SlideShare una empresa de Scribd logo

Clase 03

Descargar como PPTX, PDF
Titiushko Jazz
Titiushko Jazz
1 de 46
SEGURIDAD DE LOS DISPOSITIVOS DE RED • La seguridad del router de borde, que se conecta con la red externa, es un primer paso importante al asegurar la red • El hardening de dispositivos es una tarea esencial que nunca debe ser pasada por alto: implementación métodos probados para asegurar el router físicamente y proteger el acceso administrativo • Algunos de estos métodos comprenden : • la seguridad del acceso administrativo, • mantener contraseñas, • configurar funciones de identificación virtual mejoradas e implementar Secure Shell (SSH). • definir roles administrativos de
• La seguridad de las funciones de administración y reportes del IOS de los dispositivos • Muchos servicios del router están habilitados por defecto. Muchas de estas funciones están habilitadas por razones históricas pero ya no son necesarias.
Seguridad del router de borde • La seguridad la infraestructura de la red es crítica para la seguridad de toda la red • La infraestructura de la red incluye routers, switches, servidores, estaciones de trabajo y otros dispositivos. • Considere un empleado descontento mirando casualmente por sobre el hombro del administrador de la red mientras el administrador se está identificando en el router de borde. Esto se conoce como shoulder surfing y es una manera sorprendentemente fácil para un atacante de ganar acceso no autorizado.
• Si un atacante obtiene acceso a un router, la seguridad y la administración de toda la red pueden ser comprometidas, dejando a los servidores y las estaciones de trabajo bajo riesgo • El router de borde es el último router entre la red interna y una red de confianza como Internet • A través del filtrado inicial y final, el router de borde ayuda a asegurar el perímetro de una red protegida • Es responsable de implementar las acciones de seguridad • que están basadas en las políticas de seguridad de la organización
Enfoque de un solo router • Un solo router conecta la red protegida, o LAN interna a Internet. • Todas las políticas de seguridad están configuradas en este dispositivo. • Generalmente se utiliza este esquema en implementaciones de sitios pequeños como sitios de sucursales. • En las redes más pequeñas, las funciones de seguridad requeridas pueden ser soportadas por ISRs sin comprometer el rendimiento del router.
Enfoque de defensa profunda • El enfoque de defensa profunda es más seguro que el de un solo router. • El router de borde actúa como la primera línea de defensa y se lo conoce como screening router. Envía al firewall todas las conexiones dirigidas a la LAN interna. • La segunda línea de defensa es el firewall. • El firewall básicamente retoma donde dejó el router y realiza filtrado adicional. Provee control de acceso adicional ya que monitorea el estado de las conexiones, actuando como un dispositivo de control.
• El router de borde tiene un conjunto de reglas que especifican qué tráfico permitir y qué tráfico denegar. • Por defecto, el firewall deniega la iniciación de conexiones desde las redes externas (no confiables) para la red interna (confiable). • Permite a los usuarios internos conectarse a las redes no confiables y permite que las respuestas vuelvan a través del firewall. • Puede realizar autenticación de usuario (proxy de autenticación) para que los usuarios tengan que estar autenticados para ganar acceso a los recursos de la red.
Enfoque DMZ • Una variante del enfoque de defensa profunda es ofrecer un área intermedia llamada • zona desmilitarizada (demilitarized zone - DMZ). • La DMZ puede ser utilizada para los servidores que tienen que ser accesibles desde Internet o alguna otra red externa. • La DMZ puede ser establecida entre dos routers, con un router interno conectado a la red protegida y un router externo conectado a la red no protegida, o ser simplemente un puerto adicional de un solo router.
• El firewall, ubicado entre las redes protegida y no protegida, se instala para permitir las conexiones requeridas (por ejemplo, HTTP) de las redes externas (no confiables) a los servidores públicos en la DMZ. • EL firewall sirve como protección primaria para todos los dispositivos en la DMZ. • El router provee protección filtrando algún tráfico, pero deja la mayoría de la protección a cargo del firewall.
Asegurar el router de borde es un primer paso crítico en la seguridad de la red. Si hay otros routers internos, también deben estar configurados con seguridad. Deben mantenerse tres áreas de seguridad de routers.
Seguridad física • Ubicar el router y los dispositivos físicos que se conectan a él en un cuarto bajo llave que sea accesible solo para personal autorizado, esté libre de interferencia magnética o electrostática y tenga un sistema contra incendios y controles de temperatura y humedad. • Instalar un sistema de alimentación ininterrumpida (uninterruptible power supply - UPS) y mantener los componentes de repuesto disponibles. • Esto reduce la posibilidad de un ataques de DoS a causa de pérdida de electricidad en el edificio
Seguridad de los Sistemas Operativos • Configurar el router con la máxima cantidad de memoria posible. La disponibilidad de la memoria puede ayudar a proteger la red de ataques de DoS, mientras que soporta el máximo rango de dispositivos de seguridad. • Usar la última versión estable del sistema operativo que cumpla los requerimientos de la red. Las funciones de seguridad de un sistema operativo evolucionan con el tiempo. • Tenga en cuenta que la última versión de un sistema operativo puede no ser la versión más estable disponible. • Mantenga una copia segura de resguardo de la imagen del sistema operativo y el archivo de configuración del router.
Hardening del router • Elimine potenciales abusos de puertos y servicios no utilizados • Asegure el control administrativo. Asegúrese de que solo personal autorizado tenga acceso y su nivel de acceso sea controlado. • Deshabilite puertos e interfaces no utilizadas. Reduzca la cantidad de maneras por las que puede accederse a un dispositivo. • Deshabilitar servicios innecesarios. Como muchas computadoras, el router tiene servicios habilitados por defecto. Algunos de estos servicios son innecesarios y pueden ser utilizados por un atacante para reunir información o para efectuar explotaciones
• El acceso administrativo es un requerimiento para la administración del router; por lo tanto, asegurar el acceso administrativo es una tarea extremadamente importante. • Si una persona no autorizada ganara acceso administrativo a un router, esa persona podría alterar parámetros de enrutamiento, deshabilitar funciones de enrutamiento o descubrir y ganar acceso a otros sistemas en la red.
Asegurar el acceso administrativo • Restringir la accesibilidad de los dispositivos - Limitar los puertos administrativos, restringir los comunicadores permitidos y restringir los métodos de acceso permitidos. • Registrar y justificar todos los accesos - Para propósitos de auditoría, registrar a todos los que acceden al dispositivo, incluyendo lo que ocurra durante el acceso y cuándo ocurre. • Acceso autenticado - Asegurarse de que el acceso sea otorgado solo a usuarios, grupos y servicios autenticados. • Limitar el número de intentos de ingreso fallidos y el tiempo entre intentos.
• Autorizar las acciones - Restringir las acciones y vistas permitidas a un usuario, grupo o servicio particular. • Presentar notificaciones legales - Mostrar una notificación legal, desarrollada en conjunto con el consejo legal de la empresa, para sesiones interactivas. • Asegurar la confidencialidad de los datos - Proteger los datos sensibles almacenados localmente de ser vistos o copiados. • Considerar la vulnerabilidad de los datos en tránsito sobre un canal de comunicación expuestos a sniffing, secuestros de sesión y ataques man in the middle (MITM). • Hay dos maneras de acceder a un dispositivo para propósitos administrativos: local y remotamente
• El acceso local a un router usualmente requiere una conexión directa a un puerto de consola utilizando una computadora que esté ejecutando software de emulación de terminal. • El acceso remoto típicamente requiere permitir conexiones Telnet, Secure Shell (SSH), HTTP, HTTPS o Simple Network Management Protocol (SNMP) al router desde una computadora. • Esta computadora puede estar en la misma subred o en una diferente. • Algunos protocolos de acceso remoto envían al router los datos en texto plano, incluyendo nombres de usuario y contraseñas.
• Si un atacante logra reunir tráfico de red mientras un administrador está autenticado remotamente a un router, el atacante podrá capturar las contraseñas o información de configuración del router. • Por esta razón, se prefiere permitir solo acceso local al router. • Sin embargo, el acceso remoto puede ser necesario de cualquier forma
• Cuando se accede a la red remotamente, deben tomarse algunas precauciones: • Cifrar todo el tráfico entre la computadora del administrador y el router. Por ejemplo, en lugar de usar Telnet, usar SSH. O en lugar de usar HTTP, usar HTTPS. • Establecer una red de administración dedicada. La red de administración deberá incluir solo hosts de administración identificados y conexiones a una interfaz dedicada en el router. • Configurar un filtro de paquetes para permitir que solo los hosts de administración identificados y protocolos de preferencia accedan al router. Por ejemplo, permitir solo solicitudes SSH de la dirección IP del host de administración para iniciar una conexión a los routers en la red.
• Estas precauciones son valiosas, pero no protegen enteramente a la red. • Otras líneas de defensa deben ser implementadas también. Una de las más básicas e importantes es el uso de una contraseña segura.
