CCNA 4.0 - AW - 04 Segurança de rede

5/7/2018 CCNA 4.0 - AW - 04 Segurança de rede - slidepdf.com

http://slidepdf.com/reader/full/ccna-40-aw-04-seguranca-de-rede 1/60

Alternar idioma para English | Pesquisar | Glossário

Índice do curso:

CCNA Exploration - Acessando a WAN4 Segurança de rede4.0 Introdução do capítulo4.0.1 Introdução do capítulo

Página 1:A segurança foi colocada à frente do gerenciamento de rede e da implementação. O desafio geral dasegurança é encontrar um equilíbrio entre dois requisitos importantes: a necessidade de abrir redespara dar suporte a cada vez mais oportunidades de negócios e a necessidade de proteger informações privadas, pessoais e comerciais estratégicas.

A aplicação de uma política de segurança efetiva é o passo mais importante que uma organizaçãopode dar para proteger sua rede. Ela fornece diretrizes sobre as atividades a serem realizadas e osrecursos utilizados para proteger a rede de uma organização.

A segurança da Camada 2 não é abordada neste capítulo. Para obter informações sobre as medidasde segurança da Camada 2, consulte o curso CCNA Exploration: Comutação de rede local e redesem fio.Exibir meio visual

4.1 Introdução à segurança de rede4.1.1 Por que a segurança de rede é importante?

Página 1:Por que a segurança de rede é importante?

As redes de computadores cresceram em tamanho e importância muito rapidamente. Se a segurançada rede for comprometida, talvez haja consequências sérias, como a perda de privacidade, o roubode informações e até mesmo a responsabilização legal. Para tornar a situação ainda maisdesafiadora, os tipos de ameaças em potencial à segurança de rede estão sempre evoluindo.

Na medida em que o comércio eletrônico e os aplicativos da Internet continuam crescendo, encontrar o equilíbrio entre o isolamento e a abertura é essencial. Além disso, o crescimento do comérciomóvel e das redes sem fio exige que as soluções em segurança sejam totalmente integradas, maistransparentes e flexíveis.

Neste capítulo, você fará um tour por todo o mundo da segurança de rede. Você obterá informaçõessobre tipos diferentes de ameaças, sobre o desenvolvimento de políticas de segurançaorganizacionais, as técnicas de atenuação e as ferramentas do software IOS Cisco para ajudar naproteção de redes. O capítulo termina com uma análise do gerenciamento de imagens do softwareIOS Cisco. Embora aparentemente esse não seja um problema de segurança, as imagens e asconfigurações do software IOS Cisco podem ser excluídas. Dispositivos comprometidos dessa formaoferecem riscos à segurança.Exibir meio visual

4 Segurança de rede Selecionar

Página 1 de 60Tema acessível CISCO

13/06/2011http://curriculum.netacad.net/virtuoso/servlet/org.cli.delivery.rendering.servlet.CCServlet...



p g y g

Página 2:A crescente ameaça à segurança

Com o passar dos anos, as ferramentas e os métodos de ataque à rede evoluíram. Conformemostrado na figura, em 1985 um atacante precisava contar com computador, programação econhecimento de rede sofisticados para utilizar ferramentas rudimentares e ataques básicos. Com opassar do tempo, os métodos e as ferramentas dos atacantesatacantes melhoraram, e eles já nãoprecisavam do mesmo nível sofisticado de conhecimento. Isso reduziu efetivamente os requisitosiniciais para os atacantes. Pessoas que antes não participariam de crimes digitais agora podem fazer isso.

Como os tipos de ameaças, ataques e explorações evoluíram, vários termos foram criados paradescrever os indivíduos envolvidos. Alguns dos termos mais comuns são os seguintes:

z White hat – um indivíduo que procura vulnerabilidades em sistemas ou redes e, em seguida,informa essas vulnerabilidade aos proprietários do sistema para que que elas possam ser corrigidas. Eles são totalmente contrários à violação de sistemas de computadores. Um whitehat normalmente se concentra na proteção de sistemas de TI, enquanto um black hat (o

oposto) gostaria de invadi-los.z Hacker – termo geral historicamente utilizado para descrever um especialista em programação

de computador. Mais recentemente, esse termo passou a ser mais utilizado de modo negativopara descrever um indivíduo que tenta obter acesso não autorizado a recursos de rede commá intenção.

z Black hat – outro termo para indivíduos que utilizam seu conhecimento de sistemas decomputadores para invadir sistemas ou redes para os quais não têm autorização, normalmentetendo em vista ganhos pessoais ou financeiros. Cracker é um exemplo de black hat.

z Cracker – termo mais preciso para descrever alguém que tenta obter acesso não autorizado arecursos de rede com má intenção.

z Phreaker – indivíduo que manipula a rede telefônica para que ela execute uma função nãopermitida. Uma meta comum do phreaking é invadir a rede telefônica, normalmente por meiode um telefone público, fazer chamadas de longa distância gratuitamente.

z

Spammer – indivíduo que envia grandes quantidades de mensagens de email não solicitadas.Os spammers normalmente utilizam vírus para assumir o controle de computadoresdomésticos e os utilizam para enviar mensagens em massa.

z Phisher – utiliza email ou outros meios para levar outras pessoas a fornecer informaçõesconfidenciais, como números de cartão de crédito ou senhas. Um phisher se mascara comouma parte confiável que teria uma necessidade legítima pelas informações confidenciais.

Pense como um atacante

A meta do atacanteatacante é comprometer uma rede-alvo ou um aplicativo em execução em umarede. Muitos atacantes utilizam esse processo em sete etapas para obter informações e realizar umataque.

Etapa 1. Executar a análise de presença (reconhecimento). A página Web de uma empresa podelevar a informações, como os endereços IP de servidores. Com eles, um atacante pode criar umaimagem do perfil de segurança ou do "mapa" da empresa.

Etapa 2. Enumerar informações. Um atacante pode expandir o mapa, monitorando o tráfego da redecom um sniffer de pacotes, como o Wireshark, que acaba localizando informações como os númerosde versão dos servidores FTP e dos servidores de email. Uma referência cruzada com bancos dedados de vulnerabilidades expõe os aplicativos da empresa a explorações em potencial.





p g y g

Etapa 3. Manipular usuários para obter acesso. Às vezes, os funcionários escolhem senhas que sãofacilmente descobertas. Em outros casos, os funcionários podem ser induzidos por atacantestalentosos a fornecer informações confidenciais relacionadas ao acesso.

Etapa 4. Escalonar privilégios. Depois de obter acesso básico, os atacantes utilizam suas habilidadespara aumentar seus privilégios de rede.

Etapa 5. Obter senhas e segredos adicionais. Com maiores privilégios de acesso, os atacantesutilizam seus talentos para obter acesso a informações confidenciais, mais bem guardadas.

Etapa 6. Instalar backdoors. Os backdoors proporcionam ao atacante uma forma de entrar nosistema sem ser detectado. O backdoor mais comum é uma porta de escuta TCP ou UDP aberta.

Etapa 7. Otimizar o sistema comprometido. Depois que um sistema é comprometido, um atacante outiliza para preparar ataques a outros hosts na rede.Exibir meio visual

Página 3:Tipos de crimes digitais

Como as medidas de segurança melhoraram com o passar dos anos, a frequência de alguns dostipos mais comuns de ataques diminuiu, embora novos tenham surgido. A concepção de soluçõesem segurança de rede começa com uma avaliação do escopo completo do crime digital. Estas sãoas ações mais comuns de crimes digitais relatados que têm implicações na segurança de rede:

z Violação interna ao acesso da redez Vírusz Roubo de dispositivo móvelz Phishing no qual uma organização é representada de maneira fraudulenta como o remetentez Uso indevido de mensagens instantâneasz

Negação de serviçoz A cesso não autorizado a informaçõesz Bots dentro da organizaçãoz Roubo de dados do cliente ou do funcionárioz Violação da rede sem fioz Invasão ao sistemaz Fraude financeiraz Detecção de senhaz Key loggingz Desfiguração de sitez Uso indevido de um aplicativo público da Webz Roubo de informações proprietáriasz Exploração do servidor DNS de uma organizaçãoz

Fraude em telecomunicaçãoz Sabotagem

Nota: em determinados países, algumas dessas atividades talvez não sejam crime, mas, aindaassim, constituem um problema.Exibir meio visual





p g y g

Página 4:Redes abertas x fechadas

O desafio geral da segurança para administradores de rede é equilibrar duas necessidadesimportantes: manter redes abertas para dar suporte a cada vez mais requisitos de negócios eproteger informações privadas, pessoais e comerciais estratégicas.

Os modelos de segurança de rede seguem uma escala progressiva da permissão a qualquer serviço,a menos que ele seja expressamente negado, até a negação, por padrão, de serviços, a menos queeles sejam considerados necessários. No caso da rede aberta, os riscos à segurança são evidentes.No caso da rede fechada, as regras para o que é permitido são definidas na forma de uma políticapor um indivíduo ou grupo na organização.

Uma alteração feita na política de acesso pode ser tão simples quanto pedir a um administrador derede que habilite um serviço. Dependendo da empresa, para que o administrador tenha permissãopara habilitar o serviço, uma alteração pode exigir uma emenda à política de segurança corporativa.Por exemplo, uma política de segurança pode desaprovar o uso dos serviços de mensagensinstantâneas (IM), mas a demanda por parte dos funcionários pode levar a empresa a alterar apolítica.

Uma alternativa extrema para o gerenciamento da segurança é fechar totalmente uma rede aomundo externo. Uma rede fechada só fornece conectividade a partes e sites reconhecidamenteconfiáveis. Uma rede fechada não permite uma conexão a redes públicas. Como não há nenhumaconectividade externa, as redes projetadas dessa forma são consideradas protegidas de ataquesexternos. No entanto, ainda existem ameaças internas. Uma rede fechada faz pouco para impedir ataques de dentro da empresa.Exibir meio visual

Página 5:Desenvolvendo uma política de segurança

O primeiro passo que qualquer organização deve dar para proteger seus dados e ela própria de umaresponsabilização é desenvolver uma política de segurança. Política é um conjunto de princípios queorientam processos de tomada de decisões e permitem aos líderes de uma organização delegar autoridade com confiança. A RFC2196 afirma que "política de segurança é uma declaração formaldas regras que as pessoas que recebem acesso à tecnologia e aos ativos de informações de umaorganização devem seguir". Uma política de segurança pode ser tão simples quanto uma política deuso aceitável resumida para recursos de rede, ou pode ter várias centenas de páginas e detalhar todos os elementos de conectividade e as políticas associadas.

Uma política de segurança atinge estas metas:

z Informa usuários, equipe e gerentes de seus requisitos obrigatórios para proteger a tecnologia

e os ativos de informaçõesz Especifica os mecanismos por meio dos quais esses requisitos podem ser atendidosz Fornece uma linha de base para adquirir, configurar e auditar sistemas de computadores e

redes em conformidade com a política

A organização de uma política de segurança poderá ser um desafio, se realizada sem orientação.Por isso, a Organização Internacional para Padronização (ISO) e a Comissão de eletrotécnicainternacional (IEC) publicaram um documento padrão sobre a segurança chamado ISO/IEC 27002.Esse documento se refere especificamente à tecnologia da informação e descreve um código de





p g y g

conduta para o gerenciamento de segurança das informações.

O ISO/IEC 27002 deve ser uma base comum e uma diretriz prática para o desenvolvimento depadrões de segurança organizacionais e de práticas efetivas para o gerenciamento da segurança. Odocumento consiste em 12 seções:

z

Avaliação de riscoz Política de segurançaz Organização da segurança das informaçõesz Gerenciamento de ativosz Segurança de recursos humanosz Segurança física e ambientalz Gerenciamento da comunicação e das operaçõesz Controle de acessoz Aquisição, desenvolvimento e manutenção dos sistemas de informaçõesz Gerenciamento de incidentes de segurança das informaçõesz Gerenciamento da continuidade dos negóciosz Conformidade

Este capítulo aborda a seção da política de segurança. Para obter mais informações sobre todas asseções, visite http://en.wikipedia.org/wiki/ISO/IEC_27002. O desenvolvimento do documento dapolítica de segurança de rede é abordado nos tópicos 4.1.5 "O ciclo de segurança de rede" e 4.1.6 "Apolítica de segurança da empresa".Exibir meio visual

4.1.2 Ameaças comuns à segurança

Página 1:Vulnerabilidades

Durante a abordagem da segurança de rede, três fatores comuns são vulnerabilidade, ameaça eataque.

Vulnerabilidade é o nível de fragilidade inerente a todas as redes e dispositivos. Isso incluiroteadores, switches, desktops, servidores e até mesmo dispositivos de segurança.

Ameaças são as pessoas interessadas e qualificadas para usufruir de todas as fraquezasrelacionadas à segurança. Esses indivíduos devem continuar procurando novas proezas evulnerabilidades.

As ameaças utilizam várias ferramentas, scripts e programas para iniciar ataques contra redes edispositivos de rede. Normalmente, os dispositivos de rede sob ataque são as extremidades, como

servidores e desktops.

Há três vulnerabilidades principais:

z Vulnerabilidades tecnológicasz Falhas na configuraçãoz Falhas na política de segurança





p g y g

Clique no botão Tecnologia na figura.

O computador e as tecnologias de rede têm vulnerabilidades intrínsecas na segurança. Entre elasestão o protocolo TCP/IP, o sistema operacional e as vulnerabilidades no equipamento de rede.

Clique no botão Configuração na figura.

Os administradores ou os engenheiros de rede precisam saber quais são as falhas na configuração econfigurar corretamente os dispositivos de computação e de rede para compensá-las.

Clique no botão Política na figura.

Haverá riscos à segurança de rede se os usuários não seguirem a política de segurança. Algumasfalhas comuns na política de segurança e como essas falhas são exploradas estão listadas na figura.Exibir meio visual

Página 2:Ameaças à infraestrutura física

Ao pensar em segurança de rede, ou mesmo em segurança de computador, você talvez imagineatacantes explorando vulnerabilidades do software. Uma classe de ameaça menos conhecida, masnão menos importante, é a segurança física dos dispositivos. Um atacante poderá negar o uso dosrecursos de rede se esses recursos puderem ser comprometidos fisicamente.

As quatro classes de ameaças físicas são:

z Ameaças ao hardware – dano físico em servidores, roteadores, switches, instalação decabeamento e estações de trabalho

z Ameaças ao ambiente – temperaturas extremas (muito quente ou muito frio) ou umidadeextrema (muito molhado ou muito seco)

z

Ameaças elétricas – picos de tensão, tensão de alimentação insuficiente (quedas de energia),energia não condicionada (ruído) e perda de energia totalz Ameaças à manutenção – mau processamento dos principais componentes elétricos

(descarga eletrostática), falta de peças críticas sobressalentes,cabeamento ruim e semrotulação

Alguns desses problemas devem ser resolvidos com uma política organizacional. Alguns deles estãosujeitos a uma boa liderança e ao bom gerenciamento na organização. As consequências da falta desorte poderão se dar em uma rede, se a segurança física não estiver suficientemente preparada.

Aqui estão algumas formas de atenuar ameaças físicas:

z Atenuação da ameaça ao hardwarez Atenuação da ameaça ao ambientez Atenuação da ameaça elétricaz Atenuação da ameaça mecânica

Clique no botão Hardware na figura.

Atenuação da ameaça ao hardware





p g y g

Tranque o wiring closet e só permita o acesso para o pessoal autorizado. Impeça o acesso por qualquer placa móvel no teto, no chão, pela janela, pela tubulação ou ponto de entrada que não sejao ponto de acesso protegido. Use o controle de acesso eletrônico e registre todas as tentativas deentrada. Monitore as instalações com câmeras de segurança.

Clique no botão Ambiental na figura.

Atenuação da ameaça ao ambiente

Crie um ambiente de operação apropriado por meio do controle de temperatura, de umidade, do fluxode ar, de alarmes remotos do ambiente, além da gravação e da monitoração.

Clique no botão Elétric o na figura.

Atenuação da ameaça elétric a

Limite os problemas elétricos de alimentação, instalando sistemas de no-break e geradores,seguindo um plano de manutenção preventiva, instalando fontes de alimentação redundantes eutilizando alarmes remotos e monitoração.

Clique no botão Manutenção na figura.

Atenuação da ameaça de manutenção

Atenuação da ameaça de manutenção – use cabos limpos, rotule os cabos e os componentesessenciais, use procedimentos para descarga eletrostática, guarde peças sobressalentes essenciaise controle o acesso a portas de console.Exibir meio visual

Página 3:Ameaças a redes

No início deste capítulo, foram listados os crimes digitais mais comuns com implicações nasegurança de rede. Esses crimes podem ser agrupados em quatro classes principais de ameaças aredes:

Ameaças não estruturadas

As ameaças não estruturadas consistem, em sua maioria, em indivíduos inexperientes utilizandoferramentas facilmente disponíveis para hackers, como scripts de shell e crackers de senha. Mesmoameaças não estruturadas executadas apenas com a intenção de testar as habilidades de umatacante podem causar sérios danos a uma rede. Por exemplo, se o site de uma empresa for hackeado, a reputação dessa empresa poderá ser abalada. Mesmo que o site seja separado dasinformações privadas que ficam protegidas por um firewall, o público não tomará conhecimento disso.O que o público vê é que o site talvez não seja um ambiente seguro para se fazer negócios.

Ameaças estruturadas

As ameaças estruturadas vêm de indivíduos ou grupos muito motivados e tecnicamentecompetentes. Essas pessoas conhecem as vulnerabilidade do sistema e utilizam técnicassofisticadas de hackers para invadir negócios sem que haja suspeitas. Elas invadem oscomputadores de empresas e governos para cometer fraudes, destruir ou alterar registros, ou





p g y g

simplesmente bagunçar. Esses grupos normalmente estão envolvidos em grandes fraudes e casosde roubos informados a agências de repressão ao crime. Sua técnica é tão complexa e sofisticadaque apenas investigadores especialmente treinados compreendem o que está acontecendo.

Em 1995, Kevin Mitnick foi condenado por acessar computadores interestaduais nos Estados Unidospara fins criminais. Ele invadiu o banco de dados do Departamento de Trânsito da Califórnia,assumiu o controle dos hubs de comutação telefônicos de Nova York e da Califórnia e roubounúmeros de cartões de crédito. Ele inspirou o filme "Jogos de Guerra" de 1983.

Ameaças externas

As ameaças externas podem decorrer de indivíduos ou organizações trabalhando fora de umaempresa sem acesso autorizado aos sistemas de computadores ou à rede. Eles fazem seu trabalhoem uma rede principalmente pela Internet ou servidores de acesso dial-up. As ameaças externaspodem variar em termos de gravidade, dependendo da experiência do atacante: amador (nãoestruturada) ou especialista (estruturada).

Ameaças internas

As ameaças internas ocorrem quando alguém tem acesso autorizado à rede com uma conta ouacesso físico. Assim como acontece com ameaças externas, a gravidade de uma ameaça internadepende da experiência do atacante.Exibir meio visual

Página 4:Engenharia soc ial

A invasão mais fácil não envolve nenhuma habilidade com computador. Se um intruso conseguir levar um membro de uma organização a fornecer informações importantes, como o local de arquivosou senhas, o processo de invasão será muito mais facilitado. Esse tipo de ataque é chamado deengenharia social e atinge vulnerabilidades pessoais que podem ser detectadas por atacantestalentosos. Ela pode incluir sensibilizações ao ego de um funcionário ou pode ser uma pessoadisfarçada, ou com documento falsificado, que leva uma pessoa a fornecer informaçõesconfidenciais.

