Material complementario basado en mecanismos de seguridad de routers

Texto completo

(1)Universidad Central “Marta Abreu” de Las Villas Facultad de Ingeniería Eléctrica Departamento de Telecomunicaciones y Electrónica. TRABAJO DE DIPLOMA Material complementario basado en mecanismos de seguridad de routers.. Autor: Rosmely Ravelo Alfonso Tutor: Ing. Henry Moreno Díaz. Santa Clara 2015 "Año del 57 de la Revolución".

(2) Universidad Central “Marta Abreu” de Las Villas Facultad de Ingeniería Eléctrica Departamento de Automática y Sistemas Computacionales. TRABAJO DE DIPLOMA Material complementario basado en mecanismos de seguridad de routers. Autor: Rosmely Ravelo Alfonso Email: [email protected] Tutor: Ing. Henry Moreno Díaz Prof. Dpto. Telecomunicaciones y Electrónica. Facultad de Ingeniería Eléctrica. Email: [email protected] Santa Clara 2015 "Año del 57 de la Revolución".

(3) Hago constar que el presente trabajo de diploma fue realizado en la Universidad Central “Marta Abreu” de Las Villas como parte de la culminación de estudios de la especialidad de Ingeniería en Telecomunicaciones y Electrónica, autorizando a que el mismo sea utilizado por la Institución, para los fines que estime conveniente, tanto de forma parcial como total y que además no podrá ser presentado en eventos, ni publicados sin autorización de la Universidad.. Firma del Autor Los abajo firmantes certificamos que el presente trabajo ha sido realizado según acuerdo de la dirección de nuestro centro y el mismo cumple con los requisitos que debe tener un trabajo de esta envergadura referido a la temática señalada.. Firma del Tutor. Firma del Jefe de Departamento donde se defiende el trabajo. Firma del Responsable de Información Científico-Técnica.

(4) PENSAMIENTO. La gloria del mundo es transitoria, y no es ella la que nos da la dimensión de nuestra vida, sino la elección que hacemos de seguir nuestra leyenda personal, tener fe en nuestras utopías y luchar por nuestros sueños. Paulo Coelho. i.

(5) DEDICATORIA. Dedico esta tesis a: Mi mamá que lo es todo en mi vida, que me ha dado todo su amor, comprensión y apoyo, porque gracias a ella hoy estoy aquí cumpliendo nuestro sueño; Mis abuelos que han estado siempre presentes, al tanto de todo; Mi novio Reinier por apoyarme y brindarme su amor incondicional; Mis amistades que se preocuparon en todo momento por este día, a todos los llevo siempre en mi pensamiento.. ii.

(6) AGRADECIMIENTOS. A mi mamá Marifel por estar siempre a mi lado apoyándome en cada momento difícil y alegre de la vida y por hacer todo el esfuerzo posible porque yo este hoy aquí; A mis abuelos Teresita y Arturo que han dado todo de si en mi crianza; A mi padre que aunque ha estado ausente en muchos momentos lo quiero mucho; A mi novio Reinier por alegrarme los días cuando estaba un poco tensa y angustiada; A mi tutor Henry por ayudarme, orientarme y apoyarme de forma incondicional y por brindarme su tiempo; A mis amigas desde niña Yensly, Gretcher y María Isabel por ser mis hermanas. A mis amigas Arletty y Glenda por estar presentes en cada momento triste y alegre de mi vida; A todos los integrantes del grupo que de una forma u otra todos somos parte de este día tan lindo; A todos los profesores que me brindaron sus conocimientos y contribuyeron a mi formación como ingeniera.. iii.

(7) TAREA TÉCNICA.  Búsqueda de referencias bibliográficas para determinar el estado de arte en el tema y consultas de sitios de Internet, que contengan actualización en el tema.  Descripción de las características y el funcionamiento de los mecanismos de seguridad propuestos por Cisco.  Análisis de los comandos utilizados para la implementación de escenarios basados en los mecanismos de seguridad básicos del router.  Diseño de escenarios donde se implementen mecanismos de seguridad avanzados usando las herramientas basadas en web ASDM y CCP.  Confección del informe final del trabajo de diploma.. Firma del Autor. Firma del Tutor. iv.

(8) RESUMEN. Los mecanismos de seguridad propuestos por Cisco constituyen una medida de seguridad para las empresas, instituciones, usuarios avanzados y administradores de redes de telecomunicaciones. Estos pueden ser clasificados en básicos y avanzados, los básicos están relacionado con el acceso al router, tales como las contraseñas, acceso remoto, privilegios y listas de control de acceso, por otro lado dentro de los avanzados se encuentran los Firewall, IDS, IPS y las VPN. En la investigación se trabaja en la implementación de diferentes mecanismos de seguridad, cuenta con un fundamento teórico basado en los mecanismos de seguridad del router y un segmento práctico basado en el diseño de escenarios donde se analizan los pasos de configuración para implementar mecanismos de seguridad avanzados, los cuales se configuraron utilizando varias herramientas como CLI y software como ASDM y CCP. Los resultados obtenidos en la investigación permiten dotar a la asignatura de redes de un material complementario para el estudio de esta importante temática y que pueda ser utilizado en la creación de futuras prácticas de laboratorio virtuales.. v.

(9) ÍNDICE PENSAMIENTO .....................................................................................................................i DEDICATORIA .................................................................................................................... ii AGRADECIMIENTOS ........................................................................................................ iii TAREA TÉCNICA ................................................................................................................iv RESUMEN ............................................................................................................................. v ÍNDICE ..................................................................................................................................vi INTRODUCCIÓN .................................................................................................................. 1 CAPÍTULO I: MECANISMOS DE SEGURIDAD PROPUESTOS POR CISCO ............... 4 1.1 Seguridad básica del router. ......................................................................................... 4 1.1.1 Acceso Administrativo. ......................................................................................... 4 1.1.2 Administración de Contraseñas. ............................................................................ 5 1.2 Acceso Remoto. ............................................................................................................ 6 1.2.1 Modelo AAA. ........................................................................................................ 6 1.2.2 Servidores AAA. .................................................................................................... 6 1.3 ACL o Listas de Control de Acceso. ............................................................................ 7 1.3.1 ACL Estándar. ....................................................................................................... 8 1.3.2 ACL Extendidas. .................................................................................................... 8 1.3.3 ACL Nombradas y numeradas. .............................................................................. 9 1.3.4 ACL Complejas. .................................................................................................... 9 1.3.4.1 ACL Dinámicas. ............................................................................................. 9 1.3.4.2 ACL Basadas en Tiempo. ............................................................................. 10 1.3.4.3 ACL Reflexivas. ........................................................................................... 10 1.4 Firewalls...................................................................................................................... 10 vi.

(10) 1.4.1 Tipos de Firewalls. ............................................................................................... 11 1.4.2 PIX Firewall. ........................................................................................................ 11 1.4.3 ASA Firewall. ...................................................................................................... 12 1.5 Sistemas de Intrusiones. .............................................................................................. 13 1.5.1 IDS o Sistema de Detección de Intrusos. ............................................................. 13 1.5.2 IPS o Sistemas de Prevención de Intrusos. .......................................................... 13 1.6 VPN o Redes Privadas Virtuales. ............................................................................... 14 1.6.1 Tipos de VPN....................................................................................................... 14 1.6.1.1 VPN de Acceso Remoto. .............................................................................. 14 1.6.1.2 VPN Sitio a Sitio........................................................................................... 15 1.6.1.3 VPN Basada en Firewall. .............................................................................. 16 1.6.2 Protocolo IPSec.................................................................................................... 17 1.7 Herramientas de configuración de seguridad basada en web ..................................... 17 1.7.1 Herramienta de configuración de seguridad para el ASA ................................... 18 CAPÍTULO II: ANÁLISIS DE LOS MECANISMOS DE SEGURIDAD BÁSICOS DEL ROUTER. .............................................................................................................................. 19 2.1 Modos de configuración. ............................................................................................ 19 2.2 Control del acceso administrativo al router Cisco...................................................... 19 2.2.1 Configuración de contraseñas de acceso al modo privilegiado. .......................... 19 2.2.2 Encriptación de contraseñas................................................................................. 20 2.2.3 Longitud de contraseñas. ..................................................................................... 21 2.2.4 Configuración básica del acceso a las líneas virtuales, puerto consola y puerto auxiliar. ......................................................................................................................... 21 2.2.4.1 Configuración básica de acceso a las líneas virtuales por SSH. ................... 23 2.3 Configuración de los Niveles de Privilegios............................................................... 24 vii.

