Você está na página 1de 13

Melhorando a Segurana em Roteadores Cisco - Cisco Systems

http://www.cisco.com/cisco/web/support/BR/8/84/84031_21.html

IP : Servios de endereamento IP

Melhorando a Segurana em Roteadores Cisco


BRASIL SUPORTE SUPORTE DE TECNOLOGIAS IP SERVIOS DE ENDEREAMENTO IP ALERTAS E TROUBLESHOOTING NOTAS TCNICAS DE TROUBLESHOOTING Melhorando a Segurana em Roteadores Cisco 7 Abril 2008 - Traduo Manual Outras Verses: Verso em PDF Feedback | Traduo por Computador (29 Julho 2013) | Ingls (7 Junho 2011) |

Interativo: Este documento oferece uma anlise personalizada do seu dispositivo Cisco. ndice
Introduo Pr-requisitos Requisitos Componentes Usados Convenes Informaes complementares Gerenciamento de Senha enable secret service password-encryption (e limitaes) Acesso Interativo de Controle Portas do Console Acesso Interativo Geral Banners de Advertncia Servios de Gerenciamento Configurados Normalmente SNMP HTTP Gerenciamento e Acesso Interativo atravs da Internet (e outras Redes No-Confiveis) Farejadores de Pacotes Outros Riscos de Acesso Internet Registro Informaes sobre a Gravao de Registros Registrar Violaes da Lista de Acesso IP Routing Seguro Anti-Falsificao Controle de Broadcasts Direcionados Integridade de Caminho Gerenciamento de Inundao Inundaes de Trnsito Autoproteo do Roteador Servios Possivelmente Desnecessrios Servios Pequenos de TCP e UDP Finger NTP CDP Mantenha-se Atualizado Lista de Comandos Comunidade de Suporte da Cisco - Conversas em Destaque Informaes Relacionadas

Introduo
Este documento uma discusso informal sobre algumas definies de configurao da Cisco que administradores de rede devem pensar em alterar em seus roteadores, especialmente em seus roteadores de borda, para melhorar a segurana. Este documento trata de itens bsicos de configurao de texto padro que so aplicveis de forma praticamente universal em redes IP, bem como de alguns itens inesperados dos quais voc deve ter cincia. Se voc tiver a sada de um comando show running-configuration de seu dispositivo da Cisco, possvel usar Output Interpreter para visualizar possveis problemas e correes.Voc dever ser um cliente registrado, estar conectado e possuir o JavaScript habilitado para usar Output Interpreter .

Pr-requisitos Requisitos
No existem requisitos especficos para este documento.

1 de 13

29/12/2013 11:03

Melhorando a Segurana em Roteadores Cisco - Cisco Systems

http://www.cisco.com/cisco/web/support/BR/8/84/84031_21.html

Componentes Usados
Este documento no est restrito a verses especficas de software e de hardware.

Convenes
Consulte Convenes de Dicas Tcnicas da Cisco para obter mais informaes sobre as convenes de documentos.

Informaes complementares
Esta no uma lista completa, nem pode ser substituda pelo conhecimento do administrador da rede. Este documento um lembrete de algumas coisas que, s vezes, so esquecidas. Somente comandos importantes para redes IP so mencionados. Muitos dos servios habilitados em roteadores Cisco exigem uma configurao de segurana cuidadosa. No entanto, este documento baseia-se principalmente em servios habilitados por padro, ou que quase sempre so habilitados pelos usurios, e que talvez precisem ser desabilitados ou reconfigurados. Isso especialmente importante porque algumas das configuraes padro do Cisco IOS Software esto presentes por razes histricas. As configuraes faziam sentido quando foram escolhidas, mas podem ser diferentes se novos padres forem escolhidos atualmente. Outros padres fazem sentido para a maioria dos sistemas, mas podem criar exposies de segurana se forem usados em dispositivos que fazem parte de uma defesa de permetro de rede. Outros ainda, so realmente exigidos por padres, mas nem sempre so desejveis do ponto de vista de segurana. O Cisco IOS Software possui muitas caractersticas especficas de segurana, como listas de acesso de filtragem de pacotes, Conjunto de Recursos do Cisco IOS Firewall, Interceptao de TCP, AAA e criptografia. Muitas outras caractersticas, como registro de pacotes e Quality of Service (QoS), podem ser utilizadas para aumentar a segurana de rede contra vrios ataques. Nenhum desses so discutidos, exceto superficialmente. Este no um documento sobre configurao de firewall. Em sua maioria, trata-se de um documento sobre como proteger o prprio roteador e ignora a questo igualmente importante de proteo de outros dispositivos de rede.

Gerenciamento de Senha
Senhas e segredos similares, como strings de comunidade do Simple Network Management Protocol (SNMP), so a principal defesa contra acesso no autorizado ao roteador. A melhor maneira de tratar a maioria das senhas mant-las em um servidor de autenticao TACACS+ ou RADIUS. No entanto, quase todos os roteadores ainda possuem uma senha configurada localmente para acesso privilegiado e tambm podem ter outras informaes de senha em seus arquivos de configurao.

enable secret
O comando enable secret usado para definir a senha que garante acesso administrativo privilegiado ao sistema IOS. Uma senha secreta habilitada deve ser sempre configurada. Utilize o comando enable secret, e no o antigo comando enable password. O comando enable password utiliza um algoritmo de criptografia fraco. Consulte a seo service password-encryption deste documento para obter mais informaes. Se nenhuma senha secreta habilitada estiver definida e uma senha for configurada para a linha TTY do console, a senha do console poder ser usada para obter o acesso privilegiado, mesmo a partir de uma sesso de VTY remota. Isso, quase certamente, no o que voc quer, mas outra razo para estar certo de configurar uma habilitao de segredo.

service password-encryption (e limitaes)


O comando service password-encryption orienta o software IOS a criptografar senhas, segredos CHAP, e dados similares que so salvos em seu arquivo de configurao. Isso til para evitar que observadores casuais leiam as senhas, como por exemplo quando espiam a tela do administrador. No entanto, o algoritmo usado pelo comando service password-encryption a cifra de Vigenere simples. Qualquer criptgrafo amador competente pode revert-lo facilmente em algumas horas. O algoritmo no foi desenhado para proteger arquivos de configurao contra anlises srias, at mesmo por invasores levemente sofisticados, e no dever ser usado para este propsito. Qualquer arquivo de configurao Cisco que contenha senhas criptografadas deve ser tratado com o mesmo cuidado usado para uma lista de texto puro dessas mesmas senhas. Esse aviso de criptografia fraca no se aplica a senhas definidas com o comando enable secret, mas se aplica a senhas definidas com o comando enable password. O comando enable secret usa o MD5 para hashing de senha. O algoritmo teve reviso pblica considervel e no reversvel, at onde o pessoal da Cisco saiba. No entanto, ele est sujeito a ataques de dicionrio. Um ataque de dicionrio quando um computador tenta todas as palavras de um dicionrio ou de outra lista de senhas candidatas. Portanto, aconselhvel manter o arquivo de configurao longe de pessoas no confiveis, especialmente se no tiver certeza de que as senhas foram bem escolhidas.

