asegurando.equipos
DESCRIPTION
asegurando.equiposTRANSCRIPT
-
Asegurando equipos de red
-
El reforzamiento de equipos es una ciencia inexacta.
Es el cambio de la postura por defecto de un sistema para volverlo ms seguro
Va desde la deshabilitacin de servicios no necesarios hasta el apagado de puertos en un equipo de red
Debe hacerse de forma regular segn los niveles de seguridad y requerimientos de funcionalidad del equipo
Las condiciones a emplear
Polticas de seguridad
Ubicacin del equipo
Perfil de amenazas
Requerimientos funcionales
Requerimientos de administracin
Estrategia de reforzamiento de equipos
-
Polticas de seguridad
Establece la combinacin de requerimientos de reforzamiento que se
tienen
Ubicacin del equipo
Determina los requerimientos de reforzamiento de un equipo en
particular, la ubicacin especfica de un equipo puede determinar la
configuracin que tendr
Perfil de amenazas
Define cmo se puede atacar un equipo, define algunas estrategia en
funcin a la ubicacin del equipo
Estrategia de reforzamiento de equipos
-
Requerimientos funcionales
El mismo tipo de equipo, con el mismo perfil de amenazas, en la
misma pate de la red podr tener requerimientos de reforzamiento
diferentes, en funcin a sus requerimientos funcionales
Requerimientos de administracin
Sistemas diferentes con funciones similares pueden tener
requerimientos de administracin diferentes
Estrategia de reforzamiento de equipos
-
Incluye entre otros:
Routers
Switches
Firewalls
NIDS
Muchos de las caractersticas de cada equipos son similares, por
lo que tambin los aspectos de reforzamiento son similares
Equipos de red
-
Reforzando la poltica de seguridad
perimetral
-
Seguridad fsica
Asegurar la infraestructura del equipamiento en recintos cerrados que:
Sean accesibles nicamente a personal autorizado.
Estn libres de interferencia electroesttica o magntica.
Tengan supresin de fuego.
Tengan controles de temperatura y humedad.
Instalar sistemas de alimentacin ininterrumpida (UPS/SAI)
Mantener componentes de repuesto disponibles para reducir la posibilidad de un ataque DoS debido a fallas elctricas en el edificio.
reas de Seguridad de un enrutador
-
Seguridad del Sistema Operativo
Configurar los enrutadores con la mayor cantidad de memoria posible.
Esto ayuda a protegerlo de algunos ataques DoS.
Utilizar la ltima versin estable del Sistema Operativo que cumpla con los requerimientos de la red.
Mantener una copia de seguridad de las imgenes de los sistemas operativos de los enrutadores y su configuracin.
reas de Seguridad de un enrutador
-
Reforzar el enrutador
Reforzar el control administrativo para asegurar que slo personal autorizado tenga acceso a los equipos y que sus niveles de acceso sean controlados.
Deshabilitar los puertos e interfaces no utilizados para reducir las formas en que se pueda acceder al equipo.
Deshabilitar los servicios no necesarios que puedan ser utilizados por los atacantes para obtener informacin o para explotar el sistema.
reas de Seguridad de un enrutador
-
Restringir la accesibilidad al equipo
Limitar los puertos accesibles, restringir las comunicaciones permitidas, y restringir los mtodos de acceso permitidos.
Registrar y contabilizar todos los accesos
Para propsitos de auditora, se debe registrar a todo aquel que acceda a un equipo, incluyendo lo que hizo y cundo.
Autenticar los accesos
Asegurar que los accesos sean permitidos slo a usuarios, grupos y servicios autenticados.
Limitar el nmero de intentos fallidos de inicio de sesin (login) y el tiempo entre inicios de sesin.
Acceso Administrativo Seguro
-
Acciones autorizadas
Restringir las acciones y vistas permitidas por cualquier usuario, grupo o servicio particular.
Presentar notificaciones legales
Mostrar algn aviso legal, desarrollado en conjunto con la parte legal de la empresa para las sesiones interactivas.
Asegurar la confidencialidad de los datos
Proteger contra copias y vistas los datos sensibles almacenados localmente.
