Siempre es útil contar con los documentos de recuperación de passwords para todas las plataformas de Cisco, ya que a veces hay algunas diferencias y nunca está de más tener la referencia técnica.
Ya escribí antes sobre ¿cómo recuperar el password de un router?, pero aquí la lista:
Password Recovery Procedures
Routers
Integrated Services Routers (ISR) Products
High-End Routers
LAN Switches
LAN Switch Modules
ATM Switches and Modules
Access Products
Content Delivery Devices
Application Oriented Networking
AVVID Hardware and Applications
Security
Network Management Systems
Wireless LAN
Network Analysis Module (NAM) Module
Storage Networking Routers
Optical Products
Mostrando las entradas con la etiqueta seguridad. Mostrar todas las entradas
Mostrando las entradas con la etiqueta seguridad. Mostrar todas las entradas
lunes, 17 de mayo de 2010
lunes, 29 de marzo de 2010
Seguridad: fundamentos de diseño
- Los principales objetivos del diseño de una red en cuanto seguridad, deberían ser:
- Seguridad y mitigación de ataques basados en políticas.
- Implementación de la seguridad a través de la infraestructura (No sólo en dispositivos especializados).
- Admnistración y reportes asegurados.
- Autenticación y autorización de usuarios y administradores hacia los recursos críticos de la red.
- Detección de intrusos para recursos críticos y subnets.
- Soporte para aplicaciones en red emergentes.
La arquitectura de red debe impedir que la mayoría de los ataques afecten exitosamente recursos de red valiosos. Los ataques logren penetrar la primera línea de defensa, o que son originados desde dentro de de la red, deben ser detectados de manera precisa y rápidamente contenidos para evitar su efecto en el resto de la red. EL buen funcionamiento de la red y la apropiada seguridad pueden y deben ser entregados al mismo tiempo.
La seguridad debe ser escalable y confiable, entendiendo que debería existir una redundancia física para protegernos contra la falla de un dispositivo, así como un error de configuración, fallas físicas, o un ataque a la red. Aunque podríamos pensar que un diseño simple podría ser mejor, los ambientes de seguridad son complejos, aunque hay algunas maneras de simplificarlos.
A veces se debe escoger entre la funcionalidad integrada en un elemento de red o un dispositivo especializado. La primera opción es atractiva porque puedes implementarla sobre equipo existente, o porque algunas características no pueden operar con el resto del dispositivo para dar un mejor rendimiento. Se usan dispositivos especializados cuando requerimos un performance muy avanzado (o un gran throughput por ejemplo) o características muy especializadas; y se debe decidir basdo en la capacidad y funcionalidad de los dispositivos contra la ventaja que presenta la integración en un elemento existente. Por ejemplo escoger entre un router de gran capacidad con características de firewall en el IOS, o un router de menor capacidad en combinación con el uso de un firewall separado. En un ambiente corporativo altamente demandante se usan dispositivos especializados por la gran carga de trabajo sobre los elementos de red.
viernes, 22 de enero de 2010
¿Cómo construir un password seguro?
En Byte Podcast encontré un artículo sobre cómo construir un password seguro para cada sitio, y quisiera darles algunas consideraciones adicionales y consejos que he adquirido de los distintos trabajos. Esto es muy importante porque si les hablo de como funciona una red, debemos tener en cuenta que el usuario es casi siempre el eslabón de seguridad más débil, nosotros a veces hacemos malas elecciones de contraseñas o tenemos costumbres que pueden comprometer la seguridad de nuestros datos o de la empresa donde trabajamos. Por ejemplo, quienes hacemos home office y tenemos acceso a redes seguras, si dejáramos un post it con el password, no sólo ponemos en peligro nuestra computadora e identidad, sino el acceso a toda la red corporativa.
Primero que nada, debemos considerar que el password tenga al menos 8 caracteres, al menos un número, al menos dos letras, mayúsculas, minúsculas y un caracter especial.
