Seguridad de Dispositivos de Red

Seguridad de Dispositivos
5

Resumen

Un área de redes que requiere atención especial para mantener la seguridad son los dispositivos. Probablemente ya tengas una contraseña para tu computadora, smartphone o tablet. ¿Es tan fuerte como podría ser? ¿Está utilizando otras herramientas para mejorar la seguridad de tus dispositivos? Este tema te dice cómo.

¡Bienvenido!: Este tema forma parte del Capítulo 16 del curso de Cisco CCNA 1, para un mejor seguimiento del curso puede ir a la sección CCNA 1 para guiarte del índice.

1. Cisco AutoSecure

La configuración de seguridad se establece en los valores predeterminados cuando se instala un nuevo sistema operativo en un dispositivo. En la mayoría de los casos, este nivel de seguridad es inadecuado. Para los routers Cisco, la función Cisco AutoSecure se puede utilizar para ayudar a proteger el sistema, como se muestra en el ejemplo.

Router# auto secure
--- AutoSecure Configuration ---
*** AutoSecure configuration enhances the security of
the router but it will not make router absolutely secure
from all security attacks ***

Además, hay algunos pasos simples que se deben seguir que se aplican a la mayoría de los sistemas operativos:

  • Los nombres de usuario y contraseñas predeterminados deben cambiarse de inmediato.
  • El acceso a los recursos del sistema debe restringirse solo a las personas que están autorizadas a usar esos recursos.
  • Todos los servicios y aplicaciones innecesarios deben apagarse y desinstalarse cuando sea posible.

A menudo, los dispositivos enviados por el fabricante han estado almacenados en un almacén durante un período de tiempo y no tienen instalados los parches más actualizados. Es importante actualizar cualquier software e instalar cualquier parche de seguridad antes de la implementación.


2. Contraseñas

Para proteger los dispositivos de red, es importante utilizar contraseñas seguras. Aquí hay pautas estándar a seguir:

  • Usa una contraseña de al menos ocho caracteres, preferiblemente 10 o más caracteres. Una contraseña más larga es una contraseña más segura.
  • Realiza las contraseñas complejas. Incluye una combinación de letras mayúsculas y minúsculas, números, símbolos y espacios, si está permitido.
  • Evita las contraseñas basadas en la repetición, palabras comunes del diccionario, secuencias de letras o números, nombres de usuario, nombres relativos o de mascotas, información biográfica, como fechas de nacimiento, números de identificación, nombres de antepasados ​​u otra información fácilmente identificable.
  • Deliberadamente escribe mal una contraseña. Por ejemplo, Smith = Smyth = 5mYth o Security = 5ecur1ty.
  • Cambia las contraseñas con frecuencia. Si una contraseña se ve comprometida sin saberlo, la oportunidad para que el actor de la amenaza use la contraseña es limitada.
  • No escribe las contraseñas y las deje en lugares obvios, como en el escritorio o el monitor.

Las tablas muestran ejemplos de contraseñas seguras y débiles.

2.1. Contraseñas Débiles

Contraseña debilPor qué es débil
secretoContraseña de diccionario simple
HerreraApellido de soltera de la madre
toyotaMarca de un coche
bob1967Nombre y fecha de nacimiento del usuario.
Blueleaf23Palabras y números simples

2.2. Contraseñas seguras

Contraseña seguraPor qué es fuerte
b67n42d39cCombina caracteres alfanuméricos.
12^h u4@1p7Combina caracteres alfanuméricos, símbolos e incluye un espacio.

En los routers Cisco, los espacios iniciales se ignoran para las contraseñas, pero los espacios después del primer carácter no. Por lo tanto, un método para crear una contraseña segura es usar la barra espaciadora y crear una frase compuesta de muchas palabras. Esto se llama una frase de contraseña. Una frase de contraseña suele ser más fácil de recordar que una contraseña simple. También es más largo y más difícil de adivinar.

