ccnas v11 ch02 - part1
TRANSCRIPT
Asegurando los Dispositivos de Red.
© 2012 Cisco and/or its affiliates. All rights reserved. 1
Dispositivos de Red.
• El gran cambio es que ahora se tienen interfaces GigabitEthernet
© 2012 Cisco and/or its affiliates. All rights reserved. 2
http://www.cisco.com/en/US/products/ps10906/Products_Sub_Category_Home.html#
• Escenario 1:
– El router protege la LAN.
• Escenario 2:
– El router recibe el trafico antes de un firewall (PIX/ASA).
LAN 1192.168.2.0
Router 1 (R1)
Internet
Scenario 1
LAN 1192.168.2.0
R1
Internet
Firewall
© 2012 Cisco and/or its affiliates. All rights reserved. 3
Scenario 3
Scenario 2
un firewall (PIX/ASA).
• Escenario 3:
– La zona conectada al firewall es llamada DMZ.
– Los equipos que se acceden desde Internet son localizados en esta DMZ.
192.168.2.0Internet
LAN 1192.168.2.0
R1
Internet
R2Firewall
DMZ
• La seguridad física
– Instalar los equipos de infraestructura en una habitación cerrada con llave
– Instalar un sistema de alimentación ininterrumpida (UPS) y mantener loscomponentes de repuesto disponibles para reducir la posibilidad de unataque DoS.
© 2012 Cisco and/or its affiliates. All rights reserved. 4
• Sistema Operativo
– Configure el router con la mayor cantidad de memoria posible.
– Utilizar la “última versión estable” del sistema operativo que cumpla con los requisitos de características de la red.
– Guardar una copia de seguridad de la imagen del router sistema operativo y el archivo de configuración del router como una copia de seguridad.
• Robustez del Router
– Control administrativo seguro para garantizar que sólo el personal autorizadotenga acceso y que su nivel de acceso esté controlado.
– Deshabilitar los puertos e interfaces no utilizados a fin de reducir el númerode maneras que se puede acceder al dispositivo.
– Desactivar los servicios innecesarios que pueden ser utilizados por unatacante para obtener información o para la explotación.
© 2012 Cisco and/or its affiliates. All rights reserved. 5
R1
• Restringir el acceso a dispositivo
• Iniciar y dar cuenta de todos los accesos
• Autenticar el acceso
• Autorizar las acciones
• Aviso Legal Actual
© 2012 Cisco and/or its affiliates. All rights reserved. 6
• Garantizar la confidencialidad de los datos
Asegurar el acceso administrativo
© 2012 Cisco and/or its affiliates. All rights reserved. 7
Asegurar el acceso administrativo
• Todos los routers necesitan una contraseña local para el acceso al nivel privilegiado y a otros accesos.
R1(config)# enable secret cisco
R1(config)# line aux 0
R1(config-line)# password cisco
R1(config-line)# login
R1(config)# line vty 0 4
R1(config-line)# password cisco
R1(config-line)# login
© 2012 Cisco and/or its affiliates. All rights reserved. 8
R1
R1(config)# line con 0
R1(config-line)# password cisco
R1(config-line)# login
• Modificar las contraseñas frecuentemente.
• Las reglas locales pueden hacer que las contraseñas sean más segura.
© 2012 Cisco and/or its affiliates. All rights reserved. 9
– Básicamente una oración / frase que sirve como contraseña más segura.
• Por ejemplo:
– “My favorite spy is James Bond 007.” = MfsiJB007.
– “Fly me to the moon. And let me play among the stars.” = FmttmAlmpats.
© 2012 Cisco and/or its affiliates. All rights reserved. 10
• Utilice una longitud de contraseña de 10 caracteres o más.
• Haga contraseñas complejas mediante la inclusión de una combinación de letras mayúsculas y minúsculas, números, símbolos y espacios.
• Evite contraseñas basadas en secuencias de repetición, palabras del diccionario, letras o números, nombres de usuario, nombres de mascotas o relativos, información biográfica, como fechas de nacimiento, números de identificación, nombres de los antepasados, u otras piezas fácilmente identificables de la información.
© 2012 Cisco and/or its affiliates. All rights reserved. 11
• Intencionadamente cree una mala contraseña.– Por ejemplo, Smith = Smyth = 5mYth o Security = 5ecur1ty .
• Cambie las contraseñas con frecuencia por lo que si una contraseña se ve comprometida, sin saberlo, la ventana de oportunidad para que el atacante utilice la contraseña es limitado.
• No escriba contraseñas y dejarlas en lugares obvios, como en el escritorio o un monitor.