(11) 2.3.1 Asignación de accesos basados en roles. ............................................................. 25 2.4 Autenticación AAA. ................................................................................................... 26 2.4.1 Configuración de Autenticación AAA local. ....................................................... 26 2.4.2 Configuración de Autenticación AAA basada en servidor. ................................. 26 2.5 Comando AutoSecure. ................................................................................................ 27 2.6 Listas de Control de Acceso. ...................................................................................... 28 2.6.1 ACL Nombradas. ................................................................................................. 28 2.6.2 ACL Estándar. ..................................................................................................... 28 2.6.3 ACL Extendida. ................................................................................................... 30 2.6.4 ACL Dinámicas. .................................................................................................. 31 2.6.5 ACL Basada en Tiempo. ...................................................................................... 32 2.6.6 ACL Reflexiva. .................................................................................................... 33 2.7 Conclusiones parciales del capítulo. ........................................................................... 34 CAPÍTULO. III:. IMPLEMENTACIÓN. DE. MACANISMOS. DE. SEGURIDAD. AVANZADOS...................................................................................................................... 35 3.1 Escenario # 1: Configuración básica de un Firewall ASA, utilizando la herramienta ASDM. .............................................................................................................................. 35 3.1.1 Pasos a desarrollar ............................................................................................... 36 3.1.2 Desarrollo de la configuración ............................................................................. 37 3.2 Escenario # 2: Configuración de una VPN Sitio a Sitio utilizando CLI. .................... 47 3.2.1 Pasos a desarrollar. .............................................................................................. 47 3.2.2 Desarrollo de la configuración. ............................................................................ 48 3.3 Escenario # 3: Configuración de una VPN de Acceso Remoto Cliente-Servidor utilizando CCP. ................................................................................................................. 53 3.3.1 Pasos a desarrollar ............................................................................................... 54 viii.

(12) 3.3.2 Desarrollo de la configuración. ............................................................................ 55 3.4 Conclusiones parciales del capítulo. ........................................................................... 63 CONCLUSIONES ................................................................................................................ 64 RECOMENDACIONES ....................................................................................................... 65 REFERENCIAS BIBLIOGRÁFICAS ................................................................................. 66 ANEXOS .............................................................................................................................. 68 Anexo 1: Escenario Servidor AAA. ..................................................................................... 68 Anexo 2: Configuración del Servidor AAA. ........................................................................ 68 Anexo 3: Prueba de conectividad AAA. ............................................................................... 68 Anexo 4: Configuración básica del Firewall ASA. .............................................................. 69 Anexo 5: Configuración de la interfaz outside. .................................................................... 72 Anexo 6: Resumen de configuración. ................................................................................... 72 Anexo 7: Autenticación de usuarios AAA. .......................................................................... 73 Anexo 8: Configuración de conexión local. ......................................................................... 73 Anexo 9: Editar protocolo de inspección ICMP. .................................................................. 74 Anexo 10: Configuración de la interfaz DMZ del ASA. ...................................................... 74 Anexo 11: Configuración del servidor DMZ como objeto de red y NAT estático. ............. 75 Anexo 12: Editar las interfaces y direcciones privadas y públicas. ...................................... 75 Anexo 13: Conexión al router R2 utilizando CCP. .............................................................. 76 Anexo 14: Configuración del transform set. ......................................................................... 76 Anexo 15: Configuración del Idle Timer. ............................................................................. 77 Anexo 16: Prueba del servidor VPN..................................................................................... 78. ix.

(13) Introducción. INTRODUCCIÓN. Las redes han evolucionado y han pasado de ser sistemas cerrados a sistemas más abiertos y sofisticados. En consecuencia, las amenazas a la seguridad han aumentado de forma exponencial, tanto en el perímetro de la red como en su interior. Cisco ha respondido con una estrategia que integra los servicios de seguridad en la infraestructura de la red. Esta proporciona un planteamiento completo, económico y flexible para proteger la red extendida de hoy en día. Cisco Systems es una corporación que faculta a sus clientes para que puedan desplegar aplicaciones y procesos esenciales de manera segura en redes de información inteligentes; permite aumentar la productividad y obtener ventaja competitiva. Este ofrece una amplia variedad de certificaciones y especializaciones diseñadas para preparar a un ingeniero en distintas tecnologías, soluciones y roles laboral. Estas certificaciones son universalmente reconocidas como un estándar en la industria IT (del inglés Information Technology), garantizando altos niveles de conocimientos, habilidades para gestionar las soluciones Cisco y credibilidad en el mercado laboral. Los ingenieros y profesionales certificados en Cisco cuentan con un extenso abanico de posibilidades. Dichas certificaciones están divididas por niveles de dificultad: . CCENT (del inglés Cisco Certified Entry Level Technician).. . CCNA (del inglés Cisco Certified Level Associate) (Ariganello, 2013).. . CCNP (del inglés Cisco Certified Level Professional).. . CCIE (del inglés Cisco Certified Internetwork Expert).. . CCAr (del inglés Cisco Certified Architect).. Cisco ofrece sistemas y servicios de seguridad de redes avanzados, necesarios para las redes empresariales. Este ha integrado directamente la seguridad a la infraestructura de la red por medio de funciones de seguridad mejoradas en los routers de Cisco, lo que proporciona una flexibilidad y ahorro de costos sin igual para las instalaciones de seguridad. Al aprovechar estos dispositivos de red, las organizaciones pueden aplicar 1.

(14) Introducción. políticas de seguridad sofisticadas, de extremo a extremo, haciendo uso de su inversión en infraestructura de Cisco. El software Cisco IOS (del inglés Internetwork Operating System) que se ejecuta en los routers Cisco incluye compatibilidad con VPN IPSec (del inglés Virtual Private Networks Internet Protocol Security) y MPLS (del inglés Multiprotocol Label Switching) con todas sus funciones, basados en estándares para la conectividad de sucursales y de acceso remoto. Los routers Cisco incluyen además un robusto firewall con inspección de paquetes que conserva su información de estado y un IDS (Sistema de Detección de Intrusos), con capacidad para escalar el rendimiento por medio de módulos de aceleración tipo plug-in. Cada una de las certificaciones de Cisco (menos la primera por ser la básica) cuenta con un módulo dedicado al estudio de la seguridad, a pesar de que en Cuba no se realizan estas certificaciones, en las universidades del país sí se estudian algunos temas abordados en estas. En el caso de la “Universidad Central Marta Abreu de las Villas”, en la carrera de Ingeniería en Telecomunicaciones y Electrónica, a partir de la asignatura de Redes II, se abordan algunos temas relacionados con Routing y Switching, mientras que los temas relacionados con la seguridad en routers no se abordan con tanta profundidad debido a la programación en el P1 de la asignatura, que cuenta con 64 horas, por lo que surge la necesidad de desarrollar un material complementario para la asignatura de Redes II, el cual pueda ser utilizado por los estudiante para su estudio y profundización de este tema, basándose en los mecanismos de seguridad de los routers que propone Cisco, con vista a una mejor preparación de los estudiantes en lo relacionado a la seguridad de redes. Se escoge Cisco por ser la empresa más importante cuando de sistemas de redes se trata, además en la carrera de Ingeniería en Telecomunicaciones y Electrónica los software utilizados para la simulación de redes son propietarios de Cisco, por lo cual es una ventaja que el presente trabajo se desarrolle con los mismos. Teniendo en cuenta las razones expuestas anteriormente, se plantea el siguiente problema de investigación: ¿Cómo confeccionar un material complementario para la asignatura de Redes II donde se aborde los diferentes mecanismos de seguridad propuestos por Cisco? Para dar cumplimiento al problema de investigación, se propone el siguiente objetivo general: Implementar escenarios donde se analicen los diferentes mecanismos de seguridad propuestos por Cisco.. 2.

