Baixe o app para aproveitar ainda mais
Prévia do material em texto
Módulo 4: Acesso Seguro do Dispositivo Networking Security v1.0 (NETSEC) 2 © 2021 Cisco e/ou suas afiliadas. Todos os direitos reservados. Documento confidencial da Cisco Objetivos do módulo Título do Módulo: Acesso Seguro do Dispositivo Objetivo do Módulo: Configurar dispositivos administrativos seguros. Título do Tópico Objetivo do Tópico Protegendo o roteador de borda Explique como proteger um perímetro de rede. Configurar o acesso administrativo seguro Use os comandos correctos configurar senhas em um dispositivo Cisco IOS. Configurar segurança aprimorada para logins virtuais Use os comandos corretos para configurar a segurança aprimorada para logins virtuais. Configurar SSH Configurar um daemon SSH para gerenciamento remoto seguro. © 2021 Cisco e/ou suas afiliadas. Todos os direitos reservados. Documento confidencial da Cisco 4.1 O Roteador Seguro de Borda 3 © 2021 Cisco e/ou suas afiliadas. Todos os direitos reservados. Documento confidencial da Cisco Proteja o roteador de borda Proteger a infraestrutura de rede A proteção da infraestrutura de rede é fundamental para a segurança geral da rede. A infraestrutura de rede inclui roteadores, switches, servidores, endpoints e outros dispositivos. Os roteadores são um alvo primário para ataques porque esses dispositivos direcionam o tráfego, e entre redes. O roteador de borda mostrado na figura é o último roteador entre a rede interna e uma rede não confiável, como a Internet. Todo o tráfego da Internet de uma organização passa por um roteador de borda, que muitas vezes funciona como a primeira e última linha de defesa para uma rede. 4 © 2021 Cisco e/ou suas afiliadas. Todos os direitos reservados. Documento confidencial da Cisco Proteja o roteador de borda Abordagens de Segurança de • Single Router - Um único roteador conecta a rede protegida ou a rede local interna (LAN), para a Internet. Todas as políticas de segurança são configuradas neste dispositivo. • Defense-in-Depth – Isso usa várias camadas de segurança antes do tráfego que entra na LAN protegida. Há três camadas primárias de defesa: o roteador de borda, o firewall e um roteador interno que se conecte à LAN protegida. • DMZ - O DMZ pode ser usado para servidores que devem ser acessíveis a partir da Internet ou outra rede externa. O DMZ pode ser configurado entre dois roteadores, com um roteador interno conectando à rede protegida e um roteador externo que conecta à rede desprotegida. 5 © 2021 Cisco e/ou suas afiliadas. Todos os direitos reservados. Documento confidencial da Cisco Proteja o roteador de borda Três áreas de segurança do roteador Três áreas de segurança do roteador devem ser mantidas: • Physical - Coloque o roteador e os dispositivos físicos que se conectem a ele em uma sala de bloqueio segura que é acessível apenas ao pessoal autorizado. Instale uma fonte de alimentação ininterrupta (UPS) ou gerador de energia de backup diesel. • Sistema operacional- Configure o roteador com a quantidade máxima de memória possível. A disponibilidade de memória pode ajudar a mitigar ataques DoS. Use a versão mais recente e estável do sistema operacional que atenda às especificações de recurso do roteador ou dispositivo de rede. Mantenha uma cópia segura de imagens do sistema operacional do roteador e arquivos de configuração do roteador como backups. • Endurecimento do Roteador- Assegure-se de que apenas o pessoal autorizado tenha acesso e que seu nível de acesso seja controlado. Desativar portas e interfaces não utilizadas. Desativar serviços desnecessários. Um roteador tem serviços que são ativados por padrão. Alguns desses serviços podem ser usados por um invasor para coletar informações sobre o roteador e a rede. 6 © 2021 Cisco e/ou suas afiliadas. Todos os direitos reservados. Documento confidencial da Cisco Proteja o roteador de borda Acesso administrativo seguro A garantia de acesso administrativo é importante. Se uma pessoa não autorizada obtiver acesso administrativo a um roteador, essa pessoa poderá alterar parâmetros de roteamento, desabilitar funções de roteamento ou descobrir e obter acesso a outros sistemas dentro da rede. Várias tarefas estão envolvidas na garantia de acesso administrativo a um dispositivo de infraestrutura: • Restringir a acessibilidade do dispositivo • Log e conta para todo o acesso • Autenticar o acesso • Autorizar ações • Apresentar a notificação legal • Garantir a confidencialidade dos dados 7 © 2021 Cisco e/ou suas afiliadas. Todos os direitos reservados. Documento confidencial da Cisco Proteja o roteador de borda Seguro acesso local e remoto Um roteador pode ser acessado para fins administrativos local ou remotamente: • Acesso local- O administrador deve ter acesso físico ao roteador e usar um cabo de console para se conectar à porta do console. O acesso local é usado tipicamente para a configuração inicial do dispositivo. • Acesso Remoto- Embora a opção da porta AUX esteja disponível, o método de acesso remoto mais comum envolve permitir conexões telnet, ssh, http, https ou snmp para o roteador de um computador. O computador pode estar na rede local ou em uma rede remota. 