Resumo Módulo 4 - Proteger o Acesso ao Dispositivo - Segurança de Rede CISCO

Prévia do material em texto

Resumo Módulo 4 - Proteger o Acesso ao Dispositivo 1
4 ⃣
Resumo Módulo 4 - Proteger o 
Acesso ao Dispositivo
Proteja o roteador de borda
Proteger a infraestrutura de rede
💡 A proteção da infraestrutura de rede é fundamental para a segurança 
geral da rede. A infraestrutura de rede inclui roteadores, switches, 
servidores, endpoints e outros dispositivos.
Abordagens de Segurança Roteador de Borda
💡 A implementação do roteador de borda varia dependendo do tamanho da 
organização e da complexidade do projeto de rede necessário.
Topologias simplificadas para as três abordagens são mostradas na figura:
Resumo Módulo 4 - Proteger o Acesso ao Dispositivo 2
Abordagem de roteador único
💡 Isso é mais comumente implantado em implementações de sites menores, 
como filiais e pequenos escritórios, escritórios domésticos SOHO.
Abordagem de defesa em profundidade
Resumo Módulo 4 - Proteger o Acesso ao Dispositivo 3
💡 Uma abordagem de defesa em profundidade é mais segura do que a 
abordagem de roteador único. Ele usa várias camadas de segurança antes 
do tráfego que entra na LAN protegida. Há três camadas primárias de 
defesa: o roteador de borda, o firewall e um roteador interno que se 
conecte à LAN protegida. O roteador de borda atua como a primeira linha 
de defesa e é conhecido como roteador de triagem. Depois de executar a 
filtragem de tráfego inicial, o roteador de borda passa todas as conexões 
que são pretendidas para a LAN interna para a segunda linha de defesa, 
que é o firewall.
Por padrão, o firewall nega o início de conexões das redes externas (não confiáveis) 
para a rede interna (confiável).
Outras ferramentas de segurança, como sistemas de prevenção de intrusões IPSs), 
dispositivos de segurança da Web (servidores proxy) e dispositivos de segurança 
de e-mail (filtragem de spam) também podem ser implementadas.
Abordagem DMZ
💡 A DMZ pode ser usada para servidores que devem ser acessíveis a partir 
do Internet ou de alguma outra rede externa.
Três áreas de segurança do roteador
Segurança Física
Coloque o roteador e os dispositivos físicos que se conectam a ele em uma sala 
trancada segura que é acessível apenas ao pessoal autorizado, está livre de 
interferência eletrostática ou magnética, tem supressão de fogo e tem controles 
de temperatura e umidade.
Instale uma fonte de alimentação ininterrupta UPS ou gerador de energia de 
backup a diesel. Use fontes de alimentação redundantes em dispositivos de 
rede, se possível. Isso reduz a possibilidade de uma falha de rede de perda de 
energia ou equipamentos de energia com falha.
Software de sistema operacional
Equipar roteadores com a quantidade máxima de memória possível. A 
disponibilidade de memória pode ajudar a reduzir os riscos para a rede de 
alguns ataques de negação de serviço DoS enquanto suporta a mais ampla 
gama de serviços de segurança.
Resumo Módulo 4 - Proteger o Acesso ao Dispositivo 4
Use a versão mais recente e estável do sistema operacional que atenda às 
especificações de recurso do roteador ou dispositivo de rede. Os recursos de 
segurança e criptografia em um sistema operacional são aprimorados e 
atualizados ao longo do tempo, o que torna fundamental ter a versão mais 
atualizada.
Mantenha uma cópia segura das imagens do sistema operacional do roteador e 
dos arquivos de configuração do roteador como backups.
Endurecimento do roteador
Controle administrativo seguro. Certifique-se de que somente o pessoal 
autorizado tenha acesso e que seu nível de acesso seja controlado.
Desativar portas e interfaces não utilizadas. Reduza o número de maneiras que 
um dispositivo pode ser acessado.
Desativar serviços desnecessários. Semelhante a muitos computadores, um 
roteador tem serviços que são ativados por padrão. Alguns desses serviços são 
desnecessários e podem ser usados por um invasor para reunir informações 
sobre o roteador e a rede. Esta informação pode então ser usada em um ataque 
de exploração.
