Arquivo do Autor

No Gravatar

Olá, meus amigos !

Começo de semana é dureza, então nada melhor que dar umas risadas, relaxar e amanhã começar tudo de novo. ;)

E para isso… olha o que eu achei perdido aqui no meu hd :  IOS, a saga de um processador !

É uma animação em flash do Guto Garcia para animar seu começo de semana.

Conta o que acontece na “realidade” por dentro de sua máquina.  :)

Aqui vai um roteiro e não perder nada :

A tecnologia invadiu sua casa !  Mas você sabe como é o seu computador por dentro ?!?!

Você conhece seu processador ?
(Olhe do lado direito e veja a Miss Brasil Processador no calendário. Imaginação fértil do Guto…rss)

ios_processa.jpg

E as memórias ? Como elas trabalham ?
(janela pesada ?!?!? café ??? rs)

O que tem guardado no seu HD ?
(A greve do hd….rs)

Como pode o modem acessar qualquer mundo ?
( galinha preta… azeite de dendê??? vela???)

ios_modem.jpg

Vc sabe reconhecer um programa pirata ?
(responsa?!?!? rssss  triitititiiiicckkk)

Descubra as verdades que nunca foram contadas sobre o seu computador !

Aqui você baixa o .swf e… divirta-se !

Sds.

Márcia Guimarães

Comments 10 Comentários »

No Gravatar

Olá,

Vamos ver agora conceitos básicos de ROTEAMENTO. Reafirmo: o objetivo desta série não é dissecar todas as definições. Não. Apenas reforçar aquilo que devemos saber, para que possamos assim compreender o que vem pela frente. ok?

Então, vamos lá !

O próximo artigo da série será ACCESS LIST.

Sds.
Márcia Guimarães

(você deve estar logado para ler este post)

Comments 24 Comentários »

No Gravatar

Olá,

Hoje, vamos relembrar os conceitos de GERENCIAMENTO DE REDE.

O próximo será ROTEAMENTO.

Sds.

Márcia Guimarães


GERENCIAMENTO DE REDE


O que é o Cisco Discovery Protocol (CDP)?

CDP é um protocolo proprietário da Cisco que é executado em todos os dispositivos Cisco habilitados no IOS. Ele é usado para obter informações sobre dispositivos vizinhos diretamente conectados. O CDP opera na camada 2 do Modelo OSI e é independente de meio. Com o CDP, vc pode dizer qual o tipo de hardware, o identificados do dispositivo, o endereço IP, a versão so software, e interfaces ativas nos dispositivos Cisco vizinhos. O CDP é habilitado por default em todos equipamentos Cisco. Ele usa o frame não-roteável SNAP para a comunicação entre dispositivos.

Nota: Pelo fato do CDP ser independente de meio, ele pode operar sobre a maioria dos tipos de mídia. Os únicos tipos de mídia que o CDP não pode operar é sobre X.25, porque este não suporta o encapsulamento SNAP, e as interfaces Frame Relay point-to-multipoint.

Quais são as 3 razões para desabilitar o CDP?

As 3 razões para desabilitar o CDP são as seguintes:

•Para economizar largura de banda ao não trocar frames CDP
•Se vc estiver conectando a dispositivos não-Cisco
•Segurança. Informação via broadcasts CDP sobre o dispositivo a cada 60 segundos. Sniffers e outros dispositivos podem visualizar este broadcasts para descobrir informação sobre sua rede .

Como você desabilita o CDP em routes Cisco?

Dois comandos desabilitam o CDP no router Cisco. Para desabilitar o CDP em todo dispositivo, use o comando global “no cdp run”:

RouterB(config)#no cdp run

Para desabilitar o CDP em um única interface, use o comando de interface “no cdp enable”:

RouterB(config)#int e0

RouterB(config-if)#no cdp enable

Isto desabilita o CDP na interface Ethernet 0.

