CAPITULO 2 SEGURIDAD DE LOS DISPOSITIVOS DE RED 2.0 Introducción al capitulo 2.0.1 Introducción al capitulo La seguridad el tráfico que sale de la red y escrutar el tráfico ingresante son aspectos críticos de la seguridad en redes. La seguridad del router de borde, que se conecta con la red externa, es un primer paso importante al asegurar la red. El hardening de dispositivos es una tarea esencial que nunca debe ser pasada por alto. Significa implementar métodos probados para asegurar el router físicamente y proteger el acceso administrativo utilizando la interfaz de línea de comandos (command-line interface - CLI) del IOS Cisco así como también el Administrador de Routers y Dispositivos de Seguridad de Cisco (Cisco Router and Security Device Manager - SDM). Algunos de estos métodos comprenden la seguridad del acceso administrativo, incluyendo mantener contraseñas, configurar funciones de identificación virtual mejoradas e implementar Secure Shell (SSH). Como no todo el personal de la tecnología de la información debería tener el mismo nivel de acceso a los dispositivos de infraestuctura, definir roles administrativos de acceso es otro aspecto importante de la seguridad los dispositivos de infraestructura. La seguridad de las funciones de administración y reportes del IOS de los dispositivos de Cisco también es importante. Las prácticas recomendadas para asegurar el syslog, utilizando el Protocolo de Administración de Redes Simple (Simple Network Management Protocol - SNMP), y configurando el Protocolo de Tiempo de Red (Network Time Protocol - NTP) son examinadas. Muchos servicios del router están habilitados por defecto. Muchas de estas funciones están habilitadas por razones históricas pero ya no son necesarias. Este capítulo discute algunos de estos servicios y examina las configuraciones de router con la función deAuditoría de Seguridad del Cisco SDM. Este capítulo también examina la función one-step lockdown del Cisco SDM y el comando auto secure, que puede ser utilizado para automatizar las tareas de hardening de dispositivos. La práctica de laboratorio del capítulo, Seguridad del router para acceso administrativo, es una práctica muy englobadora que presenta la oportunidad de practicar el amplio rango de funciones de seguridad presentadas en este capítulo. El laboratorio presenta los diferentes medios de asegurar el acceso administrativo a un router, incluyendo las buenas prácticas de contraseñas, una configuración de banner apropiada, funciones de identificación mejoradas y SSH. La función de acceso a la CLI basada en roles se basa en la creación de vistas como manera de proveer diferentes niveles de acceso a los routers. La función de Configuración Resistente del IOS de Cisco permite asegurar las imágenes de router y los archivos de configuración. Syslog y SNMP se utilizan para informes de administración. AutoSecure de Cisco es una herramienta automatizada para asegurar los routers Cisco utilizando la CLI. La función de Auditoría de Seguridad de SDI provee funcionalidades similares a AutoSecure. El laboratorio está en el manual de laboratorio en Academy Connection en cisco.netacad.net. La actividad de Packet Tracer Configurar los Routers Cisco para Syslog, NTP y SSH, proporciona a los alumnos prácticas adicionales para implementar las tecnologías

presentadas en este capítulo. En particular, los alumnos configurarán con NTP, syslog, registro de mensajes con marca de tiempo, cuentas de usuario locales, conectividad SSH exclusiva y pares de claves RSA para servidores SSH. También se explora el uso del acceso del cliente SSH desde una PC Windows y desde un router Cisco. Las actividades de Packet Tracer para CCNA Security están disponibles en Academy Connection en cisco.netacad.net.

2.1.1 Seguridad del router de borde La seguridad la infraestructura de la red es crítica para la seguridad de toda la red. La infraestructura de la red incluye routers, switches, servidores, estaciones de trabajo yotros dispositivos. Considere un empleado descontento mirando casualmente por sobre el hombro del administrador de la red mientras el administrador se está identificando en el router de borde. Esto se conoce como shoulder surfing y es una manera sorprendentemente fácil para un atacante de ganar acceso no autorizado. Si un atacante obtiene acceso a un router, la seguridad y la administración de toda la red pueden ser comprometidas, dejando a los servidores y las estaciones de trabajo bajo riesgo. Es crítico que las políticas y controles de seguridad apropiados puedan ser implementados para prevenir el acceso no autorizado a todos los dispositivos de la infraestructura. Aunque todos los dispositivos de una infraestructura están en riesgo, los routers generalmente son el objetivo principal para los atacantes de redes. Esto ocurre porque los routers actúan como la policía del tránsito, dirigiendo el tráfico hacia, desde y entre redes. El router de borde es el último router entre la red interna y una red de confianza como Internet. Todo el tráfico a Internet de una organización pasa por este router de borde; por lo tanto, generalmente funciona como la primera y última línea de defensa de una red. A través del filtrado inicial y final, el router de borde ayuda a asegurar el perímetro de una red protegida. También es responsable de implementar las acciones de seguridad que están basadas en las políticas de seguridad de la organización. Por estas razones, es imperativo asegurar los routers de la red.

