Hay una variedad de comandos necesarios para desactivar servicios.

 El resultado show running­config de la figura 
proporciona una configuración de muestra de varios servicios que se han desactivado. 
A continuación, se enumeran los servicios que, normalmente, deben desactivarse. Entre éstos se destacan: 

Los servicios pequeños tales como echo, discard y chargen: use el comando no service tcp­small­servers o no service 
udp­small­servers.
BOOTP: use el comando no ip bootp server.
Finger: use el comando no service finger.
HTTP: use el comando no ip http server.
SNMP: use el comando no snmp­server. 

También es importante desactivar los servicios que permiten que determinados paquetes pasen a través del router, 
envíen paquetes especiales o se utilicen para la configuración del router remoto. Los comandos correspondientes para 
desactivar estos servicios son:

Protocolo de descubrimiento de Cisco (CDP): use el comando no cdp run. 
Configuración remota: use el comando no service config. 
Enrutamiento de origen: use el comando no ip source­route. 
Enrutamiento sin clase: use el comando no ip classless. 

Las interfaces del router pueden ser más seguras si se utilizan determinados comandos en el modo de configuración de 
interfaz:

Interfaces no utilizadas: use el comando shutdown. 
Prevención de ataques SMURF: use el comando no ip directed­broadcast. 
Enrutamiento ad hoc: use el comando no ip proxy­arp.

Vulnerabilidades de SNMP, NTP y DNS
La figura describe tres servicios de administración que también deben estar protegidos. Los métodos para desactivar o 
ajustar las configuraciones de estos servicios exceden el alcance de este curso. Estos servicios están contemplados en 
el CCNP: Curso Implementación de redes seguras y convergentes de área amplia. 
Las descripciones y las pautas para proteger estos servicios se enumeran a continuación.

SNMP

SNMP es el protocolo de Internet estándar del monitoreo y la administración remotos automatizados. Hay varias 
versiones distintas de SNMP con propiedades de seguridad diferentes. Las versiones de SNMP anteriores a la versión 
3 transportan información en forma de texto sin cifrar. Normalmente, se debe utilizar la versión 3 de SNMP.

NTP
Los routers Cisco y otros hosts utilizan NTP para mantener sus relojes con la hora del día exacta. Si es posible, los 
administradores de la red deben configurar todos los routers como parte de una jerarquía de NTP, lo que convierte a 
un router en el temporizador maestro y proporciona su hora a otros routers de la red. Si no hay una jerarquía de NTP 
disponible en la red, debe desactivar NTP.

Desactivar NTP en una interfaz no impide que los mensajes de NTP viajen a través del router. Para rechazar todos los 
mensajes de NTP en una interfaz determinada, use una lista de acceso.

DNS

El software IOS de Cisco admite la búsqueda de nombres de hosts con el Sistema de nombres de dominios (DNS). 
DNS proporciona la asignación entre nombres, como central.mydomain.com a las direcciones IP, como 14.2.9.250. 

Desafortunadamente, el protocolo DNS básico no ofrece autenticación ni aseguramiento de la integridad. De manera 
predeterminada, las consultas de nombres se envían a la dirección de broadcast 255.255.255.255.

Si hay uno o más servidores de nombres disponibles en la red y se desea utilizar nombres en los comandos del IOS de 
Cisco, defina explícitamente las direcciones del servidor de nombres utilizando el comando de configuración global ip 
name­server addresses. De lo contrario, desactive la resolución de nombres DNS con el comando no ip domain­
lookup. También es conveniente asignarle un nombre al router mediante el uso del comando hostname. El nombre 
asignado al router aparece en el indicador. 
Paso 2. Impida la recepción de actualizaciones RIP no autorizadas

Paso 3. Verifique el funcionamiento del enrutamiento RIP

Impedir la propagación de actualizaciones de enrutamiento RIP

Debe impedir que un intruso que esté escuchando en la red reciba actualizaciones a las que no tiene derecho. Debe 
hacerlo forzando todas las interfaces del router a pasar al modo pasivo y, a continuación, activando sólo aquellas 
interfaces que son necesarias para enviar y recibir actualizaciones RIP. Una interfaz en modo pasivo recibe 
actualizaciones pero no las envía. Debe configurar las interfaces en modo pasivo en todos los routers de la red. 