Configuración de un acceso administrativo seguro • Los atacantes usan varios métodos de descubrimiento de contraseñas administrativas. • Pueden hacer shoulder surfing, intentar adivinar las contraseñas basándose en la información personal del usuario, o hacer sniffing de los paquetes TFTP que contienen archivos de configuración en texto plano. • Los atacantes también pueden usar herramientas como L0phtCrack y Cain & Abel para efectuar ataques de fuerza bruta para adivinar las contraseñas.
Consejos comunes para elegir contraseñas fuertes • Utilice una contraseña de 10 o más caracteres de longitud. Cuanto más larga, mejor. • Haga a su contraseña compleja. Incluya una mezcla de letras mayúsculas y minúsculas, símbolos y espacios. • Evite contraseñas basadas en repeticiones, palabras de diccionario, secuencias de letras o números, nombres de usuario, nombres de mascotas o parientes, información biográfica (como cumpleaños, número de pasaporte o documento, nombres de ancestros) u otros tipos de información fácilmente identificable.
• Escriba la contraseña deliberadamente mal, realizando algunos reemplazos de letras. Por ejemplo, Smith = Smyth = 5mYth o Security = 5ecur1ty. • Cambie las contraseñas seguido. Si una contraseña está comprometida sin su conocimiento, la ventana de oportunidad para que el ataque la use será limitada. • No escriba las contraseñas en papel o las deje en lugares obvios como el escritorio o el monitor.
• Un método para crear una contraseña fuerte es utilizar la barra espaciadora en la contraseña y crear una frase compuesta de varias palabras. Esto se denomina frase de acceso. • La frase de acceso es generalmente más fácil de recordar que una simple contraseña. También es más larga y más difícil de adivinar. • Los administradores deben asegurarse de que se usen contraseñas fuertes en toda la red. • Una manera de lograr esto es usando las mismas herramientas de ataques de fuerza bruta y cracking que usaría un atacante para verificar la solidez de las contraseñas.
• Muchos puertos de acceso requieren contraseñas en un router Cisco, incluyendo el puerto de consola, el puerto auxiliar y las conexiones de terminal virtual. • La administración de las contraseñas en una red grande debería mantenerse por medio de un servidor de autenticación central TACACS+ o RADIUS • Todos los routers deben ser configurados con las contraseñas de usuario y de EXEC privilegiado. • También se recomienda el uso de una base de datos de nombres de usuario local como copia de resguardo si el acceso a un servidor de autenticación, autorización y registro de auditoría (authentication authorization, and accounting - AAA) se encuentra comprometido. El uso de una contraseña y la asignación de niveles de privilegios son maneras simples de proporcionar control de acceso terminal en una red.
• Deben establecerse contraseñas para el modo de acceso EXEC privilegiado y líneas individuales como las líneas de consola y auxiliar.
Contraseña enable secret • El comando de configuración enable secret contraseña restringe el acceso al modo EXEC privilegiado. • La contraseña enable secret siempre está dispersa (hashed) dentro de la configuración del router usando un algoritmo Message Digest 5 (MD5). • Si la contraseña enable secret se pierde o se olvida, debe ser reemplazada utilizando el procedimiento de recuperación de contraseñas de los routers Cisco.
línea de consola • Por defecto, el puerto de línea de consola no requiere una contraseña para el acceso administrativo de la consola; sin embargo, siempre debe ser configurado con una contraseña a nivel de línea de puerto de consola. • Use el comando line console 0 seguido de los subcomandos login y password para solicitar el ingreso y establecer una contraseña de ingreso en la línea de consola.
líneas de terminal virtual • Por defecto, los routers de Cisco soportan hasta cinco sesiones simultáneas de terminal virtual vty (Telnet o SSH). • En el router, los puertos vty se numeran del 0 al 4. • Use el comando line vty 0 4 seguido por los subcomandos login y password para solicitar ingreso y establecer una contraseña de ingreso a las sesiones Telnet entrantes.
línea auxiliar • Por defecto, los puertos auxiliares del router no requieren una contraseña para acceso administrativo remoto. • Los administradores algunas veces usan este puerto para configurar y monitorear remotamente el router usando una conexión de módem dialup. • Para acceder a la línea auxiliar, use el comando line aux 0. Use los subcomandos login y password para solicitar ingreso y establecer una contraseña de ingreso a las conexiones entrantes.
• Por defecto, con excepción de la contraseña enable secret, todas las contraseñas de router de Cisco están almacenadas en texto plano dentro de la configuración del router. • Estas contraseñas pueden ser visualizadas con el comando show running-config. • Los sniffers también pueden ver estas contraseñas si los archivos de configuración de servidor TFTP atraviesan una conexión no asegurada de intranet o Internet. • Si un intruso gana acceso al servidor TFTP donde están almacenados los archivos de configuración del router, podrá obtener estas contraseñas
• Para aumentar la seguridad de las contraseñas, debe configurarse lo siguiente: • Establecer longitudes mínimas de contraseñas. • Deshabilitar conexiones no utilizadas. • Cifrar todas las contraseñas en el archivo de configuración. • Longitud de caracteres mínima • A partir de la Release 12.3(1) del IOS de Cisco, los administradores pueden especificar la longitud de caracteres mínima para todas las contraseñas de routers con un valor de 0 a 16 caracteres usando el comando de configuración global security passwords minlength longitud. • Se recomienda fuertemente establecer la longitud mínima de la contraseña en 10 caracteres, para eliminar contraseñas comunes que resultan cortas y prevalecen en la mayoría de las redes, como "lab" y "cisco".
• Este comando afecta las contraseñas de usuario, las enable secret y las de línea que se creen luego de que el comando sea ejecutado. • Las contraseñas de router ya existentes no son afectadas. Cualquier intento de crear una nueva contraseña que contenga menos caracteres que la longitud especificada fallará y se mostrará un mensaje de error similar al siguiente: • Password too short - must be at least 10 characters. Password configuration failed.
Deshabilitar conexiones no utilizadas • Por defecto la interfaz administrativa permanece activa y autenticada por 10 minutos luego de la última actividad de la sesión. Luego de eso, la sesión caduca y se cierra. • Si un administrador está lejos de la terminal mientras la conexión de la consola permanece activa, una atacante tendrá hasta 10 minutos para ganar acceso privilegiado. • Se recomienda, por lo tanto, que estos relojes sean ajustados para limitar la cantidad de tiempo a un máximo de dos a tres minutos. • Estos relojes pueden ser ajustados usando el comando exec- timeout modo de configuración de línea para cada uno de los tipos de línea utilizado.
• También es posible deshabilitar el proceso exec para una línea específica, como el puerto auxiliar, usando el comando no exec dentro del modo de configuración del línea. • Este comando permite solo conexiones salientes en la línea. El comando no exec permite deshabilitar el proceso EXEC para conexiones que pueden intentar enviar datos no solicitados al router
Cifrar todas las contraseñas • Por defecto, algunas contraseñas se muestran en texto plano, o sea, sin cifrar, en la configuración del software IOS de Cisco. • Con excepción de la contraseña enable secret, todas las otras contraseñas en texto plano en el archivo de configuración pueden ser cifradas con el comando service password- encryption. • Este comando dispersa contraseñas en texto plano actuales y futuras en el archivo de configuración a un texto cifrado. • Para detener el proceso de cifrado de las contraseñas, use la forma no del comando. • Solo las contraseñas creadas luego de que se emita el comando no serán no cifradas. Las contraseñas ya existentes que estén cifradas permanecerán de esa manera.
• El comando service password-encryption es útil principalmente para evitar que individuos no autorizados puedan ver contraseñas en el archivo de configuración. • El algoritmo utilizado por el comando service password- encryption es simple y fácilmente reversible por alguien que tenga acceso al texto cifrado y una aplicación de cracking de • contraseñas. • Por esta razón, el comando no deberá ser utilizado con la intención de proteger los archivos de configuración contra ataques serios. • El comando enable secret es mucho más seguro, ya que cifra la contraseña utilizando MD5, un algoritmo mucho más fuerte.
• Otra función de seguridad disponible es la autenticación. • Los routers de Cisco mantienen una lista de nombres de usuario y contraseñas en una base de datos local en el router para realizar autenticación local. • Hay dos métodos para configurar nombres de usuario de cuentas locales. • username nombre password contraseña • username nombre secret contraseña
• El comando username secret es más seguro porque usa el algoritmo más fuerte, MD5, para dispersar las claves. • MD5 es un algoritmo mucho mejor que el tipo 7 estándar utilizado por el comando service password-encryption. • La capa agregada de protección que proporciona MD5 es útil en ambientes en los que la contraseña atraviesa la red o es almacenada en un servidor TFTP. • Al configurar una combinación de nombre de usuario y contraseña deben seguirse las restricciones de longitud de contraseña. • Use el comando login local en la configuración de linea para habilitar la base de datos local para autenticación.
Clase 03
Clase 03

