CCNA Security

Captulo 2
Dispositivos de Rede Seguros
Objetivos
Assegurar a instalao fsica e o acesso (administrativo)
para roteadores Cisco com base em diferentes requisitos
de rede, utilizando a CLI e SDM
Configurar funes administrativas usando os nveis de
privilgio e CLI baseada em funo
Aplicar os recursos de gerenciamento e comunicao de
syslog, SNMP, SSH, e NTP
Examinar as configuraes do roteador com a funo de
Auditoria de Segurana da Cisco SDM, e tornar o roteador
e a rede mais seguros usando o comando auto secure ou
o recurso One-Step Lockdown do Cisco SDM
Roteador de Borda
ltimo roteador entre a
rede interna e uma rede
no confivel como a
Internet
Executa funes como a
primeira e a ltima linha
de defesa
(qual a referncia?)
Implementa as aes de
segurana baseados em polticas de segurana da
organizao
Proteo de permetro
A implementao da segurana da rede envolvendo o
roteador de borda depender do tamanho e da
complexidade da rede.
A implementao da proteo do permetro poder ser
feita de trs modos:
LAN
Router 1
(R1)
Internet
LAN
R1
Internet
Firewall
LAN
R1
Internet
Firewall
DMZ
Defesa em profunidade
Utilizando DMZ
Roteador nico
Proteo de permetro
Roteador nico
Um nico roteador
conecta a rede interna
com a Internet, onde
todas as polticas de
segurana so configuradas
Esta implementao utilizada para redes menores, tal
como a filial da empresa ou um colaborador em Home
Office
Pode-se utilizar as funcionalidades de segurana da linha
de roteadores ISR, que podem ser ativadas sem prejuzo
das funes de roteamento
LAN 1
192.168.2.0
Router 1
Internet
Proteo de permetro
Defesa em Profundidade
O roteador de borda
atua como uma primeira
linha de defesa
A segunda linha de
defesa ser implementada pelo Firewall
O roteador ter um conjunto de regras determinando que
trfego ser permitido ou negado
O firewall far a monitorao do estado das conexes e
atuar como um ponto de verificao (checkpoint) do
trfego

LAN
R1
Internet
Firewall
Proteo de permetro
DMZ (DeMilitarized Zone)
Uma variao da
implementao da
segurana em
profundidade a
criao de uma rea intermediria entre a LAN e a WAN,
que a DMZ
Nesta rea estaro os servios que podero ser
acessados externamente, tal como o servidor web (http),
cuja origem de solicitao do trfego ser desconhecido
Uma variao de topologia a utilizao de dois
roteadores, com mais um roteador entre o Firewall e a LAN
LAN
R1
Internet
Firewall
DMZ
Segurana do roteador de borda
A primeira etapa na
implementao da
segurana da rede
a segurana do
rotador de borda que
inclui a Segurana Fsica,
Segurana do Sistema Operacional e Rigidez na
Configurao

Segurana Fsica
Colocar o roteador em uma sala fechada, trancada
Instale uma fonte de alimentao ininterrupta (redundncia)
Segurana do roteador de borda
Segurana do sistema operacional
Configurar o roteador com o mximo de memria possvel
Utilizar a ltima verso estvel que atenda aos requisitos
de rede
Manter uma cpia do OS e do arquivo de configurao
como backup

Rigidez na configurao do Roteador
Assegurar o controle administrativo (apenas pessoal
autorizado)
Desabilitar portas e interfaces no utilizadas
Desativar servios desnecessrios
Acesso Autorizado
As aes para assegurar o acesso administrativo
a quem de direito so:
Restringir o acesso ao dispositivo: limitar as
portas e os mtodos de acesso
Gravar o Log e contabilizao para todos os
acessos: quem acessou, o que fez e quando
Autenticar o acesso, limitando o nmero de
tentativas e tempo entre elas
Autorizar aes: restringir as aes e
visualizae de acordo com o perfil
Apresentar notificao judicial
Assegurar a confidencialidade dos dados
Acesso ao roteador
As possibilidades de acesso ao roteador so:
Acesso Local atravs da console
Acesso Remoto usando vty
Acesso ao roteador
Para garantir a segurana no acesso remoto ao roteador
necessrio:

Criptografar todo o
trfego entre o
computador do
administrador e o
roteador - em vez de
usar Telnet usar o SSH,
em vez de usar HTTP
usar o HTTPS

Acesso ao roteador
Usar uma rede de
gerenciamento dedicado
a rede de gerncia deve
incluir estaes claramente
identificadas, com
restries de conexo
Configurar um filtro de
pacotes - apenas as
estaes devidamente
identificadas e nos
protocolos pre-definidos
podem acessar o roteador

Acesso Administrativo
Para garantir a segurana no acesso administrativo deve-se:
Usar senhas com 10 ou mais caracteres quanto
maior, melhor
Elaborar senhas complexas - misturar letras
maisculas e minsculas, nmeros, smbolos
e espaos
Evitar senhas baseadas em repetio, palavras do
dicionrio, carta ou sequncias de nmeros, nomes, nomes
de parente ou animal de estimao, informao biogrfica
(tais como datas de nascimento, nmeros de identificao,
os nomes dos antepassados, etc.) ou outras palavras
facilmente identificveis
Acesso Administrativo
Segurana no acesso administrativo (continuao):

