Servicios e Interfaces de Routers Vulnerables

Servicios e interfaces de routers vulnerables Los routers Cisco admiten una gran cantidad de servicios de red en las capas 2, 3, 4 y 7, como se describe en la figura. Algunos de estos servicios son protocolos de Capa de aplicación que permiten a los usuarios y a los procesos del host a conectarse al router. Otros son procesos automáticos y configuraciones destinados a admitir configuraciones heredadas o especializadas que representan riesgos de seguridad. Algunos de estos servicios pueden restringirse o desactivarse para mejorar la seguridad sin distorsionar el uso operativo del router. Debe utilizarse la práctica de seguridad general de los routers para respaldar sólo el tráfico y los protocolos que una red necesita. La tabla de la figura describe servicios generales de los routers vulnerables y enumera las mejores prácticas asociadas a esos servicios. Desconectar un servicio de red en el router mismo no le impide respaldar una red en que se utiliza ese protocolo. Por ejemplo, una red puede requerir servicios TFTP para respaldar los archivos de configuración y las imágenes del IOS. Por lo general, este servicio es proporcionado por un servidor TFTP dedicado. En algunos casos, un router también podría configurarse como servidor TFTP. Sin embargo, esto es muy poco frecuente. Por lo tanto, en la mayoría de los casos, el servicio TFTP del router debe desactivarse. En muchos casos, el software IOS de Cisco admite la desactivación total de un servicio o la restricción del acceso a segmentos particulares de una red o a conjuntos de hosts. Si una parte determinada de una red necesita un servicio, pero el resto no, se deben utilizar las características de la restricción para limitar el alcance del servicio. Normalmente, desactivar una característica de red automática impide que un tipo determinado de tráfico sea procesado por el router, o le impide viajar a través del router. Por ejemplo, el enrutamiento de origen IP es una característica poco utilizadadel IP que se puede usar en los ataques contra la red. A menos que sea necesario para el funcionamiento de la red, el enrutamiento de origen IP debe estar desactivado. Nota: El CDP se potencia en algunas implementaciones de Teléfono IP. Debe tenerse en cuenta antes de desactivar el servicio en general.

Hay una variedad de comandos necesarios para desactivar servicios. El resultado show running-config de la figura proporciona una configuración de muestra de varios servicios que se han desactivado. A continuación, se enumeran los servicios que, normalmente, deben desactivarse. Entre éstos se destacan: Los servicios pequeños tales como echo, discard y chargen: use el comando no service tcp-small-servers o no service udp-small-servers. BOOTP: use el comando no ip bootp server. Finger: use el comando no service finger. HTTP: use el comando no ip http server. SNMP: use el comando no snmp-server.

También es importante desactivar los servicios que permiten que determinados paquetes pasen a través del router, envíen paquetes especiales o se utilicen para la configuración del router remoto. Los comandos correspondientes para desactivar estos servicios son: Protocolo de descubrimiento de Cisco (CDP): use el comando no cdp run. Configuración remota: use el comando no service config. Enrutamiento de origen: use el comando no ip source-route. Enrutamiento sin clase: use el comando no ip classless. Las interfaces del router pueden ser más seguras si se utilizan determinados comandos en el modo de configuración de interfaz: Interfaces no utilizadas: use el comando shutdown. Prevención de ataques SMURF: use el comando no ip directed-broadcast. Enrutamiento ad hoc: use el comando no ip proxy-arp.

Vulnerabilidades de SNMP, NTP y DNS La figura describe tres servicios de administración que también deben estar protegidos. Los métodos para desactivar o ajustar las configuraciones de estos servicios exceden el alcance de este curso. Estos servicios están contemplados en el CCNP: Curso Implementación de redes seguras y convergentes de área amplia. Las descripciones y las pautas para proteger estos servicios se enumeran a continuación. SNMP SNMP es el protocolo de Internet estándar del monitoreo y la administración remotos automatizados. Hay varias versiones distintas de SNMP con propiedades de seguridad diferentes. Las versiones de SNMP anteriores a la versión 3 transportan información en forma de texto sin cifrar. Normalmente, se debe utilizar la versión 3 de SNMP. NTP Los routers Cisco y otros hosts utilizan NTP para mantener sus relojes con la hora del día exacta. Si es posible, los

