Seguridad de los dispositivos - CCNA V6.0

Por

Modulo 1.

Capítulo 11 - Cree una red pequeña.

Sección 11.2 - Seguridad de redes.

Tema 11.2.4 - Seguridad de los dispositivos.

11.2.4.1 Descripción general de seguridad de los dispositivos.

Cuando se instala un nuevo sistema operativo en un dispositivo, la configuración de seguridad está establecida en los valores predeterminados. En la mayoría de los casos, ese nivel de seguridad es insuficiente. En los routers Cisco, se puede utilizar la característica Cisco AutoSecure para proteger el sistema, como se muestra en la ilustración. Además, existen algunos pasos simples que se deben seguir y que se aplican a la mayoría de los sistemas operativos:

  • Se deben cambiar de inmediato los nombres de usuario y las contraseñas predeterminados.
  • Se debe restringir el acceso a los recursos del sistema solamente a las personas que están autorizadas a utilizar dichos recursos.
  • Siempre que sea posible, se deben desactivar y desinstalar todos los servicios y las aplicaciones innecesarios.

A menudo, los dispositivos enviados por el fabricante pasaron cierto tiempo en un depósito y no tienen los parches más actualizados instalados. Es importante actualizar todo el software e instalar todos los parches de seguridad antes de la implementación.

Descripción general de seguridad de los dispositivos

11.2.4.2 Contraseñas.

Para proteger los dispositivos de red, es importante utilizar contraseñas seguras. Las pautas estándar que se deben seguir son las siguientes:

  • Utilice una longitud de contraseña de, al menos, ocho caracteres y preferentemente de diez caracteres o más. Cuanto más larga sea, mejor será la contraseña.
  • Cree contraseñas complejas. Incluya una combinación de letras mayúsculas y minúsculas, números, símbolos y espacios, si están permitidos.
  • Evite las contraseñas basadas en la repetición, las palabras comunes de diccionario, las secuencias de letras o números, los nombres de usuario, los nombres de parientes o mascotas, información biográfica (como fechas de nacimiento), números de identificación, nombres de antepasados u otra información fácilmente identificable.
  • Escriba una contraseña con errores de ortografía a propósito. Por ejemplo, Smith = Smyth = 5mYth, o Seguridad = 5egur1dad.
  • Cambie las contraseñas con frecuencia. Si se pone en riesgo una contraseña sin saberlo, se limitan las oportunidades para que el atacante la utilice.
  • No anote las contraseñas ni las deje en lugares obvios, por ejemplo, en el escritorio o el monitor.

En la ilustración, se muestran ejemplos de contraseñas seguras y no seguras.

En los routers Cisco, se ignoran los espacios iniciales para las contraseñas, pero no ocurre lo mismo con los espacios que le siguen al primer carácter. Por lo tanto, un método para crear una contraseña segura es utilizar la barra espaciadora y crear una frase compuesta de muchas palabras. Esto se conoce como frase de contraseña. Una frase de contraseña suele ser más fácil de recordar que una contraseña simple. Además, es más larga y más difícil de descifrar.

Contraseñas

11.2.4.3 Prácticas de seguridad básicas.

Seguridad adicional de contraseñas

Las contraseñas seguras resultan útiles en la medida en que sean secretas. Se pueden tomar diversas medidas para asegurar que las contraseñas sigan siendo secretas. Mediante el comando de configuración global service password-encryption, se evita que las personas no autorizadas vean las contraseñas como texto no cifrado en el archivo de configuración, como se muestra en la ilustración. Este comando provoca el cifrado de todas las contraseñas sin cifrar.

Además, para asegurar que todas las contraseñas configuradas tengan una longitud mínima específica, utilice el comando security passwords min-length del modo de configuración global.

Otra forma en la que los piratas informáticos descubren las contraseñas es simplemente mediante ataques de fuerza bruta, es decir, probando varias contraseñas hasta que una funcione. Es posible evitar este tipo de ataques si se bloquean los intentos de inicio de sesión en el dispositivo cuando se produce una determinada cantidad de errores en un lapso específico.

Router(config)# login block-for 120 attempts 3 within 60

Este comando bloquea los intentos de inicio de sesión durante 120 segundos si hay tres intentos de inicio de sesión fallidos en 60 segundos.

Exec Timeout

Otra recomendación es configurar tiempos de espera de ejecución. Al configurar el tiempo de espera de ejecución, le ordena al dispositivo Cisco que desconecte automáticamente a los usuarios en una línea después de que hayan estado inactivos durante el valor de tiempo de espera de ejecución. Los tiempos de espera de ejecución se pueden configurar en los puertos de consola, VTY y auxiliares con el comando exec-timeout en el modo de configuración de línea.

Router(config)# >line vty 0 4

Router(config-line)# exec-timeout 10

Este comando configura el dispositivo para desconectar a los usuarios inactivos después de 10 minutos.

Prácticas de seguridad básicas

11.2.4.4 Activar SSH.

Telnet no es seguro. Los datos contenidos en un paquete Telnet se transmiten sin cifrar. Por este motivo, se recomienda especialmente habilitar SSH en los dispositivos para obtener un método de acceso remoto seguro. Es posible configurar un dispositivo Cisco para que admita SSH mediante cuatro pasos, como se muestra en la ilustración.

Paso 1. Asegúrese de que el router tenga un nombre de host exclusivo y configure el nombre de dominio IP de la red mediante el comando ip domain-name en el modo de configuración global.

