CCNA Security

Chapter Two Securing Network Devices

2009 Cisco Learning Institute.

Lesson Planning
This lesson should take 3-6 hours to present The lesson should include lecture, demonstrations, discussion and assessment The lesson can be taught in person or using remote instruction

2009 Cisco Learning Institute.

Major Concepts
Discuss the aspects of router hardening Configure secure administrative access and router resiliency Configure network devices for monitoring administrative access Demonstrate network monitoring techniques Secure IOS-based Routers using automated features
2009 Cisco Learning Institute.

Lesson Objectives
Upon completion of this lesson, the successful participant will be able to:
1.Describe how to configure a secure network perimeter 2.Demonstrate the configuration of secure router administration access 3.Describe how to enhance the security for virtual logins 4.Describe the steps to configure an SSH daemon for secure remote management 5.Describe the purpose and configuration of administrative privilege levels 6.Configure the role-based CLI access feature to provide hierarchical administrative access

2009 Cisco Learning Institute.

Lesson Objectives
7. Use the Cisco IOS resilient configuration feature to secure the Cisco IOS image and configuration files 8. Describe the factors to consider when securing the data that transmits over the network related to the network management and reporting of device activity 9. Configure syslog for network security 10. Configure SNMP for network security 11. Configure NTP to enable accurate time stamping between all devices 12. Describe the router services, interfaces, and management services that are vulnerable to network attacks and perform a security audit 13. Lock down a router using AutoSecure 14. Lock down a router using SDM

2009 Cisco Learning Institute.

El router borde
Cul es el router de borde?
- El ltimo router entre la red interna y una red insegura, como el Internet.

- Funciona como la primera y ltima lnea de defensa

- Implementa acciones de seguridad basadas en las polticas de seguridad de la organizacin

Cmo puede el router de borde ser asegurado?

- Utilizar varias implementaciones de permetro de router - Considere la seguridad fsica, la seguridad del sistema operativo, y endurecimiento del router.

- Acceso administrativo seguro

- El acceso local frente a acceso remoto del router.
2009 Cisco Learning Institute.

Perimeter Implementations
Enfoque del Router Individual
- Un solo router conecta la LAN interna a la Internet. Todas las polticas de seguridad son configuradas en este dispositivo.
Router 1 (R1) Internet LAN 1
192.168.2.0

Enfoque de defensa en profundidad

- Todo pasa a travs del firewall. Un conjunto de reglas determina el trfico que el router permite o deniega.
R1 Internet Firewall LAN 1
192.168.2.0

Enfoque DMZ
- La zona desmilitarizada (DMZ) se establece entre dos routers. La mayora de filtrado de trfico es dejado al firewall
R1 Firewall R2 Internet DMZ LAN 1
192.168.2.0

2009 Cisco Learning Institute.

Areas de Seguridad del Router

Seguridad Fsica
- Ubicar al router en un ambiente seguro y bloqueado - Instale un sistema de alimentacin ininterrumpida

Sistema Operativo de Seguridad

- Utilice la ltima versin estable que cumple con los requisitos de la red

- Guarde una copia del O/S y el archivo de configuracin como una copia de seguridad

Endurecimiento del Router

- Control administrativo seguro - Deshabilitar los puertos no utilizados y las interfaces - Deshabilitar los servicios innecesarios
2009 Cisco Learning Institute.

Mensajes de Banner
Los banners estn desactivados por defecto y debe habilitarse explcitamente
R1(config)# banner {exec | incoming | login | motd | slip-ppp} d message d

Hay cuatro fichas vlidas para el uso dentro de la seccin de mensajes del comando banner:
- $(hostname)Displays the hostname for the router - $(domain)Displays the domain name for the router - $(line)Displays the vty or tty (asynchronous) line number - $(line-desc)Displays the description that is attached to the line

2009 Cisco Learning Institute.

SSH

version 1, 2

Configuring Router SSH Commands Connecting to Router Using SDM to configure the SSH Daemon
What's the difference between versions 1 and 2 of the SSH protocol?

