seguridades perimetral y servicios para implementar en una red corporativa (1)
TRANSCRIPT
-
7/25/2019 Seguridades Perimetral y Servicios Para Implementar en Una Red Corporativa (1)
1/35
Seguridades enRedesAsegurando los dispositivos de Red
-
7/25/2019 Seguridades Perimetral y Servicios Para Implementar en Una Red Corporativa (1)
2/35
Principales Conceptos
Discutir los aspectos de realizar un hardening a un router. Configurar accesos de Administracin de forma segura y resistencia
del router.
Configurar dispositivos de red para supervisar los accesos deadministracin.
Demostrar las tcnicas de monitoreo de red.
Asegurar los routers basados en el IOS, usando funcionesautomatizadas.
-
7/25/2019 Seguridades Perimetral y Servicios Para Implementar en Una Red Corporativa (1)
3/35
El router de borde
Que es el router de borde? El ltimo router entre la red interna y una red insegura,
como Internet. Funciona como la primera y ltima lnea de defensa. Implementa acciones de seguridad basadas en polticas
de seguridad de la organizacin.Cmo puede ser asegurado el router de borde? Utilice diferentes implementaciones de los routers de
borde.Considerar la seguridad fsica, seguridad del sistema
operativo, y el hardening del router. Asegure el acceso de la Administracin. Local vs accesos remoto del router.
-
7/25/2019 Seguridades Perimetral y Servicios Para Implementar en Una Red Corporativa (1)
4/35
Implementaciones Perimetrales
Enfoque un solo routerUn solo router conecta la redinterna LAN a el internet. Todaslas polticas de seguridad sonconfiguradas sobre estedispositivo.
Enfoque defensa enprofundidad.
Todo pasa a travs del firewall.Un conjunto de reglasdeterminara que el routerpermitir o denegara.
Enfoque de DMZLa DMZ esta configurado entredos routers la mayora de filtradode trafico es dejado por elfirewall.
LAN 1192.168.2.0
Router 1 (R1)
Internet
LAN 1192.168.2.0
R1
Internet
Firewall
LAN 1192.168.2.0
R1Internet
R2Firewall
DMZ
-
7/25/2019 Seguridades Perimetral y Servicios Para Implementar en Una Red Corporativa (1)
5/35
reas de Seguridad del
router. Seguridad Fsica. Lugar de ubicacin del router, seguro y en cuarto cerrado. Instale un sistema de alimentacin electriza ininterrumpida.
Seguridad del Sistema Operativo. Utilice la ultima versin estable que cumpla con los
requisitos de la red.Guarde una copia del SO y archivos de configuracin
como un respaldo.
Hardening del Router.Asegurar el acceso de administracin.Deshabilitar los puertos e interfaces no utilizados.Deshabilitar los servicios innecesarios.
-
7/25/2019 Seguridades Perimetral y Servicios Para Implementar en Una Red Corporativa (1)
6/35
Banner Mensajes
Banners son deshabilitados por default ynecesitan ser explcitamente habilitados.
-
7/25/2019 Seguridades Perimetral y Servicios Para Implementar en Una Red Corporativa (1)
7/35
Pasos preliminares para la configuracin
de SSL.Completa lo siguiente, antes de configurar los routerspara el protocolo SSH:
1. Asegrese de que los routers de destino estn ejecutandola versin de IOS actualizada para que soporte SSH.
2. Asegrese que cada router de destino tiene nombrenico.
3. Asegrese que cada router de destino esta usando elcorrecto nombre de dominio de la red.
4. Asegrese de que los routers de destino estnconfigurados para la autenticacin local, o paraautenticacin, autorizacin y contabilidad (AAA) para elservicio de autenticacin de nombre de usuario ocontrasea, o ambos.
-
7/25/2019 Seguridades Perimetral y Servicios Para Implementar en Una Red Corporativa (1)
8/35
Configurando el Router para
SSH
R1# conf t
R1(config)# ip domain-name span.comR1(config)# crypto key generate rsa general-keys
modulus 1024
The name for the keys will be: R1.span.com
% The key modulus size is 1024 bits
% Generating 1024 bit RSA keys, keys will be non-
exportable...[OK]
R1(config)#
*Dec 13 16:19:12.079: %SSH-5-ENABLED: SSH 1.99 has
been enabled
R1(config)# username Bob secret cisco
R1(config)# line vty 0 4
R1(config-line)# login local
R1(config-line)# transport input ssh
R1(config-line)# exit
1. Configurar el nombre del
dominio de la red
2. Genere una formade clave secreta.
3. Verifique o cree unabase local.
4. Habilite VTY inboundpara sesiones SSH
-
7/25/2019 Seguridades Perimetral y Servicios Para Implementar en Una Red Corporativa (1)
9/35
Comandos Opcionales SSH
R1# show ip sshSSH Enabled - version 1.99
Authentication timeout: 120 secs; Authentication
retries: 3
R1#
R1# conf t
Enter configuration commands, one per line. Endwith CNTL/Z.
