cancelar
Mostrando los resultados de 
Buscar en lugar de 
Quiere decir: 

IOS XR - Evitar accesso de personal no autorizado al equipo

Introducción

El objetivo de este documento es explicar como proteger las plataformas que corren IOS XR (CRS, ASR9K, etc) contra continuos intentos de acceso por parte de personal no autorizado.

Síntoma

En el comando show log se puede apreciar como hay múltiples intentos provenientes de usuarios no autorizados por obtener acceso al equipo:

RP/0/RSP0/CPU0:Feb  7 07:12:45.700 : SSHD_[65856]: %SECURITY-SSHD-4-INFO_FAILURE : Failed authentication attempt by user 'root' from '221.12.174.69' on 'vty3'

RP/0/RSP0/CPU0:Feb  7 07:12:49.308 : SSHD_[65857]: %SECURITY-SSHD-4-INFO_FAILURE : Failed authentication attempt by user 'cisco' from '221.12.174.69' on 'vty1'

RP/0/RSP0/CPU0:Feb  7 07:12:52.935 : SSHD_[65858]: %SECURITY-SSHD-4-INFO_FAILURE : Failed authentication attempt by user 'cisco123' from '221.12.174.69' on 'vty2'

RP/0/RSP0/CPU0:Feb  7 07:12:56.568 : SSHD_[65854]: %SECURITY-SSHD-4-INFO_FAILURE : Failed authentication attempt by user 'Admin' from '221.12.174.69' on 'vty3'

En la salida anterior se puede apreciar como un usuario remoto en Internet esta intentando obtener acceso al equipo probando diversas credenciales(nombre de usuario y password)

Por tal motivo no es recomendado utilizar nombres comunes o de default para obtener acceso al equipo. Evidentemente tampoco se recomienda que se utilicen passwords sencillos o de default tales como “cisco” “cisco123”, etc.

Solución

En las versiones de IOS se protegía a los equipos principalmente al aplicar una ACL a las líneas de VTY. De tal manera que solamente se aceptarían las conexiones provenientes de las redes especificadas en la lista de acceso.

En IOS XR también se soporta ese método pero no es el recomendado ya que aunque se bloque la sesión y se evita que se establezca, el paquete llego al CPU del equipo. El método recomendado es la Management Plane Protection (MPP).

La principal diferencia que tiene en comparación con el método tradicional es que con MPP las peticiones no autorizadas son tiradas por el hardware antes de que lleguen al CPU del equipo. También permite definir exactamente porque interfaces permitiremos acceso vía telnet/ssh

La configuración es bastante sencilla:

control-plane

   management-plane

       inband

          interface all

             allow ssh peer address ipv4 1.1.1.0/24

             allow ssh peer address ipv4 2.2.2.0/24

Esta configuración indica que el equipo únicamente aceptara conexión con SSH provenientes de las redes 1.1.1.0/24 y 2.2.2.0. Esta conexión se permitirá en todas las interfaces. Si se desea ser mas estricto, se puede especificar de la siguiente manera:

control-plane

   management-plane

       inband

          interface tenGigE 0/1/0/0

             allow ssh peer address ipv4 1.1.1.0/24

             allow ssh peer address ipv4 2.2.2.0/24

En esta configuración solamente se permitirán conexiones que entren a través de la interfaz tenGigE 0/1/0/0 y que provenga de las redes 1.1.1.0/24 y 2.2.2.0/24

Al aplicar MPP ya no se verán los syslogs que se veían al inicio.

Ligas de interés:

http://www.cisco.com/en/US/docs/routers/asr9000/software/security/configuration/guide/scasr9kmpp.html#wp1008243

http://www.cisco.com/web/about/security/intelligence/CiscoIOSXR.html

Espero esta información les sea útil.

Saludos,

Sergio

432
Visitas
0
ÚTIL
0
Comentarios