© 2006 Cisco Systems, Inc. Todos los derechos reservados. Información pública de Cisco 104

Protección de protocolos de enrutamiento � Como administrador de la red, debe saber que sus routers

corren el riesgo de sufrir ataques en la misma medida que sus sistemas de usuario final.

� Las personas que cuentan con un programa detector de paquetes, como Wireshark pueden leer la información que se propaga entre routers.

� En general, los sistemas de enrutamiento pueden sufrir ataques de dos maneras:

� Interrupción de pares

�Falsificación de información de enrutamiento

© 2006 Cisco Systems, Inc. Todos los derechos reservados. Información pública de Cisco 105

Protección de protocolos de enrutamiento La interrupción de pares

� Es el menos crítico de los dos ataques, porque los protocolos de enrutamiento se reparan a sí mismos, lo que hace que la interrupción dure solamente un poco más que el ataque mismo.

� Una clase más sutil de ataque se centra en la información que se transporta dentro del protocolo de enrutamiento.

La información de enrutamiento falsificada � Puede utilizarse para hacer que los sistemas se proporcionen

información errónea (mientan) entre sí, para provocar un DoS o hacer que el tráfico siga una ruta que, normalmente, no seguiría.

� Las consecuencias de falsificar información de enrutamiento son las siguientes:

1. El tráfico se redirecciona para crear routing loops.

2. El tráfico se redirecciona para que pueda monitorearse en un enlace inseguro.

3. El tráfico se redirecciona para descartarlo.

© 2006 Cisco Systems, Inc. Todos los derechos reservados. Información pública de Cisco 106

Protección de protocolos de enrutamiento � La figura muestra la manera en la que cada router de la cadena de

actualización crea una firma.

� Los tres componentes de dicho sistema incluyen:

1. Algoritmo de encriptación que, por lo general, es de conocimiento público.

2. Clave utilizada en el algoritmo de encriptación, que es un secreto compartido por los routers que autentican sus paquetes.

3. Contenidos del paquete en sí mismo.

© 2006 Cisco Systems, Inc. Todos los derechos reservados. Información pública de Cisco 107

Protección de protocolos de enrutamiento Configuración de RIPv2 con autenticación del protocolo de enrutamiento

� RIPv2 admite la autenticación del protocolo de enrutamiento.

� Para proteger las actualizaciones de enrutamiento, cada router debe configurarse para admitir la autenticación.

� Los pasos para proteger las actualizaciones de RIPv2 son los siguientes:

� Paso 1. Impida la propagación de actualizaciones de enrutamiento RIP

� Paso 2. Impida la recepción de actualizaciones RIP no autorizadas

� Paso 3. Verifique el funcionamiento del enrutamiento RIP

© 2006 Cisco Systems, Inc. Todos los derechos reservados. Información pública de Cisco 108

Protección de protocolos de enrutamiento Impedir la propagación de actualizaciones de enrutamiento RIP

� Debe impedir que un intruso que esté escuchando en la red reciba actualizaciones a las que no tiene derecho.

� Debe hacerlo forzando todas las interfaces del router a pasar al modo pasivo y, a continuación, activando sólo aquellas interfaces que son necesarias para enviar y recibir actualizaciones RIP.

� Una interfaz en modo pasivo recibe actualizaciones pero no las envía.

� Debe configurar las interfaces en modo pasivo en todos los routers de la red.

© 2006 Cisco Systems, Inc. Todos los derechos reservados. Información pública de Cisco 109

Protección de protocolos de enrutamiento Impedir la recepción de actualizaciones RIP no autorizadas � Los resultados muestran los comandos necesarios para configurar la autenticación del

protocolo de enrutamiento en el router R1.

� Los routers R2 y R3 también deben ser configurados con estos comandos en las interfaces adecuadas.

� El ejemplo muestra los comandos necesarios para crear una cadena de claves denominada RIP_KEY.

� Pese a que es posible considerar varias claves, nuestro ejemplo muestra sólo una clave.

� La clave 1 está configurada para contener una cadena de claves denominada cisco.

