Filipefreitas Net Proteccao Rede

Estudodemecanismosdeprotecode
rede
FilipeFreitas
Filipe@filipefreitas.net
http://www.filipefreitas.net

w
w
w
.
f
i
l
i
p
e
f
r
e
i
t
a
s
.
n
e
t
ndice
Introduo......................................................................................................................................................................3
Objectivosenotas..........................................................................................................................................................4
Camadafsica.................................................................................................................................................................5
Controloambiental/espacialeacessofsico............................................................................................................5
Topologiafsicaderede............................................................................................................................................8
Camadadeligaodedados........................................................................................................................................10
Segmentaodarede..............................................................................................................................................10
VirtualLANs.............................................................................................................................................................11
Seguranadasinterfaces.........................................................................................................................................15
Tolernciadefalhas................................................................................................................................................17
Impersonificao.....................................................................................................................................................19
AccessControlList...................................................................................................................................................21
Camadaderede...........................................................................................................................................................22
Configuraoderouters..........................................................................................................................................22
Tolernciadefalhas................................................................................................................................................26
AccessControlLists.................................................................................................................................................29
NetworkAddressTranslationeZonadesmilitarizada.............................................................................................31
Segmentaodarede..............................................................................................................................................35
DynamicHostConfigurationProtocol.....................................................................................................................36
Gestoderede........................................................................................................................................................38
VirtualPrivateNetworkseIPSec.............................................................................................................................39
IPv6..........................................................................................................................................................................43
DomainNameSystem.............................................................................................................................................45
Camadadetransporte.................................................................................................................................................46
AccessControlListextendidas................................................................................................................................46
Firewall....................................................................................................................................................................48
IntrusionDetectionSystem.....................................................................................................................................50
TransportLayerSecurity.........................................................................................................................................52
Infraestruturadechavespblicas...........................................................................................................................53
Camadadeaplicao...................................................................................................................................................56
Autenticao,AutorizaoeContabilidade............................................................................................................56
Honeypot.................................................................................................................................................................58
Extensesdesegurana..........................................................................................................................................60
Temasparafuturaexpanso........................................................................................................................................61
w
w
w
.
f
i
l
i
p
e
f
r
e
i
t
a
s
.
n
e
t
Introduo
AInterneterecentesinovaesnocampodecomunicaodedados,conduzirama
tendnciaaumapenetraoderedesdedadosquaseuniversalnolocaldetrabalhoeoutros
locais,alterarandodramaticamenteomodelodenegciodeorganizaesemtodooMundo.
Existeumacrescentetendnciadeinformatizareinterligartodasasreas,aumentandoassim
depnciadasorganizaesderecursosderede.
Estadependnciaatribuiumpapelfundamentalaosrecursosderede,podendouma
falhadossistemasinformticosouderedeterimpactodevastadornaorganizao,sendo
assimnecessriotcnicasepolticasqueasseguremofuncionamentoeseguranadaredee
dossistemas.Aseguranaemredemaisquemanterosequipamentosafuncionar,
necessrioprotegeraintegridadedasinformaesqueaorganizaocriaedispe,assim
comoadisponibilidadedasmesmas.Exemplosdestanecessidadesocombateraespionagem
industrialoumanteraconfianadosclientesquantoseguranadosseusdados.
Asestatsticas(figuraacima)demonstramqueosperigossoreais,existindoum
aumentodeataques(DistributedDenialOfService)degrandeenvergaduraesofisticao,
consumindoenormesquantidadesdosrecursosderede.
Afrequnciadeataques(figuraacima)temvindoaaumentarexponencial,sendo
necessriolidarcomestatendncia.
3
w
w
w
.
f
i
l
i
p
e
f
r
e
i
t
a
s
.
n
e
t
Objectivosenotas
Comestetrabalho,pretendeseapresentarsoluesparaimpedirataquesanvelde
redeedesistemas,categorizandoasnascamadasrespectivasdomodeloOSI.Notesequeno
sepretendeexplicartodososdetalhesdastecnologiaseprotocolosapresentados,pretendese
demonstrarcomoautilizaodestastecnologiaseprotocolospermitemelhorarasegurana
darede.
Asconfiguraes(simples)apresentadasiroserbaseadasemsistemasCisco(IOS),
devidoaexistirmaisinformaoemaiorpenetraonomercadodosprodutosdeste
fabricante.
Conceitoscomoseguranadeligaeswirelessousegurananoemail,seroapenas
brevementeabordados,devidoaseremtemasdeoutrostrabalhos.
w
w
w
.
f
i
l
i
p
e
f
r
e
i
t
a
s
.
n
e
t
Camadafsica
Qualquerpolticadesegurananasconfiguraesdosequipamentospodeserfcile
rapidamenteneutralizadaseoacessoaosequipamentosderedeeterminaisnocontrolado.
Umintrusopodeinfiltrarsepessoalmentenoslocaisdaorganizao,sentarsefrentedeum
terminaleinstalarumkeyloggerouvrustroiano,ouligarseaoportodaconsoladeumrouter
ouswitchecriarumacontaadministrativaparasi.
Existetambmaquestodeavariaoucatstrofesquepossaminterferirno
funcionamentodosequipamentos,sendonecessrioplanearatopologiaderededeformaa
existirconectividadederecursoemcasodaconectividadeprincipalforinterrompida.

Controloambiental/espacialeacessofsico
necessrioimpediraaproximaodepessoasnoautorizadasaosequipamentosde
redeseterminais.Sugereseaimplementaodasseguintesaces:
Colocaodeguardasdevigilncia
Colocaodecmerasdevigilncia
Colocaodosequipamentosderedeemsalasfechadascomcontroloambiental
Usodecartesdesegurana,badgesouintroduodePINnaentrada
Autenticaobiomtrica
UsodeUPS(UninterruptiblePowerSupply)
Alarmesdepresena
Usodepalavraschave(diferentesdasquevmpordefeito)noacessodirectoaos
equipamentos
Manutenodasversesdossistemasoperativosdosequipamentos
NosequipamentosCisco,podeserdefinidoumcontrolodeacessodaportadaconsola
(ouauxiliar).
w
w
w
.
f
i
l
i
p
e
f
r
e
i
t
a
s
.
n
e
t
Existemdoismodosdeoperao:bsico,quenorequerautenticao,eprivilegiado.
Omodobsicotemacessorestritoaosistema,tendoapenasalgumasfunespara
troubleshooting,enquantoqueomodoprivilegiadopermiteacedereconfigurartodosos
detalhesdoequipamento.
Paraconfigurarumapasswordparaoacessopelaconsola,poderoserutilizados
osseguintescomandos:

Secur eRout er >enable
Secur eRout er #config t
Secur eRout er ( conf i g) #line con 0
Secur eRout er ( conf i g- l i ne) #password Coriolis
Secur eRout er ( conf i g- l i ne) #login
Secur eRout er ( conf i g- l i ne) #end
Comestaconfigurao,outilizadorqueseligueconsolaterqueinserirapalavra
chaveCoriolisparapoderacederaoequipamento.Tambmpossveldefinirutilizadores
locaiscomdiferentesdireitos(quepodemsergeridosnumabasededadosexteriorao
dispositivoatravsdeAAA):
Cent r al #config t
Cent r al ( conf i g) #line con 0
Cent r al ( conf i g- l i ne) #login local
Cent r al ( conf i g- l i ne) #exec-timeout 5
Cent r al ( conf i g- l end i ne) #
Cent r al ( conf i g) #username brian privilege 1 password g00d+pa55w0rd
Podemserdefinidosvriosutilizadorescomdiferentesnveisdeprivilgios.O
comandoexectimeoutdefineumtempolimiteaoqualautorizadainactividade.Deverser
tambmconfiguradocontrolodeacessoaosrestantesmeiosdeacesso,comooportoAUXeo
terminaistelnet.
Asconfiguraesanteriorescontrolamoacessoaomodoutilizador(bsico)do
equipamento.Tambmpodeserdefinidoumapalavrachaveaomodoprivilegiado:
Secur eRout er #config t

Secur eRout er ( conf i g) #enable password Omni-Pass01
ou
Secur eRout er ( conf i g) #enable secret Omni-Pass01

Secur eRout er ( conf i g) #service password-encryption
Secur eRout er ( conf i g) #end
Secur eRout er #
Ocommandoenablesecretmaisseguropoisprotegeapalavrachavecomo
algoritmoMD5eocomandoservicepasswordencryptioncodificaapalavrachavepara
impedirquepessoaspresentesnolocalpossamlerapalavrachavenoecr.
w
w
w
.
f
i
l
i
p
e
f
r
e
i
t
a
s
.
n
e
t
Paradesmotivarcuriososepossveisintrusospoucocorajosos,sugeresea
configuraodeumaMessageOfTheDay(MotD),queconsistenumtextoqueapresentado
nafasedelogin:
SecureRouter#config t
SecureRouter(config)#banner motd #
Enter TEXT message. End with the character '#'.
*******************************************************
* WARNING...WARNING...WARNING...WARNING *
* YOU HAVE ACCESSED A RESTRICTED DEVICE *
* USE OF THIS DEVICE WITHOUT PRIOR AUTHORIZATION *
* OR FOR PURPOSES WHICH AUTHORIZATION HAS NOT BEEN *
* GRANTED IS STRICTLY PROHIBITED!!! *
*******************************************************
#
SecureRouter(config)#end
SecureRouter#

Estaconfiguraoteroseguinteresultado:

SecureRouter con0 is now available
......
Press RETURN to get started.
......
*******************************************************
* WARNING...WARNING...WARNING...WARNING *
* YOU HAVE ACCESSED A RESTRICTED DEVICE *
* USE OF THIS DEVICE WITHOUT PRIOR AUTHORIZATION *
* OR FOR PURPOSES WHICH AUTHORIZATION HAS NOT BEEN *
* GRANTED IS STRICTLY PROHIBITED!!! *
*******************************************************
SecureRouter>
Recomendaseousodeequipamentosdediversosfabricantes,poiscadafabricante
incluioseuprpriosistemaoperativo(InternetworkingOperatingSystemIOSnocasoda
Cisco).Cadasistemaoperativotemassuasprpriasvulnerabilidadesquepodemser
exploradasporintrusosepoderobterocontrolototaldaredecasotodososdispositivos
possuamamesmavulnerabilidade.Autilizaodediferentessistemasoperativospermite
minimizarapenetraodointruso,poisoataquelocalizado.
w
w
w
.
f
i
l
i
p
e
f
r
e
i
t
a
s
.
n
e
t
Topologiafsicaderede
Atopologiafsicaderedenofundamentalapenasnaeficinciadeumarede,
tambmonagestodeseguranaetolernciadefalhas.
Casoumdispositivosejapenetrado,podersernecessriodesligaressedispositivoda
rede,desligandoassimligaesqueanteriomentepermitiamconectividade.Casoesse
dispositivosejaumnicopontodefalha,desligarodispositivopoderterimpactos
devastadoresnofuncionamentodarede.
Existemvriosmodelosdetopologia:
Cadamodelodetopologiatemassuasvantagensedesvantagens,nonossocontexto,
cadamodelotemmelhoroupiortolernciaafalhas.Atopologiameshtemamelhor
tolernciaafalhaspoiscadanpossuivriasligaesavriospontosdatopologia,noentanto,
estemodelotambmomaiscaroedifcildegerir.Osmodelosbus,ringestarpossuium
nicopontodefalha,poisaquebradeumadasligaes(ringebus)ouoncentral(star)
interrompeofuncionamentodarede.
Assimnecessrioplanearumatopologiaquesejapensadanaeficinciaetolerncia
defalhas,noentanto,necessrioencontrarumequilbrioentreredundnciaepontosnicos
defalha,poisquantomaioratolerncia,maiorseracomplexidadedagesto,equantomaior
onmerodepontosnicosdefalha,maiorserafragilidadedarede.Atolernciadefalhasir
serabordadanoscaptulosseguintescomoSpanningTreeProtocol,protocolosde
encaminhamentoeHotStandbyRouterProtocol,porexemplo.
Aescolhadoequipamentoumaquestoimportante,nomeadamenteasubstituio
dehubsporswitches,sendoestaquestoabordadamaistarde.
Aescolhadatecnologiafsicatambmimportante,poispossvelinterceptaros
dadosaonvelfsico,variandoadificuldadedeofazerconsoanteatecnologia.Ligaes
wirelesssoasmaisfceisdepenetrarounegaroserviopoispodemserfacilmente
detectadaseacedidasdentrodareadeirradiaoeestosujeitasagrandeinterferncia
8
w
w
w
.
f
i
l
i
p
e
f
r
e
i
t
a
s
.
n
e
t
electromagntica;asligaesdefibrapticasoasmaisdifceisdepenetrarpoisnecessrio
utilizartcnicasinvasivas(queinterrompemacomunicao)parainterceptarofeixedeluz
sendoumaintrusofacilmentedetectvel,enquantoqueasligaescabladassosolues
aceitveis,noentanto,tambmirradiamenergiaquepodeserutilizadaparainterceptar
dados.
w
w
w
.
f
i
l
i
p
e
f
r
e
i
t
a
s
.
n
e
t
Camadadeligaodedados
AEthernetumatecnologiaquepermiteacriaoderedesLAN(LocalAreaNetwork),
edevidoavriosfactores,ubquaedominantenomercadodasredesLAN,sendosuportada
pelamaioriadosfabricanteseimplementadasnamaioriadasredes.
UmadascaractersticasmaisimportantesdaEthernetserumatecnologiadeacesso
mltiploaomeiofsicodecomunicao.
Devidoaomeiofsicoserpartilhadoporumconjuntodeterminais,existemassim
domniosdecoliso,quesoreasdaredenasquaisapenasumterminalpodetransmitir
simultneamente,causandoumacolisoemcasocontrrio.Nestesdomnios,todosos
terminaispodeminterceptarosdadosenviadospelosoutrosterminais,oqueconstituiuma
falhadesegurana.Umintrusointerno(ouexterno,ligadoremotamenteaumterminal)pode
interceptaroucorromperqualquertipodedados,ounegaroservio(criandocolises
incessantemente).
Segmentaodarede
Almdoaumentodeeficinciadarede,asegmentaodaredepermitereduziro
potencialdeintercepodarede,poisreduzaquantidadedeinformaoquetransmitida
porumdadosegmento.
AsegmentaoimplementadapordispositivosSwitchouBridges.Osdados
transmitidosnodomniodecolisosocontidosnareaqueosswitchesoubridgesabrangem,
sendoapenastransmitidososdadosnasligaesnecessrias,minimizandoefectivamenteo
impactodaintercepodedadosenegaodeservioporcolises.
10
w
w
w
.
f
i
l
i
p
e
f
r
e
i
t
a
s
.
n
e
t
VirtualLANs
AsvirtualLANspermitemsegmentarlogicamentearedeindependentementeda
topologiafsicadarede.
Comestatcnica,socriadosdomniosdebroadcastartificiaislogicamenteseparados,
isto,redesindependentesemutuamenteexclusivas,apesardeselocalizaremnosmesmos
segmentos,obtendoseassimummaiorcontrolosobreofluxodetrfego,maiorflexibilidade
nalocalizaodosterminaisemaiorsegurana,poisnecessrioacessoexplcitoentreas
VLANs,atravsdeligaesinterswitchourouters,epermitecriargruposdeutilizadorescom
diferentesgrausdesegurana.ParaconfigurarVirtualLANsnosequipamentosCiscocomIOS,
poderoserusadososseguintescomandos:
Swi t ch#vlan database
Swi t ch( vl an) #
Swi t ch( vl an) #vlan 2

