IP : Servicios de direccionamiento IP

Mejora de seguridad de los routers de Cisco

11 Abril 2008 - Traducción manual
Otras Versiones: PDFpdf | Traducción Automática (31 Julio 2013) | Inglés (7 Junio 2011) | Comentarios

Interactivo: Este documento ofrece un análisis personalizado de su dispositivo Cisco.

Contenidos

Introducción
Requisitos previos
           Requisitos
           Componentes utilizados
           Convenciones
Antecedentes
Administración de contraseña
           activar secreto
           service password-encryption (y limitaciones)
Controlar el acceso interactivo
           Puertos de consola
           Acceso interactivo general
           Carteles de advertencia
Servicios de administración configurados normalmente
           ‘SNMP (Protocolo de administración simple de red):’
           HTTP
Administración y acceso interactivo por Internet (y otras redes inseguras)
           Sabueso del paquete
           Otros peligros del acceso a Internet
Registro
           Excepto la información de registro
           Registrar las violaciones de lista de acceso
Asegurar la encaminamiento del IP
           Antisimulación
           Controlar los broadcastes dirigidos
           Integridad del trayecto
Administración de sobrecarga’
           Inundación de tránsito
           Autoprotección del router
Servicios posiblemente innecesarios
           Servicios pequeños del TCP y del UDP
           Finger
           NTP (protocolo de hora de red)
           CDP
Estancia actualizada
Lista de comandos
Discusiones relacionadas de la comunidad de soporte de Cisco
Información relacionada

Introducción

Este documento es un debate informal sobre algunos ajustes de la configuración de Cisco que los administradores de red deben intentar cambiar en sus routers, especialmente en los routers de borde, a fin de mejorar la seguridad. Este documento está sobre los elementos de configuración básicos del boilerplate que son casi universal aplicables en las redes del IP, y sobre algunos artículos inesperados de los cuales usted deba estar enterado.

Si usted tiene la salida de un comando show running-configuration de su dispositivo de Cisco, usted puede utilizar visualizar los problemas potenciales y los arreglos. Usted debe ser un cliente registrado, ser accedido, y hacer el Javascript habilitar para utilizar .

Requisitos previos

Requisitos

No hay requisitos específicos para este documento.

Componentes utilizados

Este documento no tiene restricciones específicas en cuanto a versiones de software y de hardware.

Convenciones

Referir a las convenciones de los consejos técnicos de Cisco para más información sobre las convenciones sobre documentos.

Antecedentes

Esto no es una lista exhaustiva, ni puede ser substituida para entender de parte del administrador de la red. Este documento es un recordatorio de algunas de las cosas que se olvidan a veces. Se mencionan los únicos comandos que son importantes en las redes del IP. Muchos de los servicios que se habilitan en los routeres de Cisco requieren la correcta configuración de seguridad. Sin embargo, este documento se refiere principalmente a los servicios que son habilitados por el valor por defecto, o que son habilitados casi siempre por los usuarios, y que pudo necesitar ser invalidado o ser configurado de nuevo.

Esto es determinado importante porque algunas de las configuraciones predeterminadas en el software de Cisco IOS® están allí por los motivos históricos. Las configuraciones tuvieron sentido cuando estaban elegidas, pero pudieron ser diferentes si los nuevos valores por defecto se eligen hoy. Otros valores por defecto tienen sentido para la mayoría de los sistemas, pero pueden crear los riesgos de seguridad si se utilizan en los dispositivos que forman la parte de las defensas del perímetro de red. Otros valores por defecto son requeridos realmente por los estándares, pero no son siempre deseables de un punto de vista de la seguridad.

El software del IOS de Cisco posee muchas características referidas a la seguridad, como listas de acceso de filtrado de paquetes, el conjunto de características de escudo de protección del IOS de Cisco, intercepción de TCP, AAA y cifrado. Muchas otras funciones, tales como registración del paquete y características de la calidad del servicio (QoS), se pueden utilizar para aumentar la seguridad de la red contra los varios ataques. No se discute ninguna de estas funciones, aunque puede ser que se las trate superficialmente. Esto no es un documento sobre la configuración de escudo de protección. Para la mayoría de las secciones, esto es un documento sobre cómo asegurar el router sí mismo, y no hace caso de la aplicación igualmente importante la protección de otros dispositivos de red.

Administración de contraseña

Las contraseñas y los secretos similares, tales como identificaciones de comunidad del Protocolo de administración de red simple (SNMP), son la forma de defensa principal contra el acceso no autorizado a su router. La mejor forma de administrar a la mayoría de las contraseñas es mantenerlas en un TACACS+ o en un servidor de autenticación RADIUS. Sin embargo, casi cada router todavía tiene una contraseña localmente configurada para el acceso privilegiado, y puede también tener otra información de contraseña en su archivo de configuración.

activar secreto

El comando enable secret se utiliza para establecer la contraseña que concede acceso administrativo privilegiado al sistema IOS. Un enable secret password debe ser fijado siempre. Utilizar el comando enable secret, no el más viejo comando enable password. El comando enable password utiliza un algoritmo de cifrado vulnerable. Ver la sección del service password-encryption de este documento para más información.

Si se fija el no enable secret, y una contraseña se configura para la línea TTY de consola, la contraseña de consola se puede utilizar para recibir el acceso privilegiado, incluso de una sesión VTY remota. Seguramente, esto no es lo que usted quiere y es otro motivo para asegurarse de configurar una contraseña secreta.

service password-encryption (y limitaciones)

El comando service password-encryption ordena el software IOS cifrar las contraseñas, los secretos de la GRIETA, y los datos similares que se salvan en su archivo de configuración. Esto es útil para prevenir a los observadores casuales de las contraseñas de la lectura, por ejemplo cuando miran la pantalla sobre el hombro de un administrador.

Sin embargo, el algoritmo usado por el comando service password-encryption es una cifra simple de Vigenere. Cualquier criptógrafo amateur competente puede invertirlo fácilmente sobre algunas horas. El algoritmo no es diseñado para proteger los archivos de configuración contra la análisis profundo por los atacantes levemente sofisticados uniformes, y no debe ser para este propósito usado. Cualquier archivo de configuración de Cisco que contenga las contraseñas cifradas se debe tratar con el mismo cuidado usado para una lista cleartext de esas mismas contraseñas.

Esta advertencia de cifrado débil no se aplica a las contraseñas fijadas con el comando enable secret, sino que se aplica a las contraseñas fijadas con el comando enable password.

El comando enable secret utiliza el MD5 para el hashing de la contraseña. El algoritmo ha tenido revisión pública considerable, y no es reversible por lo que Cisco sabe. Está, sin embargo, conforme a los establecimientos de diccionario. Un establecimiento de diccionario es cuando un ordenador intenta la cada palabra en un diccionario o la otra lista de las contraseñas del candidato. Por lo tanto, recordar guardar su archivo de configuración fuera de las manos de gente indignas de confianza, especialmente si usted no es seguro sus contraseñas se elige bien.

