02 Manejo Del Perimetro I

Conceptos Fundamentales de Seguridad 45

CIBERTEC

Manejo del Permetro I Al finalizar el captulo, el alumno podr:

Identificar y utilizar herramientas de ataque para contrarrestar los principales

ataques contra la infraestructura de red perimetral de la organizacin.

Identificar y aplicar las principales estrategias de configuracin segura en

switches y ruteadores.

Analizar los eventos registrados en los equipos de comunicaciones e identifica los tipos de ataques y el origen de los mismos.

Temas: 1. Concepto de permetro

2. Defensa de Enlace

3. Seguridad en Ruteadores

Manejo del Permetro I 46

CIBERTEC

1. Conceptos de Permetro

El permetro es el primer punto de acceso desde el exterior hacia la red de la organizacin. Est compuesto por los equipos de comunicaciones que permiten la comunicacin entre la red de la organizacin con el resto de redes. Una red tpica puede estar representada por estaciones y servidores conectados al switch de la organizacin, el cual est enlazado a un firewall quien controla el flujo de informacin entre ellos e Internet. El firewall tiene una red DMZ en donde estn conectados los servidores pblicos, aislados de la red privada de los clientes. De este modo, el firewall est comunicado directamente al ruteador de la organizacin que lo interconecta con Internet. En el lado del permetro se incluyen las estructuras, mtodos de transmisin, formatos de transporte y medidas de seguridad que son utilizadas para proveer confidencialidad, integridad, disponibilidad y autenticacin para transmisiones de datos sobre redes de comunicacin pblica y privada.

Confidencialidad. Asegura la liberacin intencional o no, de informacin no autorizada de la organizacin. La prdida de confidencialidad puede ocurrir de diversas formas. Por ejemplo, por una liberacin intencional de informacin privada de la organizacin, configuracin errnea de parmetros de red de los dispositivos, etc. Algunos de los elementos utilizados para asegurar la confidencialidad son:

Protocolos de seguridad de red.

Servicios de autenticacin de red.


CIBERTEC

Servicios de encriptacin de datos.

Integridad. Asegura que el mensaje enviado es recibido y que no fue modificado, intencionalmente o no. El concepto de integridad incluye el de no repudiacin, lo que significa que se tiene evidencia confiable de las actividades realizadas por una fuente especfica. Algunos de los elementos empleados para asegurar integridad son:

Servicios de firewall.

Administracin de comunicaciones

Servicios de deteccin de intrusos.

Disponibilidad. Se refiere a los elementos que crean fiabilidad y estabilidad en una red y en los sistemas. La disponibilidad asegura que los sistemas sean accesibles cuando sea requerido, permitiendo a los usuarios autorizados acceder a la red o al sistema. Autenticacin. Se refiere a que los elementos deben validarse entre s, antes de iniciar una sesin. La autenticacin evita que elementos no autorizados para comunicarse en la red, puedan establecer sesiones.

En el permetro, el principal equipo de trabajo es el ruteador, complementando a ste se encuentran el switch y el firewall.

1.1. Amenazas al Permetro y a la Red

Al ser el permetro el punto de acceso a la organizacin, se convierte en un punto muy vulnerable y atractivo para ser atacado. Esto no descarta que el ataque pueda provenir internamente desde la misma organizacin; por lo tanto, el esquema de seguridad debe incluir a ambos puntos, sobre todo en la parte de monitoreo. Las principales amenazas, a nivel de permetro y de red, son las que se detallan seguidamente.

A. Acceso no autorizado a servicios de red restringido, por medio de

evasin de los controles de seguridad. Este tipo es denominado logon abuse y se refiere al acceso de usuarios legtimos a servicios a los que no estn autorizados. A diferencia de los ataques de intrusiones de red, se enfoca en aquellos usuarios que tienen acceso legtimo a la red y tienen un nivel bajo de seguridad. Existe un ataque donde el atacante pretende ser otro usuario, al que se le denomina camuflaje (masquerading).

B. Uso no autorizado de la red para propsitos no relacionados con el

negocio Se refiere al uso de la red para propsitos no relacionados con el giro de negocio de la empresa. Por ejemplo, navegacin en sitios de distraccin (juegos, deportes, noticias y otros), mensajera instantnea (Microsoft, Yahoo Messenger, etc.), chat (IRC, etc.) y programas Peer to Peer (P2P: Kazaa, Napster, eDonkey, etc.).


CIBERTEC

Estas actividades generan que los usuarios se distraigan y disminuyan su performance. A nivel de recursos se consume el ancho de banda del acceso a Internet y podra propiciar el ingreso de cdigo hostil en la red interna.

C. Eavesdropping (sniffing)

Este ataque consiste en la intercepcin no autorizada de trfico de red. Todos los tipos de infraestructura de comunicaciones son susceptibles a este tipo de ataque (satlite, inalmbricos, mviles, PDAs, cableado estructurado, etc.). El tapping se refiere a la interceptacin fsica de un medio de transmisin. Existen 2 tipos de eavesdropping: Pasivo y activo.

Pasivo. El atacante monitorea en modo cubierto la transmisin de datos, es decir, no genera ninguna actividad en la red.

Activo. El atacante genera un canal encubierto a travs del cual, monitorea el trfico de red.

D. Denial of service

Estos ataques originan la cada de un servicio debido a la saturacin de los recursos de la red. Esta saturacin puede ser dirigida contra los dispositivos de red, servidores o la infraestructura que controla y maneja el ancho de banda de los enlaces. Por ejemplo un ataque de negacin de servicio distribuido.

