Chapter 4

© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public

ITE PC v4.0

Chapter 1 1

SEGURIDAD DE LA RED

REDES DE AREA AMPLIADA

WAN

CAPITULO 4

ITE PC v4.0

Chapter 1 2© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public

SEGURIDAD: INTRODUCCION

Hacker de sombrero blanco: una persona que busca vulnerabilidades en los sistemas o en las redes y, a continuación, informa estas vulnerabilidades a los propietarios del sistema para que las arreglen.

Hacker: es un término general que se ha utilizado históricamente para describir a un experto en programación.

Hacker de sombrero negro: otro término que se aplica a las personas que utilizan su conocimiento de las redes o los sistemas informáticos que no están autorizados a utilizar, generalmente para beneficio personal o económico.

ITE PC v4.0


SEGURIDAD: INTRODUCCION

Cracker: es un término más preciso para describir a una persona que intenta obtener acceso no autorizado a los recursos de la red con intención maliciosa.

Phreaker: una persona que manipula la red telefónica para que realice una función que no está permitida.

Spammer: persona que envía grandes cantidades de mensajes de correo electrónico no solicitado.

Estafador: utiliza el correo electrónico u otro medio para engañar a otras personas para que brinden información confidencial, como números de tarjetas de crédito o contraseñas.

ITE PC v4.0


SEGURIDAD: FASES DE UN ATAQUE

Paso 1. Realizar un análisis del perfil (reconocimiento), puede empezar con la página web del objetivo.

Paso 2. Enumerar los datos, utilizando un sniffer

Paso 3. Manipular a los usuarios para obtener acceso.- Ingeniería social

Paso 4. Aumentar los privilegios. Una vez que los agresores obtienen acceso básico, utilizan sus habilidades para aumentar los privilegios de la red.

Paso 5. Recopilar más contraseñas y secretos.

Paso 6. Instalar virus de puerta trasera.

Paso 7. Potenciar el sistema comprometido. Una vez que un sistema está comprometido, los agresores lo utilizan para llevar a cabo ataques en otros hosts de la red.

ITE PC v4.0


TIPOS DE DELITOS INFORMATICOS

Abuso del acceso a la red por parte de personas que pertenecen a la organización

Propagar Virus

Robo de dispositivos portátiles

Suplantación de identidad (pishing)

Uso indebido de la mensajería instantánea

Denegación de servicio

Acceso no autorizado a la información

Robo de información de los clientes o de los empleados

Abuso de la red inalámbrica

Penetración en el sistema

Fraude financiero

Detección de contraseñas

Registro de claves

Alteración de sitios Web

Uso indebido de una aplicación Web pública

Robo de información patentada

Explotación del servidor DNS de una organización

Fraude en las telecomunicaciones

Sabotaje

ITE PC v4.0


REDES ABIERTAS - CERRADAS

ITE PC v4.0


DESARROLLO DE UNA POLITICA DE SEGURIDAD

RFC2196 establece que "una política de seguridad es una declaración formal de las normas por las que se deben regir las personas que obtienen acceso a los bienes de tecnología e información de una organización.

–Informar a los usuarios, al personal y a los gerentes acerca de los requisitos obligatorios para proteger los bienes de tecnología e información

–Especificar los mecanismos a través de los cuales se pueden cumplir estos requisitos

–Proporcionar una línea de base a partir de la que se pueda adquirir, configurar y auditar redes y sistemas informáticos para que cumplan la política

ITE PC v4.0


DESARROLLO DE UNA POLITICA DE SEGURIDAD

La norma ISO/IEC 27002 es una base común y una guía práctica para desarrollar normas de seguridad de la organización. Consta de 12 secciones:

–Evaluación de riesgos

–Política de seguridad

–Organización de la seguridad de la información

–Administración de activos

–Seguridad de los recursos humanos

–Seguridad física y ambiental

–Administración de las comunicaciones y operaciones

–Control de acceso

–Adquisición, desarrollo y mantenimiento de los sistemas informáticos

–Administración de incidentes de seguridad de la información

–Administración para la continuidad de la empresa

–Cumplimiento

ITE PC v4.0


VULNERABILIDADES

ITE PC v4.0


VULNERABILIDADES

ITE PC v4.0


VULNERABILIDADES

ITE PC v4.0


AMENAZAS A LA INFRAESTRUCTURA FISICA

Amenazas al hardware: daño físico a los servidores, routers, switches, planta de cableado y estaciones de trabajo

Amenazas ambientales: temperaturas extremas o condiciones extremas de humedad

Amenazas eléctricas: picos de voltaje, voltaje intermitente (apagones).