Acesso Interativo de Controle


Qualquer pessoa que possa efetuar logon em um roteador Cisco pode exibir as informaes que provavelmente voc no deseja disponibilizar ao pblico em geral. Um usurio que possa efetuar logon no roteador tambm pode us-lo como relay para outros ataques de rede. Qualquer pessoa que possa obter acesso privilegiado ao roteador pode reconfigur-lo. necessrio controlar logons interativos ao roteador para evitar acesso imprprio. Embora a maioria dos acessos interativos esteja desabilitada por padro, h excees. A exceo mais evidente so as sesses interativas dos terminais assncronos conectados diretamente, como o terminal do console, e

2 de 13

29/12/2013 11:03

Melhorando a Segurana em Roteadores Cisco - Cisco Systems

http://www.cisco.com/cisco/web/support/BR/8/84/84031_21.html

das linhas de modem integradas.

Portas do Console
importante lembrar que a porta do console de um dispositivo Cisco IOS tem privilgios especiais. Especificamente, se um sinal BREAK for enviado porta do console durante os primeiros segundos aps uma reinicializao, o procedimento de recuperao de senha pode ser facilmente utilizado para assumir o controle do sistema. Isso significa que invasores que interrompam a alimentao ou induzam um travamento do sistema, e que tenham acesso porta do console atravs de um terminal conectado, um modem, um servidor de terminal, ou outro dispositivo de rede, podem assumir o controle do sistema, mesmo que no tenham acesso fsico a ele ou a capacidade de conectar-se a ele normalmente. Qualquer modem ou dispositivo de rede que fornea acesso porta do console Cisco deve estar protegido com um padro comparvel ao da segurana usada para acesso privilegiado ao roteador. No mnimo, todo modem de console dever ser de um tipo que possa exigir que o usurio dialup fornea uma senha de acesso, e a senha do modem deve ser gerenciada cuidadosamente.

Acesso Interativo Geral


Existem mais maneiras de obter conexes interativas para roteadores do que os usurios imaginam. O Cisco IOS Software, que depende da configurao e da verso do software, compatvel com as seguintes conexes: via Telnet rlogin SSH protocolos de rede que no sejam baseados em IP, como LAT, MOP, X.29 e V.120 possivelmente outros protocolos via conexes assncronas locais e discagens de modem Mais protocolos para acesso interativo esto sempre sendo adicionados. O acesso Telnet interativo est disponvel no apenas na porta TCP Telnet padro (porta 23), mas tambm em uma gama de portas de numerao elevada. Todos os mecanismos interativos de acesso utilizam a abstrao TTY IOS (em outras palavras, todos eles envolvem sesses em linhas de um tipo ou de outro). Os terminais assncronos locais e os modems dialup usam linhas padro, conhecidas como TTYs. Conexes de rede remotas, independente do protocolo, utilizam TTYs virtuais (VTYs). A melhor forma de proteger um sistema certificar-se de que os controles adequados sejam aplicados em todas as linhas, incluindo as linhas VTY e TTY. Como difcil ter certeza de que todos os modos de acesso possveis tenham sido bloqueados, os administradores devem usar algum tipo de mecanismo de autenticao para garantir que logons em todas as linhas sejam controlados, mesmo em mquinas que supostamente deveriam ser inacessveis a redes no confiveis. Isso especialmente importante para linhas VTY e para linhas conectadas aos modems ou outros dispositivos remotos. Os comandos login e no password podem ser configurados para evitar completamente logons interativos. Esta a configurao padro para VTYs, mas no para TTYs. H muitas formas de configurar senhas e outras formas de autenticao de usurio para linhas TTY e VTY. Consulte a documentao do Cisco IOS Software para obter mais informaes. Controle de TTYs Terminais assncronos locais so menos comuns do que antigamente, mas ainda existem em algumas instalaes. A menos que os terminais estejam fisicamente protegidos, e normalmente mesmo se estiverem, o roteador deve ser configurado para exigir que os usurios, em terminais assncronos locais, efetuem logon antes de utilizar o sistema. A maioria das portas TTY em roteadores modernos so conectadas a modems externos ou so implementadas por modems integrados. A segurana dessas portas , evidentemente, ainda mais importante do que a segurana de portas terminais locais. Por padro, um usurio remoto pode estabelecer uma conexo a uma linha TTY atravs da rede. Isso conhecido como Telnet reverso. Esse recurso permite que o usurio remoto interaja com o terminal ou o modem conectado linha TTY. possvel aplicar a proteo por senha nessas conexes. recomendvel permitir que os usurios estabeleam conexes com linhas de modem, para que possam efetuar chamadas de sada. No entanto, essa caracterstica pode permitir que um usurio remoto se conecte a uma porta de terminal assncrono local, ou at mesmo a uma porta de modem de discagem, e simule o prompt de logon do roteador para roubar senhas. Essa caracterstica tambm pode executar aes para enganar usurios locais ou interferir em seu trabalho. Execute o comando de configurao transport input none para desabilitar a caracterstica de Telnet reverso em qualquer linha de modem ou assncrona que no deva receber conexes de usurios de rede. Se possvel, no use os mesmos modems para discagem interna e discagem externa e no permita conexes Telnet reversas nas linhas que voc usa para discagem interna. Controle de VTYs e Garantia de Disponibilidade de VTY Todo VTY deve ser configurado para aceitar conexes somente com os protocolos realmente necessrios. Isso feito com o comando transport input. Por exemplo, um VTY que deva receber somente sesses Telnet configurado com o comando transport input telnet, enquanto um VTY que permita sesses Telnet e SSH tem o comando transport input telnet ssh. Se seu software for compatvel com um protocolo de acesso

3 de 13

29/12/2013 11:03

Melhorando a Segurana em Roteadores Cisco - Cisco Systems

http://www.cisco.com/cisco/web/support/BR/8/84/84031_21.html

criptografado, como o SSH, ative somente esse protocolo e desative o Telnet de texto puro. Alm disso, execute o comando ip access-class para restringir os endereos IP dos quais o VTY deve aceitar conexes. Um dispositivo Cisco IOS possui um nmero limitado de linhas VTY, geralmente cinco. Quando todos os VTYs estiverem em uso, nenhuma conexo interativa remota poder ser estabelecida. Isso cria a oportunidade de um ataque de recusa de servio. Se um invasor pode abrir sesses remotas para todos os VTYs no sistema, o administrador legtimo poder no conseguir efetuar logon. O invasor no precisa efetuar logon para fazer isso. As sesses podem simplesmente ser deixadas no prompt de logon. Uma forma de reduzir essa exposio configurar um comando ip access-class mais restritivo no ltimo VTY do sistema do que nos outros VTYs. O ltimo VTY, em geral VTY 4, pode ser restrito de forma a aceitar conexes apenas de uma nica estao de trabalho administrativa especfica, enquanto os outros VTYs podem aceitar conexes de qualquer endereo em uma rede corporativa. Outra ttica til executar o comando exec-timeout para configurar expiraes VTY. Isso impede uma sesso ociosa de consumir um VTY indefinidamente. Embora sua eficcia contra ataques deliberados seja relativamente limitada, ele tambm oferece alguma proteo contra sesses deixadas ociosas acidentalmente. Da mesma forma, habilitar as keepalives de TCP em conexes recebidas com o comando service tcp-keepalives-in pode ajudar na proteo contra ataques maliciosos e sesses rfs motivados por travamentos do sistema remoto. possvel desabilitar todos os protocolos de acesso remoto que no sejam baseados em IP e usar a criptografia IPSec para todas as conexes interativas remotas com o roteador para fornecer uma proteo VTY completa. O IPSec uma opo de custo extra e sua configurao foge do escopo deste documento.