O phishing é um tipo de ataque de engenharia social que envolve o uso do email ou de outros tiposde mensagens em uma tentativa de levar outras pessoas a fornecer informações confidenciais, comonúmeros de cartão de crédito ou senhas. O phisher se mascara como uma parte confiávelaparentemente com uma necessidade legítima quanto às informações confidenciais.

Normalmente, as fraudes de phishing envolvem o envio de spams que aparentam ser de instituiçõesbancárias ou sites de leilões conhecidos. A figura mostra a réplica de um email assim. A empresareal utilizada como isca neste exemplo foi alterada. Estes emails contêm hiperlinks que aparentamser legítimos, mas que, na verdade, levam os usuários a um site falso configurado pelo phisher paracapturar suas informações. O site aparenta pertencer à parte falsificada no email. Quando o usuárioinsere as informações, elas são registradas para uso do phisher.

Os ataques de phishing podem ser evitados instruindo-se usuários e implementando-se diretrizespara relatórios quando eles receberem emails suspeitos. Os administradores também podembloquear o acesso a determinados sites e configurar filtros que bloqueiem emails suspeitos.Exibir meio visual





p g y g

4.1.3 Tipos de ataques a redes

Página 1:Tipos de ataques a redes

Há quatro classes principais de ataques.

Reconhecimento

Reconhecimento é a detecção não autorizada e o mapeamento de sistemas, serviços ouvulnerabilidade. Ele também é conhecido como coleta de informações e, na maioria dos casos,antecede outro tipo de ataque. O reconhecimento é semelhante a um ladrão que investiga avizinhança em busca de casas vulneráveis à invasão, como uma residência desocupada, portasfáceis de abrir ou janelas abertas.

Acesso

Acesso ao sistema é a possibilidade de um intruso obter acesso a um dispositivo no qual ele não temuma conta ou uma senha. A entrada ou o acesso a sistemas normalmente envolvem a execução deuma invasão, um script ou uma ferramenta que explore uma vulnerabilidade conhecida do sistema oudo aplicativo que está sendo atacado.

Negação de serviços

A negação de serviço (DOS) acontece quando um atacante desabilita ou danifica redes, sistemas ouserviços com a intenção de negar serviços a determinados usuários. Os ataques DoS envolvem afalha do sistema ou a redução de sua velocidade até o ponto em que fique inutilizável. Mas o DoStambém pode ser tão simples quanto excluir ou danificar informações. Na maioria dos casos, aexecução do ataque envolve a simples execução de uma invasão ou script. Por essas razões, osataques DoS são os mais temidos.

Worms, vírus e cavalos-de-Troia

Um software malicioso pode ser inserido em um host para danificar ou corromper um sistema, sereplicar, ou negar acesso a redes, sistemas ou serviços. Os nomes comuns desse tipo de softwaresão worms, vírus e cavalos-de-Troia.Exibir meio visual

Página 2:Ataques de reconhecimentoOs ataques de reconhecimento podem consistir em:

z

Consultas de informações de Internetz Varreduras de pingz Verificações de portaz Sniffers de pacote

Os atacantes externos podem utilizar ferramentas da Internet, como os utilitários nslookup e whois,para determinar facilmente o espaço do endereço IP atribuído a uma determinada corporação ouentidade. Depois que o espaço do endereço IP é determinado, um atacante pode executar pingpublicamente nos endereços IP disponíveis para identificar os endereços ativos. Para ajudar a





p g y g

automatizar essa etapa, um atacante pode utilizar uma ferramenta de varredura de ping, como fpingou gping, que executa ping sistematicamente em todos os endereços de rede em um determinadointervalo ou sub-rede. Isso é semelhante a consultar uma seção de uma agenda telefônica e ligar para todos os números para saber quem atenderá.

Quando os endereços IP ativos são identificados, o intruso utiliza um scanner de porta paradeterminar quais serviços de rede ou portas estão ativos nos endereços IP ativos. Scanner de porta éum software, como Nmap ou Superscan, projetado para pesquisar portas abertas em um host derede. O scanner de porta consulta as portas para determinar o tipo de aplicativo e a versão, bemcomo o tipo e a versão do sistema operacional (OS) em execução no host de destino. Com basenessas informações, o intruso pode determinar se existe uma vulnerabilidade que possa ser explorada. Conforme mostrado na figura, uma ferramenta de exploração de rede, como Nmap, podeser utilizada para realizar a detecção de host, a verificação de porta e as detecções de versão e doOS. Muitas dessas ferramentas estão disponíveis e são fáceis de utilizar.

Os atacantes internos podem tentar "interceptar" o tráfego da rede.

Detecção de rede e detecção de pacotes são termos comuns para interceptação. As informaçõescoletadas com a interceptação podem ser utilizadas para realizar outros ataques à rede.

Dois usos comuns da interceptação são estes:

z Coleta de informações – os intrusos na rede conseguem identificar nomes de usuário,senhas ou informações transportadas em um pacote.

z Roubo de informações – o roubo pode ocorrer à medida que os dados são transmitidos pelarede interna ou externa. O intruso na rede também pode roubar dados de computadores emrede, obtendo acesso não autorizado. Entre os exemplos estão a invasão ou a interceptaçãoem instituições financeiras e a obtenção de números de cartão de crédito.

Um exemplo de dados suscetíveis à interceptação é o SNMP versão 1 das strings comunitárias,enviadas em texto não criptografado. SNMP é um protocolo de gerenciamento que fornece um meio

para que dispositivos de rede coletem informações sobre seu status e as enviem para umadministrador. Um intruso pode interceptar consultas SNMP e coletar dados importantes sobre aconfiguração do equipamento de rede. Outro exemplo é a captura de nomes de usuário e senhas namedida em que eles atravessam uma rede.

Um método comum para interceptar a comunicação é capturar o TCP/IP ou outros pacotes deprotocolo e decodificar o conteúdo utilizando um analisador de protocolo ou utilitário semelhante. Umexemplo desse programa é o Wireshark, que você tem utilizado muito ao longo de todos os cursos doExploration. Depois de serem capturados, os pacotes podem ser examinados em busca deinformações vulneráveis.

Três dos métodos mais efetivos para contra-atacar a interceptação são os seguintes:

z Utilizar redes comutadas, e não hubs, para que o tráfego não seja encaminhado para todas asextremidades ou hosts de rede.

z Utilizar uma criptografia que atenda às necessidades de segurança dos dados da organizaçãosem que haja a imposição de uma carga excessiva sobre os recursos ou os usuários dosistema.

z Implementar e aplicar uma diretiva de política que proíba a utilização de protocolos comsuscetibilidades conhecidas à interceptação. Por exemplo, como o SNMP versão 3 podecriptografar community strings, uma empresa pode proibir a utilização do SNMP versão 1, maspermitir o SNMP versão 3.





p g y g

A criptografia fornece proteção para dados suscetíveis a ataques de interceptação, crackers desenha ou manipulação. Praticamente toda empresa tem transações que poderiam ter consequênciasnegativas se fossem exibidas por um interceptador. A criptografia assegura que, quando dadosconfidenciais passarem por um meio suscetível à interceptação, eles não poderão ser alterados ouobservados. A descriptografia é necessária quando os dados alcançam o host de destino.

Um método de criptografia é chamado de criptografia apenas de payload. Este método criptografa aseção de payload (seção de dados) depois de um protocolo (UDP) ou cabeçalho TCP. Isso permite aroteadores e switches com IOS Cisco ler as informações da camada de rede e encaminhar o tráfegocomo qualquer outro pacote IP. A criptografia apenas de payload permite à comutação de fluxo e atodos os recursos da lista de acesso funcionar com o tráfego criptografado assim como funcionariamcom o tráfego de texto sem formatação, o que preserva qualidade de serviço (QoS) desejada paratodos os dados.Exibir meio visual

Página 3:Ataques de acesso

Os ataques de acesso exploram vulnerabilidades conhecidas em serviços de autenticação, FTP e daWeb para obter acesso a contas da Web, bancos de dados e outras informações confidenciais.

Ataques de senha

Os ataques de senha podem ser implementados utilizando-se um sniffer de pacotes para obter contas de usuário e senhas transmitidas como texto não criptografado. Os ataques de senhanormalmente se referem a tentativas repetidas de login em um recurso compartilhado, como umservidor ou roteador, para identificar uma conta de usuário, senha ou ambos. Essas tentativasrepetidas são chamadas de ataques de dicionário ou ataques de força bruta.

Para realizar um ataque de dicionário, os atacantes podem utilizar ferramentas como L0phtCrack ouCain. Esses programas tentam fazer o login repetidamente como um usuário utilizando palavrasderivadas de um dicionário. Os ataques de dicionário normalmente são bem-sucedidos porque osusuários têm uma tendência de escolher senhas simples, que tenham palavras curtas, únicas ou quesejam variações simples fáceis de adivinhar, como adicionar o número 1 a uma palavra.

Outro método de ataque de senha utiliza tabelas de arco-íris. Tabela de arco-íris é uma série desenhas pré-computadas criada compilando-se cadeias de possíveis senhas de texto sem formatação.Cada cadeia é desenvolvida começando-se por um "chute" escolhido aleatoriamente da senha detexto sem formatação e aplicando-se variações a ela sucessivamente. O software de ataque aplicaráas senhas na tabela de arco-íris até determinar a senha. Para realizar um ataque de tabela de arco-íris, os atacantes podem utilizar uma ferramenta como L0phtCrack.

Uma ferramenta de ataque de força bruta é mais sofisticada porque pesquisa exaustivamenteutilizando combinações de conjuntos de caracteres para computar todas as possíveis palavras-chaveformadas por esses caracteres. A desvantagem é que se precisa de mais tempo para realizar essetipo de ataque. As ferramentas de ataque de força bruta se notabilizaram por determinar senhassimples em menos de um minuto. Senhas maiores, mais complexas, podem demorar dias ousemanas para serem determinadas.

Os ataques de senha podem ser atenuados, instruindo-se os usuários a utilizar senhas complexas eespecificando-se tamanhos mínimos de senha. Os ataques de força bruta podem ser atenuados,restringindo-se o número de tentativas de login malsucedidas. No entanto, um ataque de força bruta





p g y g

também pode ser realizado off-line. Por exemplo, se detectasse uma senha criptografada,interceptando ou acessando um arquivo de configuração, um atacante poderia tentar determinar asenha sem efetivamente estar conectado ao host.

Exploração de confiança

A meta de um ataque de exploração de confiança é comprometer um host confiável, utilizando-o parapreparar ataques em outros hosts de uma rede. Se um host da rede de uma empresa for protegidopor um firewall (host interno), mas puder ser acessado por um host confiável fora do firewall (hostexterno), o host interno poderá ser atacado por meio do host externo confiável.

Os meios utilizados por atacantes para obter acesso ao host externo confiável, bem como osdetalhes da exploração de confiança, não são abordados neste capítulo. Para obter informaçõessobre a exploração de confiança, consulte o curso Networking Academy Network Security.

Os ataques baseados na exploração de confiança podem ser atenuados por meio de restriçõesrígidas quanto aos níveis de confiança em uma rede, por exemplo, VLANs privadas podem ser implantadas em segmentos de serviço público nos quais há vários servidores públicos disponíveis.Sistemas fora de um firewall jamais devem ser totalmente confiáveis por sistemas dentro de umfirewall. Essa confiança deve ser limitada a protocolos específicos, devendo ser autenticada por algoque não seja um endereço IP, sempre que possível.

Redirecionamento de porta

Um ataque de redirecionamento de porta é um tipo de ataque de exploração de confiança que utilizaum host comprometido para transmitir tráfego por meio de um firewall que, do contrário, estariabloqueado.

Considere um firewall com três interfaces e um host em cada uma delas. O host externo podealcançar o host no segmento de serviços públicos, mas não o host interno. Esse segmento acessívelpublicamente é normalmente chamado de zona desmilitarizada. O host no segmento de serviçospúblicos pode alcançar o host tanto externo quanto interno. Se pudessem comprometer o host dosegmento de serviços públicos, os atacantes conseguiriam instalar um software para redirecionar otráfego do host externo diretamente para o host interno. Embora nenhuma comunicação viole asregras implementadas no firewall, o host externo agora tem conectividade com o host interno por meio do processo de redirecionamento de porta no host de serviços públicos. Um exemplo de umutilitário que pode fornecer esse tipo de acesso é o netcat.

O redirecionamento de porta pode ser atenuado principalmente por meio do uso de modelosconfiáveis próprios, específicos da rede (conforme mencionado anteriormente). Quando um sistemaestá sob ataque, um sistema de detecção de invasão baseado em host pode ajudar a detectar umatacante e impedir a instalação desses utilitários em um host.

Ataque de interceptação

Um ataque de interceptação (MITM) é realizado por atacantes que conseguem se posicionar entredois hosts legítimos. O atacante pode permitir a ocorrência das transações normais entre os hosts esó manipular periodicamente a conversa entre os dois.

Há muitas formas com as quais um atacante consegue ficar entre dois hosts. Os detalhes dessesmétodos estão além do escopo deste curso, mas uma descrição resumida de um método popular, oproxy transparente, ajuda a ilustrar a natureza dos ataques MITM.

Em um ataque de proxy transparente, um atacante pode capturar uma vítima com um email dephishing ou desfigurando um site. Dessa forma, a URL de um site legítimo recebe a URL adicional





p g y g

dos atacantes (antecedido). Por exemplo, http:www.legitimate.com se tornahttp:www.attacker.com/http://www.legitimate.com.

1. Quando uma vítima solicita uma página Web, o host da vítima faz a solicitação ao host doatacante.

2. O host do atacante recebe a solicitação e busca a página real no site legítimo.

3. O atacante pode alterar a página Web legítima e desfigurar qualquer dado desejado.

4. O atacante encaminha a página solicitada à vítima.

Outras classificações de ataques MITM são potencialmente ainda mais perigosas. Se conseguiremficar em uma posição estratégica, os atacantes poderão roubar informações, sequestrar uma sessãoem andamento para obter acesso a recursos de rede privada, realizar ataques DoS, danificar dadostransmitidos ou introduzir novas informações em sessões de rede.

A atenuação de ataques MITM de WAN é obtida utilizando-se túneis VPN, que permitem ao atacantever apenas o texto criptografado, indecifrável. Os ataques MITM de rede local utilizam ferramentascomo ettercap e envenenamento ARP. Grande parte da atenuação de ataques MITM de rede localnormalmente pode ser feita configurando-se a segurança de porta nos switches de rede local.Exibir meio visual

Página 4:Ataques DoS

Os ataques DoS são a forma mais conhecida de ataque e está entre os mais difíceis de eliminar.Mesmo na comunidade de atacantes, os ataques DoS são considerados triviais e ruins porque nãoexigem muito esforço para que sejam executados. Mas por conta da facilidade em suaimplementação e dos danos potencialmente significativos, os ataques DoS merecem atençãoespecial dos administradores de segurança.

Os ataques DoS assumem muitas formas. Eles acabam impedindo as pessoas autorizadas de utilizar um serviço, consumindo recursos do sistema. Estes são alguns exemplos das ameaças DoS maiscomuns:

Clique no botão Ping da morte na figura.

O ataque de ping da morte ganhou popularidade ainda nos anos 90. Ele usufruía as vulnerabilidadesnos sistemas operacionais mais antigos. Esse ataque modificava a porção IP de um cabeçalho dopacote de ping para indicar que havia mais dados no pacote do que existia efetivamente. Um pingnormalmente tem 64 ou 84 bytes, enquanto um ping da morte pode ter até 65.536 bytes. Enviar umping desse tamanho pode travar um computador alvo mais antigo. A maioria das redes não é maissuscetível a esse tipo de ataque.

Clique no botão Envio SYN na figura.

Um ataque de envio SYN explora o handshake tridirecional TCP. Isso envolve o envio de váriassolicitações SYN (mais de 1.000) para um servidor de destino. O servidor responde com a respostaSYN-ACK habitual, mas o host mal-intencionado nunca responde com o ACK final para concluir ohandshake. Isso trava o servidor até que ele acaba ficando sem recursos e não consegue responder a uma solicitação válida de host.





p g y g

Entre outros tipos de ataques DOS estão:

z Bombardeamentos de email – os programas enviam emails em massa para indivíduos, listasou domínios, monopolizando os serviços de email.

z Applets mal-intencionados – esses ataques são programas Java, JavaSc ript ou Ac tiveX quec ausam a destruição ou o travamento dos rec ursos do c omputador.

Ataques DDoS

Os ataques de negação de serviço distribuído (DDoS) foram projetados para saturar links de redec om dados ilegítimos. Esses dados podem sobrec arregar um link da Internet, o que c ausa o desc artede tráfego legítimo. O DDoS utiliza métodos de ataque semelhantes a ataques DoS padrão, masfunc iona em uma esc ala muito maior. Normalmente, c entenas ou milhares de pontos de ataquetentam sobrec arregar um destino.

Clique no botão DDoS na figura.

Normalmente, há três c omponentes em um ataque de DDoS.

z Há um c liente que normalmente é a pessoa que inic ia o ataque.z Gerenc iador é um host c omprometido no qual o programa atac ante está em exec ução e c ada

gerenc iador é c apaz de c ontrolar vários agentesz Agente é um host c omprometido no qual o programa atac ante está em exec ução, sendo o

responsável pela geração de um fluxo de pac otes c om destino à vítima desejada

Entre os exemplos de ataques DDoS estão os seguintes:

z Ataque SMURFz Tribe flood network (TFN)z Stac heldrahtz MyDoom

Clique no botão Ataque Smurf na figura.

O ataque Smurf utiliza mensagens de ping transmitidas falsific adas para inundar um sistemadesejado. Ele c omeça c om um atac ante enviando um grande número de solic itações de ec o ICMPpara o endereço de broadc ast de rede utilizando endereços IP de origem falsific ados válidos. Umroteador poderia exec utar a função de broadc ast da Camadas 3 para a Camada 2, e a maioria doshosts responderá, c ada um, c om uma resposta de ec o ICMP, multiplic ando o tráfego pelo número dehosts que respondem. Em uma rede de broadc ast multiac esso, talvez haja c entenas de máquinasrespondendo a todos os pac otes de ec o.

Por exemplo, c onsideremos que a rede tenha 100 hosts e que o atac ante tenha um link T1 de altodesempenho. O atac ante envia um fluxo de 768 kb/s em solic itações de ec o ICMP c om um endereçode origem falsific ado da vítima para o endereço de broadc ast de uma rede de destino (c hamado deum site de reflexo). Esses pac otes de ping c hegam ao site de reflexo na rede de broadc ast de 100hosts, e c ada um deles pega e responde o pac ote, o que c ria 100 respostas de ping de saída. Umtotal de 76,8 megabits por segundo (Mb/s) de largura de banda é utilizado de saída no site de reflexodepois que o tráfego é multiplic ado. Em seguida, ele é enviado para a vítima ou para a origemfalsific ada dos pac otes de origem.





p g y g

A desativação do rec urso de broadc ast direc ionado na infraestrutura de rede impede a rede de ser utilizada c omo um site de reflexo. O rec urso de broadc ast direc ionado é desativado por padrão nosoftware IOS Cisc o desde a versão 12.0.