8 © 2021 Cisco e/ou suas afiliadas. Todos os direitos reservados. Documento confidencial da Cisco 4.2 Configurar Acesso Administrativo Seguro 9 © 2021 Cisco e/ou suas afiliadas. Todos os direitos reservados. Documento confidencial da Cisco Configurar o acesso administrativo seguro Senhas A tabela mostra exemplos de senhas fortes e fracas. Senha Fraca Por que ela é fraca? secret Senha simples de dicionário smith Nome de solteira da mãe toyota Fabricante de um carro bob1967 Nome e data de nascimento do usuário Blueleaf23 Palavras e números simples Senha Forte Por que ela é forte? b67n42d39c Combina caracteres alfanuméricos 12^h u4@1p7 Combina caracteres alfanuméricos, símbolos e inclui um espaço 10 © 2021 Cisco e/ou suas afiliadas. Todos os direitos reservados. Documento confidencial da Cisco Configurar o acesso administrativo seguro Configurar Senhas Para proteger o acesso ao modo EXEC do usuário, digite o modo de configuração do console de linha usando o comando de configuração globalline console 0 . Especifique a senha do modo EXEC do usuário usando o comandopassword password. Ativar o acesso do usuário EXEC usando o comandologin. Para ter acesso de administrador a todos os comandos do IOS, incluindo a configuração de um dispositivo, você deve obter acesso privilegiado no modo EXEC. Para garantir acesso EXEC privilegiado, use o comando de configuração globalenable secret password. Para garantir linhas vintas, digite a linha Vty Mode usando o comando de configuração globalline vty 0 15. Especifique a senha vty usando o comandopassword password. Ative o acesso vty usando o comandologin. 11 © 2021 Cisco e/ou suas afiliadas. Todos os direitos reservados. Documento confidencial da Cisco Configurar o acesso administrativo seguro Criptografar as Senhas Senhas fortes são úteis apenas se forem secretas. Existem várias etapas que podem ser tomadas para ajudar a garantir que as senhas permaneçam secretas em um roteador e switch Cisco, incluindo estes: • Criptografando todas as senhas de texto sem formatação; • Definindo um tamanho mínimo aceitável de senha; • Deterção de ataques de adivinhação de senha de força bruta; • Desativando um acesso de modo EXEC privilegiado inativo após um período especificado. . Para criptografar todas as senhas de texto simples, use o comando de configuração globalservice password- encryption. Use o comando show running-config para verificar se as senhas agora estão criptografadas. 12 © 2021 Cisco e/ou suas afiliadas. Todos os direitos reservados. Documento confidencial da Cisco Configurar o acesso administrativo seguro Segurança de Senha Adicional Como mostrado na configuração de amostra, o comando de configuraçãoglobal service password- encryption Impede que os indivíduos não autorizados visualizem senhas de texto simples no arquivo de configuração. Para garantir que todas as senhas configuradas tenham um mínimo de comprimento especificado, use o comando security passwords min-length length no modo de configuração global. Os atores ameaçadores podem usar software de quebra de senha para realizar um ataque de força bruta em um dispositivo de rede. Este ataque tenta continuamente adivinhar as senhas válidas até que uma funcione. 13 Use o comando de configuração global login block- for seconds attempts number within seconds para impedir esse tipo de ataque. © 2021 Cisco e/ou suas afiliadas. Todos os direitos reservados. Documento confidencial da Cisco 4.4 Configurar SSH 14 © 2021 Cisco e/ou suas afiliadas. Todos os direitos reservados. Documento confidencial da Cisco Configurar SSH Vídeo - A Necessidade do SSH 15 © 2021 Cisco e/ou suas afiliadas. Todos os direitos reservados. Documento confidencial da Cisco Configurar SSH Ativação do SSH Configure um dispositivo Cisco para suportar SSH usando as seguintes seis etapas: Etapa 1. Configure um nome de host do dispositivo exclusivo. Etapa 2. Configure o nome do domínio IP. Etapa 3. Gerar uma chave para criptografar o tráfego do SSH. Etapa 4. Verifique ou crie uma entrada de banco de dados local. Step 5. Autenticar contra o banco de dados local. Etapa 6. Permitir sessões de SSH de entrada vty. 16 © 2021 Cisco e/ou suas afiliadas. Todos os direitos reservados. Documento confidencial da Cisco Configurar SSH Melhorar a segurança de login SSH Para verificar as configurações opcionais do comando SSH, use o comandoshow ip ssh. Use o comando global de modo de configuraçãoip ssh time-out seconds para modificar o intervalo de tempo limite padrão de 120 segundos. Isso configura o número de segundos que o SSH pode usar para autenticar um usuário. Por padrão, um usuário que faz login tem três tentativas de inserir a senha correta antes de ser desconectado. Para configurar um número diferente de tentativas ssh consecutivas, use o comando global de modo de configuraçãoip ssh authentication-retries integer. 