search

Quais três etapas adicionais são necessárias para configurar o R1 para aceitar somente conexões SSH criptografadas?

1 anos atrás
Comentários: 0
Visualizações: 92

Capítulo 2: Protegendo Dispositivos de rede

2.0.1.1 Protegendo dispositivos de rede

Show

Proteger o tráfego de rede de saída e examinar o tráfego de entrada são aspectos críticos da segurança da rede. Proteger o roteador de borda, que se conecta à rede externa, é um primeiro passo importante na proteção da rede.

A proteção do dispositivo é uma tarefa crítica ao proteger a rede. Envolve o uso da interface de linha de comando (CLI) do Cisco IOS para implementar métodos comprovados de proteção física do roteador e proteção do acesso administrativo do roteador. Alguns desses métodos envolvem a proteção do acesso administrativo, incluindo a manutenção de senhas, a configuração de recursos avançados de login virtual e a implementação do Secure Shell (SSH). Como nem todo o pessoal de tecnologia da informação deve ter o mesmo nível de acesso aos dispositivos de infraestrutura, a definição de funções administrativas em termos de acesso é outro aspecto importante da proteção de dispositivos de infraestrutura.

Proteger os recursos de gerenciamento e relatório dos dispositivos Cisco IOS também é importante. As práticas recomendadas para proteger o syslog, usar o SNMP (Simple Network Management Protocol) e configurar o NTP (Network Time Protocol) são examinadas neste capítulo.

Muitos serviços de roteador são ativados por padrão. Vários desses recursos são ativados por razões históricas, mas não são mais necessários. Este capítulo discute alguns desses serviços e examina o modo de bloqueio em uma etapa do comando auto seguro, que pode ser usado para automatizar tarefas de proteção de dispositivos.

A autenticação do protocolo de roteamento é uma prática recomendada de segurança necessária para impedir a falsificação do protocolo de roteamento. A configuração da autenticação Open Shortest Path First (OSPF) com a criptografia Message Digest 5 (MD5) e Secure Hash Algorithm (SHA) é discutida neste capítulo. Os planos de controle, gerenciamento e dados são discutidos com ênfase na operação do Policiamento de Planos de Controle (CoPP).

2.1 Protegendo o Acesso aos Dispositivos

2.1.1 Protegendo o Roteador de Borda

2.1.1.1 Protegendo a infraestrutura de rede

Proteger a infraestrutura de rede é fundamental para a segurança geral da rede. A infraestrutura de rede inclui roteadores, comutadores, servidores, pontos de extremidade e outros dispositivos.

Considere um funcionário insatisfeito que olha casualmente por cima do ombro de um administrador de rede enquanto o administrador está efetuando login em um roteador de borda. É uma maneira surpreendentemente fácil para um invasor obter acesso não autorizado.

Se um invasor obtém acesso a um roteador, a segurança e o gerenciamento de toda a rede podem ser comprometidos. Por exemplo, o invasor na Figura 1 apagou a configuração de inicialização e está recarregando o roteador em cinco minutos. Quando o roteador é reiniciado, ele não terá uma configuração de inicialização.

Para impedir o acesso não autorizado a todos os dispositivos de infraestrutura, políticas e controles de segurança apropriados devem ser implementados. Os roteadores são o principal alvo de ataques porque esses dispositivos atuam como policiais de trânsito, que direcionam o tráfego para dentro, para fora e entre redes.

O roteador de borda mostrado na Figura 2 é o último roteador entre a rede interna e uma rede não confiável, como a Internet. Todo o tráfego da Internet de uma organização passa por um roteador de borda, que geralmente funciona como a primeira e a última linha de defesa de uma rede. O roteador de borda ajuda a proteger o perímetro de uma rede protegida e implementa ações de segurança baseadas nas políticas de segurança da organização. Por esses motivos, é imperativo proteger roteadores de rede.

2.1.1.2 Abordagens de segurança do roteador de borda

A implementação do roteador de borda varia dependendo do tamanho da organização e da complexidade do design de rede necessário. As implementações de roteador podem incluir um único roteador protegendo uma rede interna inteira ou um roteador funcionando como a primeira linha de defesa em uma abordagem de defesa em profundidade.

Abordagem de roteador único

Na Figura 1, um único roteador conecta a rede protegida ou a rede local (LAN) interna à Internet. Todas as políticas de segurança estão configuradas neste dispositivo. Isso é mais comumente implantado em implementações de sites menores, como filial e escritório pequeno, home office (SOHO). Em redes menores, os recursos de segurança necessários podem ser suportados pelos ISRs (Integrated Services Routers), sem prejudicar os recursos de desempenho do roteador.

Abordagem de Defesa em Profundidade

Uma abordagem de defesa em profundidade é mais segura que a abordagem de roteador único. Ele usa várias camadas de segurança antes do tráfego entrar na LAN protegida. Na Figura 2, existem três camadas principais de defesa: o roteador de borda, o firewall e um roteador interno que se conecta à LAN protegida. O roteador de borda atua como a primeira linha de defesa e é conhecido como roteador de triagem. Após executar a filtragem de tráfego inicial, o roteador de borda passa todas as conexões destinadas à LAN interna para a segunda linha de defesa, que é o firewall.

O firewall normalmente pega onde o roteador de borda pára e executa filtragem adicional. Ele fornece controle de acesso adicional, rastreando o estado das conexões e atua como um dispositivo de ponto de verificação. Por padrão, o firewall nega o início de conexões de redes externas (não confiáveis) para redes internas (confiáveis). No entanto, ele permite que os usuários internos estabeleçam conexões com redes não confiáveis ​​e permite que as respostas retornem pelo firewall. Também pode executar autenticação de usuário (proxy de autenticação) na qual os usuários devem ser autenticados para obter acesso aos recursos da rede.