Banners de Advertncia
Em algumas jurisdies, as aes civis e criminais contra invasores que invadem sistemas so muito facilitadas se voc utilizar um banner que informe a usurios no autorizados que o uso no autorizado. Em outras jurisdies, pode ser proibido monitorar as atividades at mesmo de usurios no autorizados, a menos que voc tenha realizado etapas para notific-los de sua inteno. Uma forma de fornecer essa notificao coloc-la em uma mensagem de banner, configurada com o comando banner login do Cisco IOS. Requisitos de notificaes legais so complexos e variam de acordo com a jurisdio e a situao. Mesmo em jurisdies, as opinies legais variam e essa questo deve ser discutida com seu prprio advogado. Decida com seu advogado qual informao colocar em seu banner: Uma observao informando que o sistema s poder ser acessado ou utilizado por pessoal autorizado especfico e, talvez, informaes sobre quem pode autorizar o uso. Uma observao informando que qualquer utilizao no autorizada do sistema ilegal e pode estar sujeita a penalidades civis e/ou criminais. Uma observao informando que qualquer utilizao do sistema pode ser registrada ou monitorada sem aviso prvio e que os arquivos de registro resultantes podem ser utilizados como evidncia nos tribunais. Observaes especficas exigidas por determinadas leis locais. Por questes de segurana, e no do ponto de vista legal, o seu banner de logon no deve conter nenhuma informao especfica sobre o roteador, como nome, modelo, qual software ele executa ou quem o proprietrio. Essas informaes podem ser usadas por invasores.

Servios de Gerenciamento Configurados Normalmente


Muitos usurios usam protocolos em vez de logon remoto interativo para gerenciar suas redes. Os protocolos mais comuns para essa finalidade so o SNMP e o HTTP. Nenhum desses protocolos habilitado por padro e, como para qualquer outro servio, a opo mais segura no habilit-los. Entretanto, se estiverem habilitados, eles devero ser protegidos como descrito nesta seo.

SNMP
O SNMP amplamente utilizado para monitoramento de roteador e freqentemente utilizado para alteraes de configurao do roteador. Infelizmente, a verso 1 do protocolo SNMP, que a mais comumente usada, utiliza um esquema de autenticao muito fraco baseado em uma string de comunidade. Isso resulta em uma senha fixa transmitida atravs da rede sem criptografia. Se possvel, utilize a verso 2 do SNMP, que compatvel com um esquema de autenticao de digest baseado em MD5 e permite acesso restrito a vrios dados de gerenciamento. Se precisar usar a verso 1 do SNMP, escolha strings de comunidade que no sejam bvias. No escolha, por exemplo, "pblica" ou "privada". Se possvel, evite utilizar as mesmas strings de comunidade para todos os dispositivos de rede. Utilize uma string ou strings diferentes para cada dispositivo, ou, pelo menos, para cada rea da rede. No faa uma string somente leitura igual a uma string de leitura/gravao. Se possvel, dever ser feita uma apurao peridica da verso 1 do SNMP com uma string de comunidade somente leitura. Strings leitura/gravao s devem ser utilizadas para operaes de gravao reais. A verso 1 do SNMP no adequada para uso na Internet pblica pelos seguintes motivos: Ele utiliza as strings de autenticao de texto claro. A maioria das implementaes de SNMP envia essas strings repetidamente como parte da apurao peridica. um protocolo de transao, baseado em datagrama, que pode ser falsificado facilmente.

4 de 13

29/12/2013 11:03

Melhorando a Segurana em Roteadores Cisco - Cisco Systems

http://www.cisco.com/cisco/web/support/BR/8/84/84031_21.html

Antes de us-lo dessa maneira, voc deve considerar com cuidado as implicaes. Na maioria das redes, mensagens SNMP legtimas so emitidas apenas por determinadas estaes de gerenciamento. Se isso ocorre em sua rede, provavelmente necessrio utilizar a opo nmero de lista de acesso no comando snmp-server community para restringir o acesso da verso 1 do SNMP apenas aos endereos IP das estaes de gerenciamento. No utilize o comando snmp-server community para qualquer finalidade em um ambiente da verso 2 do SNMP puro. Implicitamente, este comando habilita a verso 1 do SNMP. Para a verso 2 do SNMP, configure a autenticao de digest com as palavras-chave authentication e md5 do comando de configurao snmp-server party. Se possvel, utilize um valor secreto de MD5 diferente para cada roteador. As estaes de gerenciamento de SNMP normalmente possuem grandes bancos de dados de informaes de autenticao, como strings de comunidade. Essas informaes permitem o acesso a vrios roteadores e outros dispositivos de rede. Essa concentrao de informaes torna a estao de gerenciamento de SNMP um alvo natural para ataques. Sendo assim, ela deve ser protegida de acordo.

HTTP
As verses mais recentes do Cisco IOS Software utilizam o protocolo HTTP da World Wide Web para serem compatveis com o monitoramento e a configurao remotos. Geralmente, o acesso HTTP equivalente ao acesso interativo ao roteador. O protocolo de autenticao utilizado para o HTTP equivalente a enviar uma senha de texto claro atravs da rede. Infelizmente, no h provises eficientes no HTTP para senhas baseadas em desafio ou de uma vez. Isso torna o HTTP uma escolha relativamente arriscada para utilizao na Internet pblica. Se voc escolher utilizar o HTTP para gerenciamento, execute o comando ip http access-class para restringir o acesso aos endereos IP apropriados. Alm disso, execute o comando ip http authentication para configurar a autenticao. Assim como nos logons interativos, a melhor opo para autenticao HTTP utilizar um servidor TACACS+ ou RADIUS. Evite utilizar a senha de habilitao como uma senha HTTP.

Gerenciamento e Acesso Interativo atravs da Internet (e outras Redes No-Confiveis)


Muitos usurios gerenciam seus roteadores remotamente e, s vezes, isto feito via Internet. Qualquer acesso remoto no criptografado apresenta riscos, mas o acesso atravs de uma rede pblica, como a Internet, especialmente perigoso. Todos os esquemas de gerenciamento remoto, o que inclui acesso interativo, HTTP e SNMP, so vulnerveis. Os ataques discutidos nesta seo so relativamente sofisticados, mas no so impossveis para os invasores de hoje em dia. Freqentemente, esses ataques podem ser impedidos se os provedores de rede pblica envolvidos tomarem as medidas de segurana adequadas. Voc precisa avaliar o seu nvel de confiana nas medidas de segurana utilizadas pelos provedores que conduzem seu trfego de gerenciamento. Mesmo que voc confie em seus provedores, recomendvel tomar pelo menos algumas medidas para se proteger dos resultados de quaisquer erros que possam ocorrer. Todos os cuidados aqui aplicam-se tanto a hosts quanto a roteadores. Este documento trata da proteo de sesses de logon do roteador, mas voc deve utilizar mecanismos anlogos para proteger seus hosts se eles forem administrados remotamente. A administrao remota da Internet til, mas requer ateno especial quanto segurana.

