4.

3 Servicios de red router seguro

4.3.1 Servicios e interfaces de routers vulnerables.
Servicios e interfaces de routers vulnerables
Generalmente, la mayora de los servicios enumerados en esta seccin no son
necesarios. La tabla de la figura describe servicios generales de los routers
vulnerables y enumera las mejores prcticas asociadas a esos servicios.
Desconectar un servicio de red en el router mismo no le impide respaldar una
red en que se utiliza ese protocolo. Por ejemplo, una red puede requerir
servicios TFTP para respaldar los archivos de configuracin y las imgenes del
IOS. Por lo general, este servicio es proporcionado por un servidor TFTP
dedicado. En algunos casos, un router tambin podra configurarse como
servidor TFTP. Sin embargo, esto es muy poco frecuente. Por lo tanto, en la
mayora de los casos, el servicio TFTP del router debe desactivarse.
Hay una variedad de comandos necesarios para desactivar servicios. El
resultado show running-config de la figura proporciona una configuracin de
muestra de varios servicios que se han desactivado.
A continuacin, se enumeran los servicios
desactivarse. Entre stos se destacan:
o
o
o
o
o

que,

normalmente,

deben

Los servicios pequeos tales como echo, discard y chargen: use el

comando no service tcp-small-servers o no service udp-small-servers.
BOOTP: use el comando no ip bootp server.
Finger: use el comando no service finger.
HTTP: use el comando no ip http server.
SNMP: use el comando no snmp-server.

Tambin es importante desactivar los servicios que permiten que determinados

paquetes pasen a travs del router, enven paquetes especiales o se utilicen
para la configuracin del router remoto. Los comandos correspondientes para
desactivar estos servicios son:
o
o
o
o

Protocolo de descubrimiento de Cisco (CDP): use el comando no cdp run.

Configuracin remota: use el comando no service config.
Enrutamiento de origen: use el comando no ip source-route.
Enrutamiento sin clase: use el comando no ip classless.

Las interfaces del router pueden ser ms seguras si se utilizan determinados

comandos en el modo de configuracin de interfaz:
o
o
o

Interfaces no utilizadas: use el comando shutdown.

Prevencin de ataques SMURF: use el comando no ip directed-broadcast.
Enrutamiento ad hoc: use el comando no ip proxy-arp.

Vulnerabilidades de SNMP, NTP y DNS

SNMP: Es el protocolo de Internet estndar del monitoreo y la administracin

remotos automatizados.
NTP: Los routers Cisco y otros hosts utilizan NTP para mantener sus relojes con
la hora del da exacta. Desactivar NTP en una interfaz no impide que los
mensajes de NTP viajen a travs del router. Para rechazar todos los mensajes
de NTP en una interfaz determinada, use una lista de acceso.
DNS: El software IOS de Cisco admite la bsqueda de nombres de hosts con el
Sistema de nombres de dominios (DNS). DNS proporciona la asignacin entre
nombres, como central.mydomain.com a las direcciones IP, como 14.2.9.250.
Desafortunadamente, el protocolo DNS bsico no ofrece autenticacin ni
aseguramiento de la integridad. De manera predeterminada, las consultas de
nombres se envan a la direccin de broadcast 255.255.255.255.
4.3.2 Proteccin de los protocolos de enrutamiento.
Como administrador de la red, debe saber que sus routers corren el riesgo de
sufrir ataques en la misma medida que sus sistemas de usuario final. Las
personas que cuentan con un programa detector de paquetes, como Wireshark
pueden leer la informacin que se propaga entre routers. En general, los
sistemas de enrutamiento pueden sufrir ataques de dos maneras:

Interrupcin de pares
Falsificacin de informacin de enrutamiento

La informacin de enrutamiento falsificada, generalmente, puede utilizarse

para hacer que los sistemas se proporcionen informacin errnea (mientan)
entre s, para provocar un DoS o hacer que el trfico siga una ruta que,
normalmente, no seguira. Las consecuencias de falsificar informacin de
enrutamiento son las siguientes:

El trfico se redirecciona para crear routing loops, como se observa en la

figura
El trfico se redirecciona para que pueda monitorearse en un enlace
inseguro
El trfico se redirecciona para descartarlo

Una forma sencilla de atacar el sistema de enrutamiento es atacar a los

routers, mediante la ejecucin de los protocolos de enrutamiento, obtener
acceso a los routers e introducir informacin falsa. Tenga en cuenta que
cualquier persona que est "escuchando" puede capturar actualizaciones de
enrutamiento.
La mejor manera de proteger la informacin de enrutamiento en la red es
autenticar los paquetes del protocolo de enrutamiento mediante el algoritmo
message digest 5 (MD5). Un algoritmo como MD5 permite a los routers
comparar las firmas que deben ser todas iguales.
Configuracin
enrutamiento

de

RIPv2

con

autenticacin

del

protocolo

de

La topologa de la figura muestra una red configurada con el protocolo de

enrutamiento RIPv2. RIPv2 admite la autenticacin del protocolo de
enrutamiento. Para proteger las actualizaciones de enrutamiento, cada router
debe configurarse para admitir la autenticacin. Los pasos para proteger las
actualizaciones de RIPv2 son los siguientes:

Paso 1. Impida la propagacin de actualizaciones de enrutamiento RIP

Paso 2. Impida la recepcin de actualizaciones RIP no autorizadas
Paso 3. Verifique el funcionamiento del enrutamiento RIP

Impedir la propagacin de actualizaciones de enrutamiento RIP

Debe impedir que un intruso que est escuchando en la red reciba
actualizaciones a las que no tiene derecho. Debe hacerlo forzando todas las
interfaces del router a pasar al modo pasivo y, a continuacin, activando slo
aquellas interfaces que son necesarias para enviar y recibir actualizaciones RIP.

Descripcin general de la autenticacin del protocolo de enrutamiento

de EIGRP y OSPF
La autenticacin del protocolo de enrutamiento tambin debe ser configurada
para otros protocolos de enrutamiento, como EIGRP y OSPF. Para obtener ms
detalles acerca de la autenticacin del protocolo de enrutamiento de EIGRP y
OSPF, consulte CCNP2: Implementacin de redes seguras y convergentes de
rea amplia.
EIGRP

Paso 1. El rea superior resaltada muestra cmo crear una cadena de claves
para ser utilizada por todos los routers de la red. Estos comandos crean una
cadena de claves denominada EIGRP_KEY y coloca su terminal en el modo de
configuracin de cadena de claves, un nmero de clave 1 y un valor de cadena
de claves de cisco.
Paso 2. El rea inferior resaltada muestra cmo activar la autenticacin MD5 de
los paquetes de EIGRP que viajan a travs de una interfaz.
OSPF

4.3.3 Bloqueo de su router con su Auto Secure de Cisco

AutoSecure de Cisco utiliza un nico comando para desactivar procesos y
servicios no esenciales del sistema y elimina amenazas de seguridad
potenciales. Puede configurar AutoSecure en el modo EXEC privilegiado
mediante el comando auto secure en uno de estos dos modos:
Modo interactivo: este modo le indica opciones para activar y desactivar
servicios y otras caractersticas de seguridad. Es el modo
predeterminado.
Modo no interactivo: ejecuta automticamente el comando auto secure
con la configuracin predeterminada recomendada de Cisco. Este modo
se activa con la opcin del comando no-interact.
AutoSecure en un router Cisco
Los resultados de la pantalla muestran un resultado parcial de la configuracin
de AutoSecure de Cisco. Para iniciar el proceso de proteger un router, emita el

comando auto secure. AutoSecure de Cisco le pide una cantidad de elementos,

entre los que se incluyen:

Detalles de la interfaz
Ttulos
Contraseas
SSH
Caractersticas del firewall del IOS