Asegurando equipos de red

El reforzamiento de equipos es una ciencia inexacta.

Es el cambio de la postura por defecto de un sistema para volverlo ms seguro

Va desde la deshabilitacin de servicios no necesarios hasta el apagado de puertos en un equipo de red

Debe hacerse de forma regular segn los niveles de seguridad y requerimientos de funcionalidad del equipo

Las condiciones a emplear

Polticas de seguridad

Ubicacin del equipo

Perfil de amenazas

Requerimientos funcionales

Requerimientos de administracin

Estrategia de reforzamiento de equipos

Polticas de seguridad

Establece la combinacin de requerimientos de reforzamiento que se

tienen

Ubicacin del equipo

Determina los requerimientos de reforzamiento de un equipo en

particular, la ubicacin especfica de un equipo puede determinar la

configuracin que tendr

Perfil de amenazas

Define cmo se puede atacar un equipo, define algunas estrategia en

funcin a la ubicacin del equipo

Estrategia de reforzamiento de equipos

Requerimientos funcionales

El mismo tipo de equipo, con el mismo perfil de amenazas, en la

misma pate de la red podr tener requerimientos de reforzamiento

diferentes, en funcin a sus requerimientos funcionales

Requerimientos de administracin

Sistemas diferentes con funciones similares pueden tener

requerimientos de administracin diferentes

Estrategia de reforzamiento de equipos

Incluye entre otros:

Routers

Switches

Firewalls

NIDS

Muchos de las caractersticas de cada equipos son similares, por

lo que tambin los aspectos de reforzamiento son similares

Equipos de red

Reforzando la poltica de seguridad

perimetral

Seguridad fsica

Asegurar la infraestructura del equipamiento en recintos cerrados que:

Sean accesibles nicamente a personal autorizado.

Estn libres de interferencia electroesttica o magntica.

Tengan supresin de fuego.

Tengan controles de temperatura y humedad.

Instalar sistemas de alimentacin ininterrumpida (UPS/SAI)

Mantener componentes de repuesto disponibles para reducir la posibilidad de un ataque DoS debido a fallas elctricas en el edificio.

reas de Seguridad de un enrutador

Seguridad del Sistema Operativo

Configurar los enrutadores con la mayor cantidad de memoria posible.

Esto ayuda a protegerlo de algunos ataques DoS.

Utilizar la ltima versin estable del Sistema Operativo que cumpla con los requerimientos de la red.

Mantener una copia de seguridad de las imgenes de los sistemas operativos de los enrutadores y su configuracin.

reas de Seguridad de un enrutador

Reforzar el enrutador

Reforzar el control administrativo para asegurar que slo personal autorizado tenga acceso a los equipos y que sus niveles de acceso sean controlados.

Deshabilitar los puertos e interfaces no utilizados para reducir las formas en que se pueda acceder al equipo.

Deshabilitar los servicios no necesarios que puedan ser utilizados por los atacantes para obtener informacin o para explotar el sistema.

reas de Seguridad de un enrutador

Restringir la accesibilidad al equipo

Limitar los puertos accesibles, restringir las comunicaciones permitidas, y restringir los mtodos de acceso permitidos.

Registrar y contabilizar todos los accesos

Para propsitos de auditora, se debe registrar a todo aquel que acceda a un equipo, incluyendo lo que hizo y cundo.

Autenticar los accesos

Asegurar que los accesos sean permitidos slo a usuarios, grupos y servicios autenticados.

Limitar el nmero de intentos fallidos de inicio de sesin (login) y el tiempo entre inicios de sesin.

Acceso Administrativo Seguro

Acciones autorizadas

Restringir las acciones y vistas permitidas por cualquier usuario, grupo o servicio particular.

Presentar notificaciones legales

Mostrar algn aviso legal, desarrollado en conjunto con la parte legal de la empresa para las sesiones interactivas.

Asegurar la confidencialidad de los datos

Proteger contra copias y vistas los datos sensibles almacenados localmente.

