SEGURIDAD EN LOS ROUTERS

Administracion de la Seguridad en los Routers Cisco

La seguridad básica de los routers consiste en la configuración de contraseñas. Una contraseña sólida es el elemento más fundamental para controlar el acceso seguro a un router. Por este motivo, siempre se deben configurar contraseñas sólidas.

De forma predeterminada, el software IOS de Cisco deja contraseñas en texto sin cifrar cuando se introducen en un router. Esto no es seguro, ya que cualquiera que pase por detrás suyo mientras observa la configuración de un router podría espiar por encima de su hombro y ver la contraseña. 

Si se usa el comando enable password o el comando username username password password estas contraseñas se mostrarían al observar la configuración en ejecución.

Ejemplo:R1(config)# username Student password cisco123R1(config)# do show run | include usernameusername Student password 0 cisco123R1(config)#

El 0 que aparece en la configuración en ejecución indica que la contraseña no está oculta. 

Por este motivo, todas las contraseñas deben estar encriptadas en un archivo de configuración. El IOS de Cisco ofrece dos esquemas de protección de contraseñas:

Encriptación simple, que se denomina esquema de tipo 7. Utiliza el algoritmo de encriptación definido por Cisco y oculta la contraseña mediante el uso de un algoritmo de encriptación simple.

Encriptación compleja, que se denomina esquema de tipo 5. Utiliza un hash MD5 más seguro.

La encriptación del tipo 7 puede ser utilizada por los comandos enable password, username y line password, incluidos vty, line console y aux port. No ofrece una gran protección, ya que sólo oculta la contraseña utilizando un algoritmo de encriptación simple. Para encriptar contraseñas mediante la encriptación de tipo 7, use el comando de configuración global service password-encryption. Mediante este comando las contraseñas que aparecen en la pantalla no son legibles.

Ejemplo:R1(config)# service password-encryptionR1(config)# do show run | include username

username Student password 7 03075218050061R1(config)#

El 7 que aparece en la configuración en ejecución indica que la contraseña está oculta. 

Un router siempre utiliza la contraseña secreta antes que la contraseña de enable. Por este motivo, el comando enable password nunca se debe configurar, ya que puede revelar la contraseña de un sistema.

Los nombres de usuario de la base de datos local también deben estar configurados mediante el comando de configuración global username username secret password. Por ejemplo:

R1(config)# username Student secret ciscoR1(config)# do show run | include usernameusername Student secret 5 $1$z245$lVSTJzuYgdQDJiacwP2Tv/R1(config)#

El software IOS de Cisco Versión 12.3(1) y posteriores permite que los administradores definan la longitud mínima en caracteres de todas las contraseñas de los routers utilizando el comando de configuración global security passwords min-length, como se observa en la figura. Este comando proporciona acceso con mayor seguridad al router, al permitirle que especifique una longitud mínima para las contraseñas,

EjemploConfigurar las contraseñas del Router

Encriptar las contraseñas

cumplimiento de longitud de contraseña minima

Restingiendo el acceso adminitrativo a un Router

Para proteger el acceso administrativo a los routers y switches, primero debe proteger las líneas administrativas (VTY, AUX), y después configurar el dispositivo de red para que encripte el tráfico en un túnel SSH. ya que Telnet envía todo el tráfico de la red en forma de texto sin cifrarEl acceso remoto no sólo se aplica a la línea de VTY del router, también se aplica a las líneas de TTY y al puerto auxiliar (AUX). Las líneas de TTY proporcionan acceso asíncrono a un router a través de un módem. Si bien son menos comunes que lo que fueron en otro momento, todavía existen en algunas instalaciones. Proteger estos puertos es aun más importante que proteger los puertos del terminal local.

Controles en los puertos VTYDe manera predeterminada, todas las líneas de VTY están configuradas para aceptar cualquier tipo de

conexión remota. Por razones de seguridad, las líneas de VTY se deben configurar para aceptar conexiones sólo con los protocolos realmente necesarios. Esto se hace mediante el comando transport input. Por ejemplo, un VTY que debe recibir sólo sesiones de Telnet estaría configurado con transport input telnet, y un VTY que permite las sesiones de Telnet y de SSH estaría configurado con transport input telnet ssh

Ejemplo

Otra táctica útil es configurar los tiempos de espera de los VTY mediante el comando exec-timeout. Esto impide que una sesión inactiva consuma el VTY en forma indefinida. A pesar de que su eficacia contra los ataques deliberados es relativamente limitada, proporciona algo de protección contra las sesiones que se dejan accidentalmente inactivas. Del mismo modo, la activación de los mensajes de actividad de TCP en las conexiones entrantes mediante el comando service tcp-keepalives-in puede ayudar a resguardarse de los ataques maliciosos y de las sesiones huérfanas provocadas por colapsos del sistema remoto.

