{"id":1193,"date":"2024-04-16T10:00:00","date_gmt":"2024-04-16T13:00:00","guid":{"rendered":"https:\/\/www.nerdadas.com\/blog\/?p=1193"},"modified":"2024-04-12T21:27:23","modified_gmt":"2024-04-13T00:27:23","slug":"protegiendo-nuestro-router-cisco-hardening","status":"publish","type":"post","link":"https:\/\/www.nerdadas.com\/blog\/protegiendo-nuestro-router-cisco-hardening\/","title":{"rendered":"Protegiendo nuestro Router Cisco (Hardening)"},"content":{"rendered":"\n

Siguiendo la l\u00ednea de tutoriales para montar tu mediana red empresarial vamos a tocar uno de los primeros temas en la curricula del CCNA. C\u00f3mo segurizamos de forma b\u00e1sica un router.<\/p>\n\n\n\n

La idea de de esta gu\u00eda es que te sea \u00fatil tanto si reci\u00e9n estas comenzando en redes como si eres un profesional de TI que busca fortalecer la seguridad de la infraestructura de red.<\/p>\n\n\n\n

\"\"<\/a><\/figure>\n\n\n\n

Empiezo por Cisco<\/strong><\/p>\n\n\n\n

1 – Cisco Autosegure<\/strong><\/p>\n\n\n\n

Router> enable\nRouter# configure terminal\nRouter(config)# auto secure<\/code><\/pre>\n\n\n\n
Este comando inicia un proceso interactivo que guiar\u00e1 al usuario a trav\u00e9s de la configuraci\u00f3n de varias caracter\u00edsticas de seguridad, tales como firewall, ACLs, y seguridad de puertos. Antes de guardar el running-config prob\u00e1 todo ya que AutoSecure modific\u00e1 la configuraci\u00f3n del router completamente..<\/p>\n\n\n\n
2 – Generar contrase\u00f1as seguras
<\/strong>Es fundamental establecer contrase\u00f1as fuertes para proteger el acceso a los dispositivos de red. No solo tu router, todos los dispositivos de red. Record\u00e1 elegir tu password mezclando letras, n\u00fameros y car\u00e1cters especiales y no repitas car\u00e1cteres.<\/p>\n\n\n\n
Router(config)# username admin password 0 StrongPassword!<\/code><\/pre>\n\n\n\n
Asignamos una contrase\u00f1a para el usuario \u00abadmin\u00bb. No te olvides de reemplazar StrongPassword! por una contrase\u00f1a que combine letras, n\u00fameros y car\u00e1cteres para aumentar su fortaleza.<\/p>\n\n\n\n
3 – Seguridad Adicional<\/strong><\/p>\n\n\n\n
a. Encriptar las password en texto plano<\/strong><\/p>\n\n\n\n
Router(config)# service password-encryption<\/code><\/pre>\n\n\n\n
Activa la cifrado de todas las contrase\u00f1as en la configuraci\u00f3n, lo que previene que se muestren en texto claro.<\/p>\n\n\n\n
b. Longitud M\u00ednima de la Contrase\u00f1a<\/strong><\/p>\n\n\n\n
Router(config)# security passwords min-length 10<\/code><\/pre>\n\n\n\n
Establece una longitud m\u00ednima de 10 caracteres para las contrase\u00f1as, asegurando que todas las contrase\u00f1as creadas sean robustas.<\/p>\n\n\n\n
c. No Permitir Ataques de Fuerza Bruta
<\/strong>Limitemos los intentos de acceso fallidos, se puede configurar el tiempo de espera o el bloqueo de cuentas.<\/p>\n\n\n\n
Router(config)# login block-for 120 attempts 3 within 60<\/code><\/pre>\n\n\n\n
Bloquea el inicio de sesi\u00f3n por 120 segundos si se detectan 3 intentos fallidos dentro de un periodo de 60 segundos.<\/p>\n\n\n\n
d. Deshabilitar el EXEC Privilegiado
<\/strong>En caso de que te levantes apurado y te olvides la sesi\u00f3n abierta en modo exec privilegiado, la idea ser\u00eda que se bloquee automaticamente para evitar que alguien al pasar tome tu sesi\u00f3n y haga maldades.<\/p>\n\n\n\n
Router(config)# exec-timeout 10 0<\/code><\/pre>\n\n\n\n
Establece un tiempo de inactividad de 10 minutos despu\u00e9s del cual la sesi\u00f3n se cerrar\u00e1 autom\u00e1ticamente.<\/p>\n\n\n\n
4 – Habilitar SSH<\/strong><\/p>\n\n\n\n
Habilitar SSH en lugar de Telnet es fundamental para asegurar las comunicaciones de gesti\u00f3n de dispositivos. Por defecto IOS viene con telnet habilitado. Lo cerramos y dejaremos solo corriendo ssh.<\/p>\n\n\n\n