Controlar el acceso interactivo

Cualquier persona que puede acceder a un router de Cisco puede el mostrar información que usted no desea probablemente poner a disposición el público general. Un usuario que puede acceder al router pudo poder utilizarlo como relais para los otros ataques de red. Cualquiera que pueda tener acceso privilegiado al router puede volver a configurarlo. Usted necesita controlar los accesos interactivos al sistema al router para prevenir el acceso inapropiado.

Aunque la mayoría del acceso interactivo es invalidado por el valor por defecto, hay anomalías. La anomalía más obvia es las sesiones interactivas que son directamente de las terminales asincróno conectado, tales como la terminal de la consola, y de las líneas del módem integrado.

Puertos de consola

Es importante recordar que el puerto de la consola de un dispositivo Cisco IOS tiene privilegios especiales. En particular, si se envía una señal de INTERRUPCIÓN al puerto de la consola durante los primeros segundos luego del reinicio, el procedimiento de recuperación de la contraseña puede utilizarse fácilmente para tomar control del sistema. Esto significa que los atacantes que interrumpen la potencia o inducen una caída del sistema, y que tienen accesso al puerto de la consola vía una terminal cableada, un módem, un servidor terminal, o un poco de otro dispositivo de red, pueden tomar el control del sistema, incluso si no tienen el acceso físico a él o la capacidad de acceder a ella normalmente.

Cualquier módem o dispositivo de red que den el accesso al puerto de consola de Cisco se debe asegurar a un estándar comparable a la seguridad usada para el acceso privilegiado al router. En un mínimo indispensable, cualquier módem de la consola debe estar de un tipo que pueda requerir al usuario de marcación manual proveer una contraseña para el accesso, y la contraseña del módem debe ser manejada cuidadosamente.

Acceso interactivo general

Hay más maneras de conseguir las conexiones interactivas al routers que los usuarios realizan. El software del IOS de Cisco, que depende de la configuración y de la Versión del software, puede soportar estas conexiones:

  • vía el telnet

  • rlogin

  • SSH

  • no red basada en IP protocolos, tales como LAT, MOP, X.29, y V.120

  • posiblemente otros protocolos

  • vía las conexiones asíncronas locales y el dial-ins del módem

Siempre se agregan más protocolos para el acceso interactivo. El acceso Telnet interactivo se encuentra disponible no sólo en el puerto TCP Telnet estándar (puerto 23), sino que también en una variedad de puertos con número superior.

Todos los mecanismos del acceso interactivo utilizan la abstracción TTY del IOS (es decir todos implican las sesiones sobre las líneas de una clase o de otra). Las terminales asíncronas locales y los módems de marcación manuales utilizan las líneas estándares, conocidas como TTY. Las conexiones de la red remota, sin importar el protocolo, utilizan TTY virtuales (VTY). La mejor manera de proteger un sistema es asegurarse que los controles apropiados estén aplicados en todas las líneas, que incluye las líneas del VTY y las líneas del TTY.

Porque es difícil asegurarse que todos los modos posibles del accesso se hayan bloqueado, los administradores deben utilizar una cierta clase de mecanismo de autenticación para aseegurarse que los logines en todas las líneas son controlados, incluso en las máquinas que se suponen para ser inaccesibles de las redes no confiables. Esto es especialmente importante para líneas VTY y para líneas conectadas a módems u otros dispositivos de acceso remoto.

Los comandos login and no password se pueden configurar para prevenir totalmente los accesos interactivos al sistema. Esta es la configuración predeterminada para VTY, pero no para TTY. Hay muchas maneras de configurar las contraseñas y otras formas de autenticación de usuario para las líneas del TTY y del VTY. Referir a documentación del software del IOS de Cisco para más información.

Controlar los TTY

Los terminales asíncronos locales son menos comunes de lo que eran pero aún existen en algunas instalaciones. A menos que las terminales se aseguren físicamente, y generalmente aunque están, el router se debe configurar para requerir a los usuarios en las terminales asíncronas locales acceder antes de que utilicen el sistema. La mayoría de los puertos TTY en los routeres modernos están conectados con los módems externos, o implementados por los módems integrados. La seguridad de estos puertos es obviamente aún más importante que asegurando los puertos del terminal local.

Por el valor por defecto, un usuario remoto puede establecer una conexión a una línea del TTY sobre la red. Esto se conoce como telnet reverso. Esto permite que el usuario remoto obre recíprocamente con la terminal o el módem conectado con la línea del TTY. Es posible aplicar la protección de la contraseña para tales conexiones. A menudo, es deseable permitir que los usuarios hagan las conexiones a las líneas del módem, de modo que puedan hacer las llamadas salientes. Sin embargo, esta característica puede permitir que un usuario remoto conecte con un puerto de la terminal asíncrona local, o aún con un puerto del módem de acceso telefónico, y simula el mensaje de solicitud de inicio de sesión del router para robar las contraseñas. Esta característica puede también hacer otras cosas que puedan trampear a los usuarios locales o interferir con su trabajo.

Publicar el transporte no entran ninguno comando configuration para invalidar esta característica reversa del telnet en cualquier asíncrono o línea del módem que no deban recibir las conexiones de los usuarios de la red. Si es posible, no utilizar los mismos módems para la conección de acceso telefónico y el dial-out, y no permitir las conexiones Telnet reversas a las líneas que usted utiliza para la conección de acceso telefónico.

Controlar los VTY y asegurar la disponibilidad de VTY

Cualquier VTY se debe configurar para validar las conexiones solamente con los protocolos necesitados realmente. Esto se realiza con el comando transport input. Por ejemplo, un VTY que espera a las sesiones Telnet RO se configura con el comando transport input telnet, mientras que un VTY que permite al telnet y a sesiones SSH tiene el comando transport input telnet ssh. Si su software soporta un protocolo del acceso cifrado tal como SSH, entonces habilitar solamente ese protocolo, e invalidar la Telnet de texto sin cifrar. También, publicar el comando ip access-class para restringir a las direcciones IP de quienes el VTY valida las conexiones.

Un dispositivo Cisco IOS tiene un número limitado, generalmente cinco, de las líneas del VTY. Cuando todas las VTY se encuentren en uso, no se podrán establecer más conexiones interactivas remotas. Esto crea la oportunidad para un establecimiento de rechazo del servicio. Si un atacante puede abrir a las sesiones remotas en todos los VTY en el sistema, el administrador legítimo no pudo poder acceder. El atacante no tiene que acceder para hacer esto. las sesiones pueden abandonarse simplemente cuando aparece el mensaje de solicitud de inicio de sesión.

Una forma para reducir esta exposición es configurar un comando ip access-class más restrictivo en el VTY más más reciente del sistema que en los otros VTY. El VTY más más reciente, generalmente VTY 4, se puede restringir para validar las conexiones solamente de una estación de trabajo administrativa sola, específica, mientras que los otros VTY pueden validar las conexiones de cualquier direccionamiento en una red corporativa.

Otra táctica útil es publicar el comando exec-timeout para configurar el tiempo de espera de VTY agotado. Esto impide que una sesión inactiva consuma un VTY en forma indefinida. Aunque su eficacia contra los ataques deliberados es relativamente limitada, también proporciona a una cierta marcha lenta accidentalmente dejada de la protección frente a las sesiones. Semejantemente, si usted habilita los keepalifes TCP en las conexiones entrantes con el comando service tcp-keepalives-in, esto puede ayudar a guardar contra ambos ataques maliciosos y sesiones dejadas huérfano causados por los desperfectos del sistema remoto.

