«

»

jun 23 2008

Auto-Segurança em roteadores Cisco

Quem nunca foi alvo de um ataque que atire a primeira pedra, quero dizer que atire o primeiro cabo. 😉

Com a chegada da era da informação e, com a interligação das redes, a responsabilidade dos administradores de rede, projetistas, diretores e demais profissionais da área de TI só tem aumentado cada vez mais. Por isso, quem tem a informação detém o poder.

O que muitos desconhecem é que a responsabilidade de um profissional de segurança é muito maior do que este pode imaginar.

Além da responsabilidade de manter o bom funcionamento e integração dos sistemas eletrônicos, estes profissionais são responsáveis também pelos danos decorrentes de suas atividades do dia-a-dia.

Muitos administradores de rede por desconhecimento do assunto, por “falta de tempo”, por esquecimento, dentre outros. Quero com este artigo atingir dois objetivos principais:

a) Mostrar como o código cível pode ser aplicado ao profissional de TI;
b) Como implementar um recurso super simples de auto-segurança incorporado no IOS 12.3(1) em diante.;

Vamos observar três artigos bem interessantes do novo Código Civil:

“Art. 927. Aquele que, por ato ilícito (arts. 186 e 187), causar dano a outrem, fica obrigado a repará-lo.

Parágrafo único. Haverá obrigação de reparar o dano, independentemente de culpa, nos casos especificados em lei, ou quando a atividade normalmente desenvolvida pelo autor do dano implicar, por sua natureza, risco para os direitos de outrem”

Art. 186. Aquele que, por ação ou omissão voluntária, negligência ou imprudência, violar direito e causar dano a outrem, ainda que exclusivamente moral, comete ato ilícito.

Art. 187. Também comete ato ilícito o titular de um direito que, ao exercê-lo, excede manifestamente os limites impostos pelo seu fim econômico ou social, pela boa-fé ou pelos bons costumes. ”

Creio que não precisamos ser advogados para entender o que estes artigos nos informam de maneira bem clara.

Então, baseados nestes aspectos bem “interessantes”, vamos aprender como podemos minimizá-los rapidamente.

O processo de hardening tem por finalidade remover os processos ou softwares desnecessários que vem ativados por padrão e ativar os recursos mínimos de segurança necessários para um equipamento de rede ser conectado a uma rede corporativa.

O recurso de AutoSecure foi introduzido pela Cisco a partir do IOS 12.3(1) e são compostos por um conjunto de macros que facilitam o processo de configuração e cria modificações no seu sistema para melhorar o aspecto de segurança de seu roteador.

Este recurso deve ser utilizado com bastante cautela e, como qualquer modificação em ambiente de produção, deverá ser simulado em laboratório antes de ser colocado em prática em seu ambiente de produção.

Para ativar a macro AutoSecure basta executar o comando abaixo:

pitanga#auto secure
— AutoSecure Configuration —

*** AutoSecure configuration enhances the security of
the router, but it will not make it absolutely resistant
to all security attacks ***

AutoSecure will modify the configuration of your device.
All configuration changes will be shown. For a detailed
explanation of how the configuration changes enhance security
and any possible side effects, please refer to Cisco.com for
Autosecure documentation.
At any prompt you may enter ‘?’ for help.
Use ctrl-c to abort this session at any prompt.

If this device is being managed by a network management station,
AutoSecure configuration may block network management traffic.
Continue with AutoSecure? [no]:

Como podemos observar, a mensagem deixa claro que este recurso poderá bloquear o tráfego de gerenciamento da sua rede, por isso o conselho de simular antes em laboratório e mandatório.

If this device is being managed by a network management station,
AutoSecure configuration may block network management traffic.
Continue with AutoSecure? [no]: yes

Gathering information about the router for AutoSecure

Is this router connected to internet? [no]: yes
Enter the number of interfaces facing the internet [1]:

Interface                  IP-Address      OK? Method Status                Protocol
FastEthernet0              unassigned      YES unset  administratively down down
Enter the interface name that is facing the internet: FastEthernet0

Securing Management plane services…

Disabling service finger
Disabling service pad
Disabling udp & tcp small servers
Enabling service password encryption
Enabling service tcp-keepalives-in
Enabling service tcp-keepalives-out
Disabling the cdp protocol

Disabling the bootp server
Disabling the http server
Disabling the finger service
Disabling source routing
Disabling gratuitous arp

Here is a sample Security Banner to be shown
at every access to device. Modify it to suit your
enterprise requirements.

