15 febrero 2008

Pasos Para Asegura un Dispositivo Cisco

Desactive aquellos servicios o protocolos que son innecesarios.
Por defecto los dispositivos Cisco activan diversos servicios que son opcionales. Estos servicios son potenciales puntos de ataques de seguridad ya que permiten acceder a información del dispositivo.
Si no son utilizados, estos servicios pueden ser fácilmente desactivados:

Protocolo CDP:
Router(config)#no cdp run

Configuración remota:
Router(config)#no service configServicio finger:
Router(config)#no service finger

Servicio web:
Router(config)#no ip http serverProtocolo SNMP:
Router(config)#no snmp-server

Protocolo BOOTP:
Router(config)#no ip bootp serverServicios TCP:
Router(config)#no service tcp-small-servers

Servicios UDP:
Router(config)#no service udp-small-servers

Deshabilite las interfaces que no están en uso.
Las interfaces que no se utilizan deben estar administrativamente deshabilitadas utilizando el comando shutdown. En los routers Cisco este es el estado por defecto; por el contrario, en los switches Catalyst todos los puertos están habilitados por defecto.
En las interfaces en uso, si no son necesarios, conviene desactivar los siguientes servicios:Router(config-if)#no ip proxy-arp
Router(config-if)#no ip directed-broadcast
Router(config-if)#no ip mask-reply

Mantenga control del tráfico que atraviesa el router.
Básicamente se debiera bloquear todo tráfico innecesario de internet con direccion ip privada.

Router(config)#access-list 101 deny ip 10.0.0.0 0.255.255.255 any log
Router(config)#access-list 101 deny ip 172.16.0.0 0.15.255.255 any log
Router(config)#access-list 101 deny ip 192.168.0.0 0.0.255.255 any log
Router(config)#interface serial 0/0
Router(config-if)#description acceso a Internet
Router(config-if)#ip access-group 101 in

Implemente claves de acceso y clave de acceso al modo privilegiado.
Asegúrese de aplicar claves de acceso a cada uno de los puertos.Router(config)#line console 0
Router(config-line)#login
Router(config-line)#password [clave]
Router(config-line)#exec-timeout 0 0

Router(config)#line aux 0
Router(config-line)#login
Router(config-line)#password [clave]
Router(config-line)#exec-timeout 0 0Router(config)#line vty 0 4
Router(config-line)#login
Router(config-line)#password [clave]

Para bloquear el acceso al modo privilegiado utilice siempre la enable secret que se encripta utilizando MD5.

Router(config)#enable secret [clave]

Utilice SSH para el acceso remoto.
No es recomendable el uso de telnet o http para la administración de los dispositivos, dado los riesgos de seguridad que esto entraña.
Es altamente recomendable utilizar SSH (Secure Shell) para la administración remota de los dispositivos ya que SSH viaja encriptado. Para habilitar SSH en un dispositivo siga los siguientes pasos: Router(config)#hostname [nombre]
Router(config)#ip domain-name [nombre]
Router(config)#crypto key generate rsa
Router(config)#ip ssh timeout 60
Router(config)#line vty 0 4
Router(config-line)#transport input ssh
Nota: Verificar la versión y package de Cisco IOS soportan SSH.
Publicadas por a la/s
Etiquetas:

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)
Copyright © 2020 EicheS - Todos los derechos reservados.
CCNA, CCNP, CCDA, CCDP, CCIP, CCVP, CCSP, CCIE, Cisco, Cisco IOS, Airones, BPX, Catalyst, Cisco Press, Cisco Unity, EtherChannel, EtherFast, EtherSwitch, Fat Step, GigaDrive, GigaStack, HomeLink, IP/TV, LightStream, Linksys, MGX, Networking Academy, Network Registrar, Packet, PIX, SMARTnet, StackWise, CallManager, CallManager Express, Cisco Systems, el logo de Cisco Systems, son marcas registradas o marcas de Cisco Systems Inc. y/o sus afiliados en los Estados Unidos y otros países. Toda otra marca mencionada en este documento es propiedad de sus respectivos dueños.