INTRODUCCIÓN A LA SEGURIDAD EN REDES Y
ROUTERS
Config. Dispositivos
de Red
Introducción Seguridad
No se debe iniciar hablando sobre seguridad en las redes sin antes comenzar con temas como: Desarrollar procedimientos o normas de
seguridad Hablar sobre las 3A ó AAA Establecer niveles de seguridad para
acceder a los routers (configuración) Comentar sobre los dispositivos de
seguridad
Las 3 “A”
Básicamente las 3 A son componentes básicos de seguridad, entre los que se define: Autenticación Autorización Auditoría o Contabilidad
Autenticación
En esta etapa se identifica quien solicita los servicios de red. Por lo general se solicita un usuario y contraseña que un servidor autentica.
Actualmente se utilizan claves dinámicas o de un solo uso como un PIN.
Autorización
En la etapa anterior, la autenticación controla quien puede acceder a los recursos de red, pero la autorización dice lo que pueden hacer cuando acceden los recursos.
La autorización varia de usuario a usuario dependiendo de los derechos que requiera el solicitante.
Auditoría
Se requiere procedimientos que recopilen los datos de la actividad de la red. Esto responde a los incidentes que pueden suceder en una red.
Normalmente se debe incluir los intentos de autenticación y autorización, conocidos como pistas de auditoría.
El cifrado de los Datos
Es un proceso que mezcla los datos para protegerlos de su lectura por alguien que no sea el receptor esperado.
Se utilizan dispositivos que cifran los datos como un router, un servidor o sistema dedicado para cifrar o descrifrar.
Es una opción de seguridad muy útil, proporciona confidencialidad de los datos.
Niveles de seguridad en un Router Establecer contraseñas en los
diferentes modos de acceso (modo privilegiado, consola, terminal virtual o telnet)
Seguridad en el Router
Para establecer autenticación a nivel del router, se debe pensar primero en establecer una contraseña para el modo de conexión de consola. Cada dispositivo debe tener contraseñas configuradas a nivel local para limitar el acceso.
Seguridad Modo Consola
Se establece una contraseña para limitar el acceso de los dispositivos mediante conexión de consola. Con esto se asegura que nadie se conecte el puerto de consola sino es mediante el pedido de una contraseña.
Los comandos son:Router(config)#line console 0
Router (config-line)#password ´Contraseña´
Router (config-line)#login
Nivel de Seguridad - Consola
Al igual que el router, un switch se configura de manera similar.
Nivel de Seguridad - EXEC
Para proporcionar una mayor seguridad, utilice el comando enable password o el comando enable secret. Puede usarse cualquiera de estos comandos para establecer la autenticación antes de acceder al modo EXEC privilegiado (enable).
Se recomienda el segundo comando (la contraseña se encripta).
Nivel de Seguridad - EXEC
Nota: El comando enable password puede usarse sólo si enable secret no se ha configurado aún o si no lo soporta el IOS.
Nivel de Seguridad - VTY
Las líneas vty permiten el acceso a un router a través de Telnet. En forma predeterminada, muchos dispositivos Cisco admiten cinco líneas VTY con numeración del 0 al 4. Es necesario configurar una contraseña para todas las líneas vty disponibles
Se recomienda establecer por medio del comando exec-timeout 5, que al cabo de 5 minutos de abandono por parte del usuario, la comunicación sea interrumpida, con esto se previene que usuarios no autorizados ingresen a través de sesiones abandonadas.
Nivel de Seguridad - VTY
Amenazas a la seguridad
Hoy en día existen muchos mecanismos para saltar esas barreras que usualmente los administradores de red colocan en sus redes.
Actualmente se pueden crackear las contraseñas almacenadas nivel 7 de Cisco, por lo tanto se recomienda usar enable secret “password”
Se recomienda el nivel de password 5, basado en MD5.
Amenazas a la Seguridad
El comando para encriptar una contraseña utilizando el nivel de encripción 5 es:
enable secret [level level] {password | [encryption-type] encrypted-password}
Al ejecutar el comando show-run vemos que la contraseña ha sido encriptada.
enable secrect level 5 5 $1$mER$hx5rVt7rPNoS4wqbXKX7mo
Activación del Servicio de Encripción
Las contraseñas mediante el uso del comando enable password quedan en texto plano, y sin cifrar.
El comando service password-encryption aplica una encriptación débil a todas las contraseñas no encriptadas.
El propósito de este comando es evitar que individuos no autorizados vean las contraseñas en el archivo de configuración.
Mensajes de Aviso
Aunque la solicitud de contraseñas es un modo de impedir el acceso a la red de personas no autorizadas, resulta vital proveer un método para informar que sólo el personal autorizado debe intentar obtener acceso al dispositivo.
El contenido o las palabras exactas de un aviso dependen de las leyes locales y de las políticas de la empresa.
Mensajes de Aviso
Amenazas a la Seguridad
Amenazas a la Seguridad
Páginas como esas y muchas otras indican cómo se descifra una contraseña nivel 7.
Existen password decoders que utilizan fuerza bruta que descifran las contraseñas en minutos, días, meses y hasta años.Cantidad de Caracteres
26 - Letras Minúsculas
36 - Letras y Dígitos
52 - Mayúsculas y Minúsculas
96 - Todos los Caracteres
6 51 minutos 6 horas 2,3 días 3 meses
7 22,3 horas 9 días 4 meses 24 años
8 24 días 10,5 meses 17 años 2.288 años
9 21 meses 32,6 años 890 años 219.601 años
10 54 años 1.160 años 45.840 años 21.081.705 años
Recomendaciones sobre Contraseñas
Longitud mínima. Mezcla de diferentes caracteres No usar palabras del diccionario. Cambiar la contraseña con
frecuencia.
Generador de Contraseñas
Útil para contraseñas de Windows, dispositivos inalámbricos, email, etc.
Diccionario de contraseñas
Amenazas a la Seguridad
No es una constante, pero Cisco advierte de vulnerabilidades en su IOS cada cierto tiempo. Entre las vulnerabilidades se puede presentar denegación de servicio u obtener información de la red atacada, entre otras.
Protección y Seguridad
Exiten muchos servicios habilitados por defecto en los routers Cisco, muchos de ellos innecesarios, por lo que se recomienda deshabilitarlos, entre los cuales se encuentran:
1. Deshabilitar interfaces del router (shutdown)2. Servicio CDP, utilizado para cargar ciertos
ataques.3. Servicio Gratuitous ARP, utilizado para ataques
de envenenamiento ARP.4. Y muchos mas….
Mitigación en AAA
Al utilizar el modelo de seguridad con las AAA, es recomendable utilizar mecanismos seguros como RADIUS y TACACS+.
Para RADIUS existe software IAS de Microsoft.
TACACS, es una solución propietaria de Cisco para la autenticación.