Mitigação de ataque de rede
Mitigação de ataque de rede

Segurança do Dispositivo

Cisco AutoSecure

Uma área das redes que requer atenção especial para manter a segurança são os dispositivos. Você provavelmente já tem uma senha para o seu computador, smartphone ou tablet. É tão forte quanto poderia ser? Você está usando outras ferramentas para aumentar a segurança de seus dispositivos? Este tópico explica como.

As configurações de segurança são definidas para os valores padrão quando um novo sistema operacional é instalado em um dispositivo. Na maioria dos casos, esse nível de segurança é inadequado. Para roteadores Cisco, o recurso Cisco AutoSecure pode ser usado para ajudar a proteger o sistema, conforme mostrado no exemplo.

Router# auto secure
--- AutoSecure Configuration ---
*** AutoSecure configuration enhances the security of
the router but it will not make router absolutely secure
from all security attacks ***

Além disso, existem algumas etapas simples que devem ser seguidas e se aplicam à maioria dos sistemas operacionais:

  • Os nomes de usuário e senhas padrão devem ser alterados imediatamente.
  • O acesso aos recursos do sistema deve ser restrito apenas aos indivíduos autorizados a usar esses recursos.
  • Quaisquer serviços e aplicativos desnecessários devem ser desligados e desinstalados quando possível.

Freqüentemente, os dispositivos enviados pelo fabricante ficam parados em um warehouse por um período de tempo e não têm os patches mais atualizados instalados. É importante atualizar qualquer software e instalar os patches de segurança antes da implementação.

Senhas

Para proteger os dispositivos de rede, é importante usar senhas fortes. Aqui estão as diretrizes padrão a serem seguidas:

  • Use uma senha de pelo menos oito caracteres, de preferência 10 ou mais caracteres. Uma senha mais longa é uma senha mais segura.
  • Torne as senhas complexas. Inclua uma combinação de letras maiúsculas e minúsculas, números, símbolos e espaços, se permitido.
  • Evite senhas baseadas em repetição, palavras comuns de dicionário, sequências de letras ou números, nomes de usuário, nomes de parentes ou animais de estimação, informações biográficas, como datas de nascimento, números de identificação, nomes de ancestrais ou outras informações facilmente identificáveis.
  • Erro de ortografia deliberada de uma senha. Por exemplo, Smith = Smyth = 5mYth ou Security = 5ecur1ty.
  • Altere as senhas com freqüência. Se uma senha for comprometida sem saber, a janela de oportunidade para o agente da ameaça usar a senha é limitada.
  • Não anote as senhas e as deixe em locais óbvios, como na mesa ou no monitor.

As tabelas mostram exemplos de senhas fortes e fracas.

Senhas fracas

Senha fracaPor que é fraco
secretSenha de dicionário simples
smithNome de solteira da mãe
toyotaMarca de carro
bob1967Nome e aniversário do usuário
Blueleaf23Palavras e números simples

Senhas fortes

Senha fortePor que é forte
b67n42d39cCombina caracteres alfanuméricos
12^h u4@1p7Combina caracteres alfanuméricos, símbolos e inclui um espaço

Em roteadores Cisco, os espaços à esquerda são ignorados para as senhas, mas os espaços após o primeiro caractere não. Portanto, um método para criar uma senha forte é usar a barra de espaço e criar uma frase composta de muitas palavras. Isso é chamado de senha longa. Uma frase secreta geralmente é mais fácil de lembrar do que uma senha simples. Também é mais longo e difícil de adivinhar.

Segurança de senha adicional

Senhas fortes só são úteis se forem secretas. Existem várias etapas que podem ser executadas para ajudar a garantir que as senhas permaneçam secretas em um roteador e switch Cisco, incluindo estes:

  • Criptografar todas as senhas de texto simples
  • Definir um comprimento mínimo aceitável de senha
  • Impedir ataques de força bruta de adivinhação de senha
  • Desativando um acesso ao modo EXEC privilegiado inativo após um período de tempo especificado.

Conforme mostrado na configuração de amostra na figura, o comando de configuração global de criptografia de senha de serviço evita que indivíduos não autorizados visualizem senhas em texto simples no arquivo de configuração. Este comando criptografa todas as senhas em texto simples. Observe no exemplo que a senha “cisco” foi criptografada como “03095A0F034F”.