La implementación del router de borde varía en función del tamaño de la organización y la complejidad del diseño de red requerido. Las implementaciones de router pueden incluir un solo router protegiendo toda una red interna o un router como la primera línea de defensa en un enfoque de defensa profunda. Enfoque de un solo router En el enfoque de un solo router, un solo router conecta la red protegida, o LAN interna a Internet. Todas las políticas de seguridad están configuradas en este dispositivo. Generalmente se utiliza este esquema en implementaciones de sitios pequeños como sitios de sucursales y SOHO. En las redes más pequeñas, las funciones de seguridad requeridas pueden ser soportadas por ISRs sin comprometer el rendimiento del router. Enfoque de defensa profunda El enfoque de defensa profunda es más seguro que el de un solo router. En este enfoque, el router de borde actúa como la primera línea de defensa y se lo conoce como screening router. Envía al firewall todas las conexiones dirigidas a la LAN interna. La segunda línea de defensa es el firewall. El firewall básicamente retoma donde dejó el router y realiza filtrado adicional. Provee control de acceso adicional ya que monitorea el estado de las conexiones, actuando como un dispositivo de control. El router de borde tiene un conjunto de reglas que especifican qué tráfico permitir y qué tráfico denegar. Por defecto, el firewall deniega la iniciación de conexiones desde las redes externas (no confiables) para la red interna (confiable). Sin embargo, permite a los usuarios internos conectarse a las redes no confiables y permite que las respuestas vuelvan a través del firewall. También puede realizar autenticación de usuario (proxy de

autenticación) par que los usuarios tengan que estar autenticados para ganar acceso a los recursos de la red. Enfoque DMZ Una variante del enfoque de defensa profunda es ofrecer un área intermedia llamada zona desmilitarizada (demilitarized zone - DMZ). La DMZ puede ser utilizada para los servidores que tienen que ser accesibles desde Internet o alguna otra red externa. La DMZ puede ser establecida entre dos routers, con un router interno conectado a la red protegida y un router externo conectado a la red no protegida, o ser simplemente un puerto adicional de un solo router. El firewall, ubicado entre las redes protegida y no protegida, se instala para permitir las conexiones requeridas (por ejemplo, HTTP) de las redes externas (no confiables) a los servidores públicos en la DMZ. EL firewall sirve como protección primaria para todos los dispositivos en la DMZ. En el enfoque DMZ, el router provee protección filtrando algún tráfico, pero deja la mayoría de la protección a cargo del firewall. (El foco de este curso está en las opciones de seguridad de ISR, incluyendo explicaciones sobre cómo configurar estas opciones. Con respecto a las Cisco Adaptive Security Appliance (ASA), la discusión se limita a implementar diseños. Para configuración de dispositivos ASA, véase www.cisco.com.)

Asegurar el router de borde es un primer paso crítico en la seguridad de la red. Si hay otros routers internos, también deben estar configurados con seguridad. Deben mantenerse tres áreas de seguridad de routers. Seguridad física Proveer seguridad física para los routers:

Ubicar el router y los dispositivos físicos que se conectan a él en un cuarto bajo llave que sea accesible solo para personal autorizado, esté libre de interferencia magnética oelectrostática y tenga un sistema contra incendios y controles de temperatura y humedad. Instalar un sistema de alimentación ininterrumpida (uninterruptible power supply - UPS) y mantener los componentes de repuesto disponibles. Esto reduce la posibilidad de un ataques de DoS a causa de pérdida de electricidad en el edificio. Seguridad de los Sistemas Operativos Seguridad de las funciones y rendimiento de los sistemas operativos del router: Configurar el router con la máxima cantidad de memoria posible. La disponibilidad de la memoria puede ayudar a proteger la red de ataques de DoS, mientras que soporta el máximo rango de dispositivos de seguridad. Usar la última versión estable del sistema operativo que cumpla los requerimientos de la red. Las funciones de seguridad de un sistema operativo evolucionan con el tiempo.Tenga en cuenta que la última versión de un sistema operativo puede no ser la versión más estable disponible. Mantenga una copia segura de resguardo de la imagen del sistema operativo y el archivo de configuración del router. Hardening del router Elimine potenciales abusos de puertos y servicios no utilizados: Asegure el control administrativo. Asegúrese de que solo personal autorizado tenga acceso y su nivel de acceso sea controlado. Deshabilite puertos e interfaces no utilizadas. Reduzca la cantidad de maneras por las que puede accederse a un dispositivo. Deshabilitar servicios innecesarios. Como muchas computadoras, el router tiene servicios habilitados por defecto. Algunos de estos servicios son innecesarios y pueden ser utilizados por un atacante para reunir información o para efectuar explotaciones.