R1(config)# ip ssh version 2
R1(config)# ip ssh time-out 60
R1(config)# ip ssh authentication-retries 2
R1(config)# ^Z
R1#
R1# show ip ssh
SSH Enabled - version 2.0
Authentication timeout: 60 secs; Authentication
retries: 2
R1#
-
7/25/2019 Seguridades Perimetral y Servicios Para Implementar en Una Red Corporativa (1)
10/35
Conectndome al RouterHay dos diferentes maneras deconectarse a un router que tienehabilitada las conexiones SSH: Conectndose usando un Cisco
router
Conectndose usando un host conun cliente SSH.
R1# sho ssh
Connection Version Mode Encryption Hmac State Username
0 2.0 IN aes128-cbc hmac-sha1 Session started Bob
0 2.0 OUT aes128-cbc hmac-sha1 Session started Bob
%No SSHv1 server connections running.
R1#
R1# sho ssh
%No SSHv2 server connections running.
%No SSHv1 server connections running.
R1#
R2# ssh -l Bob 192.168.2.101
Password:
R1>
1
2
3
No hay conexiones activas sobre el router R1.
R2 establece una conexin SSH con R1.
Hay un conexin entrante y una de salida con el usuario Bob, usando SSH v 2.
-
7/25/2019 Seguridades Perimetral y Servicios Para Implementar en Una Red Corporativa (1)
11/35
Config AAA, Show,
Firewall, IDS/IPS,
NetFlow
Configuracin de niveles de privilegio
De manera predeterminada: Usuarios en modo EXEC (privilegio 1) Privilegiados en modo EXEC (privilegio 15)
Diecisis niveles de privilegios disponibles
Mtodos de proporcionar un acceso de nivelprivilegiado de acceso a la infraestructura:Niveles de Privilegio.Acceso basado en roles CLI.
-
7/25/2019 Seguridades Perimetral y Servicios Para Implementar en Una Red Corporativa (1)
12/35
Niveles de privilegio para los Usuarios
Una cuenta USER creada normalmente, Nivel de acceso 1. Una cuenta SUPPORT con nivel 1 y acceso al comandoping. Una cuenta JR-ADMIN con similares privilegios que la cuenta
SUPPORT, mas acceso para el comando reload. Una cuenta ADMIN la cual tiene todos los regulares
comandos de una cuenta con privilegios EXEC.
R1# conf t
R1(config)# username USER privilege 1 secret cisco
R1(config)#
R1(config)#privilege exec level 5 ping
R1(config)# enable secret level 5 cisco5
R1(config)# username SUPPORT privilege 5 secret cisco5
R1(config)#
R1(config)#privilege exec level 10 reload
R1(config)# enable secret level 10 cisco10
R1(config)# username JR-ADMIN privilege 10 secret cisco10
R1(config)#
R1(config)# username ADMIN privilege 15 secret cisco123
R1(config)#
-
7/25/2019 Seguridades Perimetral y Servicios Para Implementar en Una Red Corporativa (1)
13/35
Niveles de privilegio
R1> enable 5
Password:
R1#
R1# show privilege
Current privilege level is 5R1#
R1# reload
Translating "reload"
Translating "reload"
% Unknown command or computer name, or unable to find computer
address
R1#
El comando enable, se utiliza para cambiarsedel nivel 1 al nivel 5
El comando show privilege muestrael actual nivel de privilegio.
El usuario no puede usar el comando reload
-
7/25/2019 Seguridades Perimetral y Servicios Para Implementar en Una Red Corporativa (1)
14/35
Limitaciones de niveles de Privilegio
No hay control de acceso a interfaces, puertos,interfaces lgicas y ranuras especficas en un router.
Comandos disponibles en los niveles de privilegios msbajos siempre son ejecutables en los niveles superiores.