Deliberadamente alterar a ortografia
de uma senha por exemplo
Smith = 5mYth ou Segurana = 5ecur1ty
Alterar as senhas com freqncia - uma senha
comprometida apresenta uma janela de oportunidade
No escrever senhas para baixo ou deix-las em locais
bvios como a sobre a mesa ou no monitor
Acesso ao Roteador (Senhas)
Configurando um acesso seguro
Para incrementar a segurana de senhas recomendvel:
Definir um nmero mnimo de caracteres
Desativar as conexes no ativas
Criptografar todas as senhas
Tamanho mnimo de caracteres para a senha:
security passwords min-length

Desativar conexes sem uso (por default - 10 minutos)







Criptografar todas as senhas
service password-encryption
Configurando um acesso seguro
Como a criptografia implementada pelo comando service
password-encryption pode ser quebrada recomendvel
utilizar o comando enable secret
Configurando um acesso seguro
Outro elemento de segurana a autenticao
Podemos ter uma lista de usurios e senhas em cada
roteador, ou em um banco de dados externo
As duas formas para criar a conta e senha de acesso so:
username nome password senha
username nome secret senha
O comando username secret mais seguro porque usa um
algoritmo mais forte (MD5) para criptografar as senhas
O comando username password usa um algoritmo do tipo 7,
o mesmo usado pelo comando de criptografia de senha
service password-encryption
Configurando conta e senha
A sintaxe do comando username name secret password a
seguinte:
Configurando conta e senha
Configurando conta e senha
Uma das formas de ataque (dictionary attack) inundar o
dispositivo com inmeras tentativas de combinaes de
usurio e senha para tentar obter acesso ao dispositivo
O roteador dever
estar apto a detectar e
prevenir este tipo de
ataque
Segurana para login vty
Para configurar a segurana para o acesso remoto (vty)
deve-se configurar os seguintes parmetros:
Intervalo de tempo entre sucessivas tentativas de login
Desativao do login sob suspeita de ataque
Gerao de mensagens de log para a deteco de
login
Estes parmetros no se aplicam ao acesso via console
Presume-se que apenas o pessoal autorizado ter o
acesso fsico ao roteador
A autenticao nas vty deve ser configurada com usurio
e senha, pois se for configurada apenas com senha as
funcionalidades de segurana no estaro habilitadas
Segurana para login vty
Os comandos para configurar o acesso seguro vty so:

Router# configure terminal
Router(config)# login block-for seconds attempts tries within seconds
Router(config)# login quiet-mode access-class {acl-name | acl-number}
Router(config)# login delay seconds
Router(config)# login on-failure log [every login]
Router(config)# login on-success log [every login]
Segurana adicional para login vty
Segurana adicional para login vty
Exemplo de configurao de segurana para o acesso
remoto:
Segurana adicional para login vty
Deatalhamento dos comandos de login:
O comando login block-for ir habilitar os recursos de
segurana para o acesso remoto (login), permitindo o
monitoramento do dispositivo
Ao habilitarmos esta funo, o roteador ir operar em um
dos dois modos abaixo:
Normal mode (watch mode) - O roteador mantm a
contagem do nmero de tentativas de login em um
determinado tempo
Quiet-mode (quiet period) - Se o nmero de logins que
falharam exceder o limite configurado, todas as
tentativas de login usando Telnet, SSH e HTTP so
negados
Segurana adicional para login vty
Segurana adicional para login vty
Para que seja possvel o acesso ao roteador, quando este
estiver no Quiet-mode, necessria a configurao de
uma ACL para definir a permisso de acesso
Os parmetros do comando login, para fins de controle dos
acessos realizados, permitem duas situaes:
login on-failure log [every login] gera mensagens de log
para cada login com falha
login on-success log [every login] gera mensagens de log
para cada login com sucesso
Segurana adicional para login vty
show login
Com o comando show login possvel visualizar os
parmetros de segurana de login e tentativas realizadas
Exemplo de ataque
Exemplo de ataque
Exemplo de ataque
Lab Configurando Segurana na VTY
Configurar os roteadores conforme os dados abaixo:
R1: usurio Admin / senha Adm123
R2: usurio Admin / senha Adm234
Configurar o bloqueio por 30 segundos aps 4 tentativas
em um tempo menor do que 20 segundos




Testar o acesso remoto com a senha cisco e verificar o
bloqueio nos dois roteadores
R1 R2
.1
.2
10.10.10.0/24
Mensagens de BANNER
Os Banners so desabilitados por default e precisam ser
explicitamente habilitados

