Your SlideShare is downloading. ×
Seguridad de los dispositivos de red
Seguridad de los dispositivos de red
Seguridad de los dispositivos de red
Seguridad de los dispositivos de red
Seguridad de los dispositivos de red
Seguridad de los dispositivos de red
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×
Saving this for later? Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime – even offline.
Text the download link to your phone
Standard text messaging rates apply

Seguridad de los dispositivos de red

1,285

Published on

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
1,285
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
40
Comments
0
Likes
0
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. SEGURIDAD DE LOS DISPOSITIVOS DE RED La seguridad del tráfico que sale de la red y escrutar el tráfico ingresante son aspectos críticos de la seguridad en redes. La seguridad del router de borde, que se conecta con la red externa, es un primer paso importante al asegurar la red. El hardening de dispositivos es una tarea esencial que nunca debe ser pasada por alto. Significa implementar métodos probados para asegurar el router físicamente y proteger el acceso administrativo utilizando la interfaz de línea de comandos (command-line interface - CLI) así como también el Cisco Configuration Professional (CCP). Algunos de estos métodos comprenden la seguridad del acceso administrativo, incluyendo mantener contraseñas, configurar funciones de identificación virtual mejoradas e implementar Secure Shell (SSH). Como no todo el personal de la tecnología de la información debería tener el mismo nivel de acceso a los dispositivos de infraestuctura, definir roles administrativos de acceso es otro aspecto importante de la seguridad los dispositivos de infraestructura. La seguridad de las funciones de administración y reportes del IOS de los dispositivos de Cisco también es importante. Las prácticas recomendadas para asegurar el syslog, utilizando el Protocolo de Administración de Redes Simple (Simple Network Management Protocol - SNMP), y configurando el Protocolo de Tiempo de Red (Network Time Protocol - NTP) son examinadas. Muchos servicios del router están habilitados por defecto. Muchas de estas funciones están habilitadas por razones históricas pero ya no son necesarias. Este capítulo discute algunos de estos servicios y examina las configuraciones de router con la función de Auditoría de Seguridad del Cisco CCP. Este capítulo también examina la función one-step lockdown del Cisco CCP y el comando auto secure, que puede ser utilizado para automatizar las tareas de hardening de dispositivos. Seguridad del Acceso a los Dispositivos Seguridad del Router de Borde La seguridad la infraestructura de la red es crítica para la seguridad de toda la red. La infraestructura de la red incluye routers, switches, servidores, estaciones de trabajo y otros dispositivos. Considere un empleado descontento mirando casualmente por sobre el hombro del administrador de la red mientras el administrador se está identificando en el router de borde. Esto se conoce como shoulder surfing y es una manera sorprendentemente fácil para un atacante de ganar acceso no autorizado. Si un atacante obtiene acceso a un router, la seguridad y la administración de toda la red pueden ser comprometidas, dejando a los servidores y las estaciones de trabajo bajo riesgo. Es crítico que las políticas y controles de seguridad apropiados puedan ser implementados para prevenir el acceso no autorizado a todos los dispositivos de la infraestructura. Aunque todos los dispositivos de una infraestructura están en riesgo, los routers generalmente son el objetivo principal para los atacantes de redes. Esto ocurre
  • 2. porque los routers actúan como la policía del tránsito, dirigiendo el tráfico hacia, desde y entre redes. El router de borde es el último router entre la red interna y una red de confianza como Internet. Todo el tráfico a Internet de una organización pasa por este router de borde; por lo tanto, generalmente funciona como la primera y última línea de defensa de una red. A través del filtrado inicial y final, el router de borde ayuda a asegurar el perímetro de una red protegida. También es responsable de implementar las acciones de seguridad que están basadas en las políticas de seguridad de la organización. Por estas razones, es imperativo asegurar los routers de la red. Seguridad Física Proveer seguridad física para los routers: Ubicar el router y los dispositivos físicos que se conectan a él en un cuarto bajo llave que sea accesible solo para personal autorizado, esté libre de interferencia magnética o electrostática y tenga un sistema contra incendios y controles de temperatura y humedad. Instalar un sistema de alimentación ininterrumpida (uninterruptible power supply - UPS) y mantener los componentes de repuesto disponibles. Esto