En los complejos entornos de red de hoy, asegurar tus routers de red puede ser una tarea desalentadora, especialmente cuando hay tantos comandos y parámetros de CLI con diferentes implicaciones de seguridad para tu dispositivo router Cisco.
Afortunadamente, desde la versión 12.3 de Cisco IOS y posteriores, Cisco proporciona una manera fácil para que los administradores bloqueen su router Cisco sin ingresar comandos y parámetros complejos. Esta función se introdujo inteligentemente para ayudar a eliminar la complejidad de la tarea y garantizar que el bloqueo se realice de acuerdo con las mejores prácticas de seguridad de Cisco.
La función Cisco AutoSecure está disponible para todas las versiones de IOS 12.3 y superiores y es compatible con todas las plataformas de hardware, incluidos todos los routers de las series Cisco 870, 880, 1800, 1900, 2800, 2900, 3800 y 3900 más nuevas.
Para maximizar la flexibilidad, el comando Cisco AutoSecure admite dos modos diferentes según tus necesidades y la flexibilidad requerida:
- Modo interactivo de AutoSecure: Este modo te solicita opciones para habilitar/deshabilitar servicios y otras funciones de seguridad compatibles con la versión de IOS que está ejecutando el router.
- Modo no interactivo de AutoSecure: Ejecuta automáticamente el comando Cisco AutoSecure utilizando la configuración predeterminada recomendada de Cisco (las mejores prácticas de seguridad de Cisco).
El modo interactivo de Cisco AutoSecure proporciona un mayor control sobre las funciones relacionadas con la seguridad que el modo no interactivo. Sin embargo, cuando un administrador necesita asegurar rápidamente un router sin mucha intervención humana, el modo no interactivo es apropiado.
Examinaremos pronto la diferencia práctica entre los dos comandos. Por ahora, echemos un vistazo a las funciones que realiza Cisco AutoSecure:
- Deshabilita los siguientes servicios globales:
- Finger
- PAD
- Servidores pequeños
- Bootp
- Servicio HTTP
- Servicio de identificación
- CDP
- NTP
- Enrutamiento de origen
- Habilita los siguientes servicios globales:
- Servicio de cifrado de contraseñas
- Ajuste del intervalo/asignación del programador
- TCP synwait-time
- TCP-keepalives-in y tcp-kepalives-out
- Configuración de SPD
- No hay inalcanzables de IP para nulo 0
- Deshabilita los siguientes servicios por interfaz:
- ICMP
- Proxy-Arp
- Transmisión dirigida
- Deshabilita el servicio MOP
- Deshabilita los inalcanzables de ICMP
- Deshabilita los mensajes de respuesta de máscara ICMP.
- Proporciona registro para la seguridad:
- Habilita los números de secuencia y la marca de tiempo
- Proporciona un registro de consola
- Establece el tamaño del búfer de registro
- Proporciona un diálogo interactivo para configurar la dirección IP del servidor de registro.
- Asegura el acceso al router:
- Busca un banner y proporciona una facilidad para agregar texto para configurar automáticamente:
- Inicio de sesión y contraseña
- Entrada y salida de transporte
- Tiempo de espera de ejecución
- AAA local
- Tiempo de espera de SSH y reintentos de autenticación de SSH al número mínimo
- Habilita solo SSH y SCP para el acceso y la transferencia de archivos hacia/desde el router
- Deshabilita SNMP si no se está utilizando
- Asegura el plano de reenvío:
- Habilita Cisco Express Forwarding (CEF) o CEF distribuido en el router, cuando esté disponible
- Anti-suplantación
- Bloquea todos los bloques de direcciones IP reservados por IANA
- Bloquea los bloques de direcciones privadas si el cliente lo desea
- Instala una ruta predeterminada a NULL 0, si no se está utilizando una ruta predeterminada
- Configura la interceptación TCP para el tiempo de espera de conexión, si la función de interceptación TCP está disponible y el usuario está interesado
- Inicia la configuración interactiva para CBAC en las interfaces que dan al Internet, cuando se utiliza una imagen de firewall de Cisco IOS
- Habilita NetFlow en plataformas de reenvío de software
Está claro que Cisco AutoSecure hace mucho más que ejecutar un par de comandos.