� La cadena de claves es similar a una contraseña y los routers que intercambian claves de autenticación deben estar configurados con la misma cadena de claves.

� La interfaz S0/0/0 está configurada para admitir la autenticación MD5.

� La cadena RIP_KEY y la actualización de enrutamiento se procesan mediante el algoritmo MD5 para producir una firma única.

� Una vez que R1 está configurado, los otros routers reciben actualizaciones de enrutamiento encriptadas y, en consecuencia, ya no pueden descifrar las actualizaciones provenientes de R1.

� Esta condición se mantiene hasta que cada router de la red esté configurado con autenticación del protocolo de enrutamiento.

© 2006 Cisco Systems, Inc. Todos los derechos reservados. Información pública de Cisco 110

Protección de protocolos de enrutamiento Impedir la recepción de actualizaciones RIP no autorizadas

© 2006 Cisco Systems, Inc. Todos los derechos reservados. Información pública de Cisco 111

Protección de protocolos de enrutamiento Verificar el funcionamiento del enrutamiento RIP � Después de configurar todos los routers

de la red, debe verificar el funcionamiento del enrutamiento RIP en la red.

� Al usar el comando show ip route, el resultado confirma que el router R1 se ha autenticado con los demás routers y ha logrado adquirir las rutas provenientes de los routers R2 y R3.

© 2006 Cisco Systems, Inc. Todos los derechos reservados. Información pública de Cisco 112

Protección de protocolos de enrutamiento EIGRP � La figura muestra los comandos necesarios para configurar la autenticación del protocolo de

enrutamiento de EIGRP en el router R1.

� Estos comandos son muy similares a los que utilizó para la autenticación MD5 de RIPv2.

� Los pasos necesarios para configurar la autenticación del protocolo de enrutamiento de EIGRP en el router R1 son los siguientes:

� Paso 1. El área superior resaltada muestra cómo crear una cadena de claves para ser utilizada por todos los routers de la red.

� Estos comandos crean una cadena de claves denominada EIGRP_KEY y coloca su terminal en el modo de configuración de cadena de claves, un número de clave 1 y un valor de cadena de claves de cisco.

� Paso 2. El área inferior resaltada muestra cómo activar la autenticación MD5 de los paquetes de EIGRP que viajan a través de una interfaz.

© 2006 Cisco Systems, Inc. Todos los derechos reservados. Información pública de Cisco 113

Protección de protocolos de enrutamiento OSPF � La figura muestra los comandos necesarios para configurar la autenticación del protocolo de

enrutamiento de OSPF en el router R1 de la interfaz S0/0/0.

� El primer comando especifica la clave que se utilizará para la autenticación MD5.

� El comando siguiente activa la autenticación MD5.

© 2006 Cisco Systems, Inc. Todos los derechos reservados. Información pública de Cisco 114

Bloqueo de su router con Auto Secure de Cisco � AutoSecure de Cisco utiliza un único comando para desactivar procesos

y servicios no esenciales del sistema y elimina amenazas de seguridad potenciales.

� Puede configurar AutoSecure en el modo EXEC privilegiado mediante el comando auto secure en uno de estos dos modos:

� Modo interactivo: este modo le indica opciones para activar y desactivar servicios y otras características de seguridad, es el modo predeterminado.

� Modo no interactivo: ejecuta automáticamente el comando auto secure con la configuración predeterminada recomendada de Cisco, este modo se activa con la opción del comando no-interact.

© 2006 Cisco Systems, Inc. Todos los derechos reservados. Información pública de Cisco 115

Bloqueo de su router con Auto Secure de Cisco AutoSecure en un router Cisco � Los resultados de la pantalla muestran un resultado parcial de la

configuración de AutoSecure de Cisco.

� Para iniciar el proceso de proteger un router, emita el comando auto secure.

� AutoSecure de Cisco le pide una cantidad de elementos, entre los que se incluyen:

� Detalles de la interfaz

� Títulos

� Contraseñas

� SSH

� Características del firewall del IOS

Nota: El Administrador de routers y dispositivos de seguridad (SDM, Security Device Manager) proporciona una característica similar al comando AutoSecure de Cisco.