Usted puede invalidar todos no los protocolos de acceso remoto del basado en IP y cifrado de IPSec del uso para todas las conexiones interactivas remotas al router para proporcionar a la protección VTY completa. IPSec es una opción de costos adicionales y su configuración está fuera del alcance de este documento.

Carteles de advertencia

En algunas jurisdicciones, civil y el proceso penal de las galletas que se rompen en sus sistemas se hace mucho más fácil si usted proporciona a una bandera que informe a los usuarios no autorizados que su uso es desautorizado. En otras jurisdicciones, usted puede ser prohibido monitorear las actividades de los usuarios no autorizados uniformes a menos que usted haya tomado las medidas para notificarlas de su intento. Un método para proporcionar a esta notificación es ponerlo en un mensaje del anuncio configurado con el comando cisco ios banner login.

Los requisitos de notificación legal son complejos y varían en cada jurisdicción y situación. Incluso dentro de las jurisdicciones, las opiniones varían; por lo tanto, deberá tratar este problema con su asesor legal. En cooperación con los consejos, usted debe considerar lo que se pone la información en su bandera:

  • Un aviso que el sistema debe ser accedido a o ser utilizado solamente por específicamente el personal autorizado, y quizás información sobre quién puede autorizar el uso.

  • Un aviso que cualquier uso no autorizado del sistema es ilegal, y puede estar conforme a civil y/o a las sanciones penales.

  • Un aviso que cualquier uso del sistema se puede registrar o monitorear sin el previo aviso, y que los registros resultantes se pueden utilizar como evidencia ante el tribunal.

  • Avisos específicos requeridos por las leyes locales específicas.

De una seguridad, más bien que de un punto de vista legal, su anuncio de inicio de sesión no debe contener ninguna información específica sobre su router, su nombre, su modelo, qué software ejecuta, o quién lo posee. Esta información se puede abusar por las galletas.

Servicios de administración configurados normalmente

Muchos usuarios utilizan los protocolos con excepción del acceso al sistema interactivo y remoto para manejar sus redes. Para este fin, los protocolos más comunes son SNMP y HTTP.

Ni unos ni otros de estos protocolos son habilitados por el valor por defecto, y, en cuanto a cualquier otro servicio, la mayoría del isto de la opción segura para no habilitarlos en todos. Sin embargo, si son habilitados, deben ser asegurados según lo descrito en esta sección.

‘SNMP (Protocolo de administración simple de red):’

El SNMP es muy ampliamente utilizado para el monitoreo del router, y con frecuencia para los cambios de configuración del router. Desafortunadamente, la versión 1 del protocolo SNMP, que es el más de uso general, utiliza un esquema de autenticación muy débil basado en una identificación de comunidad. Esto asciende a una contraseña corregida transmitida sobre la red sin el cifrado. Si es posible, utilizar la versión de SNMP 2, que soporta un esquema MD5 basado del asimilar autenticación y permite el acceso restringido a los varios datos de administración.

Si usted debe utilizar la versión de SNMP 1, elegir las identificaciones de comunidad inobvious. No elegir, por ejemplo, a “público” o “privado”. Si es posible, evitar el uso de las mismas identificaciones de comunidad para todos los dispositivos de red. Utilizar una diversa cadena o cadenas para cada dispositivo, o por lo menos para la cada área de la red. No utilice de la misma forma un string (cadena de caracteres) de sólo lectura y uno de sólo escritura. Si es posible, la interrogación de la versión de SNMP periódica 1 se debe hacer con una cadena de comunidad de sólo lectura. las cadenas de lectura/escritura deben ser utilizadas para verdaderas operaciones de escritura.

La versión de SNMP 1 no se satisface para utilizar a través de los Internetes públicas por estas razones:

  • Utiliza cadenas de autenticación de textos sin cifrar.

  • La mayoría de las implementaciones de SNMP envía esas cadenas repetidas veces como parte de las consultas periódicas.

  • Es un protocolo de transacción, fácilmente falsificable, basado en un datagrama.

Usted debe considerar cuidadosamente las implicaciones antes de que usted la utilice esa manera.

En la mayoría de las redes, los mensajes SNMP legítimos vienen solamente de las ciertas estaciones de administración. Si esto es verdad en su red, usted debe utilizar probablemente la opción del número de lista de acceso en el accesso de la versión 1 del restrict snmp del comando snmp-server community para solamente a las direcciones IP de las estaciones de administración. No utilizar el comando snmp-server community para ningún propósito en un ambiente puro de la versión de SNMP 2. Este comando habilita implícito la versión de SNMP 1.

Para la versión de SNMP 2, configurar el asimilar autenticación con la autentificación y las palabras claves del md5 del comando snmp-server party configuration. Si es posible, utilizar un diverso valor secreto MD5 para cada router.

Las estaciones de administración SNMP a veces tienen inmensas bases de datos de autenticación de información, tal como cadenas de comunidad. Esta información puede proporcionar al accesso a mucho routers y a otros dispositivos de red. Esta concentración de información hace que la administración de SNMP coloca un objetivo natural para el ataque, y debe ser asegurada por consiguiente.

HTTP

La mayoría de las versiones del software IOS de Cisco recientes utilizan el protocolo HTTP del World Wide Web para soportar control y configuración remotos. El accesso del HTTP es generalmente equivalente al acceso interactivo al router. El protocolo de autentificación usado para el HTTP es equivalente a enviar una contraseña de texto sin cifrar a través de la red. Desafortunadamente, no hay disposición eficaz en el HTTP para desafiar-basado o las contraseñas de USO único. Esto hace que HTTP sea una elección relativamente arriesgada para ser utilizada a través de la Internet pública.

Si usted elige utilizar el HTTP para la gerencia, publicar el comando ip http access-class para restringir el accesso para apropiarse de las direcciones IP. También, publicar el comando ip http authentication para configurar la autentificación. Como con los accesos interactivos al sistema, la mejor opción para la autenticación HTTP es utilizar un TACACS+ o un servidor de radio. Evitar el uso del enable password como contraseña HTTP.

Administración y acceso interactivo por Internet (y otras redes inseguras)

Muchos usuarios administran sus routers en forma remota y a veces lo hacen a través de Internet. Todo acceso remoto sin cifrar implica algunos riesgos, pero el acceso mediante una red pública como Internet es particularmente peligroso. Todos los planes de administración remota, que incluye el acceso interactivo, el HTTP, y el SNMP, son vulnerables.

Los ataques discutidos en esta sección son los relativamente sofisticados, pero no están fuera del alcance de las galletas hoy. Estos ataques pueden ser frustrados a menudo si los proveedores de red públicas implicados han tomado las medidas de seguridad apropiadas. Usted necesita evaluar su nivel de confianza en las medidas de seguridad usadas por todos los abastecedores que lleven su tráfico de administración. Aunque usted confía en sus abastecedores, él se recomienda tomar por lo menos algunas medidas para protegerse contra los resultados de cualquier error que pudiera ocurrir.