administradores de la red deben configurar todos los routers como parte de una jerarquía de NTP, lo que convierte a un router en el temporizador maestro y proporciona su hora a otros routers de la red. Si no hay una jerarquía de NTP disponible en la red, debe desactivar NTP. Desactivar NTP en una interfaz no impide que los mensajes de NTP viajen a través del router. Para rechazar todos los mensajes de NTP en una interfaz determinada, use una lista de acceso. DNS El software IOS de Cisco admite la búsqueda de nombres de hosts con el Sistema de nombres de dominios (DNS). DNS proporciona la asignación entre nombres, como central.mydomain.com a las direcciones IP, como 14.2.9.250. Desafortunadamente, el protocolo DNS básico no ofrece autenticación ni aseguramiento de la integridad. De manera predeterminada, las consultas de nombres se envían a la dirección de broadcast 255.255.255.255. Si hay uno o más servidores de nombres disponibles en la red y se desea utilizar nombres en los comandos del IOS de Cisco, defina explícitamente las direcciones del servidor de nombres utilizando el comando de configuración global ip name-server addresses. De lo contrario, desactive la resolución de nombres DNS con el comando no ip domain-lookup. También es conveniente asignarle un nombre al router mediante el uso del comando hostname. El nombre asignado al router aparece en el indicador.

4. 3.2 P ro t e c c i ó n d e lo s p ro t o c o l o s d e e n ru t a m i e n t o Descripción general de la autenticación del protocolo de enrutamiento Como administrador de la red, debe saber que sus routers corren el riesgo de sufrir ataques en la misma medida que sus sistemas de usuario final. Las personas que cuentan con un programa detector de paquetes, como Wireshark pueden leer la información que se propaga entre routers. En general, los sistemas de enrutamiento pueden sufrir ataques de dos maneras: 



Interrupción de pares Falsificación de información de enrutamiento

La interrupción de pares es el menos crítico de los dos ataques, porque los protocolos de enrutamiento se reparan a sí mismos, lo que hace que la interrupción dure solamente un poco más que el ataque mismo. Una clase más sutil de ataque se centra en la información que se transporta dentro del protocolo de enrutamiento. La información de enrutamiento falsificada, generalmente, puede utilizarse para hacer que los sistemas se proporcionen información errónea (mientan) entre sí, para provocar un DoS o hacer que el tráfico siga una ruta que, normalmente, no seguiría. Las consecuencias de falsificar información de enrutamiento son las siguientes: 1. El tráfico se redirecciona para crear routing loops, como se observa en la figura 2. El tráfico se redirecciona para que pueda monitorearse en un enlace inseguro 3. El tráfico se redirecciona para descartarlo

Una forma sencilla de atacar el sistema de enrutamiento es atacar a los routers, mediante la ejecución de los protocolos de enrutamiento, obtener acceso a los routers e introducir información falsa. Tenga en cuenta que cualquier persona que esté "escuchando" puede capturar actualizaciones de enrutamiento. Haga clic en el botón Reproducir de la figura para ver una animación de un ataque de routing loop. La animación muestra un ejemplo de un ataque que crea un routing loop. Un agresor logró conectar directamente el enlace entre los routers R2 y R3. El agresor inyecta información de enrutamiento falsa dirigida al router R1 solamente, e indica que R3 es el destino preferido para la ruta del host 192.168.10.10/32. Pese a que R1 tiene una entrada de tabla de enrutamiento a la red 192.168.10.0/24 conectada directamente, agrega la ruta inyectada a su tabla de enrutamiento debido a la mayor longitud de la máscara de subred. Una ruta que tiene una correspondiente máscara de subred de mayor longitud se considera superior a una ruta con una máscara de subred más corta. En consecuencia, cuando un router recibe un paquete, selecciona la máscara de subred de mayor longitud porque constituye una ruta más precisa hacia el destino. Cuando PC3 envía un paquete a PC1 (192.168.10.10/24), R1 no envía el paquete al host PC1. En cambio, enruta el paquete hacia el router R3, porque, en lo que a ello respecta, la mejor ruta hacia 192.168.10.10/32 es a través de R3. Cuando R3 obtiene el paquete, observa su tabla de enrutamiento y envía el paquete nuevamente hacia R1, lo que crea el loop.

