Resumo Módulo 5 - Atribuindo Funções administrativas - Segurança de Rede CISCO

Prévia do material em texto

Resumo Módulo 5 - Atribuindo Funções administrativas 1
5 ⃣
Resumo Módulo 5 - Atribuindo 
Funções administrativas
Configurar níveis de privilégio
Limitando a disponibilidade do comando
O Cisco IOS Software tem dois métodos de fornecer o acesso à 
infraestrutura:
→ nível de privilégio e CLI baseado em função
O acesso à CLI baseado em função fornece mais granularidade e controle.
o Cisco IOS Software CLI tem dois níveis de acesso aos comandos:
Modo EXEC do usuário (nível de privilégio 1 - Isso fornece os mais baixos 
privilégios de usuário do modo EXEC e permite somente comandos de nível 
de usuário disponíveis no prompt Router>.
Modo EXEC privilegiado (nível de privilégio 15 - Inclui todos os 
comandos de nível de ativação no prompt Router#.
Existem 16 níveis de privilégios no total
Nível 0 predefinido para privilégios de acesso no nível do usuário. 
Raramente usado, mas inclui cinco 
comandos: disable, enable, exit, help,e, logout.
Nível 1: O nível padrão para o início de uma sessão com o roteador alerta 
do roteador >. Um usuário não pode fazer alterações ou visualizar o 
arquivo de configuração em execução.
Níveis 2 14: pode ser personalizado para privilégios de nível de usuário. 
Comandos de níveis mais baixos podem ser movidos para outro nível mais 
alto, ou comandos de níveis mais altos podem ser movidos para baixo para 
um nível mais baixo.
Resumo Módulo 5 - Atribuindo Funções administrativas 2
Nível 15: Reservado para os privilégios do modo habilitado 
(comando enable). Os usuários podem alterar configurações e visualizar 
arquivos de configuração.
Para atribuir comandos a um nível de privilégio personalizado, use o comando 
do modo de configuração global privilege mostrado abaixo:
Router(config)# privilege mode {level level|reset} command
Configurando e Atribuindo Níveis de Privilégio
Para configurar um nível de privilégio com comandos específicos, use o:
privilege exec level level [command]
R1# conf t 
 R1(config)# !Level 5 and SUPPORT user configuration 
 R1(config)# privilege exec level 5 ping 
 R1(config)# enable algorithm-type scrypt secret level 5 cisco5 
 R1(config)# username SUPPORT privilege 5 algorithm-type scrypt secret cisco5 
 
 R1(config)# !Level 10 and JR-ADMIN user configuration 
 R1(config)# privilege exec level 10 reload 
 R1(config)# enable algorithm-type scrypt secret level 10 cisco10 
 R1(config)# username JR-ADMIN privilege 10 algorithm-type scrypt secret cisco10 
 
