Config.
Dispositivos
de Red
INTRODUCCIÓN A LA
SEGURIDAD EN REDES Y
ROUTERS
Introducción Seguridad
 No se debe iniciar hablando sobre seguridad
en las redes sin antes comenzar con temas
como:
 Hablar sobre las 3A ó AAA
 Desarrollar procedimientos o normas de
seguridad
 Establecer niveles de seguridad para acceder a los
routers (configuración)
 Comentar sobre los dispositivos de seguridad
Las 3 “A”
 Básicamente las 3 A son componentes
básicos de seguridad, entre los que se define:
 Autenticación
 Autorización
 Auditoría o Contabilidad
Autenticación
 En esta etapa se identifica quien solicita los
servicios de red. Por lo general se solicita un
usuario y contraseña que un servidor
autentica, por ejemplo Active Directory.
 Actualmente se utilizan claves dinámicas o de
un solo uso como un PIN.
Autenticación
 El proceso general de autenticación consta de
los siguientes pasos:
 El usuario solicita acceso a un sistema.
 El sistema solicita al usuario que se autentique.
 El usuario aporta las credenciales que le
identifican y permiten verificar la autenticidad de
la identificación.
 El sistema valida según sus reglas si las
credenciales aportadas son suficientes para dar
acceso al usuario o no.
Autorización
 En la etapa anterior, la autenticación controla
quien puede acceder a los recursos de red,
pero la autorización dice lo que pueden hacer
cuando acceden los recursos.
 La autorización varia de usuario a usuario
dependiendo de los derechos que requiera el
solicitante.
Auditoría
 Se requiere procedimientos que recopilen los
datos de la actividad de la red. Esto responde
a los incidentes que pueden suceder en una
red.
 Normalmente se debe incluir los intentos de
autenticación y autorización, conocidos como
pistas de auditoría.
El cifrado de los Datos
 Es un proceso que mezcla los datos para
protegerlos de su lectura por alguien que no
sea el receptor esperado.
 Se utilizan dispositivos que cifran los datos
como un router, un servidor o sistema
dedicado para cifrar o descrifrar.
 Es una opción de seguridad muy útil,
proporciona confidencialidad de los datos.
Niveles de seguridad en un
Router
 Establecer contraseñas en los diferentes
modos de acceso (modo privilegiado,
consola, terminal virtual o telnet)
Seguridad en el Router
 Para establecer autenticación a nivel del
router, se debe pensar primero en establecer
una contraseña para el modo de conexión de
consola.
 Cada dispositivo debe tener contraseñas
configuradas a nivel local para limitar el
acceso.
Seguridad Modo Consola
 Se establece una contraseña para limitar el
acceso de los dispositivos mediante conexión
de consola. Con esto se asegura que nadie se
conecte el puerto de consola sino es
mediante el pedido de una contraseña.
 Los comandos son:
Router(config)#line console 0
Router (config-line)#password ´Contraseña´
Router (config-line)#login
Nivel de Seguridad - Consola
Al igual que el router, un switch se configura
de manera similar.
Nivel de Seguridad - EXEC
 Para proporcionar una mayor seguridad,
utilice el comando enable password o el
comando enable secret. Puede usarse
cualquiera de estos comandos para
establecer la autenticación antes de acceder
al modo EXEC privilegiado (enable).
 Se recomienda el segundo comando (la
contraseña se encripta).
Nivel de Seguridad - EXEC
Nota: El comando enable password puede usarse sólo si enable secret
no se ha configurado aún o si no lo soporta el IOS.
Nivel de Seguridad -
VTY
 Las líneas vty permiten el acceso a un router a
través de Telnet. En forma predeterminada,
muchos dispositivos Cisco admiten cinco
líneas VTY con numeración del 0 al 4. Es
necesario configurar una contraseña para
todas las líneas vty disponibles
Nivel de Seguridad -
VTY
 Se recomienda establecer por medio del
comando exec-timeout 5, que al cabo de 5
minutos de abandono por parte del usuario,
la comunicación sea interrumpida, con esto
se previene que usuarios no autorizados
ingresen a través de sesiones abandonadas.
Amenazas a la seguridad
 Hoy en día existen muchos mecanismos para
saltar esas barreras que usualmente los
administradores de red colocan en sus redes.
 Actualmente se pueden crackear las
contraseñas almacenadas nivel 7 de Cisco,
por lo tanto se recomienda usar enable secret
“password”
 Se recomienda el nivel de password 5, basado
en MD5.
Amenazas a la Seguridad
 El comando para encriptar una contraseña
utilizando el nivel de encripción 5 es:
enable secret [level level] {password | [encryptiontype] encrypted-password}
 Al ejecutar el comando show-run vemos que
la contraseña ha sido encriptada.
enable secrect level 5 5 $1$mER$hx5rVt7rPNoS4wqbXKX7mo
Activación del Servicio de
Encripción
 Las contraseñas mediante el uso del
comando enable password quedan en texto
plano, y sin cifrar.
 El comando service password-encryption
aplica una encriptación débil a todas las
contraseñas no encriptadas.
 El propósito de este comando es evitar que
individuos no autorizados vean las
contraseñas en el archivo de configuración.
Mensajes de Aviso
 Aunque la solicitud de contraseñas es un
modo de impedir el acceso a la red de
personas no autorizadas, resulta vital proveer
un método para informar que sólo el personal
autorizado debe intentar obtener acceso al
dispositivo.
 El contenido o las palabras exactas de un
aviso dependen de las leyes locales y de las
políticas de la empresa.
Mensajes de Aviso
Amenazas a la Seguridad
Amenazas a la Seguridad
 Páginas como esas y muchas otras indican
cómo se descifra una contraseña nivel 7.
 Existen password decoders que utilizan
fuerza bruta que descifran las contraseñas en
minutos, días, meses y hasta años.
Cantidad de
Caracteres
26 - Letras
Minúsculas
36 - Letras y
Dígitos
52 Mayúsculas y
Minúsculas
96 - Todos los
Caracteres
6
51 minutos
6 horas
2,3 días
3 meses
7
22,3 horas
9 días
4 meses
24 años
8
24 días
10,5 meses
17 años
2.288 años
9
21 meses
32,6 años
890 años
219.601 años
10
54 años
1.160 años
45.840 años
21.081.705 años
Recomendaciones sobre
Contraseñas
 Longitud mínima (>= 8 caracteres).
 Mezcla de diferentes caracteres (Aa123&*/)
 No usar palabras del diccionario.
 No usar datos personales.
 Cambiar la contraseña con frecuencia (Aging
Password).
Generador de Contraseñas
 Útil para contraseñas de Windows,
dispositivos inalámbricos, email, etc.
Diccionario de contraseñas
Ataques de fuerza bruta
 Con la utilización de diccionarios de
contraseñas, se utilizan programas como
Medusa, ytr, Hydra para realizar ataques.
Amenazas a la Seguridad
 No es una constante, pero Cisco advierte de
vulnerabilidades en su IOS cada cierto
tiempo. Entre las vulnerabilidades se puede
presentar denegación de servicio u obtener
información de la red atacada, entre otras.
 Actualmente existen 453 avisos de problemas
de seguridad con dispositivos Cisco que
requieren una actualización, aplicar un fix o la
intervención del usuario.
Amenazas a la Seguridad
 Existen varios tipos de ataques, los cuales
pueden dejar expuesta nuestra red y los datos
de nuestra empresa.
 Los más comunes son:
 Ataques DoS contra el cortafuegos
 Ataques de negación de servicio.
 Inundación SYN, ICMP, UDP
Protección y Seguridad
 Exiten muchos servicios habilitados por defecto
en los routers Cisco, muchos de ellos
innecesarios, por lo que se recomienda
deshabilitarlos, entre los cuales se encuentran:
Deshabilitar interfaces del router (shutdown)
2. Servicio CDP, utilizado para cargar ciertos ataques.
3. Servicio Gratuitous ARP, utilizado para ataques de
envenenamiento ARP.
4. Y muchos mas….
1.
Dispositivos de Seguridad
 Existen muchos dispositivos para proteger la
red de ataques como lo son:
 Firewalls (Software y Hardware)
 IDS o Sistemas de Detección de Intrusos
 IPS o Sistemas de Prevencion de Intrusos
 Antivirus (spyware, antimalware, troyanos)
 Smartcards
 PIX, ASA
Mitigación en AAA
 Al utilizar el modelo de seguridad con las
AAA, es recomendable utilizar mecanismos
seguros como RADIUS y TACACS+.
 Para RADIUS existe software IAS de
Microsoft o NPS de Win2k8.
 TACACS o TACACS+, es una solución
propietaria (protocolo) de Cisco para la
autenticación.
ACS de Cisco
Autenticación en enrutamiento
 RIPv2, EIGRP, OSPF, y otros pueden
configurarse para encriptar y autenticar su
información de enrutamiento.
 Esto garantiza que los routers sólo aceptarán
información de enrutamiento de otros
routers que estén configurados con la misma
contraseña o información de autenticación.
Autenticación en OSPF
 OSPF puede configurarse para autenticación
en el modo de interfaz por medio del
comando:
 Router(config-if)#ip ospf authentication-key contraseña
 Las interfaces OSPF de un router pueden
presentar una clave de autenticación distinta,
que funcione como una contraseña entre los
routers OSPF de la misma área.
Mecanismos de Defensa
 Actualmente existen muchos mecanismos de
defensa en el tema de seguridad informática.
 A continuación se muestra la utilización de
mecanismos de seguridad analizadas en 3
años en países como Mexico, Argentina, Perú,
Colombia, Venezuela, Paraguay.
Utilización de mecanismos de
seguridad en las empresas
Descargar

Introduccion a la Seguridad en redes y Routers