SEGURIDAD DE LA RED REDES DE AREA AMPLIADA WAN CAPITULO 4. ITE PC v4.0 Chapter Cisco Systems, Inc. All rights reserved.

Transcripción

1 SEGURIDAD DE LA RED REDES DE AREA AMPLIADA WAN CAPITULO 4 Chapter 1 1

2 SEGURIDAD: INTRODUCCION Hacker de sombrero blanco: una persona que busca vulnerabilidades en los sistemas o en las redes y, a continuación, informa estas vulnerabilidades a los propietarios del sistema para que las arreglen. Hacker: es un término general que se ha utilizado históricamente para describir a un experto en programación. Hacker de sombrero negro: otro término que se aplica a las personas que utilizan su conocimiento de las redes o los sistemas informáticos que no están autorizados a utilizar, generalmente para beneficio personal o económico. Chapter 1 2

3 SEGURIDAD: INTRODUCCION Cracker: es un término más preciso para describir a una persona que intenta obtener acceso no autorizado a los recursos de la red con intención maliciosa. Phreaker: una persona que manipula la red telefónica para que realice una función que no está permitida. Spammer: persona que envía grandes cantidades de mensajes de correo electrónico no solicitado. Estafador: utiliza el correo electrónico u otro medio para engañar a otras personas para que brinden información confidencial, como números de tarjetas de crédito o contraseñas. Chapter 1 3

4 SEGURIDAD: FASES DE UN ATAQUE Paso 1. Realizar un análisis del perfil (reconocimiento), puede empezar con la página web del objetivo. Paso 2. Enumerar los datos, utilizando un sniffer Paso 3. Manipular a los usuarios para obtener acceso.- Ingeniería social Paso 4. Aumentar los privilegios. Una vez que los agresores obtienen acceso básico, utilizan sus habilidades para aumentar los privilegios de la red. Paso 5. Recopilar más contraseñas y secretos. Paso 6. Instalar virus de puerta trasera. Paso 7. Potenciar el sistema comprometido. Una vez que un sistema está comprometido, los agresores lo utilizan para llevar a cabo ataques en otros hosts de la red. Chapter 1 4

5 TIPOS DE DELITOS INFORMATICOS Abuso del acceso a la red por parte de personas que pertenecen a la organización Propagar Virus Robo de dispositivos portátiles Suplantación de identidad (pishing) Uso indebido de la mensajería instantánea Denegación de servicio Acceso no autorizado a la información Robo de información de los clientes o de los empleados Abuso de la red inalámbrica Penetración en el sistema Fraude financiero Detección de contraseñas Registro de claves Alteración de sitios Web Uso indebido de una aplicación Web pública Robo de información patentada Explotación del servidor DNS de una organización Fraude en las telecomunicaciones Sabotaje Chapter 1 5

6 REDES ABIERTAS - CERRADAS Chapter 1 6

7 DESARROLLO DE UNA POLITICA DE SEGURIDAD RFC2196 establece que "una política de seguridad es una declaración formal de las normas por las que se deben regir las personas que obtienen acceso a los bienes de tecnología e información de una organización. Informar a los usuarios, al personal y a los gerentes acerca de los requisitos obligatorios para proteger los bienes de tecnología e información Especificar los mecanismos a través de los cuales se pueden cumplir estos requisitos Proporcionar una línea de base a partir de la que se pueda adquirir, configurar y auditar redes y sistemas informáticos para que cumplan la política Chapter 1 7

8 DESARROLLO DE UNA POLITICA DE SEGURIDAD La norma ISO/IEC es una base común y una guía práctica para desarrollar normas de seguridad de la organización. Consta de 12 secciones: Evaluación de riesgos Política de seguridad Organización de la seguridad de la información Administración de activos Seguridad de los recursos humanos Seguridad física y ambiental Administración de las comunicaciones y operaciones Control de acceso Adquisición, desarrollo y mantenimiento de los sistemas informáticos Administración de incidentes de seguridad de la información Administración para la continuidad de la empresa Cumplimiento Chapter 1 8

