Con la incursión de las redes en el ámbito empresarial se abrieron nuevos caminos para establecer comunicación entre empleados y clientes, al tiempo que se mejoraba el acceso a información interna como externa a través de redes locales intranets o internet. Sin embargo esta situación trajo consigo que esos mismos canales se convirtieran en vías para atacarlas susceptibles a los ataques y por ende, que la correcta funcionalidad e información que transita por la misma quedara comprometida. Las empresas conscientes de esta situación han fijado distintas políticas de seguridad que les permita proteger su red y los activos que la componen: switches, y routers y firewalls. El objetivo de este artículo es establecer algunos parámetros de configuración en routers que garanticen un acceso completamente seguro y reduzcan mitiguen el riesgo de intromisiones que busquen vulnerar la red.
Palabras clave: contraseña secreta, línea de consola, línea virtual terminal, línea auxiliar, creación de usuarios y asignación de contraseñas.
With the incursion of the networks in the business sphere, new ways were opened to establish communication between employees and customers, while improving access to internal and external information through intranets or the Internet. However, this situation caused that these same channels became routes susceptible to the attacks and, therefore, that the correct functionality and information that transits by the same would be compromised. Companies aware of this situation have established different security policies that allow them to protect their network and the assets that comprise it: switches, routers and firewalls. The purpose of this article is to establish some configuration parameters on routers that guarantee completely secure access and mitigate the risk of intrusions that seek to violate the network.
Keywords: secret password, console line, virtual terminal line, auxiliary line, user creation and password assignment.
Dado que las empresas suelen ser objeto de distintas amenazas y riesgos informáticos se han creado distintos procedimientos para mitigar tales ataques.
Un claro ejemplo de lo anterior, es la configuración de un acceso seguro en los activos de la red que implica establecer distintas barreras, como la asignación de contraseñas, que frenen la intrusión de terceros y el ataque a la información sensible de la empresa.
Políticas de seguridad, de acceso, autenticación y autorización ayudan a establecer los lineamientos de seguridad de los recursos y tráfico de la empresa: no sólo debe protegerse la conexión a internet, todos los medios de acceso a la empresa deben ser protegidos en base a un nivel apropiado de seguridad y administración establecido por la misma.
Para garantizar la seguridad del router, tema de este artículo, se recomienda proteger el acceso administrativo, permisos de configuración, a través de la creación de cuentas de usuario y la asignación de contraseñas secretas para habilitar router, línea de consola, línea terminal virtual y línea auxiliar.
En las líneas siguientes se explica cómo llevarlo a cabo además de mostrar los resultados que se obtuvieron en la práctica.
En una empresa es de vital importancia proteger la infraestructura de la red ya que esto permite asegurar el correcto funcionamiento de switches, routers, servidores, terminales y otros dispositivos. De los dispositivos anteriormente citados, los routers son a menudo objeto de ataques ya que son los encargados de analizar los datos que se van a enviar a través de una red, conectar a la empresa con el mundo exterior, proteger la información de las amenazas de seguridad, e incluso decidir qué computadoras tienen prioridad sobre otras. Con la asignación de contraseñas en las funciones administrativas del mismo se busca evitar situaciones que comprometan la red: accesos no autorizados o cambios indebidos en las configuraciones establecidas previamente en el dispositivo.
Para asignar cualquier contraseña es necesario acceder al router en modo privilegiado. Debido a que los hackers pueden valerse de distintos métodos para adivinar descifrar las contraseñas, incluyendo el uso de herramientas como Caín y Abel, se sugiere que reúnan las siguientes características:
1. Longitud superior a 10 caracteres y que incluya una combinación de letras mayúsculas y minúsculas, números, símbolos y espacios.
2. Compleja, puede basarse en una frase de varias palabras. Evitar ante todo el uso de palabras provenientes del diccionario, fechas y otros elementos fácilmente identificables, así mismo omitir aspectos relacionados con la ortografía.
3. Sea cambiada con frecuencia.
El comando enable secret password restringe el acceso a la configuración en modo privilegiado; la contraseña elegida es encriptada bajo el algoritmo Message Digest 5 (MD5). Ejemplo:
Podría ponerse en esta parte lo relacionado al uso del comando password, para asignar una contraseña para habilitar el modo privilegiado, mencionando sus desventajas en relación al comando secret.
Si bien el puerto de consola no requiere de una contraseña de acceso, para aumentar el nivel de seguridad en el router se utiliza el comando line console 0 seguido de los subcomandos password y login. Ejemplo:
line con 0
password passcon
login
En el router, los puertos vty están enumerados del 0 al 15 y son utilizados para establecer sesiones Telnet. El comando a utilizar es line vty 0 15 así como los subcomandos password y login.