• Para aumentar la seguridad de las contraseñas, se debe utilizar los siguientes comandos del Cisco IOS:
– Longitud mínima de caracteres : security passwords min-length.
– Desactivar las conexiones sin actividad: exec-timeout.
– Encriptar las contraseñas del archivo de configuración: service password-encryption.
Nota:
© 2012 Cisco and/or its affiliates. All rights reserved. 12
Nota:– El comando exec-timeout 0 0 que no habrá tiempo de espera y la
sesión permanecerá activa durante un tiempo ilimitado.
• Por defecto son 10 minutos.
• Finaliza una conexión desatendida (consola o vty).
• Ofrece un nivel adicional de seguridad si el administrador se aleja de una sesión de consola activa.Router(config-line)#
exec-timeout minutes [seconds]
© 2012 Cisco and/or its affiliates. All rights reserved. 13
– Para finalizar una conexión de consola desatendida después de 3 minutos y 30 segundos:
– Para deshabilitar conexiones una linea particular:
Sudbury(config)# line console 0
Sudbury(config-line)# exec-timeout 3 30
Sudbury(config)# line aux 0
Sudbury(config-line)# no exec-timeout
service password-encryption
Router(config)#
R1(config)# service password-encryption
R1(config)# exit
R1# show running-config
enable password 7 06020026144A061E
!
line con 0
password 7 094F471A1A0A
© 2012 Cisco and/or its affiliates. All rights reserved. 14
password 7 094F471A1A0A
login
!
line aux 0
password 7 01100F175804575D72
login
line vty 0 4
password 7 03095A0F034F38435B49150A1819
login
– Configuración de usuario tradicional con contraseña en texto plano.
– El uso de hash MD5 para la protección de contraseña segura.
– Más seguro que el cifrado de tipo 7.
username name secret {[0] password | encrypted-secret}
username name password {[0] password | 7 hidden-password}
© 2012 Cisco and/or its affiliates. All rights reserved. 15
R1# conf t
R1(config)# username JR-ADMIN password letmein
% Password too short - must be at least 10 characters. Password configuration
failed
R1(config)# username JR-ADMIN password cisco12345
R1(config)# username ADMIN secret cisco54321
R1(config)# line con 0
R1(config-line)# login local
R1# show run | include username
username JR-ADMIN password 7 060506324F41584B564347
username ADMIN secret 5 $1$G3oQ$hEvsd5iz76WJuSJvtzs8I0
© 2012 Cisco and/or its affiliates. All rights reserved. 16
R1 con0 is now available
Press RETURN to get started.
User Access Verification
Username: ADMIN
Password:
R1>
username ADMIN secret 5 $1$G3oQ$hEvsd5iz76WJuSJvtzs8I0
R1#
R1# configure terminal
R1(config)# username ADMIN secret cisco54321
R1(config)# line vty 0 4
R1(config-line)# login local
R1(config)# exit
R1(config)# login block-for 120 attempts 5 within 60
R1(config)# ip access-list standard PERMIT-ADMIN
R1(config-std-nacl)# remark Permit only Administrative hosts
R1(config-std-nacl)# permit 192.168.10.10
© 2012 Cisco and/or its affiliates. All rights reserved. 17
permit 192.168.10.10
R1(config-std-nacl)# permit 192.168.11.10
R1(config-std-nacl)# exit
R1(config)# login quiet-mode access-class PERMIT-ADMIN
R1(config)# login delay 10
R1(config)# login on-success log
R1(config)# login on-failure log
R1(config)# exit
R1# show login
A login delay of 10 seconds is applied.
Quiet-Mode access list PERMIT-ADMIN is applied.
Router enabled to watch for login Attacks.
If more than 5 login failures occur in 60 seconds or less,
logins will be disabled for 120 seconds.
© 2012 Cisco and/or its affiliates. All rights reserved. 18
Router presently in Normal-Mode.
Current Watch Window
Time remaining: 5 seconds.
Login failures for current window: 4.
Total login failures: 4.
R1#
*Dec 10 15:38:54.455: %SEC_LOGIN-1-QUIET_MODE_ON: Still timeleft for watching
failures is 12 secs, [user: admin] [Source: 10.10.10.10] [localport: 23] [Reason:
Login Authentication Failed - BadUser] [ACL: PERMIT-ADMIN] at 15:38:54 UTC Wed Dec
10 2008
R1# show login
A login delay of 10 seconds is applied.
Quiet-Mode access list PERMIT-ADMIN is applied.
© 2012 Cisco and/or its affiliates. All rights reserved. 19
Router enabled to watch for login Attacks.
