Network Security v1 0 - Module 4 - SSH

Prévia do material em texto

Módulo 4: Acesso Seguro 
do Dispositivo
Networking Security v1.0
(NETSEC)
2
© 2021 Cisco e/ou suas afiliadas. Todos os direitos reservados. 
Documento confidencial da Cisco
Objetivos do módulo
Título do Módulo: Acesso Seguro do Dispositivo
Objetivo do Módulo: Configurar dispositivos administrativos seguros.
Título do Tópico Objetivo do Tópico
Protegendo o roteador de borda Explique como proteger um perímetro de rede.
Configurar o acesso administrativo 
seguro
Use os comandos correctos configurar senhas em um dispositivo Cisco IOS.
Configurar segurança aprimorada para 
logins virtuais
Use os comandos corretos para configurar a segurança aprimorada para logins 
virtuais.
Configurar SSH Configurar um daemon SSH para gerenciamento remoto seguro.
© 2021 Cisco e/ou suas afiliadas. Todos os direitos reservados. Documento confidencial da Cisco
4.1 O Roteador Seguro de 
Borda
3
© 2021 Cisco e/ou suas afiliadas. Todos os direitos reservados. Documento confidencial da Cisco
Proteja o roteador de borda
Proteger a infraestrutura de rede
A proteção da infraestrutura de rede é fundamental para a segurança geral da rede. A
infraestrutura de rede inclui roteadores, switches, servidores, endpoints e outros 
dispositivos. Os roteadores são um alvo primário para ataques porque esses dispositivos 
direcionam o tráfego, e entre redes.
O roteador de borda mostrado na figura é o último roteador entre a rede interna e uma 
rede não confiável, como a Internet. Todo o tráfego da Internet de uma organização 
passa por um roteador de borda, que muitas vezes funciona como a primeira e última 
linha de defesa para uma rede. 
4
© 2021 Cisco e/ou suas afiliadas. Todos os direitos reservados. Documento confidencial da Cisco
Proteja o roteador de borda
Abordagens de Segurança de
• Single Router - Um único roteador conecta a rede 
protegida ou a rede local interna (LAN), para a 
Internet. Todas as políticas de segurança são 
configuradas neste dispositivo.
• Defense-in-Depth – Isso usa várias camadas de 
segurança antes do tráfego que entra na LAN 
protegida. Há três camadas primárias de defesa: o 
roteador de borda, o firewall e um roteador interno 
que se conecte à LAN protegida.
• DMZ - O DMZ pode ser usado para servidores que 
devem ser acessíveis a partir da Internet ou outra 
rede externa. O DMZ pode ser configurado entre 
dois roteadores, com um roteador interno 
conectando à rede protegida e um roteador 
externo que conecta à rede desprotegida.
5
© 2021 Cisco e/ou suas afiliadas. Todos os direitos reservados. Documento confidencial da Cisco
Proteja o roteador de borda
Três áreas de segurança do roteador
Três áreas de segurança do roteador devem ser mantidas:
• Physical - Coloque o roteador e os dispositivos físicos que se conectem a ele em uma sala de 
bloqueio segura que é acessível apenas ao pessoal autorizado. Instale uma fonte de alimentação 
ininterrupta (UPS) ou gerador de energia de backup diesel.
• Sistema operacional- Configure o roteador com a quantidade máxima de memória possível. A 
disponibilidade de memória pode ajudar a mitigar ataques DoS. Use a versão mais recente e 
estável do sistema operacional que atenda às especificações de recurso do roteador ou 
dispositivo de rede. Mantenha uma cópia segura de imagens do sistema operacional do roteador e 
arquivos de configuração do roteador como backups.
• Endurecimento do Roteador- Assegure-se de que apenas o pessoal autorizado tenha acesso e 
que seu nível de acesso seja controlado. Desativar portas e interfaces não utilizadas. Desativar 
serviços desnecessários. Um roteador tem serviços que são ativados por padrão. Alguns desses 
serviços podem ser usados por um invasor para coletar informações sobre o roteador e a rede.
