrosttica o magntica.
Tiene proteccin contra incendios.
Dispone de controles de temperatura y humedad.

Instalar un sistema de alimentacin ininterrumpida (UPS) y
mantener los componentes de backup disponibles para reducir la
posibilidad de un ataque DoS contra la prdida de energa al
edificio.
Sistema Operativo: Configure el router con la mxima cantidad
de memoria posible.
Ayuda a protegerla de algunos ataques DoS.
Utilice la ltima versin estable del sistema operativo que cumpla con los
requisitos de caractersticas de la red.
Guarde una copia segura de la imagen del sistema operativo del router y el
archivo de configuracin del router como una copia de seguridad.
Fortalecimiento del acceso al Router

Fije el control administrativo para garantizar que slo el personal autorizado
tenga acceso y que su nivel de acceso est controlado.
Deshabilitar los puertos no utilizados y las interfaces para reducir el nmero
de maneras en que un dispositivo se puede acceder.
Deshabilitar los servicios innecesarios que pueden ser utilizados por un
atacante para obtener informacin o para la explotacin.
R1
Restringir el acceso al dispositivo

Limite los puertos accesibles, restringir los PC permitidos y restringir los
mtodos permitidos de acceso.
Registrar y dar cuenta de todos los accesos

Para fines de auditora, registre cualquier persona que tiene acceso a un
dispositivo, incluyendo lo que ocurre y cundo.
Autenticar el acceso
Asegrese de que el acceso se concede slo a los usuarios autenticados,
grupos y servicios.
Limitar el nmero de intentos fallidos de conexin y el tiempo entre los inicios
de sesin.
Autorizar las Acciones

Restringir las acciones y opiniones permitidos por ningn usuario, grupo o
servicio.
Presente Aviso Legal

Mostrar un aviso legal, desarrollado en conjunto con el asesor legal de la
empresa, para las sesiones interactivas.
Garantizar la confidencialidad de los datos

Proteger los datos sensibles almacenados localmente de lectura y copia.
Considere la vulnerabilidad de los datos en trnsito a travs de un canal de
comunicacin para analizar ataques, de secuestro de sesin, y de hombre en
el medio (MITM) .
Asegurar el Acceso Administrativo
Todos los Routers necesitan una contrasea de configuracin
local para el acceso privilegiado y otros accesos.

R1(config)# enable secret cisco
R1(config)# line vty 0 4

R1(config-line)# password cisco
R1(config-line)# login
R1(config)# line aux 0

R1
R1(config)# line con 0

10
Para robar contraseas, los atacantes:

Envan un Saludo amistoso.
Adivinan contraseas basadas en informacin personal del usuario.
Paquetes TFTP de Sniff que contienen los archivos de configuracin de texto
plano.
Utilizan las herramientas de ataque de fuerza bruta fcilmente disponibles
como L0phtCrack o Cain & Abel.
Las contraseas seguras son la principal defensa contra el
acceso no autorizado a un router!
11
Las contraseas no deben utilizar las palabras del diccionario

Palabras del diccionario son vulnerables a los ataques de diccionario.
Las contraseas pueden incluir los siguientes:
Cualquier carcter alfanumrico.

Una combinacin de caracteres en maysculas y minsculas.
Los smbolos y espacios.
Una combinacin de letras, nmeros y smbolos.
Nota: los espacios en las contraseas se ignoran, pero todos los

espacios despus del primer carcter no se ignoran.
12
Cambie las contraseas con frecuencia.

Implementar una poltica que defina cundo y con qu frecuencia las
contraseas deben cambiarse.
Limite las oportunidades para que un hacker pueda romper la contrasea.
Lmite los intentos de falla de una contrasea cuando existe un error.
Las normas locales pueden hacer que las contraseas sean ms
seguras.
13
Un mtodo bien conocido de creacin de contraseas seguras es
usar frases comunes.

Bsicamente una oracin / frase que sirve como una contrasea ms segura.
Utilice una frase, cita de un libro, o una cancin lrica que pueda recordar
fcilmente como la base de la contrasea segura o frase.
Por ejemplo:
My favorite spy is James Bond 007.
= MfsiJB007.
"Fue el mejor de los tiempos, era el peor de los tiempos." = Iwtbotiwtwot.
"Llvame a la luna. Y djame jugar entre las estrellas. " = FmttmAlmpats.
14
Longitud de contrasea de 10 caracteres o ms. Cuanto ms,
mejor.
Incluya una combinacin de letras maysculas y minsculas,
nmeros, smbolos y espacios.

Evite contraseas basadas en la repeticin, palabras del
diccionario, de letras o nmeros secuencias, nombres de usuario,

nombres de compaa, biogrfica, como fechas de nacimiento,
nmeros de identificacin, nombres de los antepasados.
Deliberadamente escribir mal una contrasea.
Por ejemplo, Smith = Smyth = 5mYth o Seguridad = 5ecur1ty.
Cambie las contraseas con frecuencia por lo que si una
contrasea est en peligro sin saberlo.

No escriba contraseas y dejarlos en lugares obvios, como en el
escritorio o un monitor.
15
Para aumentar la seguridad de las contraseas, los siguientes
comandos de Cisco IOS se deben utilizar:

Hacer cumplir la longitud mnima de la contrasea: security passwords
min-length.
Desactivacin de conexiones desatendidas: exec-timeout.
Cifrar contraseas de archivos de configuracin: service passwordencryption.
16
Hacer contraseas largas: IOS 12.3 y posteriores contraseas
pueden ser de 0 a 16 caracteres de longitud. un mnimo de 10

caracteres.
Para forzar a un mnimo de longitud utilice el comando:
security passwords min-length length
El comando afecta a todas las "nuevas" contraseas de router.

Contraseas de router existentes no se ven afectadas.
Cualquier intento de crear una nueva contrasea que es menor
que la longitud especificada falla y da lugar a una "Contrasea

demasiado corta" mensaje de error.
17
De forma predeterminada, la conexin remota es de 10 minutos
despus se desactiva la sesin.

El temporizador se puede ajustar con el comando exec-timeout
en el modo de configuracin de lnea para cada uno de los tipos

de lnea que se utilizan.
exec-timeout minutes seconds
Nota: exec-timeout 0 0 significa que no habr tiempo de

espera y la sesin se mantendr activo durante un tiempo ilimitado.
Se sugiere en laboratorios ...
Mal en las redes de produccin!
No ponga el valor 0!
18
El tiempo predeterminado es de 10 minutos.

Termina una conexin inactiva (consola o vty).
Proporciona nivel de seguridad adicional si el administrador se
aleja de una sesin de consola activa.

Router(config-line)#
exec-timeout minutes [seconds]
Para terminar una conexin de consola desatendida despus de 3 minutos y

30 segundos:
Sudbury(config)# line console 0
Sudbury(config-line)# exec-timeout 3 30
Para desactivar el proceso de lnea:

Sudbury(config)# line aux 0
Sudbury(config-line)# no exec-timeout
19
Encriptar todas las contraseas desde modo global.

Router(config)#
service password-encryption
R1(config)# service password-encryption

R1(config)# exit
R1# show running-config
enable password 7 06020026144A061E
!
line con 0
password 7 094F471A1A0A
login
!
line aux 0
password 7 01100F175804575D72
login
line vty 0 4
password 7 03095A0F034F38435B49150A1819
login
20
Asegure las contraseas de bases de datos locales.

Configuracin de usuario tradicional con contrasea en texto plano.
username name password {[0] password | 7 hidden-password}
Utilice hash MD5 para una fuerte proteccin de contrasea.
Ms seguro que el cifrado de tipo 7.

username name secret {[0] password | encrypted-secret}
21
R1# conf t
R1(config)# username JR-ADMIN password letmein
% Password too short - must be at least 10 characters. Password configuration
failed
R1(config)# username JR-ADMIN password cisco12345
R1(config)# username ADMIN secret cisco54321
R1(config)# line con 0
R1(config-line)# login local
R1# show run | include username

username JR-ADMIN password 7 060506324F41584B564347
username ADMIN secret 5 $1$G3oQ$hEvsd5iz76WJuSJvtzs8I0
R1#
R1 con0 is now available

Press RETURN to get started.
User Access Verification
Username: ADMIN
Password:
R1>
22
Para mejorar la seguridad de las
conexiones de acceso virtuales,

el proceso de inicio de sesin
debe
ser
configurado
con
parmetros especficos:
Implementar
retardos
entre
intentos de conexin sucesivos.
Welcome to SPAN
Engineering
Password: cisco
Password: cisco1
Password: cisco12
Password: cisco123
Password: cisco1234
Habilitar inicio de sesin de cierre

si se sospecha de ataques DoS.
Generar mensajes de registro del
sistema para la deteccin de inicio
de sesin.
23
R1# configure terminal

R1(config)# username ADMIN secret cisco54321
R1(config)# exit
R1(config)# login block-for 120 attempts 5 within 60
R1(config)# ip access-list standard PERMIT-ADMIN
R1(config-std-nacl)# remark Permit only Administrative hosts
R1(config-std-nacl)# permit 192.168.10.10
R1(config-std-nacl)# permit 192.168.11.10
R1(config-std-nacl)# exit
R1(config)# login quiet-mode access-class PERMIT-ADMIN
R1(config)# login delay 10
R1(config)# login on-success log
R1(config)# login on-failure log
R1(config)# exit
Si se producen ms de 5 fallos de conexin en 60 segundos, y todos los
inicios de sesin se desactivarn durante 120 segundos.

