en_ccnas_v11_ch02 español.pdf

8/19/2019 en_CCNAS_v11_Ch02 español.pdf

1/165

© 2012 Cisco and/or its affiliates. All rights reserved. 1

Seguridad en losDispositivos de Red


2/165


• Cisco cuenta con una nueva serie de routers de segundageneración.

• ISR G2 han integrado interfaces Gigabit Ethernet.

OficinaVirtual

MovilidadSegura

AplicacionesPersonalizables

ColaboracionesSeguras

ServiciosEscalables

Medios

Enriquecidos

R e n d i m i e n t o ,

E s c a l a b i l i d

a d y

D i s

p o n i b i l i d a d


3/165


Scenario 3

Scenario 2

• Los Routers se utilizan paraasegurar el perímetro de la red.

• Escenario 1: Protege la LAN.

• Escenario 2: se protégé el tráficocon el router y pasa por unservidor de seguridad (PIX/ASA).

• Escenario 3: La zona

directamente conectada con elservidor de seguridad sedenomina DMZ. Servidores conacceso a Internet se encuentranen la zona de distensión.

LAN 1192.168.2.0

Router 1 (R1)

Internet

Scenario 1

LAN 1192.168.2.0

R1Internet

Firewall

LAN 1192.168.2.0

R1

Internet

R2Firewall

DMZ


4/165


• La Seguridad Física: Equipos de infraestructura segura en un cuartocerrado que:

• Es accesible sólo al personal autorizado.

• Está libre de la interferencia electrostática o magnética.

• Tiene protección contra incendios.• Dispone de controles de temperatura y humedad.

• Instalar un sistema de alimentación ininterrumpida (UPS) ymantener los componentes de backup disponibles para reducir laposibilidad de un ataque DoS contra la pérdida de energía al

edificio.


5/165


• Sistema Operativo: Configure el router con la máxima cantidadde memoria posible.

• Ayuda a protegerla de algunos ataques DoS.

– Utilice la última versión estable del sistema operativo que cumpla con los

requisitos de características de la red.

– Guarde una copia segura de la imagen del sistema operativo del router y elarchivo de configuración del router como una copia de seguridad.


6/165


• Fortalecimiento del acceso al Router

– Fije el control administrativo para garantizar que sólo el personal autorizadotenga acceso y que su nivel de acceso está controlado.

– Deshabilitar los puertos no utilizados y las interfaces para reducir el númerode maneras en que un dispositivo se puede acceder.

– Deshabilitar los servicios innecesarios que pueden ser utilizados por unatacante para obtener información o para la explotación.

R1


7/165 © 2012 Cisco and/or its affiliates. All rights reserved. 7

• Restringir el acceso al dispositivo – Limite los puertos accesibles, restringir los PC permitidos y restringir los

métodos permitidos de acceso.

• Registrar y dar cuenta de todos los accesos

– Para fines de auditoría, registre cualquier persona que tiene acceso a undispositivo, incluyendo lo que ocurre y cuándo.

• Autenticar el acceso

– Asegúrese de que el acceso se concede sólo a los usuarios autenticados,grupos y servicios.

– Limitar el número de intentos fallidos de conexión y el tiempo entre los iniciosde sesión.



• Autorizar las Acciones – Restringir las acciones y opiniones permitidos por ningún usuario, grupo o

servicio.

• Presente Aviso Legal

– Mostrar un aviso legal, desarrollado en conjunto con el asesor legal de laempresa, para las sesiones interactivas.

• Garantizar la confidencialidad de los datos

– Proteger los datos sensibles almacenados localmente de lectura y copia. – Considere la vulnerabilidad de los datos en tránsito a través de un canal decomunicación para analizar ataques, de secuestro de sesión, y de hombre enel medio (MITM) .



Asegurar el Acceso Administrativo



• Todos los Routers necesitan una contraseña de configuraciónlocal para el acceso privilegiado y otros accesos.

R1

R1(config)# enable secret cisco

R1(config)# line con 0R1(config-line)# password ciscoR1(config-line)# login

R1(config)# line aux 0R1(config-line)# password cisco

R1(config-line)# login

R1(config)# line vty 0 4R1(config-line)# password cisco

R1(config-line)# login



• Para robar contraseñas, los atacantes:

– Envían un Saludo amistoso.

– Adivinan contraseñas basadas en información personal del usuario.

– Paquetes TFTP de Sniff que contienen los archivos de configuración de textoplano.

– Utilizan las herramientas de ataque de fuerza bruta fácilmente disponiblescomo L0phtCrack o Cain & Abel.

• Las contraseñas seguras son la principal defensa contra el

acceso no autorizado a un router!



• Las contraseñas no deben utilizar las palabras del diccionario – Palabras del diccionario son vulnerables a los ataques de diccionario.

• Las contraseñas pueden incluir los siguientes:

– Cualquier carácter alfanumérico.

– Una combinación de caracteres en mayúsculas y minúsculas.

– Los símbolos y espacios.

– Una combinación de letras, números y símbolos.

Nota: los espacios en las contraseñas se ignoran, pero todos losespacios después del primer carácter no se ignoran.



• Cambie las contraseñas con frecuencia.

– Implementar una política que defina cuándo y con qué frecuencia lascontraseñas deben cambiarse.

– Limite las oportunidades para que un hacker pueda romper la contraseña.

– Límite los intentos de falla de una contraseña cuando existe un error.

• Las normas locales pueden hacer que las contraseñas sean másseguras.


14/165


• Un método bien conocido de creación de contraseñas seguras esusar frases comunes.

– Básicamente una oración / frase que sirve como una contraseña más segura.

– Utilice una frase, cita de un libro, o una canción lírica que pueda recordarfácilmente como la base de la contraseña segura o frase.

• Por ejemplo:

– “My favorite spy is James Bond 007.” = MfsiJB007. – "Fue el mejor de los tiempos, era el peor de los tiempos." = Iwtbotiwtwot.

– "Llévame a la luna. Y déjame jugar entre las estrellas. " = FmttmAlmpats.


15/165


• Longitud de contraseña de 10 caracteres o más. Cuanto más,mejor.

• Incluya una combinación de letras mayúsculas y minúsculas,números, símbolos y espacios.

• Evite contraseñas basadas en la repetición, palabras deldiccionario, de letras o números secuencias, nombres de usuario,

nombres de compañía, biográfica, como fechas de nacimiento,números de identificación, nombres de los antepasados .

• Deliberadamente escribir mal una contraseña.

• Por ejemplo, Smith = Smyth = 5mYth o Seguridad = 5ecur1ty.

• Cambie las contraseñas con frecuencia por lo que si unacontraseña está en peligro sin saberlo.

• No escriba contraseñas y dejarlos en lugares obvios, como en elescritorio o un monitor.


16/165


• Para aumentar la seguridad de las contraseñas, los siguientescomandos de Cisco IOS se deben utilizar:

– Hacer cumplir la longitud mínima de la contraseña: security passwords min-length.

– Desactivación de conexiones desatendidas: exec-timeout.

– Cifrar contraseñas de archivos de configuración: service password-encryption.


17/165


• Hacer contraseñas largas: IOS 12.3 y posteriores contraseñaspueden ser de 0 a 16 caracteres de longitud. un mínimo de 10caracteres.

• Para forzar a un mínimo de longitud utilice el comando: – security passwords min-length length

• El comando afecta a todas las "nuevas" contraseñas de router. – Contraseñas de router existentes no se ven afectadas.

• Cualquier intento de crear una nueva contraseña que es menorque la longitud especificada falla y da lugar a una "Contraseñademasiado corta" mensaje de error.


18/165


• De forma predeterminada, la conexión remota es de 10 minutosdespués se desactiva la sesión.

• El temporizador se puede ajustar con el comando exec-timeouten el modo de configuración de línea para cada uno de los tiposde línea que se utilizan.

– exec-timeout minutes seconds

Nota: exec-timeout 0 0 significa que no habrá tiempo deespera y la sesión se mantendrá activo durante un tiempo ilimitado.

– Se sugiere en laboratorios ... – Mal en las redes de producción! – No ponga el valor 0!


19/165


• El tiempo predeterminado es de 10 minutos.

• Termina una conexión inactiva (consola o vty).• Proporciona nivel de seguridad adicional si el administrador se

aleja de una sesión de consola activa.

