Resumen 16 cisco

Fundamentos de Seguridad de la Red

Tipos de amenazas
Las redes de computadoras cableadas e inalámbricas son
esenciales para las actividades cotidianas. Tanto las personas
como las organizaciones dependen de las computadoras y de
las redes. Las intrusiones de personas no autorizadas pueden
causar interrupciones costosas en la red y pérdidas de
trabajo.
Los intrusos pueden obtener acceso a una red a través de
vulnerabilidades de software, ataques de hardware o
adivinando el nombre de usuario y la contraseña de alguien.
Los intrusos que obtienen acceso modificando software o
explotando vulnerabilidades de software se denominan
actores de amenazas.
Robo de información is breaking into a computer to obtain
confidential information. Information can be used or sold for
various purposes.
Manipulación y perdida de datos está entrando en una
computadora para destruir o alterar los registros de datos. Un
ejemplo de pérdida de datos es un actor de amenaza que
envía un virus que formatea el disco duro de una
computadora.
Robo de identidad es una forma de robo de información en
la que se roba información personal con el fin de apoderarse
de la identidad de alguien. Con esta información, un actor de
amenazas puede obtener documentos legales, solicitar
crédito y realizar compras en línea no autorizadas. Identificar
el robo es un problema creciente que cuesta miles de
millones de dólares por año.
Servicio de Disrupción is preventing legitimate users from
accessing services to which they are entitled.
Tipos de vulnerabilidades
La vulnerabilidad es el grado de debilidad en una red o un dispositivo. Algún
grado de vulnerabilidad es inherente a los enrutadores, conmutadores, equipos
de escritorio, servidores e incluso dispositivos de seguridad. Por lo general, los
dispositivos de red que sufren ataques son las terminales, como los servidores
y las computadoras de escritorio.Existen tres vulnerabilidades o debilidades
principales: política tecnológica, de configuración y de seguridad.
Seguridad física
Un área vulnerable igualmente importante de la red a considerar es la
seguridad física de los dispositivos. Si los recursos de la red pueden verse
comprometidos físicamente, un actor de amenazas puede negar el uso de los
recursos de la red.
Las cuatro clases de amenazas físicas son las siguientes:
 Amenazas de Hardware - Esto incluye daños físicos a servidores,
enrutadores, conmutadores, planta de cableado y estaciones de trabajo.
 Amenazas del Entorno - Esto incluye temperaturas extremas
(demasiado calor o demasiado frío) o temperaturas extremas
(demasiado húmedo o demasiado seco).
 Amenazas Eléctricas - Esto incluye picos de voltaje, voltaje de
suministro insuficiente (caídas de voltaje), energía no condicionada
(ruido) y pérdida total de energía.
 Amenazas de Mantenimiento - Esto incluye un manejo deficiente de
los componentes eléctricos clave (descarga electrostática), falta de
repuestos críticos, cableado deficiente y etiquetado deficiente.

Tipos de malware
Malware es la abreviatura de software malicioso. Es un código o software
diseñado específicamente para dañar, interrumpir, robar o infligir acciones
"malas" o ilegítimas en los datos, hosts o redes. Los virus, gusanos y caballos
de Troya son tipos de malware.
Virus
Un virus informático es un tipo de malware que se propaga mediante la
inserción de una copia de sí mismo en otro programa, del que pasa a formar
parte. Se propaga de una computadora a otra, dejando infecciones a medida
que viaja. La gravedad de los virus puede variar desde causar efectos
ligeramente molestos hasta dañar datos o software y causar condiciones de
denegación de servicio (DoS). Casi todos los virus se adjuntan a un archivo
ejecutable, lo que significa que el virus puede existir en un sistema pero no
estará activo ni será capaz de propagarse hasta que un usuario ejecute o abra el
archivo o programa host malicioso. Cuando se ejecuta el código del host, el
código viral se ejecuta también.
Gusanos
Los gusanos informáticos son similares a los virus en que se replican en
copias funcionales de sí mismos y pueden causar el mismo tipo de daño. A
diferencia de los virus, que requieren la propagación de un archivo host
infectado, los gusanos son software independiente y no requieren de un
programa host ni de la ayuda humana para propagarse. Un gusano no necesita
unirse a un programa para infectar un host y entrar en una computadora a
través de una vulnerabilidad en el sistema.
Caballos de Troya
Un caballo de Troya es otro tipo de malware que lleva el nombre del caballo
de madera que los griegos utilizaron para infiltrarse en Troya. Es una pieza de
software dañino que parece legítimo. Los usuarios suelen ser engañados para
cargarlo y ejecutarlo en sus sistemas. Después de activarse, puede lograr
cualquier número de ataques al host, desde irritar al usuario (con ventanas
emergentes excesivas o cambiar el escritorio) hasta dañar el host (eliminar
archivos, robar datos o activar y difundir otro malware, como los virus).