Este comando debe emitirse antes de cualquier inicio de sesin, se puede utilizar.
El comando tambin ayuda a proporcionar la deteccin y prevencin de DoS.
El comando login quiet-mode access-class PERMIT-ADMIN permite solo a
esos Pc reactivar secciones inactivas

Si no est configurado, todas las solicitudes de inicio de sesin, ser negado
durante el modo silencioso.
24
R1# show login

A login delay of 10 seconds is applied.
Quiet-Mode access list PERMIT-ADMIN is applied.
Router enabled to watch for login Attacks.
If more than 5 login failures occur in 60 seconds or less,
logins will be disabled for 120 seconds.
Router presently in Normal-Mode.
Current Watch Window
Time remaining: 5 seconds.
Login failures for current window: 4.
Total login failures: 4.
En este ejemplo, el comando de bloqueo de inicio de sesin se ha

configurado para bloquear el inicio de sesin de PC durante 120
segundos si hay ms de 5 peticiones de inicio de sesin fallan dentro de
los 60 segundos.
25
R1#
*Dec 10 15:38:54.455: %SEC_LOGIN-1-QUIET_MODE_ON: Still timeleft for watching failures
is 12 secs, [user: admin] [Source: 10.10.10.10] [localport: 23] [Reason: Login
Authentication Failed - BadUser] [ACL: PERMIT-ADMIN] at 15:38:54 UTC Wed Dec 10 2008
R1# show login
A login delay of 10 seconds is applied.
Quiet-Mode access list PERMIT-ADMIN is applied.
Router enabled to watch for login Attacks.
If more than 5 login failures occur in 60 seconds or less,
logins will be disabled for 120 seconds.
Router presently in Quiet-Mode.
Will remain in Quiet-Mode for 105 seconds.
Restricted logins filtered by applied ACL PERMIT-ADMIN.
R1#
En este ejemplo, no se ha producido intento de registro.

Un mensaje de registro se inicia en la consola que indica que el router est
en modo silencioso.
Todos los intentos de acceso realizados con Telnet, SSH, HTTP y se les
niega con excepcin de lo especificado en el permiso-ADMIN ACL.
26
R1# show login failures

Total failed logins: 22
Detailed information about last 50 failures
Username
admin
Admin
admin
cisco
SourceIPAddr
1.1.2.1
10.10.10.10
10.10.10.10
10.10.10.10
lPort
23
23
23
23
Count
5
13
3
1
TimeStamp
15:38:54 UTC
15:58:43 UTC
15:57:14 UTC
15:57:21 UTC
Wed
Wed
Wed
Wed
Dec
Dec
Dec
Dec
10
10
10
10
2011
2011
2011
2011
R1#
En este ejemplo, el comando identifica el nmero de fallos, nombres de
usuarios intentaron, y las direcciones IP del atacante con una marca de

tiempo que aadieron a cada intento fallido.
27
Mensajes de Banner deben ser utilizados para advertir a los
posibles intrusos de que no son bienvenidos en la red.
Banners son importantes, sobre todo desde una perspectiva
legal.
Los intrusos se han sabido ganar los casos judiciales porque no se
encuentran con mensajes de advertencia correspondientes.
Elegir qu colocar en los mensajes de inicio es muy importante y debe ser
revisado por un abogado antes de ser implementado.
Nunca use la palabra "bienvenido" o cualquier otro saludo familiar o similar
que pueda ser mal interpretado como una invitacin para utilizar la red.
28
Especifique qu es para "uso apropiado" del sistema.

Especifica que el sistema est siendo monitoreado.
Especifica que la privacidad se monitorea cuando se utiliza este
sistema.
No utilice la palabra "bienvenido".
Tener opinin departamento legal del contenido del mensaje.

Router(config)#
banner {exec | incoming | login | motd | slip-ppp} d message d
29
Por defecto, los routers Cisco no tenemos las contraseas de
nivel de lnea configurados para las lneas vty.

Las contraseas deben ser configurados para todas las lneas vty en el
router.
Recuerde que ms lneas vty se pueden aadir al router.
Si la comprobacin de contrasea est activada (es decir, el
comando de inicio de sesin), una contrasea vty tambin debe

estar configurado antes de intentar acceder al router mediante
Telnet.
Si una contrasea vty NO est configurado y la comprobacin de
contraseas est habilitada para vty, un mensaje de error similar a lo
siguiente se produce:
Telnet 10.0.1.2
Trying 10.0.1.2 .. open
Password required, but none set
[Connection to 10.0.1.2 closed by foreign host]
30
Si una contrasea de modo enable no est establecida para el
router, el modo privilegiado EXEC no se puede acceder a travs

de Telnet.
Utilice siempre el comando enable secret password para
establecer la contrasea de activacin.

Nunca utilice el comando enable password!
31
Acceso Telnet debe limitarse slo a los PC administrativos
especificados utilizando ACL:

Permite el acceso Telnet desde slo hosts especficos.
Implcita o explcitamente bloquea el acceso desde lugares no confiables.
Una la ACL a las lneas vty utilizando el comando access-class.
Por ejemplo:
R1(config)# access-list 30 permit 10.0.1.1 0.0.0.0
R1(config-line)# access-class 30 in
32
Un atacante est capturando paquetes utilizando Wireshark en una subred
local.
El atacante est interesada en el trafico TCP Telnet y se da cuenta de que la
direccin IP del administrador (192.168.2.7) ha iniciado una sesin de Telnet

a un dispositivo.
33
Siguiendo el flujo TCP Telnet, el atacante ha capturado nombre de
usuario del administrador (Bob) y la contrasea (cisco123).
34
Cuando el administrador utiliza SSH, el atacante ya no ve los paquetes
de Telnet y en su lugar debe filtrar por direccin IP del administrador.
35
Si se sigue la secuencia de datos, el atacante slo ve los paquetes TCP
y SSH que revelan informacin cifrada intil.
36
Paso 1: Configurar el nombre de
dominio IP.
Paso 2: Generar una clave secreta
RSA.
Paso
3: Crear una entrada de

nombre de usuario de base de datos
local.
Paso 4: Habilitar VTY sesiones SSH
entrantes.
R1# conf t
R1(config)# ip domain-name span.com
R1(config)# crypto key generate rsa general-keys modulus 1024
The name for the keys will be: R1.span.com
% The key modulus size is 1024 bits
% Generating 1024 bit RSA keys, keys will be non-exportable...[OK]
R1(config)#
*Dec 13 16:19:12.079: %SSH-5-ENABLED: SSH 1.99 has been enabled
R1(config)# username Bob secret cisco
R1(config-line)# transport input ssh
R1(config-line)# exit
Opcionalmente, SSH se
puede
utilizar
para
configurar lo siguiente:
versin SSH
Nmero de intentos
de autenticacin
Perodo de tiempo
de espera de SSH
37
Versiones de SSH:
Cisco IOS versin 12.1 (1) T y posteriores admiten SSHv1.
Cisco IOS 12.3 (4) T y posteriores admite tanto SSHv1 y SSHv2 (modo de
compatibilidad).
Para cambiar las versiones, utilice la versin de ssh ip {1 | 2} comando
global.
Nmero de intentos de autenticacin:
Por defecto, un usuario que inicia sesin en dispone de 3 intentos antes de
ser desconectado.
Para configurar un nmero diferente de reintentos SSH consecutivos, utilice
el comando authentication-retries ssh ip en el modo de configuracin
global.
SSH Tiempos de espera:
El intervalo de tiempo predeterminado que el router esperar a que un cliente
SSH para responder durante la fase de negociacin de SSH es de 120
segundos.
Cambie la hora con ip ssh time-out seconds.
38
R1# show ip ssh

SSH Enabled - version 1.99
Authentication timeout: 120 secs; Authentication retries: 3
R1#
R1# conf t
Enter configuration commands, one per line. End with CNTL/Z.
R1(config)# ip ssh version 2
R1(config)# ip ssh authentication-retries 2
R1(config)# ip ssh time-out 60
R1(config)# ^Z
R1#
R1# show ip ssh
SSH Enabled - version 2.0
Authentication timeout: 60 secs; Authentication retries: 2
R1#
39
R2 establece una conexin SSH con R1.
R2# ssh -l Bob

192.168.2.101
Password:
R1>
No hay sesiones SSH actuales en curso con R1.
R1# sho ssh

%No SSHv2 server connections running.
R1#
Hay una sesin SSHv2 de entrada y salida con el usuario Bob.
R1# sho ssh

Connection Version Mode Encryption Hmac
Username
0
2.0
IN
aes128-cbc hmac-sha1
0
2.0
OUT aes128-cbc hmac-sha1
R1#
State
Session started
Session started
Bob
Bob
40
41
En caso de que todos los miembros de un departamento de TI
tienen el mismo nivel de acceso a la infraestructura de red

(routers, switches, AP, ...)?
No!
Configure cualquiera:
Los niveles de privilegios
CLI basado en roles
42
Los Privilegios de Operacion de Seguridad

Configurar AAA
Use comandos show
Configure Firewall
Configure IDS / IPS
Configurar NetFlow
WAN del ingeniero de Privilegios

Configurar enrutamiento
Configuracin de una interfaz
Issue comandos show.
43
Las necesidades de un operador de red de seguridad puede no
ser la misma que la de ingeniero de WAN.
Routers de Cisco permiten la configuracin en los distintos
niveles de privilegios para los administradores.

Diferentes contraseas se pueden configurar para controlar quin tiene
acceso a los diferentes niveles de privilegio.
Hay 16 niveles de privilegio.

Niveles 2 y 14 se pueden configurar mediante el comando de configuracin
global privilegio.
44
Nivel 0: Predefinido para privilegios de acceso a nivel de usuario.

Rara vez se utiliza, incluye cinco comandos: disable, enable, exit,
help, and logout.
Nivel 1: nivel predeterminado de inicio de sesin con el indicador
del router Router>.

Un usuario no puede realizar ningn cambio o ver el archivo de configuracin
en ejecucin.
Niveles2 14: son modificados para requisitos particulares para
los privilegios de nivel de usuario.

Comandos de niveles inferiores pueden ser movidos a uno ms alto, o lo
contrario.
Nivel 15(Privilegiado): Reservado para los privilegios modo
enable (comando enable).

Los usuarios pueden ver y modificar todos los aspectos de la configuracin.
45
Router(config)#
privilege mode {level level command | reset command}
Comando
Descripcin
mode
especifica el modo de configuracin.

