Show Cisco AutoSecureUma área das redes que requer atenção especial para manter a segurança são os dispositivos. Você provavelmente já tem uma senha para o seu computador, smartphone ou tablet. É tão forte quanto poderia ser? Você está usando outras ferramentas para aumentar a segurança de seus dispositivos? Este tópico explica como. As configurações de segurança são definidas para os valores padrão quando um novo sistema operacional é instalado em um dispositivo. Na maioria dos casos, esse nível de segurança é inadequado. Para roteadores Cisco, o recurso Cisco AutoSecure pode ser usado para ajudar a proteger o sistema, conforme mostrado no exemplo.
Além disso, existem algumas etapas simples que devem ser seguidas e se aplicam à maioria dos sistemas operacionais:
Freqüentemente, os dispositivos enviados pelo fabricante ficam parados em um warehouse por um período de tempo e não têm os patches mais atualizados instalados. É importante atualizar qualquer software e instalar os patches de segurança antes da implementação. SenhasPara proteger os dispositivos de rede, é importante usar senhas fortes. Aqui estão as diretrizes padrão a serem seguidas:
As tabelas mostram exemplos de senhas fortes e fracas. Senhas fracas
Senhas fortes
Em roteadores Cisco, os espaços à esquerda são ignorados para as senhas, mas os espaços após o primeiro caractere não. Portanto, um método para criar uma senha forte é usar a barra de espaço e criar uma frase composta de muitas palavras. Isso é chamado de senha longa. Uma frase secreta geralmente é mais fácil de lembrar do que uma senha simples. Também é mais longo e difícil de adivinhar. Segurança de senha adicionalSenhas fortes só são úteis se forem secretas. Existem várias etapas que podem ser executadas para ajudar a garantir que as senhas permaneçam secretas em um roteador e switch Cisco, incluindo estes:
Conforme mostrado na configuração de amostra na figura, o comando de configuração global de criptografia de senha de serviço evita que indivíduos não autorizados visualizem senhas em texto simples no arquivo de configuração. Este comando criptografa todas as senhas em texto simples. Observe no exemplo que a senha “cisco” foi criptografada como “03095A0F034F”. Para garantir que todas as senhas configuradas tenham um comprimento mínimo especificado, use o comando security passwords min-length length no modo de configuração global. Na figura, qualquer nova senha configurada deve ter no mínimo oito caracteres. Os atores da ameaça podem usar software de quebra de senha para conduzir um ataque de força bruta em um dispositivo de rede. Este ataque tenta continuamente adivinhar as senhas válidas até que uma funcione. Use o bloqueio de login para # tentativas # no # comando de configuração global para deter esse tipo de ataque. Na figura, por exemplo, o comando bloqueio de login para 120 tentativas 3 dentro de 60 bloqueará as tentativas de login vty por 120 segundos se houver três tentativas de login com falha em 60 segundos. Os administradores de rede podem se distrair e deixar acidentalmente uma sessão do modo EXEC privilegiado aberta em um terminal. Isso pode permitir o acesso de um ator de ameaça interno para alterar ou apagar a configuração do dispositivo. Por padrão, os roteadores Cisco farão logout de uma sessão EXEC após 10 minutos de inatividade. No entanto, você pode reduzir essa configuração usando o comando de configuração da linha exec-timeout minutos segundos. Este comando pode ser aplicado em console online, linhas auxiliares e linhas vty. Na figura, estamos dizendo ao dispositivo Cisco para desconectar automaticamente um usuário inativo em uma linha vty após o usuário ficar inativo por 5 minutos e 30 segundos.