Farejadores de Pacotes
Os invasores freqentemente entram em computadores pertencentes a provedores de servios de Internet (ISPs), ou em computadores de outras redes de grande porte, e instalam programas farejadores de pacotes. Esses programas monitoram o trfego realizado atravs da rede e roubam dados, como senhas e strings de comunidade do SNMP. Embora isso tenha sido dificultado graas s melhorias de segurana realizadas por operadores de rede, ainda relativamente comum. Alm do risco de invasores externos, no incomum que o pessoal de ISP de rogue instale farejadores. Qualquer senha enviada atravs de um canal no criptografado est em risco. Isso inclui as senhas de logon e habilitao de seus roteadores. Se possvel, evite efetuar logon em seu roteador utilizando um protocolo no criptografado em uma rede no confivel. Se o software do roteador for compatvel, utilize um protocolo de logon criptografado, como SSH ou Telnet Kerberizado. Outra possibilidade utilizar a criptografia IPSec para todo o trfego de gerenciamento do roteador, incluindo Telnet, SNMP e HTTP. Todas essas caractersticas de criptografia esto sujeitas a determinadas restries de exportao impostas pelo governo dos Estados Unidos e so itens que exigem solicitao especial e custos extras em roteadores Cisco. Se voc no tiver acesso a um protocolo de acesso remoto criptografado, outra possibilidade utilizar um sistema de senha de uma vez, como S/KEY ou OPIE, junto com um servidor TACACS+ ou RADIUS. Isso controla os logons interativos e o acesso privilegiado ao seu roteador. A vantagem nesse caso que uma senha roubada fica inutilizada, pois invalidada pela sesso em que roubada. Dados sem senha transmitidos na sesso permanecem disponveis aos curiosos, mas muitos programas farejadores esto instalados para se concentrarem nas senhas. Se voc precisar enviar senhas atravs de sesses de Telnet de texto puro, altere suas senhas com freqncia e preste muita ateno no caminho percorrido pelas sesses.

Outros Riscos de Acesso Internet


Alm dos farejadores de pacotes, o gerenciamento remoto de Internet dos roteadores apresenta os seguintes riscos segurana: Para gerenciar um roteador por meio da Internet, voc deve permitir que no mnimo alguns dos hosts da

5 de 13

29/12/2013 11:03

Melhorando a Segurana em Roteadores Cisco - Cisco Systems

http://www.cisco.com/cisco/web/support/BR/8/84/84031_21.html

Internet tenham acesso ao roteador. possvel que esses hosts sejam comprometidos ou que seus endereos sejam falsificados. Ao permitir o acesso interativo a partir da Internet, sua segurana passa a depender no somente de suas prprias medidas anti-falsificao, mas tambm das medidas dos provedores de servios envolvidos. Voc pode certificar-se de que todos os hosts que tm permisso para efetuar logon em seu roteador estejam sob seu controle para reduzir os riscos. Alm disso, utilize protocolos de logon criptografados com autenticao forte. s vezes possvel seqestrar uma conexo TCP no criptografada (como uma sesso de Telnet), e tomar o controle de um usurio que estiver conectado. Embora esses ataques no sejam to comuns quanto simples farejadores de pacotes e possam ser de complexa realizao, eles so possveis e podem ser usados por um invasor que tenha especificamente sua rede como alvo. A nica soluo real para o problema de seqestro de sesso utilizar um protocolo de gerenciamento criptografado com autenticao forte. Ataques de recusa de servio so relativamente comuns na Internet. Se sua rede estiver sujeita a um ataque de recusa de servio, voc pode no ser capaz de alcanar seu roteador para coletar informaes ou tomar uma ao defensiva. At mesmo um ataque rede de outra pessoa pode prejudicar o acesso de gerenciamento sua prpria rede. Embora seja possvel executar alguns passos para tornar sua rede mais resistente a ataques de recusa de servio, a nica defesa real contra esse risco ter um canal de gerenciamento diferente e que esteja fora da banda, como uma discagem por modem, para uso em emergncias.

Registro
Os roteadores Cisco podem registrar informaes sobre diversos eventos, muitos dos quais tm significado de segurana. Os registros podem ser muito importantes para caracterizar e combater incidentes de segurana. Estes so os tipos principais de registro utilizados pelos roteadores Cisco: Registro de AAAColeta informaes sobre conexes de entrada do usurio, logons, logouts, acessos HTTP, alteraes de nvel de privilgio, comandos executados e eventos semelhantes. As entradas de registro de AAA so enviadas aos servidores de autenticao que utilizam os protocolos TACACS+ e/ou RADIUS e gravadas localmente por esses servidores, geralmente em arquivos de disco. Se voc utiliza um servidor TACACS+ ou RADIUS, possvel habilitar o registro de AAA de vrias formas. Execute os comandos de configurao de AAA, como aaa accounting, para habilit-lo. Uma descrio detalhada da configurao de AAA est alm do escopo deste documento. Registro de armadilha de SNMPEnvia notificaes de alteraes significativas no status do sistema para as estaes de gerenciamento do SNMP. Utilize armadilhas de SNMP somente se voc tiver uma infra-estrutura de gerenciamento de SNMP pr-existente. Registro de sistemaRegistra uma grande variedade de eventos, dependendo da configurao do sistema. Os eventos de registro do sistema podem ser informados a vrios destinos, incluindo os seguintes: A porta do console do sistema (console de registro). Servidores que utilizem o protocolo UNIX syslog (logging ip-address, logging trap). Sesses remotas em VTYs e sesses locais em TTYs (monitor de registro, monitor do terminal). Um buffer de registro local na RAM do roteador (registro em buffer). Do ponto de vista da segurana, os eventos mais importantes, geralmente gravados pelo registro do sistema, so as alteraes de status de interface, alteraes na configurao do sistema, correspondncias de lista de acesso e eventos detectados pelo firewall opcional e caractersticas de deteco de intruses. Cada evento de registro de sistema rotulado com um nvel de urgncia. O intervalo de nveis das informaes de depurao (de menor urgncia), para as principais emergncias de sistema. Cada destino de registro pode ser configurado com urgncia limiar, e recebe eventos de registro somente no limite, ou acima dele.

Informaes sobre a Gravao de Registros


Por padro, as informaes de registro do sistema so enviadas somente para a porta de console assncrona. Pelo fato de muitas portas de console no serem monitoradas, ou serem conectadas a terminais sem memria histrica, e com exibies relativamente pequenas, essas informaes podem no estar disponveis quando necessrio, especialmente quando um problema for depurado atravs da rede. Quase todos os roteadores devem salvar informaes de registro do sistema em um buffer de RAM local. O buffer de registro tem tamanho fixo e mantm apenas as informaes mais recentes. O contedo do buffer perdido sempre que o roteador recarregado. Mesmo assim, um buffer de registro de tamanho moderado normalmente muito til. Em roteadores low-end, um tamanho de buffer razovel deve ser de 16384 ou 32768 bytes. Em roteadores high-end com muita memria (e muitos eventos registrados),at 262144 bytes apropriado. possvel executar o comando show memory para certificar-se de que o roteador tenha espao suficiente na memria para ser compatvel com um buffer de registro. Execute o comando de configurao logging buffered buffer-size para criar o buffer. A maioria das instalaes maiores ter servidores syslog. possvel enviar informaes de registro para um

6 de 13

29/12/2013 11:03

Melhorando a Segurana em Roteadores Cisco - Cisco Systems

http://www.cisco.com/cisco/web/support/BR/8/84/84031_21.html

servidor com o server-ip-address do registro, e possvel controlar o limite de urgncia para registro no servidor com o comando logging trap urgency . Mesmo que voc tenha um servidor syslog, ainda ter que ativar o registro local. Se o seu roteador tiver um relgio em tempo real ou estiver executando o NTP, execute o comando service timestamps log datetime msecs para criar um rtulo de tempo para entradas do registro.