Ejemplo

Implementación de SSH para proteger el acceso administrativo remotoTradicionalmente, al acceso administrativo remoto de los routers se configuraba mediante Telnet en el puerto TCP 23. Sin embargo, Telnet se desarrolló en un tiempo en el que la seguridad no era un problema. Por este motivo, todo el tráfico de Telnet se envía en forma de texto sin cifrar.SSH reemplazó a Telnet como la mejor práctica para proporcionar administración remota de los routers con conexiones que admiten una sólida privacidad e integridad de las sesiones. SSH utiliza el puerto TCP 22. Brinda una funcionalidad similar a la de una conexión Telnet saliente, con la excepción de que la conexión se encuentra encriptada. Mediante la autenticación y la encriptación, SSH hace posibles las comunicaciones seguras a través de una red inseguraLos routers Cisco pueden actuar como cliente y servidor SSH. De manera predeterminada, ambas funciones se encuentran activadas en el router cuando se activa SSH. Como cliente, un router puede realizar un SSH a otro router. Como servidor, un router puede aceptar conexiones SSH cliente.

Configuración de la seguridad de SSH

Para permitir SSH en el router, se deben configurar los siguientes parámetros:Nombre de hostNombre de dominioClaves asimétricasAutenticación local

Entre los parámetros de configuración opcionales se encuentran:Tiempos de esperaReintentos

Los siguientes pasos configuran el SSH en un router.

Paso 1: Defina los parámetros de los routersConfigure el nombre de host del router con el comando hostname hostname del modo de configuración.

Paso 2: Defina el nombre de dominioSe debe crear un nombre de dominio para activar el SSH. En este ejemplo, escriba el comando ip domain-name cisco.com del modo de configuración global.

Paso 3: Genere claves asimétricasDebe crear una clave que el router pueda utilizar para encriptar su tráfico de administración de SSH con el comando crypto key generate rsa del modo de configuración. El router responde con un mensaje que muestra la norma de denominación de las claves. Elija el tamaño del módulo de la clave que debe estar entre 360 y 2048 para sus Claves de propósito general. Elegir un módulo de clave mayor a 512 puede llevar algunos minutos. Como mejor práctica, Cisco recomienda utilizar una longitud de módulo mínima de 1024. Debe saber que la creación y el uso de un módulo más largo llevan más tiempo, pero ofrece mayor seguridad.

Paso 4: Configure la autenticación local y el vtyDebe definir un usuario local y asignar una comunicación de SSH a las líneas de vty, como se observa en la figura.

Paso 5: Configure tiempos de espera de SSH (opcional)Los tiempos de espera brindan seguridad adicional a la conexión, pues finalizan las conexiones prolongadas e inactivas. Use el comando ip ssh time-out seconds authentication-retries integer para activar los tiempos de espera y los reintentos de autenticación. Configure el tiempo de espera del SSH en 15 segundos y la cantidad de reintentos en 2:

Para conectarse a un router configurado con un SSH, debe utilizar una aplicación de SSH cliente como PuTTY o TeraTerm. Debe asegurarse de elegir la opción SSH y de que utilice el puerto TCP 22.

AutoSecure en un router CiscoAutoSecure de Cisco utiliza un único comando para desactivar procesos y servicios no esenciales del sistema y elimina amenazas de seguridad potenciales. Puede configurar AutoSecure en el modo EXEC privilegiado mediante el comando auto secure en uno de estos dos modos:

Modo interactivo: este modo le indica opciones para activar y desactivar servicios y otras características de seguridad. Es el modo predeterminado.

Modo no interactivo: ejecuta automáticamente el comando auto secure con la configuración predeterminada recomendada de Cisco. Este modo se activa con la opción del comando no-interact.

Los datos que debemos de ingresar en el Comando auto secure son los siguientes

Detalles de la interfaz Títulos Contraseñas SSH Características del firewall del IOS

Administracion de las imagenes IOS de CISCOUna buena práctica para mantener la disponibilidad del sistema es asegurarse de tener siempre copias de seguridad de los archivos de configuración de inicio y de los archivos de imagen del IOS

EjemploCopiar la configuración en ejecución de la RAM a la configuración de inicio de NVRAM:R1# copy running-config startup-config

Copiar la configuración en ejecución de la RAM a una ubicación remota:R1# copy running-config tftp:

Copiar una configuración desde un origen remoto a la configuración en ejecución:R1# copy tftp: running-config

Copiar una configuración de un origen remoto a la configuración de inicio:R2# copy tftp: startup-config

Guardar una imagen ios de cisco

Para salvar una imagen del sistema actual del router en un servidor TFTP de red se utiliza el comando copy flash: tftp: en el modo EXEC privilegiado. El comando requiere que escriba la dirección IP del host remoto y el nombre de los archivos de imagen del sistema de origen y destino.

