Anda di halaman 1dari 10

UNIVERSIDAD DEL SINU

DEPARTAMENTO DE POSGRADOS
ESPECIALIZACION EN REDES Y TELECOMUNICACIONES
Asignatura: Seguridad en Redes Laboratorio No. 4 Seguridad Basica Router Cisco
Temtica: Unidad 4 - MECANISMOS DE PREVENCIN

Configuracin bsica del Router Cisco


Contrasea de acceso al modo privilegiado

Como hemos visto, al sacar el router de la caja este no est protegido con contrasea. Existen
diferentes formas de proteger el acceso al router pero la primera que debemos de usar es la de
asegurarnos que nadie entra al modo privilegiado sin una contrasea cifrada. Para ello, desde el
modo de configuracin tenemos que ejecutar el comando enable secret y a continuacin la
contrasea que deseamos.

Existe otra opcin mediante el comando enable password, pero en este caso la contrasea se
listar en claro al hacer show running-config.

Podemos cifrar esta contrasea mediante el comando service password encryption, pero an as
se trata de una proteccin muy dbil que puede saltarse mediante herramientas comunes como la
que hay en esta web:

http://www.ibeast.com/content/tools/CiscoPassword/

Otros comandos bsicos


hostname <nombre> desde el modo de configuracin, nos permite cambiar el nombre
distintivo del router.
banner motd # Tambin desde el modo de configuracin, nos permite personalizar el
mensaje de bienvenida que recibimos al conectarnos al router. Podemos escribir lo que
queramos usando varias lneas, etc. El mensaje finaliza cuando volvamos a escribir # al
principio de una lnea y pulsemos la tecla INTRO. Si lo deseamos podemos usar otro
caracter como finalizador cambindolo en el comando.
reload Desde el modo privilegiado reinicia el router. Los cambios no salvados se pierden.
write memory o slo write desde el modo privilegiado salva la configuracin actualmente en
ejecucin como configuracin por defecto.
copy runnin-gconfig startup-config Idem al anterior.
write erase Limpia toda la configuracin del router y lo deja como recin salido de la caja.
write startup-config Idem al anterior.

1 Jos Waldo de la Ossa


Licenciado en Informtica
Ingeniero de Sistemas
Especialista en Seguridad Informtica
UNIVERSIDAD DEL SINU
DEPARTAMENTO DE POSGRADOS
ESPECIALIZACION EN REDES Y TELECOMUNICACIONES
Asignatura: Seguridad en Redes Laboratorio No. 4 Seguridad Basica Router Cisco
Temtica: Unidad 4 - MECANISMOS DE PREVENCIN

Seguridad en el acceso al router cisco (TELNET - SSH)


Acceso remoto administrativo con Telnet y SSH

Tener acceso remoto a los dispositivos de la red es fundamental para manejar una red de manera
eficaz. El acceso remoto generalmente implica permitir conexiones de Telnet, Shell Seguro (SSH),

El acceso remoto no slo se aplica a la lnea de VTY del router, tambin se aplica a las lneas de
TTY y al puerto auxiliar (AUX). Las lneas de TTY proporcionan acceso asncrono a un router a
travs de un mdem. Si bien son menos comunes que lo que fue en otro momento, todava existen
en algunas instalaciones. Proteger estos puertos es aun ms importante que proteger los puertos del
terminal local.

La mejor manera de proteger un sistema es garantizar que se apliquen controles adecuados en


todas las lneas, incluidas las lneas de VTY, TTY y AUX.

Las conexiones se pueden evitar por completo en cualquier lnea mediante la configuracin del
router con los comandos login y no password. sta es la configuracin predeterminada de los VTY,
pero no de los TTY ni del puerto AUX. Por lo tanto, si estas lneas no son exigidas, asegrese de
que estn configuradas con la combinacin de comandos login y no password

2 Jos Waldo de la Ossa


Licenciado en Informtica
Ingeniero de Sistemas
Especialista en Seguridad Informtica
UNIVERSIDAD DEL SINU
DEPARTAMENTO DE POSGRADOS
ESPECIALIZACION EN REDES Y TELECOMUNICACIONES
Asignatura: Seguridad en Redes Laboratorio No. 4 Seguridad Basica Router Cisco
Temtica: Unidad 4 - MECANISMOS DE PREVENCIN

La manera favorita de conectarse a un router es por medio de un cable de consola ya que esto es lo
ms seguro, pero a medida que la red va creciendo y hay mas dispositivos se va volviendo un
trabajo muy pesado. La manera de administrar remotamente se vuelve la mejor opcin.