Os ataques DoS e DDoS podem ser atenuados, implementando-se a antifalsific ação espec ial e aslistas de c ontrole de ac esso anti-DoS. Os ISPs também podem implementar taxa de tráfego,limitando a quantidade de tráfego não essenc ial que atravessa segmentos de rede. Um exemploc omum é limitar a quantidade de tráfego ICMP permitido em uma rede, porque esse tráfego só éutilizado para fins de diagnóstic o.

Os detalhes da operação desses ataques estão além do esc opo deste c urso. Para obter maisinformações, c onsulte o c urso Networking Ac ademy Network Sec urity.Exibir meio visual

Página 5:Ataques de código malicioso

As princ ipais vulnerabilidade para estações de trabalho de usuário final são worms, vírus e ataquesde c avalo-de-Troia.

Um worm exec uta c ódigo e instala c ópias na memória do c omputador infec tado, o que pode, por suavez, infec tar outros hosts.

Vírus é um software malic ioso anexado a outro programa c om a finalidade de exec utar umadeterminada função indesejável em uma estação de trabalho.

Um c avalo-de-Troia é diferente de um worm ou vírus apenas porque todo o aplic ativo foi esc rito paraser semelhante a alguma c oisa, quando, na verdade, é uma ferramenta de ataque.

Worms

A anatomia de um ataque de worm é a seguinte:

z A vulnerabilidade de habilitação – um worm se instala, explorando vulnerabilidadesc onhec idas em sistemas, c omo usuários finais ingênuos que abrem anexos de exec utáveisnão verific ados em emails.

z Mecanismo de propagação – depois de obter ac esso a um host, um worm se c opia paraesse host e, em seguida, esc olhe novos destinos.

z Payload – depois que um host é infec tado por um worm, o atac ante tem ac esso ao host,normalmente c omo um usuário privilegiado. Os atac antes poderiam utilizar uma exploraçãoloc al para esc alonar seu nível de privilégio até administrador.

Normalmente, worms são programas autossufic ientes que atac am um sistema e tentam explorar umavulnerabilidade espec ífic a no destino. Assim que houver a exploração bem-suc edida davulnerabilidade, o worm c opia seu programa do host de ataque para o sistema rec ém-explorado parac omeçar tudo novamente. Em janeiro de 2007, um worm infec tou a c onhec ida c omunidade MySpac e.Usuários c onfiáveis habilitaram a propagação do worm, que c omeçou a se replic ar nos sites dosusuários c om a desfiguração "w0rm.Eric Andrew".

A atenuação de ataques de worm exige diligênc ia por parte da equipe administradora do sistema ede rede. A c oordenação entre as equipes de administração do sistema, de engenharia da rede e dasoperações de segurança é essenc ial na resposta efetiva a um inc idente de worm. Estas são as





p g y g

etapas recomendadas para a atenuação de ataques de worm:

z Contenção – contenha a difusão do worm na rede e dentro dela. Isole as partes nãoinfectadas da rede.

z Inoc ula ção – comece aplicando patches a todos os sistemas e, se possível, verificando se hásistemas vulneráveis.

z

Qua rentena – monitore todas as máquina infectadas dentro da rede. Desconecte, remova oubloqueie máquinas infectadas na rede.z Tra ta mento – Limpe e aplique um patch a todos os sistemas infectados. Alguns worms podem

exigir reinstalações completas para limpar o sistema.

Vírus e c a v a los-de-Troia

Vírus é um software malicioso anexado a outro programa para executar uma determinada funçãoindesejável em uma estação de trabalho. Um exemplo é um programa anexado ao command.com (ointerpretador principal de sistemas Windows) e exclui determinados arquivos, além de infectar todasas outras versões de command.com que conseguir localizar.

Um cavalo-de-Troia é diferente apenas porque todo o aplicativo foi escrito para ser semelhante aalguma coisa, quando, na verdade, é uma ferramenta de ataque. Um exemplo de um cavalo-de-Troiaé um aplicativo que executa um simples jogo em uma estação de trabalho. Enquanto o usuário estáocupado com o jogo, o cavalo-de-Troia envia uma cópia para todos os endereços na agenda deendereços do usuário. Os outros usuários recebem o jogo e o executam, o que difunde o cavalo-de-Troia para os endereços em todas as agendas de endereços.

Um vírus normalmente exige um mecanismo de entrega – um vetor – como um arquivo zip ou algumoutro arquivo executável anexado a um email, para transportar o código do vírus de um sistema paraoutro. O principal elemento que distingue um worm de um vírus de computador é essa interaçãohumana necessária à facilitação da difusão de um vírus.

Esses tipos de aplicativos podem ser contidos por meio do uso efetivo de software antivírus no nível

do usuário e, possivelmente, no nível da rede. Um software antivírus pode detectar a maioria dosvírus e muitos aplicativos de cavalo-de-Troia, além de impedir sua difusão na rede. Manter-seatualizado em relação aos desenvolvimento mais recentes quanto a esses tipos de ataques tambémpode levar a uma postura mais efetiva relacionada a esses ataques. Na medida em que novos vírusou aplicativos de cavalo-de-Troia são liberados, as empresas precisam se manter atualizadas quantoàs versões mais atuais do software antivírus.

Sub7, ou subseven, é um cavalo-de-Troia comum que instala um programa backdoor em sistemas deusuários. Ele é conhecido tanto por ataques não estruturados quanto estruturados. Por ser umaameaça não estruturada, atacantes inexperientes podem utilizar o programa de forma que oscursores do mouse desapareçam. Como uma ameaça estruturada, os crackers podem utilizá-lo parainstalar keystroke loggers (programas que registram todas as teclas pressionadas pelo usuário) paracapturar informações confidenciais.

Exibir meio visual

4.1.4 Técnicas de atenuação gerais

Página 1:Segura nça ba sea da em host e em servidor

Dispositivo forta lec ido





p g y g

Quando um novo sistema operacional é instalado em um computador, as configurações desegurança são definidas de acordo com os valores padrão. Na maioria dos casos, esse nível desegurança é inadequado. Existem alguns passos simples que devem ser dados e que se aplicam àmaioria dos sistemas operacionais:

z

Nomes de usuário e senhas padrão devem ser alterados imediatamente.z O acesso a recursos do sistema deve ser restrito apenas aos indivíduos com autorização parautilizá-los.

z Qualquer serviço e aplicativo desnecessário deve ser desativado e desinstalado, quandopossível.

A seção 4.2, "Protegendo roteadores Cisco", descreve um dispositivo fortalecido com mais detalhes.

É essencial proteger hosts de rede, como PCs de estação de trabalho e servidores. Esses hostsprecisam ser protegidos quando adicionados à rede, devendo ser atualizados com patches desegurança assim que essas atualizações forem disponibilizadas. Passos adicionais podem ser dadospara proteger esses hosts. Antivírus, firewall e detecção de invasão são ferramentas importantes que

podem ser utilizadas para proteger hosts de rede. Como muitos recursos de negócio podem estar emum único servidor de arquivos, é especialmente importante que os servidores sejam acessíveis eestejam disponíveis.

Software antivírus

Instale um software antivírus de host para se proteger de vírus conhecidos. Um software antivíruspode detectar a maioria dos vírus e muitos aplicativos de cavalo-de-Troia, além de impedir suadifusão na rede.

O software antivírus faz isso de duas formas:

z Ele verifica arquivos, comparando seu conteúdo com vírus conhecidos de um dicionário de

vírus. As correspondências são sinalizadas de maneira definida pelo usuário final.z Ele monitora processos suspeitos em execução em um host que possam indicar infecção.

Essa monitoração pode incluir capturas de dados, monitoração de porta e outros métodos.

O software antivírus comercial, em sua maioria, utiliza todas essas abordagens.

Clique no botão Antivírus na figura.

Atualize o software antivírus sempre.

Firewall pessoal

Computadores pessoais conectados à Internet por meio de uma conexão dial-up, DSL ou modems acabo são tão vulneráveis quanto redes corporativas. Os firewalls pessoais residem no PC do usuárioe tentam impedir ataques. Os firewalls pessoais não foram projetados para implementações de redelocal, como firewalls baseados em dispositivo ou servidor, e eles podem impedir o acesso à rede seinstalados com outros clientes de rede, serviços, protocolos ou adaptadores.

Clique no botão Firewalls pessoais na figura.

Entre alguns dos fornecedores de firewall pessoal estão McAfee, Norton, Symantec e Zone Labs.





p g y g

Patches do sistema operacional

A maneira mais efetiva de atenuar um worm e suas variantes é baixando atualizações de segurançado fornec edor do sistema operac ional e aplic ar o patc h a todos os sistemas vulneráveis. Isso é difíc ilc om sistemas de usuário sem c ontrole na rede loc al, e ainda mais problemátic o c aso esses sistemasestejam c onec tados remotamente à rede por meio de uma rede virtual privada (VPN) ou servidor deac esso remoto (RAS). A administração de vários sistemas envolve a c riação de uma imagem desoftware padrão (sistema operac ional e aplic ativos aprovados c om autorização para serem utilizadosem sistemas de c lientes implantados) implantada em sistemas novos ou melhorados. Essas imagenstalvez não c ontenham os patc hes mais rec entes, e o proc esso de rec riação c ontínuo da imagem paraintegrar o patc h mais rec ente pode se tornar rapidamente algo demorado administrativamente.Aplic ar patc hes a todos os sistemas exige que esses sistemas estejam de alguma forma c onec tadosà rede, o que talvez não seja possível.

Uma solução para o gerenc iamento de patc hes de segurança c ríti c os é c riar um servidor de patc hesc entral c om o qual todos os sistemas devem se c omunic ar após um determinado período. Qualquer patc h não aplic ado a um host é baixado automatic amente no servidor de patc hes e instalado sem aintervenção do usuário.

Além de exec utar atualizações de segurança do fornec edor do OS, a determinação de quaisdispositivos são exploráveis pode ser simplific ada pela utilização de ferramentas de auditoria desegurança que proc uram vulnerabilidades.

Clique no botão Patches do OS na figura.Exibir meio visual

Página 2:Detecção de invasão e prevenção

Os sistemas de detec ção de invasão detec tam ataques a uma rede e enviam logs a uma c onsole degerenc iamento. Os sistemas de prevenção de invasão (IPSs) impedem ataques à rede e devemfornec er os seguintes mec anismos de defesa ativos, além da detec ção:

z Prevenção – impede a exec ução do ataque detec tado.z Reação – imuniza o sistema c ontra ataques futuros de uma origem malic iosa.

Qualquer tec nologia pode ser implementada em um nível de rede ou de host, ou ambos, tendo emvista a máxima proteção.

Sistemas de detecção de invasão baseados em host

A invasão baseada em host c ostuma ser implementada c omo uma tec nologia interna ou passiva,dependendo do fornec edor.

A tec nologia passiva, a primeira geração da tec nologia, é c hamada de sistema de detec ção deinvasão baseado em host (HIDS). O HIDS envia logs a uma c onsole de gerenc iamento após aoc orrênc ia do ataque e do dano.

A tec nologia interna, c hamada de sistema de prevenção de invasão baseado em host (HIPS), naverdade, interrompe o ataque, impede o dano e bloqueia a propagação dos worms e dos vírus.





p g y g

A detecção ativa pode ser definida para fechar a conexão de rede ou parar os serviços afetadosautomaticamente. A ação corretiva pode ser feita imediatamente. A Cisco fornece o HIPS utilizando osoftware Cisco Security Agent.

O software do HIPS deve ser instalado em cada host, no servidor ou no desktop, para monitorar aatividade realizada no host. Esse software é chamado de software agente. O software agenteexecuta a análise da detecção de invasão e a prevenção. O software agente também envia logs ealertas para um servidor centralizado de gerenciamento/política.

A vantagem do HIPS é que ele pode monitorar processos do sistema operacional e proteger recursosessenciais do sistema, inclusive arquivos que talvez só existam nesse determinado host. Issosignifica que ele pode notificar os gerentes de rede quando algum processo externo tentar modificar um arquivo de sistema de forma que possa incluir um programa backdoor.

A figura ilustra uma implantação de HIPS típica. Os agentes são instalados em servidorespublicamente acessíveis, além de servidores de aplicativos e de email corporativo. O agente informaeventos a um servidor de console central localizado dentro do firewall corporativo. Como alternativa,os agentes no host podem enviar logs como email para um administrador.Exibir meio visual

Página 3:Mecanismos de segurança comuns e aplicativos

A segurança é uma das principais considerações durante o planejamento de uma rede. Antes, odispositivo que vinha à mente quando o assunto era segurança de rede era o firewall. Um firewall,por si só, deixou de ser apropriado à proteção de uma rede. É necessária uma abordagem integradaenvolvendo firewall, prevenção de invasão e VPN.

Uma abordagem integrada em relação à segurança, além dos dispositivos necessários para que elaaconteça, segue estes componentes básicos:

Controle de ameaça – controla o acesso à rede, isola sistemas infetados, impede intrusões eprotege ativos, contra-atacando tráfego malicioso, como worms e vírus. Os dispositivos que fornecemsoluções em controle de ameaça são:

z Mecanismos de segurança Cisco série ASA 5500 Adaptivez Roteadores de serviços integrados (ISRs)z Network Admission Control, controle de admissão de redez Cisco Security Agent for Desktopsz Sistemas de prevenção de invasão Cisco

Comunicações seguras – protege extremidades da rede com VPN. Os dispositivos que permitem a

uma organização implantar VPN são roteadores Cisco ISR com a solução em VPN do IOS Cisco e osswitches Cisco 5500 ASA e Cisco Catalyst 6500.

Controle de admissão de rede (NAC) – fornece um método baseado em funções para impedir oacesso não autorizado a uma rede. A Cisco oferece um dispositivo NAC.

Software IOS Cisco em roteadores de serviços integrados (ISRs) Cisco

A Cisco fornece muitas das medidas de segurança obrigatórias para os clientes dentro do softwareIOS Cisco. O software IOS Cisco fornece serviços internos IOS Cisco Firewall, IPsec, SSL VPN e IP.





p g y g

Mecanismo de segurança Cisco série ASA 5500 Adaptive

Houve um momento em que o firewall PIX era o dispositivo que uma rede segura implantaria. O PIXevoluiu até chegar a uma plataforma que integra muitos recursos de segurança diferentes, chamadade Cisco Adaptive Security Appliance (ASA). O Cisco ASA integra firewall, segurança de voz, SSL eIPsec VPN, IP e serviços de segurança de conteúdo em um único dispositivo.

Sensores Cisco IPS série 4200

Para redes maiores, um sistema de prevenção de invasão interno é fornecido pelos sensores CiscoIP série 4200. Esse sensor identifica, classifica e interrompe o tráfego malicioso na rede.

Dispositivo Cisco NAC

O dispositivo Cisco NAC utiliza a infraestrutura de rede para aplicar a conformidade com a política desegurança em todos os dispositivos que procuram acessar recursos de computação em rede.

Cisco Security Agent (CSA)

O software Cisco Security Agent fornece recursos de proteção contra ameaças para sistemas decomputação em servidor, desktop e ponto de serviço (POS). O CSA defende esses sistemas contraataques determinados, spyware, rootkits e ataques day-zero.

A cobertura aprofundada desses dispositivos está além do escopo deste curso. Consulte os cursosCCNP: Implementação de redes remotas convergidas seguras e Segurança de rede 1 e 2 para obter mais informações.Exibir meio visual

4.1.5 O ciclo de segurança de rede

Página 1:A maior parte dos incidentes de segurança ocorre porque os administradores de sistema nãoimplementam as contramedidas disponíveis, e os atacantes ou os funcionários insatisfeitos explorama omissão. Por isso, o problema não é apenas alguém confirmar a existência de uma vulnerabilidadetécnica e localizar uma contramedida que funcione. Também é essencial verificar se a contramedidaestá implantada e funcionando corretamente.

Para auxiliar na conformidade de uma política de segurança, o Ciclo de segurança, um processocontínuo se mostrou uma abordagem efetiva. O Ciclo de segurança incentiva novos testes e areaplicação de medidas de segurança atualizadas regularmente.

Para começar o processo do Ciclo de segurança, primeiro desenvolva uma política de segurança quepermita a aplicação de medidas de segurança. A política de segurança inclui o seguinte:

z Identifica os objetivos de segurança da organização.z Documenta os recursos a serem protegidos.z Identifica a infraestrutura de rede com mapas atuais e inventários.z Identifica os recursos essenciais que precisam ser protegidos, como pesquisa e

desenvolvimento, finanças e recursos humanos. Isso se chama análise de risco.

A política de segurança é o ponto no qual as quatro etapas do Ciclo de segurança se baseiam. As





p g y g

etapas são proteger, monitorar, testar e melhorar.

Etapa 1. Proteger

Proteja a rede, aplicando a política de segurança e implementando as seguintes soluções emsegurança:

z Proteção contra ameaçasz Inspeção stateful e filtragem de pacote – filtre o tráfego da rede para permitir somente

tráfego e serviços válidos.

Nota: a inspeção stateful se refere a um firewall que mantém informações sobre o estado de umaconexão em uma tabela de estados de forma que ele possa reconhecer alterações feitas na conexãoque poderiam indicar que um atacante está tentando capturar uma sessão ou manipular umaconexão.

z Sistemas de prevenção de invasão – implantados nos níveis de rede e de host para parar otráfego malicioso ativamente.

z Patches de vulnerabilidade – aplique correções ou medidas para parar a exploração quantoa vulnerabilidades conhecidas.

z Desabilitar serviços desnecessários – quanto menos serviços habilitados, mais difícil serápara os atacantes obter acesso.

Conectividade segura

z VPNs – criptografe tráfego da rede para impedir a divulgação indesejável a indivíduos semautorização ou maliciosos.

z Confiança e identidade – implemente restrições plenas quanto a níveis de confiança dentrode uma rede. Por exemplo, sistemas fora de um firewall jamais devem ser totalmenteconfiáveis por sistemas dentro de um firewall.

z Autenticação – só dê acesso a usuários autorizados. Um exemplo disso é a utilização desenhas únicas.

z Aplicação da política – assegure-se de que os usuários e os dispositivos finais estejam emconformidade com a política corporativa.

Etapa 2. Monitorar

A monitoração de segurança envolve métodos ativo e passivo de detecção das violações àsegurança. O método ativo mais utilizado é auditar arquivos de log em nível de host. A maioria dossistemas operacionais inclui funcionalidade de auditoria. Os administradores de sistema devemhabilitar o sistema de auditoria em todos os hosts na rede e devem parar para verificar e interpretar

as entradas do arquivo de log.

Entre os métodos passivos estão a utilização de dispositivos IDS para detectar invasõesautomaticamente. Esse método requer menos atenção por parte dos administradores de segurançada rede do que os métodos ativos. Esses sistemas podem detectar violações à segurança em temporeal, podendo ser configurados para responder automaticamente antes que um intruso cause algumdano.