– Para terminar una conexión de consola desatendida después de 3 minutos y30 segundos:

– Para desactivar el proceso de línea:

Router(config-line)#

exec-timeout minutes [seconds]

Sudbury(config)# line console 0Sudbury(config-line)# exec-timeout 3 30

Sudbury(config)# line aux 0Sudbury(config-line)# no exec-timeout


20/165


• Encriptar todas las contraseñas desde modo global.

service password-encryption

Router(config)#

R1(config)# service password-encryptionR1(config)# exitR1# show running-config

enable password 7 06020026144A061E!

line con 0

password 7 094F471A1A0A

login

!

line aux 0

password 7 01100F175804575D72

login

line vty 0 4password 7 03095A0F034F38435B49150A1819

login


21/165


• Asegure las contraseñas de bases de datos locales. – Configuración de usuario tradicional con contraseña en texto plano.

– Utilice hash MD5 para una fuerte protección de contraseña.

– Más seguro que el cifrado de tipo 7.username name secret {[0] password | encrypted-secret}

username name password {[0] password | 7 hidden-password }


22/165


R1# conf tR1(config)#

username JR-ADMIN password letmein% Password too short - must be at least 10 characters. Password configurationfailed

R1(config)# username JR-ADMIN password cisco12345R1(config)# username ADMIN secret cisco54321R1(config)# line con 0R1(config-line)# login local

R1 con0 is now available

Press RETURN to get started.

User Access Verification

Username: ADMINPassword:

R1>

R1# show run | include usernameusername JR-ADMIN password 7 060506324F41584B564347

username ADMIN secret 5 $1$G3oQ$hEvsd5iz76WJuSJvtzs8I0

R1#


23/165


• Para mejorar la seguridad de lasconexiones de acceso virtuales,

el proceso de inicio de sesióndebe ser configurado conparámetros específicos:

– Implementar retardos entreintentos de conexión sucesivos.

– Habilitar inicio de sesión de cierresi se sospecha de ataques DoS.

– Generar mensajes de registro delsistema para la detección de iniciode sesión.

Welcome to SPAN

Engineering


Password: cisco

Password: cisco1

Password: cisco12Password: cisco123

Password: cisco1234


24/165


25/165


• En este ejemplo, el comando de bloqueo de inicio de sesión se haconfigurado para bloquear el inicio de sesión de PC durante 120segundos si hay más de 5 peticiones de inicio de sesión fallan dentro delos 60 segundos.

R1# show loginA login delay of 10 seconds is applied.

Quiet-Mode access list PERMIT-ADMIN is applied.

Router enabled to watch for login Attacks.If more than 5 login failures occur in 60 seconds or less,

logins will be disabled for 120 seconds.

Router presently in Normal-Mode.

Current Watch Window

Time remaining: 5 seconds.

Login failures for current window: 4.

Total login failures: 4.


26/165


• En este ejemplo, no se ha producido intento de registro. – Un mensaje de registro se inicia en la consola que indica que el router está

en modo silencioso.

– Todos los intentos de acceso realizados con Telnet, SSH, HTTP y se lesniega con excepción de lo especificado en el permiso-ADMIN ACL.

R1#

*Dec 10 15:38:54.455: %SEC_LOGIN-1-QUIET_MODE_ON: Still timeleft for watching failures

is 12 secs, [user: admin] [Source: 10.10.10.10] [localport: 23] [Reason: LoginAuthentication Failed - BadUser] [ACL: PERMIT-ADMIN] at 15:38:54 UTC Wed Dec 10 2008

R1# show loginA login delay of 10 seconds is applied.

Quiet-Mode access list PERMIT-ADMIN is applied.

Router enabled to watch for login Attacks.

If more than 5 login failures occur in 60 seconds or less,

logins will be disabled for 120 seconds.

Router presently in Quiet-Mode.

Will remain in Quiet-Mode for 105 seconds.

Restricted logins filtered by applied ACL PERMIT-ADMIN.

R1#


27/165


• En este ejemplo, el comando identifica el número de fallos, nombres deusuarios intentaron, y las direcciones IP del atacante con una marca detiempo que añadieron a cada intento fallido.

R1# show login failuresTotal failed logins: 22

Detailed information about last 50 failures

Username SourceIPAddr lPort Count TimeStamp

admin 1.1.2.1 23 5 15:38:54 UTC Wed Dec 10 2011

Admin 10.10.10.10 23 13 15:58:43 UTC Wed Dec 10 2011

admin 10.10.10.10 23 3 15:57:14 UTC Wed Dec 10 2011

cisco 10.10.10.10 23 1 15:57:21 UTC Wed Dec 10 2011

R1#


28/165


• Mensajes de Banner deben ser utilizados para advertir a losposibles intrusos de que no son bienvenidos en la red.

• Banners son importantes, sobre todo desde una perspectivalegal.

– Los intrusos se han sabido ganar los casos judiciales porque no seencuentran con mensajes de advertencia correspondientes.

– Elegir qué colocar en los mensajes de inicio es muy importante y debe ser

revisado por un abogado antes de ser implementado.

– Nunca use la palabra "bienvenido" o cualquier otro saludo familiar o similarque pueda ser mal interpretado como una invitación para utilizar la red.


29/165


• Especifique qué es para "uso apropiado" del sistema.

• Especifica que el sistema está siendo monitoreado.• Especifica que la privacidad se monitorea cuando se utiliza este

sistema.

• No utilice la palabra "bienvenido".

• Tener opinión departamento legal del contenido del mensaje.

Router(config)#

banner {exec | incoming | login | motd | slip-ppp} d message d


30/165


• Por defecto, los routers Cisco no tenemos las contraseñas denivel de línea configurados para las líneas vty. – Las contraseñas deben ser configurados para todas las líneas vty en el

router.

– Recuerde que más líneas vty se pueden añadir al router.

• Si la comprobación de contraseña está activada (es decir, el

comando de inicio de sesión), una contraseña vty también debeestar configurado antes de intentar acceder al router medianteTelnet. – Si una contraseña vty NO está configurado y la comprobación de

contraseñas está habilitada para vty, un mensaje de error similar a losiguiente se produce:

Telnet 10.0.1.2 Trying 10.0.1.2 ….. open

Password required, but none set

[Connection to 10.0.1.2 closed by foreign host]


31/165


• Si una contraseña de modo enable no está establecida para elrouter, el modo privilegiado EXEC no se puede acceder a travésde Telnet.

• Utilice siempre el comando enable secret password paraestablecer la contraseña de activación.

– Nunca utilice el comando enable password!


32/165


• Acceso Telnet debe limitarse sólo a los PC administrativosespecificados utilizando ACL:

– Permite el acceso Telnet desde sólo hosts específicos.

– Implícita o explícitamente bloquea el acceso desde lugares no confiables.

– Una la ACL a las líneas vty utilizando el comando access-class.

• Por ejemplo:

R1(config)# access-list 30 permit 10.0.1.1 0.0.0.0

R1(config)# line vty 0 4R1(config-line)# access-class 30 in


33/165


• Un atacante está capturando paquetes utilizando Wireshark en una subredlocal.

• El atacante está interesada en el trafico TCP Telnet y se da cuenta de que ladirección IP del administrador (192.168.2.7) ha iniciado una sesión de Telneta un dispositivo.


34/165


• Siguiendo el flujo TCP Telnet, el atacante ha capturado nombre deusuario del administrador (Bob) y la contraseña (cisco123).


35/165


• Cuando el administrador utiliza SSH, el atacante ya no ve los paquetesde Telnet y en su lugar debe filtrar por dirección IP del administrador.


36/165


• Si se sigue la secuencia de datos, el atacante sólo ve los paquetes TCPy SSH que revelan información cifrada inútil.


37/165


• Paso 1: Configurar el nombre dedominio IP.

• Paso 2: Generar una clave secretaRSA.

• Paso 3: Crear una entrada denombre de usuario de base de datoslocal.

• Paso 4: Habilitar VTY sesiones SSHentrantes.

