Tabla de Contenido
NOMES DE DISPOSITIVOS
Você aprendeu muito sobre o Cisco IOS, como navegar no IOS e a estrutura de comando. Agora, você está pronto para configurar dispositivos! O primeiro comando de configuração em qualquer dispositivo deve ser dar a ele um nome de dispositivo ou nome de host exclusivo. Por padrão, todos os dispositivos são atribuídos a um nome padrão de fábrica. Por exemplo, um switch Cisco IOS é “Switch”.
O problema é que se todos os switches em uma rede fossem deixados com seus nomes padrão, seria difícil identificar um dispositivo específico. Por exemplo, como você saberia que está conectado ao dispositivo certo ao acessá-lo remotamente usando SSH? O nome do host fornece a confirmação de que você está conectado ao dispositivo correto.
O nome padrão deve ser alterado para algo mais descritivo. Ao escolher os nomes com sabedoria, é mais fácil lembrar, documentar e identificar os dispositivos de rede. Aqui estão algumas diretrizes de nomenclatura importantes para hosts:
- Comece com uma carta
- Não contém espaços
- Terminar com uma letra ou dígito
- Use apenas letras, dígitos e travessões
- Ter menos de 64 caracteres de comprimento
Uma organização deve escolher uma convenção de nomenclatura que torne mais fácil e intuitivo identificar um dispositivo específico. Os nomes de host usados no IOS do dispositivo preservam a capitalização e os caracteres minúsculos. Por exemplo, a figura mostra que três switches, abrangendo três andares diferentes, estão interconectados em uma rede. A convenção de nomenclatura usada incorporou a localização e a finalidade de cada dispositivo. A documentação da rede deve explicar como esses nomes foram escolhidos para que dispositivos adicionais possam ser nomeados de acordo.
Quando os dispositivos de rede são nomeados, eles são fáceis de identificar para fins de configuração.
Quando a convenção de nomenclatura for identificada, a próxima etapa é usar a CLI para aplicar os nomes aos dispositivos. Conforme mostrado no exemplo, no modo EXEC privilegiado, acesse o modo de configuração global inserindo o comando configure terminal. Observe a mudança no prompt de comando.
Switch# configure terminal
Switch(config)# hostname Sw-Floor-1
Sw-Floor-1(config)#No modo de configuração global, insira o nome do host do comando seguido do nome do switch e pressione Enter. Observe a mudança no nome do prompt de comando.
Nota: Para retornar o switch ao prompt padrão, use o comando no hostname global config.
Certifique-se sempre de que a documentação seja atualizada sempre que um dispositivo for adicionado ou modificado. Identifique os dispositivos na documentação por sua localização, finalidade e endereço.
DIRETRIZES DE SENHA
O uso de senhas fracas ou fáceis de adivinhar continua a ser a maior preocupação de segurança das organizações. Dispositivos de rede, incluindo roteadores sem fio domésticos, devem sempre ter senhas configuradas para limitar o acesso administrativo.
O Cisco IOS pode ser configurado para usar senhas de modo hierárquico para permitir diferentes privilégios de acesso a um dispositivo de rede.
Todos os dispositivos de rede devem limitar o acesso administrativo, protegendo EXEC privilegiado, EXEC do usuário e acesso Telnet remoto com senhas. Além disso, todas as senhas devem ser criptografadas e notificações legais fornecidas.
Ao escolher as senhas, use senhas fortes que não sejam facilmente adivinhadas. Existem alguns pontos-chave a serem considerados ao escolher as senhas:
- Use senhas com mais de oito caracteres.
- Use uma combinação de letras maiúsculas e minúsculas, números, caracteres especiais e / ou sequências numéricas.
- Evite usar a mesma senha para todos os dispositivos.
- Não use palavras comuns porque são facilmente adivinhadas.
Use uma pesquisa na Internet para encontrar um gerador de senha. Muitos permitirão que você defina o comprimento, o conjunto de caracteres e outros parâmetros.
Nota: A maioria dos laboratórios deste curso usa senhas simples, como cisco ou class. Essas senhas são consideradas fracas e fáceis de adivinhar e devem ser evitadas em ambientes de produção. Só usamos essas senhas por conveniência em uma configuração de sala de aula ou para ilustrar exemplos de configuração.
CONFIGURAR SENHAS
Ao se conectar inicialmente a um dispositivo, você está no modo EXEC do usuário. Este modo é protegido usando o console.
Para proteger o acesso do usuário ao modo EXEC, entre no modo de configuração do console de linha usando o comando de configuração global do console de linha 0, conforme mostrado no exemplo. O zero é usado para representar a primeira (e na maioria dos casos a única) interface do console. Em seguida, especifique a senha do usuário no modo EXEC usando o comando password password. Finalmente, habilite o acesso do usuário EXEC usando o comando login.
Sw-Floor-1# configure terminal
Sw-Floor-1(config)# line console 0
Sw-Floor-1(config-line)# password cisco
Sw-Floor-1(config-line)# login
Sw-Floor-1(config-line)# end
Sw-Floor-1#O acesso ao console agora exigirá uma senha antes de permitir o acesso ao modo EXEC do usuário.
Para ter acesso de administrador a todos os comandos IOS, incluindo a configuração de um dispositivo, você deve obter acesso ao modo EXEC privilegiado. É o método de acesso mais importante porque fornece acesso completo ao dispositivo.