9 VULNERABILIDADES Chapter 1 9

10 VULNERABILIDADES Chapter 1 10

11 VULNERABILIDADES Chapter 1 11

12 AMENAZAS A LA INFRAESTRUCTURA FISICA Amenazas al hardware: daño físico a los servidores, routers, switches, planta de cableado y estaciones de trabajo Amenazas ambientales: temperaturas extremas o condiciones extremas de humedad Amenazas eléctricas: picos de voltaje, voltaje intermitente (apagones). Amenazas al mantenimiento: manejo deficiente de los componentes eléctricos clave (descarga electrostática), falta de repuestos fundamentales, cableado insuficiente y rotulado incorrecto Chapter 1 12

13 AMENAZAS A LA INFRAESTRUCTURA FISICA: MITIGACION Chapter 1 13

14 AMENAZAS A LA INFRAESTRUCTURA FISICA: MITIGACION Chapter 1 14

15 AMENAZAS A LA INFRAESTRUCTURA FISICA: MITIGACION Chapter 1 15

16 AMENAZAS A LA INFRAESTRUCTURA FISICA: MITIGACION Chapter 1 16

17 AMENAZAS A LAS REDES Chapter 1 17

18 INGENIERIA SOCIAL Consiste en engañar a las personas Aprovechar de la ingenuidad y obtener información clave de una red o sistema No constituye un ataque en si, pero puede ser la clave para tener éxito en una intrusión. Parámetro que en la mayoría de los casos no es tomado en cuenta por la gente de tecnología Chapter 1 18

19 TIPOS DE ATAQUES Reconocimiento Se conoce como recopilación de información y, en la mayoría de los casos, precede a otro tipo de ataque. Acceso Obtener acceso a un dispositivo del cual no se tiene cuenta ni contraseña. Herramientas de hacking Denegación de servicio Se desactiva o daña redes, sistemas o servicios Virus, gusanos y caballos de Troya Software malicioso puede ser insertado en un host para perjudicar o dañar un sistema, puede replicarse a sí mismo, o denegar el acceso a las redes, los sistemas o los servicios. Chapter 1 19

20 ATAQUES DE RECONOCIMIENTO Consultas de información en Internet nslookup y whois Barridos de ping fping o gping, que hace ping sistemáticamente a todas las direcciones de red. Escaneos de puertos Nmap o Superscan, diseñado para buscar puertos abiertos en un host de red Programas detectores de paquetes Analizadores de protocolos: wireshark, etc Chapter 1 20

21 ATAQUES DE RECONOCIMIENTO Medidas para contrarrestar las infiltraciones Uso de redes conmutadas Uso de encriptación La encriptación de contenido, afecta a los datos no a los encabezados de los protocolos, es decir, las actualizaciones de enrutamiento y demás procesos propios de los protocolos están fuera de la encriptación. Implementaciones con protocolos seguros o que ofrezcan niveles de seguridad de acuerdo a las necesidades SNMP versión 3 puede encriptar cadenas comunitarias, es decir no habilitar SNMP versión 1. Chapter 1 21

22 TIPOS DE ATAQUES Ataques de acceso Explotan las vulnerabilidades conocidas de los servicios de autenticación, los servicios de FTP y los servicios Web para obtener acceso a cuentas válidas y obtener información confidencial. Ataques a las contraseñas Pueden implementarse mediante un programa detector de paquetes para proporcionar cuentas de usuarios y contraseñas que se transmiten como texto sin cifrar. Normalmente se hace uso de programas para encontrar la contraseña, para lo cual utilizan diccionarios para en base a palabras conocidas encontrar la contraseña, esto se conoce como ataque de fuerza bruta L0phtCrack o Cain, son programas que intentan conectarse reiteradamente como usuario mediante el uso de palabras incluidas en un diccionario. Una tabla arco iris es una serie precalculada de contraseñas que se forma creando cadenas de posibles contraseñas de texto sin cifrar. El software de ataque aplica las contraseñas de la tabla de arco iris hasta resolver la contraseña. Chapter 1 22

23 TIPOS DE ATAQUES Explotación de confianza El objetivo es comprometer un host de confianza, mediante su uso, con el fin de llevar a cabo ataques en otros hosts de una red. La mitigación de este tipo de ataques se la establece mediante restricciones a los permisos o niveles de confianza en los host de la red (VLAN s) Redirección de puertos Es un tipo de ataque de explotación de confianza que utiliza un host comprometido para pasar tráfico a través de un firewall que, de lo contrario, estaría bloqueado. Utilización de IDS s Ataque man-in-the-middle Los agresores logran ubicarse entre dos hosts legítimos. Utilización de VPN para mitigar este tipo de ataques Chapter 1 23

