CONFIGURAR SSH EN ROUTER CISCO

Publicado por EicheS en 16:07:00 SSH o Security Shell es un interprete de comando seguro y cifra el trafico, haciendo inservible un ataque de sniffing. SSH provee soporte para autenticacion basada en usuario/contrasea y autenticacion basada en RSA por tal motivo supera a Telnet que envia los paquetes en texto plano. Configuracin: Router(config)#hostname ADC (Es necesario configurar el nombre del Router sino no dejar configurar SSH) ADC(config)#ip domain-name ADC.com.ve (Cisco se basa en estas 2 variables para generar las claves RSA. El nombre y el Dominio para generarlas) ADC(config)#crypto key generate rsa 1024 (Genera las claves RSA con un tamao de 1024 bits) ADC(config)#ip ssh time-out 30 (Configura el Tiempo de Espera esto es en Segundos) ADC(config)#ip ssh authentication-retries 3 (Configura un maximo de logins fallidos) ADC(config)#ip ssh version 2 (Habilitar de SSH version 2) ADC(config)#username Andeco privilege 15 password 4dcbl0g5p0t (Configura los Usuario que tendran acceso via SSH y los privilegios) ADC(config)#line vty 0 4 (Linea donde se aplicara el SSH) ADC(config-line)#transport input ssh (Activa el SSH en la Line VTY) ADC(config-line)#login local (Para que se haga uso del usuario) Comandos para verificacin ADC#show ip ssh (Muestras las opciones de SSH Activas) ADC#show ssh (Muestras los usuarios conectados por SSH) ADC(config)#logging on ADC(config)#logging console ADC(config)#exit ADC#debug ip ssh

(Habilitacin de Debugging para SSH) ADC#disconnect ssh 4 ADC#Clear Line 4 (Desconexin de Un Usuario Remoto el Numero indica la VTY)

Cliente SSH Desde El Router LinkOut#ssh -l USUARIO DIRECCION IP

Ejemplo: ADC#ssh -l Andeco 200.84.12.192

10 pasos para segurizar un dispositivo Cisco IOS

.1. Desactive aquellos servicios o protocolos que son innecesarios. Por defecto los dispositivos Cisco activan diversos servicios que son opcionales. Estos servicios son potenciales puntos de ataques de seguridad ya que permitien acceder a informacin del dispositivo. Si no son utilizados, estos servicios pueden ser fcilmente desactivados: Protocolo CDP: Router(config)#no cdp run Configuracin remota: Router(config)#no service config Servicio finger: Router(config)#no service finger Servicio web: Router(config)#no ip http server Protocolo SNMP: Router(config)#no snmp-server Protocolo BOOTP: Router(config)#no ip bootp server Servicios TCP: Router(config)#no service tcp-small-servers Servicios UDP: Router(config)#no service udp-small-servers

.2. Deshabilite las interfaces que no estn en uso. Las interfaces que no se utilizan deben estar administrativamente deshabilitadas utilizando el comando shutdown. En los routers Cisco este es el estado por defecto; por el contrario, en los switches Catalyst todos los puertos estn habilitados por defecto. En las interfaces en uso, si no son necesarios, conviene desactivar los siguientes servicios: Router(config-if)#no ip proxy-arp Router(config-if)#no ip directed-broadcast Router(config-if)#no ip mask-reply .3. Mantenga control del trfico que atraviesa el router. Bsicamente se debiera bloquear todo trfico innecesario. Sin embargo, muchas veces es difcil determinar el trfico necesario. Pero hay trfico que ciertamente no debiera ingresar o circular. Por ejemplo, cuando la red tiene un router a travs del cual se conecta a Internet; este dispositivo no debiera recibir desde Internet trfico que se origine en una direccin IP privada. Para esto, se puede implementar la siguiente lista de acceso, suponiendo que la interfaz a travs de la cual el router se conecta a Internet es la interfaz serial 0/0: Router(config)#access-list 101 deny ip 10.0.0.0 0.255.255.255 any log Router(config)#access-list 101 deny ip 172.16.0.0 0.15.255.255 any log Router(config)#access-list 101 deny ip 192.168.0.0 0.0.255.255 any log Router(config)#interface serial 0/0 Router(config-if)#description acceso a Internet Router(config-if)#ip access-group 101 in .4. Mantenga los archivos log y utilice una fuente de hora confiable. Para mantener un control del trfico que es bloqueado por las listas de acceso, es conveniente utilizar los archivos log. Estos archivos tambin pueden mantener registro de los cambios de configuracin y errores. Para mantener estos archivos almacenados en el dispositivo, el procedimiento es el siguiente: Router(config)#logging on Router(config)#logging buffered 16384 De este modo se reserva un espacio de 16 MB en la memoria RAM del dispositivo. El problema de guardar estos archivos en el router es que en caso de un reinicio del dispositivo se pierden estos archivos. Por eso conviene almacenarlos en un servidor que puede incluso ser un servidor comn a todos los dispositivos de la red. El comando para identificar este servidor es: Router(config)#logging [ip] Un elemento muy importante de informacin en los archivos log, es la marca horaria de los sucesos. Esta marca horaria puede tomarse a partir del reloj interno del dispositivo. Sin embargo, si hay varios dispositivos es muy importante que todos tomen su marca horaria de un nico servidor para poder hacer las comparaciones que puedan ser necesarias. Para activar este servicio utilice el siguiente comando:

Router(config)#service timestamps log datetime msec Router(config)#ntp server server.ntp.address .5. Implemente claves de acceso y clave de acceso al modo privilegiado. Asegrese de aplicar claves de acceso a cada uno de los puertos. Router(config)#line console 0 Router(config-line)#login Router(config-line)#password [clave] Router(config-line)#exec-timeout 0 0 Router(config)#line aux 0 Router(config-line)#login Router(config-line)#password [clave] Router(config-line)#exec-timeout 0 0 Router(config)#line vty 0 4 Router(config-line)#login Router(config-line)#password [clave] Para bloquear el acceso al modo privilegiado utilice siempre la enable secret que se encripta utilizando MD5. Router(config)#enable secret [clave] .6. Use claves complejas (robustas) y encripte las claves en texto plano. Asegrese de utilizar claves largas y con caracteres alfanumricos, lo que reduce la posibilidad de que sean violadas por un ataque de fuerza bruta. Este comando Cisco IOS le permite asegurar una longitud de caracteres mnima para cada clave: Router(config)#security password min-length 6 Asegrese de que todas las claves estn encriptadas, al menos con un algoritmo de encripcin bsico: Router(config)#service password encryption Se pueden prevenir intentos de acceso por fuerza bruta estableciendo parmetros de tiempo para el ingreso de claves en el dispositivo. En este ejemplo se define que el acceso se bloquee por 180 segundos cuando se realizan 3 intentos fallidos en un intervalo de 30 segundos. Router(config)#login block-for 180 attempts 3 within 30 .7. Controle quines pueden acceder remotamente al router. Es conveniente limitar las posibilidades de acceso remoto a la administracin de los dispositivos. Una posibilidad es limitar las direcciones IP y protocolos que se utilizan para acceder a las terminales virtuales. Por ejemplo, para permitir el acceso exclusivamente desde la red local:

Router(config)#access-list 10 permit 192.168.2.0 0.0.0.255 Router(config)#line vty 0 4 Router(config-line)#access-class 10 in .8. Utilice SSH para el acceso remoto. No es recomendable el uso de telnet o http para la administracin de los dispositivos, dado los riesgos de seguridad que esto entraa. Es altamente recomendable utilizar SSH (Secure Shell) para la administracin remota de los dispositivos ya que SSH viaja encriptado. Para habilitar SSH en un dispositivo siga los siguientes pasos: Router(config)#hostname [nombre] Router(config)#ip domain-name [nombre] Router(config)#crypto key generate rsa Router(config)#ip ssh timeout 60 Router(config)#line vty 0 4 Router(config-line)#transport input ssh Nota: Antes de intentar esta implementacin, verifique que su versin y package de Cisco IOS soportan SSH. .9. Segurice los protocolos de enrutamiento y otros servicios opcionales. A fin de evitar ataques que signifiquen modificaciones no autorizadas de las tablas de enrutamiento es recomendable utilizar protocolos que soporten una autenticacin con claves encriptadas. Por ejemplo, se puede configurar OSPF para que utilice claves encriptadas: Router(config-if)#ip ospf message-digest key [1-255] md5 [1-7] [clave] Router(config)#router ospf 1 Router(config-router)#area 0 authentication message-digest .10. Prevenga los ataques de denegacin de servicio. Un modo simple de prevenir ataques DoS comunes, es limitar el ancho de banda utilizado por los paquetes ICMP. El protocolo ICMP suele ser utilizado para inundar la red causando una denegacin de servicio. Para prevenir este tipo de ataque se pueden utilizar los comandos que se indican a continuacin en cada interfaz, de modo de limitar el ancho de banda que ser ocupado por el protocolo. En este caso, limitar a 20 Kbps la disponibilidad para trfico de ping en la interfaz serial 0/0 que tiene un ancho de banda total de 64 Kbps. Esto en la realidad depende en cada caso del ancho de banda de cada enlace y la proporcin de ese ancho de banda que se desea asignar como mximo a estos protocolos. Router(config)#access-list 101 permit icmp any any echo-reply Router(config)#access-list 101 permit icmp any any echo Router(config)#interface serial 0/0 Router(config-if)#rate-limit input access-group 101 20000 8000 8000 conform-action transmit exceed-action drop Tenga en cuenta que la prevencin de ataques de DoS es una tarea ms compleja que debe

enmarcarse en el contexto de polticas e implementaciones de seguridad. Este es solamente un tip para lograr una prevencin bsica.