como: Hablar sobre las 3A AAA Desarrollar procedimientos o normas de seguridad Establecer niveles de seguridad para acceder a los routers (configuracin) Comentar sobre los dispositivos de seguridad Bsicamente las 3 A son componentes bsicos de seguridad, entre los que se define: Autenticacin Autorizacin Auditora o Contabilidad En esta etapa se identifica quien solicita los servicios de red. Por lo general se solicita un usuario y contrasea que un servidor autentica, por ejemplo Active Directory. Actualmente se utilizan claves dinmicas o de un solo uso como un PIN. El proceso general de autenticacin consta de los siguientes pasos: El usuario solicita acceso a un sistema. El sistema solicita al usuario que se autentique. El usuario aporta las credenciales que le identifican y permiten verificar la autenticidad de la identificacin. El sistema valida segn sus reglas si las credenciales aportadas son suficientes para dar acceso al usuario o no.
En la etapa anterior, la autenticacin controla quien puede acceder a los recursos de red, pero la autorizacin dice lo que pueden hacer cuando acceden los recursos. La autorizacin varia de usuario a usuario dependiendo de los derechos que requiera el solicitante. Se requiere procedimientos que recopilen los datos de la actividad de la red. Esto responde a los incidentes que pueden suceder en una red. Normalmente se debe incluir los intentos de autenticacin y autorizacin, conocidos como pistas de auditora. Es un proceso que mezcla los datos para protegerlos de su lectura por alguien que no sea el receptor esperado. Se utilizan dispositivos que cifran los datos como un router, un servidor o sistema dedicado para cifrar o descrifrar. Es una opcin de seguridad muy til, proporciona confidencialidad de los datos. Establecer contraseas en los diferentes modos de acceso (modo privilegiado, consola, terminal virtual o telnet) Para establecer autenticacin a nivel del router, se debe pensar primero en establecer una contrasea para el modo de conexin de consola. Cada dispositivo debe tener contraseas configuradas a nivel local para limitar el acceso. Se establece una contrasea para limitar el acceso de los dispositivos mediante conexin de consola. Con esto se asegura que nadie se conecte el puerto de consola sino es mediante el pedido de una contrasea.
Al igual que el router, un switch se configura de manera similar. Para proporcionar una mayor seguridad, utilice el comando enable password o el comando enable secret. Puede usarse cualquiera de estos comandos para establecer la autenticacin antes de acceder al modo EXEC privilegiado (enable). Se recomienda el segundo comando (la contrasea se encripta). Nota: El comando enable password puede usarse slo si enable secret no se ha configurado an o si no lo soporta el IOS. Las lneas vty permiten el acceso a un router a travs de Telnet. En forma predeterminada, muchos dispositivos Cisco admiten cinco lneas VTY con numeracin del 0 al 4. Es necesario configurar una contrasea para todas las lneas vty disponibles Se recomienda establecer por medio del comando exec-timeout 5, que al cabo de 5 minutos de abandono por parte del usuario, la comunicacin sea interrumpida, con esto se previene que usuarios no autorizados ingresen a travs de sesiones abandonadas.
Hoy en da existen muchos mecanismos para saltar esas barreras que usualmente los administradores de red colocan en sus redes. Actualmente se pueden crackear las contraseas almacenadas nivel 7 de Cisco, por lo tanto se recomienda usar enable secret password Se recomienda el nivel de password 5, basado en MD5. El comando para encriptar una contrasea utilizando el nivel de encripcin 5 es:
Las contraseas mediante el uso del comando enable password quedan en texto plano, y sin cifrar. El comando service password-encryption aplica una encriptacin dbil a todas las contraseas no encriptadas. El propsito de este comando es evitar que individuos no autorizados vean las contraseas en el archivo de configuracin. Aunque la solicitud de contraseas es un modo de impedir el acceso a la red de personas no autorizadas, resulta vital proveer un mtodo para informar que slo el personal autorizado debe intentar obtener acceso al dispositivo. El contenido o las palabras exactas de un aviso dependen de las leyes locales y de las polticas de la empresa. Para configurar el intervalo de tiempo que se espera en el interpretador de comandos EXEC hasta que se detecte actividad del usuario se utiliza el comando exec-timeout dentro del modo de configuracin de lnea.
