Baixe o app para aproveitar ainda mais
Prévia do material em texto
Resumo Módulo 4 - Proteger o Acesso ao Dispositivo 1 4 ⃣ Resumo Módulo 4 - Proteger o Acesso ao Dispositivo Proteja o roteador de borda Proteger a infraestrutura de rede 💡 A proteção da infraestrutura de rede é fundamental para a segurança geral da rede. A infraestrutura de rede inclui roteadores, switches, servidores, endpoints e outros dispositivos. Abordagens de Segurança Roteador de Borda 💡 A implementação do roteador de borda varia dependendo do tamanho da organização e da complexidade do projeto de rede necessário. Topologias simplificadas para as três abordagens são mostradas na figura: Resumo Módulo 4 - Proteger o Acesso ao Dispositivo 2 Abordagem de roteador único 💡 Isso é mais comumente implantado em implementações de sites menores, como filiais e pequenos escritórios, escritórios domésticos SOHO. Abordagem de defesa em profundidade Resumo Módulo 4 - Proteger o Acesso ao Dispositivo 3 💡 Uma abordagem de defesa em profundidade é mais segura do que a abordagem de roteador único. Ele usa várias camadas de segurança antes do tráfego que entra na LAN protegida. Há três camadas primárias de defesa: o roteador de borda, o firewall e um roteador interno que se conecte à LAN protegida. O roteador de borda atua como a primeira linha de defesa e é conhecido como roteador de triagem. Depois de executar a filtragem de tráfego inicial, o roteador de borda passa todas as conexões que são pretendidas para a LAN interna para a segunda linha de defesa, que é o firewall. Por padrão, o firewall nega o início de conexões das redes externas (não confiáveis) para a rede interna (confiável). Outras ferramentas de segurança, como sistemas de prevenção de intrusões IPSs), dispositivos de segurança da Web (servidores proxy) e dispositivos de segurança de e-mail (filtragem de spam) também podem ser implementadas. Abordagem DMZ 💡 A DMZ pode ser usada para servidores que devem ser acessíveis a partir do Internet ou de alguma outra rede externa. Três áreas de segurança do roteador Segurança Física Coloque o roteador e os dispositivos físicos que se conectam a ele em uma sala trancada segura que é acessível apenas ao pessoal autorizado, está livre de interferência eletrostática ou magnética, tem supressão de fogo e tem controles de temperatura e umidade. Instale uma fonte de alimentação ininterrupta UPS ou gerador de energia de backup a diesel. Use fontes de alimentação redundantes em dispositivos de rede, se possível. Isso reduz a possibilidade de uma falha de rede de perda de energia ou equipamentos de energia com falha. Software de sistema operacional Equipar roteadores com a quantidade máxima de memória possível. A disponibilidade de memória pode ajudar a reduzir os riscos para a rede de alguns ataques de negação de serviço DoS enquanto suporta a mais ampla gama de serviços de segurança. Resumo Módulo 4 - Proteger o Acesso ao Dispositivo 4 Use a versão mais recente e estável do sistema operacional que atenda às especificações de recurso do roteador ou dispositivo de rede. Os recursos de segurança e criptografia em um sistema operacional são aprimorados e atualizados ao longo do tempo, o que torna fundamental ter a versão mais atualizada. Mantenha uma cópia segura das imagens do sistema operacional do roteador e dos arquivos de configuração do roteador como backups. Endurecimento do roteador Controle administrativo seguro. Certifique-se de que somente o pessoal autorizado tenha acesso e que seu nível de acesso seja controlado. Desativar portas e interfaces não utilizadas. Reduza o número de maneiras que um dispositivo pode ser acessado. Desativar serviços desnecessários. Semelhante a muitos computadores, um roteador tem serviços que são ativados por padrão. Alguns desses serviços são desnecessários e podem ser usados por um invasor para reunir informações sobre o roteador e a rede. Esta informação pode então ser usada em um ataque de exploração. Acesso administrativo seguro Restringir a acessibilidade do dispositivo - Limite as portas acessíveis, restrinja os comunicadores permitidos e restrinja os métodos permitidos de acesso. Registro e conta para todos os acessos - Grave qualquer pessoa que acessa um dispositivo, o que aconteceu durante o acesso e quando o acesso ocorreu para fins de auditoria. Autenticar acesso - Certifique-se de que o acesso seja concedido somente a usuários, grupos e serviços autenticados. Limite o número de tentativas de login com falha e o tempo permitido entre logins. Autorizar ações - Restringir as ações