2009 Cisco Learning Institute.

10

Preliminary Steps for Configuring SSL

Complete lo siguiente antes de configurar los routers para el protocolo SSH:
1. Asegrese de que los routers objetivos estn ejecutando una versin de una imagen Cisco IOS 12.1 (1)T o superior para soportar SSH. 2. Asegrese de que cada uno de los routers objetivo tengan un nombre de host nico.

3. Asegrese de que cada uno de los routers objetivos estn utilizando el nombre de dominio correcto de la red.
4. Asegrese de que los routers objetivos estn configurados para la autenticacin local, tengan activos los servicios AAA (autenticacin, autorizacin y contabilidad) para la autenticacin de usuario o contrasea, o ambos. Esto es obligatorio para una conexin router-a-router SSH.
2009 Cisco Learning Institute.

11

Configuring the Router for SSH

1. Configure el nombre R1# conf t de dominio IP de la red R1(config)# ip domain-name span.com R1(config)# crypto key generate rsa general-keys modulus 1024 2. Generar una clave The name for the keys will be: R1.span.com secreta de un sentido
% The key modulus size is 1024 bits % Generating 1024 bit RSA keys, keys will be nonexportable...[OK] R1(config)# *Dec 13 16:19:12.079: %SSH-5-ENABLED: SSH 1.99 has been enabled 3. Verificar o crear una R1(config)# username Bob secret cisco entradaa en la base R1(config)# line vty 0 4 de datos local R1(config-line)# login local R1(config-line)# transport input ssh 4. Activar VTY entrante R1(config-line)# exit

para sesiones SSH

2009 Cisco Learning Institute.

12

Optional SSH Commands

R1# show ip ssh SSH Enabled - version 1.99 Authentication timeout: 120 secs; Authentication retries: 3 R1# R1# conf t Enter configuration commands, one per line. End with CNTL/Z. R1(config)# ip ssh version 2 R1(config)# ip ssh time-out 60 R1(config)# ip ssh authentication-retries 2 R1(config)# ^Z R1# R1# show ip ssh SSH Enabled - version 2.0 Authentication timeout: 60 secs; Authentication retries: 2 R1#
2009 Cisco Learning Institute.

13

Connecting to the Router

Hay dos maneras diferentes de conectarse a un router habilitado con SSH :
1 There are no current SSH sessions ongoing with R1.
R1# sho ssh %No SSHv2 server connections running. %No SSHv1 server connections running. R1#

Conectarse usando router Cisco con SSH habilitado.

Conectarse usando un cliente SSH desde un host.

2 R2 establishes an SSH connection with R1.

R2# ssh -l Bob 192.168.2.101 Password: R1>

There is an incoming and outgoing SSHv2 session user Bob.

R1# sho ssh Connection Version Mode Encryption Hmac 0 2.0 IN aes128-cbc hmac-sha1 0 2.0 OUT aes128-cbc hmac-sha1 %No SSHv1 server connections running. R1#

State Session started Session started

Username Bob Bob

2009 Cisco Learning Institute.

14

Using SDM
1. Elegir Configure > Additional Tasks > Router Access > SSH

2. Algunos estado posibles:

- Clave RSA no est establecida en el router - Clave RSA est establecida en el router

4. Para configurar SSH en las lineas VTY, elegir Configure > Additional Tasks > Router Access > VTY
2009 Cisco Learning Institute.

3. Introduzca un tamao de mdulo y generar una clave, si no hay una clave configurada
15

Role-Based CLI
Controla cuales comandos estn disponibles para roles especficos. Diferentes vistas de la configuraciones del router creados para diferentes usuarios proporcionando:
- Seguridad: - Define el conjunto de comandos CLI que son accesibles por un usuario en particular mediante el control del acceso del usuario a configurar puertos especficos, interfaces lgicas, y slots en el router - Disponibilidad: Impide la ejecucin accidental de comandos CLI por personal no autorizado - Eficacia Operacional de TI: Los usuarios slo ven los comandos CLI aplicables a los puertos y CLI a los cuales ellos tienen acceso

2009 Cisco Learning Institute.

16

Role-Based Views
Root View
Para configurar cualquier view para el sistema, el administrador debe estar en el Root View. Root View tiene todos los privilegios de acceso de un usuario que tiene privilegios de nivel 15.