Os roteadores não são os únicos dispositivos que podem ser usados ​​em uma abordagem de defesa em profundidade. Outras ferramentas de segurança, como sistemas de prevenção de intrusões (IPSs), dispositivos de segurança da Web (servidores proxy) e dispositivos de segurança de email (filtragem de spam) também podem ser implementadas.

Abordagem DMZ

Uma variação da abordagem de defesa em profundidade é mostrada na Figura 3. Essa abordagem inclui uma área intermediária, geralmente chamada de zona desmilitarizada (DMZ). A DMZ pode ser usada para servidores que devem estar acessíveis na Internet ou em outra rede externa. A DMZ pode ser configurada entre dois roteadores, com um roteador interno conectado à rede protegida e um roteador externo conectado à rede desprotegida. Como alternativa, a DMZ pode ser simplesmente uma porta adicional de um único roteador. O firewall está localizado entre as redes protegidas e não protegidas. O firewall está configurado para permitir as conexões necessárias, como HTTP, das redes externas (não confiáveis) para os servidores públicos na DMZ. O firewall serve como a principal proteção para todos os dispositivos na DMZ.

2.1.1.3 Três áreas de segurança do roteador

Proteger o roteador de borda é um primeiro passo crítico para proteger a rede. Se houver outros roteadores internos, eles também deverão ser configurados com segurança. Três áreas de segurança do roteador devem ser mantidas, conforme mostrado na figura.

Segurança física:

Forneça segurança física para os roteadores:

Coloque o roteador e os dispositivos físicos que se conectam a ele em uma sala trancada e segura, acessível apenas a pessoas autorizadas, isenta de interferências eletrostáticas ou magnéticas, com supressão de incêndio e controle de temperatura e umidade.
Instale uma fonte de alimentação ininterrupta (UPS) ou gerador de energia de reserva a diesel e mantenha os componentes sobressalentes disponíveis. Isso reduz a possibilidade de uma interrupção na rede devido à perda de energia.

Segurança do sistema operacional:

Existem alguns procedimentos envolvidos na proteção dos recursos e desempenho dos sistemas operacionais de roteadores:

Configure o roteador com a quantidade máxima de memória possível. A disponibilidade de memória pode ajudar a mitigar os riscos para a rede de alguns ataques de negação de serviço (DoS), ao mesmo tempo em que oferece suporte à mais ampla gama de serviços de segurança.
Use a versão mais recente e estável do sistema operacional que atenda às especificações de recurso do roteador ou dispositivo de rede. Os recursos de segurança e criptografia em um sistema operacional são aprimorados e atualizados com o tempo, o que torna essencial ter a versão mais atualizada.
Mantenha uma cópia segura das imagens do sistema operacional e dos arquivos de configuração do roteador como backups.

Endurecimento (Hardening) do roteador:

Elimine o possível abuso de portas e serviços não utilizados:

Controle administrativo seguro. Certifique-se de que apenas pessoal autorizado tenha acesso e que seu nível de acesso seja controlado.
Desative portas e interfaces não utilizadas. Reduza o número de maneiras pelas quais um dispositivo pode ser acessado.
Desative serviços desnecessários. Semelhante a muitos computadores, um roteador possui serviços habilitados por padrão. Alguns desses serviços são desnecessários e podem ser usados ​​por um invasor para coletar informações sobre o roteador e a rede, que são aproveitadas posteriormente em um ataque de exploração.

2.1.1.4 Acesso administrativo seguro

Proteger o acesso administrativo é uma tarefa de segurança extremamente importante. Se uma pessoa não autorizada obtiver acesso administrativo a um roteador, ela poderá alterar os parâmetros de roteamento, desativar as funções de roteamento ou descobrir e obter acesso a outros sistemas na rede.

Várias tarefas importantes estão envolvidas na proteção do acesso administrativo a um dispositivo de infraestrutura, conforme descrito na figura:

  • Restringir a acessibilidade do dispositivo – Limite as portas acessíveis, restrinja os comunicadores permitidos e restrinja os métodos de acesso permitidos.
  • Logar e registrar todos os acessos – registre qualquer pessoa que acesse um dispositivo, o que aconteceu durante o acesso e quando o acesso ocorreu para fins de auditoria.
  • Autenticar acesso – verifique se o acesso é concedido apenas a usuários, grupos e serviços autenticados. Limite o número de tentativas de login com falha e o tempo permitido entre os logins.
  • Autorizar ações – restrinja as ações e visualizações permitidas por qualquer usuário, grupo ou serviço específico.
  • Apresentar notificação legal – Exiba um aviso legal, desenvolvido em conjunto com o consultor jurídico da empresa, para sessões interativas.
  • Garanta a confidencialidade dos dados – proteja os dados armazenados e confidenciais do local de serem visualizados e copiados. Considere a vulnerabilidade dos dados em trânsito por um canal de comunicação a ataques de sniffing, seqüestro de sessão e man-in-the-middle (MITM).

2.1.1.5 Acesso local e remoto seguro

Um roteador pode ser acessado para fins administrativos local ou remotamente:

Acesso local – Todos os dispositivos de infraestrutura de rede podem ser acessados ​​localmente. O acesso local a um roteador geralmente requer uma conexão direta a uma porta do console no roteador Cisco e usando um computador que esteja executando o software de emulação de terminal, conforme mostrado na Figura 1. O administrador deve ter acesso físico ao roteador e usar um cabo do console para conectar à porta do console. O acesso local é normalmente usado para a configuração inicial do dispositivo.