Acesso administrativo seguro
Restringir a acessibilidade do dispositivo - Limite as portas acessíveis, 
restrinja os comunicadores permitidos e restrinja os métodos permitidos de 
acesso.
Registro e conta para todos os acessos - Grave qualquer pessoa que acessa 
um dispositivo, o que aconteceu durante o acesso e quando o acesso ocorreu 
para fins de auditoria.
Autenticar acesso - Certifique-se de que o acesso seja concedido somente a 
usuários, grupos e serviços autenticados. Limite o número de tentativas de login 
com falha e o tempo permitido entre logins.
Autorizar ações - Restringir as ações e exibições permitidas por qualquer 
usuário, grupo ou serviço específico.
Apresentar notificação legal - Exibir um aviso legal, que deve ser desenvolvido 
com consultor jurídico da empresa, para diferentes tipos de acesso ao 
dispositivo.
Garanta a confidencialidade dos dados - Proteja os dados armazenados 
localmente e confidenciais de serem visualizados e copiados. Considere a 
Resumo Módulo 4 - Proteger o Acesso ao Dispositivo 5
vulnerabilidade dos dados em trânsito em um canal de comunicação para 
sniffing, sequestro de sessão e ataques de man-in-the-middle MITM.
Seguro acesso local e remoto
Acesso local - Todos os dispositivos de infraestrutura de rede podem ser 
acessados localmente. O acesso local a um roteador geralmente requer uma 
conexão direta a uma porta de console no roteador Cisco e usando um 
computador que esteja executando o software de emulação de terminal.
Acesso remoto - Os administradores também podem acessar dispositivos de 
infraestrutura remotamente, como mostrado na figura. Embora a opção de porta 
auxiliar esteja disponível, o método de acesso remoto mais comum envolve 
permitir conexões Telnet, SSH, HTTP, HTTPS ou SNMP ao roteador a partir de 
um computador. O computador pode estar na rede local ou em uma rede 
remota. No entanto, se a conectividade de rede ao dispositivo estiver inativa, a 
única maneira de acessá-lo pôde ser sobre linhas telefônicas.
Precauções devem ser tomadas ao acessar a rede remotamente:
Resumo Módulo 4 - Proteger o Acesso ao Dispositivo 6
Criptografe todo o tráfego entre o computador administrador e o roteador. Por 
exemplo, em vez de usar Telnet, use SSH versão 2; ou em vez de usar HTTP, 
use HTTPS.
Estabelecer uma rede de gestão dedicada. A rede de gerenciamento deve 
incluir somente hosts de administração identificados e conexões a uma 
interface dedicada no roteador. O acesso a esta rede pode ser rigorosamente 
controlado.
Configurar um filtro de pacote de informação para permitir que somente os 
anfitriões de administração identificados e os protocolos preferidos alcançam o 
roteador. Por exemplo, permita que somente solicitações SSH do endereço IP 
de um host de administração iniciem uma conexão com o Roteadores na rede.
Configure e estabeleça uma conexão VPN à rede local antes de se conectar a 
uma interface de gerenciamento de roteador.
Configurar o acesso administrativo seguro
Senhas
Use um comprimento de senha de pelo menos oito caracteres, de preferência 
10 ou mais caracteres. Uma senha mais longa é uma senha mais segura.
Use senhas complexas. Inclua uma combinação de letras maiúsculas e 
minúsculas, números, símbolos e espaços, se permitido.
Evite as senhas com base em repetição, palavras comuns de dicionário, 
sequências de letras ou números, nomes de usuário, nomes de parentes ou de 
animais de estimação, informações biográficas, como datas de nascimento, 
números de identificação, nomes de antepassados ou outras informações 
facilmente identificáveis.
Deliberadamente, soletre errado uma senha. Por exemplo, Smith = Smyth = 
5mYth ou Security = 5ecur1ty.
Altere as senhas periodicamente. Se uma senha for inconscientemente 
comprometida, a janela de oportunidade para o agente de ameaças usar a 
senha é limitada.
Não anote as senhas e muito menos as deixe em locais óbvios, como em sua 
mesa ou no monitor.