Amenazas al mantenimiento: manejo deficiente de los componentes eléctricos clave (descarga electrostática), falta de repuestos fundamentales, cableado insuficiente y rotulado incorrecto

ITE PC v4.0


AMENAZAS A LA INFRAESTRUCTURA FISICA: MITIGACION

ITE PC v4.0



ITE PC v4.0



ITE PC v4.0



ITE PC v4.0


AMENAZAS A LAS REDES

ITE PC v4.0


INGENIERIA SOCIAL

Consiste en engañar a las personas

–Aprovechar de la ingenuidad y obtener información clave de una red o sistema

No constituye un ataque en si, pero puede ser la clave para tener éxito en una intrusión.

Parámetro que en la mayoría de los casos no es tomado en cuenta por la gente de tecnología

ITE PC v4.0


TIPOS DE ATAQUES

Reconocimiento

–Se conoce como recopilación de información y, en la mayoría de los casos, precede a otro tipo de ataque.

Acceso

–Obtener acceso a un dispositivo del cual no se tiene cuenta ni contraseña.

•Herramientas de hacking

Denegación de servicio

–Se desactiva o daña redes, sistemas o servicios

Virus, gusanos y caballos de Troya

–Software malicioso puede ser insertado en un host para perjudicar o dañar un sistema, puede replicarse a sí mismo, o denegar el acceso a las redes, los sistemas o los servicios.

ITE PC v4.0


ATAQUES DE RECONOCIMIENTO

Consultas de información en Internet

–nslookup y whois

Barridos de ping

–fping o gping, que hace ping sistemáticamente a todas las direcciones de red.

Escaneos de puertos

–Nmap o Superscan, diseñado para buscar puertos abiertos en un host de red

Programas detectores de paquetes

–Analizadores de protocolos: wireshark, etc

ITE PC v4.0


ATAQUES DE RECONOCIMIENTO

Medidas para contrarrestar las infiltraciones

–Uso de redes conmutadas

–Uso de encriptación

•La encriptación de contenido, afecta a los datos no a los encabezados de los protocolos, es decir, las actualizaciones de enrutamiento y demás procesos propios de los protocolos están fuera de la encriptación.

–Implementaciones con protocolos seguros o que ofrezcan niveles de seguridad de acuerdo a las necesidades

•SNMP versión 3 puede encriptar cadenas comunitarias, es decir no habilitar SNMP versión 1.

ITE PC v4.0


TIPOS DE ATAQUES Ataques de acceso

–Explotan las vulnerabilidades conocidas de los servicios de autenticación, los servicios de FTP y los servicios Web para obtener acceso a cuentas válidas y obtener información confidencial.

Ataques a las contraseñas

–Pueden implementarse mediante un programa detector de paquetes para proporcionar cuentas de usuarios y contraseñas que se transmiten como texto sin cifrar.

–Normalmente se hace uso de programas para encontrar la contraseña, para lo cual utilizan diccionarios para en base a palabras conocidas encontrar la contraseña, esto se conoce como ataque de fuerza bruta

•L0phtCrack o Cain, son programas que intentan conectarse reiteradamente como usuario mediante el uso de palabras incluidas en un diccionario.

–Una tabla arco iris es una serie precalculada de contraseñas que se forma creando cadenas de posibles contraseñas de texto sin cifrar. El software de ataque aplica las contraseñas de la tabla de arco iris hasta resolver la contraseña.

ITE PC v4.0


TIPOS DE ATAQUES Explotación de confianza

–El objetivo es comprometer un host de confianza, mediante su uso, con el fin de llevar a cabo ataques en otros hosts de una red.

•La mitigación de este tipo de ataques se la establece mediante restricciones a los permisos o niveles de confianza en los host de la red (VLAN´s)

Redirección de puertos

–Es un tipo de ataque de explotación de confianza que utiliza un host comprometido para pasar tráfico a través de un firewall que, de lo contrario, estaría bloqueado.

•Utilización de IDS´s

Ataque man-in-the-middle

–Los agresores logran ubicarse entre dos hosts legítimos.

•Utilización de VPN para mitigar este tipo de ataques

ITE PC v4.0


TIPOS DE ATAQUES Ataques de DoS

–Son la forma más promocionada de ataques y también están entre los más difíciles de eliminar.