Todas estas precauciones se aplican tanto a los hosts como a los routers. Este documento discute la protección de las sesiones de conexión al sistema del router, pero usted debe utilizar los mecanismos análogos para proteger sus ordenadores principal si usted administra esos ordenadores principal remotamente.

La administración remota de Internet es útil pero requiere de especial atención en lo que respecta a seguridad.

Sabueso del paquete

Las galletas se rompen con frecuencia en los ordenadores poseídos por los Proveedores de servicios de Internet (ISP), o en los ordenadores en otras Redes grandes, e instalan los programas del sabueso de paquete. Estos programas monitorean el tráfico que pasa a través de la red y roba los datos, tales como contraseñas y identificaciones de comunidad SNMP. Aunque esto ha llegado a ser más difícil mientras que los operadores de la red mejoran su seguridad, sigue siendo relativamente campo común. Además del riesgo de los intrusos exteriores, no es unheard para que del personal de ISP poco escrupuloso instale los succionadores. Cualquier contraseña enviada sobre un canal sin cifrar está a riesgo. Esto incluye el login y los enables passwords para su routers.

Si es posible, evitar de acceder a su router que utiliza cualquier protocolo sin cifrar sobre cualquier red no confiable. Si su software del router la soporta, utilizar un protocolo de inicio de sesión cifrado tal como SSH o Telnet kerberizado. Otra posibilidad es utilizar el cifrado de IPSec para todo el tráfico de administración del router, que incluye el telnet, el SNMP, y el HTTP. Todas estas funciones de cifrado son conforme a las ciertas restricciones a la exportación impuestas por el gobierno de los Estados Unidos, y son la especial-orden, elementos del ENJA_NOTFIRE en los routeres de Cisco.

Si usted no tiene accesso a un protocolo de acceso remoto cifrado, otra posibilidad es utilizar un sistema de contraseñas de USO único tal como S/KEY o OPIE, junto con un TACACS+ o un servidor de radio. Esto controla los accesos interactivos al sistema y el acceso privilegiado a su router. La ventaja aquí es que una contraseña robada es inútil, porque es hecha inválida por la misma sesión en quien se roba. Los datos sin contraseña transmitidos en el restos de la sesión disponible a los eavesdroppers, pero muchos programas del sniffer se fijan hasta el concentrado en las contraseñas.

Si usted debe enviar absolutamente a las sesiones Telnet de las contraseñas sobre texto sin cifrar, cambiar sus contraseñas con frecuencia, y prestar la mucha atención al camino atravesado por sus sesiones.

Otros peligros del acceso a Internet

Además de los sabuesos de paquete, la administración remota de los routers a través de Internet presenta estos riesgos de seguridad:

  • Para administrar un router en Internet, debe permitir que al menos algunos hosts de Internet tengan acceso al router. Es posible que estos ordenadores principal pueden ser comprometidos, o que sus direccionamientos pueden ser spoofed. Al permitir el acceso interactivo desde Internet, su seguridad dependerá no sólo de sus propias medidas antisimulación sino también de aquellas medidas de los proveedores de servicios involucrados.

    Usted puede aseegurarse que todos los ordenadores principal que se permiten para registrar en su router son bajo su propio control para reducir los peligros. También, protocolos de inicio de sesión cifrados del uso con la autenticación robusta.

  • Es a veces posible secuestrar una conexión TCP no cifrada (tal como una sesión Telnet), y toma realmente el control lejos de un usuario se acceda que. Aunque tales ataques del secuestro no son tan comunes como el paquete sencillo que huele y pueden ser complejos montar, estos ataques son posibles, y se pudieron utilizar por un atacante que tenga su red específicamente en la mente como blanco. La única solución real al problema del secuestro de la sesión es utilizar fuertemente un protocolo cifrado de administración autenticado.

  • Los ataques de rechazo de servicio son frecuentes en Internet. Si su red se sujeta a un establecimiento de rechazo del servicio, usted puede ser que no pueda alcanzar su router para recoger la información o para tomar la acción defensiva. Incluso un ataque contra una red de otra persona puede deteriorar su Acceso de administración a su propia red. Si bien puede tomar medidas para hacer que su red sea más resistente a ataques de negación de servicio, la única verdadera defensa contra el riesgo es tener un canal separado, fuera de banda, como por ejemplo un módem de marcado manual, para utilizarlo en casos de emergencia.

Registro

Los routers de Cisco pueden registrar información sobre una variedad de eventos, muchos de los cuales son importantes en lo referente a la seguridad. Los registros pueden ser inestimables caracterizar y responder a los incidentes de seguridad. Estos son los tipos principales de registración usados por los routeres de Cisco:

  • El AAA registrar-Recoge la información sobre las conexiones de acceso telefónico del usuario, los logines, las fines de comunicación, los accessos del HTTP, las modificaciones del nivel de privilegio, los comandos ejecutados, y los acontecimientos similares. Las entradas de registro del AAA se envían a los servidores de autenticación que utilizan el TACACS+ y/o los protocolos RADIUS, y son registradas localmente por esos servidores, típicamente en los archivos del disco. Si usted utiliza un TACACS+ o un servidor de radio, usted puede habilitar la registración del AAA de las varias clases. Publicar los comandos de la configuración AAA, tales como aaa accounting, para habilitar esto. La descripción detallada de la configuración AAA está más allá del alcance de este documento.

  • El SNMP trap registrar-Envía las notificaciones de los cambios importantes en el estado del sistema a las estaciones de la administración de SNMP. Utilizar el SNMP traps solamente si usted tiene una infraestructura de la administración de SNMP que exista ya.

  • El sistema registrar-Registra una diversidad de eventos grande, que depende de la configuración del sistema. Los acontecimientos del registro del sistema se pueden señalar a una variedad de destinos, que incluyen éstos:

    • El puerto de consola del sistema (logging console).

    • Servidores que utilizan el protocolo del registro del sistema UNIX (logging ip-address, logging trap).

    • Sesiones remotas en los VTY y sesiones locales en los TTY (monitor de inicio de sesión, monitor de terminal).

    • Un búfer de registro en RAM de router (almacenamiento en búfer de registro).

    Desde el punto de vista de la seguridad, los eventos más importantes que normalmente se graban en el registro del sistema son los cambios de estado de interfaz, los cambios en la configuración del sistema, las coincidencias de listas de entrada y los eventos detectados por el firewall óptico y las funciones de detección de intrusos.

    Cada acontecimiento del registro del sistema es etiquetado con un nivel de urgencia. Los niveles se extienden de la información de depuración (en la mínima urgencia), a las emergencias importantes del sistema. Cada destino de registro se puede configurar con una urgencia del umbral, y recibe los eventos de registro solamente en o sobre ese umbral.

Excepto la información de registro

Por el valor por defecto, la información de registro del sistema es enviada solamente al puerto de consola asincrónica. Porque muchos puertos de la consola unmonitored, o están conectados con las terminales sin la memoria histórica y con las visualizaciones relativamente pequeñas, esta información no pudo estar disponible cuando es necesaria, especialmente cuando un problema se hace el debug de sobre la red.