Considerar la vulnerabilidad de los datos en trnsito sobre canales de comunicacin a sniffing, session hijacking, y ataques man-in-the-middle (MITM).

Acceso Administrativo Seguro

Utilice contraseas con una longitud de 10 o ms caracteres.

Use contraseas complejas combinando letras minsculas y maysculas, nmeros, smbolos y espacios.

Evite contraseas basadas en repeticiones, palabras de diccionario, secuencias de letras o nmeros, nombres de usuario, nombres de parientes o mascotas, informacin biogrfica como cumpleaos, nmeros de identificacin, nombres de ancestros, o cualquier otra pieza de informacin fcilmente identificable.

Deliberadamente escriba contraseas con errores ortogrficos.

Por ejemplo, Smith = Smyth = 5mYth o Seguridad = 5egurydat.

Cambie las contraseas a menudo para reducir le ventana de oportunidad de uso de la misma por un atacante.

No escriba las contraseas en lugares obvios como el escritorio o el monitor.

Proteccin de Contraseas

Para obtener las contraseas, los atacantes:

Observan sobre el hombro.

Adivinan las contraseas basndose en la informacin personal del usuario.

Capturan paquetes TFTP que contengan archivos de configuracin en texto plano.

Utilizan herramientas tales como L0phtCrack o Cain & Abel.

El primer paso para prevenir accesos no autorizados al enrutador es el uso de contraseas fuertes.

Contraseas en un enrutador

Todos los enrutadores necesitan tener configuradas contraseas locales para acceso privilegiado y cualquier otro acceso.

Contraseas en un enrutador

Cifrar todas las contraseas de los archivos de configuracin de los enrutadores.

Cifrar todas las contraseas

service password-encryption

Router(config)#

R1(config)# service password-encryption

R1(config)# exit

R1# show running-config

enable password 7 06020026144A061E

!

line con 0

password 7 094F471A1A0A

login

!

line aux 0

password 7 01100F175804575D72

login

line vty 0 4

password 7 03095A0F034F38435B49150A1819

login

Asegurar las contraseas de las bases de

datos locales R1# conf t

R1(config)# username JR-ADMIN password letmein

% Password too short - must be at least 10 characters. Password configuration

failed

R1(config)# username JR-ADMIN password cisco12345

R1(config)# username ADMIN secret cisco54321

R1(config)# line con 0

R1(config-line)# login local

R1 con0 is now available

Press RETURN to get started.

User Access Verification

Username: ADMIN

Password:

R1>

R1# show run | include username

username JR-ADMIN password 7 060506324F41584B564347

username ADMIN secret 5 $1$G3oQ$hEvsd5iz76WJuSJvtzs8I0

R1#

Por defecto, una interfaz administrativa debiera estar activa por 10 minutos despus de la ltima actividad en la sesin.

Despus de ello, la sesin debe finalizar y terminarse.

De igual forma, se deben desactivar todas las sesiones establecidas que no han sido atendidas en un tiempo prudente (10 minutos)

Esto provee un nivel de seguridad adicional si el administrador debe alejarse de su sesin de consola.

Ejemplo, para terminar una sesin de consola no atendida luego de 3 minutos y 30 segundos:

Deshabilitar las conexiones no utilizadas

Sudbury(config)# line console 0

Sudbury(config-line)# exec-timeout 3 30

Asegurar los inicios de sesin virtuales

Para mejorar la seguridad de

los inicios de conexin virtuales,

el proceso de inicio de sesin

debiera estar configurado con

parmetros especficos:

Implementar retardos entre

intentos de conexin sucesivos.

Desactivar los inicios de sesin

si se sosspecha de un ataque

DoS.

Generar mensajes de bitcora

para la deteccin de los incios de

sesin.

Welcome to SPAN

Engineering

User Access Verification

Password: cisco

Password: cisco1

Password: cisco12

Password: cisco123

Password: cisco1234

Ejemplo, si ocurren ms de 5 intentos de inicios de sesin fallidos en 60

segundos, todos los intentos posteriores se inhabilitan por 120

segundos.