reduce la posibilidad de un ataques de DoS a causa de pérdida de electricidad en el edificio. Seguridad de los Sistemas Operativos Configurar el router con la máxima cantidad de memoria posible. La disponibilidad de la memoria puede ayudar a proteger la red de ataques de DoS, mientras que soporta el máximo rango de dispositivos de seguridad. Usar la última versión estable del sistema operativo que cumpla los requerimientos de la red. Las funciones de seguridad de un sistema operativo evolucionan con el tiempo. Tenga en cuenta que la última versión de un sistema operativo puede no ser la versión más estable disponible. Mantenga una copia segura de resguardo de la imagen del sistema operativo y el archivo de configuración del router. Hay dos maneras de acceder a un dispositivo para propósitos administrativos: local y remotamente. Página
  • 3. Acceso Local Todos los dispositivos de la infraestructura de la red puede ser accedidos localmente. El acceso local a un router usualmente requiere una conexión directa a un puerto de consola en el router de Cisco utilizando una computadora que esté ejecutando software de emulación de terminal. Acceso Remoto Algunos dispositivos de red pueden ser accedidos remotamente. El acceso remoto típicamente requiere permitir conexiones Telnet, Secure Shell (SSH), HTTP, HTTPS o Simple Network Management Protocol (SNMP) al router desde una computadora. Esta computadora puede estar en la misma subred o en una diferente. Algunos protocolos de acceso remoto envían al router los datos en texto plano, incluyendo nombres de usuario y contraseñas. Si un atacante logra reunir tráfico de red mientras un administrador está autenticado remotamente a un router, el atacante podrá capturar las contraseñas o información de configuración del router. Por esta razón, se prefiere permitir solo acceso local al router. Sin embargo, el acceso remoto puede ser necesario de cualquier forma. Cuando se accede a la red remotamente, deben tomarse algunas precauciones: Cifrar todo el tráfico entre la computadora del administrador y el router. Por ejemplo, en lugar de usar Telnet, usar SSH. O en lugar de usar HTTP, usar HTTPS. Establecer una red de administración dedicada. La red de administración deberá incluir solo hosts de administración identificados y conexiones a una interfaz dedicada en el router. Configurar un filtro de paquetes para permitir que solo los hosts de administración identificados y protocolos de preferencia accedan al router. Por ejemplo, permitir solo solicitudes SSH de la dirección IP del host de administración para iniciar una conexión a los routers en la red. Estas precauciones son valiosas, pero no protegen enteramente a la red. Otras líneas de defensa deben ser implementadas también. Una de las más básicas e importantes es el uso de una contraseña segura.
  • 4. Configuracion de un Acceso Administrativo Seguro Los atacantes usan varios métodos de descubrimiento de contraseñas administrativas. Pueden hacer shoulder surfing, intentar adivinar las contraseñas basándose en la información personal del usuario, o hacer sniffing de los paquetes TFTP que contienen archivos de configuración en texto plano. Los atacantes también pueden usar herramientas como L0phtCrack y Cain & Abel para efectuar ataques de fuerza bruta para adivinar las contraseñas. Para proteger bienes como routers y switches, siga estos consejos comunes para elegir contraseñas fuertes. Estos consejos han sido diseñados para hacer que las contraseñas sean menos fácilmente descubiertas por medio de herramientas de cracking y de adivinación inteligente: Utilice una contraseña de 10 o más caracteres de longitud. Cuanto más larga, mejor.
  • 5. Haga a su contraseña compleja. Incluya una mezcla de letras mayúsculas y minúsculas, símbolos y espacios. Evite contraseñas basadas en repeticiones, palabras de diccionario, secuencias de letras o números, nombres de usuario, nombres de mascotas o parientes, información biográfica (como cumpleaños, número de pasaporte o documento, nombres de ancestros) u otros tipos de información fácilmente identificable. Escriba la contraseña deliberadamente mal, realizando algunos reemplazos de letras. Por ejemplo, Smith = Smyth = 5mYth o Security = 5ecur1ty. Cambie las contraseñas seguido. Si una contraseña está comprometida sin su conocimiento, la ventana de oportunidad para que el ataque la use será limitada. No escriba las contraseñas en papel o las deje en lugares obvios como el escritorio o el monitor. En los routers Cisco y muchos otros sistemas, los espacios antes de la contraseña son ignorados, no así los espacios dentro de la contraseña. Por lo tanto, un método para crear una contraseña fuerte es utilizar la barra espaciadora en la contraseña y crear una frase compuesta de varias palabras. Esto se denomina frase de acceso. La frase de acceso es generalmente más fácil de recordar que una