You are on page 1of 31

Asegurando equipos de

red

La seguridad de red es un Sistema


Coleccin de dispositivos conectados en red, tecnologas y mejores

prcticas que trabajan de forma complementaria para proveer


seguridad a activos de informacin.
Varios componentes deben trabajar juntos para mitigar una vulnerabilidad.

Aunque cada elemento no sea 100% efectivo por s solo.


El diseo de seguridad debe lidiar con categoras de ataques ms que con
ataques especficos.

Seguridad como infraestructura de servicio


La seguridad es una infraestructura de servicio que aumenta la integridad de la red

mediante la proteccin de los recursos y usuarios de red de las amenazas internas y


externas.
Sin una comprensin completa de las amenazas que participan, las implementaciones de
seguridad de red tienden a ser configuradas de forma incorrecta, siendo centradas en los
dispositivos de seguridad, o careciendo de opciones de respuesta apropiadas para las
amenazas.

Seguridad como Infraestructura de servicio


Core Conmutacin rpida de paquetes,

poca seguridad
Distribucin Filtrado de paquetes
innecesarios
Acceso Control de acceso a nivel de
puertos
Granja de Servidores Provee los
servicios de aplicacin; incluye sistemas
de gestin de red, es el principal blanco
de ataques

Consideraciones Generales de
diseo
Seguridad fsica
Control de acceso fsico a las facilidades
Control de acceso fsico a los Centros de Datos
Mecanismos de seguridad separados para ubicaciones

inseguras
Mecanismos de prevencin de recuperacin de
contraseas en ubicaciones inseguras
Cuidado con los sistemas de cableado
Cuidado de radiaciones electromagnticas
Cuidado de la seguridad de los equipos fsicos

Estrategia de reforzamiento de equipos


Es el cambio de la postura por defecto de un sistema para volverlo ms

seguro
El reforzamiento de equipos es una ciencia inexacta.
Va desde la deshabilitacin de servicios no necesarios hasta el apagado

de puertos en un equipo de red


Debe hacerse de forma regular segn los niveles de seguridad y requerimientos

de funcionalidad del equipo

Las condiciones a emplear


Polticas de seguridad
Ubicacin del equipo
Perfil de amenazas

Requerimientos funcionales
Requerimientos de administracin

Estrategia de reforzamiento de equipos


Polticas de seguridad
Establece la combinacin de requerimientos de reforzamiento que se

tienen
Ubicacin del equipo
Determina los requerimientos de reforzamiento de un equipo en

particular, la ubicacin especfica de un equipo puede determinar la


configuracin que tendr
Perfil de amenazas
Define cmo se puede atacar un equipo, define algunas estrategia en

funcin a la ubicacin del equipo

Estrategia de reforzamiento de equipos


Requerimientos funcionales
El mismo tipo de equipo, con el mismo perfil de amenazas, en la

misma parte de la red podr tener requerimientos de reforzamiento


diferentes, en funcin a sus requerimientos funcionales
Requerimientos de administracin
Sistemas diferentes con funciones similares pueden tener

requerimientos de administracin diferentes

Asegurar los dispositivos terminales


Una red conecta muchos dispositivos terminales de red que

actan como clientes de red.


stos dispositivos incluyen:
Laptops
Desktops
Telfonos IP

Asistentes personales digitales (PDAs)


Servidores
Impresoras

Cmo?
Sistemas y aplicaciones actualizadas, antivurs, anti-spams, perfiles de

usuarios, etc..

Asegurar dispositivos intermedios


Una red tambin requiere de muchos dispositivos intermediarios

para interconectar los dispositivos finales.


Dispositivos de red intermedios:
Routers

Switches
Firewalls
NIDS
Equipos inalmbricos

Equipos de telefona IP
Equipos para almacenamiento en red (Storage area networking -

SAN)
Muchas de las caractersticas de cada equipos son similares, por

lo que tambin los aspectos de reforzamiento son similares

Seguridad de un dispositivo
Seguridad del Sistema Operativo
Configurar los equipos con la mayor cantidad de memoria
posible.
Esto ayuda a protegerlo de algunos ataques DoS.

Utilizar la ltima versin estable del Sistema Operativo

que cumpla con los requerimientos de la red.


Mantener una copia de seguridad de las imgenes de los
sistemas operativos de los equipos y su configuracin.

Seguridad de un dispositivo
Reforzar el equipo
Reforzar el control administrativo para asegurar que slo personal
autorizado tenga acceso a los equipos y que sus niveles de acceso
sean controlados.
Deshabilitar los puertos e interfaces no utilizados para reducir las
formas en que se pueda acceder al equipo.
Deshabilitar los servicios no necesarios que puedan ser utilizados por
los atacantes para obtener informacin o para explotar el sistema.

