3 de agosto de 2015

Desactivación de servicios en IOS

Cisco IOS permite la activación de una gran cantidad de servicios, muchos de los cuales se encuentran operativos por defecto y por lo tanto representan un potencial riesgo de seguridad. Por este motivo es necesario hacer un análisis de los servicios a utilizar y aquellos que no sean utilizados deberán desactivarse.

Nota: 
Diferentes versiones de IOS presentan diferentes servicios activos por defecto. Es por esto importante desactivar explícitamente los servicios que no se utilizan sin dar nada por supuesto.

Router(config)#no ip domain-lookup
Desactiva el cliente DNS son el que opera IOS. Al ejecutar este comando el dispositivo ya no realizará búsquedas de DNS para resolver nombres.

Router(config)#no ip bootp server
BOOTP es un protocolo para asignación automática de direcciones IP que ha caído en desuso, por lo que es conveniente asegurarse que no se encuentre activo el servicio.

Router(config)#no ip dhcp-server
Este comando permite deshabilitar el servicio de DHCP embebido en IOS.

Router(config)#no ip source-route
Otra función del protocolo IP, el ruteo predefinido desde el origen, es una función que suele ser explotada por potenciales atacantes. Si no se ha de utilizar, debe ser desactivada en todos los dispositivos.

Router(config)#no ip http server
Desactiva el web service de IOS, que es el que permite inicialmente acceder a la interfaz web de los dispositivos. Si se ha de utilizar acceso web, se recomienda hacerlo activando el servicio HTTPS.

Router(config)#no cdp run
Desactiva la operación de CDP a nivel global.

Router(config)#interface GigabitEthernet0/0
Router(config-if)#no cdp enable
CDP tiene 2 niveles de activación: global y por interfaces. Este comando desactiva la operación del protocolo en una interfaz específica.

Router(config-if)#ntp disable
Desactiva el procesamiento de paquetes NTP en una interfaz específica.

Router(config-if)#no ip proxy-arp
Proxy ARP es una porción esencial de la operación de IP y ARP que se encuentra activa por defecto en interfaces que tienen activado el protocolo IPv4. Esto es una brecha de seguridad potencial, y por lo mismo debe ser desactivado cuando no es un recurso necesario.

Router(config-if)#no ip redirects
Desactiva en la interfaz los paquetes ICMP que utiliza el protocolo para informar al origen cuando hay mejores alternativas de enrutamiento. Esta es otra función que puede ser explotada por potenciales atacantes.

2 comentarios:

  1. Grandioso tema al que a veces se olvida su importancia.
    Para mas información a tener encuenta a la hora de desactivar servicios que pueden mejorar la seguridad, se puede visitar el siguiente link.
    http://www.cisco.com/cisco/web/support/LA/7/74/74465_21.html#con_cfg_mgt

    ResponderBorrar

Gracias por tu comentario.
En este blog los comentarios están moderados, por lo que su publicación está pendiente hasta la revisión del mismo.