Resumo Módulo 4 - Proteger o Acesso ao Dispositivo 7
💡 Nos roteadores Cisco, os espaços à esquerdasão ignorados em senhas, 
mas os espaços após o primeiro caractere não são ignorados.
Gerenciador de senha
Use um gerenciador de senha para proteger senhas para sua atividade on-line da 
Internet. Considerada a melhor prática para proteger as senhas, o Gerenciador de 
Senhas gera automaticamente senhas complexas para você e as inserirá 
automaticamente quando você acessar esses sites.
Autenticação multifator
Use a autenticação multi-fator quando disponível. Isso significa que a autenticação 
requer dois ou mais meios independentes de verificação.
Configurar Senhas
Sw-Floor-1# configure terminal 
Sw-Floor-1(config)# line console 0 
Sw-Floor-1(config-line)# password cisco 
Sw-Floor-1(config-line)# login 
Sw-Floor-1(config-line)# end 
Sw-Floor-1#
→ Para proteger o acesso EXEC privilegiado, use o comando de configuração global 
enable secret password , conforme mostrado:
Sw-Floor-1# configure terminal 
Sw-Floor-1(config)# enable secret class 
Sw-Floor-1(config)# exit 
Sw-Floor-1#
→ Um exemplo de segurança das linhas VTY em um switch é mostrado:
Sw-Floor-1# configure terminal 
Sw-Floor-1(config)# 1(config)# line vty 0 15 
Sw-Floor-1(config-line)# password cisco 
Sw-Floor-1(config-line)# login 
Sw-Floor-1(config-line)# end 
Sw-Floor-1#
Criptografar as Senhas - Criptografar todas as senhas
Criptografando todas as senhas de texto sem formatação;
Resumo Módulo 4 - Proteger o Acesso ao Dispositivo 8
Definindo um tamanho mínimo aceitável de senha;
Detecção de ataques de adivinhação de senha de força bruta;
Desativando um acesso de modo EXEC privilegiado inativo após um período 
especificado.
💡 Os arquivos startup-config e running-config exibem a maioria das senhas 
em texto simples.
Para criptografar todas as senhas de texto simples, use o comando de configuração 
global service password-encryption conforme mostrado no exemplo.
Sw-Floor-1# configure terminal 
Sw-Floor-1(config)# service password-encryption 
Sw-Floor-1(config)#
O propósito deste comando é proibir que indivíduos não autorizados vejam as 
senhas no arquivo de configuração.
Segurança de Senha Adicional
Para garantir que todas as senhas configuradas são um mínimo de um comprimento 
especificado, use o comando security passwords min-length
Os atores ameaçadores podem usar software de quebra de senha para realizar um 
ataque de força bruta em um dispositivo de rede. Este ataque tenta continuamente 
adivinhar as senhas válidas até que uma funcione. Use o comando de configuração 
global:
→ login block-for seconds attempts number within seconds
Por padrão, os roteadores Cisco farão logout de uma sessão EXEC após 10 minutos 
de inatividade. No entanto, você pode reduzir essa configuração usando o comando 
de configuração de linha:
exec-timeout minutes seconds
Esse comando pode ser aplicado on-line console, auxiliares e linhas vty.
Exemplo completo os seguintes comandos configuram:
Todas as senhas sem texto são criptografadas.
Novas senhas configuradas devem ter oito caracteres ou mais.
Resumo Módulo 4 - Proteger o Acesso ao Dispositivo 9
Se houver mais de três tentativas de login com falhas no prazo de 60 segundos, 
basta bloquear as linhas por 120 segundos.
Defina o roteador para desconectar automaticamente um usuário inativo em 
uma linha vty se a linha estiver ociosa por 5 minutos e 30 segundos.
R1(config)# service password-encryption 
R1(config)# security passwords min-length 8 
R1(config)# login block-for 120 attempts 3 within 60 
R1(config)# line vty 0 4 
R1(config-line)# password cisco 
R1(config-line)# exec-timeout 5 30 
R1(config-line)# transport input ssh 
R1(config-line)# end 
R1# 
R1# show running-config | section line vty 
line vty 0 4 
 password 7 094F471A1A0A 
 exec-timeout 5 30 
 login 
 transport input ssh 
R1#
Algoritmos de senha secreta
💡 Os hashes MD5 não são mais considerados seguros porque os invasores 
podem reconstruir certificados válidos.