Los equipos del grupo PERMIT-ADMIN podrn conectarse incluso

cuando el inicio de sesin este inhabilitado.

Deshabilitar el inicio de sesin para

intentos excesivos R1# configure terminal

R1(config)# username ADMIN secret cisco54321

R1(config)# line vty 0 4

R1(config-line)# login local

R1(config)# exit

R1(config)# login block-for 120 attempts 5 within 60

R1(config)# ip access-list standard PERMIT-ADMIN

R1(config-std-nacl)# remark Permit only Administrative hosts

R1(config-std-nacl)# permit 192.168.10.10

R1(config-std-nacl)# permit 192.168.11.10

R1(config-std-nacl)# exit

R1(config)# login quiet-mode access-class PERMIT-ADMIN

R1(config)# login delay 10

R1(config)# login on-success log

R1(config)# login on-failure log

R1(config)# exit

Se deben utilizar mensajes advirtiendo a los atacantes que no son bienvenidos a la red.

Los mensajes son importantes sobre todo desde al perspectiva legal.

Los intrusos podran decir en un juicio que no encontraron mensajes de advertencia apropiados.

El contenido del mensaje informativo debe ser revisado y aprobado por la parte legal antes de ser implementado.

Indique cul es el uso apropiado del sistema.

Indique que el sistema est siendo monitoreado y que no se debe esperar privacidad al usar dicho sistema.

No utilizar la palabra bienvenido.

Proveer Notificacin Legal

Router(config)#

banner {exec | incoming | login | motd | slip-ppp} d mensaje d

Proteger los enrutadores de un ataque remoto es importante, pero tambin se debe controlar quin puede acceder a dicho enrutador.

Un atacante puede acceder a la red y capturar o adivinar los datos del administrador del enrutador y realizar mucho dao.

Las conexiones por Telnet deben deshabilitarse y utilizar en su lugar SSH.

De igual forma varios enrutadores presentan una interfaz web para facilitar su administracin.

Estas interfaces son bastante peligrosas ya que pueden adolecer de mecanismos de proteccin en su programacin.

As mismo pueden intercambiar trfico sin ningn tipo de proteccin.

Hay que utilizar el protocolo SSL para proteger la informacin.

Limitar el acceso

Un atacante puede obtenerla contrasea de servicios Telnet.

Capturando la contrasea Telnet

Al hacer el seguimiento del flujo de datos Telnet, el atacante

puede capturar el nombre de usuario (Bob) y su contrasea

(cisco123).

Contenido de un flujo Telnet

Cuando se utiliza SSH, el atacante no puede ver los

paquetes Telnet.

Configurando SSH

Si se hace el seguimiento del flujo de datos, el atacante slo

ve los paquetes TCP y SSH que slo revelan informacin

cifrada inutil.

Contenido de un flujo SSH

Configurando SSH Paso 1: Configurar el nombre de dominio.

Paso 2: Generar las claves RSA secretas.

Paso 3: Crear una entrada en la base de datos de usuarios local.

Paso 4: Habilitar las sesiones SSH en la entrada VTY.

R1# conf t

R1(config)# ip domain-name span.com

R1(config)# crypto key generate rsa general-keys modulus 1024

The name for the keys will be: R1.span.com

% The key modulus size is 1024 bits

% Generating 1024 bit RSA keys, keys will be non-exportable...[OK]

R1(config)#

*Dec 13 16:19:12.079: %SSH-5-ENABLED: SSH 1.99 has been enabled

R1(config)# username Bob secret cisco

R1(config)# line vty 0 4

R1(config-line)# login local

R1(config-line)# transport input ssh

R1(config-line)# exit

Configuracin de privilegios

Es importante que el administrador de sistemas pueda

conectarse a un dispositivo y administrarlo con seguridad.

Por ello deben agregarse ms configuraciones para

mantener segura a la red.

Debe proporcionarse acceso controlado a todos los empleados de una

empresa, la mayora de los empleados de una empresa solo requiere

acceso a reas especficas de la red.