Recomendados

Definiciones seguridad informatica
Definiciones seguridad informaticaDefiniciones seguridad informatica
Definiciones seguridad informaticaJose Manuel Ortega Candel
 
Firewalls
FirewallsFirewalls
FirewallsEugenia Nuñez
 
¿Qué es un firewall ?
¿Qué es un firewall ?¿Qué es un firewall ?
¿Qué es un firewall ?EIYSC
 
Firewall
FirewallFirewall
FirewallIngeSistemas Redes
 
Que es un firewall y su función
Que es un firewall y su funciónQue es un firewall y su función
Que es un firewall y su funciónConsuelo Sandoval
 
Actividad 6 seguridad informatica
Actividad 6 seguridad informaticaActividad 6 seguridad informatica
Actividad 6 seguridad informaticaJESSIKADG86
 
Firewall
FirewallFirewall
FirewallMarcelo
 
Actividad 5 seguridad informatica
Actividad 5 seguridad informaticaActividad 5 seguridad informatica
Actividad 5 seguridad informaticaJESSIKADG86
 

Recomendados

Definiciones seguridad informatica
Definiciones seguridad informaticaDefiniciones seguridad informatica
Definiciones seguridad informaticaJose Manuel Ortega Candel
 
Firewalls
FirewallsFirewalls
FirewallsEugenia Nuñez
 
¿Qué es un firewall ?
¿Qué es un firewall ?¿Qué es un firewall ?
¿Qué es un firewall ?EIYSC
 
Firewall
FirewallFirewall
FirewallIngeSistemas Redes
 
Que es un firewall y su función
Que es un firewall y su funciónQue es un firewall y su función
Que es un firewall y su funciónConsuelo Sandoval
 
Actividad 6 seguridad informatica
Actividad 6 seguridad informaticaActividad 6 seguridad informatica
Actividad 6 seguridad informaticaJESSIKADG86
 
Firewall
FirewallFirewall
FirewallMarcelo
 
Actividad 5 seguridad informatica
Actividad 5 seguridad informaticaActividad 5 seguridad informatica
Actividad 5 seguridad informaticaJESSIKADG86
 
Firewall presentacion Niver
Firewall presentacion NiverFirewall presentacion Niver
Firewall presentacion NiverNiver Daniel Navarro Garrido
 
Firewall
FirewallFirewall
FirewallMiguel Guamán Bravo
 
Zonas dmz y_puertos
Zonas dmz y_puertosZonas dmz y_puertos
Zonas dmz y_puertosKarina Gutiérrez
 
Cortafuegos
CortafuegosCortafuegos
CortafuegosJuana Rotted
 
Actividad 5 firewall
Actividad 5 firewallActividad 5 firewall
Actividad 5 firewallmaryr_
 