Um benefício a mais de monitoração da rede é verificar se as medidas de segurança implementadasna etapa 1 do Ciclo de segurança foram configuradas e estão funcionando corretamente.





p g y g

Etapa 3. Testar

Na fase de testes do Ciclo de segurança, as medidas de segurança são testadas de maneiraproativa. Especificamente, a funcionalidade das soluções em segurança implementadas na etapa 1 eos métodos de auditoria do sistema e de detecção de invasão implementados na etapa 2 sãoverificados. Ferramentas de avaliação de vulnerabilidade, como SATAN, Nessus ou Nmap, são úteispara testar as medidas de segurança da rede periodicamente nos níveis de rede e de host.

Etapa 4. Melhorar

A fase de melhoria do Ciclo de segurança envolve a análise dos dados coletados durante as fases demonitoração e testes. Essa análise contribui com o desenvolvimento e a implementação demecanismos de melhoria que aumentam a política de segurança e os resultados ao adicionar itens àetapa 1. Para manter uma rede a mais segura possível, o ciclo de segurança deve ser repetidocontinuamente, porque novas vulnerabilidades e riscos à rede estão surgindo todos os dias.

Com as informações coletadas das fases de monitoração e de testes, os IDSs podem ser utilizadospara implementar melhorias à segurança. A política de segurança deve ser ajustada na medida emque novas vulnerabilidades e riscos à segurança são detectados.Exibir meio visual

4.1.6 A política de segurança corporativa

Página 1:O que é uma política de segurança?

Uma política de segurança é um conjunto de diretrizes determinadas para proteger a rede deataques, tanto dentro quanto fora de uma empresa. A formação de uma política começa comperguntas. Como a rede ajuda a organização a atingir sua visão, missão e plano estratégico? Queimplicações os requisitos da empresa têm sobre a segurança da rede, e como esses requisitos setraduzem na aquisição de equipamento especializado e nas configurações carregadas nosdispositivos?

Uma política de segurança beneficia uma organização das seguintes formas:

z Fornece um meio para auditar a segurança de rede existente e comparar os requisitos com oque está implantado.

z Planeje melhorias de segurança, inclusive equipamento, software e procedimentos.z Define as funções e as responsabilidades dos executivos, administradores e usuários da

empresa.z Define qual comportamento é e qual não é permitido.z Define um processo para tratar incidentes de segurança na rede.z

Habilita a implementação de segurança global e a aplicação, funcionando como um padrãoentre sites.z Cria uma base para ação legal se necessário.

Uma política de segurança é um documento vivo, o que significa que ele jamais é concluído, sendocontinuamente atualizado conforme os requisitos de tecnologia e de funcionário mudam. Ele funcionacomo uma ponte entre os objetivos do gerenciamento e os requisitos de segurança específicos.Exibir meio visual





p g y g

Página 2:Funções de uma política de segurança

Uma política de segurança abrangente cumpre estas funções essenciais:

z Protege as pessoas e as informaçõesz Estabelece as regras para o comportamento esperado por parte de usuários, administradores

de sistema e equipes de gerenciamento e segurançaz Autoriza a equipe de segurança a monitorar, testar e investigar z Define e autoriza as consequências de violações

A política de segurança é para todos, inclusive funcionários, contratados, fornecedores e clientes quetenham acesso à rede. No entanto, a política de segurança deve tratar cada um desses grupos demaneira diferente. Cada grupo só deve ver a parte da política apropriada ao seu trabalho e a seunível de acesso à rede.

Por exemplo, uma explicação do porquê algo está sendo feito nem sempre é necessária. Você podesupor que a equipe técnica já sabe por que um determinado requisito foi incluído. Não é provável queos gerentes se interessem pelos aspectos técnicos de um requisito específico; eles talvez só queiramuma visão geral ou o princípio que sustenta o requisito. No entanto, quando sabem por que umcontrole de segurança específico foi incluído, os usuários finais tendem mais a cumprir a política. Por isso, não é provável que um documento atenda às necessidades de todo o público-alvo de umagrande organização.Exibir meio visual

Página 3:Componentes de uma política de segurança

O SANS Institute (http://www.sans.org) fornece diretrizes desenvolvidas em acordo com várioslíderes do setor, inclusive a Cisco, para desenvolver políticas de segurança abrangentes paragrandes e pequenas organizações. Nem todas as organizações precisam de todas essas políticas.

Estas são as políticas de segurança gerais que uma organização pode invocar:

z Declaração de autoridade e escopo – define quem na organização patrocina a política desegurança, quem é responsável por implementá-la e quais áreas são abrangidas pela política.

z Política de utilização aceitável (AUP) – define a utilização aceitável do equipamento e dosserviços de computação, além das medidas de segurança do funcionário apropriadas paraproteger recursos corporativos e informações proprietárias.

z Identificação e política de autenticação – define quais tecnologias a empresa utiliza para

assegurar que apenas pessoal autorizado tenha acesso a seus dados.z Política de acesso à Internet – define o que a empresa irá ou não tolerar em relação à

utilização da conectividade com a Internet por funcionários e convidados.z Política de acesso ao campus – define a utilização aceitável dos recursos de tecnologia no

campus por funcionários e convidados.z Política de acesso remoto – define como os usuários remotos podem utilizar a infraestrutura

de acesso remoto da empresa.z Procedimento de tratamento de incidentes – especifica quem responderá a incidentes de

segurança e como com eles serão tratados.





p g y g

Além dessas seções de política de segurança principais, entre algumas outras que podem ser necessárias em determinadas organizações estão:

z Política de solicitação de acesso à conta – formaliza a conta e o processo de solicitação deacesso dentro da organização. Os usuários e os administradores de sistema que ignoram os

processos padrão para solicitações de conta e acesso podem estar sujeitos à ação legaldentro da organização.z Política de avaliação de aquisição – define as responsabilidades referentes a aquisições

corporativas e define os requisitos mínimos de uma avaliação de aquisição que o grupo desegurança das informações deve realizar.

z Política de auditoria – define políticas de auditoria para assegurar a integridade dasinformações e dos recursos. Isso inclui um processo para investigar incidentes, assegurar aconformidade em relação às políticas de segurança e monitorar a atividade do usuário e dosistema

z Política de importância das informações – define os requisitos para classificar e proteger informações da maneira apropriada segundo o seu nível de importância.

z Política de senha – define os padrões para criar, proteger e alterar senhas fortes.z Política de avaliação de risco – define os requisitos e fornece a autoridade para a equipe de

segurança da informação identificar, avaliar e solucionar riscos à infraestrutura de informaçõesassociada à realização do negócio.z Política de servidor Web global – define os padrões exigidos por todos os hosts da Web.

Com a ampla utilização do email, uma organização talvez também queira aplicar políticasrelacionadas especificamente a email, como:

z Política de email encaminhado automaticamente – documenta a política que restringe oencaminhamento automático de email para um destino externo sem aprovação prévia dogerente ou do diretor apropriado.

z Política de email – define padrões de conteúdo para impedir a maculação da imagem públicada organização.

z Política de spam – define como o spam deve ser informado e tratado.

Entre as políticas de acesso remoto podem estar:

z Política de acesso dial-up – define o acesso dial-up apropriado e sua utilização por pessoalautorizado.

z Política de acesso remoto – define os padrões para conexão com a rede da organização dequalquer host ou rede externa com a organização.

z Política de segurança VPN – define os requisitos para conexões VPN com a rede daorganização.

É preciso observar que os usuários que desafiem ou violem as regras de uma política de segurançapodem estar sujeitos à ação disciplinar, incluindo até mesmo demissão.Exibir meio visual

Página 4:Exibir meio visual





p g y g

4.2 Protegendo roteadores Cisco4.2.1 Problemas de segurança do roteador

Página 1:

A função dos roteadores na segurança de rede

Você sabe que pode criar uma rede local, conectando dispositivos com switches de rede local daCamada 2. Dessa forma, você pode utilizar um roteador para rotear tráfego entre redes diferentescom base em endereços IP da Camada 3.

A segurança do roteador é um elemento essencial em qualquer implantação de segurança. Osroteadores são alvos definitivos para os atacantes de rede. Se um atacante conseguir comprometer eacessar um roteador, isso poderá ajudá-lo. A compreensão das funções que os roteadores realizamna rede ajuda a entender suas vulnerabilidades.

Os roteadores realizam as seguintes funções:

z Anunciam redes e filtram quem pode utilizá-las.z Fornecem acesso a segmentos de rede e sub-redes.

Exibir meio visual

Página 2:Os roteadores são os alvos

Como fornecem gateways para outras redes, os roteadores são alvos óbvios, estando sujeitos avários ataques. Aqui estão alguns exemplos de vários problemas de segurança:

z O comprometimento do controle de acesso pode expor detalhes da configuração de rede, oque facilita ataques a outros componentes da rede.

z O comprometimento das tabelas de rotas pode afetar o desempenho, negar serviços decomunicação da rede e expor dados confidenciais.

z A configuração incorreta de um filtro de tráfego de roteador pode expor componentes internosda rede a verificações e ataques, o que facilita para os atacantes evitar a detecção.

Como os atacantes podem comprometer roteadores de formas diferentes, não há nenhumaabordagem única que os administradores de rede possam utilizar para combatê-los. As formas decomprometimento dos roteadores são semelhantes aos tipos de ataques que você aprendeuanteriormente neste capítulo, inclusive ataques de exploração de confiança, falsificação IP, capturade sessão e ataques MITM.

Nota: esta seção aborda como proteger roteadores. A maioria das práticas recomendadas discutidastambém pode ser utilizada para proteger switches. No entanto, esta seção não aborda ameaças daCamada 2, como endereço MAC com ataques de inundação e STP, porque eles são abordados noCCNA Exploration: Comutação de rede local e rede sem fio.Exibir meio visual





p g y g

Página 3:Protegendo a sua rede

Proteger os roteadores no perímetro da rede é uma etapa inicial importante na proteção da rede.

Pense na segurança do roteador segundo estas categorias:

z Segurança físicaz Atualizar o IOS do roteador sempre que isso for aconselhávelz Fazer o backup da configuração e do IOS do roteador z Reforçar o roteador para eliminar o abuso potencial de portas e serviços não utilizados

Para fornecer segurança física, coloque o roteador em um sala trancada, acessível apenas a pessoalautorizado. Está sala também não deve apresentar qualquer interferência eletrostática ou magnéticae ter controles de temperatura e umidade. Para reduzir a possibilidade de DoS devido a uma falta deenergia, instale um UPS e mantenha componentes sobressalentes à disposição.

Os dispositivos físicos utilizados na conexão com o roteador devem ser armazenados em uma

instalação bloqueada ou devem permanecer em posse de um indivíduo confiável para que não sejamcomprometidos. Um dispositivo livremente à disposição pode ter cavalos-de-Troia ou outro tipo dearquivo executável armazenados.

Provisione o roteador com a quantidade de memória máxima possível. A disponibilidade de memóriapode ajudar na proteção contra alguns ataques DoS, ao mesmo tempo em que dá suporte a váriosserviços de segurança.

Os recursos de segurança em um sistema operacional evoluem com o passar do tempo. No entanto,a versão mais recente de um sistema operacional talvez não seja a mais estável disponível. Paraobter o melhor desempenho em termos de segurança do seu sistema operacional, utilize o releaseestável mais recente que atenda aos requisitos de recursos da sua rede.

Sempre tenha uma cópia de backup de uma configuração e do IOS disponível em caso de falha deum roteador. Mantenha uma cópia segura da imagem do sistema operacional do roteador e doarquivo de configuração do roteador em um servidor TFTP para fins de backup.

Proteja o roteador para torná-lo o mais seguro possível. Um roteador tem muitos serviços habilitadospor padrão. Muitos desses serviços são desnecessários e talvez sejam utilizados por um atacante nacoleta de informações ou na exploração. Você deve proteger a configuração do seu roteador,desabilitando serviços desnecessários.Exibir meio visual

4.2.2 Aplicando recursos de segurança do IOS Cisco a roteadores

Página 1:Para configurar recursos de segurança em um roteador, você precisa de um plano para todas asetapas de configuração da segurança do IOS Cisco.

A figura mostra as etapas para proteger um roteador. As cinco primeiras etapas são abordadas nestecapítulo. Embora sejam discutidas no próximo capítulo, as listas de controle de acesso (ACLs)formam uma tecnologia essencial, devendo ser configuradas para controlar e filtrar o tráfego da rede.Exibir meio visual





p g y g

4.2.3 Gerenciar a segurança do roteador

Página 1:A segurança básica do roteador consiste em configurar senhas. Uma senha forte é o elemento maisimportante no controle do acesso seguro a um roteador. Por essa razão, senhas fortes devem ser configuradas sempre.

Entre as boas práticas de senha estão as seguintes:

z Não anote e deixe as senhas em locais óbvios, como sua mesa ou em seu monitor.z Evite palavras de dicionários, nomes, números de telefone e datas. A utilização de palavras de

dicionários torna as senhas vulneráveis a ataques de dicionário.z Combine letras, números e símbolos. Inclua pelo menos uma letra minúscula, uma letra

maiúscula, um dígito e um caracter especial.z Escreva incorretamente uma palavra em uma senha de maneira deliberada. Por exemplo,

Smith pode ser escrito Smyth ou também incluir números, como 5mYth. Outro exemplo podeser Security escrito como 5ecur1ty.

z

Crie senhas extensas. A prática recomendada é ter pelo menos oito caracteres. Você podeaplicar o tamanho mínimo utilizando um recurso disponível em roteadores Cisco, discutidoposteriormente neste tópico.

z Altere as senhas com a maior frequência possível. Você deve ter uma política que definaquando e com que frequência as senhas devem ser alteradas. A alteração frequente desenhas tem duas vantagens. Essa prática limita a chance de um hacker conseguir quebrar uma senha e limita a exposição depois que uma senha foi comprometida.

Nota: os espaços à esquerda da senha são ignorados, mas todos os espaços após o primeirocaractere, não.

Frases de acesso

Um método recomendado para a criação de senhas complexas fortes é utilizar frases de acesso.Uma frase de acesso é, basicamente, uma oração ou frase que funciona como uma senha maissegura. Tenha certeza de que a frase seja grande o suficiente para dificilmente ser adivinhada, masfácil o bastante para ser lembrada e digitada com precisão.

Utilize uma oração, uma citação de um livro ou uma letra de música da qual você consiga se lembrar facilmente como base para a sua senha ou frase de acesso. A figura fornece exemplos de frases deacesso.Exibir meio visual

Página 2:Por padrão, o software IOS Cisco deixa senhas em texto sem formatação quando elas são digitadasem um roteador. Isso não é seguro porque qualquer pessoa que esteja passando atrás de vocêenquanto estiver observando a configuração de um roteador pode olhar por cima do seu ombro e ver a senha.

A utilização dos comandos enable password ou username username password password resultaria na exibição dessas palavras-chave durante a observação da configuração em execução.

Por exemplo:





p g y g

R1(config)# username Student password cisco123R1(config)# do show run | include usernameusername Student password 0 cisco123R1(config)#

O 0 exibido na configuração em execução indica que a senha não está oculta.

Por essa razão, todas as senhas devem ser criptografadas em um arquivo de configuração. O IOSCisco fornece dois esquemas para proteção de senha:

z Criptografia simples chamada esquema tipo 7. Ela utiliza o algoritmo de criptografia definidopela Cisco e ocultará a senha utilizando um algoritmo de criptografia simples.

z Criptografia complexa chamada esquema tipo 5. Ela utiliza um hash MD5 mais seguro.

A criptografia tipo 7 pode ser utilizada pelos comandos enable password, username e linepassword que incluem vty, console e porta auxiliar. Ela não oferece muita proteção porque só ocultaa senha que utiliza um algoritmo de criptografia simples. Embora não seja tão segura quanto a

criptografia tipo 5, ela ainda é melhor que não ter criptografia.

Para criptografar senhas utilizando a criptografia tipo 7, utilize o comando de configuração globalservice password-encryption conforme exibido na figura. Esse comando impede que senhasexibidas na tela sejam legíveis.

Por exemplo:

R1(config)# service password-encryptionR1(config)# do show run | include usernameusername Student password 7 03075218050061R1(config)#

O 7 exibido na configuração em execução indica que a senha está oculta. Na figura, você pode ver que a senha da linha console agora está oculta.

Clique no botão Configurar senha na figura.

A Cisco recomenda que a criptografia Tipo 5 seja utilizada em lugar da Tipo 7 sempre que possível.A criptografia MD5 é um método de criptografia forte. Ela deve ser utilizada sempre que possível. Elaé configurada, substituindo-se a palavra-chave password por secret.

Por isso, para proteger o nível EXEC privilegiado o máximo possível, sempre configure o comandoenable secret conforme mostrado na figura. Também tenha certeza de que a enable secret sejaexclusiva e de que não corresponda a nenhuma outra senha de usuário.Um roteador sempre utilizará a enable secret sem detrimento da enable password. Por essa razão, o

comando enable password jamais deve ser configurado, porque pode fornecer a senha de umsistema.

Nota: se você se esquecer da senha do modo EXEC privilegiado, será preciso executar oprocedimento de recuperação de senha. Esse procedimento será abordado posteriormente nestecapítulo.

Os nomes de usuário do banco de dados local também devem ser configurados utilizando-se ocomando de configuração global username username secret password . Por exemplo:





p g y g

R1(config)# username Student secret ciscoR1(config)# do show run | include usernameusername Student secret 5 $1$z245$lVSTJzuYgdQDJiacwP2Tv/R1(config)#

Nota: alguns processos talvez não possam utilizar senhas criptografadas tipo 5. Por exemplo, PAPutiliza senhas de texto não criptografado, não podendo utilizar senhas criptografadas MD5.

Clique no botão Tamanho da senha na figura.

O software IOS Cisco release 12.3(1) e posteriores permitem aos administradores definir o tamanhomínimo em caracteres para todas as senhas do roteador utilizando o comando de configuraçãoglobal security passwords min-length, conforme mostrado na figura. Esse comando fornece melhor acesso de segurança ao roteador, permitindo especificar um tamanho de senha mínimo, eliminandosenhas comuns que prevaleçam na maioria das redes, como "laboratório" e "cisco".

Esse comando afeta todas as novas senha de usuário, senhas de habilitar e segredos, além desenhas da linha criadas depois que o comando foi executado. O comando não afeta senhas deroteador existentes.Exibir meio visual

4.2.4 Protegendo o acesso administrativo remoto a roteadores

Página 1:Protegendo o acesso administrativo a roteadores

Os administradores de rede podem se conectar local ou remotamente a um roteador ou switch. Por ser seguro, o acesso local pela porta console é o modo preferencial para um administrador seconectar a um dispositivo. Na medida em que as empresas ficam maiores e o número de roteadorese switches na rede cresce, a carga de trabalho do administrador para se conectar localmente a todosos dispositivos pode se tornar excessiva.

O acesso administrativo remoto é mais prático do que o acesso local para administradores quetenham muitos dispositivos para gerenciar. No entanto, se ele não for implementado com segurança,um atacante poderá coletar informações confidenciais importantes. Por exemplo, a implementaçãodo acesso administrativo remoto utilizando Telnet pode ser muito insegura porque Telnet encaminhatodo o tráfego de rede em texto não criptografado. Um atacante poderia capturar o tráfego da redeenquanto um administrador tivesse feito login remotamente em um roteador e detectar as senhas ouas informações de configuração do roteador. Por isso, o acesso administrativo remoto deve ser configurado com precauções de segurança adicionais.