Utilice comando de privilegio para ver una lista de los modos de router.
level
(Opcional) Este comando permite establecer un nivel de privilegio con un comando

especificado.
level command
(Opcional) Este parmetro es el nivel de privilegio que est asociado con un comando.
Puede especificar hasta 16 niveles de privilegio, utilizando nmeros del 0 al 15.
reset
(Opcional) Este comando restablece el nivel de privilegios de un comando.
command
(Opcional) Este es el argumento de comando para utilizar cuando usted quiere

restablecer el nivel de privilegio.
46
En este ejemplo, se crearon cuatro cuentas de usuario.

Una cuenta de USER de Nivel 1 de acceso.
Una cuenta SUPPORT con el Nivel 5.
Una cuenta de JR-ADMIN con los mismos privilegios que la cuenta de
SUPPORT, adems de acceso al comando reload.
Una cuenta JR-ADMIN que tiene todos los comandos EXEC privilegiados
regulares.
R1# conf t
R1(config)#
R1(config)#
R1(config)#
R1(config)#
R1(config)#
R1(config)#
R1(config)#
R1(config)#
R1(config)#
R1(config)#
R1(config)#
R1(config)#
username USER privilege 1 secret cisco

privilege exec level 5 ping
enable secret level 5 cisco5
username SUPPORT privilege 5 secret cisco5
privilege exec level 10 reload
enable secret level 10 cisco10
username JR-ADMIN privilege 10 secret cisco10
username ADMIN privilege 15 secret cisco123
47
El administrador prueba las cuentas y registra como usuario de
Nivel 1.
Los nombres de usuario no distinguen entre maysculas y minsculas de
forma predeterminada.
Observe el smbolo indica el nivel 1 (R1>).
El comando ping que normalmente est disponible desde el nivel 1 ya no
est disponible.
Username: user
Password: <cisco>
R1> show privilege
Current privilege level is 1
R1# ping 10.10.10.1
^
% Invalid input detected at '^' marker.
R1>
48
El administrador verifica el nivel de acceso 5.

El comando enable se utiliza para pasar de nivel 1 al nivel 5.
Observe ahora el usuario puede hacer ping pero no puede utilizar el
comando reload.
R1> enable 5
Password:<cisco5>
R1#
R1# show privilege
R1#
R1# ping 10.10.10.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.10.10.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/4 ms
R1#
R1# reload
Translating "reload"
Translating "reload"
% Unknown command or computer name, or unable to find computer address
R1#
49
El administrador verifica el nivel de acceso 10.

Una vez ms, el comando enable nivel se utiliza para pasar de nivel 5 al
nivel 10.
Note ahora el comando ping y el comando reload estn disponibles, sin
embargo, el comando show running-config no es.
R1# enable 10
Password:<cisco10>
R1# show privilege
R1# ping 10.10.10.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.10.10.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/4 ms
R1# reload
System configuration has been modified. Save? [yes/no]: ^C

^
% Invalid input detected at '^' marker.
R1#
50
Por ltimo, el administrador verifica el acceso privilegiado EXEC Nivel
15.
Una vez ms, el comando enable nivel se utiliza para pasar de nivel 10 a
nivel 15.
Ahora todos los comandos estn disponibles.
R1# enable 15
Password: <cisco123>
R1# show privilege
Building configuration...
Current configuration : 1145 bytes
!
version 12.4
<output omitted>
51
No hay control de acceso a las interfaces, puertos, interfaces
lgicas, y los horarios en un router.

Comandos disponibles en los niveles de privilegios ms bajos
siempre son ejecutables en los niveles superiores.

Asignacin de un comando con varias palabras clave a un nivel
de privilegio especfica asigna todos los comandos asociados con

las primeras palabras clave en el mismo nivel de privilegio.
Un ejemplo es el comando show ip route.
Si un administrador tiene que crear una cuenta de usuario que
tiene acceso a la mayora, pero no todas las rdenes,

instrucciones EXEC privilegio deben estar configurados para
cada comando que se debe ejecutar en un nivel de privilegio
inferior a 15.
Esto puede ser un proceso tedioso.
52
Los niveles de privilegios y de enable modo no proporcionan el
nivel necesario de detalle necesario al trabajar con routers y

switches Cisco IOS.
La funcin de CLI de acceso basado en roles permite al
administrador definir "vistas".

Las vistas son un conjunto de comandos de operacin y capacidades de
configuracin que proporcionan acceso selectivo o parcial de comandos de
modo de configuracin de Cisco IOS EXEC.
Vistas restringidas al acceso de usuarios a la CLI de Cisco IOS y la
informacin de configuracin, es decir, una vista puede definir los comandos
aceptados y la informacin de configuracin es visible.
53
Root Vista se requiere define Vistas y Superviews.

Vistas contienen comandos.
Un comando puede aparecer en ms de una vista.
Root Ver
Vista #1
Vista #2
Vista #3
show ip route
show run
show
interfaces
Vista #4
Vista #5
Vista #6
int fa0/0
54
Vista raz es el punto ms alto de vista administrativo.

Creacin y modificacin de una vista o 'supervista' slo es posible en la vista
raz.
La diferencia entre la vista de la raz y el nivel de privilegio 15 es que slo un
usuario vista root puede crear o modificar las opciones y superviews.
Vistas CLI basados en funciones requieren AAA:

Esto es necesario incluso con la autenticacin de vista local.
Un mximo de 15 roles de vista de la CLI puede existir adems
de la vista raz.
55
Antes de crear una vista, AAA debe estar habilitado mediante el
comando aaa nuevo modelo.
A continuacin, utilice el comando enable con el parmetro a fin
de entrar en la vista de la raz.

E.g., enable view
Opcionalmente, tambin puede utilizar enable view root.
Utilice la contrasea de privilegio 15 (enable secret), si se le pide
para la autenticacin (si se ha configurado la autenticacin).
56
Introduzca un nivel de privilegio o una vista CLI.

Utilice comando enable con el parmetro de entrar en la vista de
la raz.
Vista Root requiere privilegios de nivel 15 autenticacin.
Router#
enable [privilege-level] [view [view-name]]
El comando aaa-new model debe ser ingresado.

R1(config)# aaa new-model
R1(config)# exit
R1# enable view
Password:
R1#
%PARSER-6-VIEW_SWITCH: successfully set to view 'root'
57
Permitir Parmetros
Router#
enable [privilege-level] [view [view-name]]
Parameter
Description
privilege-level
(Opcional) Establece el nivel de privilegio a entrar.
view
(Opcional) Introduce vista raz, que permite a los usuarios

configurar vistas de la CLI. Se requiere esta palabra clave
si desea configurar una vista CLI.
view-name
(Opcional) Permite ingresar o salir de una vista CLI

especificado. Esta palabra clave se puede utilizar para
cambiar de una vista CLI a otra vista de la CLI.
58
Crea una vista.

Router(config)#
parser view view-name
Establece una contrasea para proteger el acceso a la vista.

Aade comandos o interfaces para una vista.
Router(config-view)#
password encrypted-password
commands parser-mode {include | include-exclusive | exclude} [all] [interface
interface-name | command]
Ejemplo config establecer una contrasea y agregar comandos a
la vista denominada MONITOR-VIEW.

R1(config)# parser view MONITOR-VIEW
R1(config-view)# password cisco
R1(config-view)# commands exec include show version
59
commands parser-mode {include | include-exclusive | exclude} [all] [interface
interface-name | command]
Parametro
Descripcin
parser-mode
Especifica el modo en el que existe el comando especificado (e.g.

exec mode).
include
Aade un comando o una interfaz a la vista y permite que el mismo

comando o interfaz que se aade a una vista adicional.
include-exclusive
Aade un comando o una interfaz para la vista y excluye el mismo

comando o interfaz que se agregue a todos los otros puntos de vista.
exclude
Excluye un comando o una interfaz de la vista, es decir, los usuarios

no pueden acceder a un comando o una interfaz.
all
(Opcional) Especifica un "comodn" que permite a cada comando en

un modo de configuracin especificado que comienza con la misma
palabra clave o cada subinterfaz para una interfaz especificada para
ser parte de la vista.
interface interfacename
(Opcional) Especifica una interfaz que se agrega a la vista.
command
(Opcional) Especifica un comando que se agrega a la vista.
60
La vista CLI FIRST es creado y configurado para incluir los
comandos show version, configure terminal y todos los comandos

que empiecen con show ip.
R1(config)# aaa new-model

R1(config)# exit
R1# enable view
%PARSER-6-VIEW_SWITCH: successfully set to view root.
R1# configure terminal
R1(config)# parser view FIRST
%PARSER-6-VIEW_CREATED:view FIRST successfully created.
R1(config-view)# secret firstpass
R1(config-view)# command exec include show version
R1(config-view)# command exec include configure terminal
R1(config-view)# command exec include all show ip
R1(config-view)# exit
61
A continuacin, el administrador deber verificar la configuracin
mediante la introduccin y la visualizacin de los comandos

disponibles.
Cuando un usuario entra en la vista CLI, aparece un mensaje de indicacin.
Adems de los comandos enable y exit que estn disponibles en todos

los puntos de vista, los nicos dos comandos que son visibles en la vista de
la CLI configure y show.
R1> enable view FIRST
Password:
%PARSER-6-VIEW_SWITCH:successfully set to view FIRST'.
R1# ?
Exec commands:
configure
Enter configuration mode
enable
Turn on privileged commands
exit
Exit from the EXEC
show
Show running system information
62
A fin de verificar la configuracin de la vista, el administrador
observa las opciones disponibles del comando show.

Las opciones disponibles incluyen parser, que siempre est disponible, y
las palabras clave configuradas ip y version.
R1# show ?
ip
parser
version
IP information
Display parser information
System hardware and software status
63
A continuacin, el usuario verifica que todos los sub-opciones del
comando show ip estn disponibles en la vista.
R1# show ip ?
access-lists
accounting
aliases
arp
as-path-access-list
bgp
cache
casa
cef
community-list
dfp
dhcp
--More--
List IP access lists

The active IP accounting database
IP alias table
IP ARP table
List AS path access lists
BGP information
IP fast-switching route cache
Display casa information
Cisco Express Forwarding
List community-list
DFP information
Show items in the DHCP database drp
Ahora asigne la vista a un usuario.