No debemos usar nombres, cumpleaños, aniversarios, nombres de software, palabras comunes, personajes, y en la medida de lo posible, no usar palabras, ya que hay métodos para atacar los passwords que se basan en diccionarios; por eso no es recomendable usar datos personales, lo primero que se prueba es la fecha de cumpleaños
Un consejo útil es usar frases como guía para construir passwords, por ejemplo, escogemos el nombre de una canción o frase, una persona a la que queremos, y algún número significativo:
La tumba de villa está en Chihuahua + Doroteo Arango 1923
Y construimos el password con la primera letra de cada palabra, usando caracteres especiales para unir las ideas:
ltdV@C+DA1923
Como verán, este password tiene más de 8 caracteres, tiene todo lo que requerimos y no es una palabra que pueda ser encontrada en un diccionario de passwords.
Otros ejemplos:
a las 7 am me encanta caminar sobre la arena
al7aMMec/la
mi hermana se llama Adriana, y sus 4 hijos son mis sobrinos
mhslA,ys4hsms
Ahora, aquí la idea es utilizar frases o ideas que son signficativas para nosotros, o que nos gustan o nos han impactado, combinarlas con otra idea y generar el password, y atendiendo a la recomendación de no usar información personal, ya que por ejemplo, yo no tengo 4 sobrinos.
No me ayudes, así no me estorbas - Eulalio González
Nma,anme-3G
Espero que estos consejos les ayuden a construir sus passwords seguros, y recuerden que una vez que tengamos ese password:
Primero que nada, debemos considerar que el password tenga al menos 8 caracteres, al menos un número, al menos dos letras, mayúsculas, minúsculas y un caracter especial.
No debemos usar nombres, cumpleaños, aniversarios, nombres de software, palabras comunes, personajes, y en la medida de lo posible, no usar palabras, ya que hay métodos para atacar los passwords que se basan en diccionarios; por eso no es recomendable usar datos personales, lo primero que se prueba es la fecha de cumpleaños
Un consejo útil es usar frases como guía para construir passwords, por ejemplo, escogemos el nombre de una canción o frase, una persona a la que queremos, y algún número significativo:
La tumba de villa está en Chihuahua + Doroteo Arango 1923
Y construimos el password con la primera letra de cada palabra, usando caracteres especiales para unir las ideas:
ltdV@C+DA1923
Como verán, este password tiene más de 8 caracteres, tiene todo lo que requerimos y no es una palabra que pueda ser encontrada en un diccionario de passwords.
Otros ejemplos:
a las 7 am me encanta caminar sobre la arena
al7aMMec/la
mi hermana se llama Adriana, y sus 4 hijos son mis sobrinos
mhslA,ys4hsms
Ahora, aquí la idea es utilizar frases o ideas que son signficativas para nosotros, o que nos gustan o nos han impactado, combinarlas con otra idea y generar el password, y atendiendo a la recomendación de no usar información personal, ya que por ejemplo, yo no tengo 4 sobrinos.
No me ayudes, así no me estorbas - Eulalio González
Nma,anme-3G
Espero que estos consejos les ayuden a construir sus passwords seguros, y recuerden que una vez que tengamos ese password:
- debemos memorizarlo
- no debemos escribirlo, compartirlo o decirlo a nadie
- tratemos de usar má de 8 caracteres
- no usemos el mismo password para todos los sitios, contruyan variantes (ver el video de bytepodcast)
miércoles, 30 de septiembre de 2009
Cisco Guide to Harden Cisco IOS Devices
Esta guía nos da información sobre como asegurar nuestros dispositivos Cisco para incrementar la seguridad de toda la red, y nos basaremos en los 3 planos en los que un dispositivo se puede clasificar.
Los 3 planos funcionales de una red son:
Leer las políticas en el Cisco Security Vulnerability Policy.
También debemos recurrir al Risk Triage para revisar los anuncios de vulnerabilidad y poder hacer un proceso de evaluación de nuestra seguridad.
Usar AAA en nuestra red (Authentication, Authorization and Accounting), esto es muy importante para dar seguridad al manejo de sesiones hacia nuestros dispositivos.
Centralizar la recolección de logs y su monitoreo; ya que en caso de un incidente, debemos tener toda la información de la red para su análisis; y algunos programas pueden ayudarnos a hacer una correlación entre los logs de los distintos dispositivos para facilitar el análisis y detectar vulnerabilidades.
