Knoppia

Wiki de Informática y otras historias

Herramientas de usuario

Herramientas del sitio

Estás aquí: inicio » redes » fortificacion
redes:fortificacion

Diferencias

Muestra las diferencias entre dos versiones de la página.

Enlace a la vista de comparación

Ambos lados, revisión anteriorRevisión previa
Próxima revisión		Revisión previa
redes:fortificacion [2024/09/20 16:20] thejuanvisuredes:fortificacion [2024/10/11 16:21] (actual) – se ha restaurado la vieja versión (2024/10/11 16:03) thejuanvisu
Línea 81: Línea 81:
   - Configurar copias de seguridad periódicas de las configuraciones y del sistema operativo   - Configurar copias de seguridad periódicas de las configuraciones y del sistema operativo
   - Desactivar servicios no necesarios.   - Desactivar servicios no necesarios.
 +===== Política de seguridad en el Router =====
 +La política de seguridad de un router debe permitir contestar a las siguientes cuestiones:
 +  * Como se hace el cifrado de contraseñas y cual es su complejidad
 +  * Como se configura la seguridad de los protocolos de enrutamiento
 +  * Como se implementa el mantenimiento de las configuraciones
 +  * Como gestionan los cambios: documentación de los cambios y actualizaciones
 +  * Actualizaciones de seguridad: Seguimiento de las últimas vulnerabilidades.
 +
 +===== Autenticación, Autorización y Auditoría (AAA) =====
 +Una red corporativa debe estar diseñada para controlar quien se conecta (Autenticación) y que puede hacer cuando se conecta (Autorización).
 +Nos centramos en el plano de gestión, que es la primera parte que se quiere fortificar. Los dispositivos de red suelen delegar parte del trabajo AAA a servidores externos.
 +{{drawio>redes:diagAAA.png}}
 +
 +Generalmente cuando uno se conecta al servidor se conecta en modo usuario en lugar de en modo usuario. Estos usuarios son de nivel 1. En los routers y switches hay 16 niveles de privilegios, pero solo se suelen usar los niveles 0, 1 y 15. 
 +
 +###
 +La auditoría nunca se puede llevar localmente, se suele usar un elemento externo que registre los sucesos que se están produciendo. Todo esto se hace utilizando un servidor externo. Cuando se usa el enfoque AAA New Model se suelen crear listas de métodos de autenticación, de forma que si falla el primer método de la lista, se puede usar el segundo método y en caso de que falle el segundo, el tercero y así hasta el último método de la lista. No se suelen usar ni contraseña de línea ni enable, generalmente se crean usuarios de rescate en el dispositivo para casos de emergencia. El método primario suele ser un Servidor AAA y el secundario una base de datos de usuarios.
 +###
 +
 +  * Local AAA: Una base de datos local
 +  * Servidor AAA: se emplea un Server BD externo
 +
 +==== Características de AAA basada en servidor ====
 +
 +Radius permite que nuestro router se comunique con un servidor AAA. Este protocolo solo cifra la contraseña del usuario. No es demasiado seguro que digamos ya que usa un Hash MD5 y una clave secreta. Cuando se da de alta un servidor radius se debe decir la IP del servidor más una contraseña compartida y cuando en el servidor se de de alta el equipo, en el equipo debemos poner la IP del router y la misma contraseña compartida. Esta basado en UDP. Se pueden usar 2 pares de puertos distintos dependiendo de la versión.
 +==== Configuración de autenticación local AAA ====
 +  - Crear base de datos con "username <nombre> secret <contraseña>"
 +  - Habilitar AAA globalmente en el router con el comando "aaa new-model"
 +  - Definir lista de métodos de autenticación con el comando "aaa authentication login {default|list_name} metodo_1 metodo_2 .... metodo_n"
 +
 +<code>
 +aaa authentication login TELNET-ACCESS group radius enable
 +</code>
 +  - Tras eso se aplican las listas de métodos a las interfaces:
 +
 +<code>
 +username JR-ADMIN secret c0ntr4s3na
 +username ADMIN secret c0ntr4s3na
 +aaa new-model