Para eso tenemos 2 protocolos

1.- telnet (no seguro)


2.- SSH (seguro)

3 Jos Waldo de la Ossa


Licenciado en Informtica
Ingeniero de Sistemas
Especialista en Seguridad Informtica
UNIVERSIDAD DEL SINU
DEPARTAMENTO DE POSGRADOS
ESPECIALIZACION EN REDES Y TELECOMUNICACIONES
Asignatura: Seguridad en Redes Laboratorio No. 4 Seguridad Basica Router Cisco
Temtica: Unidad 4 - MECANISMOS DE PREVENCIN

El protocolo telnet se desarrollo hace varios aos cuando la seguridad no era un problema, telnet
transmite toda la informacin en texto plano, para eso utiliza el puerto tcp 23.

SSH reemplaz a Telnet como la mejor prctica para proporcionar administracin remota de los
routers con conexiones que admiten una slida privacidad e integridad de las sesiones. SSH utiliza
el puerto TCP 22. Brinda una funcionalidad similar a la de una conexin Telnet saliente, con la
excepcin de que la conexin se encuentra encriptada. Mediante la autenticacin y la encriptacin,
SSH hace posibles las comunicaciones seguras a travs de una red insegura.

4 Jos Waldo de la Ossa


Licenciado en Informtica
Ingeniero de Sistemas
Especialista en Seguridad Informtica
UNIVERSIDAD DEL SINU
DEPARTAMENTO DE POSGRADOS
ESPECIALIZACION EN REDES Y TELECOMUNICACIONES
Asignatura: Seguridad en Redes Laboratorio No. 4 Seguridad Basica Router Cisco
Temtica: Unidad 4 - MECANISMOS DE PREVENCIN

5 Jos Waldo de la Ossa


Licenciado en Informtica
Ingeniero de Sistemas
Especialista en Seguridad Informtica
UNIVERSIDAD DEL SINU
DEPARTAMENTO DE POSGRADOS
ESPECIALIZACION EN REDES Y TELECOMUNICACIONES
Asignatura: Seguridad en Redes Laboratorio No. 4 Seguridad Basica Router Cisco
Temtica: Unidad 4 - MECANISMOS DE PREVENCIN

ACCESO REMOTO

Cmo accedemos a la pantalla del CLI de un dispositivo CISCO realmente?

Tenemos varias formas de hacerlo. Una de ellas, la que deberamos de usar inicialmente cuando
sacamos el dispositivo de su caja, es conectarnos directamente con un PC mediante un emulador de
terminal y a travs del puerto de consola que traen todos ellos. Pero una vez instalado, configurado y
emplazado en un armario de comunicaciones junto con otras decenas de dispositivos y, a lo mejor,
en otra planta u otro edificio diferente al de nuestro lugar de trabajo esta forma ya no resulta
cmoda. Afortunadamente podemos realizar un acceso remoto mediante telnet o ssh para lo cual
tenemos que realizar una configuracin previa.

NOTA: Algunos dispositivos CISCO disponen, adems, de una direccin IP configurada por defecto
que nos permiten, nada ms enchufados, conectarnos a ellos a travs de un navegador web y
realizar una primera configuracin de forma grfica mediante una interfaz web.

NOTA: El procedimiento es el mismo para poder acceder a un router o a un switch.

Acceso por ssh


El acceso por ssh es el ms comn y altamente recomendado. Todo el trfico entre nuestro terminal
y el dispositivo de CISCO se realiza cifrado y es indescifrable.

Todos los routers admiten acceso por ssh pero slo los switchs de gama alta lo soportan. Recuerda,
adems, que tanto unos como otros deben de tener configurada una direccin IP para que podamos
acceder a ellos por ssh. Los comandos necesarios desde el modo de configuracin son:

hostname mirouter
ip domainname arboleda.net Es obligatorio definir un nombre y un nombre de dominio para
el dispositivo.
crypto key generate rsa para configurar la fortaleza de la clave de cifrado que usaremos.
Se nos pedir un nmero que puede ser 512, 1024 o 2048. A ms alto, mayor fortaleza pero
tambin mayor consumo de CPU. 1024 es el valor recomendado.
line vty 0 1 Vamos a configurar hasta dos accesos simultneos por ssh. El prompt cambia a
(configline)#
transport input ssh Para habilitar el acceso por ssh
login local Para habilitar el acceso mediante usuario y contrasea en lugar de slo con
contrasea como hasta ahora.