If more than 5 login failures occur in 60 seconds or less,
logins will be disabled for 120 seconds.
Router presently in Quiet-Mode.
Will remain in Quiet-Mode for 105 seconds.
Restricted logins filtered by applied ACL PERMIT-ADMIN.
R1#
R1# show login failures
Total failed logins: 22
Detailed information about last 50 failures
Username SourceIPAddr lPort Count TimeStamp
admin 1.1.2.1 23 5 15:38:54 UTC Wed Dec 10 2011
Admin 10.10.10.10 23 13 15:58:43 UTC Wed Dec 10 2011
admin 10.10.10.10 23 3 15:57:14 UTC Wed Dec 10 2011
cisco 10.10.10.10 23 1 15:57:21 UTC Wed Dec 10 2011
R1#
© 2012 Cisco and/or its affiliates. All rights reserved. 20
• In this example, the command identifies the number of failures, usernames tried, and offending IP addresses with a timestamp added to each unsuccessful attempt.
• Los mensajes de Banner deben implementarse para advierten a los posibles intrusos que no son bienvenidos en la red.
© 2012 Cisco and/or its affiliates. All rights reserved. 21
• Especifique lo que es “uso apropiado" del sistema.
• Especificar que el sistema se está supervisando.
• Especifica que la privacidad no debe esperarse cuando se utiliza este sistema.
• No use la palabra "bienvenido“.
• El departamento legal ha revisado el contenido del mensaje.
© 2012 Cisco and/or its affiliates. All rights reserved. 22
• El departamento legal ha revisado el contenido del mensaje.
Router(config)#
banner {exec | incoming | login | motd | slip-ppp} d message d
• Paso 1: Configure el nombre de dominio IP.
• Paso 2: Genere llaves RSA de una via
• Paso 3: Crear un username en la base de datos local.
• Paso 4: Habilitar sesiones entrantes via SSH.
© 2012 Cisco and/or its affiliates. All rights reserved. 23
R1# conf t
R1(config)# ip domain-name span.com
R1(config)# crypto key generate rsa general-keys modulus 1024
The name for the keys will be: R1.span.com
% The key modulus size is 1024 bits
% Generating 1024 bit RSA keys, keys will be non-exportable...[OK]
R1(config)#
*Dec 13 16:19:12.079: %SSH-5-ENABLED: SSH 1.99 has been enabled
R1(config)# username Bob secret cisco
R1(config)# line vty 0 4
R1(config-line)# login local
R1(config-line)# transport input ssh
R1(config-line)# exit
– Versión de SSH
• ip ssh version {1 | 2}
– Numero de reintentos de autenticación
• ip ssh authentication-retries integer
– Periodo de timeout SSH.
• ip ssh time-out seconds
© 2012 Cisco and/or its affiliates. All rights reserved. 24
R1# show ip ssh
© 2012 Cisco and/or its affiliates. All rights reserved. 25
R1# show ip ssh
SSH Enabled - version 1.99
Authentication timeout: 120 secs; Authentication retries: 3
R1#
R1# conf t
Enter configuration commands, one per line. End with CNTL/Z.
R1(config)# ip ssh version 2
R1(config)# ip ssh authentication-retries 2
R1(config)# ip ssh time-out 60
R1(config)# ^Z
R1#
R1# show ip ssh
SSH Enabled - version 2.0
Authentication timeout: 60 secs; Authentication retries: 2
R1#
R2# ssh -l Bob
192.168.2.101
Password:
R1>
11
22
There are no current SSH sessions ongoing with R1.
R2 establishes an SSH connection with R1.
© 2012 Cisco and/or its affiliates. All rights reserved. 26
R1# sho ssh
Connection Version Mode Encryption Hmac State
Username
0 2.0 IN aes128-cbc hmac-sha1 Session started Bob
0 2.0 OUT aes128-cbc hmac-sha1 Session started Bob
%No SSHv1 server connections running.
R1#
R1# sho ssh
%No SSHv2 server connections running.
%No SSHv1 server connections running.
R1#
33 There is an incoming and outgoing SSHv2 session with user Bob.
© 2012 Cisco and/or its affiliates. All rights reserved. 27
© 2012 Cisco and/or its affiliates. All rights reserved. 28
© 2012 Cisco and/or its affiliates. All rights reserved. 29
© 2012 Cisco and/or its affiliates. All rights reserved. 30
© 2012 Cisco and/or its affiliates. All rights reserved. 31
© 2012 Cisco and/or its affiliates. All rights reserved. 32
© 2012 Cisco and/or its affiliates. All rights reserved. 33