Auditoría de Routers y Switches - Analizando el Router I

El dispositivo [9] en estudio es un router Cisco Serie 2500. Contiene cuatro interfaces: Ethernet 0, Ethernet 1, Serial 0 y Serial 1, las cuales facilitan la conexión a otros dispositivos tales como computadores, switches, hubs, entre otros; con la ventaja que pueden activarse administrativamente (ponerse up o down) de acuerdo a las necesidades; es decir que cualquiera de las cuatro interfaces puede activarse para que funcione o no lo haga de acuerdo a lo que el administrador desee. El router cuenta con una conexión para consola y otra auxiliar (ambas para cable RJ45) y desde luego la conexión de potencia.

 

El router está compuesto por memoria ROM, NVRAM, FlashRAM, RAM y registro de configuración. Brevemente se describen estos aspectos [9]:

 

§         ROM: contiene el Autotest de encendido (POST) y el programa de carga del router (éste depende del que esta por defecto o el de la última configuración). Los circuitos integrados de la ROM también contienen  parte o todo el sistema operativo (IOS) del router.

§         NVRAM (No Volatil Random Access Memory):  almacena el archivo de configuración de arranque para el router; ya que la memoria NVRAM mantiene la información incluso si se interrumpe la corriente en el router.

§         Flash RAM: es un tipo especial de ROM que puede borrarse y reprogramarse. Utilizada para almacenar el sistema operativo que ejecuta el router; algunos routers ejecutan la imagen del sistema operativo directamente desde la Flash sin cargarlo en la RAM, como la serie 2500. Habitualmente, el fichero del sistema operativo almacenado en la memoria Flash, se almacena en formato comprimido.

§         RAM: Proporciona el almacenamiento temporal de la información (los paquetes se guardan en la RAM mientras el router examina su información de direccionamiento), además de mantener otro tipo de información crítica, como la tabla de enrutamiento que se esté utilizando en ese momento.

§         Registro de Configuración: Se utiliza para controlar la forma en que inicia el router.

 

Considerando lo anterior, es necesario pasar al análisis de la consola que es la parte básica para los procesos que se explican posteriormente. Para el presente caso, se conectó el router (consola) a un computador (puerto com) por medio del cable Rj45, y se configuró por hyperterminal[1] de la siguiente manera [9]:

 

 

El primer paso teniendo lo anteriormente establecido, es recobrar el password del router, porque tanto el login como el password por defecto son “admin”, lo cual no genera seguridad alguna. Los pasos para recobrar el password son los siguientes [9]:

 

1.       Apague el router y vuelva a encenderlo. Cuando el router se arranque, pulse Ctrl+Enter.

2.       A continuación aparece en pantalla el modo Monitor ROM. Introduzca e/s2000002, y después pulse intro. Escriba en un papel el número de configuración virtual que aparezca en la pantalla.

3.       En el indicador introduzca ahora o/r0x2142 y pulse intro. Con ello el router ignorará el archivo de configuración incluido en la NVRAM. Introduzca la letra “i”en el indicador y pulse intro. El router volverá a iniciar y presentará el cuadro de diálogo de configuración. Seleccione No para que no se inicie una autoconfiguración y pulse intro.

4.       En el indicador del router, escriba enable para lanzar el modo privilegiado. Introduzca copy startup-config running-config, y después pulse intro para acceder a la configuración original del router almacenada en la RAM.

5.       En el indicador de activación, introduzca config. Ya se encuentra en el modo configuración. Escriba enable secret [NuevaContraseña], para el caso presente [1qazxsw2].

6.       Escriba en número de configuración virtual config-register 0x, que no es más que el número que escribió antes en el papel, y pulse intro.

7.       Ahora escriba end y pulse intro para salir del modo configuración.

8.       Reinicie el router. Ya tiene asignada la nueva contraseña.

 

La arquitectura inicial de prueba que se utilizó, es la que se muestra en la figura 1 donde el dispositivo 192.168.10.27 se habilitó como consola de configuración del enrutador, a quien se le asignó la dirección ip 192.168.10.21 por la interfaz ethernet 0.

