Siguiendo la línea de tutoriales para montar tu mediana red empresarial vamos a tocar uno de los primeros temas en la curricula del CCNA. Cómo segurizamos de forma básica un router.
La idea de de esta guía es que te sea útil tanto si recién estas comenzando en redes como si eres un profesional de TI que busca fortalecer la seguridad de la infraestructura de red.
Empiezo por Cisco
1 – Cisco Autosegure
Router> enable
Router# configure terminal
Router(config)# auto secureEste comando inicia un proceso interactivo que guiará al usuario a través de la configuración de varias características de seguridad, tales como firewall, ACLs, y seguridad de puertos. Antes de guardar el running-config probá todo ya que AutoSecure modificá la configuración del router completamente..
2 – Generar contraseñas seguras
Es fundamental establecer contraseñas fuertes para proteger el acceso a los dispositivos de red. No solo tu router, todos los dispositivos de red. Recordá elegir tu password mezclando letras, números y carácters especiales y no repitas carácteres.
Router(config)# username admin password 0 StrongPassword!Asignamos una contraseña para el usuario «admin». No te olvides de reemplazar StrongPassword! por una contraseña que combine letras, números y carácteres para aumentar su fortaleza.
3 – Seguridad Adicional
a. Encriptar las password en texto plano
Router(config)# service password-encryptionActiva la cifrado de todas las contraseñas en la configuración, lo que previene que se muestren en texto claro.
b. Longitud Mínima de la Contraseña
Router(config)# security passwords min-length 10Establece una longitud mínima de 10 caracteres para las contraseñas, asegurando que todas las contraseñas creadas sean robustas.
c. No Permitir Ataques de Fuerza Bruta
Limitemos los intentos de acceso fallidos, se puede configurar el tiempo de espera o el bloqueo de cuentas.
Router(config)# login block-for 120 attempts 3 within 60Bloquea el inicio de sesión por 120 segundos si se detectan 3 intentos fallidos dentro de un periodo de 60 segundos.
d. Deshabilitar el EXEC Privilegiado
En caso de que te levantes apurado y te olvides la sesión abierta en modo exec privilegiado, la idea sería que se bloquee automaticamente para evitar que alguien al pasar tome tu sesión y haga maldades.
Router(config)# exec-timeout 10 0Establece un tiempo de inactividad de 10 minutos después del cual la sesión se cerrará automáticamente.
4 – Habilitar SSH
Habilitar SSH en lugar de Telnet es fundamental para asegurar las comunicaciones de gestión de dispositivos. Por defecto IOS viene con telnet habilitado. Lo cerramos y dejaremos solo corriendo ssh.
Router(config)# ip domain-name example.com
Router(config)# crypto key generate rsa
Router(config)# ip ssh version 2
Router(config)# line vty 0 4
Router(config-line)# transport input sshEstos comandos configuran SSH versión 2, que es más seguro que la versión 1. El dominio y las claves RSA son necesarios para habilitar SSH.
5 – Deshabilitar Servicios No Utilizados
Router(config)# no service tcp-small-servers
Router(config)# no service udp-small-serversEstos comandos deshabilitan servicios que no son necesarios para la mayoría de los routers de Cisco actuales, cerrando puertos potencialmente vulnerables.
En routers antiguos quizás con:
Router# show ip ports all
#Muestra algo como esto:
Proto Local Address Foreign Address State PID/Program Name
TCB Local Address Foreign Address (state)
tcp :::443 :::* LISTEN 309/[IOS]HTTP CORE
tcp *:443 *:* LISTEN 309/[IOS]HTTP CORE
udp *:67 0.0.0.0:0 387/[IOS]DHCPD Receive
#Con el siguietne comando deshabilitamos los servicios que no usamos y soporte cisco. Reemplazar http por dhcp, etc.
no ip http serverEsta es una guía rápida para asegurar tu router. Antes de salir no olvides probar todo y luego:
copy running-config startup-configTuve que ponerme a revisar documentación de todo porque había muchas opciones que no recordaba así que agendá la página para tener todo a mano cuando te toque a vos.
Si necesitas una mano no dudes en escribirme!