CCNA 4.0 - AW - 04 Segurança de Rede

Tema acessvel CISCO
Pgina 1 de 60
Alternar idioma para English | Pesquisar | Glossrio ndice do curso: 4 Segurana de rede
Selecionar
CCNA Exploration - Acessando a WAN

4 Segurana de rede
4.0 Introduo do captulo
4.0.1 Introduo do captulo Pgina 1: A segurana foi colocada frente do gerenciamento de rede e da implementao. O desafio geral da segurana encontrar um equilbrio entre dois requisitos importantes: a necessidade de abrir redes para dar suporte a cada vez mais oportunidades de negcios e a necessidade de proteger informaes privadas, pessoais e comerciais estratgicas. A aplicao de uma poltica de segurana efetiva o passo mais importante que uma organizao pode dar para proteger sua rede. Ela fornece diretrizes sobre as atividades a serem realizadas e os recursos utilizados para proteger a rede de uma organizao. A segurana da Camada 2 no abordada neste captulo. Para obter informaes sobre as medidas de segurana da Camada 2, consulte o curso CCNA Exploration: Comutao de rede local e rede sem fio. Exibir meio visual
4.1 Introduo segurana de rede

4.1.1 Por que a segurana de rede importante? Pgina 1: Por que a segurana de rede importante? As redes de computadores cresceram em tamanho e importncia muito rapidamente. Se a segurana da rede for comprometida, talvez haja consequncias srias, como a perda de privacidade, o roubo de informaes e at mesmo a responsabilizao legal. Para tornar a situao ainda mais desafiadora, os tipos de ameaas em potencial segurana de rede esto sempre evoluindo. Na medida em que o comrcio eletrnico e os aplicativos da Internet continuam crescendo, encontrar o equilbrio entre o isolamento e a abertura essencial. Alm disso, o crescimento do comrcio mvel e das redes sem fio exige que as solues em segurana sejam totalmente integradas, mais transparentes e flexveis. Neste captulo, voc far um tour por todo o mundo da segurana de rede. Voc obter informaes sobre tipos diferentes de ameaas, sobre o desenvolvimento de polticas de segurana organizacionais, as tcnicas de atenuao e as ferramentas do software IOS Cisco para ajudar na proteo de redes. O captulo termina com uma anlise do gerenciamento de imagens do software IOS Cisco. Embora aparentemente esse no seja um problema de segurana, as imagens e as configuraes do software IOS Cisco podem ser excludas. Dispositivos comprometidos dessa forma oferecem riscos segurana. Exibir meio visual
http://curriculum.netacad.net/virtuoso/servlet/org.cli.delivery.rendering.servlet.CCServlet... 13/06/2011
Tema acessvel CISCO
Pgina 2 de 60
Pgina 2: A crescente ameaa segurana Com o passar dos anos, as ferramentas e os mtodos de ataque rede evoluram. Conforme mostrado na figura, em 1985 um atacante precisava contar com computador, programao e conhecimento de rede sofisticados para utilizar ferramentas rudimentares e ataques bsicos. Com o passar do tempo, os mtodos e as ferramentas dos atacantesatacantes melhoraram, e eles j no precisavam do mesmo nvel sofisticado de conhecimento. Isso reduziu efetivamente os requisitos iniciais para os atacantes. Pessoas que antes no participariam de crimes digitais agora podem fazer isso. Como os tipos de ameaas, ataques e exploraes evoluram, vrios termos foram criados para descrever os indivduos envolvidos. Alguns dos termos mais comuns so os seguintes:
z
z z
White hat um indivduo que procura vulnerabilidades em sistemas ou redes e, em seguida, informa essas vulnerabilidade aos proprietrios do sistema para que que elas possam ser corrigidas. Eles so totalmente contrrios violao de sistemas de computadores. Um white hat normalmente se concentra na proteo de sistemas de TI, enquanto um black hat (o oposto) gostaria de invadi-los. Hacker termo geral historicamente utilizado para descrever um especialista em programao de computador. Mais recentemente, esse termo passou a ser mais utilizado de modo negativo para descrever um indivduo que tenta obter acesso no autorizado a recursos de rede com m inteno. Black hat outro termo para indivduos que utilizam seu conhecimento de sistemas de computadores para invadir sistemas ou redes para os quais no tm autorizao, normalmente tendo em vista ganhos pessoais ou financeiros. Cracker um exemplo de black hat. Cracker termo mais preciso para descrever algum que tenta obter acesso no autorizado a recursos de rede com m inteno. Phreaker indivduo que manipula a rede telefnica para que ela execute uma funo no permitida. Uma meta comum do phreaking invadir a rede telefnica, normalmente por meio de um telefone pblico, fazer chamadas de longa distncia gratuitamente. Spammer indivduo que envia grandes quantidades de mensagens de email no solicitadas. Os spammers normalmente utilizam vrus para assumir o controle de computadores domsticos e os utilizam para enviar mensagens em massa. Phisher utiliza email ou outros meios para levar outras pessoas a fornecer informaes confidenciais, como nmeros de carto de crdito ou senhas. Um phisher se mascara como uma parte confivel que teria uma necessidade legtima pelas informaes confidenciais.
Pense como um atacante A meta do atacanteatacante comprometer uma rede-alvo ou um aplicativo em execuo em uma rede. Muitos atacantes utilizam esse processo em sete etapas para obter informaes e realizar um ataque. Etapa 1. Executar a anlise de presena (reconhecimento). A pgina Web de uma empresa pode levar a informaes, como os endereos IP de servidores. Com eles, um atacante pode criar uma imagem do perfil de segurana ou do "mapa" da empresa. Etapa 2. Enumerar informaes. Um atacante pode expandir o mapa, monitorando o trfego da rede com um sniffer de pacotes, como o Wireshark, que acaba localizando informaes como os nmeros de verso dos servidores FTP e dos servidores de email. Uma referncia cruzada com bancos de dados de vulnerabilidades expe os aplicativos da empresa a exploraes em potencial.
Tema acessvel CISCO
Pgina 3 de 60
Etapa 3. Manipular usurios para obter acesso. s vezes, os funcionrios escolhem senhas que so facilmente descobertas. Em outros casos, os funcionrios podem ser induzidos por atacantes talentosos a fornecer informaes confidenciais relacionadas ao acesso. Etapa 4. Escalonar privilgios. Depois de obter acesso bsico, os atacantes utilizam suas habilidades para aumentar seus privilgios de rede. Etapa 5. Obter senhas e segredos adicionais. Com maiores privilgios de acesso, os atacantes utilizam seus talentos para obter acesso a informaes confidenciais, mais bem guardadas. Etapa 6. Instalar backdoors. Os backdoors proporcionam ao atacante uma forma de entrar no sistema sem ser detectado. O backdoor mais comum uma porta de escuta TCP ou UDP aberta. Etapa 7. Otimizar o sistema comprometido. Depois que um sistema comprometido, um atacante o utiliza para preparar ataques a outros hosts na rede. Exibir meio visual
Pgina 3: Tipos de crimes digitais Como as medidas de segurana melhoraram com o passar dos anos, a frequncia de alguns dos tipos mais comuns de ataques diminuiu, embora novos tenham surgido. A concepo de solues em segurana de rede comea com uma avaliao do escopo completo do crime digital. Estas so as aes mais comuns de crimes digitais relatados que tm implicaes na segurana de rede:
z z z z z z z z z z z z z z z z z z z z
Violao interna ao acesso da rede Vrus Roubo de dispositivo mvel Phishing no qual uma organizao representada de maneira fraudulenta como o remetente Uso indevido de mensagens instantneas Negao de servio Acesso no autorizado a informaes Bots dentro da organizao Roubo de dados do cliente ou do funcionrio Violao da rede sem fio Invaso ao sistema Fraude financeira Deteco de senha Key logging Desfigurao de site Uso indevido de um aplicativo pblico da Web Roubo de informaes proprietrias Explorao do servidor DNS de uma organizao Fraude em telecomunicao Sabotagem
Nota: em determinados pases, algumas dessas atividades talvez no sejam crime, mas, ainda assim, constituem um problema. Exibir meio visual
Tema acessvel CISCO
Pgina 4 de 60
Pgina 4: Redes abertas x fechadas O desafio geral da segurana para administradores de rede equilibrar duas necessidades importantes: manter redes abertas para dar suporte a cada vez mais requisitos de negcios e proteger informaes privadas, pessoais e comerciais estratgicas. Os modelos de segurana de rede seguem uma escala progressiva da permisso a qualquer servio, a menos que ele seja expressamente negado, at a negao, por padro, de servios, a menos que eles sejam considerados necessrios. No caso da rede aberta, os riscos segurana so evidentes. No caso da rede fechada, as regras para o que permitido so definidas na forma de uma poltica por um indivduo ou grupo na organizao. Uma alterao feita na poltica de acesso pode ser to simples quanto pedir a um administrador de rede que habilite um servio. Dependendo da empresa, para que o administrador tenha permisso para habilitar o servio, uma alterao pode exigir uma emenda poltica de segurana corporativa. Por exemplo, uma poltica de segurana pode desaprovar o uso dos servios de mensagens instantneas (IM), mas a demanda por parte dos funcionrios pode levar a empresa a alterar a poltica. Uma alternativa extrema para o gerenciamento da segurana fechar totalmente uma rede ao mundo externo. Uma rede fechada s fornece conectividade a partes e sites reconhecidamente confiveis. Uma rede fechada no permite uma conexo a redes pblicas. Como no h nenhuma conectividade externa, as redes projetadas dessa forma so consideradas protegidas de ataques externos. No entanto, ainda existem ameaas internas. Uma rede fechada faz pouco para impedir ataques de dentro da empresa. Exibir meio visual
Pgina 5: Desenvolvendo uma poltica de segurana O primeiro passo que qualquer organizao deve dar para proteger seus dados e ela prpria de uma responsabilizao desenvolver uma poltica de segurana. Poltica um conjunto de princpios que orientam processos de tomada de decises e permitem aos lderes de uma organizao delegar autoridade com confiana. A RFC2196 afirma que "poltica de segurana uma declarao formal das regras que as pessoas que recebem acesso tecnologia e aos ativos de informaes de uma organizao devem seguir". Uma poltica de segurana pode ser to simples quanto uma poltica de uso aceitvel resumida para recursos de rede, ou pode ter vrias centenas de pginas e detalhar todos os elementos de conectividade e as polticas associadas. Uma poltica de segurana atinge estas metas:
z z z
Informa usurios, equipe e gerentes de seus requisitos obrigatrios para proteger a tecnologia e os ativos de informaes Especifica os mecanismos por meio dos quais esses requisitos podem ser atendidos Fornece uma linha de base para adquirir, configurar e auditar sistemas de computadores e redes em conformidade com a poltica
A organizao de uma poltica de segurana poder ser um desafio, se realizada sem orientao. Por isso, a Organizao Internacional para Padronizao (ISO) e a Comisso de eletrotcnica internacional (IEC) publicaram um documento padro sobre a segurana chamado ISO/IEC 27002. Esse documento se refere especificamente tecnologia da informao e descreve um cdigo de
Tema acessvel CISCO
Pgina 5 de 60
conduta para o gerenciamento de segurana das informaes. O ISO/IEC 27002 deve ser uma base comum e uma diretriz prtica para o desenvolvimento de padres de segurana organizacionais e de prticas efetivas para o gerenciamento da segurana. O documento consiste em 12 sees:
z z z z z z z z z z z z
Avaliao de risco Poltica de segurana Organizao da segurana das informaes Gerenciamento de ativos Segurana de recursos humanos Segurana fsica e ambiental Gerenciamento da comunicao e das operaes Controle de acesso Aquisio, desenvolvimento e manuteno dos sistemas de informaes Gerenciamento de incidentes de segurana das informaes Gerenciamento da continuidade dos negcios Conformidade
Este captulo aborda a seo da poltica de segurana. Para obter mais informaes sobre todas as sees, visite http://en.wikipedia.org/wiki/ISO/IEC_27002. O desenvolvimento do documento da poltica de segurana de rede abordado nos tpicos 4.1.5 "O ciclo de segurana de rede" e 4.1.6 "A poltica de segurana da empresa". Exibir meio visual
4.1.2 Ameaas comuns segurana Pgina 1: Vulnerabilidades Durante a abordagem da segurana de rede, trs fatores comuns so vulnerabilidade, ameaa e ataque. Vulnerabilidade o nvel de fragilidade inerente a todas as redes e dispositivos. Isso inclui roteadores, switches, desktops, servidores e at mesmo dispositivos de segurana. Ameaas so as pessoas interessadas e qualificadas para usufruir de todas as fraquezas relacionadas segurana. Esses indivduos devem continuar procurando novas proezas e vulnerabilidades. As ameaas utilizam vrias ferramentas, scripts e programas para iniciar ataques contra redes e dispositivos de rede. Normalmente, os dispositivos de rede sob ataque so as extremidades, como servidores e desktops. H trs vulnerabilidades principais:
z z z
Vulnerabilidades tecnolgicas Falhas na configurao Falhas na poltica de segurana
Tema acessvel CISCO
Pgina 6 de 60
Clique no boto Tecnologia na figura. O computador e as tecnologias de rede tm vulnerabilidades intrnsecas na segurana. Entre elas esto o protocolo TCP/IP, o sistema operacional e as vulnerabilidades no equipamento de rede. Clique no boto Configurao na figura. Os administradores ou os engenheiros de rede precisam saber quais so as falhas na configurao e configurar corretamente os dispositivos de computao e de rede para compens-las. Clique no boto Poltica na figura. Haver riscos segurana de rede se os usurios no seguirem a poltica de segurana. Algumas falhas comuns na poltica de segurana e como essas falhas so exploradas esto listadas na figura. Exibir meio visual
Pgina 2: Ameaas infraestrutura fsica Ao pensar em segurana de rede, ou mesmo em segurana de computador, voc talvez imagine atacantes explorando vulnerabilidades do software. Uma classe de ameaa menos conhecida, mas no menos importante, a segurana fsica dos dispositivos. Um atacante poder negar o uso dos recursos de rede se esses recursos puderem ser comprometidos fisicamente. As quatro classes de ameaas fsicas so:
z z z z
Ameaas ao hardware dano fsico em servidores, roteadores, switches, instalao de cabeamento e estaes de trabalho Ameaas ao ambiente temperaturas extremas (muito quente ou muito frio) ou umidade extrema (muito molhado ou muito seco) Ameaas eltricas picos de tenso, tenso de alimentao insuficiente (quedas de energia), energia no condicionada (rudo) e perda de energia total Ameaas manuteno mau processamento dos principais componentes eltricos (descarga eletrosttica), falta de peas crticas sobressalentes,cabeamento ruim e sem rotulao
Alguns desses problemas devem ser resolvidos com uma poltica organizacional. Alguns deles esto sujeitos a uma boa liderana e ao bom gerenciamento na organizao. As consequncias da falta de sorte podero se dar em uma rede, se a segurana fsica no estiver suficientemente preparada. Aqui esto algumas formas de atenuar ameaas fsicas:
z z z z
Atenuao da ameaa ao hardware Atenuao da ameaa ao ambiente Atenuao da ameaa eltrica Atenuao da ameaa mecnica
Clique no boto Hardware na figura. Atenuao da ameaa ao hardware
Tema acessvel CISCO
Pgina 7 de 60
Tranque o wiring closet e s permita o acesso para o pessoal autorizado. Impea o acesso por qualquer placa mvel no teto, no cho, pela janela, pela tubulao ou ponto de entrada que no seja o ponto de acesso protegido. Use o controle de acesso eletrnico e registre todas as tentativas de entrada. Monitore as instalaes com cmeras de segurana. Clique no boto Ambiental na figura. Atenuao da ameaa ao ambiente Crie um ambiente de operao apropriado por meio do controle de temperatura, de umidade, do fluxo de ar, de alarmes remotos do ambiente, alm da gravao e da monitorao. Clique no boto Eltrico na figura. Atenuao da ameaa eltrica Limite os problemas eltricos de alimentao, instalando sistemas de no-break e geradores, seguindo um plano de manuteno preventiva, instalando fontes de alimentao redundantes e utilizando alarmes remotos e monitorao. Clique no boto Manuteno na figura. Atenuao da ameaa de manuteno Atenuao da ameaa de manuteno use cabos limpos, rotule os cabos e os componentes essenciais, use procedimentos para descarga eletrosttica, guarde peas sobressalentes essenciais e controle o acesso a portas de console. Exibir meio visual
Pgina 3: Ameaas a redes No incio deste captulo, foram listados os crimes digitais mais comuns com implicaes na segurana de rede. Esses crimes podem ser agrupados em quatro classes principais de ameaas a redes: Ameaas no estruturadas As ameaas no estruturadas consistem, em sua maioria, em indivduos inexperientes utilizando ferramentas facilmente disponveis para hackers, como scripts de shell e crackers de senha. Mesmo ameaas no estruturadas executadas apenas com a inteno de testar as habilidades de um atacante podem causar srios danos a uma rede. Por exemplo, se o site de uma empresa for hackeado, a reputao dessa empresa poder ser abalada. Mesmo que o site seja separado das informaes privadas que ficam protegidas por um firewall, o pblico no tomar conhecimento disso. O que o pblico v que o site talvez no seja um ambiente seguro para se fazer negcios. Ameaas estruturadas As ameaas estruturadas vm de indivduos ou grupos muito motivados e tecnicamente competentes. Essas pessoas conhecem as vulnerabilidade do sistema e utilizam tcnicas sofisticadas de hackers para invadir negcios sem que haja suspeitas. Elas invadem os computadores de empresas e governos para cometer fraudes, destruir ou alterar registros, ou
Tema acessvel CISCO
Pgina 8 de 60
simplesmente bagunar. Esses grupos normalmente esto envolvidos em grandes fraudes e casos de roubos informados a agncias de represso ao crime. Sua tcnica to complexa e sofisticada que apenas investigadores especialmente treinados compreendem o que est acontecendo. Em 1995, Kevin Mitnick foi condenado por acessar computadores interestaduais nos Estados Unidos para fins criminais. Ele invadiu o banco de dados do Departamento de Trnsito da Califrnia, assumiu o controle dos hubs de comutao telefnicos de Nova York e da Califrnia e roubou nmeros de cartes de crdito. Ele inspirou o filme "Jogos de Guerra" de 1983. Ameaas externas As ameaas externas podem decorrer de indivduos ou organizaes trabalhando fora de uma empresa sem acesso autorizado aos sistemas de computadores ou rede. Eles fazem seu trabalho em uma rede principalmente pela Internet ou servidores de acesso dial-up. As ameaas externas podem variar em termos de gravidade, dependendo da experincia do atacante: amador (no estruturada) ou especialista (estruturada). Ameaas internas As ameaas internas ocorrem quando algum tem acesso autorizado rede com uma conta ou acesso fsico. Assim como acontece com ameaas externas, a gravidade de uma ameaa interna depende da experincia do atacante. Exibir meio visual
Pgina 4: Engenharia social A invaso mais fcil no envolve nenhuma habilidade com computador. Se um intruso conseguir levar um membro de uma organizao a fornecer informaes importantes, como o local de arquivos ou senhas, o processo de invaso ser muito mais facilitado. Esse tipo de ataque chamado de engenharia social e atinge vulnerabilidades pessoais que podem ser detectadas por atacantes talentosos. Ela pode incluir sensibilizaes ao ego de um funcionrio ou pode ser uma pessoa disfarada, ou com documento falsificado, que leva uma pessoa a fornecer informaes confidenciais. O phishing um tipo de ataque de engenharia social que envolve o uso do email ou de outros tipos de mensagens em uma tentativa de levar outras pessoas a fornecer informaes confidenciais, como nmeros de carto de crdito ou senhas. O phisher se mascara como uma parte confivel aparentemente com uma necessidade legtima quanto s informaes confidenciais. Normalmente, as fraudes de phishing envolvem o envio de spams que aparentam ser de instituies bancrias ou sites de leiles conhecidos. A figura mostra a rplica de um email assim. A empresa real utilizada como isca neste exemplo foi alterada. Estes emails contm hiperlinks que aparentam ser legtimos, mas que, na verdade, levam os usurios a um site falso configurado pelo phisher para capturar suas informaes. O site aparenta pertencer parte falsificada no email. Quando o usurio insere as informaes, elas so registradas para uso do phisher. Os ataques de phishing podem ser evitados instruindo-se usurios e implementando-se diretrizes para relatrios quando eles receberem emails suspeitos. Os administradores tambm podem bloquear o acesso a determinados sites e configurar filtros que bloqueiem emails suspeitos. Exibir meio visual
Tema acessvel CISCO
Pgina 9 de 60
4.1.3 Tipos de ataques a redes Pgina 1: Tipos de ataques a redes H quatro classes principais de ataques. Reconhecimento Reconhecimento a deteco no autorizada e o mapeamento de sistemas, servios ou vulnerabilidade. Ele tambm conhecido como coleta de informaes e, na maioria dos casos, antecede outro tipo de ataque. O reconhecimento semelhante a um ladro que investiga a vizinhana em busca de casas vulnerveis invaso, como uma residncia desocupada, portas fceis de abrir ou janelas abertas. Acesso Acesso ao sistema a possibilidade de um intruso obter acesso a um dispositivo no qual ele no tem uma conta ou uma senha. A entrada ou o acesso a sistemas normalmente envolvem a execuo de uma invaso, um script ou uma ferramenta que explore uma vulnerabilidade conhecida do sistema ou do aplicativo que est sendo atacado. Negao de servios A negao de servio (DOS) acontece quando um atacante desabilita ou danifica redes, sistemas ou servios com a inteno de negar servios a determinados usurios. Os ataques DoS envolvem a falha do sistema ou a reduo de sua velocidade at o ponto em que fique inutilizvel. Mas o DoS tambm pode ser to simples quanto excluir ou danificar informaes. Na maioria dos casos, a execuo do ataque envolve a simples execuo de uma invaso ou script. Por essas razes, os ataques DoS so os mais temidos. Worms, vrus e cavalos-de-Troia Um software malicioso pode ser inserido em um host para danificar ou corromper um sistema, se replicar, ou negar acesso a redes, sistemas ou servios. Os nomes comuns desse tipo de software so worms, vrus e cavalos-de-Troia. Exibir meio visual
Pgina 2: Ataques de reconhecimento Os ataques de reconhecimento podem consistir em:

z z z z
Consultas de informaes de Internet Varreduras de ping Verificaes de porta Sniffers de pacote
Os atacantes externos podem utilizar ferramentas da Internet, como os utilitrios nslookup e whois, para determinar facilmente o espao do endereo IP atribudo a uma determinada corporao ou entidade. Depois que o espao do endereo IP determinado, um atacante pode executar ping publicamente nos endereos IP disponveis para identificar os endereos ativos. Para ajudar a
Tema acessvel CISCO
Pgina 10 de 60
automatizar essa etapa, um atacante pode utilizar uma ferramenta de varredura de ping, como fping ou gping, que executa ping sistematicamente em todos os endereos de rede em um determinado intervalo ou sub-rede. Isso semelhante a consultar uma seo de uma agenda telefnica e ligar para todos os nmeros para saber quem atender. Quando os endereos IP ativos so identificados, o intruso utiliza um scanner de porta para determinar quais servios de rede ou portas esto ativos nos endereos IP ativos. Scanner de porta um software, como Nmap ou Superscan, projetado para pesquisar portas abertas em um host de rede. O scanner de porta consulta as portas para determinar o tipo de aplicativo e a verso, bem como o tipo e a verso do sistema operacional (OS) em execuo no host de destino. Com base nessas informaes, o intruso pode determinar se existe uma vulnerabilidade que possa ser explorada. Conforme mostrado na figura, uma ferramenta de explorao de rede, como Nmap, pode ser utilizada para realizar a deteco de host, a verificao de porta e as deteces de verso e do OS. Muitas dessas ferramentas esto disponveis e so fceis de utilizar. Os atacantes internos podem tentar "interceptar" o trfego da rede. Deteco de rede e deteco de pacotes so termos comuns para interceptao. As informaes coletadas com a interceptao podem ser utilizadas para realizar outros ataques rede. Dois usos comuns da interceptao so estes:
z z
Coleta de informaes os intrusos na rede conseguem identificar nomes de usurio, senhas ou informaes transportadas em um pacote. Roubo de informaes o roubo pode ocorrer medida que os dados so transmitidos pela rede interna ou externa. O intruso na rede tambm pode roubar dados de computadores em rede, obtendo acesso no autorizado. Entre os exemplos esto a invaso ou a interceptao em instituies financeiras e a obteno de nmeros de carto de crdito.
Um exemplo de dados suscetveis interceptao o SNMP verso 1 das strings comunitrias, enviadas em texto no criptografado. SNMP um protocolo de gerenciamento que fornece um meio para que dispositivos de rede coletem informaes sobre seu status e as enviem para um administrador. Um intruso pode interceptar consultas SNMP e coletar dados importantes sobre a configurao do equipamento de rede. Outro exemplo a captura de nomes de usurio e senhas na medida em que eles atravessam uma rede. Um mtodo comum para interceptar a comunicao capturar o TCP/IP ou outros pacotes de protocolo e decodificar o contedo utilizando um analisador de protocolo ou utilitrio semelhante. Um exemplo desse programa o Wireshark, que voc tem utilizado muito ao longo de todos os cursos do Exploration. Depois de serem capturados, os pacotes podem ser examinados em busca de informaes vulnerveis. Trs dos mtodos mais efetivos para contra-atacar a interceptao so os seguintes:
z z
Utilizar redes comutadas, e no hubs, para que o trfego no seja encaminhado para todas as extremidades ou hosts de rede. Utilizar uma criptografia que atenda s necessidades de segurana dos dados da organizao sem que haja a imposio de uma carga excessiva sobre os recursos ou os usurios do sistema. Implementar e aplicar uma diretiva de poltica que proba a utilizao de protocolos com suscetibilidades conhecidas interceptao. Por exemplo, como o SNMP verso 3 pode criptografar community strings, uma empresa pode proibir a utilizao do SNMP verso 1, mas permitir o SNMP verso 3.
Tema acessvel CISCO
Pgina 11 de 60
A criptografia fornece proteo para dados suscetveis a ataques de interceptao, crackers de senha ou manipulao. Praticamente toda empresa tem transaes que poderiam ter consequncias negativas se fossem exibidas por um interceptador. A criptografia assegura que, quando dados confidenciais passarem por um meio suscetvel interceptao, eles no podero ser alterados ou observados. A descriptografia necessria quando os dados alcanam o host de destino. Um mtodo de criptografia chamado de criptografia apenas de payload. Este mtodo criptografa a seo de payload (seo de dados) depois de um protocolo (UDP) ou cabealho TCP. Isso permite a roteadores e switches com IOS Cisco ler as informaes da camada de rede e encaminhar o trfego como qualquer outro pacote IP. A criptografia apenas de payload permite comutao de fluxo e a todos os recursos da lista de acesso funcionar com o trfego criptografado assim como funcionariam com o trfego de texto sem formatao, o que preserva qualidade de servio (QoS) desejada para todos os dados. Exibir meio visual
Pgina 3: Ataques de acesso Os ataques de acesso exploram vulnerabilidades conhecidas em servios de autenticao, FTP e da Web para obter acesso a contas da Web, bancos de dados e outras informaes confidenciais. Ataques de senha Os ataques de senha podem ser implementados utilizando-se um sniffer de pacotes para obter contas de usurio e senhas transmitidas como texto no criptografado. Os ataques de senha normalmente se referem a tentativas repetidas de login em um recurso compartilhado, como um servidor ou roteador, para identificar uma conta de usurio, senha ou ambos. Essas tentativas repetidas so chamadas de ataques de dicionrio ou ataques de fora bruta. Para realizar um ataque de dicionrio, os atacantes podem utilizar ferramentas como L0phtCrack ou Cain. Esses programas tentam fazer o login repetidamente como um usurio utilizando palavras derivadas de um dicionrio. Os ataques de dicionrio normalmente so bem-sucedidos porque os usurios tm uma tendncia de escolher senhas simples, que tenham palavras curtas, nicas ou que sejam variaes simples fceis de adivinhar, como adicionar o nmero 1 a uma palavra. Outro mtodo de ataque de senha utiliza tabelas de arco-ris. Tabela de arco-ris uma srie de senhas pr-computadas criada compilando-se cadeias de possveis senhas de texto sem formatao. Cada cadeia desenvolvida comeando-se por um "chute" escolhido aleatoriamente da senha de texto sem formatao e aplicando-se variaes a ela sucessivamente. O software de ataque aplicar as senhas na tabela de arco-ris at determinar a senha. Para realizar um ataque de tabela de arcoris, os atacantes podem utilizar uma ferramenta como L0phtCrack. Uma ferramenta de ataque de fora bruta mais sofisticada porque pesquisa exaustivamente utilizando combinaes de conjuntos de caracteres para computar todas as possveis palavras-chave formadas por esses caracteres. A desvantagem que se precisa de mais tempo para realizar esse tipo de ataque. As ferramentas de ataque de fora bruta se notabilizaram por determinar senhas simples em menos de um minuto. Senhas maiores, mais complexas, podem demorar dias ou semanas para serem determinadas. Os ataques de senha podem ser atenuados, instruindo-se os usurios a utilizar senhas complexas e especificando-se tamanhos mnimos de senha. Os ataques de fora bruta podem ser atenuados, restringindo-se o nmero de tentativas de login malsucedidas. No entanto, um ataque de fora bruta
Tema acessvel CISCO
Pgina 12 de 60
tambm pode ser realizado off-line. Por exemplo, se detectasse uma senha criptografada, interceptando ou acessando um arquivo de configurao, um atacante poderia tentar determinar a senha sem efetivamente estar conectado ao host. Explorao de confiana A meta de um ataque de explorao de confiana comprometer um host confivel, utilizando-o para preparar ataques em outros hosts de uma rede. Se um host da rede de uma empresa for protegido por um firewall (host interno), mas puder ser acessado por um host confivel fora do firewall (host externo), o host interno poder ser atacado por meio do host externo confivel. Os meios utilizados por atacantes para obter acesso ao host externo confivel, bem como os detalhes da explorao de confiana, no so abordados neste captulo. Para obter informaes sobre a explorao de confiana, consulte o curso Networking Academy Network Security. Os ataques baseados na explorao de confiana podem ser atenuados por meio de restries rgidas quanto aos nveis de confiana em uma rede, por exemplo, VLANs privadas podem ser implantadas em segmentos de servio pblico nos quais h vrios servidores pblicos disponveis. Sistemas fora de um firewall jamais devem ser totalmente confiveis por sistemas dentro de um firewall. Essa confiana deve ser limitada a protocolos especficos, devendo ser autenticada por algo que no seja um endereo IP, sempre que possvel. Redirecionamento de porta Um ataque de redirecionamento de porta um tipo de ataque de explorao de confiana que utiliza um host comprometido para transmitir trfego por meio de um firewall que, do contrrio, estaria bloqueado. Considere um firewall com trs interfaces e um host em cada uma delas. O host externo pode alcanar o host no segmento de servios pblicos, mas no o host interno. Esse segmento acessvel publicamente normalmente chamado de zona desmilitarizada. O host no segmento de servios pblicos pode alcanar o host tanto externo quanto interno. Se pudessem comprometer o host do segmento de servios pblicos, os atacantes conseguiriam instalar um software para redirecionar o trfego do host externo diretamente para o host interno. Embora nenhuma comunicao viole as regras implementadas no firewall, o host externo agora tem conectividade com o host interno por meio do processo de redirecionamento de porta no host de servios pblicos. Um exemplo de um utilitrio que pode fornecer esse tipo de acesso o netcat. O redirecionamento de porta pode ser atenuado principalmente por meio do uso de modelos confiveis prprios, especficos da rede (conforme mencionado anteriormente). Quando um sistema est sob ataque, um sistema de deteco de invaso baseado em host pode ajudar a detectar um atacante e impedir a instalao desses utilitrios em um host. Ataque de interceptao Um ataque de interceptao (MITM) realizado por atacantes que conseguem se posicionar entre dois hosts legtimos. O atacante pode permitir a ocorrncia das transaes normais entre os hosts e s manipular periodicamente a conversa entre os dois. H muitas formas com as quais um atacante consegue ficar entre dois hosts. Os detalhes desses mtodos esto alm do escopo deste curso, mas uma descrio resumida de um mtodo popular, o proxy transparente, ajuda a ilustrar a natureza dos ataques MITM. Em um ataque de proxy transparente, um atacante pode capturar uma vtima com um email de phishing ou desfigurando um site. Dessa forma, a URL de um site legtimo recebe a URL adicional
Tema acessvel CISCO
Pgina 13 de 60
dos atacantes (antecedido). Por exemplo, http:www.legitimate.com se torna http:www.attacker.com/http://www.legitimate.com. 1. Quando uma vtima solicita uma pgina Web, o host da vtima faz a solicitao ao host do atacante. 2. O host do atacante recebe a solicitao e busca a pgina real no site legtimo. 3. O atacante pode alterar a pgina Web legtima e desfigurar qualquer dado desejado. 4. O atacante encaminha a pgina solicitada vtima. Outras classificaes de ataques MITM so potencialmente ainda mais perigosas. Se conseguirem ficar em uma posio estratgica, os atacantes podero roubar informaes, sequestrar uma sesso em andamento para obter acesso a recursos de rede privada, realizar ataques DoS, danificar dados transmitidos ou introduzir novas informaes em sesses de rede. A atenuao de ataques MITM de WAN obtida utilizando-se tneis VPN, que permitem ao atacante ver apenas o texto criptografado, indecifrvel. Os ataques MITM de rede local utilizam ferramentas como ettercap e envenenamento ARP. Grande parte da atenuao de ataques MITM de rede local normalmente pode ser feita configurando-se a segurana de porta nos switches de rede local. Exibir meio visual
Pgina 4: Ataques DoS Os ataques DoS so a forma mais conhecida de ataque e est entre os mais difceis de eliminar. Mesmo na comunidade de atacantes, os ataques DoS so considerados triviais e ruins porque no exigem muito esforo para que sejam executados. Mas por conta da facilidade em sua implementao e dos danos potencialmente significativos, os ataques DoS merecem ateno especial dos administradores de segurana. Os ataques DoS assumem muitas formas. Eles acabam impedindo as pessoas autorizadas de utilizar um servio, consumindo recursos do sistema. Estes so alguns exemplos das ameaas DoS mais comuns: Clique no boto Ping da morte na figura. O ataque de ping da morte ganhou popularidade ainda nos anos 90. Ele usufrua as vulnerabilidades nos sistemas operacionais mais antigos. Esse ataque modificava a poro IP de um cabealho do pacote de ping para indicar que havia mais dados no pacote do que existia efetivamente. Um ping normalmente tem 64 ou 84 bytes, enquanto um ping da morte pode ter at 65.536 bytes. Enviar um ping desse tamanho pode travar um computador alvo mais antigo. A maioria das redes no mais suscetvel a esse tipo de ataque. Clique no boto Envio SYN na figura. Um ataque de envio SYN explora o handshake tridirecional TCP. Isso envolve o envio de vrias solicitaes SYN (mais de 1.000) para um servidor de destino. O servidor responde com a resposta SYN-ACK habitual, mas o host mal-intencionado nunca responde com o ACK final para concluir o handshake. Isso trava o servidor at que ele acaba ficando sem recursos e no consegue responder a uma solicitao vlida de host.
Tema acessvel CISCO
Pgina 14 de 60
Entre outros tipos de ataques DOS esto:

z z
Bombardeamentos de email os programas enviam emails em massa para indivduos, listas ou domnios, monopolizando os servios de email. Applets mal-intencionados esses ataques so programas Java, JavaSc ou Ac ript tiveX que c ausam a destruio ou o travamento dos rec ursos do c omputador.
Ataques DDoS Os ataques de negao de servio distribudo (DDoS) foram projetados para saturar links de rede c dados ilegtimos. Esses dados podem sobrec om arregar um link da Internet, o que c ausa o desc arte de trfego legtimo. O DDoS utiliza mtodos de ataque semelhantes a ataques DoS padro, mas func iona em uma esc muito maior. Normalmente, c ala entenas ou milhares de pontos de ataque tentam sobrec arregar um destino. Clique no boto DDoS na figura. Normalmente, h trs c omponentes em um ataque de DDoS.
z z z
H um c liente que normalmente a pessoa que inic o ataque. ia Gerenc iador um host c omprometido no qual o programa atac ante est em exec uo e c ada gerenc iador c apaz de c ontrolar vrios agentes Agente um host c omprometido no qual o programa atac ante est em exec uo, sendo o responsvel pela gerao de um fluxo de pac otes c destino vtima desejada om
Entre os exemplos de ataques DDoS esto os seguintes:

z z z z
Ataque SMURF Tribe flood network (TFN) Stac heldraht MyDoom
Clique no boto Ataque Smurf na figura. O ataque Smurf utiliza mensagens de ping transmitidas falsific adas para inundar um sistema desejado. Ele c omea c um atac om ante enviando um grande nmero de solic itaes de ec ICMP o para o endereo de broadc de rede utilizando endereos IP de origem falsific ast ados vlidos. Um roteador poderia exec utar a funo de broadc da Camadas 3 para a Camada 2, e a maioria dos ast hosts responder, c ada um, c uma resposta de ec ICMP, multiplic om o ando o trfego pelo nmero de hosts que respondem. Em uma rede de broadc multiac ast esso, talvez haja c entenas de mquinas respondendo a todos os pac otes de ec o. Por exemplo, c onsideremos que a rede tenha 100 hosts e que o atac ante tenha um link T1 de alto desempenho. O atac ante envia um fluxo de 768 kb/s em solic itaes de ec ICMP c um endereo o om de origem falsific ado da vtima para o endereo de broadc de uma rede de destino (c ast hamado de um site de reflexo). Esses pac otes de ping c hegam ao site de reflexo na rede de broadc de 100 ast hosts, e c ada um deles pega e responde o pac ote, o que c 100 respostas de ping de sada. Um ria total de 76,8 megabits por segundo (Mb/s) de largura de banda utilizado de sada no site de reflexo depois que o trfego multiplic ado. Em seguida, ele enviado para a vtima ou para a origem falsific ada dos pac otes de origem.
Tema acessvel CISCO
Pgina 15 de 60
A desativao do rec urso de broadc direc ast ionado na infraestrutura de rede impede a rede de ser utilizada c omo um site de reflexo. O rec urso de broadc direc ast ionado desativado por padro no software IOS Cisc desde a verso 12.0. o Os ataques DoS e DDoS podem ser atenuados, implementando-se a antifalsific ao espec e as ial listas de c ontrole de ac esso anti-DoS. Os ISPs tambm podem implementar taxa de trfego, limitando a quantidade de trfego no essenc que atravessa segmentos de rede. Um exemplo ial c omum limitar a quantidade de trfego ICMP permitido em uma rede, porque esse trfego s utilizado para fins de diagnstic o. Os detalhes da operao desses ataques esto alm do esc opo deste c urso. Para obter mais informaes, c onsulte o c urso Networking Ac ademy Network Sec urity. Exibir meio visual
Pgina 5: Ataques de cdigo malicioso As princ ipais vulnerabilidade para estaes de trabalho de usurio final so worms, vrus e ataques de c avalo-de-Troia. Um worm exec c uta digo e instala c pias na memria do c omputador infec tado, o que pode, por sua vez, infec outros hosts. tar Vrus um software malic ioso anexado a outro programa c a finalidade de exec om utar uma determinada funo indesejvel em uma estao de trabalho. Um c avalo-de-Troia diferente de um worm ou vrus apenas porque todo o aplic ativo foi esc para rito ser semelhante a alguma c oisa, quando, na verdade, uma ferramenta de ataque. Worms A anatomia de um ataque de worm a seguinte:
z
z z
A vulnerabilidade de habilitao um worm se instala, explorando vulnerabilidades c onhec idas em sistemas, c omo usurios finais ingnuos que abrem anexos de exec utveis no verific ados em emails. Mecanismo de propagao depois de obter ac esso a um host, um worm se c opia para esse host e, em seguida, esc olhe novos destinos. Payload depois que um host infec tado por um worm, o atac ante tem ac esso ao host, normalmente c omo um usurio privilegiado. Os atac antes poderiam utilizar uma explorao loc para esc al alonar seu nvel de privilgio at administrador.
Normalmente, worms so programas autossufic ientes que atac um sistema e tentam explorar uma am vulnerabilidade espec a no destino. Assim que houver a explorao bem-suc fic edida da vulnerabilidade, o worm c opia seu programa do host de ataque para o sistema rec m-explorado para c omear tudo novamente. Em janeiro de 2007, um worm infec a c tou onhec c ida omunidade MySpac e. Usurios c onfiveis habilitaram a propagao do worm, que c omeou a se replic nos sites dos ar usurios c a desfigurao "w0rm.Eric om Andrew". A atenuao de ataques de worm exige dilignc por parte da equipe administradora do sistema e ia de rede. A c oordenao entre as equipes de administrao do sistema, de engenharia da rede e das operaes de segurana essenc na resposta efetiva a um inc ial idente de worm. Estas so as
Tema acessvel CISCO
Pgina 16 de 60
etapas recomendadas para a atenuao de ataques de worm:

