1. SEGURIDAD DE LOS DISPOSITIVOS DE RED
La seguridad del tráfico que sale de la red y escrutar el tráfico ingresante son aspectos
críticos de la seguridad en redes. La seguridad del router de borde, que se conecta con la
red externa, es un primer paso importante al asegurar la red.
El hardening de dispositivos es una tarea esencial que nunca debe ser pasada por alto.
Significa implementar métodos probados para asegurar el router físicamente y proteger el
acceso administrativo utilizando la interfaz de línea de comandos (command-line interface
- CLI) así como también el Cisco Configuration Professional (CCP). Algunos de estos
métodos comprenden la seguridad del acceso administrativo, incluyendo mantener
contraseñas, configurar funciones de identificación virtual mejoradas e implementar
Secure Shell (SSH). Como no todo el personal de la tecnología de la información debería
tener el mismo nivel de acceso a los dispositivos de infraestuctura, definir roles
administrativos de acceso es otro aspecto importante de la seguridad los dispositivos de
infraestructura.
La seguridad de las funciones de administración y reportes del IOS de los dispositivos de
Cisco también es importante. Las prácticas recomendadas para asegurar el syslog,
utilizando el Protocolo de Administración de Redes Simple (Simple Network Management
Protocol - SNMP), y configurando el Protocolo de Tiempo de Red (Network Time Protocol -
NTP) son examinadas.
Muchos servicios del router están habilitados por defecto. Muchas de estas funciones
están habilitadas por razones históricas pero ya no son necesarias. Este capítulo discute
algunos de estos servicios y examina las configuraciones de router con la función de
Auditoría de Seguridad del Cisco CCP. Este capítulo también examina la función one-step
lockdown del Cisco CCP y el comando auto secure, que puede ser utilizado para
automatizar las tareas de hardening de dispositivos.
Seguridad del Acceso a los Dispositivos
Seguridad del Router de Borde
La seguridad la infraestructura de la red es crítica para la seguridad de toda la red. La
infraestructura de la red incluye routers, switches, servidores, estaciones de trabajo y
otros dispositivos.
Considere un empleado descontento mirando casualmente por sobre el hombro del
administrador de la red mientras el administrador se está identificando en el router de
borde. Esto se conoce como shoulder surfing y es una manera sorprendentemente fácil
para un atacante de ganar acceso no autorizado.
Si un atacante obtiene acceso a un router, la seguridad y la administración de toda la red
pueden ser comprometidas, dejando a los servidores y las estaciones de trabajo bajo
riesgo. Es crítico que las políticas y controles de seguridad apropiados puedan ser
implementados para prevenir el acceso no autorizado a todos los dispositivos de la
infraestructura. Aunque todos los dispositivos de una infraestructura están en riesgo, los
routers generalmente son el objetivo principal para los atacantes de redes. Esto ocurre
2. porque los routers actúan como la policía del tránsito, dirigiendo el tráfico hacia, desde y
entre redes.
El router de borde es el último router entre la red interna y una red de confianza como
Internet. Todo el tráfico a Internet de una organización pasa por este router de borde; por
lo tanto, generalmente funciona como la primera y última línea de defensa de una red. A
través del filtrado inicial y final, el router de borde ayuda a asegurar el perímetro de una
red protegida. También es responsable de implementar las acciones de seguridad que
están basadas en las políticas de seguridad de la organización. Por estas razones, es
imperativo asegurar los routers de la red.
Seguridad Física
Proveer seguridad física para los routers:
Ubicar el router y los dispositivos físicos que se conectan a él en un cuarto bajo llave que
sea accesible solo para personal autorizado, esté libre de interferencia magnética o
electrostática y tenga un sistema contra incendios y controles de temperatura y humedad.
Instalar un sistema de alimentación ininterrumpida (uninterruptible power supply - UPS) y
mantener los componentes de repuesto disponibles. Esto reduce la posibilidad de un
ataques de DoS a causa de pérdida de electricidad en el edificio.
Seguridad de los Sistemas Operativos
Configurar el router con la máxima cantidad de memoria posible. La disponibilidad de la
memoria puede ayudar a proteger la red de ataques de DoS, mientras que soporta el
máximo rango de dispositivos de seguridad.
Usar la última versión estable del sistema operativo que cumpla los requerimientos de la
red. Las funciones de seguridad de un sistema operativo evolucionan con el tiempo. Tenga
en cuenta que la última versión de un sistema operativo puede no ser la versión más
estable disponible.