Haga clic en el botón Config del Paso 1.

La figura muestra los comandos de configuración necesarios para controlar qué interfaces participan en las 
actualizaciones de enrutamiento. Las actualizaciones de enrutamiento nunca deben ser publicadas en interfaces que no 
están conectadas a otros routers. Por ejemplo, las interfaces LAN del router R1 no se conectan a otros routers y, por lo 
tanto, no deben publicar actualizaciones de enrutamiento. Sólo la interfaz S0/0/0 del router R1 debe publicar 
actualizaciones de enrutamiento.

En los resultados de la pantalla, el comando passive­interface default desactiva las publicaciones de routers en todas 
las interfaces. Esto también incluye la interfaz S0/0/0. El comando no passive­interface s0/0/0 activa la interfaz S0/0/0 
para enviar y recibir actualizaciones RIP.

Haga clic en el botón Paso 2 de la figura.

Impedir la recepción de actualizaciones RIP no autorizadas

En la figura, se impide que el intruso intercepte actualizaciones RIP porque la autenticación MD5 ha sido activada en 
los routers, R1, R2 y R3; los routers que participan en las actualizaciones RIP.

Haga clic en el botón Config del Paso 2.

Los resultados muestran los comandos necesarios para configurar la autenticación del protocolo de enrutamiento en el 
router R1. Los routers R2 y R3 también deben ser configurados con estos comandos en las interfaces adecuadas. 

El ejemplo muestra los comandos necesarios para crear una cadena de claves denominada RIP_KEY. Pese a que es 
posible considerar varias claves, nuestro ejemplo muestra sólo una clave. La clave 1 está configurada para contener 
una cadena de claves denominada cisco. La cadena de claves es similar a una contraseña y los routers que 
intercambian claves de autenticación deben estar configurados con la misma cadena de claves. La interfaz S0/0/0 está 
configurada para admitir la autenticación MD5. La cadena RIP_KEY y la actualización de enrutamiento se procesan 
mediante el algoritmo MD5 para producir una firma única. 

Una vez que R1 está configurado, los otros routers reciben actualizaciones de enrutamiento encriptadas y, en 
consecuencia, ya no pueden descifrar las actualizaciones provenientes de R1. Esta condición se mantiene hasta que 
cada router de la red esté configurado con autenticación del protocolo de enrutamiento.

Haga clic en el botón Paso 3 de la figura.

Verificar el funcionamiento del enrutamiento RIP

Después de configurar todos los routers de la red, debe verificar el funcionamiento del enrutamiento RIP en la red.

Haga clic en el botón Config del Paso 3.

Al usar el comando show ip route, el resultado confirma que el router R1 se ha autenticado con los demás routers y ha 
logrado adquirir las rutas provenientes de los routers R2 y R3. 

Los routers Cisco y otros hosts utilizan NTP para mantener sus relojes con la hora del día exacta. Si es posible, los 
administradores de la red deben configurar todos los routers como parte de una jerarquía de NTP, lo que convierte a 
un router en el temporizador maestro y proporciona su hora a otros routers de la red. Si no hay una jerarquía de NTP 
disponible en la red, debe desactivar NTP.

Desactivar NTP en una interfaz no impide que los mensajes de NTP viajen a través del router. Para rechazar todos los 
mensajes de NTP en una interfaz determinada, use una lista de acceso.

DNS

El software IOS de Cisco admite la búsqueda de nombres de hosts con el Sistema de nombres de dominios (DNS). 
DNS proporciona la asignación entre nombres, como central.mydomain.com a las direcciones IP, como 14.2.9.250. 
El archivo de la imagen IOS de Cisco se basa en una norma de denominación especial. El nombre del archivo de 
imagen del IOS de Cisco contiene varias partes, cada una con un significado específico. Es importante que comprenda 
esta norma de denominación al actualizar y seleccionar un IOS.

