Beruflich Dokumente
Kultur Dokumente
Actividad de Clase
Tpicos de Redes
Paso 1. Conctelo al puerto de consola. Paso 2. Si perdi la contrasea enable, todava tendr acceso al modo EXEC de usuario. Escriba el comando show version cuando aparezca la indicacin y guarde los parmetros de registro de configuracin. R>#show version <show command output omitted> El registro de configuracin es 0x2102 R1> Generalmente, el registro de configuracin se define en 0x2102 0x102. Si ya no puede obtener acceso al router (debido a que perdi la contrasea TACACS o de conexin), puede suponer con seguridad que su registro de configuracin est definido en 0x2102. Paso 3. Use el interruptor de alimentacin para apagar el router y, a continuacin, vuelva a encender el router. Paso 4. Presione Pausa en el teclado del terminal dentro de los 60 segundos desde el encendido para colocar el router dentro de ROMmon. Paso 5. Escriba confreg 0x2142 en la ventana rommon 1>. Esto hace que el router ignore la configuracin de inicio donde se almacena la contrasea enable olvidada. Paso 6. Escriba reset en la ventana rommon 2>. El router se reinicia, pero ignora la configuracin guardada. Paso 7. Escriba no despus de cada pregunta de configuracin, o presione Ctrl-C para saltear el procedimiento de configuracin inicial. Paso 8. Escriba enable cuando aparezca el indicador Router>. Esto lo coloca en el modo enable y debe poder ver el indicador Router#. Paso 9. Escriba copy startup-config running-config para copiar la NVRAM en la memoria. Tenga cuidado. No escriba copy running-config startup-config porque borra su configuracin de inicio. Paso 10. Escriba show running-config. En esta configuracin, el comando shutdown aparece debajo de todas las interfaces, porque todas estn actualmente cerradas. Lo que es ms importante, ahora puede ver las contraseas (contrasea enable, enable secret, vty, contraseas de consola) ya sea en formato encriptado o no encriptado. Puede volver a usar las contraseas sin encriptar. Debe cambiar las contraseas encriptadas por una nueva contrasea.
Paso 11.Escriba configure terminal. Aparece la ventana hostname(config)#. Paso 12. Escriba enable secret password para modificar la contrasea enable secret. Por ejemplo: R1(config)# enable secret cisco Paso 13. Emita el comando no shutdown en cada interfaz que desee utilizar. Puede emitir un comando show ip interface brief para confirmar que la configuracin de su interfaz sea correcta. Cada interfaz que desee utilizar debe mostrar activado. Paso 14. Escriba config-register configuration_register_setting. configuration_register_setting es el valor que registr en el Paso 2 0x2102 . Por ejemplo: R1(config)#config-register 0x2102 Paso 15. Presione Ctrl-Z o escriba end para abandonar el modo de configuracin. Aparece la ventana hostname#. Paso 16. Escriba copy running-config startup-config para realizar los cambios. Ha finalizado la recuperacin de contraseas. Al introducir el comando show version confirma que el router utilizar los parmetros del registro de configuracin establecidos la prxima vez que se reinicie.
Paso 2. Inicie el router y defina las variables de ROMmon. El router arranca automticamente en el modo ROMmon. Debe escribir todas las variables necesarias. Cuando escribe las variables de ROMmon, tenga en cuenta lo siguiente: o Los nombres de variables hacen distincin entre maysculas y minsculas. o No incluya ningn espacio antes o despus del smbolo =. o Cuando sea posible, use un editor de texto para cortar y pegar las variables en la ventana de terminal. Debe escribir la lnea completa correctamente. o Las teclas de navegacin no funcionan. Ahora, el router R1 debe estar configurado con los valores adecuados para conectarse al servidor TFTP.