6
© 2021 Cisco e/ou suas afiliadas. Todos os direitos reservados. Documento confidencial da Cisco
Proteja o roteador de borda
Acesso administrativo seguro
A garantia de acesso administrativo é importante. Se uma pessoa não autorizada obtiver acesso 
administrativo a um roteador, essa pessoa poderá alterar parâmetros de roteamento, desabilitar funções 
de roteamento ou descobrir e obter acesso a outros sistemas dentro da rede. Várias tarefas estão 
envolvidas na garantia de acesso administrativo a um dispositivo de infraestrutura:
• Restringir a acessibilidade do dispositivo
• Log e conta para todo o acesso
• Autenticar o acesso
• Autorizar ações
• Apresentar a notificação legal
• Garantir a confidencialidade dos dados
7
© 2021 Cisco e/ou suas afiliadas. Todos os direitos reservados. Documento confidencial da Cisco
Proteja o roteador de borda
Seguro acesso local e remoto
Um roteador pode ser acessado para fins administrativos 
local ou remotamente:
• Acesso local- O administrador deve ter acesso físico ao 
roteador e usar um cabo de console para se conectar à 
porta do console. O acesso local é usado tipicamente 
para a configuração inicial do dispositivo.
• Acesso Remoto- Embora a opção da porta AUX esteja 
disponível, o método de acesso remoto mais comum 
envolve permitir conexões telnet, ssh, http, https ou snmp 
para o roteador de um computador. O computador pode 
estar na rede local ou em uma rede remota.
8
© 2021 Cisco e/ou suas afiliadas. Todos os direitos reservados. Documento confidencial da Cisco
4.2 Configurar Acesso 
Administrativo Seguro
9
© 2021 Cisco e/ou suas afiliadas. Todos os direitos reservados. Documento confidencial da Cisco
Configurar o acesso administrativo seguro
Senhas
A tabela mostra exemplos de senhas fortes e fracas.
Senha Fraca Por que ela é fraca?
secret Senha simples de dicionário
smith Nome de solteira da mãe
toyota Fabricante de um carro
bob1967 Nome e data de nascimento do usuário
Blueleaf23 Palavras e números simples
Senha Forte Por que ela é forte?
b67n42d39c Combina caracteres alfanuméricos
12^h u4@1p7 Combina caracteres alfanuméricos, símbolos e inclui um 
espaço
10
© 2021 Cisco e/ou suas afiliadas. Todos os direitos reservados. Documento confidencial da Cisco
Configurar o acesso administrativo seguro
Configurar Senhas
Para proteger o acesso ao modo EXEC do usuário, 
digite o modo de configuração do console de linha 
usando o comando de configuração globalline console 
0 . Especifique a senha do modo EXEC do usuário 
usando o comandopassword password. Ativar o acesso 
do usuário EXEC usando o comandologin.
Para ter acesso de administrador a todos os comandos 
do IOS, incluindo a configuração de um dispositivo, 
você deve obter acesso privilegiado no modo EXEC. 
Para garantir acesso EXEC privilegiado, use o 
comando de configuração globalenable secret
password.
Para garantir linhas vintas, digite a linha Vty Mode 
usando o comando de configuração globalline vty 0 
15. Especifique a senha vty usando o 
comandopassword password. Ative o acesso vty 
usando o comandologin.
11
© 2021 Cisco e/ou suas afiliadas. Todos os direitos reservados. Documento confidencial da Cisco
Configurar o acesso administrativo seguro
Criptografar as Senhas
Senhas fortes são úteis apenas se forem 
secretas. Existem várias etapas que podem 
ser tomadas para ajudar a garantir que as 
senhas permaneçam secretas em um 
roteador e switch Cisco, incluindo estes:
• Criptografando todas as senhas de texto 
sem formatação;
• Definindo um tamanho mínimo aceitável 
de senha;
• Deterção de ataques de adivinhação de 
senha de força bruta;
• Desativando um acesso de modo EXEC 
privilegiado inativo após um período 
especificado.