Acesso remoto – Os administradores também podem acessar dispositivos de infraestrutura remotamente, conforme mostrado nas Figuras 2 e 3. Embora a opção de porta auxiliar esteja disponível, o método de acesso remoto mais comum envolve a permissão de conexões Telnet, SSH, HTTP, HTTPS ou SNMP do roteador para o computador. O computador pode estar na rede local ou em uma rede remota.

Alguns protocolos de acesso remoto enviam os dados, incluindo nomes de usuário e senhas, para o roteador em texto sem formatação. Se um invasor puder coletar tráfego de rede enquanto um administrador estiver acessando remotamente um roteador, ele poderá capturar senhas ou informações de configuração do roteador. Por esse motivo, é preferível permitir apenas acesso local ao roteador. No entanto, em algumas situações, o acesso remoto ainda pode ser necessário. Precauções devem ser tomadas ao acessar a rede remotamente:

  • Criptografe todo o tráfego entre o computador administrador e o roteador. Por exemplo, em vez de usar o Telnet, use o SSH versão 2; ou, em vez de usar HTTP, use HTTPS.
  • Estabeleça uma rede de gerenciamento dedicada, como mostra a Figura 4. A rede de gerenciamento deve incluir apenas hosts de administração identificados e conexões com uma interface dedicada no roteador.
  • Configure um filtro de pacotes para permitir que apenas os hosts de administração identificados e os protocolos preferenciais acessem o roteador. Por exemplo, permita apenas que solicitações SSH do endereço IP de um host de administração iniciem uma conexão com os roteadores na rede.
  • Configure e estabeleça uma conexão VPN com a rede local antes de conectar-se a uma interface de gerenciamento de roteador.

Essas precauções são valiosas, mas não protegem completamente a rede. Outros métodos de defesa também devem ser implementados. Um dos métodos mais básicos e importantes é o uso de uma senha segura.

2.1.2 Configurando acesso remoto seguro

2.1.2.1 Senhas fortes

Os invasores implantam vários métodos para descobrir senhas administrativas. Eles podem olhar por cima do ombro de um usuário, tentar adivinhar senhas com base nas informações pessoais do usuário ou detectar pacotes contendo arquivos de configuração de texto sem formatação. Os invasores também podem usar um cracker de senha, como L0phtCrack (Figura 1) ou Cain & Abel para descobrir senhas.

Os administradores devem garantir que senhas fortes sejam usadas na rede. Siga diretrizes de senha fortes para proteger ativos, como roteadores e switches. As diretrizes de senha forte são mostradas na Figura 2. Em contraste, as Figuras 3 e 4 exibem exemplos de senhas fracas e senhas fortes.

  • Use um tamanho de senha de 10 ou mais caracteres.
  • Inclua uma mistura de letras maiúsculas e minúsculas, números, símbolos e espaços.
  • Evite senhas baseadas em informações facilmente identificáveis.
  • Soletrar erradamente uma senha. Por exemplo, Smith = Smyth = 5mYth.
  • Troque a senha com frequência.
  • Não escreva senhas e as deixe em lugares óbvios.

Nos roteadores Cisco e em muitos outros sistemas, os espaços que levam à senha são ignorados, mas os espaços após o primeiro caractere não são ignorados. Um método para criar uma senha forte é usar um espaço em branco na senha ou criar uma frase composta de muitas palavras. Isso é chamado de frase secreta. Uma frase secreta é geralmente mais fácil de lembrar do que uma senha complexa. Uma frase secreta é mais longa e mais difícil de adivinhar do que uma senha.

2.1.2.2 Aumentando a segurança do acesso

Existem vários comandos de configuração do roteador que podem ser usados ​​para aumentar a segurança da senha, como mostra a Figura 1:

  • Por padrão, o tamanho mínimo da senha é de seis caracteres. Para aumentar o comprimento mínimo, use o comando do modo de configuração global de senhas de segurança comprimento mínimo.
  • Por padrão, com exceção da senha gerada pelo comando enable secret, todas as senhas do roteador Cisco são armazenadas em texto sem formatação nos arquivos de configuração de inicialização e execução do roteador. Para criptografar todas as senhas de texto sem formatação, use o comando service password-encryption no modo de configuração global. Como mostra a Figura 2, a criptografia é facilmente revertida com a ferramenta certa. Por esse motivo, esse comando não deve ser usado com a intenção de proteger os arquivos de configuração contra ataques sérios.
  • Por padrão, uma interface administrativa permanece ativa e conectada por 10 minutos após a última atividade da sessão. Para desativar conexões autônomas, use o comando exec-timeout minutes [seconds] no modo de configuração de linha para cada uma das linhas configuradas para acesso.

Você também pode desativar o processo EXEC para uma linha específica, como na porta auxiliar, usando o comando no exec no modo de configuração de linha. Este comando permite apenas uma conexão de saída na linha, desativando o processo EXEC para conexões que podem tentar enviar dados não solicitados ao roteador.

2.1.2.3 Algoritmos de senha secreta

Os hashes MD5 não são mais considerados seguros porque os invasores podem reconstruir certificados válidos. Isso pode permitir que os invasores falsifiquem qualquer site. A senha secreta de ativação, mostrada na Figura 1, usa um hash MD5 por padrão. Portanto, agora é recomendável que você configure todas as senhas secretas usando senhas do tipo 8 ou 9. O tipo 8 e o tipo 9 foram introduzidos no Cisco IOS 15.3 (3) M. Os tipos 8 e 9 usam criptografia SHA. Como o tipo 9 é um pouco mais forte que o tipo 8, ele será usado ao longo deste curso sempre que for permitido pelo Cisco IOS.

