Escolar Documentos
Profissional Documentos
Cultura Documentos
Version 4.0
Cisco Public
Objetivos
A aplicao de uma poltica de segurana efetiva o passo mais importante que uma organizao pode dar para proteger sua rede. Ela fornece diretrizes sobre as atividades a serem realizadas e os recursos utilizados para proteger a rede da organizao.
2006 Cisco Systems, Inc. All rights reserved. Cisco Public
Hacker historicamente um especialista em programao de computador, recentemente, passou a ser utilizado para descrever indivduo que tenta acesso no autorizado.
Phreaker indivduo que manipula a rede telefnica para executar funo no permitida, atravs de telefone pblico para fazer chamadas DDD/DDI livre.
Spammer indivduo que envia grandes quantidades de e-mails, normalmente utilizam vrus para assumir o controle do computador utilizando-o para enviar mensagens em massa.
Phisher utiliza e-mail ou outros meios para levar pessoas a fornecer informaes confidenciais, como nmeros de carto de crdito ou senhas. Se mascara como confivel.
Cisco Public
Cisco Public
Cisco Public
Cisco Public
Cisco Public
Cisco Public
Cisco Public
10
Cisco Public
11
Cisco Public
12
Cisco Public
13
Cisco Public
14
15
Cisco Public
16
Vulnerabilidade
Cisco Public
17
Falhas na configurao
Cisco Public
18
Cisco Public
19
Cisco Public
20
Ameaas a redes
Externa Estruturada - especialista
vm de indivduos ou grupos muito motivados e tecnicamente competentes. Conhecem as vulnerabilidade do sistema e utilizam tcnicas sofisticadas de hackers para invadir negcios sem que haja suspeitas.
No estruturada - amador
Indivduos inexperientes utilizando ferramentas facilmente disponveis para hackers, como scripts de shell e crackers de senha.
Interna
algum com acesso autorizado rede e uma conta de acesso. A gravidade de uma ameaa interna depende da experincia do atacante.
O phishing um tipo de ataque de engenharia social que envolve o uso de email ou de outros tipos de mensagens em uma tentativa de levar outras pessoas a fornecer informaes confidenciais, como nmeros de carto de crdito ou senhas.
Cisco Public
21
22
Endereos IP ativos identificados, o intruso utiliza um scanner de porta para determinar quais servios de rede ou portas esto ativos nesse IP. (Nmap ou Superscan)
Cisco Public
23
Cisco Public
24
Um software malicioso que pode ser inserido em um host para danificar ou corromper sistema, replicar ou negar acesso a redes, sistemas ou servios.
2006 Cisco Systems, Inc. All rights reserved. Cisco Public
25
Ataques de acesso
Exploram vulnerabilidades conhecidas em servios de autenticao, FTP, HTTP, Telnet para obter acesso a contas, bancos de dados e outras informaes confidenciais. ataque de senha, ataque de explorao de confiana, ataque de redirecionamento de porta, ataque de interceptao.
Cisco Public
26
Ataques de senha
Os ataques de senha podem ser atenuados, instruindo-se os usurios a utilizar senhas complexas e especificando-se tamanhos mnimos.
Podem ser implementados utilizando-se um sniffer de pacotes para obter contas de usurio e senhas transmitidas como texto no criptografado, normalmente se referem a tentativas repetidas de login em um recurso compartilhado, como um servidor ou roteador, para identificar uma conta de usurio, senha ou ambos. Essas tentativas repetidas so chamadas de ataques de dicionrio ou ataques de fora bruta. Para realizar um ataque de dicionrio, os atacantes podem utilizar ferramentas como L0phtCrack ou Cain. Esses programas tentam fazer o login repetidamente como um usurio utilizando palavras derivadas de um dicionrio. Uma ferramenta de ataque de fora bruta mais sofisticada porque pesquisa exaustivamente utilizando combinaes de conjuntos de caracteres para computar todas as possveis palavras-chave formadas por esses caracteres. A desvantagem que se precisa de mais tempo para realizar esse tipo de ataque.
Cisco Public
27
Ataques de senha
Outro mtodo de ataque de senha utiliza tabelas de arco-ris. uma srie de senhas cadastradas compilando-se cadeias de possveis senhas de texto sem formatao. Cada cadeia desenvolvida comeando-se por um "chute. Para realizar esse ataque, os atacantes podem utilizar uma ferramenta como L0phtCrack.
Cisco Public
28
Explorao de confiana
A meta de um ataque de explorao de confiana comprometer um host confivel, utilizando-o para preparar ataques em outros hosts na rede. Os ataques podem ser atenuados por meio de restries rgidas nos nveis de confiana da rede, por exemplo, VLANs privadas podem ser implantadas em segmentos de servio pblico nos quais h vrios servidores pblicos disponveis. Sistemas fora de um firewall jamais devem ser totalmente confiveis por sistemas dentro de um firewall, a confiana deve ser limitada a protocolos especficos, devendo ser autenticada.