Registrar Violaes da Lista de Acesso


Caso use listas de acesso para filtrar o trfego, talvez seja conveniente registrar os pacotes que violarem seus critrios de filtragem. Verses mais antigas do Cisco IOS Software utilizam a palavra-chave log para serem compatveis com registros. Isso causa o registro dos endereos IP e dos nmeros de porta associados aos pacotes que correspondam a uma entrada da lista de acesso. Verses mais recentes fornecem a palavra-chave log-input, que acrescenta informaes sobre a interface a partir da qual o pacote foi recebido e o endereo MAC do host que o enviou. No uma boa idia configurar o registro para entradas de listas de acesso que correspondam a muitos pacotes. Isso faz com que os arquivos de registro fiquem muito grandes, o que pode causar reduo no desempenho do sistema. Entretanto, as mensagens do log de lista de acesso tm taxa limitada e, portanto, o impacto no catastrfico. O registro da lista de acessos tambm pode ser usado para registrar o trfego suspeito, a fim de caracterizar o trfego associado aos ataques rede.

IP Routing Seguro
Esta seo discute algumas medidas de segurana bsicas relacionadas forma como o roteador encaminha pacotes IP. Consulte Caractersticas essenciais do IOS para obter mais informaes sobre essas questes.

Anti-Falsificao
Muitos ataques rede consistem em um invasor que falsifica ou frauda os endereos de origem de datagramas IP. Alguns ataques dependem de falsificao para funcionar e outros ataques sero muito mais difceis de rastrear, se o invasor conseguir usar o endereo de outra pessoa, em vez do seu prprio endereo. Portanto, importante que os administradores de rede impeam a falsificao sempre que possvel. A anti-falsificao deve ser realizada em todos os pontos da rede onde for possvel. Normalmente mais fcil e mais eficaz nas bordas entre grandes blocos de endereo ou entre domnios de administrao de rede. praticamente impossvel realizar a anti-falsificao em todos os roteadores de uma rede, por causa da dificuldade de determinar quais endereos de origem podem aparecer legitimamente em uma determinada interface. Se voc for um ISP, poder perceber que a anti-falsificao eficaz, junto com outras medidas efetivas de segurana, faz com que assinantes caros e problemticos transfiram seus negcios para outros provedores. Os ISPs devem aplicar controles anti-falsificao nos pools de dialup e outros pontos de conexo do usurio final (consulte RFC 2267 ). Os administradores de firewalls corporativos ou de roteadores de permetro s vezes instalam medidas anti-falsificao para evitar que hosts da Internet se apropriem de endereos de hosts internos, mas no tomam providncias para evitar que os hosts internos se apropriem dos endereos dos hosts da Internet. Tente evitar a falsificao em ambas as direes. H pelo menos trs boas razes para se executar a anti-falsificao em ambas as direes em um firewall organizacional: 1. Usurios internos ficam menos tentados a realizar ataques a redes e tm menos chances de sucesso se tentarem de fato. 2. Hosts internos configurados incorretamente por acidente tm menor probabilidade de causar problemas para locais remotos. Portanto, tm menor probabilidade de causarem ligaes de reclamao ou de denegrir a reputao da organizao. 3. Invasores externos freqentemente entram em redes como pontos de partida para outros ataques. Esses invasores podem ficar menos interessados em uma rede que tenha proteo de falsificao de sada. Anti-Falsificao com Listas de Acesso Infelizmente, no possvel fornecer uma lista simples de comandos que forneam a proteo contra falsificao adequada. A configurao da lista de acesso depende muito da rede individual. O principal objetivo descartar pacotes que cheguem em interfaces que no sejam caminhos viveis dos supostos endereos de origem desses pacotes. Por exemplo, em um roteador de duas interfaces que conecta uma rede corporativa Internet, qualquer datagrama que chegar na interface da Internet, mas cujo campo de endereo de origem indicar que veio de uma mquina na rede corporativa, dever ser descartado. Da mesma forma, todos os datagramas que chegarem interface conectada rede corporativa, mas cujo campo de endereo de origem indicar que a origem uma mquina fora da rede corporativa, devero ser descartados. Se os recursos de CPU permitirem, aplique a anti-falsificao em todas as interfaces onde seja vivel determinar o trfego que deve chegar de forma lcita. ISPs que transportam trfego de trnsito podem ter oportunidades limitadas de configurar listas de acesso anti-falsificao, mas eles podem, em geral, filtrar pelo menos o trfego externo que alegar ser originado a partir do prprio espao de endereo do ISP. Geralmente, os filtros anti-falsificao devem ser construdos com listas de acesso de entrada. Isso significa que os pacotes devem ser filtrados nas interfaces pelas quais chegam no roteador e no nas interfaces pelas quais deixam o roteador. Isso definido aplicando-se o comando de configurao de interface ip access-group list

7 de 13

29/12/2013 11:03

Melhorando a Segurana em Roteadores Cisco - Cisco Systems

http://www.cisco.com/cisco/web/support/BR/8/84/84031_21.html

in. possvel utilizar listas de acesso de sada em algumas configuraes de duas portas para anti-falsificao, mas listas de entrada costumam ser de mais fcil compreenso mesmo nestes casos. Alm disso, uma lista de entrada protege o prprio roteador contra ataques de falsificao, enquanto uma lista de sada protege somente dispositivos atrs do roteador. Quando existem listas de acesso anti-falsificao, elas sempre devem recusar os datagramas com endereos de origem broadcast ou multicast e os datagramas com endereo loopback reservado como endereo de origem. Normalmente apropriado para uma lista de acesso anti-falsificao filtrar todos os redirecionamentos de ICMP, independentemente do endereo de origem ou de destino. Esses so os comandos adequados:

access-list access-list access-list access-list

number number number number

deny deny deny deny

icmp any any redirect ip 127.0.0.0 0.255.255.255 any ip 224.0.0.0 31.255.255.255 any ip host 0.0.0.0 any

O quarto comando filtra pacotes de sada de muitos clientes BOOTP/DHCP. Portanto, ele no adequado em todos os ambientes. Anti-Falsificao com Verificaes de RPF Em quase todas as verses do Cisco IOS Software que so compatveis com o Cisco Express Forwarding (CEF) possvel fazer com que o roteador verifique o endereo de origem de qualquer pacote com relao interface pela qual o pacote entrou no roteador. Se a interface de entrada no for um caminho possvel para o endereo de origem de acordo com a tabela de roteamento, o pacote ser descartado. Isso funciona somente quando o roteamento simtrico. Se a rede for desenhada de forma que o trfego do host A para o host B possa seguir normalmente um caminho diferente do caminho seguido do host B para o host A, sempre ocorrer uma falha na verificao e a comunicao entre os dois hosts ser impossvel. Esse tipo de roteamento assimtrico comum no centro da Internet. Antes de ativar essa caracterstica, certifique-se de que a sua rede no utiliza um roteamento assimtrico. Esta caracterstica conhecida como verificao de encaminhamento de caminho reverso (RPF) e habilitada com o comando ip verify unicast rpf. Ele est disponvel no Cisco IOS Software Releases 11.1CC, 11.1CT, 11.2GS e em todas as verses 12.0 e posteriores, mas requer que o CEF esteja habilitado para que seja efetivo.

