Seguridad de redes es ahora una parte integral de las redes informticas.

Seguridad de la red implica protocolos, tecnologas, dispositivos, herramientas y tcnicas para proteger los datos y mitigar las amenazas. Soluciones de seguridad de red surgi en la dcada de 1960, pero no maduran hasta convertirse en un conjunto integral de soluciones para redes modernas hasta la dcada de 2000. La seguridad de red es en gran parte impulsado por el afn de ir un paso por delante de los hackers con malas intenciones. Al igual que los mdicos tratan de evitar una nueva enfermedad durante el tratamiento de los problemas existentes, la red de profesionales de la seguridad intenta prevenir ataques potenciales y reducir al mnimo los efectos de los ataques en tiempo real. La continuidad del negocio es otro de los principales impulsores de la seguridad de la red. Organizaciones de seguridad de la red se han creado para establecer comunidades formales de los profesionales de seguridad de la red. Estas organizaciones conforman una especificacin, fomentar la colaboracin y ofrecer oportunidades de desarrollo laboral para los profesionales de la seguridad de la red. Es importante que los profesionales de la red de seguridad para estar al tanto de los recursos proporcionados por estas organizaciones. La complejidad de la seguridad de la red hace que sea difcil de dominar todo lo abarca. Diferentes organizaciones han creado dominios que subdividen el mundo de la seguridad de la red en piezas ms manejables. Esta divisin permite a los profesionales a centrarse en las reas ms precisas de experiencia en su formacin, la investigacin y el empleo. Las polticas de seguridad de la red son creados por empresas y organizaciones gubernamentales para proporcionar un marco de trabajo para los empleados a seguir durante el da a da de trabajo. Profesionales de la seguridad de la red a nivel de gestin es responsable de crear y mantener la poltica de seguridad de red. Todas las prcticas de seguridad de red se relacionan y son guiadas por la poltica de seguridad de red. As como la seguridad de la red se compone de dominios de seguridad de red, ataques de red se clasifican de modo que sea ms fcil de aprender acerca de ellos y tratarlos adecuadamente. Los virus, gusanos y caballos de Troya son tipos especficos de ataques de red. De manera ms general, los ataques de red se clasifican como reconocimiento, el acceso, o ataques de denegacin de servicio. Mitigar los ataques de red es el trabajo de un profesional de seguridad de red. En este captulo, los maestros de aprendices de la teora subyacente de la red de seguridad, que es esencial antes de iniciar una prctica en profundidad de seguridad de red. Los mtodos de mitigacin de ataques de red se introducen aqu, y la aplicacin de estos mtodos comprende el resto de este curso. Una prctica de laboratorio para el captulo, la investigacin de los ataques de red y herramientas de auditora de seguridad, estudiantes de gua a la investigacin de los ataques de red y herramientas de auditora de seguridad. Describir la evolucin de la seguridad de la red. Describir los controladores de seguridad de red. Describir las principales organizaciones de la red de seguridad. Describir los mbitos de la seguridad de la red. Descripcin de las polticas de seguridad de red. Describir los virus, gusanos y caballos de Troya. Describir la forma de mitigar las amenazas de virus, gusanos y caballos de Troya. Describa cmo se clasifican los ataques de red. Describir los ataques de reconocimiento.

Describir los ataques de acceso. Describir los ataques de Denegacin de Servicio. Describir la forma de mitigar los ataques de red .. EVOLUCION En julio de 2001, el gusano Code Red atacaron los servidores web a nivel mundial, infectando a ms de 350.000 hosts. El gusano no slo obstaculiz el acceso a los servidores infectados, pero tambin afect a las redes locales de alojamiento de los servidores, lo que son muy lentos o inutilizable. El gusano Code Red causado una denegacin de servicio (DoS) a millones de usuarios. Si los profesionales de la seguridad de red responsables de estos cdigos rojos infectados servidores haban desarrollado e implementado una poltica de seguridad, parches de seguridad que se han aplicado en el momento oportuno. El gusano Code Red habra sido detenido y slo merecera una nota al pie en la historia de la red de seguridad. Seguridad de la red est directamente relacionada con la continuidad del negocio de una organizacin. Infracciones de seguridad de red pueden interrumpir el comercio electrnico, causar la prdida de datos empresariales, amenazar privacidad de las personas (con las consecuencias legales potenciales), y poner en peligro la integridad de la informacin. Estas infracciones pueden resultar en la prdida de ingresos para las empresas, el robo de propiedad intelectual, y demandas, e incluso pueden poner en peligro la seguridad pblica. El mantenimiento de una red segura garantiza la seguridad de los usuarios de la red y protege los intereses comerciales. Para mantener una red segura requiere una vigilancia por parte de los profesionales de la organizacin de seguridad de red. Profesionales de la seguridad de la red debe estar constantemente al tanto de las amenazas nuevas y en desarrollo y los ataques a las redes y vulnerabilidades de los dispositivos y aplicaciones. Esta informacin se utiliza para adaptar, desarrollar y poner en prctica tcnicas de mitigacin. Sin embargo, la seguridad de la red es en ltima instancia la responsabilidad de todos los que lo utiliza. Por esta razn, es el trabajo de la red de seguridad profesional para asegurarse de que todos los usuarios reciban una formacin de concienciacin sobre seguridad. El mantenimiento de una red segura y protegida proporciona un entorno ms estable y trabajo funcional para todos. La necesidad es la madre de la invencin ". Este dicho se aplica perfectamente a la seguridad de la red. En los primeros das de la Internet, los intereses comerciales eran insignificantes. La gran mayora de los usuarios son de investigacin y expertos en desarrollo. Los primeros usuarios rara vez se dedican a actividades que pudieran daar otros usuarios. El Internet no es un medio ambiente seguro, ya que no tena por qu serlo. Desde el principio, la creacin de redes involucradas conectar a las personas y las mquinas a travs de los medios de comunicacin. El trabajo de un networker era conseguir que los dispositivos conectados a mejorar la capacidad de las personas para comunicar informacin e ideas. Los primeros usuarios de Internet no pasamos mucho tiempo pensando acerca de si o no sus actividades en lnea presenta una amenaza a la red oa sus propios datos. Cuando los primeros virus se desata y se produjo el primer ataque DoS, el mundo comenz a cambiar para los profesionales de redes. Para satisfacer las necesidades de los usuarios, los profesionales de la red aprendieron tcnicas para asegurar las redes. El enfoque principal de muchos profesionales de la red evolucion desde el diseo, la construccin, y las redes de cultivo para asegurar las redes existentes.

Hoy en da, Internet es una red muy diferente en comparacin con sus inicios en la dcada de 1960. El trabajo de un profesional de la seguridad de la red incluye asegurarse de que el personal correspondiente est bien versado en las herramientas de seguridad de red, procesos, tcnicas, protocolos y tecnologas. Es fundamental que los profesionales de seguridad de la red gestionar las amenazas en constante evolucin a las redes. Adems de hacer frente a las amenazas de fuera de la red, los profesionales de seguridad de red tambin debe estar preparado para las amenazas desde el interior de la red. Las amenazas internas, ya sea intencional o accidental, puede causar un dao an mayor de las amenazas externas debido al acceso directo y el conocimiento de la red corporativa y los datos. A pesar de este hecho, se ha tomado ms de 20 aos despus de la introduccin de herramientas y tcnicas para la mitigacin de las amenazas externas para desarrollar herramientas y tcnicas para mitigar las amenazas internas. Un escenario comn para una amenaza procedente del interior de la red es un empleado enfadado con algunos conocimientos tcnicos y la voluntad de hacer dao. La mayora de las amenazas desde dentro de la red aprovechan los protocolos y tecnologas utilizadas en la red de rea local (LAN) o la infraestructura conmutada. Estas amenazas internas se dividen en dos categoras: spoofing y denegacin de servicio (DoS). Ataques de Spoofing es un ataque en el que un dispositivo intenta hacerse pasar por otro por falsificacin de datos. Hay varios tipos de ataques de suplantacin de identidad. Por ejemplo, la suplantacin de direcciones MAC se produce cuando un ordenador acepta paquetes de datos basndose en la direccin MAC de otro equipo. Los ataques DoS que los recursos informticos disponibles para los usuarios previstos. Los atacantes utilizan varios mtodos para lanzar ataques de denegacin de servicio. Como profesional de la seguridad de la red, es importante comprender los mtodos diseados especficamente para dirigir este tipo de amenazas y garantizar la seguridad de la LAN. PESTAA 5 Adems de evitar y negar el trfico malicioso, la red de seguridad tambin requiere que los datos se mantienen protegidos. Criptografa, el estudio y la prctica de ocultar informacin, se utilizan de manera intensiva en la seguridad de la red moderna. Hoy en da, cada tipo de comunicacin de la red dispone de un protocolo correspondiente o tecnologa diseada para ocultar que la comunicacin de cualquier persona que no sea el usuario previsto. Datos inalmbricos se pueden cifrar (oculto) usando varias aplicaciones de criptografa. La conversacin entre dos usuarios de telfonos IP se pueden cifrar. Los archivos de un ordenador tambin se puede ocultar con cifrado. Estos son slo algunos ejemplos. La criptografa puede ser utilizado prcticamente en cualquier lugar que no hay comunicacin de datos. De hecho, la tendencia es hacia toda la comunicacin est cifrada. La criptografa garantiza la confidencialidad de los datos, que es uno de los tres componentes de seguridad de la informacin: confidencialidad, integridad y disponibilidad. Informacin de ofertas de seguridad de la proteccin de la informacin y sistemas de informacin del acceso, uso, divulgacin, alteracin, modificacin o destruccin. Cifrado ofrece confidencialidad al ocultar datos no cifrados. Integridad de datos, lo que significa que los datos se conservan inalteradas durante cualquier operacin, se logra mediante el uso de mecanismos de hashing. Disponibilidad, que es la accesibilidad de datos, est garantizada por los mecanismos de endurecimiento de la red y los