Usar protocolos seguros cuando sea posible, por ejemplo, en lugar de TFTP o FTP, usar SCP (Secure Copy Protocol); o usar SSH en lugar de telnet, y limitar el uso de dichos protocolos por origen, por ejemplo, permitir sólo sesiones de SSH desde la LAN, bloquear el SNMP desde la WAN (SNMPv3 puede usar autenticación).
Usar Netflow para tener una mejor idea del tráfico en la red, poder identificarlo y rastrearlo hacia su origen en caso necesario.
- Management Plane, que administra tráfico enviado al dispositivo Cisco con IOS; y está hecho de aplicaciones tales como SSH y SNMP.
- Control Plane, parte de un dispositivo de red que procesa el tráfico que es la base para mantener el funcionamiento de una red. Los protocolos que se manejan aquí incluyen BGP, protocolos de gateway interior (IGPs) como EIGRP y OSPF.
- Data Plane, que reenvía el tráfico de datos a través del dispositivo de red.
Ahora, para asegurar los dispositivos debemos seguir una serie de recomendaciones que Cisco nos da:
Asegurar las operaciones, aunque podemos agregar configuraciones para aumentar la seguridad, éstas no pueden funcionar solas; para asegurar la red completamente debemos seguir procedimientos operacionales junto con las configuraciones. Por ejemplo:
Revisar las advertencias de seguridad y respuestas dadas en el Cisco Product Security Incident Response Team (PSIRT)
Leer las políticas en el Cisco Security Vulnerability Policy.
También debemos recurrir al Risk Triage para revisar los anuncios de vulnerabilidad y poder hacer un proceso de evaluación de nuestra seguridad.
Usar AAA en nuestra red (Authentication, Authorization and Accounting), esto es muy importante para dar seguridad al manejo de sesiones hacia nuestros dispositivos.
Centralizar la recolección de logs y su monitoreo; ya que en caso de un incidente, debemos tener toda la información de la red para su análisis; y algunos programas pueden ayudarnos a hacer una correlación entre los logs de los distintos dispositivos para facilitar el análisis y detectar vulnerabilidades.
Usar protocolos seguros cuando sea posible, por ejemplo, en lugar de TFTP o FTP, usar SCP (Secure Copy Protocol); o usar SSH en lugar de telnet, y limitar el uso de dichos protocolos por origen, por ejemplo, permitir sólo sesiones de SSH desde la LAN, bloquear el SNMP desde la WAN (SNMPv3 puede usar autenticación).
Usar Netflow para tener una mejor idea del tráfico en la red, poder identificarlo y rastrearlo hacia su origen en caso necesario.
Asegurando el Management Plane.
viernes, 15 de mayo de 2009
Implementando Firewalls en la organización
del documento Deploying Firewalls Throughout Your Organization.
Evitar las intrusiones requiere filtrado de firewalls en múltiples perímetros, tanto internos como externos.
Los firewalls han sido la primera línea de defensa en las infraestructuras de defensa de las redes, y cumplen este objetivo comparando las políticas acerca de los derechos de acceso de red de los usuarios con la información de cada intento de conexión. Las políticas de usuario y la información de conexión deben coincidir, o el firewalll no dará acceso a los recursos de red; así se previenen las intrusiones.
En años recientes, una de las mejores prácticas más aceptadas es implementar firewalls no sólo en los perímetros de red tradicionales, donde la red corporativa y la Internet se encuentran, sino también a través de la red corporativa en ubucaciones internas clave, así como en las fonteras de las oficinas remotas con la WAN. Esta estrategia de firewalls distribuidos ayuda a protegernos contra amenazas itnernas, las cuales han sido históricamente causantes de un enorme porcentaje de cyber-pérdidas, de acuerdo al estudio anual que conduce el Computer Security Institute (CSI).
El crecimiento de las amenazas internas se ha acelerado por el surgimiento de nuevos perímetros de red que se han formado al interior de las LAN corporativas. Algunos ejemplos de esos perímetros o fronteras de confianza, están entre los switches y los servidores de respaldo, entre diferentes departamentos, y donde una red inalámbrica se encuentra con la red cableada. El firewall previene la existencia de brechas de acceso en estas coyonturas de red claves, asegurando, por ejemplo, que el departamento de ventas no podrá entrar al sistema de finanzas.