Router(config-line)#exec-timeout 5 30 Es comn que en el proceso de configuracin de Switches y Routers escribamos por error palabras que no coinciden con ningn comando y los dispositivos nos dejen esperando por unos cuantos segundos hasta que aparezca el mensaje "Unknown command or computer name..." Pues bien, para no perder esos valiosos segundos se sugiere que hagamos lo siguiente:
Router # configure terminal Router (config) # no ip domain-lookup Son descripciones que el administrador de la red configura en cada interface del enrutador para documentar la informacin de esa conexin, llamar a alguien si la interface esta cada, o simplemente para un campo de notas. El comando se introduce en el modo de la interface: router(config)# interface serial 0/0 router(config-if)# description T1 circuit to Internet Sprint Circuit ID Pginas como esas y muchas otras indican cmo se descifra una contrasea nivel 7. Existen password decoders que utilizan fuerza bruta que descifran las contraseas en minutos, das, meses y hasta aos. Cantidad de Caracteres 26 - Letras Minsculas 36 - Letras y Dgitos 52 - Maysculas y Minsculas 96 - Todos los Caracteres 6 51 minutos 6 horas 2,3 das 3 meses 7 22,3 horas 9 das 4 meses 24 aos 8 24 das 10,5 meses 17 aos 2.288 aos 9 21 meses 32,6 aos 890 aos 219.601 aos 10 54 aos 1.160 aos 45.840 aos 21.081.705 aos
Longitud mnima (>= 8 caracteres). Mezcla de diferentes caracteres (Aa123&*/) No usar palabras del diccionario. No usar datos personales. Cambiar la contrasea con frecuencia (Aging Password). til para contraseas de Windows, dispositivos inalmbricos, email, etc. Con la utilizacin de diccionarios de contraseas, se utilizan programas como Medusa, ytr, Hydra para realizar ataques. No es una constante, pero Cisco advierte de vulnerabilidades en su IOS cada cierto tiempo. Entre las vulnerabilidades se puede presentar denegacin de servicio u obtener informacin de la red atacada, entre otras. Actualmente existen 453 avisos de problemas de seguridad con dispositivos Cisco que requieren una actualizacin, aplicar un fix o la intervencin del usuario.
Existen varios tipos de ataques, los cuales pueden dejar expuesta nuestra red y los datos de nuestra empresa. Los ms comunes son: Ataques DoS contra el cortafuegos Ataques de negacin de servicio. Inundacin SYN, ICMP, UDP Exiten muchos servicios habilitados por defecto en los routers Cisco, muchos de ellos innecesarios, por lo que se recomienda deshabilitarlos, entre los cuales se encuentran:
1. Deshabilitar interfaces del router (shutdown) 2. Servicio CDP, utilizado para cargar ciertos ataques. 3. Servicio Gratuitous ARP, utilizado para ataques de envenenamiento ARP. 4. Y muchos mas.
Existen muchos dispositivos para proteger la red de ataques como lo son: Firewalls (Software y Hardware) IDS o Sistemas de Deteccin de Intrusos IPS o Sistemas de Prevencion de Intrusos Antivirus (spyware, antimalware, troyanos) Smartcards PIX, ASA Al utilizar el modelo de seguridad con las AAA, es recomendable utilizar mecanismos seguros como RADIUS y TACACS+. Para RADIUS existe software IAS de Microsoft o NPS de Win2k8. TACACS o TACACS+, es una solucin propietaria (protocolo) de Cisco para la autenticacin. RIPv2, EIGRP, OSPF, y otros pueden configurarse para encriptar y autenticar su informacin de enrutamiento. Esto garantiza que los routers slo aceptarn informacin de enrutamiento de otros routers que estn configurados con la misma contrasea o informacin de autenticacin. Actualmente existen muchos mecanismos de defensa en el tema de seguridad informtica.
A continuacin se muestra la utilizacin de mecanismos de seguridad analizadas en 3 aos en pases como Mexico, Argentina, Per, Colombia, Venezuela, Paraguay.