E. Intrusiones de red

Se refiere al uso no autorizado del acceso a la red. Estos ataques son generados por personas ajenas a la organizacin, lo que los distingue de los atacantes internos del primer caso visto. Estos ataques son conocidos tambin porque realizan ataques de penetracin y explotan vulnerabilidades en el permetro de seguridad. Presenta 3 subtipos: Spoofing, Piggy-backing y Backdoors.

Spoofing. Hace referencia a que el atacante falsea la informacin fuente e induce al destino a tomar una accin, confiando en la informacin proporcionada.

Piggy-backing. Se refiere a que un atacante gana acceso no autorizado a un sistema, utilizando una conexin legtima. Esto sucede cuando un usuario deja activa una sesin legtima o cuando sale equivocadamente de un sistema permitindole el acceso al atacante.

Backdoors. Se refiere a la colocacin de puntos de acceso ocultos al administrador, a travs del cual los atacantes pueden ingresar. Estos puntos de acceso son empleados, generalmente, por los fabricantes de los sistemas para acceso de emergencia o por propsitos administrativos, pero de los que no se le comunica al comprador, quedando expuesto a ser vulnerado.

F. Indagacin (Probing/Scanning)

La indagacin es una variacin activa del eavesdropping. Mediante este ataque se obtiene informacin de la red: configuracin, estaciones activas, etc. informacin que posteriormente, se utilizar para efectuar un ataque. Este ataque puede ser efectuado de manera manual o automtica.


CIBERTEC

G. Hijacking

Mediante este ataque, el atacante toma control de la sesin entre un usuario y el servicio al que accede, hacindoles creer a ambos que la sesin se realiza sin ningn inconveniente. El atacante se coloca en medio de la sesin y recibe los paquetes que se intercambian entre el usuario y el servidor y antes de que stos lleguen, los modifica o simplemente monitorea todo el trfico. Este ataque se vale de tcnicas de spoofing y ataques TCP Sequence Number.


CIBERTEC

2. Defensa en la Capa de Enlace

Los switches son dispositivos de capa 2 que permiten la segmentacin del trfico de red en cada uno de sus puertos, permitiendo que la comunicacin entre estaciones conectadas en diferentes puertos del switch no pueda afectar la comunicacin entre otras estaciones conectadas, es decir, los puertos del switch se comportan como puertos bridge. Esta tcnica permite incrementar el ancho de banda de la red de datos.

2.1. Seguridad Fsica El acceso fsico de los switches debe ser controlado. Si un switch no tiene ningn tipo de control de acceso, entonces hay que aplicar seguridad de acceso sobre el mismo. El punto de acceso a proteger en estos casos es el puerto de consola. Por omisin los switches le permiten, al usuario que tiene acceso fsico, interrumpir el proceso de inicio mientras ste, inicia sus operaciones e ingresa una nueva clave. Para evitar esto se agrega el siguiente comando en la configuracin del ruteador.

no service password-recovery

2.2. Ataques en la Red de Acceso Existen diversos tipos de ataques que se dan contra la red de acceso. Entre los ms notables se tienen los siguientes.

Denial of Service.

Spoofing.

ARP Spoofing.


CIBERTEC

2.2.1. Denial Of Service

Los ataques de tipo DoS tienen como objetivo dejar fuera de acceso a determinados servidores, estaciones o incluso, al mismo switch. Entre los ms destacados se encuentran los que se detallan a continuacin.

A. MAC Address Flooding Storms

Tienen como objetivo anular la principal funcionalidad del switch: la segmentacin. Por medios de herramientas de software como macof, se inunda de tramas al switch con las siguientes caractersticas a nivel de direcciones MAC:

Destino desconocidas.

Broadcasts o multicasts.

No existentes. Buscan poblar la tabla MAC del switch hasta llenarla y en ese momento el switch dejar de actuar como tal y se convertir en un hub. En ese momento el trfico de red en el switch se replicar en todos los puertos y podr ser monitoreado desde cualquier punto, en especial del punto en que se inici el ataque. La mejor forma de detenerlo es limitar el nmero de direcciones MAC por puerto del switch. Los comandos de habilitacin son:

switchport mode access switchport port-security switchport port-security maximum 2 switchport port-security violation {protect|restrict|shutdown}

El problema en esta configuracin es que la tabla MAC no podr ser renovada hasta que el equipo se reinicie. En este caso es necesario definir tiempos mximos de permanencia de las direcciones en la tabla MAC y para ello, se hace uso de los siguientes comandos por puerto de switch:

switchport port-security aging time 2 switchport port-security aging type inactivity

B. Spanning Tree Protocol (STP) Attacks

Lo que se pretende es convertir el switch, al que est conectado el atacante en el root y de esta manera, derivar todo el trfico de la red por este equipo y aplicar sniffing sobre el trfico que se ha derivado. Para evitar que este tipo de ataques se produzca, se trabaja con el comando root guard. Este comando se configura en las interfaces de acceso y previene al equipo de reconfigurarse a cada rato y seleccionar al switch de cliente como el switch root.