(15) Introducción. Para resolver el problema de investigación y dar cumplimiento al objetivo general, se plantean los siguientes objetivos específicos:  Describir los diferentes mecanismos de seguridad propuestos por Cisco.  Analizar a través de escenarios los mecanismos de seguridad básicos del router.  Diseñar escenarios con el uso de diferentes herramientas donde se analicen los pasos de configuración para implementar mecanismos de seguridad avanzados. Los resultados de esta investigación permiten profundizar en algunos de los elementos de seguridad que propone Cisco, lo cual permite enriquecer la asignatura de Redes II. Los escenarios implementados pueden ser utilizados para el desarrollo de prácticas de laboratorio con vista a lograr una mejor comprensión y preparación de los estudiantes en este importante tema. Para cumplir los objetivos establecidos, el trabajo se dividió en: introducción, tres capítulos, conclusiones, recomendaciones, referencias bibliográficas y anexos. Capítulo I: Se describen los mecanismos de seguridad de los routers propuestos Cisco, como contraseñas, acceso remoto por las diferentes líneas, consola, puerto auxiliar y VTY (Línea de Terminal Virtual), Autenticación AAA (autorización, autenticación y contabilidad), listas de control de acceso, firewall, IDS, IPS (Sistemas de Prevención de Intrusos), VPN y también se describen las herramientas utilizadas para la configuración de dichos mecanismos como CLI (Interfaz de líneas de comandos), SDM (del inglés Security Device Manager), CCP (del inglés Cisco Configuration Professional) y ASDM (del inglés Cisco Adaptive Security Device Manager). Capítulo II: Se analizan los mecanismos de seguridad básicos del router como contraseñas, acceso remoto por telnet y por SSH (del inglés Shell Seguro), seguridad en las líneas de consola y VTY, los privilegios asignados a los usuarios y administradores y las listas de control de acceso a través de escenarios. Capítulo III: Se diseñan escenarios donde se analiza la configuración de los mecanismos de seguridad avanzados como la implementación de un Firewall ASA (Algoritmo de Seguridad Adaptable) utilizando ASDM, VPN sitio a sitio utilizando CLI, y VPN de acceso remoto de servidor a cliente utilizando CCP.. 3.

(16) Capítulo I: Mecanismos de Seguridad propuestos por Cisco.. CAPÍTULO I: MECANISMOS DE SEGURIDAD PROPUESTOS POR CISCO. La seguridad en sistemas de comunicaciones se ha convertido en una necesidad vital que no puede ser pasada por alto. El uso de redes de comunicaciones utilizadas por empresas, así como por usuarios comunes o redes públicas, ya sea institucional o de gobierno, hace imprescindible el desarrollo y aplicación de diversos mecanismos para el control de la seguridad. El presente capítulo describe los mecanismos de seguridad de los routers propuestos por Cisco en su certificación CCNA Security, tales como las contraseñas, los tipos de acceso remoto, la autenticación AAA, listas de control de acceso, IDS, IPS, firewall y VPN. También se describe las herramientas empleadas para la configuración de dichos mecanismos como CLI, SDM, CCP y ASDM. 1.1 Seguridad básica del router. La seguridad básica de un router está dada en la restricción del acceso al mismo a personas no autorizadas. Un router puede ser configurado para proteger la red detrás de él, pero un intruso puede acceder a este fácilmente si las contraseñas configuradas son débiles o algunos servicios no fueron desactivados por el administrador. En este caso, la red detrás de ese router ya no es segura porque el intruso puede cambiar la configuración del mismo para obtener acceso a la red detrás de él (Foroozesh, 2012). 1.1.1 Acceso Administrativo. Para llevar a cabo las tareas de configuración básica de un router, es necesario tener acceso a través de una consola. Una consola es un terminal que está conectado a un puerto de consola del router y puede ser un terminal pasivo o un software de emulación de terminal de PC que se ejecute. La consola es sólo una forma por la cual los administradores tienen acceso a los routers. El acceso también puede ser adquirido por Telnet, HTTP (del inglés Hypertext Transfer Protocol), y SNMP (del inglés Simple Network Gestión de Protocolo) si estos servicios están encendidos.. 4.

(17) Capítulo I: Mecanismos de Seguridad propuestos por Cisco.. 1.1.2 Administración de Contraseñas. El primer paso para obtener acceso administrativo es configurar las contraseñas del sistema de seguridad. Estas contraseñas se pueden almacenar en el propio router o de forma remota en un servidor AAA, como los servidores de autenticación TACACS+ (del inglés Terminal Access Controller Access Control System) o RADIUS (del inglés Remote Authentication Dial-In User Service). Las contraseñas deben ser lo más robustas posible, no se debe usar palabras existentes, cumpleaños, o nombres que sean fáciles de adivinar. La mayoría de las empresas tienen reglas de creación de contraseñas en sus políticas de seguridad, tal como la frecuencia con la que debe cambiar una contraseña. En los routers Cisco se utilizan las contraseñas para restringir el acceso a: . El dispositivo.. . El modo EXEC privilegiado del entorno del software IOS.. . El uso de comandos específicos del IOS.. Existen varios tipos de contraseñas, en la Tabla 1.1 se muestra una lista de los diferentes tipos de contraseñas de un router y su función. Tabla 1.1. Información de las contraseñas y sus usos. Punto de control. Tipo de contraseña. ¿Qué está restringido?. Puerto consola. Línea. Iniciar una sesión mediante una línea local a través del puerto consola.. Puerto AUX. Línea. Iniciar una sesión mediante una línea modem (o local) conectada al puerto auxiliar. Iniciar la sesión en el router mediante una conexión de red usando telnet sobre una línea VTY.. Inicio de sesión de Terminal virtual red EXEC privilegiado Enable. password. Enable secret. 5. o Entrar al nivel más potente del entorno IOS..

(18) Capítulo I: Mecanismos de Seguridad propuestos por Cisco.. 1.2 Acceso Remoto. El acceso remoto a los dispositivos de la red es fundamental para manejar una red de manera eficaz. Generalmente implica permitir conexiones de Telnet y SSH. Las líneas son conexiones que se usan sólo para configurar o manipular los routers Cisco; por lo que el acceso remoto no sólo se aplica a la línea de VTY del router, también se aplica a las líneas TTY (del inglés Standard Asynchronous Line) y al puerto auxiliar (AUX). La protección de estos puertos es aún más importante que proteger los puertos del terminal local. La mejor manera de proteger un sistema es garantizar que se apliquen controles adecuados en todas las líneas. La opción más segura de conexión a un router es a través de un cable de consola; pero a medida que la red va creciendo se va volviendo un trabajo muy engorroso debido al número de dispositivos, por lo que la vía de administrar remotamente se convierte en una mejor opción. Para esto se cuenta con dos protocolos: . Telnet (no seguro).. . SSH (seguro) (Ylonen and Lonvick, 2006).. 1.2.1 Modelo AAA. El modelo AAA proporciona seguridad a los routers Cisco IOS, a los dispositivos de red y proporciona un método para la identificación de los usuarios que están conectados a un router y el nivel de acceso que se ha concedido a cada actividad del usuario. Las tres fases: autenticación, autorización y contabilidad, aseguran que sólo se le permita el acceso a los usuarios legítimos. 1.2.2 Servidores AAA. El NAS (Servidor de Acceso a la Red) asegura que sólo los usuarios autenticados tengan acceso seguro a la red, también mantiene los recursos y la información contable. El NAS depende del servidor AAA para obtener la información específica del usuario y está configurado con los protocolos de AAA e interactúa con el servidor AAA para recopilar los datos a los que se ha accedido sobre los recursos de la red. En la figura 1.1 se puede observar un usuario que ha sido autenticado utilizando el NAS.. 6.