A Figura 2 mostra que a configuração da criptografia do tipo 9 não é tão fácil quanto parece. Você não pode simplesmente inserir ativar o segredo 9 e a senha não criptografada. Para usar este formulário do comando, você deve colar a senha criptografada, que pode ser copiada de outra configuração do roteador. Para inserir uma senha não criptografada, use a sintaxe de comando enable do tipo de algoritmo mostrada na Figura 3. Um exemplo de configuração é mostrado na Figura 4. Observe que a configuração em execução agora mostra uma senha secreta do tipo 9.

A criptografia do tipo 8 e do tipo 9 também foi introduzida no Cisco IOS 15.3 (3) M para o comando secreto de nome de usuário. Semelhante ao comando enable secret, se você simplesmente inserir um usuário com o comando secret username, a criptografia padrão será MD5. Use o comando nome do usuário nome do algoritmo-tipo para especificar a criptografia do tipo 9. A sintaxe é mostrada na Figura 5, junto com um exemplo.

Por motivos de compatibilidade com versões anteriores, os comandos enable password, username password e line password estão disponíveis no Cisco IOS. Esses comandos não usam criptografia por padrão. Na melhor das hipóteses, eles podem usar apenas a criptografia tipo 7, como mostra a Figura 6. Portanto, esses comandos não serão utilizados neste curso.

2.1.2.4 Protegendo o acesso à linha

Por padrão, o console e as portas auxiliares não exigem uma senha para acesso administrativo. Além disso, o comando password configurado nas linhas console, vty e auxiliares pode usar apenas o tipo 7. Portanto, você deve configurar as linhas console e auxiliares para autenticação de nome de usuário / senha com o comando local login. Além disso, as linhas vty devem ser configuradas apenas para acesso SSH, como mostra a Figura 1.

Use o Verificador de sintaxe na Figura 2 para proteger o acesso administrativo ao R2.

Nota: Alguns dispositivos Cisco têm mais de cinco linhas vty. Verifique o número de linhas vty na configuração em execução antes de configurar a senha. Por exemplo, os comutadores Cisco suportam até 16 linhas vty simultâneas, numeradas de 0 a 15.

2.1.3 Configurando a segurança aprimorada para logons virtuais

2.1.3.1 Aprimorando o processo de login

A atribuição de senhas e autenticação local não impede que um dispositivo seja direcionado para ataque. Os aprimoramentos de logon do Cisco IOS mostrados na Figura 1 fornecem mais segurança, diminuindo a velocidade de ataques, como ataques de dicionário e ataques DoS. A ativação de um perfil de detecção permite configurar um dispositivo de rede para reagir a tentativas repetidas de falha ao recusar outras solicitações de conexão (ou bloqueio de login). Este bloco pode ser configurado por um período de tempo, chamado período silencioso. As listas de controle de acesso (ACLs) podem ser usadas para permitir conexão legítima a partir de endereços de administradores de sistema conhecidos.

Os banners estão desativados por padrão e devem ser ativados explicitamente. Use o comando do modo de configuração global do banner mostrado na Figura 2 para especificar as mensagens apropriadas. Os banners protegem a organização de uma perspectiva legal. A escolha do texto apropriado a ser inserido nas mensagens de faixa é importante e deve ser revisada pelos advogados antes de ser colocada nos roteadores de rede. Nunca use a palavra bem-vindo ou qualquer outra saudação familiar que possa ser mal interpretada como um convite para usar a rede.

2.1.3.2 Configurando recursos de aprimoramento de logon

Os comandos de aprimoramentos de logon do Cisco IOS, mostrados na Figura 1, aumentam a segurança das conexões de logon virtual. A Figura 2 mostra um exemplo de configuração. O comando de bloqueio de login pode se defender contra ataques de negação de serviço desativando logins após um número especificado de tentativas com falha de login. O comando de modo silencioso de login é mapeado para uma ACL que identifica os hosts permitidos. Isso garante que apenas hosts autorizados possam tentar efetuar login no roteador. O comando atraso de login especifica um número de segundos que o usuário deve esperar entre tentativas malsucedidas de login. Os comandos de login com êxito e login com falha registram tentativas de login com e sem êxito.

Esses aprimoramentos de logon não se aplicam às conexões do console. Ao lidar com conexões de console, supõe-se que apenas pessoal autorizado tenha acesso físico aos dispositivos.

Nota: Esses aprimoramentos de login podem ser ativados apenas se o banco de dados local for usado para autenticação para acesso local e remoto. Se as linhas estiverem configuradas apenas para autenticação de senha, os recursos de login aprimorados não serão ativados.

2.1.3.3 Ativar aprimoramentos de logon

Para ajudar um dispositivo Cisco IOS a fornecer detecção de DoS, use o comando de bloqueio de login. Todos os outros recursos de aprimoramento de login são desativados até que o comando block-for de login seja configurado.

A Figura 1 exibe a sintaxe do comando e um exemplo de configuração do comando bloco de login para.

Especificamente, o comando de bloqueio de login monitora a atividade do dispositivo de login e opera em dois modos:

Modo normal – também conhecido como modo de relógio. O roteador mantém a contagem do número de tentativas de login com falha dentro de um período de tempo identificado.
Modo silencioso – também conhecido como período silencioso. Se o número de logins com falha exceder o limite configurado, todas as tentativas de login usando Telnet, SSH e HTTP serão negadas pelo tempo especificado no comando block-for de login.
Quando o modo silencioso está ativado, todas as tentativas de login, incluindo acesso administrativo válido, não são permitidas. No entanto, para fornecer hosts críticos, como acesso a hosts administrativos específicos o tempo todo, esse comportamento pode ser substituído usando uma ACL. A ACL é criada e identificada usando o comando de classe de acesso de modo silencioso de login, conforme mostrado na Figura 2. Somente os hosts identificados na ACL têm acesso ao dispositivo durante o modo silencioso.