R1# config t
R1(config)# username Bob view FIRST password cisco123
64
R1(config)# parser view SHOWVIEW

*Mar 1 09:54:54.873: %PARSER-6-VIEW_CREATED: view SHOWVIEW' successfully
created.
R1(config-view)# secret cisco
R1(config-view)# commands exec include show version
R1(config)# parser view VERIFYVIEW
*Mar 1 09:55:24.813: %PARSER-6-VIEW_CREATED: view VERIFYVIEW' successfully
created.
R1(config-view)# commands exec include ping
% Password not set for the view VERIFYVIEW
R1(config-view)# secret cisco5
R1(config-view)# commands exec include ping
R1(config)# parser view REBOOTVIEW
R1(config-view)#
*Mar 1 09:55:52.297: %PARSER-6-VIEW_CREATED: view REBOOTVIEW' successfully
created.
R1(config-view)# commands exec include reload
65

<Output omitted>
parser view SHOWVIEW
secret 5 $1$GL2J$8njLecwTaLAc0UuWo1/Fv0
commands exec include show version
commands exec include show
!
parser view VERIFYVIEW
secret 5 $1$d08J$1zOYSI4WainGxkn0Hu7lP1
commands exec include ping
!
parser view REBOOTVIEW
secret 5 $1$L7lZ$1Jtn5IhP43fVE7SVoF1pt.
commands exec include reload
!
66
Superviews contienen vistas pero no comandos.

Dos Superviews pueden utilizar el mismo punto de vista.
Por ejemplo, tanto Superview 1 y Superview 2 pueden incluir CLI
View 4.
Root Ver
CLI Vistas
Vista #1
Vista #2
Vista #3
Vista #4
Vista #5
Vista #6
command exec
command exec
command exec
command exec
command exec
command exec
Superview #1
View #1
View #2
command exec command exec
View #4
command exec
Superview #2
View #3
View #5
command exec
command exec
View #4
View #6
command exec
command exec
67
Una vista de la CLI se puede compartir entre varios supervista.
Las rdenes no se pueden configurar para un supervista.

Commands are added to CLI views.
Users who are logged in to a superview can access all of the commands that
are configured for any of the CLI views that are part of the supervista.
Cada supervista tiene una contrasea que se utiliza para cambiar
entre superviews o desde un punto de vista de la CLI a un

supervista.
Si se elimina un supervista, no se eliminan puntos de vista de la
CLI asociados con ese supervista.
68
Al aadir la palabra clave superview al parser view comando crea un
supervista y entra en el modo de vista de la configuracin.

Router(config)#
parser view view-name superview
Establece una contrasea para proteger el acceso a la supervista.

La contrasea debe ser creado inmediatamente despus de la creacin de una
visin de lo contrario aparecer un mensaje de error.

secret encrypted-password
Adds a CLI view to a superview.
Se pueden aadir mltiples puntos de vista.

Las vistas pueden ser compartidos entre superviews.
view view-name
69
R1(config)# parser view USER superview

* Mar 1 09:56:26.465 : %PARSER-6-SUPER_VIEW_CREATED: super view 'USER' successfully created.
R1(config-view)# secret cisco
R1(config-view)# view SHOWVIEW
*Mar 1 09:56:33.469: %PARSER-6-SUPER_VIEW_EDIT_ADD: view SHOWVIEW added to superview USER.
R1(config)# parser view SUPPORT superview
*Mar 1 09:57:33.825 : %PARSER-6-SUPER_VIEW_CREATED: super view 'SUPPORT' successfully
created.
*Mar 1 09:57:45.469: %PARSER-6-SUPER_VIEW_EDIT_ADD: view SHOWVIEW added to superview SUPPORT.
R1(config-view)# view VERIFYVIEW
*Mar 1 09:57:57.077: %PARSER-6-SUPER_VIEW_EDIT_ADD: view VERIFYVIEW added to superview
SUPPORT.
R1(config)# parser view JR-ADMIN superview
*Mar 1 09:58:09.993: %PARSER-6-SUPER_VIEW_CREATED: super view 'JR-ADMIN' successfully
created.
*Mar 1 09:58:26.973: %PARSER-6-SUPER_VIEW_EDIT_ADD: view SHOWVIEW added to superview JRADMIN.
R1(config-view)# view VERIFYVIEW
*Mar 1 09:58:31.817: %PARSER-6-SUPER_VIEW_EDIT_ADD: view VERIFYVIEW added to superview JRADMIN.
R1(config-view)# view REBOOTVIEW
*Mar 1 09:58:39.669: %PARSER-6-SUPER_VIEW_EDIT_ADD: view REBOOTVIEW added to superview JRADMIN.
70
<output omitted>
!
parser view SUPPORT superview
secret 5 $1$Vp1O$BBB1N68Z2ekr/aLHledts.
view SHOWVIEW
view VERIFYVIEW
!
parser view USER superview
secret 5 $1$E4k5$ukHyfYP7dHOC48N8pxm4s/
view SHOWVIEW
!
parser view JR-ADMIN superview
secret 5 $1$8kx2$rbAe/ji220OmQ1yw.568g0
view SHOWVIEW
view VERIFYVIEW
view REBOOTVIEW
!
71
R1# enable view USER

Password:
*Mar 1 09:59:46.197: %PARSER-6-VIEW_SWITCH: successfully set to view 'USER'.
R1# ?
Exec commands:
enable Turn on privileged commands
exit
Exit from the EXEC
show
Show running system information
R1#
R1# show ?
flash:
display information about flash: file system
version System hardware and software status
R1#
72
R1# enable view SUPPORT

Password:
*Mar 1 10:00:11.353: %PARSER-6-VIEW_SWITCH: successfully set to view 'SUPPORT'.
R1# ?
Exec commands:
enable Turn
exit
Exit
ping
Send
show
Show
on privileged commands
from the EXEC
echo messages
running system information
R1#
73
R1# enable view JR-ADMIN

Password:
*Mar 1 10:00:28.365: %PARSER-6-VIEW_SWITCH: successfully set to view 'JR-ADMIN'.
R1# ?
Exec commands:
enable Turn
exit
Exit
ping
Send
reload Halt
show
Show
on privileged commands
from the EXEC
echo messages
and perform a cold restart
running system information
R1#
74
Al supervisar CLI basado en roles, utilice la vista comando show
para mostrar informacin acerca de la opinin de que el usuario

est actualmente.
La palabra all muestra toda la informacin clave para todas las vistas
configuradas.
La palabra clave all est disponible slo para usuarios root.
Sin embargo, la palabra clave puede ser configurado por un usuario en la
vista de la raz a estar disponible para los usuarios en cualquier vista de la
CLI.
Para mostrar los mensajes de depuracin para todas las vistas,
utilice el debug parser view comando en modo EXEC

privilegiado.
75
R1# show parser view

No view is active ! Currently in Privilege Level Context
R1#
R1# enable view
Password:
*Mar 1 10:38:56.233: %PARSER-6-VIEW_SWITCH: successfully set to view 'root'.
R1#
R1# show parser view
Current view is 'root'
R1#
R1# show parser view all
Views/SuperViews Present in System:
SHOWVIEW
VERIFYVIEW
REBOOTVIEW
SUPPORT *
USER *
JR-ADMIN *
ADMIN *
-------(*) represent superview------R1#
76
Si un router se ve comprometida, hay un riesgo de que el la
imagen del sistema operativo y de configuracin se pueden

borrar.
Amenaza la disponibilidad (tiempo de inactividad)
Necesidad de asegurar el bootsistem primaria.

El archivo de configuracin y la imagen IOS que se ejecuta
SCP Nota: Adems de los archivos de configuracin de
funciones, configuracin de imagen y recuperacin se pueden

copiar de forma segura a otro dispositivo mediante Secure Copy
(SCP).
Proporciona un mtodo seguro y autenticado para copiar archivos de imagen
de configuracin del router o enrutador entre dispositivos.
Se basa en Secure Shell (SSH).

77
La caracterstica de configuracin Resilient Cisco IOS permite a
un router para asegurar y mantener una copia de trabajo de la

imagen en ejecucin y los archivos de configuracin.
Acelera el proceso de recuperacin.
Los archivos se almacenan de forma local.
Caracterstica se puede desactivar a travs de una sesin de consola.
78
Para activar Cisco IOS imagen de recuperacin, utilice:

Router(config)#
secure boot-image
Para guardar una copia segura del bootset primaria en el
almacenamiento permanente, utilice:

Router(config)#
secure boot-config
R1(config)# secure boot-image

R1(config)# secure boot-config
79
Para mostrar el estado de la capacidad de recuperacin de
configuracin y el nombre del archivo bootset primaria, utilice el

comando:
R1# show secure bootset
IOS resilience router id JMX0704L5GH
IOS image resilience version 12.3 activated at 08:16:51 UTC Sun Jun 16 2005
Secure archive slot0:c3745-js2-mz type is image (elf) []
file size is 25469248 bytes, run size is 25634900 bytes
Runnable image, entry point 0x80008000, run from ram
IOS configuration resilience version 12.3 activated at 08:17:02 UTC Sun Jun 16
2002
Secure archive slot0:.runcfg-20020616-081702.ar type is config configuration
archive size 1059 bytes
80
Si un router se ve comprometida, lo que tienes que volver a
cargarlo para iniciar el procedimiento de recuperacin.

La recarga no siempre es necesario y puede depender de las circunstancias.
Es necesario ingresar en modo ROMMON.

Utilice los comandos dir y boot para listar el contenido del dispositivo con
bootset seguro y arrancar el router utilizando la imagen bootset seguro.
rommon 1 >
dir [filesystem:]
boot [partition-number:][filename]
81
Tras el arranque del router y si se ha eliminado la configuracin
de inicio, el router le pedir configurar entrada interactiva.

