1 / 38

Introducción a la Seguridad en redes y Routers

Prof. Sergio Quesada. Config . Dispositivos de Red. Introducción a la Seguridad en redes y Routers. Introducción Seguridad. No se debe iniciar hablando sobre seguridad en las redes sin antes comenzar con temas como : Hablar sobre las 3A ó AAA

flynn-bridges
Download Presentation

Introducción a la Seguridad en redes y Routers

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Prof. Sergio Quesada Config. Dispositivos de Red Introducción a la Seguridad en redes y Routers

  2. IntroducciónSeguridad • No se debeiniciarhablandosobreseguridad en lasredes sin antes comenzar con temascomo: • Hablarsobrelas 3A ó AAA • Desarrollarprocedimientos o normas de seguridad • Establecerniveles de seguridadparaacceder a los routers (configuración) • Comentarsobre los dispositivos de seguridad

  3. Las 3 “A” • Básicamentelas 3 A son componentesbásicos de seguridad, entre los que se define: • Autenticación • Autorización • Auditoría o Contabilidad

  4. Autenticación • En estaetapa se identificaquiensolicita los servicios de red. Por lo general se solicita un usuario y contraseñaque un servidorautentica, porejemplo Active Directory. • Actualmente se utilizan claves dinámicas o de un solo usocomo un PIN.

  5. Autenticación • El proceso general de autenticación consta de los siguientes pasos: • El usuario solicita acceso a un sistema. • El sistema solicita al usuario que se autentique. • El usuario aporta las credenciales que le identifican y permiten verificar la autenticidad de la identificación. • El sistema valida según sus reglas si las credenciales aportadas son suficientes para dar acceso al usuario o no.

  6. Autorización • En la etapa anterior, la autenticacióncontrolaquienpuedeacceder a los recursos de red, pero la autorización dice lo quepuedenhacercuandoacceden los recursos. • La autorizaciónvaria de usuario a usuariodependiendo de los derechosquerequierael solicitante.

  7. Auditoría • Se requiereprocedimientosquerecopilen los datos de la actividad de la red. Estoresponde a los incidentesquepuedensuceder en una red. • Normalmente se debeincluir los intentos de autenticación y autorización, conocidoscomopistas de auditoría.

  8. El cifrado de los Datos • Es un procesoquemezcla los datosparaprotegerlos de sulecturaporalguienque no sea el receptor esperado. • Se utilizandispositivosquecifran los datoscomo un router, un servidor o sistemadedicadoparacifrar o descrifrar. • Es unaopción de seguridadmuyútil, proporcionaconfidencialidad de los datos.

  9. Niveles de seguridad en un Router • Establecercontraseñas en los diferentesmodos de acceso(modoprivilegiado, consola, terminal virtual o telnet)

  10. Seguridad en el Router • Para establecerautenticación a nivel del router, se debepensarprimero en establecerunacontraseñapara el modo de conexión de consola. • Cadadispositivodebe tener contraseñas configuradas a nivel local para limitar el acceso.

  11. SeguridadModoConsola • Se estableceunacontraseñaparalimitar el acceso de los dispositivosmedianteconexión de consola. Con esto se aseguraquenadie se conecte el puerto de consolasinoesmediante el pedido de unacontraseña. • Los comandos son: Router(config)#line console 0 Router (config-line)#password ´Contraseña´ Router (config-line)#login

  12. Nivel de Seguridad - Consola Al igualque el router, un switch se configura de manera similar.

  13. Nivel de Seguridad - EXEC • Para proporcionar una mayor seguridad, utilice el comando enablepassword o el comando enablesecret. Puede usarse cualquiera de estos comandos para establecer la autenticación antes de acceder al modo EXEC privilegiado (enable). • Se recomienda el segundocomando (la contraseña se encripta).

  14. Nivel de Seguridad - EXEC Nota: El comando enablepassword puede usarse sólo si enablesecret no se ha configurado aún o si no lo soporta el IOS.

  15. Nivel de Seguridad - VTY • Las líneas vty permiten el acceso a un router a través de Telnet. En forma predeterminada, muchos dispositivos Cisco admiten cinco líneas VTY con numeración del 0 al 4. Es necesario configurar una contraseña para todas las líneas vty disponibles

  16. Nivel de Seguridad - VTY • Se recomiendaestablecerpormedio del comandoexec-timeout 5, que al cabo de 5 minutos de abandono por parte del usuario, la comunicación sea interrumpida, con esto se previene que usuarios no autorizados ingresen a través de sesiones abandonadas.

  17. Amenazas a la seguridad • Hoy en díaexistenmuchosmecanismosparasaltaresasbarrerasqueusualmente los administradores de red colocan en susredes. • Actualmente se puedencrackearlascontraseñasalmacenadasnivel 7 de Cisco, por lo tanto se recomiendausarenable secret “password” • Se recomienda el nivel de password 5, basado en MD5.