Router(config)# ip domain-name example.com\nRouter(config)# crypto key generate rsa\nRouter(config)# ip ssh version 2\nRouter(config)# line vty 0 4\nRouter(config-line)# transport input ssh<\/code><\/pre>\n\n\n\n
Estos comandos configuran SSH versi\u00f3n 2, que es m\u00e1s seguro que la versi\u00f3n 1. El dominio y las claves RSA son necesarios para habilitar SSH.<\/p>\n\n\n\n
    \n
  1. <\/li>\n<\/ol>\n\n\n\n
    5 – Deshabilitar Servicios No Utilizados<\/strong><\/p>\n\n\n\n
    Router(config)# no service tcp-small-servers\nRouter(config)# no service udp-small-servers<\/code><\/pre>\n\n\n\n
    Estos comandos deshabilitan servicios que no son necesarios para la mayor\u00eda de los routers de Cisco actuales, cerrando puertos potencialmente vulnerables.<\/p>\n\n\n\n
    En routers antiguos quiz\u00e1s con:<\/p>\n\n\n\n
    Router# show ip ports all<\/strong>\n#Muestra algo como esto:\nProto Local Address Foreign Address State PID\/Program Name\nTCB Local Address Foreign Address (state)\ntcp :::443 :::* LISTEN 309\/[IOS]HTTP CORE\ntcp *:443 *:* LISTEN 309\/[IOS]HTTP CORE\nudp *:67 0.0.0.0:0 387\/[IOS]DHCPD Receive\n#Con el siguietne comando deshabilitamos los servicios que no usamos y soporte cisco. Reemplazar http por dhcp, etc.\nno ip http server<\/code><\/pre>\n\n\n\n
    Esta es una gu\u00eda r\u00e1pida para asegurar tu router. Antes de salir no olvides probar todo y luego:<\/p>\n\n\n\n
    copy running-config startup-config<\/code><\/pre>\n\n\n\n
    Tuve que ponerme a revisar documentaci\u00f3n de todo porque hab\u00eda muchas opciones que no recordaba as\u00ed que agend\u00e1 la p\u00e1gina para tener todo a mano cuando te toque a vos.<\/p>\n\n\n\n
    Si necesitas una mano no dudes en escribirme!<\/p>\n","protected":false},"excerpt":{"rendered":"
    Siguiendo la l\u00ednea de tutoriales para montar tu mediana red empresarial vamos a tocar uno de los primeros temas en la curricula del CCNA. C\u00f3mo segurizamos de forma b\u00e1sica un router.<\/p>\n
    La idea de de esta gu\u00eda es que te sea \u00fatil tanto si reci\u00e9n estas comenzando en redes como si eres un profesional de TI que busca fortalecer la seguridad de la infraestructura de red.<\/p>\n","protected":false},"author":1,"featured_media":1202,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1241,64,1223,161,1,17,804],"tags":[1237,1148,282,210,10,242,1240,569,1064,1238,869,138,1239],"class_list":["post-1193","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-hardening","category-ideas","category-redes","category-seguridad","category-sin-categoria","category-tecnologia","category-ti","tag-ccna","tag-cisco","tag-hack","tag-hacker","tag-jeremias-palazzesi","tag-network","tag-networking","tag-redes","tag-router","tag-routers","tag-seguridad","tag-trabajo","tag-working"],"_links":{"self":[{"href":"https:\/\/www.nerdadas.com\/blog\/wp-json\/wp\/v2\/posts\/1193","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.nerdadas.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.nerdadas.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.nerdadas.com\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.nerdadas.com\/blog\/wp-json\/wp\/v2\/comments?post=1193"}],"version-history":[{"count":7,"href":"https:\/\/www.nerdadas.com\/blog\/wp-json\/wp\/v2\/posts\/1193\/revisions"}],"predecessor-version":[{"id":1231,"href":"https:\/\/www.nerdadas.com\/blog\/wp-json\/wp\/v2\/posts\/1193\/revisions\/1231"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.nerdadas.com\/blog\/wp-json\/wp\/v2\/media\/1202"}],"wp:attachment":[{"href":"https:\/\/www.nerdadas.com\/blog\/wp-json\/wp\/v2\/media?parent=1193"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.nerdadas.com\/blog\/wp-json\/wp\/v2\/categories?post=1193"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.nerdadas.com\/blog\/wp-json\/wp\/v2\/tags?post=1193"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}