Os hackers experientes que so capaz de escrever seu prprio cdigo de explorao e os indivduos sem experincia que baixam cdigos

da Internet representam uma sria ameaa segurana de rede. Proteger os dispositivos de rede contra danos fsicos causados por gua ou eletricidade parte essencial da poltica de segurana. Um ataque de fora bruta experimenta todas as senhas possveis a parti de uma combinao de caracteres. Os dispositivos internos no devem confiar totalmente nos dispositivos no DMZ. Alm disso, a comunicao entre o DMZ e os dispositivos internos deve ser autenticada para impedir ataques como o redirecionamento de porta. Um tipo de ataque o DoS, que por exemplo pode ser feito enviando diversas solicitaes para um servidor, provocando lentido. Evitar abrir mensagens de e-mail de origem suspeita uma maneira de evitar a infeco por vrus. A reduo de ameaas segurana fsica consiste em controlar o acesso s portas de console do dispositivo, rotulando lances de cabo essenciais, instalando sistemas de No-break e fornecendo controle de temperatura. Alterar nomes de usurios e senhas padro e desabilitar ou desinstalar servios desnecessrios so aspectos de um dispositivo dificultado. A deteco da intruso ocorre em qual fase de monitoramento. Consultas DNS (de nomes), por padro so consultas enviadas para o endereo de broadcast, oferecendo risco a segurana. Cisco AutoSecure oferece a possibilidade de desabilitar instantaneamente processos e servios no essenciais do sistema, alm de possibilitar desabilitar instantaneamente processos e servios no essenciais do sistema. Por padro, todas as linhas VTY so configuradas para aceitar qualquer tipo de conexo remota. Por razes de segurana, as linhas VTY devem ser configuradas para aceitar apenas as conexes com os protocolos efetivamente necessrios. Isso feito com o comando transport input. Por exemplo, uma VTY que s deve receber sesses Telnet seria configurada com transport input telnet e uma VTY que permitisse sesses Telnet e SSH teria transport input telnet ssh

configurado. Outra ttica til configurar timeouts VTY utilizando o comando exec-timeout. Isso impede uma sesso ociosa de consumir a VTY indefinidamente. Embora sua efetividade contra ataques deliberados seja relativamente limitada, ela fornece alguma proteo contra sesses abandonadas ociosas acidentalmente. Da mesma forma, habilitar keepalives TCP em conexes de entrada utilizando o comando service tcp-keepalives-in pode ajudar na proteo contra ataques maliciosos e sesses abandonadas causadas por falhas em sistemas remotos. Os servios que normalmente devem ser desabilitados esto listados abaixo. So alguns deles: Servios pequenos, como echo, discard e chargen utilize o comando no service tcp-small-servers ou no service udp-small-servers. BOOTP utilize o comando no ip bootp server. Finger utilize o comando no service finger. HTTP utilize o comando no ip http server. SNMP utilize o comando no snmp-server. Tambm importante desabilitar servios que permitam a determinados pacotes passar pelo roteador, enviar pacotes especiais ou serem utilizados na configurao do roteador remoto. Os comandos correspondentes para desabilitar esses servios so: Protocolo de deteco da Cisco (CDP, Cisco Discovery Protocol) utilize o comando no cdp run. Configurao remota utilize o comando no service config. Roteamento de origem utilize o comando no ip source-route. Roteamento classless utilize o comando no ip classless. As interfaces no roteador podem ficar mais seguras utilizando-se determinados comandos no modo de configurao de interface: Interfaces no utilizadas utilize o comando shutdown. Negar ataques SMURF utilize o comando no ip directed-broadcast. Roteamento ad hoc utilize o comando no ip proxy-arp. Para configurar o Cisco SDM em um roteador que j esteja em utilizao, sem interromper o trfego da rede, siga estas etapas: Etapa 1. Acessar a interface CLI do roteador utilizando Telnet ou a conexo de console

Etapa 2: Habilitar os servidores HTTP e HTTPS no roteador Etapa 3. Criar uma conta de usurio definida com um nvel de privilgio 15 (habilitar privilgios). Etapa 4. Configurar SSH e Telnet para login local e nvel de privilgio15.

Antes de atualizar uma imagem CISCO IOS, usando um servidor TFTP, o Administrador deve: - Verificar a conectividade entre o roteador e o servidor TFTP usando o comando ping. - Verificar se h memria flash suficiente para a nova imagem do Cisco IOS usando o comando show flash. Para recuperar uma senha devemos entrar no modo de Monitor ROM e utilizar um cabo console para acessar o dispositivo CISCO. Para proteger uma rede de ataques de phishing o administrador deve gendar treinamentos para todos os usurios. O Cisco Security Device Manager (SDM) pode ser executado de memria de roteador ou de um PC. Para recuperar um comando enable password perdido para um roteador, o Administrador deve definir o registro de configurao para ignorar a configurao de inicializao. Este exemplo o SDM reconfigurar os servios marcados na figura como corrigir para aplicar as alteraes de segurana sugeridas.