R1# conf tR1(config)# ip domain-name span.comR1(config)# crypto key generate rsa general-keys modulus 1024The name for the keys will be: R1.span.com

% The key modulus size is 1024 bits

% Generating 1024 bit RSA keys, keys will be non-exportable...[OK]

R1(config)#

*Dec 13 16:19:12.079: %SSH-5-ENABLED: SSH 1.99 has been enabled

R1(config)# username Bob secret ciscoR1(config)# line vty 0 4R1(config-line)# login localR1(config-line)# transport input sshR1(config-line)# exit

Opcionalmente, SSH sepuede utilizar paraconfigurar lo siguiente:

versión SSHNúmero de intentosde autenticaciónPeríodo de tiempode espera de SSH


38/165


• Versiones de SSH:

– Cisco IOS versión 12.1 (1) T y posteriores admiten SSHv1.

– Cisco IOS 12.3 (4) T y posteriores admite tanto SSHv1 y SSHv2 (modo decompatibilidad).

– Para cambiar las versiones, utilice la versión de ssh ip {1 | 2} comandoglobal.

• Número de intentos de autenticación:

– Por defecto, un usuario que inicia sesión en dispone de 3 intentos antes deser desconectado. – Para configurar un número diferente de reintentos SSH consecutivos, utilice

el comando authentication-retries ssh ip en el modo de configuraciónglobal.

• SSH Tiempos de espera:

– El intervalo de tiempo predeterminado que el router esperará a que un clienteSSH para responder durante la fase de negociación de SSH es de 120segundos.

– Cambie la hora con ip ssh time-out seconds.


39/165


R1# show ip sshSSH Enabled - version 1.99

Authentication timeout: 120 secs; Authentication retries: 3

R1#

R1# conf tEnter configuration commands, one per line. End with CNTL/Z.

R1(config)# ip ssh version 2R1(config)# ip ssh authentication-retries 2

R1(config)# ip ssh time-out 60R1(config)# ^ZR1#

R1# show ip sshSSH Enabled - version 2.0

Authentication timeout: 60 secs; Authentication retries: 2

R1#


40/165


41/165



42/165


43/165


Los Privilegios de Operacion de Seguridad• Configurar AAA• Use comandos show• Configure Firewall• Configure IDS / IPS• Configurar NetFlow

WAN del ingeniero de Privilegios• Configurar enrutamiento• Configuración de una interfaz• Issue comandos show.


44/165


• Las necesidades de un operador de red de seguridad puede noser la misma que la de ingeniero de WAN.

• Routers de Cisco permiten la configuración en los distintosniveles de privilegios para los administradores.

– Diferentes contraseñas se pueden configurar para controlar quién tieneacceso a los diferentes niveles de privilegio.

• Hay 16 niveles de privilegio.

– Niveles 2 y 14 se pueden configurar mediante el comando de configuraciónglobal privilegio.


45/165


• Nivel 0: Predefinido para privilegios de acceso a nivel de usuario. – Rara vez se utiliza, incluye cinco comandos: disable, enable, exit,

help, and logout.

• Nivel 1: nivel predeterminado de inicio de sesión con el indicadordel router Router>. – Un usuario no puede realizar ningún cambio o ver el archivo de configuración

en ejecución.

• Niveles2 –14: son modificados para requisitos particulares paralos privilegios de nivel de usuario. – Comandos de niveles inferiores pueden ser movidos a uno más alto, o lo

contrario.

• Nivel 15(Privilegiado): Reservado para los privilegios modoenable (comando enable). – Los usuarios pueden ver y modificar todos los aspectos de la configuración.


46/165


Router(config)#

privilege mode {level level command | reset command }

Comando Descripción

modeespecifica el modo de configuración.

Utilice comando de privilegio para ver una lista de los modos de router.

level (Opcional) Este comando permite establecer un nivel de privilegio con un comandoespecificado.

level command(Opcional) Este parámetro es el nivel de privilegio que está asociado con un comando.Puede especificar hasta 16 niveles de privilegio, utilizando números del 0 al 15.

reset (Opcional) Este comando restablece el nivel de privilegios de un comando.

command(Opcional) Este es el argumento de comando para utilizar cuando usted quiererestablecer el nivel de privilegio.


47/165


• En este ejemplo, se crearon cuatro cuentas de usuario.

– Una cuenta de USER de Nivel 1 de acceso.

– Una cuenta SUPPORT con el Nivel 5.

– Una cuenta de JR-ADMIN con los mismos privilegios que la cuenta deSUPPORT, además de acceso al comando reload.

– Una cuenta JR-ADMIN que tiene todos los comandos EXEC privilegiadosregulares.

R1# conf tR1(config)# username USER privilege 1 secret ciscoR1(config)#

R1(config)# privilege exec level 5 pingR1(config)# enable secret level 5 cisco5

R1(config)# username SUPPORT privilege 5 secret cisco5R1(config)#

R1(config)# privilege exec level 10 reloadR1(config)# enable secret level 10 cisco10R1(config)# username JR-ADMIN privilege 10 secret cisco10R1(config)#

R1(config)# username ADMIN privilege 15 secret cisco123R1(config)#


48/165


• El administrador prueba las cuentas y registra como usuario deNivel 1. – Los nombres de usuario no distinguen entre mayúsculas y minúsculas de

forma predeterminada.

– Observe el símbolo indica el nivel 1 (R1>).

– El comando ping que normalmente está disponible desde el nivel 1 ya noestá disponible.


Username: userPassword:

R1> show privilegeCurrent privilege level is 1

R1# ping 10.10.10.1^

% Invalid input detected at '^' marker.

R1>


49/165


• El administrador verifica el nivel de acceso 5.

– El comando enable se utiliza para pasar de nivel 1 al nivel 5.

– Observe ahora el usuario puede hacer ping pero no puede utilizar elcomando reload.

R1> enable 5Password:

R1#

R1# show privilegeCurrent privilege level is 5

R1#

R1# ping 10.10.10.1

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 10.10.10.1, timeout is 2 seconds:

!!!!!

Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/4 ms

R1#R1# reloadTranslating "reload"

Translating "reload"

% Unknown command or computer name, or unable to find computer address

R1#


50/165


• El administrador verifica el nivel de acceso 10. – Una vez más, el comando enable nivel se utiliza para pasar de nivel 5 al

nivel 10. – Note ahora el comando ping y el comando reload están disponibles, sin

embargo, el comando show running-config no es.

R1# enable 10Password:


R1# ping 10.10.10.1

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 10.10.10.1, timeout is 2 seconds:

!!!!!

Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/4 ms

R1# reload

System configuration has been modified. Save? [yes/no]: ^CR1# show running-config

^

% Invalid input detected at '^' marker.

R1#


51/165


• Por último, el administrador verifica el acceso privilegiado EXEC Nivel15.

– Una vez más, el comando enable nivel se utiliza para pasar de nivel 10 anivel 15.

– Ahora todos los comandos están disponibles.

R1# enable 15Password:


R1# show running-configBuilding configuration...

Current configuration : 1145 bytes

!version 12.4


52/165


• No hay control de acceso a las interfaces, puertos, interfaceslógicas, y los horarios en un router.

• Comandos disponibles en los niveles de privilegios más bajossiempre son ejecutables en los niveles superiores.

• Asignación de un comando con varias palabras clave a un nivelde privilegio específica asigna todos los comandos asociados conlas primeras palabras clave en el mismo nivel de privilegio. – Un ejemplo es el comando show ip route.

• Si un administrador tiene que crear una cuenta de usuario quetiene acceso a la mayoría, pero no todas las órdenes,

instrucciones EXEC privilegio deben estar configurados paracada comando que se debe ejecutar en un nivel de privilegioinferior a 15. – Esto puede ser un proceso tedioso.


53/165


• Los niveles de privilegios y de enable modo no proporcionan elnivel necesario de detalle necesario al trabajar con routers y

switches Cisco IOS.

• La función de CLI de acceso basado en roles permite aladministrador definir "vistas".

– Las vistas son un conjunto de comandos de operación y capacidades deconfiguración que proporcionan acceso selectivo o parcial de comandos demodo de configuración de Cisco IOS EXEC.

– Vistas restringidas al acceso de usuarios a la CLI de Cisco IOS y la

información de configuración, es decir, una vista puede definir los comandosaceptados y la información de configuración es visible.


54/165


• Root Vista se requiere define Vistas y Superviews.

• Vistas contienen comandos.• Un comando puede aparecer en más de una vista.