CLI View
Un conjunto especfico de comandos pueden ser agrupados en un CLI View. A cada view se debe asignar todos los comandos asociados con ese view y no hay herencia de los comandos desde otros views. Adems, los comandos pueden ser reutilizados en varias views.

Super View
Permite que un administrador de red asigne usuarios y grupos de usuarios a mltiples CLI Views a la vez, en lugar de tener que asignar un nico CLI View por usuario con todos los comandos asociados a ese nico CLI View.
2009 Cisco Learning Institute.

17

Role-Based Views

2009 Cisco Learning Institute.

18

Creating and Managing a View

1. Activar aaa con el comando de configuracin aaa new-model. Exit, e ingresar a root view con el comando enable view. 2. Crear una view usando el comando parser view view-name.

3. Asignar un password secreto a la view usando el comando secret encrypted-password.

4. Asignar comandos a la vista seleccionada usando el comando parser-mode {include | include-exclusive | exclude} [all] [interface interface-name | command] en view configuration mode. 5. Salir de view configuration mode ingresando el comando exit.

2009 Cisco Learning Institute.

19

View Commands
router# enable [view [view-name]]

El comando es usado para entrar a CLI view.

Parameter Description

view
view-name

Enters view, which enables users to configure CLI views. This keyword is required if you want to configure a CLI view.
(Optional) Enters or exits a specified CLI view. This keyword can be used to switch from one CLI view to another CLI view.

router(config)# parser view view-name

Crea una vista e ingresa a view configuration mode.

router(config-view)# secret encrypted-password

Establece un password para proteger acceso al View El password debe ser creado inmediatamente despus de crear una vista
2009 Cisco Learning Institute.

20

Creating and Managing a Superview

1. Create a view using the parser view viewname superview command and enter superview configuration mode. 2. Assign a secret password to the view using the secret encrypted-password command. 3. Assign an existing view using the view viewname command in view configuration mode. 4. Exit the superview configuration mode by typing the command exit.

2009 Cisco Learning Institute.

21

Running Config Views

2009 Cisco Learning Institute.

22

Running Config SUPERVIEWS

2009 Cisco Learning Institute.

23

Verifying a View
R1# show parser view No view is active ! Currently in Privilege Level Context R1# R1# enable view Password: *Mar R1# R1# show parser view Current view is 'root' R1# R1# show parser view all Views/SuperViews Present in System: 1 10:38:56.233: %PARSER-6-VIEW_SWITCH: successfully set to view 'root'.

SHOWVIEW
VERIFYVIEW

2009 Cisco Learning Institute.

24

Resilient Configuration Facts

El archivo de configuracin en el primary bootset es una copia de la configuracin que se ejecuta en el router cuando la caracterstica fue habilitada por primera vez.

La caracterstica asegura el ms pequeo conjunto de archivos de trabajo para conservar espacio de almacenamiento persistente. No espacio adicional es requerido para asegurar la imagen de archivo IOS primaria.
La funcin detecta automticamente la imagen o el conflicto de versiones de configuracin. Slo el almacenamiento local se utiliza para asegurar los archivos. La funcin puede ser desactivada slo a travs de una sesin de consola.
2009 Cisco Learning Institute.

R1# erase startup-config Erasing the nvram filesystem will remove all configuration files! Continue? [confirm]

25

CLI Commands

router(config)# secure boot-image

Activa la resiliencia de la imagen Cisco IOS. Evita que la imagen IOS sea eliminada por un usuario malicioso..

router(config)# secure boot-config

Toma una instantnea de la configuracin activa del router y de forma segura la archiva esta en un almacenamiento persistente..

