Configuración básica del Router Cisco

Transcripción

1 Contraseña de acceso al modo privilegiado Configuración básica del Router Cisco Como hemos visto, al sacar el router de la caja este no está protegido con contraseña. Existen diferentes formas de proteger el acceso al router pero la primera que debemos de usar es la de asegurarnos que nadie entra al modo privilegiado sin una contraseña cifrada. Para ello, desde el modo de configuración tenemos que ejecutar el comando enable secret y a continuación la contraseña que deseamos. Existe otra opción mediante el comando enable password, pero en este caso la contraseña se listará en claro al hacer show running-config. Podemos cifrar esta contraseña mediante el comando service password encryption, pero aún así se trata de una protección muy débil que puede saltarse mediante herramientas comunes como la que hay en esta web: Otros comandos básicos hostname <nombre> desde el modo de configuración, nos permite cambiar el nombre distintivo del router. banner motd # También desde el modo de configuración, nos permite personalizar el mensaje de bienvenida que recibimos al conectarnos al router. Podemos escribir lo que queramos usando varias líneas, etc. El mensaje finaliza cuando volvamos a escribir # al principio de una línea y pulsemos la tecla INTRO. Si lo deseamos podemos usar otro caracter como finalizador cambiándolo en el comando. reload Desde el modo privilegiado reinicia el router. Los cambios no salvados se pierden. write memory o sólo write desde el modo privilegiado salva la configuración actualmente en ejecución como configuración por defecto. copy runnin-gconfig startup-config Idem al anterior. write erase Limpia toda la configuración del router y lo deja como recién salido de la caja. write startup-config Idem al anterior. 1 José Waldo de la Ossa

2 Seguridad en el acceso al router cisco (TELNET - SSH) Acceso remoto administrativo con Telnet y SSH Tener acceso remoto a los dispositivos de la red es fundamental para manejar una red de manera eficaz. El acceso remoto generalmente implica permitir conexiones de Telnet, Shell Seguro (SSH), El acceso remoto no sólo se aplica a la línea de VTY del router, también se aplica a las líneas de TTY y al puerto auxiliar (AUX). Las líneas de TTY proporcionan acceso asíncrono a un router a través de un módem. Si bien son menos comunes que lo que fue en otro momento, todavía existen en algunas instalaciones. Proteger estos puertos es aun más importante que proteger los puertos del terminal local. La mejor manera de proteger un sistema es garantizar que se apliquen controles adecuados en todas las líneas, incluidas las líneas de VTY, TTY y AUX. Las conexiones se pueden evitar por completo en cualquier línea mediante la configuración del router con los comandos login y no password. Ésta es la configuración predeterminada de los VTY, pero no de los TTY ni del puerto AUX. Por lo tanto, si estas líneas no son exigidas, asegúrese de que estén configuradas con la combinación de comandos login y no password 2 José Waldo de la Ossa

3 La manera favorita de conectarse a un router es por medio de un cable de consola ya que esto es lo más seguro, pero a medida que la red va creciendo y hay mas dispositivos se va volviendo un trabajo muy pesado. La manera de administrar remotamente se vuelve la mejor opción. Para eso tenemos 2 protocolos 1.- telnet (no seguro) 2.- SSH (seguro) 3 José Waldo de la Ossa

4 El protocolo telnet se desarrollo hace varios años cuando la seguridad no era un problema, telnet transmite toda la información en texto plano, para eso utiliza el puerto tcp 23. SSH reemplazó a Telnet como la mejor práctica para proporcionar administración remota de los routers con conexiones que admiten una sólida privacidad e integridad de las sesiones. SSH utiliza el puerto TCP 22. Brinda una funcionalidad similar a la de una conexión Telnet saliente, con la excepción de que la conexión se encuentra encriptada. Mediante la autenticación y la encriptación, SSH hace posibles las comunicaciones seguras a través de una red insegura. 4 José Waldo de la Ossa