Configurando el Modo Interactivo de Cisco AutoSecure
Este resulta ser el modo recomendado para asegurar tu router Cisco. Cuando se utiliza el Modo Interactivo (Interactive Mode) de Cisco AutoSecure, el router te pedirá una serie de preguntas sobre la topología actual, cómo está conectado a Internet, qué interfaz se conecta a Internet, etc. Proporcionar esta información es esencial porque será utilizada por AutoSecure para bloquear el router y deshabilitar los servicios según las mejores prácticas de seguridad de Cisco.
A continuación, se muestra el comando necesario para iniciar la función de modo interactivo de AutoSecure. Puedes abortar la sesión en cualquier momento presionando Ctrl–C, o presionar ? para obtener ayuda:
R1# auto secure --- AutoSecure Configuration ---
*** AutoSecure configuration enhances the security of
the router, but it will not make it absolutely resistant
to all security attacks ***
AutoSecure will modify the configuration of your device.
All configuration changes will be shown. For a detailed
explanation of how the configuration changes enhance security
and any possible side effects, please refer to Cisco.com for
Autosecure documentation.
At any prompt you may enter '?' for help.
Use ctrl-c to abort this session at any prompt.
Gathering information about the router for AutoSecure
Is this router connected to internet? [no]: yes
Enter the number of interfaces facing the internet [1]: 1
Interface IP-Address OK? Method Status Protocol
FastEthernet0/0 10.0.0.100 YES NVRAM up up
FastEthernet0/1 192.168.151.10 YES NVRAM up up
NVI0 10.0.0.100 YES unset up up
Enter the interface name that is facing the internet: FastEthernet0/1
Securing Management plane services...
Disabling service finger
Disabling service pad
Disabling udp & tcp small servers
Enabling service password encryption
Enabling service tcp-keepalives-in
Enabling service tcp-keepalives-out
Disabling the cdp protocol
Disabling the bootp server
Disabling the http server
Disabling the finger service
Disabling source routing
Disabling gratuitous arp
Configure NTP Authentication? [yes]: no
Enter the new enable password: *****
% Invalid Password length - must contain 6 to 25 characters. Password configuration failed
Enter the new enable password: **********
Confirm the enable password: **********
Configuring AAA local authentication
Configuring Console, Aux and VTY lines for
local authentication, exec-timeout, and transport
Securing device against Login Attacks
Configure the following parameters
Blocking Period when Login Attack detected: 15
Maximum Login failures with the device: 3
Maximum time period for crossing the failed login attempts: 20
Configure SSH server? [yes]: no
Configuring interface specific AutoSecure services
Disabling the following ip services on all interfaces:
no ip redirects
no ip proxy-arp
no ip unreachables
no ip directed-broadcast
no ip mask-reply
Disabling mop on Ethernet interfaces
Securing Forwarding plane services...