VLAN 2 added:
Name: VLAN0002

Swi t ch( vl an) #apply

APPLY compl et ed.
Ou
Swi t ch( conf i g) #vlan 2
Swi t ch( conf i g- vl an) #exit
Swi t ch( conf i g) #
OsswitchesvmconfiguradospordefeitocomapenasaVLAN1configurada.A
configuraoapresentadaanteriormentecriaaVLAN2.ParaassociarumaportaaumaVLAN
introduzemseosseguintescomandos:
Swi t ch( conf i g) #interface gigabitethernet 3/1
Swi t ch( conf i g- i f ) #switchport access vlan 2
Swi t ch( conf i g- i f ) #no shutdown
11
w
w
w
.
f
i
l
i
p
e
f
r
e
i
t
a
s
.
n
e
t

AconfiguraoapresentadaacimaatribuiaVLAN2interfaceGigabitEthernet3/1,
sendoactivadacomocomandonoshutdown.Asconfiguraesapresentadasso
configuraesestticas,existindotambmoutrasconfiguraesdinmicasemqueaVLANda
interfaceatribudapeloVLANManagementPolicyServer,porexemplo.
AindapossvelaumentaronveldeseguranadasVLANsatravsdasprivateLANs.
AsprivateVLANspermitemisolarasinterfacesentresidentrodaprpriaVLAN,isto,
possvelobterumaconfiguraoqueimpeaqueterminaisdentrodamesmaVLAN
comuniquementresi.
Existem3tiposdeportasVLAN:promscua,isolada,ecomunidade.
Promscuasaportapodecomunicarcomtodasasinterfaces,incluindoportas
decomunidadeeisoladas,dentrodaprivateVLAN.
Isoladaaportapodecomunicarapenascomaportapromscua,estando
efectivamenteisoladadasoutrasportas.Existeapenasforwardingentreesta
portaeaportapromscua,sendoorestantetrfegobloqueado.
Comunidadeaportapodecomunicarentreoutrasportasdasuacomunidadee
portaspromscuas.Todootrfegoentreoutrascomunidadeseportasisoladas
bloqueado.

Asportaspromscuaspodemserusadasparaligardispositivoscomopontosde
acessoVLAN,comoporexemploumservidor.
Existem3tiposdeprivateVLANs:
VLANprimriatransportaotrfegodeportaspromscuasparaportasisoladas,
decomunidadeeoutrasportaspromscuasdentrodamesmaVLANprimria.
VLANisoladatransportaotrfegodeportasisoladasparaportaspromscuas.
VLANdecomunidadetransportaotrfegoentreportasdecomunidadeepara
portaspromscuas.
ConsideramseVLANssecundriasasVLANsisoladasedecomunidade.Ousode
VLANsprivadaspermiteaumentaradisponibilidadedeidentificadoresdeVLANede
endereosIP(devidoaousodeVLANsemalternativassubredes),poispermitembloquearo
trfegoentreterminaisdentrodamesmaVLANesubrede.
ParaconfigurarumaVLANprivada,necessriodesactivaroprotocoloVLAN
TrunkingProtocol(VTP)paraesteexemploparaimpediralteraesautomticas:
Swi t ch# configuration terminal

Swi t ch( conf i g) # vtp transparent
Set t i ng devi ce t o VTP mode.
Swi t ch( conf i g) # end
Swi t ch#
Sugereseentoaseguinteconfigurao:

Swi t ch# configure terminal
Swi t ch( conf i g) # vlan 202
Swi t ch( conf i g- vl an) # private-vlan primary
Swi t ch( conf i g- vl an) # end

Swi t ch( conf i g- vl an) # private-vlan isolated
12
w
w
w
.
f
i
l
i
p
e
f
r
e
i
t
a
s
.
n
e
t
Swi t ch# show vlan private-vlan type
Pr i mar y Secondar y Type I nt er f aces

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
202 pr i mar y
440 i sol at ed
SodefinidasaVLAN202comosendoumaVLANprimria,eaVLAN440comosendo
umaVLANisolada.DeseguidaassociaseaVLAN440isoladaVLANprimria:

Swi t ch( conf i g- vl an) # private-vlan association 440
Swi t ch# show vlan private-vlan

Pr i mar y Secondar y Type I nt er f aces
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
202 440 i sol at ed

Agoranecessrioconfigurarosportos:

Swi t ch( conf i g) # interface fastethernet 5/2
Swi t ch( conf i g- i f ) # switchport mode private-vlan promiscuous
Swi t ch( conf i g- i f ) # switchport private-vlan mapping 202 440
Swi t ch( conf i g- i f ) # end
Paraesteexemplo,foiconfiguradaainterfaceFastEthernet5/2comosendouma
portapromscua,efoimapeadaparaaprivateVLANcriadaanteriormente.
Configuraseagoraumaportaparaumterminal:
Swi t ch( conf i g) # interface fastethernet 5/1
Swi t ch( conf i g- i f ) # switchport mode private-vlan host
Swi t ch( conf i g- i f ) # switchport private-vlan host-association
202 440
Finalmente,necessrioconfiguraroprotocolodeencaminhamento:

Swi t ch( conf i g) # interface vlan 202
Swi t ch( conf i g- i f ) # private-vlan mapping add 440
Swi t ch# show interfaces private-vlan mapping
I nt er f ace Secondar y VLAN Type
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
vl an202 440 i sol at ed

13
w
w
w
.
f
i
l
i
p
e
f
r
e
i
t
a
s
.
n
e
t
OutroconceitoimportantedasVirtualLANstrunking.Trunkingpermiteo
transportedastramasdasvriasVLANsdaredeatravsdeligaescomuns.Autilizaode
trunkingpermitereduzironmerodeligaesnecessriasparainterligartodososterminais
dasvriasVLANs.
Comosepodeobservarpelafigura,autilizaodetrunkingrequermenos2portos
queasituaosemtrunking.Existemdoismtodosdetru :sinalizaodetrama(frame
tagging)efiltragemdetramas.Geralmente,adoptadooprimeiromtodoexistindoduas
soluesquesedestacam:IEEE802.1Q(aberto)eoCiscoISL(proprietrio).
AconfiguraomanualdasportaseVLANscomplexa,lentaenoescalvelpara
redesdedimensessignificativas,sendoporissoutilizadooVLANTrunkingProtocol(VTP).
OVTPasseguraaconsistnciadasconfiguraesVLANnarede,sendoumprotocolo
mensagensqueutilizadaacamadadeligaesdedadosparaadicionar,removererenomear
VLANsnumdomnioadministrativo.OVTPpermitetambmalteraescentraisqueso
nking
de
comunicadasaos doprotocoloVTPso
encapsuladase aaserutilizada.OVTPsuportaa
tiliza
ACiscoprovidenciaumprotocoloquenegociaquaisasligaesdeveroserligaes
unkin sendo
obo
te
falsadenegociaodetrunkinga
umswitchqueestejaaoperarcomesteprotocolo,informandooqueoswitchfalsopretende
quealigaoentree asualigaopara
trunkingepoderen olvidoparaointruso.
masoluoparaimpediresteataquedesactivaranegociaoautomticadeligaes
remdemaiorrisco:
swi t ch02( conf i g- i f ) #switchport mode access
swi t ch02( conf i g- i f ) #switchport nonegotiate
restantesswitchesdarede.Asmensagens
mtramas802.1QouISL,conformequalestej
u odepasswordcomMD5,caractersticamuitointeressantenodomniodesegurana.
Apalavrachavepodeserconfiguradacom:
Swi t ch( vl an) #vtp password cisco
tr gDynamicTrunkingProtocol(DTP).ODTPtambmcumpreasfunesdoVTP,
oDTPumaversomelhoradaequesuportaoencapsulamentoIEEE802.1Q(oVTPcorrias
ISL).Anegociaodeligaestrunkingnecessriapoiscasoaligaonoestejadevidamen
configurada,astramasVLANsotratadascomotramasEthernetbanais.
AutilizaodoDTPenvolveumavulnerabilidadedesteprotocolo,permitindoa
intercepodedadosporumintruso.EsteataquechamaseVLANHoppingeconsistena
impersonificaodeumswitch,enviandoumamensagem
lessejaumaligaotrunking.Oswitchirconfigurar
viartodootrfegodetodasasVLANsqueestejaenv
U
trunkingnasportasqueseconside
14
w
w
w
.
f
i
l
i
p
e
f
r
e
i
t
a
s
.
n
e
t
Seguranadasinterfaces
Asinterfa esligadascomo
comando utdown, ainterfaceFastEthternet0/0:
nte
entradasdamemria.Atingidoolimite,oswitchno
oderap odastramas
aumentandoocongestionamentoeinseguranadarede.Assim,umintrusopoder
Restrio aprendidosaportairaceitarapenastramasdeendereos
umnmeromximodeentradasdefinidopelo
sde:
?
i ng Por t - secur i t y agi ng commands

Fa0/ 18 -
- - - - - - - - - - - - - - - - - - -
or t ) : 0
er por t ) : 1024
t ect
i ns
ol ut e
abl ed
Conf i gur ed MAC Addr esses : 0
St i cky MAC Addr esses : 0
Last Sour ce Addr ess :
Secur i t y Vi ol at i on Count : 0
cesnoutilizadasdeveroseradmini
demonstrandoseumexemplopara
strativamented
sh
Swi t ch02( conf g) # interface fastethernet0/0

swi t ch02( conf i g- i f ) # shutdown
AsinterfacesactivasdeveroutilizaralgumtipodefiltragemdeendereosMAC,
necessriaparaimpediracessosnoautorizados(porexemplo,impediraligaoresta
rededeumintrusoqueseligouatravsdeumAccessPointsemfios)ouataquescomo
inundaodeMAC(MACFlooding).Esteataqueconsisteemenviargrandesquantidadesde
tramascomendereoMACorigemfalso,enchendoamemriaCAMdosswitchescom
entradasfalsasatatingirolimitede
p renderalocalizaodeoutrosterminais,tendoqueefectuarinunda
interceptarosdadosdeumarede.
AfiltragemdeendereosMACpoderserefectuadodeduasformas:
deendereos
MACquetenhaaprendido,tendo
administrador.Estelimitepoderserconfiguradoatrav
Swi t ch) # config t
Swi t ch( conf i g) # int fa0/18
t ch( conf i g- i f ) # switchport port-security Swi
ag
mac- addr ess Secur e mac addr ess
maxi mum Max secur e addr esses
vi ol at i on Secur i t y vi ol at i on mode

security Swi t ch( conf i g- i f ) # switchport port-
Swi t ch( conf i g- i f ) # switchport port-security maximum 5
Swi t ch( conf i g- i f ) # switchport port-security violation protect
Swi t ch( conf i g- i f ) #^Z
Swi t ch# show port-security address
Secur e Mac Addr ess Tabl e
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Age Vl an Mac Addr ess Type Por t s Remai ni ng
( mi ns)
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
1 0004. 00d5. 285d Secur eDynami c
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Tot al Addr esses i n Syst em( excl udi ng one mac per p
c p Max Addr esses l i mi t i n Syst em( excl udi ng one ma

Swi t ch# show port-security interface fa0/18
Por t Secur i t y : Enabl ed
cur e- up Por t St at us : Se
Vi ol at i on Mode : Pr o
Agi ng Ti me : 0 m
Agi ng Type : Abs
i s Secur eSt at i c Addr ess Agi ng : D
Maxi mumMAC Addr esses : 5
Tot al MAC Addr esses : 0
15
w
w
w
.
f
i
l
i
p
e
f
r
e
i
t
a
s
.
n
e
t
tramas)iroserrejeitados,eoendereo
AC0000.5234.1234foiadicionadocomoseguro.
) # switchport port-security mac-address