Casi cada router debe salvar la información de registro del sistema a una memoria intermedia RAM local. La memoria intermedia de registro tiene un tamaño fijo y retiene sólo la información más nueva. El contenido del buffer se pierde siempre que se recargue el router. Sin embargo, un logging buffer moderado-clasificado está a menudo de mucho valor. En los routeres de menor capacidad, los tamaños razonables de memoria intermedia pudieron ser 16384 o 32768 bytes. En los routeres de mayor capacidad con la mucha memoria (y muchas los acontecimientos registrados), incluso 262144 bytes pudieron ser apropiados. Usted puede publicar el comando show memory de aseegurarse que su router tiene memoria libre suficiente para soportar un logging buffer. Publicar el comando logging buffered buffer-size configuration para crear el buffer.

La mayoría de las instalaciones más grandes tienen servidores de Syslog. Usted puede enviar la información de ingreso al sistema a un servidor con el server-ip-address de registración, y usted puede controlar el umbral de urgencia para registrar al servidor con el comando logging trap urgency. Incluso si usted tiene un servidor de Syslog, usted debe inmóvil habilitar el registro local.

Si su router tiene un reloj en tiempo real o ejecuta el NTP, publicar las entradas de registro del time-stamp del comando service timestamps log datetime msecs para.

Registrar las violaciones de lista de acceso

Si usted utiliza las listas de acceso al filtrar tráfico, usted puede ser que desee registrar los paquetes que violan sus criterios de filtrado. Versiones del software IOS de Cisco anteriores utilizan la palabra clave del registro para soportar la registración. Esto causa la registración de las direcciones IP y de los números del puerto asociados a los paquetes que corresponden con una entrada de la lista de acceso. Versiones más últimas proporcionan a la palabra clave de entrada de registro, que agrega la información sobre la interfaz de la cual el paquete fue recibido, y al MAC address del ordenador principal que lo envió.

No es una buena idea configurar la registración para las entradas de la lista de acceso que corresponden con muy una gran cantidad de paquetes. Esto hace los archivos del registro crecer excesivamente grandes, y puede cortar en el rendimiento del sistema. Sin embargo, los mensajes de registro de la lista de acceso están limitados por la velocidad y, por lo tanto, el impacto no es catastrófico.

La registración de la lista de acceso se puede también utilizar para registrar el tráfico sospechoso para caracterizar el tráfico asociado a los ataques a la red.

Asegurar la encaminamiento del IP

Esta sección analiza algunas medidas básicas de seguridad en relación con la manera en que el router reenvía los paquetes IP. Referir a las características esenciales del IOS para más información sobre estas ediciones.

Antisimulación

Muchos ataques a la red confían en un atacante que falsifique, o los spoofs, las direcciones de origen de los datagramas del IP. Algunos ataques confían en el spoofing para trabajar en todos, y los otros ataques son mucho más duros de rastrear si el atacante puede utilizar el direccionamiento algún otro en vez sus el propio. Por lo tanto, tiene valor para que los administradores de la red prevengan el spoofing dondequiera que factible.

Contra spoofing debe ser hecho en cada punta en la red donde está práctica. Es generalmente la más fácil y la más eficaz en las fronteras entre los bloqueos de dirección grandes, o entre los dominios de la Administración de red. Es generalmente impráctico realizar contra spoofing en cada router en una red, debido a la dificultad para determinar qué direcciones de origen pudieron aparecer legítimo en cualquier interfaz dada.

Si usted es un ISP, usted puede ser que encuentre esa antisimulación eficaz junto con otras medidas de seguridad eficaces, causas costosas, suscriptores con problema molestados de llevar su negocio otros abastecedores. Los ISP deben aplicar los controles contra spoofing en los pools del dialup y otros puntos de conexión del usuario final (referir a RFC 2267leavingcisco.com ).

Los administradores del escudo de protección corporativo o los routeres perimetrales instalan a veces las medidas antisimulaciones de evitar los ordenadores principal en el Internet si se asume que a las direcciones del host interno, pero no toman las medidas para evitar que los host internos si se asume que a las direcciones del host en el Internet. Intentar prevenir el spoofing en las ambas direcciones. Hay por lo menos tres buenas razones para realizar contra spoofing en las ambas direcciones en un escudo de protección de organización:

  1. Tientan a los usuarios internos menos para iniciar los ataques a la red y menos probable tener éxito si intentan.

  2. Los host internos accidentalmente configurado mals son menos probables causar el apuro para los sitios remotos. Por lo tanto, éstos son menos probables generar las llamadas telefónicas enojadas o dañar la reputación de su organización.

  3. Muchas veces los intrusos exteriores entran a las redes como plataformas de lanzamiento para otros ataques. Estas galletas pudieron estar menos interesadas en una red con la protección de simulación saliente.

Listas de acceso protegidas contra imitación

Desafortunadamente, no es práctica dar una lista simple de los comandos que proporcionan a la protección contra simulación apropiada. La configuración de la lista de acceso depende demasiado de la red individual. El objetivo básico es desechar los paquetes que llegan en las interfaces que no son trayectos viables de las direcciones de origen supuestas de esos paquetes. Por ejemplo, en un router de dos interfaces que conecte una red corporativa con el Internet, deba ser desechado cualquier datagrama que llega en la interfaz de Internet, pero cuyo campos de dirección de origen indique que vino de una máquina en la red corporativa.

Semejantemente, cualquier datagrama que llega en la interfaz conectó con la red corporativa, pero cuyo campos de dirección de origen indique que vino de una máquina fuera de la red corporativa, deban ser desechados. Si los recursos de la CPU lo permiten, contra spoofing debe ser aplicado en cualquier interfaz donde está factible determinar qué tráfico puede llegar legítimo.

Los ISP que llevan el tráfico de tránsito pueden haber limitado las oportunidades de configurar las listas de acceso protegidas contra imitación, pero tal ISP pueden generalmente por lo menos filtrar el tráfico exterior que demanda originar dentro del espacio de la dirección del ISP.

Los filtros antisimulaciones se deben construir generalmente con las listas de acceso de entrada. Esto significa que los paquetes se deben filtrar en las interfaces a través de las cuales llegan el router, no en las interfaces a través de las cuales dejan el router. Esto se configura con el comando interface configuration del ip access-group list in. Usted puede utilizar las listas de accesos de salida en algún contra-spoof two-port de las configuraciones para, pero las listas de entrada son generalmente más fáciles de entender incluso en esos casos. Además, una lista de entrada protege el router sí mismo contra los ataques de simulación, mientras que una lista de la salida protege solamente los dispositivos detrás del router.

Cuando existen las listas de acceso protegidas contra imitación, deben rechazar siempre los datagramas con el broadcast o las direcciones de origen de multidifusión, y los datagramas con la dirección de bucle de retorno reservada como dirección de origen. Es generalmente apropiado que una lista de acceso protegida contra imitación filtre hacia fuera todo el ICMP vuelve a dirigir, sin importar la dirección de origen o de destino. Estos son los comandos apropiados:

access-list number deny icmp any any redirect
access-list number deny ip 127.0.0.0 0.255.255.255 any
access-list number deny ip 224.0.0.0 31.255.255.255 any
access-list number deny ip host 0.0.0.0 any

El cuarto comando filtra hacia fuera los paquetes de muchos clientes del BOOTP/DHCP. Por lo tanto, no es apropiado en todos los ambientes.