Considerar la vulnerabilidad de los datos en trnsito sobre canales de comunicacin a sniffing, session hijacking, y ataques man-in-the-middle (MITM).
Acceso Administrativo Seguro
-
Utilice contraseas con una longitud de 10 o ms caracteres.
Use contraseas complejas combinando letras minsculas y maysculas, nmeros, smbolos y espacios.
Evite contraseas basadas en repeticiones, palabras de diccionario, secuencias de letras o nmeros, nombres de usuario, nombres de parientes o mascotas, informacin biogrfica como cumpleaos, nmeros de identificacin, nombres de ancestros, o cualquier otra pieza de informacin fcilmente identificable.
Deliberadamente escriba contraseas con errores ortogrficos.
Por ejemplo, Smith = Smyth = 5mYth o Seguridad = 5egurydat.
Cambie las contraseas a menudo para reducir le ventana de oportunidad de uso de la misma por un atacante.
No escriba las contraseas en lugares obvios como el escritorio o el monitor.
Proteccin de Contraseas
-
Para obtener las contraseas, los atacantes:
Observan sobre el hombro.
Adivinan las contraseas basndose en la informacin personal del usuario.
Capturan paquetes TFTP que contengan archivos de configuracin en texto plano.
Utilizan herramientas tales como L0phtCrack o Cain & Abel.
El primer paso para prevenir accesos no autorizados al enrutador es el uso de contraseas fuertes.
Contraseas en un enrutador
-
Todos los enrutadores necesitan tener configuradas contraseas locales para acceso privilegiado y cualquier otro acceso.
Contraseas en un enrutador
-
Cifrar todas las contraseas de los archivos de configuracin de los enrutadores.
Cifrar todas las contraseas
service password-encryption
Router(config)#
R1(config)# service password-encryption
R1(config)# exit
R1# show running-config
enable password 7 06020026144A061E
!
line con 0
password 7 094F471A1A0A
login
!
line aux 0
password 7 01100F175804575D72
login
line vty 0 4
password 7 03095A0F034F38435B49150A1819
login
-
Asegurar las contraseas de las bases de
datos locales R1# conf t
R1(config)# username JR-ADMIN password letmein
% Password too short - must be at least 10 characters. Password configuration
failed
R1(config)# username JR-ADMIN password cisco12345
R1(config)# username ADMIN secret cisco54321
R1(config)# line con 0
R1(config-line)# login local
R1 con0 is now available
Press RETURN to get started.
User Access Verification
Username: ADMIN
Password:
R1>
R1# show run | include username
username JR-ADMIN password 7 060506324F41584B564347
username ADMIN secret 5 $1$G3oQ$hEvsd5iz76WJuSJvtzs8I0
R1#
-
Por defecto, una interfaz administrativa debiera estar activa por 10 minutos despus de la ltima actividad en la sesin.
Despus de ello, la sesin debe finalizar y terminarse.
De igual forma, se deben desactivar todas las sesiones establecidas que no han sido atendidas en un tiempo prudente (10 minutos)
Esto provee un nivel de seguridad adicional si el administrador debe alejarse de su sesin de consola.
Ejemplo, para terminar una sesin de consola no atendida luego de 3 minutos y 30 segundos:
Deshabilitar las conexiones no utilizadas
Sudbury(config)# line console 0
Sudbury(config-line)# exec-timeout 3 30
-
Asegurar los inicios de sesin virtuales
Para mejorar la seguridad de
los inicios de conexin virtuales,
el proceso de inicio de sesin
debiera estar configurado con
parmetros especficos:
Implementar retardos entre
intentos de conexin sucesivos.
Desactivar los inicios de sesin
si se sosspecha de un ataque
DoS.
Generar mensajes de bitcora
para la deteccin de los incios de
sesin.
Welcome to SPAN
Engineering
User Access Verification
Password: cisco
Password: cisco1
Password: cisco12
Password: cisco123
Password: cisco1234
-
Ejemplo, si ocurren ms de 5 intentos de inicios de sesin fallidos en 60
segundos, todos los intentos posteriores se inhabilitan por 120
segundos.