e exibições permitidas por qualquer usuário, grupo ou serviço específico. Apresentar notificação legal - Exibir um aviso legal, que deve ser desenvolvido com consultor jurídico da empresa, para diferentes tipos de acesso ao dispositivo. Garanta a confidencialidade dos dados - Proteja os dados armazenados localmente e confidenciais de serem visualizados e copiados. Considere a Resumo Módulo 4 - Proteger o Acesso ao Dispositivo 5 vulnerabilidade dos dados em trânsito em um canal de comunicação para sniffing, sequestro de sessão e ataques de man-in-the-middle MITM. Seguro acesso local e remoto Acesso local - Todos os dispositivos de infraestrutura de rede podem ser acessados localmente. O acesso local a um roteador geralmente requer uma conexão direta a uma porta de console no roteador Cisco e usando um computador que esteja executando o software de emulação de terminal. Acesso remoto - Os administradores também podem acessar dispositivos de infraestrutura remotamente, como mostrado na figura. Embora a opção de porta auxiliar esteja disponível, o método de acesso remoto mais comum envolve permitir conexões Telnet, SSH, HTTP, HTTPS ou SNMP ao roteador a partir de um computador. O computador pode estar na rede local ou em uma rede remota. No entanto, se a conectividade de rede ao dispositivo estiver inativa, a única maneira de acessá-lo pôde ser sobre linhas telefônicas. Precauções devem ser tomadas ao acessar a rede remotamente: Resumo Módulo 4 - Proteger o Acesso ao Dispositivo 6 Criptografe todo o tráfego entre o computador administrador e o roteador. Por exemplo, em vez de usar Telnet, use SSH versão 2; ou em vez de usar HTTP, use HTTPS. Estabelecer uma rede de gestão dedicada. A rede de gerenciamento deve incluir somente hosts de administração identificados e conexões a uma interface dedicada no roteador. O acesso a esta rede pode ser rigorosamente controlado. Configurar um filtro de pacote de informação para permitir que somente os anfitriões de administração identificados e os protocolos preferidos alcançam o roteador. Por exemplo, permita que somente solicitações SSH do endereço IP de um host de administração iniciem uma conexão com o Roteadores na rede. Configure e estabeleça uma conexão VPN à rede local antes de se conectar a uma interface de gerenciamento de roteador. Configurar o acesso administrativo seguro Senhas Use um comprimento de senha de pelo menos oito caracteres, de preferência 10 ou mais caracteres. Uma senha mais longa é uma senha mais segura. Use senhas complexas. Inclua uma combinação de letras maiúsculas e minúsculas, números, símbolos e espaços, se permitido. Evite as senhas com base em repetição, palavras comuns de dicionário, sequências de letras ou números, nomes de usuário, nomes de parentes ou de animais de estimação, informações biográficas, como datas de nascimento, números de identificação, nomes de antepassados ou outras informações facilmente identificáveis. Deliberadamente, soletre errado uma senha. Por exemplo, Smith = Smyth = 5mYth ou Security = 5ecur1ty. Altere as senhas periodicamente. Se uma senha for inconscientemente comprometida, a janela de oportunidade para o agente de ameaças usar a senha é limitada. Não anote as senhas e muito menos as deixe em locais óbvios, como em sua mesa ou no monitor. Resumo Módulo 4 - Proteger o Acesso ao Dispositivo 7 💡 Nos roteadores Cisco, os espaços à esquerdasão ignorados em senhas, mas os espaços após o primeiro caractere não são ignorados. Gerenciador de senha Use um gerenciador de senha para proteger senhas para sua atividade on-line da Internet. Considerada a melhor prática para proteger as senhas, o Gerenciador de Senhas gera automaticamente senhas complexas para você e as inserirá automaticamente quando você acessar esses sites. Autenticação multifator Use a autenticação multi-fator quando disponível. Isso significa que a autenticação requer dois ou mais meios independentes de verificação. Configurar Senhas Sw-Floor-1# configure terminal Sw-Floor-1(config)# line console 0 Sw-Floor-1(config-line)# password cisco Sw-Floor-1(config-line)# login Sw-Floor-1(config-line)# end Sw-Floor-1# → Para proteger o acesso EXEC privilegiado, use o comando de configuração global enable secret password , conforme mostrado: Sw-Floor-1# configure terminal Sw-Floor-1(config)# enable secret class Sw-Floor-1(config)# exit Sw-Floor-1# → Um exemplo de segurança das linhas VTY em um switch é mostrado: Sw-Floor-1# configure terminal Sw-Floor-1(config)# 1(config)# line vty 0 15 Sw-Floor-1(config-line)# password cisco Sw-Floor-1(config-line)# login Sw-Floor-1(config-line)# end Sw-Floor-1# Criptografar as Senhas - Criptografar todas as senhas Criptografando todas as senhas de texto sem formatação; Resumo Módulo 4 - Proteger o Acesso ao Dispositivo 8 Definindo um tamanho mínimo aceitável de senha; Detecção de ataques de adivinhação de senha de força bruta; Desativando um acesso de modo EXEC privilegiado inativo após um período especificado. 