Antisimulación con controles RPF

En casi todas las versiones del software IOS de Cisco que soporten el Cisco Express Forwarding (CEF), es posible tener el cheque del router la dirección de origen de cualquier paquete contra la interfaz a través de la cual el paquete ingresó el router. Si la interfaz de entrada no es un trayecto factible a la dirección de origen según la tabla de enrutamiento, se cae el paquete.

Esto sólo funciona cuando el enrutamiento es simétrico. Si se diseña la red de una manera tal que el tráfico del host A al host B lleve normalmente un diverso camino que el tráfico del host B el host A, el cheque falla siempre y la comunicación entre los dos ordenadores principal es imposible. Esta clase de Enrutamiento asimétrico es común en el núcleo de Internet. Aseegurarse que su red no utiliza el Enrutamiento asimétrico antes de que usted habilite esta característica.

Se sabe mientras que un cheque del reenvío de trayecto inverso (RPF), y se habilita esta característica con el comando ip verify unicast rpf. Está disponible en las versiones 11.1CC, 11.1CT, 11.2GS, y las 12.0 y posterior versiones, pero requiere ese CEF sea habilitada para ser eficaz.

Controlar los broadcastes dirigidos

Los broadcastes dirigidos por IP se utilizan en el extremadamente común y el establecimiento de rechazo del servicio popular del smurf, y se pueden también utilizar en los ataques relacionados.

Las transmisiones directas por IP son datagramas enviados a la dirección de difusión de una subred a la que el equipo de envío no está directamente conectado. La difusión directa se enruta a través de la red como un paquete de unidifusión hasta que llega a la subred de destino, donde se convierte en una difusión de capa de enlace. Debido a la naturaleza de la arquitectura de direccionamiento IP, sólo el último router de la cadena, el que se encuentra conectado directamente con la subred de destino, puede identificar en forma definitiva una transmisión dirigida. Algunas veces las difusiones directas se utilizan con objetivos legítimos, pero tal uso no es habitual fuera de la industria de servicios financieros.

En un ataque smurf, el atacante envía las peticiones de eco ICMP de una dirección de la fuente falsificada a una dirección de broadcast dirigido. Esto hace a todos los ordenadores principal en la subred de destino enviar las contestaciones a la fuente falsificada. Enviando una secuencia continua de ESA petición, el atacante puede crear una secuencia de respuesta mucho más grande. Esto puede inundate totalmente al ordenador principal, cuyo se falsifica direccionamiento.

Si una interfaz de Cisco se configura con el comando no ip directed-broadcast, los broadcastes dirigidos que se estallan de otra manera en los broadcastes de link-layer en esa interfaz se caen en lugar de otro. Esto significa que el comando no ip directed-broadcast se debe configurar en cada interfaz de cada router que esté conectada con una subred de destino. No es suficiente configurar solamente los routeres de escudo de protección. El comando no ip directed-broadcast es el valor por defecto en la versión 12.0 y posterior. En las versiones anteriores, el comando se debe aplicar a cada interfaz LAN que no se sepa para remitir los broadcastes dirigidos legítimos.

Para una estrategia que bloquee los ataques smurf en algunos routeres de escudo de protección, que depende del Diseño de red, y para más Información general del ataque smurf, referir a los establecimientos de rechazo del servicioleavingcisco.com .

Integridad del trayecto

Muchos ataques dependen de la capacidad de afectar a los trayectos de los datagramas en la red. Si controlan rutear, las galletas pueden el spoof el direccionamiento de otra máquina del usuario y tienen el tráfico de retorno enviado a ellos, o pueden interceptar y los leeres datos previstos para algún otro. El rutear se puede también interrumpir puramente para el fin de rechazar el servicio.

Enrutamiento de origen de IP

Protocolo IP soporta la opción de enrutamiento de origen que permite que el remitente de un IP datagram controle el rutear que el datagrama toma hacia su destino final, y generalmente el rutear que cualquier contestación toma. Estas opciones rara vez se utilizan para fines legítimos en redes reales. Algunas más viejas implementaciones del IP no procesan los paquetes con enrutamiento de origen correctamente, y es posible enviarles los datagramas con la opción de enrutamiento de origen para estrellar las máquinas que ejecutan estas implementaciones.

Un router de Cisco con el comando no ip source-route fijado nunca remite un paquete del IP que lleva una opción de enrutamiento de origen. Usted debe utilizar este comando, a menos que su red necesite el enrutamiento de origen.

Redirigir ICMP

Un mensaje de redirección de ICMP ordena que el nodo extremo utilice un router específico como trayecto hacia un destino determinado. En una red del IP que funciona correctamente, un router envía vuelve a dirigir solamente a los ordenadores principal en sus propias subredes locales. Ningún nodo extremo envía siempre un volver a dirigir, y el no redirect siempre se atraviesa más de un salto de la red. Sin embargo, un atacante puede violar estas reglas. algunos ataques están basados en esto. Filtrar hacia fuera el ICMP entrante vuelve a dirigir en las interfaces de entrada de cualquier router que miente en una frontera entre los dominios administrativos. También, no es desrazonable para ninguna lista de acceso que se aplique en el lado de entrada de una interfaz del router de Cisco para filtrar hacia fuera todo el ICMP vuelva a dirigir. Esto no causa ningún efecto en el funcionamiento en correctamente una red configurada.

Este filtro previene vuelve a dirigir solamente los ataques iniciados por los atacantes remotos. Sigue siendo posible que los atacantes causen usar significativo del apuro vuelve a dirigir si su ordenador principal está conectado directamente con el mismo segmento que un ordenador principal que esté bajo ataque.

Filtro y autentificación del protocolo de enrutamiento

Si usted utiliza un protocolo de enrutamiento dinámico que soporte la autentificación, habilitar esa autentificación. Esto previene los ataques maliciosos en la infraestructura de enrutamiento, y puede también ayudar a prevenir el daño causado por los dispositivos ficticios mal configurado en la red.

Por las mismas razones, los proveedores de servicio y otros operadores de las Redes grandes están generalmente bien aconsejados al filtrado de rutas del uso (con el comando distribute-list in) evitar que su routers valide claramente la información de enrutamiento incorrecta. Si bien el uso excesivo de filtrado de rutas puede destruir las ventajas del enrutamiento dinámico, el uso prudente ayuda a evitar resultados desagradables. Por ejemplo, si usted utiliza un protocolo de enrutamiento dinámico para comunicarse con una red del cliente del stub, usted no debe validar cualesquiera rutea de ese cliente con excepción de rutea al espacio de la dirección que usted ha delegado realmente al cliente.

La Instrucción detallada en cómo configurar la autenticación de enrutamiento y el filtrado de rutas está más allá del alcance de este documento. La documentación está en el sitio Web de Cisco y a otra parte disponible. Debido a la complejidad que conlleva, se recomienda a los principiantes que busquen asesoramiento antes de configurar estas características en redes importantes.