Negarse a entrar en una sesin de configuracin interactiva.
Use el comando secure boot-config restore para
recuperar la configuracin de inicio seguro.

Router(config)#
secure boot-config [restore filename]
rommon 1 > dir slot0:

rommon 2 > boot slot0:c3745-js2-mz
....
Router(config)# secure boot-config restore slot0:RESCUE-CFG
Router# copy slot0:RESCUE-CFG running-config
82
Router# dir flash:

Directory of flash:/
1
2
-rw-rw-
23587052
600
Jan 9 2010 17:16:58 +00:00

Sep 26 2010 07:28:12 +00:00
c181x-advipservicesk9-mz.124-24.T.bin
vlan.dat
128237568 bytes total (104644608 bytes free)

Router# dir nvram:
Directory of nvram:/
189
190
191
1
2
3
-rw----rw-rw-rw----
1396
24
1396
0
593
32
startup-config
private-config
underlying-config
ifIndex-table
IOS-Self-Sig#3401.cer
persistent-data
<output omitted>
83
Fije la imagen del IOS.

Asegure el archivo de configuracin de inicio.
R1# config t
R1(config)# secure boot-image
R1(config)#
%IOS_RESILIENCE-5-IMAGE_RESIL_ACTIVE: Successfully secured running image
R1(config)# secure boot-config
R1(config)#
%IOS_RESILIENCE-5-CONFIG_RESIL_ACTIVE: Successfully secured config archive
[flash:.runcfg-20101017-020040.ar]
84
Compruebe la configuracin de la recuperacin del IOS.
R1# show secure bootset

IOS resilience router id FHK110913UQ
IOS image resilience version 12.4 activated at 02:00:30 UTC Sun Oct 17 2010
Secure archive flash:c181x-advipservicesk9-mz.124-24.T.bin type is image (elf) []
file size is 23587052 bytes, run size is 23752654 bytes
Runnable image, entry point 0x80012000, run from ram
IOS configuration resilience version 12.4 activated at 02:00:41 UTC Sun Oct 17
2010
Secure archive flash:.runcfg-20101017-020040.ar type is config
configuration archive size 1544 bytes
85
Verifique la flash para asegurarse de que el archivo de imagen
del IOS est protegida.
R1# dir flash:

2
-rw-
600
Sep 26 2010 07:28:12 +00:00
vlan.dat
86
Verifique la configuracin borrando la configuracin de inicio y
recargar el router.
R1# erase startup-config
Erasing the nvram filesystem will remove all configuration files! Continue?
[confirm]
[OK]
Erase of nvram: complete
R1# show startup-config
startup-config is not present
R1# reload
System configuration has been modified. Save? [yes/no]: n
Proceed with reload? [confirm]
...
Router> enable
Router# show secure bootset
%IOS image and configuration resilience is not active
87
Extraiga el archivo de configuracin de inicio de copia de
seguridad del archivo seguro y guardarlo.

Vuelva a colocar la configuracin actual con el archivo.
Router# config t
Router(config)# secure boot-config restore flash:archived-config
ios resilience:configuration successfully restored as flash:archived-config
Router(config)# ^C
Router# configure replace flash:archived-config
This will apply all necessary additions and deletions
to replace the current running configuration with the
contents of the specified configuration file, which is
assumed to be a complete configuration, not a partial
configuration. Enter Y if you are sure you want to proceed. ? [no]: y
Total number of passes: 1
Rollback Done
R1# copy run start
88
Para probar que la funcin de imagen de arranque de seguridad
funciona, formato flash.
R1# format flash:

Format operation may take a while. Continue? [confirm]
Format operation will destroy all data in "flash:". Continue? [confirm]
Writing Monlib sectors...
Monlib write complete
Format: All system sectors written. OK...
Format: Total sectors in formatted partition: 250848
Format: Total bytes in formatted partition: 128434176
Format: Operation completed successfully.
Format of flash: complete
R1#
89
Compruebe que el flash se borra y vuelve a cargar el router.
R1# dir
No files in directory
Router# reload
Proceed with reload? [confirm]
*Oct 17 02:37:37.127: %SYS-5-RELOAD: Reload requested
: Reload Command.
by console. Reload Reason
90
Arranca el router utilizando la imagen de IOS garantizado.
...
cisco Systems, Inc.
170 West Tasman Drive
San Jose, California 95134-1706
Cisco IOS Software, C181X Software (C181X-ADVIPSERVICESK9-M), Version 12.4(24)T,
RELEASE SOFTWARE (fc1)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2009 by Cisco Systems, Inc.
Compiled Thu 26-Feb-09 03:22 by prod_rel_team
...
R1> enable
Password:
91
En el caso de que un router se vea comprometido o necesita ser
recuperado de una contrasea mal configurado, un administrador

debe entender los procedimientos de recuperacin de
contrasea.
Por razones de seguridad, recuperacin de contraseas requiere
que el administrador tenga acceso fsico al router a travs de un

cable de consola.
92
93
94
95
96
Acceso Router debe ser protegido a travs de la consola,
auxiliar, y lneas vty / puertos.
De forma predeterminada, los puertos de consola del router
Cisco permiten una seal BREAK (dentro de los 60 segundos de

un reinicio) para interrumpir la secuencia de arranque normal y
dar al usuario un control completo de consola del router.
97
El comando de recuperacin de contrasea de ningn servicio se
puede utilizar para desactivar la secuencia recuperacin forzada.

El comando es un comando oculto Cisco IOS.
PRECAUCIN:
Se desactivar Todos los accesos a la ROMmon.
Para reparar el router, debe obtener una nueva imagen de IOS de Cisco en
un SIMM Flash, o en una tarjeta PCMCIA (3600) o devolver el router Cisco.
NO USE ESTE COMANDO EN NUESTRO LABORATORIO!
98
R1(config)# no service password-recovery

WARNING:
Executing this command will disable password recovery mechanism.
Do not execute this command without another plan for password recovery.
Are you sure you want to continue? [yes/no]: yes
R1(config)
R1# sho run
Building configuration...
Current configuration : 836 bytes
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-recovery
System Bootstrap, Version 12.4(13r)T, RELEASE SOFTWARE (fc1)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 2006 by cisco Systems, Inc.
PLD version 0x10
GIO ASIC version 0x127
c1841 platform with 131072 Kbytes of main memory
Main memory is configured to 64 bit mode with parity disabled
PASSWORD RECOVERY FUNCTIONALITY IS DISABLED
program load complete, entry point: 0x8000f000, size: 0xcb80
99
Revisando la Gestin y los

Reportes Caractersticos
100
Configuracin de la administracin por un par de dispositivos es
una operacin bastante simple y directa.
Configuracin del registro para cientos de dispositivos puede ser
muy difcil.
101
El flujo de informacin entre los hosts de gestin y los dispositivos
administrados pueden tomar dos caminos.

Fuera de banda (OOB):
Los flujos de informacin
dentro de una red en la que
reside, sin trfico de
produccin.
Dentro de la banda:
La informacin fluye a travs
de la red de la empresa de
produccin o de Internet (o
ambos).
102
Algunas de las preguntas que deben ser considerados en el
diseo de una solucin de gestin dentro de banda:
Qu protocolos de gestin tiene cada soporte de dispositivos?

Hay que estar activo en todo momento el canal de gestin?
Es necesario SNMP?
Qu son los registros ms importantes?
Cmo son los mensajes importantes separadas de las notificaciones
ordinarias?
Cmo se previene la manipulacin de los registros?
Qu datos de registro se necesita en las investigaciones criminales?
Cmo lidiar con el volumen de los mensajes de registro?
Cmo controla todos los dispositivos?
Cmo se puede realizar un seguimiento de los cambios cuando se
producen ataques o fallos en la red?
103
Slo se aplican a dispositivos que necesitan ser gestionado o
supervisado.
Utilizar IPsec cuando sea posible.
Utilice SSH o SSL en lugar de Telnet.
Decida si el canal de gestin debe estar abierta en todo
momento.
Mantener los relojes en los hosts y dispositivos de red
sincronizada.
Registre los cambios y configuraciones de archivo.
104
Proporcionar ms alto nivel de seguridad y mitigar el riesgo de
transmitir protocolos de manejo inseguras travs de la red de

produccin.
Mantener los relojes en los hosts y dispositivos de red
sincronizada.
Registre los cambios y configuraciones de archivo.
105
Los routers deben configurarse para enviar mensajes de registro
a uno o ms de los siguientes:

Consola
lneas de terminales
buffer de memoria
servidor SNMP
servidor Syslog
106
Tenga en cuenta que el destino de registro utilizado afecta y
sobrecarga el sistema.
La mayor parte de arriba
Inicio de sesin en la consola.

Registrar en VTY.
Ingreso a un servidor Syslog.
Inicio de sesin en un bfer interno.
menos gastos generales
107
Servidor Syslog: Un anfitrin que acepta y procesa los mensajes
de registro de uno o ms clientes syslog.

Cliente Syslog: Un host, que genera mensajes de registro y las
enva a un servidor syslog.

Routers, switches, pixs, ASA, puntos de acceso, servidores, ...
108
Nivel ms alto
Nivel ms bajo
De forma predeterminada, el nivel de gravedad 7 (depuracin) Los
mensajes se envan al puerto de consola del router (con0 lnea).

NOTA: El nivel vara segn la plataforma y la liberacin de IOS.
109
Nivel y Nombre
Definicin
Ejemplo
0 LOG_EMERG
Una condicin de pnico normalmente difunde a todos los

usuarios.
Software Cisco IOS no

pudo cargar.
1 LOG_ALERT
Una condicin que debe ser corregida de inmediato, como

una base de datos del sistema daado.
La temperatura es
demasiado alta.
2 LOG_CRIT
Condiciones crticas, por ejemplo, errores de dispositivos de

disco.
No se puede asignar
memoria.
3 LOG_ERR
Errores
Tamao de la memoria
no vlida.
4 LOG_WARNING
Los mensajes de advertencia.
Crypto operacin fallida.
5 LOG_NOTICE
Las condiciones que no son las condiciones de error, pero

posiblemente debern dirigirse
Interfaz cambiado de
estado, arriba o abajo
6 LOG_INFO
mensajes informativos
Paquete negada por ACL
7 LOG_DEBUG
Los mensajes que contienen la informacin que normalmente

es usada slo eliminando fallos.
Tipo de paquete invalido.
110
Marca de Tiempo
Mensajes de Texto
Oct 29 10:00:01 EST: %SYS-5-CONFIG_I: Configured from console by vty0 (10.2.2.6)
Mensaje de
registro Nombre y
Nivel de gravedad
Nota: El nombre del mensaje de registro no es el mismo que un nombre de nivel de gravedad.
111
1. Configure el host de registro de destino.