Ataques de reconocimiento
Además de los ataques de código malintencionado, es posible que las redes
sean presa de diversos ataques de red. Los ataques de red pueden clasificarse
en tres categorías principales:
 Ataques de reconocimiento - El descubrimiento y mapeo de sistemas,
servicios o vulnerabilidades.
  Ataques de acceso - La manipulación no autorizada de datos, acceso al
sistema o privilegios de usuario.
 Denegación de servicio - La desactivación o corrupción de redes,
sistemas o servicios.
Para los ataques de reconocimiento, los actores de amenazas externas pueden
usar herramientas de Internet, nslookup como los servicios
públicos, whois para determinar fácilmente el espacio de direcciones IP
asignado a una determinada corporación o entidad. Una vez que se determina
el espacio de la dirección IP, un actor de amenazas puede hacer ping a las
direcciones IP disponibles públicamente para identificar las direcciones que
están activas.
Consultas a través de Internet
Haga clic en Reproducir en la figura para ver una animación. El actor de la
amenaza está buscando información inicial sobre un objetivo. Se pueden usar
varias herramientas, incluida la búsqueda de Google, los sitios web de las
organizaciones, quién es y más.
Barridos de Ping
Haga clic en Reproducir en la figura para ver una animación. La amenaza
inicia un barrido de ping para determinar qué direcciones IP están activas.
Escaneos de puertos
Haga clic en Reproducir en la figura para ver una animación de un actor de
amenazas que realiza un escaneo de puertos en las direcciones IP activas
descubiertas.

Ataques con acceso

Los ataques de acceso explotan las vulnerabilidades conocidas de los servicios
de autenticación, los servicios FTP y los servicios Web para obtener acceso a
las cuentas Web, a las bases de datos confidenciales y demás información
confidencial. Un ataque de acceso permite a las personas obtener acceso no
autorizado a información que no tienen derecho a ver. Los ataques de acceso
se pueden clasificar en cuatro tipos: ataques de contraseña, explotación de
confianza, redirección de puertos y man-in-the middle.
Ataques de contraseña
Los actores de amenazas pueden implementar ataques de contraseña
utilizando varios métodos diferentesds:
 Ataques por fuerza bruta
 Ataques de caballos de Troya
 Programas detectores de paquetes
Explotación de confianza
En un ataque de explotación de confianza, un actor de amenazas utiliza
privilegios no autorizados para obtener acceso a un sistema, posiblemente
comprometiendo el objetivo.
Redireccionamiento de puertos
Redireccionamiento de puertos: esto ocurre cuando un agente de amenaza
utiliza un sistema en atacado como base para ataques contra otros objetivos.
Ataque Man-in-the-Middle
Ataque Man-in-the-Middle: el agente de amenaza se coloca entre dos
entidades legítimas para leer, modificar o redirigir los datos que se transmiten
entre las dos partes.