Nota: Você não pode desabilitar o CDP em todo router e habilitar uma só interface. Apenas exclua as interfaces que você não quer o CDP habilitado.

Qual comando show exibe informações CDP?

O comando show que exibe informação globais CDP sobre um dispositivo. Ele diz a vc quando o dispositivo irá quando enviar pacotes CDP e por quanto tempo a informação CDP serpa guardada (holdtime):

RouterB#show cdp
Global CDP information:
Sending CDP packets every 60 seconds
Sending a holdtime value of 180 seconds

Nota: Para o exame CCNA, lembre-se que o tempo default que um dispositivo envia informação CDP é a cada 60 segundos e o o tempo que o dispositivo vizinho guarda a informação CDP, o holdtime, é de 180 segundos.

Em um router Cisco, o que o comando “show cdp neighbors detail” exibe ?

• Device ID - nome do dispositivo
• IP address - ip do dispositivo remoto
• Platform - a plataforma de hardware do vizinho – ou seja, seu modelo
• Holdtime -tempo que a info CDP será mantida - exibido em segundos
• Capability - capacidade do dispositivo – diz se o dispositivo é um router, switch, ou repetidor
• Interface - a porta local do router R1
• Port ID  - a porta remota do dispositivo vizinho (de R2 e R3)

R1>show cdp neighbors detail  ou show cdp entry *
————————-
Device ID: R2
Entry address(es):
IP address: 172.16.3.1
Platform: cisco 2691,  Capabilities: Router Switch
Interface: Serial1/0,  Port ID (outgoing port): Serial1/0
Holdtime : 164 sec

Version :
Cisco Internetwork Operating System Software
IOS ™ 2600 Software (C2691-ADVENTERPRISEK9-M), Version 12.3(17a), RELEASE SOFTWARE (fc2)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2005 by cisco Systems, Inc.
Compiled Mon 12-Dec-05 19:56 by evmiller

advertisement version: 2
VTP Management Domain: ”

————————-
Device ID: R3
Entry address(es):
IP address: 192.168.10.6
Platform: cisco 2691,  Capabilities: Router Switch
Interface: Serial1/1,  Port ID (outgoing port): Serial1/1
Holdtime : 162 sec

Version :
Cisco Internetwork Operating System Software
IOS ™ 2600 Software (C2691-ADVENTERPRISEK9-M), Version 12.3(17a), RELEASE SOFTWARE (fc2)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2005 by cisco Systems, Inc.
Compiled Mon 12-Dec-05 19:56 by evmiller

advertisement version: 2
VTP Management Domain: ”

R1>

Nota: Os dois comandos, “sh cdp nei deta” e “sh cdp entr” exibem o endereço IP.

O que o comando “show cdp traffic” exibe?

Ele exibe informação sobre o tráfego CDP nas interfaces. Isto inclue o número de pacotes CDP enviados e recebidos e os erros CDP:

R1>show cdp traffic
CDP counters :
Total packets output: 12, Input: 8
Hdr syntax: 0, Chksum error: 0, Encaps failed: 0
No memory: 0, Invalid packet: 0, Fragmented: 0
CDP version 1 advertisements output: 0, Input: 0
CDP version 2 advertisements output: 12, Input: 8
R1>

Nota : Você zera os contadores com “clear cdp counters”

O que o comando “show cdp interface” exibe?