5 5 José Waldo de la Ossa

6 ACCESO REMOTO Cómo accedemos a la pantalla del CLI de un dispositivo CISCO realmente? Tenemos varias formas de hacerlo. Una de ellas, la que deberíamos de usar inicialmente cuando sacamos el dispositivo de su caja, es conectarnos directamente con un PC mediante un emulador de terminal y a través del puerto de consola que traen todos ellos. Pero una vez instalado, configurado y emplazado en un armario de comunicaciones junto con otras decenas de dispositivos y, a lo mejor, en otra planta u otro edificio diferente al de nuestro lugar de trabajo esta forma ya no resulta cómoda. Afortunadamente podemos realizar un acceso remoto mediante telnet o ssh para lo cual tenemos que realizar una configuración previa. NOTA: Algunos dispositivos CISCO disponen, además, de una dirección IP configurada por defecto que nos permiten, nada más enchufados, conectarnos a ellos a través de un navegador web y realizar una primera configuración de forma gráfica mediante una interfaz web. NOTA: El procedimiento es el mismo para poder acceder a un router o a un switch. Acceso por ssh El acceso por ssh es el más común y altamente recomendado. Todo el tráfico entre nuestro terminal y el dispositivo de CISCO se realiza cifrado y es indescifrable. Todos los routers admiten acceso por ssh pero sólo los switchs de gama alta lo soportan. Recuerda, además, que tanto unos como otros deben de tener configurada una dirección IP para que podamos acceder a ellos por ssh. Los comandos necesarios desde el modo de configuración son: hostname mirouter ip domainname arboleda.net Es obligatorio definir un nombre y un nombre de dominio para el dispositivo. crypto key generate rsa para configurar la fortaleza de la clave de cifrado que usaremos. Se nos pedirá un número que puede ser 512, 1024 o A más alto, mayor fortaleza pero también mayor consumo de CPU es el valor recomendado. line vty 0 1 Vamos a configurar hasta dos accesos simultáneos por ssh. El prompt cambia a (configline)# transport input ssh Para habilitar el acceso por ssh login local Para habilitar el acceso mediante usuario y contraseña en lugar de sólo con contraseña como hasta ahora. 6 José Waldo de la Ossa

7 username miuser privilege 15 password mipassword donde creamos al usuario miuser con contraseña mipassword y nivel de privilegios 15. Los niveles de privilegios van entre 0 y 15 y definen los comandos que tendrá permiso para ejecutar el usuario. Un nivel 1 corresponde con el modo normal (prompt >) y un nivel 15 con el de máximos privilegios (prompt #). Y ya está. Ahora podemos acceder por ssh desde cualquier equipo a este dispositivo. show ip ssh o show ssh nos muestran información acerca del servicio show privilege nos dice el nivel de privilegio con el que estamos trabajando. NOTA: El procedimiento es el mismo para poder acceder a un router o a un Switch. 7 José Waldo de la Ossa

8 Seguridad en Cisco IOS para prevenir IP Spoofing En nuestros días, las cuestiones de seguridad informática, y particularmente de seguridad en la red, son un tópico frecuente y obligatorio. Uno de los tantos posibles riesgos o ataque a los que una red se encuentra expuesta, son los ataques por IP address spoofing. Durante un ataque de spoofing, cuando se trata de un ataque externo, el atacante reemplaza la dirección IP de los paquetes que recibimos por una que lo hace aparecer como parte de nuestra red interna. Para evitar esta situación, hay algunas medidas preventivas a considerar en cuya implementación encontramos funciones importantes de Cisco IOS que podemos implementar. Una medida a tomar: bloquear direcciones IP El primer paso en este punto es bloquear el posible acceso a nuestra red de paquetes originados en direcciones IP que no se consideran legítimas. Es frecuente que quienes desean ocultar su identidad utilicen con este propósito direcciones IP privadas u otro tipo de direcciones IP reservadas o especiales. La siguiente es entonces una lista de redes que deben ser filtradas con este propósito, ya que nunca debiéramos recibir en nuestra red un paquete cuya dirección de origen fuera una de las siguientes: / / / / / /16 Todas estas direcciones corresponden a redes que no debieran ser enrutadas sobre Internet, o utilizadas para generar tráfico sobre Internet, por lo que no debieran llegar hasta nuestro dispositivo de borde. Podemos asegurar casi con total certeza que todo tráfico con una dirección de origen perteneciente a alguna de estas redes es un tráfico que conlleva un cierto grado riesgo para la seguridad de nuestra red. A estas direcciones debemos agregar direcciones pertenecientes a la red interna de nuestra empresa. Si nuestra red interna utiliza direccionamiento privado, estas direcciones ya están incluidas 8 José Waldo de la Ossa