Ejemplo:
line vty 0 15
password passvty
login local
Al igual que la línea de consola, la línea auxiliar no requiere de una contraseña para acceso administrativo remoto, sin embargo, puede usarse line aux 0, password y login.
Ejemplo:
line aux 0
password passaux
login local
Para revisar que las contraseñas fueron configuradas debe ejecutarse el comando show run. Con excepción de la contraseña enable secret, el resto se mostrará en forma de texto.
El comando passwords min-length length define el número de caracteres; cuando se crea una contraseña de menor longitud a la especificada se genera un mensaje de error similar al siguiente: Password too short - must be at least - characters. Password configuration failed. Afecta a las contraseñas creadas después de la ejecución del comando.
De forma predeterminada, el modo de configuración privilegiado se mantiene conectado durante 10 minutos. El temporizador puede ajustarse para definir el tiempo de duración de la sesión, comando exec-timeout (incluye líneas específicas como puerto auxiliar).
El comando service password-encryption impide que personas no autorizadas pueden ver las contraseñas en el archivo de configuración, sin embargo, el contenido puede ser descifrado fácilmente ya que utiliza un algoritmo simple (estándar tipo 7). El comando enable secret es más seguro porque encripta la contraseña con MD5.
Se recomienda tener una base de datos local en el router con los nombres de los usuarios y contraseñas que pueden acceder a la configuración del router. Pueden utilizarse dos comandos: username _ secret _ o username_ password _. El comando login local en la configuración de línea habilita la base de datos local para la autenticación.
Ejemplo:
username tula1 secret passusertula1
line con 0
login local
El comando login block- for permite aumentar la seguridad del router ya que automáticamente bloquea nuevos intentos de inicio de sesión que pudieran ser resultado de un ataque de fuerza bruta o de “diccionario”. Habilitando esta opción, login block-for seconds attempts tries within seconds, y tras varios intentos fallidos de conexión detectados se activarán periodos de calma para proteger el router de un ataque de denegación de servicio.
Ejemplo:
Los intentos de conexión legítima son permitidos en el periodo de calma a través de la configuración de listas de acceso, direcciones IP asociadas al administrador del sistema: ip access-list standard administrator.
Ejemplo:
ip access-list standard admin
permit 192.168.10.10
La lista de acceso también puede ser especificada a través de este comando.
Ejemplo:
El comando login delay seconds igualmente permite proteger al router de ataques de denegación de servicio ya que configura un tiempo de retraso entre los intentos sucesivos de inicio de sesión.
Ejemplo:Para llevar un registro de los inicios de sesión puede utilizarse el comando login on-success log, para los intentos exitosos, o login on-failure log, para los fallidos.
Para verificar la configuración de los parámetros de inicio de sesión se utiliza el comando show login; show login failures muestra la información de los intentos de inicio de sesión frustrados.
Permite configurar un mensaje de entrada para todas terminales conectadas. Ejemplo: banner login #BIENVENIDO#
Banner motd configura y permite el envío de mensajes que afectan a los usuarios de la red.
Ejemplo:
Para configurar un acceso remoto seguro debe seguirse este procedimiento:
Para obtener este dato, (# show version )
Usar el comando show run para verificarlo.
Faltaría incluir la razón por la cual se verifica que los routers tengan un nombre único.
El comando ip domain-name name define un nombre de dominio que se utiliza para nombres de host no cualificados.
Ejemplo:
Crypto key generate rsa permite generar una llave RSA3 en el modo de configuración global. Se sugiere elegir 1024 bits.
Ejemplo:
Una vez elegida la línea de conexión, el comando transport input definirá qué protocolo será usado para conectar la línea específica del router.
Ejemplo:
line vty 0 15
transport input SSH
Para acceder remotamente puede tomarse en cuenta el ejemplo siguiente:
Considerando que el router Pachuca funge como cliente y el router Tula como servidor, se buscará ingresar a este último de la siguiente manera:
Establecida la conexión, deberá ingresarse la contraseña del usuario denominado usertula1.
Tomando como base el diseño siguiente, Fig. 1, se procedió a asignar contraseñas y crear cuentas de usuario para cada router con la finalidad de poner en práctica los comandos descritos previamente.
Tula (Router1)
Current configuration : 1446 bytes
!
version 12.4
no service timestamps log datetime msec
no service timestamps debug datetime msec
no service password-encryption
!
hostname Tula
!
login block-for 15 attempts 5 within 60
login on-failure log
login on-success log
!
