domingo, 21 de diciembre de 2014

Deshabilitando servicios sin utilizar en el IOS

Cisco IOS , al igual que todos los sistemas operativos , trae algunos servicios habilitados por defecto, esta configuración incluye una variedad de  servicios útiles para el IOS , sin embargo esto también facilita las labores a lo atacantes  con posibles vulnerabilidades en esos servicios o  para recopilar información sobre el sistema.


Servicio HTTP


Por defecto , IOS habilita el servicio HTTP en el router ,  este servicio es usado por el router para permitir al usuario accesar el GUI del router mediante un "browser" , normalmente se usa CCP (Cisco Configuration Profesional) .

Lo recomendable es deshabilitar el servicio HTTP y habilitar el modo seguro con HTTPS , o deshabilitar el servicio del todo en caso que no se desee usar el GUI.

Comandos:

Deshabilitar HTTP

 no ip http server


Habilitar HTTPS

http secure-server 


Cisco Discovery Protocol (CDP)

Al tener este protocolo habilitado , un atacante puede aprender valiosa información sobre la red y los dispositivos conectados , y crear una topologia basado en el resultado de CDP.

Como medida de seguridad se recomienda deshabilitar CDP de las interfaces conectas a redes no seguras o deshabilitarlo globalmente en el router.


NOTA: En redes en producción hay que ser sumamente cuidadoso a la hora de apagar el servicio de CDP , especialmente si se usan  Teléfonos IP  CISCO , muchos de estos teléfonos usan CDP   para instalarse/registrarse.


Comandos:

Deshabilitar CDP globalmente
Router(config)#no cdp run 

Deshabilitar CDP de una interfaz 

Router(config)#interface fastEthernet 0/0
Router(config-if)#no cdp enable 


Servicios pequeños ( small services ) 

IOS trae habilitado por defecto servicios catalogados como "Small services" los cuales incluyen  el servicio de ICMP para protocolos TCP/UDP. Se podría decir que es un ping a nivel de la capa de transporte. 

Por ejemplo podríamos hacer desde una PC:

Telnet x.x.x.x echo 
Telnet x.x.x.x daytime 

Para verificar si el servicio de Telnet esta encendido  y el segundo comando para verificar la hora del sistema. 

Los comandos para deshabilitar estos servicios son los siguientes:

R1(config)# no service tcp-small-servers
R1(config)# no service udp-small-servers

Estos servicios vienen deshabilitados por defecto en versiones posteriores a la 11.3


Se puede encontrar mas información de estos  servicios en el siguiente link:


Protocolo Finger 


La función de este protocolo es proveer a la  interfaz  un nombre y "Figer programs" para la red 




Se deshabilita con el siguiente comando:




 no service finger











Servicio BOOTP 







 Es un protocolo de red UDP utilizado por los clientes de red para obtener su dirección IP automáticamente. Normalmente se realiza en el proceso de arranque de los ordenadores o del sistema operativo. Este protocolo permite a los ordenadores sin disco obtener una dirección IP antes de cargar un sistema operativo avanzado







Se deshabilita con el siguiente comando:







no ip bootp serve

















Para mas información de los servicios por defecto habilitados por defecto en el IOS , puede revisar el siguiente documento. 












Espero sea de ayuda







- Randy - 














Publicado por



en






















Etiquetas:
,


















No hay comentarios:















Publicar un comentario


















        

      









Suscribirse a:
Enviar comentarios (Atom)