Mantenga una copia segura de resguardo de la imagen del sistema operativo y el archivo
de configuración del router.
Hay dos maneras de acceder a un dispositivo para propósitos administrativos: local y
remotamente. Página
3. Acceso Local
Todos los dispositivos de la infraestructura de la red puede ser accedidos localmente. El
acceso local a un router usualmente requiere una conexión directa a un puerto de consola
en el router de Cisco utilizando una computadora que esté ejecutando software de
emulación de terminal.
Acceso Remoto
Algunos dispositivos de red pueden ser accedidos remotamente. El acceso remoto
típicamente requiere permitir conexiones Telnet, Secure Shell (SSH), HTTP, HTTPS o
Simple Network Management Protocol (SNMP) al router desde una computadora. Esta
computadora puede estar en la misma subred o en una diferente. Algunos protocolos de
acceso remoto envían al router los datos en texto plano, incluyendo nombres de usuario y
contraseñas. Si un atacante logra reunir tráfico de red mientras un administrador está
autenticado remotamente a un router, el atacante podrá capturar las contraseñas o
información de configuración del router.
Por esta razón, se prefiere permitir solo acceso local al router. Sin embargo, el acceso
remoto puede ser necesario de cualquier forma. Cuando se accede a la red remotamente,
deben tomarse algunas precauciones:
Cifrar todo el tráfico entre la computadora del administrador y el router. Por ejemplo, en
lugar de usar Telnet, usar SSH. O en lugar de usar HTTP, usar HTTPS.
Establecer una red de administración dedicada. La red de administración deberá incluir
solo hosts de administración identificados y conexiones a una interfaz dedicada en el
router.
Configurar un filtro de paquetes para permitir que solo los hosts de administración
identificados y protocolos de preferencia accedan al router. Por ejemplo, permitir solo
solicitudes SSH de la dirección IP del host de administración para iniciar una conexión a los
routers en la red.
Estas precauciones son valiosas, pero no protegen enteramente a la red. Otras líneas de
defensa deben ser implementadas también. Una de las más básicas e importantes es el
uso de una contraseña segura.
4. Configuracion de un Acceso Administrativo Seguro
Los atacantes usan varios métodos de descubrimiento de contraseñas administrativas.
Pueden hacer shoulder surfing, intentar adivinar las contraseñas basándose en la
información personal del usuario, o hacer sniffing de los paquetes TFTP que contienen
archivos de configuración en texto plano. Los atacantes también pueden usar
herramientas como L0phtCrack y Cain & Abel para efectuar ataques de fuerza bruta para
adivinar las contraseñas.
Para proteger bienes como routers y switches, siga estos consejos comunes para elegir
contraseñas fuertes. Estos consejos han sido diseñados para hacer que las contraseñas
sean menos fácilmente descubiertas por medio de herramientas de cracking y de
adivinación inteligente:
Utilice una contraseña de 10 o más caracteres de longitud. Cuanto más larga, mejor.
5. Haga a su contraseña compleja. Incluya una mezcla de letras mayúsculas y minúsculas,
símbolos y espacios.
Evite contraseñas basadas en repeticiones, palabras de diccionario, secuencias de letras o
números, nombres de usuario, nombres de mascotas o parientes, información biográfica
(como cumpleaños, número de pasaporte o documento, nombres de ancestros) u otros
tipos de información fácilmente identificable.
Escriba la contraseña deliberadamente mal, realizando algunos reemplazos de letras. Por
ejemplo, Smith = Smyth = 5mYth o Security = 5ecur1ty.
Cambie las contraseñas seguido. Si una contraseña está comprometida sin su
conocimiento, la ventana de oportunidad para que el ataque la use será limitada.
No escriba las contraseñas en papel o las deje en lugares obvios como el escritorio o el
monitor.
En los routers Cisco y muchos otros sistemas, los espacios antes de la contraseña son
ignorados, no así los espacios dentro de la contraseña. Por lo tanto, un método para crear
una contraseña fuerte es utilizar la barra espaciadora en la contraseña y crear una frase
compuesta de varias palabras. Esto se denomina frase de acceso. La frase de acceso es
generalmente más fácil de recordar que una simple contraseña. También es más larga y
más difícil de adivinar.
Los administradores deben asegurarse de que se usen contraseñas fuertes en toda la red.
