parte 4: securizar

20 de marzo de 2008

En esta parte vamos a dotar al router de las medidas de seguridad necesarias siguiendo unas pautas (checklist) ya establecidas. No hace falta que volvamos a inventar la rueda, las pautas ya esta establecidas y solo deben ajustarse a nuestra politica. Por Internet corren muchas checklist para securizar un router Cisco y no dejarte nada en el tintero. Dentro del semestro 2 del cursos CCNA de Cisco se explican todas las pautas necesarias antes de poner un router en producción.

Aquí teneis tres checklist para routers Cisco:

+ http://www.iso27001security.com/ISO27k_router_security_audit_checklist.rtf
+ http://www.cisco.com/warp/public/707/21.html#so
+ http://www.mavetju.org/networking/security.php

Por otro lado NSA (National Security Agency) tiene un repositorio de como deben cofigurarse diferentes productos a nivel de seguridad. Yo seguiré el "Router Configuration Guide" que se puede encontrar aqui (). Básicamente lo que consiste una checklist para securizar un router es: desactivar todos los servicios no necesarios dentro del router, proteger las lineas y consolas de configuración del router, plantearse las politicas y protocolos necesarios y reflejarlos con ACLs, controlar los accesos o errores que se produzcan y por ultimo estar al día de los bugs en las IOS. Además debe documentarse correctamente toda la configuración del router y pensar que esa configuración es viva y se tiene que ajunstar correctamente a las politicas que hemos establecido.

Pasamos pues a la configuración:
+ Desactivamos todos los servicios no necesarios:

(config)# no service tcp-small-servers
(config)# no service udp-small-servers
(config)# no ip bootp server
(config)# no ip http server
(config)# no snmp-sever
(config)# no service finger
(config)# no cdp run
(config)# no service config
(config)# no ip source-route
Posiblemente muchos de estos servicios ya estan desactivado por defecto dentro del router. Tambien hemos desactivado el Http Server. Hay técnicos que les gusta dejar el servicio levantado para poder configurarlo comodamente via Web. En ese caso habría que filtrar por ACL el acceso al servicio. Lo que seria más correcto (creo yo) sería levantar el servicio solo cuando fuera necesario y luego pararlo.

+ Protegemos las dos interfaces del router (la de la WAN y la de la LAN) de ciertos ataques. Tenemos que aplicar estos comandos a las dos interfaces:

(config)# interface Dialer 0
(config-if)# no ip directed-broadcast
(config-if)# no ip mask-reply
(config-if)# no ip proxy-arp

(config)# interface bvi 1
(config-if)# no ip directed-broadcast
(config-if)# no ip mask-reply
(config-if)# no ip proxy-arp
+ Ahora securizamos la consola, la linea auxiliar y el vty. Para ello primero crearemos una ACL que corresponderá a la unica maquina del administrador del sistema que tiene acceso al router (@IP 192.168.1.134 por ejemplo).

(config)# access-list 1 permit host 192.168.1.134
(config)# aaa authentication login login_local local
(config)# line vty 0 4
(config-line)# exec-timeout 5 0
(config-line)# login authentication login_local
(config-line)# transport input ssh
(config-line)# access-class 1 in

(config)# line aux 0
(config-line)# no exec
(config-line)# exec-timeout 0 5
(config-line)# transport input none

(config)# line con 0
(config-line)# exec-timeout 5 0
(config-line)# login authentication login_local
+ Ciframos todos las contraseñas que aparecen en la configuración. Si os fijais, las contraseñas de PAP y CHAP para la conexión de la ADSL no estan crifradas. Además añadimos que todas las contraseñas que pongamos, como minimo tendrán una longitud de 8 caracteres.
(config)# service password-encryption
(config)# security passwords min-length 8
+ Añadimos un mensaje disuasorio antes de conectarnos:

(config)# banner motd '
********************************************
* Authorized access only!                  *
* Disconnect INMEDIATELY if you are not    *
* authorized user!                         *
********************************************
'
+ Configuramos el logging y del debugging para registrar los errores y los accesos que se puedan producir en el router. Para activar el logging necesitaremos un servidor de Syslog para montar en alguna maquina de la Lan (por ejemplo la 192.168.1.45).

(config)# logging on
(config)# logging 192.168.1.45
(config)# logging buffered 16000
(config)# logging console critical
(config)# logging trap informational
(config)# logging facility local1
Antes de poner en marcha el servicio de logging tenemos que asegurarnos que la fecha y hora del router son correctas para que a la hora de mirar los mensajes en el Syslog nos cuadren las cosas. + Configuramos el servicio de SNMP para por ejemplo realizar graficas de utilización de la linea ADSL con un MRTG.
(config)# no snmp comunity public ro
(config)# no snmp comunity private rw
(config)# access-list 98 permit host 192.168.1.45
(config)# snmp community mi_comunidad_snmp ro 98
+ Bloqueamos con ACLs todo el trafico ilegal que venga desde Internet:

(config)# access-list 151 deny ip 192.168.0.0 0.0.0.255 any log
(config)# access-list 151 deny ip 127.0.0.0 0.255.255.255 any log
(config)# access-list 151 deny ip 10.0.0.0 0.255.255.255 any log
(config)# access-list 151 deny ip 0.0.0.0 0.255.255.255 any log
(config)# access-list 151 deny ip 172.16.0.0 0.15.255.255 any log
(config)# access-list 151 deny ip 192.168.0.0 0.0.255.255 any log
(config)# access-list 151 deny ip 192.0.0.0 0.0.255.255 any log
(config)# access-list 151 deny ip 169.254.0.0 0.0.255.255 any log
(config)# access-list 151 deny ip 224.0.0.0 15.255.255.255 any log
(config)# access-list 151 deny ip host 255.255.255.255 any log
(config)# access-list 151 deny ip host 213.97.224.9 host 213.97.224.9 log
(config)# access-list 151 deny ip host 68.178.232.100 any log
(config)# access-list 151 deny ip host 194.179.39.19 any log
(config)# access-list 151 deny icmp any any echo log
(config)# access-list 151 deny icmp any any redirect log
(config)# access-list 151 deny icmp any any mask-request log
(config)# access-list 151 permit ip any any
(config)# interface Dialer 0
(config-if)# ip access-group 151 in