sistemas de copia de seguridad. VIRUS Las vulnerabilidades principales para ordenadores de los usuarios finales son virus, gusanos, troyanos y ataques: Un virus es un programa malicioso que se adhiere a otro programa para ejecutar una funcin especfica no deseado en una computadora. Un gusano ejecuta cdigo arbitrario e instala copias de s mismo en la memoria de la computadora infectada, que entonces infecta a otros hosts. Un caballo de Troya es una aplicacin escrita para que parezca otra cosa. Cuando un caballo de Troya se descarga y se abre, se ataca el equipo del usuario final desde el interior. Tradicionalmente, el trmino virus se refiere a un microorganismo infeccioso que requiere una clula husped para crecer y reproducirse. Un estudiante de la Universidad del Sur de California llamado Frederick Cohen sugiri el trmino "virus informtico" en 1983. Un virus informtico, referido como un virus en el resto de este curso, es un programa que puede copiarse a s mismo e infectar un ordenador sin el conocimiento del usuario. Un virus es un cdigo malicioso que se adjunta a los programas legtimos o archivos ejecutables. La mayora de los virus requieren la activacin del usuario final y puede permanecer latente durante un largo perodo y luego activa en un momento determinado o fecha. Un simple virus puede instalarse en la primera lnea de cdigo en un archivo ejecutable. Cuando se activa, el virus puede comprobar el disco para ejecutables otros, de modo que puede infectar a todos los archivos que an no ha infectadas. Los virus pueden ser inofensivos, tales como aquellos que mostrar una imagen en la pantalla, o pueden ser destructivos, tales como las que modificar o borrar archivos en el disco duro. Los virus tambin se puede programar para mutar para evitar la deteccin. En el pasado, los virus se extendi por lo general a travs de disquetes y los mdems de ordenador. Hoy en da, la mayora de los virus se propagan por memorias USB, CD, DVD, recursos compartidos de red o de correo electrnico. Los virus de correo electrnico son ahora el tipo ms comn de virus. aqu hay muchos tipos diferentes de ataques de red que no son virus, gusanos y caballos de Troya. Para mitigar los ataques, es til para clasificar primero los diversos tipos de ataques. Al categorizar los ataques a la red, es posible hacer frente a los tipos de ataques ms que los ataques individuales. No hay manera estandarizada de ataques a la red de categorizacin. El mtodo utilizado en este curso clasifica los ataques en tres categoras principales. Los ataques de reconocimiento Ataques de reconocimiento implica el descubrimiento no autorizado y la cartografa de los sistemas, servicios o vulnerabilidades. Reconocimiento ataca a menudo emplean el uso de rastreadores de paquetes y escneres de puertos, que estn ampliamente disponibles como descargas gratuitas en Internet. El reconocimiento es anlogo a un ladrn contemplando un barrio de viviendas vulnerables a romperse en, por ejemplo una residencia desocupada o una casa con una puerta de fcil o ventana abierta. ataques de acceso Ataques de acceso explotar vulnerabilidades conocidas en los servicios de autenticacin, servicios

de FTP, y servicios web para poder entrar a cuentas web, bases de datos confidenciales e informacin sensible. Un ataque de acceso se puede realizar de muchas maneras diferentes. Un ataque acceso a menudo emplea un ataque de diccionario para adivinar las contraseas del sistema. Hay tambin diccionarios especializados para diferentes idiomas que pueden ser utilizados. Ataques de Denegacin de Servicio Ataques de denegacin de servicio enviar nmeros extremadamente grandes de solicitudes a travs de una red o de Internet. Estas solicitudes excesivas de hacer que el dispositivo de destino para ejecutar sub-ptima. Por consiguiente, el dispositivo de atacado deja de estar disponible para el acceso y la utilizacin legtimos. Mediante la ejecucin de exploits o combinaciones de exploits, ataques de denegacin de las solicitudes lentas o accidente y procesos. Reconocimiento ataques Reconocimiento es tambin conocida como la recopilacin de informacin y, en muchos casos, precede a un acceso o ataque DoS. En un ataque de reconocimiento, el intruso malicioso suele comenzar realizando un barrido de ping de la red de destino para determinar qu direcciones IP estn activos. El intruso luego determina qu servicios o puertos estn disponibles en las direcciones IP en directo. Nmap es la aplicacin ms popular para la realizacin de anlisis de puertos. De la informacin obtenida puerto, el intruso consulta los puertos para determinar el tipo y la versin del sistema operativo y la aplicacin que se ejecuta en el host de destino. En muchos casos, los intrusos buscar servicios vulnerables que pueden ser explotadas ms tarde, cuando hay menos probabilidad de ser descubierto. Ataques de reconocimiento usar varias herramientas para obtener acceso a una red: sniffers de paquetes barridos de ping puerto exploraciones Consultas de informacin de Internet Un analizador de paquetes es una aplicacin de software que utiliza una tarjeta de red en modo promiscuo para capturar todos los paquetes de red que se envan a travs de una LAN. El modo promiscuo es un modo en el que la tarjeta de adaptador de red enva todos los paquetes que se reciben a una aplicacin para su procesamiento. Algunas aplicaciones de red de distribucin de paquetes de red sin cifrar en texto plano. Debido a que los paquetes de la red no estn cifrados, pueden ser entendidos por cualquier aplicacin que puede recogerlos fuera de la red y procesarlos. Sniffers de paquetes slo pueden trabajar en el mismo dominio de colisin como la red atacada, a menos que el atacante tiene acceso a los conmutadores intermedios. Numerosos rastreadores de paquetes freeware y shareware, como Wireshark, estn disponibles y no requieren que el usuario entienda nada acerca de los protocolos subyacentes. Cuando se utilizan como herramientas legtimas, barrido de ping y aplicaciones de escaneo de puertos ejecutar una serie de pruebas en contra de hosts y dispositivos para identificar servicios vulnerables. La informacin se recoge mediante el examen de las direcciones IP y el puerto, o la bandera, los datos de ambos puertos TCP y UDP. Un atacante utiliza esta informacin para poner en peligro el sistema. Consultas de informacin en Internet puede revelar informacin, como quin posee un dominio particular y qu direcciones se han asignado a ese dominio. Tambin pueden revelar quin posee

una direccin IP particular y qu dominio est asociado con la direccin. Un barrido ping es una tcnica de escaneo en red bsica que determina el rango de direcciones IP se asignan a vivir anfitriones. Un ping solo indica si un equipo host especificado existe en la red. Un barrido de ping consiste en peticiones de eco ICMP enviados a varios hosts. Si una direccin dada es en vivo, la direccin devuelve una respuesta de eco ICMP. Barridos de ping son algunos de los mtodos ms antiguos y lentos utilizados para examinar una red. Cada servicio en un host se asocia con un nmero de puerto conocido. El escaneo de puertos es una exploracin de una gama de TCP o UDP nmeros de puerto en un host para detectar servicios de escucha. Consiste en enviar un mensaje a cada puerto en un husped. La respuesta que el remitente recibe indica si el puerto es usado. Barridos de ping de direcciones revelados por las consultas de informacin de Internet pueden presentar un cuadro de los anfitriones vivos en un ambiente determinado. Despus de esa lista se genera, herramientas de escaneo de puertos puede completar un ciclo a travs de todos los puertos conocidos para proporcionar una lista completa de todos los servicios que se ejecutan en los hosts que el barrido de ping descubiertos. Los hackers pueden examinar las caractersticas de las aplicaciones activas, que pueden conducir a la informacin especfica que sea til para un hacker, cuya intencin es poner en peligro ese servicio. Tenga en cuenta que los ataques de reconocimiento suelen ser el precursor de nuevos ataques con el propsito de obtener acceso no autorizado a una red o interrumpir la funcionalidad de la red. Una red de seguridad profesional puede detectar cuando un ataque de reconocimiento est en marcha por las alarmas configuradas que se activan cuando se exceden ciertos parmetros, tales como el nmero de solicitudes ICMP por segundo. Una variedad de tecnologas y dispositivos se pueden utilizar para controlar este tipo de actividad y generar una alarma. Adaptable de Cisco Security Appliance (ASA) proporciona prevencin de intrusiones en un dispositivo independiente. Adems, el ISR Cisco soporta la red de prevencin de intrusiones a travs de la imagen de IOS de Cisco de seguridad. NFP El Cisco Network Foundation Protection (NFP) marco proporciona directrices generales para la proteccin de la infraestructura de red. Estas directrices constituyen la base para la entrega continua del servicio. NFP lgicamente divide routers y switches en tres reas funcionales: Plano de Control - Responsable de enrutamiento de datos correctamente. El trfico de plano de control se compone de paquetes generado por el dispositivo necesarios para el funcionamiento de la red en s, tales como los intercambios de mensajes ARP o anuncios de enrutamiento OSPF. Plano de Gestin - Responsable de la gestin de elementos de red. El trfico de gestin avin se genera ya sea por medio de dispositivos de red o estaciones de gestin de red que utilizan procesos y protocolos como Telnet, SSH, TFTP, FTP, NTP, AAA, SNMP, syslog, TACACS +, RADIUS y NetFlow. Plano de Datos (plano de reenvo) - Responsable de la transmisin de los datos. El trfico de datos plano consiste normalmente generados por los usuarios paquetes que se reenvan entre endstations. La mayora del trfico viaja a travs del router o switch, a travs del plano de datos. Los paquetes de datos planas son procesados en el cach de conmutacin rpida. El Trfico de plano de control de s Compone de Paquetes Generado Por El dispositivo necesarios

Para El funcionamiento de la Propia rojo. Seguridad del Plano de Control Se Puede implementar utilizando las following characteristics: Cisco AutoSecure - Cisco proporciona AutoSecure Una function de dispositivo de Un Solo Paso de Bloqueo prr Proteger el plano de control de, ASI COMO los planos de Gestin y Datos. De Se Trata De Una Secuencia de Comandos Que Se Inicia desde La Lnea de Comandos prrafo Configurar El Nivel de Seguridad de enrutadores. El guin deshabilita los Procesos Esenciales del Sistema y los Servicios. En imprimacin Lugar, s formulan recomendaciones prrafo HACER Frente a las vulnerabilidades de Seguridad y la modificacin del enrutador Configuracion. PROTOCOLO de enrutamiento de Autenticacin - Routing protocolo sanitario de Autenticacin Autenticacin o Vecino, impide sin enrutador de Aceptar fraudulentas ACTUALIZACIONES de enrutamiento. La Mayora de los Protocolos de enrutamiento compatible con la Autenticacin vecino. Plano de Control de Polica (CoPP) - CoPP is an caracteristica Cisco IOS Diseado prr permitir a los Usuarios Controlar el FLUJO de Trfico Que Se Maneja Por El Procesador de ruta de la ONU dispositivo de color rojo. CoPP est designed prrafo Evitar el Trfico innecesario de sobrecargar el Procesador de ruta. La caracteristica CoPP Trata el plano de control de Como. Una Entidad separada con Su Propia Entrada (input) y salida (output) Puertos. Un Conjunto de Reglas Puede Ser Asociado establecido y con los Puertos de Entrada y de salida del plano de control de. CoPP CONSTA de las following characteristics: Control Plane Policial (CoPP) - permite a los Usuarios Configurar sin filter de Calidad de Servicio Que gestiona el FLUJO de Trfico de Paquetes de control del plano de. ESTO protegido el plano de control de en contra de Reconocimiento y Ataques DoS. Plano de Control de Proteccin (CPPR) - Una extensin de CoPP Pero permite la Vigilancia granularidad. Por Ejemplo, CPPR Florerias filtrar y limitar la Velocidad, los Paquetes Que Se van al plano de control del router y del descartar los Paquetes maliciosos y error (o Ambos). Registro de Control Plane - habilita el Registro de los Paquetes Que CoPP o CPPR Cada o Permiso. Proporciona el MECANISMO de Registro necesarios prr implementar, supervisar y solucionar Problemas de Manera Eficiente las Funciones COPP. Nota: Mayores DETALLES Sobre La Seguridad del plano de control de est Ms all del Alcance de Este Curso. Paquetes de Avin hijo Procesados en el cach de conmutacin Rpida. El trfico de gestin avin se genera ya sea por medio de dispositivos de red o estaciones de gestin de red que utilizan procesos y protocolos como Telnet, SSH, TFTP y FTP, etc El plano de gestin es un objetivo muy atractivo para los piratas informticos. Por esta razn, el mdulo de gestin fue construido con varias tecnologas diseadas para mitigar tales riesgos. El flujo de informacin entre los ejrcitos de gestin y los dispositivos administrados pueden estar fuera de banda (OOB) (flujos de informacin dentro de una red en la que no reside el trfico de produccin) o en banda (los flujos de informacin a travs de la red de produccin de la empresa, el Internet, o ambos).

