Seguridad en los dispositivos de red

Los dispositivos de red como los switches o routeres, por defecto no tienen seguridad, es decir, que el acceso por cualquier línea esta disponible sin contraseña.

Es necesario que los dispositivos de red tengan las líneas de acceso y el modo enable con contraseñas, dado que no hay que permitir que ningún usuario no autorizado acceda al mismo.

Para poder securizar un router y un switch es necesario poner contraseña en la line de acceso de consola, en la vty y el la auxiliar.

cabe destacar que todas las contraseñas se almacenan en texto plano, es decir, que si alguien logra ver el fichero running-config podría averiguar cual es la contraseña solo mirando, la contraseña del modo enable si la creamos con el comando enable secret la contraseña se encriptara, pero si utilizamos el comando enable password no se encriptara.

Seguridad
como podemos ver en la imagen hemos configurado de ejemplo las líneas de acceso con contraseña sin encriptar, podemos ver la contraseña.

Para evitar eso es necesario habilitar el servicio de encriptación, con el comando: service password-encryption.

Seguridad
Ahora podemos observar como las contraseña no están almacenadas en texto plano, sino encriptadas.

Para acceder a un router o switch el método mas seguro siempre va a ser, en mi opinión, el acceso por consola, dado que hay que estar físicamente conectado al dispositivo.

Sin embargo en ciertas circunstancias no es el mejor método, dado que si hay que configurar un router que este en otra localización geográfica es más fácil acceder a el remotamente que desplazarse a donde este el dispositivo, porque muchas veces no es posible.

Si tenemos que configurar 20 switches de un edificio en el que en cada piso hay uno, no seria productivo ir piso a piso conectándonos por el puerto de consola.

Para ello es mejor entrar con acceso remoto, el acceso remoto siempre se ha hecho con el protocolo telnet en el puerto 23. Pero este protocolo es muy inseguro dado que aunque también tiene autenticación, ósea nos pide usuario y contraseña para acceder, la información viaja por el canal en texto plano, por lo tanto si “alguien” captura la red podría ver toda la información sin restricción alguna. Si has puesto el usuario y la contraseña y has accedido, esa información viaja por la red en texto plano.

Para hacer una conexión segura se utiliza SSH (secure Shell), la principal diferencia entre SSH  y telnet es que SSH genera una clave, RSA (Rivest, Shamir y Adleman) normalmente, que cifra la conexión y por lo tanto la información no viaja en texto plano, sino que encriptada.

De tal manera que nadie puede acceder a esa información, o puede acceder pero no puede interpretar la información.

Además de esta seguridad básica existen muchos métodos para hacer más seguro un dispositivo, un dispositivo inalámbrico en menos seguro que uno por cable ya que acceder al cable físico es mas complicado que acceder al “aire” para captar las señales wifi.

Para hacer mas seguros estos dispositivos contamos con:

-filtrados de MAC: ; para que solo los dispositivos que nosotros queramos accedan.

-listas de control de acceso: condiciones que se aplican al trafico, ejemplo denegar cierto tipo de trafico o a cierta dirección concreta.

-En routeres wifi, ocultar el SSID para que no estemos constantemente anunciando nuestra red, de tal forma de que solo aquellos que conocen el nombre y la contraseña podrán conectarse.

 

 

Francisco Armijo Perteguer

Alumno del curso: Cisco CCNA R&S

Centro: Tajamar

Año: 2015-2016