(19) Capítulo I: Mecanismos de Seguridad propuestos por Cisco.. Figura 1.1. Servidor AAA que asegura la red. En muchas circunstancias, AAA utiliza protocolos de seguridad para administrar sus funciones de seguridad. Si su router, concentrador, o incluso un PIX (el inglés Internet Privado Exchange) actúan como un NAS, AAA es el medio a través del cual se establece la comunicación entre el NAS y los servidores de seguridad TACACS+, RADIUS o Kerberos. 1.3 ACL o Listas de Control de Acceso. La seguridad en un router para el filtrado de paquetes está basada en un conjunto de reglas para filtrado, estas reglas describen paquetes TCP (del inglés Transmission Control Protocol) y UDP (del inglés User Datagram Protocol) en términos de direcciones fuentes y destino, así como el número de puerto de la aplicación. En forma general los routers están diseñados principalmente para enrutar el tráfico de una red, y como segunda función, Cisco tiene incorporada la tecnología de filtrado de paquetes por medio de los comandos de listas de control de acceso. Una lista de control de acceso, es un listado de declaraciones condicionales (permit o deny) que permiten regular el tráfico de datos que entra y sale de un router. No pueden existir dos listas de acceso asociadas a la misma interfaz y al mismo protocolo, pero sí se puede asociar una misma lista de acceso a varias interfaces (Press, 2005). Las listas de control de acceso pueden constar de una o más declaraciones que determinan que datos se permiten y cuales se deniegan en una interfaz. Las declaraciones se conocen como entradas de control de acceso y hay que tener presente que las ACL deben estar 7.

(20) Capítulo I: Mecanismos de Seguridad propuestos por Cisco.. bien escritas para restringir el acceso, porque la seguridad del router Cisco es altamente dependiente de ellas para el filtrado de paquetes a medida que viajan a través de la red. Un router puede identificar una lista de acceso por un nombre o un número. Los routers Cisco cuentan con dos tipos de ACL IP (del inglés Internet Protocol): listas de control de acceso IP Estándar y listas de control de acceso IP Extendidas. La lista de control de acceso IP Estándar está limitada en funcionalidad porque sólo permite el filtrado basado en las direcciones fuentes, mientras que las listas de acceso IP Extendidas se basan en: . La dirección IP de la fuente.. . La dirección IP de destino.. . La fuente TCP o puerto UDP.. . El destino TCP o puerto UDP.. . El protocolo.. 1.3.1 ACL Estándar. Las ACL Estándar son las ACL más antiguas. El número asignado a estas ACL es un número entre 1 y 99 el cual le indica al IOS que la lista de control de acceso está asociada con el protocolo IP. Las listas de control de acceso utilizan máscaras de Wildcard o comodín que se utilizan para informarle al router cuántos bits de la dirección del listado tienen que coincidir con los de la dirección del paquete analizado para que se cumpla la condición. Los bits que se deseen que se comprueben se ponen a 0, y los que no, se ponen a 1. 1.3.2 ACL Extendidas. Estas son similares a las listas de control de acceso Estándar, el número de la lista se utiliza para identificar la lista extendida, el número en este caso debe ser un entero entre 100 y 199. Las ACL Extendidas se utilizan con más frecuencia que las ACL Estándar porque proporcionan un mayor control. Al igual que las ACL Estándar, las Extendidas verifican la dirección de origen del paquete, pero también verifican la dirección de destino, los protocolos y los números de puerto (o servicios). Esto ofrece un criterio más amplio sobre el cual fundamentar la ACL. Por ejemplo, una ACL Extendida puede permitir de manera simultánea el tráfico de correo electrónico de una red a un destino específico y a la vez, denegar la transferencia de archivos y la navegación Web. 8.

(21) Capítulo I: Mecanismos de Seguridad propuestos por Cisco.. 1.3.3 ACL Nombradas y numeradas. La utilización de ACL Numeradas es un método eficaz para determinar el tipo de ACL en redes pequeñas con mayor tráfico definido de manera homogénea. Sin embargo también puede utilizarse nombres para identificar una ACL, estas son las denominadas ACL Nombradas. La principal ventaja del uso de ACL nombradas incluye que el administrador puede borrar una entrada específica en una ACL Nombrada desplazándose al modo de subconfiguración y prefijando el comando con el parámetro no. El uso del parámetro no en una entrada de una ACL Numerada resultaría la eliminación de toda la ACL. 1.3.4 ACL Complejas. El principal objetivo de las ACL Complejas es complementar a las ACL Estándar y Extendidas con comportamientos que las hacen útiles en contextos más interesantes. Existen varios tipos de listas de acceso complejas que se pueden configurar en un router. Estas fueron diseñadas para asegurar los routers y mejorar las redes. . Listas de control de acceso dinámico.. . Listas de control de acceso basadas en tiempo.. . Listas de control de acceso reflexivas.. 1.3.4.1 ACL Dinámicas. Estas listas también conocidas como lock-and-key, crean aberturas específicas y temporales en respuesta a la autenticación de usuarios. Es altamente recomendable utilizar un servidor TACACS+ para la autenticación del usuario. La configuración de las ACL Dinámicas comienza con la aplicación de una ACL Extendida para bloquear el tráfico que atraviesa el router. Los usuarios que deseen atravesar el router son bloqueados por la ACL Extendida hasta que utilizan Telnet para conectarse al router y ser autenticados. Luego se interrumpe la conexión a Telnet y se agrega una ACL Dinámica de una única entrada a la ACL Extendida existente. De esta forma se permite el tráfico durante un tiempo concreto; se admiten tiempos de espera absolutos e inactivos.. 9.

(22) Capítulo I: Mecanismos de Seguridad propuestos por Cisco.. 1.3.4.2 ACL Basadas en Tiempo. Una lista de acceso basada en tiempo crea la abertura para una cierta cantidad de tiempo. A fin de implementar ACL Basadas en Tiempo, se crea un intervalo de tiempo que define momentos específicos del día y la semana, este intervalo de tiempo se identifica con un nombre y se hace referencia a él a través de una función. Por lo tanto, las restricciones de tiempo vienen impuestas por la propia función. El intervalo temporal depende del reloj del sistema del router y se puede utilizar, pero la característica funciona mejor con la sincronización NTP (protocolo de tiempo de red). 1.3.4.3 ACL Reflexivas. Las listas de acceso reflexivas crean la capacidad de filtrar el tráfico de la red a un router, basado en la capa superior de información de sesión del protocolo IP. Estas sólo pueden definirse con ACL IP Extendidas Nombradas. No pueden definirse con ACL Numeradas, ACL Estándar Nombradas, ni con otras ACL protocolo, pero sí pueden utilizarse con otras ACL Estándar y Extendidas estáticas. Las ACL Reflexivas contienen sólo entradas temporales. Estas entradas se crean automáticamente cuando se inicia una nueva sesión IP (con un paquete saliente, por ejemplo) y las entradas se eliminan automáticamente cuando finaliza la sesión. Estas ACL no se aplican directamente a una interfaz, están "anidadas" dentro de una ACL IP Extendida Nombrada que se aplica a la interfaz. 1.4 Firewalls. Un firewall es un sistema diseñado para prevenir que personas no autorizadas tengan acceso a una red o a un servidor, puede ser implementado en software, en hardware o en ambos. Todos los mensajes recibidos o enviados a una red protegida pasan a través del firewall y este a su vez, examina cada mensaje y bloquea los que no cumplen ciertos criterios de seguridad. Un firewall puede ser un router, una PC con software especializado, o una combinación de dispositivos. Un router firewall Cisco utiliza principalmente listas de acceso para garantizar la seguridad de la red privada (Bertolín, 2008). En la figura 1.2 se muestra la zona específica para la colocación de un firewall.. 10.