So quatro os parmetros/variveis que podem ser utilizados:
$(hostname) Apresenta o hostname do roteador
$(domain) - Apresenta o nome do domnio do roteador
$(line) Apresenta o nmero
da linha vty ou o
tty (asynchronous)
$(line-desc) Apresenta
uma descrio que
anexada a linha
R1(config)# banner {exec | incoming | login | motd | slip-ppp} d message d
Utilizando o SSH
O acesso remoto implementado usualmente atravs
de Telnet (porta 23 do TCP)
O Telnet transporta a informao em texto claro, pois
foi desenvolvido em uma poca em que no havia
tanta preocupao com a segurana
Com a captura das informaes na rede, e utilizando
um analisador de protocolo, possvel obter as
informaes de login e senha
Por este motivo, recomendvel o uso do SSH para o
acesso remoto
Utilizando Telnet
No exemplo abaixo temos a captura da sesso Telnet
iniciada pelo administrador para o roteador 192.168.2.7
Utilizando Telnet
Ao analisar o pacote transmitido, pode-se identificar os
dados digitados, que so:
Username: Bob
Password: cisco123
Utilizando o SSH
Mesmo utilizando-se o SSH o Hacker poder capturar o
trfego e identificar a sesso SSH
Utilizando o SSH
Porm, ao utilizar a anlise do trfego, o contedo
estar criptografado, no permitindo a anlise dos
dados trafegados
Configurando o SSH
Os passos preliminares para configurar o SSH so:
Certificar-se que os roteadores de destino esto com o
IOS verso 12.1(1)T ou posterior para suporte a SSH
Assegurar que cada um dos roteadores de destino tem
um nome de host nico
Assegurar que cada um dos roteadores alvo est usando
o nome de domnio correto da rede
Certifique-se que os roteadores de destino esto
configurados para a autenticao local ou para
Autenticao, Autorizao e Auditoria (AAA) de nome de
usurio ou senha de autenticao, ou ambos. Isso
obrigatrio para uma conexo de roteador a roteador SSH
Configurando o SSH
1. Configurar o nome do domnio IP
2. Gerar as chaves secretas (one-way)
3. Verificar ou criar uma entrada de banco de dados local
4. Ativar a VTY para receber sesses SSH

Configurando o SSH
Os comandos opcionais da configurao do SSH so:
ip ssh version {1 | 2} - Verso do SSH
ip ssh time-out seconds - Tempo de expirao da sesso
ip ssh authentication-retries integer - Nmero de tentativas
Configurando o SSH (Router to router)
O roteador Cisco poder atuar como servidor ou como
cliente SSH
Para a conexo entre roteadores basta utilizar o
comando ssh, com usurio e IP de destino
Configurando o SSH (Router to router)
As sesses ativas podem ser vistas com o comando show ssh
Lab - Configurando o SSH
Configurar a rede e o acesso utilizando o SSH, conforme
os dados abaixo:
R1: usurio Admin / senha Adm123
R2: usurio Admin / senha Adm234




Testar o acesso remoto de R1 para R2 e de R2 para
R1, utilizando SSH
R1 R2
.1
.2
10.10.10.0/24
Configurando o SSH (Host to router)
Para a conexo de um host com o roteador, necessrio um
aplicativo, tal como PuTTY, OpenSSH, ou TeraTerm
Configurando Nveis de Privilgio
O IOS da Cisco tem dois nveis de privilgio:
1. EXEC de usurio (nvel 1) - Oferece o menor privilgio
ao usurio e permite o modo de comandos apenas em
nvel de usurio disponvel no prompt do roteador >
2. EXEC privilegiada (nvel 15) - Inclui todos os
comandos de ativar o nvel no roteador prompt #
Alm destes dois nveis, em muitos casos necessrio
um nvel de controle de acesso mais detalhado
Configurando Nveis de Privilgio
No exemplo abaixo, temos dois nveis diferentes de acesso,
mas com comandos que pertencem ao EXEC privilegiado
Administrador (Segurana):
Configurar AAA
Comandos show
Configurar ACL
Configurar firewall
Administrador (WAN):
Configurar Roteamento
Comandos show
Configurar interfaces
Configurando Nveis de Privilgio
Desde o IOS Release 10.3, um administrador pode
configurar vrios nveis de privilgio
H 16 nveis no total, sendo os nveis 0, 1 e 15 com
configuraes predefinidas:
Nvel 0: predefinido para privilgios de acesso em
nvel de usurio. Raramente utilizado, inclui cinco
comandos: disable, enable, exit, help e logout
Nvel 1: O nvel padro para o login com o roteador,
prompt >. Um usurio no pode fazer quaisquer
alteraes ou ler o arquivo de configurao atual
Configurando Nveis de Privilgio
Nveis de privilgio (continuao):
Nveis 2 -14: Podem ser personalizados conforme
necessidade, comandos de nveis mais baixos podem
ser movidos para outro nvel mais elevado ou
comandos de nveis mais altos pode ser movido para
baixo para um nvel inferior
Nvel 15: reservado para o modo de permitir
privilgios (comando enable). Os usurios podem
alterar as configuraes e arquivos de configurao
de exibio
Configurando Nveis de Privilgio
A sintaxe para o comando para configurao dos nveis
de privilgio :
Configurando Nveis de Privilgio
No exemplo abaixo quatro contas de usurios foram criadas:






USER - nvel de acesso normal - Nvel 1
SUPPORT nvel de acesso 5 com o comando ping
JR-ADMIN - com os mesmos privilgios da conta SUPPORT,
alm do comando reload
ADMIN com todos os comandos do EXEC privilegiado
Verificando o usurio nvel 1
O administrador testa as contas e registros do usurio:
Nomes de usurio no so case sensitives, por padro
O prompt indica o nvel 1 (R1>)
O comando ping, normalmente disponvel a partir de
Nvel 1, no est mais disponvel
Verificando o usurio nvel 5
O administrador verifica o usurio de nvel 5:
O comando enable usado para passar do Nvel 1 ao 5
Observe que agora o usurio pode executar ping, mas
no pode usar o comando reload.
Verificando o usurio nvel 10
O administrador agora verifica o usurio de nvel 10:
enable usado para mudar de nvel 5 para o nvel 10
Observe que os comandos ping e reload esto agora
disponveis, mas no o comando show running-config
Verificando a EXEC privilegiada
O administrador agora verifica o nvel 15 (EXEC privilegiado):
Enable novamente utilizado para mudar de nvel 10 para
o Nvel 15
Agora todos os comandos esto disponveis
Limitaes dos nveis de privilgio
Mesmo com a flexibilidade gerada pelos nveis de privilgio,
ainda temos algumas limitaes, que so:
No possibilita o controle de acesso s interfaces
especficas, portas, interfaces lgicas e/ou faixas de
horrio em um roteador
Comandos disponveis nos nveis de privilgios mais
baixos so sempre executveis em nveis mais altos
Comandos especificados para um nvel mais elevado de
privilgio no esto disponveis para nvel de menor
privilgio
Atribuindo um comando com vrias palavras-chave para
um nvel de privilgio especial tambm atribui todos os
comandos associados com as primeiras palavras-chave
para este mesmo nvel de privilgio, p.ex. show ip route
Role-Based CLI
Para proporcionar mais flexibilidade que os nveis de
privilgio, a Cisco introduziu o recurso de Role-Based
CLI Access
Este recurso permite um controle de acesso mais fino e
mais detalhado, permitindo definir quais comandos sero
disponibilizados para cada perfil de acesso
O acesso Role-based CLI
permite ao administrador criar
diferentes views de
configurao para diferentes
usurios, cada view com os
comandos necessrios para
cada tipo de usurios
Role-Based CLI
As principais vantagens do recurso de Role-Based CLI
esto associados segurana, disponibilidade e eficincia
operacional

Segurana - aumenta a segurana definindo um conjunto
de comandos que acessvel por um usurio em
particular
Pode-se tambm controlar o acesso a portas especficas,
interfaces lgicas e faixas de horrio, impedindo que um
usurio acidentalmente ou propositadamente altere uma
configurao ou realize a coleta de informaes
Role-Based CLI
Disponibilidade - impede a execuo acidental de
comandos CLI por pessoas no autorizadas, o que
poderia resultar em resultados indesejveis, minimizando
o tempo de inatividade

Eficincia Operacional - Os usurios s vem os
comandos CLI aplicvel as portas e CLI para que tenham
acesso, por isso, o roteador parece ser menos complexo,
e os comandos so fceis de identificar quando utilizar o
recurso de ajuda
Role-Based CLI
O modelo Role-Based CLI utiliza trs tipos de views: Root
view, CLI View e Superview

Root view - Para configurar qualquer view, o administrador
deve estar na root view que tem o mesmos privilgios de
acesso do nvel 15. Apenas um usurio root view pode
configurar uma nova view ou adicionar ou remover
comandos view existentes
Role-Based CLI
CLI View - Um conjunto especfico de comandos. No tem
hierarquia de comando e, portanto, sem viso superior ou
inferior. A cada view devem ser atribudos todos os
comandos associados e no herda os comandos de
quaisquer outras view. Os mesmos comandos podem ser
usados em vrias view
Role-Based CLI
Superview - consiste em uma ou mais CLI views que
contm os comandos que so aceitos e quais as
informaes de configurao so visveis
As Superviews permitem atribuir aos usurios, ou grupos
de usurios, mltiplas CLI views de uma s vez, em vez
de atribuir uma CLI view nica por usurio
Role-Based CLI
Uma view pode ser compartilhada por mltiplas
superviews
Comandos no podem ser configurados para uma
superview. Um administrador deve adicionar comandos
CLI para a view e acrescentar a view na superview
Os usurios que so associados a uma superview podem
acessar todos os comandos que so configurados para
qualquer das view que fazem parte da superview
Cada superview tem uma senha que usado para
alternar entre superviews ou de uma view CLI a uma
superview
Role-Based CLI
Configurando view
Para configurar as views necessrio primeiro habilitar
o AAA com o comando de configurao global
router(config)#aaa new-model
Habilitado o AAA deve-se sair do modo de configurao
do AAA

As etapas de configurao das views so:
1. Entrar na root view com o comando enable view
Configurando view
2. Criar uma view com o comando parser view view-
name




Esse comando habilita o modo de configurao de view
Excluindo a root view, existe um limite mximo de 15
views no total
Configurando view
3. J no modo de configurao da view, atribuir uma
senha secreta para a exibio usando o comando
secret encrypted-password
Configurando view
4. Atribuir os comandos que estaro disponveis para a
execuo dentro da view que est sendo configurada,
utilizando-se o comando parser-mode {include |
include-exclusive | exclude} [all]
[interface interface-name | command] no
modo de configurao de view

5. Sair do modo de configurao de view com o comando
exit
Configurando view
Configurando view
Exemplo de configurao para trs views: SHOWVIEW,
VERIFYVIEW e REBOOTVIEW
Configurando view
Verificando a configurao das trs views criadas:
Configurando superview
Aps criadas as views a prxima etapa configurar as
superviews
O comando para configurar a superview :
router(config)# parser view view-name superview
Configurando superview
Da mesma forma que nas views, necessrio definir
uma senha de acesso para a superview




E ento basta acrescentar as views que faro parte da
superview criada, com o comando view view-name

