Instituto Tecnolgico de Celaya

Actividad de Clase
Tpicos de Redes

Gasca Villafaa Laura Cristina

Ingeniera en Sistemas Computacionales

Viernes 22 de Marzo del 2013

RECUPERACIN DE CONTRASEA DE UN ROUTER

Para recuperar la contrasea de un router, siga estos pasos: Prepare el dispositivo

Paso 1. Conctelo al puerto de consola. Paso 2. Si perdi la contrasea enable, todava tendr acceso al modo EXEC de usuario. Escriba el comando show version cuando aparezca la indicacin y guarde los parmetros de registro de configuracin. R>#show version <show command output omitted> El registro de configuracin es 0x2102 R1> Generalmente, el registro de configuracin se define en 0x2102 0x102. Si ya no puede obtener acceso al router (debido a que perdi la contrasea TACACS o de conexin), puede suponer con seguridad que su registro de configuracin est definido en 0x2102. Paso 3. Use el interruptor de alimentacin para apagar el router y, a continuacin, vuelva a encender el router. Paso 4. Presione Pausa en el teclado del terminal dentro de los 60 segundos desde el encendido para colocar el router dentro de ROMmon. Paso 5. Escriba confreg 0x2142 en la ventana rommon 1>. Esto hace que el router ignore la configuracin de inicio donde se almacena la contrasea enable olvidada. Paso 6. Escriba reset en la ventana rommon 2>. El router se reinicia, pero ignora la configuracin guardada. Paso 7. Escriba no despus de cada pregunta de configuracin, o presione Ctrl-C para saltear el procedimiento de configuracin inicial. Paso 8. Escriba enable cuando aparezca el indicador Router>. Esto lo coloca en el modo enable y debe poder ver el indicador Router#. Paso 9. Escriba copy startup-config running-config para copiar la NVRAM en la memoria. Tenga cuidado. No escriba copy running-config startup-config porque borra su configuracin de inicio. Paso 10. Escriba show running-config. En esta configuracin, el comando shutdown aparece debajo de todas las interfaces, porque todas estn actualmente cerradas. Lo que es ms importante, ahora puede ver las contraseas (contrasea enable, enable secret, vty, contraseas de consola) ya sea en formato encriptado o no encriptado. Puede volver a usar las contraseas sin encriptar. Debe cambiar las contraseas encriptadas por una nueva contrasea.

Paso 11.Escriba configure terminal. Aparece la ventana hostname(config)#. Paso 12. Escriba enable secret password para modificar la contrasea enable secret. Por ejemplo: R1(config)# enable secret cisco Paso 13. Emita el comando no shutdown en cada interfaz que desee utilizar. Puede emitir un comando show ip interface brief para confirmar que la configuracin de su interfaz sea correcta. Cada interfaz que desee utilizar debe mostrar activado. Paso 14. Escriba config-register configuration_register_setting. configuration_register_setting es el valor que registr en el Paso 2 0x2102 . Por ejemplo: R1(config)#config-register 0x2102 Paso 15. Presione Ctrl-Z o escriba end para abandonar el modo de configuracin. Aparece la ventana hostname#. Paso 16. Escriba copy running-config startup-config para realizar los cambios. Ha finalizado la recuperacin de contraseas. Al introducir el comando show version confirma que el router utilizar los parmetros del registro de configuracin establecidos la prxima vez que se reinicie.

RECUPERACIN DE CONTRASEA DE UN SWITCH

Los pasos que debe seguir para recuperar la contrasea (recovery password) de switch Cisco para la gran mayoria de los modelos son: Paso 1 - Desconectar el cable de alimentacin del switch. Paso 2 - Vuelva a conectar el cable de alimentacin del switch Paso 3 - Presionar el botn de mode por un periodo de 15 segundos hasta que el LED del sistema se convierte brevemente mbar y luego suelte el botn de mode. Paso 4 - El switch quedara en el modo switch: Paso 5 - Inicializar el sistema con el comando flash_init Paso 6 - Cargar el archivo de ayuda load_helper Paso 7 - Cambiar el nombre del archivo de configuracin para config.text.old switch: rename flash:config.text flash:config.text.old Paso 8 - Reiniciar el switch con el comando boot Paso 9 - Esperamos a que el switch termine el proceso de reinicio y nos preguntara Continue with configuration dialog? [yes/no]: respondemos NO Paso 10 - Entrar al modo EXEC privilegiado con el comando enable Paso 11 - Cambiar el nombre del archivo de configuracin a su nombre original switch# rename flash:config.text.old flash:config.text Paso 12 - Copiar el archivo de configuracin en la memoria switch# copy flash:config.text system:running-config Paso 13 - Reemplazar las claves por una nueva con el comando enable secret switch(config)# enable secret Paso 14 - Guardamos con el comando copy running-config startup-config y reiniciamos el dispositivos para verificar la nueva clave.