00.5245.1234
osmanualmente.EndereosMAC
conf i g- i f ) # switchport port-security mac-address 12-34-56-78-
90-11
sbroadcast
aquantidadedetramasdebroadcastaceitesnoporto.
ugereseaseguinteconfigurao:
oda
rgurade
moseo
e
onfiguraochamaseportmirroring,ouSwitchPortAnalyzer(SPAN)nocasodaCisco.
Estaconfiguraopodeserefectuadoatravsde:
hernet
nitor session 1 destination interface
stethernet 5/2
Comestaconfigurao,apenas5terminaispoderocomunicaratravsdesta
interface,emcasodeviolaoosnovosendereos(e
M
S
00
wi t ch( conf i g- i f

RestrioaendereosMACestticosaportairaceitarapenastramasde
endereosMACquetenhamsidoadicionad
podemseradicionadoscomocomando:

Swi t ch(
Aindanoconceitodeinundao,possvelcontrolarofluxodetrfegobroadcast.
Umintrusopodeinterferirnofuncionamentodaredecriandoinundaesdetrama
oumulticast,negandooservioaotrfegogenuno.possvelcontrolarestefluxo
configurandoosportosparalimitar
S
Swi t ch02( conf i g) #interface fastethernet0/0
wi t ch02( conf i g- i f ) #storm-control broadcast level 50 s
swi t ch02( conf i g- i f ) #storm-control multicast level 50

Estaconfiguraolimitaofluxodetrfegobroadcastemulticasta50%dotrfeg
interface,isto,assimqueautilizaodotrfegobroadcast/multicastultrapasse50%da
la bandadainterface,asrestantestramasbroadcast/multicastsodescartadas.
Existeumaconfiguraoquepermiteconfigurarumportoparafuncionarco
switchfosseumhub,isto,todootrfegodoswitchcopiadoparaesseporto.Esta
configuraoutilizadaparafinsdemonitorizaodarede,comoRMONousistemasd
detecodeintruso,elementosquepodemaumentaraseguranadeumarede.Esta
c
Swi t ch( conf i g) # monitor session 1 source interface fastet

5/1
wi t ch( conf i g) # mo S
fa

16
w
w
w
.
f
i
l
i
p
e
f
r
e
i
t
a
s
.
n
e
t
Swi t ch#show monitor session 1
ssi on
io
sotenhaacessoaumdestesportos,sendoimportantemanteros
olernciadefalhas
ospontosdarede,entrandonumcicloentreswitchescasoexistamaisque1caminho).
vada
aroprotocoloSpanningTreeProtocol:

nf i g) #
end
Sessi on 1
- - - - - - - - -
e Type : Local S
Sour ce Por t s :
t h : Fa5/ 1 Bo
Dest i nat i on Por t s : Fa5/ 2

necessriotercuidadocomousodestaconfigurao,edesactivarestesportos
aquandoofimdoseuuso.Umintrusoquetenhaacessoaumdestesportospoder
interceptartodasastramasquepassempeloswitchcomprometido,portantonecessr
impedirqueumintru
ispositivosseguros. d
Atolernciadefalhasdeligaoumconceitoimportantenoplaneamentoe
manutenodeumarede,evitandoquearedeestejaindisponveldevidoaumaquebrade
ligaoouavariadedispositivo.
AtolernciadefalhasdeligaopodesersuportadaatravsdoprotocoloSpanning
TreeProtocol(STP).Esteprotocolofuncionaentreswitchesebridgesprovidenciando
redundnciadeligaes(edetecodefalhas)eimpedeaformaodeciclosdeligaes,o
ueessencialparaevitarbroadcaststorms(tramasdebroadcastsoencaminhadaspara q
todos
Comosepodeobservarpelafiguraacima,semoprotocoloSTP,umatrama
broadcastircircularindefinidamentepelarededeswitchesatqueumaligaoseja
uebrada q .ComoprotocoloSTP,noexistecaminhocircular,poisumaligaofoidesacti
peloSTP.
Esteprotocolofuncionaformandoumarvoreabrangente,queconseguido
travsda a eleiodeumswitchrazesubsequenteformaodecaminhosparatodaaredea
p seswitch. artirdes
Sugereseaseguinteconfiguraoparaactiv
Swi t ch# configure termi
spanning-tree vlan 1
nal
Swi t ch ( co
Swi t ch ( conf i g) #
Swi t ch #

17
w
w
w
.
f
i
l
i
p
e
f
r
e
i
t
a
s
.
n
e
t
OsdispositivosCiscovmconfiguradospordefeitoparautilizaraVLAN1,portanto
nesteexemplo,dem verificarofuncionamentodo
STP,podeseusaro
b8. 14c8
8

Paraconfi formao
darvore)sugerese
Swi t ch configure terminal

3792
Estaconfi
Paraconfi urao:

Swi t ch interface fastethernet 4/4
sparaeste
raz,
portorecebermensagensBPDUcommelhoresparmetros,isto,
Usmelhoresdesteporto.necessrioconfigurar
osportosondenosepretendequeoswitchrazsejaligado,destemodo,criandoseum
rmetrodeseguran
Sugeresea
onstrasecomoactivaroSTPnaVLAN1.Para
comandoshowspanningtree:
Swi t ch # show spanning-tree vlan 1
VLAN0200
Spanni ng t r ee enabl ed pr ot ocol i eee
Root I D Pr i or i t y 32768
Addr ess 00d0. 00
Thi s br i dge i s t he r oot
Hel l o Ti me 2 sec Max Age 20 sec For war d
Del ay 15 sec
Br i dge I D Pr i or i t y 3276
Addr ess 00d0. 00b8. 14c8
Hel l o Ti me 2 sec Max Age 20 sec For war d
Del ay 15 sec
Agi ng Ti me 300
I nt er f ace Rol e St s Cost Pr i o. Nbr St at us
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
- - - - - - - - - - - - - - - -
Fa4/ 4 Desg FWD 200000 128. 196 P2p
Fa4/ 5 Back BLK 200000 128. 197 P2p
guraraprioridadedoswitch(usadaparaeleiodeswitchraze
aseguinteconfigurao:
#
Swi t ch( conf i g) # spanning-tree vlan 1 priority 3
Swi t ch#
guraoatribuiumaprioridadede33792aesteswitch.
gurarocustodosportos,sugereseaseguinteconfig
( conf i g) #
Swi t ch( conf i g- i f ) # spanning-tree cost 160
Swi t ch#
Estaconfiguraoatribuiumcustode160interfaceFastEthernet4/4. Existem
muitosoutrosparmetrosquedevemserconfigurados,quenoiroserabordado
trabalho.
AutilizaodoprotocoloSpanningTreeProtocolenvovleamesmavulnerabilidade
queoprotocoloVTP/DTPenvolvia,sendopossvelqueumintrusointerfiracomo
funcionamentodoprotocolo,podendocausarimpactosdevastadoresnarede.Ummtodo
paraimpediresteataqueimpedirqueoutroswitchsetornearazdarvore,usandoa
funcionalidadeRootGuard.Estafuncionalidadeimpedequeumportosetornenumporto
independentementedeste
desactivaainterfaceenquantoreceberBPD
pe a.
seguinteconfigurao:

Hi nda( conf i g) # interface fastethernet 0/8
Hi nda( conf i g- i f ) # spanning-tree rootguard
18
w
w
w
.
f
i
l
i
p
e
f
r
e
i
t
a
s
.
n
e
t
Nesteexemplo,configuradaafuncionalidadeRootGuardnainterface
FastEthernet0/8.Nota:outrasversesdoIOSutilizamocomandospanningtreeguard
TambmpossvelrestringirasmensagensBPDUrecebidas,utilizand
root.
oa
edesactivaoportosereceberalguma
ensagemBPDU,podendosernecessrioreactivarainterfacemanualmente.
Sugerese
swi t ch02( conf i g) #interface fastethernet0/0
swi t ch02( conf i g- i f ) #spanning-tree bpduguard enable
Emoutrosd
errdisable recovery cause bpduguard
s
tFastactivado,edefineumintervalodetempode400segundosatainterface
jaautomaticamentereactivada.ParaactivarPortFastnumainterfacesugereseaseguinte
configurao:
ercuidado
oisimpe tocoloSTP,noentanto,impedetambmque
trusosinterceptemestasmensagensecomelasconstruaummapadarede.
Sugerese
swi t ch02( conf i g) # interface fastethernet0/0

AconfiguraoapresentadaacimaactivaafiltragemdemensagensBPDUna
interfacefastethernet0/0.
mpersonificao
s:
s
riooprotocoloAddressResolutionProtocol(ARP)
araasso
s
e
ado(stateless),oquesignificaqueosterminaispodemreceberrespostas
funcionalidadeBPDUGuard.Estafuncionalidad
m
ispositivoscomoutraverso,aconfiguraopoderser:
swi t ch02( conf i g) # spanning-tree portfast bpduguard
swi t ch02( conf i g) #
swi t ch02( conf i g) # errdisable recovery interval 400
AconfiguraoapresentadaacimaactivaafuncionalidadeBPDUGuardemtodoso
portoscomPor
se
swi t ch02( conf i g) # interface fastethernet0/0

swi t ch02( conf i g- i f ) # spanning-tree portfast
PodeseimpedirqualquerprocessamentoouenviodeBPDUsrecebidosdeuma
interfaceatravsdousodefiltragemdeBPDUs.Ousodestafuncionalidaderequ
p deofuncionamentocorrectodopro
in
swi t ch02( conf i g- i f ) #spanning-tree bpdufilter enable
AcomunicaoemredesLANefectuadacombaseemdoistiposdeendereo
endereoMACeendereoIP.Nacamadadeligaodedados,apenassoutilizadosos
endereosMACdosterminais.OsroutersrecebemospacotesIP,quecontmapenaso
endereosIPdosterminais,sendonecess
p ciarosendereosIPaosendereosMAC,quesousadospelosswitchespara
encaminharastramaspelaredeinterna.
OprotocoloARPumprotocolosimplesdeperguntaresposta.Umterminalou
outrodispositivoderede(nomeadamenterouters)enviaumapergunta,queenviadaatodo
osterminaisdodomniodebroadcast,perguntandoqualoendereoMACaoterminalqu
possuioendereoIPemquesto.OterminalprocuradorespondecomoseuendereoMAC
directamenteaoterminalqueefectuouopedido.Esteprotocolofuncionacombasena
confianaassumindoqueapenasterminaislegtimosiroresponderaestepedido.OARPum
protocolosemest
19
w
w
w
.
f
i
l
i
p
e
f
r
e
i
t
a
s
.
n
e
t
A erefectuadoalgumpedido.Oataqueassociadoaestavulnerabilidadedesignado
deARPspoofing.
UmintrusopoderenviarumarespostaARPassociadaaumendereoIParbitrrio
RPsemt
,
sultandonotrfegoserredireccionadoparaoterminaldointruso,outambmpoderser
executadoumataquedeManInTheMiddle(executandoumataqueARPCachePoisoning).
segmentodedadosemmodopromscuoemantmumabasededadosonde
ssociaparesendereoMAC/endereoIP,alertandooadministradorsedetectarmudanade
algumpar.
terminaiserouters,eliminandoouso
oprotoc
DynamicARPInspection,impedindoos
taquesmencionados.Estafuncionalidadedescartapacotescomassociaesinvlidasde
endereosMACeendereosIP.
re
SugereseousodaaplicaoArpwatch(http://ee.lbl.gov/).Estaaplicao
monitorizao
a

PodemsercriadasentradasARPestticasnos
d oloARP,reduzindoassimoriscodesteataque.Estasoluonoescalvel,no
sendoapropriadapararedesdegrandecomplexidade.
TambmpodeserusadoumservidorARPquerespondeatodosospedidospor
partedosterminais,impedindoqueoutroterminalrespondacomintenesmalficas.
Osswitchespodemserconfiguradosparaapenasencaminharempedidose
respostasARPvlidos,usandoafuncionalidade
a
20
w
w
w
.
f
i
l
i
p
e
f
r
e
i
t
a
s
.
n
e
t
Acadainterfaceatribudaumaconfiana(oufaltadela).Estafuncionalidade
requerousodafuncionalidadeDHCPSnooping,queserabordadanoutrocaptulodeste
trabalho.
Sugereseaseguinteconfigurao:
Swi t ch( conf i g) # ip arp inspection vlan 1