Para proteger o acesso administrativo a roteadores e switches, primeiro você protegerá as linhasadministrativas (VTY, AUX) e, em seguida, configurará o dispositivo de rede para criptografar otráfego em um túnel SSH.Exibir meio visual

Página 2:Acesso administrativo remoto com Telnet e SSH

Ter acesso remoto a dispositivos de rede é essencial para gerenciar uma rede de maneira efetiva. Oacesso remoto normalmente envolve a permissão de Telnet, Shell Seguro (SSH), HTTP, HTTP





p g y g

Seguro (HTTPS) ou conexões SNMP no roteador em um computador nas mesmas redesinterconectadas do roteador.

Se o acesso remoto for obrigatório, as suas opções serão as seguintes:

z Estabelecer uma rede de gerenciamento dedicada. A rede de gerenciamento deve incluir

apenas hosts de administração identificados e conexões com dispositivos de infraestrutura.Isso poderia ser obtido utilizando-se uma VLAN de gerenciamento ou uma rede física adicionalà qual conectar os dispositivos.

z Criptografar todo o tráfego entre o computador do administrador e o roteador. Em qualquer umdos casos, um filtro de pacote pode ser configurado para permitir apenas os hosts deadministração identificados e o protocolo para acessar o roteador. Por exemplo, só permita oendereço IP do host de administração iniciar uma conexão SSH com os roteadores na rede.

O acesso remoto não se aplica apenas à linha VTY do roteador, mas também às linhas TTY e à portaauxiliar (AUX). As linhas TTY fornecem acesso assíncrono a um roteador utilizando um modem.Embora sejam menos comuns do que já foram, elas ainda existem em algumas instalações. Proteger essas portas é até mesmo mais importante do que proteger portas de terminal locais.

A melhor forma de proteger um sistema é assegurar que sejam aplicados controles apropriados atodas as linhas, inclusive VTY, TTY e AUX.

Os administradores devem ter certeza de que os logins em todas as linhas sejam controladosutilizando um mecanismo de autenticação, mesmo em máquinas teoricamente inacessíveis em redesnão confiáveis. Isso é especialmente importante para linhas VTY e linhas conectadas a modems ououtros dispositivos de acesso remoto.

Os logins podem ser totalmente evitados em qualquer linha, configurando-se o roteador com oscomandos login e no password. Essa é a configuração padrão para VTYs, mas não para TTYs e aporta AUX. Por isso, se essas linhas não forem obrigatórias, assegure-se de que elas sejamconfiguradas com a combinação de comandos login e no password.

Clique no botão Impedir logins para exibir um exemplo.

Controlando VTYs

Por padrão, todas as linhas VTY são configuradas para aceitar qualquer tipo de conexão remota. Por razões de segurança, as linhas VTY devem ser configuradas para aceitar apenas as conexões comos protocolos efetivamente necessários. Isso é feito com o comando transport input. Por exemplo,uma VTY que só deve receber sessões Telnet seria configurada com transport input telnet e umaVTY que permitisse sessões Telnet e SSH teria transport input telnet ssh configurado.

Clique no botão Acesso VTY na figura.

O primeiro exemplo de configuração exibe como configurar a VTY para aceitar apenas as conexõesTelnet e SSH, e o segundo exemplo exibe como configurar a VTY para aceitar apenas conexõesSSH. Se a imagem do IOS Cisco em um roteador der suporte a SSH, será altamente recomendávelhabilitar apenas esse protocolo.

Um dispositivo Cisco tem um número limitado de linhas VTY, normalmente cinco. Quando todas asVTYs estiverem em uso, mais nenhuma conexão remota adicional poderá ser estabelecida. Isso criaa oportunidade para um ataque DoS. Se um atacante conseguir abrir sessões remotas em todas asVTYs do sistema, o administrador legítimo talvez não consiga fazer login. O atacante não precisafazer login para conseguir isso. As sessões podem ser simplesmente abandonadas no prompt de





p g y g

login.

Uma forma de reduzir essa exposição é configurando a última linha VTY para aceitar conexõesapenas de uma única estação de trabalho administrativa específica, enquanto as demais VTYspodem aceitar conexões de qualquer endereço em uma rede corporativa. Isso assegura que pelomenos uma linha VTY esteja disponível para o administrador. Para implementar isso, as ACLs, com ocomando ip access-class na última linha VTY, devem ser configuradas. Essa implementação éabordada no Capítulo 5.

Outra tática útil é configurar timeouts VTY utilizando o comando exec-timeout. Isso impede umasessão ociosa de consumir a VTY indefinidamente. Embora sua efetividade contra ataquesdeliberados seja relativamente limitada, ela fornece alguma proteção contra sessões abandonadasociosas acidentalmente. Da mesma forma, habilitar keepalives TCP em conexões de entradautilizando o comando service tcp-keepalives-in pode ajudar na proteção contra ataques maliciosose sessões abandonadas causadas por falhas em sistemas remotos.

Clique no botão VTY protegido na figura.

A configuração exibe como definir o executive timeout como 3 minutos e habilitar keepalives TCP.Exibir meio visual

Página 3:Implementando SSH em acesso administrativo remoto seguro

Tradicionalmente, o acesso administrativo remoto em roteadores era configurado utilizando-se Telnetna porta TCP 23. No entanto, o Telnet foi desenvolvido quando a segurança não era um problema.Por essa razão, todo o tráfego Telnet é encaminhado em texto claro.

O SSH substituiu o Telnet como a prática recomendada para fornecer à administração do roteador com conexões que dão suporte à privacidade forte e à integridade da sessão. O SSH utiliza a portaTCP 22. Ele fornece funcionalidade semelhante à de uma conexão Telnet de saída, exceto pelaconexão ser criptografada. Com autenticação e criptografia, o SSH permite uma comunicação seguraem uma rede não segura.

Nem todas as imagens do IOS Cisco dão suporte ao SSH. Somente imagens criptográficas podem.Normalmente, essas imagens têm IDs de imagem k8 ou k9 em seus nomes. Os nomes de imagemsão abordados na Seção 5.

O recurso de acesso à linha de terminal SSH permite aos administradores configurar roteadores comacesso seguro e executar as seguintes tarefas:

z Conecte-se a um roteador que tenha várias linhas de terminal conectadas a consoles ouportas seriais de outros roteadores, switches e dispositivos.

z

Simplifique a conectividade com um roteador em qualquer lugar, conectando-se comsegurança ao servidor de terminal em uma determinada linha.z Permita que modems conectados a roteadores sejam utilizados em discagens com segurança.z Exija autenticação em todas as linhas por meio de um nome de usuário e senha definidos

localmente, ou um servidor de segurança, como um servidor TACACS+ ou RADIUS.

Os roteadores Cisco são capazes de agir como o cliente e o servidor SSH. Por padrão, essas duasfunções são habilitadas no roteador quando o SSH é habilitado. Como cliente, um roteador podeexecutar SSH em outro roteador. Como servidor, um roteador pode aceitar conexões clientes SSH.





p g y g

Exibir meio visual

Página 4:Configurando a segurança SSH

Para habilitar o SSH no roteador, os seguintes parâmetros devem ser configurados:

z Hostnamez Nome de domínioz Chaves assimétricas (Asymmetrical keys)z Autenticação local (Local authentication)

Entre os parâmetros de configuração opcionais estão:

z Timeoutsz Novas tentativas (Retries)

As seguintes etapas configuram o SSH em um roteador.

Etapa 1: Definir parâmetros do roteador

Configure o hostname do roteador com o comando hostname hostname no modo de configuraçãoglobal.

Etapa 2: Definir o nome de domínio

Deve haver um nome de domínio para habilitar o SSH. Neste exemplo, digite o comando ip domain-name no modo de configuração global.

Etapa 3: Gerar c haves assimétric as

Você precisa criar uma chave que o roteador utilize para criptografar o seu tráfego de gerenciamentoSSH com o comando c rypto key generate rsa no modo de configuração global. O roteador respondecom uma mensagem que mostra a convenção de nomenclatura para as chaves. Escolha o tamanhodo módulo da chave no intervalo entre 360 e 2.048 para as suas Chaves de finalidade geral. Escolher um módulo de chave maior que 512 pode demorar alguns minutos. Como prática recomendada, aCisco recomenda a utilização de um tamanho de módulo mínimo de 1.024. Você deve saber que ummódulo maior demora mais para ser gerado e utilizado, embora ofereça maior segurança.

Você pode obter mais informações sobre o comando c rypto key no curso Segurança de rede.

Etapa 4: Configurar autentic ação loc al e vty

Você deve definir um usuário local e atribuir uma comunicação SSH a linhas vty conforme mostradona figura.

Etapa 5: Configurar timeouts SSH (opc ional)

Os timeouts fornecem segurança adicional à conexão, encerrando conexões prolongadas, inativas.Utilize os comandos ip ssh time-out seconds e authentic ation-retries integer para habilitar timeouts





p g y g

e novas tentativas de autenticação. Defina o timeout SSH como 15 segundos e o número de novastentativas como 2.

Para se conectar a um roteador configurado com SSH, você precisa utilizar um aplicativo clienteSSH, como PuTTY ou TeraTerm. Você deve ter certeza para escolher a opção SSH e de que elautiliza a porta TCP 22.

Clique no botão Utilizar SSH na figura.

Utilizando o TeraTerm para se conectar com segurança ao roteador R2 com SSH, depois que aconexão é iniciada, R2 exibe um prompt do nome de usuário, seguido por um prompt de senha.Supondo que as credenciais corretas sejam fornecidas, o TeraTerm exibe o prompt do modo EXECusuário do roteador R2.Exibir meio visual


4.2.5 Registrando a atividade do roteador em log

Página 1:Os logs permitem verificar se um roteador está funcionando corretamente ou determinar se ele foicomprometido. Em alguns casos, um log pode mostrar os tipos de testes ou de ataques feitos contrao roteador ou à rede protegida.

A configuração do registro em log (syslog) no roteador deve ser feita cuidadosamente. Envie os logsdo roteador para um host de log designado. O host de log deve ser conectado a uma rede confiávelou protegida ou à interface de um roteador isolada e dedicada. Proteja o host de log, removendotodos os serviços desnecessários e contas. Roteadores oferecem suporte a níveis diferentes deregistro em log. Os oito níveis vão de 0, emergências que indicam que o sistema está instável, a 7para depurar mensagens que incluam todas as informações sobre o roteador.

Os logs podem ser encaminhados para vários locais, inclusive a memória do roteador ou um servidor de syslog dedicado. Um servidor de syslog fornece uma solução melhor, porque todos os dispositivosde rede podem encaminhar seus logs para uma estação central na qual um administrador possaexaminá-los. Um exemplo de um aplicativo para servidores de syslog é o Kiwi Syslog Daemon.

Também considere o envio dos logs para um segundo dispositivo de armazenamento, por exemplo,uma mídia de gravação única ou uma impressora dedicada, para lidar com cenários de pior caso (por exemplo, um comprometimento do host de log).

A coisa mais importante a ser lembrada sobre o registro em log é que os logs devem ser examinadosregularmente. Verificando os logs regularmente, você pode ter a sensação do comportamento normalda sua rede. Uma sólida compreensão da operação normal e de seu reflexo nos logs ajuda aidentificar condições de ataque ou anormalias.

Registros de data e hora precisos são importantes no registro em log. Registros de data e horapermitem rastrear ataques à rede com mais credibilidade. Todos os roteadores são capazes demanter seu próprio horário, mas isso normalmente não basta. Em vez de fazer isso, direcione oroteador para pelo menos dois servidores de horário confiáveis diferentes para assegurar adisponibilidade das informações sobre isso. Um servidor Network Time Protocol (NTP) talvez precise





p g y g

ser configurado para fornecer uma origem de horário sincronizado para todos os dispositivos. Aconfiguração dessa opção está além do escopo deste curso.

Por exemplo:

R2(config)#service timestamps ?debug Timestamp debug messageslog Timestamp log messages<cr>R2(config)#service timestamps

Posteriormente neste capítulo você obterá informações sobre o comando debug. A saída docomando debug também pode ser enviada para logs.Exibir meio visual

4.3 Serviços de rede do roteador seguros4.3.1 Serviços e interfac es vulneráveis do roteador

Página 1:Serviços e interfaces vulneráveis do roteador

Os roteadores Cisco dão suporte a vários serviços de rede nas camadas 2, 3, 4 e 7, conforme adescrição na figura. Alguns desses serviços são os protocolos da camada de aplicativo que permitemaos usuários e aos processos do host se conectar ao roteador. Outros são configurações eprocessos automáticos que devem dar suporte a configurações herdadas ou especializadas queofereçam riscos à segurança. Alguns desses serviços podem ser restringidos ou desabilitados paraaumentar a segurança sem diminuir a utilização operacional do roteador. A prática de segurançageral para roteadores deve ser utilizada para dar suporte apenas ao tráfego e aos protocolos de queuma rede precisa.

A maioria dos serviços listados nesta seção não é obrigatória normalmente. A tabela na figuradescreve os serviços gerais vulneráveis de roteador e lista as práticas recomendadas associadas aesses serviços.

A desativação de um serviço de rede no próprio roteador não o impede de dar suporte a uma rede naqual esse protocolo é empregado. Por exemplo, uma rede pode exigir serviços TFTP para fazer backup dos arquivos de configuração e das imagens do IOS. Esse serviço costuma ser fornecido por um servidor TFTP dedicado. Em certas instâncias, um roteador também poderia ser configuradocomo um servidor TFTP. No entanto, isso é muito incomum. Por isso, na maioria dos casos, o serviçoTFTP no roteador deve ser desabilitado.

Em muitos casos, o software IOS Cisco dá suporte à desativação completa de um serviço ou àrestrição do acesso a determinados segmentos de rede ou a conjuntos de hosts. Se uma porção

específica de uma rede precisar de um serviço, mas o resto não, os recursos de restrição deverãoser empregados para limitar o escopo do serviço.

A desativação de um recurso de rede automático normalmente impede um determinado tipo detráfego de rede de ser processado pelo roteador, ou o impede de atravessar o roteador. Por exemplo,o roteamento de origem IP é um recurso IP pouco utilizado que pode ser utilizado em ataques à rede.A menos que seja obrigatório à operação da rede, o roteamento de origem IP deve ser desabilitado.

Nota: o CDP é aproveitado em algumas implementações de telefonia IP. Isso precisa ser considerado antes da ampla desabilitação do serviço.





p g y g

Exibir meio visual

Página 2:Há vários comandos obrigatórios para desabilitar serviços. A saída do comando show running-config na figura fornece uma configuração de exemplo de vários serviços que foram desabilitados.Os serviços que normalmente devem ser desabilitados estão listados abaixo. São alguns deles:

z Serviços pequenos, como echo, discard e chargen – utilize o comando no service tcp-small-servers ou no service udp-small-servers.

z BOOTP – utilize o comando no ip bootp server .z Finger – utilize o comando no service finger .z HTTP – utilize o comando no ip http server .z SNMP – utilize o comando no snmp-server .

Também é importante desabilitar serviços que permitam a determinados pacotes passar peloroteador, enviar pacotes especiais ou serem utilizados na configuração do roteador remoto. Os

comandos correspondentes para desabilitar esses serviços são:

z Protocolo de detecção da Cisco (CDP, Cisco Discovery Protocol) – utilize o comando no cdprun.

z Configuração remota – utilize o comando no service config.z Roteamento de origem – utilize o comando no ip source-route.z Roteamento classless – utilize o comando no ip classless.

As interfaces no roteador podem ficar mais seguras utilizando-se determinados comandos no modode configuração de interface:

z Interfaces não utilizadas – utilize o comando shutdown.z Negar ataques SMURF – utilize o comando no ip directed-broadcast.z Roteamento ad hoc – utilize o comando no ip proxy-arp.

Exibir meio visual

Página 3:Vulnerabilidades SNMP, NTP e DNS

A figura descreve três serviços de gerenciamento que também devem ser protegidos. Os métodospara desabilitar ou ajustar as configurações desses serviços estão além do escopo deste curso.

Esses serviços são abordados no curso CCNP: Implementação de redes remotas convergidasseguras.As descrições e as diretrizes para proteger esses serviços estão listadas abaixo.

SNMP

SNMP é o protocolo IP para monitoração remota automatizada e administração. Há várias versõesdo SNMP com propriedades de segurança diferentes. As versões do SNMP anteriores à versão 3transmitem informações em texto não criptografado. Normalmente, o SNMP versão 3 deve ser utilizado.





p g y g

NTP

Os roteadores Cisco e os demais hosts utilizam o NTP para manter seus horários e datas precisos.Se possível, os administradores de rede devem configurar todos os roteadores como parte de umahierarquia NTP, o que torna um roteador o temporizador mestre e fornece seu horário para os demaisroteadores na rede. Se uma hierarquia NTP não estiver disponível na rede, você deverá desabilitar oNTP.

A desabilitação do NTP em uma interface não impede as mensagens NTP de atravessar o roteador.Para rejeitar todas as mensagens NTP em uma determinada interface, utilize uma lista de acesso.

DNS

O software IOS Cisco dá suporte à procura de nomes de host com o Sistema de Nome de Domínio(DNS). O DNS fornece o mapeamento entre nomes, como central.mydomain.com para endereços IP,como 14.2.9.250.

Infelizmente, o protocolo DNS básico não oferece nenhuma autenticação ou garantia de integridade.Por padrão, as consultas de nome são enviadas para o endereço de broadcast 255.255.255.255.

Se um ou mais servidores de nomes estiverem disponíveis na rede e for desejável utilizar nomes emcomandos do IOS Cisco, defina explicitamente os endereços do servidor de nome utilizando ocomando de configuração global ip name-server addresses. Do contrário, desative a resolução denome DNS com o comando no ip domain-lookup. Também é uma ideia boa dar um nome aoroteador, utilizando o comando hostname. O nome dado ao roteador é exibido no prompt.Exibir meio visual

4.3.2 Protegendo os protocolos de roteamento

Página 1:Visão geral da autenticação do protocolo de roteamento

Como administrador de rede, você precisa saber que os seus roteadores correm o risco de serematacados tanto quanto os seus sistemas de usuário final. Qualquer pessoa com um sniffer depacotes, como o Wireshark, pode ler as informações que se propagam entre os roteadores. Emgeral, os sistemas de roteamento podem ser atacados de duas formas:

z Situação de interrupção de mesmo nívelz Falsificação das informações de roteamento

A situação de interrupção de mesmo nível é a menos crítica dos dois ataques porque os protocolos

de roteamento se corrigem, o que faz a interrupção durar um pouco menos do que o próprio ataque.

Uma classe mais sutil de ataque tem como alvo as informações transportadas dentro do protocolo deroteamento. As informações de roteamento falsificadas normalmente podem ser utilizadas para fazer os sistemas enganar (mentir) uns aos outros, causar um DoS ou fazer o tráfego seguir um caminhoque normalmente não seguiria. As consequências da falsificação das informações de roteamento sãoas seguintes:

1. Redirecionar o tráfego para criar loops de roteamento, conforme o mostrado na figura





p g y g

2. Redirecionar o tráfego para que ele possa ser monitorado em um link inseguro

3. Redirecionar o tráfego para descartá-lo

Uma maneira direta de atacar o sistema de roteamento é atacar os roteadores que executem osprotocolos de roteamento, obter acesso aos roteadores e inserir informações falsas. Saiba quequalquer pessoa que esteja "escutando" pode capturar atualizações de roteamento.