24 TIPOS DE ATAQUES Ataques de DoS Son la forma más promocionada de ataques y también están entre los más difíciles de eliminar. Incluso dentro de la comunidad de hackers, los ataques de DoS son clasificados como triviales y se consideran de mal gusto, porque requieren muy poco esfuerzo para su ejecución. Saturación SYNC Utiliza el saludo de 3 vías utilizado por el protocolo TCP Bombas de correo electrónico: los programas envían mensajes de correo electrónico masivo a personas, listas o dominios Applets maliciosos: son los programas Java, JavaScript o ActiveX que destruyen o paralizan un recurso Chapter 1 24

25 TIPOS DE ATAQUES Ataques Ddos (Distribuido DoS) Están diseñados para saturar los enlaces de la red con datos ilegítimos. Estos datos pueden sobrecargar un enlace de Internet y hacer que el tráfico legítimo sea descartado. Los ataques Smurf Utilizan mensajes ping de broadcast suplantados para saturar un sistema objetivo. Este tipo de ataques se los mitiga mediante ACL s Ataques de código malicioso Las principales vulnerabilidades de las estaciones de trabajo de los usuarios finales son los gusanos, virus y caballos de Troya. Chapter 1 25

26 SEGURIDAD EN SERVIDORES Y HOST Cambiar las contraseñas y configuraciones por defecto Manejar perfiles de acceso Desinstalar todo el software que no use o que sea innecesario Mantener actualizado el antivirus Activar un firewall personal en cada estación o host Aplicar los parches de seguridad al sistema operativo de forma periódica, es recomendable nunca ir a la par del fabricante Chapter 1 26

27 DETECCION Y PREVENCION DE INTRUSOS Los sistemas de detección de intrusión (IDS) detectan ataques contra una red y envían registros a una consola de administración. Los sistemas de prevención de intrusión (IPS) impiden ataques contra la red y deben proporcionar los siguientes mecanismos activos de defensa además de la detección: Prevención: impide la ejecución del ataque detectado. Reacción: inmuniza el sistema contra ataques futuros de origen malicioso. Cada tecnología puede ser implementada a nivel de la red o a nivel del host, o a ambos niveles para brindar máxima protección. Chapter 1 27

28 DETECCION Y PREVENCION DE INTRUSOS Sistemas de detección de intrusión basada en hosts La tecnología pasiva, que fue la tecnología de primera generación, se denomina sistema de detección de intrusión basada en hosts (HIDS). HIDS envía registros a una consola de administración una vez que se produjo el ataque y se provocó el daño. La tecnología de línea interna, denominada sistema de prevención de intrusión basada en hosts (HIPS), realmente detiene el ataque, impide el daño y bloquea la propagación de gusanos y virus. La detección activa puede configurarse para apagar la conexión de la red o para detener los servicios afectados automáticamente. Cisco proporciona HIPS mediante el software del agente de seguridad de Cisco. Se establece un servidor y un agente Chapter 1 28

29 APLICACIONES Y DISPOSITIVOS DE SEGURIDAD Control de amenazas: regula el acceso a la red, aísla los sistemas infectados, previene intrusiones Aplicaciones de seguridad adaptables ASA de la serie 5500 de Cisco Routers de servicios integrados (ISR) Control de admisión a la red Agente de seguridad de Cisco para equipos de escritorio Sistemas de prevención de intrusión de Cisco Chapter 1 29

30 APLICACIONES Y DISPOSITIVOS DE SEGURIDAD Comunicaciones seguras: asegura los extremos de la red con VPN. Routers ISR Cisco con la solución de VPN del IOS de Cisco, los dispositivos de la serie ASA 5500 de Cisco y los switches Catalyst 6500 de Cisco. Control de admisión a la red (NAC): proporciona un método basado en funciones que impide el acceso no autorizado a una red. Cisco ofrece una aplicación de NAC. El Software IOS de Cisco de los Routers de servicios integrados (ISR) de Cisco El software IOS de Cisco cuenta con el Firewall IOS de Cisco, IPsec, VPN de SSL y servicios de IPS. Chapter 1 30