Controle de Broadcasts Direcionados


Broadcasts direcionados de IP so utilizados no ataque de recusa de servio de smurf, extremamente comum e popular, e tambm podem ser utilizados em ataques relacionados. Um broadcast direcionado de IP um datagrama enviado para o endereo de broadcast de uma sub-rede qual a mquina de envio no est conectada diretamente. O broadcast direcionado roteado atravs da rede como um pacote unicast at chegar na sub-rede de destino, onde convertido em um broadcast de camada de link. Devido natureza da arquitetura de endereamento IP, apenas o ltimo roteador da cadeia, o que est diretamente conectado sub-rede de destino, pode identificar conclusivamente um broadcast direcionado. s vezes, broadcasts direcionados so utilizados para fins legtimos, mas tal utilizao no comum fora do mercado financeiro. Em um ataque de smurf, o invasor envia solicitaes de eco de ICMP a partir de um endereo de origem falsificado para um endereo de broadcast direcionado. Isso faz com que todos os hosts na sub-rede de destino enviem respostas para a origem falsificada. Enviando um fluxo contnuo dessas solicitaes, o invasor consegue criar um fluxo muito maior de respostas. Isso pode inundar completamente o host, cujo endereo falsificado. Se uma interface Cisco for configurada com o comando no ip directed-broadcast, os broadcasts direcionados que seriam transformados em broadcasts de camada de link na interface sero descartados. Isso significa que o comando no ip directed-broadcast deve ser configurado em todas as interfaces de todos os roteadores conectados sub-rede de destino. No suficiente configurar apenas roteadores de firewall. O comando no ip directed-broadcast o padro no Cisco IOS Software Release 12.0 e posteriores. Em verses anteriores, o comando deve ser aplicado a toda interface LAN que no seja conhecida para encaminhar broadcasts direcionados legtimos. Para obter uma estratgia que bloqueia ataques de smurf em alguns roteadores de firewall, que depende do desenho de rede, e informaes gerais sobre o ataque de smurf, consulte ataques de recusa de servio .

Integridade de Caminho
Muitos ataques dependem da habilidade de influenciar os caminhos que os datagramas utilizam atravs da rede. Se conseguirem controlar o roteamento, os invasores podem falsificar o endereo da mquina de outro usurio e fazer com que o trfego de retorno seja enviado para eles, ou podem interceptar e ler dados destinados a outra pessoa. O roteamento tambm pode ser interrompido simplesmente para fins de recusa de servio. Roteamento de Origem de IP O protocolo IP compatvel com opes de roteamento de origem que permitem que o emissor de um datagrama IP controle a rota que o datagrama ir tomar em direo ao seu destino final e, em geral, a rota que qualquer resposta ir tomar. Essa opes raramente so utilizadas para fins lcitos em redes reais. Algumas implementaes de IP mais antigas no fazem o processamento de pacotes roteados por origem corretamente e possvel enviar datagramas com opes de roteamento de origem para causar o travamento de mquinas que estejam executando essas implementaes. Um roteador Cisco com o comando no ip source-route definido jamais encaminhar um pacote IP que transporte uma opo de roteamento de origem. Voc deve utilizar esse comando, a menos que sua rede precise de roteamento de origem.

8 de 13

29/12/2013 11:03

Melhorando a Segurana em Roteadores Cisco - Cisco Systems

http://www.cisco.com/cisco/web/support/BR/8/84/84031_21.html

Redirecionamentos ICMP Uma mensagem de redirecionamento de ICMP instrui um n final a utilizar um roteador especfico como seu caminho para um determinado destino. Em uma rede IP que funcione corretamente, um roteador envia redirecionamentos somente para hosts em suas prprias sub-redes locais. Um n final nunca envia um redirecionamento e um redirecionamento nunca percorre mais do que um salto na rede. No entanto, um invasor pode violar essas regras. Alguns ataques baseiam-se nisso. Filtre redirecionamentos de ICMP de entrada nas interfaces de entrada de qualquer roteador que esteja localizado em uma borda entre domnios administrativos. Alm disso, razovel que qualquer lista de acesso aplicada ao lado de sada da interface de um roteador Cisco filtre todos os redirecionamentos de ICMP. Isso no causa impactos operacionais em uma rede configurada corretamente. Esse filtro evita apenas ataques de redirecionamento iniciados por invasores remotos. Ainda assim possvel que os invasores provoquem problemas significativos utilizando redirecionamentos, se seus hosts estiverem diretamente conectados ao mesmo segmento de um host que esteja sendo invadido. Filtro de Protocolo de Roteamento e Autenticao Se voc utiliza um protocolo de roteamento dinmico que compatvel com autenticao, habilite-a. Isso impede alguns ataques maliciosos na infra-estrutura de roteamento e tambm pode ajudar a impedir danos causados por dispositivos invasores configurados incorretamente na rede. Pelas mesmas razes, provedores de servios e outros operadores de redes de grande porte geralmente so muito orientados a utilizar filtragem de rota (com o comando distribute-list in) para evitar que seus roteadores aceitem informaes de roteamento claramente incorretas. Apesar de o uso excessivo de filtros na rota ser capaz de liquidar as vantagens do roteamento dinmico, o uso moderado geralmente ajuda na preveno de resultados no desejados. Por exemplo, se voc utiliza um protocolo de roteamento dinmico para se comunicar com uma rede de cliente de stub, voc no deve aceitar nenhuma rota desse cliente, alm das rotas para o espao de endereo que voc realmente tiver atribudo a ele. Instrues detalhadas sobre como configurar autenticao de roteamento e filtragem de rota esto alm do escopo deste documento. A documentao est disponvel no site da Cisco e em outros lugares. Devido complexidade envolvida, recomendvel que iniciantes busquem orientao de pessoas experientes antes de configurar essas caracterstica em redes importantes.

Gerenciamento de Inundao
Muitos ataques de recusa de servio dependem das inundaes de pacotes inteis. Essas inundaes congestionam os links de rede, reduzem o desempenho dos hosts e tambm podem sobrecarregar os roteadores. Uma configurao cuidadosa do roteador pode reduzir o impacto dessas inundaes. Uma parte importante no gerenciamento de inundaes estar ciente de onde ficam os gargalos de desempenho. Se a inundao sobrecarrega uma linha T1, ento, filtrar a inundao no roteador na extremidade de origem da linha eficiente, enquanto a filtragem na extremidade de destino surte pouco ou nenhum efeito. Se o prprio roteador for o componente da rede mais sobrecarregado, ento, protees de filtragem que demandem muito do roteador podero piorar o problema. Pense nisso na hora de avaliar a implementao das sugestes desta seo.