 +aaa authentication login default_local
 +aaa authentication login TELNET-LOGIN local-case
 +line vty 0 4
 +login authentication TELNET-LOGIN
 +exit
 +</code>
 +==== Configuración SSH ====
 +OJO: No desactivar telnet hasta que se esté seguro de que SSH funciona correctamente.
 +{{drawio>redes:diagssh1.png}}
 +comando a utilizar:
 +<code>
 +crypto key generate rsa general-keys modulus <modulus-size>
 +</code>
 +
 +para verificar funcionamiento se usa:
 +<code>
 +show crypto key mypubkey rsa
 +</code>
 +
 +dentro de vty al principio:
 +<code>
 +transport input all
 +</code>
 +una vez verificado el correcto funcionamiento de ssh:
 +<code>
 +trasnport input ssh
 +</code>
 +
 +===== Proteger el acceso a la infraestructura usando ACLs =====
 +Se aplican en dirección entrante teanto en la interfaz que conecta la red corporativa con el exteriro y las interfaces que conectan con los usuarios internos. Establecemos mecanismos para controlar que pasa del plano de datos al plano de control. El plano de datos son los mecanismos que permiten enrutar datos.
 +
 +{{drawio>redes:diagribs.png}}
 +
 +==== Servicios de Backup y Restauración ====
 +Se usa para realizar copias de seguridad de IOS y de las configuraciones:
 +  * TFTP: Envío y recepción de ficheros. Info enviada en texto plano
 +  * Mecanismos de copia más seguros: Identificación
 +    * FTP, HTTP, o si es cifrado: SCP, HTTPS
 +    * Se pueden utilizar comandos de configuración auxiliares para establecer usuario y contraseña para utilizar con los diferentes protocolos como FTP o HTTP.
 +Este proceso puede ser automatizado con el comando archive:
 +<code ciscocode>
 +Router(config)# archive
 +Router(config-archive)# path flash:/config-archive/$h-config-$t
 +Router(config-archive)#write-memory
 +Router(config-archive)#time-period 10080
 +</code>
 +
 +Para cargar una configuración nueva, se debe borrar la configuración que ya tiene cargada el equipo, reiniciando el equipo y luego procediendo a meter la nueva config.
 +
 +==== Desactivación de servicios no usados ====
 +IOS ofrece muchos servicios, algunos de ellos pueden ser riesgos potenciales para la seguridad al estar obsoletos. Existen los siguientes riesgos de seguridad en los servicios activados por defecto:
 +  * Resolución de nombres DNS: "no ip domain-lookup"
 +  * CDP: "no cdp run /no cdp enable" -> Cada cierto tiempo hace un broadcast con información sobre el equipo
 +  * NTP: "ntp disable"
 +  * Servidor BOOTP: "no ip bootp server" -> El equipo se comporta como servicio DHCP
 +  * DHCP: "no ip dhcp-server" -> El equipo se comporta como servicio DHCP
 +  * proxy ARP: "no ip proxy-arp" -> Cuando se configura a un equipo como puerta de enlace su propia dirección IP, va a pedir la dirección IP final del equipo con el que se quiere conectar independientemente de la red, el problema de esto es que si el destinatario está en otra red nunca recibirá respuesta. Este servicio trata de resolver este problema.
 +  * ip source routing: "no ip source-routing" -> Facilita hacer ataques man in the middle.
 +  * ip redirects: "no ip redirects" 
 +  * HTTP service: "no ip http server"
 + 
 +===== Protección del plano de control =====
 +{{drawio>redes:diagPlanos.png}}
 +Hay atacantes que intentan enviar muchas conexiones para saturar la CPU, para evitar esto se usan las siguientes técnicas:
 +  * Control Plane Policing (CoPP): Permite identificar el tipo y ratio del tráfico que puede alcanzar el plano de control. 
 +  * Control Plane Protection (CPPr): Simula 3 interfaces distintas: una para tráfico de host, otra para tráfico de transito (Necesita ser procesado) y otro para excepciones de CEF. Es similar a CoPP pero aplicando configuraciones a 3 interfaces distintas.
 +
  
  
  
redes/fortificacion.1726849210.txt.gz · Última modificación: 2024/09/20 16:20 por thejuanvisu

Herramientas de la página

Donate Powered by PHP Valid HTML5 Valid CSS Driven by DokuWiki