31 APLICACIONES Y DISPOSITIVOS DE SEGURIDAD Aplicación de seguridad adaptable ASA de la serie 5500 de Cisco PIX evolucionó hasta convertirse en una plataforma que integra muchas características de seguridad diferentes, denominada Aplicación de seguridad adaptable (ASA) de Cisco. El ASA de Cisco cuenta con un firewall, seguridad de voz, VPN de SSL e IPsec, IPS y servicios de seguridad de contenidos en un solo dispositivo. Sensores IPS de la serie 4200 de Cisco En las redes más grandes, los sensores IPS de la serie 4200 de Cisco proporcionan un sistema de prevención de intrusiones de línea interna. Este sensor identifica, clasifica y detiene el tráfico malicioso de la red. Chapter 1 31

32 APLICACIONES Y DISPOSITIVOS DE SEGURIDAD Aplicación de NAC de Cisco La aplicación de NAC de Cisco utiliza la infraestructura de la red para hacer cumplir la política de seguridad respecto de todos los dispositivos que intentan obtener acceso a los recursos informáticos de la red. Agente de seguridad de Cisco (CSA) El software del Agente de seguridad de Cisco ofrece capacidades de protección contra amenazas para sistemas informáticos de servidor, escritorio y punto de servicio (POS). Chapter 1 32

33 RUEDA DE LA SEGURIDAD Una política debe cubrir Identificar los objetivos de seguridad de la organización. Documentar los recursos que se deben proteger. Identificar la infraestructura de la red con mapas e inventarios actuales. Identificar los recursos críticos que deben protegerse (investigación y desarrollo, financieros y humanos). Esto se denomina análisis de riesgo. Chapter 1 33

34 POLITICA DE SEGURIDAD "Una política de seguridad es una declaración formal de las reglas a las cuales se debe adherir el personal que tiene acceso a los bienes tecnológicos y de información de una organización". Proporciona un medio para auditar la seguridad actual de la red y compara los requisitos con lo que se encuentra instalado. Planifica mejoras de seguridad, incluidos equipos, software y procedimientos. Define las funciones y las responsabilidades de los ejecutivos, administradores y usuarios de la empresa. Define qué comportamientos están permitidos y cuáles no. Define un proceso para manejar los incidentes de seguridad de la red. Permite la implementación y el cumplimiento de la seguridad global al funcionar como norma entre los sitios. Crea una base para fundar acciones legales, en caso de ser necesario. Chapter 1 34

35 FUNCIONES DE LA POLITICA DE SEGURIDAD Proteger a las personas y a la información Establecer la normas de comportamiento esperadas de los usuarios, de los administradores del sistema, de la dirección y del personal de seguridad Autorizar al personal de seguridad a monitorear, sondear e investigar Definir y autorizar las consecuencias de las violaciones Chapter 1 35

36 COMPONENTES DE LA POLITICA DE SEGURIDAD Chapter 1 36

37 FUNCIONES DEL ROUTER EN LA SEGURIDAD DE UNA RED Los routers cumplen las siguientes funciones: Publicar las redes y filtrar a quienes pueden utilizarlas. Proporcionar acceso a los segmentos de las redes y a las subredes. Chapter 1 37

38 PROTECCION DE LA RED: ROUTERS Seguridad física Actualización del IOS de los routers cuando sea conveniente Copia de seguridad de la configuración y del IOS de los routers Aseguramiento del router para eliminar el abuso potencial de los puertos y servicios no utilizados Chapter 1 38

39 PROTECCION DE LA RED: ROUTERS R1(config)# username Student password cisco123 R1(config)# do show run include username username Student password 0 cisco123 R1(config)# El 0 que aparece en la configuración en ejecución indica que la contraseña no está oculta. Manejo de la encriptación de las contraseñas Encriptación simple, que se denomina esquema de tipo 7. Oculta la contraseña mediante el uso de un algoritmo de encriptación simple. Se aplica al utilizar el comando service password-encryption Puede ser utilizada por los comandos enable password, username y line password, incluidos vty, line console y aux port. Encriptación compleja, que se denomina esquema de tipo 5. Utiliza un hash MD5 más seguro. Configuración manual a cada contraseña Chapter 1 39

40 PROTECCION DE LA RED: ROUTERS La encriptación MD5 es un método de encriptación fuerte. Se configura reemplazando la palabra clave password por secret. R1(config)# username Student secret cisco R1(config)# do show run include username username Student secret 5 $1$z245$lVSTJzuYgdQDJiacwP2Tv/ PAP y CHAP requieren contraseñas en texto sin cifrar y no pueden utilizar contraseñas encriptadas MD5. El IOS Versión 12.3(1) y posteriores permite que los administradores definan la longitud mínima en caracteres de todas las contraseñas de los routers utilizando el comando de configuración global security passwords min-length No afecta a las contraseñas existentes Chapter 1 40