3. Seguridad de contraseña adicional

Las contraseñas seguras solo son útiles si son secretas. Hay varios pasos que se pueden tomar para ayudar a garantizar que las contraseñas permanezcan secretas en un Router y Switch Cisco, incluidas estas:

  • Cifrar todas las contraseñas de texto sin formato
  • Establecer una longitud de contraseña mínima aceptable
  • Disuadir ataques de adivinación de contraseña de fuerza bruta
  • Deshabilitar un acceso inactivo al modo EXEC privilegiado después de un período de tiempo especificado.
Router(config)# service password-encryption 
Router(config)# security password min-length 8 
Router(config)# login block-for 120 attempts 3 within 60
Router(config)# line vty 0 4 
Router(config-line)# password cisco 
Router(config-line)# exec-timeout 5 30 
Router(config-line)# transport input ssh 
Router(config-line)# end 
Router# 
Router# show running-config | section line vty
line vty 0 4
password 7 03095A0F034F
exec-timeout 5 30
login
Router#

Como se muestra en la configuración de muestra, el comando de configuración global service password-encryption evita que personas no autorizadas vean contraseñas de texto sin formato en el archivo de configuración. Este comando encripta todas las contraseñas de texto sin formato. Observa en el ejemplo que la contraseña “cisco” se ha cifrado como “03095A0F034F“.

Para garantizar que todas las contraseñas configuradas son un mínimo de una longitud especificada, utiliza el comando security passwords min-length longitud en el modo de configuración global. En el ejemplo, cualquier contraseña nueva configurada debería tener una longitud mínima de ocho caracteres.

Los actores de amenazas pueden usar un software para descifrar contraseñas para llevar a cabo un ataque de fuerza bruta en un dispositivo de red. Este ataque intenta continuamente adivinar las contraseñas válidas hasta que uno funciona. Utiliza el comando de configuración global login block-for # attempts # within # para disuadir este tipo de ataque. En el ejemplo, el comando bloqueará los intentos de acceso de Vty durante 120 segundos si hay tres intentos fallidos en 60 segundos.

Los administradores de red pueden distraerse y accidentalmente dejar abierta una sesión de modo EXEC privilegiado en un terminal. Esto podría permitir que un actor interno de amenazas acceda a cambiar o borrar la configuración del dispositivo.

Por defecto, los routers Cisco cerrarán sesión en una sesión EXEC después de 10 minutos de inactividad. Sin embargo, puede reducir esta configuración utilizando el comando de configuración de línea exec-timeout minutos segundos. Este comando puede aplicarse a las líneas de consola, auxiliares y vty. En el ejemplo, le estamos diciendo al dispositivo Cisco que desconecte automáticamente a un usuario inactivo en una línea vty después de que el usuario haya estado inactivo durante 5 minutos y 30 segundos.

4. Habilitar SSH

Telnet simplifica el acceso a dispositivos remotos, pero no es seguro. Los datos contenidos en un paquete Telnet se transmiten sin cifrar. Por esta razón, se recomienda encarecidamente habilitar Secure Shell (SSH) en dispositivos para acceso remoto seguro.

Es posible configurar un dispositivo Cisco para admitir SSH mediante los siguientes seis pasos:

  1. Configurar un nombre de host de dispositivo único. Un dispositivo debe tener un nombre de host único que no sea el predeterminado.
  2. Configurar el nombre de dominio IP. Configura el nombre de dominio IP de la red mediante el comando del modo de configuración global ip-domain name.
  3. Genera una clave para encriptar el tráfico SSH. SSH cifra el tráfico entre el origen y el destino. Sin embargo, para hacerlo, se debe generar una clave de autenticación única utilizando el comando de configuración global crypto key generate rsa general-keys modulus bits. Los bits de módulo determinan el tamaño de la clave y se pueden configurar de 360 ​​bits a 2048 bits. Cuanto mayor sea el valor de bit, más segura será la clave. Sin embargo, los valores de bits más grandes también tardan más en cifrar y descifrar información. La longitud mínima recomendada del módulo es de 1024 bits.
  4. Verifica o crea una entrada de base de datos local. Cree una entrada de nombre de usuario de la base de datos local utilizando el comando de configuración global de nombre de usuario. En el ejemplo, el parámetro secret se usa para que la contraseña se cifre con MD5.
  5. Autenticar contra la base de datos local. Usa el comando de configuración de línea login local para autenticar la línea vty en la base de datos local.
  6. Habilitar las sesiones vty SSH entrantes. Por defecto, no se permite ninguna sesión de entrada en las líneas vty. Puedes especificar múltiples protocolos de entrada, incluidos Telnet y SSH, utilizando el comando transport input [ssh | telnet].