Swi t ch( conf i g) # interface fastethernet0/0
Swi t ch( conf i g- i f ) # ip arp inspection trust

activadaafuncionalidadeDynamicARPInspection,tendoocuidadoatribuirum
nveldeconfiana(ondeoqualainspeconoefectuada)sligaestrunking(neste
exemplo,ainterfaceFastEthernet0/0).
AccessControlList
OsswitchesCiscopermitemousodeAccessControlLists(ACL),quepermitemfiltraro
trfegoquepassapeloswitch.AsIPACLiroserabordadasnoutrocaptulodestetrabalho.
ACLsolistasderegrasquesoassociadassinterfaces,etodosastramas/pacotes
recebidaseenviadaspodemserverificadassepoderoserrecebidasouenviadas.Autilizao
destaspermiteaumentaraseguranadeumarede,poispodemserdefinidaszonascom
trfegoautorizadoapenas.Umexemplodeusodestafuncionalidadepoderserbloquear
tramasARP.Sugereseaseguinteconfigurao:
Swi t ch( conf i g) #mac access-list extended ARP_Packet
Swi t ch( conf i g- ext - nacl ) #deny any any 0x806 0x0
Swi t ch( conf i g- ext - nacl ) #end
Swi t ch( conf i g) #
Nesteexemplo,foicriadaumaACLqueimpedetrafgoARPentrequalquerterminal
(0x806identificaoprotocoloARP).
AlgunsswitchestambmpermitemousodeIPACLs,quepermitemreduzirautilizao
darededepacotesqueiroserbloqueados.Esteconceitoirserabordadonoutrocaptulo
destetrabalho.
21
w
w
w
.
f
i
l
i
p
e
f
r
e
i
t
a
s
.
n
e
t
Camadaderede
Acamadaderederesponsvelpordeterminaramelhorrotaeencaminharos
pacotesparaosterminais.
Configuraoderouters
Osrouters(eswitches)possuemquatromtodosdeacessoadministrativo:consola,
telnet,interfacewebeinterfaceauxiliar.Estesquatromtodospodemsignificarquatrofalhas
deseguranaquedevemsertratadas.Algumapartedeconfiguraodedispositivosjfoi
abordadaanteriormente.Sugereseaseguinteconfiguraoparadesactivaroacessopela
interfaceweb:
r t r - 1721( conf i g) #no ip http server
r t r - 1721( conf i g) #no ip http secure-server
Casooacessopelainterfacewebsejanecessrio,sugereseaseguinteconfigurao:
r t r - 1721( conf i g) #ip http secure-server
r t r - 1721( conf i g) #ip http access-class 70
r t r - 1721( conf i g) #ip http timeout-policy idle 300 life 3600
requests 1

Comestaconfigurao,oservidorHTTPdorouterirfuncionarcomoprotocolo
HTTPS,maisseguroqueoHTTPpoisoHTTPSencriptaosdados,irfiltrartramas/pacotesde
acordocomaACL70,esodefinidosperodosmximosdeinactividade.
DadoqueassessesTelnettransmitemdadossemencriptao,recomendado
acederaorouteratravsdeSecureShell(SSH)poiscomestemeiodeacessoosdadosso
encriptados.SugereseaseguinteconfiguraoparaforaroacessoporSSH:
r t r - 1721( conf i g) #ip domain-name wjnconsulting.com
r t r - 1721( conf i g) #crypto key generate rsa
The name f or t he keys wi l l be: r t r - 1721. wj nconsul t i ng. com
Choose t he si ze of t he key modul us i n t he r ange of 360 t o 2048
f or your
Gener al Pur pose Keys. Choosi ng a key modul us gr eat er t han 512
may t ake
a f ew mi nut es.
How many bi t s i n t he modul us [ 512] : 1024
%Gener at i ng 1024 bi t RSA keys . . . [ OK]
r t r - 1721( conf i g) #line vty 0
r t r - 1721( conf i g- l i ne) #transport input ssh
definidoumnomeparaodispositivo,necessrioparaageraodechavesRSA,
seguidamentesogeradaschavesRSA.Finalmenteconfiguradooterminal0paraapenas
aceitarsessesSSH.SessesTelnetiroserrecusadas.
22
w
w
w
.
f
i
l
i
p
e
f
r
e
i
t
a
s
.
n
e
t
Recomendaseadesactivaodeserviosnoessenciais,quepoderocomprometer
odispositivoouarede,comoporexemplooCiscoDiscoveryProtocol(CDP)queactivadopor
defeitonosdispositivosCisco.
OCDPpermiteobterinformaodetalhadasobreoutrosdispositivosvizinhos.
Comosepodeobservar,comesteprotocolopodeseobterinformaescrticasque
podemcomprometerumdispositivo,recomendandoseentoqueesteprotocoloseja
desactivado.Sugereseaseguinteconfigurao:
r t r - 1721( conf i g) #no cdp run
ou

r t r - 1721( conf i g) #interface fastethernet 0
r t r - 1721( conf i g- i f ) #no cdp run

AprimeiraconfiguraodesactivaoCDPanvelglobalenquantoqueasegundaapenas
desactivaoCDPaonveldeumainterface.
OsserviosTCPeUDPSmallServers(simplesserviosdediagnsticos)tambm
deveroserdesactivados,poisoseuusomuitoespecficoepoderoserusadospara
comprometeroutrosdispositivos(nomeadamentecomoataquefraggleenviomassivode
pacotespingudp).Sugereseaseguinteconfigurao:
r t r - 1721( conf i g) #no service tcp-small-servers
r t r - 1721( conf i g) #no service udp-small-servers

23
w
w
w
.
f
i
l
i
p
e
f
r
e
i
t
a
s
.
n
e
t

Oserviofingerprovidenciainformaosobreutilizadoresligadosautilizadoresno
autorizados.Sugereseaseguinteconfigurao:
r t r - 1721( conf i g) #no ip finger
r t r - 1721( conf i g) #no service finger
FunesDHCPdeveroserfornecidasporterminaisdedicados,portantooservio
DHCPdeverserdesactivado.Sugereseaseguinteconfigurao:
r t r - 1721( conf i g) #no ip dhcp pool <poolname>

Afuncionalidadedeencaminhamentodebroadcastdirigidodeverserdesactivada,
paraimpedirataquessmurf(intrusoenviaumping,comendereoorigemdavtima,parao
endereodebroadcastdeumarede,causandoquetodososterminaisinundamavtimade
respostas,sendoumataqueDOS).Sugereseaseguinteconfigurao:
r t r - 1721( conf i g- i f ) #no ip directed-broadcast
OspacotesIPcontmumcabealhoadicionalnoqualpossveldefinirumarota
especficaqueopacoteirtomar.Estefactopoderserusadoparacompremeterumarede,
comoporexemplo,contornarumafirewall,sendonecessriodesactivarestafuncionalidade.
r t r - 1721( conf i g) #noipsourceroute
OprotocoloICMPtambmpoderserusadoparaconstruirummapadarede,
nomeadamenteasrespostasRedirect,UnreachableeMask.Paradesactivaroenviodestes
pacotes(tambmpoderserfeitocomACL),sugereseaseguinteconfigurao:
r t r - 1721( conf i g- i f ) #no ip redirects
r t r - 1721( conf i g- i f ) #no ip unreachable
r t r - 1721( conf i g- i f ) #no ip mask-reply

24
w
w
w
.
f
i
l
i
p
e
f
r
e
i
t
a
s
.
n
e
t
Aimagemseguinteagrupatodaainformaosobreosservios:
25
w
w
w
.
f
i
l
i
p
e
f
r
e
i
t
a
s
.
n
e
t
Tolernciadefalhas

Talcomoacontecianacamadadeligaodedados,necessrioquearedeseja
toleranteafalhas.Almdedeterminaremomelhorcaminho,osalgoritmosde
encaminhamentofornecemtolernciaafalhas,poisdetectamedeterminamnovasrotas
quandoumarotasetornaindisponvel.
Osprotocolosdeencaminhamentofuncionamdeummododistribudo,enviandoe
recebendomensagenssobrecaminhos,tomandodecisesconsoanteosparmetrosdas
mensagens.Algunsprotocolosenviamatabeladeencaminhamentocompletadorouter,
fornecendoinformaesdetalhadassobrearede,oqueconstituiumafalhadesegurana.
Ummtodoseguroinserirmanualmenteasrotasrotasestticas.Ousoderotas
estticasevitaousodemensagensdeanncioderedeseimpedeainseroderotasfalsas.
Asrotasestticaspodemserdefinidascomaseguintesugestodeconfigurao:
r t r - 1721( conf i g) #ip route 192.1.1.0 255.255.255.0
fastethernert0/0

Estasoluonoescalvelpararedesdemaiorcomplexidadeeasuaaplicao
lentaedispostaaerroshumanos.Recomendaseentoousodeprotocolosde
encaminhamentopararedesdemdiaegrandedimenso.
Umintrusopodeinterferircomoencaminhamentodepacotes,enviandomensagens
doprotocolodeencaminhamentocomparmetrosfalsos,alterandoasrotasnatabelade
encaminhamento.Esteataquepoderterconsequnciasgraves,comoredirecodotrfego,
podendoseinterceptarospacotes,sendoentonecessrioautenticarasmensagens
recebidasparaevitarentradasinconsistentesoufalsas.Apenasalgunsprotocolosde
encaminhamentosuportamautenticao,comoosseguintes:
BorderGatewayProtocolv4(BGP)
OpenShortestPathFirstv2(OSPF)
RoutingInformationProtocolv2(RIP)
EnhancedInteriorGatewayProtocol(EIGRP)
IntermediateSystemtoIntermediateSystem(ISIS)
ParaoRIP,sugereseaseguinteconfigurao:
r t r - 1721( conf i g) #key chain ripchain
r t r - 1721( conf i g- keychain)#key 1
r t r - 1721( conf i g- keychai n- key) #key-string ripkeystring

configuradaumacadeiadechaveschamadaripchain,comumachaveripkeystring.
26
w
w
w
.
f
i
l
i
p
e
f
r
e
i
t
a
s
.
n
e
t
Seguidamente,activaseoRIPv2:
r t r - 1721( conf i g) #router rip
r t r - 1721( conf i g- r out er ) #version 2
RestainformaraoRIPparausarautenticaonasinterfacesdesejadas:
r t r - 1721( conf i g) #interface fastethernet0/0
r t r - 1721( conf i g- i f ) #ip rip authentication key-chain ripchain
r t r - 1721( conf i g- i f ) #ip rip authentication mode md5
ParaoOSPF,sugereseaseguinteconfigurao:
r t r - 1721( conf i g) #router ospf 10
r t r - 1721( conf i g- r out er ) #area 10 authentication message-digest

necessrioinformaroOSPFquaisasinterfacesondeutilizarautenticao:
r t r - 1721( conf i g) #interface fastethernet0/0
r t r - 1721( conf i g- i f ) #ip ospf message-digest-key 1 md5 ospfkey

Osrestantesprotocolosnoseroabordadosnestetrabalho.
Osprotocolosdeencaminhamentoenviammensagensperidicasparaanunciarredes,
quepodemserinterceptadasporintrusos.Paraimpediroenviodestasmensagensnuma
interfaceindesejada,sugereseaseguinteconfigurao:
r t r - 1721( conf i g) #router ospf 10
r t r - 1721( conf i g- r out er ) #passive-interface FastEthernet 0/0
Comestaconfigurao,noiroserenviadasmensagensdoprotocoloOSPFna
interfaceFastEthernet0/0.
OsterminaisestoconfiguradoscomumendereoIPaoqualdevemenviartodosos
pacotesqueestejamdireccionadosparaoutrarededefaultgateway.Ocorrendoalguma
falhanorouterquefuncionacomodefaultgateway,ospacotesseroperdidoseexistirperda
deconectividadeparaoexterior,enquantoosprotocolosdeencaminhamentono
convergirem.Existemvriosmtodosquepermitemadescobertadeumnovodefault
gateway,comoICMPRouterDiscovery,intercepodepacotesdeprotocolosde
encaminhamento,ouDHCP,noentanto,aperdadepacotespodersersignificativa.
ACiscocriouummecanismoqueprovidenciatolernciadefalhasaonveldestes
dispositivos,oHotStandbyRoutingProtocol(HRSP).Estemecanismofuncionacoma
existnciadevriosroutersnaredenaqualapenasumfuncionacomodefaultgateway,ena
ocorrnciadefalhadeste,umdosoutrosrouterstomaoseulugar,reduzindoassimaperdade
pacoteseeliminandoanecessidadereconfiguraodosterminais.Esteprotocolopermitea
atribuiodeprioridades,combasenousodeMACeIDdefinidosparaesteprotocolo.
27
w
w
w
.
f
i
l
i
p
e
f
r
e
i
t
a
s
.
n
e
t
Afiguraacimailustraumexemplotpicodesteprotocolo.Osterminaisdaredeesto
configuradosparautilizarorouterAcomodefaultgateway.Casoocorraumafalhaneste
router,comomecanismoHRSP,orouterBirautoconfigurarsecomosendereosdorouter
A,recebendoassimospacotesdosterminais,semperdadepacotessignificativa.Noteseque
apenasumeumrouterefectuaoencaminhamento.
host name Rout er A
!
i nt er f ace et her net 0
i p addr ess 1. 0. 0. 1 255. 0. 0. 0
st andby 1 i p 1. 0. 0. 3
st andby 1 pr eempt
st andby 1 pr i or i t y 110
st andby 1 aut hent i cat i on denmar k
st andby 1 t i mer s 5 15
!
i p addr ess 3. 0. 0. 1 255. 0. 0. 0
!
r out er ei gr p 1
net wor k 1. 0. 0. 0
net wor k 3. 0. 0. 0
host name Rout er B

!
i p addr ess 1. 0. 0. 2 255. 0. 0. 0
st andby 1 i p 1. 0. 0. 3
st andby 1 pr eempt
st andby 1 aut hent i cat i on denmar k
st andby 1 t i mer s 5 15
!
i p addr ess 2. 0. 0. 2 255. 0. 0. 0
!
r out er ei gr p 1
net wor k 1. 0. 0. 0
net wor k 2. 0. 0. 0
OHRSPactivadonasinterfaces,usandoocomandostandby,paradefiniroendereo
IPaserautoconfiguradousaseocomandostandby1ip1.0.0.3,edefiniuseumachavede
autenticaodenmark.
28
w
w
w
.
f
i
l
i
p
e
f
r
e
i
t
a
s
.
n
e
t
Existeoutromecanismodetipo,noproprietrio,designadodeVirtualRouter
RedundancyProtocol(RFC3768),quetemfuncionamentosemelhanteenoserabordado
nestetrabalho.
AccessControlLists
Osrouterspodemefectuarfiltragembsicadepacotes,aumentandoassima
seguranaereduzindoautilizaodalarguradebanda.
EstafiltragemdenominaseAccessControlLists(ACL)econsistenumconjuntode
regrasaplicadasaospacotes,podendoserassociadasaqualquerinterfaces,eemqualquer
sentido.
ExistedoistiposdeACLs:standardseextendidas.ACLsbsicasapenasverificamo
endereoIPorigem,enquantoqueACLsextendidaspodemverificarmaisinformaes.ACLs
extendidasiroserabordadasnoutrocaptulodestetrabalho.
Asregrassoverificadosemordemsequencial,dotopoparaofundo.Existeumaregra
implcitanofundo:denyany.Ospacotessorejeitadosouaceitesdeacordocomaregra
definida.AsACLsfuncionamgerandoumaassociaodoendereoIPcomawildcardmask,
sendocomparadaestaassociaocomosendereosIPdospacotes.
29
Apalavrachaveanysubstitudapor0.0.0.0255.255.255.255,enquantoquea
palavrachavehostsubstitudapor0.0.0.0.Sugereseaseguinteconfigurao:
Rout er ( conf i g) # access-list 1 deny 111.111.0.0 0.0.255.255
Rout er ( conf i g) # access-list 1 deny host 192.156.244.233
NestaACL,todosospacotesoriundosdarede111.111.0.0sorejeitados.Todosos
pacotesoriundosdoterminal192.156.244.233tambmserorejeitados.Devidoaodenyany
implcito,todososrestantespacotestambmserorejeitados,sendonecessrioocomando
accesslist1permitanynofimdalistaparapermitiroutrospacotes.ParaaplicarasACLs,estas
deveroserassociadassinterfaces,sugerindoseaseguinteconfigurao:
Rout er ( conf i g) # interface fastethernet0/0
Rout er ( conf i g- i f ) # ip access-group 1 in
Naconfiguraoapresentada,associadainterfaceFastEthernet0/0,aACL1,criada
anteriormente,nosentidodeentradadainterface(vistodorouter).
AsACLsstandarddevemserconfiguradasomaisprximopossveldodestino,pois
apenasverificamoendereoorigemdopacote.