17 © 2021 Cisco e/ou suas afiliadas. Todos os direitos reservados. Documento confidencial da Cisco Configurar SSH Conecte um roteador a um roteador habilitado para SSH Para verificar o status das conexões do cliente, use o comandoshow ssh. Há duas maneiras diferentes de conectar a um roteador habilitado para SSH. À revelia, quando o SSH é permitido, um roteador Cisco pode atuar como um servidor SSH ou um cliente SSH. Como um servidor, um roteador pode aceitar conexões de cliente SSH. Como cliente, um roteador pode se conectar via SSH a outro roteador habilitado para SSH. Verificar o status do SSH Conecte-se a partir do R2 para R1. Ver Conexões SSH 18 © 2021 Cisco e/ou suas afiliadas. Todos os direitos reservados. Documento confidencial da Cisco Configurar SSH Conecte um host a um roteador habilitado para SSH Conecte usando um cliente SSH (exemplo: PuTTY, OpenSSH, TeraTerm) executando em um host. Geralmente, o cliente SSH inicia uma conexão SSH ao roteador. O serviço SSH do roteador solicita a combinação correta de nome de usuário e senha. Depois que o início de uma sessão é verificado, o roteador pode ser controlado como se o administrador estivesse usando uma sessão de Telnet padrão. 19 © 2021 Cisco e/ou suas afiliadas. Todos os direitos reservados. Documento confidencial da Cisco Configurar SSH Laboratório - Configurar Acesso Administrativo Seguro Nesse laboratório, você completará os seguintes objetivos: • Parte 1: Implementar as Configurações Básicas dos Dispositivos • Parte 2: Configurar e Criptografar Senhas nos Roteadores R1 e R3 • Parte 3: Configurar a Segurança Aprimorada da Senha do Nome de Usuário nos Roteadores R1 e R3 • Parte 4: Configurar o Servidor SSH no Roteadores R1 e R3 20 © 2021 Cisco e/ou suas afiliadas. Todos os direitos reservados. Documento confidencial da Cisco Configurar SSH Packet Tracer - Configurar Senhas Seguras e SSH O administrador da rede solicitou que você preparasse o RTA e o SW1 para implantação. Antes de conectá-lo à rede, você deve ativar medidas de segurança. 21 © 2021 Cisco e/ou suas afiliadas. Todos os direitos reservados. Documento confidencial da Cisco Configurar SSH Laboratório - Configurar dispositivos de rede com SSH Nesse laboratório, você completará os seguintes objetivos: • Parte 1: Implementar as Configurações Básicas dos Dispositivos • Parte 2: Configurar o Roteador para o Acesso SSH • Parte 3: Configurar o Switch para o Acesso SSH • Parte 4: SSH da CLI no Switch 22 © 2021 Cisco e/ou suas afiliadas. Todos os direitos reservados. Documento confidencial da Cisco 4.5 Resumo de Acesso Seguro do Dispositivo 23 © 2021 Cisco e/ou suas afiliadas. Todos os direitos reservados. Documento confidencial da Cisco Resumo seguro de acesso ao dispositivo O que aprendi neste módulo? • O roteador de borda é o último roteador entre a rede interna e uma rede não confiável, como a Internet. • As três abordagens a esta são a abordagem do roteador único, a aproximação defesa-em- profundidade, e a aproximação DMZ. • Há três camadas primárias de defesa: o roteador de borda, o firewall e um roteador interno que se conecte à LAN protegida. • O DMZ pode ser configurado entre dois roteadores, com um roteador interno conectando à rede protegida e um roteador externo que conecta à rede desprotegida. • As três áreas de segurança do roteador que devem ser mantidas são segurança física, segurança do sistema operacional e endurecimento do roteador. • Um roteador pode ser acessado para fins administrativos local ou remotamente. • Para criptografar todas as senhas de texto simples, use o comando de configuração globalservice password-encryption . • Os aprimoramentos de login do Cisco IOS fornecem mais segurança diminuindo ataques, tais como ataques de dicionário e ataques DoS. 24 © 2021 Cisco e/ou suas afiliadas. Todos os direitos reservados. Documento confidencial da Cisco Resumo seguro de acesso ao dispositivo O que aprendi neste módulo? (continuação) • Os aprimoramentos de login incluem blocos de login para, fazer login no modo silencioso, atraso de login, login no sucesso, login no falha e no tempo de tempo do SSH. • É possível configurar um dispositivo Cisco para apoiar SSH usando as seis etapas a seguir: configurar um hostname de dispositivo exclusivo, configurar o Domain Name IP, gerar uma chave para criptografar o tráfego SSH, verificar ou criar uma entrada de base de dados local, autenticar contra o base de dados local, e permitir sessões SSH de entrada vty. 25
Compartilhar