seguridades perimetral y servicios para implementar en una red corporativa (1)

7/25/2019 Seguridades Perimetral y Servicios Para Implementar en Una Red Corporativa (1)

1/35

Seguridades enRedesAsegurando los dispositivos de Red


2/35

Principales Conceptos

Discutir los aspectos de realizar un hardening a un router. Configurar accesos de Administracin de forma segura y resistencia

del router.

Configurar dispositivos de red para supervisar los accesos deadministracin.

Demostrar las tcnicas de monitoreo de red.

Asegurar los routers basados en el IOS, usando funcionesautomatizadas.


3/35

El router de borde

Que es el router de borde? El ltimo router entre la red interna y una red insegura,

como Internet. Funciona como la primera y ltima lnea de defensa. Implementa acciones de seguridad basadas en polticas

de seguridad de la organizacin.Cmo puede ser asegurado el router de borde? Utilice diferentes implementaciones de los routers de

borde.Considerar la seguridad fsica, seguridad del sistema

operativo, y el hardening del router. Asegure el acceso de la Administracin. Local vs accesos remoto del router.


4/35

Implementaciones Perimetrales

Enfoque un solo routerUn solo router conecta la redinterna LAN a el internet. Todaslas polticas de seguridad sonconfiguradas sobre estedispositivo.

Enfoque defensa enprofundidad.

Todo pasa a travs del firewall.Un conjunto de reglasdeterminara que el routerpermitir o denegara.

Enfoque de DMZLa DMZ esta configurado entredos routers la mayora de filtradode trafico es dejado por elfirewall.

LAN 1192.168.2.0

Router 1 (R1)

Internet

LAN 1192.168.2.0

R1

Internet

Firewall

LAN 1192.168.2.0

R1Internet

R2Firewall

DMZ


5/35

reas de Seguridad del

router. Seguridad Fsica. Lugar de ubicacin del router, seguro y en cuarto cerrado. Instale un sistema de alimentacin electriza ininterrumpida.

Seguridad del Sistema Operativo. Utilice la ultima versin estable que cumpla con los

requisitos de la red.Guarde una copia del SO y archivos de configuracin

como un respaldo.

Hardening del Router.Asegurar el acceso de administracin.Deshabilitar los puertos e interfaces no utilizados.Deshabilitar los servicios innecesarios.


6/35

Banner Mensajes

Banners son deshabilitados por default ynecesitan ser explcitamente habilitados.


7/35

Pasos preliminares para la configuracin

de SSL.Completa lo siguiente, antes de configurar los routerspara el protocolo SSH:

1. Asegrese de que los routers de destino estn ejecutandola versin de IOS actualizada para que soporte SSH.

2. Asegrese que cada router de destino tiene nombrenico.

3. Asegrese que cada router de destino esta usando elcorrecto nombre de dominio de la red.

4. Asegrese de que los routers de destino estnconfigurados para la autenticacin local, o paraautenticacin, autorizacin y contabilidad (AAA) para elservicio de autenticacin de nombre de usuario ocontrasea, o ambos.


8/35

Configurando el Router para

SSH

R1# conf t

R1(config)# ip domain-name span.comR1(config)# crypto key generate rsa general-keys

modulus 1024

The name for the keys will be: R1.span.com

% The key modulus size is 1024 bits

% Generating 1024 bit RSA keys, keys will be non-

exportable...[OK]

R1(config)#

*Dec 13 16:19:12.079: %SSH-5-ENABLED: SSH 1.99 has

been enabled

R1(config)# username Bob secret cisco

R1(config)# line vty 0 4

R1(config-line)# login local

R1(config-line)# transport input ssh

R1(config-line)# exit

1. Configurar el nombre del

dominio de la red

2. Genere una formade clave secreta.

3. Verifique o cree unabase local.

4. Habilite VTY inboundpara sesiones SSH


9/35

Comandos Opcionales SSH

R1# show ip sshSSH Enabled - version 1.99

Authentication timeout: 120 secs; Authentication

retries: 3

R1#

R1# conf t

Enter configuration commands, one per line. Endwith CNTL/Z.

R1(config)# ip ssh version 2

R1(config)# ip ssh time-out 60

R1(config)# ip ssh authentication-retries 2

R1(config)# ^Z

R1#

R1# show ip ssh

SSH Enabled - version 2.0

Authentication timeout: 60 secs; Authentication

retries: 2

R1#


10/35

Conectndome al RouterHay dos diferentes maneras deconectarse a un router que tienehabilitada las conexiones SSH: Conectndose usando un Cisco

router

Conectndose usando un host conun cliente SSH.