Los equipos del grupo PERMIT-ADMIN podrn conectarse incluso
cuando el inicio de sesin este inhabilitado.
Deshabilitar el inicio de sesin para
intentos excesivos R1# configure terminal
R1(config)# username ADMIN secret cisco54321
R1(config)# line vty 0 4
R1(config-line)# login local
R1(config)# exit
R1(config)# login block-for 120 attempts 5 within 60
R1(config)# ip access-list standard PERMIT-ADMIN
R1(config-std-nacl)# remark Permit only Administrative hosts
R1(config-std-nacl)# permit 192.168.10.10
R1(config-std-nacl)# permit 192.168.11.10
R1(config-std-nacl)# exit
R1(config)# login quiet-mode access-class PERMIT-ADMIN
R1(config)# login delay 10
R1(config)# login on-success log
R1(config)# login on-failure log
R1(config)# exit
-
Se deben utilizar mensajes advirtiendo a los atacantes que no son bienvenidos a la red.
Los mensajes son importantes sobre todo desde al perspectiva legal.
Los intrusos podran decir en un juicio que no encontraron mensajes de advertencia apropiados.
El contenido del mensaje informativo debe ser revisado y aprobado por la parte legal antes de ser implementado.
Indique cul es el uso apropiado del sistema.
Indique que el sistema est siendo monitoreado y que no se debe esperar privacidad al usar dicho sistema.
No utilizar la palabra bienvenido.
Proveer Notificacin Legal
Router(config)#
banner {exec | incoming | login | motd | slip-ppp} d mensaje d
-
Proteger los enrutadores de un ataque remoto es importante, pero tambin se debe controlar quin puede acceder a dicho enrutador.
Un atacante puede acceder a la red y capturar o adivinar los datos del administrador del enrutador y realizar mucho dao.
Las conexiones por Telnet deben deshabilitarse y utilizar en su lugar SSH.
De igual forma varios enrutadores presentan una interfaz web para facilitar su administracin.
Estas interfaces son bastante peligrosas ya que pueden adolecer de mecanismos de proteccin en su programacin.
As mismo pueden intercambiar trfico sin ningn tipo de proteccin.
Hay que utilizar el protocolo SSL para proteger la informacin.
Limitar el acceso
-
Un atacante puede obtenerla contrasea de servicios Telnet.
Capturando la contrasea Telnet
-
Al hacer el seguimiento del flujo de datos Telnet, el atacante
puede capturar el nombre de usuario (Bob) y su contrasea
(cisco123).
Contenido de un flujo Telnet
-
Cuando se utiliza SSH, el atacante no puede ver los
paquetes Telnet.
Configurando SSH
-
Si se hace el seguimiento del flujo de datos, el atacante slo
ve los paquetes TCP y SSH que slo revelan informacin
cifrada inutil.
Contenido de un flujo SSH
-
Configurando SSH Paso 1: Configurar el nombre de dominio.
Paso 2: Generar las claves RSA secretas.
Paso 3: Crear una entrada en la base de datos de usuarios local.
Paso 4: Habilitar las sesiones SSH en la entrada VTY.
R1# conf t
R1(config)# ip domain-name span.com
R1(config)# crypto key generate rsa general-keys modulus 1024
The name for the keys will be: R1.span.com
% The key modulus size is 1024 bits
% Generating 1024 bit RSA keys, keys will be non-exportable...[OK]
R1(config)#
*Dec 13 16:19:12.079: %SSH-5-ENABLED: SSH 1.99 has been enabled
R1(config)# username Bob secret cisco
R1(config)# line vty 0 4
R1(config-line)# login local
R1(config-line)# transport input ssh
R1(config-line)# exit
-
Configuracin de privilegios
Es importante que el administrador de sistemas pueda
conectarse a un dispositivo y administrarlo con seguridad.
Por ello deben agregarse ms configuraciones para
mantener segura a la red.
Debe proporcionarse acceso controlado a todos los empleados de una
empresa, la mayora de los empleados de una empresa solo requiere
acceso a reas especficas de la red.