2009 Cisco Learning Institute.

26

Restoring Primary bootset

To restore a primary bootset from a secure archive:
1. Reload the router using the reload command. 2. From ROMMON mode, enter the dir command to list the contents of the device that contains the secure bootset file. The device name can be found in the output of the show secure bootset command. 3. Boot up the router using the secure bootset image using the boot command with the filename found in step 2. Once the compromised router boots, proceed to privileged EXEC mode and restore the configuration. 4. Enter global configuration mode using conf t. 5. Restore the secure configuration to the supplied filename using the secure boot-config restore filename.

2009 Cisco Learning Institute.

27

Password Recovery Procedures

1. 2. Connect to the console port. Use the show version command to view and record the configuration register Use the power switch to turn off the router, and then turn the router back on. Press Break on the terminal keyboard within 60 seconds of power up to put the router into ROMmon. At the rommon 1> prompt Type config 0x2142. Type reset at the rommon 2> prompt. The router reboots, but ignores the saved configuration. Type no after each setup question, or press Ctrl-C to skip the initial setup procedure. Type enable at the Router> prompt.

3.
4. 5. 6. 7. 8.

2009 Cisco Learning Institute.

28

Password Recovery Procedures, 2

9. Type copy startup-config running-config to copy the NVRAM into memory.

10. Type show running-config.

11. Enter global configuration and type the enable secret command to change the enable secret password.
12. Issue the no shutdown command on every interface to be used. Once enabled, issue a show ip interface brief command. Every interface to be used should display up up. 13. Type config-register configuration_register_setting. The configuration_register_setting is either the value recorded in Step 2 or 0x2102 . 14. Save configuration changes using the copy running-config startup-config command.

2009 Cisco Learning Institute.

29

Preventing Password Recovery

R1(config)# no service password-recovery WARNING: Executing this command will disable password recovery mechanism. Do not execute this command without another plan for password recovery. Are you sure you want to continue? [yes/no]: yes R1(config) R1# sho run Building configuration... Current configuration : 836 bytes ! version 12.4 service timestamps debug datetime msec service timestamps log datetime msec service password-encryption no service password-recovery System Bootstrap, Version 12.4(13r)T, RELEASE SOFTWARE (fc1) Technical Support: http://www.cisco.com/techsupport Copyright (c) 2006 by cisco Systems, Inc. PLD version 0x10 GIO ASIC version 0x127 c1841 platform with 131072 Kbytes of main memory Main memory is configured to 64 bit mode with parity disabled PASSWORD RECOVERY FUNCTIONALITY IS DISABLED program load complete, entry point: 0x8000f000, size: 0xcb80
2009 Cisco Learning Institute.

30

Implementing Secure Management

Configuracin de la Gestin del Cambio
- Conocer el estado de los dispositivos de red crticos - Saber cundo se produjo las ltimas modificaciones - Garantizar a las personas adecuadas tengan acceso cuando se adopten nuevas metodologas de gestin - Saber cmo manejar las herramientas y dispositivos ya no utilizados.

Registro automatizado y notificacin de informacin de dispositivos identificados a hosts de gestin Disponibilidad de aplicaciones y protocolos como SNMP

2009 Cisco Learning Institute.

31

Secure Management and Reporting

Cuando se registra y gestiona la informacin, el flujo de informacin entre los hosts de gestin y los dispositivos administrados pueden tomar dos caminos:
- Out-of-band (OOB): La informacin fluye en una red de gestin dedicada en la que no reside trfico de produccin. - In-band: La informacin fluye a travs de la red de produccin de la empresa, la Internet, o ambos, usando canales de datos regulares.