•Incluso dentro de la comunidad de hackers, los ataques de DoSson clasificados como triviales y se consideran de mal gusto, porque requieren muy poco esfuerzo para su ejecución.

Saturación SYNC

Utiliza el saludo de 3 vías utilizado por el protocolo TCP

Bombas de correo electrónico: los programas envían mensajes de correo electrónico masivo a personas, listas o dominios

Applets maliciosos: son los programas Java, JavaScript o ActiveX que destruyen o paralizan un recurso

ITE PC v4.0


TIPOS DE ATAQUES

Ataques Ddos (Distribuido DoS)

–Están diseñados para saturar los enlaces de la red con datos ilegítimos. Estos datos pueden sobrecargar un enlace de Internet y hacer que el tráfico legítimo sea descartado.

Los ataques Smurf

–Utilizan mensajes ping de broadcast suplantados para saturar un sistema objetivo.

Este tipo de ataques se los mitiga mediante ACL´s

Ataques de código malicioso

–Las principales vulnerabilidades de las estaciones de trabajo de los usuarios finales son los gusanos, virus y caballos de Troya.

ITE PC v4.0


SEGURIDAD EN SERVIDORES Y HOST

Cambiar las contraseñas y configuraciones por defecto

Manejar perfiles de acceso

Desinstalar todo el software que no use o que sea innecesario

Mantener actualizado el antivirus

Activar un firewall personal en cada estación o host

Aplicar los parches de seguridad al sistema operativo de forma periódica, es recomendable nunca ir a la par del fabricante

ITE PC v4.0


DETECCION Y PREVENCION DE INTRUSOS

Los sistemas de detección de intrusión (IDS) detectan ataques contra una red y envían registros a una consola de administración.

Los sistemas de prevención de intrusión (IPS) impiden ataques contra la red y deben proporcionar los siguientes mecanismos activos de defensa además de la detección:

–Prevención: impide la ejecución del ataque detectado.

–Reacción: inmuniza el sistema contra ataques futuros de origen malicioso.

Cada tecnología puede ser implementada a nivel de la red o a nivel del host, o a ambos niveles para brindar máxima protección.

ITE PC v4.0


DETECCION Y PREVENCION DE INTRUSOS

Sistemas de detección de intrusión basada en hosts

–La tecnología pasiva, que fue la tecnología de primera generación, se denomina sistema de detección de intrusión basada en hosts (HIDS).

•HIDS envía registros a una consola de administración una vez que se produjo el ataque y se provocó el daño.

–La tecnología de línea interna, denominada sistema de prevención de intrusión basada en hosts (HIPS), realmente detiene el ataque, impide el daño y bloquea la propagación de gusanos y virus.

–La detección activa puede configurarse para apagar la conexión de la red o para detener los servicios afectados automáticamente.

•Cisco proporciona HIPS mediante el software del agente de seguridad de Cisco.

•Se establece un servidor y un agente

ITE PC v4.0


APLICACIONES Y DISPOSITIVOS DE SEGURIDAD

Control de amenazas: regula el acceso a la red, aísla los sistemas infectados, previene intrusiones

–Aplicaciones de seguridad adaptables ASA de la serie 5500 de Cisco

–Routers de servicios integrados (ISR)

–Control de admisión a la red

–Agente de seguridad de Cisco para equipos de escritorio

–Sistemas de prevención de intrusión de Cisco

ITE PC v4.0



Comunicaciones seguras: asegura los extremos de la red con VPN.

–Routers ISR Cisco con la solución de VPN del IOS de Cisco, los dispositivos de la serie ASA 5500 de Cisco y los switches Catalyst6500 de Cisco.

Control de admisión a la red (NAC): proporciona un método basado en funciones que impide el acceso no autorizado a una red.

–Cisco ofrece una aplicación de NAC.

El Software IOS de Cisco de los Routers de servicios integrados (ISR) de Cisco

–El software IOS de Cisco cuenta con el Firewall IOS de Cisco, IPsec, VPN de SSL y servicios de IPS.

ITE PC v4.0



Aplicación de seguridad adaptable ASA de la serie 5500 de Cisco

–PIX evolucionó hasta convertirse en una plataforma que integra muchas características de seguridad diferentes, denominada Aplicación de seguridad adaptable (ASA) de Cisco.