Configurando superview
Exemplo de configurao da superview USER e SUPORT:
Configurando superview
Verificando a configurao das superviews:
Utilizando a superview
Acessando a superview USER:
Utilizando a superview
Acessando a superview SUPPORT:
Utilizando a superview
Acessando a superview JR-ADMIN:
Utilizando a superview
Retornando a root view e verificando as views e superviews:
IOS e Arquivos de configurao
Se um hacker consegue acesso ao roteador ele poder
alterar as configuraes e apagar a startup config, bem
como o IOS do roteador






O processo de recuperao do IOS e do arquivo de
configurao deixar a rede indisponvel por um perodo
siginificativo
Configurao Resiliente
A funcionalidade chamada IOS Resilient Configuration
permite uma rpida recuperao no caso de formatao
da memria flash ou apagamento da NVRAM
A configurao resiliente no permitir a cpia,
modificao ou apagamento do IOS, e uma cpia da
startup config armazenada na flash juntamente com a
imagem segura do IOS
O conjunto da imagem do IOS e do arquivo de
configurao chamado de bootset
Esta funcionalidade est disponvel apenas nos
roteadores que possuem a interface flash (PCMCIA ATA)
Configurao Resiliente
As demais caractersticas do IOS Resilient
Configuration so:
Assegura a preservao de espao de
armazenamento
Detecta automaticamente a imagem ou
incompatibilidade de verso de
configurao
Somente o armazenamento local
utilizado, eliminando a necessidade de
armazenar em servidores TFTP
Pode ser desabilitado atravs de uma
sesso do console
R1# erase
startup-config
Erasing the
nvram filesystem
will remove all
configuration
files! Continue?
[confirm]
Comandos CLI
O comando que ativa o modo resiliente :


Este comando previne o apagamento do IOS
Caso seja detectada uma imagem em uso diferente da
imgagem armazenada teremos uma mensagem de
console:
ios resilience: Archived image and configuration
version 12.2 differs from running version 12.3
Comandos CLI
Para proteger o arquivo de configurao, guardando uma
cpia na memria flash, o comando utilizado :


Ao executar este comando uma mensagem de log
mostrada na console informando que o modo de
configurao resiliente est ativado
Assim o arquivo de configurao ficar oculto, e no
poder ser visto nem removido atravs de comandos CLI
E os arquivo de configurao e IOS no sero exibidos
com o comando dir, pois estaro protegidos
Comandos CLI
Para verificar a existncia dos arquivos o comando a ser
utilizado :
Recuperao dos Arquivos
Em caso de necessidade de recuperao dos arquivos, este
processo poder ser feito no modo ROM Monitor
(ROMmon), com os seguintes passos:
1. Reinicializar o roteador com o comando reload
2. No modo ROMmon, usar o comando dir para listar o
contedo armazenado. O nome do dispositivo pode ser
encontrado usando o comando show secure bootset
3. Iniciar o roteador usando a imagem secure bootset
usando o comando boot com o nome do arquivo
identificado na etapa anterior

Recuperao dos Arquivos
4. Aps inicializado o roteador, entrar no modo EXEC
privilegiado para restaurar a configurao
5. Entrar no modo de configurao global usando conf t
6. Restaurar a configurao segura utilizando o nome do
arquivo armazenado com o comando:
secure boot-config restore <file name>



Recuperao de senha
Em caso de necessidade de recuperao da senha, tendo-se
o acesso fsico ao roteador, as etapas so:

1. Conctar a porta de console
2. Com o comando show version
verificar o valor do registrador
configuration register
3. Desligar e religar o roteador
4. Pressionar o break enquanto o
roteador estiver inicializando
entrando no modo ROMmon
Recuperao de senha
5. Com o prompt do rommon digitar confreg 0x2142
6. Fazer o reboot do rotador com o comando reset
7. Aps a incializao, sair do modo
de auto-donfigurao e entrar no
EXEC privilegiado
8. Copiar o arquivo de configurao
da NVRAM com o comando copy
startup-config running-
config
9. Verificar o arquivo de configurao
com o comando show running-
config
Recuperao de senha
10. Criar a nova senha, caso a senha anterior esteja
criptografada, com o comando enable secret <pass>
11. Retornar o valor do registrador de
configurao com o comando
config-register 0x2102
12. Salvar a configurao com copy
running-config startup-
config
Desativando a recuperao de senha
Obtendo-se o acesso fsico ao roteador possvel alterar
a senha de acesso, o que afeta a segurana do roteador
Para eliminar esta vulnerabilidade possvel desabilitar a
recuperao de senha com o comando no service
password-recovery no modo de configurao global




Este comando desabilitar qualquer acesso ao modo
rommon

Desativando a recuperao de senha
Verificando a configurao:

Gerenciamento da segurana
Para fazer o gerenciamento de mudanas nas
configuraes necessrio:
Conhecer o estado dos dispositivos de rede crticos
Saber quando as ltimas modificaes ocorreram
Assegurar que as pessoas certas tenham acesso
quando novas metodologias de gesto so adotadas
Saber como lidar com ferramentas e disposiivos que
no so utilizados com frequencia
Deve-se prever o registro automtico e transmisso de
informaes de certos dispositivos para estaes de
gerenciamento
Disponbilidade de aplicaes e protocolos como SNMP
Syslog - Questes a considerar