Inundaes de Trnsito
possvel utilizar as caracterstica de QoS do Cisco para proteger os hosts e links contra alguns tipos de inundaes. Infelizmente, um tratamento geral deste tipo de gerenciamento de inundao est alm do escopo deste documento e a proteo depende muito do ataque. A nica recomendao simples e geralmente aplicvel utilizar o WFQ (weighted fair queueing) sempre que os recursos de CPU forem compatveis. WFQ o padro para linhas seriais de baixa velocidade em verses recentes do Cisco IOS Software. Outras caracterstica possivelmente interessantes so a taxa de acesso comprometida (CAR), a modelagem de trfego generalizado (GTS) e o enfileiramento personalizado. s vezes, possvel configurar essas caractersticas sob ataque ativo. Se voc realmente estiver planejando utilizar caractersticas de QoS para controlar inundaes, importante entender como essas caracterstica funcionam e como ataques de inundao comuns funcionam. Por exemplo, o WFQ muito mais eficaz contra inundaes de ping do que contra inundaes de SYN. Isso acontece porque a inundao de ping normal aparece no WFQ como um nico fluxo de trfego, enquanto que cada pacote de uma inundao de SYN geralmente aparece como um fluxo separado. Um fluxo de respostas smurf localiza-se em algum lugar entre os dois. Uma grande quantidade de informaes sobre as caractersticas de QoS da Cisco est disponvel no site da Cisco e informaes sobre ataques comuns esto disponveis em muitos sites mantidos por terceiros. A Cisco fornece duas caractersticas diferentes de roteador que pretendem reduzir especificamente o impacto de ataques de inundao de SYN nos hosts. A caracterstica Interceptao de TCP est disponvel em certas verses de software de muitos roteadores com modelo nmero 4000 ou superior. O Conjunto de Caractersticas do Cisco IOS Firewall, que est sendo disponibilizado em um nmero crescente de roteadores Cisco, inclui uma proteo diferente contra inundao de SYN. A proteo contra a inundao de SYN pode ser complexa e os resultados podem variar. Isso depende da taxa de inundao, da velocidade e do tamanho da memria do roteador e dos hosts em uso. Se voc configurar alguma dessas caractersticas, leia a documentao no site da Cisco. Alm disso, se possvel, teste sua configurao em uma inundao real.

Autoproteo do Roteador
Antes que um roteador possa proteger outras partes da rede a partir dos efeitos de fluxos, o prprio roteador deve ser protegido de sobrecarga. Modos de Switching e Cisco Express Forwarding O modo de switching CEF, disponvel no Cisco IOS Software Releases 11.1CC, 11.1CT, 11.2GS e 12.0, substitui

9 de 13

29/12/2013 11:03

Melhorando a Segurana em Roteadores Cisco - Cisco Systems

http://www.cisco.com/cisco/web/support/BR/8/84/84031_21.html

o cache de roteamento Cisco tradicional por uma estrutura de dados que espelha toda a tabela de roteamento do sistema. Como no necessrio criar entradas de cache quando o trfego comea a chegar para novos destinos, o CEF se comporta de forma mais previsvel do que outros modos quando apresentado a grandes volumes de trfego endereados a muitos destinos. Embora a maioria dos ataques de recusa de servio de inundao envie todo seu trfego para um ou alguns destinos, e no tarife o algoritmo de manuteno de cache tradicional, muitos ataques de inundao de SYN comuns utilizam endereos de origem aleatrios. O host sob ataque responde a uma frao dos pacotes de inundao de SYN, criando trfego para um grande nmero de destinos. Portanto, os roteadores configurados para CEF tm melhor desempenho nas inundaes de SYN (dirigidas a hosts, e no a roteadores propriamente ditos) do que os roteadores que utilizam o cache tradicional. O CEF recomendado quando disponvel. Configurao do programador Quando um roteador Cisco executa o switching rpido de um grande nmero de pacotes, possvel que o roteador demore tanto para responder a interrupes das interfaces de rede que nenhum outro trabalho seja executado. Algumas inundaes de pacote muito rpidas podem gerar essa condio. Execute o comando scheduler interval, que instrui o roteador a parar de lidar com interrupes e a realizar outras atividades em intervalos regulares, para reduzir o efeito. Uma configurao tpica pode incluir o comando scheduler interval 500, que indica que as tarefas de nvel de processo devem ser manipuladas freqentemente, no mnimo a cada 500 milissegundos. Esse comando raramente tem efeitos negativos e deve ser parte da configurao padro do roteador, a menos que haja um motivo especfico para deix-lo de lado. Muitas plataformas mais recentes da Cisco utilizam o comando scheduler allocate em vez do comando scheduler interval. O comando scheduler allocate utiliza dois parmetros: um perodo em microssegundos para que o sistema seja executado com interrupes habilitadas e um perodo em microssegundos para que o sistema seja executado com interrupes disfaradas. Se o seu sistema no reconhecer o comando scheduler interval 500, execute o comando scheduler allocate 3000 1000. Esses valores foram escolhidos para representar os pontos mdios dos intervalos. O intervalo para o primeiro valor de 400 a 60000, e o intervalo para o segundo valor de 100 a 4000. Esses parmetros podem ser ajustados.

Servios Possivelmente Desnecessrios


Como regra geral, qualquer servio desnecessrio deve ser desativado em qualquer roteador que seja acessvel a partir de uma rede potencialmente hostil. Os servios listados nesta seo s vezes so teis, mas devem ser desativados se no forem ativamente usados.

Servios Pequenos de TCP e UDP


Por padro, os dispositivos Cisco do Cisco IOS verses 11.3 e anteriores oferecem esses servios pequenos: eco chargen descarte Esses servios, especialmente suas verses UDP, so pouco utilizados para fins lcitos, mas podem ser usados para iniciar recusas de servio e outros ataques que, de outra forma, so evitados por filtragem de pacote. Por exemplo, possvel que um invasor envie um pacote DNS, que falsifica tanto o endereo de origem como um servidor DNS, que de outro modo seria inacessvel, quanto a porta de origem como a porta de servio de DNS (porta 53). Se um pacote como esse for enviado para a porta de eco UDP do Cisco, o Cisco enviar um pacote DNS para o servidor em questo. Nenhuma verificao de lista de acesso de sada aplicada a este pacote, pois ele gerado localmente pelo prprio roteador. Embora a maior parte dos abusos dos pequenos servios possa ser evitada ou minimizada pelas listas de acesso anti-falsificao, os servios devem estar quase sempre desabilitados em qualquer roteador que faa parte de um firewall ou que pertena a uma parte da rede crtica para a segurana. Como os servios so usados raramente, a melhor poltica geralmente desabilit-los em todos os roteadores de qualquer descrio. Os servios pequenos so desabilitados por padro no Cisco IOS Software Release 12.0 e posteriores. Em softwares anteriores, possvel executar os comandos no service tcp-small-servers e no service udp-smallservers para desabilit-los.

Finger
Os roteadores Cisco fornecem a implementao do servio finger, que utilizado para descobrir quais usurios esto conectados em um dispositivo da rede. Embora estas informaes normalmente no sejam importantes, s vezes elas so teis para um invasor. O servio finger pode ser desativado com o comando no service finger.

NTP
O Protocolo de Tempo de Rede (NTP) no especialmente perigoso, mas qualquer servio desnecessrio pode representar uma via de penetrao. Se o NTP for realmente utilizado, importante configurar explicitamente uma origem de tempo confivel e utilizar autenticao adequada. Isso necessrio porque o corrompimento da base de tempo uma boa forma de subverter alguns protocolos de segurana. Se o NTP no for utilizado em uma interface de roteador especfica, ele pode ser desabilitado com o comando de interface ntp disable.

CDP
O Cisco Discovery Protocol (CDP) utilizado para algumas funes de gerenciamento de redes, mas perigoso por permitir que qualquer sistema em um segmento conectado diretamente saiba que o roteador um

10 de 13

29/12/2013 11:03

Melhorando a Segurana em Roteadores Cisco - Cisco Systems

http://www.cisco.com/cisco/web/support/BR/8/84/84031_21.html

dispositivo Cisco e determine o nmero do modelo e a verso do Cisco IOS Software em execuo. Essas informaes podem ser usadas para desenhar ataques contra o roteador. As informaes de CDP esto acessveis apenas para sistemas conectados diretamente. O protocolo CDP pode ser desabilitado com o comando de configurao global no cdp running. O CDP pode ser desabilitado em uma interface especfica com o comando no cdp enable.