•El ASA de Cisco cuenta con un firewall, seguridad de voz, VPN de SSL e IPsec, IPS y servicios de seguridad de contenidos en un solo dispositivo.

Sensores IPS de la serie 4200 de Cisco

–En las redes más grandes, los sensores IPS de la serie 4200 de Cisco proporcionan un sistema de prevención de intrusiones de línea interna. Este sensor identifica, clasifica y detiene el tráfico malicioso de la red.

ITE PC v4.0



Aplicación de NAC de Cisco

–La aplicación de NAC de Cisco utiliza la infraestructura de la red para hacer cumplir la política de seguridad respecto de todos los dispositivos que intentan obtener acceso a los recursos informáticos de la red.

Agente de seguridad de Cisco (CSA)

–El software del Agente de seguridad de Cisco ofrece capacidades de protección contra amenazas para sistemas informáticos de servidor, escritorio y punto de servicio (POS).

ITE PC v4.0


RUEDA DE LA SEGURIDAD

Una política debe cubrir

–Identificar los objetivos de seguridad de la organización.

–Documentar los recursos que se deben proteger.

–Identificar la infraestructura de la red con mapas e inventarios actuales.

–Identificar los recursos críticos que deben protegerse (investigación y desarrollo, financieros y humanos). Esto se denomina análisis de riesgo.

ITE PC v4.0


POLITICA DE SEGURIDAD

"Una política de seguridad es una declaración formal de las reglas a las cuales se debe adherir el personal que tiene acceso a los bienes tecnológicos y de información de una organización".

–Proporciona un medio para auditar la seguridad actual de la red y compara los requisitos con lo que se encuentra instalado.

–Planifica mejoras de seguridad, incluidos equipos, software y procedimientos.

–Define las funciones y las responsabilidades de los ejecutivos, administradores y usuarios de la empresa.

–Define qué comportamientos están permitidos y cuáles no.

–Define un proceso para manejar los incidentes de seguridad de la red.

–Permite la implementación y el cumplimiento de la seguridad global al funcionar como norma entre los sitios.

–Crea una base para fundar acciones legales, en caso de ser necesario.

ITE PC v4.0


FUNCIONES DE LA POLITICA DE SEGURIDAD

Proteger a las personas y a la información

Establecer la normas de comportamiento esperadas de los usuarios, de los administradores del sistema, de la dirección y del personal de seguridad

Autorizar al personal de seguridad a monitorear, sondear e investigar

Definir y autorizar las consecuencias de las violaciones

ITE PC v4.0


COMPONENTES DE LA POLITICA DE SEGURIDAD

ITE PC v4.0


FUNCIONES DEL ROUTER EN LA SEGURIDAD DE UNA RED

Los routers cumplen las siguientes funciones:

Publicar las redes y filtrar a quienes pueden utilizarlas.

Proporcionar acceso a los segmentos de las redes y a las subredes.

ITE PC v4.0


PROTECCION DE LA RED: ROUTERS

Seguridad física

Actualización del IOS de los routers cuando sea conveniente

Copia de seguridad de la configuración y del IOS de los routers

Aseguramiento del router para eliminar el abuso potencial de los puertos y servicios no utilizados

ITE PC v4.0


PROTECCION DE LA RED: ROUTERS R1(config)# username Student password cisco123

R1(config)# do show run | include username

username Student password 0 cisco123

R1(config)#

•El 0 que aparece en la configuración en ejecución indica que la contraseña no está oculta.

Manejo de la encriptación de las contraseñas

–Encriptación simple, que se denomina esquema de tipo 7.

•Oculta la contraseña mediante el uso de un algoritmo de encriptación simple.

•Se aplica al utilizar el comando service password-encryption

•Puede ser utilizada por los comandos enable password, username y line password, incluidos vty, line console y aux port.

–Encriptación compleja, que se denomina esquema de tipo 5. Utiliza un hash MD5 más seguro.

•Configuración manual a cada contraseña

ITE PC v4.0


PROTECCION DE LA RED: ROUTERS

La encriptación MD5 es un método de encriptación fuerte.

–Se configura reemplazando la palabra clave password por secret.

R1(config)# username Student secret cisco

R1(config)# do show run | include username

username Student secret 5 $1$z245$lVSTJzuYgdQDJiacwP2Tv/

PAP y CHAP requieren contraseñas en texto sin cifrar y no pueden utilizar contraseñas encriptadas MD5.

El IOS Versión 12.3(1) y posteriores permite que los administradores definan la longitud mínima en caracteres de todas las contraseñas de los routers utilizando el comando de configuración global security passwords min-length

–No afecta a las contraseñas existentes

ITE PC v4.0


PROTECCION A LA ADMINISTRACION

Las conexiones se pueden evitar por completo en cualquier línea mediante la configuración del router con los comandos login y no password.

Configurar para aceptar conexiones sólo con los protocolos realmente necesarios. Comando transport input.

UTILIZAR ACL´S PARA MAYOR PROTECCION

ITE PC v4.0


PROTECCION A LA ADMINISTRACION

Configurar los tiempos de espera de los VTY mediante el comando exec-timeout.

Verificación de los mensajes de actividad de TCP en las conexiones entrantes mediante el comando service tcp-keepalives-in

–Un problema que puede presentarse es cuando se establecen conexiones al router, pero después de establecida la conexión, el usuario remoto corta su sesión inesperadamente, pero mantiene la conexión en línea.

•Esto puede ser usado por usuarios malintencionados para adueñarse de la conexión.

•service tcp-keepalives-in, ocasiona el corte inmediato de las sesiones que no responden.

ITE PC v4.0


SSH

Utiliza el puerto TCP 22

No todas las imágenes del IOS admiten SSH.

–Los ID de imagen de los nombres van con las letras k8 o k9

Pueden utilizar una base de datos local o remota, mediante un servidor AAA (TACAS o RADIUS)

Los equipos CISCO pueden actuar como cliente o como servidor

ITE PC v4.0


SSH: CONFIGURACION

ITE PC v4.0


SSH: CONFIGURACION

ITE PC v4.0


ACTIVIDAD DE REGISTRO EN ROUTERS

La configuración del registro (syslog) en el router se debe realizar con cuidado.

Envíe los registros del router a un host de registro designado

Los routers admiten distintos niveles de registro.

Ocho niveles van desde 0, emergencias que indican que el sistema es inestable, hasta 7 para depurar mensajes que incluyen toda la información del router.

Un servidor de syslog es Kiwi Syslog Daemon.

ITE PC v4.0


MANEJO DE LOS LOGs

Asignar un espacio de memoria en el router para almacenar y posterior análisis

–(config)# logging buffered 16000 (16000 es el tamaño de la menoria)

Enviar los logs a un dispositivo que alberga un administrador de logs; en este caso Syslogd [13] en sistemas Linux y WSyslogD en sistemas WinNT.

–(config)# logging 192.168.10.26

–(config)# logging 192.168.10.28

–(config)# logging trap 7

•Establece la clase de logs que se quieren registrar, en este caso 7 (debugging).

ITE PC v4.0


MANEJO DE LOS LOGs

Nivel Nombre de Nivel Descripción

0 Emergencias Enrutador no funciona

1 Alerta Acción necesaria Inmediata

2 Critico Condición crítica

3 Errores Condición de error

4 Advertencias Condición de advertencia

5 Notificaciones Eventos normales

6 Informacional Mensaje de información

7 Debugging Mensaje de debugging

ITE PC v4.0


SERVICIOS VULNERABLES DE UN ROUTER

Servidores pequeños son demonios que se ejecutan en el router y sirven principalmente para diagnóstico

ITE PC v4.0



ITE PC v4.0



ITE PC v4.0



Servicios a desactivarse en los routers

–Los servicios pequeños tales como echo, discard y chargen: use el comando no service tcp-small-servers o no service udp-small-servers.

•Demonios que corren en el router para diagnóstico

–BOOTP: use el comando no ip bootp server.

–Finger: use el comando no service finger.

–HTTP: use el comando no ip http server.

–SNMP: use el comando no snmp-server.

ITE PC v4.0




–Protocolo de descubrimiento de Cisco (CDP): use el comando no cdprun.

–Configuración remota: use el comando no service config.

•%Error opening tftp://255.255.255.255/network-confg (Timed out)%Error opening tftp://255.255.255.255/cisconet.cfg (Timed out)%Error opening tftp://255.255.255.255/router-confg (Timed out)%Error opening tftp://255.255.255.255/ciscortr.cfg (Timed out)

–Enrutamiento de origen: use el comando no ip source-route.

•Restricciones sobre los paquetes que pueden especificar rutas definidas de envío, controladas por opciones de enrutamiento contenidas en los datagramas.