Quais so os mais importantes registros?
Como as mensagens importantes so
separadas das notificaes de rotina?
Como evitar a adulterao de logs?
Como assegurar que o horrio seja correto?
O registro de dados necessrio nas
investigaes criminais?
Como lidar com volume de mensagens?
Como gerenciar todos os dispositivos?
Como controlar quando os ataques ou falhas
na rede ocorrerem?
Registro e Gerenciamento
O registro e gerenciamento de informaes entre as
estaes de gerenciamento e os dispositivos gerenciados
podem tomar dois caminhos:
Out-of-band (OOB): utilizada uma rede dedicada para
gerncia, em que no h trfego dos dados de
produo
In-band: os fluxos de informao fluem atravs de uma
rede de produo da empresa, na Internet, ou em
ambos, utilizando os canais normais de dados
Registro e Gerenciamento
Fatores a considerar
A soluo Out-of-band mais adequada
na gesto de redes de grandes
empresas
Esta forma de gerenciamento fornece o
mais alto nvel de segurana e reduz o
risco de trfego de protocolos de
gerenciamento inseguro sobre a rede
de produo
Fatores a considerar
O modelo in-band recomendado em redes menores,
fornecendo uma implantao com melhor relao
custo x benefcio
Deve-se observar as vulnerabilidades de segurana no
uso de ferramentas de gerenciamento remoto
Aplicar somente a dispositivos que precisam ser
gerenciados ou monitorados
Utilizar IPSec, SSH ou SSL sempre que possvel
Decidir se o canal de gerenciamento deve estar aberto
em todos os momentos

Monitorando o log
Console - ativado por padro e as mensagens podem
ser vistas ao acessar a porta console
Line Terminal - pode ser configurado para receber
mensagens de log em todas as vty. Semelhante ao log de
console, este registro no armazenado no roteador, s
til para o usurio nessa vty
Buffered log - um pouco mais til porque as mensagens
so armazenados na memria do roteador por um tempo
SNMP - certos traps (disparos) podem ser pr-
configurados em roteadores e outros dispositivos
Syslog as mensagens de log podem ser encaminhadas
para um servio de syslog externo
Nveis de severidade do log
Mensagem de log
Syslog
Servidores Syslog: armazenam os registros, utilizando
sistemas que aceitam e processam as mensagens de log
do clientes syslog
Clientes Syslog: Roteadores ou outros tipos de
dispositivos capazes de gerar e transmitir mensagens de
log para os servidores syslog
Usando o syslog
1. Definir o destino dos log usando o comando:






2. (Opcional) Definir a severidade do log (trap):
3. Definir a interface de origem:





Este comando define um endereo IPv4 ou
IPv6 de uma interface especfica para os
pacotes syslog, independente de qual
interface seja usada para enviar os pacotes
para o servidor
Usando o syslog
4. Habilitar os logs:
Usando o syslog
Usando o syslog
Syslog com SDM
Syslog com SDM
1. Escolher Configure > Additional Tasks > Router
Properties > Logging.
2. A partir do painel de registro, clicar em Edit
3. Na janela de Logging, selecionar Enable Logging
Level e escolher o nvel de log da lista.
4. Clicar em Add e digite um endereo IP de um
servidor de log no campo IP Address/Hostname
5. Clicar em OK para retornar caixa de dilogo de
registro
6. Clicar em OK para aceitar as alteraes e
retornar ao painel de log
Syslog com SDM
Syslog com SDM
Cisco SDM pode ser usado para monitorar o log
de escolher Monitor> Logging

Na guia Syslog, pode-se:
Ver os servidores de log com as mensagens de log do
roteador
Escolher o nvel de severidade para vizualizar
Monitorar as mensagens de log do roteador, atualizar
a tela para mostrar as entradas de log mais recentes e
apagar todas as mensagens do buffer de log do
roteador
Syslog com servidor externo
Os registros podem ser
facilmente visualizados atravs da
SDM, ou atravs de um
visualizador syslog em qualquer
sistema remoto
Existem inmeros servidores
gratuitos de syslog, Kiwi
relativamente simples e gratuito
Configure o roteador e/ou switch
para enviar logs para o endereo
IP do PC que tem de kiwi
instalado
Kiwi automaticamente monitora
mensagens syslog e as exibe
SNMP
Desenvolvido para administrar servidores,
workstations, roteadores, switches, hubs e
dispositivos de segurana em uma rede IP
Todas as verses so protocolos de camada de
aplicao que facilitam a troca de informaes de
gerenciamento entre os dispositivos de rede
Parte do conjunto de protocolos TCP/IP
Permite aos administradores de rede gerenciar o
desempenho da rede, encontrar e resolver
problemas de rede e planejar o seu crescimento
Trs verses diferentes do SNMP
SNMP
Existem dois tipos de community:
Read-only - Fornece acesso somente leitura para todos
os objetos da MIB
Read-write - Fornece acesso leitura-gravao para todos
os objetos do MIB
Usado para autenticar mensagens entre uma
estao de gerenciamento e um estao SNMPv1
ou SNMPv2
Community read/write pode obter e definir
informaes em um agente
Definir o acesso equivalente a ter a senha de
acesso privilegiado de um dispositivo