41 PROTECCION A LA ADMINISTRACION Las conexiones se pueden evitar por completo en cualquier línea mediante la configuración del router con los comandos login y no password. Configurar para aceptar conexiones sólo con los protocolos realmente necesarios. Comando transport input. UTILIZAR ACL S PARA MAYOR PROTECCION Chapter 1 41

42 PROTECCION A LA ADMINISTRACION Configurar los tiempos de espera de los VTY mediante el comando exec-timeout. Verificación de los mensajes de actividad de TCP en las conexiones entrantes mediante el comando service tcpkeepalives-in Un problema que puede presentarse es cuando se establecen conexiones al router, pero después de establecida la conexión, el usuario remoto corta su sesión inesperadamente, pero mantiene la conexión en línea. Esto puede ser usado por usuarios malintencionados para adueñarse de la conexión. service tcp-keepalives-in, ocasiona el corte inmediato de las sesiones que no responden. Chapter 1 42

43 SSH Utiliza el puerto TCP 22 No todas las imágenes del IOS admiten SSH. Los ID de imagen de los nombres van con las letras k8 o k9 Pueden utilizar una base de datos local o remota, mediante un servidor AAA (TACAS o RADIUS) Los equipos CISCO pueden actuar como cliente o como servidor Chapter 1 43

44 SSH: CONFIGURACION Chapter 1 44

45 SSH: CONFIGURACION Chapter 1 45

46 ACTIVIDAD DE REGISTRO EN ROUTERS Los routers admiten distintos niveles de registro. Ocho niveles van desde 0, emergencias que indican que el sistema es inestable, hasta 7 para depurar mensajes que incluyen toda la información del router. Un servidor de syslog es Kiwi Syslog Daemon. La configuración del registro (syslog) en el router se debe realizar con cuidado. Envíe los registros del router a un host de registro designado Chapter 1 46

47 MANEJO DE LOS LOGs Asignar un espacio de memoria en el router para almacenar y posterior análisis (config)# logging buffered (16000 es el tamaño de la menoria) Enviar los logs a un dispositivo que alberga un administrador de logs; en este caso Syslogd [13] en sistemas Linux y WSyslogD en sistemas WinNT. (config)# logging (config)# logging (config)# logging trap 7 Establece la clase de logs que se quieren registrar, en este caso 7 (debugging). Chapter 1 47

48 MANEJO DE LOS LOGs Nivel Nombre de Nivel Descripción 0 Emergencias Enrutador no funciona 1 Alerta Acción necesaria Inmediata 2 Critico Condición crítica 3 Errores Condición de error 4 Advertencias Condición de advertencia 5 Notificaciones Eventos normales 6 Informacional Mensaje de información 7 Debugging Mensaje de debugging Chapter 1 48

49 SERVICIOS VULNERABLES DE UN ROUTER Servidores pequeños son demonios que se ejecutan en el router y sirven principalmente para diagnóstico Chapter 1 49

50 SERVICIOS VULNERABLES DE UN ROUTER Chapter 1 50

51 SERVICIOS VULNERABLES DE UN ROUTER Chapter 1 51

52 SERVICIOS VULNERABLES DE UN ROUTER Servicios a desactivarse en los routers Los servicios pequeños tales como echo, discard y chargen: use el comando no service tcp-small-servers o no service udp-small-servers. Demonios que corren en el router para diagnóstico BOOTP: use el comando no ip bootp server. Finger: use el comando no service finger. HTTP: use el comando no ip http server. SNMP: use el comando no snmp-server. Chapter 1 52

53 SERVICIOS VULNERABLES DE UN ROUTER Servicios a desactivarse en los routers Protocolo de descubrimiento de Cisco (CDP): use el comando no cdp run. Configuración remota: use el comando no service config. %Error opening tftp:// /network-confg (Timed out) %Error opening tftp:// /cisconet.cfg (Timed out) %Error opening tftp:// /router-confg (Timed out) %Error opening tftp:// /ciscortr.cfg (Timed out) Enrutamiento de origen: use el comando no ip source-route. Restricciones sobre los paquetes que pueden especificar rutas definidas de envío, controladas por opciones de enrutamiento contenidas en los datagramas. Enrutamiento sin clase: use el comando no ip classless. Comportamiento del enrutamiento sin clase Chapter 1 53