CIBERTEC

Se ingresa el siguiente comando por puerto del switch cliente:

spanning-tree root guard Otra solucin es el uso del comando port-fast bpdu guard. El STP deshabilita puertos que estn en modo port-fast-operational. Si se recibe un paquete BPDU en un puerto port-fast-enabled, se tomar como una configuracin invlida, entonces el comando pone el puerto en un estado de error y lo deshabilita. Para habilitar esta configuracin de seguridad se ingresa el siguiente comando a nivel global:

spanning-tree portfast bpduguard default

C. Cisco Discovery Protocol (CPD) Attack

CPD es un protocolo desarrollado por Cisco para permitir identificarse a sus equipos entre s. Es muy til cuando se pretende administrar a los equipos y se quiere obtener rpidamente informacin como: tipo de dispositivo, sistema operativo utilizado, versin, etc. Tambin puede ser utilizado de manera hostil para generar ataques de negacin de servicio para anular al dispositivo. Algunas herramientas como IRPAS de Linux inundan el switch con mensajes CDP. En algunas versiones de sistema operativo de Cisco, no hay lmites de entradas CDP en memoria. Cuando un nmero masivo de entradas CDP llegan al equipo, causan que ste colapse y se caiga, incluso en los ruteadores. Para evitar esto, se debe deshabilitar completamente el CDP. Se puede hacer mediante el siguiente comando en cada puerto del switch:

no cdp enable 2.2.2. Spoofing

Es utilizado para engaar al switch de que una determinada estacin o servidor se encuentra en un puerto y as, derivar el trfico hacia este punto. Se utiliza tambin en conjunto con el tipo de ataque man-in-the-middle para derivar todo el trfico hacia el puerto del atacante para tomar control de ciertas sesiones que realizan los usuarios conectados a esos equipos. El principal ataque es el que se describe a continuacin.

MAC Address Hijacking.

A nivel de sistemas operativos es posible efectuar cambios de direcciones MAC, de tal manera que se puede realizar spoofing de stas. Al realizar esto se puede engaar al switch de la identidad de nivel de enlace de la estacin atacante y reflejar el trfico que va hacia el poseedor de esa direccin hacia el puerto donde est conectado el atacante. Para evitar esto, a cada puerto se le asigna una direccin o grupo de direcciones MAC, para que cualquier


CIBERTEC

nueva direccin MAC fuera del rango definido en ese puerto sea rechazada. El comando para asignar direcciones estticas es el siguiente:

switchport port-security

2.2.3. Arp Spoofing

El protocolo ARP es utilizado para mapear una direccin IP a una direccin MAC. La estacin que quiere comunicarse con otra, a travs del protocolo IP, primero mapea la direccin IP a la MAC de la estacin destino enviando un paquete broadcast ARP request, a todas las estaciones preguntando por la direccin MAC y slo la estacin con esa direccin IP responder con un paquete ARP Reply. De acuerdo con el RFC ARP, los clientes pueden enviar un paquete ARP Reply sin necesidad de un paquete ARP Request previo. Esto es conocido como un paquete Gratuitous ARP. El objetivo de robar esta identidad es brindar informacin errnea al resto de estaciones hacindoles creer que el atacante es otra estacin, en especial asumiendo la identidad del ruteador. El atacante al realizar esto hace que el trfico, del resto de estaciones, fluya a travs de su estacin. Los mecanismos de port-security no pueden controlar este tipo de situaciones. Las herramientas que permiten efectuar este ataque son: Ettercap, Dsniff, Cain&Abel, etc. Pero cmo evitar este tipo de ataques?, pues monitoreando constantemente las asociaciones de direcciones IP a direcciones MAC. Esto se puede lograr utilizando una aplicacin llamada ARPWatch (WinARP Watch en Windows). Esta herramienta se ejecuta en la estacin del cliente y registra todas las asociaciones de direccin IP a direccin MAC. Cuando esta asociacin cambia, podra ser por una situacin normal o por una situacin anmala y con esta informacin el administrador de red efectuara las investigaciones del caso.


CIBERTEC

3. Ruteadores

3.1. Las Funciones Actuales de los Ruteadores

En una red muy pequea es factible utilizar broadcast o mecanismos secuenciales para trasladar datos de un punto a otro. En una red LAN esto se realiza por medio de trfico broadcast, pero en redes ms complejas se requieren otro tipo de mecanismos. Los ruteadores son equipos que dirigen el trfico de paquetes entre redes distintas permitiendo su interconexin. Este proceso se realiza utilizando el protocolo TCP/IP. Asimismo, los ruteadores proveen servicios que son esenciales para la operacin adecuada y segura de la red donde son instalados. El compromiso de seguridad de un ruteador puede generar lo siguiente:

Publicacin y Manipulacin de tablas de enrutamiento. Puede ocasionar que la performance se reduzca, denegacin de servicios y exposicin de datos confidenciales.

Control de acceso. Puede ocasionar que se expongan detalles de la configuracin del equipo, denegacin de servicios y facilitar ataques contra otros componentes de la red.

Una configuracin pobre de seguridad puede reducir el nivel de seguridad del sistema completo, exponer a los componentes de red a ser atacados y evitar encontrar rastros de los atacantes.


CIBERTEC

Los fabricantes han tomado conciencia de la importancia que tienen los ruteadores dentro del diseo completo de seguridad y estn dotando de funcionalidades de seguridad cada vez ms mejoradas. En el caso de Cisco, esta estrategia es una de las mejor implementadas y adems, la informacin es de acceso al pblico a travs de su pgina Web.