Recuperacin de IOS en Routers

Un router no funciona sin su software IOS de Cisco. Si se elimina o se daa el IOS, un administrador debe copiar una imagen en el router para que funcione nuevamente. Una forma de lograrlo sera utilizar la imagen del IOS de Cisco que se guard anteriormente en el servidor TFTP, para ello, lleve a cabo el siguiente procedimiento: Paso 1. Conecte los dispositivos. Conecte la PC del administrador del sistema al puerto de consola del router afectado. Conecte el servidor TFTP al primer puerto Ethernet del router. Active el servidor TFTP y configrelo con la direccin IP esttica 192.168.1.1/24.

Paso 2. Inicie el router y defina las variables de ROMmon. El router arranca automticamente en el modo ROMmon. Debe escribir todas las variables necesarias. Cuando escribe las variables de ROMmon, tenga en cuenta lo siguiente: o Los nombres de variables hacen distincin entre maysculas y minsculas. o No incluya ningn espacio antes o despus del smbolo =. o Cuando sea posible, use un editor de texto para cortar y pegar las variables en la ventana de terminal. Debe escribir la lnea completa correctamente. o Las teclas de navegacin no funcionan. Ahora, el router R1 debe estar configurado con los valores adecuados para conectarse al servidor TFTP.

Paso 3. Introduzca el comando tftpdnld en el indicador de ROMmon. El comando muestra las variables de entorno necesarias y advierte que se borran todos los datos existentes en la memoria flash. Escriba y para seguir y presione Intro. El router intenta conectarse al servidor TFTP para comenzar la descarga. Cuando est conectado, la descarga comienza segn lo indicado por las marcas del signo de exclamacin (!). Cada ! indica que el router ha recibido un segmento UDP. Puede utilizar el comando reset para volver a cargar el router con la nueva imagen del IOS de Cisco.

Uso de xmodem para restaurar una imagen del IOS Otro mtodo para restaurar una imagen del IOS de Cisco en un router es utilizar Xmodem. Sin embargo, la transferencia del archivo se logra mediante el cable de la consola y, por lo tanto, es muy lenta en comparacin con el comando tftpdnld. Si se pierde la imagen del IOS de Cisco, el router cambia al modo ROMmon cuando arranca. ROMmon es compatible con Xmodem. Con esa capacidad, el router puede comunicarse con una aplicacin de emulacin de terminal, como HyperTerminal, en la PC del administrador del sistema. Un administrador del sistema que tiene una copia de la imagen del IOS de Cisco en una PC puede restaurarla al router

estableciendo una conexin de consola entre la PC y el router, y ejecutando Xmodem desde HyperTerminal. Los pasos que sigue el administrador son los siguientes: Paso 1. Conecte la PC del administrador del sistema al puerto de consola del router afectado. Abra una sesin de emulacin de terminal entre el router R1 y la PC del administrador del sistema. Paso 2. Inicie el router y emita el comando xmodem en el indicador de ROMmon. La sintaxis del comando es xmodem [-cyr] [nombre de archivo]. Acepte todas las solicitudes cuando se le indique. Paso 3. Seleccione Transfer > Send File. Paso 4. Explore la ubicacin de la imagen del IOS de Cisco que desea transferir y elija el protocolo Xmodem. Haga clic en Send. Aparece un cuadro de dilogo en donde se muestra el estado de la descarga. El host y el router comienzan a transferir la informacin despus de varios segundos. Cuando comienza la descarga, los campos Paquete y Transcurrido aumentan. Preste atencin al indicador del tiempo restante estimado. El tiempo de descarga podra mejorarse drsticamente si modifica la velocidad de la conexin de HyperTerminal y del router de 9600 bps a 115 000 bps. Cuando finaliza la transferencia, el router se vuelve a cargar automticamente con el nuevo IOS de Cisco.