Hardening de Servidores Linux Oscar Gonzalez
Hardening de Servidores Linux Oscar GonzalezHardening de Servidores Linux Oscar Gonzalez
Hardening de Servidores Linux Oscar GonzalezOscar Gonzalez
 
Clase 13
Clase 13Clase 13
Clase 13Titiushko Jazz
 
Conoce todo sobre la zona desmilitarizada (DMZ)
Conoce todo sobre la zona desmilitarizada (DMZ)Conoce todo sobre la zona desmilitarizada (DMZ)
Conoce todo sobre la zona desmilitarizada (DMZ)Supra Networks
 
Esquema de Red con DMZ
Esquema de Red con DMZEsquema de Red con DMZ
Esquema de Red con DMZAula Campus
 
diaspositivas FIREWALL
diaspositivas FIREWALLdiaspositivas FIREWALL
diaspositivas FIREWALLisreal
 
Firewall
FirewallFirewall
Firewalljohusiro
 
Tipos de firewall
Tipos de firewall Tipos de firewall
Tipos de firewall Catha Guzman
 
Presentacion Firewall
Presentacion FirewallPresentacion Firewall
Presentacion Firewallleandryu5
 
Firewall
FirewallFirewall
FirewallGiulianna Ángeles Espinoza
 
Firewall (Corta Fuegos)
Firewall (Corta Fuegos)Firewall (Corta Fuegos)
Firewall (Corta Fuegos)Charxavier_00
 
Firewall - tipos - características - software
Firewall - tipos - características - softwareFirewall - tipos - características - software
Firewall - tipos - características - softwareAnaylen Lopez
 
Firewall
FirewallFirewall
Firewallguest881aa9
 
Clase 09
Clase 09Clase 09
Clase 09Titiushko Jazz
 
At t v1
At t v1At t v1
At t v1Titiushko Jazz
 
Clase 04
Clase 04Clase 04
Clase 04Titiushko Jazz
 
American telephone and telegraph company
American telephone and telegraph companyAmerican telephone and telegraph company
American telephone and telegraph companyTitiushko Jazz
 
Clase 07
Clase 07Clase 07
Clase 07Titiushko Jazz
 

Más contenido relacionado

La actualidad más candente

Actividad 5 firewall
Actividad 5 firewallActividad 5 firewall
Actividad 5 firewallmaryr_
 
Hardening de Servidores Linux Oscar Gonzalez
Hardening de Servidores Linux Oscar GonzalezHardening de Servidores Linux Oscar Gonzalez
Hardening de Servidores Linux Oscar GonzalezOscar Gonzalez
 
Conoce todo sobre la zona desmilitarizada (DMZ)
Conoce todo sobre la zona desmilitarizada (DMZ)Conoce todo sobre la zona desmilitarizada (DMZ)
Conoce todo sobre la zona desmilitarizada (DMZ)Supra Networks
 
Esquema de Red con DMZ
Esquema de Red con DMZEsquema de Red con DMZ
Esquema de Red con DMZAula Campus
 
diaspositivas FIREWALL
diaspositivas FIREWALLdiaspositivas FIREWALL
diaspositivas FIREWALLisreal
 
Tipos de firewall
Tipos de firewall Tipos de firewall
Tipos de firewall Catha Guzman
 
Presentacion Firewall
Presentacion FirewallPresentacion Firewall
Presentacion Firewallleandryu5
 
Firewall (Corta Fuegos)
Firewall (Corta Fuegos)Firewall (Corta Fuegos)
Firewall (Corta Fuegos)Charxavier_00
 
Firewall - tipos - características - software
Firewall - tipos - características - softwareFirewall - tipos - características - software
Firewall - tipos - características - softwareAnaylen Lopez
 

La actualidad más candente (17)

Firewall presentacion Niver
Firewall presentacion NiverFirewall presentacion Niver
Firewall presentacion Niver
 
Firewall
FirewallFirewall
Firewall
 
Zonas dmz y_puertos
Zonas dmz y_puertosZonas dmz y_puertos
Zonas dmz y_puertos
 
Cortafuegos
CortafuegosCortafuegos
Cortafuegos
 
Actividad 5 firewall
Actividad 5 firewallActividad 5 firewall
Actividad 5 firewall
 
Hardening de Servidores Linux Oscar Gonzalez
Hardening de Servidores Linux Oscar GonzalezHardening de Servidores Linux Oscar Gonzalez
Hardening de Servidores Linux Oscar Gonzalez
 
Clase 13
Clase 13Clase 13
Clase 13
 
Conoce todo sobre la zona desmilitarizada (DMZ)
Conoce todo sobre la zona desmilitarizada (DMZ)Conoce todo sobre la zona desmilitarizada (DMZ)
Conoce todo sobre la zona desmilitarizada (DMZ)
 
Esquema de Red con DMZ
Esquema de Red con DMZEsquema de Red con DMZ
Esquema de Red con DMZ
 
diaspositivas FIREWALL
diaspositivas FIREWALLdiaspositivas FIREWALL
diaspositivas FIREWALL
 
Firewall
FirewallFirewall
Firewall
 
Tipos de firewall
Tipos de firewall Tipos de firewall
Tipos de firewall
 
Presentacion Firewall
Presentacion FirewallPresentacion Firewall
Presentacion Firewall
 
Firewall
FirewallFirewall
Firewall
 
Firewall (Corta Fuegos)
Firewall (Corta Fuegos)Firewall (Corta Fuegos)
Firewall (Corta Fuegos)
 
Firewall - tipos - características - software
Firewall - tipos - características - softwareFirewall - tipos - características - software
Firewall - tipos - características - software
 
Firewall
FirewallFirewall
Firewall
 

Destacado

American telephone and telegraph company
American telephone and telegraph companyAmerican telephone and telegraph company
American telephone and telegraph companyTitiushko Jazz
 
Analisis y diseño sistema informático de registro académico y entrega
Analisis y diseño sistema informático de registro académico y entregaAnalisis y diseño sistema informático de registro académico y entrega
Analisis y diseño sistema informático de registro académico y entregaTitiushko Jazz
 
38 evolución realidad virtual
38 evolución realidad virtual38 evolución realidad virtual
38 evolución realidad virtualTitiushko Jazz
 
Ch. 8&9 review assignment key
Ch. 8&9 review assignment keyCh. 8&9 review assignment key
Ch. 8&9 review assignment keyMichelle Sack
 
Three card monte presentation
Three card monte presentationThree card monte presentation
Three card monte presentationtommyzny
 
Control de arena
Control de arenaControl de arena
Control de arenadavpett
 
The Sufistic Role for social harmony in Pluralistic in assam
The Sufistic Role for social harmony in Pluralistic in assamThe Sufistic Role for social harmony in Pluralistic in assam
The Sufistic Role for social harmony in Pluralistic in assamAbdul Khader Saed Muhammed
 

Destacado (20)