El acceso administrativo es un requerimiento para la administración del router; por lo tanto, asegurar el acceso admiistrativo es una tarea extremadamente importante. Si una persona no autorizada ganara acceso administrativo a un router, esa persona podría alterar parámetros de enrutamiento, deshabilitar funciones de enrutamiento o descubrir y ganar acceso a otros sistemas en la red. Se requieren muchas tareas importantes para asegurar el acceso administrativo a un dispositivo de una infraestructura: Restringir la accesibilidad de los dispositivos - Limitar los puertos administrativos, restringir los comunicadores permitidos y restringir los métodos de acceso permitidos. Registrar y justificar todos los accesos - Para propósitos de auditoría, registrar a todos los que acceden al dispositivo, incluyendo lo que ocurra durante el acceso y cuándo ocurre. Acceso autenticado - Asegurarse de que el acceso sea otorgado solo a usuarios, grupos y servicios autenticados. Limitar el número de intentos de ingreso fallidos y el tiempo entre intentos. Autorizar las acciones - Restringir las acciones y vistas permitidas a un usuario, grupo o servicio particular. Presentar notificaciones legales - Mostrar una notificación legal, desarrollada en conjunto con el consejo legal de la empresa, para sesiones interactivas. Asegurar la confidencialidad de los datos - Proteger los datos sensibles almacenados localmente de ser vistos o copiados. Considerar la vulnerabilidad de los datos en tránsito sobre un canal de comunicación expuestos a sniffing, secuestros de sesión y ataques man in the middle (MITM).

Hay dos maneras de acceder a un dispositivo para propósitos administrativos: local y remotamente. Todos los dispositivos de la infraestructura de la red puede ser accedidos localmente. El acceso local a un router usualmente requiere una conexión directa a un puerto de consola en el router de Cisco utilizando una computadora que esté ejecutando software de emulación de terminal. Algunos dispositivos de red pueden ser accedidos remotamente. El acceso remoto típicamente requiere permitir conexiones Telnet, Secure Shell (SSH), HTTP, HTTPS o Simple Network Management Protocol (SNMP) al router desde una computadora. Esta computadora puede estar en la misma subred o en una diferente. Algunos protocolos de acceso remoto envían al router los datos en texto plano, incluyendo nombres de usuario y contraseñas. Si un atacante logra reunir tráfico de red mientras un administrador está autenticado remotamente a un router, el atacante podrá capturar las contraseñas o información de configuración del router.

Por esta razón, se prefiere permitir solo acceso local al router. Sin embargo, el acceso remoto puede ser necesario de cualquier forma. Cuando se accede a la red remotamente, deben tomarse algunas precauciones: Cifrar todo el tráfico entre la computadora del administrador y el router. Por ejemplo, en lugar de usar Telnet, usar SSH. O en lugar de usar HTTP, usar HTTPS. Establecer una red de administración dedicada. La red de administración deberá incluir solo hosts de administración identificados y conexiones a una interfaz dedicada en el router. Configurar un filtro de paquetes para permitir que solo los hosts de administración identificados y protocolos de preferencia accedan al router. Por ejemplo, permitir solo solicitudes SSH de la dirección IP del host de administración para iniciar una conexión a los routers en la red. Estas precauciones son valiosas, pero no protegen enteramente a la red. Otras líneas de defensa deben ser implementadas también. Una de las más básicas e importantes es el uso de una contraseña segura.