54 SERVICIOS VULNERABLES DE UN ROUTER Servicios a desactivarse en los routers Las interfaces del router pueden ser más seguras si se utilizan determinados comandos en el modo de configuración de interfaz: Interfaces no utilizadas: use el comando shutdown. Prevención de ataques SMURF: use el comando no ip directedbroadcast. Ataque de denegación de servicio que utiliza mensajes de ping al broadcast con spoofing para inundar (flood) un objetivo (sistema atacado). Enrutamiento ad hoc: use el comando no ip proxy-arp. Chapter 1 54

55 VULNERABILIDADES DE SNMP, NTP Y DNS SNMP NTP DNS SNMP es el protocolo de Internet estándar del monitoreo Las versiones de SNMP anteriores a la versión 3 transportan información en forma de texto sin cifrar. Los routers Cisco y otros hosts utilizan NTP para mantener sus relojes con la hora del día exacta.. Desactivar NTP en una interfaz no impide que los mensajes de NTP viajen a través del router. Para rechazar todos los mensajes de NTP en una interfaz determinada, use una lista de acceso. El software IOS de Cisco admite la búsqueda de nombres de hosts con el Sistema de nombres de dominios (DNS). DNS básico no ofrece autenticación ni aseguramiento de la integridad. De manera predeterminada, las consultas de nombres se envían a la dirección de broadcast ip name-server addresses permite definir manualmente los DNS s. Chapter 1 55

56 PROTOCOLOS DE ENRUTAMIENTO En los proceso de enrutamiento es conveniente asegurar la integridad de las tablas de enrutamiento Utilización de las opciones de seguridad de los protocolos de enrutamiento RIPv2, EIGRP, OSPF, IS-IS y BGP, todos ellos admiten diversas formas de autenticación MD5. Chapter 1 56

57 RIP V2 CON OPCIONES DE SEGURIDAD Paso 1. Impida la propagación de actualizaciones de enrutamiento RIP Forzar todas las interfaces del router a pasar al modo pasivo y, a continuación, activar sólo aquellas interfaces que son necesarias para enviar y recibir actualizaciones RIP. Una interfaz en modo pasivo recibe actualizaciones pero no las envía Paso 2. Impida la recepción de actualizaciones RIP no autorizadas Activar la autenticación MD5 en los routers Paso 3. Verifique el funcionamiento del enrutamiento RIP Chapter 1 57

58 RIP V2 CON OPCIONES DE SEGURIDAD passive-interface default Desactiva las publicaciones de enrutamiento en los routers en todas las interfaces. no passive-interface s0/0/0 Activa la interfaz S0/0/0 para enviar y recibir actualizaciones RIP. Chapter 1 58

59 RIP V2 CON OPCIONES DE SEGURIDAD key chain RIP_KEY crear una cadena de claves key 1 Se puede considerar varias claves, pero en este caso se toma 1. key-string cisco La clave 1 está configurada para contener una cadena de claves denominada cisco Chapter 1 59

60 RIP V2 CON OPCIONES DE SEGURIDAD Mostrar la tabla de enrutamiento del router, para verificar si hay rutas aprendidas por RIP Chapter 1 60

61 EIGRP Crear una cadena de claves para ser utilizada por todos los routers de la red. Número de clave 1 y Un valor de cadena de claves de cisco. Activar la autenticación MD5 de los paquetes de EIGRP que viajan a través de una interfaz. Chapter 1 61

62 OSPF El primer comando especifica la clave que se utilizará para la autenticación MD5. El comando siguiente activa la autenticación MD5. Chapter 1 62

63 AUTO SECURE CISCO AutoSecure de Cisco utiliza un único comando para desactivar procesos y servicios no esenciales del sistema y elimina amenazas de seguridad potenciales. Modo interactivo: este modo le indica opciones para activar y desactivar servicios y otras características de seguridad. Es el modo predeterminado. Modo no interactivo: ejecuta automáticamente el comando auto secure con la configuración predeterminada recomendada de Cisco. Utiliza la opción del comando no-interact. Chapter 1 63