La mejor manera de proteger la información de enrutamiento en la red es autenticar los paquetes del protocolo de enrutamiento mediante el algoritmo message digest 5 (MD5). Un algoritmo como MD5 permite a los routers comparar las firmas que deben ser todas iguales. Haga clic en el botón Proteger actualización de la figura. La figura muestra la manera en la que cada router de la cadena de actualización crea una firma. Los tres componentes de dicho sistema incluyen: 1. Algoritmo de encriptación que, por lo general, es de conocimiento público 2. Clave utilizada en el algoritmo de encriptación, que es un secreto compartido por los routers que autentican sus paquetes 3. Contenidos del paquete en sí mismo Haga clic en el botón Operación de la figura. Haga clic en Reproducir para ver una animación. En la animación, vemos la manera en la que cada router autentica la información de enrutamiento. Por lo general, el creador de la información de enrutamiento produce una firma mediante la clave y los datos de enrutamiento que está por enviar como entradas al algoritmo de encriptación. Los routers que reciben estos datos de enrutamiento pueden repetir el proceso utilizando la misma clave, los datos que recibió y los mismos datos de enrutamiento. Si la firma que el receptor computa es la misma que la que computa el remitente, los datos y la clave deben ser los mismos que transmitió el remitente y la actualización se autentica. RIPv2, EIGRP, OSPF, IS-IS y BGP, todos ellos admiten diversas formas de autenticación MD5.

Video 1

Video 2

Configuración de RIPv2 con autenticación del protocolo de enrutamiento La topología de la figura muestra una red configurada con el protocolo de enrutamiento RIPv2. RIPv2 admite la autenticación del protocolo de enrutamiento. Para proteger las actualizaciones de enrutamiento, cada router debe configurarse para admitir la autenticación. Los pasos para proteger las actualizaciones de RIPv2 son los siguientes: Paso 1. Impida la propagación de actualizaciones de enrutamiento RIP Paso 2. Impida la recepción de actualizaciones RIP no autorizadas Paso 3. Verifique el funcionamiento del enrutamiento RIP Impedir la propagación de actualizaciones de enrutamiento RIP Debe impedir que un intruso que esté escuchando en la red reciba actualizaciones a las que no tiene derecho. Debe hacerlo forzando todas las interfaces del router a pasar al modo pasivo y, a continuación, activando sólo aquellas interfaces que son necesarias para enviar y recibir actualizaciones RIP. Una interfaz en modo pasivo recibe actualizaciones pero no las envía. Debe configurar las interfaces en modo pasivo en todos los routers de la red. Haga clic en el botón Config del Paso 1. La figura muestra los comandos de configuración necesarios para controlar qué interfaces participan en las actualizaciones de enrutamiento. Las actualizaciones de enrutamiento nunca deben ser publicadas en interfaces que no están conectadas a otros routers. Por ejemplo, las interfaces LAN del router R1 no se conectan a otros routers y, por lo tanto, no deben publicar actualizaciones de enrutamiento. Sólo la interfaz S0/0/0 del router R1 debe publicar actualizaciones de enrutamiento. En los resultados de la pantalla, el comando passive-interface default desactiva las publicaciones de routers en todas las interfaces. Esto también incluye la interfaz S0/0/0. El comando no passive-interface s0/0/0 activa la interfaz S0/0/0 para enviar y recibir actualizaciones RIP. Haga clic en el botón Paso 2 de la figura. Impedir la recepción de actualizaciones RIP no autorizadas En la figura, se impide que el intruso intercepte actualizaciones RIP porque la autenticación MD5 ha sido activada en los routers, R1, R2 y R3; los routers que participan en las actualizaciones RIP. Haga clic en el botón Config del Paso 2.

Los resultados muestran los comandos necesarios para configurar la autenticación del protocolo de enrutamiento en el router R1. Los routers R2 y R3 también deben ser configurados con estos comandos en las interfaces adecuadas. El ejemplo muestra los comandos necesarios para crear una cadena de claves denominada RIP_KEY. Pese a que es posible considerar varias claves, nuestro ejemplo muestra sólo una clave. La clave 1 está configurada para contener una cadena de claves denominada cisco. La cadena de claves es similar a una contraseña y los routers que intercambian claves de autenticación deben estar configurados con la misma cadena de claves. La interfaz S0/0/0 está configurada para admitir la autenticación MD5. La cadena RIP_KEY y la actualización de enrutamiento se procesan mediante el algoritmo MD5 para producir una firma única. Una vez que R1 está configurado, los otros routers reciben actualizaciones de enrutamiento encriptadas y, en consecuencia, ya no pueden descifrar las actualizaciones provenientes de R1. Esta condición se mantiene hasta que cada router de la red esté configurado con autenticación del protocolo de enrutamiento. Haga clic en el botón Paso 3 de la figura. Verificar el funcionamiento del enrutamiento RIP Después de configurar todos los routers de la red, debe verificar el funcionamiento del enrutamiento RIP en la red. Haga clic en el botón Config del Paso 3. Al usar el comando show ip route, el resultado confirma que el router R1 se ha autenticado con los demás routers y ha logrado adquirir las rutas provenientes de los routers R2 y R3.