Cisco Public
29
Redirecionamento de porta
um tipo de ataque de explorao de confiana que utiliza um host comprometido para transmitir trfego por meio de um firewall que, do contrrio, estaria bloqueado. Um exemplo de um utilitrio que pode fornecer esse tipo de acesso o netcat. Um sistema de deteco de invaso baseado em host pode ajudar a detectar um atacante e impedir a instalao desses utilitrios em um host.
segmento acessvel publicamente normalmente chamado de zona desmilitarizada.
Cisco Public
30
Cisco Public
31
Ataques DoS
Os ataques DoS so a forma mais conhecida de ataque e est entre os mais difceis de eliminar.
Ping da morte: ganhou popularidade nos anos 90, usufrua das vulnerabilidades nos OS mais antigos, modificava a poro IP de um cabealho do pacote de ping para indicar que havia mais dados no pacote do que existia efetivamente, Um ping normalmente tem 64 ou 84 bytes, enquanto um ping da morte pode ter at 65.536 bytes. Enviar um ping desse tamanho pode travar um computador alvo mais antigo. Envio SYN: envolve o envio de vrias solicitaes SYN (mais de 1.000) para um servidor de destino, que responde SYN-ACK habitual, mas o host mal-intencionado nunca confirma o ACK. Entre outros tipos de ataques DOS esto: Bombardeamentos de email os programas enviam emails em massa para indivduos, listas ou domnios, monopolizando os servios de email. Applets mal-intencionados esses ataques so programas Java, JavaScript ou ActiveX que causam a destruio ou o travamento dos recursos do computador.
Cisco Public
32
A primeira gerao da tecnologia, chamada de sistema de deteco de invaso baseado em host (HIDS), no previne.
HIPS(sistema de preveno de invaso baseado em host ) utilizando o software Cisco Security Agent. Preveno impede a execuo de ataque. Reao imuniza o sistema contra ataques de origem maliciosa.
33
Cisco Public
Controle de ameaa controla o acesso rede, isola sistemas infetados, impede intruses e protege ativos, contra-atacando trfego malicioso, como worms e vrus. Dispositivos que fornecem solues em controle de ameaa so: Mecanismos de segurana Cisco srie ASA 5500 Adaptive Roteadores de servios integrados (ISRs) Network Admission Control, controle de admisso de rede Cisco Security Agent for Desktops Sistemas de preveno de invaso Cisco
Cisco Public
34
Software IOS Cisco em roteadores de servios integrados (ISRs) Cisco A Cisco fornece muitas das medidas de segurana obrigatrias para os clientes dentro do software IOS Cisco. O software IOS Cisco fornece servios internos IOS Cisco Firewall, IPsec, SSL VPN e IP.
2006 Cisco Systems, Inc. All rights reserved. Cisco Public
35
Cisco Public
36
Para redes maiores, um sistema de preveno de invaso interno fornecido pelos sensores Cisco IP srie 4200. Esse sensor identifica, classifica e interrompe o trfego malicioso na rede.
37
Ferramentas de avaliao de vulnerabilidade, como SATAN, Nessus ou Nmap, so teis para testar as medidas de segurana da rede periodicamente nos nveis de rede e de host.
2006 Cisco Systems, Inc. All rights reserved. Cisco Public
38
Funes de uma poltica de segurana: Protege as pessoas e as informaes, Estabelece as regras para o comportamento esperado por parte de usurios, administradores de sistema e equipes de gerenciamento e segurana, Autoriza a equipe de segurana a monitorar, testar e investigar, Define e autoriza as consequncias de violaes.
Cisco Public
39
Atividades 1 e 2
Pgina 4.1.6.4
Cisco Public
40
Cisco Public
41
Cisco Public
42
R1(config)# username Student secret cisco, mas o PAP, por exemplo, utiliza senhas de texto no criptografado.
IOS Cisco release 12.3(1) e posteriores, mas no afeta senhas de roteador existentes.
2006 Cisco Systems, Inc. All rights reserved. Cisco Public
43
Logins podem ser totalmente evitados: Padro para VTYs, mas no para TTYs e AUX.
Nem todas as imagens do IOS Cisco do suporte ao SSH, somente imagens criptogrficas com IDs de k8 ou k9 nos nomes. Se o acesso remoto for obrigatrio, as opes so as seguintes:
Estabelecer uma rede de gerenciamento dedicada, utilizando uma VLAN de gerenciamento. Criptografar todo o trfego entre o computador do administrador e o roteador, um filtro de pacote pode ser configurado para permitir apenas os hosts de administrao identificados e o protocolo para acessar o roteador. Telnet ou SSH.
Quando todas as VTYs estiverem em uso, mais nenhum a conexo adicional poder ser estabelecida. Isso cria a oportunidade para um ataque DoS. Para reduzir essa exposio configure a ltima linha VTY para aceitar conexes de uma nica estao administrativa. Implemente uma ACL e aplique com ip access-class na ltima linha VTY.