Como se muestra en el ejemplo, el Router R1 está configurado en el dominio span.com. Esta información se usa junto con el valor de bit especificado en el comando crypto key generate rsa general-keys modulus para crear una clave de cifrado.

A continuación, se crea una entrada de base de datos local para un usuario llamado Bob. Finalmente, las líneas vty están configuradas para autenticarse en la base de datos local y para aceptar solo sesiones SSH entrantes.

Router# configure terminal
Router(config)# hostname R1
R1(config)# ip domain-name span.com
R1(config)# crypto key generate rsa general-keys modulus 1024
The name for the keys will be: Rl.span.com % The key modulus size is 1024 bits
% Generating 1024 bit RSA keys, keys will be non-exportable...[OK]
•Dec 13 16:19:12.079: %SSH-5-ENABLED: SSH 1.99 has been enabled
R1(config)#
R1(config)# username Bob secret cisco
R1(config)# line vty 0 4
R1(config-line)# login local
R1(config-line)# transport input ssh
R1(config-line)# exit
R1(config)#

5. Deshabilitar servicios no utilizados

Los routers y switches de Cisco comienzan con una lista de servicios activos que pueden o no ser necesarios en su red. Desactive los servicios no utilizados para preservar los recursos del sistema, como los ciclos de CPU y la RAM, y evite que los actores de amenazas exploten estos servicios. El tipo de servicios que están activados de manera predeterminada variará según la versión del IOS. Por ejemplo, IOS-XE generalmente solo tendrá abiertos los puertos HTTPS y DHCP. Puedes verificar esto con el comando show ip ports all, como se muestra en el ejemplo.

Router# show ip ports all
Proto Local Address Foreign Address State PID/Program Name
TCB Local Address Foreign Address (state)
tcp :::443 :::* LISTEN 309/[IOS]HTTP CORE
tcp *:443 *:* LISTEN 309/[IOS]HTTP CORE
udp *:67 0.0.0.0:0 387/[IOS]DHCPD Receive

Las versiones de IOS anteriores a IOS-XE usan el comando show control-plane host open-ports. Mencionamos este comando porque puedes verlo en dispositivos más antiguos. La salida es similar. Sin embargo, ten en cuenta que este Router anterior tiene un servidor HTTP inseguro y Telnet en ejecución. Ambos servicios deben estar deshabilitados. Como se muestra en el ejemplo, deshabilita HTTP con el comando de configuración global no ip http server. Deshabilita Telnet especificando solo SSH en el comando de configuración de línea, transport input ssh.

Router# show control-plane host open-ports 
Active internet connections (servers and established)
Prot Local Address Foreign Address Service State
tcp *:23 *:0 Telnet LISTEN
tcp *:80 *:0 HTTP CORE LISTEN
udp *:67 *:0 DHCPD Receive LISTEN
Router# configure terminal
Router(config)# no ip http server
Router(config)# line vty 0 15
Router(config-line)# transport input ssh

6. Packet Tracer: configurar contraseñas seguras y SSH

El administrador de red le ha pedido que prepares RTA y SW1 para la implementación. Antes de que puedan conectarse a la red, se deben habilitar las medidas de seguridad.

7. Laboratorio: configurar dispositivos de red con SSH

En este laboratorio, completarás los siguientes objetivos:

  • Parte 1: configurar los ajustes básicos del dispositivo
  • Parte 2: configurar el Router para acceso SSH
  • Parte 3: configurar el Switch para acceso SSH
  • Parte 4: SSH desde la CLI en el Switch

Glosario: Si tienes dudas con algún término especial, puedes consultar este diccionario de redes informáticas.

¡Listo! Sigue visitando nuestro blog de curso de redes, dale Me Gusta a nuestra fanpage; y encontrarás más herramientas y conceptos que te convertirán en todo un profesional de redes.

Deja un Comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

¿Quieres aprobar la certificación Cisco CCNA?Sí, quiero!
+ +