 

 

 

 

Figura 1 – Arquitectura Propuesta

 

Para el ejercicio de aseguramiento se utilizó una configuración inicial como se indica a continuación [1]:

 

Router# setup

 

--- System Configuration Dialog ---

At any point you may enter a question mark '?' for help.

Use ctrl-c to abort configuration dialog at any prompt.

Default settings are in square brackets '[]'.

Continue with configuration dialog? [yes]:

 

First, would you like to see the current interface summary? [yes]:

 

Interface IP-Address OK? Method Status                          Protocol

Ethernet0                  unassigned                YES  not set             administratively down  down

Ethernet1                  unassigned                YES  not set             administratively down  down

Serial0                      unassigned                YES  not set             administratively down  down

Serial1                      unassigned                YES  not set             administratively down  down

Configuring global parameters:

 

  Enter host name [Router]: JuanK

 

The enable secret is a one-way cryptographic secret used

instead of the enable password when it exists.

 

  Enter enable secret [<Use current secret>]: 1qazxsw2

 

The enable password is used when there is no enable secret

and when using older software and some boot images.

 

  Enter enable password: 2wsxzaq1

  Enter virtual terminal password: 3edcxsw2

  Configure SNMP Network Management? [no]:

  Configure IP? [yes]:

    Configure IGRP routing? [yes]:

      Your IGRP autonomous system number [1]:

 

Configuring interface parameters:

 

Configuring interface Ethernet0:

  Is this interface in use? [no]: yes

  Configure IP on this interface? [no]: yes

    IP address for this interface: 192.168.10.21

    Number of bits in subnet field [0]:

    Class C network is 192.168.10.0, 0 subnet bits; mask is 255.255.255.0

 

Configuring interface Ethernet1:

  Is this interface in use? [no]:

 

Configuring interface Serial0:

  Is this interface in use? [no]:

 

Configuring interface Serial1:

  Is this interface in use? [no]:

 

 

The following configuration command script was created:

 

hostname JuanK

enable secret 5 $1$xpDi$VNsqKR9m8rHE/sEJdbDs2.

enable password 2wsxzaq1

line vty 0 4

password 3edcxsw2

no snmp-server

!

ip routing

!

interface Ethernet0

no shutdown

ip address 192.168.10.21 255.255.255.0

!

interface Ethernet1

shutdown

no ip address

!

interface Serial0

shutdown

no ip address

ip routing

!

interface Serial1

shutdown

no ip address

!

router igrp 1

network 192.168.10.0

!

end

Use this configuration? [yes/no]: yes

Building configuration...

%LINEPROTO-5-UPDOWN: Line protocol on Interface Ethernet0, changed state to up

%LINK-3-UPDOWN: Interface Ethernet0, changed state to up[OK]

Use the enabled mode 'configure' command to modify this configuration.

JuanK#

 

Con la actual configuración, se ejecutó ncat_config.exe[2] por medio del cual se actualizó el archivo de configuración del enrutador, a través de la realización de algunas preguntas sobre del estado del mismo, y se utilizó RAT (Router Audit Tool) [6] [5] en su ejecución, teniendo como parámetros la dirección IP del enrutador, para este caso 192.168.10.21, y el flag –a (snarf), indicando que la configuración deberá ser descargada del archivo de configuración previamente establecido. A continuación, se presenta la interfaz de comandos

 

 

Figura 2 – Ejecución RAT

Tras la ejecución de RAT, se genera un archivo index.html, en el que se muestran una lista de vulnerabilidades para cada una de las pruebas ejecutadas desde ncat.conf [6]. El archivo de salida fue el siguiente:

 

 

Figura 3 – Resultado Inicial RAT

donde las líneas sombreadas reflejan una configuración inadecuada que puede sugerir riesgos de accesos no autorizados al enrutador [4].