También se ayuda a cumplir con los últimos mandatos de la industria al ubicar varios firewalls dentro de múltiples segmentos de red. Por ejemplo, Sarbanes-Oaxley, Gramm-Leach-Bliley, etc; tienen requerimientos acerca de la seguridad, auditorías y rastreo de la información.
Protegiendo todos los puntos de acceso.
El borde entre la red pública y la privada es considerado particularmente vulnerable a intrusos, porque la Internet es una red públicamente accesible y cae bajo el manejo de múltiples operadores. Por esa razón, la Internet es una red que se considera no es de confianza; así como las LANs inalámbricas, las cuales sin la seguridad apropiada pueden ser violentadas desde fuera de la empresa, ya que sus señales llegan más allá de las puertas y paredes.
Es por ello que es crítico proteger el borde LAN-WAN; pero ahora los firewalls también deben mantener la comunicación entre segmentos internos de red, y revisar que los empleados internos no puedan acceder a recursos o segmentos que las políticas de la compañía dictan como fuera de su alcance. Haciendo particiones de la intranet con firewalls, los departamentos dentro de la organización ganan defensas adicionales contra amenazas de otros departamentos.
Además, crece la utilización de la red, porque los empleados se vuelven goegráficamente más dispersos, entre las oficinas remotas y el incremento de los medios móviles y redes remotas. De acuerdo a Nemertes Research, una firma especializada en cuantificar el impacto de negocio de la tecnología, ahora, la mayoría de los empleados trabajan en oficinas remotas, lejos de los cuarteles corporativos. Esto resulta en un nuevo borde LAN-WAN en cada oficina filial o remota, donde un router de acceso WAN se encuentra con la Internet pública u otra red WAN. Este nuevo borde debe ser protegido.
El firewall entonces, en su papel de primera línea de defensa tiene un lugar en los siguientes segmentos de red:
Se recomienda filtrado básico en cada frontera de confianza, tanto externa como interna por toda la red.
El papel en la arquitectura de seguridad total.
Evitar las intrusiones requiere filtrado de firewalls en múltiples perímetros, tanto internos como externos.
Los firewalls han sido la primera línea de defensa en las infraestructuras de defensa de las redes, y cumplen este objetivo comparando las políticas acerca de los derechos de acceso de red de los usuarios con la información de cada intento de conexión. Las políticas de usuario y la información de conexión deben coincidir, o el firewalll no dará acceso a los recursos de red; así se previenen las intrusiones.
En años recientes, una de las mejores prácticas más aceptadas es implementar firewalls no sólo en los perímetros de red tradicionales, donde la red corporativa y la Internet se encuentran, sino también a través de la red corporativa en ubucaciones internas clave, así como en las fonteras de las oficinas remotas con la WAN. Esta estrategia de firewalls distribuidos ayuda a protegernos contra amenazas itnernas, las cuales han sido históricamente causantes de un enorme porcentaje de cyber-pérdidas, de acuerdo al estudio anual que conduce el Computer Security Institute (CSI).
El crecimiento de las amenazas internas se ha acelerado por el surgimiento de nuevos perímetros de red que se han formado al interior de las LAN corporativas. Algunos ejemplos de esos perímetros o fronteras de confianza, están entre los switches y los servidores de respaldo, entre diferentes departamentos, y donde una red inalámbrica se encuentra con la red cableada. El firewall previene la existencia de brechas de acceso en estas coyonturas de red claves, asegurando, por ejemplo, que el departamento de ventas no podrá entrar al sistema de finanzas.
También se ayuda a cumplir con los últimos mandatos de la industria al ubicar varios firewalls dentro de múltiples segmentos de red. Por ejemplo, Sarbanes-Oaxley, Gramm-Leach-Bliley, etc; tienen requerimientos acerca de la seguridad, auditorías y rastreo de la información.
Protegiendo todos los puntos de acceso.
El borde entre la red pública y la privada es considerado particularmente vulnerable a intrusos, porque la Internet es una red públicamente accesible y cae bajo el manejo de múltiples operadores. Por esa razón, la Internet es una red que se considera no es de confianza; así como las LANs inalámbricas, las cuales sin la seguridad apropiada pueden ser violentadas desde fuera de la empresa, ya que sus señales llegan más allá de las puertas y paredes.
