redes
Páginas: 8 (1850 palabras)
Publicado: 14 de julio de 2014
2.3 Monitoreo y Administración de Dispositivos
1
2.3.1 Seguridad de los Archivos de Configuración y la imagen IOS de Cisco
¿Que pasaría si un atacante obtuviera acceso a un
Router?
Podría alterar el flujo del tráfico.
Cambiar las configuraciones.
Borrar el archivo de configuración de inicio.
Borrar imagen del IOS de Cisco.
2
La función de configuraciónresistente (Resilient Configuration)
Cuando se asegura una imagen IOS de Cisco, la función de configuración
resistente deniega todas las solicitudes para copiarla, modificarla o eliminarla.
Hay dos comandos de configuración global disponibles para configurar las
funciones de configuración resistente del IOS de Cisco.
router(config)#
secure boot-image
router(config)#
secure boot-config
3 router(config)#
secure boot-image
Este comando habilita la resistencia de la imagen del IOS de Cisco.
Cuando se habilita por primera vez, se asegura la imagen actual del IOS de
Cisco.
Este comando solo funciona adecuadamente cuando el sistema está configurado
para ejecutar una imagen de un dispositivo de almacenamiento externo con una
interfaz ATA.
La configuración resistente del IOS deCisco detecta diferencias en la versión de
la imagen.
ios resilience: Archived image and configuration version 12.2 differs from running
version 12.3
4
router(config)#
secure boot-config
Tomar una instantánea de la configuración actual del router y la archiva de
manera segura en el dispositivo de almacenamiento permanente .
Esta función detecta una versión diferente de lasconfiguraciones del IOS de
Cisco y notifica al usuario de la diferencia de versiones.
Los archivos de configuración asegurados no aparecen en la salida de un
comando dir que se emite desde la CLI.
Para verificar la existencia del archivo.
5
Cinco pasos para restaurar un arranque después de que el Router a sido manipulado:
Reiniciar el router usando el comando reload.
Desde el modo ROMmon,ingrese el comando dir para listar los contenidos del dispositivo que
contiene el archivo asegurado de conjunto de arranque. Desde la CLI, el nombre del dispositivo
puede hallarse en la salida del comando show secure bootset.
Arranque el router con la imagen del conjunto de arranque asegurada usando el comando boot
con el nombre de archivo encontrado en el Paso 2. Cuando el routercomprometido arranca,
cambie al modo EXEC privilegiado y restaure la configuración.
Ingrese al modo de configuración global usando el comando config Terminal.
Restaure la configuración segura al nombre de archivo proporcionado usando el comando .
secure boot-config restore nombre-archivo.
6
7
Recuperar la contraseña del Router.
8
9
10
11
Prevención de recuperación decontraseña.
R1(config)# no service password-recovery
WARNING:
Executing this command will disable password recovery mechanism.
Do not execute this command without another plan for password recovery.
Are you sure you want to continue? [yes/no]: yes
R1(config)
R1# sho run
Building configuration...
Current configuration : 836 bytes
!
version 12.4
service timestamps debug datetime msecservice timestamps log datetime msec
service password-encryption
no service password-recovery
System Bootstrap, Version 12.4(13r)T, RELEASE SOFTWARE (fc1)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 2006 by cisco Systems, Inc.
PLD version 0x10
GIO ASIC version 0x127
c1841 platform with 131072 Kbytes of main memory
Main memory is configured to 64 bit mode with paritydisabled
PASSWORD RECOVERY FUNCTIONALITY IS DISABLED
program load complete, entry point: 0x8000f000, size: 0xcb80
12
¿Cómo recuperar un dispositivo después de haber ingresado el comando no service
password-recovery?
Debe emitir la secuencia break dentro de los cinco segundos luego de
que la imagen se descomprima durante el arranque.
Se le pedirá que confirme la acción de...
1
2.3.1 Seguridad de los Archivos de Configuración y la imagen IOS de Cisco
¿Que pasaría si un atacante obtuviera acceso a un
Router?
Podría alterar el flujo del tráfico.
Cambiar las configuraciones.
Borrar el archivo de configuración de inicio.
Borrar imagen del IOS de Cisco.
2
La función de configuraciónresistente (Resilient Configuration)
Cuando se asegura una imagen IOS de Cisco, la función de configuración
resistente deniega todas las solicitudes para copiarla, modificarla o eliminarla.
Hay dos comandos de configuración global disponibles para configurar las
funciones de configuración resistente del IOS de Cisco.
router(config)#
secure boot-image
router(config)#
secure boot-config
3 router(config)#
secure boot-image
Este comando habilita la resistencia de la imagen del IOS de Cisco.
Cuando se habilita por primera vez, se asegura la imagen actual del IOS de
Cisco.
Este comando solo funciona adecuadamente cuando el sistema está configurado
para ejecutar una imagen de un dispositivo de almacenamiento externo con una
interfaz ATA.
La configuración resistente del IOS deCisco detecta diferencias en la versión de
la imagen.
ios resilience: Archived image and configuration version 12.2 differs from running
version 12.3
4
router(config)#
secure boot-config
Tomar una instantánea de la configuración actual del router y la archiva de
manera segura en el dispositivo de almacenamiento permanente .
Esta función detecta una versión diferente de lasconfiguraciones del IOS de
Cisco y notifica al usuario de la diferencia de versiones.
Los archivos de configuración asegurados no aparecen en la salida de un
comando dir que se emite desde la CLI.
Para verificar la existencia del archivo.
5
Cinco pasos para restaurar un arranque después de que el Router a sido manipulado:
Reiniciar el router usando el comando reload.
Desde el modo ROMmon,ingrese el comando dir para listar los contenidos del dispositivo que
contiene el archivo asegurado de conjunto de arranque. Desde la CLI, el nombre del dispositivo
puede hallarse en la salida del comando show secure bootset.
Arranque el router con la imagen del conjunto de arranque asegurada usando el comando boot
con el nombre de archivo encontrado en el Paso 2. Cuando el routercomprometido arranca,
cambie al modo EXEC privilegiado y restaure la configuración.
Ingrese al modo de configuración global usando el comando config Terminal.
Restaure la configuración segura al nombre de archivo proporcionado usando el comando .
secure boot-config restore nombre-archivo.
6
7
Recuperar la contraseña del Router.
8
9
10
11
Prevención de recuperación decontraseña.
R1(config)# no service password-recovery
WARNING:
Executing this command will disable password recovery mechanism.
Do not execute this command without another plan for password recovery.
Are you sure you want to continue? [yes/no]: yes
R1(config)
R1# sho run
Building configuration...
Current configuration : 836 bytes
!
version 12.4
service timestamps debug datetime msecservice timestamps log datetime msec
service password-encryption
no service password-recovery
System Bootstrap, Version 12.4(13r)T, RELEASE SOFTWARE (fc1)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 2006 by cisco Systems, Inc.
PLD version 0x10
GIO ASIC version 0x127
c1841 platform with 131072 Kbytes of main memory
Main memory is configured to 64 bit mode with paritydisabled
PASSWORD RECOVERY FUNCTIONALITY IS DISABLED
program load complete, entry point: 0x8000f000, size: 0xcb80
12
¿Cómo recuperar un dispositivo después de haber ingresado el comando no service
password-recovery?
Debe emitir la secuencia break dentro de los cinco segundos luego de
que la imagen se descomprima durante el arranque.
Se le pedirá que confirme la acción de...
Leer documento completo
Regístrate para leer el documento completo.