Authorized Access only
This system is the property of So-&-So-Enterprise.
UNAUTHORIZED ACCESS TO THIS DEVICE IS PROHIBITED.
You must have explicit permission to access this
device. All activities performed on this device
are logged. Any violations of access policy will result
in disciplinary action.

Enter the security banner {Put the banner between
k and k, where k is any character}:
k
Acesso restrito somente a equipe de redes da empresa XYZ S/A
Se nao esta autorizado recomendamos sua desconexao imediata
Este sistema eh auditado permanentemente
k

Enable secret is either not configured or
is the same as the enable password
Enter the new enable secret:
Confirm the enable secret :

Enable password is not configured or its length
is less than minimum no. of characters configured
Enter the new enable password:
Confirm the enable password:

Configuration of local user database
Enter the username: pitanga
Enter the password:

Configuring AAA local authentication
Configuring Console, Aux and VTY lines for
local authentication, exec-timeout, and transport

Configure SSH server? [yes]:

Configuring interface specific AutoSecure services
Disabling the following ip services on all interfaces:

no ip redirects
no ip proxy-arp
no ip unreachables
no ip directed-broadcast
no ip mask-reply

Securing Forwarding plane services…

Enabling CEF (This might impact the memory requirements for your platform)
Enabling unicast rpf on all interfaces connected
to internet

Configure CBAC Firewall feature? [yes/no]: yes

This is the configuration generated:

no service finger
no service pad
no service udp-small-servers
no service tcp-small-servers
service password-encryption
service tcp-keepalives-in
service tcp-keepalives-out
no cdp run
no ip bootp server
no ip http server
no ip finger
no ip source-route
no ip gratuitous-arps
banner k
Acesso restrito somente a equipe de redes da empresa XYZ S/A
Se nao esta autorizado recomendamos sua desconexao imediata
Este sistema eh auditado permanentemente
k
security passwords min-length 6
security authentication failure rate 10 log
enable secret 5 $1$83sj$SOLPr0nJjlsY7zbONGR2b/
enable password 7 011416084E18545F7114
username pitanga password 7 00091214075418545F711C
aaa new-model
aaa authentication login local_auth local
line console 0
login authentication local_auth
exec-timeout 5 0
transport output telnet
line aux 0
login authentication local_auth
exec-timeout 10 0
transport output telnet
line vty 0 4
login authentication local_auth
transport input telnet
crypto key generate rsa general-keys modulus 1024
ip ssh time-out 60
ip ssh authentication-retries 2
line vty 0 4
transport input ssh telnet
service timestamps debug datetime localtime show-timezone msec
service timestamps log datetime localtime show-timezone msec
logging facility local2
logging trap debugging
service sequence-numbers
logging console critical
logging buffered
int FastEthernet0
no ip redirects
no ip proxy-arp
no ip unreachables
no ip directed-broadcast
no ip mask-reply
ip cef
ip access-list extended 100
permit udp any any eq bootpc
interface FastEthernet0
ip verify unicast source reachable-via rx allow-default 100
ip inspect audit-trail
ip inspect dns-timeout 7
ip inspect tcp idle-time 14400
ip inspect udp idle-time 1800
ip inspect name autosec_inspect cuseeme timeout 3600
ip inspect name autosec_inspect ftp timeout 3600
ip inspect name autosec_inspect http timeout 3600
ip inspect name autosec_inspect rcmd timeout 3600
ip inspect name autosec_inspect realaudio timeout 3600
ip inspect name autosec_inspect smtp timeout 3600
ip inspect name autosec_inspect tftp timeout 30
ip inspect name autosec_inspect udp timeout 15
ip inspect name autosec_inspect tcp timeout 3600
ip access-list extended autosec_firewall_acl
permit udp any any eq bootpc
deny ip any any
interface FastEthernet0
ip inspect autosec_inspect out
ip access-group autosec_firewall_acl in
!
end

Apply this configuration to running-config? [yes]: yes

Applying the config generated to running-config
The name for the keys will be: pitanga.marcos.com.br

% The key modulus size is 1024 bits
% Generating 1024 bit RSA keys …[OK]

Para visualizar o que foi adicionado ao seu sistema execute o comando:

pitanga#show auto secure config

Neste exemplo, podemos observar que, o autosecure desabilitou serviços como CDP, finger, SNMP, HTTP, etc.

