1. Contraseñas
Para proteger los dispositivos de red, es importante utilizar contraseñas seguras. Las pautas estándar que se deben seguir son las siguientes:
- Utilice una longitud de contraseña de, al menos, ocho caracteres y preferentemente de diez caracteres o más. Cuanto más larga sea, mejor será la contraseña.
- Cree contraseñas complejas. Incluya una combinación de letras mayúsculas y minúsculas, números, símbolos y espacios, si están permitidos.
- Evite las contraseñas basadas en la repetición, las palabras comunes de diccionario, las secuencias de letras o números, los nombres de usuario, los nombres de parientes o mascotas, información biográfica (como fechas de nacimiento), números de identificación, nombres de antepasados u otra información fácilmente identificable.
- Escriba una contraseña con errores de ortografía a propósito. Por ejemplo, Smith = Smyth = 5mYth, o Seguridad = 5egur1dad.
- Cambie las contraseñas con frecuencia. Si se pone en riesgo una contraseña sin saberlo, se limitan las oportunidades para que el atacante la utilice.
- No anote las contraseñas ni las deje en lugares obvios, por ejemplo, en el escritorio o el monitor.
En los routers Cisco, se ignoran los espacios iniciales para las contraseñas, pero no se ignoran los espacios que le siguen al primer carácter. Por lo tanto, un método para crear una contraseña segura es utilizar la barra espaciadora en la contraseña y crear una frase compuesta de muchas palabras. Esto se denomina “frase de contraseña”. Una frase de contraseña suele ser más fácil de recordar que una contraseña simple. Además, es más larga y más difícil de descifrar.
Los administradores deben asegurarse de que se utilicen contraseñas seguras en toda la red. Una forma de lograr esto es utilizar las mismas herramientas de ataque por “fuerza bruta” que utilizan los atacantes como método para verificar la seguridad de la contraseña.
Contraseñas Seguras y No Seguras
2. Prácticas de seguridad básicas
Al implementar dispositivos, es importante seguir todas las pautas de seguridad establecidas por la organización. Esto incluye la denominación de dispositivos de tal manera que facilite las tareas de registro y seguimiento, pero que también mantenga algún tipo de seguridad. No se recomienda proporcionar demasiada información sobre el uso del dispositivo en el nombre de host. Existen muchas otras medidas básicas de seguridad que se deben implementar.
Seguridad adicional de contraseñas
Las contraseñas seguras resultan útiles en la medida en que sean secretas. Se pueden tomar diversas medidas para asegurar que las contraseñas sigan siendo secretas. Mediante el comando de configuración global service password-encryption, se evita que las personas no autorizadas vean las contraseñas como texto no cifrado en el archivo de configuración, como se muestra en la ilustración. Este comando provoca la encriptación de todas las contraseñas sin encriptar.
Además, para asegurar que todas las contraseñas configuradas tengan una longitud mínima específica, utilice el comando security passwords min-length del modo de configuración global.
Otra forma en la que los piratas informáticos descubren las contraseñas es simplemente mediante ataques de fuerza bruta, es decir, probando varias contraseñas hasta que una funcione. Es posible evitar este tipo de ataques si se bloquean los intentos de inicio de sesión en el dispositivo cuando se produce una determinada cantidad de errores en un lapso específico.
Router(config)# login block-for 120 attempts 3 within 60
Este comando bloquea los intentos de inicio de sesión durante 120 segundos si hay tres intentos de inicio de sesión fallidos en 60 segundos.
Mensajes
Los mensajes de aviso son similares a los avisos de prohibición de entrada. Son importantes para poder demandar en un tribunal a cualquiera que acceda al sistema de forma inapropiada. Asegúrese de que los mensajes de aviso cumplan con las políticas de seguridad de la organización.
Router(config)# banner motd #message#
Exec Timeout
Otra recomendación es configurar tiempos de espera de ejecución.
Al configurar el tiempo de espera de ejecución, le ordena al dispositivo Cisco que desconecte automáticamente a los usuarios en una línea después de que hayan estado inactivos durante el valor de tiempo de espera de ejecución. Los tiempos de espera de ejecución se pueden configurar en los puertos de consola, vty y auxiliares.
Router(config)# line vty 0 4
Router(config-vty)# exec-timeout 10
Este comando desconecta a los usuarios después de 10 minutos.
3. Activar SSH
Acceso remoto mediante SSH
El antiguo protocolo para administrar dispositivos de manera remota es Telnet. Telnet no es seguro. Los datos contenidos en un paquete Telnet se transmiten sin encriptar. Mediante una herramienta como Wireshark, es posible que alguien detecte una sesión de Telnet y obtenga información de contraseñas. Por este motivo, se recomienda especialmente habilitar SSH en los dispositivos para obtener un método de acceso remoto seguro. Es posible configurar un dispositivo Cisco para que admita SSH mediante cuatro pasos, como se muestra en la ilustración.
Paso 1. Asegúrese de que el router tenga un nombre de host exclusivo y configure el nombre de dominio IP de la red mediante el comando ip domain-name nombre-de-dominio en el modo de configuración global.
Paso 2. Se deben generar claves secretas unidireccionales para que un router encripte el tráfico SSH. La clave es precisamente lo que se utiliza para encriptar y descifrar datos. Para crear una clave de encriptación, utilice el comando crypto key generate rsa general-keys modulus tamaño-del-módulo en el modo de configuración global.
El significado específico de las distintas partes de este comando es complejo y excede el ámbito de este curso, pero de momento, simplemente tenga en cuenta que el módulo determina el tamaño de la clave y se puede configurar con un valor de 360 a 2048 bits. Cuanto más grande es el módulo, más segura es la clave, pero más se tarda en encriptar y descifrar la información. La longitud mínima de módulo recomendada es de 1024 bits.
Router(config)# crypto key generate rsa general-keys modulus 1024
Paso 3. Cree una entrada de nombre de usuario en la base de datos local mediante el comando usernamenombre secret secreto del modo de configuración global.
Paso 4. Habilite las sesiones SSH entrantes por vty mediante los comandos line vty login local ytransport input ssh.
Ahora se puede acceder al servicio SSH del router mediante un software de cliente SSH.
Compartamos el conocimiento. Hasta la próxima oportunidad!
Twittear
No hay comentarios:
Publicar un comentario