30
NetworkAddressTranslationeZonadesmilitarizada
NetworkAddressTranslation(NAT)foiummtodooriginalmenteconcebidoparalidar
comoproblemadafaltadeendereosIPv4.Estemtodopermiteligarredesprivadas
(192.168.xxx.xxx)Internet,atravsdeumnmeroreduzidodeendereosIPnicos
globalmente,convertendoosendereosIPinternosparaendereosIPexternos.ummtodo
quepermitereduziroscustosdeumarede,poisrequemenosendereosIPglobais(queso
pagos).
Noentanto,estemtodotembenefciosimportantesparaaseguranadeumarede.
Umterminalexteriornopoderoriginarumaligaocomumterminalexterior,poiso
tradutordeendereossimplesmentenosabeaqualterminalinteriorsedestina.Autilizao
deendereosIPprivadostambmimpedealigaodirectadeumintrusoaumterminal,pois
osroutersdaInternetdescartampacotesdireccionadosaendereosprivados.Estesfactosso
extremamenteimportantespoisimpedemaintrusoexteriorsemcomprometimentointerior,
agindocomoumfiltrobsico,impedindoapropaodeworms,vrusescansoriundosda
Internet,epermiteocultaroesquemadeendereosIPinterior,ocultandoassimaestrutura
internadarededeintrusosexteriores.
Noentanto,omtodobsicoNATrequeumendereoglobalparacadaligao
simultneaentreumterminalinternoeumterminalexterno,existindooutrosmtodos,como
NetworkAddressPortTranslation(NAPT),quepermitemmltiplasligaescomapenas1
endereoIP.AutilizaodeNATtambmpermiteousodebalaneamentodecarga,pois
tradutorNATpodedistribuirasligaesexterioresparavriosservidores.
Comojfoireferido,NATquebraaconectividadeterminalaterminal,noentanto,
podemsercriadasconfiguraesquepermitamoestabelecimentonormaldeligaes.Uma
destasconfiguraespoderoserousodeumarededemilitarizada(DMZDemilitarized
Zone).
31
OsterminaisrepresentadosavermelhosituamsenaDMZ.Estesterminaispoderoser
servidores,honeypots,eoutrasaplicaes.Estazonapossuiumaseguranainferiorzona
internadarede,portanto,osterminaisdeveropossuirconfiguraesextremamenteseguras
emonitorizaoconstante.Osterminaisexternosnopoderocontactardirectamentecomos
terminaisinteriores,podendoapenascontactarcomestesatravsdosterminaisdaDMZ.
Notesequeapenasterminaisquesejamnecessriosaterminaisexterioresdeveroser
colocadosnestazona,sendomandatriocolocaroutrosservios,comoservidoresDHCP,
dentrodazonainterna.
ExistemvriasconfiguraesparaatopologiadeumaredecomDMZ,cadauma
oferecendoumgraudiferentedesegurana.AregrageralsepararotrfegodaDMZeo
trfegodazonainterna,isto,evitarqueotrfegodireccionadoparaazonainternapasse
pelaDMZantesdechegarzonainterna.Estaconfiguraopermitemaiorseguranae
controlosobreaszonas.Afiguraseguinteilustraumexemplodousodestaregra:
32
Recomendasequeaszonasmaisvitaisdaredesejamaszonasmaisafastadasdo
pontodeacessodaInternet,poisparacomprometerestazona,necessriocomprometer
todasaszonasentreazonavitaleopontodeacessoInternet.
Analisemosumexemplo,comaseguinterede:
Osendereosglobaisdisponveissodagama172.16.10.1a172.16.10.63.

33
i p addr ess 10. 10. 10. 1 255. 255. 255. 0
i p nat i nsi de

!--- Defines Ethernet 0 with an IP address and as a NAT inside
interface.

i p addr ess 10. 10. 20. 1 255. 255. 255. 0
i p nat i nsi de

!--- Defines Ethernet 1 with an IP address and as a NAT inside
interface.

i nt er f ace ser i al 0
i p addr ess 172. 16. 10. 64 255. 255. 255. 0
i p nat out si de

!--- Defines serial 0 with an IP address and as a NAT outside
interface.

i p nat pool no- over l oad 172. 16. 10. 1 172. 16. 10. 63 pr ef i x 24
!

!--- Defines a NAT pool named no-overload with a range of
addresses
!--- 172.16.10.1 - 172.16.10.63.

i p nat i nsi de sour ce l i st 7 pool no- over l oad
!
!

!--- Indicates that any packets received on the inside interface
that
!--- are permitted by access-list 7
!--- will have the source address translated to an address out of
the
!--- NAT pool "no-overload".

access- l i st 7 per mi t 10. 10. 10. 0 0. 0. 0. 31
access- l i st 7 per mi t 10. 10. 20. 0 0. 0. 0. 31

!--- Access-list 7 permits packets with source addresses ranging
from
!--- 10.10.10.0 through 10.10.10.31 and 10.10.20.0 through
10.10.20.31.

Asinterfacese1ee0doroutersodefinidascomointerfacesligadaszonainterna
comocomandoipnatinsideenquantoqueainterfaces0definidacomoainterfaceligada
aoexterior,comocomandoipnatoutside.definidaagamadeendereosIPglobaiscomo
comandoipnatpool172.16.10.1172.16.10.63prefix24.
definidaumaACL,comtraduodeportos(NAPT)desactivada,efinalmente
definidaafiltragemdospacotes,isto,autorizaseosterminaisinternosaacederInternet.
34
Segmentaodarede

Asegmentaodaredeumconceitoimportantenodesenhoderedes,poispermite
aumentaraeficinciadeumaredeeaumentarasegurananoprocesso.
Quantomaissegmentadaforumarede,menorseraextensodosdomniosde
broadcast,sendoassimmenoraquantidadedeinformaoqueumintrusopoderobter
interceptandoospacotesdebroadcast,eaumentaonmerodeelementosdeseguranaque
umpacoteterqueatravassarparachegaraodestino.
Afiguraacimailustraumaredecomgrandequantidadedeterminais.Casoseja
enviadoumpacoteparaoendereodebroadcastdestarede,todososterminaisdarede2iro
recebereprocessaropacote.Pacotesdestetipopoderoserannciosdosprotocolosde
encaminhamento,ououtrotipodeinformaosensvel.Oenviodepacotesparaendereos
broadcasttambmconsomerecursosdarede,podendoserexecutadosataquesdenegaode
servio.Asegmentaodarede(subnetting)permitereduziresterisco.Asegmentaoda
redeconsisteemutilizarmaisbitsdamscaraderedeparacriarvriasredesapartirda
mscaraderedeoriginal.
35
exten
ume
Nafigura
nsododom
ndereode
acima,ared
mniodebroa
broadcast,re
deanteriorf
adcast.Meno
eduzindoor
onm
noqu
Dyn
term
ende
coma
como
rede
recom
receb
interc
Noentan
merodeterm
Asegmen
ualpodemse
namicHos
Dynamic
inaisparaob
reoIPeod
aredenaqu
osparmetr
eobtercone
mendaes(
Atrocad
bidosportod
cepodeum
to,asegmen
minaisqueca
ntaodered
erconfigurad
stConfigu
HostConfigu
bteremauto
defaultgatew
ualotermina
osdisponve
ectividadeau
(controlode
emensagen
dosostermin
mintrusopa
ntaodere
adaredesup
degaranteq
dasACLeou
urationPr
urationProto
maticamente
way.Estespa
alsesitua,po
eisnomome
utomaticame
acessofsico
sefectuad
naisdasubre
araobterinfo
36
oisegmenta
osterminais
riscodeinter
daem2red
iroreceber
rcepo.
es,reduzind
rumpacote
oassima
direccionado oa
edesdiminui
porta.
oespaodeeendereamento,diminu uindo
queoacesso
utrasfuncion
rotocol
ocol(DHCP)
eosparme
armetross
odendotamb
nto.Qualqu
ente,portan
o)anteriorm
aentreende
ede,constitu
ormaesse
entreredes
alidades,au
ummecan
trosderede
oatribudos
bmvariarte
erintrusopo
to,necess
entediscutid
ereosdebr
uindoumafa
nsveis.
sfeitoatrav
mentandoa
vsdeumro
segurana.
outer,
nismoutilizad
equedevem
sdinmicam
emporalmen
oderligarse
rioseguir
das.
dopelos
usar,como
entedeacor
nte,deacord
efisicament
ras
o
rdo
do
e
oadcast,sen
alhadesegu
ndoassim
rana,permitindo
Ousodeatribuioestticadeparmetrosomtodomaisseguro,noentantoesta
soluonoescalveleestdispostaaerroshumanos.
OusodeDHCPestassociadoadoisriscosdesegurana:servidoreseclientesDHCP
ilegais.UmservidorDHCPilegalpoderfornecerparmetrosincorrectosaosclientes,criando
instabilidadenarede,oufornecerumdefaultgatewayeservidorDNSsoboseucontroloe
interceptartodosospacotes.UmclienteDHCPilegalpoderexecutarvriosataques,como
roubodeidentidade,ouexecutargrandequantidadedepedidos,esgotandooespaode
endereamentodisponvel.
UmmtododeprotecoparaoDHCPpoderserousodeIPSec.Nestaseco,irser
apresentadaumaversodoDHCPconcebidapelaIETFem2001,DHCPwithAuthentication
(RFC3118).DHCPwithauthenticationsubstituiasmensagensnormaispormensagens
autenticadas.Osclienteseservidoresverificamaautenticidadedasmensagens,eapenas
aceitammensagensdefontesautenticadas.EstaversoDHCPaindanofoiimplementada.
ACiscoofereceumafuncionalidadequepermitefiltrarmensagensDHCPinseguras,
impedindoassimataquesaoprotocoloDHCPDHCPSnooping.Estafuncionalidadecriauma
tabelacomendereosMAC,IP,tempodealocao,tipodeassociao,einterface.
Swi t ch( conf i g) # ip dhcp snooping
! Swi t ch( conf i g) # ip dhcp snooping vlan 1

! Our DCHP ser ver :
Swi t ch( conf i g) # interface GigabitEthernet 5/1
Swi t ch( conf i g- i f ) # ip dhcp snooping trust

! An unt r ust ed cl i ent ( not a r equi r ed st ep) :
Swi t ch( conf i g- i f ) # interface FastEthernet 2/1
Swi t ch( conf i g- i f ) # ip dhcp snooping limit rate 10
AconfiguraoapresentadaacimaactivaafuncionalidadeDHCPSnoopingnoswitch
ourouter,podendoseraplicadaaumouvriasVLANs.configuradaainterface
GigabitEthernet5/1comosendoumainterfaceconfiada,isto,noseraplicadofiltroa
mensagensDHCP,enquantoainterfaceFastEthernet2/1irsercontrolada,limitandoo
nmerodemensagensDHCPa10porsegundo.
OutrafuncionalidadeinteressanteIPSourceGuard.Estafuncionalidadeapenas
permitetrfegodepacotescomendereoIPatribudoporDHCP,sendoorestantetrfego
descartado.
Swi t ch( conf i g) # interface fa6/1
Swi t ch( conf i g- i f ) # no ip dhcp snooping trust
Swi t ch( conf i g- i f ) # ip verify source vlan dhcp-snooping
37
Swi t ch# show ip verify source interface f6/1

I nt er f ace Fi l t er - t ype Fi l t er - mode I P- addr ess Mac-
addr ess Vl an
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
- - - - - - - - - - - - - - - - - - - - - -
Fa6/ 1 i p- mac act i ve 10. 0. 0. 1
10
Fa6/ 1 i p- mac act i ve deny- al l
11- 20
Swi t ch#
Nestaconfigurao,configurouseainterfaceFastEthernet6/1paraverificaras
associaesDHCP.
Gestoderede