Clase 09
Clase 09Clase 09
Clase 09
 
At t v1
At t v1At t v1
At t v1
 
Clase 04
Clase 04Clase 04
Clase 04
 
American telephone and telegraph company
American telephone and telegraph companyAmerican telephone and telegraph company
American telephone and telegraph company
 
Clase 07
Clase 07Clase 07
Clase 07
 
Clase 08
Clase 08Clase 08
Clase 08
 
Clase 10
Clase 10Clase 10
Clase 10
 
56 perfect pixel
56 perfect pixel56 perfect pixel
56 perfect pixel
 
24 biblioteca glu
24 biblioteca glu24 biblioteca glu
24 biblioteca glu
 
Clase 05
Clase 05Clase 05
Clase 05
 
Analisis y diseño sistema informático de registro académico y entrega
Analisis y diseño sistema informático de registro académico y entregaAnalisis y diseño sistema informático de registro académico y entrega
Analisis y diseño sistema informático de registro académico y entrega
 
Clase 01
Clase 01Clase 01
Clase 01
 
72 fuentes luminosas
72 fuentes luminosas72 fuentes luminosas
72 fuentes luminosas
 
38 evolución realidad virtual
38 evolución realidad virtual38 evolución realidad virtual
38 evolución realidad virtual
 
Ch. 8&9 review assignment key
Ch. 8&9 review assignment keyCh. 8&9 review assignment key
Ch. 8&9 review assignment key
 
Three card monte presentation
Three card monte presentationThree card monte presentation
Three card monte presentation
 
34 xna
34 xna34 xna
34 xna
 
Control de arena
Control de arenaControl de arena
Control de arena
 
Positivos
PositivosPositivos
Positivos
 
The Sufistic Role for social harmony in Pluralistic in assam
The Sufistic Role for social harmony in Pluralistic in assamThe Sufistic Role for social harmony in Pluralistic in assam
The Sufistic Role for social harmony in Pluralistic in assam
 

Similar a Clase 03

Seguridad de los dispositivos de red
Seguridad de los dispositivos de redSeguridad de los dispositivos de red
Seguridad de los dispositivos de redCarlitos Alvarado
 
Resumen rete ejercicios
Resumen rete ejerciciosResumen rete ejercicios
Resumen rete ejerciciosZemog Racso
 
Firewall Yese
Firewall YeseFirewall Yese
Firewall Yeseyesenia
 
Tema 4 mecanismos de defensa
Tema 4 mecanismos de defensaTema 4 mecanismos de defensa
Tema 4 mecanismos de defensaMariano Galvez
 
Cortafuegos Jprl
Cortafuegos JprlCortafuegos Jprl
Cortafuegos Jprlastrologia
 
Presentacion firewall
Presentacion firewallPresentacion firewall
Presentacion firewallJakol Inugami
 
Unidad 2 Integración de Sistemas
Unidad 2 Integración de SistemasUnidad 2 Integración de Sistemas
Unidad 2 Integración de Sistemasvverdu
 

Similar a Clase 03 (20)

Seguridad de los dispositivos de red
Seguridad de los dispositivos de redSeguridad de los dispositivos de red
Seguridad de los dispositivos de red
 
Resumen rete ejercicios
Resumen rete ejerciciosResumen rete ejercicios
Resumen rete ejercicios
 
Integración de sistemas y Firewalls
Integración de sistemas y FirewallsIntegración de sistemas y Firewalls
Integración de sistemas y Firewalls
 
Firewall Yese
Firewall YeseFirewall Yese
Firewall Yese
 
Un servidor de seguridad perimetral
Un servidor de seguridad perimetralUn servidor de seguridad perimetral
Un servidor de seguridad perimetral
 
Firewall
FirewallFirewall
Firewall
 
Seguridad
SeguridadSeguridad
Seguridad
 
Seguridad4
Seguridad4Seguridad4
Seguridad4
 
Sistemas operativos de red
Sistemas operativos de redSistemas operativos de red
Sistemas operativos de red
 
Tema 4 mecanismos de defensa
Tema 4 mecanismos de defensaTema 4 mecanismos de defensa
Tema 4 mecanismos de defensa
 
Firewall y VPN
Firewall y VPNFirewall y VPN
Firewall y VPN
 
Cortafuegos
CortafuegosCortafuegos
Cortafuegos
 
Cortafuegos
CortafuegosCortafuegos
Cortafuegos
 
Cortafuegos Jprl
Cortafuegos JprlCortafuegos Jprl
Cortafuegos Jprl
 
Presentacion firewall
Presentacion firewallPresentacion firewall
Presentacion firewall
 
Defensa perimetral
Defensa perimetralDefensa perimetral
Defensa perimetral
 
Firewalls
FirewallsFirewalls
Firewalls
 
Unidad 2 Integración de Sistemas
Unidad 2 Integración de SistemasUnidad 2 Integración de Sistemas
Unidad 2 Integración de Sistemas
 
Cortafuegos
CortafuegosCortafuegos
Cortafuegos
 
Firewall
FirewallFirewall
Firewall
 

Más de Titiushko Jazz

Unidad vii esp parte 3 clase de inteligencia de negocios (datawarehouse)
Unidad vii esp parte 3 clase de inteligencia de negocios (datawarehouse)Unidad vii esp parte 3 clase de inteligencia de negocios (datawarehouse)
Unidad vii esp parte 3 clase de inteligencia de negocios (datawarehouse)Titiushko Jazz
 
Unidad vii esp parte 3 clase de datawarehouse ( ing. doño)
Unidad vii esp parte 3 clase de datawarehouse ( ing. doño)Unidad vii esp parte 3 clase de datawarehouse ( ing. doño)
Unidad vii esp parte 3 clase de datawarehouse ( ing. doño)Titiushko Jazz
 
Unidad vii esp parte 2 introduccion a data warehouse y datamining
Unidad vii esp parte 2 introduccion a data warehouse y dataminingUnidad vii esp parte 2 introduccion a data warehouse y datamining
Unidad vii esp parte 2 introduccion a data warehouse y dataminingTitiushko Jazz
 
Unidad vi esp parte 2 procesimientos en plsql y transact sql
Unidad vi esp parte 2 procesimientos en plsql y transact sqlUnidad vi esp parte 2 procesimientos en plsql y transact sql
Unidad vi esp parte 2 procesimientos en plsql y transact sqlTitiushko Jazz
 
Tarea pronosticos eily
Tarea pronosticos eilyTarea pronosticos eily
Tarea pronosticos eilyTitiushko Jazz
 
Proyecto teórico práctico
Proyecto teórico prácticoProyecto teórico práctico
Proyecto teórico prácticoTitiushko Jazz
 

Más de Titiushko Jazz (20)

Unidad vii esp parte 3 clase de inteligencia de negocios (datawarehouse)
Unidad vii esp parte 3 clase de inteligencia de negocios (datawarehouse)Unidad vii esp parte 3 clase de inteligencia de negocios (datawarehouse)
Unidad vii esp parte 3 clase de inteligencia de negocios (datawarehouse)
 