Vista #1 Vista #2 Vista #3 Vista #4 Vista #5 Vista #6

show ip route show run int fa0/0showinterfaces

Root Ver


55/165


• Vista raíz es el punto más alto de vista administrativo.

– Creación y modificación de una vista o 'supervista' sólo es posible en la vistaraíz.

– La diferencia entre la vista de la raíz y el nivel de privilegio 15 es que sólo unusuario vista root puede crear o modificar las opciones y superviews.

• Vistas CLI basados en funciones requieren AAA:

– Esto es necesario incluso con la autenticación de vista local.

• Un máximo de 15 roles de vista de la CLI puede existir ademásde la vista raíz.


56/165


• Antes de crear una vista, AAA debe estar habilitado mediante elcomando aaa nuevo modelo.

• A continuación, utilice el comando enable con el parámetro a finde entrar en la vista de la raíz.

– E.g., enable view

– Opcionalmente, también puede utilizar enable view root.

• Utilice la contraseña de privilegio 15 (enable secret), si se le pidepara la autenticación (si se ha configurado la autenticación).


57/165


• Introduzca un nivel de privilegio o una vista CLI.

• Utilice comando enable con el parámetro de entrar en la vista dela raíz.

• Vista Root requiere privilegios de nivel 15 autenticación.

• El comando aaa-new model debe ser ingresado.

Router#

enable [ privilege-level] [view [view-name]]

R1(config)# aaa new-modelR1(config)# exitR1# enable viewPassword:

R1#

%PARSER-6-VIEW_SWITCH: successfully set to view 'root'

Permitir Parámetros


58/165


Permitir Parámetros

Parameter Description

privilege-level (Opcional) Establece el nivel de privilegio a entrar.

view (Opcional) Introduce vista raíz, que permite a los usuariosconfigurar vistas de la CLI. Se requiere esta palabra clavesi desea configurar una vista CLI.

view-name (Opcional) Permite ingresar o salir de una vista CLIespecificado. Esta palabra clave se puede utilizar paracambiar de una vista CLI a otra vista de la CLI.

Router#

enable [privilege-level] [view [view-name]]


59/165


• Crea una vista.

• Establece una contraseña para proteger el acceso a la vista.

• Añade comandos o interfaces para una vista.

• Ejemplo config establecer una contraseña y agregar comandos a

la vista denominada MONITOR-VIEW.

Router(config)#

R1(config)# parser view MONITOR-VIEWR1(config-view)# password ciscoR1(config-view)# commands exec include show version

parser view view-name

Router(config-view)#

password encrypted-password

commands parser-mode {include | include-exclusive | exclude} [all] [interfaceinterface-name | command ]


60/165


Parametro Descripción

parser-mode Especifica el modo en el que existe el comando especificado (e.g.exec mode).

include Añade un comando o una interfaz a la vista y permite que el mismocomando o interfaz que se añade a una vista adicional.

include-exclusive Añade un comando o una interfaz para la vista y excluye el mismocomando o interfaz que se agregue a todos los otros puntos de vista.

exclude Excluye un comando o una interfaz de la vista, es decir, los usuariosno pueden acceder a un comando o una interfaz.

all (Opcional) Especifica un "comodín" que permite a cada comando enun modo de configuración especificado que comienza con la mismapalabra clave o cada subinterfaz para una interfaz especificada paraser parte de la vista.

interface interface-name

(Opcional) Especifica una interfaz que se agrega a la vista.

command (Opcional) Especifica un comando que se agrega a la vista.


commands parser-mode {include | include-exclusive | exclude} [all] [interfaceinterface-name | command ]


61/165


• La vista CLI FIRST es creado y configurado para incluir loscomandos show version, configure terminal y todos los comandos

que empiecen con show ip.

R1(config)# aaa new-modelR1(config)# exitR1# enable view

%PARSER-6-VIEW_SWITCH: successfully set to view‘root

’. R1# configure terminal

R1(config)# parser view FIRST%PARSER-6-VIEW_CREATED:view ‘FIRST’ successfully created.

R1(config-view)# secret firstpassR1(config-view)# command exec include show versionR1(config-view)# command exec include configure terminalR1(config-view)# command exec include all show ipR1(config-view)# exit


62/165


• A continuación, el administrador deberá verificar la configuraciónmediante la introducción y la visualización de los comandos

disponibles.

– Cuando un usuario entra en la vista CLI, aparece un mensaje de indicación.

– Además de los comandos enable y exit que están disponibles en todoslos puntos de vista, los únicos dos comandos que son visibles en la vista dela CLI configure y show.

R1> enable view FIRSTPassword:

%PARSER-6-VIEW_SWITCH:successfully set to view ‘FIRST'.R1# ?

Exec commands:configure Enter configuration mode

enable Turn on privileged commands

exit Exit from the EXEC

show Show running system information


63/165


• A fin de verificar la configuración de la vista, el administradorobserva las opciones disponibles del comando show.

– Las opciones disponibles incluyen parser, que siempre está disponible, ylas palabras clave configuradas ip y version.

R1# show ?ip IP information

parser Display parser information

version System hardware and software status


64/165


65/165


R1(config)# parser view SHOWVIEW*Mar 1 09:54:54.873: %PARSER-6-VIEW_CREATED: view ‘SHOWVIEW' successfullycreated.

R1(config-view)# secret ciscoR1(config-view)# commands exec include show versionR1(config-view)# exitR1(config)# parser view VERIFYVIEW*Mar 1 09:55:24.813: %PARSER-6-VIEW_CREATED: view ‘VERIFYVIEW' successfullycreated.

R1(config-view)# commands exec include ping% Password not set for the view VERIFYVIEW

R1(config-view)# secret cisco5R1(config-view)# commands exec include pingR1(config-view)# exitR1(config)# parser view REBOOTVIEWR1(config-view)#

*Mar 1 09:55:52.297: %PARSER-6-VIEW_CREATED: view ‘REBOOTVIEW' successfully

created.R1(config-view)# secret cisco10R1(config-view)# commands exec include reloadR1(config-view)# exit


66/165


R1# show running-config

parser view SHOWVIEW

secret 5 $1$GL2J$8njLecwTaLAc0UuWo1/Fv0

commands exec include show version

commands exec include show

!parser view VERIFYVIEW

secret 5 $1$d08J$1zOYSI4WainGxkn0Hu7lP1

commands exec include ping

!

parser view REBOOTVIEW

secret 5 $1$L7lZ$1Jtn5IhP43fVE7SVoF1pt.

commands exec include reload

!


67/165


• Superviews contienen vistas pero no comandos.

• Dos Superviews pueden utilizar el mismo punto de vista.• Por ejemplo, tanto Superview 1 y Superview 2 pueden incluir CLI

View 4.

Vista #2command exec …



Superview #1




Superview #2

CLI Vistas

Root Ver

View #2command exec …








68/165


• Una vista de la CLI se puede compartir entre varios supervista.

• Las órdenes no se pueden configurar para un supervista.

– Commands are added to CLI views.

– Users who are logged in to a superview can access all of the commands thatare configured for any of the CLI views that are part of the supervista.

• Cada supervista tiene una contraseña que se utiliza para cambiarentre superviews o desde un punto de vista de la CLI a un

supervista.• Si se elimina un supervista, no se eliminan puntos de vista de la

CLI asociados con ese supervista.


69/165


• Al añadir la palabra clave superview al parser view comando crea unsupervista y entra en el modo de vista de la configuración.

• Establece una contraseña para proteger el acceso a la supervista.

• La contraseña debe ser creado inmediatamente después de la creación de una

visión de lo contrario aparecerá un mensaje de error.

• Adds a CLI view to a superview.

• Se pueden añadir múltiples puntos de vista.• Las vistas pueden ser compartidos entre superviews.

Router(config)#

parser view view-name superview


secret encrypted-password


view view-name


70/165


R1(config)# parser view USER superview* Mar 1 09:56:26.465 : %PARSER-6-SUPER_VIEW_CREATED: super view 'USER' successfully created.R1(config-view)# secret ciscoR1(config-view)# view SHOWVIEW*Mar 1 09:56:33.469: %PARSER-6-SUPER_VIEW_EDIT_ADD: view SHOWVIEW added to superview USER.

R1(config-view)# exitR1(config)# parser view SUPPORT superview*Mar 1 09:57:33.825 : %PARSER-6-SUPER_VIEW_CREATED: super view 'SUPPORT' successfullycreated.

