Seguridad en routers y switches

--Originally published at Héctor H.F. Blog

Hola a todos, en esta ocasión les hablaré sobre la seguridad en la red. Muchos dirán “¿otra vez? van como tres publicaciones relacionado a eso”. Pero ahora no será a nivel computadora, sino a nivel de lo que hace funcionar la red: routers y switches Cisco.

Así como las computadoras, estos dispositivos que trabajan en capa 2 y 3 (enlace de datos y red) requieren seguridad para que intrusos no puedan acceder.

Resultado de imagen para router cisco

Para empezar, hay que colocarles una contraseña. Tanto a routers como switches se les puede poner el comando enable password o enable secret (secret es más seguro). Para encriptar la contraseña, ponemos service password-encryption. Ahora, esto solo permitiría tener a un usuario, y este usuario, contando con la contraseña, podría hacer lo que le plazca. Para tener varios usuarios y que estos tengan distintos privilegios, se puede colocar el comando username nombre privilege numPermiso secret contraseña. Los distintos niveles de privilegio van desde simplemente solo poder ver la configuración del router o switch hasta modificarlos. Es muy importante que personas no autorizadas no tengan acceso a estos dispositivos, ya que, al igual que las computadoras, pueden quedar inservibles dependiendo la configuración que se ponga.

Ahora, para la seguridad cuando computadoras y otros dispositivos intentan acceder a routers y switches se puede poner una cadena de llaves. Esta cadena se compone de llaves que permiten que los dispositivos conectados a cierta interfaz puedan o no hacer cierta acción. Para crear una cadena, basta con poner key chain nombre. Se crea la cadena, pero esta está vacía. Al poner key chain, se puede especificar el número que tendrá esa llave y el mensaje que contendrá, a través de los comandos key número y key-string mensaje, respectivamente. Ahora, se aplica esta llave a la interfaz deseada con ip authentication key-chain

Resultado de imagen para switch cisco
número mensaje (hay que habilitar EIGRP). Para OSPF, se coloca ip ospf authentication-key llave. No nos corresponde ver qué es EIGRP y OSPF, si alguien tiene dudas sobre ellos, puede dejarlas en los comentarios para explicarle.

Resultado de imagen para switch cisco

Por último, tenemos las listas de acceso. Estas sirven para permitir o negar ciertos paquetes de una fuente a un destino a través de ciertos puertos. El comando que corresponde es access-list númListaAcceso permit/deny tipoPaquete ipFuente/any ipDestino/any eq puerto time-range nombre. En tipoPaquete se pone, por ejemplo, TCP, IP, EIGRP; las IPs fuente y destino deben ser wildcards (al revés) o se pueden sustituir por la palabra any si lo que se desea es cualquier host fuente y/o destino. Posteriormente, en este caso, la lista de acceso se aplica a una línea deseada (Telnet, SSH, consola) con el siguiente comando access-class númListaAcceso in/out.

Hay más cuestiones de seguridad que se pueden aplicar a ambos dispositivos, así como a dispositivos que proporcionan red inalámbrica como lo son los access points, pero esos los dejaré para después. Nos vemos en el próximo post.

Héctor H.F.