Plano de gestin de seguridad se puede implementar utilizando las siguientes caractersticas: Inicio de sesin y la poltica de contraseas - Restringe el acceso a dispositivo. Lmites de los puertos accesibles y restringe los mtodos de "quin" y "cmo" de acceso. Presente notificacin legal - Muestra avisos legales. Estos son a menudo desarrollado por el asesor legal de una corporacin. Garantizar la confidencialidad de los datos - Protege los datos confidenciales almacenados localmente sean vistos o copiados. Utiliza protocolos de gestin de autenticacin fuerte para mitigar los ataques de confidencialidad destinadas a exponer las contraseas y configuraciones del dispositivo. Papel control de acceso basado en roles (RBAC) - Garantiza el acceso se concede slo a los usuarios autenticados, grupos y servicios. RBAC y autenticacin, autorizacin y contabilidad (AAA) proporcionan mecanismos para gestionar eficazmente el control de acceso. Autorizar las acciones - Restringe las acciones y puntos de vista que son permitidos por ningn usuario en particular del grupo, o servicio. Habilitar el informe de gestin de acceso - Registros y cuentas para todos los accesos. Registros que accedieron al dispositivo, lo que ocurri y cundo ocurri. RBAC restringe el acceso del usuario basada en la funcin del usuario. Los roles se crean de acuerdo con las funciones de trabajo o tarea, y asignar permisos de acceso a activos especficos. Los usuarios se asignan a los roles, y se les conceden los permisos definidos para ese papel. En Cisco IOS, la funcin de CLI de acceso basado en roles RBAC implementa para el acceso de gestin del router. La funcin crea diferentes "puntos de vista" que definen qu comandos son aceptados y qu informacin de configuracin es visible. Para la escalabilidad, los usuarios, permisos y roles suelen ser creados y mantenidos en un servidor de repositorio central. Esto hace que la poltica de control de acceso disponibles en varios dispositivos. El servidor de repositorio central puede ser un servidor AAA, como el Cisco Secure Access Control System (ACS), que proporciona servicios de AAA a una red para la gestin. El trfico de datos plano consiste principalmente generados por los usuarios paquetes que se reenvan a travs del router a travs del plano de datos. Seguridad de los datos avin puede ser implementado usando ACLs, mecanismos antispoofing y Funciones del nivel 2 de seguridad. ACL realizar el filtrado de paquetes para controlar qu paquetes se mueven a travs de la red y donde los paquetes se les permite ir. ACL se utilizan para fijar el plano de datos en una variedad de maneras, incluyendo: El bloqueo del trfico no deseado o usuarios - ACL se pueden filtrar los paquetes entrantes o salientes en una interfaz. Se pueden utilizar para controlar el acceso sobre la base de las direcciones de origen, direccin de destino, o la autenticacin de usuario. Reducir el riesgo de ataques de denegacin de servicio - ACL se pueden utilizar para especificar si el trfico de hosts, redes, o los usuarios acceder a la red. La caracterstica de TCP interseccin tambin se puede configurar para evitar que los servidores se inunde con las solicitudes de una conexin. Mitigar los ataques de spoofing - ACL permitir a los profesionales de seguridad a implementar las prcticas recomendadas para mitigar los ataques de suplantacin de identidad. Proporcionar control de ancho de banda - ACL en un enlace lento puede evitar el exceso de trfico. Clasificar el trfico para proteger a los planos de Gestin y Control - ACL se puede aplicar en la

lnea VTY. ACL tambin se puede utilizar como un mecanismo de antispoofing por el trfico de descarte que tiene una direccin de origen no vlido. Esto fuerza a los ataques que se iniciar a partir de las direcciones IP vlida y accesible, permitiendo a los paquetes que se remonta al autor de un atentado. Caractersticas tales como Unicast Reverse Path Forwarding (uRPF) se puede utilizar para complementar la estrategia antispoofing. Los switches Cisco Catalyst puede utilizar las funciones integradas para ayudar a asegurar el nivel 2 de la infraestructura. Las siguientes son las herramientas de seguridad de nivel 2 integrada en los switches Cisco Catalyst: Seguridad de puertos - Evita la suplantacin de direcciones MAC y los ataques de direcciones MAC inundaciones. Snooping DHCP - Previene los ataques de cliente en el servidor DHCP y el interruptor. Dynamic ARP Inspection (DAI) - Aade seguridad al ARP mediante el uso de la tabla de inspeccin DHCP para minimizar el impacto de envenenamiento ARP y ataques de suplantacin de identidad. IP Source Guard - Evita la suplantacin de direcciones IP mediante el uso de la tabla de inspeccin DHCP. Este curso se centra en las diferentes tecnologas y protocolos utilizados para fijar los planos de gestin y de datos. CAPITULO 2 Proteger el trfico de red saliente y examinar el trfico de entrada son aspectos crticos de la seguridad de la red. Asegurar el router de borde, que conecta con la red exterior, es un primer paso importante para asegurar la red. Dispositivo de endurecimiento es una tarea fundamental al asegurar la red. Se trata de la aplicacin de mtodos de probada eficacia para asegurar fsicamente el router y proteger el acceso administrativo al router utilizando el comando de Cisco IOS interfaz de lnea de comandos (CLI), as como el Cisco Configuration Professional (CCP). Algunos de estos mtodos consisten en garantizar el acceso administrativo, incluyendo el mantenimiento de contraseas, configurar las caractersticas mejoradas de acceso virtuales, e implementacin de Secure Shell (SSH). Debido a que no todo el personal de tecnologa de la informacin debe tener el mismo nivel de acceso a los dispositivos de la infraestructura, la definicin de las funciones administrativas en trminos de acceso es otro aspecto importante de los dispositivos de sujecin de infraestructura. Asegurar la gestin y presentacin de informes caractersticas de Cisco IOS dispositivos tambin es importante. Las prcticas recomendadas para asegurar syslog, usando Simple Network Management Protocol (SNMP) y la configuracin de Network Time Protocol (NTP) son examinados. Muchos de los servicios del router estn activados de forma predeterminada. Algunas de estas funciones estn habilitadas por razones histricas, pero ya no son necesarios en la actualidad. En este captulo se analizan algunos de estos servicios y examina configuraciones del router con la funcin de auditora de la seguridad de CCP. En este captulo tambin examina el modo de bloqueo de seguridad de un solo paso de la Auditora de Seguridad PCCh y el comando auto secure, que se

puede utilizar para automatizar las tareas de endurecimiento dispositivo. Una prctica de laboratorio para el captulo, Asegurando el router para acceso administrativo, es un laboratorio integral que ofrece la oportunidad de practicar las caractersticas de seguridad de gran alcance introducidas en este captulo. El laboratorio presenta los diversos medios de asegurar el acceso administrativo a un router, incluidas las mejores prcticas de configuracin de contrasea, bandera correspondiente, caractersticas mejoradas de inicio de sesin y SSH. La funcin de CLI acceso basado en roles se basa en la creacin de puntos de vista como un medio para proporcionar diferentes niveles de acceso a los routers. La funcin de configuracin de Cisco IOS resistente permite que aseguran imgenes y archivos de configuracin del router. Syslog y SNMP se utilizan para la presentacin de informes de gestin. Cisco AutoSecure es una herramienta automatizada para asegurar routers Cisco utilizando la CLI. La funcin Auditora de Seguridad de CCP se basa en la caracterstica de IOS de Cisco AutoSecure. Una actividad de Packet Tracer, configurar Routers Cisco para Syslog, NTP, y las operaciones de SSH, ofrece prctica adicional estudiantes la aplicacin de las tecnologas introducidas en este captulo. En particular, los estudiantes configurar routers con NTP, syslog, el registro de fecha y hora de los mensajes, cuentas de usuario locales, exclusivo conectividad SSH, y pares de claves RSA para servidores SSH. Utilizando el acceso SSH cliente desde un PC con Windows y un router de Cisco tambin se explora El encaminador de borde aplicacin vara dependiendo del tamao de la organizacin y la complejidad del diseo de la red requerida. Implementaciones de router puede incluir un nico router proteger una red entera o dentro de un router como la primera lnea de defensa en un enfoque de defensa en profundidad. Enfoque nico router En el enfoque nico router, un solo enrutador conecta la red protegida, o LAN interna, a la Internet. Todas las polticas de seguridad se configura en este dispositivo. Esto es ms comnmente desplegados en las implementaciones de sitios ms pequeos, como rama y los sitios SOHO. En redes ms pequeas, las caractersticas de seguridad requeridas pueden ser apoyadas por ISR, sin obstaculizar la capacidad del router de rendimiento. Defense-in-Depth Enfoque Un enfoque de defensa en profundidad es ms seguro que el enfoque nico router. En este enfoque, el encaminador de borde acta como la primera lnea de defensa y que se conoce como un router de cribado. Se pasa todas las conexiones que estn destinados a la LAN interna para el cortafuegos. La segunda lnea de defensa es el cortafuegos. El servidor de seguridad tpicamente comienza donde la ventaja router deja de ser y realiza un filtrado adicional. Se proporciona control de acceso adicional mediante el seguimiento del estado de las conexiones y acta como un dispositivo de punto de control. El router de borde tiene un conjunto de reglas que especifican que el trfico lo permite y niega. Por defecto, el cortafuegos deniega la apertura de conexiones desde el exterior (no confiable) redes al interior (de confianza) de la red. Sin embargo, permite a los usuarios internos para establecer conexiones a las redes no confiables y permite que las respuestas a volver a travs del firewall. Tambin se puede realizar la autenticacin de usuario (proxy de autenticacin) donde los usuarios deben ser autenticados para obtener acceso a los recursos de red.