Descripción general de la autenticación del protocolo de enrutamiento de EIGRP y OSPF La autenticación del protocolo de enrutamiento también debe ser configurada para otros protocolos de enrutamiento, como EIGRP y OSPF. Para obtener más detalles acerca de la autenticación del protocolo de enrutamiento de EIGRP y OSPF, consulte CCNP2: Implementación de redes seguras y convergentes de área amplia. Haga clic en el botón EIGRP de la figura. EIGRP La figura muestra los comandos necesarios para configurar la autenticación del protocolo de enrutamiento de EIGRP en el router R1. Estos comandos son muy similares a los que utilizó para la autenticación MD5 de RIPv2. Los pasos necesarios para configurar la autenticación del protocolo de enrutamiento de EIGRP en el router R1 son los siguientes: Paso 1. El área superior resaltada muestra cómo crear una cadena de claves para ser utilizada por todos los routers de la red. Estos comandos crean una cadena de claves denominada EIGRP_KEY y coloca su terminal en el modo de configuración de cadena de claves, un número de clave 1 y un valor de cadena de claves de cisco. Paso 2. El área inferior resaltada muestra cómo activar la autenticación MD5 de los paquetes de EIGRP que viajan a través de una interfaz. Haga clic en el botón OSPF de la figura. OSPF

La figura muestra los comandos necesarios para configurar la autenticación del protocolo de enrutamiento de OSPF en el router R1 de la interfaz S0/0/0. El primer comando especifica la clave que se utilizará para la autenticación MD5. El comando siguiente activa la autenticación MD5.

Esta actividad contempla la autenticación sencilla de OSPF y la autenticación MD5 (message digest 5) de OSPF. Puede activar la autenticación en OSPF para intercambiar información de actualizaciones de enrutamiento de manera segura. Con la autenticación sencilla, se envía la contraseña como texto sin cifrar a través de la red. La autenticación sencilla se utiliza cuando los dispositivos dentro de un área no pueden admitir la autenticación MD5 más segura. Con la autenticación MD5, la contraseña no se envía a través de la red. MD5 se considera el modo de autenticación de OSPF más seguro. Cuando configura la autenticación, debe configurar un área completa con el mismo tipo de autenticación. En esta actividad, configura la autenticación sencilla entre R1 y R2, y la autenticación MD5 entre R2 y R3. Se proporcionan instrucciones detalladas dentro de la actividad y en el siguiente enlace al PDF. Instrucciones de la actividad (PDF)

4. 3.3 B lo q u e o d e s u ro u t e r c o n Au t o Se c u re d e Ci s c o

AutoSecure de Cisco utiliza un único comando para desactivar procesos y servicios no esenciales del sistema y elimina amenazas de seguridad potenciales. Puede configurar AutoSecure en el modo EXEC privilegiado mediante el comando autosecure en uno de estos dos modos:  

Modo interactivo: este modo le indica opciones para activar y desactivar servicios y otras características de seguridad. Es el modo predeterminado. Modo no interactivo: ejecuta automáticamente el comando auto secure con la configuración predeterminada recomendada de Cisco. Este modo se activa con la opción del comando no-interact.

Haga clic en el botón Resultados del router de la figura. AutoSecure en un router Cisco Los resultados de la pantalla muestran un resultado parcial de la configuración de AutoSecure de Cisco. Para iniciar el proceso de proteger un router, emita el comando auto secure. AutoSecure de Cisco le pide una cantidad de elementos, entre los que se incluyen: Detalles de la interfaz Títulos Contraseñas SSH Características del firewall del IOS Nota: El Administrador de routers y dispositivos de seguridad (SDM, Security Device Manager) proporciona una característica similar al comando AutoSecure de Cisco. Esta característica se describe en la sección "Uso del SDM de Cisco".