Recuperacin de IOS en Switch

Para recuperar el IOS de un Switch se tiene que seguir las siguientes instrucciones: Desconectar el cable de corriente del switch y al conectarlo nuevamente presionar el botn Mode y se dejare apretado hasta que la luz deje de parpadear. Cuando termine de cargar y que les salga el comando: Switch: Lo primero que harn ser teclear lo siguiente: Switch: flash_init Esto servir para inicializar el archivo flash del sistema. Despus teclear lo siguiente, en algunos modelos el siguiente comando puede que ya este inicializado, el cul sirve para que se puedan cargar cualquier archivo de ayuda. Switch: load_helper Ahora es tiempo de cargar el IOS, si tienen un respaldo del archivo mucho mejor pero en caso de que no lo tengan pueden buscarlo en la pgina de CISCO, ahora teclearn el siguiente comando: Switch: copy xmodem: flash:nombre_de_la_imagen.bin Y aparecern unas letras diciendo que se est comenzando la transferencia. Pero no lo har por si slo as que en la barra de men del hyperterminal localizaremos el men Transferir, Enviar Archivo; y veremos que saldr nuevamente una pequea ventana la cual nos pedir que seleccionemos el archivo a enviar y tambin nos pedir que escojamos el modo en el que transferiremos el archivo, y ah es donde escogemos la opcin Xmodem. El IOS se estar cargando en el switch, pero les advierto que el proceso es bastante tardado. El siguiente comando comenzar a bootear desde el nuevo IOS de nuestro switch para dejar todo como nuevo. switch:boot flash:nombre_de_la_imagen.bin Y vern en el hyperterminal que comenzar a iniciar el switch como normalmente lo hara, ahora solo copiaremos la imagen del software al switch: Switch> enable Switch# archive download-sw nombre_de_la_imagen.bin Y por ltimo haremos un reload para que los cambios surtan efecto.

BUENAS PRCTICAS DE SEGURIDAD PARA QUE NO SEAMOS VULNERADOS CON LOS MECANISMOS DE QUE DISPONE CISCO DE RECUPERACIN.
La mayora de los incidentes de seguridad se producen porque los administradores de sistemas no implementan las medidas correctivas disponibles, y los agresores o los empleados descontentos explotan el descuido. Por lo tanto, el problema no es solamente confirmar la existencia de una vulnerabilidad tcnica y encontrar una medida correctiva que funcione, tambin es fundamental verificar que dicha medida se implemente y funcione correctamente. Para ayudar en el cumplimiento de una poltica de seguridad, la Rueda de seguridad, un proceso continuo, ha demostrado ser un enfoque eficaz. La Rueda de seguridad promueve la repeticin de las pruebas y de la aplicacin de medidas de seguridad actualizadas continuamente. Para comenzar con el proceso de la Rueda de seguridad, en primer lugar, desarrolle una poltica de seguridad que permita la aplicacin de medidas de seguridad. Una poltica de seguridad tiene las siguientes funciones: Identificar los objetivos de seguridad de la organizacin. Documentar los recursos que se deben proteger. Identificar la infraestructura de la red con mapas e inventarios actuales. Identificar los recursos crticos que deben protegerse, como recursos de investigacin y desarrollo, financieros y humanos. Esto se denomina anlisis de riesgo.

La poltica de seguridad es el hub en el cual se basan los cuatro pasos de la Rueda de seguridad. Los pasos son asegurar, controlar, probar y mejorar. Paso 1: Asegurar Asegurar la red mediante la aplicacin de la poltica de seguridad y de las siguientes soluciones de seguridad: Defensa contra amenazas o Inspeccin con estado y filtrado de paquetes: filtre el trfico de la red para permitir solamente trfico y servicios vlidos. o Parches para vulnerabilidades: aplique modificaciones o medidas para detener la explotacin de las vulnerabilidades conocidas. o Desactivacin de los servicios innecesarios: cuanto menor sea la cantidad de servicios activados, ms difcil ser para los agresores obtener acceso. Conectividad segura o VPN: encripte el trfico de la red para impedir la divulgacin no deseada a personas no autorizadas o maliciosas. o Confianza e identidad: implemente restricciones estrictas sobre los niveles de confianza dentro de una red. Por ejemplo, los sistemas que se encuentran dentro de un firewall no pueden confiar completamente en los sistemas que se encuentran fuera de un firewall. o Autenticacin: proporcione acceso slo a los usuarios autorizados. Un ejemplo de esto es el uso de contraseas que se pueden utilizar por nica vez. o Cumplimiento de polticas: asegrese de que los usuarios y los dispositivos finales cumplan con la poltica de la empresa.

