Config.

Dispositivos
de Red

INTRODUCCIN A LA
SEGURIDAD EN REDES Y
ROUTERS

Introduccin Seguridad
No se debe iniciar hablando sobre seguridad

en las redes sin antes comenzar con temas

como:
Hablar sobre las 3A AAA
Desarrollar procedimientos o normas de

seguridad
Establecer niveles de seguridad para acceder a los
routers (configuracin)
Comentar sobre los dispositivos de seguridad

Las 3 A
Bsicamente las 3 A son componentes

bsicos de seguridad, entre los que se define:

Autenticacin
Autorizacin
Auditora o Contabilidad

Autenticacin
En esta etapa se identifica quien solicita los

servicios de red. Por lo general se solicita un

usuario y contrasea que un servidor
autentica, por ejemplo Active Directory.
Actualmente se utilizan claves dinmicas o de
un solo uso como un PIN.

Autenticacin
El proceso general de autenticacin consta de

los siguientes pasos:

El usuario solicita acceso a un sistema.
El sistema solicita al usuario que se autentique.
El usuario aporta las credenciales que le

identifican y permiten verificar la autenticidad de

la identificacin.
El sistema valida segn sus reglas si las
credenciales aportadas son suficientes para dar
acceso al usuario o no.

Autorizacin
En la etapa anterior, la autenticacin controla

quien puede acceder a los recursos de red,

pero la autorizacin dice lo que pueden hacer
cuando acceden los recursos.
La autorizacin varia de usuario a usuario
dependiendo de los derechos que requiera el
solicitante.

Auditora
Se requiere procedimientos que recopilen los

datos de la actividad de la red. Esto responde

a los incidentes que pueden suceder en una
red.
Normalmente se debe incluir los intentos de
autenticacin y autorizacin, conocidos como
pistas de auditora.

El cifrado de los Datos

Es un proceso que mezcla los datos para

protegerlos de su lectura por alguien que no

sea el receptor esperado.
Se utilizan dispositivos que cifran los datos
como un router, un servidor o sistema
dedicado para cifrar o descrifrar.
Es una opcin de seguridad muy til,
proporciona confidencialidad de los datos.

Niveles de seguridad en un
Router
Establecer contraseas en los diferentes

modos de acceso (modo privilegiado,

consola, terminal virtual o telnet)

Seguridad en el Router
Para establecer autenticacin a nivel del

router, se debe pensar primero en establecer

una contrasea para el modo de conexin de
consola.
Cada dispositivo debe tener contraseas
configuradas a nivel local para limitar el
acceso.

Seguridad Modo Consola

Se establece una contrasea para limitar el

acceso de los dispositivos mediante conexin

de consola. Con esto se asegura que nadie se
conecte el puerto de consola sino es
mediante el pedido de una contrasea.
Los comandos son:
Router(config)#line console 0
Router (config-line)#password Contrasea
Router (config-line)#login

Nivel de Seguridad - Consola

Al igual que el router, un switch se configura
de manera similar.

Nivel de Seguridad - EXEC

Para proporcionar una mayor seguridad,

utilice el comando enable password o el

comando enable secret. Puede usarse
cualquiera de estos comandos para
establecer la autenticacin antes de acceder
al modo EXEC privilegiado (enable).
Se recomienda el segundo comando (la
contrasea se encripta).

Nivel de Seguridad - EXEC

Nota: El comando enable password puede usarse slo si enable secret

no se ha configurado an o si no lo soporta el IOS.

Nivel de Seguridad -

VTY

Las lneas vty permiten el acceso a un router a

travs de Telnet. En forma predeterminada,

muchos dispositivos Cisco admiten cinco
lneas VTY con numeracin del 0 al 4. Es
necesario configurar una contrasea para
todas las lneas vty disponibles

Nivel de Seguridad -

VTY

Se recomienda establecer por medio del

comando exec-timeout 5, que al cabo de 5

minutos de abandono por parte del usuario,
la comunicacin sea interrumpida, con esto
se previene que usuarios no autorizados
ingresen a travs de sesiones abandonadas.

Amenazas a la seguridad
Hoy en da existen muchos mecanismos para

saltar esas barreras que usualmente los

administradores de red colocan en sus redes.
Actualmente se pueden crackear las
contraseas almacenadas nivel 7 de Cisco,
por lo tanto se recomienda usar enable secret
password
Se recomienda el nivel de password 5, basado
en MD5.

Amenazas a la Seguridad
El comando para encriptar una contrasea

utilizando el nivel de encripcin 5 es:

enable secret [level level] {password | [encryptiontype] encrypted-password}

Al ejecutar el comando show-run vemos que

la contrasea ha sido encriptada.

enable secrect level 5 5 $1$mER$hx5rVt7rPNoS4wqbXKX7mo

Activacin del Servicio de

Encripcin
Las contraseas mediante el uso del

comando enable password quedan en texto

plano, y sin cifrar.
El comando service password-encryption
aplica una encriptacin dbil a todas las
contraseas no encriptadas.
El propsito de este comando es evitar que
individuos no autorizados vean las
contraseas en el archivo de configuracin.