DMZ Enfoque Una variacin del enfoque de defensa en profundidad es el de ofrecer una zona intermedia, a menudo llamada la zona desmilitarizada (DMZ). La DMZ se puede utilizar para los servidores que deben ser accesibles a travs de Internet o alguna otra red externa. La DMZ se puede configurar entre dos enrutadores, con un router interno que conecta a la red protegida y un encaminador de conexin exterior a la red sin proteccin. Alternativamente, la DMZ puede ser simplemente un puerto adicional fuera de un nico enrutador. El servidor de seguridad, que se encuentra entre las redes protegidas y no protegidas, se ha configurado para permitir las conexiones necesarias (por ejemplo, HTTP) desde el exterior (no confiable) las redes a los servidores pblicos de la zona de distensin. El firewall acta como proteccin primaria para todos los dispositivos de la zona de distensin. En el enfoque de DMZ, el enrutador proporciona cierta proteccin por filtracin algo de trfico, pero deja la mayor parte de la proteccin para el servidor de seguridad. Asegurar el router de borde es un primer paso crtico para asegurar la red. Si hay otros enrutadores internos, deben ser configurado de forma segura tambin. Tres reas de seguridad del router se debe mantener. Seguridad Fsica Proporcionar seguridad fsica para los routers: Coloque los dispositivos router y fsicos que se conectan a l en una habitacin segura bajo llave, accesible slo al personal autorizado, est libre de interferencias electrostticas o magnticas, tiene la extincin de incendios, y cuenta con controles de temperatura y humedad. Instale un sistema de alimentacin ininterrumpida (UPS) y mantener los componentes de repuesto disponible. Esto reduce la posibilidad de un ataque de denegacin de la prdida de potencia en el edificio. Router Hardening Eliminar los posibles abusos de los puertos no utilizados y servicios: Asegurar el control administrativo. Asegrese de que slo personal autorizado tenga acceso y que su nivel de acceso est controlado. Deshabilitar los puertos no utilizados y las interfaces. Reducir el nmero de maneras puede un dispositivo de acceso. Desactivar los servicios innecesarios. Al igual que en muchas computadoras, un router cuenta con servicios que estn habilitados de forma predeterminada. Algunos de estos servicios son innecesarios y puede ser utilizado por un atacante para recopilar informacin o para la explotacin. Seguridad del sistema operativo Asegure las caractersticas y el rendimiento de los sistemas operativos del router: Configure el router con la mayor cantidad de memoria posible. La disponibilidad de la memoria puede ayudar a proteger la red contra ataques de denegacin de algunos, mientras que el apoyo a la ms amplia gama de servicios de seguridad. Utilice la ltima versin estable del sistema operativo que cumpla con los requisitos de caractersticas de la red. Las caractersticas de seguridad en un sistema operativo evolucionan con el

Acceso administrativo se requiere para efectos de la gestin del router, por lo tanto, garantizar el acceso administrativa es una tarea de seguridad muy importante. Si una persona no autorizada tuviera acceso administrativo a un router, esa persona podra alterar los parmetros de enrutamiento, deshabilitar las funciones de enrutamiento, o descubrir y acceder a otros sistemas de la red. Varias tareas importantes estn involucrados en garantizar el acceso administrativo a un dispositivo de la infraestructura: Restringir el acceso a dispositivo - Limitar los puertos accesibles, restringir la permitida comunicadores, y restringir los mtodos permitidos de acceso. Iniciar y dar cuenta de todos los accesos - Para fines de auditora, cualquier registro que tenga acceso a un dispositivo, incluyendo lo que ocurre y cundo. Autenticar el acceso - Asegrese de que el acceso se concede slo a los usuarios autenticados, grupos y servicios. Limitar el nmero de intentos de conexin fallidos y el tiempo entre inicios de sesin.Hay dos formas de acceder a un dispositivo para fines administrativos: a nivel local como a distancia. Acceso local Todos los dispositivos de infraestructura de red se pueden acceder localmente. Acceso local a un router por lo general requiere de una conexin directa a un puerto de consola del router Cisco utilizando un equipo que est ejecutando el software de emulacin de terminal. acceso remoto Algunos dispositivos de red pueden acceder de forma remota. Acceso remoto tpicamente consiste en permitir que Telnet, Secure Shell (SSH), HTTP, HTTPS o Simple Network Management Protocol (SNMP) conexiones con el router desde un ordenador. El ordenador puede estar en la misma subred o una subred diferente. Algunos protocolos de acceso remoto enva los datos, incluyendo nombres de usuario y contraseas, con el router en modo texto. Si un atacante puede obtener el trfico de red, mientras que un administrador remoto conectado a un router, el atacante puede capturar contraseas o informacin de configuracin del router. Por esta razn, es preferible para permitir el acceso slo local al router. Sin embargo, el acceso remoto an podra ser necesario. Al acceder a la red de forma remota, algunas precauciones deben ser tomadas: Cifrar todo el trfico entre el ordenador y el router administrador. Por ejemplo, en lugar de utilizar Telnet, SSH utilizar. O en vez de usar HTTP, utilice HTTPS. Establecer una red de gestin dedicada. La red de gestin debe incluir slo los hosts identificados administracin y las conexiones con una interfaz dedicada en el router. Configurar un filtro de paquetes para permitir que slo los hosts identificados administracin y protocolos preferidos para acceder al router. Por ejemplo, permitir que slo las solicitudes SSH desde la direccin IP del host de administracin para iniciar una conexin con los routers de la red. Estas precauciones son valiosos, pero no protegen la red por completo. Otros mtodos de defensa tambin debe ser implementado. Uno de los mtodos ms bsicos e importantes es el uso de una contrasea segura. Autorizar las acciones - Restringir las acciones permitidas y vistas por cualquier usuario, grupo o servicio. Presente notificacin legal - Muestra un aviso legal, desarrollado en conjunto con el asesor legal de

la empresa, para las sesiones interactivas. Garantizar la confidencialidad de los datos - Proteger los datos sensibles almacenados localmente de ver y copiar. Tenga en cuenta la vulnerabilidad de los datos en trnsito a travs de un canal de comunicacin para olfatear, secuestro de sesin, y man-in-the-middle (MITM) ataques.tiempo. Tenga en cuenta que la ltima versin de un sistema operativo puede no ser la versin ms estable disponible. Guarde una copia de seguridad de la imagen del router sistema operativo y el archivo de configuracin del router como una copia de seguridad. CONFIGURACIN DE LOS NIVELES DE PRIVILEGIOS

Aunque es importante que un administrador del sistema puede conectarse con seguridad a un dispositivo y administrar, configuraciones an ms son necesarios para mantener la red segura. Por ejemplo, debe completar el acceso se proporcionar a todos los empleados en una empresa? La respuesta a esa pregunta es por lo general no. La mayora de los empleados de la compaa requieren slo reas especficas de acceso a la red. Qu pasa con el acceso completo a todos los empleados en el departamento de TI? Tenga en cuenta que las grandes organizaciones tienen muchas diversas funciones laborales dentro de un departamento de TI. Por ejemplo, los ttulos de trabajo incluyen Chief Information Officer (CIO), Operador de Seguridad, administrador de la red, ingeniero de WAN, LAN Administrador, Administrador de software, soporte tcnico de PC, servicio de asistencia, y otros. No todas las funciones de trabajo deben tener el mismo nivel de acceso a los dispositivos de la infraestructura. A modo de ejemplo, un administrador de redes senior deja para las vacaciones y, como precaucin, proporciona un administrador junior con las contraseas del modo EXEC privilegiado a todos los dispositivos de la infraestructura. Unos das ms tarde, el administrador principiante curioso accidentalmente desactiva la red de la empresa. Esto no es un escenario poco comn, ya que demasiado a menudo un router est asegurada con una sola contrasea EXEC privilegiado. Cualquier persona que tenga conocimiento de la contrasea tiene libre acceso al router entero. Configuracin de los niveles de privilegio es el siguiente paso para el administrador del sistema que quiere proteger la red. Los niveles de privilegios determinar quin debe ser permitido conectarse al dispositivo y lo que esa persona debe ser capaz de hacer con l. El software Cisco IOS CLI tiene dos niveles de acceso a los comandos. Modo User EXEC (nivel de privilegio 1) - Proporciona ms los privilegios del usuario del modo EXEC y permite slo a nivel de usuario los comandos disponibles en el router> prompt. Modo Privileged EXEC (nivel de privilegio 15) - incluye todos los comandos enable-nivel en el router # prompt. Aunque estos dos niveles logren un control, a veces un nivel ms preciso de control es necesario. Cisco IOS software dispone de dos mtodos para proporcionar acceso a la infraestructura: Nivel de privilegio y CLI basado en roles. Asignacin de Niveles de privilegios Desde Cisco IOS versin 10.3, los routers de Cisco permiten a los administradores configurar varios niveles de privilegio. Configuracin de los niveles de privilegios es especialmente til en un

entorno de servicio de asistencia en ciertos administradores deben ser capaces de configurar y monitorizar todas las partes del router (nivel 15), y otros administradores slo tienen que controlar, no configurar el router (niveles personalizados 2 a 14 ). Hay 16 niveles de privilegio en total. Los niveles 0, 1, y 15 tienen valores predefinidos. Un administrador puede definir mltiples niveles de privilegios personalizados y asignar comandos diferentes para cada nivel. Cuanto mayor sea el nivel de privilegio, el router de acceso que un usuario tiene ms. Los comandos que estn disponibles en los niveles de privilegios ms bajos son tambin ejecutable en los niveles superiores, ya que incluye un nivel de privilegio de los privilegios de todos los niveles inferiores. Por ejemplo, un usuario autorizado para el nivel de privilegio 10 se concede acceso a los comandos deseados a niveles de privilegio de 0 a 10 (si tambin se define). Un privilegio a nivel de usuario-10 no puede acceder a los comandos otorgados a nivel de privilegio 11 (o superior). Un usuario autorizado para el nivel 15 de privilegios pueden ejecutar todos los comandos de Cisco IOS. Para asignar comandos a un nivel de privilegio personalizado, utilice el comando de privilegio desde el modo de configuracin global. Router (config) # Modo de privilegio {command nivel nivel | reset} comando Es importante sealar que la asignacin de un comando con varias palabras clave, tales como la ruta IP, para mostrar un nivel de privilegio especfico asigna automticamente todos los comandos asociados a las palabras clave que primero para el nivel de privilegio especificado. Por ejemplo, tanto el comando show y el comando show ip se ajusta automticamente al nivel de privilegio donde se establece show ip route. Esto es necesario porque el comando show ip route no se puede ejecutar sin tener acceso a la serie y los comandos show ip. Subcomandos prximos bajo show ip route se asignan automticamente al mismo nivel de privilegio. Asignar el comando show ip route permite al usuario emitir todos los comandos show, como el show version Los niveles de privilegio tambin debe estar configurado para la autenticacin. Hay dos mtodos para asignar contraseas a los diferentes niveles: Para el nivel de privilegios con el comando de configuracin global enable password secreto nivel nivel. Para un usuario que se conceda un nivel de privilegios especfico, utilizando el comando de configuracin global username nombre privilegio nivel de contrasea secreta. Por ejemplo, un administrador podra asignar cuatro niveles de acceso a dispositivos dentro de una organizacin: Una cuenta de usuario (que requiere el nivel 1, sin incluir el ping) Una cuenta de apoyo (que requiere todo el nivel 1 de acceso, ms el comando ping) Una cuenta de JR-ADMIN (que requiere todo el nivel 1 y de acceso 5, ms el comando reload) Una cuenta de administrador (que requiere acceso completo) Implementacin de los niveles de privilegios vara dependiendo de la estructura de la organizacin y las funciones de trabajo diferentes que requieren el acceso a los dispositivos de la infraestructura. En el caso de que el USUARIO, que requiere nivel predeterminado 1 (Router>) el acceso, ningn nivel de privilegio personalizado est definido. Esto es porque el modo de usuario por defecto es