Ao implementar o comando de bloqueio de login, um atraso de um segundo entre as tentativas de login é automaticamente invocado. Para tornar mais difícil para um invasor, o tempo de atraso entre as tentativas de login pode ser aumentado usando o comando delay de login, conforme mostrado na Figura 3. O comando introduz um atraso uniforme entre tentativas sucessivas de login. O atraso ocorre para todas as tentativas de login, incluindo tentativas com falha ou com êxito.

Os comandos de bloqueio de login, classe de acesso no modo silencioso e atraso de login ajudam a bloquear tentativas de login com falha por um período limitado de tempo. No entanto, eles não podem impedir que um invasor tente novamente. Como um administrador pode saber quando alguém tenta obter acesso à rede adivinhando a senha?

2.1.3.4 Tentativas com falha de log

Existem três comandos que podem ser configurados para ajudar um administrador a detectar um ataque por senha, conforme mostrado na Figura 1. Cada comando permite que um dispositivo gere mensagens syslog para tentativas de login com falha ou com êxito.

Os dois primeiros comandos, log com êxito e log com falha, geram mensagens syslog para tentativas de login bem-sucedidas. O número de tentativas de login antes que uma mensagem de log seja gerada pode ser especificado usando a sintaxe [every logon], em que o valor padrão é 1 tentativa. O intervalo válido é de 1 a 65.535.

Como alternativa ao comando log de falha em logon, o comando de taxa de falha de autenticação de segurança pode ser configurado para gerar uma mensagem de log quando a taxa de falha de logon for excedida.

Use o comando show login para verificar as configurações do comando de bloqueio de login e o modo atual. Na Figura 2, o R1 foi configurado para bloquear hosts de logon por 120 segundos se mais de cinco solicitações de logon falharem em 60 segundos. R1 também confirma que o modo atual é normal e que houve quatro falhas de login nos últimos 55 segundos, porque restam cinco segundos no modo normal.

As Figuras 3 e 4 mostram um exemplo do que ocorre quando o limite de tentativas com falha é excedido.

A Figura 5 exibe o status resultante usando o comando show login. Observe que agora ele está no modo silencioso e permanecerá no modo silencioso por mais 105 segundos. R1 também identifica que o PERMIT-ADMIN ACL contém uma lista de hosts com permissão para se conectar durante o modo silencioso.

O comando show login failures exibe informações adicionais sobre as tentativas com falha, como o endereço IP do qual as tentativas com falha de login se originaram. A Figura 6 exibe uma amostra de saída do comando show login failures.

Use o Verificador de sintaxe na Figura 7 para configurar a segurança aprimorada de login no R2.

2.1.4 Configurando SSH

2.1.4.1 Etapas para configurar o SSH

Existem quatro requisitos que o roteador deve atender antes de configurar o SSH:

  • Executa uma versão do Cisco IOS que suporta SSH
  • Usa um nome de host exclusivo
  • Contém o nome de domínio correto da rede
  • Configurado para autenticação local ou serviços AAA

A Figura 1 é um exemplo das cinco etapas necessárias para configurar um roteador Cisco para suportar SSH com autenticação local:

Etapa 1. Configure o nome de domínio IP da rede usando o comando ip domain-name domain-name no modo de configuração global.

Etapa 2. Chaves secretas unidirecionais devem ser geradas para que um roteador possa criptografar o tráfego SSH. Essas chaves são chamadas de chaves assimétricas. O software Cisco IOS usa o algoritmo Rivest, Shamir e Adleman (RSA) para gerar chaves. Para criar a chave RSA, use o comando crypto key generate rsa general-keys modulus modulus-size no modo de configuração global. O módulo determina o tamanho da chave RSA e pode ser configurado de 360 ​​bits a 4.096 bits. Quanto maior o módulo, mais segura a chave RSA. No entanto, chaves com grandes valores de módulo demoram um pouco mais para gerar, criptografar e descriptografar. O comprimento mínimo recomendado da chave do módulo é 1.024 bits.

Nota: O SSH é ativado automaticamente após a geração das chaves RSA.

Etapa 3. Embora não seja tecnicamente necessário, como os roteadores Cisco adotam o padrão SSH versão 2, você pode configurar manualmente a versão 2 com o comando de configuração global ip ssh versão 2. A versão original possui vulnerabilidades conhecidas.

Etapa 4. Verifique se há uma entrada de nome de usuário do banco de dados local válida. Caso contrário, crie um usando o comando nome do usuário nome do algoritmo scrypt secret secret.

Etapa 5. Habilite as sessões SSH de entrada vty usando os comandos line vty, faça login no local e transporte ssh da entrada.

Para verificar o SSH e exibir as chaves geradas, use o comando show crypto key mypubkey rsa no modo EXEC privilegiado. Se houver pares de chaves existentes, é recomendável que eles sejam substituídos usando o comando crypto key zeroize rsa. Se houver pares de chaves existentes, é recomendável que eles sejam removidos usando o comando crypto key zeroize rsa. A Figura 2 fornece um exemplo de verificação das chaves criptográficas SSH e remoção das chaves antigas.