Puede especificar la direccin IP o el nombre DNS.
Router(config)#
logging host [host-name | ip-address]
Parametro
host-name
ip-address
Descripcin
El nombre de la mquina que desea utilizar como servidor syslog.
La direccin IP de la mquina que desea utilizar como servidor syslog.
112
2. (Opcional) Configure el nivel de gravedad del registro (trampa).

Router(config)#
logging trap level
Parametro
level
Descripcin
Limita el registro de mensajes a los servidores syslog a un nivel especificado.
Puede introducir el nmero de nivel (0 a 7) o el nombre del nivel.
113
3. (Opcional) Configure la interfaz de origen.

Especifica que los paquetes de registro del sistema contienen la direccin IP
o IPv6 de una interfaz en particular, independientemente de la interfaz del
paquete utiliza para salir del router.
Router(config)#
logging source-interface interface-type interface-number
Parametro
Descripcin
interface-type
El tipo de interfaz (por ejemplo, FastEthernet)
interface-number
El nmero de interfaz (por ejemplo, 0/1)
114
4. Habilitar registro
Puede habilitar o deshabilitar el registro de forma individual:
[no] logging buffered
[no] logging monitor
Sin embargo, si el registro no est configurado en el comando, no hay

mensajes sern enviados a estos destinos.
Router(config)#
logging on
115
Lo
0
R3(config)#
R3(config)#
R3(config)#
R3(config)#
logging
logging
logging
logging
R3
10.2.2.6
trap informational
source-interface loopback 0
on
116
La opcin de control VTY es el mtodo ms prctico para la
visualizacin de eventos de registro en tiempo real.
Para ver los mensajes del sistema durante una sesin VTY (line
vty 0 - 4), monitor de registro se debe configurar.
Para habilitar el registro de monitor, utilice el comando de
configuracin de registro del monitor [ intensidad ] .
117
Hmmm ...yo tengo Telnet en un router y entr debug ip packet , pero
no veo ninguna salida. Por qu?
Usted tiene que introducir el comando enable ejecutivo terminal
monitor para activar el registro y ver la salida de mensajes de la

consola al vty.
Telnet desde otro servidor y utilice el comando EXEC terminal
monitor para ver la salida.
R3(config)# logging monitor

R3(config)# logging monitor error
118
Se recomienda establecer dos sesiones de VTY:

Uno para la visualizacin de datos de informes de eventos.
El otro para la ejecucin de comandos.
Por qu?
Una terminal de monitoreo est activado, no se puede desactivar en la sesin
VTY.
Una gran cantidad de datos de registro se puede generar, oscureciendo el
VTY con el registro de salida y la toma de entrada de comandos es muy difcil
a veces.
119
Configuracin NTP
120
El tiempo se ha inventado en el universo porque todo no iba a
pasar a la vez.
El NTP FAQ y HOWTO - http://www.ntp.org/ntpfaq/
Muchas de las caractersticas de una red de PC dependen de la
sincronizacin de tiempo:
Para obtener informacin de la hora exacta de los mensajes syslog.
Certificado de autenticacin basada en VPN.

ACL con la configuracin de rango de tiempo
121
El corazn de tiempo del router es el reloj del sistema basado en
software.
Este reloj realiza un seguimiento del tiempo a partir del momento se inicia el
sistema.
El reloj del sistema se puede configurar a partir de un nmero de
fuentes y se puede utilizar para distribuir la hora actual a travs

de diversos mecanismos a otros sistemas.
El reloj del sistema se puede establecer:
Utilizando manualmente el reloj comando EXEC privilegiado.
Automticamente utilizando el protocolo de tiempo de red (NTP).
NTP es un protocolo de Internet que se utiliza para sincronizar
los relojes de los dispositivos conectados a la red en cierta

referencia de tiempo. NTP es un protocolo estndar de Internet
actualmente en v3 y especificado en el RFC 1305.
122
NTP est diseado para sincronizar el tiempo una red.

NTP se ejecuta sobre UDP.
Una red NTP generalmente obtiene el tiempo desde una fuente de hora
autorizada, tal como un reloj de radio.

NTP luego distribuye esta vez a travs de la red.
NTP es extremadamente eficiente; no ms de un paquete por minuto es
necesario sincronizar dos mquinas dentro de 1 mseg de uno al otro.
Dispositivos Cisco soportan NTP v3 (RFC 1305).

NTP v4 est en desarrollo, pero NTP v3 es el estndar de Internet.
Servicios NTP estn habilitadas en todas las interfaces por defecto.

Para desactivar NTP en una interfaz especfica, utilice el ntp deshabilitar
123
Para configurar un router como la fuente horaria con autoridad,
utilice el ntp master en modo de configuracin global.
Para configurar un router como un cliente NTP, ya sea:

Crear una asociacin a un servidor utilizando el servidor NTP.
Configure el router para escuchar NTP paquetes de difusin utilizando
el cliente ntp broadcast.
124
Aunque el router puede configurarse con cualquiera de un par o
una asociacin de servidor, los clientes NTP se configuran

tpicamente con un servidor de asociacin (lo que significa que
slo este sistema se sincronizar con el otro sistema, y no al
revs).
Para permitir que el reloj de software para la sincronizacin con
un servidor de hora NTP, utilice el servidor NTP en modo de

configuracin global.
.
Router(config)#
ntp server {ip-address | hostname} [version number] [key keyid] [source interface]
[prefer]
125
NTP broadcast client: Adems de o en lugar de la creacin de
asociaciones de unidifusin NTP, el sistema puede ser

configurado para escuchar para transmitir paquetes sobre una
base por interfaz.
Para ello, utilice el cliente ntp broadcast comando en modo de
configuracin de interfaz.
Router(config-if)#
ntp broadcast client
126
El tiempo que mantiene una mquina es un recurso crtico, por lo
que las caractersticas de seguridad de NTP se deben utilizar

para evitar el ajuste accidental o malicioso de tiempo correctos.
Dos mecanismos estn disponibles:
Esquema de restriccin basada en ACL

Cifradas de autenticacin
127
Command
Description
ntp authenticate
Activa la funcin de autenticacin de NTP.

Si no se especifica este comando, el sistema no se
sincronizar con otro sistema a menos que mensajes
NTP de otro sistema 'llevan una de las claves de
autenticacin especificados
ntp authentication-key number

md5 value
Define una clave de autenticacin compatible con

MD5.
La nomenclatura md5 es el nico tipo de clave que
este comando admite.
El valor de la clave puede ser cualquier cadena
arbitraria de hasta ocho caracteres.
ntp trusted-key key-number
Define las claves de autenticacin de confianza..
128
Activar la funcin de autenticacin.

Router(config)#
ntp authentication
Definir la clave de autenticacin para ser utilizado tanto para las
asociaciones entre pares y el servidor.

Router(config)#
ntp authentication-key key-number md5 value
Definir qu tecla es confiable.

Router(config)#
ntp trusted-key key-number
129
209.165.201.1
R1
Fa0/0
209.165.200.225
Internet
R2
Fa0/1
R3
R1(config)# ntp master 5

R1(config)# ntp authentication-key 1 md5 R1-SECRET
R1(config)# ntp peer 209.165.200.225 key 1
R2(config)# ntp trusted-key 1
R2(config)# ntp server 209.165.201.1
R2(config)# interface Fastethernet0/0
R2(config-if)# ntp broadcast
R3(config)# ntp trusted-key 1
R3(config)# interface Fastethernet0/1
R3(config-if)# ntp broadcast client
130
La desactivacin de servicios e
interfaces de red Cisco no
utilizados del router
131
Las redes medianas y grandes suelen utilizar un dispositivo de
cortafuegos (PIX / ASA) detrs del router perimetral, que agrega

caractersticas de seguridad y lleva a cabo la autenticacin de
usuario y el paquete ms avanzado de filtrado.
Instalaciones Firewall tambin facilitan la creacin de zonas
desmilitarizadas (DMZ), donde la proteccin del firewall a

determinados 'lugares' que se accede habitualmente a travs de
Internet.
132
Como alternativa, el software Cisco IOS puede incorporar
muchas caractersticas de firewall en el router de permetro.

Opcin vlida nicamente para los requisitos de seguridad perimetral de
negocios pequeos a medianos.
Sin embargo, en los routers Cisco IOS se ejecutan muchos
servicios que crean vulnerabilidades potenciales.