! enable secret 5 $1$mERr$GTF/xSPXvhCYszlRuK6wo/
!
username usertula1 secret 5 $1$mERr$ypYLhIP9sVBlSbeAd.I990
username usertula2 secret 5 $1$mERr$d5ZAlluxnQXfr.wJGXp3q/
!
ip ssh version 2
ip domain-name lilianar.com
!
interface FastEthernet0/0
ip address 192.168.2.254 255.255.255.0
duplex auto
speed auto
!
interface FastEthernet0/1
ip address 192.168.1.254 255.255.255.0
duplex auto
speed auto
!
interface Serial0/0/0
ip address 192.168.3.1 255.255.255.0
!
interface Serial0/0/1
ip address 192.168.8.1 255.255.255.0
!
interface Vlan1
no ip address
shutdown
!
router rip
network 192.168.1.0
network 192.168.2.0
network 192.168.3.0
network 192.168.8.0
!
ip classless
!
ip access-list extended sl_def_acl
deny tcp any any eq telnet
deny tcp any any eq www
deny tcp any any eq 22
permit tcp any any eq 22
ip access-list standard hosts-admin
permit host 192.168.10.10
permit host 192.168.1.1
!
banner login ^CINGRESA USER NAME & PASSWORD^C
banner motd ^CSOLO PERSONAL AUTORIZADO^C
!
line con 0
password passcon
login local
line vty 0 4
password passvty
login local
transport input ssh
line vty 5 15
password passvty
login local
transport input ssh
!
end
El proceso de configuración de un acceso administrativo seguro está regido por la ejecución de cada uno de los puntos de la asignación de contraseña que incluye contraseña secreta para habilitar modo privilegiado, línea de consola, línea vty y línea auxiliar, así como la creación de usuarios y configuración del inicio de sesión en cada uno de los routers.
Siguiendo los pasos anteriores se pudo comprobar que el acceso a la configuración del router queda restringido para todos aquellos que no se encuentren registrados en la base de datos local del mismo. Para efectuar esta acción, en cada router fue necesario ingresar: nombre de usuario y contraseña; contraseña establecida para ingresar al modo de configuración privilegiado; y en caso de establecer una sesión Telnet, la contraseña correspondiente a la línea vty. Sin embargo, las medidas de seguridad no se limitaron únicamente a la creación de contraseñas, también se recurrió a la generación de llaves RSA y las acciones a tomar cuando se detectan intentos de inicio de sesión fallidos.
Con lo anterior queda demostrado que cualquier intruso que quiera vulnerar la red necesita al menos vencer de dos a tres barreras dependiendo el alcance del ataque planeado.
Cisco Systems. (2009). CCNA Security 1.0.
Cisco Systems. (2010, 27 de octubre). Lo que necesita saber sobre Routing y Switching. Available: http://www.cisco.com/web/ES/solutions/smb/products/routers_switches/routing_switching_primer.html
GridCafé. (2010, 27 de octubre). Acceso seguro. Available: http://www.gridcafe.org/acceso-seguro_ES.html
R. Jean-Marc. (2004). Seguridad en la informática de empresa: riesgos, amenazas, prevención y soluciones. Available: http://books.google.com.mx/books?id=K8XdRni4t94C&pg=PA9&dq=seguridad+informatica&hl=es&ei=_JTHTK_qM422sAPRrO2iDQ&sa=X&oi=book_result&ct=result&resnum=5&ved=0CEEQ6AEwBA#v=onepage&q&f=false
Cisco Systems. (2010, 1 de noviembre). Cisco IOS Login Enhancements (Login Block). Available: http://www.cisco.com/en/US/docs/ios/sec_user_services/configuration/guide/sec_login_enhance.pdf
Cisco Systems. (2010, 1 de noviembre). Managing Connections and System Banners. Available: http://www.cisco.com/en/US/docs/ios/12_0/configfun/configuration/guide/fcconban.html
Cisco Systems. (2010, 1 de noviembre). Configuring DNS on Cisco Routers. Available: http://www.cisco.com/en/US/tech/tk648/tk362/technologies_tech_note09186a00800c525f.shtml
C. Systems. (2010). Crypto key generate RSA. Available: http://www.cisco.com/en/US/docs/ios/security/command/reference/sec_c4.html#wp1047282
Cisco Systems. (2010, 1 de noviembre). SSH Terminal-Line Access. Available: http://www.cisco.com/en/US/docs/ios/12_2t/12_2t
[a] Profesor Investigador de la Universidad Autónoma del Estado de Hidalgo.
Correo de Correspondencia: liliana_rincon@live.com.mx, jess74mx@hotmail.com,