martes, 26 de mayo de 2009

Segurizar equipos Cisco

Mucha gente pregunta a diario sobre tips e ideas acerca de cual debería ser el set de features habilitados en un equipo para que este sea 'seguro'.

Obviamente ningún host que sea accesible públicamente desde cualquier parte de la red va a ser seguro en un 100%, pero es nuestra tarea el tratar de que nuestra red sea lo más restrictiva posible -sin perder funcionalidad- para que se le complique la vida a los atacantes.

Hace unos días me puse a recopilar una serie de trucos que fui encontrando en distintos sitios, sobre todo en el site de Cisco. La idea fue hacer un resúmen y obviamente traducirlo al español.

Dado que seguramente surgirán dudas, inquietudes e incluso nuevas ideas que no están publicadas no voy a hacer un post de blog como es habitual, sino que armé un Wiki en donde está el contenido en cuestión.

Esta página va a ser un borrador contínuo, dado que la idea es que siga creciendo a medida que vayamos descubriendo nuevas técnicas para mejorar la seguridad de nuestra red.

Ahora sí, les dejo la url y quedo a la espera de sus comentarios:

http://wiki.capaocho.net/doku.php/ciscohardening

Saludos

2 comentarios:

Anónimo dijo...

Hola Ariel, soy el que te ha estado jodiendo con las imagenes rotas :D

Disculpa me podes ayudar con un ACL, es para filtar el trafico de una VLAN.

Aca esta la imagen :

http://img714.imageshack.us/img714/9756/ejacl.png

Lo que quiero hacer es que PC1 (VLAN 10) pueda acceder, bueno en este caso pueda hacer ping a PC2 (VLAN 20) :
Pero que PC2 (VLAN 20) no pueda hacer ping a PC1 (VLAN 10).

Probe con esto :

R1(config)# access-list 1 deny 192.168.20.0 0.0.0.255
R1(config)# access-list 1 permit any
R1(config)# interface f0/0.2
R1(config-if)# ip access-group 1 out

Con esto logro que PC2 no pueda hacer ping a PC1, lo malo es que tambien no puedo hacer ping de PC1 a PC2

Por ahi me dijieron que no se puede simular esto en Packet Tracer, pero yo creo que estoy poniendo mal la ACL.

Gracias de antemano ;)

Ariel S. Weher dijo...

Veo que estás usando un ACL estándar. Para lograr esto podrías usar una extendida y ponerla entrante en la vlan 20.

En la primer linea deberias dejar pasar los icmp echo-reply para los destinos de la vlan 10, y en la segunda denegar todo lo que vaya a la vlan 20 (o bien denegar todo o bien usar la política implícita de denegación).

Saludos

Publicar un comentario