No todos los trabajos requieren los mismos privilegios de acceso a los

dispositivos de la infraestructura.

Configuracin de Privilegios

Las necesidades del operador de seguridad de la red no son las

mismas que las de un ingeniero WAN.

Se deben establecer diferentes niveles de privilegios segn las

actividades que se realizan.

Los enrutadores presentan varios niveles de privilegios.

Cisco presenta 16 niveles:

Niveles de privilegios

Cuando un enrutador es comprometido, corre el riesgo de que su configuracin y la imagen de su sistema operativo puedan ser borrados.

Es una amenaza contra la disponibilidad (downtime)

Configuracin resistente

En el caso de que un enrutador se vea comprometido o necesite

recuperarse de una contrasea mal configurada, el administrador

debe entender todos los pasos del procedimiento de

recuperacin de contraseas.

Por razones de seguridad, la recuperacion de contraseas

requiere que el administrador tenga acceso fsico a los equipos.

Recuperacin de contraseas

Recuperacin de contraseas

Recuperacin de contraseas

Recuperacin de contraseas

Recuperacin de contraseas

En una red pequea, administrar y monitorear los dispositivos de red es una operacin sencilla. Sin embargo, en una empresa grande con cientos de dispositivos, monitorear, administrar y procesar los mensajes de registros puede ser un desafo.

El registro y el reporte de informacin automticos de dispositivos identificados a hosts de administracin tambin son consideraciones importantes.

Estos registros e informes pueden incluir flujo de contenido, cambios de configuracin y nuevas instalaciones de software, para nombrar algunos.

la mayora de los dispositivos de redes pueden enviar datos de syslog que pueden volverse invaluables en el momento de contrarestar problemas en la red o amenazas de seguridad.

Gestin de registros y bitcoras

El flujo de informacin entre los equipos de gestin y los

dispositivos monitoreados puede tomar dos rutas.

Rutas de Informacin

Out of Band (OOB): La Informacin viaja por una

red diferente a la red de produccin.

In-Band: La informacin atraviesa la

red de produccin o el Internet (o ambos).

En el diseo de una solucin de gestin in-band debe considerarse lo siguiente: Qu protocolos de gestin soporta cada dispositivo?

El canal de gestin debe estar activo en todo momento?

Es SNMP necesario?

Cules son los registros ms importantes?

Cmo diferenciar los mensajes importantes de las notificaciones ordinarias?

Cmo evitar la manipulacin de los registros?

Cmo estar seguro de la coincidencia de tiempos en los registros?

Qu registros seran necesarios en investigaciones criminales?

Cmo lidiar con el volumen de los mensajes de registro?

Cmo controlar todos los dispositivos?

Cmo realizar un seguimiento de los cambios cuando se producen ataques o fallos en la red?

Consideraciones para la gestin de

registros

Aplicarla slo para equipos que necesiten ser gsetionados o monitoreados.

Usar IPSec donde sea posible.

Usar SSH o SSL en vez de Telnet.

Definir si el canal de gestin necesita estar abierto todo el tiempo.

Mantener los relojes de los equipos y dispositivos de red sincronizados.

Registrar los cambios y registrar las configuraciones.

Recomendaciones para Gestin In-Band

Provee un mayor nivel de seguridad y mitiga el riesgo de que la informacin de gestin atraviese la red de produccin.

Mantener los relojes de los equipos y dispositivos de red sincronizados.

Registrar los cambios y registrar las configuraciones.

Recomendaciones para Gestin OOB

Los enrutadores debieran configurarse para enviar mensajes de bitcora a diferentes destinos:

Consola

Lneas de Terminal

Buffer de memoria

Servidores SNMP

Servidores Syslog

Implementando mensajes de bitcora

para seguridad

Considere que el destino de las bitcoras impacta en la

sobrecarga del sistema.

Registrar a la the consola.

Registrar a VTY.

Registrar a un Syslog Server.

Registrar a un buffer interno.