9 en la lista anterior. Si utilizamos un rango de direcciones públicas, entonces deberemos agregar ese rango de direcciones a la lista que presenté más arriba. Con este conocimiento básico presente, hay un grupo de herramientas de Cisco IOS que pueden ser entonces útiles para securizar nuestra red. Implementación de Listas de Acceso (ACL) Un modo sencillo de prevenir este tipo de accesos es filtrar estas direcciones en el punto de acceso del tráfico desde Internet (por supuesto que en este sentido es muy importante contar con un único punto de acceso de toda la red a Internet). El filtro que generemos deberá filtrar cualquier tráfico que tenga como origen cualquiera de las direcciones comprendidas dentro del rango de redes que definimos antes. En términos más precisos: hay que crear una ACL que deniegue o descarte todo el tráfico entrante que se origine en cualquier dirección IP comprendida en el rango ya definido. Router#configure terminal Router(config)#ip access-list extended antispoof Router(config-ext-nacl)#deny ip any Router(config-ext-nacl)#deny ip any Router(config-ext-nacl)#deny ip any Router(config-ext-nacl)#deny ip any Router(config-ext-nacl)#deny ip any Router(config-ext-nacl)#deny ip any Router(config-ext-nacl)#permit ip any any Router(config-ext-nacl)#exit Router(config)#interface serial0/0 Router(config-if)#ip access-group antispoof in Tengamos presente que este filtro no protege de todo acceso ilegítimo ni mucho menos, por lo que es muy importante que sea complementado con la presencia de un firewall statefull por dentro que verifique la legitimidad del tráfico que ingresa y proteja la red interna. Hay que tener presente que esto es sólo una porción de lo que debiera ser una estrategia de seguridad global de toda la red. 9 José Waldo de la Ossa

10 Implementación de reverse path forwarding Otro método para proteger la red de este tipo de ataques es la implementación de RPF (Reverse Path Forwarding), también conocido como "ip verify". RPF opera como si fuera parte de una solución anti-spam. En una solución anti-spam se toman los correos electrónicos entrantes y se copia la dirección de correo de origen; con esta información se hace un lookup hacia el servidor que envía ese mensaje para verificar que la dirección realmente existe. Si la dirección no existe el servidor de correo elimina el mensaje porque no hay modo de responder al mismo y por lo tanto es muy probable que se trate de un spam. RPF realiza un proceso semejante a ese con los paquetes IP que recibe. Toma la dirección IP de origen de un paquete recibido desde Internet y hace un lookup para revisar si el router tiene una ruta en su tabla de enrutamiento que le permita responder a ese paquete. Si no hay una ruta en la tabla de enrutamiento que permita una respuesta a la IP de origen entonces considera que el paquete es spoofing y descarta el paquete. Un ejemplo de cómo configurar RPF en nuestro router es el siguiente: Router(config)#ip cef Router(config)#interface serial 0/0 Router(config-if)#ip verify unicast reverse-path Nótese que la activación de esta función requiere que previamente se haya habilitado Cisco Express Forwarding (CEF). También hay que tener presente que activando esta función sólo se recibirá tráfico de redes hacia las cuales haya una ruta en nuestra tabla de enrutamiento. Estos 2 tips no constituyen ni por cerca una implementación de seguridad. Son sólo un par de recursos disponibles a tener en cuenta e implementar sólo si se adecuan a políticas de tráfico, enrutamiento y seguridad de la red previamente definidas. 10 José Waldo de la Ossa