Cypress
19-10-2010, 14:32
Estimadisimos!
Hacía mucho que no aportaba nada a la comunidad, el trabajo recorta muchas de las actividades que hacía uno cuando era estudiante.
Pero bueno, me estoy tomando un buen rato para devolver un poco de conocimiento del que he recibido en este foro.
Tal vez útil para algunos.
Esto es un procedimiento que se hace aqui para hacer más seguro un switch o un router, pc, etc. (Hardenining (http://en.wikipedia.org/wiki/Hardening_(computing)) ).
Le hemos agregado algunas cosas como autentificación con Radius (http://es.wikipedia.org/wiki/RADIUS), y acceso para hacer backups de running config y logs (syslog (http://en.wikipedia.org/wiki/Syslog-ng)).
Sin más y a modo de script que es como los corro yo, más alguno que otro comentario:
ip domain-name cypress.com
crypto key generate rsa
1024
ip ssh version 2
ip ssh time-out 60
ip ssh authentication-retries 3
access-list 2 permit host 10.20.75.120 # le doy acceso a mi máquina
access-list 2 permit host 10.20.75.5 # le doy acceso a un servidor que corre varios servicios ( radius, syslog, backup etc )
aaa new-model
aaa group server radius RadiusServers
server 10.20.75.5 auth-port 1812 acct-port 1813
exit
aaa authentication login default group RadiusServers local
aaa authentication enable default group RadiusServers enable
radius-server host 10.20.75.5 auth-port 1812 acct-port 1813 key M1_Super_Clave_D1f1c1l
access-list 55 remark PERMIT hosts requesting TFTP access # Doy acceso para sacar la running config y hacer backup.
access-list 55 permit 10.20.75.5
tftp-server nvram:startup-config 55
vlan 52
name Servidores_cypress
exit
interface vlan 52
ip access-group 2 in
ip address 10.20.75.6 255.255.255.128 #Direccion administrativa
exit
line vty 0 4
password M1_Super_Clave_D1f1c1l
transport input ssh # dejamos solo acceso por ssh
line vty 5 15
password M1_Super_Clave_D1f1c1l
transport input ssh # lo mismo
exit
logging buffered
logging history 7 # nivel de detalle del log, 7 es el más alto.
logging 10.20.75.5 # tiramos todos los cambios al syslog
line vty 0 4
exec-timeout 20 00
line vty 5 15
exec-timeout 20 00
exit
no service udp-small-servers
no service tcp-small-servers
no service pad
no ip http server
no ip bootp server
no service finger
no ip finger
no ip domain-lookup
banner login ^
************************************
* banner genial para los juackers *
************************************
^
-------------------
Configuración de syslog-ng
en Debian GNU/Linux 5.0
destination switch-cypress { file("/var/log/switch-cypress.log"); };
log { source(s_all); filter(f_switch-cypress); destination(switch-cypress); };
filter f_switch-cypress { host("10.20.75.6"); };
Esto ya tira un log en la ruta: /var/log/switch-cypress.log
--------------------
Configurando Radius para cisco, usando FreeRadius.
Solo tocamos solo estos archivos:
# vim clients.conf
y agregamos esta linea:
client 10.20.75.0/25 {
secret = 'M1_Super_Clave_D1f1c1l'
shortname = SW-Cypress
}
Ahí estamos con toda la red, pero podríamos poner host especificos.
# vim users
Cypress Auth-Type:=System ( usa el hash del archivo passwd. hay que copiar del shadow al passwd, no sé como cambiar esto.. se aceptan sugerencias )
$enab15$ Auth-Type:=Local, Password == 'Passwd_Enable', NAS-Port-Type == Virtual
$enab15$ Auth-Type:=Local, Password == 'Passwd_Enable', NAS-Port-Type != Virtual
Passwd para el enable ^
BUeno.. eso es todo.. espero que les sirva. es bastante útil como politica para asegurar tu router/switch Cisco.