3.2. Principios y Objetivos de Seguridad del Ruteador Con el ruteador se debe considerar la seguridad tanto fsica como lgica. El siguiente checklist brinda los puntos que se toman en cuenta en la seguridad del dispositivo: A. Seguridad Fsica Designacin de persona autorizada a instalar, desinstalar y mover el

ruteador. Designacin de persona autorizada a efectuar el mantenimiento de

hardware y cambiar la configuracin fsica del ruteador. Designacin de persona autorizada a efectuar las conexiones fsicas del

ruteador. Definicin de controles en la ubicacin, uso de la consola y otros puertos de

conexin directa. Definicin de procedimientos de recuperacin en caso de dao fsico del

ruteador o cuando se detecta evidencia de forzamiento del dispositivo. B. Configuracin de Seguridad Esttica Designacin de persona autorizada a validarse directamente al ruteador, va

puerto de consola u otros puertos de acceso directo. Designacin de persona autorizada a asumir privilegios administrativos en el

ruteador. Definicin de procedimientos y prcticas para efectuar cambios en la

configuracin esttica del ruteador. Definicin de las polticas de claves para la creacin de cuentas de usuarios

y de claves de uso administrativo. Designacin del personal autorizado a conectarse remotamente al ruteador. Designacin de protocolos, procedimientos y redes permitidas para

conectarse al ruteador remotamente. Definicin de procedimientos de recuperacin e identificacin del

responsable individual de la recuperacin de la configuracin esttica, en caso que el ruteador sea comprometido.

Definicin de la poltica de registro de actividades en el ruteador incluyendo un procedimiento de revisin del mismo.

Definicin de procedimientos y lmites en el uso del protocolo de administracin remota (SNMP).

Bosquejo de procedimientos de respuesta a incidentes y lneas directivas para la deteccin de ataques contra el ruteador en s.

Definicin de la poltica de manejo de llaves encriptacin (en caso sea aplicable).


CIBERTEC

C. Configuracin de Seguridad Dinmica Identificacin de los servicios de configuracin dinmica permitidos en el

ruteador y las redes permitidas a tener estos accesos. Identificacin de los protocolos de enrutamiento a ser utilizados y las

caractersticas de seguridad a ser empleadas, en cada uno de ellos. Designacin de mecanismos y polticas para la configuracin o el

mantenimiento automtico del reloj del ruteador. Identificacin de acuerdos de llaves y algoritmos de seguridad autorizados

para uso en el establecimiento de tneles VPN con otras redes. D. Servicio de Seguridad de Red Enumeracin de protocolos, puertos y servicios a ser permitidos o filtrados

por el ruteador por cada interface o conexin (entrante y saliente) e identificacin de procedimientos y autoridades para autorizarlos.

Descripcin de los procedimientos de seguridad y roles para interaccin con los proveedores de servicios externos y tcnicos de mantenimiento.

E. Respuesta de Compromiso Identificacin de las personas u organizaciones a ser notificadas en caso de

que la red sea comprometida. Definicin de procedimientos de respuesta a incidentes, autoridades y

objetivos para la respuesta, en caso se produzca un ataque exitoso contra la red que incluye la preservacin de evidencia y notificacin a las autoridades policiales y legales.

3.3. Implementacin de la Seguridad en los Ruteadores Cisco

Los aspectos fundamentales en la configuracin de seguridad de un ruteador Cisco son los que se detallan a continuacin.

Listas de Acceso y Filtrado.

Auditora y Registro de Actividades. 3.3.1. Acceso Seguro al Ruteador

Esta opcin permite controlar el acceso al ruteador considera los siguientes puntos:

A. Logins

Al momento del login un usuario debe encontrar un mensaje de tipo banner, el cual lo alerte de que est siendo vigilado y que debe tener cuidado con lo que hace.


CIBERTEC

El comando para realizar esto es como se muestra.

banner motd mensaje

El primer punto de control de acceso es la consola. Si un administrador se valida al ruteador y luego de un tiempo se olvida de salir del sistema, ste debe sacarlo de manera automtica y forzarlo a validarse de nuevo. Los siguientes comandos definen un tiempo de permanencia de conexin sin actividad, luego del cual el ruteador cerrar la conexin.

Central#config t Central(config)#line con 0 Central(config-line)#transport input none Central(config-line)#login local Central(config-line)#exec-timeout 5 0 Central(config-line)#end

Para que esta configuracin funcione debe existir al menos una cuenta de usuario o de lo contrario, la consola se cerrar completamente. Para ello se deben ingresar los siguientes comandos:

Central#config t Central(config)#username administrator privilege 1 password g00d+pa55w0rd Central(config)#end

El puerto auxiliar debera ser deshabilitado ya que no tiene necesidad de ser utilizado.

Central#config t Central(config)#line aux 0 Central(config-line)#transport input none Central(config-line)#login local Central(config-line)#exec-timeout 0 1 Central(config-line)#no exec Central(config-line)#end

En caso se requiera el uso del puerto como una segunda conexin serial, se deben ingresar los siguientes comandos.

Central#config t Central(config)#line aux 0 Central(config-line)#exec-timeout 5 0 Central(config-line)#login local Central(config-line)#transport input none Central(config-line)#exec Central(config-line)#end

B. Privilegios

Cisco IOS provee 16 niveles de privilegios de seguridad que van desde el rango 0 hasta el 15. Cisco provee niveles de usuario con nivel 2 por omisin.