Ele exibe informação sobre o status do CDP em todas as inerfaces no seu dispositivo:

R1>show cdp interface
FastEthernet0/0 is up, line protocol is up
Encapsulation ARPA
Sending CDP packets every 60 seconds
Holdtime is 180 seconds
FastEthernet0/1 is administratively down, line protocol is down
Encapsulation ARPA
Sending CDP packets every 60 seconds
Holdtime is 180 seconds
Serial1/0 is up, line protocol is up
Encapsulation HDLC
Sending CDP packets every 60 seconds
Holdtime is 180 seconds
Serial1/1 is up, line protocol is up
Encapsulation HDLC
Sending CDP packets every 60 seconds
Holdtime is 180 seconds
Serial1/2 is administratively down, line protocol is down
Encapsulation HDLC
Sending CDP packets every 60 seconds
Holdtime is 180 seconds
Serial1/3 is administratively down, line protocol is down
Encapsulation HDLC
Sending CDP packets every 60 seconds
Holdtime is 180 seconds
R1>

Nota: Se você desabilitar uma interface com o comando “no cdp enable“, a interface será excluída da saída do comando acima.

Qual comando no Cisco IOS você pode usar para exibir os endereços IP do router?

Para ver os endereços IP dos routers vizinhos, você deve usar o comando “show cdp neighbor detail” ou “show cdp entry *” no modo user EXEC.

Qual comando no Cisco IOS você pode usar para exibir as sessões Telnet ativas de seu router?

O comando “show sessions” exibe suas sessões telnet ativas PARA outros routers.

R1#show sessions
Conn Host                Address             Byte  Idle Conn Name
*  1 172.16.3.1          172.16.3.1             0     0     172.16.3.1

Qual comando no Cisco IOS você pode usar para exibir as sessões Telnet ativas dos usuários atualmente conectados no seu router Cisco?

O comando “show users” exibe as sessões ativas de usuários conectados no router.

saida.jpg

show sessions => conexões saindo     do router
show users      => conexões chegando no router

Qual a sequência chave você utiliza para suspender uma sessão Telnet em um sistema remoto e retornar ao seu router local ?

Para suspender uma sessão Telnet, pressione Ctrl-Shift-6 e depois X.

Como você finaliza uma sessão remota Telnet no router Cisco ?

Para finalizar uma sessão Telnet, utilize os comando “exit” ou “logout” enquanto estiver no dispositivo remoto:

RouterB>exit

[Connection to 192.168.1.2 closed by foreign host]

RouterA#

O que acontece se você pressionar ENTER depois que retornou ao seu router local utilizando a sequência chave Ctrl-Shift-6 + X ?

O router local tenta restaurar a conexão Telnet ao dispositivo remoto. Abaixo temos uma saída onde conectamos a R1, e retornamos ao router local R2 com a sequência chave Ctrl-Shift-6 + X. Estando no prompt do router R2 pressionamos ENTER e o router retoma a conexão remota a R1.

R2#     <ENTER>

[Resuming connection 1 to 172.16.3.2 … ]

*Mar  1 00:18:27.643: %SYS-5-CONFIG_I: Configured from console by console

R1#

Nota: Muita atenção com isso nos lab´s práticos no exame.

Usando o comando ping, você recebeu um dos seguintes códigos:

.
!
?
C
U
I

O que cada uma dessas respostas significa ?

. =  Cada ponto indica que o servidor de rede deu timeout enquanto esperava por um reply.
! =  Cada exclamação indica um reply recebido.
? = tipo de pacote desconhecido.
C = Um Congestionamento experimentado pelo pacote foi recebido .
U = Um erro ”destination Unreachable” foi recebido.
I =  O usuário interrompeu o teste.

Nota : O código “U” no ping é Destination Unreacheable e no traceroute é Port Unreacheable. Cuidado !

Qual comando EXEC é usado para trace ?

RouterA#traceroute 192.168.2.2

Type escape sequence to abort.
Tracing the route to 192.168.2.2

1 192.168.2.2 16 msec 16 msec *

Nota: Se o trace responder com um “ * ” , isso significa que a investigação deu timeout. Se ele responde com um “ ? ”, isso signifa que recebeu um pacote desconhecido.

Quais os dois meios nos quais o router Cisco resolve os nomes de host para endereços IP ?

Um router Cisco resolves nomes de host usando tanto a tabela de hosts (nomes mapeados via “ip host”), ou um servidor names DNS.

