CCNA SECURITY TEMA 2

Router de borde:
Es el ltimo router entre la red interna y una red de confianza como Internet. Funciona como la
primera y ltima lnea de defensa de una red. Es responsable de implementar las acciones de
seguridad que estn basadas en las polticas de seguridad de la organizacin. La implementacin
del router de borde vara en funcin del tamao de la organizacin y la complejidad del diseo
de red requerido. Existen dos enfoques:

Enfoque de un solo router: un solo router conecta la red protegida, o LAN interna a
Internet. Todas las polticas de seguridad estn configuradas en este dispositivo, se
implementa en redes pequeas. Las funciones de seguridad pueden ser soportads por ISRs
para no comprometer al router.
Enfoque de defensa profunda: el router de borde acta como la primera lnea de defensa
(screening router). Tiene un conjunto de reglas que especifican qu trfico se permite y se
deniega. Enva al firewall, que es la segunda lnea de defensa todas las conexiones dirigidas
a la LAN.
Enfoque DMZ: Variacin con una zona desmilitarizada (DMZ) en la que se alojan los
servidores que deben ser accesibles desde Internet conectados al dispositivo firewall.

Seguridad para los routers:

Ubicar router y dispositivos fsicos conectados a el en sitios con acceso restringido.

Sistemas SAI.
Seguridad de las funciones y rendimiento de los sistemas operativos de los routers.
Configuracin de router con la mxima cantidad de memoria posible.
Copias de seguridad del SO del router.
Hardening del router.
Eliminacin de abusos de puertos y deshabilitar interfaces y servicios no utlizados.
Asegurar el acceso no permitido.
Restringir accesibilidad limitando puertos administrativos.
Acceso autenticado y limitacin de numero de intentos de ingreso fallidos.

Acceso local y remoto:

Todos los dispositivos de la red pueden ser accedidos de forma local, y algunos de forma remota
mediante conexiones Telnet, SSH, HTTP, HTTPS o SNMP.
Se prefiere acceso local al router, pero es necesario tener tambin acceso remoto a ste.
Hay que utilizar contraseas de ms de 10 caracteres de longitud, y establecer una red dedicada
solamente a la administracin de dicha red.

Para aumentar la seguridad de las contraseas:

Establecer longitudes mnimas de contraseas

Deshabilitar conexiones no utilizadas.
Cifrar todas las contraseas en el archivo de configuracin.
Limitar la cantidad de tiempo de conexiones de consola activas.

Otra opcin de seguridad es la autenticacin:

Username nombre password contrasea, o
Username nombre secret contrasea

Mejoras de seguridad de ingreso virtual (vty):

Retardos entre intentos de ingreso sucesivos.

Cierre de sesin si se sospechan ataques de DoS.
Generacin de mensajes de registro del sistema para deteccin de sesiones.

Configuracin de SSH:
Hay que completar 4 pasos antes de configurar SSH en un router:
1.
2.
3.
4.

Todos los routers tiene que estar ejecutando una imagen del IOS 12.1 o posterior.
Los routers destino deben tener un nombre de host unico.
Los routers destino tiene que usar un nombre de dominio correcto para la red.
Los routers destino tiene que estar configurados para autenticacin local o servicios
AAA para autenticacin de usuario y contrasea.

CONFIGURAR SSH EN UN ROUTER:

Configurar seguridad para lineas virtuales:

Router# configure terminal
Router(config)# login block-for seconds attempts tries within seconds
Router(config)# login quiet-mode access-class {acl-name | acl-number}
Router(config)# login delay seconds
Router(config)# login on-failure log [every login]
Router(config)# login on-success log [every login]

CONFIGURA NIVELES DE PRIVILEGIOS:

configurar nivel 10:

configurar nivel 15:

Comando para proteger el IOS del router y que no le puedan borrar:

para desactivarlo:

Restore the secure configuration to the supplied filename using the secure boot-config restore
filename command.

Configurar NTP en un router:

Comandos:

NTP SERVER

NTP MASTER: