La seguridad en cualquier sistema informático, y particularmente en los routers Cisco, es un pilar fundamental. La premisa básica dicta que todo aquello que no se utiliza debe ser deshabilitado para prevenir accesos no autorizados o usos malintencionados. Esta guía se adentra en las diversas herramientas y configuraciones disponibles para auditar y fortalecer la seguridad de tu router Cisco, abarcando desde la detección de vulnerabilidades hasta la implementación de políticas de acceso robustas y mecanismos de monitoreo.
Cisco AutoSecure: El Guardián Automatizado de tu Configuración
La funcionalidad Cisco AutoSecure representa una herramienta poderosa para auditar la configuración de un router y detectar posibles vulnerabilidades de seguridad. Opera en dos modos principales:
- Modo Interactivo: Este modo guía al administrador a través de un proceso de auditoría, solicitando información y presentando propuestas de mejora que el administrador puede aprobar o rechazar. Este enfoque interactivo permite un control granular sobre los cambios aplicados.
- Modo No Interactivo: En este modo, AutoSecure aplica automáticamente las mejores prácticas de seguridad sin intervención del usuario. Sin embargo, este modo no se recomienda para entornos de producción, ya que la aplicación automática de cambios podría tener consecuencias imprevistas en la funcionalidad del router.
Es importante destacar que en las versiones recientes de IOS (a partir de la 12.3(8)T), existe una función de restauración que permite revertir la configuración del router a un estado anterior a la ejecución de AutoSecure. Para ello, se guarda una copia de seguridad de la configuración en el flash. La restauración se realiza mediante el comando: configure replace flash:pre_autosec.cfg. Es crucial entender que esta funcionalidad de restauración no está directamente relacionada con AutoSecure, sino que es una característica general de gestión de configuración.
El uso del comando auto secure ofrece flexibilidad, permitiendo especificar el ámbito de la auditoría (management o forwarding), el modo de operación (no-interact o full), y áreas específicas de configuración como ntp, login, ssh, firewall o tcp-intercept.
Security Audit (SDM): Auditoría Basada en Mejores Prácticas
Otra valiosa herramienta es el Security Audit, accesible a través del Cisco Device Manager (SDM). Esta función compara la configuración actual del router con una base de datos de mejores prácticas de seguridad. Al identificar desviaciones, SDM ofrece recomendaciones para alinear la configuración con los estándares de seguridad establecidos.
Fortalecimiento de las Políticas de Acceso y Autenticación
La seguridad del acceso al router es primordial. Se pueden implementar diversas medidas para fortalecer las políticas de acceso y autenticación:
- Contraseñas Seguras: La configuración de contraseñas robustas es un primer paso esencial. Por ejemplo,
username toto secret totoestablece un nombre de usuario y una contraseña. Es importante notar que esta práctica no entra en conflicto con otras, ya que existen contraseñas que no se pueden hashear en MD5, como las contraseñas de acceso a las líneas (consola, aux, vty, etc.). - Deshabilitar Acceso a ROMMON: Deshabilitar el acceso a ROMMON a través de la consola, mediante el comando
no service password-recovery, previene la recuperación de contraseñas en caso de olvido. Sin embargo, esta acción no se recomienda en absoluto, ya que desactiva el procedimiento de recuperación de contraseña, y la pérdida de acceso puede ocurrir en cualquier momento. - Retraso en Intentos de Inicio de Sesión: Para imponer un tiempo de espera entre intentos de inicio de sesión fallidos, se utiliza
login delay 10, estableciendo un retraso de 10 segundos. Por defecto, los routers Cisco permiten 10 intentos fallidos antes de iniciar un retraso. Para modificar este umbral a 5 intentos y generar un mensaje en el syslog, se empleasecurity authentication failure rate 5 log. - Bloqueo por Fuerza Bruta: Para mitigar ataques de fuerza bruta, se pueden bloquear los intentos de inicio de sesión tras un umbral de fallos por segundo. Por ejemplo,
login block-for 100 attemps 3 within 10bloqueará los inicios de sesión durante 100 segundos si se superan 3 fallos en 10 segundos. Es posible definir una lista de control de acceso (ACL) para que ciertas direcciones IP no desencadenen este bloqueo, permitiendo el acceso incluso cuando el router está bloqueado. - Privilegios de Usuario: El comando
enable secret level 2 totopermite definir una contraseña para acceder a un nivel de privilegio específico. Un usuario debe iniciar sesión en modo usuario normal y luego escribirenable 2para acceder a este nivel, como se verifica conCurrent privilege level is 2.
Vistas: Ampliando las Capacidades de los Privilegios
Las vistas son una característica de configuración que permite ampliar las posibilidades de los privilegios y suplir sus limitaciones. Por ejemplo, view seconde_vue puede definir una vista personalizada. Es importante saber que no se pueden agregar comandos a una "superview"; solo se pueden asignar los derechos de una vista existente.