2.1.4.2 Modificando a configuração SSH

Para verificar as configurações opcionais do comando SSH, use o comando show ip ssh, como mostra a Figura 1. Você também pode modificar o intervalo de tempo limite padrão do SSH e o número de tentativas de autenticação. Use o comando do modo de configuração global ip ssh time-out seconds para modificar o intervalo de tempo limite padrão de 120 segundos. Isso configura o número de segundos que o SSH pode usar para autenticar um usuário. Depois de autenticada, uma sessão EXEC é iniciada e o tempo limite de execução padrão configurado para o vty se aplica.

Por padrão, um usuário que faz login tem três tentativas para inserir a senha correta antes de ser desconectado. Para configurar um número diferente de tentativas SSH consecutivas, use o comando ip ssh authentication-retries integer global configuration mode mode.

Use o Verificador de sintaxe na Figura 2 para ativar o SSH no R2.

2.1.4.3 Conectando a um roteador habilitado para SSH

Para verificar o status das conexões do cliente, use o comando show ssh. Existem duas maneiras diferentes de conectar-se a um roteador habilitado para SSH:

  • Por padrão, quando o SSH está ativado, um roteador Cisco pode atuar como um servidor SSH ou cliente SSH. Como servidor, um roteador pode aceitar conexões de clientes SSH. Como cliente, um roteador pode conectar-se via SSH a outro roteador habilitado para SSH (consulte as Figuras 1, 2 e 3).
  • Conecte-se usando um cliente SSH em execução em um host, conforme mostrado nas Figuras 4, 5, 6 e 7. Exemplos desses clientes incluem PuTTY, OpenSSH e TeraTerm.

O procedimento para conectar-se a um roteador Cisco varia de acordo com o aplicativo cliente SSH que está sendo usado. Geralmente, o cliente SSH inicia uma conexão SSH com o roteador. O serviço SSH do roteador solicita a combinação correta de nome de usuário e senha. Após a verificação do login, o roteador pode ser gerenciado como se o administrador estavisse usando uma sessão Telnet padrão.

2.2.1 Configurando níveis de privilégio

2.2.1.1 Limitando a disponibilidade do comando

As grandes organizações têm muitas funções de trabalho variadas em um departamento de TI. Nem todas as funções do trabalho devem ter o mesmo nível de acesso aos dispositivos de infraestrutura (como mostrado nas Figuras 1 e 2). O software Cisco IOS possui dois métodos para fornecer acesso à infraestrutura: nível de privilégio e CLI baseada em função. Ambos os métodos ajudam a determinar quem deve se conectar ao dispositivo e o que essa pessoa deve fazer com ele. O acesso à CLI baseado em função fornece mais granularidade e controle.

Por padrão, a CLI do Cisco IOS Software possui dois níveis de acesso aos comandos:

  • Modo EXEC de usuário (nível de privilégio 1) – fornece os privilégios de usuário mais baixos no modo EXEC e permite apenas comandos no nível do usuário disponíveis no prompt do roteador>.
  • Modo EXEC privilegiado (nível de privilégio 15) – Inclui todos os comandos de nível de ativação no prompt do roteador #.

Existem 16 níveis de privilégio no total, como mostra a Figura 3. Quanto maior o nível de privilégio, mais acesso ao roteador o usuário tem. Os comandos disponíveis em níveis mais baixos de privilégio também são executáveis ​​em níveis mais altos. Para atribuir comandos a um nível de privilégio personalizado, use o comando do modo de configuração global de privilégios (Figura 4).

2.2.1.2 Configurando e atribuindo níveis de privilégio

Para configurar um nível de privilégio com comandos específicos, use o nível de privilégio exec [comando]. A Figura 1 mostra exemplos para três níveis de privilégio diferentes.

  • O nível de privilégio 5 tem acesso a todos os comandos disponíveis para o nível 1 predefinido e o comando ping.
  • O nível 10 de privilégio tem acesso a todos os comandos disponíveis para o nível 5, bem como ao comando reload.
  • O nível de privilégio 15 é predefinido e não precisa ser configurado explicitamente. Este nível de privilégio tem acesso a todos os comandos, incluindo a visualização e alteração da configuração.

Existem dois métodos para atribuir senhas aos diferentes níveis de privilégio:

  • Para um usuário que recebe um nível de privilégio específico, use o comando nome do usuário nome do nível de privilégio senha secreta comando de modo de configuração global
  • Para o nível de privilégio, use o comando enable secret level level password no modo de configuração global.

Nota: Os comandos secreto de nome de usuário e de habilitação secreto estão configurados para criptografia do tipo 9.

Use o comando username para atribuir um nível de privilégio a um usuário específico. Use o comando enable secret para atribuir um nível de privilégio a uma senha específica do modo EXEC. Por exemplo, o usuário SUPPORT recebe o nível de privilégio 5 com a senha cisco5. No entanto, como mostrado na Figura 2, qualquer usuário pode acessar o nível de privilégio 5 se esse usuário souber que a senha secreta de ativação é cisco5. A Figura 2 também demonstra que o nível de privilégio 5 não pode recarregar o roteador. Na Figura 3, o usuário habilita o nível de privilégio 10, que tem acesso ao comando reload. No entanto, os usuários no nível de privilégio 10 não podem exibir a configuração em execução. Na Figura 4, o usuário habilita o nível de privilégio 15, que tem acesso total para visualizar e alterar a configuração, incluindo a execução da configuração.

2.2.1.3 Limitações dos níveis de privilégio

O uso de níveis de privilégio tem suas limitações:

  • Sem controle de acesso a interfaces, portas, interfaces lógicas e slots específicos em um roteador.
  • Os comandos disponíveis em níveis mais baixos de privilégio são sempre executáveis ​​em níveis mais altos.
  • Os comandos definidos especificamente em um nível de privilégio mais alto não estão disponíveis para usuários com privilégios mais baixos.
  • A atribuição de um comando com várias palavras-chave permite o acesso a todos os comandos que usam essas palavras-chave. Por exemplo, permitir o acesso ao show ip route permite ao usuário acessar todos os comandos show e show ip.