Qual é o principal objetivo da RAM em um router Cisco ?

Na maioria dos routers Cisco, o IOS é carregado na RAM, assim como a running config. Ela também é utilizada para guardar as tabelas de roteamento e os buffers de pacote.

Qual é a função da ROM em um router Cisco ?

No router Cisco, a ROM é usada para inicializar e manter o router.

Qual é a função da memória Flash em um router Cisco ?

A memória Flash é usada para armazenar uma imagem do software do Cisco IOS, e se existir espaço, múltiplos arquivos de configuração ou múltiplos IOSs. Em alguns routers (série 2500), ela também é utilizada para executar o IOS.

Qual é a função da NVRAM em um router Cisco ?

A Nonvolatile Random-Access Memory (NVRAM) é utilizada para guardar a configuração salva do router. Esta configuração não será perdida quando o router for desligado ou reiniciado.

Qual é o principal propósito do configuration register em um router Cisco ?

O principal propósito do configuration register é controlar como o router inicializa. Ele é um registro de software de 16-bits que por default está setado para carregar o Cisco IOS da memória Flash e olhar para a configuração startup armazenada na NVRAM.

Qual comando do Cisco IOS você usaria para visualizar o valor atual do configuration register?

R3#show version
Cisco Internetwork Operating System Software
IOS ™ 2600 Software (C2691-ADVENTERPRISEK9-M), Version 12.3(17a), RELEASE SOFTWARE (fc2)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2005 by cisco Systems, Inc.
Compiled Mon 12-Dec-05 19:56 by evmiller
Image text-base: 0×60008AF4, data-base: 0×62174000

ROM: ROMMON Emulation Microcode
ROM: 2600 Software (C2691-ADVENTERPRISEK9-M), Version 12.3(17a), RELEASE SOFTWARE (fc2)

R3 uptime is 1 hour, 16 minutes
System returned to ROM by unknown reload cause - suspect boot_data[BOOT_COUNT] 0×0, BOOT_COUNT 0, BOOTDATA 19
System image file is “tftp://255.255.255.255/unknown”

(—-saída cortada—-)

cisco 2691 (R7000) processor (revision 0.1) with 153600K/10240K bytes of memory.
Processor board ID XXXXXXXXXXX
R7000 CPU at 80MHz, Implementation 39, Rev 2.1, 256KB L2, 512KB L3 Cache
Bridging software.
X.25 software, Version 3.0.0.
SuperLAT software (copyright 1990 by Meridian Technology Corp).
TN3270 Emulation software.
2 FastEthernet/IEEE 802.3 interface(s)
4 Serial network interface(s)
DRAM configuration is 64 bits wide with parity enabled.
55K bytes of non-volatile configuration memory.
16384K bytes of ATA System CompactFlash (Read/Write)

Configuration register is 0×2102

R3#

Como você altera o configuration register no router Cisco?

Use o comando global config-register.

R3#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
R3(config)#
R3(config)#config-register ?
<0×0-0xFFFF>  Config register number

R3(config)#config-register 0×2102

Nota: Você não precisa salvar a configuração na NVRAM para o novo valor do config-register, mas ainda precisa dar “reload” no router para que ela efetivamente faça a diferença.

Qual comando do Cisco IOS exibe o conteúdo da memória Flash ?

O comando show flash exibe o conteúdo da memória Flash. Ele inclui as imagens armazenadas na memória Flash, os nomes das imagens, bytes utilizados pela memória Flash, bytes disponíveis, e a quantidade total da memória Flash no seu router:

RouterA#show flash

System flash directory:File Length Name/status

1 6897716 c2500-d-l.120-13.bin[6897780 bytes used, 1490828 available, 8388608 total]
8192K bytes of processor board System flash (Read ONLY)

Nota: Existe uma diferença entre ver o conteúdo do show flash e do show version. O “sh flash” lhe dá uma visão geral do que existe dentro da sua flash. E o “sh ver” lhe diz qual IOS sendo executado no momento. Óbviamente aqui existem nuances como as características (types) do IOS (f, m,  r, l, c, z, x, m).

