You're Reading a Free Preview Show
You're Reading a Free Preview You're Reading a Free Preview
You're Reading a Free Preview You're Reading a Free Preview You're
Reading a Free Preview You're Reading a Free Preview You're Reading a Free Preview You're Reading a Free Preview You're Reading a Free Preview Capítulo 2: Protegendo Dispositivos de rede2.0.1.1 Protegendo dispositivos de rede Proteger o tráfego de rede de saída e examinar o tráfego de entrada são aspectos críticos da segurança da rede. Proteger o roteador de borda, que se conecta à rede externa, é um primeiro passo importante na proteção da rede. A proteção do dispositivo é uma tarefa crítica ao proteger a rede. Envolve o uso da interface de linha de comando (CLI) do Cisco IOS para implementar métodos comprovados de proteção física do roteador e proteção do acesso administrativo do roteador. Alguns desses métodos envolvem a proteção do acesso administrativo, incluindo a manutenção de senhas, a configuração de recursos avançados de login virtual e a implementação do Secure Shell (SSH). Como nem todo o pessoal de tecnologia da informação deve ter o mesmo nível de acesso aos dispositivos de infraestrutura, a definição de funções administrativas em termos de acesso é outro aspecto importante da proteção de dispositivos de infraestrutura. Proteger os recursos de gerenciamento e relatório dos dispositivos Cisco IOS também é importante. As práticas recomendadas para proteger o syslog, usar o SNMP (Simple Network Management Protocol) e configurar o NTP (Network Time Protocol) são examinadas neste capítulo. Muitos serviços de roteador são ativados por padrão. Vários desses recursos são ativados por razões históricas, mas não são mais necessários. Este capítulo discute alguns desses serviços e examina o modo de bloqueio em uma etapa do comando auto seguro, que pode ser usado para automatizar tarefas de proteção de dispositivos. A autenticação do protocolo de roteamento é uma prática recomendada de segurança necessária para impedir a falsificação do protocolo de roteamento. A configuração da autenticação Open Shortest Path First (OSPF) com a criptografia Message Digest 5 (MD5) e Secure Hash Algorithm (SHA) é discutida neste capítulo. Os planos de controle, gerenciamento e dados são discutidos com ênfase na operação do Policiamento de Planos de Controle (CoPP). 2.1 Protegendo o Acesso aos Dispositivos 2.1.1 Protegendo o Roteador de Borda 2.1.1.1 Protegendo a infraestrutura de rede Proteger a infraestrutura de rede é fundamental para a segurança geral da rede. A infraestrutura de rede inclui roteadores, comutadores, servidores, pontos de extremidade e outros dispositivos. Considere um funcionário insatisfeito que olha casualmente por cima do ombro de um administrador de rede enquanto o administrador está efetuando login em um roteador de borda. É uma maneira surpreendentemente fácil para um invasor obter acesso não autorizado. Se um invasor obtém acesso a um roteador, a segurança e o gerenciamento de toda a rede podem ser comprometidos. Por exemplo, o invasor na Figura 1 apagou a configuração de inicialização e está recarregando o roteador em cinco minutos. Quando o roteador é reiniciado, ele não terá uma configuração de inicialização. Para impedir o acesso não autorizado a todos os dispositivos de infraestrutura, políticas e controles de segurança apropriados devem ser implementados. Os roteadores são o principal alvo de ataques porque esses dispositivos atuam como policiais de trânsito, que direcionam o tráfego para dentro, para fora e entre redes. O roteador de borda mostrado na Figura 2 é o último roteador entre a rede interna e uma rede não confiável, como a Internet. Todo o tráfego da Internet de uma organização passa por um roteador de borda, que geralmente funciona como a primeira e a última linha de defesa de uma rede. O roteador de borda ajuda a proteger o perímetro de uma rede protegida e implementa ações de segurança baseadas nas políticas de segurança da organização. Por esses motivos, é imperativo proteger roteadores de rede. 2.1.1.2 Abordagens de segurança do roteador de borda A implementação do roteador de borda varia dependendo do tamanho da organização e da complexidade do design de rede necessário. As implementações de roteador podem incluir