CIBERTEC

La configuracin se da a continuacin:

Central#config t Central(config)#enable secret 2-mAny-rOUtEs Central(config)#no enable password Central(config)#end

C. Acceso Remoto

La administracin remota del equipo se logra va Telnet. Estas conexiones son llamadas lneas terminales virtuales. Se debe considerar con cuidado su aplicacin, debido a que puede ser monitoreado por medio de un sniffer en una red LAN. Para configurar el acceso se ingresan los siguientes comandos:

Central(config)#access-list 99 permit 10.20.7.10 log Central(config)#access-list 99 permit 10.20.7.11 log Central(config)#access-list 99 deny any log Central(config)#line vty 0 4 Central(config-line)#access-class 99 in Central(config-line)#exec-timeout 5 0 Central(config-line)#login local Central(config-line)#transport input telnet Central(config-line)#exec Central(config-line)#end

3.3.2. Seguridad en los Servicios de Red del Ruteador

Los servicios de red del ruteador definen qu servicios estarn habilitados para ser utilizados por el administrador. Muchos de estos servicios pueden ser utilizados por los atacantes para iniciar acciones hostiles, por lo que es necesario deshabilitarlos si es que no van a ser utilizados.

Tabla 1. Servicios que maneja el ruteador.

Caracterstica Descripcin Valor por Omisin

Recomendacin

Cisco Discovery protocol (CDP)

Protocolo propietario Cisco de nivel 2.

Habilitado. Casi no se utiliza. Deshabilitarlo.

TCP small servers

Servicios de red estndares TCP: Finger, echo, etc.

11.3 deshabilitado. 11.2 habilitado.

Caracterstica heredada. Deshabilitarla.

UDP small servers

Servicios de red estndares UDP: Finger, echo, etc.

11.3 deshabilitado. 11.2 habilitado.

Caracterstica heredada. Deshabilitarla.

Finger

Servicio de bsqueda de usuario Unix que permite identificar quin est conectado remotamente al equipo.

Habilitado.

Las personas no autorizadas no requieren saber esto. Deshabilitarlo.

HTTP server Algunos equipos Vara por Si no se utiliza,


CIBERTEC

Cisco ofrecen administracin va Web.

dispositivo. deshabilitarlo. Si no, restringir el acceso.

Bootp server

Servicio que les permite a otros ruteadoresm bootear desde este ruteador.

Habilitado.

Servicio raramente utilizado y podra ser un punto de ataque, por lo que debe ser deshabilitado.

Configuration auto-loading

El ruteador intentar cargar su configuracin va TFTP.

Deshabilitado.

Servicio utilizado raramente. Se recomienda deshabilitarlo.

IP source routing

Caracterstica IP que le permite a los paquetes especificar sus propias rutas.

Habilitado. Puede ser utilizado para un ataque. Deshabilitarlo.

Proxy ARP El ruteador actuar como un proxy de capa 2.

Habilitado.

Deshabilitarlo a menos que el ruteador acte como un bridge de LAN.

IP directed broadcast

Los paquetes pueden identificar un objetivo LAN por el broadcast.

Habilitado (versiones 11.3 y anteriores)

Puede ser utilizado para ataques. Deshabilitarlo.

Classless routing behavior

El ruteador enviar paquetes sin rutas en concreto.

Habilitado. Utilizado por algunos ataques. Deshabilitarlo.

IP unreachable notifications

El ruteador notificar a emisores sobre direcciones IP incorrectas.

Habilitado. Utilizado para mapeo de redes. Deshabilitarlo.

IP mask reply

El ruteador enviar esta respuesta a un paquete ICMP mask request.

Deshabilitado. Utilizado para mapeo de redes. Deshabilitarlo.

IP redirects

El ruteador enviar este mensaje ICMP en respuesta a ciertos paquetes de ruteo.

Habilitado. Utilizado para mapeo de redes. Deshabilitarlo.

NTP service

El ruteador puede actuar como un servidor de tiempo para otros dispositivios.

Habilitado (si se configura el servicio NTP).

Si no se utiliza, deshabilitarl. Si no, restringir el acceso.

Simple Network Management Protocol (SNMP)

Configuracin y monitoreo remoto va SNMP.

Habilitado. Si no se utiliza, deshabilitarlo. Si no, restringir el acceso.

Domain Name Service (DNS)

Los ruteadores pueden efectuar resolucin de nombres.

Habilitado (broadcast)

Definir explcitamente nombres de servidores DNS; de lo contrario, deshabilitarlo.


CIBERTEC

Adems, los siguientes comandos permitirn deshabilitar servicios innecesarios.

A. Cisco Discovery Protocol (CDP)

Central#config t Central(config)#no cdp run Central(config)#exit Central#show cdp %CDP is not enabled Central#

B. TCP y UDP Small services

Central(config)#no service tcp-small-servers Central(config)#no service udp-small-servers

C. Finger server

Central#config t Central(config)#no ip finger Central(config)#no service finger

D. HTTP server

Deshabilitacin:

Central(config)#no ip http server

Acceso restringuido:

Central(config)#username nzWeb priv 15 password 0C5-A1rCarg0 Central(config)#ip http auth local Central(config)#no access-list 29 Central(config)#access-list 29 permit host 10.20.7.0 0.0.0.255 Central(config)#access-list 29 deny any Central(config)#ip http access-class 29 Central(config)#ip http server

E. Bootp server

Central(config)#no ip bootp server

F. Configuration auto-loading

Central(config)#no boot network Central(config)#no service config

G. IP Source routing

Central(config)#no ip source-route


CIBERTEC

H. Proxy ARP

Central#config t Central(config)#interface eth0/0 Central(config-if)#no ip proxy-arp Central(config-if)#exit Central(config)#interface eth0/1 Central(config-if)#no ip proxy-arp Central(config-if)#exit Central(config)#interface eth0/2 Central(config-if)#no ip proxy-arp Central(config-if)#exit Central(config)#interface eth0/3 Central(config-if)#no ip proxy-arp Central(config-if)#end