Nota: Se um administrador precisar criar uma conta de usuário que tenha acesso à maioria, mas não a todos os comandos, as instruções exec de privilégio precisarão ser configuradas para cada comando que deve ser executado em um nível de privilégio inferior a 15.

Use o Verificador de sintaxe na Figura 2 para configurar os níveis de privilégio no R2.

2.2.2.1 Acesso à CLI com base em funções

Em um esforço para fornecer mais flexibilidade do que os níveis de privilégio permitem, a Cisco introduziu o recurso de acesso à CLI baseado em função no Cisco IOS Release 12.3 (11) T. Esse recurso fornece acesso mais fino e granular, controlando quais comandos estão disponíveis para funções específicas, conforme mostrado nas Figuras 1 e 2. O acesso à CLI baseado em função permite que o administrador da rede crie visualizações diferentes das configurações do roteador para diferentes usuários. Cada visualização define os comandos da CLI que cada usuário pode acessar.

Segurança

O acesso à CLI baseado em função aprimora a segurança do dispositivo, definindo o conjunto de comandos da CLI acessíveis por um usuário específico. Além disso, os administradores podem controlar o acesso do usuário a portas, interfaces lógicas e slots específicos em um roteador. Isso evita que um usuário altere acidental ou propositalmente uma configuração ou colete informações às quais não deve ter acesso.

Disponibilidade

O acesso à CLI baseado em função impede a execução não intencional de comandos da CLI por pessoal não autorizado e minimiza o tempo de inatividade.

Eficiência operacional

Os usuários veem apenas os comandos da CLI aplicáveis ​​às portas e à CLI às quais eles têm acesso. Portanto, o roteador parece ser menos complexo e os comandos são mais fáceis de identificar ao usar o recurso de ajuda no dispositivo.

2.2.2.2 Visualizações baseadas em funções

A CLI baseada em função fornece três tipos de visualizações que determinam quais comandos estão disponíveis:

Root View

Para configurar qualquer visualização para o sistema, o administrador deve estar na visualização raiz. A visualização raiz possui os mesmos privilégios de acesso que um usuário com privilégios de nível 15. No entanto, uma visualização raiz não é igual a um usuário de nível 15. Somente um usuário da visualização raiz pode configurar uma nova visualização e adicionar ou remover comandos das visualizações existentes.

CLI View

Um conjunto específico de comandos pode ser empacotado em uma visualização da CLI. Ao contrário dos níveis de privilégio, uma visualização da CLI não possui hierarquia de comandos e visualizações superiores ou inferiores. Cada visualização deve receber todos os comandos associados a essa visualização. Uma visão não herda comandos de nenhuma outra visão. Além disso, os mesmos comandos podem ser usados ​​em várias visualizações.

Superview

Uma superview consiste em uma ou mais visualizações da CLI. Os administradores podem definir quais comandos são aceitos e quais informações de configuração são visíveis. As superviews permitem que um administrador de rede atribua a usuários e grupos de usuários várias visualizações de CLI ao mesmo tempo, em vez de precisar atribuir uma única visualização de CLI por usuário com todos os comandos associados a essa visualização de CLI.

As Superviews têm várias características específicas:

  • Uma única visualização da CLI pode ser compartilhada em várias superviews.
  • Os comandos não podem ser configurados para uma superview. Um administrador deve incluir comandos na visualização da CLI e incluir essa visualização na superview.
  • Os usuários que efetuaram login em uma superview podem acessar todos os comandos que estão configurados para qualquer uma das visualizações da CLI que fazem parte da superview.
  • Cada superview tem uma senha usada para alternar entre superviews ou de uma visualização da CLI para uma superview.
  • A exclusão de uma superview não exclui as visualizações da CLI associadas. As visualizações da CLI permanecem disponíveis para serem atribuídas a outra superview.

Clique em Reproduzir na animação para obter uma explicação das visualizações.

Quais três ações de configuração adicionais devem ser executadas para concluir a configuração SSH?

Quais são as três ações de configuração adicionais que devem ser realizadas para concluir a configuração SSH? (Escolha três.) Habilite manualmente o SSH depois que as chaves RSA forem geradas. Configure o acesso CLI baseado em função. Crie um nome de usuário local válido e banco de dados de senha.

Quais são os três requisitos definidos pelos protocolos usados nas comunicações de rede para possibilitar a transmissão da mensagem pela rede?

2 / 2 ptsPergunta 5 Quais são os três requisitos definidos pelos protocolos usados nas comunicações de rede para possibilitar a transmissão da mensagem pela rede? (Escolha três.) especificações do conector codificação de mensagem Correto! Correto! seleção de meio físico tamanho da mensagem Correto!

Quais duas funções são fornecidas pela camada de rede?

As funções exercidas na camada de rede do modelo OSI estão listados abaixo: Tráfego direção ao destino final. Dirigindo; lógico endereços de rede e serviços endereços.

Quais são as duas mensagens ICMP usadas pelos protocolos IPv4 e IPv6 escolha dois?

O ICMPv4 é o protocolo de mensagens para IPv4. O ICMPv6 fornece os mesmos serviços para IPv6 mas inclui a funcionalidade adicional. Neste curso, o termo ICMP será usado quando falamos de ICMPv4 e ICMPv6. Os tipos de mensagens ICMP e as razões por que são enviadas são vastos.

quais etapas adicionais necessárias configurar r1 aceitar somente conexões ssh criptografadas

Postagens relacionadas

Quais são os dois serviços executados pela camada de enlace de dados do modelo OSI Escolha duas?
Quais são os dois serviços executados pela camada de enlace de dados do modelo OSI Escolha duas?