Paso 2: Controlar Controlar la seguridad involucra mtodos activos y pasivos de detectar violaciones de seguridad. El mtodo activo ms utilizado es la auditora de los archivos de registro a nivel del host. La mayora de los sistemas operativos incluyen la funcin de auditora. Los administradores de sistemas deben activar el sistema de auditora para cada uno de los hosts de la red y tomarse el tiempo necesario para controlar e interpretar las entradas de los archivos de registro. Entre los mtodos pasivos se encuentra el uso de dispositivos IDS para detectar intrusiones automticamente. Este mtodo requiere menos atencin por parte de los administradores de seguridad de la red que los mtodos activos. Estos sistemas pueden detectar violaciones a la seguridad en tiempo real y se pueden configurar para responder automticamente antes de que un intruso provoque daos. Un beneficio adicional del control de la red es la verificacin de que las medidas de seguridad implementadas en el paso 1 de la Rueda de seguridad se hayan configurado y estn funcionando correctamente. Paso 3: Probar En la fase de pruebas de la Rueda de seguridad, las medidas de seguridad se someten a pruebas de manera proactiva. Particularmente, se verifica la funcionalidad de las soluciones de seguridad implementadas en el paso 1 y los mtodos de auditora y deteccin de intrusin del sistema, implementados en el paso 2. Las herramientas de evaluacin de las vulnerabilidades, como SATAN, Nessus o Nmap son tiles para probar las medidas de seguridad de la red peridicamente a nivel de la red o del host. Paso 4: Mejorar La fase de mejoras de la Rueda de seguridad implica el anlisis de los datos recopilados durante las fases de control y de prueba. Este anlisis contribuye al desarrollo y a la implementacin de mecanismos de mejoras que intensifican la poltica de seguridad y tiene como consecuencia la adicin de tems al paso 1. Para mantener una red lo ms segura posible, el ciclo de la Rueda de seguridad debe repetirse continuamente, porque todos los das aparecen nuevas vulnerabilidades y riesgos en la red. Con la informacin compilada a partir de las fases de control y de pruebas, los IDS pueden ser utilizados para implementar mejoras a la seguridad. La poltica de seguridad debe modificarse a medida que se descubren nuevas vulnerabilidades y nuevos riesgos.

BUENAS PRCTICAS PARA LA ADMINISTRACIN DE IOS Y CONTRASEAS.

Antes de configurar las caractersticas de seguridad del router, debe planificar todos los pasos de la configuracin de seguridad del IOS de Cisco. Los pasos que se deben seguir para proteger un router son los siguientes: Paso 1. Administre la seguridad del router. Paso 2. Proteja el acceso administrativo remoto a los routers. Paso 3. Registro de la actividad del router. Paso 4. Proteja los servicios y las interfaces del router vulnerables. Paso 5. Proteja los protocolos de enrutamiento. Paso 6. Controle y filtre el trfico de la red. La seguridad bsica de los routers consiste en la configuracin de contraseas. Una contrasea slida es el elemento ms fundamental para controlar el acceso seguro a un router. Por este motivo, siempre se deben configurar contraseas slidas. Entre las buenas prcticas en materia de contraseas se incluyen las siguientes: No escribir las contraseas ni dejarlas en lugares obvios, como el escritorio o monitor. Evitar el uso de palabras del diccionario, nombres, nmeros de telfono y fechas. El uso de palabras del diccionario hace que las contraseas sean vulnerables a los ataques de diccionario. Combinar letras, nmeros y smbolos. Incluir, por lo menos, una letra minscula, una letra mayscula, un dgito y un carcter especial. Escribir mal una contrasea deliberadamente. Por ejemplo, Smith se puede escribir Smyth o tambin puede incluir nmeros, como 5mYth. Otro ejemplo podra ser Seguridad escrita 5ecur1dad. Crear contraseas largas. La mejor prctica es tener, como mnimo, ocho caracteres. Puede hacer cumplir la longitud mnima si se utiliza una caracterstica que poseen los routers del IOS de Cisco, que se analiza ms adelante en este tema. Modificar las contraseas con la mayor frecuencia posible. Debe tener una poltica que defina cundo y con qu frecuencia se deben modificar las contraseas. La modificacin de las contraseas suele tener dos ventajas. Esta prctica limita la ventana de oportunidad en que un pirata informtico puede descifrar una contrasea y limita la ventana de exposicin una vez que se ha comprometido una contrasea.