6 Jos Waldo de la Ossa


Licenciado en Informtica
Ingeniero de Sistemas
Especialista en Seguridad Informtica
UNIVERSIDAD DEL SINU
DEPARTAMENTO DE POSGRADOS
ESPECIALIZACION EN REDES Y TELECOMUNICACIONES
Asignatura: Seguridad en Redes Laboratorio No. 4 Seguridad Basica Router Cisco
Temtica: Unidad 4 - MECANISMOS DE PREVENCIN

username miuser privilege 15 password mipassword donde creamos al usuario miuser


con contrasea mipassword y nivel de privilegios 15.

Los niveles de privilegios van entre 0 y 15 y definen los comandos que tendr permiso para ejecutar
el usuario. Un nivel 1 corresponde con el modo normal (prompt >) y un nivel 15 con el de mximos
privilegios (prompt #).

Y ya est. Ahora podemos acceder por ssh desde cualquier equipo a este dispositivo.

show ip ssh o show ssh nos muestran informacin acerca del servicio
show privilege nos dice el nivel de privilegio con el que estamos trabajando.

NOTA: El procedimiento es el mismo para poder acceder a un router o a un Switch.

7 Jos Waldo de la Ossa


Licenciado en Informtica
Ingeniero de Sistemas
Especialista en Seguridad Informtica
UNIVERSIDAD DEL SINU
DEPARTAMENTO DE POSGRADOS
ESPECIALIZACION EN REDES Y TELECOMUNICACIONES
Asignatura: Seguridad en Redes Laboratorio No. 4 Seguridad Basica Router Cisco
Temtica: Unidad 4 - MECANISMOS DE PREVENCIN

Seguridad en Cisco IOS para prevenir IP Spoofing

En nuestros das, las cuestiones de seguridad informtica, y particularmente de seguridad en la red,


son un tpico frecuente y obligatorio. Uno de los tantos posibles riesgos o ataque a los que una red
se encuentra expuesta, son los ataques por IP address spoofing.

Durante un ataque de spoofing, cuando se trata de un ataque externo, el atacante reemplaza la


direccin IP de los paquetes que recibimos por una que lo hace aparecer como parte de nuestra red
interna. Para evitar esta situacin, hay algunas medidas preventivas a considerar en cuya
implementacin encontramos funciones importantes de Cisco IOS que podemos implementar.

Una medida a tomar: bloquear direcciones IP

El primer paso en este punto es bloquear el posible acceso a nuestra red de paquetes originados en
direcciones IP que no se consideran legtimas.

Es frecuente que quienes desean ocultar su identidad utilicen con este propsito direcciones IP
privadas u otro tipo de direcciones IP reservadas o especiales. La siguiente es entonces una lista de
redes que deben ser filtradas con este propsito, ya que nunca debiramos recibir en nuestra red un
paquete cuya direccin de origen fuera una de las siguientes:

10.0.0.0/8
172.16.0.0/12
192.168.0.0/16
127.0.0.0/8
224.0.0.0/3
169.254.0.0./16

Todas estas direcciones corresponden a redes que no debieran ser enrutadas sobre Internet, o
utilizadas para generar trfico sobre Internet, por lo que no debieran llegar hasta nuestro dispositivo
de borde. Podemos asegurar casi con total certeza que todo trfico con una direccin de origen
perteneciente a alguna de estas redes es un trfico que conlleva un cierto grado riesgo para la
seguridad de nuestra red.

A estas direcciones debemos agregar direcciones pertenecientes a la red interna de nuestra


empresa. Si nuestra red interna utiliza direccionamiento privado, estas direcciones ya estn incluidas
8 Jos Waldo de la Ossa
Licenciado en Informtica
Ingeniero de Sistemas
Especialista en Seguridad Informtica
UNIVERSIDAD DEL SINU
DEPARTAMENTO DE POSGRADOS
ESPECIALIZACION EN REDES Y TELECOMUNICACIONES
Asignatura: Seguridad en Redes Laboratorio No. 4 Seguridad Basica Router Cisco
Temtica: Unidad 4 - MECANISMOS DE PREVENCIN

en la lista anterior. Si utilizamos un rango de direcciones pblicas, entonces deberemos agregar ese
rango de direcciones a la lista que present ms arriba.

Con este conocimiento bsico presente, hay un grupo de herramientas de Cisco IOS que pueden ser
entonces tiles para securizar nuestra red.

Implementacin de Listas de Acceso (ACL)

Un modo sencillo de prevenir este tipo de accesos es filtrar estas direcciones en el punto de acceso
del trfico desde Internet (por supuesto que en este sentido es muy importante contar con un nico
punto de acceso de toda la red a Internet).

El filtro que generemos deber filtrar cualquier trfico que tenga como origen cualquiera de las
direcciones comprendidas dentro del rango de redes que definimos antes. En trminos ms
precisos: hay que crear una ACL que deniegue o descarte todo el trfico entrante que se origine en
cualquier direccin IP comprendida en el rango ya definido.

Router#configure terminal
Router(config)#ip access-list extended antispoof
Router(config-ext-nacl)#deny ip 10.0.0.0 0.255.255.255 any
Router(config-ext-nacl)#deny ip 172.16.0.0 0.15.255.255 any
Router(config-ext-nacl)#deny ip 192.168.0.0 0.0.255.255 any
Router(config-ext-nacl)#deny ip 127.0.0.0 0.255.255.255 any
Router(config-ext-nacl)#deny ip 224.0.0.0 31.255.255.255 any
Router(config-ext-nacl)#deny ip 169.254.0.0 0.0.255.255 any
Router(config-ext-nacl)#permit ip any any
Router(config-ext-nacl)#exit
Router(config)#interface serial0/0
Router(config-if)#ip access-group antispoof in

Tengamos presente que este filtro no protege de todo acceso ilegtimo ni mucho menos, por lo que
es muy importante que sea complementado con la presencia de un firewall statefull por dentro que
verifique la legitimidad del trfico que ingresa y proteja la red interna.

Hay que tener presente que esto es slo una porcin de lo que debiera ser una estrategia de
seguridad global de toda la red.

9 Jos Waldo de la Ossa


Licenciado en Informtica
Ingeniero de Sistemas
Especialista en Seguridad Informtica
UNIVERSIDAD DEL SINU
DEPARTAMENTO DE POSGRADOS
ESPECIALIZACION EN REDES Y TELECOMUNICACIONES
Asignatura: Seguridad en Redes Laboratorio No. 4 Seguridad Basica Router Cisco
Temtica: Unidad 4 - MECANISMOS DE PREVENCIN

Implementacin de reverse path forwarding

Otro mtodo para proteger la red de este tipo de ataques es la implementacin de RPF (Reverse
Path Forwarding), tambin conocido como "ip verify".

RPF opera como si fuera parte de una solucin anti-spam. En una solucin anti-spam se toman los
correos electrnicos entrantes y se copia la direccin de correo de origen; con esta informacin se
hace un lookup hacia el servidor que enva ese mensaje para verificar que la direccin realmente
existe. Si la direccin no existe el servidor de correo elimina el mensaje porque no hay modo de
responder al mismo y por lo tanto es muy probable que se trate de un spam.

RPF realiza un proceso semejante a ese con los paquetes IP que recibe. Toma la direccin IP de
origen de un paquete recibido desde Internet y hace un lookup para revisar si el router tiene una ruta
en su tabla de enrutamiento que le permita responder a ese paquete. Si no hay una ruta en la tabla
de enrutamiento que permita una respuesta a la IP de origen entonces considera que el paquete es
spoofing y descarta el paquete.

Un ejemplo de cmo configurar RPF en nuestro router es el siguiente:

Router(config)#ip cef
Router(config)#interface serial 0/0
Router(config-if)#ip verify unicast reverse-path

Ntese que la activacin de esta funcin requiere que previamente se haya habilitado Cisco
Express Forwarding (CEF). Tambin hay que tener presente que activando esta funcin slo se
recibir trfico de redes hacia las cuales haya una ruta en nuestra tabla de enrutamiento.

Estos 2 tips no constituyen ni por cerca una implementacin de seguridad. Son slo un par de recursos
disponibles a tener en cuenta e implementar slo si se adecuan a polticas de trfico, enrutamiento y
seguridad de la red previamente definidas.

10 Jos Waldo de la Ossa


Licenciado en Informtica
Ingeniero de Sistemas
Especialista en Seguridad Informtica