Clique no botão Reproduzir na figura para exibir uma animação de um ataque de loop deroteamento.

A animação mostra um exemplo de um ataque que cria um loop de roteamento. Um atacanteconseguiu se conectar diretamente ao link entre os roteadores R2 e R3. O atacante injetainformações de roteamento falsas destinadas exclusivamente ao roteador R1, o que indica que o R3é o destino preferido para a rota do host 192.168.10.10/32. Embora tenha uma entrada na tabela deroteamento para a rede 192.168.10.0/24 diretamente conectada, R1 adicionará a rota injetada à suatabela de roteamento por conta da máscara de sub-rede maior. Uma rota com uma máscara de sub-rede compatível maior é considerada superior a uma rota com uma máscara de sub-rede menor.Consequentemente, quando receber um pacote, um roteador escolherá a máscara de sub-rede maior por ser uma rota mais precisa até o destino.

Quando o PC3 enviar um pacote para o PC1 (192.168.10.10/24), R1 não encaminhará o pacote parao PC1. Em vez disso, ele roteará o pacote para o roteador R3, porque, até onde se sabe, o melhor caminho para 192.168.10.10/32 é pelo R3. Quando obtiver o pacote, R3 irá olhar sua tabela deroteamento e encaminhar o pacote novamente para R1, o que cria o loop.

A melhor maneira de proteger informações de roteamento na rede é autenticar pacotes de protocolode roteamento utilizando o algoritmo MD5 (message digest 5). Um algoritmo como MD5 permite aosroteadores comparar assinaturas que devem ser todas iguais.

Clique no botão Proteger atualização na figura.

A figura mostra como cada roteador na cadeia de atualização cria uma assinatura. Entre os trêscomponentes desse sistema estão:

1. Algoritmo de criptografia, que normalmente é de conhecimento público

2. Chave utilizada no algoritmo de criptografia, que é um segredo compartilhado pelos roteadoresque autenticam seus pacotes

3. Conteúdo do próprio pacote

Clique no botão Operação na figura.

Clique em Reproduzir para exibir uma animação.

Na animação, vemos como cada roteador autentica as informações de roteamento. Geralmente, ooriginador das informações de roteamento produz uma assinatura utilizando a chave e roteandodados a serem enviados como entradas para o algoritmo de criptografia. Em seguida, os roteadoresque recebem esses dados de roteamento podem repetir o processo utilizando a mesma chave, osdados recebidos e os mesmos dados de roteamento. Se a assinatura que o receptor computa for igual à assinatura do remetente, os dados e a chave deverão ser iguais aos transmitidos peloremetente, e a atualização será autenticada.

RIPv2, EIGRP, OSPF, IS-IS e BGP, todos, dão suporte a várias formas de autenticação MD5.





p g y g

Exibir meio visual

Página 2:Configurando o RIPv2 com autenticação do protocolo de roteamento

A topologia na figura está exibindo uma rede configurada com o protocolo de roteamento RIPv2. ORIPv2 dá suporte à autenticação do protocolo de roteamento. Para proteger atualizações deroteamento, cada roteador deve ser configurado para dar suporte à autenticação. As etapas paraproteger atualizações RIPv2 são as seguintes:

Etapa 1. Impedir a propagação da atualização de roteamento RIP

Etapa 2. Impedir a recepção não autorizada de atualizações RIP

Etapa 3. Verificar a operação do roteamento RIP

Impedir a propagação da atualização de roteamento RIP

Você precisa impedir um intruso com “escuta” na rede de receber atualizações às quais não temdireito. Você faz isso, forçando todas as interfaces no roteador no modo passivo e carregandoapenas as interfaces obrigatórias para o envio e o recebimento de atualizações RIP. Uma interfaceno modo passivo recebe mas não envia atualizações. Você deve configurar interfaces no modopassivo em todos os roteadores na rede.

Clique no botão Config e em Etapa 1.

A figura mostra os comandos de configuração para controlar as interfaces que participarão dasatualizações de roteamento. As atualizações de roteamento jamais devem ser anunciadas eminterfaces que não estejam conectadas a outros roteadores. Por exemplo, as interfaces de rede localno roteador R1 não se conectam a outros roteadores e, por isso, não devem anunciar atualizaçõesde roteamento. Apenas a interface S0/0/0 no roteador R1 deve anunciar atualizações de roteamento.

Na saída do comando na tela, o comando passive-interface default desabilita anúncios deroteamento em todas as interfaces. Isso também inclui a interface S0/0/0. O comando no passive-interface s0/0/0 permite à interface S0/0/0 enviar e receber atualizações RIP.

Clique no botão Topologia e em Etapa 2.

Impedir a recepção não autorizada de atualizações RIP

Na figura, o intruso é impedido de interceptar atualizações RIP porque a autenticação MD5 foihabilitada nos roteadores, R1, R2 e R3; os roteadores que estão participando das atualizações RIP.


A saída do comando mostra os comandos para configurar a autenticação do protocolo de roteamentono roteador R1. Os roteadores R2 e R3 também precisam ser configurados com esses comandosnas interfaces apropriadas.

O exemplo mostra comandos para criar uma cadeia de chaves chamada RIP_KEY. Embora váriaschaves possam ser consideradas, nosso exemplo mostra apenas uma. A Chave 1 é configurada paraconter uma string de chave chamada cisco. A string da chave é semelhante a uma senha, e osroteadores que trocam chaves de autenticação devem ser configurados com a mesma string. A





p g y g

interface S0/0/0 é configurada para dar suporte à autenticação MD5. A cadeia RIP_KEY e aatualização de roteamento são processadas utilizando-se o algoritmo MD5 para produzir umaassinatura exclusiva.

Quando R1 é configurado, os demais roteadores receberão as atualizações de roteamento com umaassinatura exclusiva e, consequentemente, não poderão mais decifrar as atualizações de R1. Essacondição permanecerá até cada roteador na rede ser configurado com a autenticação do protocolode roteamento.

Clique no botão Topologia e em Etapa 3.

Verificar a operação do roteamento RIP

Depois de configurar todos os roteadores na rede, você precisará verificar a operação do roteamentoRIP.


Utilizando o comando show ip route, a saída do comando confirma se o roteador R1 se autenticoucom os outros roteadores e conseguiu adquirir as rotas dos roteadores R2 e R3.Exibir meio visual

Página 3:Visão geral da autenticação do protocolo de roteamento para EIGRP e OSPF

A autenticação do protocolo de roteamento também deve ser configurada para outros protocolos deroteamento como EIGRP e OSPF. Para obter detalhes sobre a autenticação do protocolo deroteamento para EIGRP e OSPF, consulte CCNP2: Implementação de redes remotas convergidasseguras.

Clique no botão EIGRP na figura.

EIGRP

A figura mostra os comandos utilizados para configurar a autenticação do protocolo de roteamento noEIGRP no roteador R1. Esses comandos são bem parecidos com os que você utilizou naautenticação RIPv2 MD5. As etapas para configurar a autenticação do protocolo de roteamentoEIGRP no roteador R1 são as seguintes:

Etapa 1. A área realçada superior mostra como criar uma cadeia de chaves a ser utilizada por todosos roteadores em sua rede. Esses comandos criam uma cadeia de chaves chamada EIGRP_KEY ecolocam seu terminal no modo de configuração da cadeia de chaves, um número de chave 1 e valor da string de chave cisco.

Etapa 2. A área realçada inferior mostra como habilitar a autenticação MD5 em pacotes EIGRP queatravessam uma interface.

Clique no botão OSPF na figura.

OSPF

A figura mostra os comandos utilizados para configurar a autenticação do protocolo de roteamentopara o OSPF na interface S0/0/0 do roteador R1. O primeiro comando especifica a chave a ser





p g y g

utilizada na autenticação MD5. O próximo comando habilita a autenticação MD5.Exibir meio visual

Página 4:Esta atividade abrange a autenticação simples e a autenticação MD5 do OSPF (message digest 5).Você pode habilitar a autenticação no OSPF para trocar as informações sobre atualização deroteamento de uma maneira segura. Com a autenticação simples, a senha é enviada em texto nãocriptografado pela rede. A autenticação simples é utilizada quando os dispositivos dentro de umaárea não conseguem dar suporte à autenticação MD5, a mais segura. Com a autenticação usandoMD5, a senha não é enviada pela rede. MD5 é considerado o modo de autenticação OSPF maisseguro. Quando configurar a autenticação, você deve configurar uma área inteira com o mesmo tipode autenticação. Nesta atividade, você irá configurar a autenticação simples entre R1 e R2 e aautenticação MD5 entre R2 e R3.

São fornecidas instruções detalhadas na atividade, bem como no link do PDF abaixo.

Instruções da atividade (PDF)

Clique no ícone do Packet Tracer para obter mais detalhes.Exibir meio visual

4.3.3 Bloqueando seu roteador com Cisco Auto Secure

Página 1:O Cisco AutoSecure utiliza um único comando para desabilitar processos e serviços não essenciais,o que elimina potenciais ameaças à segurança. Você pode configurar o AutoSecure no modo EXECprivilegiado utilizando o comando auto secure em um destes dois modos:

z

Modo interativo – este modo solicita a você opções para habilitar e desabilitar serviços eoutros recursos de segurança. Este é o modo padrão.z Modo não interativo – este modo executa o comando auto secure automaticamente com as

configurações padrão recomendadas pela Cisco. Esse modo é habilitado com a opção decomando no-interact.

Clique no botão Saída do roteador na figura.

Executar o AutoSecure em um roteador Cisco

A saída do comando na tela mostra uma saída parcial de uma configuração do Cisco AutoSecure.Para iniciar o processo de proteção de um roteador, emita o comando auto secure. O Cisco

AutoSecure solicitará vários itens, incluindo:

z Especificidades de interfacez Bannersz Senhasz SSHz Recursos de firewall do IOS





p g y g

Nota: O Cisco Router and Security Device Manager (SDM) fornece um recurso semelhante ao docomando Cisco AutoSecure. Esse recurso é descrito na seção "Utilizando o Cisco SDM".Exibir meio visual

4.4 Utilizando o Cisco SDM 4.4.1 Visão geral do Cisco SDM

Página 1:O que é o Cisco SDM?

O Cisco Router e Security Device Manager (SDM) é uma ferramenta de gerenciamento dedispositivos baseada na Web, fácil de utilizar, projetada para configurar recursos de segurança, derede local e WAN em roteadores, baseados no software IOS Cisco.

A figura mostra a tela principal do SDM. A interface ajuda os administradores de rede de pequenas amédias empresas a executar operações do dia-a-dia. Ela fornece assistentes inteligentes fáceis deutilizar, automatiza o gerenciamento de segurança do roteador e ajuda por meio de ajuda e tutoriais

online abrangentes.

O Cisco SDM dá suporte a um amplo conjunto de releases do software IOS Cisco. Ele já vem pré-instalado por padrão em todos os novos roteadores de serviços integrados da Cisco. Se não estiver pré-instalado, você terá que instalá-lo. Os arquivos do SDM podem ser instalados no roteador, emum PC ou em ambos. Uma vantagem de instalar o SDM no PC é que isso economiza memória doroteador, além de permitir utilizar o SDM para gerenciar outros roteadores na rede. Se o Cisco SDMestiver pré-instalado no roteador, a Cisco recomendará utilizar o Cisco SDM para executar aconfiguração inicial.Exibir meio visual

Página 2:Recursos do Cisco SDM

O Cisco SDM simplifica a configuração do roteador e da segurança por meio da utilização de váriosassistentes inteligentes para habilitar a configuração eficiente dos parâmetros da rede virtual privada(VPN) e do firewall do IOS Cisco. Esse recurso permite aos administradores implantar rápida efacilmente, além de configurar e monitorar, roteadores de acesso Cisco.

Os assistentes inteligentes do Cisco SDM orientam os usuários etapa a etapa pelo fluxo de trabalhoda configuração de segurança, configurando sistematicamente as interfaces de rede local e WAN,firewall, IPS e VPNs.

Os assistentes inteligentes do Cisco SDM podem detectar configurações incorretas de maneira

inteligente e propor correções, como permitir o tráfego DHCP por um firewall caso a interface WANseja endereçada por DHCP. A ajuda online interna do Cisco SDM contém informações em segundoplano apropriadas, além de procedimentos etapa a etapa para ajudar os usuários a inserir os dadoscorretos no Cisco SDM.Exibir meio visual

4.4.2 Configurando o seu roteador para dar suporte ao Cisco SDM





p g y g

Página 1:O Cisco SDM deve ser instalado em todos os novos roteadores Cisco. Se você tiver um roteador que já esteja sendo utilizado mas sem o Cisco SDM, você poderá instalar e executá-lo sem interromper otráfego da rede. Para instalá-lo em um roteador operacional, você deve verificar se algumasdefinições de configuração estão presentes no arquivo de configuração do roteador. A figura mostrauma topologia na qual o administrador do sistema instalará o Cisco SDM no roteador R1.

Para configurar o Cisco SDM em um roteador que já esteja em utilização, sem interromper o tráfegoda rede, siga estas etapas:

Etapa 1. Acessar a interface CLI do roteador utilizando Telnet ou a conexão de console

Etapa 2: Habilitar os servidores HTTP e HTTPS no roteador

Etapa 3. Criar uma conta de usuário definida com um nível de privilégio 15 (habilitar privilégios).

Etapa 4. Configurar SSH e Telnet para login local e nível de privilégio15.

Clique no botão Saída do roteador na figura.

A saída do comando na tela mostra um exemplo da configuração necessária para assegurar quevocê possa instalar e executar o Cisco SDM em um roteador de produção sem interromper o tráfegoda rede.Exibir meio visual

4.4.3 Iniciando o Cisco SDM

Página 1:O Cisco SDM fica armazenado na memória flash do roteador. Ele também pode ser armazenado emum PC local. Para iniciar o Cisco SDM, utilize o protocolo HTTPS e coloque o endereço IP doroteador no navegador . A figura mostra o navegador com um endereço https://198.162.20.1 e apágina iniciar do Cisco SDM. O prefixo http:// poderá ser utilizado se o SSL não estiver disponível.Quando a caixa de diálogo de nome de usuário e senha for exibida (não mostrada), digite um nomede usuário e uma senha para a conta privilegiada (nível de privilégio 15) no roteador. Depois que apágina inicial for exibida, um applet Java do Cisco SDM assinado será exibido, devendo permanecer aberto enquanto o Cisco SDM estiver em execução. Por ser um applet Java do Cisco SDM assinado,talvez você seja solicitado a aceitar um certificado. O alerta de segurança do certificado é exibido nocanto direito inferior da figura.

Nota: a sequência de etapas do login pode variar, dependendo da execução do Cisco SDM em umcomputador pessoal ou diretamente em um roteador Cisco ISR.Exibir meio visual

4.4.4 A interface do Cisco SDM

Página 1:Visão geral da página inicial do Cisco SDM

Depois que o Cisco SDM for iniciado e você fizer login, a primeira página exibida será a página devisão geral.





p g y g

Essa página exibe o modelo do roteador, a memória total, as versões da memória flash, do IOS e doSDM, além do hardware instalado e um resumo de alguns recursos de segurança, como o status dofirewall e o número de conexões VPN ativas.

Mais especificamente, ele fornece informações básicas sobre o hardware do roteador, o software e aconfiguração:

z Barra de menus – a parte superior da tela tem uma barra de menus típica com File, Edit, View,Tools e itens do menu Help.

z Tool – abaixo da barra de menus, estão os assistentes SDM e os modos que você podeescolher.

z Informações do roteador – o modo atual é exibido no lado esquerdo sob a barra deferramentas.

Nota: a barra de menus, a barra de ferramenta e o modo atual são sempre exibidos na parte superior de cada tela. As outras áreas da tela são alteradas de acordo com o modo e a função que você estáexecutando.

z Visão geral da configuração – resume os parâmetros da configuração. Para exibir aconfiguração em execução, clique no botão View Running-Config.

Exibir meio visual

Página 2:Sobre a área do roteador

Quando clicar nos botões na figura, você poderá ver os detalhes associados a cada um dosseguintes elementos da GUI (interface gráfica do usuário):

About Your Router (Sobre o seu roteador) – a área da homepage do Cisco SDM que mostrainformações básicas sobre o hardware e o software do roteador e inclui os seguintes elementos:

z Host Name (Nome do host) – esta área mostra o nome de host configurado para o roteador,que é RouterX

z Hardware – esta área mostra o número do modelo do roteador, a quantidade disponível e ototal de RAM e a quantidade da memória flash disponível.

z Software – esta área descreve as versões do software IOS Cisco e do Cisco SDM emexecução no roteador.

z A barra Feature Availability, localizada na parte inferior da guia About Your Router, mostra osrecursos disponíveis na imagem do IOS Cisco que o roteador está utilizando. Se o indicador ao lado de cada recurso estiver verde, ele estará disponível. Se estiver vermelho, ele nãoestará disponível. As marca de seleção mostram que o recurso está configurado no roteador.Na figura, o Cisco SDM mostra que IP, firewall, VPN, IP e NAC estão disponíveis, mas apenaso IP está configurado.

Exibir meio visual

Página 3:Área de visão geral da configuração





p g y g

A figura mostra a área de visão geral da configuração da homepage do Cisco SDM. Quando clicar nos botões na figura, você poderá ver os detalhes associados a cada um dos seguintes elementos dainterface gráfica do usuário:

z Interfaces and Connections (Interfaces e conexões) – esta área exibe informações

relacionadas à interface e à conexão, inclusive o número de conexões ativadas e desativadas,o número total de interfaces de rede local e WAN presentes no roteador, e o número deinterfaces de rede local e WAN configuradas atualmente no roteador. Ela também exibeinformações de DHCP.

z Firewall Policies (Políticas de firewall) – esta área exibe informações relacionadas a firewall,inclusive se um firewall estiver ativado, o número de interfaces confiáveis (dentro), nãoconfiáveis (fora) e DMZ. Ela também exibe o nome da interface à qual um firewall foi aplicado,se a interface foi projetada como uma interface interna ou externa, e se a regra NAT foiaplicada a essa interface.

z VPN – esta área exibe informações relacionadas à VPN, inclusive o número de conexões VPNativas, o número de conexões VPN ponto a ponto configuradas e o número de clientes VPNativos.

z Routing (Roteamento) – esta área exibe o número de rotas estáticas e quais protocolos de

roteamento estão configurados.

Exibir meio visual

4.4.5 Assistentes do Cisco SDM

Página 1:O Cisco SDM fornece vários assistentes para ajudar a configurar um roteador Cisco ISR. Quandouma tarefa é escolhida na área de tarefas na interface gráfica do usuário do Cisco SDM, o painel detarefas permite escolher um assistente. A figura mostra várias telas da interface gráfica do usuário doCisco SDM para o assistente NAT básico. O NAT será discutido posteriormente no curso Serviços de

endereçamento IP.