R1# sho ssh

Connection Version Mode Encryption Hmac State Username

0 2.0 IN aes128-cbc hmac-sha1 Session started Bob

0 2.0 OUT aes128-cbc hmac-sha1 Session started Bob

%No SSHv1 server connections running.

R1#

R1# sho ssh



R1#

R2# ssh -l Bob 192.168.2.101

Password:

R1>

1

2

3

No hay conexiones activas sobre el router R1.

R2 establece una conexin SSH con R1.

Hay un conexin entrante y una de salida con el usuario Bob, usando SSH v 2.


11/35

Config AAA, Show,

Firewall, IDS/IPS,

NetFlow

Configuracin de niveles de privilegio

De manera predeterminada: Usuarios en modo EXEC (privilegio 1) Privilegiados en modo EXEC (privilegio 15)

Diecisis niveles de privilegios disponibles

Mtodos de proporcionar un acceso de nivelprivilegiado de acceso a la infraestructura:Niveles de Privilegio.Acceso basado en roles CLI.


12/35

Niveles de privilegio para los Usuarios

Una cuenta USER creada normalmente, Nivel de acceso 1. Una cuenta SUPPORT con nivel 1 y acceso al comandoping. Una cuenta JR-ADMIN con similares privilegios que la cuenta

SUPPORT, mas acceso para el comando reload. Una cuenta ADMIN la cual tiene todos los regulares

comandos de una cuenta con privilegios EXEC.

R1# conf t

R1(config)# username USER privilege 1 secret cisco

R1(config)#

R1(config)#privilege exec level 5 ping

R1(config)# enable secret level 5 cisco5

R1(config)# username SUPPORT privilege 5 secret cisco5

R1(config)#

R1(config)#privilege exec level 10 reload

R1(config)# enable secret level 10 cisco10

R1(config)# username JR-ADMIN privilege 10 secret cisco10

R1(config)#

R1(config)# username ADMIN privilege 15 secret cisco123

R1(config)#


13/35

Niveles de privilegio

R1> enable 5

Password:

R1#

R1# show privilege

Current privilege level is 5R1#

R1# reload

Translating "reload"

Translating "reload"

% Unknown command or computer name, or unable to find computer

address

R1#

El comando enable, se utiliza para cambiarsedel nivel 1 al nivel 5

El comando show privilege muestrael actual nivel de privilegio.

El usuario no puede usar el comando reload


14/35

Limitaciones de niveles de Privilegio

No hay control de acceso a interfaces, puertos,interfaces lgicas y ranuras especficas en un router.

Comandos disponibles en los niveles de privilegios msbajos siempre son ejecutables en los niveles superiores.

Comandos especficamente configurados en un nivelde privilegio ms alto no estn disponibles para losusuarios con menos privilegios.

Asignar un comando con mltiples palabras clave a unnivel especfico de privilegios tambin asigna todos loscomandos asociados con las primeras palabras clavedel mismo nivel de privilegios. Un ejemplo es elcomando show ip route


15/35

Comandos CLI

router(config)#

secure boot-image

Habilita la resistencia de la imagen del IOS de Cisco. Previene

que la imagen IOS sea borrada por un usuario malicioso.

secure boot-config

router(config)#

Para tomar una instantnea de la configuracin actual del router y

archivarla de manera segura en el dispositivo de almacenamientopermanente.


16/35

Restaurando un conjunto primario dearranque

Para restaurar un conjunto de arranque primario de un archivo seguro:1. Reiniciar el router usando el comandoreload.

2. Desde el modo ROMmon, ingrese el comando dir para listar loscontenidos del dispositivo que contiene el archivo asegurado deconjunto de arranque. Desde la CLI, el nombre del dispositivo puede

hallarse en la salida del comandoshow secure bootset.3. Arranque el router con la imagen del conjunto de arranque

asegurada usando el comando boot con el nombre de archivoencontrado en el Paso 2. Cuando el router comprometido arranca,cambie al modo EXEC privilegiado y restaure la configuracin.

4. Ingrese al modo de configuracin global usando el comando conf t.

5. Restaure la configuracin segura al nombre de archivo

proporcionado usando el comando secure boot-config restorenombre-archivo.


17/35

Procedimiento de Recuperacin deContrasea.1. El administrador establece parmetros de conexin de

consola.2. Registra el valor del registro de configuracin.3. Apaga el router y lo prende.4. Presiona Break en la terminal dentro de los 60 segundos

siguientes al encendido del router para ponerlo en modoROMmon.

5. Cambie el valor del registro de configuracin.6. Salte la configuracin inicial.7. Escriba enable para llegar a la prompt de configuracin.