Cisco Public
44
Permita que modems conectados a roteadores sejam utilizados em discagens com segurana.
Exija autenticao em todas as linhas por meio de um nome de usurio e senha definidos localmente, ou um servidor de segurana, como um servidor TACACS+ ou RADIUS. Roteadores so capazes de agir como cliente e servidor SSH. Por padro, as duas funes so habilitadas quando o SSH habilitado. Como cliente, um roteador pode executar SSH em outro roteador. Como servidor, um roteador pode aceitar conexes clientes SSH.
2006 Cisco Systems, Inc. All rights reserved. Cisco Public
45
(opcional)
Para conectar a um roteador com SSH, voc precisa utilizar um aplicativo cliente SSH, como PuTTY ou TeraTerm, escolher a opo SSH e porta TCP 22.
Cisco Public
46
Atividade
Protegendo o acesso administrativo remoto a roteadores. Fazer atividade 4.2.4.5
Cisco Public
47
servidor de syslog
Cisco Public
48
Cisco Public
49
Cisco Public
50
Cisco Public
51
O NTP utilizado para manter seus horrios e datas precisos. Se possvel, os roteadores devem ser configurados como parte de uma hierarquia NTP, o que torna um roteador o temporizador mestre e fornece seu horrio para os demais roteadores na rede. Se uma hierarquia NTP no estiver disponvel na rede, voc dever desabilitar o NTP. Infelizmente, o protocolo DNS no oferece nenhuma autenticao ou garantia de integridade. Por padro, as consultas de nome so enviadas para o endereo de broadcast 255.255.255.255. Defina os endereos do DNS utilizando o comando de configurao global ip name-server addresses. Do contrrio, desative a resoluo de nome com o comando no ip domain-lookup.
2006 Cisco Systems, Inc. All rights reserved. Cisco Public
52
Cisco Public
53
Cisco Public
54
Cisco Public
55
O Cisco AutoSecure solicitar vrios itens, incluindo: Especificao de interface Banners Senhas SSH Recursos de firewall do IOS
2006 Cisco Systems, Inc. All rights reserved. Cisco Public
56
SDM
O Cisco Router e Security Device Manager (SDM) uma ferramenta de gerenciamento de dispositivos baseada na Web, projetada para configurar recursos de segurana de LAN e WAN em roteadores, baseados no software IOS Cisco. Automatiza o gerenciamento de segurana do roteador.
Os arquivos do SDM podem ser instalados no roteador, em um PC ou em ambos. A vantagem de instalar o SDM no PC que economiza memria do roteador e permiti gerenciar outros roteadores na rede. Se estiver pr-instalado no roteador, a Cisco recomendar utiliz-lo para executar a configurao inicial.
Cisco Public
57
Configurando o SDM
Deve ser instalado em todos os novos roteadores Cisco,
Configurao necessria para instalar e executar o Cisco SDM em um roteador de produo sem interromper o trfego da rede. Etapa 1. Acessar do roteador utilizando Telnet ou console. Etapa 2: Habilitar os servidores HTTP e HTTPS. Etapa 3. Criar uma conta de usurio definida com um nvel de privilgio 15 (habilitar privilgios).
Etapa 4. Configurar SSH e Telnet para login local e nvel de privilgio 15.
Cisco Public
58
SDM
Fica armazenado na memria flash ou em um PC local. Para iniciar o SDM, utilize o HTTPS e endereo IP do roteador no navegador.
Cisco Public
59
Cisco Public
60
61
Por exemplo, TFTP na figura : tftp://192.168.20.254/configs/backup-config. A expresso "tftp:" chamada de prefixo. Tudo o que estiver depois das duas barras (//) define o local. 192.168.20.254 o local do servidor TFTP. "configs" o diretrio mestre. "backup-config" o nome de um arquivo.
2006 Cisco Systems, Inc. All rights reserved. Cisco Public
62
Copie uma configurao de uma origem remota para a configurao de inicializao: R2# copy tftp: startup-config / R2# copy tftp: nvram:startup-config
Cisco Public
63
56i designa a criptografia DES(Data Encryption Standard) IPsec de 56 bits 3 designa o firewall/IDS
k2 designa a criptografia IPsec 3DES (168 bits) A terceira parte, mz, indica onde a imagem executada e se o arquivo est compactado. Nesse exemplo, "mz" indica que o arquivo executado na RAM e est compactado. A quarta parte, 12.3-14.T7, o nmero de verso.
A parte final, bin, a extenso do arquivo. A extenso .bin indica que esse um arquivo executvel binrio.
Cisco Public
64
Cisco Public
65
Cisco Public
66
Cisco Public
67
Laboratrio
4.6.1: Configurao bsica de segurana 4.6.2: Configurao avanada de segurana 4.6.3: Identificar e solucionar problemas de configurao de segurana
Cisco Public
68
Cisco Public
69