R1(config-view)# secret cisco1R1(config-view)# view SHOWVIEW*Mar 1 09:57:45.469: %PARSER-6-SUPER_VIEW_EDIT_ADD: view SHOWVIEW added to superview SUPPORT.R1(config-view)# view VERIFYVIEW*Mar 1 09:57:57.077: %PARSER-6-SUPER_VIEW_EDIT_ADD: view VERIFYVIEW added to superview

SUPPORT.R1(config-view)# exitR1(config)# parser view JR-ADMIN superview*Mar 1 09:58:09.993: %PARSER-6-SUPER_VIEW_CREATED: super view 'JR-ADMIN' successfully

created.R1(config-view)# secret cisco2R1(config-view)# view SHOWVIEW*Mar 1 09:58:26.973: %PARSER-6-SUPER_VIEW_EDIT_ADD: view SHOWVIEW added to superview JR-ADMIN.

R1(config-view)# view VERIFYVIEW

*Mar 1 09:58:31.817: %PARSER-6-SUPER_VIEW_EDIT_ADD: view VERIFYVIEW added to superview JR-ADMIN.

R1(config-view)# view REBOOTVIEW*Mar 1 09:58:39.669: %PARSER-6-SUPER_VIEW_EDIT_ADD: view REBOOTVIEW added to superview JR-

ADMIN.R1(config-view)# exit


71/165


R1# show running-config

!

parser view SUPPORT superview

secret 5 $1$Vp1O$BBB1N68Z2ekr/aLHledts.

view SHOWVIEW

view VERIFYVIEW

!parser view USER superview

secret 5 $1$E4k5$ukHyfYP7dHOC48N8pxm4s/

view SHOWVIEW

!

parser view JR-ADMIN superview

secret 5 $1$8kx2$rbAe/ji220OmQ1yw.568g0

view SHOWVIEW

view VERIFYVIEW

view REBOOTVIEW!


72/165


R1# enable view USERPassword:

*Mar 1 09:59:46.197: %PARSER-6-VIEW_SWITCH: successfully set to view 'USER'.

R1# ?Exec commands:enable Turn on privileged commands

exit Exit from the EXEC

show Show running system information

R1#

R1# show ?flash: display information about flash: file system

version System hardware and software status

R1#


73/165


74/165


75/165


• Al supervisar CLI basado en roles, utilice la vista comando showpara mostrar información acerca de la opinión de que el usuario

está actualmente.

– La palabra all muestra toda la información clave para todas las vistasconfiguradas.

– La palabra clave all está disponible sólo para usuarios root.

– Sin embargo, la palabra clave puede ser configurado por un usuario en lavista de la raíz a estar disponible para los usuarios en cualquier vista de laCLI.

• Para mostrar los mensajes de depuración para todas las vistas,utilice el debug parser view comando en modo EXECprivilegiado.


76/165


R1# show parser view

No view is active ! Currently in Privilege Level ContextR1#

R1# enable viewPassword:

*Mar 1 10:38:56.233: %PARSER-6-VIEW_SWITCH: successfully set to view 'root'.

R1#

R1# show parser viewCurrent view is 'root'

R1#

R1# show parser view allViews/SuperViews Present in System:

SHOWVIEW

VERIFYVIEW

REBOOTVIEW

SUPPORT *

USER *

JR-ADMIN *

ADMIN *

-------(*) represent superview-------

R1#


77/165


• Si un router se ve comprometida, hay un riesgo de que el laimagen del sistema operativo y de configuración se pueden

borrar. – Amenaza la disponibilidad (tiempo de inactividad)

• Necesidad de asegurar el bootsistem primaria. – El archivo de configuración y la imagen IOS que se ejecuta

• SCP Nota: Además de los archivos de configuración defunciones, configuración de imagen y recuperación se puedencopiar de forma segura a otro dispositivo mediante Secure Copy(SCP).

– Proporciona un método seguro y autenticado para copiar archivos de imagende configuración del router o enrutador entre dispositivos.

– Se basa en Secure Shell (SSH).


78/165


• La característica de configuración Resilient Cisco IOS permite aun router para asegurar y mantener una copia de trabajo de la

imagen en ejecución y los archivos de configuración.

– Acelera el proceso de recuperación.

– Los archivos se almacenan de forma local.

– Característica se puede desactivar a través de una sesión de consola.


79/165


• Para activar Cisco IOS imagen de recuperación, utilice:

• Para guardar una copia segura del bootset primaria en el

almacenamiento permanente, utilice:

Router(config)#

R1(config)# secure boot-imageR1(config)# secure boot-config

secure boot-image

Router(config)#

secure boot-config


80/165


• Para mostrar el estado de la capacidad de recuperación deconfiguración y el nombre del archivo bootset primaria, utilice el

comando:

R1# show secure bootset

IOS resilience router id JMX0704L5GH

IOS image resilience version 12.3 activated at 08:16:51 UTC Sun Jun 16 2005Secure archive slot0:c3745-js2-mz type is image (elf) []

file size is 25469248 bytes, run size is 25634900 bytes

Runnable image, entry point 0x80008000, run from ram

IOS configuration resilience version 12.3 activated at 08:17:02 UTC Sun Jun 16

2002

Secure archive slot0:.runcfg-20020616-081702.ar type is config configuration

archive size 1059 bytes


81/165


• Si un router se ve comprometida, lo que tienes que volver acargarlo para iniciar el procedimiento de recuperación.

– La recarga no siempre es necesario y puede depender de las circunstancias.

• Es necesario ingresar en modo ROMMON. – Utilice los comandos dir y boot para listar el contenido del dispositivo con

bootset seguro y arrancar el router utilizando la imagen bootset seguro.

rommon 1 >

dir [filesystem:] boot [ partition-number :][filename]


82/165


• Tras el arranque del router y si se ha eliminado la configuraciónde inicio, el router le pedirá configurar entrada interactiva.

– Negarse a entrar en una sesión de configuración interactiva.

• Use el comando secure boot-config restore pararecuperar la configuración de inicio seguro.Router(config)#

secure boot-config [restore filename]

rommon 1 > dir slot0:rommon 2 > boot slot0:c3745-js2-mz

....Router(config)# secure boot-config restore slot0:RESCUE-CFGRouter# copy slot0:RESCUE-CFG running-config


83/165


Router# dir flash:Directory of flash:/

1 -rw- 23587052 Jan 9 2010 17:16:58 +00:00 c181x-advipservicesk9-mz.124-24.T.bin

2 -rw- 600 Sep 26 2010 07:28:12 +00:00 vlan.dat

128237568 bytes total (104644608 bytes free)

Router# dir nvram:Directory of nvram:/

189 -rw- 1396 startup-config

190 ---- 24 private-config

191 -rw- 1396 underlying-config1 -rw- 0 ifIndex-table

2 -rw- 593 IOS-Self-Sig#3401.cer

3 ---- 32 persistent-data


84/165


• Fije la imagen del IOS.

• Asegure el archivo de configuración de inicio.R1# config tR1(config)# secure boot-imageR1(config)#

%IOS_RESILIENCE-5-IMAGE_RESIL_ACTIVE: Successfully secured running image

R1(config)# secure boot-configR1(config)#

%IOS_RESILIENCE-5-CONFIG_RESIL_ACTIVE: Successfully secured config archive

[flash:.runcfg-20101017-020040.ar]


85/165


• Compruebe la configuración de la recuperación del IOS.

R1# show secure bootsetIOS resilience router id FHK110913UQ

IOS image resilience version 12.4 activated at 02:00:30 UTC Sun Oct 17 2010

Secure archive flash:c181x-advipservicesk9-mz.124-24.T.bin type is image (elf) []

file size is 23587052 bytes, run size is 23752654 bytes

Runnable image, entry point 0x80012000, run from ram

IOS configuration resilience version 12.4 activated at 02:00:41 UTC Sun Oct 17

2010

Secure archive flash:.runcfg-20101017-020040.ar type is config

configuration archive size 1544 bytes


86/165


• Verifique la flash para asegurarse de que el archivo de imagendel IOS está protegida.

R1# dir flash:Directory of flash:/

2 -rw- 600 Sep 26 2010 07:28:12 +00:00 vlan.dat



87/165


• Verifique la configuración borrando la configuración de inicio yrecargar el router.