Consulte http://www.cisco.com/go/sdm para obter as informações mais recentes sobre os assistentesdo Cisco SDM e as interfaces de suporte.Exibir meio visual

4.4.6 Bloqueando um roteador com o Cisco SDM

Página 1:O assistente de bloqueio em uma etapa do Cisco SDM implementa praticamente todas asconfigurações de segurança oferecidas pelo Cisco AutoSecure. O assistente de bloqueio em uma

etapa é acessado pela interface gráfica do usuário Configure, clicando-se na tarefa Security Audit. Oassistente de bloqueio em uma etapa testa a configuração do seu roteador para problemas desegurança potenciais e faz automaticamente todas as alterações na configuração necessárias paracorrigir todos os problemas encontrados.

Não considere que a rede esteja segura só porque você executou um bloqueio em uma etapa. Alémdisso, nem todos os recursos do Cisco AutoSecure são implementados no Cisco SDM. Entre osrecursos do AutoSecure são implementados de maneira diferente no Cisco SDM estão os seguintes:

z Desabilita o SNMP e não configura o SNMP versão 3.





p g y g

z Habilita e configura SSH em imagens do IOS Cisco criptografadasz Não habilite o Service Control Point ou desabilite outro acesso e serviços de transferência de

arquivos como FTP.

Clique nos botões na figura para explorar as etapas do assistente de bloqueio em uma etapa

Cisco.Exibir meio visual

4.5 Gerenciamento seguro do roteador 4.5.1 Mantendo imagens do software IOS Cisco

Página 1:Periodicamente, o roteador exige que as atualizações sejam carregadas no sistema operacional ouno arquivo de configuração. Essas atualizações são necessárias para corrigir vulnerabilidades desegurança conhecidas, dar suporte a novos recursos que permitem políticas de segurança maisavançadas ou melhorar o desempenho.

Nota: Nem sempre é uma ideia boa atualizar para a versão mais recente do software IOS Cisco.Muitas vezes esse release não é estável.

Há determinadas diretrizes que você deve seguir ao alterar o software IOS Cisco em um roteador. Asalterações são classificadas como atualizações. Uma atualização substitui um release por outro sematualizar o conjunto de recursos. O software pode ser atualizado para corrigir um bug ou substituir umrelease para o qual não haja mais suporte. As atualizações são gratuitas.

Uma atualização substitui um release por outro que tenha um conjunto de recursos melhorado. Osoftware pode ser melhorado para adicionar novos recursos ou tecnologias, ou substituir um releasepara o qual não haja mais suporte. As atualizações não são gratuitas. Cisco.com oferece diretrizespara ajudar a determinar que método se aplica.

A Cisco recomenda seguir um processo de migração de quatro fases para simplificar as operações eo gerenciamento da rede. Ao seguir um processo que pode ser repetido, você também podeaproveitar os custos reduzidos em operações, gerenciamento e treinamento. As quatro fases são:

z Planejar – definir metas, identificar recursos, hardware e software da rede de perfil e criar umaprogramação preliminar a fim de migrar para novos releases.

z Projetar – escolha novos releases do IOS Cisco e criar uma estratégia a fim de migrar paraeles.

z Implementar – programe e execute a migração.z Operar – monitore o progresso da migração e faça cópias de backup das imagens em

execução na sua rede.

Há várias ferramentas disponíveis em Cisco.com para ajudar na migração do software IOS Cisco.Você pode utilizar as ferramentas para obter informações sobre releases, conjuntos de recursos,plataformas e imagens. As seguintes ferramentas não exigem um login em Cisco.com:

z Cisco IOS Reference Guide – abrange os fundamentos da família de software IOS Ciscoz Documentos técnicos do software IOS Cisco – documentação de cada release do software

IOS Ciscoz Cisco Feature Navigator – localiza versões que dão suporte a um conjunto de recursos de





p g y g

software e hardware e compara releases

As seguintes ferramentas exigem contas de login válidas no Cisco.com:

z Download do software – downloads do software IOS Cisco

z Conjunto de ferramentas para bug – procura correções de software conhecidas com basena versão do software, no conjunto de recursos e palavras-chave

z Software Advisor – compara releases, os recursos do software IOS Cisco e do OS CiscoCatalyst em busca de releases, além de descobrir qual release do software dá suporte a umdeterminado dispositivo de hardware

z IOS Cisco Upgrade Planner – localiza releases por hardware, release e conjunto de recursos,além de fazer o download de imagens do software IOS Cisco

Para obter uma listagem completa das ferramentas disponíveis em Cisco.com, vá parahttp://www.cisco.com/en/US/support/tsd_most_requested_tools.html.Exibir meio visual

4.5.2 Gerenciando imagens do IOS Cisco

Página 1:Sistemas de arquivos e dispositivos IOS Cisco

A disponibilidade da rede talvez esteja em risco caso uma configuração do roteador ou do sistemaoperacional esteja comprometida. Os atacantes que obtêm acesso a dispositivos de infraestruturapodem alterar ou excluir arquivos de configuração. Eles também podem carregar imagens do IOSincompatíveis ou excluir a imagem atual. As alterações são solicitadas automaticamente ou sempreque o dispositivo for reinicializado.

Para atenuar esses problemas, você precisa ser capaz de salvar, fazer backup e restaurar aconfiguração e as imagens do IOS. Para isso, você aprende a realizar algumas operações degerenciamento de arquivo no software IOS Cisco.

Os dispositivos do IOS Cisco fornecem um recurso chamado IOS Cisco Integrated File System (IFS).Esse sistema permite criar, navegar e manipular diretórios em um dispositivo Cisco. Os diretóriosdisponíveis dependem da plataforma.

Por exemplo, a figura exibe a saída do comando show file systems que lista todos os sistemas dearquivos disponíveis em um roteador Cisco 1841. Esse comando fornece informações detalhadas,como a memória disponível e livre, o tipo do sistema de arquivos e suas permissões. Entre aspermissões estão somente leitura (ro), somente gravação (wo) e leitura e gravação (rw).

Embora haja vários sistemas de arquivos listados, os que nos interessam serão os sistemas dearquivos tftp, memória flash e nvram. O restante dos sistemas de arquivos listados está além doescopo deste curso.

Entre os sistemas de arquivos de rede estão FTP, trivial FTP (TFTP) ou Protocolo de cópia remota(RCP, Remote Copy Protocol). Este curso aborda o TFTP.

Observe que o sistema de arquivos da memória flash também tem uns asteriscos que o precedem, oque indica que se trata do sistema de arquivos padrão atual. Lembre-se de que, como o IOSinicializável está localizado na memória flash, o símbolo de sustenido (#) adicionado à listagem da





p g y g

memória flash indica se tratar de um disco inicializável.

Clique no botão Memória flash na figura.

Esta figura lista o conteúdo do sistema de arquivos padrão atual, que, neste caso, é a memória flash,conforme indicação pelos asteriscos que precedem a listagem na figura anterior. Há vários arquivoslocalizados na memória flash, mas é a última listagem que interessa especificamente. Trata-se donome da imagem do arquivo do IOS atual em execução na memória RAM.

Clique no botão NVRAM na figura.

Para exibir o conteúdo da NVRAM, você deve alterar o sistema de arquivos padrão atual utilizando ocomando de alteração de diretório cd. O comando do diretório de trabalho atual pwd verifica seestamos no diretório da NVRAM. Por fim, o comando dir lista o conteúdo da NVRAM. Embora hajavários arquivos de configuração listados, o que nos interessa especificamente é o arquivo deconfiguração de inicialização.Exibir meio visual

Página 2:Prefixos de URL para dispositivos Cisco

Quando um administrador de rede quiser transferir arquivos em um computador, o sistemaoperacional oferecerá uma estrutura de arquivos visível para especificar origens e destinos. Osadministradores não têm sugestões visuais ao trabalhar na CLI de um roteador. O comando show filesystems no tópico anterior exibiu os vários sistemas de arquivos disponíveis na plataforma Cisco1841.

Os locais dos arquivos são especificados no Cisco IFS utilizando a convenção de URL. As URLsutilizadas pelas plataformas IOS Cisco são semelhantes ao formato que você conhece da Web.

Por exemplo, TFTP na figura é: tftp://192.168.20.254/configs/backup-config.

z A expressão "tftp:" é chamada de prefixo.z Tudo o que estiver depois das duas barras (//) define o local.z 192.168.20.254 é o local do servidor TFTP.z "configs" é o diretório mestre.z "backup-config" é o nome de um arquivo.

O prefixo da URL especifica o sistema de arquivos. Passe o mouse sobre os vários botões na figurapara exibir os prefixos mais comuns e a sintaxe associada a cada um deles.Exibir meio visual

Página 3:Comandos para gerenciar arquivos de configuração

A boa prática para manter a disponibilidade do sistema é assegurar que você sempre tenha cópiasde backup dos arquivos de configuração de inicialização e dos arquivos de imagem do IOS. Ocomando copy do IOS Cisco é utilizado para mover arquivos de configuração de um componente oudispositivo para outro, como RAM, NVRAM ou um servidor TFTP. A figura realça a sintaxe docomando.





p g y g

A seguir, exemplos da utilização comum do comando copy. Os exemplos listam dois métodos pararealizar as mesmas tarefas. O primeiro exemplo é uma sintaxe simples e o segundo exemplo forneceum exemplo mais explícito.

Copie a configuração em execução da RAM para a configuração de inicialização na NVRAM:

R2# copy running-config startup-config

R2# copy system:running-config nvram:startup-config

Copie a configuração em execução da RAM para um local remoto:

R2# copy running-config tftp:

R2# copy system:running-config tftp:

Copie uma configuração de uma origem remota para a configuração em execução:

R2# copy tftp: running-config

R2# copy tftp: system:running-config

Copie uma configuração de uma origem remota para a configuração de inicialização:

R2# copy tftp: startup-config

R2# copy tftp: nvram:startup-configExibir meio visual

Página 4:Convenções de nomenclatura do arquivo do IOS Cisco

O arquivo de imagem do IOS Cisco se baseia em uma convenção de nomenclatura especial. O nomedo arquivo de imagem do IOS Cisco contém várias partes, cada uma com um significado específico.É importante que você compreenda essa convenção de nomenclatura ao atualizar e escolher umIOS.

Por exemplo, o nome de arquivo na figura é explicado da seguinte forma:

A primeira parte, c1841, identifica a plataforma na qual a imagem é executada. Nesse exemplo, aplataforma é Cisco 1841.

A segunda parte, ipbase, especifica o conjunto de recursos. Nesse caso, "ipbase" se refere àimagem de rede IP básica. Entre outras possibilidades do conjunto de recursos estão:

i – designa o conjunto de recursos IP

j – designa o conjunto de recursos enterprise (todos os protocolos)

s – designa um conjunto de recursos PLUS (enfileiramento extra, manipulação ou traduções)

56i – designa a criptografia DES IPsec de 56 bits





p g y g

3 – designa o firewall/IDS

k2 – designa a criptografia IPsec 3DES (168 bits)

A terceira parte, mz, indica onde a imagem é executada e se o arquivo está compactado. Nesseexemplo, "mz" indica que o arquivo é executado na RAM e está compactado.

A quarta parte, 12.3-14.T7, é o número de versão.

A parte final, bin, é a extensão do arquivo. A extensão .bin indica que esse é um arquivo executávelbinário.Exibir meio visual

4.5.3 Imagens do IOS Cisco gerenciadas pelo TFTP

Página 1:Utilizando servidores TFTP para gerenciar imagens do IOS Cisco

As redes interconectadas de produção normalmente abrangem grandes áreas e contêm váriosroteadores. É uma tarefa importante de um administrador sempre atualizar as imagens do IOS Ciscosempre que explorações e vulnerabilidades forem detectadas. Também é uma boa prática assegurar que todas as suas plataformas estejam executando a mesma versão de software IOS Cisco sempreque possível. Por fim, para qualquer rede, é sempre prudente reter uma cópia de backup da imagemdo software IOS Cisco caso a imagem do sistema no roteador seja corrompida ou apagadaacidentalmente.

Roteadores muito espalhados precisam de uma origem ou local de backup para imagens do softwareIOS Cisco. A utilização de um servidor TFTP de rede permite uploads e downloads de imagem econfiguração pela rede. O servidor TFTP de rede pode ser outro roteador, uma estação de trabalhoou um sistema de host.

Na medida em que uma rede cresce, o armazenamento das imagens do software IOS Cisco e dosarquivos de configuração no servidor TFTP central permite controlar o número e o nível de revisãodas imagens do IOS Cisco, além dos arquivos de configuração que devem ser mantidos.

Antes de alterar uma imagem do IOS Cisco no roteador, você precisa concluir estas tarefas:

z Determinar a memória obrigatória para a atualização e, se necessário, instalar a memóriaadicional.

z Configurar e testar o recurso de transferência de arquivos entre o host do administrador e oroteador.

z Programar a indisponibilidade obrigatória, normalmente fora do horário comercial, para oroteador executar a atualização.

Quando você estiver pronto para fazer a atualização, execute estas etapas:

z Desativar todas as interfaces no roteador em que não precisa haver a atualização.z Fazer backup do sistema operacional atual e do arquivo de configuração atual para um

servidor TFTP.z Carregar a atualização no sistema operacional ou no arquivo de configuração.z Testar para confirmar se a atualização funciona corretamente. Se os testes tiverem êxito, você

poderá reabilitar as interfaces que desabilitou. Se os testes não tiverem êxito, faça o backup





p g y g

da atualização, determine o que saiu errado e recomece.

Um grande desafio para operadores de rede de rede será minimizar a indisponibilidade depois queum roteador for comprometido e o sistema operacional e os dados de configuração tiverem sidoapagados do backup. O operador deve recuperar uma cópia arquivada (se houver) da configuração e

deve restaurar uma imagem funcional no roteador. A recuperação deve ser executada para todos osroteadores afetados, que adiciona indisponibilidade total à rede.

Lembre-se de que o recurso de configuração flexível do software IOS Cisco permite um roteador proteger e manter uma cópia funcional da imagem do sistema operacional em execução e aconfiguração para que esses arquivos consigam suportar tentativas maliciosas de apagar o conteúdodo backup (NVRAM e memória flash).Exibir meio visual

4.5.4 Fazendo backup e atualizando a imagem do software

Página 1:Fazendo backup da imagem do software IOS

Entre as tarefas básicas de gerenciamento estão gravar backups dos seus arquivos de configuração,bem como fazer download e instalar arquivos de configuração melhorados quando houver orientaçãopara isso. Um arquivo de imagem de backup do software é criado copiando-se o arquivo de imagemde um roteador para um servidor TFTP na rede.

Para copiar um software de imagem do IOS Cisco da memória flash para o servidor TFTP em rede,você deve seguir estas etapas sugeridas.

Clique nos botões Topologia e Config na figura na medida em que avança cada etapa.

Etapa 1. Executar ping no servidor TFTP para ter certeza de que você possui acesso a ele.

Etapa 2. Verificar se o servidor TFTP tem espaço em disco suficiente para acomodar a imagem dosoftware IOS Cisco. Utilize o comando show flash: no roteador para determinar o tamanho doarquivo de imagem do IOS Cisco.

O comando show flash: é uma ferramenta importante para coletar informações sobre a memória doroteador e o arquivo de imagem. Ele pode determinar o seguinte:

z Quantidade total de memória flash no roteador z Memória flash disponívelz Nome de todos os arquivos armazenados na memória flash

Com as etapas 1 e 2 concluídas, agora faça o backup da imagem do software.

Etapa 3. Copiar o arquivo de imagem do sistema atual do roteador para o servidor TFTP na rede,utilizando o comando copy flash: tftp: no modo EXEC privilegiado. O comando exige que você digiteo endereço IP do host remoto e o nome dos arquivos de imagem de origem e de destino.

Durante o processo de cópia, pontos de exclamação (!) indicam o progresso. Cada ponto deexclamação significa que um segmento UDP foi transferido com êxito.Exibir meio visual





p g y g

Página 2:Atualizando imagens do software IOS Cisco

A atualização de um sistema para versão de software mais nova exige o carregamento de umarquivo de imagem do sistema diferente no roteador. Utilize o comando copy tftp: flash: para fazer odownload da nova imagem a partir do servidor TFTP na rede.

Clique no botão Config na figura.

O comando solicita a você digitar o endereço IP do host remoto e o nome dos arquivos de imagemde origem e de destino. Digite o nome do arquivo apropriado da imagem de atualização da mesmaforma como ele é exibido no servidor.

Depois que essas entradas forem confirmadas, o prompt Erase flash: será exibido. Apagar amemória flash libera espaço para a nova imagem. Apague a memória flash se não houver espaçosuficiente para mais de uma imagem do IOS Cisco. Se nenhuma memória flash livre estiver disponível, a rotina de exclusão será obrigatória antes da cópia de novos arquivos. O sistema informaessas condições e solicita uma resposta.

Cada ponto de exclamação (!) significa que um segmento UDP foi transferido com êxito.

Nota: verifique se a imagem do IOS Cisco carregada é apropriada à plataforma do roteador. Se aimagem do IOS Cisco errada estiver carregada, o roteador não poderá ser inicializado, o que exige aintervenção do monitor ROM (ROMmon).Exibir meio visual

Página 3:Nesta atividade, você irá configurar o acesso a um servidor TFTP e carregar uma imagem mais novae mais avançada do IOS Cisco. Embora o Packet Tracer simule a atualização da imagem do IOSCisco em um roteador, o Packet Tracer não simula o backup de uma imagem do IOS Cisco noservidor TFTP. Além disso, embora a imagem de atualização seja mais avançada, essa simulação doPacket Tracer não refletirá a atualização, habilitando comandos mais avançados. O mesmo conjuntode comandos do Packet Tracer ainda estará em vigor.




4.5.5 Recuperando imagens de software

Página 1:Restaurando imagens do software IOS Cisco

Um roteador não pode funcionar sem seu software IOS Cisco. Caso o IOS seja excluído oucorrompido, um administrador deve copiar uma imagem para o roteador para que ele volte a ficar





p g y g

operacional

Um método para realizar isso seria utilizar a imagem do IOS Cisco salva anteriormente no servidor TFTP. No exemplo da figura, foi feito o backup da imagem do IOS de R1 em um servidor TFTPconectado a R2. R1 não pode chegar a esse servidor TFTP em seu estado atual.

Quando um IOS em um roteador for excluído acidentalmente da memória flash, o roteador continuaráoperacional porque o IOS está em execução na RAM. No entanto, é essencial que o roteador nãoseja reinicializado neste momento porque ele não seria capaz de localizar um IOS válido na memóriaflash.

Na figura, o IOS do roteador R1 foi excluído acidentalmente da memória flash. Infelizmente, oroteador foi reinicializado e não consegue mais carregar um IOS. Agora ele carrega o prompt doROMmon por padrão. Enquanto estiver nesse estado, o roteador R1 precisa recuperar o IOS, que foicopiado para o servidor TFTP conectado ao R2. Nesse cenário, o TFTP será conectado diretamenteao roteador R1. Com as preparações no servidor TFTP, realize o procedimento a seguir.

Etapa 1. Conecte os dispositivos.

z

Conecte o PC do administrador de sistema à porta de console do roteador afetado.z Conecte o servidor TFTP à primeira porta Ethernet do roteador. Na figura, como R1 é um

Cisco 1841, a porta é Fa0/0. Habilite o servidor TFTP e configure-o com um endereço IPestático 192.168.1.1/24.

Etapa 2. Inicializar o roteador e definir as variáveis do ROMmon.