–Enrutamiento sin clase: use el comando no ip classless.

•Comportamiento del enrutamiento sin clase

ITE PC v4.0




–Las interfaces del router pueden ser más seguras si se utilizan determinados comandos en el modo de configuración de interfaz:

•Interfaces no utilizadas: use el comando shutdown.

•Prevención de ataques SMURF: use el comando no ip directed-broadcast.

–Ataque de denegación de servicio que utiliza mensajes de ping al broadcast con spoofing para inundar (flood) un objetivo (sistema atacado).

•Enrutamiento ad hoc: use el comando no ip proxy-arp.

ITE PC v4.0


VULNERABILIDADES DE SNMP, NTP Y DNS

SNMP

–SNMP es el protocolo de Internet estándar del monitoreo

–Las versiones de SNMP anteriores a la versión 3 transportan información en forma de texto sin cifrar.

NTP

–Los routers Cisco y otros hosts utilizan NTP para mantener sus relojes con la hora del día exacta..

–Desactivar NTP en una interfaz no impide que los mensajes de NTP viajen a través del router. Para rechazar todos los mensajes de NTP en una interfaz determinada, use una lista de acceso.

DNS

–El software IOS de Cisco admite la búsqueda de nombres de hosts con el Sistema de nombres de dominios (DNS).

–DNS básico no ofrece autenticación ni aseguramiento de la integridad. De manera predeterminada, las consultas de nombres se envían a la dirección de broadcast 255.255.255.255.

–ip name-server addresses permite definir manualmente los DNS´s.

ITE PC v4.0


PROTOCOLOS DE ENRUTAMIENTO

En los proceso de enrutamiento es conveniente asegurar la integridad de las tablas de enrutamiento

–Utilización de las opciones de seguridad de los protocolos de enrutamiento

•RIPv2, EIGRP, OSPF, IS-IS y BGP, todos ellos admiten diversas formas de autenticación MD5.

ITE PC v4.0


RIP V2 CON OPCIONES DE SEGURIDAD

Paso 1. Impida la propagación de actualizaciones de enrutamiento RIP

–Forzar todas las interfaces del router a pasar al modo pasivo y, a continuación, activar sólo aquellas interfaces que son necesarias para enviar y recibir actualizaciones RIP.

•Una interfaz en modo pasivo recibe actualizaciones pero no las envía

Paso 2. Impida la recepción de actualizaciones RIP no autorizadas

–Activar la autenticación MD5 en los routers

Paso 3. Verifique el funcionamiento del enrutamiento RIP

ITE PC v4.0



passive-interface default

–Desactiva las publicaciones de enrutamiento en los routers en todas las interfaces.

no passive-interface s0/0/0

–Activa la interfaz S0/0/0 para enviar y recibir actualizaciones RIP.

ITE PC v4.0



key chain RIP_KEY

–crear una cadena de claves

key 1

–Se puede considerar varias claves, pero en este caso se toma 1.

key-string cisco

–La clave 1 está configurada para contener una cadena de claves denominada cisco

ITE PC v4.0



Mostrar la tabla de enrutamiento del router, para verificar si hay rutas aprendidas por RIP

ITE PC v4.0


EIGRP

Crear una cadena de claves para ser utilizada por todos los routers de la red.

–Número de clave 1 y

–Un valor de cadena de claves de cisco.

Activar la autenticación MD5 de los paquetes de EIGRP que viajan a través de una interfaz.

ITE PC v4.0


OSPF

El primer comando especifica la clave que se utilizará para la autenticación MD5.

El comando siguiente activa la autenticación MD5.

ITE PC v4.0


AUTO SECURE CISCO

AutoSecure de Cisco utiliza un único comando para desactivar procesos y servicios no esenciales del sistema y elimina amenazas de seguridad potenciales.

–Modo interactivo: este modo le indica opciones para activar y desactivar servicios y otras características de seguridad. Es el modo predeterminado.

–Modo no interactivo: ejecuta automáticamente el comando auto secure con la configuración predeterminada recomendada de Cisco.

•Utiliza la opción del comando no-interact.

ITE PC v4.0


SDM

Herramienta de administración de dispositivos en Web, diseñada para configurar LAN, WAN y las características de seguridad en routers con IOS de Cisco.

Preinstalado en todos los routers nuevos de servicios integrados de Cisco.