No todos los trabajos requieren los mismos privilegios de acceso a los
dispositivos de la infraestructura.
-
Configuracin de Privilegios
Las necesidades del operador de seguridad de la red no son las
mismas que las de un ingeniero WAN.
Se deben establecer diferentes niveles de privilegios segn las
actividades que se realizan.
-
Los enrutadores presentan varios niveles de privilegios.
Cisco presenta 16 niveles:
Niveles de privilegios
-
Cuando un enrutador es comprometido, corre el riesgo de que su configuracin y la imagen de su sistema operativo puedan ser borrados.
Es una amenaza contra la disponibilidad (downtime)
Configuracin resistente
-
En el caso de que un enrutador se vea comprometido o necesite
recuperarse de una contrasea mal configurada, el administrador
debe entender todos los pasos del procedimiento de
recuperacin de contraseas.
Por razones de seguridad, la recuperacion de contraseas
requiere que el administrador tenga acceso fsico a los equipos.
Recuperacin de contraseas
-
Recuperacin de contraseas
-
Recuperacin de contraseas
-
Recuperacin de contraseas
-
Recuperacin de contraseas
-
En una red pequea, administrar y monitorear los dispositivos de red es una operacin sencilla. Sin embargo, en una empresa grande con cientos de dispositivos, monitorear, administrar y procesar los mensajes de registros puede ser un desafo.
El registro y el reporte de informacin automticos de dispositivos identificados a hosts de administracin tambin son consideraciones importantes.
Estos registros e informes pueden incluir flujo de contenido, cambios de configuracin y nuevas instalaciones de software, para nombrar algunos.
la mayora de los dispositivos de redes pueden enviar datos de syslog que pueden volverse invaluables en el momento de contrarestar problemas en la red o amenazas de seguridad.
Gestin de registros y bitcoras
-
El flujo de informacin entre los equipos de gestin y los
dispositivos monitoreados puede tomar dos rutas.
Rutas de Informacin
Out of Band (OOB): La Informacin viaja por una
red diferente a la red de produccin.
In-Band: La informacin atraviesa la
red de produccin o el Internet (o ambos).
-
En el diseo de una solucin de gestin in-band debe considerarse lo siguiente: Qu protocolos de gestin soporta cada dispositivo?
El canal de gestin debe estar activo en todo momento?
Es SNMP necesario?
Cules son los registros ms importantes?
Cmo diferenciar los mensajes importantes de las notificaciones ordinarias?
Cmo evitar la manipulacin de los registros?
Cmo estar seguro de la coincidencia de tiempos en los registros?
Qu registros seran necesarios en investigaciones criminales?
Cmo lidiar con el volumen de los mensajes de registro?
Cmo controlar todos los dispositivos?
Cmo realizar un seguimiento de los cambios cuando se producen ataques o fallos en la red?
Consideraciones para la gestin de
registros
-
Aplicarla slo para equipos que necesiten ser gsetionados o monitoreados.
Usar IPSec donde sea posible.
Usar SSH o SSL en vez de Telnet.
Definir si el canal de gestin necesita estar abierto todo el tiempo.
Mantener los relojes de los equipos y dispositivos de red sincronizados.
Registrar los cambios y registrar las configuraciones.
Recomendaciones para Gestin In-Band
-
Provee un mayor nivel de seguridad y mitiga el riesgo de que la informacin de gestin atraviese la red de produccin.
Mantener los relojes de los equipos y dispositivos de red sincronizados.
Registrar los cambios y registrar las configuraciones.
Recomendaciones para Gestin OOB
-
Los enrutadores debieran configurarse para enviar mensajes de bitcora a diferentes destinos:
Consola
Lneas de Terminal
Buffer de memoria
Servidores SNMP
Servidores Syslog
Implementando mensajes de bitcora
para seguridad
-
Considere que el destino de las bitcoras impacta en la
sobrecarga del sistema.
Registrar a la the consola.
Registrar a VTY.
Registrar a un Syslog Server.
Registrar a un buffer interno.