Destinos de la bitcora

Most overhead

Least overhead

Niveles de mensajes de Error de Syslog

Niveles de Log de Cisco

Formato de Mensajes de Syslog

Oct 29 10:00:01 EST: %SYS-5-CONFIG_I: Configured from console by vty0 (10.2.2.6)

Marca de Tiempo

Nombre del

mensaje de

registro y nivel de

severidad

Texto del Mensaje

Nota: El mensaje de registro no necesariamente es el mismo que el nombre del nivel de severidad

Implementacin de Syslog

R3(config)# logging 10.2.2.6

R3(config)# logging trap informational

R3(config)# logging source-interface loopback 0

R3(config)# logging on

R3

Lo

0

NTP est diseado para sincronizar el tiempo por la red.

NTP corre sobre UDP.

Una red NTP usualmente obtiene el tiempo de una fuente confiable

autorizada, como un reloj de radio o atmico.

NTP distribuye el tiempo por la red.

Es eficiente. No requiere ms de un paquete por minuto para

sincronizar dos equipos con una diferencia de 1 mSec.

NTP v3 (RFC 1305) es el estndar de Internet.

NTP

Muchas caractersticas en una red de computadoras requieren de un tiempo sincronizado:

Certidumbre en los mensajes de bitcora Syslog.

Autenticacin baasda en certificados para VPNs.

Configuracin de ACLs con rangos de tiempo

Entendiendo NTP

El tiempo que un equipos maneja es un recurso crtico, por lo que, el uso de caractersticas de seguridad para NTP permitirn evitar un malicioso o accidental cambio del tiempo.

Los mecanismos disponibles:

Esquemas de restriccin basados en ACLs.

Autenticacin cifrada.

Seguridad de NTP

Router(config)# no ip bootp server

Router(config)# no cdp run

Router(config)# no ip source-route

Router(config)# no ip classless

Router(config)# no service tcp-small-servers

Router(config)# no service udp-small-servers

Router(config)# no ip finger

Router(config)# no service finger

Router(config)# no ip http server

Router(config)# no ip name-server

Router(config)# no boot network

Router(config)# no service config

Deshabilitar Servicios no utilizados Para asegurar una red empresarial, todos los servicios no necesarios en un enrutador deben ser desahabilitados.

Servicios no necesarios

Router Service Description Default Best Practice

BOOTP server

This service allows a router to act as a BOOTP

server for other routers.

If not required, disable this service.

Enabled Disable.

no ip bootp server

Cisco Discovery

Protocol (CDP)

CDP obtains information of neighboring Cisco

devices.

If not required, disable this service globally or on a

per-interface basis.

Enabled Disable if not required.

no cdp run

Configuration auto-

loading

Auto-loading of configuration files from a network

server should remain disabled when not in use by

the router.

Disabled Disable if not required.

no service config

FTP server

The FTP server enables you to use your router as

an FTP server for FTP client requests.

Because this server allows access to certain files in

the router Flash memory, this service should be

disabled when not required.

Disabled

Disable if not required.

Otherwise encrypt traffic

within an IPsec tunnel.

TFTP server Same as FTP. Disabled

Disable if not required.

Otherwise encrypt traffic

within an IPsec tunnel.

Network Time Protocol

(NTP) service

When enabled, the router acts as a time server for

other network devices.

If configured insecurely, NTP can be used to

corrupt the router clock and potentially the clock of

other devices that learn time from the router.

If this service is used, restrict which devices have

access to NTP.

Disabled

Disable if not required.

Otherwise configure NTPv3

and control access between

permitted devices using ACLs.

Usar slo rutas estticas:

Funciona bien en redes pequeas.

No aconsejado para redes grandes.

Autenticar las actualizaciones de la tabla de enrutamiento:

Configurar el enrutamiento con autenticacin.

Las actualizaciones de un enrutador autenticado aseguran su origen

legtimo.

Protegiendo la integridad de las tablas de

enrutamiento

La configuracin de interaces pasivas previene que los atacantes

aprendan acerca de la existencia de enrutadores o protocolos de

enrutamiento utilizados.

Interfaces Pasivas