Seguridad de los dispositivos - CCNA V6.0
Modulo 1.
Capítulo 11 - Cree una red pequeña.
Sección 11.2 - Seguridad de redes.
Tema 11.2.4 - Seguridad de los dispositivos.
11.2.4.1 Descripción general de seguridad de los dispositivos.
Cuando se instala un nuevo sistema operativo en un dispositivo, la configuración de seguridad está establecida en los valores predeterminados. En la mayoría de los casos, ese nivel de seguridad es insuficiente. En los routers Cisco, se puede utilizar la característica Cisco AutoSecure para proteger el sistema, como se muestra en la ilustración. Además, existen algunos pasos simples que se deben seguir y que se aplican a la mayoría de los sistemas operativos:
- Se deben cambiar de inmediato los nombres de usuario y las contraseñas predeterminados.
- Se debe restringir el acceso a los recursos del sistema solamente a las personas que están autorizadas a utilizar dichos recursos.
- Siempre que sea posible, se deben desactivar y desinstalar todos los servicios y las aplicaciones innecesarios.
A menudo, los dispositivos enviados por el fabricante pasaron cierto tiempo en un depósito y no tienen los parches más actualizados instalados. Es importante actualizar todo el software e instalar todos los parches de seguridad antes de la implementación.
11.2.4.2 Contraseñas.
Para proteger los dispositivos de red, es importante utilizar contraseñas seguras. Las pautas estándar que se deben seguir son las siguientes:
- Utilice una longitud de contraseña de, al menos, ocho caracteres y preferentemente de diez caracteres o más. Cuanto más larga sea, mejor será la contraseña.
- Cree contraseñas complejas. Incluya una combinación de letras mayúsculas y minúsculas, números, símbolos y espacios, si están permitidos.
- Evite las contraseñas basadas en la repetición, las palabras comunes de diccionario, las secuencias de letras o números, los nombres de usuario, los nombres de parientes o mascotas, información biográfica (como fechas de nacimiento), números de identificación, nombres de antepasados u otra información fácilmente identificable.
- Escriba una contraseña con errores de ortografía a propósito. Por ejemplo, Smith = Smyth = 5mYth, o Seguridad = 5egur1dad.
- Cambie las contraseñas con frecuencia. Si se pone en riesgo una contraseña sin saberlo, se limitan las oportunidades para que el atacante la utilice.
- No anote las contraseñas ni las deje en lugares obvios, por ejemplo, en el escritorio o el monitor.
En la ilustración, se muestran ejemplos de contraseñas seguras y no seguras.
En los routers Cisco, se ignoran los espacios iniciales para las contraseñas, pero no ocurre lo mismo con los espacios que le siguen al primer carácter. Por lo tanto, un método para crear una contraseña segura es utilizar la barra espaciadora y crear una frase compuesta de muchas palabras. Esto se conoce como frase de contraseña. Una frase de contraseña suele ser más fácil de recordar que una contraseña simple. Además, es más larga y más difícil de descifrar.
11.2.4.3 Prácticas de seguridad básicas.
Seguridad adicional de contraseñas
Las contraseñas seguras resultan útiles en la medida en que sean secretas. Se pueden tomar diversas medidas para asegurar que las contraseñas sigan siendo secretas. Mediante el comando de configuración global service password-encryption, se evita que las personas no autorizadas vean las contraseñas como texto no cifrado en el archivo de configuración, como se muestra en la ilustración. Este comando provoca el cifrado de todas las contraseñas sin cifrar.
Además, para asegurar que todas las contraseñas configuradas tengan una longitud mínima específica, utilice el comando security passwords min-length del modo de configuración global.
Otra forma en la que los piratas informáticos descubren las contraseñas es simplemente mediante ataques de fuerza bruta, es decir, probando varias contraseñas hasta que una funcione. Es posible evitar este tipo de ataques si se bloquean los intentos de inicio de sesión en el dispositivo cuando se produce una determinada cantidad de errores en un lapso específico.
Router(config)# login block-for 120 attempts 3 within 60
Este comando bloquea los intentos de inicio de sesión durante 120 segundos si hay tres intentos de inicio de sesión fallidos en 60 segundos.
Exec Timeout
Otra recomendación es configurar tiempos de espera de ejecución. Al configurar el tiempo de espera de ejecución, le ordena al dispositivo Cisco que desconecte automáticamente a los usuarios en una línea después de que hayan estado inactivos durante el valor de tiempo de espera de ejecución. Los tiempos de espera de ejecución se pueden configurar en los puertos de consola, VTY y auxiliares con el comando exec-timeout en el modo de configuración de línea.
Router(config)# >line vty 0 4
Router(config-line)# exec-timeout 10
Este comando configura el dispositivo para desconectar a los usuarios inactivos después de 10 minutos.
11.2.4.4 Activar SSH.
Telnet no es seguro. Los datos contenidos en un paquete Telnet se transmiten sin cifrar. Por este motivo, se recomienda especialmente habilitar SSH en los dispositivos para obtener un método de acceso remoto seguro. Es posible configurar un dispositivo Cisco para que admita SSH mediante cuatro pasos, como se muestra en la ilustración.
Paso 1. Asegúrese de que el router tenga un nombre de host exclusivo y configure el nombre de dominio IP de la red mediante el comando ip domain-name en el modo de configuración global.
Paso 2. Se deben generar claves secretas unidireccionales para que un router cifre el tráfico SSH. Para generar la clave SSH, utilice el comando crypto key generate rsa general-keys en el modo de configuración global. El significado específico de las diferentes partes de este comando es complejo y excede el ámbito de este curso. Observe que el módulo determina el tamaño de la clave y se puede configurar de 360 a 2048 bits. Cuanto más grande es el módulo, más segura es la clave, pero más se tarda en cifrar y descifrar la información. La longitud mínima de módulo recomendada es de 1024 bits.
Paso 3. Cree una entrada de nombre de usuario en la base de datos local mediante el comando de configuración global username.
Paso 4. Habilite las sesiones SSH entrantes mediante los comandos de línea vty login local y transport input ssh.
Ahora se puede acceder remotamente al router solo con SSH.
11.2.4.5 Packet Tracer: Configuración de contraseñas seguras y SSH.
El administrador de red le solicitó que prepare un router para la implementación. Antes de que pueda conectarse a la red, se deben habilitar las medidas de seguridad.
Packet Tracer: Configuración de contraseñas seguras y SSH (instrucciones) Packet Tracer: Configuración de contraseñas seguras y SSH (PKA)11.2.4.6 Práctica de laboratorio: Acceso a dispositivos de red mediante SSH.
En esta práctica de laboratorio se cumplirán los siguientes objetivos:
- Parte 1: configurar los parámetros básicos de los dispositivos
- Parte 2: Configurar el router para el acceso por SSH
11.2.4.7 Práctica de laboratorio: Examinación de Telnet y SSH en Wireshark.
En esta práctica de laboratorio se cumplirán los siguientes objetivos:
- Parte 1: Examinar una sesión de Telnet con Wireshark
- Parte 2: Examinar una sesión de SSH con Wireshark
11.2.4.8 Práctica de laboratorio: protección de dispositivos de red.
En esta práctica de laboratorio se cumplirán los siguientes objetivos:
- Parte 1: configurar los parámetros básicos de los dispositivos
- Parte 2: Configurar medidas básicas de seguridad en el router
- Parte 3: Configurar medidas básicas de seguridad en el switch
Comentarios
Publicar un comentario