Diferencias

Muestra las diferencias entre dos versiones de la página.

--- redes:fortificacion [2024/10/04 16:14] – thejuanvisu
+++ redes:fortificacion [2024/10/11 16:21] (actual) – se ha restaurado la vieja versión (2024/10/11 16:03) thejuanvisu
@@ Línea 129: / Línea 129: @@
 OJO: No desactivar telnet hasta que se esté seguro de que SSH funciona correctamente.
 {{drawio>redes:diagssh1.png}}
+comando a utilizar:
+<code>
+crypto key generate rsa general-keys modulus <modulus-size>
+</code>
+para verificar funcionamiento se usa:
+<code>
+show crypto key mypubkey rsa
+</code>
+dentro de vty al principio:
+<code>
+transport input all
+</code>
+una vez verificado el correcto funcionamiento de ssh:
+<code>
+trasnport input ssh
+</code>
+===== Proteger el acceso a la infraestructura usando ACLs =====
+Se aplican en dirección entrante teanto en la interfaz que conecta la red corporativa con el exteriro y las interfaces que conectan con los usuarios internos. Establecemos mecanismos para controlar que pasa del plano de datos al plano de control. El plano de datos son los mecanismos que permiten enrutar datos.
+{{drawio>redes:diagribs.png}}
+==== Servicios de Backup y Restauración ====
+Se usa para realizar copias de seguridad de IOS y de las configuraciones:
+  * TFTP: Envío y recepción de ficheros. Info enviada en texto plano
+  * Mecanismos de copia más seguros: Identificación
+    * FTP, HTTP, o si es cifrado: SCP, HTTPS
+    * Se pueden utilizar comandos de configuración auxiliares para establecer usuario y contraseña para utilizar con los diferentes protocolos como FTP o HTTP.
+Este proceso puede ser automatizado con el comando archive:
+<code ciscocode>
+Router(config)# archive
+Router(config-archive)# path flash:/config-archive/$h-config-$t
+Router(config-archive)#write-memory
+Router(config-archive)#time-period 10080
+</code>
+Para cargar una configuración nueva, se debe borrar la configuración que ya tiene cargada el equipo, reiniciando el equipo y luego procediendo a meter la nueva config.
+==== Desactivación de servicios no usados ====
+IOS ofrece muchos servicios, algunos de ellos pueden ser riesgos potenciales para la seguridad al estar obsoletos. Existen los siguientes riesgos de seguridad en los servicios activados por defecto:
+  * Resolución de nombres DNS: "no ip domain-lookup"
+  * CDP: "no cdp run /no cdp enable" -> Cada cierto tiempo hace un broadcast con información sobre el equipo
+  * NTP: "ntp disable"
+  * Servidor BOOTP: "no ip bootp server" -> El equipo se comporta como servicio DHCP
+  * DHCP: "no ip dhcp-server" -> El equipo se comporta como servicio DHCP
+  * proxy ARP: "no ip proxy-arp" -> Cuando se configura a un equipo como puerta de enlace su propia dirección IP, va a pedir la dirección IP final del equipo con el que se quiere conectar independientemente de la red, el problema de esto es que si el destinatario está en otra red nunca recibirá respuesta. Este servicio trata de resolver este problema.
+  * ip source routing: "no ip source-routing" -> Facilita hacer ataques man in the middle.
+  * ip redirects: "no ip redirects"
+  * HTTP service: "no ip http server"
+===== Protección del plano de control =====
+{{drawio>redes:diagPlanos.png}}
+Hay atacantes que intentan enviar muchas conexiones para saturar la CPU, para evitar esto se usan las siguientes técnicas:
+  * Control Plane Policing (CoPP): Permite identificar el tipo y ratio del tráfico que puede alcanzar el plano de control.
+  * Control Plane Protection (CPPr): Simula 3 interfaces distintas: una para tráfico de host, otra para tráfico de transito (Necesita ser procesado) y otro para excepciones de CEF. Es similar a CoPP pero aplicando configuraciones a 3 interfaces distintas.

Knoppia

Herramientas de usuario

Herramientas del sitio

Diferencias

Herramientas de la página