Paso 3. Introduzca el comando tftpdnld en el indicador de ROMmon. El comando muestra las variables de entorno necesarias y advierte que se borran todos los datos existentes en la memoria flash. Escriba y para seguir y presione Intro. El router intenta conectarse al servidor TFTP para comenzar la descarga. Cuando est conectado, la descarga comienza segn lo indicado por las marcas del signo de exclamacin (!). Cada ! indica que el router ha recibido un segmento UDP. Puede utilizar el comando reset para volver a cargar el router con la nueva imagen del IOS de Cisco.
Uso de xmodem para restaurar una imagen del IOS Otro mtodo para restaurar una imagen del IOS de Cisco en un router es utilizar Xmodem. Sin embargo, la transferencia del archivo se logra mediante el cable de la consola y, por lo tanto, es muy lenta en comparacin con el comando tftpdnld. Si se pierde la imagen del IOS de Cisco, el router cambia al modo ROMmon cuando arranca. ROMmon es compatible con Xmodem. Con esa capacidad, el router puede comunicarse con una aplicacin de emulacin de terminal, como HyperTerminal, en la PC del administrador del sistema. Un administrador del sistema que tiene una copia de la imagen del IOS de Cisco en una PC puede restaurarla al router
estableciendo una conexin de consola entre la PC y el router, y ejecutando Xmodem desde HyperTerminal. Los pasos que sigue el administrador son los siguientes: Paso 1. Conecte la PC del administrador del sistema al puerto de consola del router afectado. Abra una sesin de emulacin de terminal entre el router R1 y la PC del administrador del sistema. Paso 2. Inicie el router y emita el comando xmodem en el indicador de ROMmon. La sintaxis del comando es xmodem [-cyr] [nombre de archivo]. Acepte todas las solicitudes cuando se le indique. Paso 3. Seleccione Transfer > Send File. Paso 4. Explore la ubicacin de la imagen del IOS de Cisco que desea transferir y elija el protocolo Xmodem. Haga clic en Send. Aparece un cuadro de dilogo en donde se muestra el estado de la descarga. El host y el router comienzan a transferir la informacin despus de varios segundos. Cuando comienza la descarga, los campos Paquete y Transcurrido aumentan. Preste atencin al indicador del tiempo restante estimado. El tiempo de descarga podra mejorarse drsticamente si modifica la velocidad de la conexin de HyperTerminal y del router de 9600 bps a 115 000 bps. Cuando finaliza la transferencia, el router se vuelve a cargar automticamente con el nuevo IOS de Cisco.
BUENAS PRCTICAS DE SEGURIDAD PARA QUE NO SEAMOS VULNERADOS CON LOS MECANISMOS DE QUE DISPONE CISCO DE RECUPERACIN.
La mayora de los incidentes de seguridad se producen porque los administradores de sistemas no implementan las medidas correctivas disponibles, y los agresores o los empleados descontentos explotan el descuido. Por lo tanto, el problema no es solamente confirmar la existencia de una vulnerabilidad tcnica y encontrar una medida correctiva que funcione, tambin es fundamental verificar que dicha medida se implemente y funcione correctamente. Para ayudar en el cumplimiento de una poltica de seguridad, la Rueda de seguridad, un proceso continuo, ha demostrado ser un enfoque eficaz. La Rueda de seguridad promueve la repeticin de las pruebas y de la aplicacin de medidas de seguridad actualizadas continuamente. Para comenzar con el proceso de la Rueda de seguridad, en primer lugar, desarrolle una poltica de seguridad que permita la aplicacin de medidas de seguridad. Una poltica de seguridad tiene las siguientes funciones: Identificar los objetivos de seguridad de la organizacin. Documentar los recursos que se deben proteger. Identificar la infraestructura de la red con mapas e inventarios actuales. Identificar los recursos crticos que deben protegerse, como recursos de investigacin y desarrollo, financieros y humanos. Esto se denomina anlisis de riesgo.