💡 Os arquivos startup-config e running-config exibem a maioria das senhas em texto simples. Para criptografar todas as senhas de texto simples, use o comando de configuração global service password-encryption conforme mostrado no exemplo. Sw-Floor-1# configure terminal Sw-Floor-1(config)# service password-encryption Sw-Floor-1(config)# O propósito deste comando é proibir que indivíduos não autorizados vejam as senhas no arquivo de configuração. Segurança de Senha Adicional Para garantir que todas as senhas configuradas são um mínimo de um comprimento especificado, use o comando security passwords min-length Os atores ameaçadores podem usar software de quebra de senha para realizar um ataque de força bruta em um dispositivo de rede. Este ataque tenta continuamente adivinhar as senhas válidas até que uma funcione. Use o comando de configuração global: → login block-for seconds attempts number within seconds Por padrão, os roteadores Cisco farão logout de uma sessão EXEC após 10 minutos de inatividade. No entanto, você pode reduzir essa configuração usando o comando de configuração de linha: exec-timeout minutes seconds Esse comando pode ser aplicado on-line console, auxiliares e linhas vty. Exemplo completo os seguintes comandos configuram: Todas as senhas sem texto são criptografadas. Novas senhas configuradas devem ter oito caracteres ou mais. Resumo Módulo 4 - Proteger o Acesso ao Dispositivo 9 Se houver mais de três tentativas de login com falhas no prazo de 60 segundos, basta bloquear as linhas por 120 segundos. Defina o roteador para desconectar automaticamente um usuário inativo em uma linha vty se a linha estiver ociosa por 5 minutos e 30 segundos. R1(config)# service password-encryption R1(config)# security passwords min-length 8 R1(config)# login block-for 120 attempts 3 within 60 R1(config)# line vty 0 4 R1(config-line)# password cisco R1(config-line)# exec-timeout 5 30 R1(config-line)# transport input ssh R1(config-line)# end R1# R1# show running-config | section line vty line vty 0 4 password 7 094F471A1A0A exec-timeout 5 30 login transport input ssh R1# Algoritmos de senha secreta 💡 Os hashes MD5 não são mais considerados seguros porque os invasores podem reconstruir certificados válidos. Portanto, agora é recomendável que você configure todas as senhas secretas usando senhas tipo 8 ou tipo 9 , usam a criptografia SHA. R1(config)# enable secret cisco12345 R1(config)# do show run | include enable enable secret 5 $1$cam7$99EfzkvmJ5h1gEbryLVRy. R1(config)# enable secret ? 0 Specifies an UNENCRYPTED password will follow 5 Specifies a MD5 HASHED secret will follow 8 Specifies a PBKDF2 HASHED secret will follow 9 Specifies a SCRYPT HASHED secret will follow LINE The UNENCRYPTED (cleartext) 'enable' secret level Set exec level password R1(config)# line con 0 R1(config-line)# password ? 0 Specifies an UNENCRYPTED password will follow 7 Specifies a HIDDEN password will follow LINE The UNENCRYPTED (cleartext) line password R1(config-line)# Resumo Módulo 4 - Proteger o Acesso ao Dispositivo 10 Para inserir uma senha não criptografada, use a sintaxe do comando enable algorithm-type: Router(config)# enable algorithm-type { md5 | scrypt | sha256 | secret } unencrypted password Exemplo: R1(config)# enable algorithm-type ? md5 Encode the password using the MD5 algorithm scrypt Encode the password using the SCRYPT hashing algorithm sha256 Encode the password using the PBKDF2 hashing algorithm R1(config)# enable algorithm-type scrypt ? secret Assign the privileged level secret (MAX of 25 characters) R1(config)# enable algorithm-type scrypt secret cisco12345 R1(config)# do show run | include enable enable secret 9 $9$Gyk9x3Ve4c0n5k$8.cR3yReBduzHymEyCOcErgPKW8MSKokRN 9KjEg4WQA R1(config)# Adicionando um usuário Router(config)# username name algorithm-type { md5 | scrypt | sha256 | secret } unencrypte d password R1(config)# username Bob secret cisco54321 R1(config)# do show run | include username username Bob privilege 15 secret 5 $1$lmBB$UjOC6JA4f1WgI3/La8wGz/ R1(config)# R1(config)# username Bob algorithm-type scrypt secret cisco54321 R1(config)# do show run | include