(23) Capítulo I: Mecanismos de Seguridad propuestos por Cisco.. INTERNET (Public Network). Corporate Internet (Private Network). Perimeter/Edge Router (or Firewall). Server FTP, HTTP y Proxy DMZ. Figura 1.2.Colocación del firewall. 1.4.1 Tipos de Firewalls. Empresas como Cisco y otros fabricantes importantes han introducido una gran cantidad de productos de firewall que son capaces de supervisar el tráfico utilizando diferentes técnicas. Algunos de los servidores de seguridad de hoy en día pueden inspeccionar los paquetes de datos hasta la capa 4 (capa TCP). Otros pueden inspeccionar todas las capas (incluyendo la capa más alta). Por lo que existen varios tipos de firewall como: . Filtrado de paquetes.. . Filtrado sin estado (Stateless Filtering).. . Filtrado activo o con estado (Statefull Filtering).. . Inspección capa profunda de paquetes.. 1.4.2 PIX Firewall. El Firewall Cisco PIX es un dispositivo de red basado en hardware que está diseñado para asegurar que sólo el tráfico que coincide con una serie de criterios esté permitido y brinda una política de seguridad basada en la conexión. La popularidad de este firewall se deriva del hecho de que está exclusivamente dedicado a la seguridad y es un dispositivo de inspección de estado y basa todas sus decisiones en un algoritmo de corrección de Cisco, el ASA (Algoritmo de Seguridad Adaptable). Este algoritmo se basa en ranuras estáticas y dinámicas de traducción (o UDP-IP flujo de inspección de estado TCP) configurados en el PIX. Todos los paquetes IP entrantes en. 11.

(24) Capítulo I: Mecanismos de Seguridad propuestos por Cisco.. cualquiera de las interfaces se comprueban en contra del ASA y en contra de la información de estado de conexión en la memoria (Chapman et al., 2001). Todas las versiones de Cisco PIX tienen un número de modelo 5xx, uno de sus modelos más populares es el PIX 501, diseñado para oficinas y pequeñas redes. Otro de los muy conocidos es el PIX 515, para redes de tamaño medio. Típicamente un PIX posee una interfaz outside que se suele conectar al router de acceso a Internet; y una interfaz inside que se suele conectar al switch LAN (del inglés Local Area Network) para enlazar con la red privada interna. A cada interfaz del firewall se le asigna un nivel de seguridad comprendido entre 0 (la interfaz menos segura, outside) y 100 (la interfaz más segura, inside). La siguiente lista presenta algunas características y funciones del PIX: . Autenticación basada en AAA (RADIUS o TACACS +).. . Autorización basada en AAA (RADIUS o TACACS +).. . El filtrado de contenidos, filtrado URL (del inglés Uniform Resource Locator, filtrado de Java.. . DHCP (del inglés Dynamic Host Configuration Protocol).. . La ruta más corta RIPv2 (del inglés Routing Information Protocol versión 2)/OSPF (del inglés Open Shortest Path First) capacidad VPN.. 1.4.3 ASA Firewall. Cisco suspende el firewall PIX en 2008 y como reemplazo de este, surge un nuevo firewall denominado Firewall ASA, como un dispositivo de seguridad anti-malware de Cisco Systems que ofrece mayor protección para el usuario. ASA se compone de un servidor de seguridad, un concentrador y un sensor. Un concentrador es un dispositivo que transmite la información a través del ordenador. Un sensor es una pieza de hardware que da la información de ubicación del equipo. Estos dispositivos incluyen servicios de prevención de intrusiones y concentradores VPN. Es por esto que Cisco Systems indica que un Firewall ASA puede realizar por sí solo las tareas que antes se realizaban utilizando 3 dispositivos separados: un Firewall PIX, un Concentrador VPN (como el VPN 3000) y un IPS (como el Cisco IPS 4000). Con el ASA 55xx, los administradores de red tienen más opciones para el funcionamiento de una red segura y pueden bloquear eficazmente las actividades maliciosas, incluyendo 12.

(25) Capítulo I: Mecanismos de Seguridad propuestos por Cisco.. virus y los intentos de phishing. Existen cuatro versiones empresariales: Firewall, IPS, Anti-x y VPN y una versión para empresas medianas y pequeñas. Los expertos recomiendan elegir ASA sobre PIX porque es más barato, más rápido y más fiable. 1.5 Sistemas de Intrusiones. 1.5.1 IDS o Sistema de Detección de Intrusos. Un Sistema de Detección de Intrusos es un software de seguridad encargado de monitorear el tráfico de una red y los eventos que ocurren en un sistema informático en busca de intentos de intrusión. Examina los paquetes, analizándolos en busca de datos sospechosos y detecta la primera fase de cualquier ataque como pueden ser: el análisis de una red, barrido de puertos, etc.; buscan patrones previamente definidos que impliquen cualquier tipo de actividad sospechosa o maliciosa sobre la red o servidor. Se define intento de intrusión como cualquier intento de comprometer la confidencialidad, integridad, disponibilidad de un sistema informático o de eludir los mecanismos de seguridad de éste. Para diferenciar de forma clara lo que es intrusión de lo que no lo es, cada empresa deberá establecer una política de seguridad, donde se deje claro qué está permitido y qué no. Existen varios tipos de IDS, clasificados según el tipo de situación física, el tipo de detección que posee o el tipo de reacción cuando detecta un posible ataque según su naturaleza (Carter, 2004). 1.5.2 IPS o Sistemas de Prevención de Intrusos. Un Sistema de Prevención de Intrusos es un software de seguridad de red que monitorea el tráfico de la red y/o las actividades de un sistema, en busca de actividades maliciosas. Entre sus principales funciones se encuentran no sólo la de identificar la actividad maliciosa, sino, la de intentar detener esta actividad. Un IPS establece políticas de seguridad para proteger al equipo o a la red de un ataque y graba la información histórica de esta actividad para generar reportes. La tecnología de prevención de intrusos es considerada por algunos como una extensión de los IDS, pero en realidad es otro tipo de control de acceso más cercano a las tecnologías de los firewall, pero presentan una mejora importante sobre estos ya que toma sus decisiones de control de acceso basados en los contenidos del tráfico, en lugar de direcciones IP o puertos. Existen varios tipos de IPS: 13.

(26) Capítulo I: Mecanismos de Seguridad propuestos por Cisco.. . Basados en Red LAN (NIPS).. . Basados en Red Wireless (WIPS).. . Análisis de comportamiento de red (NBA).. . Basados en Host (HIPS) (Cisco, 2012).. 1.6 VPN o Redes Privadas Virtuales. Una red privada virtual es un servicio que ofrece una conexión segura, construida dentro de una infraestructura de red pública como por ejemplo: Internet. Cisco define una VPN como una conexión encriptada entre redes privadas a través de una red pública. Para transmitir información a través de una red pública (red insegura), en la VPN se aplican métodos de seguridad para garantizar la privacidad de los datos que se intercambian entre ambas y protocolos de túneles. A las Redes Privadas Virtuales se les considera “privadas” porque se establecen exclusivamente entre el emisor y el receptor de la información y “virtuales” porque no se necesita un cable o cualquier otro medio físico directo entre los comunicantes. Las VPN crean un túnel entre los dos puntos a conectar utilizando infraestructura pública, usando una técnica denominada tunneling, los paquetes de datos son enrutados por la red pública (como Internet o alguna otra red comercial) en un túnel privado que simula una conexión punto a punto. Este recurso hace que por la misma red puedan crearse muchos enlaces por diferentes túneles virtuales a través de la misma infraestructura. También hace universales para su transporte los diferentes protocolos LAN entre los que se encuentran IP, IPX (del inglés Internetwork Packet Exchange), Appletalk y Netbeui, de allí la característica de multiprotocolo que hace sumamente universal la tecnología de las redes privadas virtuales (Lewis, 2006). 1.6.1 Tipos de VPN. . Acceso Remoto.. . Sitio a sitio.. . Basada en firewall.. 1.6.1.1 VPN de Acceso Remoto. Es quizás el modelo más usado actualmente y consiste en usuarios o proveedores que se conectan con la empresa desde sitios remotos (oficinas comerciales, domicilios, hoteles,. 14.