Ataques de denegación de servicio

Los ataques de denegación de servicio (DoS) son la forma de ataque más
publicitada y una de las más difíciles de eliminar. Sin embargo, debido a su
facilidad de implementación y daño potencialmente significativo, los ataques
DoS merecen una atención especial por parte de los administradores de
seguridad.
Los ataques DoS tienen muchas formas. Fundamentalmente, evitan que las
personas autorizadas utilicen un servicio mediante el consumo de recursos del
sistema.

Ataque DoS
Los ataques de DoS son un riesgo importante porque pueden interrumpir
fácilmente la comunicación y causar una pérdida significativa de tiempo y
dinero. Estos ataques son relativamente simples de ejecutar, incluso si lo hace
un agente de amenaza inexperto.
Ataque DDoS
A DDoS is similar to a Ataque DoS, but it originates from multiple,
coordinated sources. Por ejemplo, un actor de amenazas construye una red de
hosts infectados, conocidos como zombies. Una red de zombies se llama
botnet. El actor de amenazas utiliza un programa de comando y control (CNC)
para instruir a la botnet de zombies para llevar a cabo un ataque DDoS.

Enfoque de Defensa en Profundidad

Ahora que sabe más acerca de cómo los actores de amenazas pueden entrar en
las redes, debe comprender qué hacer para evitar este acceso no autorizado. En
este tema se detallan varias acciones que puede realizar para que su red sea
más segura.
Para mitigar los ataques de red, primero debe proteger los dispositivos,
incluidos enrutadores, conmutadores, servidores y hosts. La mayoría de las
organizaciones emplean un enfoque de defensa en profundidad (también
conocido como enfoque en capas) para la seguridad.

Mantener copias de seguridad

Hacer una copia de seguridad de las configuraciones y los datos del
dispositivo es una de las formas más efectivas de protección contra la pérdida
de datos. Una copia de seguridad de datos almacena una copia de la
información de una PC en medios de copia de seguridad extraíbles que pueden
conservarse en lugares seguros. Los dispositivos de infraestructura deben tener
copias de seguridad de archivos de configuración e imágenes de IOS en un
servidor FTP o de archivos similar.
as copias de seguridad se deben realizar de forma regular tal como se
identifica en la política de seguridad. Las copias de respaldo de datos suelen
almacenarse externamente para proteger los medios de copia de respaldo en
caso de que ocurra algo en la instalación principal. Los hosts de Windows
tienen una utilidad de copia de respaldo y restauración.

Actualización, actualización y revisión

Mantenerse al día con los últimos desarrollos puede conducir a una defensa
más efectiva contra los ataques a la red. A medida que se publica nuevo
malware, las empresas deben mantenerse al día con las versiones más
recientes del software antivirus.
La manera más eficaz de mitigar un ataque de gusanos consiste en descargar
las actualizaciones de seguridad del proveedor del sistema operativo y aplicar
parches a todos los sistemas vulnerables. La administración de numerosos
sistemas implica la creación de una imagen de software estándar (sistema
operativo y aplicaciones acreditadas cuyo uso esté autorizado en los sistemas
cliente) que se implementa en los sistemas nuevos o actualizados
Autenticación, autorización y contabilidad AAA
Todos los dispositivos de red deben estar configurados de forma segura para
proporcionar acceso solo a personas autorizadas. Los servicios de seguridad
de red de autenticación, autorización y contabilidad (AAA o "triple A")
proporcionan el marco principal para configurar el control de acceso en
dispositivos de red.
AAA es una forma de controlar quién tiene permiso para acceder a una red
(autenticar), qué acciones realizan mientras acceden a la red (autorizar) y
hacer un registro de lo que se hizo mientras están allí (contabilidad).
Firewalls
l firewall es una de las herramientas de seguridad más eficaces disponibles
para la protección de los usuarios contra amenazas externas. Un firewall
protege las computadoras y las redes evitando que el tráfico no deseado
ingrese a las redes internas.
Los firewalls de red residen entre dos o más redes, controlan el tráfico entre
ellas y evitan el acceso no autorizado.
Tipos de firewalls
Los productos de firewall vienen empaquetados en varias formas. Estos
productos utilizan diferentes técnicas para determinar qué se permitirá o
negará el acceso a una red. Entre otros, se incluyen:
 Filtrado de paquetes: evita o permite el acceso en función de
direcciones IP o MAC
 Filtrado de aplicaciones: evita o permite el acceso a tipos de
aplicaciones específicos en función de los números de puerto
  Filtrado de URL: evita o permite el acceso a sitios web basados en
URL o palabras clave específicas
 Stateful packet inspection (SPI): los paquetes entrantes deben ser
respuestas legítimas a las solicitudes de los hosts internos. Los paquetes
no solicitados son bloqueados, a menos que se permitan
específicamente. La SPI también puede incluir la capacidad de
reconocer y filtrar tipos específicos de ataques, como los ataques por
denegación de servicio (DoS).