2.1.2 Configuración de un acceso administrativo seguro Los atacantes usan varios métodos de descubrimiento de contraseñas administrativas. Pueden hacer shoulder surfing, intentar adivinar las contraseñas basándose en la información personal del usuario, o hacer sniffing de los paquetes TFTP que contienen archivos de configuración en texto plano. Los atacantes también pueden usar herramientas como L0phtCrack y Cain & Abel para efectuar ataques de fuerza bruta para adivinar las contraseñas. Para proteger bienes como routers y switches, siga estos consejos comunes para elegir contraseñas fuertes. Estos consejos han sido diseñados para hacer que las contraseñas sean menos fácilmente descubiertas por medio de herramientas de cracking y de adivinación inteligente: Utilice una contraseña de 10 o más caracteres de longitud. Cuanto más larga, mejor. Haga a su contraseña compleja. Incluya una mezcla de letras mayúsculas y minúsculas, símbolos y espacios. Evite contraseñas basadas en repeticiones, palabras de diccionario, secuencias de letras o números, nombres de usuario, nombres de mascotas o parientes, información biográfica (como cumpleaños, número de pasaporte o documento, nombres de ancestros) u otros tipos de información fácilmente identificable. Escriba la contraseña deliberadamente mal, realizando algunos reemplazos de letras. Por ejemplo, Smith = Smyth = 5mYth o Security = 5ecur1ty. Cambie las contraseñas seguido. Si una contraseña está comprometida sin su conocimiento, la ventana de oportunidad para que el ataque la use será limitada. No escriba las contraseñas en papel o las deje en lugares obvios como el escritorio o el monitor.

En los routers Cisco y muchos otros sistemas, los espacios antes de la contraseña son ignorados, no así los espacios dentro de la contraseña. Por lo tanto, un método para crear una contraseña fuerte es utilizar la barra espaciadora en la contraseña y crear una frase compuesta de varias palabras. Esto se denomina frase de acceso. La frase de acceso es generalmente más fácil de recordar que una simple contraseña. También es más larga y más difícil de adivinar. Los administradores deben asegurarse de que se usen contraseñas fuertes en toda la red. Una manera de lograr esto es usando las mismas herramientas de ataques de fuerzabruta y cracking que usaría un atacante para verificar la solidez de las contraseñas.

Muchos puertos de acceso requieren contraseñas en un router Cisco, incluyendo el puerto de consola, el puerto auxiliar y las conexiones de terminal virtual. La administración de las contraseñas en una red grande debería mantenerse por medio de un servidor de autenticación central TACACS+ o RADIUS como el Servidor de Control de Acceso Seguro de Cisco (ACS). Todos los routers deben ser configurados con las contraseñas de usuario y de EXEC privilegiado. También se recomienda el uso de una base de datos de nombres de usuario local como copia de resguardo si el acceso a un servidor de autenticación, autorización y registro de auditoría (authentication, authorization, and accounting - AAA) se encuentra comprometido. El uso de una contraseña y la asignación de niveles de privilegios son maneras simples de proporcionar control de acceso terminal en una red. Deben establecerse contraseñas para el modo de acceso EXEC privilegiado y líneas individuales como las líneas de consola y auxiliar. Contraseña enable secret El comando de configuración enable secret contraseña restringe el acceso al modo EXEC privilegiado. La contraseña enable secret siempre está dispersa (hashed) dentro de la configuración del router usando un algoritmo Message Digest 5 (MD5). Si la contraseña enable secret se pierde o se olvida, debe ser reemplazada utilizando el procedimiento de recuperación de contraseñas de los routers Cisco. línea de consola Por defecto, el puerto de línea de consola no requiere una contraseña para el acceso administrativo de la consola; sin embargo, siempre debe ser configurado con una contraseña a nivel de línea de puerto de consola. Use el comando line console 0 seguido de los subcomandos login y password para solicitar el ingreso y establecer una contraseña de ingreso en la línea de consola. líneas de terminal virtual Por defecto, los routers de Cisco soportan hasta cinco sesiones simultáneas de terminal virtual vty (Telnet o SSH). En el router, los puertos vty se numeran del 0 al 4. Use el comando line vty 0 4 seguido por los subcomandos login y password para solicitar ingreso y establecer una contraseña de ingreso a las sesiones Telnet entrantes. línea auxiliar Por defecto, los puertos auxiliares del router no requieren una contraseña para acceso administrativo remoto. Los administradores algunas veces usan este puerto para configurar y monitorear remotamente el router usando una conexión de módem dialup. Para acceder a la línea auxiliar, use el comando line aux 0. Use los subcomandos login y password para solicitar ingreso y establecer una contraseña de ingreso a las conexiones entrantes. Por defecto, con excepción de la contraseña enable secret, todas las contraseñas de router de Cisco están almacenadas en texto plano dentro de la configuración del router. Estas contraseñas pueden ser visualizadas con el comando show running-config. Los

sniffers también pueden ver estas contraseñas si los archivos de configuración de servidor TFTP atraviesan una conexión no asegurada de intranet o Internet. Si un intruso gana acceso al servidor TFTP donde están almacenados los archivos de configuración del router, podrá obtener estas contraseñas.