Qual comando do Cisco IOS você deverá usar para copiar a running configuration do seu router para um servidor TFTP?

Antes de copiar, teste a conectividade com o servidor TFTP. E para copiar a running configuration para um servidor TFTP, use o comando “copy running-config tftp” no modo EXEC privilegiado:

RouterB#copy run tftp

Address or name of remote host []? 192.168.0.2
Destination filename [routerb-confg]?
!!
780 bytes copied in 6.900 secs (130 bytes/sec)

Nota: Teste a conectividade do servidor TFTP com o ping antes de fazer a cópia.

Como você apaga o arquivo de configuração startup-config e restaura as configurações de fábrica ?

RouterB#erase startup-config

Erasing the nvram filesystem will remove all files! Continue? [confirm]

[OK]Erase of nvram: complete

Nota : Afim de completar o processo, você precisa reiniciar o router através do comando reload. Um antigo comando que você ainda pode usar e tem o mesmo resultado é o write erase.

Como você restaura o arquivo de configuração de um servidor TFTP para a memória RAM do seu router Cisco ?

Com o comando “copy tftp running-config” no modo EXEC privilegiado, você MESCLA as configurações salvas em um servidor TFTP com as configurações armazenadas na RAM do seu router. Então, você não sobrescreve totalmente o que existe na DRAM, mas existe uma “mistura” do que existe no TFTP com o que existe na DRAM.

RouterB#copy tftp running-config
Address or name of remote host []? 192.168.0.2
Source filename []? routerb-confg
Destination filename [running-config]?
Accessing tftp://192.168.0.2/routerb-confg…
Loading routerb-confg from 192.168.0.2 (via Ethernet0):
!
[OK - 780/1024 bytes] 780 bytes copied in 4.12 secs (195 bytes/sec)
RouterB# 01:40:46: %SYS-5-CONFIG: Configured from tftp://192.168.0.2/routerb-confg

Nota: Muito cuidado aqui ! É importante lembrar de que quando você copia uma configuração de um servidor TFTP para a RAM de um router, na verdade você está mesclando, e as interfaces ficam em shutdown por default e você deve manualmente habilitar cada interface com o comando “no shut”.

Como você faz o backup do IOS do router ?

Para fazer o backup da imagem atualmente armazenada na memória Flash do seu router, use o comando copy flash tftp no modo EXEC privilegiado:

RouterB#copy flash tftp

Source filename [routerb-flash]? flash:c2500-d-l.120-13.bin
Address or name of remote host []? 192.168.0.2
Destination filename [c2500-d-l.120-13.bin]?
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!
6897716 bytes copied in 90.856 secs (76641 bytes/sec)

Como vc atualiza ou restaura o IOS do seu router Cisco?

Para atualizar ou restaurar o IOS do router, use o comando copy tftp flash no modo EXEC rivilegiado.

Como vc cria um servidor TFTP no router Cisco ?

Para configurar um router como servidor TFTP, use o comando tftp-server no modo de configuração global.

Como você sai do modo Setup sem salvar nada ?

Ctrl + C

Importantes valores do config-register :

2100 boot  manual rommon>

2101 boot via ROM

2102 recuperação de senha

2105 comando boot system - config-register NVRAM

2142 bypass NVRAM

ctrl-break = modo ROM monitor

Comandos boot-system :

router(config)#boot system flash nome-ios
router(config)#boot system tftp nome-ios endereço-ip
router(config)#boot system ROM

Comments 24 Comentários »

No Gravatar

Olá, meus amigos !!

Ainda na série de perguntas e respostas básicas, hoje vamos relembrar os conceitos que você precisa reforçar do TCP/IP. Conceitos elementares que temos obrigação de saber. Não todos, porque uma página não seria o suficiente.