equivalente al nivel 1. La cuenta de apoyo podra asignar un nivel de acceso ms alto como el nivel 5. Nivel 5 hereda automticamente las rdenes de los niveles 1 a 4, adems de comandos adicionales pueden ser asignados. Tenga en cuenta que cuando un comando se asigna a un nivel especfico, el acceso a ese comando se le quita a un nivel inferior. Por ejemplo, para asignar el nivel 5 el comando ping, utilice la siguiente secuencia de comandos. nivel de privilegio ejecutivo 5 de ping La cuenta de usuario (nivel 1) ya no tiene acceso al comando ping, ya que un usuario debe tener acceso al nivel 5 o superior para realizar la funcin ping. Para asignar una contrasea para el nivel 5, escriba el siguiente comando. permitir nivel secreto 5 cisco5 Para tener acceso al nivel 5, el cisco5 contrasea debe ser utilizado. Para asignar un nombre de usuario especfico a nivel de privilegio de 5, escriba el siguiente comando. nombre de usuario privilegio de soporte 5 cisco5 secreto Un usuario que inicia sesin en virtud de la ayuda nombre de usuario es slo capaz de acceder a nivel de privilegio 5, que tambin hereda nivel de privilegio 1. La cuenta de JR-ADMIN tiene acceso a todos los de nivel 1 y 5 comandos, as como el comando reload. Esta cuenta debe tener asignado un nivel de acceso ms alto, como el nivel 10. Nivel 10 hereda automticamente todos los comandos de los niveles inferiores. Para asignar el nivel 10 con el comando reload modo EXEC privilegiado, utilice la siguiente secuencia de comandos. nivel de privilegio ejecutivo 10 reload nombre de usuario jr-Admin 10 el secreto privilegio cisco10 permitir nivel secreto 10 cisco10 Mediante la realizacin de estos comandos, el comando reload solo est disponible para usuarios con nivel de acceso 10 o superior. El nombre de usuario jr-administrador tenga acceso a nivel de privilegio 10 y todos los comandos asociados, incluidos los comandos asignados a ningn nivel de privilegios ms bajos. Para acceder a nivel 10 modo, el cisco10 contrasea. Una cuenta de administrador puede asignar el nivel predeterminado 15 para acceso al modo EXEC privilegiado. En este caso, no hay comandos personalizados deben ser definidos. Una contrasea personal podra ser asignado usando el nivel enable secret 15 cisco123 comando, sin embargo, que no anula la contrasea enable secret, que tambin podra ser utilizado para acceder a nivel 15. Utilice el nombre de usuario admin 15 de privilegios secreto cisco15 comando para asignar el nivel 15 el acceso al usuario ADMIN con la contrasea cisco15. Tenga en cuenta que la hora de asignar nombres de usuario a niveles de privilegio, el privilegio y palabras claves secretas no son intercambiables. Por ejemplo, el USUARIO nombre de usuario

cisco secreto privilegio un comando no asignar la cuenta de usuario de nivel 1 de acceso. En su lugar, crea una cuenta que requiere la contrasea "privilegio cisco 1". Para acceder a los niveles de privilegios establecidos, entre el mandato nivel de liberacin de modo de usuario y escriba la contrasea que le fue asignado el nivel de privilegio personalizado. Utilice el mismo comando para cambiar desde un nivel inferior a un nivel superior. Para pasar del nivel 1 al nivel 5, utilice la habilitacin 5 comando en el indicador EXEC. Para pasar al nivel 10, utilice permitir 10 con la contrasea correcta. Para pasar del nivel 10 al nivel 15, utilice el comando enable. Si no se especifica el nivel de privilegio, el nivel 15 es asumido. A veces es fcil olvidar que el nivel de acceso de un usuario que actualmente tiene. Utilice el comando show para ver privilegio y confirmar el nivel de privilegio actual. Recuerde que los altos niveles de privilegios heredan automticamente el acceso de comandos de los niveles inferiores. Aunque la asignacin de niveles de privilegio prev cierta flexibilidad, algunas organizaciones pueden no encontrar los adecuados debido a las siguientes limitaciones: No hay control de acceso a las interfaces, puertos, interfaces lgicas y ranuras en un router. Comandos disponibles en bajos niveles de privilegios siempre son ejecutables en los niveles superiores. Comandos especficamente establecidos en un nivel de privilegio superior no estn disponibles para los usuarios con privilegios bajos. Asignacin de un comando con varias palabras clave a un nivel de privilegio especfico tambin asigna todos los comandos asociados a las primeras palabras clave en el mismo nivel de privilegio. Un ejemplo es el comando show ip route. La mayor limitacin sin embargo es que si un administrador tiene que crear una cuenta de usuario que tiene acceso a la mayora pero no todos los comandos, privilegio declaraciones exec debe configurarse para cada comando que se debe ejecutar en un nivel de privilegio inferior a 15. Esto puede ser un proceso tedioso. Cmo pueden las limitaciones de la asignacin de niveles de privilegio que superar? Si un atacante obtener acceso a un router, hay muchas cosas que podan hacer. Por ejemplo, podran alterar los flujos de trfico, alterar las configuraciones, e incluso borrar el archivo de configuracin de inicio y la imagen de Cisco IOS. Si la imagen de configuracin o IOS se borra, el operador puede necesitar recuperar una copia archivada para restaurar el router. El proceso de recuperacin entonces se debe realizar en cada router afectada, aadiendo a la inactividad de la red total. La funcin de configuracin de Cisco IOS elstico permite una recuperacin ms rpida si alguien vuelve a formatear la memoria flash o borra el archivo de configuracin de inicio en NVRAM. Esta caracterstica permite a un router para resistir los intentos maliciosos en el borrado de los archivos, asegurando la imagen del router y el mantenimiento de una copia segura de trabajo de la configuracin en ejecucin. Cuando una imagen de Cisco IOS est asegurada, la funcin de configuracin flexible deniega todas las solicitudes de copiar, modificar, o borrar. La copia de seguridad de la configuracin de

inicio se almacena en flash junto con el seguro de la imagen IOS. Este conjunto de Cisco IOS imagen y los archivos de configuracin en ejecucin del router que se conoce como la bootset. La funcin de configuracin flexible Cisco IOS slo est disponible para los sistemas que admiten PCMCIA Advanced Technology Attachment (ATA) interfaz flash. La imagen de Cisco IOS y la configuracin de copia de seguridad que se ejecuta en la unidad de flash se oculta a la vista, por lo que los archivos no estn incluidas en ninguna lista de directorios en el disco. Dos comandos configuraciones globales estn disponibles para configurar las funciones de Cisco IOS flexibles de configuracin: Secure boot-imagen y seguro boot-config. El seguro de arranque de la imagen comando permite a Cisco IOS resistencia imagen. Cuando se activa por primera vez, el funcionamiento Cisco IOS imagen est fijada, y una entrada de registro se genera. Esta funcin se puede desactivar slo a travs de una sesin de consola con la forma no del comando. Esto funciones de comando correctamente slo cuando el sistema est configurado para ejecutar una imagen desde una unidad flash con una interfaz ATA. Adems, la imagen en ejecucin debe cargarse desde el almacenamiento persistente para ser asegurado como primaria. Las imgenes que se inicia desde la red, como un servidor TFTP, no se puede asegurar. La funcin de configuracin flexible Cisco IOS detecta desajustes imagen de versin. Si el router est configurado para arrancar con Cisco IOS y la capacidad de recuperacin de una imagen con una versin diferente del software Cisco IOS es detectado, un mensaje, similar al que se muestra a continuacin, se muestra en el arranque: ios resiliencia: versin Archivado imagen y la configuracin se diferencia de 12,2 ejecutando la versin 12.3 Para actualizar el archivo de imgenes de la nueva imagen en ejecucin, vuelva a introducir el seguro de la imagen de arranque desde la consola de comandos. Un mensaje sobre la imagen mejorada en la pantalla. La vieja imagen se libera y se puede ver en la salida del comando dir. Para tomar una instantnea de la configuracin en ejecucin del router y colquela archivo en el almacenamiento persistente, utilice el seguro boot-config en el modo de configuracin global. Un mensaje de registro se muestra en la consola que notifica al usuario que la resiliencia configuracin se activa. El archivo de configuracin est oculto y no puede ser visto o extrada directamente desde el indicador de CLI. El escenario de actualizacin de configuracin es similar a una actualizacin de la imagen. Esta funcin detecta una versin diferente de Cisco IOS configuraciones y notifica al usuario de un conflicto de versiones. El seguro boot-config comando se puede ejecutar para actualizar el archivo de configuracin a una nueva versin despus de los comandos de configuracin nuevas que se emitan. Archivos asegurados no aparecen en la salida de un comando dir que se ejecuta desde la lnea de comandos. Esto es porque el sistema Cisco IOS archivo impide que archivos seguros de estar registrados. Debido a que los archivos de configuracin en ejecucin la imagen y funcionamiento no son visibles en la salida del comando dir, utilice el comando show bootset seguro para comprobar la existencia del archivo. Este paso es importante verificar que la imagen IOS de Cisco y los archivos de configuracin han sido debidamente respaldados y asegurados.

Mientras que el sistema Cisco IOS archivo impide que estos archivos sean vistos, ROM monitor (ROMmon) Modo no tiene estas restricciones y puede enumerar y arranca desde ficheros protegidos. Hay cinco pasos para restaurar una bootset primaria a partir de un archivo seguro despus de que el router ha sido alterado (por un proceso de borrado NVRAM o un formato de disco): Paso 1. Vuelva a cargar el router mediante el comando reload. Paso 2. De modo ROMmon, introduzca el comando dir para listar el contenido del dispositivo que contiene el archivo bootset seguro. Desde la CLI, el nombre del dispositivo se puede encontrar en la salida del comando show bootset seguro. Paso 3. Arrancar el router con la imagen bootset seguro utilizando el comando boot con el nombre de archivo encontrado en el paso 2. Cuando se inicia el enrutador comprometidos, cambie al modo EXEC privilegiado y restaurar la configuracin. Paso 4. Ingrese al modo de configuracin global mediante t conf. Paso 5. Restaurar la configuracin segura del nombre de archivo suministrados con el seguro bootconfig comando de restauracin nombre de archivo. En el caso de que el router est en peligro o necesita ser recuperado de un mal configurada la contrasea, el administrador debe comprender los procedimientos de recuperacin de contrasea. Por razones de seguridad, recuperacin de contraseas requiere que el administrador tiene acceso fsico al router mediante un cable de consola. Recuperacin de una contrasea del router implica varios pasos: Paso 1. Conectar al puerto de consola. Paso 2. Utilice el comando show version para ver y grabar el registro de configuracin. El registro de configuracin es similar a la configuracin del BIOS de un ordenador, que controla el proceso de arranque. Un registro de configuracin, representada por un valor hexadecimal nico, le dice a un router qu medidas concretas a tomar cuando se enciende. Registros de configuracin tienen muchos usos, y recuperacin de la contrasea es probablemente el ms utilizado. Para ver y grabar el registro de configuracin, utilice el comando show version. R1> show version <Salida Omitido> Registro de configuracin es 0x2102 El registro de configuracin normalmente se establece en 0x2102 o 0x102. Si no se puede acceder ya al router (debido a un inicio de sesin o la contrasea perdida TACACS), un administrador puede asumir con seguridad que el registro de configuracin se establece en 0x2102. Paso 3. Utilice el interruptor de encendido para apagar y encender el router. Paso 4. Ejecute la secuencia de descanso dentro de los 60 segundos de encendido para poner el router en ROMmon.