Configuración Resistente: Salvaguardando la Integridad del Router
La funcionalidad de configuración resistente en Cisco IOS permite conservar una versión "segura" de la imagen IOS y/o de la running-config para contrarrestar el compromiso del router. El comando copy slot0:rescue running-config es un ejemplo de cómo se puede utilizar esta característica. La verificación del estado de esta configuración se realiza con show secure bootset.
Gestión de Logs y Monitoreo: Syslog, NTP y SNMP
La gestión de eventos y el monitoreo son cruciales para la seguridad.
Syslog y Traps: Registrando y Notificando Eventos
El sistema Syslog permite centralizar los registros de eventos de red. Se puede configurar un servidor Syslog externo con logging <IP_du_serveur_syslog>. La prioridad de las traps se puede ajustar con logging trap <level> (de 0 a 7, de emergencias a depuración), y la instalación (servicio) se define con logging facility <facility-type> (valores de local0 a local7).
Los mensajes de registro tienen un formato estructurado: May 16 19:51:00: %SYS-5-CONFIG_I: Configured from console by resadm on vty0 (10.0.0.100)…. Este formato incluye una marca de tiempo, el nivel de seguridad y el nombre del mensaje de registro, seguido del texto del mensaje. Al recuperarlos en un servidor Syslog, se añaden la marca de tiempo de recepción y la IP de origen.
Otros comandos útiles para la gestión de logs incluyen logging on para activar el registro, logging source-interface <interface> para especificar la interfaz de origen de los paquetes Syslog, y service timestamps log datetime msec para añadir marcas de tiempo precisas a los mensajes.
NTP: Sincronización de Tiempo Esencial
Para aprovechar al máximo los registros, es fundamental que todos los equipos tengan la hora sincronizada. El Protocolo de Sincronización de Red (NTP) es el estándar para esta tarea, operando sobre UDP/123. La configuración de NTP se asocia a la interfaz de origen de las traps SNMP con snmp-server source-interface traps loopback 0.
Cómo configurar NTP en Packet Tracer
SNMP: Monitorización Remota
Aunque no se detalla extensamente en la información proporcionada, el protocolo SNMP (Simple Network Management Protocol) es fundamental para la monitorización remota del estado y rendimiento de los routers, permitiendo recopilar información y recibir notificaciones de eventos.
AAA: Autenticación, Autorización y Accounting
AAA es un mecanismo de seguridad integral que permite autenticar usuarios, asignarles derechos y auditar sus acciones, controlando así el acceso a la red. Existen tres tipos de configuraciones AAA:
- AAA Autónomo: Utiliza un servidor AAA incluido en el propio IOS (autenticación local).
- Cisco Secure ACS Server for Windows Server: Un software instalado en un servidor para crear un servidor AAA externo.
- Cisco Secure ACS Solution Engine: Un equipo dedicado para servidores AAA externos.
El acceso al router se puede gestionar mediante dos modos:
- Modo de Caracteres: Para las "líneas" (vty, consolas), definiendo los derechos
exec. - Modo de Paquetes: Para las interfaces (asíncronas, seriales), definiendo los derechos de red.
RADIUS y TACACS+: Protocolos AAA Estándar
- RADIUS: Junto con TACACS+, es uno de los protocolos AAA más conocidos. Está normalizado por la IETF (RFC 2865) y utiliza UDP/1812 y 1813 (el servidor Cisco Secure ACS usa UDP/1645 y 1646). Cada cuenta se asocia con pares Atributo-Valor (AV) que definen sus derechos. La configuración básica incluye
radius-server key <secretkey>. - TACACS+: Es propietario de Cisco y utiliza TCP/49. Similar a RADIUS, asocia pares AV a cada cuenta. La configuración básica es
tacacs-server key <secretkey>.
La creación de un método de autenticación predeterminado se realiza con aaa authentication login default group tacacs+ local. Este comando indica que primero se intentará la autenticación en el servidor TACACS+; si este no responde, se recurrirá a la base de datos local. Si se produce un error de autenticación, el router no buscará en la base local. La depuración de la contabilidad AAA se activa con debug aaa accounting.
Las verificaciones de inicio de sesión, como show login [failure], proporcionan información sobre los intentos de acceso.
Conclusión Parcial: Un Enfoque Integral para la Seguridad
Para asegurar un router Cisco de manera efectiva, es fundamental adoptar un enfoque multifacético. Esto incluye deshabilitar servicios y funciones innecesarios, configurar políticas de seguridad robustas (contraseñas, autenticación, autorización), implementar mecanismos de gestión y monitoreo como Syslog, NTP y SNMP, y aprovechar las características de seguridad integradas como AutoSecure y la configuración resiliente. Siguiendo estas recomendaciones, se puede fortalecer significativamente la postura de seguridad del router Cisco y minimizar los riesgos de compromiso.