Remover Servicios Innecesarios o Inseguros

Necesidad

Línea base de seguridad Cisco - Deshabilitar servicios.

Contexto

A continuación se describe las circunstancias bajo las cuales la siguiente solución tiene sentido:

  1. Se tiene acceso a un dispositivo Cisco como administrador.

Solución.

A continuación se describe como mitigar diferentes riesgos relacionados. Previo a ejecutar las instrucciones específicas para cada procedimiento, se debe ejecutar los siguientes pasos para ingresar al modo de configuración:

  1. Autenticarse en el dispositivo.

  2. Ingresar al modo privilegiado por medio del comando enable e ingresar la contraseña cuando ésta sea solicitada.

  3. Si se quiere ver la configuración actual, ingresar el comando show running-config.

  4. Ingresar al modo de configuración por medio del comando configure terminal. El usuario deberá ver que el prompt cambia a Switch (config)#.

  5. Después de ingresar los comandos de configuración, salir de este modo por medio del comando exit.

  6. Para guardar los cambios y que estos sean aplicados cuando inicie el equipo, ejecutar el comando copy running-configuration startup-configuration.

En algunos casos, las configuraciones expuestas a continuación deshabilitan los servicios para el dispositivo de forma global, pero en otros casos las configuraciones únicamente afectan una interfaz. Para aplicar las configuraciones a múltiples interfaces se recomienda hacer uso de la opción range del comando interface. A continuación un ejemplo para aplicar la configuración a las interfaces GigabitEthernet 6/1 hasta 6/3:

GigabitEthernet settings
Switch(config)# interface range gigabitethernet 6/1 – 3

Deshabilitar small services

Estos son servicios que escuchan en los puertos 7, 9, 13, 19 (echo, discard, daytime y chargen). Dos de estos servicios, echo y chargen, pueden ser usados en denegación de servicio.

Para deshabilitar estos servicios, ejecutar los comandos:

Switch(config)# no service tcp-small-servers
Switch(config)# no service udp-small-servers

Bootp Server

Un switch Cisco puede hacer las veces de servidor bootp, servicio por el cual distribuye imágenes del sistema a otros sistemas Cisco. Para descativar este servicio ingresamos la siguiente línea:

Switch(config)# no ip bootp server

Finger

Este servicio provee información acerca de usuarios actualmente activos en el sistema. Ambos comandos expuestos a continuación deshabilitan el servicio, pero cabe resaltar que el primero remplazará al segundo en versiones futuras de IOS. Desactivamos el servicio mediante el siguiente comando:

Switch(config)# no ip finger
Switch(config)# no service finger

Autocarga de configuración

Un dispositivo Cisco puede obtener su configuración desde un servidor en la red. No se recomienda hacer uso de esta funcionalidad debido a que la información de configuración es transmitida en texto plano durante su proceso de inicio (boot) y puede ser vista por personal no autorizado. Hacer uso de los comandos a continuación para deshabilitar esta funcionalidad:

Switch(config)# no service config
Switch(config)# no boot host
Switch(config)# no boot network
Switch(config)# no boot system

Address Resolution Protocol (ARP)

Normalmente, los mensajes ARP están limitados a un único dominio de broadcast, pero un switch puede actuar como proxy entre dominios. Para deshabilitar esta funcionalidad, hacer uso del comando:

Switch(config-if)# no ip proxy-arp

Internet Control Message Protocol (ICMP)

Un switch Cisco puede generar automáticamente tres tipos de mensajes ICMP: Host Unreachable, Redirect y Mask Reply. Los mensajes Mask Reply entregan la máscara de red para una red en particular a quien hace esta petición. Para desactivar este servicio ingresamos el siguiente comando:

Switch(config-if)# no ip unreachables
Switch(config-if)# no ip redirects
Switch(config-if)# no ip mask-reply

Los Directed broadcasts permite mensajes de broadcast iniciados de diferentes dominios de broadcast a los atados localmente al switch. Se recomienda que esta funcionalidad sea deshabilitada por medio del comando:

Switch(config-if)# no ip directed-broadcast

Hyper Text Transfer Protocol (HTTP)

Es posible administrar dispositivos Cisco a través de una interfaz web. Se recomienda restringir la administración a herramientas de línea de comando y deshabilitar esta funcionalidad por medio del comando:

Switch(config)# no ip http server

SNMP

SNMP es un protocolo utilizado para la administración de los equipos de red. No se recomienda hacer uso de este protocolo en versiones 1 y 2, debido a que la comunidad se transmite en texto plano. Si no es requerido, se recomienda deshabilitarlo por medio de los siguientes comandos:

Switch(config)# no snmp-server community
Switch(config)# no snmp-server enable traps
Switch(config)# no snmp-server system-shutdown
Switch(config)# no snmp-server

Cisco Discovery Protocol (CDP)

CDP provee la posibilidad para compartir información de sistema entre dispositivos Cisco. Si esta funcionalidad no es necesaria, se recomienda deshabilitarla por medio de los comandos:

Switch(config)# no cdp run
Switch(config)# no cdp advertise-v2
Switch(config)# interface range fastethernet 0/1 - 24
Switch(config-if)# no cdp enable

VTP

Virtual Trunking Protocol (VTP) simplifica la administración de de VLANs cuando se despliega un gran número de estas. Sin embargo conlleva problemas de seguridad, por lo cual se recomienda deshabilitarlo por medio de los siguientes comandos:

Switch(config)# no vtp mode
Switch(config)# no vtp password
Switch(config)# no vtp pruning

Referencias

  1. Cisco IOS Security Configuration Guide, Release 12.2

  2. Cisco IOS Switch Security Configuration Guide

  3. REQ.266 Deshabilitar funciones inseguras.

  4. REQ.267 Deshabilitar funciones innecesarias.

  5. REQ.275 Establecer inicio por defecto.

OWASP logo

Corporate member of The OWASP Foundation

Clutch Review

Copyright © 2021 Fluid Attacks, We hack your software. All rights reserved.

Service status - Terms of Use - Privacy Policy - Cookie Policy