Paso 5. Tipo confreg 0x2142 en el rommon 1> en la pantalla. Esto cambia el registro de configuracin por defecto y hace que el router para evitar la configuracin de inicio donde se almacena la contrasea olvidada permitir. Paso 6. Escriba reset en el rommon 2> prompt. Se reinicia el router, pero ignora la configuracin guardada. Paso 7. No escriba despus de cada pregunta de configuracin, o presione Ctrl-C para omitir el procedimiento de configuracin inicial. Paso 8. Escriba enable en el Router> en la pantalla. Esto pone el router en modo enable y le permite ver el prompt Router #. Paso 9. Tipo startup-config running-config para copiar la NVRAM en la memoria de copia. Tenga cuidado de no escribir copy running-config startup-config o la configuracin de inicio se borrar. Paso 10. Escriba show running-config. En esta configuracin, el comando de apagado aparece en todas las interfaces, ya que todas las interfaces estn actualmente cerrado. Un administrador puede gestionar todas las contraseas (contrasea de activacin, active vty secreto, y las contraseas de consola), ya sea en formato encriptado o sin encriptar. Contraseas sin cifrar puede ser reutilizado, pero las contraseas encriptadas necesita una contrasea nueva que se crear. Paso 11. Ingrese configuracin global y escriba el comando enable secret para cambiar la contrasea secreta de enable. Por ejemplo: R1 (config) # enable secret cisco Paso 12. Emita el comando no shutdown en cada interfaz que se utilizar. A continuacin, ejecute el comando show ip interface brief en el modo EXEC privilegiado para confirmar que la configuracin de la interfaz es la correcta. Cada interfaz que se utilizar debe mostrar "hasta arriba". Paso 13. Desde el modo de configuracin de tipo global config-register configuration_register_setting. El valor del registro de configuracin es el valor registrado en el paso 2 0x2102. Por ejemplo: R1 (config) # config-register 0x2102 Paso 14. Guarde los cambios de configuracin mediante el comando copy running-config startupconfig. Recuperar la contrasea ha finalizado. Introduzca el comando show version para confirmar que el router est utilizando la configuracin de registro de configuracin configurado en el siguiente reinicio. Si alguien tuvo acceso fsico a un router, que podra hacerse con el control de ese dispositivo a travs del procedimiento de recuperacin de contrasea. Este procedimiento, si se realiza correctamente, deja intacta la configuracin del router. Si el atacante no realiza cambios importantes, este tipo de ataque es difcil de detectar. Un atacante puede utilizar este mtodo de ataque para descubrir la configuracin del router y otra informacin pertinente acerca de la red, tales como los flujos de trfico y restricciones de control de acceso.

Un administrador puede mitigar esta brecha de seguridad potencial mediante el uso de la no service password-recuperacin comando de configuracin global. Este comando es un comando IOS de Cisco oculto y no tiene ms argumentos o palabras clave. Si un router est configurado con el servicio sin contrasea de recuperacin de comandos, todos los accesos a modo ROMmon est desactivado. Cuando no hay servicio de recuperacin de contrasea comando se introduce un mensaje de advertencia y debe ser reconocido antes de la funcin est activada. El comando show running muestra una configuracin no hay servicio de recuperacin de contrasea comunicado. Adems, cuando el router se inicia la secuencia de arranque inicial muestra un mensaje que indica "la funcionalidad de recuperacin de contrasea est desactivada." Para recuperar un dispositivo despus de que el servicio no de recuperacin de contrasea comando es ingresado, iniciar la secuencia de descanso dentro de los cinco segundos despus de que la imagen se descomprime durante el arranque. Se le pedir que confirme la accin clave descanso. Despus de la accin se confirma, la configuracin de inicio se borra por completo, el procedimiento de recuperacin de contrasea est habilitada, y se inicia el router con la configuracin por defecto de fbrica. Si no confirma la accin break, arranca el router normalmente con el servicio sin contrasea de recuperacin de comandos habilitado. PRECAUCIN: Si la memoria flash del router no contiene una imagen de IOS de Cisco vlido debido a la corrupcin o la eliminacin, el comando ROMmon xmodem no se puede utilizar para cargar una nueva imagen de actualizacin. Para reparar el router, un administrador debe obtener una nueva imagen de IOS de Cisco en un SIMM flash o en una tarjeta PCMCIA. Consulte Cisco.com para obtener ms informacin acerca de las imgenes de copia de seguridad de flash. REALIZACIN DE UNA AUDITORA DE SEGURIDAD Routers de Cisco se despleg inicialmente con muchos servicios que estn habilitados de forma predeterminada. Esto se hace por conveniencia y para simplificar el proceso de configuracin necesaria para obtener el dispositivo operacional. Sin embargo, algunos de estos servicios puede hacer que el dispositivo vulnerables a los ataques si la seguridad no est activado. Los administradores tambin pueden activar los servicios en los routers Cisco que pueden exponer el dispositivo a un riesgo significativo. En estos dos casos se debe tener en cuenta cuando se asegura la red. Por ejemplo, Cisco Discovery Protocol (CDP) es un ejemplo de un servicio que est activado por defecto en los routers Cisco. Se utiliza principalmente para obtener las direcciones de protocolo de dispositivos Cisco vecinos y descubrir las plataformas de dichos dispositivos. Desafortunadamente, un atacante en la red puede utilizar CDP para descubrir dispositivos en la red local. Adems, los atacantes no es necesario tener CDP dispositivos habilitados. Software fcilmente disponibles, tales como Cisco CDP Monitor, puede ser descargado para obtener la informacin. La intencin del CDP es hacer que sea ms fcil para los administradores descubrir y solucionar otros dispositivos de Cisco en la red. Sin embargo, a causa de las implicaciones de seguridad, CDP se debe usar con precaucin. Aunque es una herramienta extremadamente til, no debe estar en todas partes en la red. Dispositivos de borde son un ejemplo de un dispositivo que debe tener esta funcin desactivada. para asegurar los dispositivos de red, los administradores deben primero determinar las vulnerabilidades que existen con la configuracin actual. La mejor manera de lograr esto es mediante el uso de una herramienta de auditora de seguridad. Una herramienta de auditora de

seguridad realiza comprobaciones en el nivel de seguridad de una configuracin mediante la comparacin de esa configuracin a la configuracin recomendada y discrepancias de seguimiento. Despus de vulnerabilidades se identifican, los administradores de red debe modificar la configuracin para reducir o eliminar esas vulnerabilidades para asegurar el dispositivo y la red. Las tres herramientas de auditora de seguridad que estn disponibles incluyen: Asistente de auditora de la seguridad - una funcin de auditora de seguridad que ofrece a travs de CCP. La auditora de la seguridad asistente proporciona una lista de vulnerabilidades y luego permite al administrador elegir que los potenciales relacionados con la seguridad para implementar cambios de configuracin en un router. Cisco AutoSecure - una caracterstica de auditora de seguridad disponibles a travs de la CLI de Cisco IOS. El comando AutoSecure inicia una auditora de seguridad y luego permite que los cambios de configuracin. Basndose en el modo seleccionado, los cambios de configuracin puede ser automtica o requerir entrada administrador de la red. One-Step Lockdown - una funcin de auditora de seguridad que ofrece a travs de CCP. La funcin de bloqueo de seguridad One-Step ofrece una lista de vulnerabilidades y entonces automticamente todos los recomendados relacionados con la seguridad cambios de configuracin. Tanto el asistente de auditora de seguridad y bloqueo de seguridad de un solo paso se basa en la caracterstica de Cisco IOS AutoSecure. Asistente de auditora de la seguridad El asistente de auditora de seguridad a prueba la configuracin del router para determinar si hay algn problema de seguridad potencial existe en la configuracin, y luego presenta una pantalla que permite al administrador determinar cul de esos problemas de seguridad de arreglar. En este punto, Auditora de Seguridad asistente realiza los cambios necesarios en la configuracin del router para solucionar esos problemas. La auditora de la seguridad asistente compara contra una configuracin de router configuracin recomendada y realiza lo siguiente: Cierra los servidores que no sean necesarios. Desactiva los servicios innecesarios. Aplica el servidor de seguridad para las interfaces externas. Deshabilita o endurece SNMP. Apaga las interfaces no utilizadas. Comprueba la contrasea. Aplica el uso de ACL. Cuando una auditora de seguridad se inicia el asistente de auditora de seguridad debe saber qu interfaces del router conectarse a la red en el interior y que se conectan a la parte exterior de la red. La auditora de la seguridad asistente le pone a prueba la configuracin del router para determinar los posibles problemas de seguridad que puedan existir. Una ventana muestra todas las opciones de configuracin a prueba y si la configuracin del router que actualmente pasa esas pruebas. Cuando la auditora se haya completado, la auditora de la seguridad asistente identifica posibles vulnerabilidades en la configuracin y proporciona una manera de corregir esos problemas. Tambin le da al administrador la posibilidad de solucionar los problemas de forma automtica, en