O próximo da série será GERENCIAMENTO DE REDE.

ok? Vamos lá ! :)

Sds.

Márcia Guimarães

(você deve estar logado para ler este post)

Comments 38 Comentários »

No Gravatar

Olá, meus amigos.

Depois de alguns dias para que todos “digerissem” os artigos que já publiquei, além também de estar imersa no estudo para meu exame, agora venho com uma série de perguntas e respostas básicas para esclarecer e reafirmar conceitos elementares, mas que em um dado momento podemos nos confundir, um efeito colateral quase certo após toneladas informações absorvidas.

Vocês sabiam que o nosso cérebro detecta, através dos 5 sentidos, em torno de 4.000 bilhões de informações, mas só consegue tratar 4.000 ??? Pois é, temos uma Ferrari e utilizamos como um Fusquinha. E aqueles que estão estudando para o exame CCNA sabem que o excesso de informação é sentido, e acreditem : quando você relaxa, vê um bom filme, dá muita risada, todo aquele conhecimento, cria raízes no seu cérebro. E falando em Ferrari, aquela, linda, vermelha…

(você deve estar logado para ler este post)

Comments 60 Comentários »

No Gravatar

Olá.  :-)

Este artigo não esgota as possibilidades na área de Segurança, mas apenas serve como um guia, um “norte” a ser seguido, e para mostrar a você os passos mais básicos que devem ser implementados. O assunto Segurança é vastíssimo e a cada dia aparece uma nova maneira de explorar uma vulnerabilidade em uma infinidade de dispositivos. Existem sites somente dedicados a isso, e são parada obrigatória para quem quer trabalhar na área de segurança de redes.

O que devemos ter sempre em mente é o conhecimento dos protocolos da pilha TCP/IP, que vem a ser a estrutura, o arcabouço de tudo o que existe hoje em termos de redes.

Podia fazer uma lista enorme de excelentes livros e inúmeras fontes, mas vou citar apenas uma. Aquela que considero um dos melhores. The hacker’s handbook : the strategy behind breaking into and defending Networks, dos autores Susuan Young e Dave Aitel, da Editora Auerbach Publications. Leiam. É ótimo.

E não se enganem, a maioria delas é em Inglês. O que não é nenhuma novidade para todos aqui.

ok. Vamos lá ??

Segurança Básica do seu Router em 10 Passos


É muito difícil superestimar a importância da segurança dos routers Cisco visto que eles fornecem as comunicações de backbone para muitas organizações através do globo. Aqui estão 10 passos importante dos quais você pode começar a proteger o Cisco IOS do seu router.

Passo 1 :  Desabilite os serviços desnecessários

Por default, routers Cisco executam uma infinidade de serviços opcionais. Estes serviços podem ser utilizados para dar informação a atacantes sobre o router e eles podem explorar as falhas e tirar vantagem delas. Você deve desabilitar os seguintes serviços no modo de configuração global :

CDP (Cisco Discovery Protocol) - no cdp run
Remote configuration - no service config
Source Routing - no ip source-route
Finger - no service finger
Web Server - no ip http server
SNMP - no snmp-server
BOOTP - no ip boot server
TCP services - no service tcp-small-servers
UDP services - no service udp-small-servers

É claro, se o router tem uma interface que não está sendo utilizada, você deverá desativá-la administrativamente com o comando shutdown. Para interfaces em uso, você deverá fazer o seguinte no modo de configuração de interface :

no ip direct-broadcast
no ip mask-reply
no ip proxy-arp

Passo 2 :  Filtrar o tráfego, log denials, e evitar spoofing

Basicamente, você vai querer bloquear todo o tráfego que não é necessário. Mas, muitas vezes calcular qual será o tráfego necessário pode ser difícil. Para fazer isto, pense sobre sua rede. Quais redes irão atravessar este router ? Se router tem interface na Internet, ele não deverá receber tráfego de uma rede com ip´s privados (RFC 1918), assim você deverá implementar as seguintes acls :

Access-list 101 deny ip 10.0.0.0 0.255.255.255 any log
Access-list 101 deny ip 172.16.0 0.15.255.255 any log
Access-list 101 deny ip 192.168.0 0.0.0.255 any log
Interface s0/0
! WAN Internet Interface
Ip access-group 101 in

Como você imaginava, você pode ter acls muito, mais muito mais complexas do que estas.