Es por ello que es crítico proteger el borde LAN-WAN; pero ahora los firewalls también deben mantener la comunicación entre segmentos internos de red, y revisar que los empleados internos no puedan acceder a recursos o segmentos que las políticas de la compañía dictan como fuera de su alcance. Haciendo particiones de la intranet con firewalls, los departamentos dentro de la organización ganan defensas adicionales contra amenazas de otros departamentos.
Además, crece la utilización de la red, porque los empleados se vuelven goegráficamente más dispersos, entre las oficinas remotas y el incremento de los medios móviles y redes remotas. De acuerdo a Nemertes Research, una firma especializada en cuantificar el impacto de negocio de la tecnología, ahora, la mayoría de los empleados trabajan en oficinas remotas, lejos de los cuarteles corporativos. Esto resulta en un nuevo borde LAN-WAN en cada oficina filial o remota, donde un router de acceso WAN se encuentra con la Internet pública u otra red WAN. Este nuevo borde debe ser protegido.
El firewall entonces, en su papel de primera línea de defensa tiene un lugar en los siguientes segmentos de red:
- En el perímetro tradicional de la red corporativa (donde el Data Center se encuentra con las redes WAN e Internet).
- Entre departamentos, para segregar el acceso de acuerdo a las políticas entre grupos de usuarios.
- Entre los puertos LAN de los switches y las granjas de servidores Web, de aplicación o de bases de datos del centro de datos.
- Donde la wireless LAN se conecta a la red cableada (entre los LAN switches Ethernet y los LAN controllers)En el borde WAN de la oficina remota.
- En las Laptops, smartphones, y otros dispositivos móviles inteligentes que guardan datos de la organización (en forma de software de firewall personal) y en el caso de trabajadores móviles.
Se recomienda filtrado básico en cada frontera de confianza, tanto externa como interna por toda la red.
El papel en la arquitectura de seguridad total.
martes, 28 de abril de 2009
Cómo funciona una Red Privada Virtual (Virtual Private Network)
from:IPSec Negotiation/IKE Protocols/How Virtual Private Networks Work
El mundo ha cambiado últimamente y ya no sólo nos interesa tratar con asuntos locales o regionales, ahora muchas empresas tienen que lidiar con mercados y logística globales. Algunas empresas deciden hacerlo mediante presencia en todo su país, su continente, o incluso en todo el mundo; pero siempre hay algo que necesitan: comunicación segura, confiable y rápida, sin importar donde estén sus oficinas.
Hasta hace poco, comunicación confiable significaba tener enlaces dedicados para mantener redes WAN, que podían ir desde una línea ISDN (144Kbps) hasta un OC3 (Optical Carrier-3 a 155Mbp o también llamado STM1). Obviamente una red WAN tiene ventajas sobre una red pública, como Internet, en cuanto a confiabilidad, disponibilidad, performance, latencia, seguridad, etc.; pero mantener una red WAN, particularmente usando enlaces dedicados, se puede volver demasiado costoso, y dependiendo del tipo de servicio, puede que la distacia incremente ese costo aún más. Adicionalmente, las redes privadas no son la solución para una empresa que tiene usuarios con alta movilidad (como puede ser el personal de mercadeo), y que requiere conectarse a recursos corporativos para acceder a datos sensiblemente importantes o confidenciales.
Mientras crece la popularidad del internet, las empresas lo han utilizado como un medio para extender sus propias redes. Primero llegaron las intranets, sitios diseñados para el uso de los empleados únicamente. Ahora, muchas compañías tienen sus propias VPNs para dar solución a las necesidades de sus empleados y oficinas remotos.
Una red típica de VPN puede tener una red local (LAN) principal en el edificio corporativo, otras LANs en oficinas remotas y usuarios individuales que se conectan desde campo.
Una VPN es una red privada que usa una red pública (usualmente el internet) para conectar sitios remotos o usuarios. Y en lugar de usar enlaces dedicados, tales como una línea privada, usa conexiones "virtuales" enrutadas a través de internet desde la red privada de la compañía hasta el sitio remoto.
¿Qué hace una VPN?
Suscribirse a:
Entradas
(
Atom
)