Agestoderedesumfactoressencialnaseguranaedisponibilidadedeumarede,
poispermitemonitorizarcertosaspectosdeumarede,detectarfalhasouplanearaexpanso
darede.
OprotocoloSimpleNetworkManagementProtocol(SNMP)permitegerirdispositivos
emonitorizarotrfegodarede.OSNMPumprotocoloaberto,simples,interopervele
extensvel,oquetornouesteprotocoloumstandarddegestoderedes,sendoasuapresena
ubquaesuportadaportodososequipamentos.
Noentanto,oSNMPumprotocoloassombradoporfalhasdesegurana.OSNMPv1
incluanasmensagensaschavesdecomunidadeemtextoaberto,facilmenteinterceptveis,o
SNMPv2encriptavaocontedodassuasmensagens,noentanto,acifrafoirapidamente
quebrada.OSNMPv3oprotocolostandardcorrente.Estaversoincluimelhoramentosde
seguranacomoautenticao,integridadeeencriptao.
38
NosswitchesCisco,aversopordefeitov1,portantonecessrioforarousoda
versov3.Umgrupo(group)SNMPumatabelaqueassociautilizadoresSNMPcomvistas
(view)MIB.UmutilizadorSNMPmembrodeumgrupoSNMP.Umterminal(host)o
destinatriodeumatrapSNMP.EngineIDonomedoprocessoSNMP.Sugereseaseguinte
configurao:
swi t ch#configure terminal
Ent er conf i gur at i on commands, one per l i ne. End wi t h
CNTL/ Z.
swi t ch( conf i g) #snmp-server engineID 001122334455ABBABCDCD

swi t ch( conf i g) #snmp-server group admins_escritorios v3 auth read
swi t ch( conf i g) # snmp-server user richard admins_escritorios
v3 auth md5 guessme

iniciadoumagenteSNMPidentificadopor001122334455ABBABCDCD,criadoum
grupoadmins_escritorioscompermissesdeleituraapenascomtrocademensagens
encriptadascomautenticao(MD5ouSHA1).adicionadoumutilizadorrichardaogrupo
admins_escritorios,cujacomunicaodeverserautenticadacomMD5compassword
guessme.Osrestantesparmetrosdesteprotocolonoiroserabordados.
VirtualPrivateNetworkseIPSec
ComaInterneteaexpansodasorganizaesparamltiploslocaisepasesea
informatizaodasreadetrabalho,criouseumanecessidadedeligarasredesdecada
subsidiriaentresi,apesardeseparadasgeograficamente.Existiatambmanecessidadede
confidencialidadenascomunicaes,devidoaespionagemindustrialeoutrosfactores.
AssimfoicriadooconceitoVirtualPrivateNetwork(VPN),umaredeprivadavirtual,
independentegeograficamenteequepermiteautenticao,confidencialidadeeintegridade
dospacotesIP.

39
ExistemvriostiposdeVPNs,dependendodacamadaondesoimplementadas,edas
tecnologiasenvolvidas.NestetrabalhoapenasirserabordadooprotocoloIPSec,que
funcionanacamadaderede.
OprotocoloIPSecurity(IPSec)suportaautenticao,confidencialidadeeintegridade,
caractersticasmandatriasparaasVPNs,sendoconseguidasatravsdeusodemtodos
criptogrficos.Tambmsuportaprotecocontraataquesdereplay,isto,injecode
pacotes.OIPSecsuportamecanismosdegestodechavesefuncionaporencapsulamento,
disponibilizandodoismodosdeencapsulamento,transporteoutnel,edoistiposdepacotes,
apenasautenticao(AH)ouautenticaocomconfidencialidade(ESP).
Omododeoperaoemtnelutilizadoquandoambososterminaissuportamouso
deIPSec,sendoencapsuladoumpacoteIPv4inteiro(incluindocabealhos)numpacoteIPSec,
enquantoqueomododeoperaoemtransporteutilizadoquandoumdosterminaisno
suportaousodeIPSec,tendoaligaodeserestabelecidapornsintermdios,sendo
encapsuladoacargadopacoteIPv4asertransmitida.
Casosejausadaencriptao,omodotnelpermiteocultaroendereoIPdos
terminais.Comojfoireferido,existemdoismecanismos:AuthenticationHeader(AH)e
EncapsulatingSecurityPayload(ESP),eambospodemserusadosemqualquermodode
encapsulamento.AfiguraseguinteilustraoscamposdospacotesautenticadosporAH:
40
AfiguraseguinteilustraoscamposdospacotesautenticadosporAHeencriptadospor
ESP:
Ambosostiposdepacotessuportamprotecocontrainjecodetrfego(anti
replay).
AinjecodetrfegoconsistenaintercepodepacotesIPSec,manipulaodestes,e
envioparaodestino,porpartedeumintruso.Dadoqueesteprocesso,especialmentea
descodificaodocontedo,consometempo,arecepodestespacotesirseracompanhada
porumatrasosignificadoemrelaoaospacoteslegtimos.Paraimpediresteataque,oIPSec
defineumajanelamximaderecepodepacotes.Narecepodeumpacoteautenticado,a
janeladeslocada,sendorejeitadostodosospacotesrecebidosforadestajanela,impedindo
assimataquesdeinjeco.
OIPSecsuportaousodeassociaesdesegurana(SASecurityAssociation),isto,
relaesunidireccionaisentreumemissoreumreceptor(sendoentonecessriasduas
associaesparaumaligaobidireccional),quedeterminamosparmetrosdoprotocolo
IPSec,comooencapsulamentoescolhido,otamanhodajanelaantireplay,expiraodaSA,
etc.UmaSAidentificadaportrsparmetros:SecurityParameterIndex(SPI),endereoIP
destino,eSecurityProtocolIdentifier(SPId).OSPIdidentificaqualotipodepacote,ESPou
AH,oSPIidentificaqualSAdeverserusadanoreceptorparaprocessaropacote.AsSA
podemserconfiguradasmanualmente,noentanto,recomendaseousodemecanismosde
gestoeestabelecimentodestas.
41
OmecanismomaisconhecidoInternetKeyExchange(IKE).Estemecanismo
responsvelpornegociarosparmetrosdoprotocolo,atrocadaschavesdeencriptao,
autenticaodosextremosegeriraschavesapsatroca.OIKEconsisteemdoisprotocolos:
Oakley(OakleyKeyDeterminationProtocol)eInternetSecurityAssociationandKey
ManagementProtocol(ISAKMP).OprotocoloOakleyreferesedistribuiodaschaves,
enquantoqueoprotocoloISAKMPreferesegestodaschaves.Assimqueaschavesso
trocadas,eosparmetrosdeencriptaosonegociados,criadaumaSAautomaticamente,
eacomunicaoentreosextremospoderserefectuada.OprotocoloOakleybaseadono
algoritmoDiffieHellman:
OIPSecpermiteousodechavespartilhadas,chavespblicas,eassinaturasdigitais.
dt 3- 45a( conf i g) #crypto isakmp policy 1
dt 3- 45a( conf i g- i sakmp) #
dt 3- 45a( conf i g- i sakmp) #hash md5
dt 3- 45a( conf i g- i sakmp) #lifetime 500
dt 3- 45a( conf i g- i sakmp) #authentication pre-share
dt 3- 45a( conf i g- i sakmp) #exit
dt 3- 45a( conf i g) #crypto isakmp key Slurpee-Machine address
192.168.10.38

criadaumapolticarelativaaestaSA,configuradoparaserutilizadooMD5na
verificaodeintegridade,umtempodevidade500segundosparaaSA,configuradaa
utilizaodechavesprpartilhadas,efinalmenteconfiguradaachaveprpartilhada.Depois
deconfiguradooIKE,configuraseosparmetrosdoIPSec:
dt 3- 45a( conf i g) #crypto ipsec transform-set PapaBear esp-
rfc1829
dt 3- 45a( cf g- cr ypt o- t r ans) #mode transport
dt 3- 45a( cf g- cr ypt o- t r ans) #exit
dt 3- 45a( conf i g) #crypto ipsec transform-set MamaBear ah-md5-
hmac esp-des
dt 3- 45a( cf g- cr ypt o- t r ans) #mode transport
42
dt 3- 45a( conf i g) #crypto ipsec transform-set BabyBear ah-

rfc1828
dt 3- 45a( cf g- cr ypt o- t r ans) #mode tunnel
dt 3- 45a( conf i g) #

dt 3- 45a( conf i g) #crypto map armadillo 10 ipsec-isakmp
dt 3- 45a( conf i g- cr ypt o- map) #set peer 192.168.10.38
dt 3- 45a( conf i g- cr ypt o- map) #set session-key lifetime seconds
4000
dt 3- 45a( conf i g- cr ypt o- map) #set transform-set MamaBear
PapaBear BabyBear
dt 3- 45a( conf i g- cr ypt o- map) #match address 101

dt 3- 45a ( conf i g) #interface ethernet0/0
dt 3- 45a ( conf i g- i f ) #crypto armadillo
Devidoausarautenticao,oIPSecpermiteimpedirataquesdeTCP,comoinundao
deSyn(TCPSynFlood),oqualumataquedenegaodeservio.
OIPSecapenassuportespacotesunicast,nosuportandopacotesmulticaste
broadcast,utilizadosemaplicaesdetemporeal,comoVoIP,umatecnologiadeadopo
exponencial,sendoassimumagrandelimitaodoIPSec.OIPSecpodeterumimpacto
significativonaperfomancedarede,nomeadamentenosrouters,devidoasernecessrio
encriptaredesencriptarospacotesIPSec.
IPv6

OIPv6anovaversodoprotocoloIP,sendousadaaversov4presentemente.Esta
versoincluivriasmodificaes,comooaumentodoespaodeendereamento,
presentementeumdosgrandesproblemasdaversov4.Umadestasmodificaesosuporte
nativodeautenticaoeconfidencialidade,atravsdousoobrigatriodoIPSec.
DevidoaousodoIPSec,oIPv6afectadodeproblemasde:
Complexidadedeconfigurao
MuitasimplementaesdoIPv6aindanosuportamIPSec
Devidoaestesproblemas,muitasimplementaesdoIPv6soimplementadassem
protecescriptogrficas.
DevidoaoespaodeendereamentocolossaldoIPv6,otemponecessriopara
rastreamentodeterminais(hostscan)agoraexponencial,deixandodeserumataquedentro
doslimitesdarazo,mitigandoapropagaodewormsporexemplo.Aautoconfigurao,
feitacomaInterfaceID,permiteumataquelocalizadoaumagamadeendereosdofabricante
daNIC(NetworkInterfaceCard).Esteataquepodersermitigadopelousodeextenses
PrivacyExtensions(RFC3041).Estasextensespermitemgerarendereosglobais,apartirda
43
InterfaceID,quevariamaolongodotempo,dificultandoaintercepodepacotesdeterminais
especficosqueusemestasextenses.
AtravsdoendereosespeciaisdoIPv6,nomeadamentemulticast,possvelatacar
recursosespecficosdarede,comorouters(FF05::2)eservidoresDHCP(FF05:1:3),sendo
necessriofiltrarpacotesdireccionadosaestesendereosnopermetrodarede.
OprotocoloICMPv6,utilizadopeloIPv6,foimodificadointensivamente,tendo
funcionalidadesadicionaiscujoimpactonaseguranadeveroserestudadaspelos
administradoresderede.
OIPv6permiteumnmeroindefinidodecabealhosIP,oquepoderdificultara
filtragemdepacotes,podendoserexecutadoataquesdenegaodeservio,comobuffer
overflow.
NoIPv6,osroutersnoexecutamfragmentaodepacotes,sendoestafeitapelos
prpriosterminais,oquepodepermitiraumintrusoaobfuscaodepacotes.Vejamoso
seguinteexemplo:
Ainterpretaodestasmensagensumbgua,podendoumafirewallinterpretarcomo
sendoUSERfooteosistemaoperativodoterminalinterpretarcomoUSERroot.
Recomendasequesejaefectuadafiltragemdepacotesfragmentadosdireccionadosa
dispositivosderede.
AimplementaodemecanismosdetraduoIPv6paraIPv4(eviceversa)poder
permitirimpersonificao.Osseguintesendereossoutilizadosporestesmecanismos:
44
2001::/16IPv6production
2002::/166to4tunneling
3FFE::/166bonetesting
AtravsdousodeenderosIPv4impersonificados,possvelexecutarvriostiposde
ataque,comonegaodeservio,originandopoucainformaoparaanlise,poisos
tradutoresdeendereosremovemoscabealhosIPv4nopermetrodaredeIPv6.
AlgunsmecanismosdetransioIPv4paraIPv6requeremqueosterminaispossuamas
pilhasprotocolaresparaosdoisprotocolos,sendonecessrioprotegerosterminaisdeataques
IPv4tambm.
EmredesIPv6noexistemendereosdebroadcast,sendoestessubstitudospor
endereosespeciaiseespecficosaotipodeelementosdarede,comoporexemplo:
LinkLocalAllNodesMulticastFF02::1
LinkLocalAllRoutersMulticastFF02::2
Noentanto,aindapossvelexecutarataquesdenegaodeservioaonvellocal.O
IPv6introduzmuitosendereosmulticastquetmacessoaositeeglobalmente,sendo
recomendadoafiltragemdeendereosmulticastnopermetrodarede.
DomainNameSystem
OprotocoloDomainNameSystem(DNS)permitetraduzirnomesdedomniopara
endereosIP,sendolargamenteutilizadoemaplicaesWorldWideWeb(WWW).Este
sistemanoestisentodeataques,comoDNSspoofingeDNSpoisoning,osquaispodemser
utilizadospararedireccionarutilizadoresparalocaisinseguros.
Assim,foramintroduzidasextensesaoDNS(DNSSecurityExtensions)quepermitem
impedirestesataques,privenciadoautenticaoeintegridadesmensagensdoDNS,atravs
decriptografiaporchavepblica.Noentanto,necessrioumainfrastructuradechaves
pblicas(PublicKeyInfrastructurePKI),eaimplementaodestasextensesrequermaior
capacidadedeprocessamentoporpartedostradutoresDNS.Estasextensesaindanoforam
implementadassignificativamentenomercado,eosequipamentosCiscoaindanosuportam
estasextenses.
45
Camadadetransporte