Para garantir que todas as senhas configuradas tenham um comprimento mínimo especificado, use o comando security passwords min-length length no modo de configuração global. Na figura, qualquer nova senha configurada deve ter no mínimo oito caracteres.

Os atores da ameaça podem usar software de quebra de senha para conduzir um ataque de força bruta em um dispositivo de rede. Este ataque tenta continuamente adivinhar as senhas válidas até que uma funcione. Use o bloqueio de login para # tentativas # no # comando de configuração global para deter esse tipo de ataque. Na figura, por exemplo, o comando bloqueio de login para 120 tentativas 3 dentro de 60 bloqueará as tentativas de login vty por 120 segundos se houver três tentativas de login com falha em 60 segundos.

Os administradores de rede podem se distrair e deixar acidentalmente uma sessão do modo EXEC privilegiado aberta em um terminal. Isso pode permitir o acesso de um ator de ameaça interno para alterar ou apagar a configuração do dispositivo.

Por padrão, os roteadores Cisco farão logout de uma sessão EXEC após 10 minutos de inatividade. No entanto, você pode reduzir essa configuração usando o comando de configuração da linha exec-timeout minutos segundos. Este comando pode ser aplicado em console online, linhas auxiliares e linhas vty. Na figura, estamos dizendo ao dispositivo Cisco para desconectar automaticamente um usuário inativo em uma linha vty após o usuário ficar inativo por 5 minutos e 30 segundos.

Router(config)# service password-encryption 
Router(config)# security password min-length 8 
Router(config)# login block-for 120 attempts 3 within 60
Router(config)# line vty 0 4 
Router(config-line)# password cisco 
Router(config-line)# exec-timeout 5 30 
Router(config-line)# transport input ssh 
Router(config-line)# end 
Router# 
Router# show running-config | section line vty
line vty 0 4
password 7 03095A0F034F
exec-timeout 5 30
login
Router#

Habilitar SSH

O Telnet simplifica o acesso ao dispositivo remoto, mas não é seguro. Os dados contidos em um pacote Telnet são transmitidos sem criptografia. Por esse motivo, é altamente recomendável habilitar Secure Shell (SSH) em dispositivos para acesso remoto seguro.

É possível configurar um dispositivo Cisco para suportar SSH usando as seguintes seis etapas:

Etapa 1. Configure um nome de host de dispositivo exclusivo. Um dispositivo deve ter um nome de host exclusivo diferente do padrão.

Etapa 2. Configure o nome de domínio IP. Configure o nome de domínio IP da rede usando o comando do modo de configuração global ip-domain name.

Etapa 3. Gere uma chave para criptografar o tráfego SSH. SSH criptografa o tráfego entre a origem e o destino. No entanto, para fazer isso, uma chave de autenticação exclusiva deve ser gerada usando o comando de configuração global crypto key generate rsa general-keys modulus bits. Os bits de módulo determinam o tamanho da chave e podem ser configurados de 360 ​​a 2048 bits. Quanto maior o valor do bit, mais segura é a chave. No entanto, valores de bits maiores também demoram mais para criptografar e descriptografar as informações. O comprimento mínimo recomendado do módulo é de 1024 bits.

Etapa 4. Verifique ou crie uma entrada de banco de dados local. Crie uma entrada de nome de usuário de banco de dados local usando o comando de configuração global de nome de usuário. No exemplo, o parâmetro secret é usado para que a senha seja criptografada usando MD5.

Etapa 5. Autenticar no banco de dados local. Use o comando de configuração de linha local de login para autenticar a linha vty no banco de dados local.

Etapa 6. Habilite as sessões SSH de entrada vty. Por padrão, nenhuma sessão de entrada é permitida em linhas vty. Você pode especificar vários protocolos de entrada, incluindo Telnet e SSH, usando a entrada de transporte [ssh | comando telnet].

Conforme mostrado no exemplo, o roteador R1 está configurado no domínio span.com. Essas informações são usadas junto com o valor do bit especificado no comando crypto key generate rsa general-keys modulus para criar uma chave de criptografia.

