10 pasos para segurizar un dispositivo Cisco IOS

.1. Desactive aquellos servicios o protocolos que son innecesarios.

Por defecto los dispositivos Cisco activan diversos servicios que son opcionales. Estos
servicios son potenciales puntos de ataques de seguridad ya que permitien acceder a
informacin del dispositivo.
Si no son utilizados, estos servicios pueden ser fcilmente desactivados:
Protocolo CDP:
outer!config"#no cdp run
Configuracin remota:
outer!config"#no service config
Servicio finger:
outer!config"#no service finger
Servicio $e%:
outer!config"#no ip &ttp server
Protocolo S'(P:
outer!config"#no snmp)server
Protocolo *++,P:
outer!config"#no ip %ootp server
Servicios ,CP:
outer!config"#no service tcp)small)servers
Servicios -DP:
outer!config"#no service udp)small)servers
.2. Deshabilite las interfaces que no estn en uso.
.as interfaces que no se utilizan de%en estar administrativamente des&a%ilitadas
utilizando el comandos&utdo$n. En los routers Cisco este es el estado por defecto/ por el
contrario, en los s$itc&es Catalyst todos los puertos estn &a%ilitados por defecto.
En las interfaces en uso, si no son necesarios, conviene desactivar los siguientes
servicios:
outer!config)if"#no ip pro0y)arp
outer!config)if"#no ip directed)%roadcast
outer!config)if"#no ip mas1)reply
.. !antenga control del trfico que atraviesa el router.
*sicamente se de%iera %loquear todo trfico innecesario. Sin em%argo, muc&as veces es
dif2cil determinar el trfico necesario.
Pero &ay trfico que ciertamente no de%iera ingresar o circular. Por e3emplo, cuando la red
tiene un router a trav4s del cual se conecta a 5nternet/ este dispositivo no de%iera reci%ir
desde 5nternet trfico que se origine en una direccin 5P privada. Para esto, se puede
implementar la siguiente lista de acceso, suponiendo que la interfaz a trav4s de la cual el
router se conecta a 5nternet es la interfaz serial 676:
outer!config"#access)list 868 deny ip 86.6.6.6 6.9::.9::.9:: any log
outer!config"#access)list 868 deny ip 8;9.8<.6.6 6.8:.9::.9:: any log
outer!config"#access)list 868 deny ip 8=9.8<>.6.6 6.6.9::.9:: any log
outer!config"#interface serial 676
outer!config)if"#description acceso a 5nternet
outer!config)if"#ip access)group 868 in
.". !antenga los archivos log # utilice una fuente de hora confiable.
Para mantener un control del trfico que es %loqueado por las listas de acceso, es
conveniente utilizar los arc&ivos log. Estos arc&ivos tam%i4n pueden mantener registro de
los cam%ios de configuracin y errores.
Para mantener estos arc&ivos almacenados en el dispositivo, el procedimiento es el
siguiente:
outer!config"#logging on
outer!config"#logging %uffered 8<?>@
De este modo se reserva un espacio de 8< (* en la memoria A( del dispositivo.
El pro%lema de guardar estos arc&ivos en el router es que en caso de un reinicio del
dispositivo se pierden estos arc&ivos. Por eso conviene almacenarlos en un servidor que
puede incluso ser un servidor comBn a todos los dispositivos de la red.
El comando para identificar este servidor es:
outer!config"#logging CipD
-n elemento muy importante de informacin en los arc&ivos log, es la marca &oraria de
los sucesos.
Esta marca &oraria puede tomarse a partir del relo3 interno del dispositivo. Sin em%argo, si
&ay varios dispositivos es muy importante que todos tomen su marca &oraria de un Bnico
servidor para poder &acer las comparaciones que puedan ser necesarias. Para activar
este servicio utilice el siguiente comando:
outer!config"#service timestamps log datetime msec
outer!config"#ntp server server.ntp.address
.$. I%ple%ente claves de acceso # clave de acceso al %odo privilegiado.
AsegBrese de aplicar claves de acceso a cada uno de los puertos.
outer!config"#line console 6
outer!config)line"#login
outer!config)line"#pass$ord CclaveD
outer!config)line"#e0ec)timeout 6 6
outer!config"#line au0 6
outer!config)line"#login
outer!config)line"#pass$ord CclaveD
outer!config)line"#e0ec)timeout 6 6
outer!config"#line vty 6 @
outer!config)line"#login
outer!config)line"#pass$ord CclaveD
Para %loquear el acceso al modo privilegiado utilice siempre la ena%le secret que se
encripta utilizando (D:.
outer!config"#ena%le secret CclaveD
.&. 'se claves co%ple(as )robustas* # encripte las claves en te+to plano.