Passo 3 :  Armazenar logs do router e utilizar uma fonte confiável de hora

Todas acls do tipo deny que estão sendo logadas no passo anterior, precisam ir para um arquivo de log. Esse arquivo de log irá também conter todas as alterações de configurações feitas no seu router e qualquer erro gerado. ok. Para habilitar isto e ficar guardando no router, faça o seguinte no modo de configuração global:

Logging on
!Concede ao router um buffer de 16MB buffer para armazenar logging
Logging buffered 16384

Entretanto….. existe uma desvantagem de guardar estes logs somente no seu router, é o caso dele reinicializar (ou um atacante desligar seu router…), todos os logs serão perdidos. O que fazer ??? Para enviar estes logs para um servidor de log, faça o seguinte :

!Endereço IP do servidor Syslog
Logging 1.1.1.1
!Habilita o tempo para exibição dos logs
Service timestamps log datetime localtime show-timezone msec

Para se assegurar que a hora nestes logs estará sempre atualizada, configure seu router para usar uma fonte de tempo usando o protocolo Network Time Protocol (NTP):

!Este é um simples servidor NTP free baseado em Internet
Ntp server gpstime.trimble.com

Passo 4 :  Aplique as senhas no modo privilegiado e nas linhas vty

Todos aqui já sabemos disso, mas existem três modos básicos para acessar um router: console, aux, e vty. Você deve ter certeza de que todos os três modos têm senhas aplicadas a eles. Aqui, você vê como aparece quando você verifica seu arquivo de configuração com o “sh run” :

line con 0
login
password MinhaSenhaComplexa
Exec-timeout 0 0

line aux 0
login
password MinhaSenhaComplexa
Exec-timeout 0 0

!Verifique para ter certeza que você não tem mais do que 4 vty’s, alguns routers tem !
line vty 0 4
login
password MinhaSenhaComplexa

Para acessar os modos privilegiados dos router, você deve configurar uma senha “enable password“. Quando você fizer isto, sempre use a “enable secret” para encriptar a senha com encriptação MD5, ao invés da “enable password“. Aqui está um exemplo:

Enable secret MinhaEnableSecretComplexa

Passo 5 :  Utilize senhas complexas, senhas encriptadas, e evite ataques de dicionário

Assegure-se de utilizar senhas longas no seu router, porque isto significativamente diminue as chances do router aceitar. Para fazer isto, use o comando:

!Configura um comprimento mínimo de senha para 6 caracteres
Security passwords min-length 6

Sempre tenha certeza de que todas as senhas do seu router estão encriptadas com, pelo menos, a encriptação básica. Para fazer isto, use o comando:

Service password-encryption

Você pode evitar os ataques de dicionário ao dizer ao router para aceitar logins somente a cada 1 segundo e bloquear todos os logins para o router por 120 segundos se existirem 5 falhas consecutivas dentro de 60 segundos. Para fazer isto, use o comando:

login block-for 120 attempts 5 within 60

Para mais informação, veja o artigo “Protect your router from a DoS dictionary attack.”

Para qualquer conta de usuário local que você configurar, você deverá usar o comando “new” :

Username secret …

Isto irá encriptar a senha para o username com encriptação MD5.