2009 Cisco Learning Institute.

32

Factors to Consider
La gestin en OOB es adecuado para grandes redes empresariales

La gestin In-Band se recomienda en pequeas redes que ofrecen una mejor relacin de costo en el despliegue de seguridad. Sea consciente de las vulnerabilidades de seguridad de la utilizacin de herramientas de administracin remota con las funciones de gestin In-Band.
33

2009 Cisco Learning Institute.

Using Syslog
Implementing Router Logging Syslog Configuring System Logging Enabling Syslog using SDM/CCP

2009 Cisco Learning Institute.

34

Implementing Router Logging

Configurar el router para enviar mensajes de registro a: Console (Consola): Los registros de consola se utiliza cuando se esta modificando o evaluando el router mientras est conectado a la consola. Los mensajes enviados a la consola no son almacenados por el router y, por tanto, no son muy valiosos como los eventos de seguridad. Terminal Lines (Lneas de terminal): Configurar sesiones enabled EXEC para recibir mensajes de registro en cualquier lneas de terminal. Similar a la consola de registro, este tipo de registro no se guarda en el router y, por tanto, slo es valioso para el usuario en esa lnea.
2009 Cisco Learning Institute.

35

Implementing Router Logging

Buffered logging : Almacena los mensajes de registro en la memoria del router. Los mensajes de registro se almacenan durante un tiempo, pero los eventos son borrados cuando se reinicia el router. SNMP Traps: Ciertos umbrales pueden ser preconfigurados. Los eventos pueden ser procesados por el router y transmitidos como SNMP traps a un servidor SNMP externo. Requiere la configuracin y el mantenimiento de un sistema SNMP. Syslog: Configura los routers para transmitir los mensajes de registro a un servicio de syslog externo. Este servicio puede residir en cualquier nmero de servidores, incluyendo Microsoft Windows y sistemas basados en UNIX, o el dispositivo Cisco Security MARS
2009 Cisco Learning Institute.

36

Syslog
Syslog servers: Conocido como hosts de registros, estos sistemas aceptan y procesan los mensajes de registro de los clientes syslog. Syslog Clients: Routers u otros tipos de equipo que generan y transmiten mensajes de registro a servidores syslog. (Syslog servers)
Public Web Server 10.2.2.3 Mail Server 10.2.2.4 Administrator Server 10.2.2.5

Syslog Client
e0/0 10.2.1.1

R3

e0/2 10.2.3.1

e0/1 10.2.2.1

DMZ LAN 10.2.2.0/24

Syslog Server 10.2.3.2

Protected LAN 10.2.3.0/24

2009 Cisco Learning Institute.

User 10.2.3.3

37

Configuring System Logging

Turn logging on and off using the logging buffered, logging monitor, and logging commands

R3(config)# R3(config)# R3(config)# R3(config)#

logging logging logging logging

10.2.2.6 trap informational 2. Establecer el nivel de gravedad (trap) 0 source-interface loopback del registro on 3. Establece el origen de la

1. Establece el host de destino de registro

4. Activa logging

interfaz
38

2009 Cisco Learning Institute.

Enabling Syslog Using SDM/CCP

1. Elegir Configure > Additional Tasks > Router Properties > Logging

2. Clic Edit 3. Check Enable Logging Level y elegir nivel deseado de registro 4. Clic Add, e ingresar la direccin IP del host de registro

5. Clic OK

2009 Cisco Learning Institute.

39

Monitor Logging with SDM

1. Elegir Monitor > Logging

2. See the logging hosts to which the router logs messages 3. Choose the minimum severity level

4. Monitor the messages, update the screen to show the most current log entries, and clear all syslog messages from the router log buffer
2009 Cisco Learning Institute.

40

Monitor Logging Remotely

Los registros puede ser fcilmente vistos a travs SDM, o para facilitar su uso, a travs de un visor de syslog en cualquier sistema remoto. Existen numerosos syslog viewers remotos gratuitos, Kiwi es relativamente sencillo y gratuito. Configurar el router/switch/etc para enviar los registros a la direccin IP de la PC que tiene instalado el Kiwi. Kiwi automticamente escucha los mensajes de syslog y los muestra.
2009 Cisco Learning Institute.

41

SNMP
Desarrollado para manejar los nodos, tales como servidores, estaciones de trabajo, routers, switches, hubs, y dispositivos de seguridad en una red IP Todas las versiones son protocolos de la Capa de Aplicacin que facilitan el intercambio de informacin de gestin entre los dispositivos de red

Es parte de la suite de protocolos TCP / IP

Permite a los administradores de red gestionar el rendimiento de la red, encontrar y resolver problemas de la red, y el planear para el crecimiento de la red Tres versiones distintas de SNMP
2009 Cisco Learning Institute.