Para asegurar una red de empresa, todos los servicios que no sean
necesarios y las interfaces del router debe estar desactivados.
133
Router Service
Descripcin
Defecto
Mejores Prcticas
BOOTP server
Este servicio permite a un router para que acte

como un servidor BOOTP para otros routers.
Si no es necesario, desactive este servicio.
Habilitado
Deshabilitar.
no ip server BOOTP
Cisco Discovery
Protocol (CDP)
CDP obtiene la informacin de los dispositivos

Cisco vecinos Si no es necesario, desactive este
servicio a nivel mundial o en funcin de cada
interfaz.
Habilitado
No si no es necesario.
no cdp run
Configuration autoloading
FTP server
TFTP server
Network Time Protocol

(NTP) service
Auto-carga de archivos de configuracin de un

servidor de red debe permanecer desactivado
cuando no est en uso por el router.
El servidor FTP permite utilizar el router como un
servidor FTP para las solicitudes de cliente FTP
Debido a que este servidor permite el acceso a
ciertos archivos en la memoria flash del router, este
servicio debe ser desactivado cuando no es
necesario..
Igual que el FTP.
Cuando est activado, el router acta como un

servidor de tiempo para otros dispositivos de red
Si se ha configurado insegura, NTP se puede
utilizar para corromper el reloj enrutador y,
potencialmente, el reloj de otros dispositivos que
aprender el tiempo desde el router
Si se utiliza este servicio, restringir que los
dispositivos tienen acceso a NTP.
Desabilitado
no service config
Desabilitado
Si no cifrar el trfico IP
dentro de un tnel etc.
Desabilitado
Si no cifrar el trfico IP
dentro de un s tnel etc
Desabilitado
De lo contrario NTPv3
configurar el acceso y el
control entre los
dispositivos permitidos
con ACL.
134
Servicio Router
Descripcin
Defecto
Mejores Prcticas
Ensamblador y
desensamblador de
paquetes (PAD)
Servicio
El servicio permite el acceso a PAD X.25 PAD

comandos al enviar paquetes X.25.
Habilitar
Servicios TCP y UDP

menor
Los servicios menores son proporcionados por

pequeas servidores (demonios) que se
ejecutan en el router. Los servicios son
potencialmente tiles para el diagnstico, pero
se utilizan raramente.
Habilitar (pre
11.3)
Desabilitado
(11.3+)
Mantenimiento
Operacin Protocolo
(MOP) Servicio
MOP es un (DEC) protocolo de mantenimiento

Digital Equipment Corporation que se deben
desactivar explcitamente cuando no est en
uso.
Habilitar
no hay serviciotcpsmall-servers
no hay servicioudpsmall-servers
Desactivar
explcitamente si
no es necesario.
135
Servicio
Simple Network
Management
Protocol (SNMP)
Descripcin
Defecto
Mejores Prcticas
El servicio SNMP permite que el router

responde a consultas SNMP remotos y
peticiones de configuracin
Si es necesario, restringir los sistemas SNMP
tienen acceso al agente SNMP del router y usar
SNMPv3 siempre que sea posible porque la
versin 3 ofrece una comunicacin segura de
que no est disponible en las versiones
anteriores de SNMP.
Habilitado
Desactivar el
servicio. De lo contrario
configurar SNMPv3.
Dispositivo
dependientes
No si no es necesario,
Restringir el acceso
mediante ACLs.
no ip http server
Servicio
cliente Habilitado
De lo contrario
configurar
explcitamente la
direccin del servidor
DNS.
no ip domain-lookup
no ip name-server
Configuracin de
HTTP y monitoreo
Este servicio permite que el router puede

monitorizar o tener la configuracin del router
modificado desde un navegador web a travs
de una aplicacin, como el Administrador de
dispositivos de seguridad Cisco (SDM). Usted
debe desactivar este servicio si no se requiere
el servicio. Si se requiere este servicio,
restringir el acceso al servicio HTTP del router
mediante el uso de listas de control de acceso
(ACL).
Sistema de nombres
de dominio (DNS)
Por defecto, los routers Cisco presentan las

peticiones de nombres a 255.255.255.255.
Restringir este servicio mediante la
desactivacin de DNS cuando no se requiera el
servicio.
Si se requiere el servicio de bsqueda de DNS,
asegrese de que ha configurado la direccin
del servidor DNS de forma explcita.
136
Mecanismos de
Integridad Path
Redirecciones
ICMP
Fuente de
enrutamiento
IP
Descripcin
Redirecciones ICMP causan el router para
enviar mensajes de redireccionamiento ICMP
cada vez que el router est obligado a enviar
un paquete a travs de la misma interfaz en la
que se recibi el paquete.
Esta informacin puede ser utilizada por los
atacantes para redirigir paquetes a un
dispositivo no es de confianza.
El protocolo IP soporta enrutamiento de origen

opciones que permiten al remitente de un
datagrama IP para controlar la ruta que un
datagrama se llevar hacia el
datagrama 'destino finales, y en general la ruta
que tomar ninguna respuesta
Estas opciones pueden ser explotadas por un
atacante para eludir la ruta de enrutamiento
deseado y la seguridad de la red.
Adems, algunas implementaciones de IP
mayores no procesan paquetes de fuenteenrutados correctamente, y los piratas
informticos pueden ser capaces de bloquear
mquinas que se ejecutan estas
implementaciones mediante el envo de
datagramas con opciones de enrutamiento de
origen.
Defecto
Mejores Prcticas
Habilitado
Desactivar el servicio.
Habilitado
No, si no es necesario.
no ip source-route
137
Sondas y funciones
de escaneo
Descripcin
Defecto
Mejores Prcticas
Servicio
Finger
El protocolo escucha (puerto 79) se puede

obtener una lista de los usuarios que
actualmente estn conectados al dispositivo.
Las personas no autorizadas pueden usar esta
informacin para los ataques de
reconocimiento.
Habilitado
.no ip finger
no service finger
Habilitado
Desactivar explcitamente
en las interfaces no son
de confianza.
Desabilitado
Desactivar explcitamente
en las interfaces no son
de confianza.
ICMP admite el trfico IP de transmisin de

informacin acerca de las rutas, rutas y
condiciones de red. Routers Cisco envan
automticamente mensajes ICMP.
Notificaciones
inalcanzable
ICMP
Los atacantes suelen utilizar tres mensajes

ICMP:
Inalcanzable Host
Redireccionar
Mask Reply
Generacin automtica de los mensajes debe
ser desactivado en todas las interfaces,
especialmente las interfaces que se conectan a
redes no confiables.
Respuesta de
mscara ICMP
Cuando est activado, este servicio le dice al

router para responder a las peticiones de
mscara ICMP enviando Dichos mensajes que
contienen la mscara de direccin IP de la
interfaz.
Esta informacin se puede utilizar para

mapear la red.
138
Terminal de Acceso
de Seguridad
Descripcin
Defecto
Mejores Prcticas
IP identification
service
El protocolo de identificacin (especificado en

el RFC 1413) informa de la identidad de una
conexin TCP con el iniciador de host receptor.
Estos datos pueden ser utilizados por un
atacante para recopilar informacin acerca de
la red
Activado
Desactivado
TCP Keepalives
TCP keepalives ayudar a "limpiar" las

conexiones TCP cuando un host remoto ha
reiniciado o no dej de procesar el trfico TCP.
Keepalives deben estar habilitadas en todo el
mundo para gestionar las conexiones TCP y
prevenir ciertos ataques DoS.
Desactivado
Activado
139
Difusiones Dirigidas
de IP
Descripcion
Defecto
Mejores Prcticas
ARP Gratuito
ARP gratuito es el principal mecanismo que los

hackers utilizan en ataques de envenenamiento
de ARP.
Habilitado
Habilitado
Proxy ARP permite a un router Cisco para

actuar como intermediario para la ARP, en
respuesta a consultas ARP en las interfaces
seleccionadas y permitiendo as el acceso
transparente entre varios segmentos de LAN.
Proxy ARP
Proxy ARP se debe utilizar slo entre dos
segmentos de LAN en el mismo nivel de
confianza, y slo cuando sea absolutamente
necesario para soportar arquitecturas de red
existentes.
140
de IP
Descripcion
Defecto
Mejores Prcticas
Habilitado
(pre 12.0)
Disabilitado
(12.0+)
Difusiones dirigidas por IP se utilizan en el

ataque DoS comn popular y otros ataques
de IP
similares.
Difusiones dirigidas permiten una gran cantidad
en un segmento LAN para iniciar una
transmisin fsica en un segmento LAN
diferente.
Esta tcnica fue utilizada en algunos de los
antiguos ataques DoS, y la configuracin por
defecto de Cisco IOS es rechazar mensajes de
difusin.
141
Router(config)#
Router(config)#
Router(config)#
Router(config)#
Router(config)#
Router(config)#
Router(config)#
Router(config)#
Router(config)#
Router(config)#
Router(config)#
Router(config)#
no
no
no
no
no
no
no
no
no
no
no
no
ip bootp server
cdp run
ip source-route
ip classless
service tcp-small-servers
service udp-small-servers
ip finger
service finger
ip http server
ip name-server
boot network
service config
142
Por defecto, un router Cisco har un intento para dirigir casi
cualquier paquete IP.

Si llega un paquete dirigido a una subred de una red con ninguna ruta de red
por defecto, entonces usar IOS enrutamiento sin clase IP para reenviar el
paquete a lo largo de la mejor ruta disponible.
Esta caracterstica a menudo no se necesita tanto en los routers
ya no es necesaria el enrutamiento sin clase IP. Desactivarlo

mediante el no ip classless.
143
Utilice nicamente las rutas estticas:

Funciona bien en redes pequeas.
No es apropiado para grandes redes.
Autenticar actualizaciones de tabla de rutas:

Configurar enrutamiento de autenticacin.
Actualizaciones del router autenticados asegurar que los mensajes de
actualizacin provienen de fuentes legtimas.
144
Configure el passive-interface para evitar que los hackers
aprendan acerca de la existencia de ciertas rutas o protocolos de

enrutamiento utilizados
145
Los atacantes pueden explotar servicios no utilizados y las
interfaces del router.
Los administradores tienen que saber aprovechar los servicios,
pero deben saber cmo desactivarlos.
Es tedioso para desactivar los servicios de forma individual.
Se necesita un mtodo automatizado para acelerar el proceso de
fortalecimiento.
146
AutoSecure fue lanzado en Cisco IOS versin 12.3.