SNMP
SNMPv3
SNMPv3 um protocolo interopervel de
gerenciamento de rede baseado em padres
Usa uma combinao de autenticao e
criptografia para fornecer acesso seguro aos
dispositivos
Fornece trs elementos de segurana:
Integridade da mensagem - Garante que o pacote no foi
alterado em trnsito
Autenticao - Determina que a mensagem de uma
fonte vlida
Criptografia embaralha o contedo de um pacote para
evitar que seja vista por uma fonte no autorizada
SNMPv3
SNMPv3 - Nveis de Segurana
Noauth - Autentica um pacote por um jogo de
seqncia de caracteres do nome de usurio ou
community
Auth - Autentica um pacote usando o Hash Message
Authentication Code (HMAC) com o mtodo de
Message Digest 5 (MD5) ou Secure Hash Algorithms
(SHA)
Priv - Autentica um pacote usando o MD5 HMAC ou
algoritmos HMAC SHA e criptografa o pacote usando
os algoritmos Data Encryption Standard (DES), Triple
DES (3DES) ou Advanced Encryption Standard
(AES)
SNMP com SDM
SNMP com SDM
1. Escolha Configure > Additional Tasks > Router
Properties > SNMP. Clique no boto Edit
2. Na janela SNMP Properties, selecione Enable
SNMP para ativar o suporte SNMP
Informe a community e as informaes para trap
na mesma janela
3. Na janela SNMP Properties, clique em Add para
criar uma nova community, clique em Edit para
editar uma community existente ou clique em
Delete para excluir
SNMP com SDM
SNMP com SDM
1. No painel SNMP do Cisco SDM, clique em Edit, A janela
de propriedades do SNMP vai aparecer
2. Para adicionar um receptor de trap, clique em Add. A
janela para adicionar um receptor trap SNMP vai aparecer
3. Digite o endereo IP ou o nome do receptor trap e a senha
utilizada para associar ao receptor. Normalmente, este o
endereo IP da estao de gerenciamento SNMP que
monitora o seu domnio
4. Clique em OK para terminar de adicionar o receptor trap
5. Para editar um receptor trap existente, escolha o mesmo
da lista e clique em Edit. Para excluir, escolha na lista de
receptores trap existentes e clique em Delete
6. Quando a lista de receptores armadilha concluida,
clique em OK para finalizar
NTP
Muitas coisas envolvidas na segurana de uma
rede, como os logs, dependem de data e hora
exatas. Ao analizar um incidente importante
identificar a cronologia do mesmo
Para garantir que as mensagens de log sejam
sincronizadas, os relgios nos sistemas e
dispositivos de rede devem ser mantidos
sincronizados
Normalmente, a data e a hora do roteador podem
ser configurado atravs de:
Editar manualmente a data ea hora
Configurao do Network Time Protocol (NTP)
NTP
NTP utiliza a porta UDP 123
e est documentado no
RFC 1305
NTP
Timekeeping
Acertar a hora do relgio a partir da Internet significa que
os pacotes inseguros so permitidos atravs do firewall
Muitos servidores NTP na Internet no necessitam de
autenticao
Nos dispositivos informado o endereo IP de um
servidor NTP mestre. Um ou mais roteadores so
designados como o master clock keeper (NTP Master),
utilizando o comando de configurao global ntp master
Clientes NTP entram em contato com o master ou ouvem
as mensagens do master para sincronizar os relgios.
Para contactar o servidor, usar o comando ntp server ntp-
server-address
NTP
NTP
Recursos do NTP
H dois mecanismos de segurana disponveis:
esquema de restrio baseada em ACL
mecanismo de autenticao criptografado, como
oferecido pelo NTP verso 3 ou superior