um único roteador protegendo uma rede interna inteira ou um roteador funcionando como a primeira linha de defesa em uma abordagem de defesa em profundidade. Abordagem de roteador único Na Figura 1, um único roteador conecta a rede protegida ou a rede local (LAN) interna à Internet. Todas as políticas de segurança estão configuradas neste dispositivo. Isso é mais comumente implantado em implementações de sites menores, como filial e escritório pequeno, home office (SOHO). Em redes menores, os recursos de segurança necessários podem ser suportados pelos ISRs (Integrated Services Routers), sem prejudicar os recursos de desempenho do roteador. Abordagem de Defesa em Profundidade Uma abordagem de defesa em profundidade é mais segura que a abordagem de roteador único. Ele usa várias camadas de segurança antes do tráfego entrar na LAN protegida. Na Figura 2, existem três camadas principais de defesa: o roteador de borda, o firewall e um roteador interno que se conecta à LAN protegida. O roteador de borda atua como a primeira linha de defesa e é conhecido como roteador de triagem. Após executar a filtragem de tráfego inicial, o roteador de borda passa todas as conexões destinadas à LAN interna para a segunda linha de defesa, que é o firewall. O firewall normalmente pega onde o roteador de borda pára e executa filtragem adicional. Ele fornece controle de acesso adicional, rastreando o estado das conexões e atua como um dispositivo de ponto de verificação. Por padrão, o firewall nega o início de conexões de redes externas (não confiáveis) para redes internas (confiáveis). No entanto, ele permite que os usuários internos estabeleçam conexões com redes não confiáveis e permite que as respostas retornem pelo firewall. Também pode executar autenticação de usuário (proxy de autenticação) na qual os usuários devem ser autenticados para obter acesso aos recursos da rede. Os roteadores não são os únicos dispositivos que podem ser usados em uma abordagem de defesa em profundidade. Outras ferramentas de segurança, como sistemas de prevenção de intrusões (IPSs), dispositivos de segurança da Web (servidores proxy) e dispositivos de segurança de email (filtragem de spam) também podem ser implementadas. Abordagem DMZ Uma variação da abordagem de defesa em profundidade é mostrada na Figura 3. Essa abordagem inclui uma área intermediária, geralmente chamada de zona desmilitarizada (DMZ). A DMZ pode ser usada para servidores que devem estar acessíveis na Internet ou em outra rede externa. A DMZ pode ser configurada entre dois roteadores, com um roteador interno conectado à rede protegida e um roteador externo conectado à rede desprotegida. Como alternativa, a DMZ pode ser simplesmente uma porta adicional de um único roteador. O firewall está localizado entre as redes protegidas e não protegidas. O firewall está configurado para permitir as conexões necessárias, como HTTP, das redes externas (não confiáveis) para os servidores públicos na DMZ. O firewall serve como a principal proteção para todos os dispositivos na DMZ. 2.1.1.3 Três áreas de segurança do roteador Proteger o roteador de borda é um primeiro passo crítico para proteger a rede. Se houver outros roteadores internos, eles também deverão ser configurados com segurança. Três áreas de segurança do roteador devem ser mantidas, conforme mostrado na figura. Segurança física: Forneça segurança física para os roteadores: Coloque o roteador e os dispositivos físicos que se conectam a ele em uma sala trancada e segura, acessível apenas a pessoas autorizadas, isenta de interferências eletrostáticas ou magnéticas, com supressão de incêndio e controle de temperatura e umidade. Segurança do sistema operacional: Existem alguns procedimentos envolvidos na proteção dos recursos e desempenho dos sistemas operacionais de roteadores: Configure o roteador com a quantidade máxima de memória possível. A disponibilidade de memória pode ajudar a