Una manera de lograr esto es usando las mismas herramientas de ataques de fuerza bruta
y cracking que usaría un atacante para verificar la solidez de las contraseñas.
Monitoreo y Administracion de Dispositivos
Seguridad de los Archivos de Configuracion y la imagen IOS de Cisco
Si un atacante obtuviera acceso a un router, podría hacer muchas cosas. Por ejemplo,
podría alterar el flujo del tráfico, cambiar las configuraciones e incluso borrar el archivo de
configuración de inicio y la imagen del IOS de Cisco. Si la configuración o la imagen del IOS
se borran, el operador quizás nunca recupere una copia archivada para restaurar el
router. El proceso de recuperación debe, entonces, tomar lugar en cada router afectado,
agregándose al período de inactividad total de la red.
La función de configuración resistente (Resilient Configuration) del IOS de Cisco permite
una recuperación más rápida si alguien reformatea la memoria flash o borra el archivo de
configuración de inicio en la NVRAM. Esta función permite al router soportar intentos
maliciosos de borrar los archivos, asegurando la imagen del router y manteniendo una
copia segura de la configuración actual.
Cuando se asegura una imagen IOS de Cisco, la función de configuración resistente
deniega todas las solicitudes para copiarla, modificarla o eliminarla. La copia segura de la
configuración de inicio se almacena en la flash junto con la imagen segura del IOS. Este
conjunto de los archivos de configuración actual y la imagen del IOS de Cisco se conoce
como el conjunto de arranque (bootset).
La función de configuración resistente del IOS de Cisco solo está disponible para sistemas
que soporten una interfaz flash Advanced Technology Attachment (ATA) PCMCIA. La
imagen del IOS de Cisco y configuración actual de respaldo en el dispositivo de
6. almacenamiento externo están ocultas, por lo que los archivos no se incluyen en ningún
listado de directorios del disco.
Administracion y Reportes Seguros
Los administradores de red deben administrar con seguridad todos los dispositivos y hosts
en la red. En una red pequeña, administrar y monitorear los dispositivos de red es una
operación sencilla. Sin embargo, en una empresa grande con cientos de dispositivos,
monitorear, administrar y procesar los mensajes de registros puede ser un desafío.
Deben considerarse muchos factores al implementar una administración segura. Esto
incluye administración de cambios en la configuración. Cuando una red está bajo ataque,
es importante conocer el estado de dispositivos críticos de la red y cuándo ocurrieron las
últimas modificaciones conocidas. La administración de cambios en la configuración
también incluye temas como asegurarse de que la gente correcta tenga acceso cuado se
adoptan nuevas metodologías de administración y cómo manejar herramientas y
dispositivos que ya no se usan. Crear un plan para la administración de cambios debe ser
parte de una política de seguridad englobadora; sin embargo, mínimamente, deben
registrarse los cambios usando sistemas de autenticación sobre las configuración es de
archivos y dispositivos que usen FTP o TFTP.
¿Se está siguiendo una política o un plan de administración de cambios? Estos temas
deben ser establecidos y manejados con una política de administración de cambios.
El registro y el reporte de información automáticos de dispositivos identificados a hosts de
administración también son consideraciones importantes. Estos registros e informes
pueden incluir flujo de contenido, cambios de configuración y nuevas instalaciones de
software, para nombrar algunos. Para identificar las prioridades de reporte y monitoreo,
es importante tener datos de la administración y de los equipos de redes y seguridad. La
política de seguridad también debería tener un rol importante a la hora de responder a
qué información registrar y reportar.
Desde un punto de vista de reportes, la mayoría de los dispositivos de redes pueden
enviar datos de syslog que pueden volverse invaluables en el momento de contrarestar
problemas en la red o amenazas de seguridad. Se pueden enviar datos de cualquier
dispositivo a un host de análisis de syslog para su revisión. Estos datos pueden ser
revisados en tiempo real, bajo demanda y en informes programados. Hay varios niveles de
registro para asegurar que la cantidad correcta de datos sea enviada, de acuerdo con el
dispositivo que envía los datos. También es posible marcar los datos de registro del
dispositivo dentro del software de análisis para permitir vistas granulares y reportes. Por
ejemplo, durante un ataque, los datos de registro provistos por los switches de capa 2 no
suelen ser tan interesantes como los datos provistos por el sistema de prevención de
intrusos (IPS).