Enabling unicast rpf on all interfaces connected to internet
Configure CBAC Firewall feature? [yes/no]: yes
This is the configuration generated:
no service finger
no service pad
no service udp-small-servers
no service tcp-small-servers
service password-encryption
service tcp-keepalives-in
service tcp-keepalives-out
no cdp run
no ip bootp server
no ip http server
no ip finger
no ip source-route
no ip gratuitous-arps
no ip identd
security passwords min-length 6
security authentication failure rate 10 log
enable password 7 11584B5643475D
aaa new-model
aaa authentication login local_auth local
line con 0
login authentication local_auth
exec-timeout 5 0
transport output telnet
line aux 0
login authentication local_auth
exec-timeout 10 0
transport output telnet
line vty 0 15
login authentication local_auth
transport input telnet
line tty 1
login authentication local_auth
exec-timeout 15 0
login block-for 15 attempts 3 within 20
service timestamps debug datetime msec localtime show-timezone
service timestamps log datetime msec localtime show-timezone
logging facility local2
logging trap debugging
service sequence-numbers
logging console critical
logging buffered
interface FastEthernet0/0
no ip redirects
no ip proxy-arp
no ip unreachables
no ip directed-broadcast
no ip mask-reply
no mop enabled
interface FastEthernet0/1
no ip redirects
no ip proxy-arp
no ip unreachables
no ip directed-broadcast
no ip mask-reply
no mop enabled
access-list 101 permit udp any any eq bootpc
interface FastEthernet0/1
ip verify unicast source reachable-via rx allow-default 101
ip inspect audit-trail
ip inspect dns-timeout 7
ip inspect tcp idle-time 14400
ip inspect udp idle-time 1800
ip inspect name autosec_inspect cuseeme timeout 3600
ip inspect name autosec_inspect ftp timeout 3600
ip inspect name autosec_inspect http timeout 3600
ip inspect name autosec_inspect rcmd timeout 3600
ip inspect name autosec_inspect realaudio timeout 3600
ip inspect name autosec_inspect smtp timeout 3600
ip inspect name autosec_inspect tftp timeout 30
ip inspect name autosec_inspect udp timeout 15
ip inspect name autosec_inspect tcp timeout 3600
ip access-list extended autosec_firewall_acl
permit udp any any eq bootpc
deny ip any any
interface FastEthernet0/1
ip inspect autosec_inspect out
ip access-group autosec_firewall_acl in
!
end
Apply this configuration to running-config? [yes]: yes
Applying the config generated to running-configObserva que el router rechazó la contraseña de habilitación inicial, ya que no cumplía con los requisitos de seguridad de la contraseña.
Si en algún momento deseas verificar los cambios de configuración realizados por la función Cisco AutoSecure antes de guardarlos, puedes usar el comando show auto secure config:
R1# show auto secure config
no service finger
no service pad
no service udp-small-servers
no service tcp-small-servers
service password-encryption
service tcp-keepalives-in
service tcp-keepalives-out
no cdp run
no ip bootp server
no ip http server
no ip finger
no ip source-route
no ip gratuitous-arps
no ip identd
security passwords min-length 6
security authentication failure rate 10 log
enable password 7 11584B5643475D
aaa new-model
aaa authentication login local_auth local
line con 0
login authentication local_auth
exec-timeout 5 0
transport output telnet
line aux 0
login authentication local_auth
exec-timeout 10 0
transport output telnet
line vty 0 15
login authentication local_auth
transport input telnet
line tty 1
login authentication local_auth
exec-timeout 15 0
login block-for 15 attempts 3 within 20
service timestamps debug datetime msec localtime show-timezone
service timestamps log datetime msec localtime show-timezone
logging facility local2
logging trap debugging
service sequence-numbers
logging console critical
logging buffered
interface FastEthernet0/0
no ip redirects
no ip proxy-arp
no ip unreachables
no ip directed-broadcast
no ip mask-reply
no mop enabled
!
interface FastEthernet0/1
no ip redirects
no ip proxy-arp
no ip unreachables
no ip directed-broadcast
no ip mask-reply
no mop enabled
!
access-list 101 permit udp any any eq bootpc
interface FastEthernet0/1
ip verify unicast source reachable-via rx allow-default 101
ip inspect audit-trail
ip inspect dns-timeout 7
ip inspect tcp idle-time 14400
ip inspect udp idle-time 1800
ip inspect name autosec_inspect cuseeme timeout 3600
ip inspect name autosec_inspect ftp timeout 3600
ip inspect name autosec_inspect http timeout 3600
ip inspect name autosec_inspect rcmd timeout 3600
ip inspect name autosec_inspect realaudio timeout 3600
ip inspect name autosec_inspect smtp timeout 3600
ip inspect name autosec_inspect tftp timeout 30
ip inspect name autosec_inspect udp timeout 15
ip inspect name autosec_inspect tcp timeout 3600
ip access-list extended autosec_firewall_acl
permit udp any any eq bootpc
deny ip any any
interface FastEthernet0/1
ip inspect autosec_inspect out
ip access-group autosec_firewall_acl in
R1#Configurando el Modo No Interactivo de Cisco AutoSecure
El modo no interactivo (Non-Interactive) de Cisco AutoSecure es más bien una función de configuración “expresa”, que omite cualquier entrada del usuario y asegura rápidamente el router utilizando las mejores prácticas de seguridad de Cisco. ¡Piénsalo como un modo de bloqueo rápido y sucio!