Durante el proceso de copia, los signos de exclamación (!) indican el progreso. Cada signo de exclamación significa que un segmento del UDP se ha transferido con éxito.

Actualización de las imágenes del software IOS

Para actualizar un sistema a una versión de software más nueva requiere descargar un archivo de imagen del sistema diferente en el router. para eso utilizamos el comando copy tftp: flash: para descargar la nueva imagen desde el servidor TFTP de red.

El comando nos solicita que escribamos la dirección IP del host remoto y el nombre del archivo de imagen del sistema de origen y destino. Escriba el nombre de archivo de la imagen de la actualización correspondiente, tal como aparece en el servidor.

Una vez confirmadas estas entradas, aparece el indicador Erase flash: . Borrar la memoria flash deja espacio para la nueva imagen. Borre la memoria flash si ésta no es suficiente para más de una imagen del IOS de Cisco.

Restaurando una imagen de IOS en un Router desde TFTP 

Un router no funciona sin un software IOS de Cisco. Si se elimina o se daña el IOS, un administrador debe copiar una imagen en el router para que funcione nuevamente. 

Una forma de lograrlo sería utilizar la imagen del IOS de Cisco que se guardó anteriormente en el servidor TFTP

Cuando un IOS de un router se elimina accidentalmente de la memoria flash, el router sigue funcionando porque IOS se está ejecutando en la memoria RAM. Sin embargo, es esencial que el router no se reinicie en este momento, ya que no podría encontrar un IOS válido en flash. 

Paso 1. Conecte los dispositivos.

Conecte la PC del administrador del sistema al puerto de consola del router afectado.Conecte el servidor TFTP al primer puerto Ethernet del router. En la figura, R1 es un router Cisco 1841; por lo tanto, el puerto es Fa0/0. Active el servidor TFTP y configúrelo con la dirección IP estática 192.168.1.1/24.

Paso 2. Inicie el router y defina las variables de ROMmon.

Dado que el router no tiene una imagen del IOS de Cisco válida, el router arranca automáticamente en el modo ROMmon. Hay muy pocos comandos disponibles en el modo ROMmon. Puede verlos al escribir ? en el indicador de comando rommon>.

Debe escribir todas las variables que se enumeran en la figura

Ahora, el router R1 debe estar configurado con los valores adecuados para conectarse al servidor TFTP.

Paso 3. Introduzca el comando tftpdnld en el indicador de ROMmon.

El comando muestra las variables de entorno necesarias y advierte que se borran todos los datos existentes en la memoria flash. Escriba y para seguir y presione Intro. El router intenta conectarse al servidor TFTP para comenzar la descarga.

Restaurando una imagen de IOS en un Router desde  XMODEM 

Uso de xmodem para restaurar una imagen del IOSUsar el comando tftpdnld es una forma muy rápida de copiar el archivo de imagen. Otro método para restaurar una imagen del IOS de Cisco en un router es utilizar Xmodem. Sin embargo, la transferencia del archivo se logra mediante el cable de la consola y, por lo tanto, es muy lenta en comparación con el comando tftpdnld.

Si se pierde la imagen del IOS de Cisco, el router cambia al modo ROMmon cuando arranca. ROMmon es compatible con Xmodem. Con esa capacidad, el router puede comunicarse con una aplicación de emulación de terminal, como HyperTerminal, en la PC del administrador del sistema. Un administrador del sistema que tiene una copia de la imagen del IOS de Cisco en una PC puede restaurarla al router estableciendo una conexión de consola entre la PC y el router, y ejecutando Xmodem desde HyperTerminal.

Paso 1. Conecte los dispositivos 

Conecte la PC del administrador del sistema al puerto de consola del router afectado. Abra una sesión de emulación de terminal entre el router R1 y la PC del administrador del sistema.

Paso 2. Inicie el router y emita el comando xmodem en el indicador de ROMmon. 

La sintaxis del comando es xmodem [-cyr] [nombre de archivo]. La opción cyr varía según la configuración. Por ejemplo, -c especifica CRC-16, y especifica el protocolo Ymodem y r copia la imagen a la memoria RAM. Filename es el nombre del archivo que se debe transferir.

Acepte todas las solicitudes cuando se le indique, como se muestra en la figura

Paso 3. La figura muestra el proceso para enviar un archivo mediante HyperTerminal. En este caso, seleccione Transfer > Send File.

Paso 4. Explore la ubicación de la imagen del IOS de Cisco que desea transferir y elija el protocolo Xmodem. Haga clic en Send. Aparece un cuadro de diálogo en donde se muestra el estado de la descarga. El host y el router comienzan a transferir la información después de varios segundos.