I. IP Directed broadcast

Central#no ip directed-broadcast

J. IP Classless routing

Central(config)#no ip classless

K. IP Unreachables, redirects y mask replies

Central#config t Central(config)#interface eth0/0 Central(config-if)#no ip unreachable Central(config-if)#no ip redirect Central(config-if)#no ip mask-reply Central(config-if)#end

L. NTP Service

Central#config t Central(config)#interface eth0/0 Central(config-if)#ntp disable Central(config-if)#exit Central(config)#interface eth1/0 Central(config-if)#ntp disable Central(config-if)#end

M. SNMP Services

Central#config t Central(config)#no snmp-server community public RO Central(config)#no snmp-server community admin RW Central(config)#no access-list70 Central(config)#access-list70 deny any Central(config)#snmp-server community aqiytj1726540942 ro 70 Central(config)#no snmp-server enable traps Central(config)#no snmp-server system-shutdown Central(config)#no snmp-server trap-auth


CIBERTEC

Central(config)#no snmp-server Central(config)#end

N. Resolucin de nombres DNS

Central#config t router(config)#hostname Central Central(config)#ip name-server 200.14.241.36 Central(config)#end

O. Deshabilitacin de Interfaces No Utilizadas

Central#config t Central(config)#interface eth0/3 Central(config-if)#shutdown Central(config-if)#end

P. Configuracin Ejemplo

!-----Seccin de servicios de red e IP no cdp run no ip source-route no ip classless no service tcp-small-serv no service udp-small-serv no ip finger no service finger no ip bootp server no ip http server no ip name-server !-----Seccin de control Boot no boot network no service config !-----Seccin de Control SNMP (deshabilitacin completa del servicio) ! configurar una lista de acceso completamente restrictiva no access-list 70 access-list 70 deny any ! Hacer al SNMP de solo lectura y bajo el control de listas de snmp-server community aqiytj1726540942 ro 11 ! Deshabilitar Traps SNMP y caractersticas de shutdown del sistema no snmp-server enable traps no snmp-server system-shutdown no snmp-server trap-auth !Apagar completamente SNMP no snmp-server !-----Configuracin de servicios por interface interface eth0/0 description Outside interface to 10.20.4.0/22 net no ip proxy-arp


CIBERTEC

no ip directed-broadcast no ip unreachable no ip redirect ntp disable exit interface eth0/1 description Inside interface to 10.20.7.0/24 net no ip proxy-arp no ip directed-broadcast no ip unreachable no ip redirect ntp disable exit interface eth0/2 no ip proxy-arp shutdown no cdp enable exit interface eth0/3 no ip proxy-arp shutdown no cdp enable exit

3.3.3. Listas de Acceso y Filtrado

Las listas de acceso permiten controlar el flujo de trfico que ingresa o sale de una red, a travs del ruteador. Las listas de acceso son filtros de trfico que contienen una o ms reglas. Para el caso de trfico IP existen 2 tipos de ACLs: estndar y extendida. La ACL estndar permite crear filtros basados slo en la direccin IP fuente. La ACL extendida permite crear filtros basados en sus protocolos, direcciones IP fuente o destino, puertos TCP/UDP fuente, destino o tipos de mensajes ICMP e IGMP. Ambas ACLs pueden aplicarse a las interfaces de red, lneas vty, IPSec, protocolos de ruteo y en otras caractersticas del ruteador. Para el caso de SNMP slo se pueden aplicar ACLs estndar.

A. Sintaxis de las ACLs

Las ACLs de tipo estndar tienen la siguiente sintaxis.

access-list list-number {deny|permit} source [source-wildcard] [log] Donde:

list-number Nmero de la lista de acceso de valor decimal entre 1 y 99.

deny Deniega el acceso si la condicin es cumplida.

permit Permite el acceso si la condicin es cumplida.


CIBERTEC

source Direccin IP de la red o del host del paquete enviado.

source-wildcard

Bits de comodn a ser aplicados a la fuente.

log Aplicada para registrar eventos asociados a la regla.

La sintaxis para las ACLs de tipo extendida es la siguiente.

access-list list-number {deny | permit} protocol source source-wildcard source-qualifiers destination destination-wildcard destination-qualifiers [ log | log-input]

Donde:

list-number Nmero de la lista de acceso de valor decimal entre 100 y 199.

deny Deniega el acceso si la condicin es cumplida.

permit Permite el acceso si la condicin es cumplida.

protocol Nombre o el puerto de un protocolo IP. Puede ser cualquiera de los siguientes: eigrp, gre, icmp, igmp, igrp, ip, ipinip, nos, ospf, tcp o udp. Puede ser un valor entre 0 y 255 para el caso del protocolo IP.

source Direccin IP de la red o del host del paquete enviado.

source-wildcard

Bits de comodn a ser aplicados a la fuente. La palabra clave any puede ser utilizada en lugar de source y source-wildcard.

source-qualifiers

Detalles opcionales en la fuente del paquete incluyendo nmero de puertos y otra informacin especfica al protocolo.

destination Direccin IP de la red o del host del paquete enviado.

destination-wildcard

Bits de comodn a ser aplicados al destino. La palabra clave any puede ser utilizada en lugar de destination y destination-wildcard.

destination-qualifiers

Detalles opcionales en el destino del paquete incluyendo nmero de puertos y otra informacin especfica al protocolo.

log Aplicada para registrar eventos asociados a la regla.

log-input Registra la interface origen del evento.