  18. Amenazas a la Seguridad • El comando para encriptar una contraseña utilizando el nivel de encripción 5 es: enablesecret[levellevel] {password| [encryption-type] encrypted-password} • Al ejecutar el comando show-run vemos que la contraseña ha sido encriptada. enablesecrectlevel 5 5 $1$mER$hx5rVt7rPNoS4wqbXKX7mo

  19. Activación del Servicio de Encripción • Las contraseñasmediante el uso del comando enable password quedan en textoplano, y sin cifrar. • El comando servicepassword-encryption aplica una encriptación débil a todas las contraseñas no encriptadas. • El propósito de este comando es evitar que individuos no autorizados vean las contraseñas en el archivo de configuración.

  20. Mensajes de Aviso • Aunque la solicitud de contraseñas es un modo de impedir el acceso a la red de personas no autorizadas, resulta vital proveer un método para informar que sólo el personal autorizado debe intentar obtener acceso al dispositivo. • El contenido o las palabras exactas de un aviso dependen de las leyes locales y de las políticas de la empresa.

  21. Mensajes de Aviso

  22. Amenazas a la Seguridad

  23. Amenazas a la Seguridad • Páginas como esas y muchas otras indican cómo se descifra una contraseña nivel 7. • Existen passworddecoders que utilizan fuerza bruta que descifran las contraseñas en minutos, días, meses y hasta años.

  24. RecomendacionessobreContraseñas • Longitudmínima (>= 8 caracteres). • Mezcla de diferentescaracteres (Aa123&*/) • No usarpalabras del diccionario. • No usardatospersonales. • Cambiar la contraseña con frecuencia (Aging Password).

  25. Generador de Contraseñas • Útilparacontraseñas de Windows, dispositivosinalámbricos, email, etc.

  26. Diccionario de contraseñas

  27. Ataques de fuerzabruta • Con la utilización de diccionarios de contraseñas, se utilizanprogramascomo Medusa, ytr, Hydra pararealizarataques.

  28. Amenazas a la Seguridad • No es una constante, pero Cisco advierte de vulnerabilidades en su IOS cada cierto tiempo. Entre las vulnerabilidades se puede presentar denegación de servicio u obtener información de la red atacada, entre otras. • Actualmente existen 453 avisos de problemas de seguridad con dispositivos Cisco que requieren una actualización, aplicar un fix o la intervención del usuario.

  29. Amenazas a la Seguridad • Existenvariostipos de ataques, los cualespuedendejarexpuestanuestra red y los datos de nuestraempresa. • Los máscomunes son: • AtaquesDoS contra el cortafuegos • Ataques de negación de servicio. • Inundación SYN, ICMP, UDP

  30. Protección y Seguridad • Exitenmuchosservicioshabilitadospordefecto en los routers Cisco, muchos de ellosinnecesarios, por lo que se recomiendadeshabilitarlos, entre los cuales se encuentran: • Deshabilitar interfaces del router (shutdown) • Servicio CDP, utilizadoparacargarciertosataques. • Servicio Gratuitous ARP, utilizadoparaataques de envenenamiento ARP. • Y muchosmas….

  31. Dispositivos de Seguridad • Existenmuchosdispositivosparaproteger la red de ataquescomo lo son: • Firewalls (Software y Hardware) • IDS o Sistemas de Detección de Intrusos • IPS o Sistemas de Prevencion de Intrusos • Antivirus (spyware, antimalware, troyanos) • Smartcards • PIX, ASA

  32. Mitigación en AAA • Al utilizar el modelo de seguridad con las AAA, es recomendable utilizar mecanismos seguros como RADIUS y TACACS+. • Para RADIUS existe software IAS de Microsoft o NPS de Win2k8. • TACACS o TACACS+, es una solución propietaria (protocolo) de Cisco para la autenticación.

  33. ACS de Cisco

  34. Autenticación en enrutamiento • RIPv2, EIGRP, OSPF, y otros pueden configurarse para encriptar y autenticar su información de enrutamiento. • Esto garantiza que los routers sólo aceptarán información de enrutamiento de otros routers que estén configurados con la misma contraseña o información de autenticación.

  35. Autenticación en OSPF • OSPF puede configurarse para autenticación en el modo de interfaz por medio del comando: • Router(config-if)#ipospfauthentication-keycontraseña • Las interfaces OSPF de un router puedenpresentaruna clave de autenticacióndistinta, quefuncionecomounacontraseña entre los routers OSPF de la mismaárea.

  36. Mecanismos de Defensa • Actualmenteexistenmuchosmecanismos de defensa en el tema de seguridadinformática. • A continuación se muestra la utilización de mecanismos de seguridadanalizadas en 3 años en paísescomo Mexico, Argentina, Perú, Colombia, Venezuela, Paraguay.

  37. Utilización de mecanismos de seguridad en lasempresas

More Related