Seguridad de terminales
Una terminal, o un host, es un sistema de computación o un dispositivo
individual que actúa como cliente de red. Las terminales comunes son PC
portátiles, computadoras de escritorio, servidores, teléfono inteligentes y
tabletas. La seguridad de los dispositivos terminales es uno de los trabajos más
desafiantes para un administrador de red, ya que incluye a la naturaleza
humana. Las empresas deben aplicar políticas bien documentadas, y los
empleados deben estar al tanto de estas reglas. Se debe capacitar a los
empleados sobre el uso correcto de la red.

Cisco AutoSecure
Un área de redes que requiere especial atención para mantener la seguridad
son los dispositivos. Probablemente ya tenga una contraseña para su
computadora, teléfono inteligente o tableta. ¿Es tan fuerte como podría ser?
¿Está utilizando otras herramientas para mejorar la seguridad de sus
dispositivos? En este tema se explica cómo hacerlo.
La configuración de seguridad se establece en los valores predeterminados
cuando se instala un nuevo sistema operativo en un dispositivo. En la mayoría
de los casos, ese nivel de seguridad es insuficiente.

Además, existen algunos pasos simples que se deben seguir y que se aplican a
la mayoría de los sistemas operativos:
  Se deben cambiar de inmediato los nombres de usuario y las
contraseñas predeterminados.
 Se debe restringir el acceso a los recursos del sistema solamente a las
personas que están autorizadas a utilizar dichos recursos.
 Siempre que sea posible, se deben desactivar y desinstalar todos los
servicios y las aplicaciones innecesarios.