La ejecución del modo AutoSecure no interactivo se realiza ingresando el comando auto secure no-interact, como se muestra a continuación. El router mostrará alguna información y continuará configurándose:
R1# auto secure no-interactA continuación, se muestra la salida esperada una vez que se ejecuta el comando auto secure no-interactive:
--- AutoSecure Configuration ---
*** AutoSecure configuration enhances the security of
the router, but it will not make it absolutely resistant
to all security attacks ***
AutoSecure will modify the configuration of your device.
All configuration changes will be shown. For a detailed
explanation of how the configuration changes enhance security
and any possible side effects, please refer to Cisco.com for
Autosecure documentation.
Securing Management plane services...
Disabling service finger
Disabling service pad
Disabling udp & tcp small servers
Enabling service password encryption
Enabling service tcp-keepalives-in
Enabling service tcp-keepalives-out
Disabling the cdp protocol
Disabling the bootp server
Disabling the http server
Disabling the finger service
Disabling source routing
Disabling gratuitous arp
Configuring interface specific AutoSecure services
Disabling the following ip services on all interfaces:
no ip redirects
no ip proxy-arp
no ip unreachables
no ip directed-broadcast
no ip mask-reply
Disabling mop on Ethernet interfaces
Securing Forwarding plane services...
This is the configuration generated:
no service finger
no service pad
no service udp-small-servers
no service tcp-small-servers
service password-encryption
service tcp-keepalives-in
service tcp-keepalives-out
no cdp run
no ip bootp server
no ip http server
no ip finger
no ip source-route
no ip gratuitous-arps
no ip identd
security passwords min-length 6
security authentication failure rate 10 log
service timestamps debug datetime msec localtime show-timezone
service timestamps log datetime msec localtime show-timezone
logging facility local2
logging trap debugging
service sequence-numbers
logging console critical
logging buffered
interface FastEthernet0/0
no ip redirects
no ip proxy-arp
no ip unreachables
no ip directed-broadcast
no ip mask-reply
no mop enabled
interface FastEthernet0/1
no ip redirects
no ip proxy-arp
no ip unreachables
no ip directed-broadcast
no ip mask-reply
no mop enabled
!
end
Applying the config generated to running-config
R1#Explorando Otras Opciones de Cisco AutoSecure
Para aquellos a quienes les gusta explorar todas las opciones disponibles del comando Cisco AutoSecure, utiliza el comando auto secure, seguido de un signo de interrogación ?, como se muestra a continuación:
R1# auto secure ?R1# auto secure ?
firewall AutoSecure Firewall
forwarding Secure Forwarding Plane
full Interactive full session of AutoSecure
login AutoSecure Login
management Secure Management Plane
no-interact Non-interactive session of AutoSecure
ntp AutoSecure NTP
ssh AutoSecure SSH
tcp-intercept AutoSecure TCP InterceptProbar diferentes parámetros y opciones ayudará a comprender mejor cómo funciona AutoSecure y las opciones que proporciona para ayudar a asegurar mejor tu red.
Utilizar la función Cisco AutoSecure para asegurar tu(s) router(s) es una tarea muy sencilla y que no debe descuidarse, ni siquiera por ingenieros de red experimentados. Con el uso de tales funciones, se puede crear una plantilla de configuración con todas las medidas de seguridad básicas necesarias tomadas en cuenta.
Cisco proporciona una serie de funciones que pueden ayudar a que la vida diaria de un ingeniero sea más segura y sin problemas. ¡Es de nuestra ventaja aprovechar al máximo todo lo que se ofrece!