username username Bob privilege 15 secret 9 $9$9FkS.zTuLs89pk$v5P2y.M6reR18lS 92moKHdFauk8joK0xHICXxGDuurs R1(config)# Resumo Módulo 4 - Proteger o Acesso ao Dispositivo 11 Configurar segurança aprimorada para logins virtuais Melhorar o processo de login 💡 Os banners são desativados por padrão e devem estar explicitamente ativados. Use o comando do modo de configuração global banner para especificar as mensagens apropriadas. Router(config)# banner { motd | exec | login } delimiter message delimiter Banners protegem a organização de uma perspectiva legal. Escolher o texto apropriado para colocar em mensagens de banner é importante e deve ser revisto por advogado legal antes de ser colocado em roteadores de rede. Configurar recursos de aprimoramento de login Os comandos de aprimoramentos de login do Cisco IOS, que são mostrados abaixo, aumentam a segurança das conexões de login virtuais: Router(config)# login block-for seconds attempts tries within seconds Router(config)# login quiet-mode access-class {acl-name | acl-number} Router(config)# login delay seconds Router(config)# login on-success log [every login] Router(config)# login on-failure log [every login] → O comando login block-for pode se defender contra ataques DoS desativando logins após um número especificado de tentativas de login com falha. → O comando login quiet-mode mapeia a uma ACL que identifique os hosts permitidos. Isto assegura-se de que somente os anfitriões autorizados possam tentar fazer login no roteador. → O comando login delay especifica um número de segundos que o usuário deve esperar entre tentativas de login mal sucedidas. → Os comandos login on-success e login on-failure registram tentativas de login bem-sucedidas e malsucedidas. Resumo Módulo 4 - Proteger o Acesso ao Dispositivo 12 💡 Esses aprimoramentos de login não se aplicam a conexões de console. Ao lidar com conexões de console, supõe-se que somente o pessoal autorizado tenha acesso físico aos dispositivos. Ativar aprimoramentos de login 💡 Para ajudar um dispositivoCisco IOS a fornecer detecção de DoS, use o comando login block-for Especificamente, o comando login block-for monitora a atividade do dispositivo de login e opera em dois modos: Modo normal - Isso também é conhecido como modo de relógio. O roteador mantém a contagem do número de tentativas de login falhadas dentro de uma quantidade de tempo identificada. Modo silencioso - Este também é conhecido como o período de silêncio. Se o número de logins com falha exceder o limite configurado, todas as tentativas de login usando telnet, ssh e http são negadas para o tempo especificado no comando login block-for. 💡 Quando o modo silencioso está ativado, todas as tentativas de login, incluindo acesso administrativo válido, não são permitidas. o comando login quiet-mode access-class. Somente os anfitriões identificados no ACL têm o acesso ao dispositivo durante o modo silencioso. O exemplo mostra uma configuração que use uma ACL que seja nomeada PERMIT ADMIN. Os hosts que combinam as condições PERMITADMIN estão isentos do modo silencioso: R1(config)# ip access-list standard PERMIT-ADMIN R1(config-std-nacl)# remark Permit only Administrative hosts R1(config-std-nacl)# permit 192.168.10.10 R1(config-std-nacl)# permit 192.168.11.10 R1(config-std-nacl)# exit R1(config)# login quiet-mode access-class PERMIT-ADMIN Para tornar mais difícil para um invasor, o tempo de atraso entre as tentativas de login pode ser aumentado usando o comando login delay seconds Resumo Módulo 4 - Proteger o Acesso ao Dispositivo 13 Os comandos: login block-for login quiet-mode access-class login delay ajudam a bloquear tentativas de login falhadas por um período limitado de tempo Tentativas de falha de log 💡 Há três comandos que podem ser configurados para ajudar um administrador a detectar um ataque de senha Os dois primeiros comandos, login on-success log e login on-failure log, geram mensagens do syslog para tentativas de login bem-sucedidas e mal sucedidas. O número de tentativas de login antes de uma mensagem de registro é gerada pode ser especificada usando a sintaxe [every login], onde o valor padrão login é 1 tentativa. O intervalo válido é de 1 a 65.535. Router(config)# login on-success log [every login] Router(config)# login on-failure log [every login] Como uma alternativa ao comando login on-failure log, o comando security authentication failure rate pode ser configurado para gerar uma mensagem de log quando a taxa de falha de login é excedida Router(config)# security authentication failure rate threshold-rate