42

Community Strings
Una cadena de texto que puede autenticar los mensajes entre una estacin de administracin y un agente SNMP y permitir el acceso a la informacin en el MIB

Proporciona acceso de slo lectura a todos los objetos en la MIB, excepto las cadenas de comunidad. Proporciona acceso de lectura y escritura a todos los objetos en la MIB, excepto las cadenas de comunidad.

2009 Cisco Learning Institute.

43

SNMPv3
NMS

Transmisiones del administrador a un agente puede ser autenticados para garantizar la identidad del remitente y la integridad y puntualidad de un mensaje.
Managed Node

Encrypted Tunnel

Managed Node

Los mensajes pueden ser encriptados para garantizar la privacidad

Managed Node

NMS

El agente puede hacer cumplir el control de acceso para restringir cada director para determinadas acciones en ciertas partes de sus datos.

Managed Node
44

2009 Cisco Learning Institute.

Security Levels
noauth: Autentica un paquete por la coincidencia de una cadena de caracteres de la cuenta de usuario o comunidad auth: Autentica un paquete utilizando el hash Message Authentication Code (HMAC) con el mtodo Message Digest 5 (MD5) o el mtodo Secure Hash Algorithms (SHA). Priv: Autentica un paquete utilizando los algoritmos HMAC MD5 o SHA HMAC y cifra el paquete utilizando los algoritmos Data Encryption Standard (DES), Triple DES (3DES) o Advanced Encryption Standard (AES).
45

2009 Cisco Learning Institute.

Trap Receivers
1. Clic Edit

2. Clic Add

3. Escriba la direccin IP o el nombre de host del receptor del trap y la contrasea

5. Para editar o eliminar un receptor de trap existente, elegir un receptor de trap de la lista trap receiver y haga clic en Edit o Delete

2009 Cisco Learning Institute.

6. Cuando la lista trap receiver est completa, clic OK

4. Clic OK
46

Using NTP
Los relojes de los ordenadores y dispositivos de red debe ser mantenidos y sincronizados para que los mensajes de registro estn sincronizados entre s La fecha y hora de la configuracin del router se puede configurar utilizando uno de dos mtodos:
- Editar manualmente la fecha y hora

- Configurar el Network Time Protocol

2009 Cisco Learning Institute.

47

Timekeeping
Obtener la hora del reloj de la Internet significa que los paquetes no seguros son permitidos a travs del cortafuegos Muchos servidores NTP en Internet no requieren de autenticacin de sus pares. A los dispositivos se les da la direccin IP de los NTP masters. En una red configurada con NTP, uno o ms routers son designados como el guardin del reloj maestro (conocido como NTP masters) usando el comando configuracin global ntp master Los clientes NTP se ponen en contacto con master o escuchar los mensajes del maestro para sincronizar sus relojes. Para contactar con el servidor, utilice el comando ntp server ntp-serveraddress . En un entorno LAN, NTP puede ser configurado para usar mensajes de informacin IP broadcast en su lugar, utilizando los comandos ntp broadcast client .
2009 Cisco Learning Institute.

48

Features/Functions
Existen dos mecanismos de seguridad disponibles:
- Un esquema de restriccin basado en ACL. - Un mecanismo de autenticacin encriptado como la ofrecida por la NTP versin 3 o superior.