Para aumentar la seguridad de las contraseñas, debe configurarse lo siguiente: Establecer longitudes mínimas de contraseñas. Deshabilitar conexiones no utilizadas. Cifrar todas las contraseñas en el archivo de configuración. Longitud de caracteres mínima A partir de la Release 12.3(1) del IOS de Cisco, los administradores pueden especificar la longitud de caracteres mínima para todas las contraseñas de routers con un valor de 0 a 16 caracteres usando el comando de configuración global security passwords min-length longitud. Se recomienda fuertemente establecer la longitud mínima de la contraseña en 10 caracteres, para eliminar contraseñas comunes que resultan cortas y prevalecen en la mayoría de las redes, como "lab" y "cisco". Este comando afecta las contraseñas de usuario, las enable secret y las de línea que se creen luego de que el comando sea ejecutado. Las contraseñas de router ya existentes no son afectadas. Cualquier intento de crear una nueva contraseña que contenga menos caracteres que la longitud especificada fallará y se mostrará un mensaje de error similar al siguiente: Password too short - must be at least 10 characters. Password configuration failed. Deshabilitar conexiones no utilizadas

Por defecto la interfaz administrativa permanece activa y autenticada por 10 minutos luego de la última actividad de la sesión. Luego de eso, la sesión caduca y se cierra. Si un administrador está lejos de la terminal mientras la conexión de la consola permanece activa, una atacante tendrá hasta 10 minutos para ganar acceso privilegiado. Se recomienda, por lo tanto, que estos relojes sean ajustados para limitar la cantidad de tiempo a un máximo de dos a tres minutos. Estos relojes pueden ser ajustados usando el comando exec-timeout modo de configuración de línea para cada uno de los tipos de línea utilizado. También es posible deshabilitar el proceso exec para una línea específica, como el puerto auxiliar, usando el comando no exec dentro del modo de configuración del línea. Este comando permite solo conexiones salientes en la línea. El comando no exec permite deshabilitar el proceso EXEC para conexiones que pueden intentar enviar datos no solicitados al router. Cifrar todas las contraseñas Por defecto, algunas contraseñas se muestran en texto plano, o sea, sin cifrar, en la configuración del software IOS de Cisco. Con excepción de la contraseña enable secret, todas las otras contraseñas en texto plano en el archivo de configuración pueden ser cifradas con el comando service password-encryption. Este comando dispersa contraseñas en texto plano actuales y futuras en el archivo de configuración a un texto cifrado. Para detener el proceso de cifrado de las contraseñas, use la forma no del comando. Solo las contraseñas creadas luego de que se emita el comando no serán no cifradas. Las contraseñas ya existentes que estén cifradas permanecerán de esa manera. El comando service password-encryption es útil principalmente para evitar que individuos no autorizados puedan ver contraseñas en el archivo de configuración. El algoritmo utilizado por el comando service password-encryption es simple y fácilmente reversible por alguien que tenga acceso al texto cifrado y una aplicación de cracking de contraseñas. Por esta razón, el comando no deberá ser utilizado con la intención de proteger los archivos de configuración contra ataques serios. El comando enable secret es mucho más seguro, ya que cifra la contraseña utilizando MD5, un algoritmo mucho más fuerte.

Otra función de seguridad disponible es la autenticación. Los routers de Cisco mantienen una lista de nombres de usuario y contraseñas en una base de datos local en el router para realizar autenticación local. Hay dos métodos para configurar nombres de usuario de cuentas locales. username nombre password contraseña username nombre secret contraseña El comando username secret es más seguro porque usa el algoritmo más fuerte, MD5, para dispersar las claves. MD5 es un algoritmo mucho mejor que el tipo 7 estándar utilizado por el comando service password-encryption. La capa agregada de protección que proporciona MD5 es útil en ambientes en los que la contraseña atraviesa la red o es

almacenada en un servidor TFTP. Tenga en consideración que al configurar una combinación de nombre de usuario y contraseña deben seguirse las restricciones de longitud de contraseña. Use el comando login local en la configuración de linea para habilitar la base de datos local para autenticación. Todos los ejemplos restantes en este capítulo usan la configuración username secret en lugar de username password.