Para proteger o acesso EXEC privilegiado, use o comando enable secret password global config, conforme mostrado no exemplo.
Sw-Floor-1# configure terminal
Sw-Floor-1(config)# enable secret class
Sw-Floor-1(config)# exit
Sw-Floor-1#As linhas de terminal virtual (VTY) permitem o acesso remoto usando Telnet ou SSH para o dispositivo. Muitos switches Cisco suportam até 16 linhas VTY numeradas de 0 a 15.
Para proteger as linhas VTY, entre no modo VTY de linha usando o comando line vty 0 15 global config. Em seguida, especifique a senha VTY usando o comando password password. Por último, habilite o acesso VTY usando o comando login.
Um exemplo de proteção das linhas VTY em um switch é mostrado.
Sw-Floor-1# configure terminal
Sw-Floor-1(config)# line vty 0 15
Sw-Floor-1(config-line)# password cisco
Sw-Floor-1(config-line)# login
Sw-Floor-1(config-line)# end
Sw-Floor-1#ENCRYPT PASSWORDS
Os arquivos startup-config e running-config exibem a maioria das senhas em texto simples. Esta é uma ameaça à segurança porque qualquer pessoa pode descobrir as senhas se tiver acesso a esses arquivos.
Para criptografar todas as senhas de texto simples, use o comando service password-encryption global config conforme mostrado no exemplo.
Sw-Floor-1# configure terminal
Sw-Floor-1(config)# service password-encryption
Sw-Floor-1(config)#O comando aplica criptografia fraca a todas as senhas não criptografadas. Essa criptografia se aplica apenas a senhas no arquivo de configuração, não a senhas à medida que são enviadas pela rede. O objetivo deste comando é impedir que indivíduos não autorizados visualizem as senhas no arquivo de configuração.
Use o comando show running-config para verificar se as senhas agora estão criptografadas.
Sw-Floor-1(config)# end
Sw-Floor-1# show running-config
!
!
line con 0
password 7 094F471A1A0A
login
!
line vty 0 4
password 7 03095A0F034F38435B49150A1819
login
!
!
endMENSAGENS DE BANNER
Embora a solicitação de senhas seja uma forma de manter o pessoal não autorizado fora de uma rede, é vital fornecer um método para declarar que apenas o pessoal autorizado deve tentar acessar o dispositivo. Para fazer isso, adicione um banner à saída do dispositivo. Os banners podem ser uma parte importante do processo legal no caso de alguém ser processado por invadir um dispositivo. Alguns sistemas jurídicos não permitem o processo, ou mesmo o monitoramento de usuários, a menos que uma notificação seja visível.
Para criar uma mensagem de banner do dia em um dispositivo de rede, use o comando banner motd # a mensagem do dia # global config. O “#” na sintaxe do comando é chamado de caractere delimitador. Ele é inserido antes e depois da mensagem. O caractere delimitador pode ser qualquer caractere, desde que não apareça na mensagem. Por esse motivo, símbolos como o “#” são usados com freqüência. Após a execução do comando, o banner será exibido em todas as tentativas subsequentes de acesso ao dispositivo, até que o banner seja removido.
O exemplo a seguir mostra as etapas para configurar o banner no Sw-Floor-1.
Sw-Floor-1# configure terminal
Sw-Floor-1(config)# banner motd #Authorized Access Only#VÍDEO – ACESSO ADMINISTRATIVO SEGURO A UM INTERRUPTOR
Clique em Reproduzir na figura para ver um vídeo de demonstração de como proteger o acesso administrativo a um switch.
SYNTAX CHECKER – CONFIGURAÇÃO BÁSICA DO DISPOSITIVO
Acesso de gerenciamento seguro a um switch.
- Atribua um nome de dispositivo.
- Acesso seguro do usuário ao modo EXEC.
- Acesso seguro ao modo EXEC privilegiado.
- Acesso VTY seguro.
- Criptografe todas as senhas em texto simples.
- Exibe um banner de login.
- Entre no modo de configuração global.
Switch#configure terminal
- Nomeie o switch como “Sw-Floor-1”.
Switch(config)#hostname Sw-Floor-1
- Proteja o acesso do usuário ao modo EXEC inserindo o console de linha 0, atribua a senha cisco, habilite o login e retorne ao modo de configuração global usando exit.
Sw-Floor-1(config)#line console 0
Sw-Floor-1(config-line)#password cisco
Sw-Floor-1(config-line)#login
Sw-Floor-1(config-line)#exit- Acesso ao modo EXEC privilegiado seguro usando a classe de senha.
Sw-Floor-1(config)#enable secret class
- Proteja as linhas VTY de 0 a 15, atribua a senha cisco, habilite o login e retorne ao modo de configuração global usando exit.
Sw-Floor-1(config)#line vty 0 15
Sw-Floor-1(config-line)#password cisco
Sw-Floor-1(config-line)#login
Sw-Floor-1(config-line)#exit- Criptografe todas as senhas em texto simples.
Sw-Floor-1(config)#service password-encryption
- Crie uma mensagem de banner usando o símbolo “#” como delimitador. O banner deve exibir exatamente: Aviso! Acesso autorizado apenas!
Sw-Floor-1(config)#banner motd #Aviso! Acesso autorizado apenas!#
Você concluiu com êxito os requisitos básicos para acessar e proteger um dispositivo.