AsegBrese de utilizar claves largas y con caracteres alfanum4ricos, lo que reduce la
posi%ilidad de que sean violadas por un ataque de fuerza %ruta. Este comando Cisco 5+S
le permite asegurar una longitud de caracteres m2nima para cada clave:
outer!config"#security pass$ord min)lengt& <
AsegBrese de que todas las claves est4n encriptadas, al menos con un algoritmo de
encripcin %sico:
outer!config"#service pass$ord encryption
Se pueden prevenir intentos de acceso por fuerza %ruta esta%leciendo parmetros de
tiempo para el ingreso de claves en el dispositivo. En este e3emplo se define que el
acceso se %loquee por 8>6 segundos cuando se realizan ? intentos fallidos en un intervalo
de ?6 segundos.
outer!config"#login %loc1)for 8>6 attempts ? $it&in ?6
.,. Controle qui-nes pueden acceder re%ota%ente al router.
Es conveniente limitar las posi%ilidades de acceso remoto a la administracin de los
dispositivos.
-na posi%ilidad es limitar las direcciones 5P y protocolos que se utilizan para acceder a las
terminales virtuales. Por e3emplo, para permitir el acceso e0clusivamente desde la red
local:
outer!config"#access)list 86 permit 8=9.8<>.9.6 6.6.6.9::
outer!config"#line vty 6 @
outer!config)line"#access)class 86 in
... 'tilice SS/ para el acceso re%oto.
'o es recomenda%le el uso de telnet o &ttp para la administracin de los dispositivos,
dado los riesgos de seguridad que esto entraEa.
Es altamente recomenda%le utilizar SSF !Secure S&ell" para la administracin remota de
los dispositivos ya que SSF via3a encriptado. Para &a%ilitar SSF en un dispositivo siga los
siguientes pasos:
outer!config"#&ostname Cnom%reD
outer!config"#ip domain)name Cnom%reD
outer!config"#crypto 1ey generate rsa
outer!config"#ip ss& timeout <6
outer!config"#line vty 6 @
outer!config)line"#transport input ss&
'ota: Antes de intentar esta implementacin, verifique que su versin y pac1age de Cisco
5+S soportan SSF.
.0. Segurice los protocolos de enruta%iento # otros servicios opcionales.
A fin de evitar ataques que signifiquen modificaciones no autorizadas de las ta%las de
enrutamiento es recomenda%le utilizar protocolos que soporten una autenticacin con
claves encriptadas.
Por e3emplo, se puede configurar +SPG para que utilice claves encriptadas:
outer!config)if"#ip ospf message)digest 1ey C8)9::D md: C8);D CclaveD
outer!config"#router ospf 8
outer!config)router"#area 6 aut&entication message)digest
.10. 1revenga los ataques de denegaci2n de servicio.
-n modo simple de prevenir ataques DoS comunes, es limitar el anc&o de %anda utilizado
por los paquetes 5C(P. El protocolo 5C(P suele ser utilizado para inundar la red
causando una denegacin de servicio.
Para prevenir este tipo de ataque se pueden utilizar los comandos que se indican a
continuacin en cada interfaz, de modo de limitar el anc&o de %anda que ser ocupado
por el protocolo.
En este caso, limitar4 a 96 H%ps la disponi%ilidad para trfico de ping en la interfaz serial
676 que tiene un anc&o de %anda total de <@ H%ps. Esto en la realidad depende en cada
caso del anc&o de %anda de cada enlace y la proporcin de ese anc&o de %anda que se
desea asignar como m0imo a estos protocolos.
outer!config"#access)list 868 permit icmp any any ec&o)reply
outer!config"#access)list 868 permit icmp any any ec&o
outer!config"#interface serial 676
outer!config)if"#rate)limit input access)group 868 96666 >666 >666 conform)action
transmit e0ceed)action drop
,enga en cuenta que la prevencin de ataques de DoS es una tarea ms comple3a que
de%e enmarcarse en el conte0to de pol2ticas e implementaciones de seguridad. Este es
solamente un tip para lograr una prevencin %sica.