Portanto, agora é recomendável que você configure todas as senhas secretas 
usando senhas tipo 8 ou tipo 9 , usam a criptografia SHA.
R1(config)# enable secret cisco12345 
R1(config)# do show run | include enable 
enable secret 5 $1$cam7$99EfzkvmJ5h1gEbryLVRy. 
R1(config)# enable secret ? 
 0 Specifies an UNENCRYPTED password will follow 
 5 Specifies a MD5 HASHED secret will follow 
 8 Specifies a PBKDF2 HASHED secret will follow 
 9 Specifies a SCRYPT HASHED secret will follow 
 LINE The UNENCRYPTED (cleartext) 'enable' secret 
 level Set exec level password 
 
R1(config)# line con 0 
R1(config-line)# password ? 
 0 Specifies an UNENCRYPTED password will follow 
 7 Specifies a HIDDEN password will follow 
 LINE The UNENCRYPTED (cleartext) line password 
R1(config-line)#
Resumo Módulo 4 - Proteger o Acesso ao Dispositivo 10
Para inserir uma senha não criptografada, use a sintaxe do comando enable 
algorithm-type:
Router(config)# enable algorithm-type { md5 | scrypt | sha256 | secret } unencrypted password
Exemplo:
R1(config)# enable algorithm-type ? 
 md5 Encode the password using the MD5 algorithm 
 scrypt Encode the password using the SCRYPT hashing algorithm 
 sha256 Encode the password using the PBKDF2 hashing algorithm 
R1(config)# enable algorithm-type scrypt ? 
secret Assign the privileged level secret (MAX of 25 characters) 
 
R1(config)# enable algorithm-type scrypt secret cisco12345 
R1(config)# do show run | include enable 
enable secret 9 $9$Gyk9x3Ve4c0n5k$8.cR3yReBduzHymEyCOcErgPKW8MSKokRN 
9KjEg4WQA 
R1(config)#
Adicionando um usuário
Router(config)# username name algorithm-type { md5 | scrypt | sha256 | secret } unencrypte
d password
R1(config)# username Bob secret cisco54321 
R1(config)# do show run | include username 
username Bob privilege 15 secret 5 $1$lmBB$UjOC6JA4f1WgI3/La8wGz/ 
R1(config)# 
R1(config)# username Bob algorithm-type scrypt secret cisco54321 
R1(config)# do show run | include username 
username Bob privilege 15 secret 9 $9$9FkS.zTuLs89pk$v5P2y.M6reR18lS 
92moKHdFauk8joK0xHICXxGDuurs 
R1(config)#
Resumo Módulo 4 - Proteger o Acesso ao Dispositivo 11
Configurar segurança aprimorada para 
logins virtuais
Melhorar o processo de login
💡 Os banners são desativados por padrão e devem estar explicitamente 
ativados. Use o comando do modo de configuração global banner para 
especificar as mensagens apropriadas.
Router(config)# banner { motd | exec | login } delimiter message delimiter
Banners protegem a organização de uma perspectiva legal. Escolher o texto 
apropriado para colocar em mensagens de banner é importante e deve ser revisto 
por advogado legal antes de ser colocado em roteadores de rede.
Configurar recursos de aprimoramento de login
Os comandos de aprimoramentos de login do Cisco IOS, que são mostrados abaixo, 
aumentam a segurança das conexões de login virtuais:
Router(config)# login block-for seconds attempts tries within seconds 
 Router(config)# login quiet-mode access-class {acl-name | acl-number} 
 Router(config)# login delay seconds 
 Router(config)# login on-success log [every login] 
 Router(config)# login on-failure log [every login]
→ O comando login block-for pode se defender contra ataques DoS desativando 
logins após um número especificado de tentativas de login com falha.
→ O comando login quiet-mode mapeia a uma ACL que identifique os hosts 
permitidos. Isto assegura-se de que somente os anfitriões autorizados possam 
tentar fazer login no roteador.