Acceso Administrativo Seguro


Restringir la accesibilidad al equipo
Limitar los puertos accesibles, restringir las

comunicaciones permitidas, y restringir los mtodos de


acceso permitidos.
Registrar y contabilizar todos los accesos
Para propsitos de auditora, se debe registrar a todo

aquel que acceda a un equipo, incluyendo lo que hizo y


cundo.
Autenticar los accesos
Asegurar que los accesos sean permitidos slo a

usuarios, grupos y servicios autenticados.


Limitar el nmero de intentos fallidos de inicio de sesin
(login) y el tiempo entre inicios de sesin.

Acceso Administrativo Seguro


Acciones autorizadas
Restringir las acciones y vistas permitidas por cualquier

usuario, grupo o servicio particular.


Presentar notificaciones legales
Mostrar algn aviso legal, desarrollado en conjunto con la

parte legal de la empresa para las sesiones interactivas.


Asegurar la confidencialidad de los datos
Proteger contra copias y vistas los datos sensibles

almacenados localmente.
Considerar la vulnerabilidad de los datos en trnsito sobre
canales de comunicacin a sniffing, session hijacking, y
ataques man-in-the-middle (MITM).

Proteccin de Contraseas
El primer paso para prevenir

accesos no autorizados al
enrutador es el uso de
contraseas fuertes.
Para obtener las contraseas,

los atacantes:
Observan sobre el hombro.
Adivinan las contraseas

basndose en la informacin
personal del usuario.
Capturan paquetes TFTP que
contengan archivos de
configuracin en texto plano.
Utilizan herramientas tales
como L0phtCrack o Cain &
Abel.

Welcome to SPAN
Engineering
User Access Verification
Password: cisco
Password: cisco1
Password: cisco12
Password: cisco123
Password: cisco1234

Proteccin de Contraseas
Utilice contraseas con una longitud de 10 o ms caracteres.
Use contraseas complejas combinando letras minsculas y

maysculas, nmeros, smbolos y espacios.


Evite contraseas basadas en repeticiones, palabras de diccionario,

secuencias de letras o nmeros, nombres de usuario, nombres de


parientes o mascotas, informacin biogrfica como cumpleaos,
nmeros de identificacin, nombres de ancestros, o cualquier otra pieza
de informacin fcilmente identificable.
Deliberadamente escriba contraseas con errores ortogrficos.
Por ejemplo, Smith = Smyth = 5mYth o Seguridad = 5egurydat.

Cambie las contraseas a menudo para reducir le ventana de

oportunidad de uso de la misma por un atacante.


No escriba las contraseas en lugares obvios como el escritorio o el

monitor.

Contraseas en un dispositivo
Todos los dispositivos necesitan tener configuradas contraseas

locales para acceso privilegiado y cualquier otro acceso.

Deshabilitar las conexiones no utilizadas


Por defecto, una interfaz administrativa debiera estar activa

por un tiempo corto despus de la ltima actividad en la


sesin.
Despus de ello, la sesin debe finalizar y terminarse.

De igual forma, se deben desactivar todas las sesiones

establecidas que no han sido atendidas en un tiempo


prudente (10 minutos)
Esto provee un nivel de seguridad adicional si el administrador debe

alejarse de su sesin de consola.


Ejemplo, para terminar una sesin de consola no atendida luego de 3
minutos y 30 segundos:
Sudbury(config)# line console 0
Sudbury(config-line)# exec-timeout 3 30

Asegurar los inicios de sesin virtuales


Para mejorar la seguridad de los

inicios de conexin virtuales, el


proceso de inicio de sesin
debiera estar configurado con
parmetros especficos:
Implementar retardos entre intentos

de conexin sucesivos.
Desactivar los inicios de sesin si
se sospecha de un ataque DoS.
Generar mensajes de bitcora para
la deteccin de los inicios de
sesin.

Deshabilitar el inicio de sesin para


intentos excesivos
R1# configure terminal
R1(config)# username ADMIN secret telecom54321
R1(config)# line vty 0 4
R1(config-line)# login local
R1(config)# exit
R1(config)# login block-for 120 attempts 5 within 60
R1(config)# ip access-list standard PERMIT-ADMIN
R1(config-std-nacl)# remark Permit only Administrative hosts
R1(config-std-nacl)# permit 192.168.10.10
R1(config-std-nacl)# permit 192.168.11.10
R1(config-std-nacl)# exit
R1(config)# login quiet-mode access-class PERMIT-ADMIN
R1(config)# login delay 10
R1(config)# login on-success log
R1(config)# login on-failure log
R1(config)# exit

Ejemplo, si ocurren ms de 5 intentos de inicios de sesin fallidos en 60

segundos, todos los intentos posteriores se inhabilitan por 120


segundos.
Los equipos del grupo PERMIT-ADMIN podrn conectarse incluso
cuando el inicio de sesin este inhabilitado.

Proveer Notificacin Legal


Se deben utilizar mensajes advirtiendo a intrusos que no son bienvenidos a la

red.
Los mensajes son importantes sobre todo desde la perspectiva legal.
Los intrusos podran decir en un juicio que no encontraron mensajes de advertencia

apropiados.
El contenido del mensaje informativo debe ser revisado y aprobado por la parte legal

antes de ser implementado.


Indique cul es el uso apropiado del sistema.
Indique que el sistema est siendo monitoreado y que no se debe esperar privacidad al

usar dicho sistema.


No utilizar la palabra bienvenido.

Limitar el acceso
Un atacante puede acceder a la red y capturar o adivinar los

datos del administrador del enrutador y realizar mucho dao.


Proteger los enrutadores de un ataque remoto es importante,

pero tambin se debe controlar quin puede acceder a dicho


enrutador.
Las conexiones por Telnet deben deshabilitarse y utilizar en su

lugar SSH.
De igual forma varios enrutadores presentan una interfaz web

para facilitar su administracin.


Estas interfaces son bastante peligrosas ya que pueden adolecer de

mecanismos de proteccin en su programacin.


As mismo pueden intercambiar trfico sin ningn tipo de proteccin.
Hay que utilizar el protocolo SSL para proteger la informacin.

Asegurando el acceso al equipo


Vulnerabilidades de Telnet

Vulnerabilidades de Secure Shell (SSH)

Capturando la contrasea Telnet


Un atacante puede capturar el trfico de servicios Telnet.

Al hacer el seguimiento del flujo de datos Telnet, el atacante puede

obtener el nombre de usuario (Bob) y su contrasea

Capturando la contrasea SSH


Cuando se utiliza SSH, el atacante no puede ver los paquetes SSH

Si se hace el seguimiento del flujo de datos, el atacante slo ve los

paquetes TCP y SSH que slo revelan informacin cifrada inutil

Configuracin de Privilegios
No todos los trabajos requieren los mismos privilegios de acceso a los
dispositivos de la infraestructura
Las necesidades del operador de seguridad de la red no son las mismas que las de
un ingeniero WAN.

Debe proporcionarse acceso controlado a todos los empleados de una


empresa, la mayora de los empleados de una empresa slo requiere
acceso a reas especficas de la red

Deshabilitar Servicios no utilizados


Para asegurar una red empresarial, todos los
servicios no necesarios en un enrutador deben ser
desahabilitados.

Router(config)#
Router(config)#
Router(config)#
Router(config)#
Router(config)#
Router(config)#
Router(config)#
Router(config)#
Router(config)#
Router(config)#
Router(config)#
Router(config)#

no
no
no
no
no
no
no
no
no
no
no
no

ip bootp server
cdp run
ip source-route
ip classless
service tcp-small-servers
service udp-small-servers
ip finger
service finger
ip http server
ip name-server
boot network
service config

Servicios no necesarios
Servicio
BOOTP server

Descripcin
Permite a un Router actuar como servidor
BOOTP para otros routers.

Cisco Discovery
Protocol (CDP)

CDP obtiene informacin de los equipos Cisco


vecinos.

Configuration autoloading

La carga automtica de los archivos de


configuracin desde un servidor de red debiera
mantenerse deshabilitado en el router

FTP server

TFTP server

Network Time
Protocol (NTP)
service

Por defecto

Sugerencia

Habilitado

Deshabilitar

Habilitado

Deshabilitar si no se requiere

Deshabilitado

Deshabilitar si no se requiere

Habilita el router como servidor FTP


Debido a que este servicio permite acceder a
ciertos archivos en la memoria Flash del router,
este servicio debiera estar deasctivado

Deshabilitado

Deshabilitar si no se requiere
Si se utiliza, cifrar el trfico
dentro de un tnel IPSec

Igual que FTP, incluso es ms crtico

Deshabilitado

Deshabilitar si no se requiere
Si se utiliza, cifrar el trfico
dentro de un tnel IPSec

Deshabilitado

Deshabilitar si no se requiere
Si se utiliza, configure NTPv3
y controle el acceso de los
equpos permitidos usando
ACLs

Cuando se habilita, el router acta como servidor


de tiempo para otros equipos de red
Si se configura de forma insegura, NTP puede
usarse para corromper el reloj del router y de
otros equipos
Si se usa este servicio, debieran restringirse los
equipos que tienen acceso al mismo

Configuracin resiliente
Cuando un enrutador es comprometido, corre el riesgo de que su

configuracin y la imagen de su sistema operativo puedan ser


borrados.
Es una amenaza contra la disponibilidad (downtime)

Recuperacin de contraseas
En el caso de que un enrutador se vea comprometido o necesite

recuperarse de una contrasea mal configurada, el administrador


debe entender todos los pasos del procedimiento de
recuperacin de contraseas.
Por razones de seguridad, la recuperacion de contraseas

requiere que el administrador tenga acceso fsico a los equipos.

Consultas .