64 SDM Herramienta de administración de dispositivos en Web, diseñada para configurar LAN, WAN y las características de seguridad en routers con IOS de Cisco. Preinstalado en todos los routers nuevos de servicios integrados de Cisco. SDM se pueden instalar en routers, PC o en ambos. PC ahorra memoria del router y le permite utilizar el SDM para administrar otros routers de la red. Si se encuentra preinstalado en el router, Cisco recomienda utilizar SDM para realizar la configuración inicial. Chapter 1 64

65 CARACTERISTICAS DE SDM Simplifica la configuración de routers y la seguridad mediante el uso de varios asistentes inteligentes VPN Firewall Los asistentes inteligentes del SDM, pueden detectar configuraciones incorrectas y proponen modificaciones Tráfico DHCP a través de un firewall. Chapter 1 65

66 CONFIGURACION DE UN ROUTER PARA QUE SEA COMPATIBLE CON SDM Chapter 1 66

67 INICIO DEL SDM DE CISCO El SDM de Cisco se almacena en la memoria flash del router, o también en una PC local. Se utiliza el protocolo HTTPS y en el URL se coloca la dirección IP del router. El prefijo puede ser utilizado si no hay SSL disponible. Chapter 1 67

68 INICIO DEL SDM DE CISCO Para el cuadro de diálogo de nombre de usuario y contraseña Nombre de usuario y contraseña para la cuenta privilegiada (nivel de privilegio 15) en el router Creada mediante el comando username. Una vez que aparece la página de inicio, se muestra un applet Java con signo del SDM que debe permanecer abierto mientras se ejecuta. Dado que se trata de un applet Java, es posible que se solicite aceptar un certificado. Los pasos de la secuencia de inicio de sesión pueden variar según si ejecuta SDM desde una PC o, directamente, desde un router ISR de Cisco. Chapter 1 68

69 INTERFAZ DEL SDM: página de inicio Chapter 1 69

70 INTERFAZ DEL SDM: página de inicio Muestra el modelo del router, cantidad total de memoria, las versiones de flash, IOS y SDM, el hardware instalado y un resumen de algunas características de seguridad, como estado del firewall y la cantidad de conexiones de VPN activas. Información básica sobre el hardware, software y la configuración del router: Barra de menú: parte superior de la pantalla tiene una barra de menú típica con los elementos de menú Archivo, Edición, Ver, Herramientas y Ayuda. Barra de herramientas: debajo de la barra de menú, están los asistentes y modos de SDM que se pueden seleccionar. Información del router: el modo actual se muestra del lado izquierdo, debajo de la barra de herramientas. Chapter 1 70

71 SDM: AREA CERCA DEL ROUTER La barra Disponibilidad de características (parte inferior de la ficha Acerca del router) muestra las características disponibles en la imagen del IOS del router. Las marcas de verificación indican que la característica está configurada en el router. Chapter 1 71

72 SDM: AREA DE DESCRIPCION GENERAL DE LA CONFIGURACION Las pestañas más importantes Políticas del firewall: esta área muestra información relativa al firewall: cantidad de interfaces confiables (internas), interfaces no confiables (externas) e interfaces de la DMZ. También muestra el nombre de la interfaz a la cual se ha aplicado un firewall, si la interfaz está diseñada como interfaz interna o externa y si la regla de NAT se ha aplicado a esta interfaz. VPN: muestra información de las VPN, incluidas la cantidad de conexiones VPN activas, la cantidad de conexiones VPN configuradas sitio a sitio y la cantidad de clientes VPN activos. Enrutamiento: esta área muestra la cantidad de rutas estáticas, y qué protocolos de enrutamiento están configurados. Chapter 1 72

73 SDM: ASISTENTE Chapter 1 73

74 BLOQUEO DE UN ROUTER CON SDM SELECCIONE CONFIGURAR SELECCIONE AUDITORIA DE SEGURIDAD Las características de AutoSecure que se encuentran implementadas de manera diferente en SDM incluyen: Desactiva SNMP y no configura la versión 3 de SNMP. Activa y configura SSH en las imágenes encriptadas del IOS de Cisco. No activa el Punto de control de servicio ni desactiva otros servicios de acceso y transferencia de archivos, como el FTP. Chapter 1 74

75 BLOQUEO DE UN ROUTER CON SDM SELECCIONE SI EN EL CUADRO HAGA CLIC EN BLOQUEO DE UN PASO Chapter 1 75

76 BLOQUEO DE UN ROUTER CON SDM SDM REVISA LA CONFIGURACION ACTUAL Y COMPARA CON PRACTICAS DE SEGURIDAD MAS CONOCIDAS SDM MUESTRA UNA LISTA DE CONFIGURACIONES RECOMENDADAS Chapter 1 76