R1# erase startup-configErasing the nvram filesystem will remove all configuration files! Continue?

[confirm]

[OK]

Erase of nvram: complete

R1# show startup-configstartup-config is not present

R1# reload

System configuration has been modified. Save? [yes/no]: nProceed with reload? [confirm]

...

Router> enableRouter# show secure bootset%IOS image and configuration resilience is not active


88/165


• Extraiga el archivo de configuración de inicio de copia deseguridad del archivo seguro y guardarlo.

• Vuelva a colocar la configuración actual con el archivo.

Router# config tRouter(config)# secure boot-config restore flash:archived-configios resilience:configuration successfully restored as flash:archived-config

Router(config)# ^CRouter# configure replace flash:archived-configThis will apply all necessary additions and deletions

to replace the current running configuration with the

contents of the specified configuration file, which is

assumed to be a complete configuration, not a partial

configuration. Enter Y if you are sure you want to proceed. ? [no]: yTotal number of passes: 1

Rollback Done

R1# copy run start


89/165


• Para probar que la función de imagen de arranque de seguridadfunciona, formato flash.

R1# format flash:Format operation may take a while. Continue? [confirm]

Format operation will destroy all data in "flash:". Continue? [confirm]

Writing Monlib sectors...

Monlib write complete

Format: All system sectors written. OK...

Format: Total sectors in formatted partition: 250848

Format: Total bytes in formatted partition: 128434176

Format: Operation completed successfully.

Format of flash: complete

R1#


90/165


• Compruebe que el flash se borra y vuelve a cargar el router.

R1# dirDirectory of flash:/

No files in directory


Router# reloadProceed with reload? [confirm]

*Oct 17 02:37:37.127: %SYS-5-RELOAD: Reload requested by console. Reload Reason

: Reload Command.


91/165


• Arranca el router utilizando la imagen de IOS garantizado.

...

cisco Systems, Inc.

170 West Tasman Drive

San Jose, California 95134-1706

Cisco IOS Software, C181X Software (C181X-ADVIPSERVICESK9-M), Version 12.4(24)T,

RELEASE SOFTWARE (fc1)Technical Support: http://www.cisco.com/techsupport

Copyright (c) 1986-2009 by Cisco Systems, Inc.

Compiled Thu 26-Feb-09 03:22 by prod_rel_team

...

R1> enablePassword:


92/165


• En el caso de que un router se vea comprometido o necesita serrecuperado de una contraseña mal configurado, un administrador

debe entender los procedimientos de recuperación decontraseña.

• Por razones de seguridad, recuperación de contraseñas requiere

que el administrador tenga acceso físico al router a través de uncable de consola.


93/165



94/165



95/165



96/165



97/165


• Acceso Router debe ser protegido a través de la consola,auxiliar, y líneas vty / puertos.

• De forma predeterminada, los puertos de consola del routerCisco permiten una señal BREAK (dentro de los 60 segundos deun reinicio) para interrumpir la secuencia de arranque normal y

dar al usuario un control completo de consola del router.


98/165


• El comando de recuperación de contraseña de ningún servicio sepuede utilizar para desactivar la secuencia recuperación forzada.

– El comando es un comando oculto Cisco IOS.

• PRECAUCIÓN: – Se desactivará Todos los accesos a la ROMmon.

– Para reparar el router, debe obtener una nueva imagen de IOS de Cisco enun SIMM Flash, o en una tarjeta PCMCIA (3600) o devolver el router Cisco.

• NO USE ESTE COMANDO EN NUESTRO LABORATORIO!


99/165


R1(config)# no service password-recoveryWARNING:

Executing this command will disable password recovery mechanism.

Do not execute this command without another plan for password recovery.

Are you sure you want to continue? [yes/no]: yesR1(config)

R1# sho runBuilding configuration...

Current configuration : 836 bytes

!

version 12.4

service timestamps debug datetime msecservice timestamps log datetime msec

service password-encryption

no service password-recovery

System Bootstrap, Version 12.4(13r)T, RELEASE SOFTWARE (fc1)

Technical Support: http://www.cisco.com/techsupport

Copyright (c) 2006 by cisco Systems, Inc.

PLD version 0x10

GIO ASIC version 0x127

c1841 platform with 131072 Kbytes of main memory

Main memory is configured to 64 bit mode with parity disabled

PASSWORD RECOVERY FUNCTIONALITY IS DISABLED

program load complete, entry point: 0x8000f000, size: 0xcb80


100/165


Revisando la Gestión y losReportes Característicos


101/165


• Configuración de la administración por un par de dispositivos esuna operación bastante simple y directa.

• Configuración del registro para cientos de dispositivos puede sermuy difícil.


102/165


• El flujo de información entre los hosts de gestión y los dispositivosadministrados pueden tomar dos caminos.

Fuera de banda (OOB):Los flujos de informacióndentro de una red en la quereside, sin tráfico deproducción.

Dentro de la banda:• La información fluye a través

de la red de la empresa deproducción o de Internet (oambos).


103/165


• Algunas de las preguntas que deben ser considerados en eldiseño de una solución de gestión dentro de banda:

– ¿Qué protocolos de gestión tiene cada soporte de dispositivos?

– ¿Hay que estar activo en todo momento el canal de gestión?

– Es necesario SNMP?

– ¿Qué son los registros más importantes? – ¿Cómo son los mensajes importantes separadas de las notificaciones

ordinarias?

– ¿Cómo se previene la manipulación de los registros?

– ¿Qué datos de registro se necesita en las investigaciones criminales?

– ¿Cómo lidiar con el volumen de los mensajes de registro? – ¿Cómo controla todos los dispositivos?

– ¿Cómo se puede realizar un seguimiento de los cambios cuando seproducen ataques o fallos en la red?


104/165


• Sólo se aplican a dispositivos que necesitan ser gestionado osupervisado.

• Utilizar IPsec cuando sea posible.

• Utilice SSH o SSL en lugar de Telnet.

• Decida si el canal de gestión debe estar abierta en todo

momento.• Mantener los relojes en los hosts y dispositivos de red

sincronizada.

• Registre los cambios y configuraciones de archivo.


105/165


• Proporcionar más alto nivel de seguridad y mitigar el riesgo detransmitir protocolos de manejo inseguras través de la red de

producción.

• Mantener los relojes en los hosts y dispositivos de redsincronizada.

• Registre los cambios y configuraciones de archivo.


106/165


• Los routers deben configurarse para enviar mensajes de registroa uno o más de los siguientes:

– Consola

– líneas de terminales

– buffer de memoria

– servidor SNMP

– servidor Syslog


107/165


• Tenga en cuenta que el destino de registro utilizado afecta ysobrecarga el sistema.

– Inicio de sesión en la consola.

– Registrar en VTY.

– Ingreso a un servidor Syslog.

– Inicio de sesión en un búfer interno.

La mayor parte de arriba

menos gastos generales


108/165


• Servidor Syslog: Un anfitrión que acepta y procesa los mensajesde registro de uno o más clientes syslog.

• Cliente Syslog: Un host, que genera mensajes de registro y lasenvía a un servidor syslog.

– Routers, switches, pixs, ASA, puntos de acceso, servidores, ...


109/165


Nivel más alto

Nivel más bajo

• De forma predeterminada, el nivel de gravedad 7 (depuración) Losmensajes se envían al puerto de consola del router (con0 línea).

• NOTA: El nivel varía según la plataforma y la liberación de IOS.


110/165


Nivel y Nombre Definición Ejemplo

0 LOG_EMERG Una condición de pánico normalmente difunde a todos losusuarios. Software Cisco IOS nopudo cargar.

1 LOG_ALERT Una condición que debe ser corregida de inmediato, comouna base de datos del sistema dañado.

La temperatura esdemasiado alta.

2 LOG_CRIT Condiciones críticas, por ejemplo, errores de dispositivos dedisco.

No se puede asignarmemoria.

3 LOG_ERR ErroresTamaño de la memoriano válida.

4 LOG_WARNING Los mensajes de advertencia. Crypto operación fallida.

5 LOG_NOTICE Las condiciones que no son las condiciones de error, peroposiblemente deberán dirigirse

Interfaz cambiado deestado, arriba o abajo

6 LOG_INFO mensajes informativos Paquete negada por ACL

7 LOG_DEBUG Los mensajes que contienen la información que normalmentees usada sólo eliminando fallos.

Tipo de paquete invalido.