Es un programa nico EXEC privilegiado que permite la
eliminacin de muchas de las amenazas potenciales de

seguridad rpida y fcilmente.
AutoSecure ayuda a hacerlo ms eficiente en la obtencin de routers Cisco.
AutoSecure permite dos modos de funcionamiento:

El modo interactivo : Indica que elegir la forma que desee para configurar
los servicios de router y otras caractersticas relacionadas con la seguridad.
El modo no interactivo : Configura las funciones relacionadas con la
seguridad en su enrutador basado en un conjunto de valores por defecto de
Cisco.
147
Servicios del plano de gestin y funciones:

Finger, PAD, UDP y TCP servidores pequeos, cifrado de contraseas, TCP
conexiones abiertas, CDP, BOOTP, HTTP, el enrutamiento de origen, el ARP
gratuito, proxy ARP, ICMP (redirecciones, mscara-respuestas), de difusin
dirigida, MOP, seguridad de las contraseas y el acceso SSH
Servicios plano de reenvo y funciones:

Filtrado de CEF, el trfico con las ACL
Servicios de firewall y funciones:

Cisco IOS Firewall de inspeccin de protocolos comunes
Entre las funciones de:

Seguridad de contraseas
NTP Protocolo
SSH Acceso
Servicios TCP Intercept
148
Si AutoSecure no completa su funcionamiento, la configuracin
en ejecucin puede ser daado:

En Cisco IOS 12.3 (8) T y posteriores versiones de una instantnea de
configuracin pre-AutoSecure se almacena en el archivo flash
en pre_autosec.cfg.
Rollback revierte el router a la configuracin pre-AutoSecure del router

utilizando la configuracin del flash replace: pre_autosec.cfg.
Si el router est utilizando el software antes de Cisco IOS 12.3 (8) T, la
configuracin en ejecucin se debe guardar antes de ejecutar AutoSecure.
149
Cisco AutoSecure interactivos pasos:
Paso 1 - Identificar las interfaces externas.

Paso 2 - Fijar el plano de gestin
Paso 3 - Crear el titular de seguridad.
Paso 4 - Configurar contraseas, AAA, y SSH.
Paso 5 - Sujete el plano de reenvo.
Router#
auto secure [management | forwarding] [no-interact | full] [ntp | login | ssh |

firewall | tcp-intercept]
150
Parametro
Descripcin
Administracin
(Opcional) Slo se garantizar el plano de gestin.
Reenvo
(Opcional) Slo se garantizar el plano de reenvo.
Sin interactuar
Completo
NTP
Cargar
SSH
Firewall
Tcp-intercept
(Opcional) El usuario no se le pedir ninguna configuracin interactiva. No hay

parmetros de dilogo interactivo se pueden configurar, incluyendo nombres de usuario
o contraseas.
(Opcional) El usuario se le pedir para todas las preguntas interactivas. Esta es la
configuracin por defecto.
(Opcional) Especifica la configuracin de la funcin Network Time Protocol (NTP) en la
interfaz de lnea de comandos AutoSecure (CLI).
(Opcional) Especifica la configuracin de la funcin de Inicio de sesin en la CLI
AutoSecure.
(Opcional) Especifica la configuracin de la funcin de SSH en el CLI AutoSecure.
(Opcional) Especifica la configuracin de la caracterstica Servidor de seguridad de la
CLI AutoSecure.
(Opcional) Especifica la configuracin de la caracterstica de TCP-interseccin de la CLI
AutoSecure.
151
Router# auto secure

--- AutoSecure Configuration --*** AutoSecure configuration enhances the security of the router but it will not
make router absolutely secure from all security attacks ***
All the configuration done as part of AutoSecure will be shown here. For more
details of why and how this configuration is useful, and any possible side effects,
please refer to Cisco documentation of AutoSecure.
At any prompt you may enter '?' for help.
Use ctrl-c to abort this session at any prompt.
Gathering information about the router for AutoSecure
Is this router connected to internet? [no]: y
Enter the number of interfaces facing internet [1]: 1
Interface
IP-Address
OK? Method Status Protocol
Ethernet0/0
10.0.2.2
YES NVRAM up
up
Ethernet0/1
172.30.2.2
YES NVRAM up
up
Enter the interface name that is facing internet: Ethernet0/1
152
Securing Management plane services..

Disabling service finger
Disabling service pad
Disabling udp & tcp small servers
Enabling service password encryption
Enabling service tcp-keepalives-in
Enabling service tcp-keepalives-out
Disabling the cdp protocol
Disabling the bootp server
Disabling the http server
Disabling the finger service
Disabling source routing
Disabling gratuitous arp
153
Here is a sample Security Banner to be shown at every access to device. Modify it

to suit your enterprise requirements.
Authorised Access only
This system is the property of Woolloomooloo Pty Ltd.
UNAUTHORISED ACCESS TO THIS DEVICE IS PROHIBITED.
You must have explicit permission to access this
device. All activities performed on this device
are logged and violations of of this policy result
in disciplinary action.
Enter the security banner {Put the banner between
k and k, where k is any character}:
%This system is the property of Cisco Systems, Inc.
UNAUTHORIZED ACCESS TO THIS DEVICE IS PROHIBITED.%
154
Enable secret is either not configured or is same as enable password

Enter the new enable secret: Curium96
Configuration of local user database
Enter the username: student1
Enter the password: student1
Configuring aaa local authentication
Configuring console, Aux and vty lines for
local authentication, exec-timeout, transport
Securing device against Login Attacks
Configure the following parameters
Blocking Period when Login Attack detected: 300
Maximum Login failures with the device: 3
Maximum time period for crossing the failed login attempts: 60
155
Configure SSH server? [yes]: y

Enter the hostname: R2
Enter the domain-name: cisco.com
Configuring interface specific AutoSecure services
Disabling the following ip services on all interfaces:
no ip redirects
no ip proxy-arp
no ip unreachables
no ip directed-broadcast
no ip mask-reply
Disabling mop on Ethernet interfaces
156
Securing Forwarding plane services..

Enabling CEF (This might impact the memory requirements for your platform)
Enabling unicast rpf on all interfaces connected
to internet
Configure CBAC Firewall feature? [yes/no]: yes
This is the configuration generated:
no service finger
no service pad
no service udp-small-servers
no service tcp-small-servers
.
.
Apply this configuration to running-config? [yes]: y
157
CCP simplifica la configuracin del router y la seguridad a travs
de asistentes inteligentes que ayudan a la rpida y fcil

desplegar, configurar y supervisar un router Cisco sin necesidad
de conocimientos de la CLI.
CCP simplifica firewall y la configuracin del software IOS sin
necesidad de conocimientos acerca de la seguridad o el software

IOS.
CCP contiene un asistente de auditora de seguridad que lleva a
cabo una auditora completa seguridad del router.
158
Auditora de seguridad de configuracin del router compara
contra los ajustes recomendados.
Ejemplos de la auditora son:
Apague los servidores que no sean necesarios.

Deshabilitar los servicios innecesarios.
Aplicar el cortafuegos para las interfaces externas.
Deshabilitar o endurecer SNMP
Apague las interfaces no utilizadas.
Compruebe la intensidad de la contrasea.
Exigir el uso de ACL
159
160
161
162
163
164
165

En - CCNAS - v11 - Ch02 Español PDF

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

En - CCNAS - v11 - Ch02 Español PDF

Uploaded by

Copyright:

Available Formats

Seguridad en los

2012 Cisco and/or its affiliates. All rights reserved.

Cisco cuenta con una nueva serie de routers de segunda

ISR G2 han integrado interfaces Gigabit Ethernet.

2012 Cisco and/or its affiliates. All rights reserved.

Routers se utilizan para

Escenario 1: Protege la LAN.

con el router y pasa por un

La Seguridad Fsica: Equipos de infraestructura segura en un cuarto

Es accesible slo al personal autorizado.

Dispone de controles de temperatura y humedad.

2012 Cisco and/or its affiliates. All rights reserved.

Sistema Operativo: Configure el router con la mxima cantidad

Ayuda a protegerla de algunos ataques DoS.

2012 Cisco and/or its affiliates. All rights reserved.

Fortalecimiento del acceso al Router

2012 Cisco and/or its affiliates. All rights reserved.

Restringir el acceso al dispositivo

Registrar y dar cuenta de todos los accesos

2012 Cisco and/or its affiliates. All rights reserved.

Autorizar las Acciones

Presente Aviso Legal

Garantizar la confidencialidad de los datos

2012 Cisco and/or its affiliates. All rights reserved.

Asegurar el Acceso Administrativo

2012 Cisco and/or its affiliates. All rights reserved.

Todos los Routers necesitan una contrasea de configuracin

local para el acceso privilegiado y otros accesos.

R1(config)# line vty 0 4

R1(config)# line aux 0

R1(config)# line con 0

2012 Cisco and/or its affiliates. All rights reserved.

Para robar contraseas, los atacantes:

Las contraseas seguras son la principal defensa contra el

acceso no autorizado a un router!

2012 Cisco and/or its affiliates. All rights reserved.

Las contraseas no deben utilizar las palabras del diccionario

Las contraseas pueden incluir los siguientes:

Cualquier carcter alfanumrico.

Nota: los espacios en las contraseas se ignoran, pero todos los

2012 Cisco and/or its affiliates. All rights reserved.

Cambie las contraseas con frecuencia.

Las normas locales pueden hacer que las contraseas sean ms

2012 Cisco and/or its affiliates. All rights reserved.

Un mtodo bien conocido de creacin de contraseas seguras es

usar frases comunes.

2012 Cisco and/or its affiliates. All rights reserved.

Longitud de contrasea de 10 caracteres o ms. Cuanto ms,

nmeros, smbolos y espacios.

diccionario, de letras o nmeros secuencias, nombres de usuario,

Cambie las contraseas con frecuencia por lo que si una

contrasea est en peligro sin saberlo.

Para aumentar la seguridad de las contraseas, los siguientes

comandos de Cisco IOS se deben utilizar:

2012 Cisco and/or its affiliates. All rights reserved.

Hacer contraseas largas: IOS 12.3 y posteriores contraseas

pueden ser de 0 a 16 caracteres de longitud. un mnimo de 10

El comando afecta a todas las "nuevas" contraseas de router.

Cualquier intento de crear una nueva contrasea que es menor

que la longitud especificada falla y da lugar a una "Contrasea

2012 Cisco and/or its affiliates. All rights reserved.

De forma predeterminada, la conexin remota es de 10 minutos

despus se desactiva la sesin.