2.1.3 Configuracion de seguridad mejorada para autenticación virtual Asignar contraseñas y autenticación local no evita que un dispositivo pueda ser objetivo de un ataque. Los ataques de DoS inundan los dispositivos con tantas solicitudes de conexión que el dispositivo puede no proveer un servicio normal de autenticación para los administradores legítimos del sistema. El ataque de diccionario, usado para conseguir acceso administrativo a un sistema, inunda al dispositivo con cientos de combinaciones de usuario y contraseña. El resultado final es muy parecido al del ataque de DoS, ya que el dispositivo no puede procesar las solicitudes de usuarios legítimos. La red necesita tener sistemas para detectar y ayudar a prevenir estos ataques. Habilitando un perfil de detección, el dispositivo de red puede ser configurado para reaccionar a repetidos intentos de ingreso fallidos con un rechazo a las solicitudes de conexión subsiguientes (login blocking). Este bloqueo puede ser configurado para un período de tiempo que se denomina período silencioso (quiet period). Durante un período silencioso se permiten los intentos de conexión legítimos por medio de la configuración de una lista de control de acceso (access control list - ACL) con las direcciones asociadas con los administradores de sistemas. La función de identificación mejorada del IOS Cisco proporciona más seguridad para los dispositivos IOS al crear una conexión virtual como Telnet, SSH o HTTP, ya que hace más lentos los ataques de diccionario y detiene los ataques de DoS. Para configurar mejor la seguridad de las conexiones de ingreso virtuales, el proceso de autenticación deberá ser configurado con parámetros específicos: Retardos entre intentos de ingreso sucesivos Cierre de sesión si se sospechan ataques de DoS Generación de mensajes de registro del sistema para detección de sesiones

Estas mejoras no se aplican a las conexiones de consola. Se asume que solo el personal autorizado tendrá acceso físico a los dispositivos.

Se dispone de los siguientes comandos para configurar un dispositivo IOS de Cisco para que soporte las funciones de ingreso mejoradas. Router# configure terminal Router(config)# login block-for segundos attempts intentos within segundos Router(config)# login quiet-mode access-class {acl-nombre | acl-número} Router(config)# login delay segundos Router(config)# login on-failure log [every login] Router(config)# login on-success log [every login] La autenticación en las líneas vty debe ser configurada para usar una combinación de nombre de usuario y contraseña. Si se configuran las líneas para usar solo una contraseña, no se habilitarán las funciones de ingreso mejoradas. ¿Qué hace cada comando?

Por defecto, todas las funciones de ingreso mejoradas están deshabilitadas. Use el comando login block-for para habilitarlas. La función login block-for monitorea la actividad de inicio de sesión en el dispositivo y opera en dos modos: Modo normal (de vigilancia) - El router cuenta la cantidad de intentos de ingreso fallidos dentro de una cantidad de tiempo determinada.

Modo silencioso (período silencioso) - Si el número de ingresos fallidos sobrepasa el umbral configurado, todos los intentos de ingreso de Telnet, SSH y HTTP serán denegados. Cuando se habilita el modo silencioso, no se permite ningún intento de ingreso, incluso el acceso administrativo válido. Sin embargo, este comportamiento puede esquivarse para proporcionar acceso a los hosts críticos en todo momento mediante el uso de una ACL. La ACL debe ser creada e identificada usando el comando login quiet-mode access-class. Por defecto, los dispositivos IOS de Cisco pueden aceptar conexiones, como Telnet, SSH y HTTP, tan rápidamente como pueden éstas ser procesadas. Esto hace a los dispositivos susceptibles a herramientas de ataque de diccionario como Cain o L0phtCrack, que son capaces de ejecutar miles de intentos de contraseña por segundo. El comando login block-for invoca un retraso de un segundo entre intentos de ingreso. El atacante tendrá que esperar un segundo antes de probar con otra contraseña. Este tiempo de retraso puede modificarse mediante el comando login delay. El comando login delay introduce un retraso uniforme entre intentos sucesivos de ingreso. El retraso ocurre en todos los intentos de ingreso, tanto fallidos como exitosos. Los comandos login block-for, login quiet-mode access-class y login delay ayudan a bloquear los intentos de ingreso fallidos por un período de tiempo limitado, pero no pueden evitar que el atacante intente nuevamente. ¿Cómo puede un administrador saber cuándo alguien intenta ganar acceso a la red adivinando la contraseña?

El comando auto secure habilita el registro de mensajes para intentos fallidos de ingreso. El registro de intentos de ingreso exitosos no está habilitado por defecto. Estos comandos pueden ser utilizados para mantener un registro del número de intentos de ingreso exitosos y fallidos. login on-failure log [every login] genera registros para las solicitudes de ingreso fallidas.

login on-success log [every login] genera mensajes en el registro para las solicitudes de ingreso exitosas. El número de intentos de ingreso antes de que se genere un mensaje puede especificarse mediante el parámetro [every login]. El valor por defecto es 1. El rángo válido va de 1 a 65,535. Como alternativa, el comando security authentication failure rate tasa umbral log genera un mensaje en el registro cuando se excede la tasa de fallos de inicio de sesión. Para verificar que el comando login block-for esté configurado y el modo en el que está el router, use el comando show login. El router puede estar en modo normal o silencioso, dependiendo de si se ha excedido el umbral de intentos de ingreso. El comando show login failures muestra más información en relación a los intentos fallidos, como la dirección IP de la que se originó el intento de ingreso fallido.