Comandos especficamente configurados en un nivelde privilegio ms alto no estn disponibles para losusuarios con menos privilegios.
Asignar un comando con mltiples palabras clave a unnivel especfico de privilegios tambin asigna todos loscomandos asociados con las primeras palabras clavedel mismo nivel de privilegios. Un ejemplo es elcomando show ip route
-
7/25/2019 Seguridades Perimetral y Servicios Para Implementar en Una Red Corporativa (1)
15/35
Comandos CLI
router(config)#
secure boot-image
Habilita la resistencia de la imagen del IOS de Cisco. Previene
que la imagen IOS sea borrada por un usuario malicioso.
secure boot-config
router(config)#
Para tomar una instantnea de la configuracin actual del router y
archivarla de manera segura en el dispositivo de almacenamientopermanente.
-
7/25/2019 Seguridades Perimetral y Servicios Para Implementar en Una Red Corporativa (1)
16/35
Restaurando un conjunto primario dearranque
Para restaurar un conjunto de arranque primario de un archivo seguro:1. Reiniciar el router usando el comandoreload.
2. Desde el modo ROMmon, ingrese el comando dir para listar loscontenidos del dispositivo que contiene el archivo asegurado deconjunto de arranque. Desde la CLI, el nombre del dispositivo puede
hallarse en la salida del comandoshow secure bootset.3. Arranque el router con la imagen del conjunto de arranque
asegurada usando el comando boot con el nombre de archivoencontrado en el Paso 2. Cuando el router comprometido arranca,cambie al modo EXEC privilegiado y restaure la configuracin.
4. Ingrese al modo de configuracin global usando el comando conf t.
5. Restaure la configuracin segura al nombre de archivo
proporcionado usando el comando secure boot-config restorenombre-archivo.
-
7/25/2019 Seguridades Perimetral y Servicios Para Implementar en Una Red Corporativa (1)
17/35
Procedimiento de Recuperacin deContrasea.1. El administrador establece parmetros de conexin de
consola.2. Registra el valor del registro de configuracin.3. Apaga el router y lo prende.4. Presiona Break en la terminal dentro de los 60 segundos
siguientes al encendido del router para ponerlo en modoROMmon.
5. Cambie el valor del registro de configuracin.6. Salte la configuracin inicial.7. Escriba enable para llegar a la prompt de configuracin.
-
7/25/2019 Seguridades Perimetral y Servicios Para Implementar en Una Red Corporativa (1)
18/35
9. Copie la configuracin inicial desde la NVRAM hasta laconfiguracin actual en la RAM. Escribiendo copy startup-config running-config.
10. Vea las contraseas escribiendo show running-config.11. Habilite el modo configuracin global, establezca la nueva
contrasea con el comando enable secret.
12. Digite el comando no shutdown para todas las interfacesoperativas del router.
13. Escriba el comando config-register 0x2102, el valor delregistro es el anotado en el paso 2.
14. Salve la configuracin usando el comando copy running-config startup-config .
Procedimiento deRecuperacin de
Contrasea.
-
7/25/2019 Seguridades Perimetral y Servicios Para Implementar en Una Red Corporativa (1)
19/35
Previniendo el Password
RecoveryR1(config)# no service password-recovery
WARNING:Executing this command will disable password recovery mechanism.
Do not execute this command without another plan for password recovery.
Are you sure you want to continue? [yes/no]: yes
R1(config)
R1# sho run
Building configuration...
Current configuration : 836 bytes
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
no service password-recovery
System Bootstrap, Version 12.4(13r)T, RELEASE SOFTWARE (fc1)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 2006 by cisco Systems, Inc.
PLD version 0x10
GIO ASIC version 0x127
c1841 platform with 131072 Kbytes of main memory
Main memory is configured to 64 bit mode with parity disabled
PASSWORD RECOVERY FUNCTIONALITY IS DISABLED
program load complete, entry point: 0x8000f000, size: 0xcb80
-
7/25/2019 Seguridades Perimetral y Servicios Para Implementar en Una Red Corporativa (1)
20/35
Implementacin de la Administracin
segura Configuracin de la Gestin del Cambio
Conocer el estado de los dispositivos de red crticos
Saber cundo se produjo la ltima de las modificaciones
Garantizar el derecho que las personas tienen deacceder cuando las nuevas metodologas de gestin seadopten.
Saber cmo manejar las herramientas y dispositivos queya no se utilizan.