Saludos! :D
Hacía mucho que no aportaba nada a la comunidad, el trabajo recorta muchas de las actividades que hacía uno cuando era estudiante.
Pero bueno, me estoy tomando un buen rato para devolver un poco de conocimiento del que he recibido en este foro.
Tal vez útil para algunos.
Esto es un procedimiento que se hace aqui para hacer más seguro un switch o un router, pc, etc. (Hardenining (http://en.wikipedia.org/wiki/Hardening_(computing)) ).
Le hemos agregado algunas cosas como autentificación con Radius (http://es.wikipedia.org/wiki/RADIUS), y acceso para hacer backups de running config y logs (syslog (http://en.wikipedia.org/wiki/Syslog-ng)).
Sin más y a modo de script que es como los corro yo, más alguno que otro comentario:
ip domain-name cypress.com
crypto key generate rsa
1024
ip ssh version 2
ip ssh time-out 60
ip ssh authentication-retries 3
access-list 2 permit host 10.20.75.120 # le doy acceso a mi máquina
access-list 2 permit host 10.20.75.5 # le doy acceso a un servidor que corre varios servicios ( radius, syslog, backup etc )
aaa new-model
aaa group server radius RadiusServers
server 10.20.75.5 auth-port 1812 acct-port 1813
exit
aaa authentication login default group RadiusServers local
aaa authentication enable default group RadiusServers enable
radius-server host 10.20.75.5 auth-port 1812 acct-port 1813 key M1_Super_Clave_D1f1c1l
access-list 55 remark PERMIT hosts requesting TFTP access # Doy acceso para sacar la running config y hacer backup.
access-list 55 permit 10.20.75.5
tftp-server nvram:startup-config 55
vlan 52
name Servidores_cypress
exit
interface vlan 52
ip access-group 2 in
ip address 10.20.75.6 255.255.255.128 #Direccion administrativa
exit
line vty 0 4
password M1_Super_Clave_D1f1c1l
transport input ssh # dejamos solo acceso por ssh
line vty 5 15
password M1_Super_Clave_D1f1c1l
transport input ssh # lo mismo
exit
logging buffered
logging history 7 # nivel de detalle del log, 7 es el más alto.
logging 10.20.75.5 # tiramos todos los cambios al syslog
line vty 0 4
exec-timeout 20 00
line vty 5 15
exec-timeout 20 00
exit
no service udp-small-servers
no service tcp-small-servers
no service pad
no ip http server
no ip bootp server
no service finger
no ip finger
no ip domain-lookup
banner login ^
************************************
* banner genial para los juackers *
************************************
^
-------------------
Configuración de syslog-ng
en Debian GNU/Linux 5.0
destination switch-cypress { file("/var/log/switch-cypress.log"); };
log { source(s_all); filter(f_switch-cypress); destination(switch-cypress); };
filter f_switch-cypress { host("10.20.75.6"); };
Esto ya tira un log en la ruta: /var/log/switch-cypress.log
--------------------
Configurando Radius para cisco, usando FreeRadius.
Solo tocamos solo estos archivos:
# vim clients.conf
y agregamos esta linea:
client 10.20.75.0/25 {
secret = 'M1_Super_Clave_D1f1c1l'
shortname = SW-Cypress
}
Ahí estamos con toda la red, pero podríamos poner host especificos.
# vim users
Cypress Auth-Type:=System ( usa el hash del archivo passwd. hay que copiar del shadow al passwd, no sé como cambiar esto.. se aceptan sugerencias )
$enab15$ Auth-Type:=Local, Password == 'Passwd_Enable', NAS-Port-Type == Virtual
$enab15$ Auth-Type:=Local, Password == 'Passwd_Enable', NAS-Port-Type != Virtual
Passwd para el enable ^
BUeno.. eso es todo.. espero que les sirva. es bastante útil como politica para asegurar tu router/switch Cisco.
Saludos! :D