Contraseñas
Para proteger los dispositivos de red, es importante utilizar contraseñas
seguras. Las pautas estándar que se deben seguir son las siguientes:
 Use una contraseña de al menos ocho caracteres, preferiblemente 10 o
más caracteres. Una contraseña más larga es una contraseña más segura.
 Cree contraseñas complejas. Incluya una combinación de letras
mayúsculas y minúsculas, números, símbolos y espacios, si están
permitidos.
 Evite las contraseñas basadas en la repetición, las palabras comunes de
diccionario, las secuencias de letras o números, los nombres de usuario,
los nombres de parientes o mascotas, información biográfica (como
fechas de nacimiento), números de identificación, nombres de
antepasados u otra información fácilmente identificable.
 Escriba una contraseña con errores de ortografía a propósito. Por
ejemplo, Smith = Smyth = 5mYth, o Seguridad = 5egur1dad.
 Cambie las contraseñas con frecuencia. Si una contraseña se ve
comprometida sin saberlo, la oportunidad para que el actor de la
amenaza use la contraseña es limitada.
 No aNota las contraseñas ni las deje en lugares obvios, por ejemplo, en
el escritorio o el monitor.
Seguridad adicional de contraseñas
Las contraseñas seguras solo son útiles si son secretas. Hay varios pasos que
se pueden tomar para ayudar a garantizar que las contraseñas permanezcan
secretas en un enrutador y conmutador Cisco, incluidas estas:
 Cifrar todas las contraseñas de texto sin formato
 Establecer una longitud mínima de contraseña aceptable
  Disuasión de ataques de adivinación de contraseñas de fuerza bruta
 Deshabilitar un acceso en modo EXEC privilegiado inactivo después de
un período de tiempo especificado.
El service password-encryption comando de configuración global evita que
personas no autorizadas vean contraseñas de texto sin formato en el archivo de
configuración.
Para asegurarse de que todas las contraseñas configuradas tengan un mínimo
de una longitud especificada, use el security passwords min-
length comando length en el modo de configuración global. En la figura,
cualquier nueva contraseña configurada tendría que tener una longitud mínima
de ocho caracteres.
De forma predeterminada, los routers Cisco desconectarán una sesión EXEC
después de 10 minutos de inactividad. Sin embargo, puede reducir esta
configuración mediante el comando exec-timeout minutes seconds line
configuration. Este comando se puede aplicar en línea consola, auxiliares y
vty líneas.
Habilitación de SSH
Telnet simplifica el acceso remoto a dispositivos, pero no es seguro. Los datos
contenidos en un paquete Telnet se transmiten sin cifrar. Por esta razón, se
recomienda encarecidamente habilitar Secure Shell (SSH) en dispositivos para
acceso remoto seguro.
Es posible configurar un dispositivo Cisco para admitir SSH mediante los
siguientes seis pasos:
Paso 1. Configure un único nombre de dispositivo. Un dispositivo debe
tener un nombre de host único distinto del predeterminado.
Paso 2. Configure la IP de nombre de dominio. Configure el nombre de
dominio IP de la red mediante el comando global configuration mode ip-
domain name.
Paso 3. Generar una llave para encriptar tráfico SSH. SSH cifra el tráfico
entre el origen y el destino. Sin embargo, para ello, se debe generar una clave
de autenticación única mediante el comando de configuración global crypto
key generate rsa general-keys modulus bits. El módulo bits determina el
tamaño de la clave y se puede configurar de 360 bits a 2048 bits. Cuanto
mayor sea el valor de bit, más segura será la clave. Sin embargo, los valores
de bits más grandes también tardan más en cifrar y descifrar la información.
La longitud mínima de módulo recomendada es de 1024 bits.
Paso 4. Verificar o crear una entrada a la base de datos local. Cree una
entrada de nombre de usuario de la base de datos local utilizando
el usernamecomando de configuración global. En el ejemplo, el
parámetro secret se usa para que la contraseña se encripte con MD5.
Paso 5. Autenticar contra la base de datos local. Utilice el comando de
configuración de login local línea para autenticar la línea vty en la base de
datos local.
Paso 6. Habilitar sesiones de entrada SSH. De forma predeterminada, no se
permite ninguna sesión de entrada en las líneas vty. Puede especificar varios
protocolos de entrada, incluidos Telnet y SSH mediante el transport input
[ssh | telnet] comando.
Inhabilitación de servicios no utilizados
Los routers y switches de Cisco comienzan con una lista de servicios activos
que pueden o no ser necesarios en su red. Deshabilite los servicios no
utilizados para preservar los recursos del sistema, como los ciclos de CPU y la
RAM, e impida que los actores de amenazas exploten estos servicios. El tipo
de servicios que están activados de forma predeterminada variará dependiendo
de la versión de IOS.
as versiones de IOS anteriores a IOS-XE utilizan el show control-plane host
open-ports comando. Mencionamos este comando porque es posible que lo
vea en dispositivos antiguos. La salida es similar. Sin embargo, observe que
este router anterior tiene un servidor HTTP inseguro y Telnet en ejecución.
Ambos servicios deben estar deshabilitados. Como se muestra en el ejemplo,
deshabilite HTTP con el comando de configuración no ip http server global.
Deshabilite Telnet especificando sólo SSH en el comando de configuración de
línea, transport input ssh.