Use mensajes banner para presentar una notificación legal a los potenciales intrusos para informarles que no son bienvenidos en esa red. Los banners son muy importantes para la red desde una perspectiva legal. Ha habido casos en que los intrusos han ganado en la corte porque no se toparon con mensajes de advertencia apropiados al acceder a redes enrutadas. Además de advertir a intrusos potenciales, los banners también pueden ser utilizados para informar a administradores remotos de las restricciones de uso. La elección del contenido de los mensajes banner es importante y debe ser revisada por un asesor legal antes de colocarse en routers de red. Nunca use la palabra "bienvenido" o algún otro saludo familiar que puede ser sacado de contexto o entendido como una invitación para usar la red.

Los banners están deshabilitados por defecto y deben ser habilitados explícitamente. Use el comando banner desde el modo de configuración global para especificar mensajes apropiados. banner {exec | incoming | login | motd | slip-ppp} d message d Los tokens son opcionales y pueden ser utilizados en la sección del mensaje del comando banner: $(hostname) - Muestra el nombre de host del router. $(domain) - Muestra el nombre de dominio del router. $(line) - Muestra los números de línea vty o tty (asíncrona). $(line-desc) - Muestra la descripción de la línea. Tenga cuidado al colocar esta información en el router, ya que provee más información a un potencial intruso. También se puede usar el SDM de Cisco para configurar mensajes de banner.

2.1.4 Configuración de SSH Al permitir el acceso administrativo remoto, también es importante considerar las implicancias de seguridad al enviar información a través de la red. Tradicionalmente, el acceso remoto en los routers era configurado usando Telnet sobre el puerto 23 de TCP. Sin embargo, Telnet fue desarrollado cuando la seguridad no era un problema, por lo tanto, todo el tráfico de Telnet se envía en texto plano. Al usar este protocolo, los datos críticos, como configuraciones del router, son de fácil acceso para los atacantes. Los hackers pueden capturar paquetes reenviados por la computadora de un administrador usando un analizador de protocolos como Wireshark. Si el atacante captura el flujo Telnet inicial, podrá aprender el nombre de usuario y la contraseña del administrador. Sin embargo, el acceso remoto puede ahorrarle tiempo y dinero a una organización a la hora de hacer cambios necesarios en la configuración. Entonces, ¿cómo puede establecerse una conexión de acceso remoto segura para administrar dispositivos IOS de Cisco? SSH ha reemplazado a Telnet como práctica recomendada para proveer administración de router remota con conexiones que soportan confidencialidad e integridad de la sesión. Provee una funcionalidad similar a una conexión Telnet de salida, con la excepción de que la conexión está cifrada y opera en el puerto 22. Con autenticación y cifrado, SSH permite comunicaciones seguras sobre una red no segura. Deben completarse cuatro pasos antes de configurar un router para el protocolo SSH: Paso 1. Asegurarse de que los routers destino estén ejecutando una imagen del IOS de Cisco release 12.1(1)T o posterior, para que soporten SSH. Solo las imágenes criptográficas del IOS de Cisco que contienen el grupo de funciones IPsec soportan SSH. Específicamente, las imágenes criptográficas del IOS de Cisco 12.1 o la posterior IPsec DES o el Triple Data Encryption Standard (3DES) soportan SSH. Estas imágenes

generalmente tienen el ID k8 o k9 en su nombre de imagen. Por ejemplo, c1841-advipservicesk9-mz.124-10b.bin es una imagen que soporta SSH. Paso 2. Asegurarse de que cada uno de los routers destino tenga un nombre de host único. Paso 3. Asegurarse de que cada router destino esté usando el nombre de dominio correcto para la red. Paso 4. Asegurarse de que los routers destino estén configurados para autenticación local o servicios AAA para autenticación de usuario y contraseña. Esto es obligatorio para una conexión SSH de router a router.

Usando la CLI, hay cuatro pasos para configurar un router Cisco para que soporte SSH: Paso 1. Si el router tiene un nombre de host único, configure el nombre de dominio IP de la red usando el comando ip domain-name nombre-dominio en el modo de configuración global.