z z z z
Conteno contenha a difuso do worm na rede e dentro dela. Isole as partes no infectadas da rede. Inoculao comece aplicando patches a todos os sistemas e, se possvel, verificando se h sistemas vulnerveis. Quarentena monitore todas as mquina infectadas dentro da rede. Desconecte, remova ou bloqueie mquinas infectadas na rede. Tratamento Limpe e aplique um patch a todos os sistemas infectados. Alguns worms podem exigir reinstalaes completas para limpar o sistema.
Vrus e cavalos-de-Troia Vrus um software malicioso anexado a outro programa para executar uma determinada funo indesejvel em uma estao de trabalho. Um exemplo um programa anexado ao command.com (o interpretador principal de sistemas Windows) e exclui determinados arquivos, alm de infectar todas as outras verses de command.com que conseguir localizar. Um cavalo-de-Troia diferente apenas porque todo o aplicativo foi escrito para ser semelhante a alguma coisa, quando, na verdade, uma ferramenta de ataque. Um exemplo de um cavalo-de-Troia um aplicativo que executa um simples jogo em uma estao de trabalho. Enquanto o usurio est ocupado com o jogo, o cavalo-de-Troia envia uma cpia para todos os endereos na agenda de endereos do usurio. Os outros usurios recebem o jogo e o executam, o que difunde o cavalo-deTroia para os endereos em todas as agendas de endereos. Um vrus normalmente exige um mecanismo de entrega um vetor como um arquivo zip ou algum outro arquivo executvel anexado a um email, para transportar o cdigo do vrus de um sistema para outro. O principal elemento que distingue um worm de um vrus de computador essa interao humana necessria facilitao da difuso de um vrus. Esses tipos de aplicativos podem ser contidos por meio do uso efetivo de software antivrus no nvel do usurio e, possivelmente, no nvel da rede. Um software antivrus pode detectar a maioria dos vrus e muitos aplicativos de cavalo-de-Troia, alm de impedir sua difuso na rede. Manter-se atualizado em relao aos desenvolvimento mais recentes quanto a esses tipos de ataques tambm pode levar a uma postura mais efetiva relacionada a esses ataques. Na medida em que novos vrus ou aplicativos de cavalo-de-Troia so liberados, as empresas precisam se manter atualizadas quanto s verses mais atuais do software antivrus. Sub7, ou subseven, um cavalo-de-Troia comum que instala um programa backdoor em sistemas de usurios. Ele conhecido tanto por ataques no estruturados quanto estruturados. Por ser uma ameaa no estruturada, atacantes inexperientes podem utilizar o programa de forma que os cursores do mouse desapaream. Como uma ameaa estruturada, os crackers podem utiliz-lo para instalar keystroke loggers (programas que registram todas as teclas pressionadas pelo usurio) para capturar informaes confidenciais. Exibir meio visual
4.1.4 Tcnicas de atenuao gerais Pgina 1: Segurana baseada em host e em servidor Dispositivo fortalecido
Tema acessvel CISCO
Pgina 17 de 60
Quando um novo sistema operacional instalado em um computador, as configuraes de segurana so definidas de acordo com os valores padro. Na maioria dos casos, esse nvel de segurana inadequado. Existem alguns passos simples que devem ser dados e que se aplicam maioria dos sistemas operacionais:
z z z
Nomes de usurio e senhas padro devem ser alterados imediatamente. O acesso a recursos do sistema deve ser restrito apenas aos indivduos com autorizao para utiliz-los. Qualquer servio e aplicativo desnecessrio deve ser desativado e desinstalado, quando possvel.
A seo 4.2, "Protegendo roteadores Cisco", descreve um dispositivo fortalecido com mais detalhes. essencial proteger hosts de rede, como PCs de estao de trabalho e servidores. Esses hosts precisam ser protegidos quando adicionados rede, devendo ser atualizados com patches de segurana assim que essas atualizaes forem disponibilizadas. Passos adicionais podem ser dados para proteger esses hosts. Antivrus, firewall e deteco de invaso so ferramentas importantes que podem ser utilizadas para proteger hosts de rede. Como muitos recursos de negcio podem estar em um nico servidor de arquivos, especialmente importante que os servidores sejam acessveis e estejam disponveis. Software antivrus Instale um software antivrus de host para se proteger de vrus conhecidos. Um software antivrus pode detectar a maioria dos vrus e muitos aplicativos de cavalo-de-Troia, alm de impedir sua difuso na rede. O software antivrus faz isso de duas formas:
z z
Ele verifica arquivos, comparando seu contedo com vrus conhecidos de um dicionrio de vrus. As correspondncias so sinalizadas de maneira definida pelo usurio final. Ele monitora processos suspeitos em execuo em um host que possam indicar infeco. Essa monitorao pode incluir capturas de dados, monitorao de porta e outros mtodos.
O software antivrus comercial, em sua maioria, utiliza todas essas abordagens. Clique no boto Antivrus na figura. Atualize o software antivrus sempre. Firewall pessoal Computadores pessoais conectados Internet por meio de uma conexo dial-up, DSL ou modems a cabo so to vulnerveis quanto redes corporativas. Os firewalls pessoais residem no PC do usurio e tentam impedir ataques. Os firewalls pessoais no foram projetados para implementaes de rede local, como firewalls baseados em dispositivo ou servidor, e eles podem impedir o acesso rede se instalados com outros clientes de rede, servios, protocolos ou adaptadores. Clique no boto Firewalls pessoais na figura. Entre alguns dos fornecedores de firewall pessoal esto McAfee, Norton, Symantec e Zone Labs.
Tema acessvel CISCO
Pgina 18 de 60
Patches do sistema operacional A maneira mais efetiva de atenuar um worm e suas variantes baixando atualizaes de segurana do fornec edor do sistema operac ional e aplic o patc a todos os sistemas vulnerveis. Isso difc ar h il c sistemas de usurio sem c om ontrole na rede loc e ainda mais problemtic c al, o aso esses sistemas estejam c onec tados remotamente rede por meio de uma rede virtual privada (VPN) ou servidor de ac esso remoto (RAS). A administrao de vrios sistemas envolve a c riao de uma imagem de software padro (sistema operac ional e aplic ativos aprovados c autorizao para serem utilizados om em sistemas de c lientes implantados) implantada em sistemas novos ou melhorados. Essas imagens talvez no c ontenham os patc hes mais rec entes, e o proc esso de rec riao c ontnuo da imagem para integrar o patc mais rec h ente pode se tornar rapidamente algo demorado administrativamente. Aplic patc ar hes a todos os sistemas exige que esses sistemas estejam de alguma forma c onec tados rede, o que talvez no seja possvel. Uma soluo para o gerenc iamento de patc hes de segurana c os c um servidor de patc rtic riar hes c entral c o qual todos os sistemas devem se c om omunic aps um determinado perodo. Qualquer ar patc no aplic h ado a um host baixado automatic amente no servidor de patc hes e instalado sem a interveno do usurio. Alm de exec utar atualizaes de segurana do fornec edor do OS, a determinao de quais dispositivos so explorveis pode ser simplific ada pela utilizao de ferramentas de auditoria de segurana que proc uram vulnerabilidades. Clique no boto Patches do OS na figura. Exibir meio visual
Pgina 2: Deteco de invaso e preveno Os sistemas de detec o de invaso detec tam ataques a uma rede e enviam logs a uma c onsole de gerenc iamento. Os sistemas de preveno de invaso (IPSs) impedem ataques rede e devem fornec os seguintes mec er anismos de defesa ativos, alm da detec o:
z z
Preveno impede a exec uo do ataque detec tado. Reao imuniza o sistema c ontra ataques futuros de uma origem malic iosa.
Qualquer tec nologia pode ser implementada em um nvel de rede ou de host, ou ambos, tendo em vista a mxima proteo. Sistemas de deteco de invaso baseados em host A invaso baseada em host c ostuma ser implementada c omo uma tec nologia interna ou passiva, dependendo do fornec edor. A tec nologia passiva, a primeira gerao da tec nologia, c hamada de sistema de detec o de invaso baseado em host (HIDS). O HIDS envia logs a uma c onsole de gerenc iamento aps a oc orrnc do ataque e do dano. ia A tec nologia interna, c hamada de sistema de preveno de invaso baseado em host (HIPS), na verdade, interrompe o ataque, impede o dano e bloqueia a propagao dos worms e dos vrus.
Tema acessvel CISCO
Pgina 19 de 60
A deteco ativa pode ser definida para fechar a conexo de rede ou parar os servios afetados automaticamente. A ao corretiva pode ser feita imediatamente. A Cisco fornece o HIPS utilizando o software Cisco Security Agent. O software do HIPS deve ser instalado em cada host, no servidor ou no desktop, para monitorar a atividade realizada no host. Esse software chamado de software agente. O software agente executa a anlise da deteco de invaso e a preveno. O software agente tambm envia logs e alertas para um servidor centralizado de gerenciamento/poltica. A vantagem do HIPS que ele pode monitorar processos do sistema operacional e proteger recursos essenciais do sistema, inclusive arquivos que talvez s existam nesse determinado host. Isso significa que ele pode notificar os gerentes de rede quando algum processo externo tentar modificar um arquivo de sistema de forma que possa incluir um programa backdoor. A figura ilustra uma implantao de HIPS tpica. Os agentes so instalados em servidores publicamente acessveis, alm de servidores de aplicativos e de email corporativo. O agente informa eventos a um servidor de console central localizado dentro do firewall corporativo. Como alternativa, os agentes no host podem enviar logs como email para um administrador. Exibir meio visual
Pgina 3: Mecanismos de segurana comuns e aplicativos A segurana uma das principais consideraes durante o planejamento de uma rede. Antes, o dispositivo que vinha mente quando o assunto era segurana de rede era o firewall. Um firewall, por si s, deixou de ser apropriado proteo de uma rede. necessria uma abordagem integrada envolvendo firewall, preveno de invaso e VPN. Uma abordagem integrada em relao segurana, alm dos dispositivos necessrios para que ela acontea, segue estes componentes bsicos: Controle de ameaa controla o acesso rede, isola sistemas infetados, impede intruses e protege ativos, contra-atacando trfego malicioso, como worms e vrus. Os dispositivos que fornecem solues em controle de ameaa so:
z z z z z
Mecanismos de segurana Cisco srie ASA 5500 Adaptive Roteadores de servios integrados (ISRs) Network Admission Control, controle de admisso de rede Cisco Security Agent for Desktops Sistemas de preveno de invaso Cisco
Comunicaes seguras protege extremidades da rede com VPN. Os dispositivos que permitem a uma organizao implantar VPN so roteadores Cisco ISR com a soluo em VPN do IOS Cisco e os switches Cisco 5500 ASA e Cisco Catalyst 6500. Controle de admisso de rede (NAC) fornece um mtodo baseado em funes para impedir o acesso no autorizado a uma rede. A Cisco oferece um dispositivo NAC. Software IOS Cisco em roteadores de servios integrados (ISRs) Cisco A Cisco fornece muitas das medidas de segurana obrigatrias para os clientes dentro do software IOS Cisco. O software IOS Cisco fornece servios internos IOS Cisco Firewall, IPsec, SSL VPN e IP.
Tema acessvel CISCO
Pgina 20 de 60
Mecanismo de segurana Cisco srie ASA 5500 Adaptive Houve um momento em que o firewall PIX era o dispositivo que uma rede segura implantaria. O PIX evoluiu at chegar a uma plataforma que integra muitos recursos de segurana diferentes, chamada de Cisco Adaptive Security Appliance (ASA). O Cisco ASA integra firewall, segurana de voz, SSL e IPsec VPN, IP e servios de segurana de contedo em um nico dispositivo. Sensores Cisco IPS srie 4200 Para redes maiores, um sistema de preveno de invaso interno fornecido pelos sensores Cisco IP srie 4200. Esse sensor identifica, classifica e interrompe o trfego malicioso na rede. Dispositivo Cisco NAC O dispositivo Cisco NAC utiliza a infraestrutura de rede para aplicar a conformidade com a poltica de segurana em todos os dispositivos que procuram acessar recursos de computao em rede. Cisco Security Agent (CSA) O software Cisco Security Agent fornece recursos de proteo contra ameaas para sistemas de computao em servidor, desktop e ponto de servio (POS). O CSA defende esses sistemas contra ataques determinados, spyware, rootkits e ataques day-zero. A cobertura aprofundada desses dispositivos est alm do escopo deste curso. Consulte os cursos CCNP: Implementao de redes remotas convergidas seguras e Segurana de rede 1 e 2 para obter mais informaes. Exibir meio visual
4.1.5 O ciclo de segurana de rede Pgina 1: A maior parte dos incidentes de segurana ocorre porque os administradores de sistema no implementam as contramedidas disponveis, e os atacantes ou os funcionrios insatisfeitos exploram a omisso. Por isso, o problema no apenas algum confirmar a existncia de uma vulnerabilidade tcnica e localizar uma contramedida que funcione. Tambm essencial verificar se a contramedida est implantada e funcionando corretamente. Para auxiliar na conformidade de uma poltica de segurana, o Ciclo de segurana, um processo contnuo se mostrou uma abordagem efetiva. O Ciclo de segurana incentiva novos testes e a reaplicao de medidas de segurana atualizadas regularmente. Para comear o processo do Ciclo de segurana, primeiro desenvolva uma poltica de segurana que permita a aplicao de medidas de segurana. A poltica de segurana inclui o seguinte:
z z z z
Identifica os objetivos de segurana da organizao. Documenta os recursos a serem protegidos. Identifica a infraestrutura de rede com mapas atuais e inventrios. Identifica os recursos essenciais que precisam ser protegidos, como pesquisa e desenvolvimento, finanas e recursos humanos. Isso se chama anlise de risco.
A poltica de segurana o ponto no qual as quatro etapas do Ciclo de segurana se baseiam. As
Tema acessvel CISCO
Pgina 21 de 60
etapas so proteger, monitorar, testar e melhorar. Etapa 1. Proteger Proteja a rede, aplicando a poltica de segurana e implementando as seguintes solues em segurana:
z z
Proteo contra ameaas Inspeo stateful e filtragem de pacote filtre o trfego da rede para permitir somente trfego e servios vlidos.
Nota: a inspeo stateful se refere a um firewall que mantm informaes sobre o estado de uma conexo em uma tabela de estados de forma que ele possa reconhecer alteraes feitas na conexo que poderiam indicar que um atacante est tentando capturar uma sesso ou manipular uma conexo.
z z z
Sistemas de preveno de invaso implantados nos nveis de rede e de host para parar o trfego malicioso ativamente. Patches de vulnerabilidade aplique correes ou medidas para parar a explorao quanto a vulnerabilidades conhecidas. Desabilitar servios desnecessrios quanto menos servios habilitados, mais difcil ser para os atacantes obter acesso.
Conectividade segura
z z
z z
VPNs criptografe trfego da rede para impedir a divulgao indesejvel a indivduos sem autorizao ou maliciosos. Confiana e identidade implemente restries plenas quanto a nveis de confiana dentro de uma rede. Por exemplo, sistemas fora de um firewall jamais devem ser totalmente confiveis por sistemas dentro de um firewall. Autenticao s d acesso a usurios autorizados. Um exemplo disso a utilizao de senhas nicas. Aplicao da poltica assegure-se de que os usurios e os dispositivos finais estejam em conformidade com a poltica corporativa.
Etapa 2. Monitorar A monitorao de segurana envolve mtodos ativo e passivo de deteco das violaes segurana. O mtodo ativo mais utilizado auditar arquivos de log em nvel de host. A maioria dos sistemas operacionais inclui funcionalidade de auditoria. Os administradores de sistema devem habilitar o sistema de auditoria em todos os hosts na rede e devem parar para verificar e interpretar as entradas do arquivo de log. Entre os mtodos passivos esto a utilizao de dispositivos IDS para detectar invases automaticamente. Esse mtodo requer menos ateno por parte dos administradores de segurana da rede do que os mtodos ativos. Esses sistemas podem detectar violaes segurana em tempo real, podendo ser configurados para responder automaticamente antes que um intruso cause algum dano. Um benefcio a mais de monitorao da rede verificar se as medidas de segurana implementadas na etapa 1 do Ciclo de segurana foram configuradas e esto funcionando corretamente.
Tema acessvel CISCO
Pgina 22 de 60
Etapa 3. Testar Na fase de testes do Ciclo de segurana, as medidas de segurana so testadas de maneira proativa. Especificamente, a funcionalidade das solues em segurana implementadas na etapa 1 e os mtodos de auditoria do sistema e de deteco de invaso implementados na etapa 2 so verificados. Ferramentas de avaliao de vulnerabilidade, como SATAN, Nessus ou Nmap, so teis para testar as medidas de segurana da rede periodicamente nos nveis de rede e de host. Etapa 4. Melhorar A fase de melhoria do Ciclo de segurana envolve a anlise dos dados coletados durante as fases de monitorao e testes. Essa anlise contribui com o desenvolvimento e a implementao de mecanismos de melhoria que aumentam a poltica de segurana e os resultados ao adicionar itens etapa 1. Para manter uma rede a mais segura possvel, o ciclo de segurana deve ser repetido continuamente, porque novas vulnerabilidades e riscos rede esto surgindo todos os dias. Com as informaes coletadas das fases de monitorao e de testes, os IDSs podem ser utilizados para implementar melhorias segurana. A poltica de segurana deve ser ajustada na medida em que novas vulnerabilidades e riscos segurana so detectados. Exibir meio visual
4.1.6 A poltica de segurana corporativa Pgina 1: O que uma poltica de segurana? Uma poltica de segurana um conjunto de diretrizes determinadas para proteger a rede de ataques, tanto dentro quanto fora de uma empresa. A formao de uma poltica comea com perguntas. Como a rede ajuda a organizao a atingir sua viso, misso e plano estratgico? Que implicaes os requisitos da empresa tm sobre a segurana da rede, e como esses requisitos se traduzem na aquisio de equipamento especializado e nas configuraes carregadas nos dispositivos? Uma poltica de segurana beneficia uma organizao das seguintes formas:
z z z z z z z
Fornece um meio para auditar a segurana de rede existente e comparar os requisitos com o que est implantado. Planeje melhorias de segurana, inclusive equipamento, software e procedimentos. Define as funes e as responsabilidades dos executivos, administradores e usurios da empresa. Define qual comportamento e qual no permitido. Define um processo para tratar incidentes de segurana na rede. Habilita a implementao de segurana global e a aplicao, funcionando como um padro entre sites. Cria uma base para ao legal se necessrio.
Uma poltica de segurana um documento vivo, o que significa que ele jamais concludo, sendo continuamente atualizado conforme os requisitos de tecnologia e de funcionrio mudam. Ele funciona como uma ponte entre os objetivos do gerenciamento e os requisitos de segurana especficos. Exibir meio visual
Tema acessvel CISCO
Pgina 23 de 60
Pgina 2: Funes de uma poltica de segurana Uma poltica de segurana abrangente cumpre estas funes essenciais:
z z z z
Protege as pessoas e as informaes Estabelece as regras para o comportamento esperado por parte de usurios, administradores de sistema e equipes de gerenciamento e segurana Autoriza a equipe de segurana a monitorar, testar e investigar Define e autoriza as consequncias de violaes
A poltica de segurana para todos, inclusive funcionrios, contratados, fornecedores e clientes que tenham acesso rede. No entanto, a poltica de segurana deve tratar cada um desses grupos de maneira diferente. Cada grupo s deve ver a parte da poltica apropriada ao seu trabalho e a seu nvel de acesso rede. Por exemplo, uma explicao do porqu algo est sendo feito nem sempre necessria. Voc pode supor que a equipe tcnica j sabe por que um determinado requisito foi includo. No provvel que os gerentes se interessem pelos aspectos tcnicos de um requisito especfico; eles talvez s queiram uma viso geral ou o princpio que sustenta o requisito. No entanto, quando sabem por que um controle de segurana especfico foi includo, os usurios finais tendem mais a cumprir a poltica. Por isso, no provvel que um documento atenda s necessidades de todo o pblico-alvo de uma grande organizao. Exibir meio visual
Pgina 3: Componentes de uma poltica de segurana O SANS Institute (http://www.sans.org) fornece diretrizes desenvolvidas em acordo com vrios lderes do setor, inclusive a Cisco, para desenvolver polticas de segurana abrangentes para grandes e pequenas organizaes. Nem todas as organizaes precisam de todas essas polticas. Estas so as polticas de segurana gerais que uma organizao pode invocar:
z z
z z z z z
Declarao de autoridade e escopo define quem na organizao patrocina a poltica de segurana, quem responsvel por implement-la e quais reas so abrangidas pela poltica. Poltica de utilizao aceitvel (AUP) define a utilizao aceitvel do equipamento e dos servios de computao, alm das medidas de segurana do funcionrio apropriadas para proteger recursos corporativos e informaes proprietrias. Identificao e poltica de autenticao define quais tecnologias a empresa utiliza para assegurar que apenas pessoal autorizado tenha acesso a seus dados. Poltica de acesso Internet define o que a empresa ir ou no tolerar em relao utilizao da conectividade com a Internet por funcionrios e convidados. Poltica de acesso ao campus define a utilizao aceitvel dos recursos de tecnologia no campus por funcionrios e convidados. Poltica de acesso remoto define como os usurios remotos podem utilizar a infraestrutura de acesso remoto da empresa. Procedimento de tratamento de incidentes especifica quem responder a incidentes de segurana e como com eles sero tratados.
Tema acessvel CISCO
Pgina 24 de 60
Alm dessas sees de poltica de segurana principais, entre algumas outras que podem ser necessrias em determinadas organizaes esto:
z
z z z
Poltica de solicitao de acesso conta formaliza a conta e o processo de solicitao de acesso dentro da organizao. Os usurios e os administradores de sistema que ignoram os processos padro para solicitaes de conta e acesso podem estar sujeitos ao legal dentro da organizao. Poltica de avaliao de aquisio define as responsabilidades referentes a aquisies corporativas e define os requisitos mnimos de uma avaliao de aquisio que o grupo de segurana das informaes deve realizar. Poltica de auditoria define polticas de auditoria para assegurar a integridade das informaes e dos recursos. Isso inclui um processo para investigar incidentes, assegurar a conformidade em relao s polticas de segurana e monitorar a atividade do usurio e do sistema Poltica de importncia das informaes define os requisitos para classificar e proteger informaes da maneira apropriada segundo o seu nvel de importncia. Poltica de senha define os padres para criar, proteger e alterar senhas fortes. Poltica de avaliao de risco define os requisitos e fornece a autoridade para a equipe de segurana da informao identificar, avaliar e solucionar riscos infraestrutura de informaes associada realizao do negcio. Poltica de servidor Web global define os padres exigidos por todos os hosts da Web.
Com a ampla utilizao do email, uma organizao talvez tambm queira aplicar polticas relacionadas especificamente a email, como:
z
z z
Poltica de email encaminhado automaticamente documenta a poltica que restringe o encaminhamento automtico de email para um destino externo sem aprovao prvia do gerente ou do diretor apropriado. Poltica de email define padres de contedo para impedir a maculao da imagem pblica da organizao. Poltica de spam define como o spam deve ser informado e tratado.
Entre as polticas de acesso remoto podem estar:

z z z
Poltica de acesso dial-up define o acesso dial-up apropriado e sua utilizao por pessoal autorizado. Poltica de acesso remoto define os padres para conexo com a rede da organizao de qualquer host ou rede externa com a organizao. Poltica de segurana VPN define os requisitos para conexes VPN com a rede da organizao.
preciso observar que os usurios que desafiem ou violem as regras de uma poltica de segurana podem estar sujeitos ao disciplinar, incluindo at mesmo demisso. Exibir meio visual
Pgina 4: Exibir meio visual
Tema acessvel CISCO
Pgina 25 de 60
4.2 Protegendo roteadores Cisco

4.2.1 Problemas de segurana do roteador Pgina 1: A funo dos roteadores na segurana de rede Voc sabe que pode criar uma rede local, conectando dispositivos com switches de rede local da Camada 2. Dessa forma, voc pode utilizar um roteador para rotear trfego entre redes diferentes com base em endereos IP da Camada 3. A segurana do roteador um elemento essencial em qualquer implantao de segurana. Os roteadores so alvos definitivos para os atacantes de rede. Se um atacante conseguir comprometer e acessar um roteador, isso poder ajud-lo. A compreenso das funes que os roteadores realizam na rede ajuda a entender suas vulnerabilidades. Os roteadores realizam as seguintes funes:
z z
Anunciam redes e filtram quem pode utiliz-las. Fornecem acesso a segmentos de rede e sub-redes.
Exibir meio visual
Pgina 2: Os roteadores so os alvos Como fornecem gateways para outras redes, os roteadores so alvos bvios, estando sujeitos a vrios ataques. Aqui esto alguns exemplos de vrios problemas de segurana:
z z z
O comprometimento do controle de acesso pode expor detalhes da configurao de rede, o que facilita ataques a outros componentes da rede. O comprometimento das tabelas de rotas pode afetar o desempenho, negar servios de comunicao da rede e expor dados confidenciais. A configurao incorreta de um filtro de trfego de roteador pode expor componentes internos da rede a verificaes e ataques, o que facilita para os atacantes evitar a deteco.
Como os atacantes podem comprometer roteadores de formas diferentes, no h nenhuma abordagem nica que os administradores de rede possam utilizar para combat-los. As formas de comprometimento dos roteadores so semelhantes aos tipos de ataques que voc aprendeu anteriormente neste captulo, inclusive ataques de explorao de confiana, falsificao IP, captura de sesso e ataques MITM. Nota: esta seo aborda como proteger roteadores. A maioria das prticas recomendadas discutidas tambm pode ser utilizada para proteger switches. No entanto, esta seo no aborda ameaas da Camada 2, como endereo MAC com ataques de inundao e STP, porque eles so abordados no CCNA Exploration: Comutao de rede local e rede sem fio. Exibir meio visual
Tema acessvel CISCO
Pgina 26 de 60
Pgina 3: Protegendo a sua rede Proteger os roteadores no permetro da rede uma etapa inicial importante na proteo da rede. Pense na segurana do roteador segundo estas categorias:
z z z z
Segurana fsica Atualizar o IOS do roteador sempre que isso for aconselhvel Fazer o backup da configurao e do IOS do roteador Reforar o roteador para eliminar o abuso potencial de portas e servios no utilizados
Para fornecer segurana fsica, coloque o roteador em um sala trancada, acessvel apenas a pessoal autorizado. Est sala tambm no deve apresentar qualquer interferncia eletrosttica ou magntica e ter controles de temperatura e umidade. Para reduzir a possibilidade de DoS devido a uma falta de energia, instale um UPS e mantenha componentes sobressalentes disposio. Os dispositivos fsicos utilizados na conexo com o roteador devem ser armazenados em uma instalao bloqueada ou devem permanecer em posse de um indivduo confivel para que no sejam comprometidos. Um dispositivo livremente disposio pode ter cavalos-de-Troia ou outro tipo de arquivo executvel armazenados. Provisione o roteador com a quantidade de memria mxima possvel. A disponibilidade de memria pode ajudar na proteo contra alguns ataques DoS, ao mesmo tempo em que d suporte a vrios servios de segurana. Os recursos de segurana em um sistema operacional evoluem com o passar do tempo. No entanto, a verso mais recente de um sistema operacional talvez no seja a mais estvel disponvel. Para obter o melhor desempenho em termos de segurana do seu sistema operacional, utilize o release estvel mais recente que atenda aos requisitos de recursos da sua rede. Sempre tenha uma cpia de backup de uma configurao e do IOS disponvel em caso de falha de um roteador. Mantenha uma cpia segura da imagem do sistema operacional do roteador e do arquivo de configurao do roteador em um servidor TFTP para fins de backup. Proteja o roteador para torn-lo o mais seguro possvel. Um roteador tem muitos servios habilitados por padro. Muitos desses servios so desnecessrios e talvez sejam utilizados por um atacante na coleta de informaes ou na explorao. Voc deve proteger a configurao do seu roteador, desabilitando servios desnecessrios. Exibir meio visual
4.2.2 Aplicando recursos de segurana do IOS Cisco a roteadores Pgina 1: Para configurar recursos de segurana em um roteador, voc precisa de um plano para todas as etapas de configurao da segurana do IOS Cisco. A figura mostra as etapas para proteger um roteador. As cinco primeiras etapas so abordadas neste captulo. Embora sejam discutidas no prximo captulo, as listas de controle de acesso (ACLs) formam uma tecnologia essencial, devendo ser configuradas para controlar e filtrar o trfego da rede. Exibir meio visual
Tema acessvel CISCO
Pgina 27 de 60
4.2.3 Gerenciar a segurana do roteador Pgina 1: A segurana bsica do roteador consiste em configurar senhas. Uma senha forte o elemento mais importante no controle do acesso seguro a um roteador. Por essa razo, senhas fortes devem ser configuradas sempre. Entre as boas prticas de senha esto as seguintes:
z z z z
No anote e deixe as senhas em locais bvios, como sua mesa ou em seu monitor. Evite palavras de dicionrios, nomes, nmeros de telefone e datas. A utilizao de palavras de dicionrios torna as senhas vulnerveis a ataques de dicionrio. Combine letras, nmeros e smbolos. Inclua pelo menos uma letra minscula, uma letra maiscula, um dgito e um caracter especial. Escreva incorretamente uma palavra em uma senha de maneira deliberada. Por exemplo, Smith pode ser escrito Smyth ou tambm incluir nmeros, como 5mYth. Outro exemplo pode ser Security escrito como 5ecur1ty. Crie senhas extensas. A prtica recomendada ter pelo menos oito caracteres. Voc pode aplicar o tamanho mnimo utilizando um recurso disponvel em roteadores Cisco, discutido posteriormente neste tpico. Altere as senhas com a maior frequncia possvel. Voc deve ter uma poltica que defina quando e com que frequncia as senhas devem ser alteradas. A alterao frequente de senhas tem duas vantagens. Essa prtica limita a chance de um hacker conseguir quebrar uma senha e limita a exposio depois que uma senha foi comprometida.
Nota: os espaos esquerda da senha so ignorados, mas todos os espaos aps o primeiro caractere, no. Frases de acesso Um mtodo recomendado para a criao de senhas complexas fortes utilizar frases de acesso. Uma frase de acesso , basicamente, uma orao ou frase que funciona como uma senha mais segura. Tenha certeza de que a frase seja grande o suficiente para dificilmente ser adivinhada, mas fcil o bastante para ser lembrada e digitada com preciso. Utilize uma orao, uma citao de um livro ou uma letra de msica da qual voc consiga se lembrar facilmente como base para a sua senha ou frase de acesso. A figura fornece exemplos de frases de acesso. Exibir meio visual
Pgina 2: Por padro, o software IOS Cisco deixa senhas em texto sem formatao quando elas so digitadas em um roteador. Isso no seguro porque qualquer pessoa que esteja passando atrs de voc enquanto estiver observando a configurao de um roteador pode olhar por cima do seu ombro e ver a senha. A utilizao dos comandos enable password ou username username password password resultaria na exibio dessas palavras-chave durante a observao da configurao em execuo. Por exemplo:
Tema acessvel CISCO
Pgina 28 de 60
R1(config)# username Student password cisco123 R1(config)# do show run | include username username Student password 0 cisco123 R1(config)# O 0 exibido na configurao em execuo indica que a senha no est oculta. Por essa razo, todas as senhas devem ser criptografadas em um arquivo de configurao. O IOS Cisco fornece dois esquemas para proteo de senha:
z z
Criptografia simples chamada esquema tipo 7. Ela utiliza o algoritmo de criptografia definido pela Cisco e ocultar a senha utilizando um algoritmo de criptografia simples. Criptografia complexa chamada esquema tipo 5. Ela utiliza um hash MD5 mais seguro.
A criptografia tipo 7 pode ser utilizada pelos comandos enable password, username e line password que incluem vty, console e porta auxiliar. Ela no oferece muita proteo porque s oculta a senha que utiliza um algoritmo de criptografia simples. Embora no seja to segura quanto a criptografia tipo 5, ela ainda melhor que no ter criptografia. Para criptografar senhas utilizando a criptografia tipo 7, utilize o comando de configurao global service password-encryption conforme exibido na figura. Esse comando impede que senhas exibidas na tela sejam legveis. Por exemplo: R1(config)# service password-encryption R1(config)# do show run | include username username Student password 7 03075218050061 R1(config)# O 7 exibido na configurao em execuo indica que a senha est oculta. Na figura, voc pode ver que a senha da linha console agora est oculta. Clique no boto Configurar senha na figura. A Cisco recomenda que a criptografia Tipo 5 seja utilizada em lugar da Tipo 7 sempre que possvel. A criptografia MD5 um mtodo de criptografia forte. Ela deve ser utilizada sempre que possvel. Ela configurada, substituindo-se a palavra-chave password por secret. Por isso, para proteger o nvel EXEC privilegiado o mximo possvel, sempre configure o comando enable secret conforme mostrado na figura. Tambm tenha certeza de que a enable secret seja exclusiva e de que no corresponda a nenhuma outra senha de usurio. Um roteador sempre utilizar a enable secret sem detrimento da enable password. Por essa razo, o comando enable password jamais deve ser configurado, porque pode fornecer a senha de um sistema. Nota: se voc se esquecer da senha do modo EXEC privilegiado, ser preciso executar o procedimento de recuperao de senha. Esse procedimento ser abordado posteriormente neste captulo. Os nomes de usurio do banco de dados local tambm devem ser configurados utilizando-se o comando de configurao global username username secret password. Por exemplo:
Tema acessvel CISCO
Pgina 29 de 60
R1(config)# username Student secret cisco R1(config)# do show run | include username username Student secret 5 $1$z245$lVSTJzuYgdQDJiacwP2Tv/ R1(config)# Nota: alguns processos talvez no possam utilizar senhas criptografadas tipo 5. Por exemplo, PAP utiliza senhas de texto no criptografado, no podendo utilizar senhas criptografadas MD5. Clique no boto Tamanho da senha na figura. O software IOS Cisco release 12.3(1) e posteriores permitem aos administradores definir o tamanho mnimo em caracteres para todas as senhas do roteador utilizando o comando de configurao global security passwords min-length, conforme mostrado na figura. Esse comando fornece melhor acesso de segurana ao roteador, permitindo especificar um tamanho de senha mnimo, eliminando senhas comuns que prevaleam na maioria das redes, como "laboratrio" e "cisco". Esse comando afeta todas as novas senha de usurio, senhas de habilitar e segredos, alm de senhas da linha criadas depois que o comando foi executado. O comando no afeta senhas de roteador existentes. Exibir meio visual
4.2.4 Protegendo o acesso administrativo remoto a roteadores Pgina 1: Protegendo o acesso administrativo a roteadores Os administradores de rede podem se conectar local ou remotamente a um roteador ou switch. Por ser seguro, o acesso local pela porta console o modo preferencial para um administrador se conectar a um dispositivo. Na medida em que as empresas ficam maiores e o nmero de roteadores e switches na rede cresce, a carga de trabalho do administrador para se conectar localmente a todos os dispositivos pode se tornar excessiva. O acesso administrativo remoto mais prtico do que o acesso local para administradores que tenham muitos dispositivos para gerenciar. No entanto, se ele no for implementado com segurana, um atacante poder coletar informaes confidenciais importantes. Por exemplo, a implementao do acesso administrativo remoto utilizando Telnet pode ser muito insegura porque Telnet encaminha todo o trfego de rede em texto no criptografado. Um atacante poderia capturar o trfego da rede enquanto um administrador tivesse feito login remotamente em um roteador e detectar as senhas ou as informaes de configurao do roteador. Por isso, o acesso administrativo remoto deve ser configurado com precaues de segurana adicionais. Para proteger o acesso administrativo a roteadores e switches, primeiro voc proteger as linhas administrativas (VTY, AUX) e, em seguida, configurar o dispositivo de rede para criptografar o trfego em um tnel SSH. Exibir meio visual
Pgina 2: Acesso administrativo remoto com Telnet e SSH Ter acesso remoto a dispositivos de rede essencial para gerenciar uma rede de maneira efetiva. O acesso remoto normalmente envolve a permisso de Telnet, Shell Seguro (SSH), HTTP, HTTP
Tema acessvel CISCO
Pgina 30 de 60
Seguro (HTTPS) ou conexes SNMP no roteador em um computador nas mesmas redes interconectadas do roteador. Se o acesso remoto for obrigatrio, as suas opes sero as seguintes:
z
Estabelecer uma rede de gerenciamento dedicada. A rede de gerenciamento deve incluir apenas hosts de administrao identificados e conexes com dispositivos de infraestrutura. Isso poderia ser obtido utilizando-se uma VLAN de gerenciamento ou uma rede fsica adicional qual conectar os dispositivos. Criptografar todo o trfego entre o computador do administrador e o roteador. Em qualquer um dos casos, um filtro de pacote pode ser configurado para permitir apenas os hosts de administrao identificados e o protocolo para acessar o roteador. Por exemplo, s permita o endereo IP do host de administrao iniciar uma conexo SSH com os roteadores na rede.
O acesso remoto no se aplica apenas linha VTY do roteador, mas tambm s linhas TTY e porta auxiliar (AUX). As linhas TTY fornecem acesso assncrono a um roteador utilizando um modem. Embora sejam menos comuns do que j foram, elas ainda existem em algumas instalaes. Proteger essas portas at mesmo mais importante do que proteger portas de terminal locais. A melhor forma de proteger um sistema assegurar que sejam aplicados controles apropriados a todas as linhas, inclusive VTY, TTY e AUX. Os administradores devem ter certeza de que os logins em todas as linhas sejam controlados utilizando um mecanismo de autenticao, mesmo em mquinas teoricamente inacessveis em redes no confiveis. Isso especialmente importante para linhas VTY e linhas conectadas a modems ou outros dispositivos de acesso remoto. Os logins podem ser totalmente evitados em qualquer linha, configurando-se o roteador com os comandos login e no password. Essa a configurao padro para VTYs, mas no para TTYs e a porta AUX. Por isso, se essas linhas no forem obrigatrias, assegure-se de que elas sejam configuradas com a combinao de comandos login e no password. Clique no boto Impedir logins para exibir um exemplo. Controlando VTYs Por padro, todas as linhas VTY so configuradas para aceitar qualquer tipo de conexo remota. Por razes de segurana, as linhas VTY devem ser configuradas para aceitar apenas as conexes com os protocolos efetivamente necessrios. Isso feito com o comando transport input. Por exemplo, uma VTY que s deve receber sesses Telnet seria configurada com transport input telnet e uma VTY que permitisse sesses Telnet e SSH teria transport input telnet ssh configurado. Clique no boto Acesso VTY na figura. O primeiro exemplo de configurao exibe como configurar a VTY para aceitar apenas as conexes Telnet e SSH, e o segundo exemplo exibe como configurar a VTY para aceitar apenas conexes SSH. Se a imagem do IOS Cisco em um roteador der suporte a SSH, ser altamente recomendvel habilitar apenas esse protocolo. Um dispositivo Cisco tem um nmero limitado de linhas VTY, normalmente cinco. Quando todas as VTYs estiverem em uso, mais nenhuma conexo remota adicional poder ser estabelecida. Isso cria a oportunidade para um ataque DoS. Se um atacante conseguir abrir sesses remotas em todas as VTYs do sistema, o administrador legtimo talvez no consiga fazer login. O atacante no precisa fazer login para conseguir isso. As sesses podem ser simplesmente abandonadas no prompt de
Tema acessvel CISCO
Pgina 31 de 60
login. Uma forma de reduzir essa exposio configurando a ltima linha VTY para aceitar conexes apenas de uma nica estao de trabalho administrativa especfica, enquanto as demais VTYs podem aceitar conexes de qualquer endereo em uma rede corporativa. Isso assegura que pelo menos uma linha VTY esteja disponvel para o administrador. Para implementar isso, as ACLs, com o comando ip access-class na ltima linha VTY, devem ser configuradas. Essa implementao abordada no Captulo 5. Outra ttica til configurar timeouts VTY utilizando o comando exec-timeout. Isso impede uma sesso ociosa de consumir a VTY indefinidamente. Embora sua efetividade contra ataques deliberados seja relativamente limitada, ela fornece alguma proteo contra sesses abandonadas ociosas acidentalmente. Da mesma forma, habilitar keepalives TCP em conexes de entrada utilizando o comando service tcp-keepalives-in pode ajudar na proteo contra ataques maliciosos e sesses abandonadas causadas por falhas em sistemas remotos. Clique no boto VTY protegido na figura. A configurao exibe como definir o executive timeout como 3 minutos e habilitar keepalives TCP. Exibir meio visual
Pgina 3: Implementando SSH em acesso administrativo remoto seguro Tradicionalmente, o acesso administrativo remoto em roteadores era configurado utilizando-se Telnet na porta TCP 23. No entanto, o Telnet foi desenvolvido quando a segurana no era um problema. Por essa razo, todo o trfego Telnet encaminhado em texto claro. O SSH substituiu o Telnet como a prtica recomendada para fornecer administrao do roteador com conexes que do suporte privacidade forte e integridade da sesso. O SSH utiliza a porta TCP 22. Ele fornece funcionalidade semelhante de uma conexo Telnet de sada, exceto pela conexo ser criptografada. Com autenticao e criptografia, o SSH permite uma comunicao segura em uma rede no segura. Nem todas as imagens do IOS Cisco do suporte ao SSH. Somente imagens criptogrficas podem. Normalmente, essas imagens tm IDs de imagem k8 ou k9 em seus nomes. Os nomes de imagem so abordados na Seo 5. O recurso de acesso linha de terminal SSH permite aos administradores configurar roteadores com acesso seguro e executar as seguintes tarefas:
z z z z
Conecte-se a um roteador que tenha vrias linhas de terminal conectadas a consoles ou portas seriais de outros roteadores, switches e dispositivos. Simplifique a conectividade com um roteador em qualquer lugar, conectando-se com segurana ao servidor de terminal em uma determinada linha. Permita que modems conectados a roteadores sejam utilizados em discagens com segurana. Exija autenticao em todas as linhas por meio de um nome de usurio e senha definidos localmente, ou um servidor de segurana, como um servidor TACACS+ ou RADIUS.
Os roteadores Cisco so capazes de agir como o cliente e o servidor SSH. Por padro, essas duas funes so habilitadas no roteador quando o SSH habilitado. Como cliente, um roteador pode executar SSH em outro roteador. Como servidor, um roteador pode aceitar conexes clientes SSH.
Tema acessvel CISCO
Pgina 32 de 60
Exibir meio visual
Pgina 4: Configurando a segurana SSH Para habilitar o SSH no roteador, os seguintes parmetros devem ser configurados:
z z z z
Hostname Nome de domnio Chaves assimtricas (Asymmetrical keys) Autenticao local (Local authentication)
Entre os parmetros de configurao opcionais esto:

z z
Timeouts Novas tentativas (Retries)
As seguintes etapas configuram o SSH em um roteador. Etapa 1: Definir parmetros do roteador Configure o hostname do roteador com o comando hostname hostname no modo de configurao global. Etapa 2: Definir o nome de domnio Deve haver um nome de domnio para habilitar o SSH. Neste exemplo, digite o comando ip domainname no modo de configurao global. Etapa 3: Gerar chaves assimtricas Voc precisa criar uma chave que o roteador utilize para criptografar o seu trfego de gerenciamento SSH com o comando crypto key generate rsa no modo de configurao global. O roteador responde com uma mensagem que mostra a conveno de nomenclatura para as chaves. Escolha o tamanho do mdulo da chave no intervalo entre 360 e 2.048 para as suas Chaves de finalidade geral. Escolher um mdulo de chave maior que 512 pode demorar alguns minutos. Como prtica recomendada, a Cisco recomenda a utilizao de um tamanho de mdulo mnimo de 1.024. Voc deve saber que um mdulo maior demora mais para ser gerado e utilizado, embora oferea maior segurana. Voc pode obter mais informaes sobre o comando crypto key no curso Segurana de rede. Etapa 4: Configurar autenticao local e vty Voc deve definir um usurio local e atribuir uma comunicao SSH a linhas vty conforme mostrado na figura. Etapa 5: Configurar timeouts SSH (opcional) Os timeouts fornecem segurana adicional conexo, encerrando conexes prolongadas, inativas. Utilize os comandos ip ssh time-out seconds e authentication-retries integer para habilitar timeouts
Tema acessvel CISCO
Pgina 33 de 60
e novas tentativas de autenticao. Defina o timeout SSH como 15 segundos e o nmero de novas tentativas como 2. Para se conectar a um roteador configurado com SSH, voc precisa utilizar um aplicativo cliente SSH, como PuTTY ou TeraTerm. Voc deve ter certeza para escolher a opo SSH e de que ela utiliza a porta TCP 22. Clique no boto Utilizar SSH na figura. Utilizando o TeraTerm para se conectar com segurana ao roteador R2 com SSH, depois que a conexo iniciada, R2 exibe um prompt do nome de usurio, seguido por um prompt de senha. Supondo que as credenciais corretas sejam fornecidas, o TeraTerm exibe o prompt do modo EXEC usurio do roteador R2. Exibir meio visual
4.2.5 Registrando a atividade do roteador em log Pgina 1: Os logs permitem verificar se um roteador est funcionando corretamente ou determinar se ele foi comprometido. Em alguns casos, um log pode mostrar os tipos de testes ou de ataques feitos contra o roteador ou rede protegida. A configurao do registro em log (syslog) no roteador deve ser feita cuidadosamente. Envie os logs do roteador para um host de log designado. O host de log deve ser conectado a uma rede confivel ou protegida ou interface de um roteador isolada e dedicada. Proteja o host de log, removendo todos os servios desnecessrios e contas. Roteadores oferecem suporte a nveis diferentes de registro em log. Os oito nveis vo de 0, emergncias que indicam que o sistema est instvel, a 7 para depurar mensagens que incluam todas as informaes sobre o roteador. Os logs podem ser encaminhados para vrios locais, inclusive a memria do roteador ou um servidor de syslog dedicado. Um servidor de syslog fornece uma soluo melhor, porque todos os dispositivos de rede podem encaminhar seus logs para uma estao central na qual um administrador possa examin-los. Um exemplo de um aplicativo para servidores de syslog o Kiwi Syslog Daemon. Tambm considere o envio dos logs para um segundo dispositivo de armazenamento, por exemplo, uma mdia de gravao nica ou uma impressora dedicada, para lidar com cenrios de pior caso (por exemplo, um comprometimento do host de log). A coisa mais importante a ser lembrada sobre o registro em log que os logs devem ser examinados regularmente. Verificando os logs regularmente, voc pode ter a sensao do comportamento normal da sua rede. Uma slida compreenso da operao normal e de seu reflexo nos logs ajuda a identificar condies de ataque ou anormalias. Registros de data e hora precisos so importantes no registro em log. Registros de data e hora permitem rastrear ataques rede com mais credibilidade. Todos os roteadores so capazes de manter seu prprio horrio, mas isso normalmente no basta. Em vez de fazer isso, direcione o roteador para pelo menos dois servidores de horrio confiveis diferentes para assegurar a disponibilidade das informaes sobre isso. Um servidor Network Time Protocol (NTP) talvez precise
Tema acessvel CISCO
Pgina 34 de 60
ser configurado para fornecer uma origem de horrio sincronizado para todos os dispositivos. A configurao dessa opo est alm do escopo deste curso. Por exemplo: R2(config)#service timestamps ? debug Timestamp debug messages log Timestamp log messages <cr> R2(config)#service timestamps Posteriormente neste captulo voc obter informaes sobre o comando debug. A sada do comando debug tambm pode ser enviada para logs. Exibir meio visual
4.3 Servios de rede do roteador seguros

4.3.1 Servios e interfaces vulnerveis do roteador Pgina 1: Servios e interfaces vulnerveis do roteador Os roteadores Cisco do suporte a vrios servios de rede nas camadas 2, 3, 4 e 7, conforme a descrio na figura. Alguns desses servios so os protocolos da camada de aplicativo que permitem aos usurios e aos processos do host se conectar ao roteador. Outros so configuraes e processos automticos que devem dar suporte a configuraes herdadas ou especializadas que ofeream riscos segurana. Alguns desses servios podem ser restringidos ou desabilitados para aumentar a segurana sem diminuir a utilizao operacional do roteador. A prtica de segurana geral para roteadores deve ser utilizada para dar suporte apenas ao trfego e aos protocolos de que uma rede precisa. A maioria dos servios listados nesta seo no obrigatria normalmente. A tabela na figura descreve os servios gerais vulnerveis de roteador e lista as prticas recomendadas associadas a esses servios. A desativao de um servio de rede no prprio roteador no o impede de dar suporte a uma rede na qual esse protocolo empregado. Por exemplo, uma rede pode exigir servios TFTP para fazer backup dos arquivos de configurao e das imagens do IOS. Esse servio costuma ser fornecido por um servidor TFTP dedicado. Em certas instncias, um roteador tambm poderia ser configurado como um servidor TFTP. No entanto, isso muito incomum. Por isso, na maioria dos casos, o servio TFTP no roteador deve ser desabilitado. Em muitos casos, o software IOS Cisco d suporte desativao completa de um servio ou restrio do acesso a determinados segmentos de rede ou a conjuntos de hosts. Se uma poro especfica de uma rede precisar de um servio, mas o resto no, os recursos de restrio devero ser empregados para limitar o escopo do servio. A desativao de um recurso de rede automtico normalmente impede um determinado tipo de trfego de rede de ser processado pelo roteador, ou o impede de atravessar o roteador. Por exemplo, o roteamento de origem IP um recurso IP pouco utilizado que pode ser utilizado em ataques rede. A menos que seja obrigatrio operao da rede, o roteamento de origem IP deve ser desabilitado. Nota: o CDP aproveitado em algumas implementaes de telefonia IP. Isso precisa ser considerado antes da ampla desabilitao do servio.
Tema acessvel CISCO
Pgina 35 de 60
Exibir meio visual
Pgina 2: H vrios comandos obrigatrios para desabilitar servios. A sada do comando show runningconfig na figura fornece uma configurao de exemplo de vrios servios que foram desabilitados. Os servios que normalmente devem ser desabilitados esto listados abaixo. So alguns deles:
z z z z z
Servios pequenos, como echo, discard e chargen utilize o comando no service tcp-smallservers ou no service udp-small-servers. BOOTP utilize o comando no ip bootp server. Finger utilize o comando no service finger. HTTP utilize o comando no ip http server. SNMP utilize o comando no snmp-server.
Tambm importante desabilitar servios que permitam a determinados pacotes passar pelo roteador, enviar pacotes especiais ou serem utilizados na configurao do roteador remoto. Os comandos correspondentes para desabilitar esses servios so:
z z z z
Protocolo de deteco da Cisco (CDP, Cisco Discovery Protocol) utilize o comando no cdp run. Configurao remota utilize o comando no service config. Roteamento de origem utilize o comando no ip source-route. Roteamento classless utilize o comando no ip classless.
As interfaces no roteador podem ficar mais seguras utilizando-se determinados comandos no modo de configurao de interface:
z z z
Interfaces no utilizadas utilize o comando shutdown. Negar ataques SMURF utilize o comando no ip directed-broadcast. Roteamento ad hoc utilize o comando no ip proxy-arp.
Exibir meio visual
Pgina 3: Vulnerabilidades SNMP, NTP e DNS A figura descreve trs servios de gerenciamento que tambm devem ser protegidos. Os mtodos para desabilitar ou ajustar as configuraes desses servios esto alm do escopo deste curso. Esses servios so abordados no curso CCNP: Implementao de redes remotas convergidas seguras. As descries e as diretrizes para proteger esses servios esto listadas abaixo. SNMP SNMP o protocolo IP para monitorao remota automatizada e administrao. H vrias verses do SNMP com propriedades de segurana diferentes. As verses do SNMP anteriores verso 3 transmitem informaes em texto no criptografado. Normalmente, o SNMP verso 3 deve ser utilizado.
Tema acessvel CISCO
Pgina 36 de 60
NTP Os roteadores Cisco e os demais hosts utilizam o NTP para manter seus horrios e datas precisos. Se possvel, os administradores de rede devem configurar todos os roteadores como parte de uma hierarquia NTP, o que torna um roteador o temporizador mestre e fornece seu horrio para os demais roteadores na rede. Se uma hierarquia NTP no estiver disponvel na rede, voc dever desabilitar o NTP. A desabilitao do NTP em uma interface no impede as mensagens NTP de atravessar o roteador. Para rejeitar todas as mensagens NTP em uma determinada interface, utilize uma lista de acesso. DNS O software IOS Cisco d suporte procura de nomes de host com o Sistema de Nome de Domnio (DNS). O DNS fornece o mapeamento entre nomes, como central.mydomain.com para endereos IP, como 14.2.9.250. Infelizmente, o protocolo DNS bsico no oferece nenhuma autenticao ou garantia de integridade. Por padro, as consultas de nome so enviadas para o endereo de broadcast 255.255.255.255. Se um ou mais servidores de nomes estiverem disponveis na rede e for desejvel utilizar nomes em comandos do IOS Cisco, defina explicitamente os endereos do servidor de nome utilizando o comando de configurao global ip name-server addresses. Do contrrio, desative a resoluo de nome DNS com o comando no ip domain-lookup. Tambm uma ideia boa dar um nome ao roteador, utilizando o comando hostname. O nome dado ao roteador exibido no prompt. Exibir meio visual
4.3.2 Protegendo os protocolos de roteamento Pgina 1: Viso geral da autenticao do protocolo de roteamento Como administrador de rede, voc precisa saber que os seus roteadores correm o risco de serem atacados tanto quanto os seus sistemas de usurio final. Qualquer pessoa com um sniffer de pacotes, como o Wireshark, pode ler as informaes que se propagam entre os roteadores. Em geral, os sistemas de roteamento podem ser atacados de duas formas:
z z
Situao de interrupo de mesmo nvel Falsificao das informaes de roteamento
A situao de interrupo de mesmo nvel a menos crtica dos dois ataques porque os protocolos de roteamento se corrigem, o que faz a interrupo durar um pouco menos do que o prprio ataque. Uma classe mais sutil de ataque tem como alvo as informaes transportadas dentro do protocolo de roteamento. As informaes de roteamento falsificadas normalmente podem ser utilizadas para fazer os sistemas enganar (mentir) uns aos outros, causar um DoS ou fazer o trfego seguir um caminho que normalmente no seguiria. As consequncias da falsificao das informaes de roteamento so as seguintes: 1. Redirecionar o trfego para criar loops de roteamento, conforme o mostrado na figura
Tema acessvel CISCO
Pgina 37 de 60
2. Redirecionar o trfego para que ele possa ser monitorado em um link inseguro 3. Redirecionar o trfego para descart-lo Uma maneira direta de atacar o sistema de roteamento atacar os roteadores que executem os protocolos de roteamento, obter acesso aos roteadores e inserir informaes falsas. Saiba que qualquer pessoa que esteja "escutando" pode capturar atualizaes de roteamento. Clique no boto Reproduzir na figura para exibir uma animao de um ataque de loop de roteamento. A animao mostra um exemplo de um ataque que cria um loop de roteamento. Um atacante conseguiu se conectar diretamente ao link entre os roteadores R2 e R3. O atacante injeta informaes de roteamento falsas destinadas exclusivamente ao roteador R1, o que indica que o R3 o destino preferido para a rota do host 192.168.10.10/32. Embora tenha uma entrada na tabela de roteamento para a rede 192.168.10.0/24 diretamente conectada, R1 adicionar a rota injetada sua tabela de roteamento por conta da mscara de sub-rede maior. Uma rota com uma mscara de subrede compatvel maior considerada superior a uma rota com uma mscara de sub-rede menor. Consequentemente, quando receber um pacote, um roteador escolher a mscara de sub-rede maior por ser uma rota mais precisa at o destino. Quando o PC3 enviar um pacote para o PC1 (192.168.10.10/24), R1 no encaminhar o pacote para o PC1. Em vez disso, ele rotear o pacote para o roteador R3, porque, at onde se sabe, o melhor caminho para 192.168.10.10/32 pelo R3. Quando obtiver o pacote, R3 ir olhar sua tabela de roteamento e encaminhar o pacote novamente para R1, o que cria o loop. A melhor maneira de proteger informaes de roteamento na rede autenticar pacotes de protocolo de roteamento utilizando o algoritmo MD5 (message digest 5). Um algoritmo como MD5 permite aos roteadores comparar assinaturas que devem ser todas iguais. Clique no boto Proteger atualizao na figura. A figura mostra como cada roteador na cadeia de atualizao cria uma assinatura. Entre os trs componentes desse sistema esto: 1. Algoritmo de criptografia, que normalmente de conhecimento pblico 2. Chave utilizada no algoritmo de criptografia, que um segredo compartilhado pelos roteadores que autenticam seus pacotes 3. Contedo do prprio pacote Clique no boto Operao na figura. Clique em Reproduzir para exibir uma animao. Na animao, vemos como cada roteador autentica as informaes de roteamento. Geralmente, o originador das informaes de roteamento produz uma assinatura utilizando a chave e roteando dados a serem enviados como entradas para o algoritmo de criptografia. Em seguida, os roteadores que recebem esses dados de roteamento podem repetir o processo utilizando a mesma chave, os dados recebidos e os mesmos dados de roteamento. Se a assinatura que o receptor computa for igual assinatura do remetente, os dados e a chave devero ser iguais aos transmitidos pelo remetente, e a atualizao ser autenticada. RIPv2, EIGRP, OSPF, IS-IS e BGP, todos, do suporte a vrias formas de autenticao MD5.
Tema acessvel CISCO
Pgina 38 de 60
Exibir meio visual
Pgina 2: Configurando o RIPv2 com autenticao do protocolo de roteamento A topologia na figura est exibindo uma rede configurada com o protocolo de roteamento RIPv2. O RIPv2 d suporte autenticao do protocolo de roteamento. Para proteger atualizaes de roteamento, cada roteador deve ser configurado para dar suporte autenticao. As etapas para proteger atualizaes RIPv2 so as seguintes: Etapa 1. Impedir a propagao da atualizao de roteamento RIP Etapa 2. Impedir a recepo no autorizada de atualizaes RIP Etapa 3. Verificar a operao do roteamento RIP Impedir a propagao da atualizao de roteamento RIP Voc precisa impedir um intruso com escuta na rede de receber atualizaes s quais no tem direito. Voc faz isso, forando todas as interfaces no roteador no modo passivo e carregando apenas as interfaces obrigatrias para o envio e o recebimento de atualizaes RIP. Uma interface no modo passivo recebe mas no envia atualizaes. Voc deve configurar interfaces no modo passivo em todos os roteadores na rede. Clique no boto Config e em Etapa 1. A figura mostra os comandos de configurao para controlar as interfaces que participaro das atualizaes de roteamento. As atualizaes de roteamento jamais devem ser anunciadas em interfaces que no estejam conectadas a outros roteadores. Por exemplo, as interfaces de rede local no roteador R1 no se conectam a outros roteadores e, por isso, no devem anunciar atualizaes de roteamento. Apenas a interface S0/0/0 no roteador R1 deve anunciar atualizaes de roteamento. Na sada do comando na tela, o comando passive-interface default desabilita anncios de roteamento em todas as interfaces. Isso tambm inclui a interface S0/0/0. O comando no passiveinterface s0/0/0 permite interface S0/0/0 enviar e receber atualizaes RIP. Clique no boto Topologia e em Etapa 2. Impedir a recepo no autorizada de atualizaes RIP Na figura, o intruso impedido de interceptar atualizaes RIP porque a autenticao MD5 foi habilitada nos roteadores, R1, R2 e R3; os roteadores que esto participando das atualizaes RIP. Clique no boto Config e em Etapa 2. A sada do comando mostra os comandos para configurar a autenticao do protocolo de roteamento no roteador R1. Os roteadores R2 e R3 tambm precisam ser configurados com esses comandos nas interfaces apropriadas. O exemplo mostra comandos para criar uma cadeia de chaves chamada RIP_KEY. Embora vrias chaves possam ser consideradas, nosso exemplo mostra apenas uma. A Chave 1 configurada para conter uma string de chave chamada cisco. A string da chave semelhante a uma senha, e os roteadores que trocam chaves de autenticao devem ser configurados com a mesma string. A
Tema acessvel CISCO
Pgina 39 de 60
interface S0/0/0 configurada para dar suporte autenticao MD5. A cadeia RIP_KEY e a atualizao de roteamento so processadas utilizando-se o algoritmo MD5 para produzir uma assinatura exclusiva. Quando R1 configurado, os demais roteadores recebero as atualizaes de roteamento com uma assinatura exclusiva e, consequentemente, no podero mais decifrar as atualizaes de R1. Essa condio permanecer at cada roteador na rede ser configurado com a autenticao do protocolo de roteamento. Clique no boto Topologia e em Etapa 3. Verificar a operao do roteamento RIP Depois de configurar todos os roteadores na rede, voc precisar verificar a operao do roteamento RIP. Clique no boto Config e em Etapa 3. Utilizando o comando show ip route, a sada do comando confirma se o roteador R1 se autenticou com os outros roteadores e conseguiu adquirir as rotas dos roteadores R2 e R3. Exibir meio visual
Pgina 3: Viso geral da autenticao do protocolo de roteamento para EIGRP e OSPF A autenticao do protocolo de roteamento tambm deve ser configurada para outros protocolos de roteamento como EIGRP e OSPF. Para obter detalhes sobre a autenticao do protocolo de roteamento para EIGRP e OSPF, consulte CCNP2: Implementao de redes remotas convergidas seguras. Clique no boto EIGRP na figura. EIGRP A figura mostra os comandos utilizados para configurar a autenticao do protocolo de roteamento no EIGRP no roteador R1. Esses comandos so bem parecidos com os que voc utilizou na autenticao RIPv2 MD5. As etapas para configurar a autenticao do protocolo de roteamento EIGRP no roteador R1 so as seguintes: Etapa 1. A rea realada superior mostra como criar uma cadeia de chaves a ser utilizada por todos os roteadores em sua rede. Esses comandos criam uma cadeia de chaves chamada EIGRP_KEY e colocam seu terminal no modo de configurao da cadeia de chaves, um nmero de chave 1 e valor da string de chave cisco. Etapa 2. A rea realada inferior mostra como habilitar a autenticao MD5 em pacotes EIGRP que atravessam uma interface. Clique no boto OSPF na figura. OSPF A figura mostra os comandos utilizados para configurar a autenticao do protocolo de roteamento para o OSPF na interface S0/0/0 do roteador R1. O primeiro comando especifica a chave a ser
Tema acessvel CISCO
Pgina 40 de 60
utilizada na autenticao MD5. O prximo comando habilita a autenticao MD5. Exibir meio visual
Pgina 4: Esta atividade abrange a autenticao simples e a autenticao MD5 do OSPF (message digest 5). Voc pode habilitar a autenticao no OSPF para trocar as informaes sobre atualizao de roteamento de uma maneira segura. Com a autenticao simples, a senha enviada em texto no criptografado pela rede. A autenticao simples utilizada quando os dispositivos dentro de uma rea no conseguem dar suporte autenticao MD5, a mais segura. Com a autenticao usando MD5, a senha no enviada pela rede. MD5 considerado o modo de autenticao OSPF mais seguro. Quando configurar a autenticao, voc deve configurar uma rea inteira com o mesmo tipo de autenticao. Nesta atividade, voc ir configurar a autenticao simples entre R1 e R2 e a autenticao MD5 entre R2 e R3. So fornecidas instrues detalhadas na atividade, bem como no link do PDF abaixo. Instrues da atividade (PDF) Clique no cone do Packet Tracer para obter mais detalhes. Exibir meio visual
4.3.3 Bloqueando seu roteador com Cisco Auto Secure Pgina 1: O Cisco AutoSecure utiliza um nico comando para desabilitar processos e servios no essenciais, o que elimina potenciais ameaas segurana. Voc pode configurar o AutoSecure no modo EXEC privilegiado utilizando o comando auto secure em um destes dois modos:
z z
Modo interativo este modo solicita a voc opes para habilitar e desabilitar servios e outros recursos de segurana. Este o modo padro. Modo no interativo este modo executa o comando auto secure automaticamente com as configuraes padro recomendadas pela Cisco. Esse modo habilitado com a opo de comando no-interact.
Clique no boto Sada do roteador na figura. Executar o AutoSecure em um roteador Cisco A sada do comando na tela mostra uma sada parcial de uma configurao do Cisco AutoSecure. Para iniciar o processo de proteo de um roteador, emita o comando auto secure. O Cisco AutoSecure solicitar vrios itens, incluindo:
z z z z z
Especificidades de interface Banners Senhas SSH Recursos de firewall do IOS
Tema acessvel CISCO
Pgina 41 de 60
Nota: O Cisco Router and Security Device Manager (SDM) fornece um recurso semelhante ao do comando Cisco AutoSecure. Esse recurso descrito na seo "Utilizando o Cisco SDM". Exibir meio visual
4.4 Utilizando o Cisco SDM