Administración de sobrecarga’

Muchos establecimientos de rechazo del servicio se basan en la inundación de paquetes inútiles. Estas inundaciones congestionan los enlaces de redes, reducen la velocidad de los hosts, y también pueden sobrecargar los routers. La configuración correcta del router puede reducir el impacto de tales saturaciones.

Un parte importante de administración de inundaciones es estar enterado de donde mienten las mermas en el rendimiento. Si una inundación sobrecarga una línea T1, entonces la filtración hacia fuera de la inundación en el router en el extremo de origen de la línea es eficaz, mientras que la filtración en el extremo de destino tiene poco o nada de efecto. Si el router sí mismo es la mayoría del componente de red sobrecargado, después las protecciones de filtración que los pedidos excesivos del lugar en el router pueden hacer las materias peores. Tener esto presente cuando usted considera la implementación de las sugerencias en esta sección.

Inundación de tránsito

Es posible utilizar las características de Cisco QoS para proteger los ordenadores principal y las conexiones contra algunas clases de inundaciones. Lamentablemente, un tratamiento general de esta clase de administración de inundaciones está fuera del alcance de este documento, y la protección depende mucho del ataque. El único consejo simple y por lo general, aplicable, es utilizar weighted fair queueing (WFQ) siempre que los recursos de la CPU puedan soportarla. WFQ es la configuración predeterminada para las líneas en serie de baja velocidad de las versiones recientes de software IOS de Cisco. Otras funciones de posible interés incluyen el índice de acceso comprometido (CAR), el modelo generalizado del tráfico (GTS) y el envío a cola personalizado. Es a veces posible configurar estas características cuando bajo ataque activo.

Si usted planea utilizar las características de QoS para controlar las inundaciones, es importante entender cómo esas características trabajan, y cómo los ataques por inundación comunes trabajan. Por ejemplo, el WFQ es mucho más eficaz contra las inundaciones de ping que contra las inundaciones SYN. Esto es porque la inundación de ping habitual aparece al WFQ como solo flujo de tráfico, mientras que aparece cada paquete en una inundación SYN generalmente mientras que un flujo separado. Una secuencia de respuesta del smurf cae en alguna parte entre los dos. La información mucha sobre las características de Cisco QoS está disponible en el sitio Web mundial de Cisco, y la información sobre los ataques comunes está disponible en muchos Web site mantenidos por otros partidos.

Cisco ofrece dos funciones distintas de enrutamiento diseñadas específicamente para minimizar el impacto de ataques de SYN flood en hosts. La característica de la intercepción de TCP es disponible en las determinadas versiones del software para mucho routers con los números de modelo de 4000 o mayor. El Cisco IOS Firewall Feature Set, que está disponible ahora en una cantidad mayor de routeres de Cisco, incluye una diversa característica de protección contra inundación SYN. La protección contra inundación SYN puede ser compleja, y los resultados pueden variar. Esto depende de la tasa de inundaciones, velocidad del router y los tamaños de la memoria, y los ordenadores principal funcionando. Si usted configura cualquiera de estas características, aseegurarse para leer la documentación en el sitio Web mundial de Cisco. También, si es posible, probar su configuración bajo inundación real.

Autoprotección del router

Antes de que un router pueda proteger otras partes de la red contra los efectos de las inundaciones, el propio router debe estar protegido contra sobrecargas.

Modos de conmutación y Cisco Express Forwarding

El modo de conmutación CEF, los disponibles en las versiones 11.1CC, 11.1CT, 11.2GS, y 12.0, substituye la memoria caché de enrutamiento tradicional de Cisco por una estructura de datos que refleje la tabla de enrutamiento del sistema completo. Porque no hay necesidad de construir las entradas de la memoria inmediata cuando el tráfico comienza a llegar para las destinaciones nuevas, el CEF se comporta más fiable que otros modos cuando está presentado con los volúmenes de tráfico grandes tratados a muchas destinaciones.

Aunque la mayoría de los establecimientos de rechazo del servicio que inundan envían todo su tráfico a una o alguna blancos y no gravan el algoritmo de mantenimiento de memoria caché tradicional, muchas direcciones de origen asignadas en forma aleatorias populares del uso de los ataques de inundación SYN. El ordenador principal bajo ataque contestó a alguna fracción de los paquetes de inundación SYN, que crea el tráfico para una gran cantidad de destinaciones. Por lo tanto, el routers configurado para el CEF se realiza mejor bajo inundaciones SYN (dirigidas en los ordenadores principal, no en el routers ellos mismos) que el routers que utilicen el caché tradicional. Se recomienda el CEF cuando está disponible.

Configuración del planificador.

Cuando un router de Cisco es conmutación rápida una gran cantidad de paquetes, es posible que el router pase tanto el tiempo en respuesta a las interrupciones de las interfaces de la red que no se hace ningún otro trabajo. Algunas mismas inundaciones rápidas de paquetes pueden causar esta condición. Publicar el comando scheduler interval, que manda al router para parar el manejar de las interrupciones y para atender al otro negocio en los intervalos regulares, para reducir el efecto. Una configuración típica pudo incluir el comando scheduler interval 500, que indica que las tareas del nivel de proceso son ser ningunos dirigidos menos con frecuencia que cada 500 milisegundos. Este comando tiene raramente cualquier efecto negativo, y debe ser una parte de su configuración de router estándar a menos que usted sepa de una razón específica de dejarla hacia fuera.

Muchas más nuevas Plataformas de Cisco utilizan el comando scheduler allocate en vez del comando scheduler interval. El comando scheduler allocate toma dos parámetros: un periodo en microsegundos para que el sistema se ejecute con interrupciones habilitadas y un periodo en microsegundos para que el sistema se ejecute con interrupciones enmascaradas. Si su sistema no reconoce el comando scheduler interval 500, publicar el comando scheduler allocate 3000 1000. Estos valores se eligieron para representar los puntos medios de los rangos. El rango para el primer valor es 400 a 60000, y el rango para el segundo valor es 100 a 4000. Estos parámetros se pueden sintonizar.

Servicios posiblemente innecesarios

Como regla general, cualquier servicio innecesario debe ser invalidado en cualquier router que sea accesible de una red potencialmente hostil. Los servicios enumerados en esta sección son a veces útiles, pero deben ser lisiados si no se utilizan activamente.

Servicios pequeños del TCP y del UDP

Por el valor por defecto, los dispositivos de Cisco de las versiones IOS de Cisco 11.3 y la oferta anterior estos servicios pequeños:

  • echo

  • chargen

  • Descartar

Estos servicios, especialmente sus versiones de UDP, se utilizan infrecuentemente para los propósitos legítimos, pero se pueden utilizar iniciar la negación de servicio y los otros ataques que son prevenidos de otra manera por el filtrado de paquetes.

Por ejemplo, un atacante pudo enviar un paquete DNS, que falsifica a dirección de origen para ser un servidor DNS que es de otra manera inalcanzable, y el puerto de origen para ser el puerto del servicio de los DN (puerto 53). Si tal paquete se envía al puerto de eco de UDP de Cisco, el resultado es Cisco que envía un paquete DNS al servidor en la pregunta. No se aplica ningunas comprobaciones de la lista de acceso saliente a este paquete, porque localmente es generado por el router sí mismo.