Quais são os princípios de projeto que ajudam a garantir a alta disponibilidade escolha três?
Quais são os princípios de projeto que ajudam a garantir a alta disponibilidade escolha três?

Quais das opções são dois métodos que garantem a confidencialidade escolher dois Select one or more?
Quais das opções são dois métodos que garantem a confidencialidade escolher dois Select one or more?

Quais são os três métodos que podem ser usados para garantir a confidencialidade da informação Escolha três?
Quais são os três métodos que podem ser usados para garantir a confidencialidade da informação Escolha três?

Quais são os dois motivos para instalar uma segunda unidade de disco rígido em um computador existente?
Quais são os dois motivos para instalar uma segunda unidade de disco rígido em um computador existente?

Quais as principais atividades econômicas desenvolvidas no Brasil colonial do século XVII?
Quais as principais atividades econômicas desenvolvidas no Brasil colonial do século XVII?

Quais as desvantagens para uma espécie que desenvolve de maneira assexuada?
Quais as desvantagens para uma espécie que desenvolve de maneira assexuada?

Quais são as características dos metais e Ametais na Tabela Periódica?
Quais são as características dos metais e Ametais na Tabela Periódica?

Quais são as principais características dos metais tabela periódica?
Quais são as principais características dos metais tabela periódica?

Quais são os níveis de organização mais simples do que o dos órgãos?
Quais são os níveis de organização mais simples do que o dos órgãos?

Is defined as two or more interacting and interdependent individuals who come together to achieve specific goals?
Is defined as two or more interacting and interdependent individuals who come together to achieve specific goals?

If 5 men can make 5 flags in 5 minutes how many men are required to make 50 flags in 50 minutes
If 5 men can make 5 flags in 5 minutes how many men are required to make 50 flags in 50 minutes

50 workers can build 50 walls in 25 days how many days will it take for 25 workers to build 25 walls
50 workers can build 50 walls in 25 days how many days will it take for 25 workers to build 25 walls

20 workers need 6 hours to build a wall how many hours will 15 workers need to build the same wall
20 workers need 6 hours to build a wall how many hours will 15 workers need to build the same wall

Which group would be most likely to oppose government intervention to improve the tenements
Which group would be most likely to oppose government intervention to improve the tenements

What is the name of the process in which one company studies the processes of another firm?
What is the name of the process in which one company studies the processes of another firm?

Which one of these represents a firm that seeks to match the benefits of a successful competitor while maintaining its competitive position?
Which one of these represents a firm that seeks to match the benefits of a successful competitor while maintaining its competitive position?

Ferrous sulfate life threatening Considerations
Ferrous sulfate life threatening Considerations

How many liters of water must be added to 21 liters of milk and water contains 20% water to make it 40% water in it?
How many liters of water must be added to 21 liters of milk and water contains 20% water to make it 40% water in it?

Which of the following programs can copy itself and spread from one file to another such as in word processing or spreadsheet programs?
Which of the following programs can copy itself and spread from one file to another such as in word processing or spreadsheet programs?

Publicidade

ÚLTIMAS NOTÍCIAS

Is defined as two or more interacting and interdependent individuals who come together to achieve specific goals?
1 anos atrás . por InflatedHumility
If 5 men can make 5 flags in 5 minutes how many men are required to make 50 flags in 50 minutes
1 anos atrás . por TropicalPhrasing
50 workers can build 50 walls in 25 days how many days will it take for 25 workers to build 25 walls
1 anos atrás . por DamagedShoplifting
20 workers need 6 hours to build a wall how many hours will 15 workers need to build the same wall
1 anos atrás . por IncredibleLitigation
Which group would be most likely to oppose government intervention to improve the tenements
1 anos atrás . por EscapingAdvice
What is the name of the process in which one company studies the processes of another firm?
1 anos atrás . por PerverseSiding
Which one of these represents a firm that seeks to match the benefits of a successful competitor while maintaining its competitive position?
1 anos atrás . por SatiricalCrossroads
Ferrous sulfate life threatening Considerations
1 anos atrás . por DarkStandpoint
How many liters of water must be added to 21 liters of milk and water contains 20% water to make it 40% water in it?
1 anos atrás . por NostalgicTuesday
Which of the following programs can copy itself and spread from one file to another such as in word processing or spreadsheet programs?
1 anos atrás . por PlanetaryWomanhood

Toplistas

#1
Top 7 remédio para dor de ouvido infantil 6 anos 2022
1 anos atrás
#2
Top 7 folder programa para fazer 2022
1 anos atrás
#3
Top 7 o que é bom para reduzir o colesterol ruim 2022
1 anos atrás
#4
Top 8 o que é cidade local 2022
1 anos atrás
#5
Top 8 distancia entre cidades americanas e canadenses 2022
1 anos atrás
#6
Top 9 o texto apresenta uma relação entre atividade econômica e organização social marcada pelo 2022
1 anos atrás
#7
Top 5 blusas de croche verão 2022
1 anos atrás
#8
Top 6 cha de cordão de frade para que serve 2022
1 anos atrás
#9
Top 8 se a cada hora o planeta percorre 15° de longitude quantos graus ele realiza a cada rotação 2022
1 anos atrás
#10
Top 5 crie um algoritmo que calcule o valor do fatorial de um número fornecido pelo usuário 2022
1 anos atrás

Publicidade

Populer

Publicidade

Sobre

Jurídica

Ajuda

Social

direito autoral © 2024 comojogaruno Inc.