log → Use o comando show login para verificar as configurações do comando login block-for e o modo atual. O comando show login failures exibe informações adicionais sobre as tentativas malsucedidas, como o endereço IP de origem das tentativas de login malsucedidas. Configurar SSH Ativação do SSH Resumo Módulo 4 - Proteger o Acesso ao Dispositivo 14 💡 Os dados contidos em um pacote Telnet são transmitidos sem criptografia. Por esse motivo, é altamente recomendável ativar o Secure Shell SSH em dispositivos para acesso remoto seguro É possível configurar um dispositivo Cisco para suportar SSH usando as seis etapas a seguir: Etapa 1. Configure a unique device hostname. Um dispositivo deve ter um nome de host exclusivo diferente do padrão. Etapa 2. Configure o nome do domínio IP. Configure o nome de domínio IP da rede usando o comando global de configuração do modo ip domain name name. No exemplo, o roteador R1 é configurado no domínio Span.com. Esta informação é usada junto com o valor do bit especificado no comando crypto key generate rsa general-keys modulus para criar uma chave de criptografia Etapa 3. Gerar uma chave para criptografar o tráfego do SSH. O SSH criptografa o tráfego entre a origem e o destino. No entanto, para fazer isso, uma chave de autenticação exclusiva deve ser gerada usando o comando de configuração global crypto key generate rsa general-keys modulus bits. O módulo bits determina o tamanho da chave e pode ser configurado de 360 bits a 2048 bits. Quanto maior o valor de bit, mais segura a chave. No entanto, valores de bits maiores também levam mais tempo para criptografar e descriptografar informações. O tamanho mínimo recomendado do módulo é 1024 bits. Etapa 4. Verifique ou crie uma entrada de banco de dados local. Crie uma entrada de nome de usuário do banco de dados local usando o username comando de configuração global. No exemplo, o parâmetro secret é usado para que a senha seja criptografada usando MD5. Etapa 5. Autenticar contra o banco de dados local. Use o comando de configuração de login local linha para autenticar a linha vty no banco de dados local. Etapa 6. Habilite a entrada vty nas sessões SSH. Por padrão, nenhuma sessão de entrada é permitida em linhas vty. Você pode especificar vários protocolos de entrada, incluindo Telnet e SSH usando o comando transport input {ssh | telnet}. → Exemplos: Router# configure terminal Router(config)# hostname R1 R1(config)# ip domain-name span.com R1(config)# crypto key generate rsa general-keys modulus 1024 The name for the keys will be: Rl.span.com % The key modulus size is 1024 bits % Generating 1024 bit RSA keys, keys will be non-exportable...[OK] Resumo Módulo 4 - Proteger o Acesso ao Dispositivo 15 Dec 13 16:19:12.079: %SSH-5-ENABLED: SSH 1.99 has been enabled R1(config)# R1(config)# username Bob secret cisco R1(config)# line vty 0 4 R1(config-line)# login local R1(config-line)# transport input ssh R1(config-line)# exit R1(config)# → Para verificar o SSH e exibir as chaves geradas, use o comando show crypto key mypubkey rsa no modo EXEC privilegiado. Se houver pares de chaves existentes, é recomendável que eles sejam substituídos usando o comando crypto key zeroize rsa Melhorar a segurança de login SSH Para verificar os ajustes opcionais do comando SSH, use o comando: show ip ssh Use o comando do modo de configuração global: ip ssh time-out seconds para modificar o intervalo de tempo limite padrão de 120 segundos Para configurar um número diferente de novas tentativas consecutivas de SSH, use o comando do modo de configuração global: ip ssh authentication-retries integer. Configure o SSH: Ative a versão 2 do SSH. Defina o número de tentativas de autenticação para 2. Defina o período de tempo limite do SSH de 1 minuto. Emita o comando final para sair do modo de configuração. R2(config)#ip ssh version 2 R2(config)#ip ssh authentication-retries 2 R2(config)#ip ssh time-out 60 R2(config)#end Conecte um roteador a um roteador habilitado para SSH Acessando outro roteador: Resumo Módulo 4 - Proteger o Acesso ao Dispositivo 16 R1# show ssh R2# ssh -l Bob 192.168.2.101 Password: R1> R1# show ssh Connection Version Mode Encryption Hmac State Username 0 2.0 IN aes128-cbc hmac-sha1 Session started Bob 0 2.0 OUT aes128-cbc hmac-sha1 Session started Bob %No SSHv1 server connections running. R1# Conecte um host a um roteador habilitado para SSH 💡 Conecte-se usando um cliente SSH em execução em um host, como mostrado nas quatro figuras a seguir. Exemplos desses clientes incluem PuTTY, OpenSSH e TeraTerm.
Compartilhar