18/35

9. Copie la configuracin inicial desde la NVRAM hasta laconfiguracin actual en la RAM. Escribiendo copy startup-config running-config.

10. Vea las contraseas escribiendo show running-config.11. Habilite el modo configuracin global, establezca la nueva

contrasea con el comando enable secret.

12. Digite el comando no shutdown para todas las interfacesoperativas del router.

13. Escriba el comando config-register 0x2102, el valor delregistro es el anotado en el paso 2.

14. Salve la configuracin usando el comando copy running-config startup-config .

Procedimiento deRecuperacin de

Contrasea.


19/35

Previniendo el Password

RecoveryR1(config)# no service password-recovery

WARNING:Executing this command will disable password recovery mechanism.

Do not execute this command without another plan for password recovery.

Are you sure you want to continue? [yes/no]: yes

R1(config)

R1# sho run

Building configuration...

Current configuration : 836 bytes

!

version 12.4

service timestamps debug datetime msec

service timestamps log datetime msec

service password-encryption

no service password-recovery

System Bootstrap, Version 12.4(13r)T, RELEASE SOFTWARE (fc1)

Technical Support: http://www.cisco.com/techsupport

Copyright (c) 2006 by cisco Systems, Inc.

PLD version 0x10

GIO ASIC version 0x127

c1841 platform with 131072 Kbytes of main memory

Main memory is configured to 64 bit mode with parity disabled

PASSWORD RECOVERY FUNCTIONALITY IS DISABLED

program load complete, entry point: 0x8000f000, size: 0xcb80


20/35

Implementacin de la Administracin

segura Configuracin de la Gestin del Cambio

Conocer el estado de los dispositivos de red crticos

Saber cundo se produjo la ltima de las modificaciones

Garantizar el derecho que las personas tienen deacceder cuando las nuevas metodologas de gestin seadopten.

Saber cmo manejar las herramientas y dispositivos queya no se utilizan.

Registro automatizado y reporte de informacin de

los dispositivos identificados para gestin de loshosts.Aplicaciones disponibles y protocolos como SNMP


21/35

Manejo seguro y Reportes Cuando el registro y gestin de la informacin, el flujo de informacin

entre los anfitriones y la gestin de los dispositivos gestionados puedetomar dos caminos:

Fuera de banda (OOB): La informacin fluye en una red de gestin dedicada,en el que no hay trfico de la produccin.

Dentro de la banda: La informacin fluye a travs de una red de produccinde la empresa, Internet, o de ambos canales usando el canal de datos

regular.


22/35

Factores a Considerar OOB de gestin adecuado para grandes redes empresariales.

Dentro de la banda: es recomendada en pequeas redes quepresten un mayor despliegue de la seguridad.

Ser conscientes de las vulnerabilidades de seguridad de la utilizacinde herramientas de administracin remota con la administracinDentro de la banda.


23/35

Syslog


24/35

Syslog

Syslog es un sistema de logs que se encargaprincipalmente de la administracin de logs, los cualesson generados por eventos del sistema, sus programas opor el Kernel.

El envi de mensajes Syslog fue usado inicialmente en

sistemas basados en UNIX para registrar eventos deaplicaciones, sistema operativo o red.

Es comn ahora encontrar equipos de redes quepueden generar y enviar mensajes Syslog a equiposconfigurados con un demonio que los reciba, as comoya existen implementaciones para sistemas Windows.

El termino syslog es a menudo utilizado para describir tanto el protocolo para el envo de mensajes, como elprograma o librera que enva mensajes syslog.


25/35

Caractersticas de syslogEl programa syslog provee una plataforma estandarizada, bajo la cual programas (tanto

sistemas operativos como aplicaciones) pueden publicar mensajes para que seantratados por ninguna, cualquiera, o todas las acciones siguientes, basado en laconfiguracin de syslog: [4]

Guardar en un archivo (p.e./var/adm/messages) o dispositivo (p.e./dev/console)

Enviar directamente a un usuario o usuarios si han iniciado sesin (p.e.root)

Reenviar a otro equipo (p.e.@loghost)

Configurar un servidor syslog en una red es algo relativamente sencillo, sin embargo, losprincipales problemas que tiene syslog son los siguientes:

Syslog utiliza el protocolo UDP, ya que este protocolo es no orientado a conexin, no seasegura que los mensajes lleguen al destinatario.

Los mensajes no estn cifrados y al viajar por la red como texto plano son susceptibles aser vistos por personas no autorizadas, por ejemplo un sniffer.