Por ejemplo, el nombre de archivo de la figura se explica de la siguiente manera:

La primera parte, c1841, identifica la plataforma en la que se ejecuta la imagen. En este ejemplo, la plataforma es una 
Cisco 1841.
La segunda parte, ipbase, especifica el conjunto de características. En este caso, "ipbase" hace referencia a la imagen 
básica de internetworking de IP. Otros posibles conjuntos de características son:

i: designa el conjunto de características IP

j : designa el conjunto de características empresariales (todos los protocolos)s: designa un conjunto de características 
PLUS (más colas, manipulación o traducciones)

56i: designa la encriptación DES de IPsec de 56 bits

3: designa el firewall/IDS

k2: designa la encriptación 3DES de IPsec (168 bits)

La tercera parte, mz, indica el lugar en que se ejecuta la imagen y si el archivo está comprimido. En este ejemplo, 
"mz" indica que el archivo se ejecuta desde la RAM y está comprimido.

La cuarta parte, 12.3­14.T7, es el número de versión. 

La parte final, bin, es la extensión del archivo. La extensión .bin indica que se trata de un archivo binario ejecutable.

Restauración de las imágenes del software IOS

Un router no funciona sin su software IOS de Cisco. Si se elimina o se daña el IOS, un administrador debe copiar una 
imagen en el router para que funcione nuevamente. 
Una forma de lograrlo sería utilizar la imagen del IOS de Cisco que se guardó anteriormente en el servidor TFTP. En 
el ejemplo de la figura, se hizo una copia de seguridad de la imagen del IOS de R1 en un servidor TFTP conectado a 
R2. R1 no logra conectarse a ese servidor TFTP en su estado actual. 

Cuando un IOS de un router se elimina accidentalmente de la memoria flash, el router sigue funcionando porque IOS 
se está ejecutando en la memoria RAM. Sin embargo, es esencial que el router no se reinicie en este momento, ya que 
no podría encontrar un IOS válido en flash. 
En la figura, el IOS del router R1 se ha eliminado accidentalmente de la memoria flash. Desafortunadamente, el router 
se ha reiniciado y ya no puede cargar un IOS. Ahora está cargando el indicador de ROMmon predeterminado. 
Mientras se encuentra en este estado, el router R1 necesita recuperar el IOS que se había copiado anteriormente en el 
servidor TFTP conectado a R2. En esta situación, el servidor TFTP se conecta directamente al router R1. Una vez 
realizados los preparativos con el servidor TFTP, lleve a cabo el siguiente procedimiento.

Paso 1. Conecte los dispositivos.

Conecte la PC del administrador del sistema al puerto de consola del router afectado.
Conecte el servidor TFTP al primer puerto Ethernet del router. En la figura, R1 es un router Cisco 1841; por lo tanto, 
el puerto es Fa0/0. Active el servidor TFTP y configúrelo con la dirección IP estática 192.168.1.1/24. 
Paso 2. Inicie el router y defina las variables de ROMmon.

Dado que el router no tiene una imagen del IOS de Cisco válida, el router arranca automáticamente en el modo 
ROMmon. Hay muy pocos comandos disponibles en el modo ROMmon. Puede verlos al escribir ? en el indicador de 
comando rommon>. 

Debe escribir todas las variables que se enumeran en la figura. Cuando escribe las variables de ROMmon, tenga en 
cuenta lo siguiente:

Los nombres de variables hacen distinción entre mayúsculas y minúsculas.
No incluya ningún espacio antes o después del símbolo =.
Cuando sea posible, use un editor de texto para cortar y pegar las variables en la ventana de terminal. Debe escribir la 
línea completa correctamente.
Las teclas de navegación no funcionan.

Ahora, el router R1 debe estar configurado con los valores adecuados para conectarse al servidor TFTP. La sintaxis de 
los comandos de ROMmon es esencial. Si bien las direcciones IP, la máscara de subred y el nombre de la imagen de la 
figura son sólo ejemplos, es esencial respetar la sintaxis que se muestra al configurar el router. Tenga en cuenta que las 
variables reales cambian según su configuración.

Cuando haya escrito las variables, continúe con el paso siguiente.

Paso 3. Introduzca el comando tftpdnld en el indicador de ROMmon.

El comando muestra las variables de entorno necesarias y advierte que se borran todos los datos existentes en la 
memoria flash. Escriba y para seguir y presione Intro. El router intenta conectarse al servidor TFTP para comenzar la 
descarga. Cuando esté conectado, la descarga comienza según lo indicado por las marcas del signo de exclamación (!). 
Cada ! indica que el router ha recibido un segmento UDP.

Puede utilizar el comando reset para volver a cargar el router con la nueva imagen del IOS de Cisco.