 R1(config)# !Level 15 and ADMIN user configuration 
 R1(config)# enable algorithm-type scrypt secret level 15 cisco123 
 R1(config)# username ADMIN privilege 15 algorithm-type scrypt secret cisco123
Resumo Módulo 5 - Atribuindo Funções administrativas 3
O nível de privilégio 5 possui acesso a todos os comandos disponíveis para 
o nível 1 e ao comando ping.
O nível de privilégio 10 possui acesso a todos os comandos disponíveis 
para o nível 5 e ao comando reload.
O nível de privilégio 15 é predefinido e não precisa de ser configurado 
explicitamente. Este nível de privilégio tem acesso a todos os comandos, 
incluindo visualizar e alterar a configuração.
Existem dois métodos para atribuir senhas aos diferentes níveis de privilégio:
Use o username para atribuir um nível de privilégio a um usuário específico. 
Use o comando enable secret para atribuir um nível de privilégio a uma senha 
específica do modo EXEC.
Limitações dos Níveis de Privilégio
O uso de níveis de privilégio tem suas limitações:
Não há controle de acesso a interfaces, portas, interfaces lógicas e slots 
específicos em um roteador.
Os comandos disponíveis em níveis de privilégios mais baixos são sempre 
executáveis em níveis mais altos.
Comandos especificamente definidos em um nível de privilégio mais alto 
não estão disponíveis para usuários com privilégios mais baixos. comandos
Atribuir um comando com várias palavras-chave permite o acesso a todos 
os comandos que usam essas palavras-chave. Por exemplo, permitir o 
acesso à show ip route permite ao usuário acessar todos os show e show 
ip.
Verificador de sintaxe - Configurar níveis de 
privilégio no R2
Configurar nível de privilégio 5
Use o comando privilege exec level para fornecer acesso ao ping.
Habilite uma senha secreta de nível 5 de cisco5 que é criptografada com o 
hashing de criptografia com o algorítimo do tipo scrypt.
Resumo Módulo 5 - Atribuindo Funções administrativas 4
Crie uma entrada de banco de dados local para um usuário 
chamado SUPPORT com um nível de privilégio de 5, criptografe a senha 
com o tipo 9 (algorítimo tipo scrypt), e defina a senha para Cisco5.
R2(config)#privilege exec level 5 ping 
R2(config)#enable algorithm-type scrypt secret level 5 cisco5 
R2(config)#username Support privilege 5 algorithm-type scrypt secret cisco5
Configurar nível de privilégio 10
Use o comando privilege exec level 10 reload para ter acesso ao reload.
Habilite uma senha secreta de nível 10 do Cisco10 que é criptografada com 
o algoritmo de hashing do tipo scrypt.
Crie uma entrada de banco de dados local para um usuário chamado Jr-
Admin com um nível de privilégio de 10, criptografe a senha com um 
algoritmo de hashing do tipo 9 (algoritmo tipo scrypt) e defina a senha 
como cisco10.
R2(config)#privilege exec level 10 reload 
R2(config)#enable algorithm-type scrypt secret level 10 cisco10 
R2(config)#username Jr-Admin privilege 10 algorithm-type scrypt secret cisco10
Configurar nível de privilégio 15
Habilite uma senha secreta de nível 15 de Cisco123 que é criptografada 
com o algoritmo de hashing tipo scrypt.
Crie uma entrada de banco de dados local para um usuário chamado 
Administrator com um nível de privilégio de 15, criptografe a senha com um 
algoritmo de hashing do tipo 9 (algoritmo tipo scrypt) e defina a senha 
para Cisco123.
Saia do modo de configuração.
R2(config)#enable algorithm-type scrypt secret level 15 cisco123 
R2(config)#username Admin privilege 15 algorithm-type scrypt secret cisco123 
R2(config)#exit 
R2#
Configurar CLI com base em funções
Resumo Módulo 5 - Atribuindo Funções administrativas 5
Acesso CLI baseado em função
💡 Esse recurso fornece acesso mais refinado e granular, controlando 
quais comandos estão disponíveis para funções específicas.
Segurança
O acesso CLI baseado em função aumenta a segurança do dispositivo 
definindo o conjunto de comandos CLI que são acessíveis por um usuário 
específico.
Disponibilidade
O acesso à CLI baseado em função impede a execução não intencional de 
comandos CLI por pessoal não autorizado e minimiza o tempo de inatividade.
Eficiência operacional
Os usuários veem somente os comandos CLI aplicáveis às portas e ao CLI a 
que têm o acesso. Consequentemente, o roteador parece ser menos complexo, 
e os comandos são mais fáceis de identificar ao usar o recurso de ajuda no 
dispositivo.
Exibições baseadas em função
💡 A CLI baseada em função fornece três tipos de pontos de vista que 
ditam quais comandos estão disponíveis:
Exibição Raiz
A exibição raiz tem os mesmos privilégios de acesso que um usuário que tem 
privilégios de nível 15.
Visualização CLI
uma visualização CLI não tem hierarquia de comando e nenhuma visão 
superior ou inferior.
Superview
Uma superview consiste em uma ou mais visualizações CLI.
Superviews têm várias características específicas:
Resumo Módulo 5 - Atribuindo Funções administrativas 6
Uma única visualização CLI pode ser compartilhada em várias 
superviews.
Os comandos não podem ser configurados para uma superview. Um 
administrador deve adicionar comandos à opinião CLI e adicionar essa 
opinião CLI ao superview.
Os usuários que são registrados em um superview podem alcançar 
todos os comandos que são configurados para alguns dos pontos de 
vista CLI que são parte do superview.
Cada superview tem uma senha usada para alternar entre superviews 
ou de uma visualização CLI a um superview.
A exclusão de um superview não suprime das visualizações CLI 
associadas. As visualizações CLI permanecem disponíveis para serematribuídas a outra superview
Configurar exibições baseadas em função
Antes que um administrador possa criar uma vista, o AAA deve ser permitido 
usando o comando:
 aaa new-model
Verificador de sintaxe - configurar visualizações em 
R2
CRIAR UMA VISUALIZAÇÃO
parser view NOMEDAVISUALIZAÇÃO
ATRIBUIR SENHA
secret cisco
Permitir que a visualização use todos os comandos EXEC que começam com 
Show
commands exec include show