Em seguida, uma entrada de banco de dados local para um usuário chamado Bob é criada. Finalmente, as linhas vty são configuradas para autenticação no banco de dados local e para aceitar apenas sessões SSH de entrada.

Router# configure terminal
Router(config)# hostname R1
R1(config)# ip domain-name span.com
R1(config)# crypto key generate rsa general-keys modulus 1024
The name for the keys will be: Rl.span.com % The key modulus size is 1024 bits
% Generating 1024 bit RSA keys, keys will be non-exportable...[OK]
•Dec 13 16:19:12.079: %SSH-5-ENABLED: SSH 1.99 has been enabled
R1(config)#
R1(config)# username Bob secret cisco
R1(config)# line vty 0 4
R1(config-line)# login local
R1(config-line)# transport input ssh
R1(config-line)# exit
R1(config)#

Desativar serviços não utilizados

Os roteadores e switches Cisco começam com uma lista de serviços ativos que podem ou não ser necessários em sua rede. Desative todos os serviços não utilizados para preservar os recursos do sistema, como ciclos de CPU e RAM, e evitar que os agentes de ameaças explorem esses serviços. Os tipos de serviços que estão ativados por padrão variam de acordo com a versão do IOS. Por exemplo, o IOS-XE normalmente terá apenas portas HTTPS e DHCP abertas. Você pode verificar isso com o comando show ip ports all, conforme mostrado no exemplo.

Router# show ip ports all
Proto Local Address               Foreign Address             State       PID/Program Name
TCB       Local Address               Foreign Address             (state)
tcp   :::443                     :::*                        LISTEN      309/[IOS]HTTP CORE
tcp   *:443                      *:*                         LISTEN      309/[IOS]HTTP CORE
udp   *:67                        0.0.0.0:0                               387/[IOS]DHCPD Receive
Router#

As versões do IOS anteriores ao IOS-XE usam o comando show control-plane host open-ports. Mencionamos este comando porque você pode vê-lo em dispositivos mais antigos. A saída é semelhante. No entanto, observe que este roteador mais antigo tem um servidor HTTP inseguro e Telnet em execução. Ambos os serviços devem ser desativados. Conforme mostrado no exemplo, desative o HTTP com o comando de configuração global no ip http server. Desative o Telnet especificando apenas SSH no comando de configuração de linha, transport input ssh.

Router# show control-plane host open-ports 
Active internet connections (servers and established)
Prot Local Address Foreign Address Service State
tcp *:23 *:0 Telnet LISTEN
tcp *:80 *:0 HTTP CORE LISTEN
udp *:67 *:0 DHCPD Receive LISTEN
Router# configure terminal
Router(config)# no ip http server
Router(config)# line vty 0 15
Router(config-line)# transport input ssh

Packet Tracer – Configurar senhas seguras e SSH

O administrador da rede solicitou que você prepare o RTA e o SW1 para implantação. Antes que eles possam ser conectados à rede, as medidas de segurança devem ser ativadas.

[button url=”https://www.ccna.network/wp-content/uploads/2021/01/16.4.6.zip” target=”self” style=”default” background=”#2fa614″ color=”#FFFFFF” size=”3″ wide=”no” center=”yes” radius=”auto” icon=”” icon_color=”#FFFFFF” text_shadow=”none” desc=”” download=”” onclick=”” rel=”” title=”” id=”” class=””]BAIXE AQUI[/button]

Laboratório – Configurar dispositivos de rede com SSH

Neste laboratório, você concluirá os seguintes objetivos:

  • Parte 1: Definir as configurações básicas do dispositivo
  • Parte 2: Configurar o roteador para acesso SSH
  • Parte 3: Configurar o switch para acesso SSH
  • Parte 4: SSH da CLI no switch
[button url=”https://www.ccna.network/wp-content/uploads/2021/01/16.4.6.zip” target=”self” style=”default” background=”#2fa614″ color=”#FFFFFF” size=”3″ wide=”no” center=”yes” radius=”auto” icon=”” icon_color=”#FFFFFF” text_shadow=”none” desc=”” download=”” onclick=”” rel=”” title=”” id=”” class=””]BAIXE AQUI[/button]
Aplicação CCNA Dump já disponívelApp Store