.
Para criptografar todas as senhas de texto simples, use 
o comando de configuração globalservice password-
encryption.
Use o comando show running-config para verificar se as 
senhas agora estão criptografadas.
12
© 2021 Cisco e/ou suas afiliadas. Todos os direitos reservados. Documento confidencial da Cisco
Configurar o acesso administrativo seguro
Segurança de Senha Adicional
Como mostrado na configuração de amostra, o 
comando de configuraçãoglobal service password-
encryption Impede que os indivíduos não 
autorizados visualizem senhas de texto simples no 
arquivo de configuração. 
Para garantir que todas as senhas configuradas 
tenham um mínimo de comprimento especificado, 
use o comando security passwords min-length
length no modo de configuração global.
Os atores ameaçadores podem usar software de 
quebra de senha para realizar um ataque de força 
bruta em um dispositivo de rede. Este ataque tenta 
continuamente adivinhar as senhas válidas até que 
uma funcione. 
13
Use o comando de configuração global login block-
for seconds attempts number within seconds para 
impedir esse tipo de ataque.
© 2021 Cisco e/ou suas afiliadas. Todos os direitos reservados. Documento confidencial da Cisco
4.4 Configurar SSH
14
© 2021 Cisco e/ou suas afiliadas. Todos os direitos reservados. Documento confidencial da Cisco
Configurar SSH
Vídeo - A Necessidade do SSH
15
© 2021 Cisco e/ou suas afiliadas. Todos os direitos reservados. Documento confidencial da Cisco
Configurar SSH
Ativação do SSH
Configure um dispositivo Cisco para 
suportar SSH usando as seguintes seis 
etapas:
Etapa 1. Configure um nome de host 
do dispositivo exclusivo.
Etapa 2. Configure o nome do domínio 
IP.
Etapa 3. Gerar uma chave para 
criptografar o tráfego do SSH.
Etapa 4. Verifique ou crie uma entrada 
de banco de dados local.
Step 5. Autenticar contra o banco de 
dados local.
Etapa 6. Permitir sessões de SSH de 
entrada vty.
16
© 2021 Cisco e/ou suas afiliadas. Todos os direitos reservados. Documento confidencial da Cisco
Configurar SSH
Melhorar a segurança de login SSH
Para verificar as configurações opcionais 
do comando SSH, use o comandoshow 
ip ssh. Use o comando global de modo 
de configuraçãoip ssh time-out seconds
para modificar o intervalo de tempo limite 
padrão de 120 segundos. Isso configura o 
número de segundos que o SSH pode 
usar para autenticar um usuário. Por 
padrão, um usuário que faz login tem três 
tentativas de inserir a senha correta antes 
de ser desconectado. Para configurar um 
número diferente de tentativas ssh 
consecutivas, use o comando global de 
modo de configuraçãoip ssh 
authentication-retries integer.
17
© 2021 Cisco e/ou suas afiliadas. Todos os direitos reservados. Documento confidencial da Cisco
Configurar SSH
Conecte um roteador a um roteador habilitado para SSH
Para verificar o status das 
conexões do cliente, use o 
comandoshow ssh. Há duas 
maneiras diferentes de 
conectar a um roteador 
habilitado para SSH. À 
revelia, quando o SSH é 
permitido, um roteador Cisco 
pode atuar como um servidor 
SSH ou um cliente SSH. 
Como um servidor, um 
roteador pode aceitar 
conexões de cliente SSH. 
Como cliente, um roteador 
pode se conectar via SSH a 
outro roteador habilitado para 
SSH.
Verificar o status do SSH
Conecte-se a partir do R2 
para R1.
Ver Conexões SSH
18
© 2021 Cisco e/ou suas afiliadas. Todos os direitos reservados. Documento confidencial da Cisco
Configurar SSH
Conecte um host a um roteador habilitado para SSH
Conecte usando um cliente SSH 
(exemplo: PuTTY, OpenSSH, 
TeraTerm) executando em um host.
