jueves, 19 de septiembre de 2013

Cisco Hardening - Fortalece la seguridad de tus equipos.

 photo networksecurity.jpg


Desde ya hace bastante tiempo que deseo publicar esto... se trata de algunas de las practicas más comunes utilizadas para hacer de tu equipo de redes Cisco un dispositivo más seguro.
Esta claro que las necesidades de seguridad de persona a persona, pero como un muy buen amigo me dijo una vez "la seguridad nunca esta de más".

NOTA: No todos los comandos funcionaran en todos los dispositivos (router o switch). Es altamente recomendable probar estos comandos previamente en un entorno de pruebas antes de ser implementados a producción.

Si bien hay demasiados aspectos que se pueden cubrir, solo me enfocare en cuatro elementos que considero críticos, estos elementos son:
  1. Acceso al equipo
  2. Tipos de acceso
  3. Servicios fundamentales
  4. Servicios adicionales

1- Acceso al equipo
Comúnmente existen tres maneras de acceder al equipo, estos son: puerto consola, puerto auxiliar, conexión remota. Proteger el acceso a consola es "sencillo" si se tiene un acceso restringido a los equipos, en cambio los otros dos métodos por defecto conllevan ciertos riesgos de seguridad.

El uso del puerto auxiliar ya no es muy común y si no se encuentra en uso lo más recomendable es deshabilitar el servicio.
line aux 0
no exec
exec-timeout 0 10
transport input none
exit

Para proteger las conexiones remotas yo sugiero utilizar la versión 2 del protocolo ssh, con algunos parámetros adicionales.
En modo de configuración global:
hostname TrasguitoINC
ip domain-name trasguitoinc.com
crypto ket generate rsa modulus 2048
ip ssh version 2
ip ssh timeout 60
ip ssh authentication-retries 3

Dentro de las lineas VTY:
transport input ssh
exec-timeout 3 0


2- Tipos de acceso
Ya sea que se utilicen usuarios locales o usuarios remotos (Radius, LDAP, TACACS+) estos métodos de acceso deben estar protegidos.

Usuarios locales:
username Rolando privilege 15 secret M1C0nt@$3ña
Siempre utiliza el nivel de permiso adecuado para el usuario.

Usuarios remotos:
Para este ejemplo utilizare Radius, como primer elección para autenticar - tomar en cuenta que la configuración siguiente intentar autenticar localmente si el servidor Radius no es accesible -
aaa new-model
aaa authentication attempts login 3
aaa authentication login default group radius local
aaa session-id common
radius-server host 10.10.10.1
radius-server key 7 SeCUr3_R@d1uS-k3y
No entrare en detalles para esta dos ultimas secciones pues solo me limitare a listar servicios que deben estar activados y otros que si no se utilizan es recomendable desactivar.

3- Servicios fundamentales
Siempre activar:
no service password-recovery
service password-encryption

logging on
logging buffered 16000
logging console critical

interface <interface-id>
switchport port-security
switchport port-security violation shutdown
switchport port-security maximum 1
switchport port-security mac-address sticky
exit

Si no se utilizan deshabilitar:
cdp run
no ip http server
no snmp-serverno
no ip domain-lookup
no snmp-server community private
no snmp-server community public
4- Servicios Adicionales
no identd
no ip finger
no service pad
no service tcp-small-servers
no service udp-small-servers
no ip gratuitous-arps

Deshabilitar IP Proxy ARP
interface <interface-id>
no ip proxy-arp
exit

Deshabilitar MOP (Maintenance Operations Protocol)
interface <interface-id>
no mop enabled
exit

Existen una infinidad de formas para poder fortalecer la seguridad de nuestros equipos, algunos utilizan ACLS, otros diferentes puertos para ciertos servicios, utilizan o dejan de utilizar ciertos protocolos, definen interfaces origen/destino, entre otros.

Simplemente espero que este articulo sea de utilidad para muchos y haya podido ser lo explicativo posible.

También te invito a visitar todas mis publicaciones relacionadas con Cisco
Si desean indagar en este tema, les recomiendo en libro Hardening Cisco Routers de Thomas Akin

No hay comentarios: