Autosecure

Un punto fundamental al diseñar y analizar la seguridad de una red de comunicaciones es el hardening o aseguramiento de de los dispositivos que componen su infraestructura. Este proceso de hardening supone asegurar el acceso de gestión al dispositivo y desactivar o asegurar todo protocolo o feature que suponga una potencial puerta de acceso al dispositivo en sí mismo.
Para esta tarea hay colecciones de best practices y checklists a completar: aplicar procesos de autenticación, autorización y registro sólidos para los accesos de gestión, utilizar protocolos de gestión seguros (SSH o HTTPS), suprimir servicios que no se utilizan y asegurar aquellos que son necesarios, asegurar vulnerabilidades, etc.
Un recurso de IOS diseñado para facilitar esta tarea es Autosecure.
Se trata de un feature que permite asegurar un router utilizando un único comando. Algunos de los efectos de la ejecución del comando son los siguientes:
Deshabilita los siguientes servicios globales sin necesidad de intervención del operador:

• Finger.
• PAD.
• Small Servers.
• BOOTP Server.
• HTTP Server.
• Identification Service (RFC 1413).
• CDP.
• NTP.
• Source Routing.

Deshabilita servicios en las interfaces sin intervención del operador:

• ICMP redirects
• ICMP unreachables.
• ICMP mask reply messages.
• Proxy ARP.
• Directed Broadcast.
• MOP (Maintenance Operations Protocol).

Paralelamente se habilitan de modo automático algunos servicios globales:

• Service passowrd-encryption
• Service tcp-keepalives-in
• Service tcp-keepalives-out

También se asegura el acceso al router:

• Si no hay un banner, se solicita al operador que redacte uno.
• Se configura secret password en los acceso por consola, auxiliar y vty.
• Se implementa transport input y transport output.
• En puerto consola y auxiliar se configura un exec-timeout de 10 minutos.
• Siempre que sea posible se implementa SSH y SCP.
• Si el operador indica que no utiliza SNMP se deshabilita el protocolo si las comunidades están definidas como "public" y "private".
• Configura AAA local y pregunta para que el operador defina un usuario y una clave.

Respecto del servicio de registro de incidentes (logging):

• Implementa número de secuencia y regristo de tiempo para todos los mensajes.
• Se generan  registros en cada intento de acceso.
• Se envían mensajes de syslog de severidad crítica a todas las líneas de acceso.
• Se habilita un buffer de memoria RAM para almacenar localmente mensajes de syslog.
• Envía todos los mensajes de syslog de severidad mayor a debugging a un servidor.

En lo que se refiere a asegurar el plano de datos del router:

• Habilita CEF (Cisco Express Forwarding).
• Habilita TCP intercept.
• Habilita uRPF (unicast Reverse Path Forwarding).
• Habilita la configuración del firewall CBAC (Context-Based Access Control).

Para revisar el significado y consecuencias de cada uno de los mecanismos de seguridad mencionados hasta aquí, sugiero revisar el white paper de AutoSecure, y los documentos complementarios correspondientes en el sitio de Cisco.com.

Configuración

Router>enable

Router#auto secure

De esta manera se inicia un diálogo semi-interactivo que permite asegurar los planos de management y de datos (o forwarding).

Si no se desea utilizar el díálogo interactivo (hay que utilizarlo con mucho cuidado), el comando es entonces:

Router#auto secure no-interact

Si en cambio se desea que el sistema solicite confirmación antes de realizar cada uno de los cambios, el comando es:

Router#auto secure full

Es posible asegurar solamente el plano de management:

Router#auto secure management

O solamente el plano de datos:

Router#auto secure forwarding

Para verificar los comandos de configuración que se ejecutaron eon este macro:

Router#show auto secure config

Este feature está disponible a partir de IOS 12.3(1)S.

Autosecure en IOS 15.2