Passo 6 : Controle quem pode acessar o seu router

Para acesso remoto, você precisa restringir os usuários que podem gerenciar seu router baseado no seu endereço ip e qual protocolo eles podem usar para fazer isso. Para restringir o acesso gerenciado pelo endereço IP, faça o seguinte :

!Isto é apenas uma LAN local; você pode fechá-lo para um único ip
Access-list 1 permit 192.168.1.0 0.0.0.255
Line vty 0 4
Access-class 1 in

Passo 7 : Use o SSH

Embora muitas companhias possam usar o Telnet ou HTTP para gerenciar seus routers, não é aconselhável. Recomendo enfáticamente mudar para o Secure Shell (SSH) todos os gerenciamentos remotos do seu router. Isto porque o SSH é encriptado e os outros não. Para habilitar o SSH somente, faça assim:

!O hostname do  router é exigido
Hostname myrouter
!Um nome de domínio é exigido
Ip domain-name mydomain.com
!Geração de chaves de encriptação
Crypto key generate rsa
Ip ssh timeout 60

Line vty 0 4
Transport input ssh Page 3

Passo 8 : Protocolos de roteamento seguros e serviços opcionais

Se você está utilizando algum protocolo de roteamento, um atacante pode manipular isto para derrubar sua rede. Recomendo usar um protocolo de roteamento que suporte senha encriptada para troca de atualizações de roteamento. Por exemplo, aqui está como configurar o OSPF para usar senhas encriptadas para segurança:

!Em cada interface
ip ospf message-digest-key key# md5 MinhaSenha$OSPF
!No modo de configuração router OSPF para cada área
area X authentication message-digest

Se você usa serviços opcionais como gerenciamento HTTP baseado em Web ou SNMP, você deve configurar o método mais seguro para utilizá-los. Por exemplo, se você está usando o gerenciamento HTTP baseado em Web, altere o HTTP para usar somente senhas encriptadas. Se você for usar o SNMP, use uma senha complexa e a versão 3 do SNMP, que pode encriptar estas senhas.

Passo 9 : Evitar ataques DoS (Denial of Service)

Você quer parar que outros desativem seus links de rede ou desliguem seu router inteiro. Um dos comandos mais fáceis que você pode utilizar para ajudar a evitar ataques DoS é o comando “no ip directed-broadcast“. IP directed-broadcasts são raramente necessários e são tipicamente explorados para refletir os ataques DoS.  Outra maneira simples de evitar ataques DoS é limitar as taxas de pacotes ICMP. O ICMP pode ser usado para fazer floods na sua rede, causando negação de serviço. Para evitar os floods, aplique os seguinte comandos em cada interface do seu router.

(Observe que você vai querer limitar a largura de banda permitida, dependendo da largura de banda que sua rede está conectada; neste exemplo limitamos todo ICMP a 20 kb.)

Você deverá aplicar os seguintes comandos em cada interface que está na Internet :

access-list 100 permit icmp any any echo-reply
access-list 100 permit icmp any any echo
interface Serial 0/0
rate-limit input access-group 100 20000 8000 8000 conform-action transmit exceed-action drop

Evitar quanto possível ataques DoS pode ser muito complexo. Para maiores informações, consulte estes documentos da Cisco :

Passo 10 : Mantenha seu IOS atualizado

Não apenas a Microsoft que aparece com frequentes patches de atualização de software; a Cisco também faz isso. você deverá manter-se atualizado com os últimos anúncios de segurança da Cisco e aplicar os patches em seus routers de forma regular quanto possível. Para visualizar os últimos patches da Cisco para seus dispositivo, vá até o site web  Cisco Security Advisories .

Outro aviso : execute a versão “general deployment” do Cisco IOS (a versão “GD”). A versão GD é considerada a mais estável. Ele deverá ter menos bugs e vulnerabilidades de segurança.

 


 

Até o próximo artigo !   ;-)

Sds.
Márcia Guimarães

fonte

Comments 11 Comentários »



Chat plugin by BoWoB Chat for Wordpress