Mantenha-se Atualizado
Como acontece com todo software, o Cisco IOS Software tem bugs. Alguns desses bugs possuem implicaes na segurana. Alm disso, novos ataques esto sempre sendo criados e um comportamento considerado correto durante a criao de um software pode ter efeitos nocivos quando explorado deliberadamente. Quando uma nova vulnerabilidade de segurana significativa descoberta em um produto Cisco, a Cisco normalmente executa uma recomendao de segurana sobre ela. Consulte Resposta de Incidente de Segurana de Produto Cisco para obter informaes sobre o processo atravs do qual esses alertas so executados. Consulte Recomendaes de Segurana e Notificaes sobre Produtos Cisco para obter informaes sobre os alertas. Quase todos os comportamentos inesperados de qualquer software podem gerar algum tipo de exposio de segurana, e somente bugs com implicaes especialmente diretas na segurana do sistema so mencionados nessas recomendaes. Sua segurana melhorar se voc mantiver o software atualizado mesmo na ausncia de recomendaes de segurana. Alguns problemas de segurana no so causados por bugs de software e importante que os administradores de rede fiquem atentos a diferentes tipos de tendncias de ataques. Muitos sites, listas de endereos da Internet e grupos de notcias da Usenet esto preocupados com isso.

Lista de Comandos
Esta seo deve funcionar como um lembrete das sugestes de configurao em outras sees deste documento. Os nomes dos comandos de configurao do Cisco IOS so usados nesta tabela como auxlios mnemnicos. Leia sempre a documentao de qualquer comando antes de us-lo. Use Para

enable secret

Configurar uma senha para acesso privilegiado ao roteador.

service passwordencryption

Fornecer um mnimo de proteo para senhas configuradas.

no service tcp-small-servers no service udp-small-servers

Evitar o abuso dos servios pequenos para recusa de servio ou outros tipos de ataque.

no service finger

Evitar a divulgao de informaes de usurio a possveis invasores.

no cdp running no cdp enable

Evitar a divulgao de informaes sobre o roteador para dispositivos conectados diretamente.

ntp disable

Impedir ataques contra o servio do NTP.

no ip directedbroadcast

Impedir o invasor de usar o roteador como um amplificador de "smurf".

transport input

Controlar quais protocolos podem ser usados por usurios remotos para se conectar interativamente aos VTYs do roteador ou para acessar suas portas de TTY.

ip access-class

Controlar os endereos IP que podem ser conectados a TTYs ou VTYs. Reservar um VTY para o acesso a partir de uma estao de trabalho administrativa.

11 de 13

29/12/2013 11:03

Melhorando a Segurana em Roteadores Cisco - Cisco Systems

http://www.cisco.com/cisco/web/support/BR/8/84/84031_21.html

exec-timeout

Impedir que uma sesso ociosa obstrua um VTY indefinidamente.

service tcp-keepalives-in

Detectar e excluir sesses interativas inoperantes, impedindo que elas vinculem VTYs.

logging buffered buffer-size

Salvar informaes de registro em um buffer de RAM local do roteador. Com softwares mais recentes, o tamanho do buffer pode ser seguido como limite de urgncia.

Descartar pacotes IP falsificados. ip access-group list Descartar os redirecionamentos de ICMS in recebidos.

Descartar pacotes IP falsificados em ip verify unicast rpf ambientes de roteamento simtricos com CEF somente.

no ip source-route

Evitar que as opes de roteamento de origem de IP sejam usadas para falsificar o trfego.

access-list number action criteria log access-list number action criteria log-input

Ativar o logon de pacotes que so compatveis com entradas de lista de acesso especficas. Utilize log-input se ele estiver disponvel na verso de seu software.

scheduler-interval scheduler allocate

Impedir inundaes rpidas, desativando o processamento importante.

ip route 0.0.0.0 0.0.0.0 null 0 244

Descartar rapidamente os pacotes com endereos de destinos invlidos.

distribute-list list in

Filtrar as informaes de roteamento para evitar aceitar rotas invlidas.

snmp-server community somethinginobvious ro list snmp-server community somethinginobvious rw list

Habilitar a verso 1 do SNMP, configurar a autenticao e restringir o acesso a certos endereos IP. Utilize a verso 1 do SNMP apenas se a verso 2 no estiver disponvel e aguarde sniffers. Habilite o SNMP apenas quando ele for necessrio em sua rede e no configure o acesso leitura-gravao, a menos que seja preciso.

snmp-server party... authentication md5 secret ...

Configurar a autenticao da verso 2 do SNMP com base em MD5 Habilite o SNMP somente se for necessrio em sua rede.

ip http authentication method

Autenticar as solicitaes de conexo de HTTP (se tiver habilitado o HTTP no roteador).

ip http access-class list

Ter maior controle sobre o acesso HTTP, restringindo-o a endereos de host especficos (se tiver habilitado o HTTP no roteador).

12 de 13

29/12/2013 11:03

Melhorando a Segurana em Roteadores Cisco - Cisco Systems

http://www.cisco.com/cisco/web/support/BR/8/84/84031_21.html

banner login

Estabelecer um banner de advertncia a ser exibido a usurios que tentarem efetuar logon no roteador.

Comunidade de Suporte da Cisco - Conversas em Destaque


A Comunidade de Suporte da Cisco um frum onde voc pode perguntar e responder, oferecer sugestes e colaborar com colegas. Eis aqui algumas das conversas mais importantes apresentadas em nosso frum.

Want to see more? Join us by clicking here Cisco device hardening bwmpwnkmr 3 Replies 18/11/2012 20:51 securing a 3760e mulhollandm 6 Replies 16/07/2009 16:48 ios management - what is best practice carl_townshend 5 Replies 28/10/2012 22:09 Unusual traffic between Router and ISP... dbdickson 2 Replies 09/02/2009 09:41 Control Plane Security Configuration JohnTylerPearce 3 Replies 09/07/2012 15:18 IPv6 hardening Best Practices? jdcardenas 5 Replies 17/04/2012 19:11 ip verify unicast reverse-path not... tleroy_at_rochester.rr.com 9 Replies 30/05/2008 12:44 Security Hardening - Cisco Devices new_networker 3 Replies 30/10/2008 14:42 Harden CCM ciscoforum 2 Replies 15/03/2005 20:33 Security Audit Tool waridtel.com 4 Replies 22/12/2008 11:19 CUCM Hardening & Security Guide sukitti.l 3 Replies 14/10/2013 08:58 Start A New Discussion Subscribe

Informaes Relacionadas
Caractersticas Essenciais do IOS que Todo ISP Deve Considerar O Que H de Mais Recente sobre Ataques de Recusa de Servio: "Smurfing" Resposta de Incidente de Segurana de Produto Cisco Alertas de Segurana Cisco RFC 2267 Suporte Tcnico e Documentao - Cisco Systems Document ID: 13608

Contatos |

Feedback | Ajuda | Mapa do site | Termos e condies | Declarao de privacidade | Poltica de cookies | Marcas comerciais

13 de 13

29/12/2013 11:03