simple contraseña. También es más larga y más difícil de adivinar. Los administradores deben asegurarse de que se usen contraseñas fuertes en toda la red. Una manera de lograr esto es usando las mismas herramientas de ataques de fuerza bruta y cracking que usaría un atacante para verificar la solidez de las contraseñas. Monitoreo y Administracion de Dispositivos Seguridad de los Archivos de Configuracion y la imagen IOS de Cisco Si un atacante obtuviera acceso a un router, podría hacer muchas cosas. Por ejemplo, podría alterar el flujo del tráfico, cambiar las configuraciones e incluso borrar el archivo de configuración de inicio y la imagen del IOS de Cisco. Si la configuración o la imagen del IOS se borran, el operador quizás nunca recupere una copia archivada para restaurar el router. El proceso de recuperación debe, entonces, tomar lugar en cada router afectado, agregándose al período de inactividad total de la red. La función de configuración resistente (Resilient Configuration) del IOS de Cisco permite una recuperación más rápida si alguien reformatea la memoria flash o borra el archivo de configuración de inicio en la NVRAM. Esta función permite al router soportar intentos maliciosos de borrar los archivos, asegurando la imagen del router y manteniendo una copia segura de la configuración actual. Cuando se asegura una imagen IOS de Cisco, la función de configuración resistente deniega todas las solicitudes para copiarla, modificarla o eliminarla. La copia segura de la configuración de inicio se almacena en la flash junto con la imagen segura del IOS. Este conjunto de los archivos de configuración actual y la imagen del IOS de Cisco se conoce como el conjunto de arranque (bootset). La función de configuración resistente del IOS de Cisco solo está disponible para sistemas que soporten una interfaz flash Advanced Technology Attachment (ATA) PCMCIA. La imagen del IOS de Cisco y configuración actual de respaldo en el dispositivo de
  • 6. almacenamiento externo están ocultas, por lo que los archivos no se incluyen en ningún listado de directorios del disco. Administracion y Reportes Seguros Los administradores de red deben administrar con seguridad todos los dispositivos y hosts en la red. En una red pequeña, administrar y monitorear los dispositivos de red es una operación sencilla. Sin embargo, en una empresa grande con cientos de dispositivos, monitorear, administrar y procesar los mensajes de registros puede ser un desafío. Deben considerarse muchos factores al implementar una administración segura. Esto incluye administración de cambios en la configuración. Cuando una red está bajo ataque, es importante conocer el estado de dispositivos críticos de la red y cuándo ocurrieron las últimas modificaciones conocidas. La administración de cambios en la configuración también incluye temas como asegurarse de que la gente correcta tenga acceso cuado se adoptan nuevas metodologías de administración y cómo manejar herramientas y dispositivos que ya no se usan. Crear un plan para la administración de cambios debe ser parte de una política de seguridad englobadora; sin embargo, mínimamente, deben registrarse los cambios usando sistemas de autenticación sobre las configuración es de archivos y dispositivos que usen FTP o TFTP. ¿Se está siguiendo una política o un plan de administración de cambios? Estos temas deben ser establecidos y manejados con una política de administración de cambios. El registro y el reporte de información automáticos de dispositivos identificados a hosts de administración también son consideraciones importantes. Estos registros e informes pueden incluir flujo de contenido, cambios de configuración y nuevas instalaciones de software, para nombrar algunos. Para identificar las prioridades de reporte y monitoreo, es importante tener datos de la administración y de los equipos de redes y seguridad. La política de seguridad también debería tener un rol importante a la hora de responder a qué información registrar y reportar. Desde un punto de vista de reportes, la mayoría de los dispositivos de redes pueden enviar datos de syslog que pueden volverse invaluables en el momento de contrarestar problemas en la red o amenazas de seguridad. Se pueden enviar datos de cualquier dispositivo a un host de análisis de syslog para su revisión. Estos datos pueden ser revisados en tiempo real, bajo demanda y en informes programados. Hay varios niveles de registro para asegurar que la cantidad correcta de datos sea enviada, de acuerdo con el dispositivo que envía los datos. También es posible marcar los datos de registro del dispositivo dentro del software de análisis para permitir vistas granulares y reportes. Por ejemplo, durante un ataque, los datos de registro provistos por los switches de capa 2 no suelen ser tan interesantes como los datos provistos por el sistema de prevención de intrusos (IPS).

×