Unidad vii esp parte 3 clase de datawarehouse ( ing. doño)
Unidad vii esp parte 3 clase de datawarehouse ( ing. doño)Unidad vii esp parte 3 clase de datawarehouse ( ing. doño)
Unidad vii esp parte 3 clase de datawarehouse ( ing. doño)
 
Unidad vii esp parte 2 introduccion a data warehouse y datamining
Unidad vii esp parte 2 introduccion a data warehouse y dataminingUnidad vii esp parte 2 introduccion a data warehouse y datamining
Unidad vii esp parte 2 introduccion a data warehouse y datamining
 
Unidad vi esp parte 2 procesimientos en plsql y transact sql
Unidad vi esp parte 2 procesimientos en plsql y transact sqlUnidad vi esp parte 2 procesimientos en plsql y transact sql
Unidad vi esp parte 2 procesimientos en plsql y transact sql
 
Unidad ii esp parte 2
Unidad ii esp parte 2Unidad ii esp parte 2
Unidad ii esp parte 2
 
Unidad ii esp parte 1
Unidad ii esp parte 1Unidad ii esp parte 1
Unidad ii esp parte 1
 
Unidad i esp parte 2
Unidad i esp parte 2Unidad i esp parte 2
Unidad i esp parte 2
 
Unidad i esp parte 1
Unidad i esp parte 1Unidad i esp parte 1
Unidad i esp parte 1
 
Tarea pronosticos eily
Tarea pronosticos eilyTarea pronosticos eily
Tarea pronosticos eily
 
Sociedades limitadas
Sociedades limitadasSociedades limitadas
Sociedades limitadas
 
Rhu
RhuRhu
Rhu
 
Qué es un proyecto
Qué es un proyectoQué es un proyecto
Qué es un proyecto
 
Proyecto teórico práctico
Proyecto teórico prácticoProyecto teórico práctico
Proyecto teórico práctico
 