Aplicar NTP versin 3 o superior. Utilice los siguientes comandos en maestro de los PNT y el cliente NTP.
- ntp authenticate
- ntp authentication key md5 value - ntp trusted-key key-value

2009 Cisco Learning Institute.

49

Enabling NTP
1. Elegir Configure > Additional Tasks > Router Properties > NTP/SNTP 2. Clic Add 3. Aadir un servidor NTP por nombre o por direccin IP 4. Seleccione la interfaz que el router utilizar para comunicarse con el servidor NTP

5. Marque Prefer si este servidor NTP es un servidor preferido (se permite ms de uno) 6. Si se utiliza la autenticacin, marque Authentication Key e introduzca el nmero de la clave, el valor de la clave, y confirmar el valor de la clave. 50

7. Clic OK

2009 Cisco Learning Institute.

Security Practices
Determinar qu dispositivos debe utilizar CDP Para garantizar que un producto es seguro:
- Deshabilitar los servicios e interfaces innecesarias
- Deshabilitar y restringir los servicios comunes de gestin de configuracin, tales como SNMP - Deshabilitar pruebas y exploraciones, como ICMP - Garantizar un acceso a la terminal seguro - Deshabilitar gratuitousy proxy Address Resolution Protocol (ARP) - Desactivar IP-directed broadcast.

2009 Cisco Learning Institute.

51

SDM Security Audit

Realizar Perform Security Audit permitiendo al administrador elegir los cambios de configuracin a implementar.

One-Step Lockdown automticamente hace todas las recomendaciones de cambios de configuracin relacionadas con la seguridad

2009 Cisco Learning Institute.

52

Security Audit Wizard

Compara la configuracin del router contra la configuracin recomendada: Apagar los servidores que no sean necesarios Desactiva los servicios innecesarios Aplicar el servidor de seguridad para las interfaces outside. Desactivar o endurece SNMP Apaga las interfaces no utilizadas Activa la fuerza de contrasea Aplicar el uso de ACL
2009 Cisco Learning Institute.

53

Cisco AutoSecure
Iniciado desde el CLI y ejecuta un script. La caracterstica AutoSecure primero hace recomendaciones para arreglar vulnerabilidades de seguridad, a continuacin, modifica la configuracin de seguridad del router. Puede bloquear las funciones de gestin del plane y los servicios de transmisin del plane y las funciones de un router Se utiliza para proporcionar una lnea base de poltica de seguridad en un nuevo router
2009 Cisco Learning Institute.

54

Auto Secure Command

Comando para habilitar la caracterstica de configuracin de Cisco AutoSecure :

auto secure [no-interact]

En el modo interactivo, el router le pedir opciones para habilitar y deshabilitar los servicios y otras caractersticas de seguridad. Este es el modo por defecto, pero tambin se puede configurar utilizando el comando auto secure full
55

2009 Cisco Learning Institute.

Auto Secure Command

router# auto secure [no-interact | full] [forwarding | management ] [ntp | login | ssh | firewall | tcp-intercept]
R1# auto secure ? firewall forwarding full login management no-interact ntp ssh tcp-intercept <cr> R1#
2009 Cisco Learning Institute.

AutoSecure Firewall Secure Forwarding Plane Interactive full session of AutoSecure AutoSecure Login Secure Management Plane Non-interactive session of AutoSecure AutoSecure NTP AutoSecure SSH AutoSecure TCP Intercept

56

Cisco One-step Lockdown

Prueba la configuracin del router para cualquier problema potencial de seguridad y realiza automticamente los cambios de configuracin necesarias para corregir los problemas encontrados

2009 Cisco Learning Institute.

57

AutoSecure Versus SDM Security Audit One-Step Lockdown

R1# auto secure --- AutoSecure Configuration --*** AutoSecure configuration enhances the security of the router, but it will not make it absolutely resistant to all security attacks *** AutoSecure will modify the configuration of your device. All configuration changes will be shown. For a detailed explanation of how the configuration changes enhance security and any possible side effects, please refer to Cisco.com for Autosecure documentation.

Cisco AutoSecure tambin:

Desactiva NTP Configura AAA Establece los valores del SPD Activa TCP intercepts Configura anti-spoofing ACL en de interfaces outside.

SDM implementa algunas de las siguientes caractersticas de manera diferente:

SNMP est deshabilitado pero no configurar SNMPv3 SSH est activado y configurado con imgenes que soportan esta caracterstica. Secure Copy Protocol (SCP) no est habilitado El inseguro FTP si.

2009 Cisco Learning Institute.

58

 2009 Cisco Learning Institute.

59