Contraseas con frases Un mtodo recomendado para crear contraseas complejas slidas es utilizar contraseas con frases. Una contrasea con frase es bsicamente una oracin o frase que sirve como contrasea ms segura. Asegrese de que la frase sea lo suficientemente larga como para que sea difcil de adivinar pero fcil de recordar y de escribir correctamente. Utilice una oracin, una cita de un libro o la letra de una cancin que pueda recordar fcilmente como base de su contrasea slida o contrasea con frase. A continuacin algunos ejemplos: Todas las personas parecen necesitar procesamiento de datos se traducira como Tlppnopdd

Mi espa favorito es James Bond 007 se traducira como MefeJB007 Fue el mejor momento, fue el peor momento se traducira como Femmfepm Llvame a la luna. Y djame jugar entre las estrellas se traducira como Lall.Ydjele

De forma predeterminada, el software IOS de Cisco deja contraseas en texto sin cifrar cuando se introducen en un router. Esto no es seguro, ya que cualquiera que pase por detrs suyo mientras observa la configuracin de un router podra espiar por encima de su hombro y ver la contrasea. Si se usa el comando enable password o el comando username username password password estas contraseas se mostraran al observar la configuracin en ejecucin. Por ejemplo: R1(config)# username Student password cisco123 R1(config)# do show run | include username username Student password 0 cisco123 R1(config)# El 0 que aparece en la configuracin en ejecucin indica que la contrasea no est oculta. Por este motivo, todas las contraseas deben estar encriptadas en un archivo de configuracin. El IOS de Cisco ofrece dos esquemas de proteccin de contraseas: Encriptacin simple, que se denomina esquema de tipo 7. Utiliza el algoritmo de encriptacin definido por Cisco y oculta la contrasea mediante el uso de un algoritmo de encriptacin simple. Encriptacin compleja, que se denomina esquema de tipo 5. Utiliza un hash MD5 ms seguro. La encriptacin del tipo 7 puede ser utilizada por los comandos enable password, username y line password, incluidos vty, line console y aux port. No ofrece una gran proteccin, ya que slo oculta la contrasea utilizando un algoritmo de encriptacin simple. Pese a que no es tan segura como la encriptacin de tipo 5, sigue siendo mejor que no utilizar ninguna encriptacin. Para encriptar contraseas mediante la encriptacin de tipo 7, use el comando de configuracin global service password-encryption como se lo muestra en la figura. Mediante este comando las contraseas que aparecen en la pantalla no son legibles. Por ejemplo: R1(config)# service password-encryption R1(config)# do show run | include username username Student password 7 03075218050061 R1(config)# El 7 que aparece en la configuracin en ejecucin indica que la contrasea est oculta. En la figura, se puede ver que la contrasea de la consola de lnea ahora est oculta.

Cisco recomienda utilizar la encriptacin de Tipo 5 en lugar de la de Tipo 7, cuando sea posible. La encriptacin MD5 es un mtodo de encriptacin fuerte. Debe ser utilizado siempre que sea posible. Se configura reemplazando la palabra clave password por secret. Por lo tanto, para proteger el nivel privilegiado EXEC tanto como sea posible, siempre debe configurar el comando enable secret como se observa en la figura. Tambin debe asegurarse de que la contrasea secreta sea nica y no coincida con ninguna otra. Un router siempre utiliza la contrasea secreta antes que la contrasea de enable. Por este motivo, el comando enable password nunca se debe configurar, ya que puede revelar la contrasea de un sistema. Nota: Si se olvida la contrasea privilegiada EXEC, entonces tendr que ejecutar el procedimiento de recuperacin de contrasea. Este procedimiento se aborda ms adelante en este captulo. Los nombres de usuario de la base de datos local tambin deben estar configurados mediante el comando de configuracin global username username secret password. Por ejemplo: R1(config)# username Student secret cisco R1(config)# do show run | include username username Student secret 5 $1$z245$lVSTJzuYgdQDJiacwP2Tv/ R1(config)# El software IOS de Cisco Versin 12.3(1) y posteriores permite que los administradores definan la longitud mnima en caracteres de todas las contraseas de los routers utilizando el comando de configuracin global security passwords min-length, como se observa en la figura. Este comando proporciona acceso con mayor seguridad al router, al permitirle que especifique una longitud mnima para las contraseas, y elimina las contraseas comunes que predominan en la mayora de las redes, como "lab" y "cisco". Este comando afecta a las contraseas de usuario nuevas, las de enable y las secretas, y las contraseas de lnea creadas una vez que el comando fue ejecutado. El comando no afecta las contraseas de routers actuales.