Presentacion1630
Presentacion1630Presentacion1630
Presentacion1630
 
Presentacion1410
Presentacion1410Presentacion1410
Presentacion1410
 
Presentacion1310
Presentacion1310Presentacion1310
Presentacion1310
 
Presentacion1210
Presentacion1210Presentacion1210
Presentacion1210
 
Presentacion1220
Presentacion1220Presentacion1220
Presentacion1220
 
Presentacion1001
Presentacion1001Presentacion1001
Presentacion1001
 
Presentacion810
Presentacion810Presentacion810
Presentacion810
 

Clase 03

  • 1. SEGURIDAD DE LOS DISPOSITIVOS DE RED • La seguridad del router de borde, que se conecta con la red externa, es un primer paso importante al asegurar la red • El hardening de dispositivos es una tarea esencial que nunca debe ser pasada por alto: implementación métodos probados para asegurar el router físicamente y proteger el acceso administrativo • Algunos de estos métodos comprenden : • la seguridad del acceso administrativo, • mantener contraseñas, • configurar funciones de identificación virtual mejoradas e implementar Secure Shell (SSH). • definir roles administrativos de
  • 2. • La seguridad de las funciones de administración y reportes del IOS de los dispositivos • Muchos servicios del router están habilitados por defecto. Muchas de estas funciones están habilitadas por razones históricas pero ya no son necesarias.
  • 3. Seguridad del router de borde • La seguridad la infraestructura de la red es crítica para la seguridad de toda la red • La infraestructura de la red incluye routers, switches, servidores, estaciones de trabajo y otros dispositivos. • Considere un empleado descontento mirando casualmente por sobre el hombro del administrador de la red mientras el administrador se está identificando en el router de borde. Esto se conoce como shoulder surfing y es una manera sorprendentemente fácil para un atacante de ganar acceso no autorizado.
  • 4. • Si un atacante obtiene acceso a un router, la seguridad y la administración de toda la red pueden ser comprometidas, dejando a los servidores y las estaciones de trabajo bajo riesgo • El router de borde es el último router entre la red interna y una red de confianza como Internet • A través del filtrado inicial y final, el router de borde ayuda a asegurar el perímetro de una red protegida • Es responsable de implementar las acciones de seguridad • que están basadas en las políticas de seguridad de la organización
  • 5. Enfoque de un solo router • Un solo router conecta la red protegida, o LAN interna a Internet. • Todas las políticas de seguridad están configuradas en este dispositivo. • Generalmente se utiliza este esquema en implementaciones de sitios pequeños como sitios de sucursales. • En las redes más pequeñas, las funciones de seguridad requeridas pueden ser soportadas por ISRs sin comprometer el rendimiento del router.
  • 6. Enfoque de defensa profunda • El enfoque de defensa profunda es más seguro que el de un solo router. • El router de borde actúa como la primera línea de defensa y se lo conoce como screening router. Envía al firewall todas las conexiones dirigidas a la LAN interna. • La segunda línea de defensa es el firewall. • El firewall básicamente retoma donde dejó el router y realiza filtrado adicional. Provee control de acceso adicional ya que monitorea el estado de las conexiones, actuando como un dispositivo de control.
  • 7. • El router de borde tiene un conjunto de reglas que especifican qué tráfico permitir y qué tráfico denegar. • Por defecto, el firewall deniega la iniciación de conexiones desde las redes externas (no confiables) para la red interna (confiable). • Permite a los usuarios internos conectarse a las redes no confiables y permite que las respuestas vuelvan a través del firewall. • Puede realizar autenticación de usuario (proxy de autenticación) para que los usuarios tengan que estar autenticados para ganar acceso a los recursos de la red.
  • 8. Enfoque DMZ • Una variante del enfoque de defensa profunda es ofrecer un área intermedia llamada • zona desmilitarizada (demilitarized zone - DMZ). • La DMZ puede ser utilizada para los servidores que tienen que ser accesibles desde Internet o alguna otra red externa. • La DMZ puede ser establecida entre dos routers, con un router interno conectado a la red protegida y un router externo conectado a la red no protegida, o ser simplemente un puerto adicional de un solo router.
  • 9. • El firewall, ubicado entre las redes protegida y no protegida, se instala para permitir las conexiones requeridas (por ejemplo, HTTP) de las redes externas (no confiables) a los servidores públicos en la DMZ. • EL firewall sirve como protección primaria para todos los dispositivos en la DMZ. • El router provee protección filtrando algún tráfico, pero deja la mayoría de la protección a cargo del firewall.
  • 10.
  • 11. Asegurar el router de borde es un primer paso crítico en la seguridad de la red. Si hay otros routers internos, también deben estar configurados con seguridad. Deben mantenerse tres áreas de seguridad de routers.
  • 12. Seguridad física • Ubicar el router y los dispositivos físicos que se conectan a él en un cuarto bajo llave que sea accesible solo para personal autorizado, esté libre de interferencia magnética o electrostática y tenga un sistema contra incendios y controles de temperatura y humedad. • Instalar un sistema de alimentación ininterrumpida (uninterruptible power supply - UPS) y mantener los componentes de repuesto disponibles. • Esto reduce la posibilidad de un ataques de DoS a causa de pérdida de electricidad en el edificio
  • 13. Seguridad de los Sistemas Operativos • Configurar el router con la máxima cantidad de memoria posible. La disponibilidad de la memoria puede ayudar a proteger la red de ataques de DoS, mientras que soporta el máximo rango de dispositivos de seguridad. • Usar la última versión estable del sistema operativo que cumpla los requerimientos de la red. Las funciones de seguridad de un sistema operativo evolucionan con el tiempo. • Tenga en cuenta que la última versión de un sistema operativo puede no ser la versión más estable disponible. • Mantenga una copia segura de resguardo de la imagen del sistema operativo y el archivo de configuración del router.
  • 14. Hardening del router • Elimine potenciales abusos de puertos y servicios no utilizados • Asegure el control administrativo. Asegúrese de que solo personal autorizado tenga acceso y su nivel de acceso sea controlado. • Deshabilite puertos e interfaces no utilizadas. Reduzca la cantidad de maneras por las que puede accederse a un dispositivo. • Deshabilitar servicios innecesarios. Como muchas computadoras, el router tiene servicios habilitados por defecto. Algunos de estos servicios son innecesarios y pueden ser utilizados por un atacante para reunir información o para efectuar explotaciones
  • 15.
  • 16. • El acceso administrativo es un requerimiento para la administración del router; por lo tanto, asegurar el acceso administrativo es una tarea extremadamente importante. • Si una persona no autorizada ganara acceso administrativo a un router, esa persona podría alterar parámetros de enrutamiento, deshabilitar funciones de enrutamiento o descubrir y ganar acceso a otros sistemas en la red.
  • 17. Asegurar el acceso administrativo • Restringir la accesibilidad de los dispositivos - Limitar los puertos administrativos, restringir los comunicadores permitidos y restringir los métodos de acceso permitidos. • Registrar y justificar todos los accesos - Para propósitos de auditoría, registrar a todos los que acceden al dispositivo, incluyendo lo que ocurra durante el acceso y cuándo ocurre. • Acceso autenticado - Asegurarse de que el acceso sea otorgado solo a usuarios, grupos y servicios autenticados. • Limitar el número de intentos de ingreso fallidos y el tiempo entre intentos.
  • 18. • Autorizar las acciones - Restringir las acciones y vistas permitidas a un usuario, grupo o servicio particular. • Presentar notificaciones legales - Mostrar una notificación legal, desarrollada en conjunto con el consejo legal de la empresa, para sesiones interactivas. • Asegurar la confidencialidad de los datos - Proteger los datos sensibles almacenados localmente de ser vistos o copiados. • Considerar la vulnerabilidad de los datos en tránsito sobre un canal de comunicación expuestos a sniffing, secuestros de sesión y ataques man in the middle (MITM). • Hay dos maneras de acceder a un dispositivo para propósitos administrativos: local y remotamente
  • 19. • El acceso local a un router usualmente requiere una conexión directa a un puerto de consola utilizando una computadora que esté ejecutando software de emulación de terminal. • El acceso remoto típicamente requiere permitir conexiones Telnet, Secure Shell (SSH), HTTP, HTTPS o Simple Network Management Protocol (SNMP) al router desde una computadora. • Esta computadora puede estar en la misma subred o en una diferente. • Algunos protocolos de acceso remoto envían al router los datos en texto plano, incluyendo nombres de usuario y contraseñas.
  • 20. • Si un atacante logra reunir tráfico de red mientras un administrador está autenticado remotamente a un router, el atacante podrá capturar las contraseñas o información de configuración del router. • Por esta razón, se prefiere permitir solo acceso local al router. • Sin embargo, el acceso remoto puede ser necesario de cualquier forma
  • 21. • Cuando se accede a la red remotamente, deben tomarse algunas precauciones: • Cifrar todo el tráfico entre la computadora del administrador y el router. Por ejemplo, en lugar de usar Telnet, usar SSH. O en lugar de usar HTTP, usar HTTPS. • Establecer una red de administración dedicada. La red de administración deberá incluir solo hosts de administración identificados y conexiones a una interfaz dedicada en el router. • Configurar un filtro de paquetes para permitir que solo los hosts de administración identificados y protocolos de preferencia accedan al router. Por ejemplo, permitir solo solicitudes SSH de la dirección IP del host de administración para iniciar una conexión a los routers en la red.