SDM se pueden instalar en routers, PC o en ambos.

– PC ahorra memoria del router y le permite utilizar el SDM para administrar otros routers de la red.

– Si se encuentra preinstalado en el router, Cisco recomienda utilizar SDM para realizar la configuración inicial.

ITE PC v4.0


CARACTERISTICAS DE SDM

Simplifica la configuración de routers y la seguridad mediante el uso de varios asistentes inteligentes

–VPN

–Firewall

Los asistentes inteligentes del SDM, pueden detectar configuraciones incorrectas y proponen modificaciones

–Tráfico DHCP a través de un firewall.

ITE PC v4.0


CONFIGURACION DE UN ROUTER PARA QUE SEA COMPATIBLE CON SDM

ITE PC v4.0


INICIO DEL SDM DE CISCO

El SDM de Cisco se almacena en la memoria flash del router, o también en una PC local.

–Se utiliza el protocolo HTTPS y en el URL se coloca la dirección IP del router.

–El prefijo http:// puede ser utilizado si no hay SSL disponible.

ITE PC v4.0


INICIO DEL SDM DE CISCO

Para el cuadro de diálogo de nombre de usuario y contraseña

–Nombre de usuario y contraseña para la cuenta privilegiada (nivel de privilegio 15) en el router

•Creada mediante el comando username.

Una vez que aparece la página de inicio, se muestra un appletJava con signo del SDM que debe permanecer abierto mientras se ejecuta.

–Dado que se trata de un applet Java, es posible que se solicite aceptar un certificado.

Los pasos de la secuencia de inicio de sesión pueden variar según si ejecuta SDM desde una PC o, directamente, desde un routerISR de Cisco.

ITE PC v4.0


INTERFAZ DEL SDM: página de inicio

ITE PC v4.0


INTERFAZ DEL SDM: página de inicio

Muestra el modelo del router, cantidad total de memoria, las versiones de flash, IOS y SDM, el hardware instalado y un resumen de algunas características de seguridad, como estado del firewall y la cantidad de conexiones de VPN activas.

Información básica sobre el hardware, software y la configuración del router:

–Barra de menú: parte superior de la pantalla tiene una barra de menú típica con los elementos de menú Archivo, Edición, Ver, Herramientas y Ayuda.

–Barra de herramientas: debajo de la barra de menú, están los asistentes y modos de SDM que se pueden seleccionar.

–Información del router: el modo actual se muestra del lado izquierdo, debajo de la barra de herramientas.

ITE PC v4.0


SDM: AREA CERCA DEL ROUTER

La barra Disponibilidad de características (parte inferior de la ficha Acerca del router) muestra las características disponibles en la imagen del IOS del router.

–Las marcas de verificación indican que la característica está configurada en el router.

ITE PC v4.0


SDM: AREA DE DESCRIPCION GENERAL DE LA CONFIGURACION

Las pestañas más importantes

–Políticas del firewall: esta área muestra información relativa al firewall: cantidad de interfaces confiables (internas), interfaces no confiables (externas) e interfaces de la DMZ.

•También muestra el nombre de la interfaz a la cual se ha aplicado un firewall, si la interfaz está diseñada como interfaz interna o externa y si la regla de NAT se ha aplicado a esta interfaz.

–VPN: muestra información de las VPN, incluidas la cantidad de conexiones VPN activas, la cantidad de conexiones VPN configuradas sitio a sitio y la cantidad de clientes VPN activos.

–Enrutamiento: esta área muestra la cantidad de rutas estáticas, y qué protocolos de enrutamiento están configurados.

ITE PC v4.0


SDM: ASISTENTE

ITE PC v4.0


BLOQUEO DE UN ROUTER CON SDM

Las características de AutoSecure que se encuentran implementadas de manera diferente en SDM incluyen:

–Desactiva SNMP y no configura la versión 3 de SNMP.

–Activa y configura SSH en las imágenes encriptadas del IOS de Cisco.

–No activa el Punto de control de servicio ni desactiva otros servicios de acceso y transferencia de archivos, como el FTP.

