Protección de protocolos de enrutamiento Como administrador de la red, debe saber que sus routers corren el riesgo de sufrir ataques en la misma medida que sus sistemas de usuario final. Las personas que cuentan con un programa detector de paquetes, como Wireshark pueden leer la información que se propaga entre routers. En general, los sistemas de enrutamiento pueden sufrir ataques de dos maneras: Interrupción de pares Falsificación de información de enrutamiento
© 2006 Cisco Systems, Inc. Todos los derechos reservados.
Información pública de Cisco
104
Protección de protocolos de enrutamiento La interrupción de pares Es el menos crítico de los dos ataques, porque los protocolos de enrutamiento se reparan a sí mismos, lo que hace que la interrupción dure solamente un poco más que el ataque mismo. Una clase más sutil de ataque se centra en la información que se transporta dentro del protocolo de enrutamiento. La información de enrutamiento falsificada Puede utilizarse para hacer que los sistemas se proporcionen información errónea (mientan) entre sí, para provocar un DoS o hacer que el tráfico siga una ruta que, normalmente, no seguiría. Las consecuencias de falsificar información de enrutamiento son las siguientes: 1. El tráfico se redirecciona para crear routing loops. 2. El tráfico se redirecciona para que pueda monitorearse en un enlace inseguro. 3. El tráfico se redirecciona para descartarlo. © 2006 Cisco Systems, Inc. Todos los derechos reservados.
Información pública de Cisco
105
Protección de protocolos de enrutamiento La figura muestra la manera en la que cada router de la cadena de actualización crea una firma. Los tres componentes de dicho sistema incluyen: 1. Algoritmo de encriptación que, por lo general, es de conocimiento público. 2. Clave utilizada en el algoritmo de encriptación, que es un secreto compartido por los routers que autentican sus paquetes. 3. Contenidos del paquete en sí mismo.
© 2006 Cisco Systems, Inc. Todos los derechos reservados.
Información pública de Cisco
106
Protección de protocolos de enrutamiento Configuración de RIPv2 con autenticación del protocolo de enrutamiento RIPv2 admite la autenticación del protocolo de enrutamiento. Para proteger las actualizaciones de enrutamiento, cada router debe configurarse para admitir la autenticación. Los pasos para proteger las actualizaciones de RIPv2 son los siguientes: Paso 1. Impida la propagación de actualizaciones de enrutamiento RIP Paso 2. Impida la recepción de actualizaciones RIP no autorizadas Paso 3. Verifique el funcionamiento del enrutamiento RIP
© 2006 Cisco Systems, Inc. Todos los derechos reservados.
Información pública de Cisco
107
Protección de protocolos de enrutamiento Impedir la propagación de actualizaciones de enrutamiento RIP Debe impedir que un intruso que esté escuchando en la red reciba actualizaciones a las que no tiene derecho. Debe hacerlo forzando todas las interfaces del router a pasar al modo pasivo y, a continuación, activando sólo aquellas interfaces que son necesarias para enviar y recibir actualizaciones RIP. Una interfaz en modo pasivo recibe actualizaciones pero no las envía. Debe configurar las interfaces en modo pasivo en todos los routers de la red.
© 2006 Cisco Systems, Inc. Todos los derechos reservados.
Información pública de Cisco
108
Protección de protocolos de enrutamiento Impedir la recepción de actualizaciones RIP no autorizadas Los resultados muestran los comandos necesarios para configurar la autenticación del protocolo de enrutamiento en el router R1. Los routers R2 y R3 también deben ser configurados con estos comandos en las interfaces adecuadas. El ejemplo muestra los comandos necesarios para crear una cadena de claves denominada RIP_KEY. Pese a que es posible considerar varias claves, nuestro ejemplo muestra sólo una clave. La clave 1 está configurada para contener una cadena de claves denominada cisco. La cadena de claves es similar a una contraseña y los routers que intercambian claves de autenticación deben estar configurados con la misma cadena de claves. La interfaz S0/0/0 está configurada para admitir la autenticación MD5. La cadena RIP_KEY y la actualización de enrutamiento se procesan mediante el algoritmo MD5 para producir una firma única. Una vez que R1 está configurado, los otros routers reciben actualizaciones de enrutamiento encriptadas y, en consecuencia, ya no pueden descifrar las actualizaciones provenientes de R1. Esta condición se mantiene hasta que cada router de la red esté configurado con autenticación del protocolo de enrutamiento. © 2006 Cisco Systems, Inc. Todos los derechos reservados.
Información pública de Cisco
109
Protección de protocolos de enrutamiento Impedir la recepción de actualizaciones RIP no autorizadas
© 2006 Cisco Systems, Inc. Todos los derechos reservados.
Información pública de Cisco
110
Protección de protocolos de enrutamiento Verificar el funcionam funcionamiento iento del enrutamiento RIP Después de configurar todos los routers de la red, debe verificar el funcionamiento del enrutamiento RIP en la red. Al usar el comando show ip route, r oute, el resultado confirma que el router R1 se ha autenticado con los demás routers y ha logrado adquirir las rutas provenientes de los routers R2 y R3.
© 2006 Cisco Systems, Inc. Todos los derechos reservados.
Información pública de Cisco
111
Protección de protocolos de enrutamiento EIGRP La figura muestra los comandos necesarios para configurar la autenticación del protocolo de enrutamiento de EIGRP en el router R1. Estos comandos son muy similares a los que utilizó para la autenticación MD5 de RIPv2. R IPv2. Los pasos necesarios para configurar la autenticación del protocolo de enrutamiento de EIGRP en el router R1 son los siguientes:
Paso 1. El área superior resaltada muestra cómo crear una cadena de claves para ser utilizada por todos los routers de la red. Estos comandos crean una cadena de claves denominada EIGRP_KEY y coloca su terminal en el modo de configuración de cadena de claves, un número de clave 1 y un valor de cadena de claves de cisco.
Paso 2. El área inferior resaltada muestra cómo activar la autenticación MD5 de los paquetes de EIGRP que viajan a través de una interfaz.
© 2006 Cisco Systems, Inc. Todos los derechos reservados.
Información pública de Cisco
112
Protección de protocolos de enrutamiento OSPF La figura muestra los comandos necesarios para configurar la autenticación del protocolo de enrutamiento de OSPF en el router R1 de la interfaz S0/0/0. El primer comando especifica la clave que se utilizará para la autenticación MD5. El comando siguiente activa la autenticación MD5.
© 2006 Cisco Systems, Inc. Todos los derechos reservados.
Información pública de Cisco
113
Bloqueo de su router con Auto Secure de Cisco AutoSecure de Cisco utiliza un único comando para desactivar procesos y servicios no esenciales del sistema y elimina amenazas de seguridad potenciales. Puede configurar AutoSecure en el modo EXEC privilegiado mediante el comando auto secure en uno de estos dos modos: Modo interactivo: este modo le indica opciones para activar y desactivar servicios y otras características de seguridad, es el modo predeterminado. Modo no interactivo: ejecuta automáticamente el comando auto secure con la configuración predeterminada recomendada de Cisco, este modo se activa con la opción del comando no-interact.
© 2006 Cisco Systems, Inc. Todos los derechos reservados.
Información pública de Cisco
114
Bloqueo de su router con Auto Secure de Cisco AutoSecure en un router Cisco Los resultados de la pantalla muestran un resultado parcial de la configuración de AutoSecure de Cisco. Para iniciar el proceso de proteger un router, emita el comando auto secure. AutoSecure de Cisco le pide una cantidad de elementos, entre los que se incluyen: Detalles de la interfaz Títulos Contraseñas SSH Características del firewall del IOS Nota: El Administrador de routers y dispositivos de seguridad (SDM, Nota: Security Device Manager) proporciona una característica similar al comando AutoSecure de Cisco. © 2006 Cisco Systems, Inc. Todos los derechos reservados.
Información pública de Cisco
115