Geralmente, o cliente SSH inicia uma 
conexão SSH ao roteador. O serviço 
SSH do roteador solicita a combinação 
correta de nome de usuário e senha. 
Depois que o início de uma sessão é 
verificado, o roteador pode ser 
controlado como se o administrador 
estivesse usando uma sessão de 
Telnet padrão.
19
© 2021 Cisco e/ou suas afiliadas. Todos os direitos reservados. Documento confidencial da Cisco
Configurar SSH
Laboratório - Configurar Acesso Administrativo Seguro
Nesse laboratório, você completará os seguintes objetivos:
• Parte 1: Implementar as Configurações Básicas dos Dispositivos
• Parte 2: Configurar e Criptografar Senhas nos Roteadores R1 e R3
• Parte 3: Configurar a Segurança Aprimorada da Senha do Nome de Usuário nos Roteadores 
R1 e R3
• Parte 4: Configurar o Servidor SSH no Roteadores R1 e R3
20
© 2021 Cisco e/ou suas afiliadas. Todos os direitos reservados. Documento confidencial da Cisco
Configurar SSH
Packet Tracer - Configurar Senhas Seguras e SSH
O administrador da rede solicitou que você preparasse o RTA e o SW1 para implantação. Antes de 
conectá-lo à rede, você deve ativar medidas de segurança.
21
© 2021 Cisco e/ou suas afiliadas. Todos os direitos reservados. Documento confidencial da Cisco
Configurar SSH
Laboratório - Configurar dispositivos de rede com SSH
Nesse laboratório, você completará os seguintes objetivos:
• Parte 1: Implementar as Configurações Básicas dos Dispositivos
• Parte 2: Configurar o Roteador para o Acesso SSH
• Parte 3: Configurar o Switch para o Acesso SSH
• Parte 4: SSH da CLI no Switch
22
© 2021 Cisco e/ou suas afiliadas. Todos os direitos reservados. Documento confidencial da Cisco
4.5 Resumo de Acesso 
Seguro do Dispositivo
23
© 2021 Cisco e/ou suas afiliadas. Todos os direitos reservados. Documento confidencial da Cisco
Resumo seguro de acesso ao dispositivo
O que aprendi neste módulo?
• O roteador de borda é o último roteador entre a rede interna e uma rede não confiável, como a 
Internet. 
• As três abordagens a esta são a abordagem do roteador único, a aproximação defesa-em-
profundidade, e a aproximação DMZ.
• Há três camadas primárias de defesa: o roteador de borda, o firewall e um roteador interno que se 
conecte à LAN protegida.
• O DMZ pode ser configurado entre dois roteadores, com um roteador interno conectando à rede 
protegida e um roteador externo que conecta à rede desprotegida. 
• As três áreas de segurança do roteador que devem ser mantidas são segurança física, segurança 
do sistema operacional e endurecimento do roteador. 
• Um roteador pode ser acessado para fins administrativos local ou remotamente. 
• Para criptografar todas as senhas de texto simples, use o comando de configuração globalservice 
password-encryption .
• Os aprimoramentos de login do Cisco IOS fornecem mais segurança diminuindo ataques, tais 
como ataques de dicionário e ataques DoS. 24
© 2021 Cisco e/ou suas afiliadas. Todos os direitos reservados. Documento confidencial da Cisco
Resumo seguro de acesso ao dispositivo
O que aprendi neste módulo? (continuação)
• Os aprimoramentos de login incluem blocos de login para, fazer login no modo silencioso, atraso 
de login, login no sucesso, login no falha e no tempo de tempo do SSH.
• É possível configurar um dispositivo Cisco para apoiar SSH usando as seis etapas a seguir: 
configurar um hostname de dispositivo exclusivo, configurar o Domain Name IP, gerar uma chave 
para criptografar o tráfego SSH, verificar ou criar uma entrada de base de dados local, autenticar 
contra o base de dados local, e permitir sessões SSH de entrada vty.
25