(27) Capítulo I: Mecanismos de Seguridad propuestos por Cisco.. aviones, etc.) utilizando Internet como vínculo de acceso. Una vez autenticados tienen un nivel de acceso muy similar al que tienen en la red local de la empresa.. Figura 1.3.Diagrama de VPN por Acceso Remoto. Las VPN de acceso remoto ahorran costos a las empresas ya que los usuarios sólo necesitan establecer una conexión con un ISP (del inglés Internet Service Provider) local. El cliente de acceso remoto inicia una conexión VPN a través de Internet con el servidor VPN de la compañía. Una vez que se ha establecido el enlace, el usuario puede acceder a los recursos de la intranet privada de la empresa. De acuerdo a la tecnología utilizada para establecer la conexión, las VPN de acceso remoto se puede dividir en: . VPN dial-up.. . VPN directas.. 1.6.1.2 VPN Sitio a Sitio. Las VPN de sitio a sitio son utilizadas para conectar sitios geográficamente separados de una corporación. Con una VPN es posible conectar las LAN corporativas utilizando Internet. El envío de información se realiza a través de una conexión VPN. De esta forma se puede crear una WAN (del inglés Wide Area Network) utilizando una VPN. Una empresa puede hacer que sus redes se conecten utilizando un ISP local y establezcan una conexión de sitio a sitio a través de Internet. Las oficinas remotas se conectan a través de túneles creados sobre Internet. Con el uso de la infraestructura de Internet una empresa. 15.

(28) Capítulo I: Mecanismos de Seguridad propuestos por Cisco.. puede desechar la difícil tarea de tener que estar administrando los dispositivos como los que se utilizan en las WAN tradicionales. Esta configuración puede ser de dos tipos: . Tipo Intranet.. . Tipo Extranet.. Remote Office. INTERNET Central Site. Branch Office. Figura 1.4. VPN Sitio a Sitio. 1.6.1.3 VPN Basada en Firewall. Es común que se utilice un firewall para proporcionar servicios VPN. Empresas como Cisco Systems, Nortel Networks y 3Com ofrecen en muchos de sus dispositivos firewall soporte para VPN. Una VPN basada en firewall tiene la ventaja de que simplifica la arquitectura de la red al establecer un único punto de control de seguridad. Además, los ingenieros de redes sólo tienen que hacerse expertos en una tecnología, en lugar de tener que aprender a administrar un firewall y la VPN de forma separada.. Remote Office. INTERNET Central Site. Branch Office. Figura 1.5. VPN Basada en firewall. 16.

(29) Capítulo I: Mecanismos de Seguridad propuestos por Cisco.. 1.6.2 Protocolo IPSec. IPSec (del inglés Internet Protocol Security) surge con la finalidad de proveer seguridad a los paquetes IP que son enviados a través de una red pública y trabaja principalmente en la capa 3 del modelo OSI. IPSec permite al usuario autentificar y/o cifrar cada uno de los paquetes IP; proporciona confidencialidad, integridad y autenticidad de datagramas IP combinando tecnologías de clave pública (RSA), algoritmos de cifrado (DES, 3DES, IDEA, Blowfish), algoritmos de hash (MD5, SHA-1) y certificados digitales X509v3. El protocolo IPSec ha sido diseñado de forma modular, de modo que se pueda seleccionar el conjunto de algoritmos deseados sin afectar a otras partes de la implementación (Rodriguez Rodriguez, 2012). Al separar las aplicaciones de autentificación y encriptación de paquetes, se tienen dos formas diferentes de usar IPSec llamadas modos: . Modo Transporte.. . Modo túnel.. En el modo de transporte sólo el segmento de la capa de transporte de un paquete IP es autentificado y encriptado y en el otro modo llamado túnel, la autentificación y encriptación se aplica a todo el paquete. Mientras que el modo de transporte es útil en muchas situaciones, el modo de túnel provee mayor seguridad en contra de ataques y monitoreo de tráfico que pueda ocurrir sobre la Internet. Dentro de IPSec se distinguen los siguientes protocolos: . Dos protocolos de seguridad: IP AH (del inglés Authentication Header) e IP ESP (del inglés Encapsulating Security Payload) que proporcionan mecanismos de seguridad para proteger tráfico IP.. . Un protocolo de gestión de claves IKE (del inglés Internet Key Exchange) que permite a dos nodos negociar las claves y todos los parámetros necesarios para establecer una conexión AH o ESP.. 1.7 Herramientas de configuración de seguridad basada en web La configuración de los router Cisco se puede realizar de varias formas comenzando por CLI, SDM o CCP; siendo la primera la vía más larga y compleja ya que se realiza a través de comandos línea por línea. 17.

(30) Capítulo I: Mecanismos de Seguridad propuestos por Cisco.. . SDM es una herramienta de mantenimiento basada en una interfaz web desarrollada por Cisco. No es simplemente una interfaz web, sino también una herramienta Java accesible a través del navegador mediante la cual remplaza el CLI de Cisco por una interfaz gráfica mediante HTTP más amigable y sencilla. Esta herramienta soporta un amplio número de routers Cisco IOS. En la actualidad se entrega preinstalado en la mayoría de los routers nuevos de Cisco y se puede ejecutar desde el dispositivo (Router o Switch) o desde la PC. La herramienta cuenta también con asistentes (wizards) que facilitan la configuración de algunas funciones complejas como VPN, NAT (del inglés Network Address Translation), QoS (Calidad de Servicio), filtrado de tráfico, etc.. . CCP es una herramienta de administración de dispositivos basada en GUI (del inglés Graphical User Interface) para el acceso a los routers de Cisco. Esta herramienta simplifica la configuración del enrutamiento, firewall, IPS, VPN, comunicaciones unificadas, WAN, LAN y la configuración a través de interfaz gráfica de usuario basada en asistentes. Utilizando Cisco Configuración Profesional, los administradores de red pueden desplegar routers con facilidad y posee la capacidad de auditoría de seguridad para revisar y recomendar cambios en la configuración del router, supervisar el estado del router, solucionar problemas de WAN y conectividad VPN.. 1.7.1 Herramienta de configuración de seguridad para el ASA Para la configuración de los Firewall ASA Cisco ha desarrollado una herramienta que reduce la complejidad de los comandos y permite configuraciones ágiles sin necesidad de un amplio conocimiento del CLI del ASA. . Cisco ASDM es una herramienta que facilita la instalación, configuración, monitorización y solución de problemas en los dispositivos Cisco ASA y está implementado en Java. Este funciona con SSL (del inglés Secure Sockets Layer) para proteger las comunicaciones y se puede utilizar para supervisar y configurar varios ASA que ejecutan la misma versión de ASDM. El ASDM viene preinstalado en la memoria flash de los ASA a partir de la versión 7.0. En los casos de versiones anteriores donde el ASDM no viene instalado por defecto, puede instalarse a través de un servidor TFTP (del inglés Trivial file transfer Protocol) copiándose el archivo (asdm-645.bin) en la memoria flash.. 18.

(31) Capítulo II: Análisis de los Mecanismos de Seguridad Básicos del Router.. CAPÍTULO II: ANÁLISIS DE LOS MECANISMOS DE SEGURIDAD BÁSICOS DEL ROUTER.. El presente capítulo realiza un análisis de las configuraciones básicas de seguridad en routers Cisco. Se lleva a cabo la configuración de contraseñas, el acceso administrativo por las diferentes líneas, la configuración de privilegios, autenticación AAA, así como también la configuración de las diferentes listas de control de acceso. Para la implementación de dichas configuraciones se emplearon las herramientas de modelación de redes Packet Tracer (Manjarrez, 2012) y GNS3 (Neumann, 2014). En el caso de Packet Tracer se utiliza el router 1841, switch 2950-24, PCs Generic PC-PT y Servidores Generic Server-PT. Para GNS3 se emplea la imagen del router de la serie Cisco IOS c7200-advsecurityk9-mz.150-1.M. 2.1 Modos de configuración. La interfaz de línea de comandos de Cisco IOS utiliza una lógica de niveles jerárquicos: . Modo EXEC usuario [Router >]. . Modo EXEC privilegiado [Router#]. . Modo de configuración global [Router(config)#]. El modo EXEC usuario contiene sólo comandos básicos, no destructivos y sin privilegios, en el cual no se puede modificar ni leer la configuración del equipo. El modo EXEC privilegiado permite el acceso a comandos más potentes, que permiten volver a configurar el router, mientras que el modo de configuración global permite configurar aspectos simples del equipo como pueden ser el nombre, reloj, etc. Desde este modo se accede a modos de configuración específicos como los de líneas e interfaces. 2.2 Control del acceso administrativo al router Cisco. 2.2.1 Configuración de contraseñas de acceso al modo privilegiado. Existen dos formas de establecer una contraseña de acceso al modo privilegiado: Router(config)#enable password [contraseña] Router(config)#enable secret [contraseña]. 19.