Acamadadetransporteprovidenciatransmissodedadostransparenteentre
terminais,podendofornecerfuncionalidadescomocontrolodeerrosecontrolodefluxo.
Existemdoisprotocolos:TransmissionControloProtocol(TCP)eUserDatagram
Protocol(UDP).OprotocoloTCPorientadoligao(requeroestabelecimentodesesso),
permitecontrolodeerrosedefluxo,reordenaodepacotes,entreoutros,originandoum
servioquegaranterecepoeintegridadedosdados.OprotocoloUDPnoorientado
ligao,enosuportanenhumafuncionalidadeprovidenciadapeloTCP,noentanto,suporta
multicasteasuaimplementaorequerpoucacomplexidade.
nestacamadaqueefectuadaatrocadeinformaesentreterminais,sendonesta
camadaoperamamaioriadasFirewallseSistemasdeDetecodeIntruso(Intrusion
DetectionSystemIDS).
AccessControlListextendidas
OconceitodeACLsjfoiabordadoanteriormente,noentanto,nestecaptuloiroser
abordadasasACLsextendidas.EnquantoqueasACLsstandardsoregrasparaosendereos
deorigem,asACLsextendidassoregrasquepodemserimpostasquantoorigem,ao
destino,protocoloderedeedetransporte,portos,entreoutros.
dt 3- 45a( conf i g) #access-list 100 deny tcp any any eq telnet
dt 3- 45a( conf i g) #access-list 100 deny tcp host 192.168.1.1
any eq ftp

Comestaconfigurao,todosospacotesTCPquetransportemsegmentosTelnetou
FTPiroserdescartados.
RecomendaseafiltragemdepacotesTCPcujasessonotenhasidoestabelecidapor
terminaisinternos,impedindoassimqueterminaisexterioressejamcapazesdeoriginar
sesses.Sugereseaseguinteconfigurao:
dt 3- 45a( conf i g) #access-list 100 permit tcp any 192.168.0.0
0.0.255.255 established
46
dt 3- 45a( conf i g) #access-list 100 deny tcp any 192.168.0.0

0.0.255.255

AACLapresentadaacimaaceitapacotesTCPcujasessojfoiestabelecida,
necessriamenteporumterminalinterno,descartandoorestantetrfegoexterno.Esta
configuraopermiteimpedirapropagaodewormsoriundosdoexterior,eimpedir
ataquesTCPcomorastreamentodeportos(TCPPortScan)enegaodeserviocomo
inundaodeSyn(TCPSynFlood),poisospacotesofiltradosnopermetro,nosendo
transmitidosaodestino.
ExistemtambmACLsbaseadasemcontexto,aquaisanalisamtambmoestadoda
sessoUDPouTCP.EstasACLspermitementobloquearvriosataquescomoTCPSynFlood.
Asregrassoadicionadascomocomandoipinspect,oqualtemosseguintes
parmetros:
47
Firewall
AsFirewallssodispositivosouaplicaesquefiltramotrfego,quepermitemapenas
apassagemdetrfegoqueconsideraramseguro.FuncionamentreaInterneteosterminais,
geralmentelocalizadasnopermetrodarede.
Asfirewallstambmpodemdesempenharoutrasfunescomoautenticaode
acessos,controlodetrfego,agiremcomointermedirios,ouregistodeeventos.Aocontrrio
dosrouters,asfirewalls(filtragemdecircuitos)podeminspeccionarcommemriaos
segmentosTCP(statefulinspection),isto,ainspeconoapenasefectuadaapenasaos
cabealhos,mastambmaocontedoquetransportameoestadodaligao.Asfirewalls
tambmpodemmonitorizarascomunicaesentreosextremos,podendoidentificare
terminaracesqueconsidemalignas.
Asfirewallstambmpodemimporautenticaonacomunicao,suportandoousode
passwords,chavesoucertificados,impedindoassimtrfegoimpersonificado.
Asfirewallspodemfuncionarcomointermediriosentreosextremos,sendo
necessriocomunicarcomafirewallparacomunicarcomumdosextremos,sendochamadas
degatewaysaplicacionais(Proxy).Estaconfiguraoimpedeacomunicaodirectaentreos
extremos,fazendoacreditaroextremoexteriorquecomunicadirectamentecomoextremo
interior,noentanto,ospossveisataquesdireccionadosaosextremosinterioresso
interceptadospeloproxy,mantendoosterminaisforadeperigo.
Comojfoireferido,asfirewallspodemagircomointermediriosoufiltros,podendo
serdefinidosalertasdeeventoseregistodeaces,quepodemserteisnadetecoeanlise
deataques.Estesalertaspoderosersimpleseventosnaconsola,trapsSNMP,etc.
48
Essencialmente,existemtrstiposdefirewalls:
Filtragemdepacotes
Filtragemdecircuitos
Gatewayaplicacional
Firewallsdefiltragemdepacotespossuemumaoperaorpidaetransparentepara
osterminais,noentantonopermiteautenticaoeagestodasregraspodersercomplexa.
OfuncionamentoidnticoaousodeACLsemrouters.
Firewallsdefiltragemdecircuitospermitemmaiorseguranapoisinspeccionamo
contedodossegmentosdetransporte,monitorizandofluxoseestadosdassessesecriam
registosdeeventosdemaiorqualidade.Firewallsdestetiporequeremmaiorcapacidadede
processamento.
Gatewaysaplicacionaispermitemmaiorseguranaqueostiposdefirewallsdescritos
anteriormente,poisdesviamoriscodeataquedosterminaisparasimesmas.Podemser
especificadaspolticasespecficasparacadaaplicaopermitindograndeflexibilidade.
necessrioconfigurarosterminaisparautilizaremproxy,existindoaplicaesqueno
suportam,enecessrioqueoproxysuporteaaplicao.Requeremmaiorcapacidadede
processamento,introduzindomaiorlatncianascomunicaesedeveroserextremamente
protegidaspoissopontosnicosdefalha.
Adisposiodasfirewallsnarededesempenhatambmumpapelimportante.Existem
vriasdisposiesquepermitemmaioroumenossegurana,comapenasumaouvrias
firewalls.AredeinternadeverestaromaispossvelafastadadopontodeacessoInternet,
poisquantomaioronmerodecamadasesuasdefesasexistemparapenetrarantesdechegar
redeinterna,maiorserasegurana.
Existemdoistiposdeimplementaesdefirewalls:softwareehardware.A
implementaoemhardwaremaisrpidanoentanto,asuaactualizaomenosflexvel
queaimplementaoemsoftware,poisnestabastasubstituirosoftware.Umexemplode
umafirewallhardwarepoderserCiscoASA5500Series.
49
UmexemplodeumafirewallsoftwarepoderserIPTables(http://www.netfilter.org/).
Recomendaseousodevriosfabricantes(ouempresadesoftware)pois,seuma
firewallforcomprometida,todasasoutraspoderosertambmseasfirewallsforemdo
mesmofabricante.
IntrusionDetectionSystem
Comojfoireferido,asfirewallspodemgerarregistosdeeventosquepodemser
analisadosparadetectarouanalisarataques.Dependendocomacomplexidadeenvelde
seguranadeumarede,poderexistirumgrandenmerodefirewallsnarede,defabricantes,
versesetiposdiferentes,aumentandoacomplexidadedegestodestas.
Foramcriadosmtodosautomticosquepermitemgerireprocessartodaa
informaogeradapelasfirewalls,eoutrosdispositivoscomoroutersesondasSNMP,etomar
acesdeacordocomaspolticasdefinidas.Estasacespodemsersimplesalertasaos
administradores,ouordens(configuraes)aosdispositivosefirewalls.
EstesmtodossochamadosIntrusionDetectionSystem(IDS)econseguemdetectare
(tentar)evitarataquescomoreconhecimento,negaodeservio(DoS),tentativasdeacesso,
etc.
50
Essencialmente,existemdoismtodosparadetectarintruso:anomaliaestatstica
(tambmchamadodeperfis)ereconhecimentodepadres(tambmchamadoassinaturas).
Adetecoporanomaliaestatsticabaseiasenoestabelecimentodelimiaresdenveis
deactividadenarede,comoporexemploquantasvezesumutilizadorsetentaligarportelnet
aumdispositivo.Estetipodedeteconofivelpoisotrfegovariaaolongodotempoe
comaintroduodenovasaplicaes,devidoaestefactor,difcilcriarosperfis(colecode
limiares)detrfego,eassumemqueumataquemodificaasestatsticasdarede.Estetipode
detecocausafalsosalarmes,sendoporissopoucoutilizadoemcasosdenecessidadede
maiorsegurana.
Adetecoporreconhecimentodepadresbaseiasenacomparaodotrfegoda
redecomassinaturas,conjuntodeparmetrosqueidentificamataquesespecficos.Estetipo
dedetecomuitoeficienteparaataquesconhecidos,noentantonodetectaataquesno
configurados(comcorrespondenteassinatura)aindanodocumentados.
AlgunsroutersCiscopossuemfuncionalidadesdedetecodeintruso.Sugeresea
seguinteconfigurao:
Rout er ( conf i g) # ip audit name IDSrule attack action alarm drop
reset
Rout er ( conf i g) # ip audit signature 2000 disable

Nestaconfigurao,criadaumaregraIDSrulenaqualfoidesactivadaaassinaturade
ICMPEchoReply(assinatura2000).Asacesdefinidasparaasoutrasassinaturassoalertaro
administradoredescartaropacote.
Existeumasoluosoftwaredecdigoaberto,aqualconsideradaasoluodefacto
desistemasIDSSnort(www.snort.org).
Existemtambmsolueshardware,comoCiscoASA5500.
51
TransportLayerSecurity

OprotocoloTransportLayerSecurity(TLS)especificaummecanismoparasegurana
aonveldacamadadetransporte,fornecendoencriptaodosdados,autenticaoe
integridadeparaaplicaes.baseadonoprotocoloSecureSocketsLayer(SSLv3),sendoum
protocoloabertoesuportaummaiornmerodealgoritmos.Requerousodeumstandardde
assinaturadigital(DigitalSignatureStandardDSS),oalgoritmoDiffieHellmanparaatrocade
chaves,eumalgoritmocriptogrficoparaaencriptaodedados.
OTLSconstitudopor4elementos:
RecordProtocolprotocoloparatrocadedadosdacamadadeaplicao.Os
dadosdaaplicaosofragmentadosemblocosegeradaumaverificaode
integridade(MessageAuthenticationCodeMAC).
HandshakeProtocolprotocoloparanegociaodosparmetros
criptogrficoseautenticaodosextremos(autenticaoopcional).
AlertProtocolprotocoloparaalertadeerrosouavisodeterminaoda
sesso.
CipherSpecProtocolprotocoloparamudanadeparmetrosdasesso
depoisdeestarjtersidoestabelecida.necessriaumanovanegociao
entreosterminais.
Oprotocolodenegociaopossuiasseguintescaractersticas:
Aidentidadedoextremoautenticadausandocriptografiaassimtrica.
Anegociaodaschavessegura,nopodendoserinterceptadaporintrusos,
impedindoataquescomoManInTheMiddle(MiM).
Oprocessodenegociaontegro.Anegociaonopodersermanipulada
porumintrusosemdetecoporpartedosextremos,devidoaousode
verificaodeintegridade(MAC).
O protocolo TLS usa chaves pblicas ou certificados para autenticar as partes, sendo
necessrioumainfrastruturadechavespblicas(PublicKeyInfrastructurePKI).
52
Infraestruturadechavespblicas
Osprotocolosqueoferecemautenticidade,integridadeeconfidencialidadebaseiam
seemcriptografia,nomeadamenteassimtrica,utilizandochavespblicassendonecessrio
ummtodoseguroparadistribuiraschavespblicas.Aencriptaoassimtricafunciona
encriptandoosdadosaenviarcomumachavepblicadoreceptor,apenaspodendoser
desencriptadacomachaveprivadadoreceptor,garantidoassimqueapenasoreceptor
poderdesencriptarocontedo.
EstadistribuioasseguradapelaInfrastructuradechavespblicas(PublicKey
InfrastucturePKI),eosuportedaschavesfeitopormeiodecertificados.Oscertificadosso
associaesentreaidentidadedeumutilizador,asuachavepblicaeaassinaturada
AutoridadedeCertificao(CertificateAuthorityCA),quegaranteaautenticidadedo
certificado.Geralmente,soutilizadososcertificadosX.509.UmcertificadoX.509ilustrado
pelaseguintefigura:
53
Outilizadorcriaumpardechavesprivadaepblica,criaocertificadoX.509eenviao
certificadoCA,aqualverificaasinformaesdocertificado,criaumaassinatura(MAC)do
contedodocertificadoeenviaocertificadoassinadoaoutilizador.
Seumutilizadorquepretenderestabelecerumaligaoseguracomoutroutilizador,
enviaoseucertificadoassinadopelaCAaoutilizadorreceptor.Oreceptorrecebeocertificado,
calculaoMACdamensagem(excluindoaassinaturadaCA),decifraaassinaturadaCAcoma
chavepblicadaCA,efinalmentecomparaosMACs.CasoosMACscoincidam,aidentidadedo
emissorconfirmadaeachavepblicadoemissorobtida.
AcomunicaosegurarequereaexistnciadeumaCAsendoestaumpontonicode
falha,tendoassimproblemasdeescalabilidadeinerentes.Paraenderearestaquesto,
podemsercriadasrvoresdecertificao.
54
APKIpermiteassimadistribuiodaschavespblicas,mantendoaschavesprivadas
foradeperigodeintercepo,epermiteumcontroloadministrativosobreoscertificados
sobreasuacriaoeexpirao.Noentanto,umasoluodispensiosa,complexaepouco
suportadaporaplicaes.