Cualquier persona puede dirigir mensajes de una naturaleza maliciosa, sin ningunaautenticacin de quien es el remitente. Esto puede concluir en ataques de denegacinde servicio y puede permitir que un atacante distraiga al administrador con mensajesfalsos para no llamar la atencin con su ataque.

Por este motivo se han desarrollado alternativas basadas en syslog para aprovechar lafuncionalidad que este provee, de una manera mas confale.


26/35

Utilizacin de Syslog para seguridad de redes


27/35

Consola: El registro de consola est activada por defecto. Se pueden veral modificar o comprobar el enrutador de software utilizando laemulacin de terminal mientras est conectado al puerto de consola delrouter.

Vty lines: conexiones (como las conexiones Telnet) Tambin puede enviarregistro

informacin a un terminal remoto (por ejemplo, un cliente Telnet).

Buffer: Cuando los mensajes se envan al registro de una consola o una

lnea vty, los mensajes de registro se pueden guardar en la memoria delrouter. Est rea de Buffer es limitada y se pierde al reiniciar el equipo.

Utilizacin de Syslog para seguridad de redes

SEGURIDAD DE


28/35

28

SEGURIDAD DEREDES

Simple Network Management Protocol


29/35

Es un protocolo del nivel de aplicacin que proporciona un

formato de mensajes para el intercambio de informacin entregestores y agentes de SNMP.Tambin ofrece un entorno de trabajo estandarizado y un lenguajecomn empleado para la monitorizacin y gestin de losdispositivos de una red.

Se puede decir que permite administrar (consulta u otrasoperaciones) de diferentes dispositivos (routers, switches, hubs,hosts, modems, impresoras, etc.).La funcin del SNMP es proveer aladministrador de red un medio paraintercambiar mensajes relativos a

procesos de administracin queoperan en los elementosadministrados.

29


30/35

El entorno SNMP tiene tres partes:

Elgestor SNMPes el sistema empleado para controlar y monitorizarla actividad de los componentes de la red. Es un equipamientolgico alojado en la estacin de gestin de red. Tiene lacapacidad de preguntar a los agentes utilizando diferentescomandos SNMPEl sistema de gestin de Red (SGR) mas comn es Network

Management System (NMS).El agente SNMP es elcomponente de software dentrodel dispositivo gestionado quemantiene los datos del mismo einforma a los gestores acerca de

ellos, cuando haga falta.Es equipamiento lgico alojadoen un dispositivo gestionable dela red. Almacena datos degestin y responde a laspeticiones sobre dichos datos.

30


31/35

La MIB (Management Information Base) es una coleccin de

objetos de informacin de gestin. Tanto la MIB como el agenteSNMP residen en cada uno de los dispositivos gestionados. Dentrode la MIB hay colecciones de objetos relacionados, definidoscomo mdulos de MIB.

31


32/35

SNMP: Funcionamiento

La forma normal de uso del SNMP es el sondeo:

1.- Pregunta: la estacin administradora enva una solicitud a unagente (proceso que atiende peticin SNMP) pidindoleinformacin o mandndole actualizar su estado de cierta manera.

2.- Respuesta: la informacin recibida del agente es la respuesta o laconfirmacin a la accin solicitada.

32

Incremento con los nodos administrados y puedellegar a perjudicar el rendimiento de la redPROBLEMA:


33/35

33

Ejemplos funcionamiento protocolo

SNMP

RED

INTERNA

?

??


34/35

SNMP: Versiones

Versin 1: La seguridad se basa en comunidades (que usan passwordscomunes sobre texto plano) que permiten usar dispositivos si se conoceel password. Se puede explotar por fuerza bruta..

Versin 2: Reduce la carga de trfico adicional para la monitorizacin (conuso de GetBulk e Informs) y soluciona los problemas de monitorizacinremota o distribuida (con las sondas RMON). SNMPv2 puede leer SNMPv1.

Versin 3: Para evitar la falta de seguridad en las transmisiones (concifrado y autenticacin), proporciona una capa o parche complemento aSNMPv1 y v2, que aade a los mensajes SNMP (v1 y v2) una cabeceraadicional.

34

Si no se dispone de seguridad suficiente, concarcter general es aconsejable deshabilitar laejecucin de comandos SET.


35/35

Permite la administracin de red de los dispositivos.

Permite verificar el trafico de toda una red y controlde su ancho de banda

Permite configurarlo de manera remota

35

Se puede congestionar por las interrupcionesporque genera pesado trafico de red

No puede ver capas inferiores tales como lacapa de red (arquitectura).

No provee notificaciones proactivas y soloprovee la imagen de la maquina.

seguridades perimetral y servicios para implementar en una red corporativa (1)

Documents