→ O comando login delay especifica um número de segundos que o usuário deve 
esperar entre tentativas de login mal sucedidas.
→ Os comandos login on-success e login on-failure registram tentativas de login 
bem-sucedidas e malsucedidas.
Resumo Módulo 4 - Proteger o Acesso ao Dispositivo 12
💡 Esses aprimoramentos de login não se aplicam a conexões de console. Ao 
lidar com conexões de console, supõe-se que somente o pessoal 
autorizado tenha acesso físico aos dispositivos.
Ativar aprimoramentos de login
💡 Para ajudar um dispositivoCisco IOS a fornecer detecção de DoS, use o 
comando login block-for
Especificamente, o comando login block-for monitora a atividade do dispositivo de 
login e opera em dois modos:
Modo normal - Isso também é conhecido como modo de relógio. O roteador 
mantém a contagem do número de tentativas de login falhadas dentro de uma 
quantidade de tempo identificada.
Modo silencioso - Este também é conhecido como o período de silêncio. Se o 
número de logins com falha exceder o limite configurado, todas as tentativas de 
login usando telnet, ssh e http são negadas para o tempo especificado no 
comando login block-for.
💡 Quando o modo silencioso está ativado, todas as tentativas de login, 
incluindo acesso administrativo válido, não são permitidas.
o comando login quiet-mode access-class. Somente os anfitriões identificados no 
ACL têm o acesso ao dispositivo durante o modo silencioso.
O exemplo mostra uma configuração que use uma ACL que seja nomeada PERMIT
ADMIN. Os hosts que combinam as condições PERMITADMIN estão isentos do 
modo silencioso:
R1(config)# ip access-list standard PERMIT-ADMIN 
R1(config-std-nacl)# remark Permit only Administrative hosts 
R1(config-std-nacl)# permit 192.168.10.10 
R1(config-std-nacl)# permit 192.168.11.10 
R1(config-std-nacl)# exit 
R1(config)# login quiet-mode access-class PERMIT-ADMIN
Para tornar mais difícil para um invasor, o tempo de atraso entre as tentativas de 
login pode ser aumentado usando o comando login delay seconds
Resumo Módulo 4 - Proteger o Acesso ao Dispositivo 13
Os comandos:
login block-for
login quiet-mode access-class 
login delay 
ajudam a bloquear tentativas de login falhadas por um período limitado de tempo
Tentativas de falha de log
💡 Há três comandos que podem ser configurados para ajudar um 
administrador a detectar um ataque de senha
Os dois primeiros comandos, login on-success log e login on-failure log, geram 
mensagens do syslog para tentativas de login bem-sucedidas e mal sucedidas. O 
número de tentativas de login antes de uma mensagem de registro é gerada pode 
ser especificada usando a sintaxe [every login], onde o valor padrão login é 1 
tentativa. O intervalo válido é de 1 a 65.535.
Router(config)# login on-success log [every login] 
Router(config)# login on-failure log [every login]
Como uma alternativa ao comando login on-failure log, o comando security 
authentication failure rate pode ser configurado para gerar uma mensagem de log 
quando a taxa de falha de login é excedida
Router(config)# security authentication failure rate threshold-rate log
→ Use o comando show login para verificar as configurações do comando login 
block-for e o modo atual.
O comando show login failures exibe informações adicionais sobre as tentativas 
malsucedidas, como o endereço IP de origem das tentativas de login malsucedidas.
Configurar SSH
Ativação do SSH
Resumo Módulo 4 - Proteger o Acesso ao Dispositivo 14
💡 Os dados contidos em um pacote Telnet são transmitidos sem 
criptografia. Por esse motivo, é altamente recomendável ativar o Secure 
Shell SSH em dispositivos para acesso remoto seguro
É possível configurar um dispositivo Cisco para suportar SSH usando as seis etapas 
a seguir:
Etapa 1. Configure a unique device hostname. Um dispositivo deve ter um nome de 
host exclusivo diferente do padrão.
