.1. Desactive aquellos servicios o protocolos que son innecesarios.
Por defecto los dispositivos Cisco activan diversos servicios que son opcionales. Estos servicios son potenciales puntos de ataques de seguridad ya que permitien acceder a informacin del dispositivo. Si no son utilizados, estos servicios pueden ser fcilmente desactivados: Protocolo CDP: outer!config"#no cdp run Configuracin remota: outer!config"#no service config Servicio finger: outer!config"#no service finger Servicio $e%: outer!config"#no ip &ttp server Protocolo S'(P: outer!config"#no snmp)server Protocolo *++,P: outer!config"#no ip %ootp server Servicios ,CP: outer!config"#no service tcp)small)servers Servicios -DP: outer!config"#no service udp)small)servers .2. Deshabilite las interfaces que no estn en uso. .as interfaces que no se utilizan de%en estar administrativamente des&a%ilitadas utilizando el comandos&utdo$n. En los routers Cisco este es el estado por defecto/ por el contrario, en los s$itc&es Catalyst todos los puertos estn &a%ilitados por defecto. En las interfaces en uso, si no son necesarios, conviene desactivar los siguientes servicios: outer!config)if"#no ip pro0y)arp outer!config)if"#no ip directed)%roadcast outer!config)if"#no ip mas1)reply .. !antenga control del trfico que atraviesa el router. *sicamente se de%iera %loquear todo trfico innecesario. Sin em%argo, muc&as veces es dif2cil determinar el trfico necesario. Pero &ay trfico que ciertamente no de%iera ingresar o circular. Por e3emplo, cuando la red tiene un router a trav4s del cual se conecta a 5nternet/ este dispositivo no de%iera reci%ir desde 5nternet trfico que se origine en una direccin 5P privada. Para esto, se puede implementar la siguiente lista de acceso, suponiendo que la interfaz a trav4s de la cual el router se conecta a 5nternet es la interfaz serial 676: outer!config"#access)list 868 deny ip 86.6.6.6 6.9::.9::.9:: any log outer!config"#access)list 868 deny ip 8;9.8<.6.6 6.8:.9::.9:: any log outer!config"#access)list 868 deny ip 8=9.8<>.6.6 6.6.9::.9:: any log outer!config"#interface serial 676 outer!config)if"#description acceso a 5nternet outer!config)if"#ip access)group 868 in .". !antenga los archivos log # utilice una fuente de hora confiable. Para mantener un control del trfico que es %loqueado por las listas de acceso, es conveniente utilizar los arc&ivos log. Estos arc&ivos tam%i4n pueden mantener registro de los cam%ios de configuracin y errores. Para mantener estos arc&ivos almacenados en el dispositivo, el procedimiento es el siguiente: outer!config"#logging on outer!config"#logging %uffered 8<?>@ De este modo se reserva un espacio de 8< (* en la memoria A( del dispositivo. El pro%lema de guardar estos arc&ivos en el router es que en caso de un reinicio del dispositivo se pierden estos arc&ivos. Por eso conviene almacenarlos en un servidor que puede incluso ser un servidor comBn a todos los dispositivos de la red. El comando para identificar este servidor es: outer!config"#logging CipD -n elemento muy importante de informacin en los arc&ivos log, es la marca &oraria de los sucesos. Esta marca &oraria puede tomarse a partir del relo3 interno del dispositivo. Sin em%argo, si &ay varios dispositivos es muy importante que todos tomen su marca &oraria de un Bnico servidor para poder &acer las comparaciones que puedan ser necesarias. Para activar este servicio utilice el siguiente comando: outer!config"#service timestamps log datetime msec outer!config"#ntp server server.ntp.address .$. I%ple%ente claves de acceso # clave de acceso al %odo privilegiado. AsegBrese de aplicar claves de acceso a cada uno de los puertos. outer!config"#line console 6 outer!config)line"#login outer!config)line"#pass$ord CclaveD outer!config)line"#e0ec)timeout 6 6 outer!config"#line au0 6 outer!config)line"#login outer!config)line"#pass$ord CclaveD outer!config)line"#e0ec)timeout 6 6 outer!config"#line vty 6 @ outer!config)line"#login outer!config)line"#pass$ord CclaveD Para %loquear el acceso al modo privilegiado utilice siempre la ena%le secret que se encripta utilizando (D:. outer!config"#ena%le secret CclaveD .