111/165


Oct 29 10:00:01 EST: %SYS-5-CONFIG_I: Configured from console by vty0 (10.2.2.6)

Marca de Tiempo

Mensaje de

registro Nombre y

Nivel de gravedad

Mensajes de Texto

Nota: El nombre del mensaje de registro no es el mismo que un nombre de nivel de gravedad.


112/165


1. Configure el host de registro de destino.

– Puede especificar la dirección IP o el nombre DNS.


host-name El nombre de la máquina que desea utilizar como servidor syslog.

ip-address La dirección IP de la máquina que desea utilizar como servidor syslog.

Router(config)#

logging host [host-name | ip-address]


113/165


2. (Opcional) Configure el nivel de gravedad del registro (trampa).


levelLimita el registro de mensajes a los servidores syslog a un nivel especificado.Puede introducir el número de nivel (0 a 7) o el nombre del nivel.

Router(config)#

logging trap level


114/165


3. (Opcional) Configure la interfaz de origen. – Especifica que los paquetes de registro del sistema contienen la dirección IP

o IPv6 de una interfaz en particular, independientemente de la interfaz delpaquete utiliza para salir del router.


interface-type El tipo de interfaz (por ejemplo, FastEthernet)

interface-number El número de interfaz (por ejemplo, 0/1)

logging source-interface interface-type interface-number

Router(config)#


115/165


4. Habilitar registro – Puede habilitar o deshabilitar el registro de forma individual:

• [no] logging buffered• [no] logging monitor

– Sin embargo, si el registro no está configurado en el comando, no haymensajes serán enviados a estos destinos.

logging on

Router(config)#


116/165


R3(config)# logging 10.2.2.6R3(config)# logging trap informationalR3(config)# logging source-interface loopback 0R3(config)# logging on

R3

Lo0


117/165


• La opción de control VTY es el método más práctico para lavisualización de eventos de registro en tiempo real.

• Para ver los mensajes del sistema durante una sesión VTY (linevty 0 - 4), monitor de registro se debe configurar.

• Para habilitar el registro de monitor, utilice el comando deconfiguración de registro del monitor [ intensidad ] .


118/165


• Hmmm ...yo tengo Telnet en un router y entré debug ip packet , perono veo ninguna salida. ¿Por qué?

• Usted tiene que introducir el comando enable ejecutivo terminalmonitor para activar el registro y ver la salida de mensajes de laconsola al vty.

• Telnet desde otro servidor y utilice el comando EXEC terminalmonitor para ver la salida.

R3(config)# logging monitorR3(config)# logging monitor error


119/165


• Se recomienda establecer dos sesiones de VTY:

– Uno para la visualización de datos de informes de eventos.

– El otro para la ejecución de comandos.

• ¿Por qué?

– Una terminal de monitoreo está activado, no se puede desactivar en la sesiónVTY.

– Una gran cantidad de datos de registro se puede generar, oscureciendo el

VTY con el registro de salida y la toma de entrada de comandos es muy difícila veces.


120/165


Configuración NTP

“ El ti h i t d l i t d ib


121/165


• “ El tiempo se ha inventado en el universo porque todo no iba apasar a la vez.”

– El NTP FAQ y HOWTO - http://www.ntp.org/ntpfaq/

• Muchas de las características de una red de PC dependen de lasincronización de tiempo:

– Para obtener información de la hora exacta de los mensajes syslog.

– Certificado de autenticación basada en VPN.

– ACL con la configuración de rango de tiempo

El cora ón de tiempo del ro ter es el reloj del sistema basado en

http://translate.google.com/translate?hl=es&prev=_t&sl=en&tl=es&u=http://www.ntp.org/ntpfaq/http://translate.google.com/translate?hl=es&prev=_t&sl=en&tl=es&u=http://www.ntp.org/ntpfaq/


122/165


• El corazón de tiempo del router es el reloj del sistema basado ensoftware. – Este reloj realiza un seguimiento del tiempo a partir del momento se inicia el

sistema.

• El reloj del sistema se puede configurar a partir de un número defuentes y se puede utilizar para distribuir la hora actual a travésde diversos mecanismos a otros sistemas.

• El reloj del sistema se puede establecer: – Utilizando manualmente el reloj comando EXEC privilegiado. – Automáticamente utilizando el protocolo de tiempo de red (NTP).

• NTP es un protocolo de Internet que se utiliza para sincronizarlos relojes de los dispositivos conectados a la red en ciertareferencia de tiempo. NTP es un protocolo estándar de Internetactualmente en v3 y especificado en el RFC 1305.

NTP está diseñado para sincronizar el tiempo una red


123/165


• NTP está diseñado para sincronizar el tiempo una red. – NTP se ejecuta sobre UDP.

• Una red NTP generalmente obtiene el tiempo desde una fuente de horaautorizada, tal como un reloj de radio. – NTP luego distribuye esta vez a través de la red. – NTP es extremadamente eficiente; no más de un paquete por minuto es

necesario sincronizar dos máquinas dentro de 1 mseg de uno al otro.

• Dispositivos Cisco soportan NTP v3 (RFC 1305). – NTP v4 está en desarrollo, pero NTP v3 es el estándar de Internet.

• Servicios NTP están habilitadas en todas las interfaces por defecto. – Para desactivar NTP en una interfaz específica, utilice el ntp deshabilitar

P fi t l f t h i t id d


124/165


• Para configurar un router como la fuente horaria con autoridad,utilice el ntp master en modo de configuración global.

• Para configurar un router como un cliente NTP, ya sea:

– Crear una asociación a un servidor utilizando elservidor NTP

.

– Configure el router para escuchar NTP paquetes de difusión utilizandoel cliente ntp broadcast.

A l t d fi l i d


125/165


• Aunque el router puede configurarse con cualquiera de un par ouna asociación de servidor, los clientes NTP se configuran

típicamente con un servidor de asociación (lo que significa quesólo este sistema se sincronizará con el otro sistema, y no alrevés).

• Para permitir que el reloj de software para la sincronización conun servidor de hora NTP, utilice el servidor NTP en modo deconfiguración global.

• .

ntp server {ip-address | hostname} [version number ] [key keyid ] [source interface][prefer]

Router(config)#

NTP broadcast client Además de o en l gar de la creación de


126/165


• NTP broadcast client: Además de o en lugar de la creación deasociaciones de unidifusión NTP, el sistema puede ser

configurado para escuchar para transmitir paquetes sobre unabase por interfaz.

• Para ello, utilice el cliente ntp broadcast comando en modo de

configuración de interfaz.

ntp broadcast client

Router(config-if)#

El tiempo que mantiene una máquina es un recurso crítico por lo


127/165


• El tiempo que mantiene una máquina es un recurso crítico, por loque las características de seguridad de NTP se deben utilizar

para evitar el ajuste accidental o malicioso de tiempo correctos.

• Dos mecanismos están disponibles:

• – Esquema de restricción basada en ACL

– Cifradas de autenticación


128/165


Command Description

ntp authenticate

Activa la función de autenticación de NTP.Si no se especifica este comando, el sistema no sesincronizará con otro sistema a menos que mensajesNTP de otro sistema 'llevan una de las claves deautenticación especificados

ntp authentication-key number md5 value

Define una clave de autenticación compatible con

MD5.La nomenclatura md5 es el único tipo de clave queeste comando admite.El valor de la clave puede ser cualquier cadenaarbitraria de hasta ocho caracteres.

ntp trusted-key key-number Define las claves de autenticación de confianza..

Activar la función de autenticación


129/165


• Activar la función de autenticación.

• Definir la clave de autenticación para ser utilizado tanto para lasasociaciones entre pares y el servidor.

• Definir qué tecla es confiable.