Registro automatizado y reporte de informacin de
los dispositivos identificados para gestin de loshosts.Aplicaciones disponibles y protocolos como SNMP
-
7/25/2019 Seguridades Perimetral y Servicios Para Implementar en Una Red Corporativa (1)
21/35
Manejo seguro y Reportes Cuando el registro y gestin de la informacin, el flujo de informacin
entre los anfitriones y la gestin de los dispositivos gestionados puedetomar dos caminos:
Fuera de banda (OOB): La informacin fluye en una red de gestin dedicada,en el que no hay trfico de la produccin.
Dentro de la banda: La informacin fluye a travs de una red de produccinde la empresa, Internet, o de ambos canales usando el canal de datos
regular.
-
7/25/2019 Seguridades Perimetral y Servicios Para Implementar en Una Red Corporativa (1)
22/35
Factores a Considerar OOB de gestin adecuado para grandes redes empresariales.
Dentro de la banda: es recomendada en pequeas redes quepresten un mayor despliegue de la seguridad.
Ser conscientes de las vulnerabilidades de seguridad de la utilizacinde herramientas de administracin remota con la administracinDentro de la banda.
-
7/25/2019 Seguridades Perimetral y Servicios Para Implementar en Una Red Corporativa (1)
23/35
Syslog
-
7/25/2019 Seguridades Perimetral y Servicios Para Implementar en Una Red Corporativa (1)
24/35
Syslog
Syslog es un sistema de logs que se encargaprincipalmente de la administracin de logs, los cualesson generados por eventos del sistema, sus programas opor el Kernel.
El envi de mensajes Syslog fue usado inicialmente en
sistemas basados en UNIX para registrar eventos deaplicaciones, sistema operativo o red.
Es comn ahora encontrar equipos de redes quepueden generar y enviar mensajes Syslog a equiposconfigurados con un demonio que los reciba, as comoya existen implementaciones para sistemas Windows.
El termino syslog es a menudo utilizado para describir tanto el protocolo para el envo de mensajes, como elprograma o librera que enva mensajes syslog.
-
7/25/2019 Seguridades Perimetral y Servicios Para Implementar en Una Red Corporativa (1)
25/35
Caractersticas de syslogEl programa syslog provee una plataforma estandarizada, bajo la cual programas (tanto
sistemas operativos como aplicaciones) pueden publicar mensajes para que seantratados por ninguna, cualquiera, o todas las acciones siguientes, basado en laconfiguracin de syslog: [4]
Guardar en un archivo (p.e./var/adm/messages) o dispositivo (p.e./dev/console)
Enviar directamente a un usuario o usuarios si han iniciado sesin (p.e.root)
Reenviar a otro equipo (p.e.@loghost)
Configurar un servidor syslog en una red es algo relativamente sencillo, sin embargo, losprincipales problemas que tiene syslog son los siguientes:
Syslog utiliza el protocolo UDP, ya que este protocolo es no orientado a conexin, no seasegura que los mensajes lleguen al destinatario.
Los mensajes no estn cifrados y al viajar por la red como texto plano son susceptibles aser vistos por personas no autorizadas, por ejemplo un sniffer.
Cualquier persona puede dirigir mensajes de una naturaleza maliciosa, sin ningunaautenticacin de quien es el remitente. Esto puede concluir en ataques de denegacinde servicio y puede permitir que un atacante distraiga al administrador con mensajesfalsos para no llamar la atencin con su ataque.
Por este motivo se han desarrollado alternativas basadas en syslog para aprovechar lafuncionalidad que este provee, de una manera mas confale.
-
7/25/2019 Seguridades Perimetral y Servicios Para Implementar en Una Red Corporativa (1)
26/35
Utilizacin de Syslog para seguridad de redes
-
7/25/2019 Seguridades Perimetral y Servicios Para Implementar en Una Red Corporativa (1)
27/35
Consola: El registro de consola est activada por defecto. Se pueden veral modificar o comprobar el enrutador de software utilizando laemulacin de terminal mientras est conectado al puerto de consola delrouter.
Vty lines: conexiones (como las conexiones Telnet) Tambin puede enviarregistro
informacin a un terminal remoto (por ejemplo, un cliente Telnet).
Buffer: Cuando los mensajes se envan al registro de una consola o una
lnea vty, los mensajes de registro se pueden guardar en la memoria delrouter. Est rea de Buffer es limitada y se pierde al reiniciar el equipo.