SELECCIONE CONFIGURAR SELECCIONE AUDITORIA DE SEGURIDAD

ITE PC v4.0



HAGA CLIC EN BLOQUEO DE UN PASO

SELECCIONE SI EN EL CUADRO

ITE PC v4.0



SDM REVISA LA CONFIGURACION ACTUAL

Y COMPARA CON PRACTICAS DE SEGURIDAD

MAS CONOCIDAS

SDM MUESTRA UNA LISTA DE

CONFIGURACIONES RECOMENDADAS

ITE PC v4.0



LOS COMANDOS SE ENVIAN

AL ROUTER

ITE PC v4.0


MANTENIMIENTO DE LAS IMÁGENES DEL IOS

No siempre resulta conveniente actualizar a la última versión del software IOS de Cisco. Muchas veces esa versión no es estable

Herramientas informativa “no conexión Cisco.com”

–Guía de referencia del IOS de Cisco: cubre los aspectos básicos de la familia del software IOS de Cisco

–Documentos técnicos del software IOS de Cisco: documentación de cada una de las versiones del software IOS de Cisco

–Centro de Software: descargas del software IOS de Cisco

ITE PC v4.0


MANTENIMIENTO DE LAS IMÁGENES DEL IOS

Herramientas que requieren cuentas validas en cisco.com

–Juego de herramientas para reparar defectos: busca modificaciones de software conocidas basadas en la versión de software.

–Feature Navigator de Cisco: busca las versiones compatibles con un conjunto de características de software y con el hardware, y compara las versiones

–Software Advisor: compara las versiones, características del IOS y averigua qué versión del software es compatible con un determinado dispositivo de hardware

–Planificador de actualizaciones del IOS de Cisco: busca las versiones por hardware, versión y conjunto de características, y descarga las imágenes del IOS.

ITE PC v4.0


SISTEMAS DE ARCHIVOS

El IOS cuentan con una característica denominada Sistema de archivos integrados (IFS).

–Permite crear, navegar y manipular directorios en un dispositivo Cisco.

–Los directorios disponibles dependen de la plataforma.

show file systems

–Enumera todos los sistemas de archivos disponibles en un router.

•Cantidad de memoria disponible, tipo de sistema de archivos y sus permisos.

–Sólo lectura (ro), sólo escritura (wo) y lectura y escritura (rw)

ITE PC v4.0



show file systems

–Hay varios sistemas de archivos enumerados, los de interés son: tftp, flash y nvram.

–El sistema de archivos flash tiene un asterisco que indica el sistema de archivos predeterminado.

•El IOS arranca desde la flash; por lo tanto, el símbolo numeral (#) agregado al listado de flash indica que se trata de un disco de arranque.

ITE PC v4.0



Las imágenes tienen la extensión .bin

ITE PC v4.0



El archivo de interés es el que almacena la configuración de arranque

ITE PC v4.0


PREFIJOS

ITE PC v4.0


ADMINISTRACION DE ARCHIVOS

R2# copy running-config startup-config

–copy system:running-config nvram:startup-config

R2# copy running-config tftp:

–R2# copy system:running-config tftp:

R2# copy tftp: running-config

–R2# copy tftp: system:running-config

R2# copy tftp: startup-config

–R2# copy tftp: nvram:startup-config

ITE PC v4.0


NOMENCLATURA DEL IOS

Conjuntos de características (ipbase)

i: conjunto de características IP

j : conjunto de características empresariales (todos los protocolos)

s: conjunto de características PLUS (más colas, manipulación o traducciones)

56i: designa la encriptación DES de IPsec de 56 bits

3: designa el firewall/IDS

k2: designa la encriptación 3DES de IPsec (168 bits)

ITE PC v4.0


TFTP PARA ADMINISTRAR LAS IMAGENES

ITE PC v4.0


COPIAS DE SEGURIDAD

ITE PC v4.0


ACTUALIZACIONES DE LAS IMAGENES

Erase flash: . Borrar la memoria flash deja espacio para la nueva imagen

ITE PC v4.0


RESTAURACION DE LA IMAGEN

ITE PC v4.0


RESTAURACION DE LA IMAGEN

ITE PC v4.0


USO DE XMODEM xmodem [-cyr] [nombre de

archivo].

–-c especifica CRC-16, y especifica el protocolo Ymodem y r copia la imagen a la memoria RAM.

ITE PC v4.0


COMANDOS PARA LA RESOLUCION DE PROBLEMAS

ITE PC v4.0


COMANDOS RELACIONADOS CON DEBUG

ITE PC v4.0


RECUPERACION DE CONTRASEÑAS

Date post:	26-Nov-2014
Category:	Documents
Upload:	yeni-monroy
View:	9 times
Download:	4 times

Chapter 4

Documents