Si bien es posible evitar o reducir el nivel de peligro de la mayoría de los abusos de los pequeños servicios mediante listas de acceso de antisimulación, los servicios deben estar deshabilitados casi siempre en todo router que sea parte de un firewall o que se encuentre en una parte crítica de seguridad de la red. Porque los servicios se utilizan raramente, la mejor política es generalmente invalidarlos en todo el routers de cualquier descripción.

Los servicios pequeños son invalidados por el valor por defecto en software del IOS de Cisco Releases12.0 y posterior. En software anterior, usted puede publicar los comandos no service tcp-small-servers y no service udp-small-servers para invalidarlos.

Finger

Los routeres de Cisco proporcionan a una implementación del servicio Finger, que se utiliza para descubrir que registran los usuarios en un dispositivo de red. Aunque esta información no es generalmente sensible, es a veces útil a un atacante. El servicio Finger puede ser invalidado con el comando no service finger.

NTP (protocolo de hora de red)

El protocolo Network Time Protocol (NTP) es servicio no especialmente peligroso, sino cualquier innecesario puede representar un trayecto de penetración. Si el NTP se utiliza realmente, es importante configurar explícitamente confiaba en la fuente horaria, y utilizar la autenticación adecuada. Esto es porque la corrupción de las bases de tiempo es una buena manera de derribar ciertos protocolos de seguridad. Si el NTP no se utiliza en una interfaz del router determinado, puede ser invalidado con el comando interface del ntp disable.

CDP

El protocolo cisco discovery (CDP) se utiliza para algunas funciones de administración de red, pero es peligroso porque permite que cualquier sistema en un segmento conectado directamente aprenda que el router sea un dispositivo de Cisco, y determine el número de modelo y la versión del software IOS de Cisco se ejecuta que. Esta información se puede utilizar para diseñar los ataques contra el router. La información CDP es accesible solamente a los sistemas conectados directamente. El protocolo CDP se puede invalidar con el comando global configuration del no cdp running. El CDP puede ser lisiado en una interfaz particular con el comando no cdp enable.

Estancia actualizada

Al igual que todo el software, el software de Cisco posee errores de funcionamiento. Algunos de estos errores tienen consecuencias en la seguridad. Además, los nuevos ataques se inventan siempre, y el comportamiento que pudo haber sido considerado correcto cuando un software fue escrito puede tener efectos nocivos cuando está explotado deliberadamente.

Cuando se encuentra gran vulnerabilidad de la nueva seguridad en un producto Cisco, generalmente Cisco emite una nota de asesoramiento acerca de la vulnerabilidad. Referir a la respuesta a incidente de seguridad de producto de Cisco para la información sobre el proceso con el cual se publican estos avisos. Referir a las asesorías en seguridad y avisos del producto de Cisco para la información sobre los avisos.

Casi cualquier conducta inesperada de cualquier software pudo crear un riesgo de seguridad en alguna parte, y solamente los fallos de funcionamiento con especialmente las implicaciones directas para la seguridad del sistema se mencionan en el advisories. Se realza su seguridad si usted guarda su en ausencia actualizada del software incluso de cualquier asesoria de seguridad.

Algunos problemas de seguridad no son causados por los errores de funcionamiento de software, y es importante que los administradores de la red permanezcan enterado de las tendencias en los ataques. Un número de sitios Web mundial, de listas de correo de Internet, y de grupos de noticias de Usenet se refieren a esto.

Lista de comandos

Esta sección se piensa para servir como recordatorio de las Sugerencias sobre la configuración en las otras secciones de este documento. El comando names de la configuración del IOS de Cisco se utiliza en este vector como ayudas mnemónicas. Leer siempre la documentación para el comando any antes de que usted lo utilice.

Utilizar

A

activar secreto

Configure una contraseña para el acceso privilegiado al router.

service password-encryption

Proporcionar a un mínimo de protección para las contraseñas configuradas.

no service tcp-small-servers

no service udp-small-servers

Prevenir el abuso de los servicios pequeños para la negación de servicio o los otros ataques.

no service finger

Evitar la versión de la información del usuario a los atacantes posibles.

no cdp running

no cdp enable

Evitar la versión de la información sobre el router a los dispositivos conectados directamente.

ntp disable

Previene ataques contra el servicio NTP.

no ip directed-broadcast

Evitar que los atacantes utilicen el router como un amplificador “smurf”.

entrada de transporte

Controlar qué protocolos se pueden utilizar por los usuarios remotos para conectar recíprocamente con los VTY del router o para acceder sus puertos TTY.

ip access-class

Controlar cuáles son las direcciones IP que se pueden conectar a las TTY o a las VTY. Reserve una VTY para acceder desde una estación de trabajo administrativa.

exec-descanso

Evite que una sesión inactiva se conecte en privado a VTY indefinidamente.

service tcp-keepalives-in

Detectar y borrar a sesiones interactivas muertas, que evita que aten encima de los VTY.

logging buffered buffer-size

Excepto la información de ingreso al sistema en una memoria intermedia RAM local en el router. Con un más nuevo software, los tamaños de almacén intermedios se pueden seguir con un umbral de urgencia.

ip acess-group list in

Desechar los paquetes del spoofed IP. Descarte redirecciones ICMP entrantes.

ip verify unicast rpf

Desechar los paquetes del spoofed IP en los entornos de enrutamiento simétricos con el CEF solamente.

no ip source-route

Impida que las opciones de enrutamiento de IP de origen sean usadas para falsificar el tráfico.

access-list number action criteria log

access-list number action criteria log-input

Active el registro de paquetes que coincidan con entradas específicas de la lista de acceso. Utilizar la entrada de información del registro si está disponible en su Versión del software.

scheduler-interval

asignación del programador

Evite que las inundaciones rápidas cierren un procesamiento importante.

null0 244 del ip route 0.0.0.0 0.0.0.0

Descarte rápidamente los paquetes con direcciones de destino inválidas.

distribute-list list in

Filtre la información de enrutamiento para prevenir la aceptación de rutas inválidas.

snmp-server community something-inobvious ro list

snmp-server community something-inobvious rw list

Habilitar la versión de SNMP 1, configurar la autentificación, y restringir el accesso a ciertas direcciones IP. Utilice la versión 1 de SNMP sólo si la versión 2 no está disponible y tenga cuidado con los sabuesos. Habilitar el SNMP solamente si se necesita en su red, y no configurar el acceso de lectura/escritura a menos que usted lo necesite.

snmp-server party... secreto de autenticación md5 ...

Configure la autenticación de SNMP versión 2 basada en MD5. Habilitar el SNMP solamente si se necesita en su red.

método ip http authentication

Authenticar las peticiones de la conexión HTTP (si usted ha habilitado el HTTP en su router).

ip http access-class list

Accesso adicional del control HTTP restringiéndolo a ciertas direcciones de host (si usted ha habilitado el HTTP en su router).

banner login

Establecer que aparezca un cartel de advertencia para los usuarios que intentan conectarse con el router.


Discusiones relacionadas de la comunidad de soporte de Cisco

La Comunidad de Soporte de Cisco es un foro donde usted puede preguntar y responder, ofrecer sugerencias y colaborar con colegas.


Document ID: 13608