SEGURIDAD EN LOS ROUTERS

Administracion de la Seguridad en los Routers Cisco

La seguridad básica de los routers consiste en la configuración de contraseñas. Una

contraseña sólida es el elemento más fundamental para controlar el acceso seguro a un

router. Por este motivo, siempre se deben configurar contraseñas sólidas.

De forma predeterminada, el software IOS de Cisco deja contraseñas en texto sin cifrar

cuando se introducen en un router. Esto no es seguro, ya que cualquiera que pase por detrás

suyo mientras observa la configuración de un router podría espiar por encima de su hombro

y ver la contraseña.

Si se usa el comando enable password o el comando username username password

password estas contraseñas se mostrarían al observar la configuración en ejecución.

Ejemplo:

R1(config)# username Student password cisco123

R1(config)# do show run | include username

username Student password 0 cisco123

R1(config)#

El 0 que aparece en la configuración en ejecución indica que la contraseña no está oculta.

Por este motivo, todas las contraseñas deben estar encriptadas en un archivo de

configuración. El IOS de Cisco ofrece dos esquemas de protección de contraseñas:

Encriptación simple, que se denomina esquema de tipo 7. Utiliza el algoritmo de

encriptación definido por Cisco y oculta la contraseña mediante el uso de un algoritmo de

encriptación simple.

Encriptación compleja, que se denomina esquema de tipo 5. Utiliza un hash MD5 más

seguro.

La encriptación del tipo 7 puede ser utilizada por los comandos enable password, username

y line password, incluidos vty, line console y aux port. No ofrece una gran protección, ya

que sólo oculta la contraseña utilizando un algoritmo de encriptación simple.

Para encriptar contraseñas mediante la encriptación de tipo 7, use el comando de

configuración global service password-encryption. Mediante este comando las

contraseñas que aparecen en la pantalla no son legibles.

Ejemplo:

R1(config)# service password-encryption

R1(config)# do show run | include username

username Student password 7 03075218050061

R1(config)#

El 7 que aparece en la configuración en ejecución indica que la contraseña está oculta.

Un router siempre utiliza la contraseña secreta antes que la contraseña de enable. Por este

motivo, el comando enable password nunca se debe configurar, ya que puede revelar la

contraseña de un sistema.

Los nombres de usuario de la base de datos local también deben estar configurados

mediante el comando de configuración global username username secret password. Por

ejemplo:

R1(config)# username Student secret cisco

R1(config)# do show run | include username

username Student secret 5 $1$z245$lVSTJzuYgdQDJiacwP2Tv/

R1(config)#

El software IOS de Cisco Versión 12.3(1) y posteriores permite que los administradores

definan la longitud mínima en caracteres de todas las contraseñas de los routers utilizando

el comando de configuración global security passwords min-length, como se observa en

la figura. Este comando proporciona acceso con mayor seguridad al router, al permitirle

que especifique una longitud mínima para las contraseñas,

Ejemplo

Configurar las contraseñas del Router

Encriptar las contraseñas

cumplimiento de longitud de contraseña minima

Restingiendo el acceso adminitrativo a un Router

Para proteger el acceso administrativo a los routers y switches, primero debe proteger las

líneas administrativas (VTY, AUX), y después configurar el dispositivo de red para que

encripte el tráfico en un túnel SSH. ya que Telnet envía todo el tráfico de la red en forma de

texto sin cifrar

El acceso remoto no sólo se aplica a la línea de VTY del router, también se aplica a las

líneas de TTY y al puerto auxiliar (AUX). Las líneas de TTY proporcionan acceso

asíncrono a un router a través de un módem. Si bien son menos comunes que lo que fueron

en otro momento, todavía existen en algunas instalaciones. Proteger estos puertos es aun

más importante que proteger los puertos del terminal local.

Controles en los puertos VTY

De manera predeterminada, todas las líneas de VTY están configuradas para aceptar

cualquier tipo de conexión remota. Por razones de seguridad, las líneas de VTY se deben

configurar para aceptar conexiones sólo con los protocolos realmente necesarios. Esto se

hace mediante el comando transport input. Por ejemplo, un VTY que debe recibir sólo

sesiones de Telnet estaría configurado con transport input telnet, y un VTY que permite las

sesiones de Telnet y de SSH estaría configurado con transport input telnet ssh

Ejemplo

Otra táctica útil es configurar los tiempos de espera de los VTY mediante el comando exec-

timeout. Esto impide que una sesión inactiva consuma el VTY en forma indefinida. A

pesar de que su eficacia contra los ataques deliberados es relativamente limitada,

proporciona algo de protección contra las sesiones que se dejan accidentalmente inactivas.

Del mismo modo, la activación de los mensajes de actividad de TCP en las conexiones

entrantes mediante el comando service tcp-keepalives-in puede ayudar a resguardarse de

los ataques maliciosos y de las sesiones huérfanas provocadas por colapsos del sistema

remoto.