Paso 2. Se deben generar claves secretas unidireccionales para que un router cifre el tráfico SSH. Para generar la clave SSH, utilice el comando crypto key generate rsa general-keys en el modo de configuración global. El significado específico de las diferentes partes de este comando es complejo y excede el ámbito de este curso. Observe que el módulo determina el tamaño de la clave y se puede configurar de 360 a 2048 bits. Cuanto más grande es el módulo, más segura es la clave, pero más se tarda en cifrar y descifrar la información. La longitud mínima de módulo recomendada es de 1024 bits.

Paso 3. Cree una entrada de nombre de usuario en la base de datos local mediante el comando de configuración global username.

Paso 4. Habilite las sesiones SSH entrantes mediante los comandos de línea vty login local y transport input ssh.

Ahora se puede acceder remotamente al router solo con SSH.

11.2.4.5 Packet Tracer: Configuración de contraseñas seguras y SSH.

El administrador de red le solicitó que prepare un router para la implementación. Antes de que pueda conectarse a la red, se deben habilitar las medidas de seguridad.

Packet Tracer: Configuración de contraseñas seguras y SSH (instrucciones) Packet Tracer: Configuración de contraseñas seguras y SSH (PKA)

11.2.4.6 Práctica de laboratorio: Acceso a dispositivos de red mediante SSH.

En esta práctica de laboratorio se cumplirán los siguientes objetivos:
  • Parte 1: configurar los parámetros básicos de los dispositivos
  • Parte 2: Configurar el router para el acceso por SSH
Práctica de laboratorio: Acceso a dispositivos de red mediante SSH

11.2.4.7 Práctica de laboratorio: Examinación de Telnet y SSH en Wireshark.

En esta práctica de laboratorio se cumplirán los siguientes objetivos:
  • Parte 1: Examinar una sesión de Telnet con Wireshark
  • Parte 2: Examinar una sesión de SSH con Wireshark
Práctica de laboratorio: Examinación de Telnet y SSH en Wireshark

11.2.4.8 Práctica de laboratorio: protección de dispositivos de red.

En esta práctica de laboratorio se cumplirán los siguientes objetivos:
  • Parte 1: configurar los parámetros básicos de los dispositivos
  • Parte 2: Configurar medidas básicas de seguridad en el router
  • Parte 3: Configurar medidas básicas de seguridad en el switch
Práctica de laboratorio: protección de dispositivos de red

Comentarios

Publicar un comentario

Entradas más populares de este blog

Guardar configuración - CCNA V6.0

Por
Imagen
Modulo 1 Capítulo 2 - Configuración de un sistema operativo de red. Sección 2.2 - Configuración básica de dispositivos. Tema 2.2.3 - Guardar configuración. 2.2.3.1 Guardar el archivo de configuración en ejecución. Existen dos archivos de sistema que almacenan la configuración de dispositivos. startup-config: el archivo almacenado en la memoria no volátil de acceso aleatorio (NVRAM) que contiene todos los comandos que utilizará el dispositivo durante el inicio o reinicio. La memoria NVRAM no pierde su contenido cuando el dispositivo se desconecta. running-config: el archivo almacenado en la memoria de acceso aleatorio (RAM) que refleja la configuración actual. La modificación de una configuración en ejecución afecta el funcionamiento de un dispositivo Cisco de inmediato. La memoria RAM es volátil. Pierde todo el contenido cuando el dispositivo se apaga o se reinicia Como se muestra en la figura, se puede utilizar el comando show running
Seguir leyendo

Configuración del gateway predeterminado - CCNA V6.0

Por
Imagen
Modulo 1. Capítulo 6 - Capa de red. Sección 6.4 - Configuración de un router Cisco. Tema 6.4.3 - Configuración del gateway predeterminado. 6.3.3.1 Gateway predeterminado para un host. Para que un terminal se comunique a través de la red, se debe configurar con la información de dirección IP correcta, incluida la dirección de gateway predeterminado. El gateway predeterminado se usa solamente cuando el host desea enviar un paquete a un dispositivo de otra red. En general, la dirección de gateway predeterminado es la dirección de la interfaz de router conectada a la red local del host. La dirección IP del dispositivo host y la dirección de interfaz de router deben estar en la misma red. La topología de red en la Figura 1 y 2 consta de un router que interconecta las dos LAN separadas. G0/0 se conecta a la red 192.168.10.0, mientras que G0/1 se conecta a la red 192.168.11.0. Cada dispositivo host está configurado con la dirección de gateway predeterminado apro
Seguir leyendo

Direcciones IPv4 de unidifusión, difusión y multidifusión - CCNA V6.0

Por
Imagen
Modulo 1. Capítulo 7 - Asignación de direcciones IP. Sección 7.1 - Direcciones de red IPv4. Tema 7.1.3 - Direcciones IPv4 de unidifusión, difusión y multidifusión. 7.1.3.1 Asignación de una dirección IPv4 estática a un host. Se pueden asignar direcciones IP a los dispositivos de manera estática o dinámica. En las redes, algunos dispositivos necesitan una dirección IP fija. Por ejemplo, las impresoras, los servidores y los dispositivos de red necesitan una dirección IP que no cambie. Por este motivo, generalmente, se asigna a estos dispositivos una dirección IP estática. Un host también se puede configurar con una dirección IPv4 estática como la que se muestra en la ilustración. En redes pequeñas, es aceptable asignar direcciones IP estáticas a los hosts. Sin embargo, en una red grande, introducir una dirección estática en cada host llevaría mucho tiempo. Es importante mantener una lista precisa de las direcciones IP estáticas asignadas a cada disposit
Seguir leyendo