  • 22. • Estas precauciones son valiosas, pero no protegen enteramente a la red. • Otras líneas de defensa deben ser implementadas también. Una de las más básicas e importantes es el uso de una contraseña segura.
  • 23.
  • 24. Configuración de un acceso administrativo seguro • Los atacantes usan varios métodos de descubrimiento de contraseñas administrativas. • Pueden hacer shoulder surfing, intentar adivinar las contraseñas basándose en la información personal del usuario, o hacer sniffing de los paquetes TFTP que contienen archivos de configuración en texto plano. • Los atacantes también pueden usar herramientas como L0phtCrack y Cain & Abel para efectuar ataques de fuerza bruta para adivinar las contraseñas.
  • 25. Consejos comunes para elegir contraseñas fuertes • Utilice una contraseña de 10 o más caracteres de longitud. Cuanto más larga, mejor. • Haga a su contraseña compleja. Incluya una mezcla de letras mayúsculas y minúsculas, símbolos y espacios. • Evite contraseñas basadas en repeticiones, palabras de diccionario, secuencias de letras o números, nombres de usuario, nombres de mascotas o parientes, información biográfica (como cumpleaños, número de pasaporte o documento, nombres de ancestros) u otros tipos de información fácilmente identificable.
  • 26. • Escriba la contraseña deliberadamente mal, realizando algunos reemplazos de letras. Por ejemplo, Smith = Smyth = 5mYth o Security = 5ecur1ty. • Cambie las contraseñas seguido. Si una contraseña está comprometida sin su conocimiento, la ventana de oportunidad para que el ataque la use será limitada. • No escriba las contraseñas en papel o las deje en lugares obvios como el escritorio o el monitor.
  • 27. • Un método para crear una contraseña fuerte es utilizar la barra espaciadora en la contraseña y crear una frase compuesta de varias palabras. Esto se denomina frase de acceso. • La frase de acceso es generalmente más fácil de recordar que una simple contraseña. También es más larga y más difícil de adivinar. • Los administradores deben asegurarse de que se usen contraseñas fuertes en toda la red. • Una manera de lograr esto es usando las mismas herramientas de ataques de fuerza bruta y cracking que usaría un atacante para verificar la solidez de las contraseñas.
  • 28. • Muchos puertos de acceso requieren contraseñas en un router Cisco, incluyendo el puerto de consola, el puerto auxiliar y las conexiones de terminal virtual. • La administración de las contraseñas en una red grande debería mantenerse por medio de un servidor de autenticación central TACACS+ o RADIUS • Todos los routers deben ser configurados con las contraseñas de usuario y de EXEC privilegiado. • También se recomienda el uso de una base de datos de nombres de usuario local como copia de resguardo si el acceso a un servidor de autenticación, autorización y registro de auditoría (authentication authorization, and accounting - AAA) se encuentra comprometido. El uso de una contraseña y la asignación de niveles de privilegios son maneras simples de proporcionar control de acceso terminal en una red.
  • 29. • Deben establecerse contraseñas para el modo de acceso EXEC privilegiado y líneas individuales como las líneas de consola y auxiliar.
  • 30. Contraseña enable secret • El comando de configuración enable secret contraseña restringe el acceso al modo EXEC privilegiado. • La contraseña enable secret siempre está dispersa (hashed) dentro de la configuración del router usando un algoritmo Message Digest 5 (MD5). • Si la contraseña enable secret se pierde o se olvida, debe ser reemplazada utilizando el procedimiento de recuperación de contraseñas de los routers Cisco.
  • 31. línea de consola • Por defecto, el puerto de línea de consola no requiere una contraseña para el acceso administrativo de la consola; sin embargo, siempre debe ser configurado con una contraseña a nivel de línea de puerto de consola. • Use el comando line console 0 seguido de los subcomandos login y password para solicitar el ingreso y establecer una contraseña de ingreso en la línea de consola.
  • 32. líneas de terminal virtual • Por defecto, los routers de Cisco soportan hasta cinco sesiones simultáneas de terminal virtual vty (Telnet o SSH). • En el router, los puertos vty se numeran del 0 al 4. • Use el comando line vty 0 4 seguido por los subcomandos login y password para solicitar ingreso y establecer una contraseña de ingreso a las sesiones Telnet entrantes.
  • 33. línea auxiliar • Por defecto, los puertos auxiliares del router no requieren una contraseña para acceso administrativo remoto. • Los administradores algunas veces usan este puerto para configurar y monitorear remotamente el router usando una conexión de módem dialup. • Para acceder a la línea auxiliar, use el comando line aux 0. Use los subcomandos login y password para solicitar ingreso y establecer una contraseña de ingreso a las conexiones entrantes.
  • 34. • Por defecto, con excepción de la contraseña enable secret, todas las contraseñas de router de Cisco están almacenadas en texto plano dentro de la configuración del router. • Estas contraseñas pueden ser visualizadas con el comando show running-config. • Los sniffers también pueden ver estas contraseñas si los archivos de configuración de servidor TFTP atraviesan una conexión no asegurada de intranet o Internet. • Si un intruso gana acceso al servidor TFTP donde están almacenados los archivos de configuración del router, podrá obtener estas contraseñas
  • 35.
  • 36. • Para aumentar la seguridad de las contraseñas, debe configurarse lo siguiente: • Establecer longitudes mínimas de contraseñas. • Deshabilitar conexiones no utilizadas. • Cifrar todas las contraseñas en el archivo de configuración. • Longitud de caracteres mínima • A partir de la Release 12.3(1) del IOS de Cisco, los administradores pueden especificar la longitud de caracteres mínima para todas las contraseñas de routers con un valor de 0 a 16 caracteres usando el comando de configuración global security passwords minlength longitud. • Se recomienda fuertemente establecer la longitud mínima de la contraseña en 10 caracteres, para eliminar contraseñas comunes que resultan cortas y prevalecen en la mayoría de las redes, como "lab" y "cisco".
  • 37. • Este comando afecta las contraseñas de usuario, las enable secret y las de línea que se creen luego de que el comando sea ejecutado. • Las contraseñas de router ya existentes no son afectadas. Cualquier intento de crear una nueva contraseña que contenga menos caracteres que la longitud especificada fallará y se mostrará un mensaje de error similar al siguiente: • Password too short - must be at least 10 characters. Password configuration failed.
  • 38. Deshabilitar conexiones no utilizadas • Por defecto la interfaz administrativa permanece activa y autenticada por 10 minutos luego de la última actividad de la sesión. Luego de eso, la sesión caduca y se cierra. • Si un administrador está lejos de la terminal mientras la conexión de la consola permanece activa, una atacante tendrá hasta 10 minutos para ganar acceso privilegiado. • Se recomienda, por lo tanto, que estos relojes sean ajustados para limitar la cantidad de tiempo a un máximo de dos a tres minutos. • Estos relojes pueden ser ajustados usando el comando exec- timeout modo de configuración de línea para cada uno de los tipos de línea utilizado.
  • 39. • También es posible deshabilitar el proceso exec para una línea específica, como el puerto auxiliar, usando el comando no exec dentro del modo de configuración del línea. • Este comando permite solo conexiones salientes en la línea. El comando no exec permite deshabilitar el proceso EXEC para conexiones que pueden intentar enviar datos no solicitados al router
  • 40. Cifrar todas las contraseñas • Por defecto, algunas contraseñas se muestran en texto plano, o sea, sin cifrar, en la configuración del software IOS de Cisco. • Con excepción de la contraseña enable secret, todas las otras contraseñas en texto plano en el archivo de configuración pueden ser cifradas con el comando service password- encryption. • Este comando dispersa contraseñas en texto plano actuales y futuras en el archivo de configuración a un texto cifrado. • Para detener el proceso de cifrado de las contraseñas, use la forma no del comando. • Solo las contraseñas creadas luego de que se emita el comando no serán no cifradas. Las contraseñas ya existentes que estén cifradas permanecerán de esa manera.
  • 41. • El comando service password-encryption es útil principalmente para evitar que individuos no autorizados puedan ver contraseñas en el archivo de configuración. • El algoritmo utilizado por el comando service password- encryption es simple y fácilmente reversible por alguien que tenga acceso al texto cifrado y una aplicación de cracking de • contraseñas. • Por esta razón, el comando no deberá ser utilizado con la intención de proteger los archivos de configuración contra ataques serios. • El comando enable secret es mucho más seguro, ya que cifra la contraseña utilizando MD5, un algoritmo mucho más fuerte.
  • 42.
  • 43. • Otra función de seguridad disponible es la autenticación. • Los routers de Cisco mantienen una lista de nombres de usuario y contraseñas en una base de datos local en el router para realizar autenticación local. • Hay dos métodos para configurar nombres de usuario de cuentas locales. • username nombre password contraseña • username nombre secret contraseña
  • 44. • El comando username secret es más seguro porque usa el algoritmo más fuerte, MD5, para dispersar las claves. • MD5 es un algoritmo mucho mejor que el tipo 7 estándar utilizado por el comando service password-encryption. • La capa agregada de protección que proporciona MD5 es útil en ambientes en los que la contraseña atraviesa la red o es almacenada en un servidor TFTP. • Al configurar una combinación de nombre de usuario y contraseña deben seguirse las restricciones de longitud de contraseña. • Use el comando login local en la configuración de linea para habilitar la base de datos local para autenticación.