Ejemplo

Implementación de SSH para proteger el acceso administrativo remoto

Tradicionalmente, al acceso administrativo remoto de los routers se configuraba mediante

Telnet en el puerto TCP 23. Sin embargo, Telnet se desarrolló en un tiempo en el que la

seguridad no era un problema. Por este motivo, todo el tráfico de Telnet se envía en forma

de texto sin cifrar.

SSH reemplazó a Telnet como la mejor práctica para proporcionar administración remota

de los routers con conexiones que admiten una sólida privacidad e integridad de las

sesiones. SSH utiliza el puerto TCP 22. Brinda una funcionalidad similar a la de una

conexión Telnet saliente, con la excepción de que la conexión se encuentra encriptada.

Mediante la autenticación y la encriptación, SSH hace posibles las comunicaciones seguras

a través de una red insegura

Los routers Cisco pueden actuar como cliente y servidor SSH. De manera predeterminada,

ambas funciones se encuentran activadas en el router cuando se activa SSH. Como cliente,

un router puede realizar un SSH a otro router. Como servidor, un router puede aceptar

conexiones SSH cliente.

Configuración de la seguridad de SSH

Para permitir SSH en el router, se deben configurar los siguientes parámetros:

Nombre de host

Nombre de dominio

laves asimétricas

Autenticación local

Entre los parámetros de configuración opcionales se encuentran:

Tiempos de espera

Reintentos

Los siguientes pasos configuran el SSH en un router

Paso 1: Defina los parámetros de los routers

Configure el nombre de host del router con el comando hostname hostname del modo de

configuración.

Paso 2: Defina el nombre de dominio

Se debe crear un nombre de dominio para activar el SSH. En este ejemplo, escriba el

comando ip domain-name cisco.com del modo de configuración global.

Paso 3: Genere claves asimétricas

Debe crear una clave que el router pueda utilizar para encriptar su tráfico de administración

de SSH con el comando crypto key generate rsa del modo de configuración. El router

responde con un mensaje que muestra la norma de denominación de las claves. Elija el

tamaño del módulo de la clave que debe estar entre 360 y 2048 para sus Claves de

propósito general. Elegir un módulo de clave mayor a 512 puede llevar algunos minutos.

Como mejor práctica, Cisco recomienda utilizar una longitud de módulo mínima de 1024.

Debe saber que la creación y el uso de un módulo más largo llevan más tiempo, pero ofrece

mayor seguridad.

Paso 4: Configure la autenticación local y el vty

Debe definir un usuario local y asignar una comunicación de SSH a las líneas de vty, como

se observa en la figura.

Paso 5: Configure tiempos de espera de SSH (opcional)

Los tiempos de espera brindan seguridad adicional a la conexión, pues finalizan las

conexiones prolongadas e inactivas. Use el comando ip ssh time-out seconds

authentication-retries integer para activar los tiempos de espera y los reintentos de

autenticación. Configure el tiempo de espera del SSH en 15 segundos y la cantidad de

reintentos en 2:

Para conectarse a un router configurado con un SSH, debe utilizar una aplicación de SSH

cliente como PuTTY o TeraTerm. Debe asegurarse de elegir la opción SSH y de que

utilice el puerto TCP 22.

AutoSecure en un router Cisco

AutoSecure de Cisco utiliza un único comando para desactivar procesos y servicios no

esenciales del sistema y elimina amenazas de seguridad potenciales. Puede configurar

AutoSecure en el modo EXEC privilegiado mediante el comando auto secure en uno de

estos dos modos:

Modo interactivo: este modo le indica opciones para activar y desactivar servicios y otras

características de seguridad. Es el modo predeterminado.

Modo no interactivo: ejecuta automáticamente el comando auto secure con la

configuración predeterminada recomendada de Cisco. Este modo se activa con la opción

del comando no-interact.

Los datos que debemos de ingresar en el Comando auto secure son los siguientes

Detalles de la interfaz

Títulos

Contraseñas

SSH

Características del firewall del IOS

Administracion de las imagenes IOS de CISCO

Una buena práctica para mantener la disponibilidad del sistema es asegurarse de tener

siempre copias de seguridad de los archivos de configuración de inicio y de los archivos de

imagen del IOS

Ejemplo

Copiar la configuración en ejecución de la RAM a la configuración de inicio de

NVRAM:

R1# copy running-config startup-config

Copiar la configuración en ejecución de la RAM a una ubicación remota:

R1# copy running-config tftp:

Copiar una configuración desde un origen remoto a la configuración en ejecución:

R1# copy tftp: running-config

Copiar una configuración de un origen remoto a la configuración de inicio:

R2# copy tftp: startup-config

Guardar una imagen ios de cisco

Para salvar una imagen del sistema actual del router en un servidor TFTP de red se utiliza

el comando copy flash: tftp: en el modo EXEC privilegiado. El comando requiere que

escriba la dirección IP del host remoto y el nombre de los archivos de imagen del sistema

de origen y destino.