La poltica de seguridad es el hub en el cual se basan los cuatro pasos de la Rueda de seguridad. Los pasos son asegurar, controlar, probar y mejorar. Paso 1: Asegurar Asegurar la red mediante la aplicacin de la poltica de seguridad y de las siguientes soluciones de seguridad: Defensa contra amenazas o Inspeccin con estado y filtrado de paquetes: filtre el trfico de la red para permitir solamente trfico y servicios vlidos. o Parches para vulnerabilidades: aplique modificaciones o medidas para detener la explotacin de las vulnerabilidades conocidas. o Desactivacin de los servicios innecesarios: cuanto menor sea la cantidad de servicios activados, ms difcil ser para los agresores obtener acceso. Conectividad segura o VPN: encripte el trfico de la red para impedir la divulgacin no deseada a personas no autorizadas o maliciosas. o Confianza e identidad: implemente restricciones estrictas sobre los niveles de confianza dentro de una red. Por ejemplo, los sistemas que se encuentran dentro de un firewall no pueden confiar completamente en los sistemas que se encuentran fuera de un firewall. o Autenticacin: proporcione acceso slo a los usuarios autorizados. Un ejemplo de esto es el uso de contraseas que se pueden utilizar por nica vez. o Cumplimiento de polticas: asegrese de que los usuarios y los dispositivos finales cumplan con la poltica de la empresa.
Paso 2: Controlar Controlar la seguridad involucra mtodos activos y pasivos de detectar violaciones de seguridad. El mtodo activo ms utilizado es la auditora de los archivos de registro a nivel del host. La mayora de los sistemas operativos incluyen la funcin de auditora. Los administradores de sistemas deben activar el sistema de auditora para cada uno de los hosts de la red y tomarse el tiempo necesario para controlar e interpretar las entradas de los archivos de registro. Entre los mtodos pasivos se encuentra el uso de dispositivos IDS para detectar intrusiones automticamente. Este mtodo requiere menos atencin por parte de los administradores de seguridad de la red que los mtodos activos. Estos sistemas pueden detectar violaciones a la seguridad en tiempo real y se pueden configurar para responder automticamente antes de que un intruso provoque daos. Un beneficio adicional del control de la red es la verificacin de que las medidas de seguridad implementadas en el paso 1 de la Rueda de seguridad se hayan configurado y estn funcionando correctamente. Paso 3: Probar En la fase de pruebas de la Rueda de seguridad, las medidas de seguridad se someten a pruebas de manera proactiva. Particularmente, se verifica la funcionalidad de las soluciones de seguridad implementadas en el paso 1 y los mtodos de auditora y deteccin de intrusin del sistema, implementados en el paso 2. Las herramientas de evaluacin de las vulnerabilidades, como SATAN, Nessus o Nmap son tiles para probar las medidas de seguridad de la red peridicamente a nivel de la red o del host. Paso 4: Mejorar La fase de mejoras de la Rueda de seguridad implica el anlisis de los datos recopilados durante las fases de control y de prueba. Este anlisis contribuye al desarrollo y a la implementacin de mecanismos de mejoras que intensifican la poltica de seguridad y tiene como consecuencia la adicin de tems al paso 1. Para mantener una red lo ms segura posible, el ciclo de la Rueda de seguridad debe repetirse continuamente, porque todos los das aparecen nuevas vulnerabilidades y riesgos en la red. Con la informacin compilada a partir de las fases de control y de pruebas, los IDS pueden ser utilizados para implementar mejoras a la seguridad. La poltica de seguridad debe modificarse a medida que se descubren nuevas vulnerabilidades y nuevos riesgos.