B. Filtros

Se describirn los filtros de seguridad ms importantes a aplicar en un ruteador.

Filtrado de trfico al ruteador

- Telnet

Este protocolo es utilizado para acceso remoto. Es necesario que slo las estaciones definidas por el administrador puedan tener acceso, va este protocolo al equipo.


CIBERTEC

Los comandos son los siguientes.

Central(config)#access-list 105 permit host 10.20.7.1 any eq 23 log Central(config)#access-list 105 permit tcp host 10.20.7.11 any eq 23 log Central(config)#access-list 105 deny ip any any log Central(config)#line vty 0 4 Central(config-line)#access-class 105 in Central(config-line)#end

- SNMP

El ruteador puede ser configurado como un cliente SNMP. Cuando este servicio es habilitado, los sistemas de administracin pueden solicitarle informacin va este protocolo. Para evitar que esta informacin sea obtenida desde otros lados, es necesario aplicarle ACLs.

Central(config)#access-list 75 permit host 14.2.6.6 Central(config)#snmp-server community n3t-manag3m3nt ro 75

Filtrado de trfico a travs del ruteador

Existen diversos mecanismos de proteccin, dependiendo del punto donde se aplica el filtro.

- Trfico Entrante (Inbound).

Uno de los ataques que se pueden evitar es el de tipo spoofing. A travs de Internet, el trfico proveniente de redes privadas (RFC1918) es interpretado como trfico hostil porque no debera existir en ese entorno. Adems, se debe considerar hostil cualquier trfico entrante que tenga como origen la misma direccin de red de la organizacin, ya que no deberan haber 2 ms estaciones con la misma direccin IP en Internet y en sitios diferentes. Los filtros a aplicarse son los siguientes.

Central(config)#access-list 100 deny ip 10.20.7.0 0.0.0.255 any log Central(config)#access-list 100 deny ip 127.0.0.0 0.255.255.255 any log Central(config)#access-list 100deny ip 10.0.0.0 0.255.255.255 any log Central(config)#access-list 100 deny ip 0.0.0.0 0.255.255.255 any log Central(config)#access-list 100 deny ip 172.16.0.0 0.15.255.255 any log Central(config)#access-list 100 deny ip 192.168.0.0 0.0.255.255 any log Central(config)#access-list 100 deny ip 192.0.2.0 0.0.0.255 any log


CIBERTEC

Central(config)#access-list 100 deny ip 169.254.0.0 0.0.255.255 any log Central(config)#access-list 100 deny ip 224.0.0.0 15.255.255.255 any log Central(config)#access-list 100 deny ip host 255.255.255.255 any log Central(config)#interface eth0/0 Central(config-if)#description "external interface" Central(config-if)#ip address 10.20.6.30 255.255.252.0 Central(config-if)#ip access-group 100 in Central(config-if)#exit Central(config)#interface eth0/1 Central(config-if)#description "internal interface" Central(config-if)#ip address 10.20.7.1 255.255.255.0 Central(config-if)#end

- Trfico Saliente (Outbound).

El nico tipo de trfico que debe salir de su red de datos es aquel que tiene como direccin origen, la direccin IP de la red asignada a su organizacin. Cualquier otro tipo de trfico se debe considerar como hostil. Los comandos de configuracin son los siguientes.

Central(config)#no access-list 102 Central(config)#access-list 102 permit ip 10.20.7.0 0.0.0.255 any Central(config)#access-list 102 deny ip any any log Central(config)#interface eth0/1 Central(config-if)#description "internal interface" Central(config-if)#ip address 10.20.7.1 255.255.255.0 Central(config-if)#ip access-group 102 in

- Proteccin Contra Exploits

Se definen algunas estrategias de proteccin contra los ataques ms comunes y la forma en que el ruteador los anula o mitiga. Los ataques ms comunes son los siguientes.

TCP SYN

Los ataques de tipo TCP SYN son conexiones que no se completan en el destino. Esto genera colas de conexin bloqueando los puertos y denegando el acceso a usuarios autorizados. Para evitar este ataque se deniegan conexiones desde el exterior.

En este escenario se permiten solo las conexiones iniciadas desde la red interna de la organizacin. Cualquier intento de conexin externa ser bloqueado. Los comandos de configuracin son los que se muestran a continuacin.

Central(config)#access-list 106 permit tcp any 10.20.7.0 0.0.0.255 established Central(config)#access-list 106 deny ip any any log


CIBERTEC

Central(config)#interface eth0/0 Central(config-if)#description "external interface" Central(config-if)#ip access-group 106 in

Land Attack

Se refiere a la llegada a un ruteador de un paquete desde el exterior con la misma direccin de la red destino, lo cual es imposible causando una situacin de denegacin de servicio o degradacin en el objetivo. Para evitar esto se ejecutan los siguientes comandos.

Central(config)#access-list 100 deny ip host 10.20.6.30 host 10.20.6.30 log Central(config)#access-list 100 permit ip any any Central(config)#interface eth0/0 Central(config-if)#description "external interface to 10.20.6.30/22" Central(config-if)#ip address 10.20.4.0 255.255.252.0 Central(config-if)#ip access-group 100 in Central(config-if)#end

Smurf Attack

Es ejecutado al enviar paquetes ICMP Echo-Request contra la direccin de red y la direccin broadcast de una red con el origen falseado, con el objetivo de generar un ataque de tipo DoS. Para evitar esto se debe filtrar cualquier tipo de trfico contra la direccin de red y la direccin de broadcast de la organizacin. Los comandos de configuracin son los siguientes.