4.4.1 Viso geral do Cisco SDM Pgina 1: O que o Cisco SDM? O Cisco Router e Security Device Manager (SDM) uma ferramenta de gerenciamento de dispositivos baseada na Web, fcil de utilizar, projetada para configurar recursos de segurana, de rede local e WAN em roteadores, baseados no software IOS Cisco. A figura mostra a tela principal do SDM. A interface ajuda os administradores de rede de pequenas a mdias empresas a executar operaes do dia-a-dia. Ela fornece assistentes inteligentes fceis de utilizar, automatiza o gerenciamento de segurana do roteador e ajuda por meio de ajuda e tutoriais online abrangentes. O Cisco SDM d suporte a um amplo conjunto de releases do software IOS Cisco. Ele j vem prinstalado por padro em todos os novos roteadores de servios integrados da Cisco. Se no estiver pr-instalado, voc ter que instal-lo. Os arquivos do SDM podem ser instalados no roteador, em um PC ou em ambos. Uma vantagem de instalar o SDM no PC que isso economiza memria do roteador, alm de permitir utilizar o SDM para gerenciar outros roteadores na rede. Se o Cisco SDM estiver pr-instalado no roteador, a Cisco recomendar utilizar o Cisco SDM para executar a configurao inicial. Exibir meio visual
Pgina 2: Recursos do Cisco SDM O Cisco SDM simplifica a configurao do roteador e da segurana por meio da utilizao de vrios assistentes inteligentes para habilitar a configurao eficiente dos parmetros da rede virtual privada (VPN) e do firewall do IOS Cisco. Esse recurso permite aos administradores implantar rpida e facilmente, alm de configurar e monitorar, roteadores de acesso Cisco. Os assistentes inteligentes do Cisco SDM orientam os usurios etapa a etapa pelo fluxo de trabalho da configurao de segurana, configurando sistematicamente as interfaces de rede local e WAN, firewall, IPS e VPNs. Os assistentes inteligentes do Cisco SDM podem detectar configuraes incorretas de maneira inteligente e propor correes, como permitir o trfego DHCP por um firewall caso a interface WAN seja endereada por DHCP. A ajuda online interna do Cisco SDM contm informaes em segundo plano apropriadas, alm de procedimentos etapa a etapa para ajudar os usurios a inserir os dados corretos no Cisco SDM. Exibir meio visual
4.4.2 Configurando o seu roteador para dar suporte ao Cisco SDM
Tema acessvel CISCO
Pgina 42 de 60
Pgina 1: O Cisco SDM deve ser instalado em todos os novos roteadores Cisco. Se voc tiver um roteador que j esteja sendo utilizado mas sem o Cisco SDM, voc poder instalar e execut-lo sem interromper o trfego da rede. Para instal-lo em um roteador operacional, voc deve verificar se algumas definies de configurao esto presentes no arquivo de configurao do roteador. A figura mostra uma topologia na qual o administrador do sistema instalar o Cisco SDM no roteador R1. Para configurar o Cisco SDM em um roteador que j esteja em utilizao, sem interromper o trfego da rede, siga estas etapas: Etapa 1. Acessar a interface CLI do roteador utilizando Telnet ou a conexo de console Etapa 2: Habilitar os servidores HTTP e HTTPS no roteador Etapa 3. Criar uma conta de usurio definida com um nvel de privilgio 15 (habilitar privilgios). Etapa 4. Configurar SSH e Telnet para login local e nvel de privilgio15. Clique no boto Sada do roteador na figura. A sada do comando na tela mostra um exemplo da configurao necessria para assegurar que voc possa instalar e executar o Cisco SDM em um roteador de produo sem interromper o trfego da rede. Exibir meio visual
4.4.3 Iniciando o Cisco SDM Pgina 1: O Cisco SDM fica armazenado na memria flash do roteador. Ele tambm pode ser armazenado em um PC local. Para iniciar o Cisco SDM, utilize o protocolo HTTPS e coloque o endereo IP do roteador no navegador. A figura mostra o navegador com um endereo https://198.162.20.1 e a pgina iniciar do Cisco SDM. O prefixo http:// poder ser utilizado se o SSL no estiver disponvel. Quando a caixa de dilogo de nome de usurio e senha for exibida (no mostrada), digite um nome de usurio e uma senha para a conta privilegiada (nvel de privilgio 15) no roteador. Depois que a pgina inicial for exibida, um applet Java do Cisco SDM assinado ser exibido, devendo permanecer aberto enquanto o Cisco SDM estiver em execuo. Por ser um applet Java do Cisco SDM assinado, talvez voc seja solicitado a aceitar um certificado. O alerta de segurana do certificado exibido no canto direito inferior da figura. Nota: a sequncia de etapas do login pode variar, dependendo da execuo do Cisco SDM em um computador pessoal ou diretamente em um roteador Cisco ISR. Exibir meio visual
4.4.4 A interface do Cisco SDM Pgina 1: Viso geral da pgina inicial do Cisco SDM Depois que o Cisco SDM for iniciado e voc fizer login, a primeira pgina exibida ser a pgina de viso geral.
Tema acessvel CISCO
Pgina 43 de 60
Essa pgina exibe o modelo do roteador, a memria total, as verses da memria flash, do IOS e do SDM, alm do hardware instalado e um resumo de alguns recursos de segurana, como o status do firewall e o nmero de conexes VPN ativas. Mais especificamente, ele fornece informaes bsicas sobre o hardware do roteador, o software e a configurao:
z z z
Barra de menus a parte superior da tela tem uma barra de menus tpica com File, Edit, View, Tools e itens do menu Help. Tool abaixo da barra de menus, esto os assistentes SDM e os modos que voc pode escolher. Informaes do roteador o modo atual exibido no lado esquerdo sob a barra de ferramentas.
Nota: a barra de menus, a barra de ferramenta e o modo atual so sempre exibidos na parte superior de cada tela. As outras reas da tela so alteradas de acordo com o modo e a funo que voc est executando.
z
Viso geral da configurao resume os parmetros da configurao. Para exibir a configurao em execuo, clique no boto View Running-Config.
Exibir meio visual
Pgina 2: Sobre a rea do roteador Quando clicar nos botes na figura, voc poder ver os detalhes associados a cada um dos seguintes elementos da GUI (interface grfica do usurio): About Your Router (Sobre o seu roteador) a rea da homepage do Cisco SDM que mostra informaes bsicas sobre o hardware e o software do roteador e inclui os seguintes elementos:
z z z z
Host Name (Nome do host) esta rea mostra o nome de host configurado para o roteador, que RouterX Hardware esta rea mostra o nmero do modelo do roteador, a quantidade disponvel e o total de RAM e a quantidade da memria flash disponvel. Software esta rea descreve as verses do software IOS Cisco e do Cisco SDM em execuo no roteador. A barra Feature Availability, localizada na parte inferior da guia About Your Router, mostra os recursos disponveis na imagem do IOS Cisco que o roteador est utilizando. Se o indicador ao lado de cada recurso estiver verde, ele estar disponvel. Se estiver vermelho, ele no estar disponvel. As marca de seleo mostram que o recurso est configurado no roteador. Na figura, o Cisco SDM mostra que IP, firewall, VPN, IP e NAC esto disponveis, mas apenas o IP est configurado.
Exibir meio visual
Pgina 3: rea de viso geral da configurao
Tema acessvel CISCO
Pgina 44 de 60
A figura mostra a rea de viso geral da configurao da homepage do Cisco SDM. Quando clicar nos botes na figura, voc poder ver os detalhes associados a cada um dos seguintes elementos da interface grfica do usurio:
z
Interfaces and Connections (Interfaces e conexes) esta rea exibe informaes relacionadas interface e conexo, inclusive o nmero de conexes ativadas e desativadas, o nmero total de interfaces de rede local e WAN presentes no roteador, e o nmero de interfaces de rede local e WAN configuradas atualmente no roteador. Ela tambm exibe informaes de DHCP. Firewall Policies (Polticas de firewall) esta rea exibe informaes relacionadas a firewall, inclusive se um firewall estiver ativado, o nmero de interfaces confiveis (dentro), no confiveis (fora) e DMZ. Ela tambm exibe o nome da interface qual um firewall foi aplicado, se a interface foi projetada como uma interface interna ou externa, e se a regra NAT foi aplicada a essa interface. VPN esta rea exibe informaes relacionadas VPN, inclusive o nmero de conexes VPN ativas, o nmero de conexes VPN ponto a ponto configuradas e o nmero de clientes VPN ativos. Routing (Roteamento) esta rea exibe o nmero de rotas estticas e quais protocolos de roteamento esto configurados.
Exibir meio visual
4.4.5 Assistentes do Cisco SDM Pgina 1: O Cisco SDM fornece vrios assistentes para ajudar a configurar um roteador Cisco ISR. Quando uma tarefa escolhida na rea de tarefas na interface grfica do usurio do Cisco SDM, o painel de tarefas permite escolher um assistente. A figura mostra vrias telas da interface grfica do usurio do Cisco SDM para o assistente NAT bsico. O NAT ser discutido posteriormente no curso Servios de endereamento IP. Consulte http://www.cisco.com/go/sdm para obter as informaes mais recentes sobre os assistentes do Cisco SDM e as interfaces de suporte. Exibir meio visual
4.4.6 Bloqueando um roteador com o Cisco SDM Pgina 1: O assistente de bloqueio em uma etapa do Cisco SDM implementa praticamente todas as configuraes de segurana oferecidas pelo Cisco AutoSecure. O assistente de bloqueio em uma etapa acessado pela interface grfica do usurio Configure, clicando-se na tarefa Security Audit. O assistente de bloqueio em uma etapa testa a configurao do seu roteador para problemas de segurana potenciais e faz automaticamente todas as alteraes na configurao necessrias para corrigir todos os problemas encontrados. No considere que a rede esteja segura s porque voc executou um bloqueio em uma etapa. Alm disso, nem todos os recursos do Cisco AutoSecure so implementados no Cisco SDM. Entre os recursos do AutoSecure so implementados de maneira diferente no Cisco SDM esto os seguintes:
z
Desabilita o SNMP e no configura o SNMP verso 3.
Tema acessvel CISCO
Pgina 45 de 60
z z
Habilita e configura SSH em imagens do IOS Cisco criptografadas No habilite o Service Control Point ou desabilite outro acesso e servios de transferncia de arquivos como FTP.
Clique nos botes na figura para explorar as etapas do assistente de bloqueio em uma etapa Cisco. Exibir meio visual
4.5 Gerenciamento seguro do roteador