Contraseas con frases Un mtodo recomendado para crear contraseas complejas slidas es utilizar contraseas con frases. Una contrasea con frase es bsicamente una oracin o frase que sirve como contrasea ms segura. Asegrese de que la frase sea lo suficientemente larga como para que sea difcil de adivinar pero fcil de recordar y de escribir correctamente. Utilice una oracin, una cita de un libro o la letra de una cancin que pueda recordar fcilmente como base de su contrasea slida o contrasea con frase. A continuacin algunos ejemplos: Todas las personas parecen necesitar procesamiento de datos se traducira como Tlppnopdd
Mi espa favorito es James Bond 007 se traducira como MefeJB007 Fue el mejor momento, fue el peor momento se traducira como Femmfepm Llvame a la luna. Y djame jugar entre las estrellas se traducira como Lall.Ydjele
De forma predeterminada, el software IOS de Cisco deja contraseas en texto sin cifrar cuando se introducen en un router. Esto no es seguro, ya que cualquiera que pase por detrs suyo mientras observa la configuracin de un router podra espiar por encima de su hombro y ver la contrasea. Si se usa el comando enable password o el comando username username password password estas contraseas se mostraran al observar la configuracin en ejecucin. Por ejemplo: R1(config)# username Student password cisco123 R1(config)# do show run | include username username Student password 0 cisco123 R1(config)# El 0 que aparece en la configuracin en ejecucin indica que la contrasea no est oculta. Por este motivo, todas las contraseas deben estar encriptadas en un archivo de configuracin. El IOS de Cisco ofrece dos esquemas de proteccin de contraseas: Encriptacin simple, que se denomina esquema de tipo 7. Utiliza el algoritmo de encriptacin definido por Cisco y oculta la contrasea mediante el uso de un algoritmo de encriptacin simple. Encriptacin compleja, que se denomina esquema de tipo 5. Utiliza un hash MD5 ms seguro. La encriptacin del tipo 7 puede ser utilizada por los comandos enable password, username y line password, incluidos vty, line console y aux port. No ofrece una gran proteccin, ya que slo oculta la contrasea utilizando un algoritmo de encriptacin simple. Pese a que no es tan segura como la encriptacin de tipo 5, sigue siendo mejor que no utilizar ninguna encriptacin. Para encriptar contraseas mediante la encriptacin de tipo 7, use el comando de configuracin global service password-encryption como se lo muestra en la figura. Mediante este comando las contraseas que aparecen en la pantalla no son legibles. Por ejemplo: R1(config)# service password-encryption R1(config)# do show run | include username username Student password 7 03075218050061 R1(config)# El 7 que aparece en la configuracin en ejecucin indica que la contrasea est oculta. En la figura, se puede ver que la contrasea de la consola de lnea ahora est oculta.
Cisco recomienda utilizar la encriptacin de Tipo 5 en lugar de la de Tipo 7, cuando sea posible. La encriptacin MD5 es un mtodo de encriptacin fuerte. Debe ser utilizado siempre que sea posible. Se configura reemplazando la palabra clave password por secret. Por lo tanto, para proteger el nivel privilegiado EXEC tanto como sea posible, siempre debe configurar el comando enable secret como se observa en la figura. Tambin debe asegurarse de que la contrasea secreta sea nica y no coincida con ninguna otra. Un router siempre utiliza la contrasea secreta antes que la contrasea de enable. Por este motivo, el comando enable password nunca se debe configurar, ya que puede revelar la contrasea de un sistema. Nota: Si se olvida la contrasea privilegiada EXEC, entonces tendr que ejecutar el procedimiento de recuperacin de contrasea. Este procedimiento se aborda ms adelante en este captulo. Los nombres de usuario de la base de datos local tambin deben estar configurados mediante el comando de configuracin global username username secret password. Por ejemplo: R1(config)# username Student secret cisco R1(config)# do show run | include username username Student secret 5 $1$z245$lVSTJzuYgdQDJiacwP2Tv/ R1(config)# El software IOS de Cisco Versin 12.3(1) y posteriores permite que los administradores definan la longitud mnima en caracteres de todas las contraseas de los routers utilizando el comando de configuracin global security passwords min-length, como se observa en la figura. Este comando proporciona acceso con mayor seguridad al router, al permitirle que especifique una longitud mnima para las contraseas, y elimina las contraseas comunes que predominan en la mayora de las redes, como "lab" y "cisco". Este comando afecta a las contraseas de usuario nuevas, las de enable y las secretas, y las contraseas de lnea creadas una vez que el comando fue ejecutado. El comando no afecta las contraseas de routers actuales.