Habilitar SSHO Telnet simplifica o acesso ao dispositivo remoto, mas não é seguro. Os dados contidos em um pacote Telnet são transmitidos sem criptografia. Por esse motivo, é altamente recomendável habilitar Secure Shell (SSH) em dispositivos para acesso remoto seguro. É possível configurar um dispositivo Cisco para suportar SSH usando as seguintes seis etapas: Etapa 1. Configure um nome de host de dispositivo exclusivo. Um dispositivo deve ter um nome de host exclusivo diferente do padrão. Etapa 2. Configure o nome de domínio IP. Configure o nome de domínio IP da rede usando o comando do modo de configuração global ip-domain name. Etapa 3. Gere uma chave para criptografar o tráfego SSH. SSH criptografa o tráfego entre a origem e o destino. No entanto, para fazer isso, uma chave de autenticação exclusiva deve ser gerada usando o comando de configuração global crypto key generate rsa general-keys modulus bits. Os bits de módulo determinam o tamanho da chave e podem ser configurados de 360 a 2048 bits. Quanto maior o valor do bit, mais segura é a chave. No entanto, valores de bits maiores também demoram mais para criptografar e descriptografar as informações. O comprimento mínimo recomendado do módulo é de 1024 bits. Etapa 4. Verifique ou crie uma entrada de banco de dados local. Crie uma entrada de nome de usuário de banco de dados local usando o comando de configuração global de nome de usuário. No exemplo, o parâmetro secret é usado para que a senha seja criptografada usando MD5. Etapa 5. Autenticar no banco de dados local. Use o comando de configuração de linha local de login para autenticar a linha vty no banco de dados local. Etapa 6. Habilite as sessões SSH de entrada vty. Por padrão, nenhuma sessão de entrada é permitida em linhas vty. Você pode especificar vários protocolos de entrada, incluindo Telnet e SSH, usando a entrada de transporte [ssh | comando telnet]. Conforme mostrado no exemplo, o roteador R1 está configurado no domínio span.com. Essas informações são usadas junto com o valor do bit especificado no comando crypto key generate rsa general-keys modulus para criar uma chave de criptografia. Em seguida, uma entrada de banco de dados local para um usuário chamado Bob é criada. Finalmente, as linhas vty são configuradas para autenticação no banco de dados local e para aceitar apenas sessões SSH de entrada.
Desativar serviços não utilizadosOs roteadores e switches Cisco começam com uma lista de serviços ativos que podem ou não ser necessários em sua rede. Desative todos os serviços não utilizados para preservar os recursos do sistema, como ciclos de CPU e RAM, e evitar que os agentes de ameaças explorem esses serviços. Os tipos de serviços que estão ativados por padrão variam de acordo com a versão do IOS. Por exemplo, o IOS-XE normalmente terá apenas portas HTTPS e DHCP abertas. Você pode verificar isso com o comando show ip ports all, conforme mostrado no exemplo.
As versões do IOS anteriores ao IOS-XE usam o comando show control-plane host open-ports. Mencionamos este comando porque você pode vê-lo em dispositivos mais antigos. A saída é semelhante. No entanto, observe que este roteador mais antigo tem um servidor HTTP inseguro e Telnet em execução. Ambos os serviços devem ser desativados. Conforme mostrado no exemplo, desative o HTTP com o comando de configuração global no ip http server. Desative o Telnet especificando apenas SSH no comando de configuração de linha, transport input ssh.
Packet Tracer – Configurar senhas seguras e SSHO administrador da rede solicitou que você prepare o RTA e o SW1 para implantação. Antes que eles possam ser conectados à rede, as medidas de segurança devem ser ativadas. [button url=”https://www.ccna.network/wp-content/uploads/2021/01/16.4.6.zip” target=”self” style=”default” background=”#2fa614″ color=”#FFFFFF” size=”3″ wide=”no” center=”yes” radius=”auto” icon=”” icon_color=”#FFFFFF” text_shadow=”none” desc=”” download=”” onclick=”” rel=”” title=”” id=”” class=””]BAIXE AQUI[/button] Laboratório – Configurar dispositivos de rede com SSHNeste laboratório, você concluirá os seguintes objetivos:
[button url=”https://www.ccna.network/wp-content/uploads/2021/01/16.4.6.zip” target=”self” style=”default” background=”#2fa614″ color=”#FFFFFF” size=”3″ wide=”no” center=”yes” radius=”auto” icon=”” icon_color=”#FFFFFF” text_shadow=”none” desc=”” download=”” onclick=”” rel=”” title=”” id=”” class=””]BAIXE AQUI[/button] |