4.5.1 Mantendo imagens do software IOS Cisco Pgina 1: Periodicamente, o roteador exige que as atualizaes sejam carregadas no sistema operacional ou no arquivo de configurao. Essas atualizaes so necessrias para corrigir vulnerabilidades de segurana conhecidas, dar suporte a novos recursos que permitem polticas de segurana mais avanadas ou melhorar o desempenho. Nota: Nem sempre uma ideia boa atualizar para a verso mais recente do software IOS Cisco. Muitas vezes esse release no estvel. H determinadas diretrizes que voc deve seguir ao alterar o software IOS Cisco em um roteador. As alteraes so classificadas como atualizaes. Uma atualizao substitui um release por outro sem atualizar o conjunto de recursos. O software pode ser atualizado para corrigir um bug ou substituir um release para o qual no haja mais suporte. As atualizaes so gratuitas. Uma atualizao substitui um release por outro que tenha um conjunto de recursos melhorado. O software pode ser melhorado para adicionar novos recursos ou tecnologias, ou substituir um release para o qual no haja mais suporte. As atualizaes no so gratuitas. Cisco.com oferece diretrizes para ajudar a determinar que mtodo se aplica. A Cisco recomenda seguir um processo de migrao de quatro fases para simplificar as operaes e o gerenciamento da rede. Ao seguir um processo que pode ser repetido, voc tambm pode aproveitar os custos reduzidos em operaes, gerenciamento e treinamento. As quatro fases so:
z z z z
Planejar definir metas, identificar recursos, hardware e software da rede de perfil e criar uma programao preliminar a fim de migrar para novos releases. Projetar escolha novos releases do IOS Cisco e criar uma estratgia a fim de migrar para eles. Implementar programe e execute a migrao. Operar monitore o progresso da migrao e faa cpias de backup das imagens em execuo na sua rede.
H vrias ferramentas disponveis em Cisco.com para ajudar na migrao do software IOS Cisco. Voc pode utilizar as ferramentas para obter informaes sobre releases, conjuntos de recursos, plataformas e imagens. As seguintes ferramentas no exigem um login em Cisco.com:
z z z
Cisco IOS Reference Guide abrange os fundamentos da famlia de software IOS Cisco Documentos tcnicos do software IOS Cisco documentao de cada release do software IOS Cisco Cisco Feature Navigator localiza verses que do suporte a um conjunto de recursos de
Tema acessvel CISCO
Pgina 46 de 60
software e hardware e compara releases
As seguintes ferramentas exigem contas de login vlidas no Cisco.com:

z z z
Download do software downloads do software IOS Cisco Conjunto de ferramentas para bug procura correes de software conhecidas com base na verso do software, no conjunto de recursos e palavras-chave Software Advisor compara releases, os recursos do software IOS Cisco e do OS Cisco Catalyst em busca de releases, alm de descobrir qual release do software d suporte a um determinado dispositivo de hardware IOS Cisco Upgrade Planner localiza releases por hardware, release e conjunto de recursos, alm de fazer o download de imagens do software IOS Cisco
Para obter uma listagem completa das ferramentas disponveis em Cisco.com, v para http://www.cisco.com/en/US/support/tsd_most_requested_tools.html. Exibir meio visual
4.5.2 Gerenciando imagens do IOS Cisco Pgina 1: Sistemas de arquivos e dispositivos IOS Cisco A disponibilidade da rede talvez esteja em risco caso uma configurao do roteador ou do sistema operacional esteja comprometida. Os atacantes que obtm acesso a dispositivos de infraestrutura podem alterar ou excluir arquivos de configurao. Eles tambm podem carregar imagens do IOS incompatveis ou excluir a imagem atual. As alteraes so solicitadas automaticamente ou sempre que o dispositivo for reinicializado. Para atenuar esses problemas, voc precisa ser capaz de salvar, fazer backup e restaurar a configurao e as imagens do IOS. Para isso, voc aprende a realizar algumas operaes de gerenciamento de arquivo no software IOS Cisco. Os dispositivos do IOS Cisco fornecem um recurso chamado IOS Cisco Integrated File System (IFS). Esse sistema permite criar, navegar e manipular diretrios em um dispositivo Cisco. Os diretrios disponveis dependem da plataforma. Por exemplo, a figura exibe a sada do comando show file systems que lista todos os sistemas de arquivos disponveis em um roteador Cisco 1841. Esse comando fornece informaes detalhadas, como a memria disponvel e livre, o tipo do sistema de arquivos e suas permisses. Entre as permisses esto somente leitura (ro), somente gravao (wo) e leitura e gravao (rw). Embora haja vrios sistemas de arquivos listados, os que nos interessam sero os sistemas de arquivos tftp, memria flash e nvram. O restante dos sistemas de arquivos listados est alm do escopo deste curso. Entre os sistemas de arquivos de rede esto FTP, trivial FTP (TFTP) ou Protocolo de cpia remota (RCP, Remote Copy Protocol). Este curso aborda o TFTP. Observe que o sistema de arquivos da memria flash tambm tem uns asteriscos que o precedem, o que indica que se trata do sistema de arquivos padro atual. Lembre-se de que, como o IOS inicializvel est localizado na memria flash, o smbolo de sustenido (#) adicionado listagem da
Tema acessvel CISCO
Pgina 47 de 60
memria flash indica se tratar de um disco inicializvel. Clique no boto Memria flash na figura. Esta figura lista o contedo do sistema de arquivos padro atual, que, neste caso, a memria flash, conforme indicao pelos asteriscos que precedem a listagem na figura anterior. H vrios arquivos localizados na memria flash, mas a ltima listagem que interessa especificamente. Trata-se do nome da imagem do arquivo do IOS atual em execuo na memria RAM. Clique no boto NVRAM na figura. Para exibir o contedo da NVRAM, voc deve alterar o sistema de arquivos padro atual utilizando o comando de alterao de diretrio cd. O comando do diretrio de trabalho atual pwd verifica se estamos no diretrio da NVRAM. Por fim, o comando dir lista o contedo da NVRAM. Embora haja vrios arquivos de configurao listados, o que nos interessa especificamente o arquivo de configurao de inicializao. Exibir meio visual
Pgina 2: Prefixos de URL para dispositivos Cisco Quando um administrador de rede quiser transferir arquivos em um computador, o sistema operacional oferecer uma estrutura de arquivos visvel para especificar origens e destinos. Os administradores no tm sugestes visuais ao trabalhar na CLI de um roteador. O comando show file systems no tpico anterior exibiu os vrios sistemas de arquivos disponveis na plataforma Cisco 1841. Os locais dos arquivos so especificados no Cisco IFS utilizando a conveno de URL. As URLs utilizadas pelas plataformas IOS Cisco so semelhantes ao formato que voc conhece da Web. Por exemplo, TFTP na figura : tftp://192.168.20.254/configs/backup-config.
z z z z z
A expresso "tftp:" chamada de prefixo. Tudo o que estiver depois das duas barras (//) define o local. 192.168.20.254 o local do servidor TFTP. "configs" o diretrio mestre. "backup-config" o nome de um arquivo.
O prefixo da URL especifica o sistema de arquivos. Passe o mouse sobre os vrios botes na figura para exibir os prefixos mais comuns e a sintaxe associada a cada um deles. Exibir meio visual
Pgina 3: Comandos para gerenciar arquivos de configurao A boa prtica para manter a disponibilidade do sistema assegurar que voc sempre tenha cpias de backup dos arquivos de configurao de inicializao e dos arquivos de imagem do IOS. O comando copy do IOS Cisco utilizado para mover arquivos de configurao de um componente ou dispositivo para outro, como RAM, NVRAM ou um servidor TFTP. A figura reala a sintaxe do comando.
Tema acessvel CISCO
Pgina 48 de 60
A seguir, exemplos da utilizao comum do comando copy. Os exemplos listam dois mtodos para realizar as mesmas tarefas. O primeiro exemplo uma sintaxe simples e o segundo exemplo fornece um exemplo mais explcito. Copie a configurao em execuo da RAM para a configurao de inicializao na NVRAM: R2# copy running-config startup-config R2# copy system:running-config nvram:startup-config Copie a configurao em execuo da RAM para um local remoto: R2# copy running-config tftp: R2# copy system:running-config tftp: Copie uma configurao de uma origem remota para a configurao em execuo: R2# copy tftp: running-config R2# copy tftp: system:running-config Copie uma configurao de uma origem remota para a configurao de inicializao: R2# copy tftp: startup-config R2# copy tftp: nvram:startup-config Exibir meio visual
Pgina 4: Convenes de nomenclatura do arquivo do IOS Cisco O arquivo de imagem do IOS Cisco se baseia em uma conveno de nomenclatura especial. O nome do arquivo de imagem do IOS Cisco contm vrias partes, cada uma com um significado especfico. importante que voc compreenda essa conveno de nomenclatura ao atualizar e escolher um IOS. Por exemplo, o nome de arquivo na figura explicado da seguinte forma: A primeira parte, c1841, identifica a plataforma na qual a imagem executada. Nesse exemplo, a plataforma Cisco 1841. A segunda parte, ipbase, especifica o conjunto de recursos. Nesse caso, "ipbase" se refere imagem de rede IP bsica. Entre outras possibilidades do conjunto de recursos esto: i designa o conjunto de recursos IP j designa o conjunto de recursos enterprise (todos os protocolos) s designa um conjunto de recursos PLUS (enfileiramento extra, manipulao ou tradues) 56i designa a criptografia DES IPsec de 56 bits
Tema acessvel CISCO
Pgina 49 de 60
3 designa o firewall/IDS k2 designa a criptografia IPsec 3DES (168 bits) A terceira parte, mz, indica onde a imagem executada e se o arquivo est compactado. Nesse exemplo, "mz" indica que o arquivo executado na RAM e est compactado. A quarta parte, 12.3-14.T7, o nmero de verso. A parte final, bin, a extenso do arquivo. A extenso .bin indica que esse um arquivo executvel binrio. Exibir meio visual
4.5.3 Imagens do IOS Cisco gerenciadas pelo TFTP Pgina 1: Utilizando servidores TFTP para gerenciar imagens do IOS Cisco As redes interconectadas de produo normalmente abrangem grandes reas e contm vrios roteadores. uma tarefa importante de um administrador sempre atualizar as imagens do IOS Cisco sempre que exploraes e vulnerabilidades forem detectadas. Tambm uma boa prtica assegurar que todas as suas plataformas estejam executando a mesma verso de software IOS Cisco sempre que possvel. Por fim, para qualquer rede, sempre prudente reter uma cpia de backup da imagem do software IOS Cisco caso a imagem do sistema no roteador seja corrompida ou apagada acidentalmente. Roteadores muito espalhados precisam de uma origem ou local de backup para imagens do software IOS Cisco. A utilizao de um servidor TFTP de rede permite uploads e downloads de imagem e configurao pela rede. O servidor TFTP de rede pode ser outro roteador, uma estao de trabalho ou um sistema de host. Na medida em que uma rede cresce, o armazenamento das imagens do software IOS Cisco e dos arquivos de configurao no servidor TFTP central permite controlar o nmero e o nvel de reviso das imagens do IOS Cisco, alm dos arquivos de configurao que devem ser mantidos. Antes de alterar uma imagem do IOS Cisco no roteador, voc precisa concluir estas tarefas:
z z z
Determinar a memria obrigatria para a atualizao e, se necessrio, instalar a memria adicional. Configurar e testar o recurso de transferncia de arquivos entre o host do administrador e o roteador. Programar a indisponibilidade obrigatria, normalmente fora do horrio comercial, para o roteador executar a atualizao.
Quando voc estiver pronto para fazer a atualizao, execute estas etapas:
z z z z
Desativar todas as interfaces no roteador em que no precisa haver a atualizao. Fazer backup do sistema operacional atual e do arquivo de configurao atual para um servidor TFTP. Carregar a atualizao no sistema operacional ou no arquivo de configurao. Testar para confirmar se a atualizao funciona corretamente. Se os testes tiverem xito, voc poder reabilitar as interfaces que desabilitou. Se os testes no tiverem xito, faa o backup
Tema acessvel CISCO
Pgina 50 de 60
da atualizao, determine o que saiu errado e recomece.
Um grande desafio para operadores de rede de rede ser minimizar a indisponibilidade depois que um roteador for comprometido e o sistema operacional e os dados de configurao tiverem sido apagados do backup. O operador deve recuperar uma cpia arquivada (se houver) da configurao e deve restaurar uma imagem funcional no roteador. A recuperao deve ser executada para todos os roteadores afetados, que adiciona indisponibilidade total rede. Lembre-se de que o recurso de configurao flexvel do software IOS Cisco permite um roteador proteger e manter uma cpia funcional da imagem do sistema operacional em execuo e a configurao para que esses arquivos consigam suportar tentativas maliciosas de apagar o contedo do backup (NVRAM e memria flash). Exibir meio visual
4.5.4 Fazendo backup e atualizando a imagem do software Pgina 1: Fazendo backup da imagem do software IOS Entre as tarefas bsicas de gerenciamento esto gravar backups dos seus arquivos de configurao, bem como fazer download e instalar arquivos de configurao melhorados quando houver orientao para isso. Um arquivo de imagem de backup do software criado copiando-se o arquivo de imagem de um roteador para um servidor TFTP na rede. Para copiar um software de imagem do IOS Cisco da memria flash para o servidor TFTP em rede, voc deve seguir estas etapas sugeridas. Clique nos botes Topologia e Config na figura na medida em que avana cada etapa. Etapa 1. Executar ping no servidor TFTP para ter certeza de que voc possui acesso a ele. Etapa 2. Verificar se o servidor TFTP tem espao em disco suficiente para acomodar a imagem do software IOS Cisco. Utilize o comando show flash: no roteador para determinar o tamanho do arquivo de imagem do IOS Cisco. O comando show flash: uma ferramenta importante para coletar informaes sobre a memria do roteador e o arquivo de imagem. Ele pode determinar o seguinte:
z z z
Quantidade total de memria flash no roteador Memria flash disponvel Nome de todos os arquivos armazenados na memria flash
Com as etapas 1 e 2 concludas, agora faa o backup da imagem do software. Etapa 3. Copiar o arquivo de imagem do sistema atual do roteador para o servidor TFTP na rede, utilizando o comando copy flash: tftp: no modo EXEC privilegiado. O comando exige que voc digite o endereo IP do host remoto e o nome dos arquivos de imagem de origem e de destino. Durante o processo de cpia, pontos de exclamao (!) indicam o progresso. Cada ponto de exclamao significa que um segmento UDP foi transferido com xito. Exibir meio visual
Tema acessvel CISCO
Pgina 51 de 60
Pgina 2: Atualizando imagens do software IOS Cisco A atualizao de um sistema para verso de software mais nova exige o carregamento de um arquivo de imagem do sistema diferente no roteador. Utilize o comando copy tftp: flash: para fazer o download da nova imagem a partir do servidor TFTP na rede. Clique no boto Config na figura. O comando solicita a voc digitar o endereo IP do host remoto e o nome dos arquivos de imagem de origem e de destino. Digite o nome do arquivo apropriado da imagem de atualizao da mesma forma como ele exibido no servidor. Depois que essas entradas forem confirmadas, o prompt Erase flash: ser exibido. Apagar a memria flash libera espao para a nova imagem. Apague a memria flash se no houver espao suficiente para mais de uma imagem do IOS Cisco. Se nenhuma memria flash livre estiver disponvel, a rotina de excluso ser obrigatria antes da cpia de novos arquivos. O sistema informa essas condies e solicita uma resposta. Cada ponto de exclamao (!) significa que um segmento UDP foi transferido com xito. Nota: verifique se a imagem do IOS Cisco carregada apropriada plataforma do roteador. Se a imagem do IOS Cisco errada estiver carregada, o roteador no poder ser inicializado, o que exige a interveno do monitor ROM (ROMmon). Exibir meio visual
Pgina 3: Nesta atividade, voc ir configurar o acesso a um servidor TFTP e carregar uma imagem mais nova e mais avanada do IOS Cisco. Embora o Packet Tracer simule a atualizao da imagem do IOS Cisco em um roteador, o Packet Tracer no simula o backup de uma imagem do IOS Cisco no servidor TFTP. Alm disso, embora a imagem de atualizao seja mais avanada, essa simulao do Packet Tracer no refletir a atualizao, habilitando comandos mais avanados. O mesmo conjunto de comandos do Packet Tracer ainda estar em vigor. So fornecidas instrues detalhadas na atividade, bem como no link do PDF abaixo. Instrues da atividade (PDF) Clique no cone do Packet Tracer para obter mais detalhes. Exibir meio visual
4.5.5 Recuperando imagens de software Pgina 1: Restaurando imagens do software IOS Cisco Um roteador no pode funcionar sem seu software IOS Cisco. Caso o IOS seja excludo ou corrompido, um administrador deve copiar uma imagem para o roteador para que ele volte a ficar
Tema acessvel CISCO
Pgina 52 de 60
operacional Um mtodo para realizar isso seria utilizar a imagem do IOS Cisco salva anteriormente no servidor TFTP. No exemplo da figura, foi feito o backup da imagem do IOS de R1 em um servidor TFTP conectado a R2. R1 no pode chegar a esse servidor TFTP em seu estado atual. Quando um IOS em um roteador for excludo acidentalmente da memria flash, o roteador continuar operacional porque o IOS est em execuo na RAM. No entanto, essencial que o roteador no seja reinicializado neste momento porque ele no seria capaz de localizar um IOS vlido na memria flash. Na figura, o IOS do roteador R1 foi excludo acidentalmente da memria flash. Infelizmente, o roteador foi reinicializado e no consegue mais carregar um IOS. Agora ele carrega o prompt do ROMmon por padro. Enquanto estiver nesse estado, o roteador R1 precisa recuperar o IOS, que foi copiado para o servidor TFTP conectado ao R2. Nesse cenrio, o TFTP ser conectado diretamente ao roteador R1. Com as preparaes no servidor TFTP, realize o procedimento a seguir. Etapa 1. Conecte os dispositivos.
z z
Conecte o PC do administrador de sistema porta de console do roteador afetado. Conecte o servidor TFTP primeira porta Ethernet do roteador. Na figura, como R1 um Cisco 1841, a porta Fa0/0. Habilite o servidor TFTP e configure-o com um endereo IP esttico 192.168.1.1/24.
Etapa 2. Inicializar o roteador e definir as variveis do ROMmon. Como o roteador no tem uma imagem vlida do IOS Cisco, o roteador inicializa automaticamente no modo ROMmon. H pouqussimos comandos disponveis no modo ROMmon. Voc pode exibir esses comandos, digitando-se ? no prompt de comando rommon>. Voc deve inserir todas as variveis listadas na figura. Quando voc inserir as variveis no ROMmon, esteja atento ao seguinte:
z z z z
Os nomes de varivel diferenciam maisculas de minsculas. No inclua nenhum espao antes ou depois do smbolo =. Sempre que possvel, utilize um editor de texto para recortar e colar as variveis na janela do terminal. Toda a linha deve ser digitada com preciso. As teclas de navegao no so operacionais.
Agora o Roteador R1 deve ser configurado com os valores apropriados para se conectar ao servidor TFTP. A sintaxe dos comandos do ROMmon muito crucial. Embora os endereos IP, a mscara de sub-rede e o nome da imagem na figura sejam apenas exemplos, essencial que a sintaxe exibida seja seguida durante a configurao do roteador. Lembre-se de que as variveis reais iro mudar de acordo com a sua configurao. Quando voc tiver inserido as variveis, passe prxima etapa. Etapa 3. Digitar o comando tftpdnld no prompt do modo ROMmon. O comando exibe as variveis de ambiente obrigatrias e adverte que todos os dados existentes na memria flash sero apagados. Digite y para continuar e pressione Enter. O roteador tenta se conectar ao servidor TFTP para iniciar o download. Quando conectado, o download comea
Tema acessvel CISCO
Pgina 53 de 60
conforme a indicao pelos pontos de exclamao (!). Cada ! indica que um segmento UDP foi recebido pelo roteador. Voc pode utilizar o comando reset para reiniciar o roteador com a nova imagem do IOS Cisco. Exibir meio visual
Pgina 2: Utilizando xmodem para restaurar uma imagem do IOS Cisco A utilizao do comando tftpdnld uma forma muito rpida de copiar o arquivo de imagem. Outro mtodo para restaurar uma imagem do IOS Cisco para um roteador utilizando Xmodem. No entanto, a transferncia de arquivos realizada utilizando-se o cabo de console e, por isso, muito lenta quando comparada com o comando tftpdnld. Se a imagem do IOS Cisco for perdida, o roteador entrar no modo ROMmon durante a inicializao. O ROMmon d suporte a Xmodem. Com esse recurso, o roteador pode se comunicar com um aplicativo de emulao de terminal, como HyperTerminal, no PC de um administrador de sistema. Um administrador de sistema que tenha uma cpia da imagem do IOS Cisco em um PC pode restaur-la no roteador, estabelecendo uma conexo de console entre o PC e o roteador e executando o Xmodem no HyperTerminal. As etapas que o administrador segue so mostradas na figura. Etapa 1. Conectar o PC do administrador de sistema porta console no roteador afetado. Abra uma sesso de emulao de terminal entre o roteador R1 e o PC do administrador de sistema. Etapa 2. Inicializar o roteador e emitir o comando xmodem no prompt de comando do modo ROMmon. A sintaxe do comando xmodem [-cyr] [filename]. A opo cyr varia de acordo com a configurao. Por exemplo, -c especifica CRC-16, y especifica o protocolo Ymodem e r copia a imagem para a RAM. O nome de arquivo o do arquivo a ser transferido. Aceite todos os prompts quando solicitado, conforme mostrado na figura. Etapa 3. A figura mostra o processo de envio de um arquivo utilizando HyperTerminal. Neste caso, escolha Transfer > Send File. Etapa 4. Navegue at o local da imagem do IOS Cisco que voc deseja transferir e escolha o protocolo Xmodem. Clique em Send. Uma caixa de dilogo exibida com o status do download. Demora vrios segundos para que o host e o roteador comecem a transferncia das informaes. Assim que o download comea, os campos Pacote e Decorrido so incrementados. Anote o indicador de tempo restante estimado. O tempo de download poderia ser muito maior se voc alterasse a velocidade da conexo do HyperTerminal e do roteador de 9.600 b/s para 115.000 b/s. Quando a transferncia for concluda, o roteador ser reiniciado automaticamente com o novo IOS Cisco. Exibir meio visual
4.5.6 Identificao e soluo de problemas de configuraes do IOS Cisco
Tema acessvel CISCO
Pgina 54 de 60
Pgina 1: Comandos de identificao e soluo de problemas do IOS Cisco Quando voc tiver uma imagem do IOS Cisco vlida em execuo em todos os roteadores na rede e todas as configuraes tiverem backup, voc poder ajustar as configuraes manualmente para dispositivos individuais a fim de melhorar o desempenho na rede. Dois comandos muito utilizados na administrao de rede diria so show e debug. A diferena entre os dois significativa. Um comando show lista os parmetros configurados e seus valores. O comando debug permite rastrear a execuo de um processo. Utilize o comando show para verificar as configuraes. Utilize o comando debug para identificar o trfego que passa pelas interfaces e processado pelo roteador. A figura resume as caractersticas dos comandos show e debug. O melhor momento para obter informaes sobre a sada gerada por esses comandos ser quando uma rede estiver totalmente operacional. Dessa forma, voc conseguir reconhecer o que est faltando ou est incorreto ao utilizar os comandos para identificar e solucionar problemas de uma rede. Exibir meio visual
Pgina 2: Utilizando o comando show O comando show exibe informaes estticas. Utilize os comandos show ao coletar fatos para isolar problemas em redes interconectadas, inclusive problemas com interfaces, ns, mdias, servidores, clientes ou aplicativos. Voc tambm pode us-lo sempre para confirmar se as alteraes feitas na configurao foram implementadas. A figura fornece um exemplo do comando show protocols. O guia de comandos do IOS Cisco lista 1.463 comandos show. Quando voc estiver no prompt de comando, digite show ? para obter uma lista de comandos show disponveis para o nvel e o modo de operao. Exibir meio visual
Pgina 3: Utilizando o comando debug Ao configurar um roteador, os comandos que voc digita iniciam muito mais processos do que os que voc v na linha de cdigo simples. Por isso, o rastreamento das suas configuraes digitadas linha por linha no revela todas as possibilidades de erro. Em vez disso, voc precisa de uma forma de capturar dados dos dispositivos medida que cada etapa em um processo em execuo iniciado. Por padro, o roteador envia a sada dos comandos debug e as mensagens de erro do sistema para a console. Lembre-se de que voc pode redirecionar a sada do comando debug para um servidor syslog. Nota: a sada do comando de depurao recebe prioridade alta na fila de processos da CPU e, por isso, pode interferir em processos de produo normais em uma rede. Por isso, utilize comandos debug durante momentos de inatividade e somente para identificar e solucionar problemas especficos. O comando debug exibe dados e eventos dinmicos. Utilize o debug para verificar o fluxo do trfego
Tema acessvel CISCO
Pgina 55 de 60
de protocolo em busca de problemas, bugs em protocolo ou configuraes incorretas. O comando debug fornece um fluxo de informaes sobre o trfego visto (ou no) em uma interface, mensagens de erro geradas por ns na rede, pacotes de diagnstico especficos de protocolo e outros dados de identificao e soluo de problemas. Utilize comandos debug quando as operaes no roteador ou na rede precisarem ser exibidas para determinar se eventos ou pacotes esto funcionando corretamente. Todos os comandos debug so digitados no modo EXEC privilegiado, e a maioria dos comandos debug no tem nenhum argumento. Para listar e ver uma descrio resumida de todas as opes de comando de depurao, digite debug ? no modo EXEC privilegiado. Cuidado: importante desativar a depurao quando voc terminar a identificao e soluo de problemas. A melhor forma de assegurar que no haja nenhuma operao de depurao prolongada utilizando o comando no debug all. Exibir meio visual
Pgina 4: Consideraes durante a utilizao do comando debug Um caso utilizar comandos debug para identificar e solucionar problemas em uma rede de laboratrio sem o trfego do aplicativo de usurio final. Outro caso utilizar os comandos debug em uma rede de produo da qual usurios dependem para o fluxo de dados. Sem as precaues apropriadas, o impacto de um comando debug poderia piorar as coisas. Com a utilizao apropriada, seletiva e temporria dos comandos debug, voc pode obter informaes possivelmente teis sem precisar de um analisador de protocolo ou de outra ferramenta de terceiros. Outras consideraes para a utilizao dos comandos debug so as seguintes:
z
Quando as informaes necessrias do comando debug so interpretadas e a depurao (e qualquer outra configurao relacionada, se houver) for concluda, o roteador poder retomar sua comutao mais rpidamente. A soluo de problemas pode ser reiniciada, um melhor plano de ao pode ser criado e o problema da rede, resolvido. Saiba que os comandos debug podem gerar muito mais dados do que a pouca utilizao para um determinado problema. Normalmente, o conhecimento do protocolo ou dos protocolos em depurao obrigatrio para a interpretao apropriada das sadas do comando debug. Ao utilizar ferramentas de identificao e soluo de problemas debug, lembre-se de que os formatos da sada do comando variam de acordo com cada protocolo. Alguns geram uma nica linha de sada do comando por pacote, outros geram vrias linhas de sada do comando por pacote. Alguns comandos debug geram grandes quantidades de sada de comando; outros s geram sada de comando ocasional. Alguns geram linhas de texto e outros geram informaes no formato de campo.
Exibir meio visual
Pgina 5: Comandos relacionados ao comando debug Para utilizar as ferramentas de depurao efetivamente, voc deve considerar o seguinte:
Tema acessvel CISCO
Pgina 56 de 60
z z z z
Impacto que uma ferramenta de identificao e soluo de problemas tem no desempenho do roteador Utilizao mais seletiva e concentrada da ferramenta de diagnstico Como minimizar o impacto da identificao e soluo de problemas em outros processos que competem pelos recursos no dispositivo de rede Como parar a ferramenta de identificao e soluo de problemas quando o diagnstico for concludo para que o roteador possa retomar sua comutao mais eficiente
Para otimizar a utilizao eficiente do comando debug, estes comandos podem ajudar:
z
z z
O comando service timestamps utilizado para adicionar um registro de data e hora a uma mensagem de depurao ou log. Esse recurso pode fornecer informaes importantes sobre quando houve elementos de depurao e o tempo entre os eventos. O comando show processes exibe a utilizao da CPU para cada processo. Esses dados podem influenciar decises sobre a utilizao de um comando debug se indicarem que o sistema de produo j est sendo muito utilizado na adio de um comando debug. O comando no debug all desabilita todos os comandos debug. Esse comando pode liberar recursos do sistema depois que voc conclui a depurao. O comando terminal monitor exibe a sada do comando debug e as mensagens de erro do sistema do terminal e da sesso atuais. Ao executar Telnet em um dispositivo e emitir um comando debug, voc no ver nenhuma sada do comando, a menos que esse comando seja digitado.
Exibir meio visual
4.5.7 Recuperando uma senha de roteador Pgina 1: Sobre a recuperao de senha Voc j se esqueceu da senha de um roteador? Talvez no, mas algum dia na sua carreira, voc certamente conhecer algum que se esquecer e precisar recuper-la. A primeira coisa que precisa saber sobre a recuperao de senha que, por razes de segurana, voc deve ter acesso fsico ao roteador. Voc conecta o seu PC ao roteador por meio de um cabo de console. As senhas enable password e enable secret password protegem o acesso aos modos EXEC privilegiado e de configurao. A enable password pode ser recuperada, mas a enable secret criptografada, devendo ser substituda por uma nova senha. O registro de configurao um conceito sobre qual voc obter mais informaes posteriormente nos seus estudos. O registro de configurao semelhante s configurao da BIOS do seu PC, que controlam o processo de inicializao. Entre outras coisas, a BIOS informa ao PC que disco rgido inicializar. Em um roteador, um registro de configurao, representado por um nico valor hexadecimal, informa ao roteador que etapas especficas executar quando lig-lo. Os registros de configurao tm muitas utilizaes e a recuperao de senha costuma ser a mais utilizada. Exibir meio visual
Pgina 2:
Tema acessvel CISCO
Pgina 57 de 60
Procedimento de recuperao de senha do roteador Para recuperar a senha de um roteador, faa o seguinte: Preparar o dispositivo Etapa 1. Conectar-se porta de console. Etapa 2. Mesmo perdida a enable password, ainda assim voc teria acesso ao modo EXEC usurio. Digite show version no prompt e grave a definio do registro de configurao. R>#show version <sada do comando show omitida> Configuration register is 0x2102 R1> O registro de configurao normalmente definido como 0x2102 ou 0x102. Se no puder mais acessar o roteador (porque um login ou uma senha TACACS foi perdido), voc poder supor tranquilamente que o registro de configurao esteja definido como 0x2102. Etapa 3. Utilizar a chave liga/desliga para desligar o roteador e lig-lo novamente. Etapa 4. Emita um sinal de break no terminal em 60 segundos aps ligar o roteador no ROMmon. Um sinal de break enviado utilizando uma sequncia de chaves de interrupo apropriada ao programa terminal e ao sistema operacional. Clique no boto Ignorar inicializao na figura. Etapa 5. Digitar confreg 0x2142 no prompt rommon 1>. Isso faz o roteador ignorar a configurao de inicializao na qual a enable password esquecida armazenada. Etapa 6. Digitar reset no prompt rommon 2>. O roteador reinicializado, mas ignora a configurao salva. Etapa 7. Digitar no depois de cada pergunta de configurao ou pressionar Ctrl-C para ignorar o procedimento de configurao inicial. Etapa 8. Digitar enable no prompt Router>. Isso leva voc ao modo enable, devendo ser capaz de ver o prompt Router#. Clique no boto Acessar NVRAM na figura. Etapa 9. Digitar copy startup-config running-config para copiar o contedo da NVRAM para a memria RAM. Tome cuidado! No digite copy running-config startup-config, ou voc apagar a sua configurao de inicializao. Etapa 10. Digitar show running-config. Nessa configurao, o comando shutdown exibido em todas as interfaces porque todas elas esto desativadas no momento. Mas o mais importante que agora voc pode ver as senhas (enable password, enable secret, vty, console) nos formatos criptografado ou no-criptografado. Voc pode reutilizar senhas no-criptografadas. Voc deve alterar senhas criptografadas para uma nova senha. Clique no boto Redefinir senhas na figura. Etapa 11. Digitar configure terminal. O prompt R1(config)# exibido.
Tema acessvel CISCO
Pgina 58 de 60
Etapa 12. Digitar enable secret password para alterar a senha enable secret. Por exemplo: R1(config)# enable secret cisco Etapa 13. Emitir o comando no shutdown em todas as interfaces desejadas. Voc pode emitir um comando show ip interface brief para confirmar se a configurao da sua interface est correta. Todas as interfaces que voc deseja usar devem ser exibidas como ativadas. Etapa 14. Digitar config-register configuration_register_setting. configuration_register_setting o valor registrado na Etapa 2 ou 0x2102. Por exemplo: R1(config)#config-register 0x2102 Etapa 15. Pressionar Ctrl-Z ou digitar end para sair do modo de configurao. O prompt R1# exibido. Etapa 16. Digitar copy running-config startup-config para confirmar as alteraes. Agora voc concluiu a recuperao de senha. A digitao do comando show version ir confirmar que o roteador utilizar a definio do registro de configurao configurado na prxima reinicializao. Exibir meio visual
4.6 Laboratrios do captulo