Central(config)#access-list 110 deny ip any host 10.20.7.255 log Central(config)#access-list 110 deny ip any host 10.20.4.0 log

3.3.4. Auditora y Registro de Actividades

El registro de actividades es importante pues muestra las actividades se estn produciendo en el sistema. En el caso de los ruteadores registrar el tipo de actividades tanto convencionales como anmalas que se estuvieron produciendo y as el administrador de red podr tomar las acciones necesarias. Junto con el proceso de registro de actividades se tiene el de sincronizacin de tiempos. Es importante la sincronizacin para que los hechos registrados puedan ser verificados con los que tiene el administrador de la red origen del evento.

Por otro lado, ser necesario la revisin de las opciones de actividades.

Los ruteadores Cisco pueden registrar errores del sistema, cambios en la red y el estado de la interface, fallas de login, correspondencia con ACLs, entre otros eventos y registrarlos, segn el nivel de severidad.

En los equipos Cisco los eventos son registrados por niveles de severidad, los cuales son descritos en la siguiente tabla.


CIBERTEC

Tabla 2. Niveles de severidad del registro de actividades Cisco

Nivel Nombre del

Nivel Descripcin Ejemplo

0 Emergencies El ruteador queda inutilizado.

IOS no puede cargar.

1 Alerts Se requiere accin inmediata.

Temperatura muy alta.

2 Critical Condicin crtica. No puede asignar memoria.

3 Errors Condicin de error. Tamao de memoria invlido.

4 Warnings Condicin de advertencia.

Operacin fallida de criptografa.

5 Notifications Evento normal pero importante.

Interface cambi de estado.

6 Informational Mensaje informativo. Paquete denegado por ACL.

7 Debugging Mensaje de depuracin. Aparece solo cuando el debugging es habilitado.

Por ejemplo, el siguiente mensaje aparece cuando un usuario cambia la configuracin. El nivel de severidad est definido como 5, que se refleja por el campo numrico -5- en el nombre del mensaje.

Mar 3 19:00:16 EST: %SYS-5-CONFIG_I: Configured from console by vty 0 (10.20.7.2)

Por su parte, los eventos se pueden mostrar y registrar de diferentes maneras, tales como:

Consola

Este tipo de registro no es persistente. Los mensajes enviados a la consola no son almacenados en el ruteador ni en ningn otro lugar. La configuracin es la siguiente.

Central#config t Central(config)#logging console notification Central(config)#logging on Central(config)#exit

Terminal Line

Cualquier sesin exec puede ser configurada para recibir mensajes de logs. Esta forma de registro no es persistente y slo es til para el usuario que se conecta bajo esta forma. Su configuracin es la siguiente.

Central(config)#logging monitor information Central(config)#exit Central#terminal monitor Central#config t Central(config)#interface eth0/1 Central(config-if)#shutdown


CIBERTEC

Buffered

Los ruteadores Cisco pueden almacenar informacin en un buffer de memoria. Si el ruteador es reiniciado, entonces esta informacin se pierde y lo mismo ocurre cuando el buffer se llena. La configuracin es la siguiente.

Central#config t Central(config)#logging buffered 16000 information Central(config)#service time stamp log date msec local show-timezo Central(config)#exit

Syslog

El servidor Syslog acepta los mensajes y los almacena en archivos de tipo texto. Estos archivos pueden ser procesados por un software especializado como un SIEM (Correlacionador de Eventos de Seguridad) como Arcsight enVision, con el fin de obtener informacin estadstica referente a los eventos detectados por el dispositivo. La configuracin es la siguiente.

Central#config t Central(config)#logging trap information Central(config)#logging 10.20.7.3 Central(config)#logging facility local 6 Central(config)#logging source-interface eth0/1 Central(config)#exit

SNMP Trap

Esta opcin se habilita para algunos mensajes especficos y permite que el ruteador sea monitoreado desde sistemas de administracin de red. Su configuracin es la siguiente.

Central(config)#logging trap information Central(config)#snmp-server host 10.20.7.3 traps public Central(config)#snmp-server trap-source ethernet0/1 Central(config)#snmp-server enable traps syslog Central(config)#exit

3.3.5. Sincronizacin de Tiempo (Ntp)

La sincronizacin de eventos es muy importante para el seguimiento de los mismos y en la colaboracin eficaz con otras entidades administradoras de redes involucradas en algn evento hostil. Es recomendable que todos los equipos tengan la misma hora y que se encuentran en la hora correcta. La sincronizacin se puede hacer de manera manual o automtica. La configuracin manual es fijada por los administradores de red donde los datos se ingresan de manera manual tomando en cuenta la hora, la zona horaria. La configuracin es la siguiente.


CIBERTEC

Central#config t Central(config)#clock timezone EST -5 Central(config)#interface eth0/0 Central(config-if)#ntp disable Central(config-if)#end Central#clock set 17:27:30 28 August 2003

La configuracin automtica se define de la siguiente manera.

Central#config t Central(config)#interface eth0/0 Central(config-if)#no ntp disable Central(config-if)#exit Central(config)#ntp server 10.20.7.3 source eth0/0 Central(config)#exit

Documents

02 Manejo Del Perimetro I