&. 'se claves co%ple(as )robustas* # encripte las claves en te+to plano. AsegBrese de utilizar claves largas y con caracteres alfanum4ricos, lo que reduce la posi%ilidad de que sean violadas por un ataque de fuerza %ruta. Este comando Cisco 5+S le permite asegurar una longitud de caracteres m2nima para cada clave: outer!config"#security pass$ord min)lengt& < AsegBrese de que todas las claves est4n encriptadas, al menos con un algoritmo de encripcin %sico: outer!config"#service pass$ord encryption Se pueden prevenir intentos de acceso por fuerza %ruta esta%leciendo parmetros de tiempo para el ingreso de claves en el dispositivo. En este e3emplo se define que el acceso se %loquee por 8>6 segundos cuando se realizan ? intentos fallidos en un intervalo de ?6 segundos. outer!config"#login %loc1)for 8>6 attempts ? $it&in ?6 .,. Controle qui-nes pueden acceder re%ota%ente al router. Es conveniente limitar las posi%ilidades de acceso remoto a la administracin de los dispositivos. -na posi%ilidad es limitar las direcciones 5P y protocolos que se utilizan para acceder a las terminales virtuales. Por e3emplo, para permitir el acceso e0clusivamente desde la red local: outer!config"#access)list 86 permit 8=9.8<>.9.6 6.6.6.9:: outer!config"#line vty 6 @ outer!config)line"#access)class 86 in ... 'tilice SS/ para el acceso re%oto. 'o es recomenda%le el uso de telnet o &ttp para la administracin de los dispositivos, dado los riesgos de seguridad que esto entraEa. Es altamente recomenda%le utilizar SSF !Secure S&ell" para la administracin remota de los dispositivos ya que SSF via3a encriptado. Para &a%ilitar SSF en un dispositivo siga los siguientes pasos: outer!config"#&ostname Cnom%reD outer!config"#ip domain)name Cnom%reD outer!config"#crypto 1ey generate rsa outer!config"#ip ss& timeout <6 outer!config"#line vty 6 @ outer!config)line"#transport input ss& 'ota: Antes de intentar esta implementacin, verifique que su versin y pac1age de Cisco 5+S soportan SSF. .0. Segurice los protocolos de enruta%iento # otros servicios opcionales. A fin de evitar ataques que signifiquen modificaciones no autorizadas de las ta%las de enrutamiento es recomenda%le utilizar protocolos que soporten una autenticacin con claves encriptadas. Por e3emplo, se puede configurar +SPG para que utilice claves encriptadas: outer!config)if"#ip ospf message)digest 1ey C8)9::D md: C8);D CclaveD outer!config"#router ospf 8 outer!config)router"#area 6 aut&entication message)digest .10. 1revenga los ataques de denegaci2n de servicio. -n modo simple de prevenir ataques DoS comunes, es limitar el anc&o de %anda utilizado por los paquetes 5C(P. El protocolo 5C(P suele ser utilizado para inundar la red causando una denegacin de servicio. Para prevenir este tipo de ataque se pueden utilizar los comandos que se indican a continuacin en cada interfaz, de modo de limitar el anc&o de %anda que ser ocupado por el protocolo. En este caso, limitar4 a 96 H%ps la disponi%ilidad para trfico de ping en la interfaz serial 676 que tiene un anc&o de %anda total de <@ H%ps. Esto en la realidad depende en cada caso del anc&o de %anda de cada enlace y la proporcin de ese anc&o de %anda que se desea asignar como m0imo a estos protocolos. outer!config"#access)list 868 permit icmp any any ec&o)reply outer!config"#access)list 868 permit icmp any any ec&o outer!config"#interface serial 676 outer!config)if"#rate)limit input access)group 868 96666 >666 >666 conform)action transmit e0ceed)action drop ,enga en cuenta que la prevencin de ataques de DoS es una tarea ms comple3a que de%e enmarcarse en el conte0to de pol2ticas e implementaciones de seguridad. Este es solamente un tip para lograr una prevencin %sica.