Paso 2. Deben generarse las claves secretas de una sola vía para que un router cifre el tráfico SSH. Estas claves se denominan claves asimétricas. El software IOS de Cisco usa el algoritmo Rivest, Shamir, and Adleman (RSA) para generar claves. Para crear la clave RSA, use el comando crypto key generate rsa general-keys módulo modulus-size en el modo de configuración global. El módulo determina el tamaño de la clave RSA y puede ser configurado de 360 bits a 2048 bits. Cuanto más grande sea el módulo, más segura será la clave RSA. Sin embargo, las claves con valores de módulo grandes toman más tiempo para ser generadas y para cifrarse y descifrarse. La longitud mínima declave módulo recomendada es de 1024 bits. Para verificar el SSH y mostrar las claves generadas, use el comando show crypto key mypubkey rsa en modo EXEC privilegiado. Si hay pares de claves existentes, se recomienda que sean sobreescritos usando el comando crypto key zeroize rsa. Paso 3. Asegúrese de que haya una entrada de nombre de usuario válida en la base de datos local. Si no la hay, cree una usando el comando username nombre secret contraseña. Paso 4. Habilite sesiones SSH vty de entrada usando los comandos de línea vty login local y transport input ssh. SSH se habilita automáticamente luego de que se generan las claves RSA. Puede accederse al servicio SSH del router usando software de cliente SSH.

Comandos SSH opcionales Opcionalmente, pueden usarse comandos SSH para configurar lo siguiente: Versión SSH Período de vencimiento de sesión SSH Número de reintentos de autenticación Los routers Cisco soportan dos versiones de SSH: SSH version 1 (SSHv1) y SSH version 2 (SSHv2), la versión más nueva y segura. SSHv2 proporciona mejor seguridad usando el intercambio de claves Diffie-Hellman y el código de autenticación de mensajes (message authentication code - MAC) de fuerte revisión de integridad. El IOS de Cisco Release 12.1(1)T y posteriores soportan SSHv1. El IOS de Cisco Release 12.3(4)T y posteriores operan en modo de compatibilidad y soportan tanto SSHv1 como SSHv2. Para cambiar del modo de compatibilidad a una versión específica, use el comando de configuración global ip ssh version {1 | 2}. El intervalo de tiempo que el router espera para que responda el cliente SSH durante la fase de negociación SSH puede ser configurado usando el comando ip ssh time-out segundos en el modo de configuración global. El intervalo por defecto es de 120 segundos. Cuando se inicia la sesión EXEC, se aplica el tiempo de vencimiento estándar de exec configurado para vty. Por defecto, el usuario tiene tres intentos para ingresar antes de ser desconectado. Para configurar un número diferente de intentos consecutivos SSH, use el comando ip ssh authentication-retries entero en el modo de configuración global. Para verificar las configuraciones de comandos SSH opcionales, use el comando show ip ssh. Luego de que SSH haya sido configurado, el cliente SSH deberá conectarse a un router con SSH habilitado.

Hay dos maneras de conectarse a un router con SSH habilitado: Conectarse mediante un router Cisco con SSH habilitado usando el comando de modo privilegiado EXEC ssh. Conectarse usando un cliente SSH público y disponible comercialmente ejecutándose en un host. Algunos ejemplos de estos clientes son PuTTY, OpenSSH, and TeraTerm. Los routers de Cisco son capaces de actuar como el servidor SSH y como un cliente SSH para conectarse a otro dispositivo que tenga SSH habilitado. Por defecto, ambas de estas funciones están habilitadas en el router cuando se habilita SSH. Como servidor, el router puede aceptar conexiones de cliente SSH. Como cliente, el router puede hacer SSH con otro router que tenga SSH habilitado. El procedimiento para conectarse a un router Cisco varía en relación con la aplicación del cliente SSH. Generalmente, el cliente SSH inicia una conexión SSH al router, luego el servicio SSH del router pide el nombre de usuario con la contraseña correcta. Si la autenticación es exitosa, el router puede ser administrado como si el administrador estuviera usando una sesión Telnet estándar. Utilice el comando show ssh para verificar el estado de las conexiones cliente.

El SDM de Cisco puede ser usado para configurar un demonio SSH en un router. Para ver la configuración actual de las claves SSH, vaya a Configure > Additional Tasks > Router Access > SSH. La configuración de las claves SSH tiene dos opciones de estado. RSA key is not set on this router - Esta notificación aparece si no hay una clave criptográfica configurada para el dispositivo. Si no hay clave configurada, ingrese un tamaño de módulo y genere la clave.