(32) Capítulo II: Análisis de los Mecanismos de Seguridad Básicos del Router.. Ambas claves son requeridas para acceder al modo EXEC privilegiado. Sin embargo, la enable password se guarda en formato de texto plano en el archivo de configuración, mientras la enable secret se guarda encriptada utilizando MD5. El acceso puede asegurarse también utilizando usuario y contraseña: Router(config)#username [usuario] password [contraseña] Router(config)#username [usuario] secret [contraseña] (más seguro porque usa un algoritmo de encriptación más fuerte MD5) Otros comandos utilizados son los siguientes: Router(config)#no ip domain-lookup (Desactiva la búsqueda DNS, evitando que el router se bloquee ante un comando mal introducido) Router(config)#banner motd #mensaje del día# (Permite personalizar el mensaje de bienvenida, el mensaje finaliza cuando se vuelva a escribir #) Router(config)#banner login #mensaje# (Establece el mensaje de login) 2.2.2 Encriptación de contraseñas. Todas las contraseñas deben estar encriptadas en un archivo de configuración. El IOS de Cisco ofrece dos esquemas de protección de contraseñas: . Encriptación simple, que se denomina esquema de tipo 7. Utiliza el algoritmo de encriptación definido por Cisco y oculta la contraseña mediante el uso de un algoritmo de encriptación simple.. . Encriptación compleja, que se denomina esquema de tipo 5. Utiliza un hash MD5 más seguro.. La encriptación del tipo 7 puede ser utilizada por los comandos enable password, username y line password, incluidos VTY, línea de consola y puerto auxiliar. No ofrece una gran protección, ya que sólo oculta la contraseña utilizando un algoritmo de encriptación simple. Pese a que no es tan segura como la encriptación de tipo 5, sigue siendo mejor que no utilizar ninguna encriptación. Para encriptar contraseñas mediante la encriptación de tipo 7, se utiliza el comando de configuración global: Router(config)#service password-encryption Cisco recomienda utilizar la encriptación de Tipo 5 en lugar de la de Tipo 7, cuando sea posible. La encriptación MD5 es un método de encriptación fuerte. Debe ser utilizado 20.

(33) Capítulo II: Análisis de los Mecanismos de Seguridad Básicos del Router.. siempre que sea posible. Se configura reemplazando la palabra clave password por secret (Paquet, 2012). 2.2.3 Longitud de contraseñas. Se lleva a cabo utilizando el comando de configuración global: Router(config)#security passwords min-length [longitud] Los administradores pueden especificar la longitud de caracteres mínima para todas las contraseñas de los routers con un valor de 0 a 16 caracteres. Se recomienda fuertemente establecer la longitud mínima de la contraseña en 10 caracteres, para eliminar contraseñas comunes que resulten cortas y prevalecen en la mayoría de las redes, como "lab" y "cisco". Este comando afecta las contraseñas de usuario, las enable secret y las de línea que se creen luego de que el comando sea ejecutado, pero las contraseñas del router ya existentes no son afectadas. Cualquier intento de crear una nueva contraseña que contenga menos caracteres que la longitud especificada fallará y se mostrará un mensaje de error similar al siguiente: Password too short -must be at least 10 characters. Password configuration failed. 2.2.4 Configuración básica del acceso a las líneas virtuales, puerto consola y puerto auxiliar. Las contraseñas de acceso a las diferentes líneas (consola, auxiliar o terminal virtual) se usan para controlar quién puede iniciar la sesión en un router, o sea acceder al modo EXEC usuario. Los comandos para configurar acceso por puerto auxiliar utilizando contraseña son: Router(config)#line aux 0 (Accede al modo de administración) Router(config-lin)#password [contraseña ] (Establece la contraseña) Router(config-lin)#login (solicita la contraseña a las sesiones entrantes) Los comandos para configurar conexión por puerto de consola utilizando usuario y contraseña son: Router(config)#username [usuario] secret [contraseña] Router(config)#line aux 0 21.

(34) Capítulo II: Análisis de los Mecanismos de Seguridad Básicos del Router.. Router(config-lin)#login local (solicita usuario y contraseña a las sesiones entrantes) Por defecto, los puertos auxiliares del router no requieren una contraseña para acceso administrativo remoto. Los administradores algunas veces usan este puerto para configurar y monitorear remotamente el router usando una conexión de módem dialup. Para configurar conexiones por puerto consola y línea VTY utilizando contraseña se utilizan los mismos comandos descritos anteriormente con la principal diferencia del tipo de línea a utilizar. Para consola: Router(config)#line console 0 Para líneas: Router(config)#line vty 0 4 Para implementar seguridad en las líneas de consola y VTY hay que tener presente que por defecto una interfaz administrativa permanece activa y autenticada por 10 minutos luego de la última actividad de la sesión. Luego de eso, la sesión caduca y se cierra. Si un administrador está lejos de su terminal, mientras la conexión de la consola permanece activa, un atacante tendrá hasta 10 minutos para ganar acceso privilegiado. Se recomienda, por lo tanto, que estos relojes sean ajustados para limitar la cantidad de tiempo a un máximo de dos a tres minutos. Estos relojes pueden ser ajustados para cada uno de los tipos de línea usando el comando: Router(config-lin)# exec-timeout [5] [0] (5 minutos es el tiempo que mantiene una conexión inactiva abierta) El siguiente comando dificulta los intentos de conexión de fuerza bruta. Router(config)#login block-for [300] attempt [2] within [120] (El router bloquea durante 300 segundos el intento de conexiones VTY si se produce 2 fallos en 120 segundos) Por defecto, los routers Cisco soportan hasta cinco sesiones simultáneas de terminal virtual VTY (Telnet o SSH), los puertos VTY se numeran del 0 al 4, pero se pueden añadir más, realmente soportan hasta 16 sesiones simultáneas, numerándose del 0 al 15.. 22.

(35) Capítulo II: Análisis de los Mecanismos de Seguridad Básicos del Router.. 2.2.4.1 Configuración básica de acceso a las líneas virtuales por SSH. El acceso por SSH es el más común y altamente recomendado. Todo el tráfico entre un terminal y el dispositivo de Cisco se cifra. Todos los routers admiten acceso por SSH y deben tener configurado una dirección IP para acceder. Los comandos necesarios desde el modo de configuración son: Router(config)#hostname [CISCO] (Permite asignar un nombre al router) Router(config)#ip domain-name [cisco.com] (Establece el dominio del host) Router(config)#crypto key generate rsa (Genera las claves pública y privada para RSA) Se debe crear una clave que el router pueda utilizar para encriptar su tráfico de administración de SSH con el comando crypto key generate rsa, el router responde con un mensaje que muestra la norma de denominación de las claves. Se debe elegir el tamaño del módulo de la clave, que debe estar entre 360 y 2048 para las claves de propósito general. Elegir un módulo de clave mayor a 512 puede llevar algunos minutos. Cisco recomienda utilizar una longitud de módulo mínima de 1024. La creación y el uso de un módulo más largo llevan más tiempo, pero ofrece mayor seguridad. Router(config)#username [estudiante] privilege 15 secret [tarea] Router(config)#line vty 0 15 Router(config-lin)#privilege level 15 Router(config-lin)#transport input ssh (Establece el modo de acceso a las vty por SSH) Router(config-lin)#login local (Se autentica mediante un usuario y contraseña) Router(config-lin)#exit (Sale del modo de configuración en el que se encuentre) Router(config)#ip ssh time-out [15] (Tiempo que permanece la conexión abierta sin actividad, puede ir de 0 a 120 segundos) Los tiempos de espera brindan seguridad adicional a la conexión, pues finalizan las conexiones prolongadas e inactivas. Router(config)#ip ssh authentication-retries [2] (Número de conexiones simultáneas de un mismo usuario) o (Reintentos de autenticación, van de 0 a 5). 23.