Etapa 2. Configure o nome do domínio IP. Configure o nome de domínio IP da rede 
usando o comando global de configuração do modo ip domain name name. No 
exemplo, o roteador R1 é configurado no domínio Span.com. Esta informação é 
usada junto com o valor do bit especificado no comando crypto key generate rsa 
general-keys modulus para criar uma chave de criptografia
Etapa 3. Gerar uma chave para criptografar o tráfego do SSH. O SSH criptografa o 
tráfego entre a origem e o destino. No entanto, para fazer isso, uma chave de 
autenticação exclusiva deve ser gerada usando o comando de configuração 
global crypto key generate rsa general-keys modulus bits. O 
módulo bits determina o tamanho da chave e pode ser configurado de 360 bits a 
2048 bits. Quanto maior o valor de bit, mais segura a chave. No entanto, valores de 
bits maiores também levam mais tempo para criptografar e descriptografar 
informações. O tamanho mínimo recomendado do módulo é 1024 bits.
Etapa 4. Verifique ou crie uma entrada de banco de dados local. Crie uma entrada 
de nome de usuário do banco de dados local usando o username comando de 
configuração global. No exemplo, o parâmetro secret é usado para que a senha 
seja criptografada usando MD5.
Etapa 5. Autenticar contra o banco de dados local. Use o comando de 
configuração de login local linha para autenticar a linha vty no banco de dados 
local.
Etapa 6. Habilite a entrada vty nas sessões SSH. Por padrão, nenhuma sessão de 
entrada é permitida em linhas vty. Você pode especificar vários protocolos de 
entrada, incluindo Telnet e SSH usando o comando transport input {ssh | telnet}.
→ Exemplos:
Router# configure terminal 
Router(config)# hostname R1 
R1(config)# ip domain-name span.com 
R1(config)# crypto key generate rsa general-keys modulus 1024 
The name for the keys will be: Rl.span.com % The key modulus size is 1024 bits 
% Generating 1024 bit RSA keys, keys will be non-exportable...[OK] 
Resumo Módulo 4 - Proteger o Acesso ao Dispositivo 15
Dec 13 16:19:12.079: %SSH-5-ENABLED: SSH 1.99 has been enabled 
R1(config)# 
R1(config)# username Bob secret cisco 
R1(config)# line vty 0 4 
R1(config-line)# login local 
R1(config-line)# transport input ssh 
R1(config-line)# exit 
R1(config)#
→ Para verificar o SSH e exibir as chaves geradas, use o comando show crypto key 
mypubkey rsa no modo EXEC privilegiado.
Se houver pares de chaves existentes, é recomendável que eles sejam substituídos 
usando o comando crypto key zeroize rsa
Melhorar a segurança de login SSH
Para verificar os ajustes opcionais do comando SSH, use o comando:
show ip ssh
Use o comando do modo de configuração global:
ip ssh time-out seconds 
para modificar o intervalo de tempo limite padrão de 120 segundos
Para configurar um número diferente de novas tentativas consecutivas de SSH, use 
o comando do modo de configuração global:
ip ssh authentication-retries integer.
Configure o SSH: 
 
Ative a versão 2 do SSH. 
Defina o número de tentativas de autenticação para 2. 
Defina o período de tempo limite do SSH de 1 minuto. 
Emita o comando final para sair do modo de configuração. 
 
R2(config)#ip ssh version 2 
R2(config)#ip ssh authentication-retries 2 
R2(config)#ip ssh time-out 60 
R2(config)#end
Conecte um roteador a um roteador habilitado para SSH
Acessando outro roteador:
Resumo Módulo 4 - Proteger o Acesso ao Dispositivo 16
R1# show ssh 
 
R2# ssh -l Bob 192.168.2.101 
 
Password: 
 
R1> 
 
R1# show ssh 
Connection Version Mode Encryption Hmac State Username 
0 2.0 IN aes128-cbc hmac-sha1 Session started Bob 
0 2.0 OUT aes128-cbc hmac-sha1 Session started Bob 
%No SSHv1 server connections running. 
R1#
Conecte um host a um roteador habilitado para SSH
💡 Conecte-se usando um cliente SSH em execução em um host, como 
mostrado nas quatro figuras a seguir. Exemplos desses clientes incluem 
PuTTY, OpenSSH e TeraTerm.