Utilizacin de Syslog para seguridad de redes
SEGURIDAD DE
-
7/25/2019 Seguridades Perimetral y Servicios Para Implementar en Una Red Corporativa (1)
28/35
28
SEGURIDAD DEREDES
Simple Network Management Protocol
-
7/25/2019 Seguridades Perimetral y Servicios Para Implementar en Una Red Corporativa (1)
29/35
Es un protocolo del nivel de aplicacin que proporciona un
formato de mensajes para el intercambio de informacin entregestores y agentes de SNMP.Tambin ofrece un entorno de trabajo estandarizado y un lenguajecomn empleado para la monitorizacin y gestin de losdispositivos de una red.
Se puede decir que permite administrar (consulta u otrasoperaciones) de diferentes dispositivos (routers, switches, hubs,hosts, modems, impresoras, etc.).La funcin del SNMP es proveer aladministrador de red un medio paraintercambiar mensajes relativos a
procesos de administracin queoperan en los elementosadministrados.
29
-
7/25/2019 Seguridades Perimetral y Servicios Para Implementar en Una Red Corporativa (1)
30/35
El entorno SNMP tiene tres partes:
Elgestor SNMPes el sistema empleado para controlar y monitorizarla actividad de los componentes de la red. Es un equipamientolgico alojado en la estacin de gestin de red. Tiene lacapacidad de preguntar a los agentes utilizando diferentescomandos SNMPEl sistema de gestin de Red (SGR) mas comn es Network
Management System (NMS).El agente SNMP es elcomponente de software dentrodel dispositivo gestionado quemantiene los datos del mismo einforma a los gestores acerca de
ellos, cuando haga falta.Es equipamiento lgico alojadoen un dispositivo gestionable dela red. Almacena datos degestin y responde a laspeticiones sobre dichos datos.
30
-
7/25/2019 Seguridades Perimetral y Servicios Para Implementar en Una Red Corporativa (1)
31/35
La MIB (Management Information Base) es una coleccin de
objetos de informacin de gestin. Tanto la MIB como el agenteSNMP residen en cada uno de los dispositivos gestionados. Dentrode la MIB hay colecciones de objetos relacionados, definidoscomo mdulos de MIB.
31
-
7/25/2019 Seguridades Perimetral y Servicios Para Implementar en Una Red Corporativa (1)
32/35
SNMP: Funcionamiento
La forma normal de uso del SNMP es el sondeo:
1.- Pregunta: la estacin administradora enva una solicitud a unagente (proceso que atiende peticin SNMP) pidindoleinformacin o mandndole actualizar su estado de cierta manera.
2.- Respuesta: la informacin recibida del agente es la respuesta o laconfirmacin a la accin solicitada.
32
Incremento con los nodos administrados y puedellegar a perjudicar el rendimiento de la redPROBLEMA:
-
7/25/2019 Seguridades Perimetral y Servicios Para Implementar en Una Red Corporativa (1)
33/35
33
Ejemplos funcionamiento protocolo
SNMP
RED
INTERNA
?
??
-
7/25/2019 Seguridades Perimetral y Servicios Para Implementar en Una Red Corporativa (1)
34/35
SNMP: Versiones
Versin 1: La seguridad se basa en comunidades (que usan passwordscomunes sobre texto plano) que permiten usar dispositivos si se conoceel password. Se puede explotar por fuerza bruta..
Versin 2: Reduce la carga de trfico adicional para la monitorizacin (conuso de GetBulk e Informs) y soluciona los problemas de monitorizacinremota o distribuida (con las sondas RMON). SNMPv2 puede leer SNMPv1.
Versin 3: Para evitar la falta de seguridad en las transmisiones (concifrado y autenticacin), proporciona una capa o parche complemento aSNMPv1 y v2, que aade a los mensajes SNMP (v1 y v2) una cabeceraadicional.
34
Si no se dispone de seguridad suficiente, concarcter general es aconsejable deshabilitar laejecucin de comandos SET.
-
7/25/2019 Seguridades Perimetral y Servicios Para Implementar en Una Red Corporativa (1)
35/35
Permite la administracin de red de los dispositivos.
Permite verificar el trafico de toda una red y controlde su ancho de banda
Permite configurarlo de manera remota
35
Se puede congestionar por las interrupcionesporque genera pesado trafico de red
No puede ver capas inferiores tales como lacapa de red (arquitectura).
No provee notificaciones proactivas y soloprovee la imagen de la maquina.