Destinos de la bitcora
Most overhead
Least overhead
-
Niveles de mensajes de Error de Syslog
-
Niveles de Log de Cisco
-
Formato de Mensajes de Syslog
Oct 29 10:00:01 EST: %SYS-5-CONFIG_I: Configured from console by vty0 (10.2.2.6)
Marca de Tiempo
Nombre del
mensaje de
registro y nivel de
severidad
Texto del Mensaje
Nota: El mensaje de registro no necesariamente es el mismo que el nombre del nivel de severidad
-
Implementacin de Syslog
R3(config)# logging 10.2.2.6
R3(config)# logging trap informational
R3(config)# logging source-interface loopback 0
R3(config)# logging on
R3
Lo
0
-
NTP est diseado para sincronizar el tiempo por la red.
NTP corre sobre UDP.
Una red NTP usualmente obtiene el tiempo de una fuente confiable
autorizada, como un reloj de radio o atmico.
NTP distribuye el tiempo por la red.
Es eficiente. No requiere ms de un paquete por minuto para
sincronizar dos equipos con una diferencia de 1 mSec.
NTP v3 (RFC 1305) es el estndar de Internet.
NTP
-
Muchas caractersticas en una red de computadoras requieren de un tiempo sincronizado:
Certidumbre en los mensajes de bitcora Syslog.
Autenticacin baasda en certificados para VPNs.
Configuracin de ACLs con rangos de tiempo
Entendiendo NTP
-
El tiempo que un equipos maneja es un recurso crtico, por lo que, el uso de caractersticas de seguridad para NTP permitirn evitar un malicioso o accidental cambio del tiempo.
Los mecanismos disponibles:
Esquemas de restriccin basados en ACLs.
Autenticacin cifrada.
Seguridad de NTP
-
Router(config)# no ip bootp server
Router(config)# no cdp run
Router(config)# no ip source-route
Router(config)# no ip classless
Router(config)# no service tcp-small-servers
Router(config)# no service udp-small-servers
Router(config)# no ip finger
Router(config)# no service finger
Router(config)# no ip http server
Router(config)# no ip name-server
Router(config)# no boot network
Router(config)# no service config
Deshabilitar Servicios no utilizados Para asegurar una red empresarial, todos los servicios no necesarios en un enrutador deben ser desahabilitados.
-
Servicios no necesarios
Router Service Description Default Best Practice
BOOTP server
This service allows a router to act as a BOOTP
server for other routers.
If not required, disable this service.
Enabled Disable.
no ip bootp server
Cisco Discovery
Protocol (CDP)
CDP obtains information of neighboring Cisco
devices.
If not required, disable this service globally or on a
per-interface basis.
Enabled Disable if not required.
no cdp run
Configuration auto-
loading
Auto-loading of configuration files from a network
server should remain disabled when not in use by
the router.
Disabled Disable if not required.
no service config
FTP server
The FTP server enables you to use your router as
an FTP server for FTP client requests.
Because this server allows access to certain files in
the router Flash memory, this service should be
disabled when not required.
Disabled
Disable if not required.
Otherwise encrypt traffic
within an IPsec tunnel.
TFTP server Same as FTP. Disabled
Disable if not required.
Otherwise encrypt traffic
within an IPsec tunnel.
Network Time Protocol
(NTP) service
When enabled, the router acts as a time server for
other network devices.
If configured insecurely, NTP can be used to
corrupt the router clock and potentially the clock of
other devices that learn time from the router.
If this service is used, restrict which devices have
access to NTP.
Disabled
Disable if not required.
Otherwise configure NTPv3
and control access between
permitted devices using ACLs.
-
Usar slo rutas estticas:
Funciona bien en redes pequeas.
No aconsejado para redes grandes.
Autenticar las actualizaciones de la tabla de enrutamiento:
Configurar el enrutamiento con autenticacin.
Las actualizaciones de un enrutador autenticado aseguran su origen
legtimo.
Protegiendo la integridad de las tablas de
enrutamiento
-
La configuracin de interaces pasivas previene que los atacantes
aprendan acerca de la existencia de enrutadores o protocolos de
enrutamiento utilizados.
Interfaces Pasivas