Router(config)#

ntp authentication-key key-number md5 value

Router(config)#

ntp trusted-key key-number

Router(config)#

ntp authentication


130/165


R1(config)# ntp master 5R1(config)# ntp authentication-key 1 md5 R1-SECRETR1(config)# ntp peer 209.165.200.225 key 1

R2(config)# ntp authentication-key 1 md5 R1-SECRETR2(config)# ntp authentication-key 2 md5 R2-SECRETR2(config)# ntp trusted-key 1R2(config)# ntp server 209.165.201.1R2(config)# interface Fastethernet0/0R2(config-if)# ntp broadcast

R3(config)# ntp authentication-key 1 md5 R2-SECRETR3(config)# ntp trusted-key 1R3(config)# interface Fastethernet0/1R3(config-if)# ntp broadcast client

R1 R2 R3

209.165.200.225Internet

209.165.201.1 Fa0/0 Fa0/1


131/165


La desactivación de servicios einterfaces de red Cisco noutilizados del router

• Las redes medianas y grandes suelen utilizar un dispositivo de


132/165


• Las redes medianas y grandes suelen utilizar un dispositivo decortafuegos (PIX / ASA) detrás del router perimetral, que agrega

características de seguridad y lleva a cabo la autenticación deusuario y el paquete más avanzado de filtrado.

• Instalaciones Firewall también facilitan la creación de zonas

desmilitarizadas (DMZ), donde la protección del firewall adeterminados 'lugares' que se accede habitualmente a través deInternet.

• Como alternativa el software Cisco IOS puede incorporar


133/165


• Como alternativa, el software Cisco IOS puede incorporarmuchas características de firewall en el router de perímetro.

– Opción válida únicamente para los requisitos de seguridad perimetral denegocios pequeños a medianos.

• Sin embargo, en los routers Cisco IOS se ejecutan muchosservicios que crean vulnerabilidades potenciales.

– Para asegurar una red de empresa, todos los servicios que no seannecesarios y las interfaces del router debe estar desactivados.

Router Service Descripción Defecto Mejores Prácticas


134/165


Router Service Descripción Defecto Mejores Prácticas

BOOTP server

• Este servicio permite a un router para que actúecomo un servidor BOOTP para otros routers.

• Si no es necesario, desactive este servicio.

HabilitadoDeshabilitar.

no ip server BOOTP

Cisco Discovery

Protocol (CDP)

• CDP obtiene la información de los dispositivosCisco vecinos Si no es necesario, desactive esteservicio a nivel mundial o en función de cadainterfaz.

HabilitadoNo si no es necesario.

no cdp run

Configuration auto-

loading

• Auto-carga de archivos de configuración de unservidor de red debe permanecer desactivadocuando no esté en uso por el router.

DesabilitadoNo si no es necesario.

no service config

FTP server

• El servidor FTP permite utilizar el router como unservidor FTP para las solicitudes de cliente FTP

• Debido a que este servidor permite el acceso aciertos archivos en la memoria f lash del router, esteservicio debe ser desactivado cuando no esnecesario..

DesabilitadoNo si no es necesario.Si no cifrar el tráfico IPdentro de un túnel etc.

TFTP server • Igual que el FTP. DesabilitadoNo si no es necesario.Si no cifrar el tráfico IPdentro de un s túnel etc

Network Time Protocol

(NTP) service

• Cuando está activado, el router actúa como unservidor de tiempo para otros dispositivos de red

• Si se ha configurado insegura, NTP se puedeutilizar para corromper el reloj enrutador y,potencialmente, el reloj de otros dispositivos queaprender el tiempo desde el router

• Si se utiliza este servicio, restringir que losdispositivos tienen acceso a NTP.

Desabilitado

No si no es necesario.De lo contrario NTPv3configurar el acceso y elcontrol entre losdispositivos permitidoscon ACL.


135/165


Servicio Router Descripción Defecto Mejores Prácticas

Ensamblador y

desensamblador de

paquetes (PAD)

Servicio

• El servicio permite el acceso a PAD X.25 PADcomandos al enviar paquetes X.25.

Habilitar No si no es necesario.

Servicios TCP y UDP

menor

• Los servicios menores son proporcionados porpequeñas servidores (demonios) que seejecutan en el router. Los servicios sonpotencialmente útiles para el diagnóstico, perose utilizan raramente.

Habilitar (pre11.3)

Desabilitado(11.3+)

No si no es necesario. no hay serviciotcp-

small-servers

no hay servicioudp-small-servers

Mantenimiento

Operación Protocolo

(MOP) Servicio

• MOP es un (DEC) protocolo de mantenimientoDigital Equipment Corporation que se debendesactivar explícitamente cuando no esté enuso.

HabilitarDesactivar

explícitamente si

no es necesario.

Servicio Descripción Defecto Mejores Prácticas


136/165


Simple NetworkManagement

Protocol (SNMP)

• El servicio SNMP permite que el routerresponde a consultas SNMP remotos ypeticiones de configuración

• Si es necesario, restringir los sistemas SNMPtienen acceso al agente SNMP del router y usarSNMPv3 siempre que sea posible porque laversión 3 ofrece una comunicación segura deque no está disponible en las versionesanteriores de SNMP.

Habilitado Desactivar elservicio. De lo contrarioconfigurar SNMPv3.

Configuración de

HTTP y monitoreo

• Este servicio permite que el router puedemonitorizar o tener la configuración del routermodificado desde un navegador web a travésde una aplicación, como el Administrador dedispositivos de seguridad Cisco (SDM). Usteddebe desactivar este servicio si no se requiereel servicio. Si se requiere este servicio,restringir el acceso al servicio HTTP del routermediante el uso de listas de control de acceso(ACL).

Dispositivodependientes

No si no es necesario,Restringir el acceso

mediante ACLs.no ip http server

Sistema de nombres

de dominio (DNS)

• Por defecto, los routers Cisco presentan laspeticiones de nombres a 255.255.255.255.

• Restringir este servicio mediante ladesactivación de DNS cuando no se requiera elservicio.

• Si se requiere el servicio de búsqueda de DNS,asegúrese de que ha configurado la direccióndel servidor DNS de forma explícita.

Serviciocliente -

Habilitado

No si no es necesario.De lo contrario

configurarexplícitamente la

dirección del servidorDNS.

no ip domain-lookupno ip name-server

Mecanismos deDescripción Defecto Mejores Prácticas


137/165


Integridad PathDescripción Defecto Mejores Prácticas

Redirecciones

ICMP

• Redirecciones ICMP causan el router paraenviar mensajes de redireccionamiento ICMP

cada vez que el router está obligado a enviarun paquete a través de la misma interfaz en la

que se recibió el paquete.• Esta información puede ser utilizada por los

atacantes para redirigir paquetes a undispositivo no es de confianza.

Habilitado Desactivar el servicio.

Fuente de

enrutamiento

IP

• El protocolo IP soporta enrutamiento de origenopciones que permiten al remitente de undatagrama IP para controlar la ruta que undatagrama se llevará hacia eldatagrama 'destino finales, y en general la rutaque tomará ninguna respuesta

• Estas opciones pueden ser explotadas por unatacante para eludir la ruta de enrutamientodeseado y la seguridad de la red.

• Además, algunas implementaciones de IP

mayores no procesan paquetes de fuente-enrutados correctamente, y los piratasinformáticos pueden ser capaces de bloquearmáquinas que se ejecutan estasimplementaciones mediante el envío dedatagramas con opciones de enrutamiento deorigen.

HabilitadoNo, si no es necesario.no ip source-route

Sondas y funciones

de escaneoDescripción Defecto Mejores Prácticas


138/165


de escaneo

ServicioFinger

• El protocolo escucha (puerto 79) se puedeobtener una lista de los usuarios que

actualmente están conectados al dispositivo.• Las personas no autorizadas pueden usar estainformación para los ataques dereconocimiento.

Habilitado

No si no es necesario.

.no ip fingerno service finger

Notificaciones

inalcanzable

ICMP

• ICMP admite el tráfico IP de transmisión deinformación acerca de las rutas, rutas ycondiciones de red. Routers Cisco envíanautomáticamente mensajes ICMP.

• Los atacantes suelen utilizar tres mensajesICMP:

• Inalcanzable Host• Redireccionar• Mask Reply

• Generación automática de los mensajes debeser desactivado en todas las interfaces,

especialmente las interfaces que se conectan aredes no confiables.

HabilitadoDesactivar explícitamenteen las interfaces no son

de confianza.

Respuesta de

máscara ICMP

• Cuando está activado, este servicio le dice alrouter para responder a las peticiones demáscara ICMP enviando Dichos mensaj

en_ccnas_v11_ch02 español.pdf

Documents