Como o roteador não tem uma imagem válida do IOS Cisco, o roteador inicializa automaticamente nomodo ROMmon. Há pouquíssimos comandos disponíveis no modo ROMmon. Você pode exibir essescomandos, digitando-se ? no prompt de comando rommon>.

Você deve inserir todas as variáveis listadas na figura. Quando você inserir as variáveis no ROMmon,

esteja atento ao seguinte:

z Os nomes de variável diferenciam maiúsculas de minúsculas.z Não inclua nenhum espaço antes ou depois do símbolo =.z Sempre que possível, utilize um editor de texto para recortar e colar as variáveis na janela do

terminal. Toda a linha deve ser digitada com precisão.z As teclas de navegação não são operacionais.

Agora o Roteador R1 deve ser configurado com os valores apropriados para se conectar ao servidor TFTP. A sintaxe dos comandos do ROMmon é muito crucial. Embora os endereços IP, a máscara desub-rede e o nome da imagem na figura sejam apenas exemplos, é essencial que a sintaxe exibidaseja seguida durante a configuração do roteador. Lembre-se de que as variáveis reais irão mudar de

acordo com a sua configuração.

Quando você tiver inserido as variáveis, passe à próxima etapa.

Etapa 3. Digitar o comando tftpdnld no prompt do modo ROMmon.

O comando exibe as variáveis de ambiente obrigatórias e adverte que todos os dados existentes namemória flash serão apagados. Digite y para continuar e pressione Enter . O roteador tenta seconectar ao servidor TFTP para iniciar o download. Quando conectado, o download começa





p g y g

conforme a indicação pelos pontos de exclamação (!). Cada ! indica que um segmento UDP foirecebido pelo roteador.

Você pode utilizar o comando reset para reiniciar o roteador com a nova imagem do IOS Cisco.Exibir meio visual

Página 2:Utilizando xmodem para restaurar uma imagem do IOS Cisco

A utilização do comando tftpdnld é uma forma muito rápida de copiar o arquivo de imagem. Outrométodo para restaurar uma imagem do IOS Cisco para um roteador é utilizando Xmodem. Noentanto, a transferência de arquivos é realizada utilizando-se o cabo de console e, por isso, é muitolenta quando comparada com o comando tftpdnld.

Se a imagem do IOS Cisco for perdida, o roteador entrará no modo ROMmon durante a inicialização.O ROMmon dá suporte a Xmodem. Com esse recurso, o roteador pode se comunicar com umaplicativo de emulação de terminal, como HyperTerminal, no PC de um administrador de sistema.Um administrador de sistema que tenha uma cópia da imagem do IOS Cisco em um PC poderestaurá-la no roteador, estabelecendo uma conexão de console entre o PC e o roteador eexecutando o Xmodem no HyperTerminal.

As etapas que o administrador segue são mostradas na figura.

Etapa 1. Conectar o PC do administrador de sistema à porta console no roteador afetado. Abra umasessão de emulação de terminal entre o roteador R1 e o PC do administrador de sistema.

Etapa 2. Inicializar o roteador e emitir o comando xmodem no prompt de comando do modoROMmon.

A sintaxe do comando é xmodem [-cyr ] [filename]. A opção cyr varia de acordo com a configuração.Por exemplo, -c especifica CRC-16, y especifica o protocolo Ymodem e r copia a imagem para aRAM. O nome de arquivo é o do arquivo a ser transferido.

Aceite todos os prompts quando solicitado, conforme mostrado na figura.

Etapa 3. A figura mostra o processo de envio de um arquivo utilizando HyperTerminal. Neste caso,escolha Transfer > Send File.

Etapa 4. Navegue até o local da imagem do IOS Cisco que você deseja transferir e escolha oprotocolo Xmodem. Clique em Send. Uma caixa de diálogo é exibida com o status do download.Demora vários segundos para que o host e o roteador comecem a transferência das informações.

Assim que o download começa, os campos Pacote e Decorrido são incrementados. Anote o indicador de tempo restante estimado. O tempo de download poderia ser muito maior se você alterasse avelocidade da conexão do HyperTerminal e do roteador de 9.600 b/s para 115.000 b/s.

Quando a transferência for concluída, o roteador será reiniciado automaticamente com o novo IOSCisco.Exibir meio visual

4.5.6 Identificação e solução de problemas de configurações do IOS Cisco





p g y g

Página 1:Comandos de identificação e solução de problemas do IOS Cisco

Quando você tiver uma imagem do IOS Cisco válida em execução em todos os roteadores na rede etodas as configurações tiverem backup, você poderá ajustar as configurações manualmente paradispositivos individuais a fim de melhorar o desempenho na rede.

Dois comandos muito utilizados na administração de rede diária são show e debug. A diferençaentre os dois é significativa. Um comando show lista os parâmetros configurados e seus valores. Ocomando debug permite rastrear a execução de um processo. Utilize o comando show para verificar as configurações. Utilize o comando debug para identificar o tráfego que passa pelas interfaces eprocessado pelo roteador.

A figura resume as características dos comandos show e debug. O melhor momento para obter informações sobre a saída gerada por esses comandos será quando uma rede estiver totalmenteoperacional. Dessa forma, você conseguirá reconhecer o que está faltando ou está incorreto aoutilizar os comandos para identificar e solucionar problemas de uma rede.Exibir meio visual

Página 2:Utilizando o comando show

O comando show exibe informações estáticas. Utilize os comandos show ao coletar fatos para isolar problemas em redes interconectadas, inclusive problemas com interfaces, nós, mídias, servidores,clientes ou aplicativos. Você também pode usá-lo sempre para confirmar se as alterações feitas naconfiguração foram implementadas.

A figura fornece um exemplo do comando show protocols. O guia de comandos do IOS Cisco lista1.463 comandos show. Quando você estiver no prompt de comando, digite show ? para obter umalista de comandos show disponíveis para o nível e o modo de operação.Exibir meio visual

Página 3:Utilizando o comando debug

Ao configurar um roteador, os comandos que você digita iniciam muito mais processos do que os quevocê vê na linha de código simples. Por isso, o rastreamento das suas configurações digitadas linhapor linha não revela todas as possibilidades de erro. Em vez disso, você precisa de uma forma decapturar dados dos dispositivos à medida que cada etapa em um processo em execução é iniciado.

Por padrão, o roteador envia a saída dos comandos debug e as mensagens de erro do sistema paraa console. Lembre-se de que você pode redirecionar a saída do comando debug para um servidor syslog.

Nota: a saída do comando de depuração recebe prioridade alta na fila de processos da CPU e, por isso, pode interferir em processos de produção normais em uma rede. Por isso, utilize comandosdebug durante momentos de inatividade e somente para identificar e solucionar problemasespecíficos.

O comando debug exibe dados e eventos dinâmicos. Utilize o debug para verificar o fluxo do tráfego





p g y g

de protocolo em busca de problemas, bugs em protocolo ou configurações incorretas. O comandodebug fornece um fluxo de informações sobre o tráfego visto (ou não) em uma interface, mensagensde erro geradas por nós na rede, pacotes de diagnóstico específicos de protocolo e outros dados deidentificação e solução de problemas. Utilize comandos debug quando as operações no roteador ouna rede precisarem ser exibidas para determinar se eventos ou pacotes estão funcionandocorretamente.

Todos os comandos debug são digitados no modo EXEC privilegiado, e a maioria dos comandosdebug não tem nenhum argumento. Para listar e ver uma descrição resumida de todas as opções decomando de depuração, digite debug ? no modo EXEC privilegiado.

Cuidado: é importante desativar a depuração quando você terminar a identificação e solução deproblemas. A melhor forma de assegurar que não haja nenhuma operação de depuração prolongadaé utilizando o comando no debug all.Exibir meio visual

Página 4:Considerações durante a utilização do comando debug

Um caso é utilizar comandos debug para identificar e solucionar problemas em uma rede delaboratório sem o tráfego do aplicativo de usuário final. Outro caso é utilizar os comandos debug emuma rede de produção da qual usuários dependem para o fluxo de dados. Sem as precauçõesapropriadas, o impacto de um comando debug poderia piorar as coisas.

Com a utilização apropriada, seletiva e temporária dos comandos debug, você pode obter informações possivelmente úteis sem precisar de um analisador de protocolo ou de outra ferramentade terceiros.

Outras considerações para a utilização dos comandos debug são as seguintes:

z

Quando as informações necessárias do comando debug são interpretadas e a depuração (equalquer outra configuração relacionada, se houver) for concluída, o roteador poderá retomar sua comutação mais rápidamente. A solução de problemas pode ser reiniciada, um melhor plano de ação pode ser criado e o problema da rede, resolvido.

z Saiba que os comandos debug podem gerar muito mais dados do que a pouca utilização paraum determinado problema. Normalmente, o conhecimento do protocolo ou dos protocolos emdepuração é obrigatório para a interpretação apropriada das saídas do comando debug.

z Ao utilizar ferramentas de identificação e solução de problemas debug, lembre-se de que osformatos da saída do comando variam de acordo com cada protocolo. Alguns geram umaúnica linha de saída do comando por pacote, outros geram várias linhas de saída do comandopor pacote. Alguns comandos debug geram grandes quantidades de saída de comando;outros só geram saída de comando ocasional. Alguns geram linhas de texto e outros geraminformações no formato de campo.

Exibir meio visual

Página 5:Comandos relacionados ao comando debug

Para utilizar as ferramentas de depuração efetivamente, você deve considerar o seguinte:





p g y g

z Impacto que uma ferramenta de identificação e solução de problemas tem no desempenho doroteador

z Utilização mais seletiva e concentrada da ferramenta de diagnósticoz Como minimizar o impacto da identificação e solução de problemas em outros processos que

competem pelos recursos no dispositivo de redez Como parar a ferramenta de identificação e solução de problemas quando o diagnóstico for

concluído para que o roteador possa retomar sua comutação mais eficiente

Para otimizar a utilização eficiente do comando debug, estes comandos podem ajudar:

z O comando service timestamps é utilizado para adicionar um registro de data e hora a umamensagem de depuração ou log. Esse recurso pode fornecer informações importantes sobrequando houve elementos de depuração e o tempo entre os eventos.

z O comando show processes exibe a utilização da CPU para cada processo. Esses dadospodem influenciar decisões sobre a utilização de um comando debug se indicarem que osistema de produção já está sendo muito utilizado na adição de um comando debug.

z O comando no debug all desabilita todos os comandos debug. Esse comando pode liberar recursos do sistema depois que você conclui a depuração.

z O comando terminal monitor exibe a saída do comando debug e as mensagens de erro dosistema do terminal e da sessão atuais. Ao executar Telnet em um dispositivo e emitir umcomando debug, você não verá nenhuma saída do comando, a menos que esse comandoseja digitado.

Exibir meio visual

4.5.7 Recuperando uma senha de roteador

Página 1:Sobre a recuperação de senha

Você já se esqueceu da senha de um roteador? Talvez não, mas algum dia na sua carreira, vocêcertamente conhecerá alguém que se esquecerá e precisará recuperá-la.

A primeira coisa que precisa saber sobre a recuperação de senha é que, por razões de segurança,você deve ter acesso físico ao roteador. Você conecta o seu PC ao roteador por meio de um cabo deconsole.

As senhas enable password e enable secret password protegem o acesso aos modos EXECprivilegiado e de configuração. A enable password pode ser recuperada, mas a enable secret écriptografada, devendo ser substituída por uma nova senha.

O registro de configuração é um conceito sobre qual você obterá mais informações posteriormente

nos seus estudos. O registro de configuração é semelhante às configuração da BIOS do seu PC, quecontrolam o processo de inicialização. Entre outras coisas, a BIOS informa ao PC que disco rígidoinicializar. Em um roteador, um registro de configuração, representado por um único valor hexadecimal, informa ao roteador que etapas específicas executar quando ligá-lo. Os registros deconfiguração têm muitas utilizações e a recuperação de senha costuma ser a mais utilizada.Exibir meio visual

Página 2:





p g y g

Procedimento de recuperação de senha do roteador

Para recuperar a senha de um roteador, faça o seguinte:

Preparar o dispositivo

Etapa 1. Conectar-se à porta de console.

Etapa 2. Mesmo perdida a enable password, ainda assim você teria acesso ao modo EXEC usuário.Digite show version no prompt e grave a definição do registro de configuração.

R>#show version<saída do comando show omitida>Configuration register is 0x2102R1>

O registro de configuração normalmente é definido como 0x2102 ou 0x102. Se não puder maisacessar o roteador (porque um login ou uma senha TACACS foi perdido), você poderá supor tranquilamente que o registro de configuração esteja definido como 0x2102.

Etapa 3. Utilizar a chave liga/desliga para desligar o roteador e ligá-lo novamente.

Etapa 4. Emita um sinal de break no terminal em 60 segundos após ligar o roteador no ROMmon.Um sinal de break é enviado utilizando uma sequência de chaves de interrupção apropriada aoprograma terminal e ao sistema operacional.

Clique no botão Ignorar inicialização na figura.

Etapa 5. Digitar confreg 0x2142 no prompt rommon 1>. Isso faz o roteador ignorar a configuraçãode inicialização na qual a enable password esquecida é armazenada.

Etapa 6. Digitar reset no prompt rommon 2>. O roteador é reinicializado, mas ignora a configuraçãosalva.

Etapa 7. Digitar no depois de cada pergunta de configuração ou pressionar Ctrl-C para ignorar oprocedimento de configuração inicial.

Etapa 8. Digitar enable no prompt Router>. Isso leva você ao modo enable, devendo ser capaz dever o prompt Router#.

Clique no botão Acessar NVRAM na figura.

Etapa 9. Digitar copy startup-config running-config para copiar o conteúdo da NVRAM para amemória RAM. Tome cuidado! Não digite copy running-config startup-config, ou você apagará asua configuração de inicialização.

Etapa 10. Digitar show running-config. Nessa configuração, o comando shutdown é exibido emtodas as interfaces porque todas elas estão desativadas no momento. Mas o mais importante é queagora você pode ver as senhas (enable password, enable secret, vty, console) nos formatoscriptografado ou não-criptografado. Você pode reutilizar senhas não-criptografadas. Você devealterar senhas criptografadas para uma nova senha.

Clique no botão Redefinir senhas na figura.

Etapa 11. Digitar configure terminal. O prompt R1(config)# é exibido.





p g y g

Etapa 12. Digitar enable secret password para alterar a senha enable secret. Por exemplo:

R1(config)# enable secret cisco

Etapa 13. Emitir o comando no shutdown em todas as interfaces desejadas. Você pode emitir umcomando show ip interface brief para confirmar se a configuração da sua interface está correta.Todas as interfaces que você deseja usar devem ser exibidas como ativadas.

Etapa 14. Digitar config-register configuration_register_setting . configuration_register_setting é ovalor registrado na Etapa 2 ou 0x2102. Por exemplo:

R1(config)#config-register 0x2102

Etapa 15. Pressionar Ctrl-Z ou digitar end para sair do modo de configuração. O prompt R1# éexibido.

Etapa 16. Digitar copy running-config startup-config para confirmar as alterações.

Agora você concluiu a recuperação de senha. A digitação do comando show version irá confirmar que o roteador utilizará a definição do registro de configuração configurado na próximareinicialização.Exibir meio visual

4.6 Laboratórios do capítulo4.6.1 Configuração básica de segurança

Página 1:Neste laboratório, você irá aprender a configurar a segurança básica de rede usando a redemostrada no diagrama de topologia. Você saberá como configurar a segurança do roteador de três

maneiras diferentes: utilizando a CLI, o recurso auto-secure e o Cisco SDM. Você também aprenderáa gerenciar o software IOS Cisco.Exibir meio visual

4.6.2 Configuração avançada de segurança

Página 1:Neste laboratório, você irá configurar a segurança usando a rede mostrada no diagrama de topologia.Se você precisar de assistência, consulte o laboratório básico de segurança. No entanto, tente fazer o máximo possível. Para este laboratório, não use a proteção por senha ou login em nenhuma linhade console porque isso pode causar o logout acidental. No entanto, você ainda deve proteger a linha

de console usando outros meios. Utilize ciscoccna em todas as senhas deste laboratório.Exibir meio visual

4.6.3 Identificação e solução de problemas de configuração de segurança

Página 1:Sua empresa contratou recentemente um novo engenheiro de rede que criou alguns problemas desegurança na rede com configurações incorretas e omissões. Seu chefe lhe pediu para corrigir os





p g y g

erros que o novo engenheiro cometeu ao configurar os roteadores. Enquanto corrige os problemas,verifique se todos os dispositivos estão seguros, mas ainda acessíveis para administradores, e quetodas as redes são alcançáveis. Todos os roteadores devem ser acessíveis com SDM do PC1.Verificar se um dispositivo é seguro usando ferramentas como Telnet e ping. O uso não autorizadodessas ferramentas deve ser bloqueado. Por outro lado, o uso autorizado deve ser permitido. Paraeste laboratório, não use a proteção por login ou senha em nenhuma linha de console para impedir obloqueio acidental. Use ciscoccna para todas as senhas deste cenário.Exibir meio visual

4.7 Resumo do capítulo4.7.1 Resumo do capítulo

Página 1:A importância da segurança de rede não pode ser subestimada. Este capítulo enfatizou a importânciade desenvolver uma política de segurança efetiva e de aceitar o que ela exige que você faça. Vocêconhece as ameaças à sua rede, tanto internas quanto externas, e sabe as etapas básicas que vocêprecisa executar para se proteger dessas ameaças. Além disso, agora você compreende os

requisitos para equilibrar segurança em relação a acesso.

Os ataques de rede vêm de todas as direções e de muitas formas. Os ataques de senha são fáceisde iniciar e fáceis de se conter. As táticas da engenharia social exigem que os usuários desenvolvamum determinado nível de desconfiança e cuidado. Quando consegue acesso à rede, um atacantepodem literalmente abrir todos os trincos. Mas os atacantes nem sempre obtêm acesso para acabar com tudo. Os ataques de negação de serviço podem ser iniciados, sobrecarregando os recursos derede ao ponto em que não conseguem mais funcionar. Worms, vírus e cavalos-de-Troia podempenetrar redes e continuar se espalhando e infectando os dispositivos.

Uma das principais tarefas na proteção de uma rede é proteger os roteadores. Os roteadores são ogateway da rede, sendo os alvos óbvios. Conversas administrativas básicas incluindo segurançafísica, manutenção do IOS e backup dos arquivos de configuração já são um começo. O software

IOS Cisco fornece vários recursos de segurança para proteger roteadores e bloquear acessosos por portas e serviços utilizados, e a maioria deles pode ser feito utilizando-se o recurso de bloqueio emuma etapa do Cisco SDM.Exibir meio visual


Página 3:

Esta atividade é uma revisão cumulativa do capítulo que abrange o roteamento e a autenticação deOSPF e a atualização da imagem do IOS Cisco.








p g y g

4.8 Teste do capítulo4.8.1 Teste do capítulo

Página 1:

Exibir meio visual

Ir para a próximaIr para a anterior Ir para a parte superior

All contents copyright © 2007-2009 Cisco Systems, Inc. | Traduzido por Cisco Networking Academy. Sobre


CCNA 4.0 - AW - 04 Segurança de rede

Documents

Transcript of CCNA 4.0 - AW - 04 Segurança de rede