Actividad de registro de los routers

Los registros le permiten verificar que un router est funcionando correctamente o determinar si el router est comprometido. En algunos casos, un registro puede mostrar qu tipos de sondeos o ataques se estn intentando perpetrar contra el router o la red protegida. La configuracin del registro (syslog) en el router se debe realizar con cuidado. Enve los registros del router a un host de registro designado. El host de registro debe estar conectado a una red confiable o protegida, o a una interfaz de router aislada y dedicada. Asegure el host de registro eliminando todas las cuentas y todos los servicios innecesarios. Los routers admiten distintos niveles de registro. Los ocho niveles van desde 0, emergencias que indican que el sistema es inestable, hasta 7 para depurar mensajes que incluyen toda la informacin del router.
2006 Cisco Systems, Inc. Todos los derechos reservados. Informacin pblica de Cisco

91

Servicios e interfaces de routers vulnerables

2006 Cisco Systems, Inc. Todos los derechos reservados.

Informacin pblica de Cisco

93

Servicios e interfaces de routers vulnerables

Hay una variedad de comandos necesarios para desactivar servicios. El resultado show running-config de la figura proporciona una configuracin de muestra de varios servicios que se han desactivado. A continuacin, se enumeran los servicios que, normalmente, deben desactivarse. Entre stos se destacan: Los servicios pequeos tales como echo, discard y chargen: use el comando no service tcp-small-servers o no service udp-smallservers. BOOTP: use el comando no ip bootp server. Finger: use el comando no service finger. HTTP: use el comando no ip http server. SNMP: use el comando no snmp-server.
2006 Cisco Systems, Inc. Todos los derechos reservados. Informacin pblica de Cisco

96

Servicios e interfaces de routers vulnerables

Es importante desactivar los servicios que permiten que determinados paquetes pasen a travs del router, enven paquetes especiales o se utilicen para la configuracin del router remoto. Los comandos correspondientes para desactivar estos servicios son: Protocolo de descubrimiento de Cisco (CDP): use el comando no cdp run. Configuracin remota: use el comando no service config. Enrutamiento de origen: use el comando no ip sourceroute. Enrutamiento sin clase: use el comando no ip classless.

2006 Cisco Systems, Inc. Todos los derechos reservados.

Informacin pblica de Cisco

97

Servicios e interfaces de routers vulnerables

Las interfaces del router pueden ser ms seguras si se utilizan determinados comandos en el modo de configuracin de interfaz: Interfaces no utilizadas: use el comando shutdown. Prevencin de ataques SMURF: use el comando no ip directed-broadcast. Enrutamiento ad hoc: use el comando no ip proxy-arp.

2006 Cisco Systems, Inc. Todos los derechos reservados.

Informacin pblica de Cisco

98

Interfaces vulnerables del router

2006 Cisco Systems, Inc. Todos los derechos reservados.

Informacin pblica de Cisco

99

Servicios e interfaces de routers vulnerables

Vulnerabilidades de SNMP, NTP y DNS La figura describe tres servicios de administracin que tambin deben estar protegidos. Los mtodos para desactivar o ajustar las configuraciones de estos servicios exceden el alcance de este curso. Estos servicios estn contemplados en el CCNP: Curso Implementacin de redes seguras y convergentes de rea amplia.

2006 Cisco Systems, Inc. Todos los derechos reservados.

Informacin pblica de Cisco

100

Servicios e interfaces de routers vulnerables

SNMP SNMP es el protocolo de Internet estndar del monitoreo y la administracin remotos automatizados. Hay varias versiones distintas de SNMP con propiedades de seguridad diferentes.

Las versiones de SNMP anteriores a la versin 3 transportan informacin en forma de texto sin cifrar.
Normalmente, se debe utilizar la versin 3 de SNMP.

2006 Cisco Systems, Inc. Todos los derechos reservados.

Informacin pblica de Cisco

101

Servicios e interfaces de routers vulnerables

NTP Los routers Cisco y otros hosts utilizan NTP para mantener sus relojes con la hora del da exacta. Si es posible, los administradores de la red deben configurar todos los routers como parte de una jerarqua de NTP, lo que convierte a un router en el temporizador maestro y proporciona su hora a otros routers de la red. Si no hay una jerarqua de NTP disponible en la red, debe desactivar NTP. Desactivar NTP en una interfaz no impide que los mensajes de NTP viajen a travs del router. Para rechazar todos los mensajes de NTP en una interfaz determinada, use una lista de acceso.
2006 Cisco Systems, Inc. Todos los derechos reservados. Informacin pblica de Cisco

102

Servicios e interfaces de routers vulnerables

DNS El software IOS de Cisco admite la bsqueda de nombres de hosts con el Sistema de nombres de dominios (DNS). DNS proporciona la asignacin entre nombres, como central.mydomain.com a las direcciones IP, como 14.2.9.250. Desafortunadamente, el protocolo DNS bsico no ofrece autenticacin ni aseguramiento de la integridad. De manera predeterminada, las consultas de nombres se envan a la direccin de broadcast 255.255.255.255.

Si hay uno o ms servidores de nombres disponibles en la red y se desea utilizar nombres en los comandos del IOS de Cisco, defina explcitamente las direcciones del servidor de nombres utilizando el comando de configuracin global ip name-server addresses.
De lo contrario, desactive la resolucin de nombres DNS con el comando no ip domain-lookup. Tambin es conveniente asignarle un nombre al router mediante el uso del comando hostname.

2006 Cisco Systems, Inc. Todos los derechos reservados.

Informacin pblica de Cisco

103