55
Camadadeaplicao
Autenticao,AutorizaoeContabilidade
Emqualquerrede,existemservioselocaisrestritosaosquaisnecessrioaplicarum
controlodeacessosbaseadonaidentidadedoutilizadorenodolocaldarededautilizador,e
diferenciaraspolticasdeseguranaeserviodeacordoestabelecidasparaoutilizador.Este
controlodeacessosumconceitoimportantenamanutenoderedes,poispermitem
executartarefas,comogestoeprotecoderecursos.
Foramconcebidosmecanismosquepermitemsatisfazerasnecessidadesacima
mencionadas,sendodenominadosdeAutenticao,AutorizaoeContabilidade
(Authentication,AuthorizationandAccountingAAA).
Autenticaorefereseprovadeidentidadedoutilizadorparaacederrede,e
poderserfeitadevriasmaneirassendogeralmenteutilizadoaassociao
Utilizador/PalavraChave,Autorizaorefereseaosdireitosqueoutilizadorpossuinos
recursosdaredeepolticasquelhesoaplicadas,eContabilidaderefereseaoregistodas
acesefectuadasnaredepeloutilizador.
OfuncionamentogenricodeummecanismoAAAsimples:
1. Outilizadorouequipamentoagindocomoagentedoutilizadorenviaum
pedidodeautenticaoeservioparaoservidorAAA.
2. OservidorAAAverificaascredenciaisdoutilizadornasuabasededados
ourepositriodepolticas.Casoaautenticaosejaconfirmada,oservidor
AAAverificaopedidodeservio.
3. OservidorAAAverificaaspolticasassociadasaopedidodeservioe
utilizadoreeexecutaumadecisoautoritativa.
4. OservidorAAAcomunicaasuadecisoaoutilizadorouequipamento
agindocomoagente.
ExistemvriasimplementaesdemecanismosAAA,sendoosmaisusadosRemote
AuthenticationDialInUserService(RADIUS)(ouoseusucessorDIAMETER)eTerminalAccess
ControllerAccessControlSystem(TACACS+).
56
ORADIUSoperanomodeloclienteservidor,ondeumagentedesignadodeServidorde
AcessoRede(NetworkAccessServerNAS)operacomoclienteeumequipamentoopera
comoservidorRADIUS,assumindoassimumaarquitecturacentralizada,sendoinerentemente
umpontonicodefalha.Astransacesentreoclienteeoservidorsoautenticadasatravs
dousodechavepartilhada(criptografiasimtrica),sendoassimumacomunicaosegura.O
RADIUSsuportaumavariedadedemtodosdeautenticaocomoPasswordAuthentication
Protocol(PAP)ouChallengeHandshakeAuthenticationProtocol(CHAP),permitindoassim
grandeflexibilidade.ORADIUSumsistemaextensvelpoisastransacessoefectuadas
combaseemmensagensdotipoTipoTamanhoValor(TypeLenghthValueTLV),podendo
seracrescentadosnovostiposdeinformao(comoporexemploaadiodeumcdigodirio,
almdoutilizadorepalavrachave)seminterferirnaimplementaoactualdoprotocol,.O
funcionamentodoRADIUSilustradonafiguraabaixo.
Esteprotocoloumprotocoloabertonoproprietrio,sendosuportadopelamaioria
defabricantes.Sugereseaseguinteconfigurao:
l ocal - r t r ( conf i g) #aaa new-model
l ocal - r t r ( conf i g) #aaa authentication login default group radius local
l ocal - r t r ( conf i g) #radius-server host 192.168.1.1 auth-port 1812
acct-port 1813
l ocal - r t r ( conf i g) #radius-server key securepassword
activadooprotocoloRADIUSnoroutercomocomandoaaanewmodel,sendo
definidooservidorRADIUSprioritrionaautenticao,sendoutilizadoabasededadoslocal
emcasodefalhadoservidorRADIUS.adicionadooendereoIPdoservidorRADIUSeaporta
deste,talcomoachave(securepassword)utilizadaentreoroutereoservidorRADIUS.
OprotocoloDIAMETERosucessordoprotocoloRADIUS,possuindomelhoriastais
comoousodoprotocoloTCP(emvezdoUDP),ousodeumaarquitecturamaisdistribuda
suportandoredireccionamentodemensagensparaservidoresalternativos,descoberta
automticadeservidoreseagentes(reduzindoproblemasdeconfiguraomanual),
negociaodecapacidades,entreoutras.
57
ACiscoconcebeuoprotocoloTACACS+,protocoloqueassumeumaarquitectura
distribuda,separandoasoperaesdeautenticaoeautorizao.Esteprotocolopermiteo
controlodecomandosnainterfacedosseusequipamentos,permitindoumcontrolo
administrativointernoeexternorede.

Honeypot
Atagoraforamanalisadosmecanismoseprotocolosdedefesaeseguranae
demonstradoopapelimportantequeestesdesempenhamnaredeecomunicaes,no
entanto,afaltadeseguranatambmpoderprovidenciarinformaesimportantes.
Osalvosdeintrusossonormalmentesistemaseredesquepossueminformaes
teisparaatacaremalvosmaisimportantesouseguros.Aproveitandoestapreferncia,os
administradorescolocamsistemasdesprotegidos,vulnerveisaataques,emlocais
estratgicos,sendomonitorizadosnointuitodedetectaremintruseseataquesnestes
sistemas.Estessistemasdesignamsedehoneypots,designaooriundadaatracoqueomel
influencianasmoscas,sendooseupropsitoarmadilharmoscas,ouseja,intrusos.
Comonicopropsitodeserematacados,oshoneypotsagemcomosistemasreais
nocontendoinformaeslegtimasenofazempartedasdefesasdaredepropriamente
ditasnemdossistemasdeproduodaorganizao,gerandoapenasinformaesrelativas
aosataquesquepoderosoanalisadasnosentidodemelhoridentificar,compreender,
anteciparemitigarataques.Devidoestesfactos,todootrfegodireccionadoaoshoneypots
consideradosuspeitoeanalisado.
Existemdoistiposdehoneypots:baixainteracoealtainteraco.Honeypotsde
baixainteracosuportamumbaixonmerodeservios,limitandoassimasacesqueum
intrusopoderexecutar.Honeypotsdestetiposofceisdeimplementaremaisdifceisde
comprometer(devidoaopouconmerodeservios)ohoneypotparaatacararede.No
entanto,abaixainteracodeumhoneypotpermiteasuadeteco.Umexemplodestetipo
dehoneypotHoneyd(http://www.honeyd.org/).Estehoneypotpermitecriarvrios
honeypotsvirtuaisnamesmamquina,podendoemularumsistemaoperativo,vriasredese
servioscomoFTP,SMTP,etc.
Honeypotsdealtainteracosomaiscomplexosepermitemimitarsistemas
operativoscompletoseseusservios,sendomaisdifceisdedetectar,fornecendomais
informaessobreasacesdeumintruso.Devidoasuacomplexidade,oshoneypotsso
maisvulnerveisepoderoserusadosparaatacararede.Umexemplodestetipodehoneypot
Honeywall(http://www.honeynet.org/).
58
Aeficinciadeumhoneypotdependedolocalondeimplementadoeque
informaessepretendemobter.Porexemplo,sesepretendeobterestatsticasdetentativas
deintrusoexecutadas,ohoneypotsercolocadoforadopermetrodesegurana,enquanto
quesesepretenderdeterminarseopermetrodeseguranafoiquebrado,ohoneypotser
colocadonaredeinterna.Assim,necessrioescolhercorrectamenteolocalcertoparaotipo
dehoneypotetipodeinformaespretendidas.
Alocalizaodohoneypotdependerdotipodeacopretendida:preveno,
detecoouresposta.Oobjectivodaprevenoiludiroudeterosinstrusosmenos
qualificados,portantoohoneypotdeversercolocadoemzonasdemaiorvulnerabilidade
comoazonadesmilitarizada,comoilustraafiguraabaixo.
Nestalocalizao,ohoneypotirconfundireconsumirrecursosetempodointruso.
Seoobjectivofordeteco,ohoneypotdeversercolocadonumacamadamais
internamenossusceptveldeintruso.
59
Seoobjectivoforresposta,ohoneypotdeversercolocadonazonavitaldarede,caso
estasejaatacada,oataqueserestudadoeanalisadoexaustivamenteparaimpedirqueo
ataquesereproduza.

Extensesdesegurana
Apesardadisponibilidadedemecanismosdesegurananascamadasinferiores,a
maiorpartedosprotocolosdacamadadeaplicaogeralmentenofazusodeles,poisno
foramconcebidoscomseguranaemmente.
Foramcriadasextensesaosrespectivosprotocolosparaadicionarseguranaaonvel
daaplicao,comoHTTPS(HypertextTransferProtocolSecure),quedescreveousodo
protocolosobreTLS.OSecure/MultipurposeInternetMailExtensions(S/MIME)descreveouso
deextensesdesegurana(encriptaoporchavepblicaeassinatura)paraaplicaesdee
mail,bemcomoomecanismoPrettyGoodPrivacy(PGP)quenoumprotocol.Tambm
existemextensesdeseguranaparaoFileTransferProtocol(FTP),RFC2228.ParaoSimple
MailTransferProtocol(SMTP),existeaextensoSMTPServiceExtension,RFC2554,que
permitequeoclienteindiqueummecanismodeautenticaoenegocieomtodode
seguranaparaatransaco.ParaoIMAPouPOP3,existeaextensoRFC2195,parapermitir
ousodeautenticaodesafio/resposta.
Deveserdadaprefernciaaousodeaplicaesquepermitamousodeextensesde
segurana,permitindoassimseguranaatcamadadeaplicao.

60
Temasparafuturaexpanso
Existemoutrostemasquenoforamabordadosnestetrabalhoquedesempenhamou
irodesempenharumpapelimportantenascomunicaeseaplicaesdaInternet.
UmdestestemasoVoiceOverIP(VoIP),cujautilizaotemsidoexplosiva,conforme
ilustraoseguintegrfico:
OVoIPestassociadoaaplicaesdetemporeal,podendoterassociaescom
multicasting.Existemvriosriscosdeseguranaassociadosaestatecnologiaquedeveroser
endereadosmaistardeoumaiscedo.
OutroconceitoimportanteodaaQualidadedeServio(QualityOfServiceQOS),
quedesempenhaumpapelimportantenasatisfaodosutilizadoresnousodarede,sendo
potencialmenteabertoaabuso.

61
62
Bibliografia
Paraaelaboraodestetrabalhoforamutilizadosvrioslivrosemanuaisdoquaisse
apresentamosmaisimportantesnestabibliografia.Ocontedoadicionalprovmdesites
obtidosatravsdeprocuranoGoogle,dosquaisnosecriouregistoparaapresentaona
bibliografia.
CiscoPresssNetworkSecurityPrinciplesandPractices
McGrawHillsOsborneHardeningNetworkInfrastructure
WileysNetworkSecurityBible
AuerbachsNetworkSecurityTechnologies
ParaglyphPresssCiscoNetworkSecurityLittleBlackBook
NationalSecurityAgencysRouterSecurityGuidanceActivity
SamssInsideNetworkPerimeterSecurity
SybexsSecurity+FastPass
Wiley'sAAA&NetworkSecurityForMobileAccess
AddisonWesleysHoneypots:TrackingHackers
CiscoPresssIntrusionPreventionFundamentals
ArborNetworkssWorldwideInfrastructureSecurityReport2006

Filipefreitas Net Proteccao Rede

Hochgeladen von

Dokumentinformationen

Copyright

Verfügbare Formate

Dieses Dokument teilen

Dokument teilen oder einbetten

Freigabeoptionen

Stufen Sie dieses Dokument als nützlich ein?

Sind diese Inhalte unangemessen?

Copyright:

Verfügbare Formate

Filipefreitas Net Proteccao Rede

Hochgeladen von

Copyright:

Verfügbare Formate

Estudodemecanismosdeprotecode

Swi t ch# configuration terminal

Swi t ch# configure terminal

Pr i mar y Secondar y Type I nt er f aces

Swi t ch# configure terminal

Swi t ch# configure terminal

Swi t ch# configure terminal

Swi t ch02( conf g) # interface fastethernet0/0

) # switchport port-security mac-address

Swi t ch( conf i g) # monitor session 1 source interface fastet

Swi t ch configure terminal

swi t ch02( conf i g) # interface fastethernet0/0

swi t ch02( conf i g) # interface fastethernet0/0

Swi t ch( conf i g) # ip arp inspection vlan 1

host name Rout er B

Swi t ch# show ip verify source interface f6/1

dt 3- 45a( conf i g) #crypto ipsec transform-set BabyBear ah-

dt 3- 45a( conf i g) #access-list 100 deny tcp any 192.168.0.0

Das könnte Ihnen auch gefallen