Mensajes de Aviso
Aunque la solicitud de contraseas es un

modo de impedir el acceso a la red de

personas no autorizadas, resulta vital proveer
un mtodo para informar que slo el personal
autorizado debe intentar obtener acceso al
dispositivo.
El contenido o las palabras exactas de un
aviso dependen de las leyes locales y de las
polticas de la empresa.

Mensajes de Aviso

Amenazas a la Seguridad

Amenazas a la Seguridad
Pginas como esas y muchas otras indican

cmo se descifra una contrasea nivel 7.

Existen password decoders que utilizan
fuerza bruta que descifran las contraseas en
minutos, das, meses y hasta aos.
Cantidad de
Caracteres

26 - Letras
Minsculas

36 - Letras y
Dgitos

52 Maysculas y
Minsculas

96 - Todos los
Caracteres

51 minutos

6 horas

2,3 das

3 meses

22,3 horas

9 das

4 meses

24 aos

24 das

10,5 meses

17 aos

2.288 aos

21 meses

32,6 aos

890 aos

219.601 aos

10

54 aos

1.160 aos

45.840 aos

21.081.705 aos

Recomendaciones sobre
Contraseas
Longitud mnima (>= 8 caracteres).
Mezcla de diferentes caracteres (Aa123&*/)
No usar palabras del diccionario.
No usar datos personales.
Cambiar la contrasea con frecuencia (Aging

Password).

Generador de Contraseas
til para contraseas de Windows,

dispositivos inalmbricos, email, etc.

Diccionario de contraseas

Ataques de fuerza bruta

Con la utilizacin de diccionarios de

contraseas, se utilizan programas como

Medusa, ytr, Hydra para realizar ataques.

Amenazas a la Seguridad
No es una constante, pero Cisco advierte de

vulnerabilidades en su IOS cada cierto

tiempo. Entre las vulnerabilidades se puede
presentar denegacin de servicio u obtener
informacin de la red atacada, entre otras.
Actualmente existen 453 avisos de problemas
de seguridad con dispositivos Cisco que
requieren una actualizacin, aplicar un fix o la
intervencin del usuario.

Amenazas a la Seguridad
Existen varios tipos de ataques, los cuales

pueden dejar expuesta nuestra red y los datos

de nuestra empresa.
Los ms comunes son:
Ataques DoS contra el cortafuegos
Ataques de negacin de servicio.
Inundacin SYN, ICMP, UDP

Proteccin y Seguridad
Exiten muchos servicios habilitados por defecto
en los routers Cisco, muchos de ellos

innecesarios, por lo que se recomienda

deshabilitarlos, entre los cuales se encuentran:
Deshabilitar interfaces del router (shutdown)
2. Servicio CDP, utilizado para cargar ciertos ataques.
3. Servicio Gratuitous ARP, utilizado para ataques de
envenenamiento ARP.
4. Y muchos mas.
1.

Dispositivos de Seguridad
Existen muchos dispositivos para proteger la

red de ataques como lo son:

Firewalls (Software y Hardware)
IDS o Sistemas de Deteccin de Intrusos
IPS o Sistemas de Prevencion de Intrusos

Antivirus (spyware, antimalware, troyanos)

Smartcards
PIX, ASA

Mitigacin en AAA
Al utilizar el modelo de seguridad con las

AAA, es recomendable utilizar mecanismos

seguros como RADIUS y TACACS+.
Para RADIUS existe software IAS de
Microsoft o NPS de Win2k8.
TACACS o TACACS+, es una solucin
propietaria (protocolo) de Cisco para la
autenticacin.

ACS de Cisco

Autenticacin en enrutamiento
RIPv2, EIGRP, OSPF, y otros pueden

configurarse para encriptar y autenticar su

informacin de enrutamiento.
Esto garantiza que los routers slo aceptarn
informacin de enrutamiento de otros
routers que estn configurados con la misma
contrasea o informacin de autenticacin.

Autenticacin en OSPF
OSPF puede configurarse para autenticacin

en el modo de interfaz por medio del

comando:
Router(config-if)#ip ospf authentication-key contrasea

Las interfaces OSPF de un router pueden

presentar una clave de autenticacin distinta,

que funcione como una contrasea entre los
routers OSPF de la misma rea.

Mecanismos de Defensa
Actualmente existen muchos mecanismos de

defensa en el tema de seguridad informtica.

A continuacin se muestra la utilizacin de

mecanismos de seguridad analizadas en 3

aos en pases como Mexico, Argentina, Per,
Colombia, Venezuela, Paraguay.

Utilizacin de mecanismos de
seguridad en las empresas