cuyo caso se determina los comandos de configuracin necesarios. Una descripcin de problemas especficos y una lista de los comandos de Cisco IOS utilizados para corregir esos problemas se proporcionan. Antes de que los cambios de la configuracin, una pgina de resumen muestra una lista de todos los cambios de configuracin que el asistente de auditora de la seguridad tendr que realizar. El administrador debe hacer clic en Finalizar para enviar estas configuraciones al router. INTRODUCCION 3 Una red debe ser diseada para controlar quin puede conectarse a l y lo que estn autorizados a hacer cuando estn conectados. Estas especificaciones de diseo se identifican en la poltica de seguridad de la red. La poltica especifica cmo los administradores de red, los usuarios empresariales, usuarios remotos, socios comerciales, clientes y recursos de acceso a la red. La poltica de seguridad de red tambin pueden exigir la aplicacin de un sistema de contabilidad que realiza el seguimiento que ha entrado en cuando y lo que hicieron mientras est conectado pulg Gestin de acceso a la red utilizando nicamente el modo de usuario o los comandos de modo de privilegiar la contrasea es limitado y no escala bien. En su lugar, utilizando la autenticacin, autorizacin y contabilidad (AAA) de protocolo proporciona el marco necesario para que la seguridad de acceso escalable. Routers Cisco IOS puede ser configurado para utilizar AAA para acceder a una base de datos de nombre de usuario local y contrasea. El uso de un nombre de usuario de base de datos local y contrasea proporciona mayor seguridad que una contrasea simple y es una solucin de seguridad rentable y fcil de implementar. Routers Cisco IOS tambin se puede configurar para utilizar AAA para acceder a un Cisco Secure Access Control Server (ACS). Utilizacin de Cisco ACS es muy escalable porque todos los dispositivos de infraestructura de acceso a un servidor central. La solucin Cisco Secure ACS es tambin tolerante a fallos porque los servidores mltiples se pueden configurar. La solucin Cisco Secure ACS es a menudo ejecutados por organizaciones de gran tamao. Una prctica de laboratorio para el captulo, Proteccin del acceso administrativo Uso de AAA y RADIUS, permite a los estudiantes utilizar CLI y CCP para configurar y probar la autenticacin local con y sin AAA. Autenticacin centralizada utilizando AAA y RADIUS tambin se explora. Una actividad de Packet Tracer, configurar la autenticacin AAA en routers Cisco, ofrece prctica adicional estudiantes la aplicacin de las tecnologas introducidas en este captulo. Estudiantes de configurar la autenticacin local con y sin AAA. Basada en servidor de autenticacin AAA se configura con TACACS + y RADIUS. AAA Intrusos de la red potencialmente puede tener acceso a los equipos de red y servicios sensibles. Acceda a los lmites de control o que lo pueden utilizar los recursos especficos, as como los servicios y opciones disponibles una vez que se concede el acceso. Muchos tipos de mtodos de autenticacin se puede realizar en un dispositivo de Cisco, y cada mtodo ofrece diferentes niveles de seguridad. La forma ms simple de autenticacin de contraseas. Este mtodo se configura con un nombre de usuario y una contrasea en la consola, y las lneas vty y puertos auxiliares. Este mtodo es el ms fcil de implementar, pero tambin es el ms dbil y menos seguro. Slo inicios de sesin con

contrasea son muy vulnerables a los ataques de fuerza bruta. Adems, este mtodo no proporciona ninguna responsabilidad. Cualquier persona con la contrasea puede conseguir entrar en el dispositivo y alterar la configuracin. Para ayudar a la rendicin de cuentas, la autenticacin de base de datos local puede implementarse usando uno de los siguientes comandos: Nombre de usuario contrasea contrasea Nombre de usuario contrasea secreta Este mtodo crea cuentas de usuario individuales en cada dispositivo con una contrasea especfica asignada a cada usuario. El mtodo de base de datos local proporciona seguridad adicional, ya que un atacante se requiere conocer un nombre de usuario y una contrasea. Tambin proporciona una mayor responsabilidad, ya que el usuario se registra cuando un usuario inicia sesin Tenga en cuenta que el nombre de usuario contrasea combinacin comando muestra la contrasea en texto plano en el archivo de configuracin si el servicio de cifrado comando no est configurado. La combinacin secreta nombre de usuario es muy recomendable, ya que proporciona cifrado MD5 de estilo. El mtodo de base local tiene algunas limitaciones. Las cuentas de usuario se debe configurar de forma local en cada dispositivo. En un entorno de gran empresa que tiene varios enrutadores y conmutadores de manejar, puede tomar tiempo para implementar y modificar bases de datos locales en cada dispositivo. Adems, la configuracin de base de datos local proporciona ningn mtodo de autenticacin de reserva. Por ejemplo, qu pasa si el administrador se olvida el nombre de usuario y contrasea para ese dispositivo? En ningn mtodo de copia de seguridad disponibles para la autenticacin, la recuperacin de contraseas se convierte en la nica opcin. Una mejor solucin es que todos los dispositivos se refieren a la misma base de datos de nombres de usuario y contraseas de un servidor central. Este captulo analiza los distintos mtodos de obtencin de acceso a red mediante la autenticacin, autorizacin y contabilidad (AAA) para asegurar los routers Cisco. AAA red de servicios de seguridad proporcionan el marco bsico para configurar el control de acceso en un dispositivo de red. AAA es una manera de controlar quin tiene permiso para acceder a una red (autenticacin), lo que pueden hacer cuando se encuentran all (autorizar), y para auditar las acciones que lleva a cabo mientras el acceso a la red (contabilidad). Proporciona un mayor nivel de escalabilidad que el CON, AUX, vty y privilegiados comandos EXEC autenticacin solo. Redes y seguridad AAA administrativa en el entorno de Cisco tiene varios componentes funcionales: Autenticacin - Los usuarios y administradores deben demostrar que son quienes dicen que son. La autenticacin puede establecerse utilizando combinaciones de nombre de usuario y contrasea, desafo y preguntas de respuesta, tarjetas, fichas y otros mtodos. Por ejemplo: ". Yo soy" estudiante "usuario que conozca la contrasea para demostrar que soy" estudiante "usuario". Autorizacin - Despus de que el usuario es autenticado, los servicios de autorizacin determinar qu recursos puede acceder el usuario y que las operaciones que el usuario est autorizado a realizar. Un ejemplo es el "Usuario" estudiante "puede acceder a serverxyz host mediante Telnet solamente." Contabilidad y Auditora - Los registros contables que hace el Usuario, incluyendo lo que se tiene acceso a la cantidad de tiempo que se tiene acceso a los recursos, y los cambios que se hicieron.

Contabilidad realiza un seguimiento de cmo los recursos de red se utilizan. Un ejemplo es el "Usuario" estudiante "serverxyz acceso host mediante Telnet durante 15 minutos." Este concepto es similar al uso de una tarjeta de crdito. La tarjeta de crdito se identifica quin puede utilizar, cunto puede gastar ese usuario, y mantiene cuenta de lo elementos que el usuario gastado dinero en. CONFIGURACION LOCAL AAA AUTENTICACION CON CLI Para activar AAA, utilice el aaa nuevo modelo de comando de configuracin global. Para desactivar la AAA, utilice la forma no de este comando. Despus de AAA se activa, para configurar la autenticacin de los puertos vty, lneas asncronas (tty), el puerto auxiliar, o el puerto de la consola, definir una lista con nombre de mtodos de autenticacin y luego aplicar esa lista a los diferentes interfaces. Para definir una lista con nombre de mtodos de autenticacin, utilice el comando de inicio de sesin de autenticacin AAA. Este comando requiere un nombre de lista y los mtodos de autenticacin. El nombre de la lista identifica la lista de mtodos de autenticacin activa cuando un usuario inicia sesin La lista de mtodos es una lista secuencial que describe los mtodos de autenticacin que se puedan consultar para autenticar a un usuario. Mtodo listas permiten a un administrador para que designe a uno o ms protocolos de seguridad para la autenticacin. Usando ms de un protocolo proporciona un sistema de copia de seguridad para la autenticacin en el caso de que el mtodo inicial falla. Varias palabras clave que se puede utilizar para indicar el mtodo. Para habilitar la autenticacin local utilizando una base de datos local preconfigurado, utilice la palabra clave local o locales de casos. La diferencia entre ambas opciones es que local acepta un nombre de usuario, independientemente de caso, y locales de los casos se distingue entre maysculas y minsculas. Para especificar que un usuario puede autenticar usando la contrasea de activacin, utilice la palabra clave de activacin. Para asegurarse de que la autenticacin se realiza correctamente, incluso si todos los mtodos devuelven un error, especifique ninguno como el mtodo final. Por motivos de seguridad, utilice la palabra clave no slo al probar la configuracin de AAA. Nunca se debe aplicar en una red activa. Por ejemplo, el mtodo de habilitacin puede ser configurado como un mecanismo de reserva en caso de que el nombre de usuario y contrasea se olvida. inicio de sesin de autenticacin aaa TELNET-ACCESS de validacin local En este ejemplo, una lista de autenticacin AAA llamado TELNET-ACCESS se crea que requiere que los usuarios intentan autenticarse en la base de datos de usuario del router local en primer lugar. Si ese intento devuelve un error, como una base de datos local que no est configurado, el usuario puede intentar autenticar al conocer la contrasea de activacin. Un mnimo de un mtodo y un mximo de cuatro mtodos se puede especificar para una lista solo mtodo. Cuando un usuario intenta iniciar sesin, aparece el primer mtodo se utiliza. Cisco IOS software intenta la autenticacin con el mtodo de autenticacin lista siguiente slo cuando no hay respuesta o un error del mtodo anterior se produce. Si el mtodo de autenticacin niega el acceso de los usuarios, el proceso de autenticacin se detiene y no hay otros mtodos de autenticacin estn permitidas La lista definida de mtodos de autenticacin se debe aplicar a interfaces especficas o lneas. Para

mayor flexibilidad, diferentes listas mtodo puede ser aplicado a diferentes interfaces y lneas. Por ejemplo, un administrador puede aplicar una sesin especial para Telnet y luego tener un mtodo de entrada diferente para la consola de lnea. Para permitir que un nombre de la lista especfica, utilice la autenticacin de inicio de sesin aaa lista de nombres de comandos en modo de configuracin de lnea. La opcin tambin existe para configurar un nombre de la lista predeterminada. Cuando AAA se habilita por primera vez, la lista de mtodo predeterminado denominado "default" se aplica automticamente a todas las interfaces y las lneas, pero no tiene mtodos de autenticacin definidos. Para asignar varios mtodos de autenticacin en la lista predeterminada, utilice el comando login aaa autenticacin method1 defecto ... [method2]. Los mtodos de autenticacin en la lista de mtodos se utilizan por defecto en todas las lneas, salvo una lista de mtodos de autenticacin personalizado es creado. Si una interfaz o lnea tiene una lista de mtodos de autenticacin personalizado aplicado, esa lista mtodo reemplaza la lista mtodo por defecto para esa interfaz. Si la lista de mtodo predeterminado no est establecido y no hay otra lista, slo la base de datos de usuario local est activada. Esto tiene el mismo efecto que el comando aaa predeterminada de inicio de sesin de autenticacin local. En la consola, inicie una sesin correctamente sin ningn tipo de autenticacin por defecto comprueba si no est establecida. Una vez que la lista de mtodos de autenticacin personalizado se aplica a una interfaz, es posible volver a la lista mtodo predeterminado mediante el inicio de sesin no aaa autenticacin lista de nombres de comandos. Si la lista predeterminada no se ha definido, entonces la autenticacin AAA no se produce. Seguridad adicional puede ser implementado en la lnea con los intentos de autenticacin AAA local max-fallan de nmero de intentos fallidos-comando en el modo de configuracin global. Este comando asegura AAA cuentas de usuario mediante el bloqueo de las cuentas que tienen exceso de intentos fallidos. Para eliminar el nmero de intentos fallidos que se cre, utilice la forma no de este comando. Para mostrar una lista de todos los usuarios bloqueados, utilice el show aaa comando local bloqueo de usuario en el modo EXEC privilegiado. Use el lockout claro aaa usuario local {nombre de usuario Nombre de usuario | all} comando en el modo EXEC privilegiado para desbloquear a un usuario especfico o para desbloquear todos los usuarios bloqueados. Los intentos de autenticacin AAA local max-comando no difiere del comando de retardo de inicio de sesin en la forma en que maneja los intentos fallidos. Los intentos de autenticacin AAA local max-fail comando bloquea la cuenta del usuario si la autenticacin falla. Esta cuenta se queda bloqueado hasta que se borra por un administrador. El comando de inicio de sesin de retardo introduce un retraso entre los intentos fallidos de conexin sin bloquear la cuenta. Cuando un usuario se conecta a un router Cisco y utiliza AAA, un identificador nico que se asigna a la sesin. A lo largo de la vida de la sesin, varios atributos que estn relacionados con la sesin se recogen y almacenan internamente dentro de la base de datos AAA. Estos atributos pueden incluir la direccin IP del usuario, el protocolo que se utiliza para acceder al router, tales como PPP o Serial Line Internet Protocol (SLIP), la velocidad de la conexin, y el nmero de paquetes o bytes que se reciben o se transmitida. Para mostrar los atributos que se recogen para una sesin de AAA, utilice el programa de usuario aaa {all | id nico} en el modo EXEC privilegiado. Este comando no proporciona informacin para todos los usuarios que han iniciado sesin en un dispositivo, pero slo para aquellos que han sido