4.6.1 Configurao bsica de segurana Pgina 1: Neste laboratrio, voc ir aprender a configurar a segurana bsica de rede usando a rede mostrada no diagrama de topologia. Voc saber como configurar a segurana do roteador de trs maneiras diferentes: utilizando a CLI, o recurso auto-secure e o Cisco SDM. Voc tambm aprender a gerenciar o software IOS Cisco. Exibir meio visual
4.6.2 Configurao avanada de segurana Pgina 1: Neste laboratrio, voc ir configurar a segurana usando a rede mostrada no diagrama de topologia. Se voc precisar de assistncia, consulte o laboratrio bsico de segurana. No entanto, tente fazer o mximo possvel. Para este laboratrio, no use a proteo por senha ou login em nenhuma linha de console porque isso pode causar o logout acidental. No entanto, voc ainda deve proteger a linha de console usando outros meios. Utilize ciscoccna em todas as senhas deste laboratrio. Exibir meio visual
4.6.3 Identificao e soluo de problemas de configurao de segurana Pgina 1: Sua empresa contratou recentemente um novo engenheiro de rede que criou alguns problemas de segurana na rede com configuraes incorretas e omisses. Seu chefe lhe pediu para corrigir os
Tema acessvel CISCO
Pgina 59 de 60
erros que o novo engenheiro cometeu ao configurar os roteadores. Enquanto corrige os problemas, verifique se todos os dispositivos esto seguros, mas ainda acessveis para administradores, e que todas as redes so alcanveis. Todos os roteadores devem ser acessveis com SDM do PC1. Verificar se um dispositivo seguro usando ferramentas como Telnet e ping. O uso no autorizado dessas ferramentas deve ser bloqueado. Por outro lado, o uso autorizado deve ser permitido. Para este laboratrio, no use a proteo por login ou senha em nenhuma linha de console para impedir o bloqueio acidental. Use ciscoccna para todas as senhas deste cenrio. Exibir meio visual
4.7 Resumo do captulo

4.7.1 Resumo do captulo Pgina 1: A importncia da segurana de rede no pode ser subestimada. Este captulo enfatizou a importncia de desenvolver uma poltica de segurana efetiva e de aceitar o que ela exige que voc faa. Voc conhece as ameaas sua rede, tanto internas quanto externas, e sabe as etapas bsicas que voc precisa executar para se proteger dessas ameaas. Alm disso, agora voc compreende os requisitos para equilibrar segurana em relao a acesso. Os ataques de rede vm de todas as direes e de muitas formas. Os ataques de senha so fceis de iniciar e fceis de se conter. As tticas da engenharia social exigem que os usurios desenvolvam um determinado nvel de desconfiana e cuidado. Quando consegue acesso rede, um atacante podem literalmente abrir todos os trincos. Mas os atacantes nem sempre obtm acesso para acabar com tudo. Os ataques de negao de servio podem ser iniciados, sobrecarregando os recursos de rede ao ponto em que no conseguem mais funcionar. Worms, vrus e cavalos-de-Troia podem penetrar redes e continuar se espalhando e infectando os dispositivos. Uma das principais tarefas na proteo de uma rede proteger os roteadores. Os roteadores so o gateway da rede, sendo os alvos bvios. Conversas administrativas bsicas incluindo segurana fsica, manuteno do IOS e backup dos arquivos de configurao j so um comeo. O software IOS Cisco fornece vrios recursos de segurana para proteger roteadores e bloquear acessosos por portas e servios utilizados, e a maioria deles pode ser feito utilizando-se o recurso de bloqueio em uma etapa do Cisco SDM. Exibir meio visual
Pgina 3: Esta atividade uma reviso cumulativa do captulo que abrange o roteamento e a autenticao de OSPF e a atualizao da imagem do IOS Cisco. So fornecidas instrues detalhadas na atividade, bem como no link do PDF abaixo. Instrues da atividade (PDF) Clique no cone do Packet Tracer para obter mais detalhes. Exibir meio visual
Tema acessvel CISCO
Pgina 60 de 60
4.8 Teste do captulo

4.8.1 Teste do captulo Pgina 1: Exibir meio visual
Ir para a prxima Ir para a anterior Ir para a parte superior
All contents copyright 2007-2009 Cisco Systems, Inc. | Traduzido por Cisco Networking Academy. Sobre

CCNA 4.0 - AW - 04 Segurança de Rede

Hochgeladen von

Dokumentinformationen

Originaltitel

Copyright

Verfügbare Formate

Dieses Dokument teilen

Dokument teilen oder einbetten

Freigabeoptionen

Stufen Sie dieses Dokument als nützlich ein?

Sind diese Inhalte unangemessen?

Copyright:

Verfügbare Formate

CCNA 4.0 - AW - 04 Segurança de Rede

Hochgeladen von

Copyright:

Verfügbare Formate

Tema acessvel CISCO

CCNA Exploration - Acessando a WAN

4.1 Introduo segurana de rede

Tema acessvel CISCO

Tema acessvel CISCO

Tema acessvel CISCO

Tema acessvel CISCO

Vulnerabilidades tecnolgicas Falhas na configurao Falhas na poltica de segurana

Tema acessvel CISCO

Clique no boto Hardware na figura. Atenuao da ameaa ao hardware

Tema acessvel CISCO

Tema acessvel CISCO

Tema acessvel CISCO

Pgina 2: Ataques de reconhecimento Os ataques de reconhecimento podem consistir em:

Consultas de informaes de Internet Varreduras de ping Verificaes de porta Sniffers de pacote

Tema acessvel CISCO

Tema acessvel CISCO

Tema acessvel CISCO

Tema acessvel CISCO

Tema acessvel CISCO

Entre outros tipos de ataques DOS esto:

Entre os exemplos de ataques DDoS esto os seguintes:

Ataque SMURF Tribe flood network (TFN) Stac heldraht MyDoom

Tema acessvel CISCO

Tema acessvel CISCO

etapas recomendadas para a atenuao de ataques de worm:

Tema acessvel CISCO

Tema acessvel CISCO

Tema acessvel CISCO

Tema acessvel CISCO

A poltica de segurana o ponto no qual as quatro etapas do Ciclo de segurana se baseiam. As

Tema acessvel CISCO

Tema acessvel CISCO

Tema acessvel CISCO

Tema acessvel CISCO

Entre as polticas de acesso remoto podem estar:

Pgina 4: Exibir meio visual

Tema acessvel CISCO

4.2 Protegendo roteadores Cisco

Exibir meio visual

Tema acessvel CISCO

Tema acessvel CISCO

Tema acessvel CISCO

Tema acessvel CISCO

Tema acessvel CISCO

Tema acessvel CISCO

Tema acessvel CISCO

Exibir meio visual

Entre os parmetros de configurao opcionais esto:

Timeouts Novas tentativas (Retries)

Tema acessvel CISCO

Pgina 5: Exibir meio visual

Tema acessvel CISCO

4.3 Servios de rede do roteador seguros

Tema acessvel CISCO

Exibir meio visual

Exibir meio visual

Tema acessvel CISCO

Situao de interrupo de mesmo nvel Falsificao das informaes de roteamento

Tema acessvel CISCO

Tema acessvel CISCO

Exibir meio visual

Tema acessvel CISCO