Implementar NTP verso 3 ou superior e usar os
seguintes comandos em ambos os NPT (Master e client):
ntp authenticate
ntp authentication key md5 value
ntp trusted-key key-value
Recursos do NTP
Recursos do NTP
Recursos do NTP
Recursos do NTP
NTP com SDM
1. Escolha Configure > Additional Tasks > Router Properties
> NTP/SNTP. O painel de NTP aparece, exibindo as
informaes de todos os servidores NTP configurados
2. Para adicionar um novo servidor NTP, clique em Add. A
janela Adicionar detalhes NTP Server aparece
3. Adicionar um servidor NTP pelo nome (se o roteador est
configurado para usar um servidor DNS ou pelo IP.
4. (Opcional) A partir da lista de interface de origem NTP,
escolha a interface que o roteador usa para se comunicar
com o servidor NTP. Se este campo for deixado em
branco, as mensagens so enviadas a partir da interface
mais prxima do servidor NTP
NTP com SDM
5. Selecione Prefer se este servidor NTP foi designado como
um servidor NTP preferencial. Servidores NTP
preferenciais so contactados antes dos servidores NTP
no preferenciais. No pode haver mais de um servidor
NTP preferencial.
6. Se o servidor NTP usa autenticao, selecione
Authentication Key e informe o valor da chave
7. Clique em OK para terminar de adicionar o servidor.
Auditoria de Segurana
Determine quais dispositivos devem usar CDP
Para garantir que um dispositivo seguro:
Desativar servios desnecessrios e interfaces
Desativar ou restringir os servios de gerenciamento normalmente
configurados, tais como SNMP
Desativar testes e varreduras, tais como ICMP
Garantir a segurana de acesso terminal
Desativar proxy ARP
Desabilitar IP-directed broadcast
Prticas de Segurana
Auditoria de Segurana
Trs ferramentas de auditoria de segurana:
Security Audit Wizard recurso do Cisco SDM, fornece uma
lista de vulnerabilidades e, em seguida, permite escolher
quais as possveis alteraes de configurao relacionadas
segurana em um roteador
Cisco AutoSecure - disponvel atravs do Cisco IOS CLI, o
comando autosecure inicia uma auditoria de segurana e
permite mudanas de configurao. Com base no modo
selecionado, as alteraes de configurao pode ser
automticas ou exigir interferncia do administrador de rede
One-Step Lockdown recurso do Cisco SDM, fornece uma
lista de vulnerabilidades e, em seguida, faz automaticamente
todas as recomendaes de alteraes de configurao
relacionadas segurana
Auditoria de Segurana
Security Audit Wizard
No Cisco SDM escolher Configure > Security Audit
Security Audit Wizard
Para cada interface que apresentada, verificar a check box inside e
outside para indicar onde a interface conecta, na sequencia clicar
next
Security Audit Wizard
Compara a configurao do roteador com as
configuraes recomendadas:
Desligar servidores desnecessrios
Desativar servios desnecessrios
Aplicar o firewall para as interfaces de fora
Desabilitar ou ajustar o SNMP
Desligue interfaces no usadas
Verifique a fora da senha
Aplicar o uso de ACLs
Security Audit Wizard
Lista dos possveis problemas com opo para
corrigir os mesmos
Security Audit Wizard
Sumrio das alteraes de configurao
Cisco autosecure
Planos de gerenciamento de servios e funes:
Secure BOOTP, CDP, FTP, TFTP, PAD, UDP, TCP e
servidores de pequeno porte, MOP, ICMP
(redirecionamentos, mscara de respostas),
encaminhamento IP, finger, criptografia de senha,
keepalives TCP e ARP
Notificao legal atravs de um banner
Senhas seguras e funes de login
Secure NTP
Ativar o acesso SSH
Interceptar servios TCP
Cisco autosecure
Cisco autosecure
Iniciada a partir da CLI e executa um script. O
recurso AutoSecure primeiro faz recomendaes
para corrigir vulnerabilidades de segurana, e em
seguida, modifica a configurao de segurana
do roteador
Pode bloquear as funes do plano de
gerenciamento e os servios do plano de
encaminhamento e funes de um roteador
Usado para fornecer uma poltica de segurana
de base sobre um novo roteador
Cisco autosecure
Comando para ativar o recurso de configurao
Cisco autosecure:
auto secure [no-interact]
No modo interativo, o roteador solicitar, quais
opes ativar ou desativar para servios e outros
recursos de segurana. Este o modo padro,
mas tambm pode ser configurado atravs do
autosecure de comando completo.
Cisco autosecure
Cisco autosecure
Cisco autosecure
Cisco autosecure
Cisco autosecure
Cisco autosecure
Cisco autosecure
Cisco autosecure
Cisco One-Step Lockdown
Testa a configurao do roteador para todos os
problemas potenciais de segurana e faz
automaticamente as alteraes de configurao
necessrias para corrigir os problemas
encontrados
Cisco One-Step Lockdown
Disabilita:
Servio Finger
Servio PAD
Servio de pequenos servidores TCP
Servio de pequenos servidores UDP
Servio de servidor IP BOOTP
Servio de identificao IP
Cisco Discovery Protocol
IP source route
IP GARPs
SNMP
IP redirects
IP proxy ARP
IP directed broadcast
Servio MOP
IP unreachables
IP mask reply
IP unreachables on null interface
Cisco One-Step Lockdown
Habilita:
Password encryption service
TCP keepalives para sesses de telnet entrada e sada
Nmeros de sequencia e timestamps em debugs
IP Cisco Express Forwarding (IP CEF) NetFlow
switching
Unicast Reverse Path Forwarding (RPF) na interface
de sada
Firewall em todas as interfaces de sada
SSH para acesso ao roteador
AAA
Cisco One-Step Lockdown
Ajusta:
Tamanho mnimo da senha em seis caracteres
Taxa de falha de autenticao menor que tres
tentativas
TCP synwait time
Banner de notificao
Parmetros de Logging
Enable secret password
Scheduler interval
Scheduler allocate
Users
Configuraes Telnet
Access class em servio HTTP server
Access class em linhas vty
Cisco One-Step Lockdown
Cisco One-Step Lockdown
Cisco One-Step Lockdown
Cisco One-Step Lockdown
Cisco One-Step Lockdown
Cisco One-Step Lockdown
Cisco autosecure:
Desativa NTP
Configura AAA
Define os valores SPD
Permite TCP intercepta
Configura ACLs anti-spoofing nas
interfaces externas
Cisco one-step lockdown:
SNMP desativado, mas no
configuraro SNMPv3 (varia de acordo
com o roteador)
SSH habilitado e configurado em IOS
que suportem esse recurso
Secure Copy Protocol (SCP) no
habilitado, FTP habilitado
AutoSecure Versus SDM Security
Audit One-Step Lockdown
R1# auto secure
--- AutoSecure Configuration ---
*** AutoSecure configuration enhances the
security of the router, but it will not make
it absolutely resistant to all security
attacks ***
AutoSecure will modify the configuration of
your device.
All configuration changes will be shown. For a
detailed explanation of how the configuration
changes enhance security and any possible side
effects, please refer to Cisco.com for
Autosecure documentation.
Cisco AutoSecure also:
Disables NTP
Configures AAA
Sets SPD values
Enables TCP intercepts
Configures anti-spoofing ACLs on
outside-facing interfaces
SDM implements some the
following features differently:
SNMP is disabled but will not
configure SNMPv3
SSH is enabled and configured with
images that support this feature.
Secure Copy Protocol (SCP) is not
enabled--unsecure FTP is.