autenticada o autorizado el uso AAA o cuyas sesiones se contabilizan por el mdulo de AAA. El comando show sessions aaa se puede utilizar para mostrar el identificador nico de una sesin. Basado en el servidor AAA CARACTERSTICAS Implementacin local de la AAA no escala bien. Mayora de los entornos corporativos tienen mltiples routers Cisco con administradores mltiples routers y cientos o miles de usuarios que necesitan acceso a la LAN corporativa. El mantenimiento de una base de datos local para cada enrutador Cisco para este tamao de la red no es factible. Para resolver este desafo, uno o ms servidores AAA, tales como Cisco Secure ACS, se puede utilizar para administrar el usuario y las necesidades de gestin de acceso para una red corporativa completa. Cisco Secure ACS puede crear una base de datos central de usuarios y el acceso administrativo que todos los dispositivos de la red pueden acceder. Tambin puede trabajar con muchas bases de datos externas, como Active Directory y el Protocolo ligero de acceso a directorios (LDAP). Estas bases de datos de almacn de informacin de la cuenta de usuario y las contraseas, lo que permite la administracin central de cuentas de usuario El Cisco Secure familia ACS de productos admite Terminal de Control de Acceso Control de Acceso Server Plus (TACACS +) y autenticacin remota Dial-In protocolos de servicios de usuario (RADIUS), que son los dos protocolos predominantes utilizados por Cisco dispositivos de seguridad, enrutadores y switches para la aplicacin de AAA. Mientras que ambos protocolos se pueden utilizar para la comunicacin entre clientes y servidores AAA, TACACS + se considera el protocolo ms seguro. Esto se debe a que todos los intercambios de protocolo TACACS + estn codificadas; RADIUS slo encripta la contrasea de usuario. No cifra los nombres de usuario, informacin contable, o cualquier otra informacin contenida en el mensaje RADIUS. Configuracin del servidor de autenticacin basada en AAA con la CLI A diferencia de autenticacin AAA local, basada en el servidor AAA debe identificar TACACS + y varios servidores RADIUS que el servicio AAA deben consultar en la autenticacin y autorizacin de usuarios. Hay algunos pasos bsicos para configurar la autenticacin basada en servidor: Paso 1. Globalmente, active AAA para permitir el uso de todos los elementos AAA. Este paso es un requisito previo para todos los comandos AAA dems. Paso 2. Especifique los Cisco Secure ACS que proporcionarn servicios de AAA para el router. Esto puede ser un TACACS + o un servidor RADIUS. Paso 3. Configurar la clave de cifrado necesaria para cifrar la transmisin de datos entre el servidor de acceso a la red y Cisco Secure ACS. Paso 4. Configure la lista de mtodos de autenticacin AAA para referirse a la TACACS + o un servidor RADIUS. Para la redundancia, es posible configurar ms de un servidor. Configurar un servidor TACACS + y clave de cifrado

Para configurar un servidor TACACS +, utilice el host y el servidor TACACS direccin IP de una sola conexin de comandos. La palabra clave de una sola conexin TCP mejora el rendimiento mediante el mantenimiento de una conexin TCP para la vida de la sesin. De lo contrario, por defecto, una conexin TCP se abre y se cierra para cada sesin. Si TACACS + necesarios, mltiples servidores pueden identificarse introduciendo su direccin IP correspondiente, utilizando el smbolo del tacacs-servidor. A continuacin, utilice el comando de servidor TACACS Tecla para configurar la clave secreta compartida para cifrar la transmisin de datos entre el servidor TACACS + y el router AAA habilitado. Esta clave debe ser configurado exactamente lo mismo en el router y el servidor TACACS +. Configurar un servidor RADIUS y la clave de cifrado Para configurar un servidor RADIUS, utilice el host radius-server-ip comando. Porque RADIUS utiliza UDP, no hay un equivalente de una sola conexin de palabras clave. Si es necesario, varios servidores RADIUS pueden ser identificados mediante la introduccin de un comando de acogida radio-servidor para cada servidor. Para configurar la clave secreta compartida para encriptar la contrasea, utilice el comando de teclado radio-servidor de claves. Esta clave debe ser configurado exactamente lo mismo en el router y el servidor RADIUS. Configuracin de la autenticacin para utilizar el servidor AAA Cuando los servidores de seguridad AAA han sido identificados, los servidores deben ser incluidos en la lista de mtodos de autenticacin de la orden de inicio de sesin aaa. AAA servidores se identifican mediante los TACACS + o grupo de palabras clave del grupo de radio. Por ejemplo, para configurar una lista de mtodos para el inicio de sesin predeterminado para autenticar con un servidor RADIUS, un servidor TACACS +, o una base de datos de nombre de usuario local, utilice el comando AAA de autenticacin de inicio de sesin predeterminada del grupo de TACACS + radio del grupo local de caso. Mientras que la autenticacin se encarga de garantizar que el usuario del dispositivo o el fin es legtimo, la autorizacin se refiere a permitir y no permitir a los usuarios acceso autenticado a ciertas reas y programas de la red. El protocolo TACACS + permite la separacin de autenticacin de autorizacin. Un router puede ser configurado para restringir al usuario realizar slo ciertas funciones despus de la autenticacin exitosa. La autorizacin puede ser configurado para el modo de carcter tanto (autorizacin EXEC) y el modo de paquetes (autorizacin de red). Tenga en cuenta que RADIUS no separa la autenticacin del proceso de autorizacin. Otro aspecto importante de la autorizacin es la capacidad para controlar el acceso del usuario a los servicios especficos. Controlar el acceso a los comandos de configuracin simplifica enormemente la seguridad de la infraestructura en las redes de grandes empresas. Por usuario permisos en el Cisco Secure ACS simplificar la configuracin de dispositivos de red. Por ejemplo, un usuario autorizado puede permitir acceder al comando show version, pero no el comando configure terminal. El router consulta los ACS de autorizacin para ejecutar los comandos en nombre del usuario. Cuando el usuario emite el comando show version, el ACS enva una

respuesta ACEPTAR. Si el usuario emite un comando configure terminal, el ACS enva una respuesta REJECT. De forma predeterminada, TACACS + establece una nueva sesin TCP por cada solicitud de autorizacin, que puede dar lugar a retrasos cuando los usuarios escriben comandos. Cisco Secure ACS soporta sesiones TCP persistentes para mejorar el rendimiento. Para configurar la autorizacin de comandos, utilice la autorizacin aaa {network | exec | Nivel de comandos} {default | list-name} method1 ... [method4] comando. El tipo de servicio puede especificar los tipos de comandos o servicios: comandos de nivel - para exec (shell) comandos ejecutivo - para iniciar un exec (shell) red - para los servicios de red (PPP, SLIP, ARAP) Cuando autorizacin AAA no est activada, todos los usuarios se les permite el acceso completo. Despus de la autenticacin se ha iniciado, el valor por defecto cambia para no permitir el acceso. Esto significa que el administrador debe crear un usuario con derechos de acceso completo antes de la autorizacin est habilitado. Si no lo hace inmediatamente bloquea el administrador del sistema en el momento de la celebracin del comando aaa autorizacin. La nica manera de recuperarse de esto es para reiniciar el router. Si este es un router de produccin, reiniciar podra ser inaceptable. Asegrese de que al menos un usuario siempre tiene pleno derecho. Para configurar el router para utilizar el servidor Cisco Secure ACS para la autorizacin, crear una lista definida por el usuario (o personalizado) mtodo de autorizacin o editar la lista de mtodos de autorizacin predeterminado. La autorizacin lista predeterminada mtodo se aplica automticamente a todas las interfaces excepto las que tienen una lista de autorizaciones definida por el usuario explcitamente mtodo aplicado. Una lista de autorizaciones mtodo definido por el usuario anula la autorizacin por omisin lista de mtodos. CCP se puede utilizar para configurar la autorizacin por omisin lista de mtodos para el modo de caracteres (exec) acceso: Paso 1. Desde la pgina principal del PCCh, seleccione Configurar> Router> AAA> Directivas de autorizacin> Modo de comando EXEC. Paso 2. En el panel de Autorizacin Exec, seleccione la lista predeterminada y haga clic en Editar. Paso 3. De la Edicin de una lista de mtodos para la ventana Autorizacin Exec, haga clic en Agregar para definir los mtodos que utiliza esta poltica. Paso 4. En la lista Seleccione el mtodo (s) para la ventana Autorizacin Exec, seleccione TACACS + grupo de la lista de mtodos. Paso 5. Haga clic en Aceptar para volver a la Edicin de una lista de mtodos para la ventana Autorizacin Exec. Paso 6. Haga clic en Aceptar para volver al panel de Autorizacin Exec. El comando CLI resultante que genera CCP es AAA exec autorizacin TACACS + predeterminada del grupo CCP tambin se puede utilizar para configurar el mtodo de autorizacin predeterminada lista para

el modo de paquetes (red): Paso 1. Desde la pgina principal del PCCh, seleccione Configurar> Router> AAA> Directivas de autorizacin> Network. Paso 2. En el panel de Autorizacin de red, haga clic en Agregar. Paso 3. Desde la opcin Agregar una lista de mtodos para la ventana Network autorizacin, seleccione Predeterminado en el nombre de la lista desplegable. Paso 4. Haga clic en Agregar para definir los mtodos que utiliza esta poltica. Paso 5. En la lista Seleccione el mtodo (s) para la ventana Red autorizacin, seleccione TACACS + grupo de la lista de mtodos. Paso 6. Haga clic en Aceptar para volver a la lista de Agregar un mtodo para la ventana Network Autorizacin. Paso 7. Haga clic en Aceptar para volver al panel de Autorizacin de red. El comando CLI resultante que genera CCP es AAA autorizacin de redes TACACS + predeterminada del grupo.