Durante el proceso de copia, los signos de exclamación (!) indican el progreso. Cada signo

de exclamación significa que un segmento del UDP se ha transferido con éxito.

Actualización de las imágenes del software IOS

Para actualizar un sistema a una versión de software más nueva requiere descargar un

archivo de imagen del sistema diferente en el router. para eso utilizamos el comando copy

tftp: flash: para descargar la nueva imagen desde el servidor TFTP de red.

El comando nos solicita que escribamos la dirección IP del host remoto y el nombre del

archivo de imagen del sistema de origen y destino. Escriba el nombre de archivo de la

imagen de la actualización correspondiente, tal como aparece en el servidor.

Una vez confirmadas estas entradas, aparece el indicador Erase flash: . Borrar la memoria

flash deja espacio para la nueva imagen. Borre la memoria flash si ésta no es suficiente para

más de una imagen del IOS de Cisco.

Restaurando una imagen de IOS en un Router desde TFTP

Un router no funciona sin un software IOS de Cisco. Si se elimina o se daña el IOS, un

administrador debe copiar una imagen en el router para que funcione nuevamente.

Una forma de lograrlo sería utilizar la imagen del IOS de Cisco que se guardó

anteriormente en el servidor TFTP

Cuando un IOS de un router se elimina accidentalmente de la memoria flash, el router sigue

funcionando porque IOS se está ejecutando en la memoria RAM. Sin embargo, es esencial

que el router no se reinicie en este momento, ya que no podría encontrar un IOS válido en

flash.

Paso 1. Conecte los dispositivos.

Conecte la PC del administrador del sistema al puerto de consola del router afectado.

Conecte el servidor TFTP al primer puerto Ethernet del router. En la figura, R1 es un router

Cisco 1841; por lo tanto, el puerto es Fa0/0. Active el servidor TFTP y configúrelo con la

dirección IP estática 192.168.1.1/24.

Paso 2. Inicie el router y defina las variables de ROMmon.

Dado que el router no tiene una imagen del IOS de Cisco válida, el router arranca

automáticamente en el modo ROMmon. Hay muy pocos comandos disponibles en el modo

ROMmon. Puede verlos al escribir ? en el indicador de comando rommon>.

Debe escribir todas las variables que se enumeran en la figura

Ahora, el router R1 debe estar configurado con los valores adecuados para conectarse al

servidor TFTP.

Paso 3. Introduzca el comando tftpdnld en el indicador de ROMmon.

El comando muestra las variables de entorno necesarias y advierte que se borran todos los

datos existentes en la memoria flash. Escriba y para seguir y presione Intro. El router

intenta conectarse al servidor TFTP para comenzar la descarga.

Restaurando una imagen de IOS en un Router desde XMODEM

Uso de xmodem para restaurar una imagen del IOSUsar el comando tftpdnld es una

forma muy rápida de copiar el archivo de imagen. Otro método para restaurar una imagen

del IOS de Cisco en un router es utilizar Xmodem. Sin embargo, la transferencia del

archivo se logra mediante el cable de la consola y, por lo tanto, es muy lenta en

comparación con el comando tftpdnld.

Si se pierde la imagen del IOS de Cisco, el router cambia al modo ROMmon cuando

arranca. ROMmon es compatible con Xmodem. Con esa capacidad, el router puede

comunicarse con una aplicación de emulación de terminal, como HyperTerminal, en la PC

del administrador del sistema. Un administrador del sistema que tiene una copia de la

imagen del IOS de Cisco en una PC puede restaurarla al router estableciendo una conexión

de consola entre la PC y el router, y ejecutando Xmodem desde HyperTerminal.

Paso 1. Conecte los dispositivos

Conecte la PC del administrador del sistema al puerto de consola del router afectado. Abra

una sesión de emulación de terminal entre el router R1 y la PC del administrador del

sistema.

Paso 2. Inicie el router y emita el comando xmodem en el indicador de ROMmon.

La sintaxis del comando es xmodem [-cyr] [nombre de archivo]. La opción cyr varía según

la configuración. Por ejemplo, -c especifica CRC-16, y especifica el protocolo Ymodem y r

copia la imagen a la memoria RAM. Filename es el nombre del archivo que se debe

transferir.

Acepte todas las solicitudes cuando se le indique, como se muestra en la figura

Paso 3. La figura muestra el proceso para enviar un archivo mediante HyperTerminal. En

este caso, seleccione Transfer > Send File.

Paso 4. Explore la ubicación de la imagen del IOS de Cisco que desea transferir y elija el

protocolo Xmodem. Haga clic en Send. Aparece un cuadro de diálogo en donde se muestra

el estado de la descarga. El host y el router comienzan a transferir la información después

de varios segundos.