Em alguns casos desabilitar o CDP e o tráfego de entrada SNMP podem gerar alguns problemas para sua monitoração e depuração de problemas, então cuidado novamente ao utilizar este recurso, mas nada o impede de re-ativar os recursos de snmp e cdp manualmente.

Embora este recurso não seja o estado da arte no processo de hardening nos roteadores Cisco, certamente ajudam a minimizar os riscos provenientes de uma instalação padrão.

Este artigo foi escrito sobre o sistema abaixo em um roteador 1721. Nada impede de ser simulado em seu Dynamips + Dynagem (GNS3).

pitanga#sh version
Cisco Internetwork Operating System Software
IOS ™ C1700 Software (C1700-ADVSECURITYK9-M), Version 12.3(15), RELEASE SOFTWARE (fc3)

Até o próximo artigo.

Marcos Pitanga



Comente usando o Facebook!
0
0

9 comentários

Pular para o formulário de comentário

  1. Rodrigo Falcão

    Realmente é uma mão na roda para assegurar um mínimo de segurança, mas também é muito perigiso se não usado com extrema atenção, pois pelo que vi, ele te questiona sobre uma série de serviços, e se deixar passar qualquer detalhe despercebido, pode causar um caos na rede.
    Agora Marcos, vc poderia me esclarecer o que seria o “processo de hardening nos roteadores Cisco” que vc citou no artigo?

    Abrçs!!

    0

    0
  2. Krauter

    Ola Pitanga;

    Excelente matéria ! Nem tinha conhecimento dessa baita funcionalidade do IOS 12.3(1).
    Como diz o Ferrugem: “Juntos somos ainda melhores!!!”

    Rodrigo Falcão: Da uma olhadinha nesse link http://www.sans.org/reading_room/whitepapers/firewalls/794.php

    Abraco a todos!

    0

    0
  3. Toguko

    Marco, Marcos, muito obrigado pelas dicas de vocês, esse é o meu primeiro comentário depois de aprovado no CCNA, passei hoje, na verdade há uma hora atrás e foram as dicas de vocês, os tutorias e é claro a minha dedicação que me fez passar na prova.
    Continuem com este excelente blog que reúne os melhores profissionais da área de telecomunicações e redes de computadores do Brasil e no que eu puder eu ajudarei pois disseminar o conhecimento é tão importante quanto tê-lo.

    Abraços, Rafael Venancio (Toguko)
    Agora rumo ao CCNP…

    0

    0
  4. Rodrigo Falcão

    Valeu Krauter, ainda não li o artigo todo, mas já apareceu uma luz.

    Abçs!!

    0

    0
  5. Marcos Pitanga

    Parabéns e mete bronca para o CCNP.

    0

    0
  6. Fabricio Neves

    Ótimo Post Pitanga!
    É incrível como existem várias funcionalidades que ainda estamos por conhecer… daí minha vontade de seguir em frente rumo ao CCNP 🙂

    Abraço!

    0

    0
  7. Cleber Monin

    Muito bom mesmo Pitanga… Abs.

    0

    0
  8. Edson

    Excelente artigo, obrigado.
    Quero testar no Dynamips.
    Fiz um teste ainda há pouco no Packet Tracer 5.3.2 e a função está disponível, achei isso muito bacana.

    Preciso ler mais sobre o assunto e compreender quais serviços estão sendo desativadas e que brechas estão sendo minimizadas.

    Valeu 🙂

    0

    0
  9. Edson

    Veja só.
    Não li todo o documento ainda, mas é muito bacana.

    Explica os pontos de vulnerabilidades e as implicações.

    http://www.cisco.com/en/US/prod/collateral/iosswrel/ps6537/ps6586/ps6642/prod_white_paper09186a00801dbf61.html

    Abs

    0

    0

Deixe uma resposta