77 BLOQUEO DE UN ROUTER CON SDM LOS COMANDOS SE ENVIAN AL ROUTER Chapter 1 77

78 MANTENIMIENTO DE LAS IMÁGENES DEL IOS No siempre resulta conveniente actualizar a la última versión del software IOS de Cisco. Muchas veces esa versión no es estable Herramientas informativa no conexión Cisco.com Guía de referencia del IOS de Cisco: cubre los aspectos básicos de la familia del software IOS de Cisco Documentos técnicos del software IOS de Cisco: documentación de cada una de las versiones del software IOS de Cisco Centro de Software: descargas del software IOS de Cisco Chapter 1 78

79 MANTENIMIENTO DE LAS IMÁGENES DEL IOS Herramientas que requieren cuentas validas en cisco.com Juego de herramientas para reparar defectos: busca modificaciones de software conocidas basadas en la versión de software. Feature Navigator de Cisco: busca las versiones compatibles con un conjunto de características de software y con el hardware, y compara las versiones Software Advisor: compara las versiones, características del IOS y averigua qué versión del software es compatible con un determinado dispositivo de hardware Planificador de actualizaciones del IOS de Cisco: busca las versiones por hardware, versión y conjunto de características, y descarga las imágenes del IOS. Chapter 1 79

80 SISTEMAS DE ARCHIVOS El IOS cuentan con una característica denominada Sistema de archivos integrados (IFS). Permite crear, navegar y manipular directorios en un dispositivo Cisco. Los directorios disponibles dependen de la plataforma. show file systems Enumera todos los sistemas de archivos disponibles en un router. Cantidad de memoria disponible, tipo de sistema de archivos y sus permisos. Sólo lectura (ro), sólo escritura (wo) y lectura y escritura (rw) Chapter 1 80

81 SISTEMAS DE ARCHIVOS show file systems Hay varios sistemas de archivos enumerados, los de interés son: tftp, flash y nvram. El sistema de archivos flash tiene un asterisco que indica el sistema de archivos predeterminado. El IOS arranca desde la flash; por lo tanto, el símbolo numeral (#) agregado al listado de flash indica que se trata de un disco de arranque. Chapter 1 81

82 SISTEMAS DE ARCHIVOS Las imágenes tienen la extensión.bin Chapter 1 82

83 SISTEMAS DE ARCHIVOS El archivo de interés es el que almacena la configuración de arranque Chapter 1 83

84 PREFIJOS Chapter 1 84

85 ADMINISTRACION DE ARCHIVOS R2# copy running-config startup-config copy system:running-config nvram:startup-config R2# copy running-config tftp: R2# copy system:running-config tftp: R2# copy tftp: running-config R2# copy tftp: system:running-config R2# copy tftp: startup-config R2# copy tftp: nvram:startup-config Chapter 1 85

86 NOMENCLATURA DEL IOS Conjuntos de características (ipbase) i: conjunto de características IP j : conjunto de características empresariales (todos los protocolos) s: conjunto de características PLUS (más colas, manipulación o traducciones) 56i: designa la encriptación DES de IPsec de 56 bits 3: designa el firewall/ids k2: designa la encriptación 3DES de IPsec (168 bits) Chapter 1 86

87 TFTP PARA ADMINISTRAR LAS IMAGENES Chapter 1 87

88 COPIAS DE SEGURIDAD Chapter 1 88

89 ACTUALIZACIONES DE LAS IMAGENES Erase flash:. Borrar la memoria flash deja espacio para la nueva imagen Chapter 1 89

90 RESTAURACION DE LA IMAGEN Chapter 1 90

91 RESTAURACION DE LA IMAGEN Chapter 1 91

92 USO DE XMODEM xmodem [-cyr] [nombre de archivo]. -c especifica CRC-16, y especifica el protocolo Ymodem y r copia la imagen a la memoria RAM. Chapter 1 92

93 COMANDOS PARA LA RESOLUCION DE PROBLEMAS Chapter 1 93

94 COMANDOS RELACIONADOS CON DEBUG Chapter 1 94

95 RECUPERACION DE CONTRASEÑAS Chapter 1 95