(36) Capítulo II: Análisis de los Mecanismos de Seguridad Básicos del Router.. 2.3 Configuración de los Niveles de Privilegios. Los niveles de privilegios se encuentran entre los valores de 0 a 15 y definen los comandos que tienen permiso para ejecutar el usuario. Cisco IOS permite configurar 16 niveles de usuario diferente: . Usuario nivel 0: Sólo accede al modo usuario.. . Usuario nivel 1 al 14: Se pueden asignar diferentes comandos para cada nivel.. . Usuario nivel 15: Acceso a modo privilegiado completo.. La configuración de diferentes niveles de acceso es particularmente útil en entornos en los que diferentes técnicos tienen asignadas diferentes tareas. Para configurar niveles de privilegio en las diferentes líneas (consola, auxiliar y VTY) y asociarlos directamente a un usuario, se utilizan los siguientes comandos: Router(config)#username [console] privilege [5] secret [2345] Router(config)#line console 0 Router(config-lin)#privilege level [5] Router(config-lin)#login local El nivel 5 no permite acceder al modo privilegiado, por lo que utilizando una conexión por puerto consola no se puede hacer ninguna modificación a la configuración del router. También es posible generar niveles de privilegios globales y asociarlos directamente a un usuario: Router(config)#privilege exec level [7] [show ip route] Router(config)#username [estudio] privilege [10] secret [cisco] El usuario estudio tiene el privilegio de acceder a la tabla de rutas del router, privilegio que fue asignado con el primer comando. Estos privilegios globales también se pueden asociar a la contraseña de acceso al modo privilegiado: Router(config)#privilege exec level [nivel] [comando] Router(config)#enable password level [nivel] [contraseña]. 24.

(37) Capítulo II: Análisis de los Mecanismos de Seguridad Básicos del Router.. 2.3.1 Asignación de accesos basados en roles. El acceso a CLI basado en roles le permite al administrador definir “vistas”. Las vistas restringen el acceso a la información de configuración del Cisco IOS a un grupo de usuarios, es decir, una vista puede definir que comandos son aceptados y que información de configuración es visible. A continuación se muestran los pasos a seguir para configurar vistas basadas en roles. Paso 1: Las vistas de CLI basadas en roles requieren autenticación AAA local (como se muestra en el subíndice 2.4.1) Paso 2: Se crea la contraseña de acceso al modo privilegiado y se accede a la vista: Router(config)#enable secret [cisco234] Router#enable view Password: (Solicita la contraseña enable secret) Paso 3: Se crea la vista admin 2, se establece la contraseña, y se accede a configurar los privilegios que este usuario podrá utilizar. Router(config)#parser view [admin2] Router(config-view)#secret [admin] Router(config-view)#command exec include [show ip route] (Incluye el commando show ip route a la vista de admin2) Router(config-view)# command exec include all [show interfaces] (El comando all indica que se incluye a la vista de admin2 todos los show interfaces, por ejemplo, también incluye el comando show interfaces status) Paso 4: Verificar las vistas del admin2 Router#enable view admin2 Password:admin Router#show parser view (Muestra las vistas configuradas para admin2). 25.

(38) Capítulo II: Análisis de los Mecanismos de Seguridad Básicos del Router.. 2.4 Autenticación AAA. 2.4.1 Configuración de Autenticación AAA local. AAA local es ideal para redes pequeñas, utiliza una base de datos local para la autenticación. Este método almacena los nombres de usuario y sus correspondientes contraseñas localmente en el router Cisco y los usuarios se autentican en la base de datos local. Los comandos para establecer esta autenticación se muestran a continuación. Router(config)#username [estudiante] password [cisco] (Crea un nombre de usuario y una contraseña que se almacenan localmente en el router) Router(config)#aaa new-model (Habilita AAA {autenticación, autorización y contabilidad} globalmente en el router. Esto se utiliza para conectarse al router) Router(config)#aaa authentication login [LOCAL-AUTH] local (Crea una lista de autenticación a la cual se accede cuando alguien intenta iniciar sesión en el dispositivo después de aplicarla a las líneas VTY y líneas de consola. La palabra clave local indica que la base de datos del usuario se encuentra almacenada de forma local en el router) Los siguientes comandos le indican al router que los usuarios que intentan conectarse al router deben autenticarse mediante la lista recién creada. Router(config)#line console 0 Router(config-lin)#login authentication [LOCAL-AUTH] Router(config)#line vty 0 4 Router(config-lin)#login authentication [LOCAL-AUTH] 2.4.2 Configuración de Autenticación AAA basada en servidor. El método basado en servidor usa un recurso externo de servidor de base de datos que utiliza los protocolos RADIUS o TACACS+. La gran diferencia entre estos protocolos es que TACACS+ cifra todo el tráfico desde que se solicita la comprobación del usuario hasta que termina. En cambio RADIUS sólo cifra la contraseña. Si hay más de un router, AAA basado en servidor es la opción más apropiada. Los comandos para establecer esta autenticación se muestran a continuación. Router(config)#username [pepe] secret [radius] (Crea usuario y contraseña cifrada) Router(config)#aaa new-model (Crea un modelo de autenticación AAA) 26.

(39) Capítulo II: Análisis de los Mecanismos de Seguridad Básicos del Router.. Router(config)#radius-server host [192.168.2.2] (Añade la IP del servidor) Router(config)#radius-server key [servidor] (Añade la clave para que el router se pueda conectar al servidor) Router(config)#aaa authentication login [lista][Método 1][Método 2]….[Método 4] Se añaden los métodos por los cuáles se va a autenticar el usuario, ya sea group radius, group tacacs o local. Se pueden ingresar un máximo de 4. Si se añade más de uno, por ejemplo: group radius local, significa que primero autenticará con Radius y en caso de fallar, se autenticará con la base de datos del router, para eso se crea el nombre de usuario (username). En el presente escenario el método que se utiliza es el group radius, una vez realizada esta configuración se aplica la lista recién creada a las líneas VTY y consola, como se muestra anteriormente en la autenticación AAA local. Para observar el escenario, la configuración del servidor RADIUS y la prueba de conectividad ver Anexo 1, 2 y 3 respectivamente. Para el caso de un servidor TACACS+ al tercer y cuarto comando escrito anteriormente, se le cambia la palabra radius por tacacs. 2.5 Comando AutoSecure. AutoSecure es un comando de IOS Cisco (disponible a partir de la versión 12.3 o mayor) para routers Cisco, que se ejecuta desde el modo EXEC privilegiado para dotar de seguridad rápidamente al router y sin tener que ser un especialista en el tema. Este desactiva servicios no esenciales y que suponen un riesgo de seguridad potencial. Una de sus ventajas es la facilidad con la que se define el banner, el usuario, la contraseña de acceso al modo privilegiado, etc. Utiliza un único comando para desactivar procesos y servicios no esenciales del sistema y eliminar amenazas de seguridad potenciales. Se puede configurar AutoSecure en dos modos: . Modo interactivo: este modo indica opciones para activar y desactivar servicios y otras características de seguridad. Es el modo predeterminado.. . Modo no interactivo: ejecuta automáticamente el comando AutoSecure con la configuración predeterminada recomendada por Cisco. Este modo se activa con la opción del comando no-interact.. 27.