mitigar os riscos para a rede de alguns ataques de negação de serviço (DoS), ao mesmo tempo em que oferece suporte à mais ampla gama de serviços de segurança. Endurecimento (Hardening) do roteador: Elimine o possível abuso de portas e serviços não utilizados: Controle administrativo seguro. Certifique-se de que apenas pessoal autorizado tenha acesso e que seu nível de acesso seja controlado. 2.1.1.4 Acesso administrativo seguro Proteger o acesso administrativo é uma tarefa de segurança extremamente importante. Se uma pessoa não autorizada obtiver acesso administrativo a um roteador, ela poderá alterar os parâmetros de roteamento, desativar as funções de roteamento ou descobrir e obter acesso a outros sistemas na rede. Várias tarefas importantes estão envolvidas na proteção do acesso administrativo a um dispositivo de infraestrutura, conforme descrito na figura:
2.1.1.5 Acesso local e remoto seguro Um roteador pode ser acessado para fins administrativos local ou remotamente: Acesso local – Todos os dispositivos de infraestrutura de rede podem ser acessados localmente. O acesso local a um roteador geralmente requer uma conexão direta a uma porta do console no roteador Cisco e usando um computador que esteja executando o software de emulação de terminal, conforme mostrado na Figura 1. O administrador deve ter acesso físico ao roteador e usar um cabo do console para conectar à porta do console. O acesso local é normalmente usado para a configuração inicial do dispositivo. Acesso remoto – Os administradores também podem acessar dispositivos de infraestrutura remotamente, conforme mostrado nas Figuras 2 e 3. Embora a opção de porta auxiliar esteja disponível, o método de acesso remoto mais comum envolve a permissão de conexões Telnet, SSH, HTTP, HTTPS ou SNMP do roteador para o computador. O computador pode estar na rede local ou em uma rede remota. Alguns protocolos de acesso remoto enviam os dados, incluindo nomes de usuário e senhas, para o roteador em texto sem formatação. Se um invasor puder coletar tráfego de rede enquanto um administrador estiver acessando remotamente um roteador, ele poderá capturar senhas ou informações de configuração do roteador. Por esse motivo, é preferível permitir apenas acesso local ao roteador. No entanto, em algumas situações, o acesso remoto ainda pode ser necessário. Precauções devem ser tomadas ao acessar a rede remotamente:
Essas precauções são valiosas, mas não protegem completamente a rede. Outros métodos de defesa também devem ser implementados. Um dos métodos mais básicos e importantes é o uso de uma senha segura. 2.1.2 Configurando acesso remoto seguro 2.1.2.1 Senhas fortes Os invasores implantam vários métodos para descobrir senhas administrativas. Eles podem olhar por cima do ombro de um usuário, tentar adivinhar senhas com base nas informações pessoais do usuário ou detectar pacotes contendo arquivos de configuração de texto sem formatação. Os invasores também podem usar um cracker de senha, como L0phtCrack (Figura 1) ou Cain & Abel para descobrir senhas. Os administradores devem garantir que senhas fortes sejam usadas na rede. Siga diretrizes de senha fortes para proteger ativos, como roteadores e switches. As diretrizes de senha forte são mostradas na Figura 2. Em contraste, as Figuras 3 e 4 exibem exemplos de senhas fracas e senhas fortes.
Nos roteadores Cisco e em muitos outros sistemas, os espaços que levam à senha são ignorados, mas os espaços após o primeiro caractere não são ignorados. Um método para criar uma senha forte é usar um espaço em branco na senha ou criar uma frase composta de muitas palavras. Isso é chamado de frase secreta. Uma frase secreta é geralmente mais fácil de lembrar do que uma senha complexa. Uma frase secreta é mais longa e mais difícil de adivinhar do que uma senha. 2.1.2.2 Aumentando a segurança do acesso Existem vários comandos de configuração do roteador que podem ser usados para aumentar a segurança da senha, como mostra a Figura 1:
Você também pode desativar o processo EXEC para uma linha específica, como na porta auxiliar, usando o comando no exec no modo de configuração de linha. Este comando permite apenas uma conexão de saída na linha, desativando o processo EXEC para conexões que podem tentar enviar dados não solicitados ao roteador. 2.1.2.3 Algoritmos de senha secreta Os hashes MD5 não são mais considerados seguros porque os invasores podem reconstruir certificados válidos. Isso pode permitir que os invasores falsifiquem qualquer site. A senha secreta de ativação, mostrada na Figura 1, usa um hash MD5 por padrão. Portanto, agora é recomendável que você configure todas as senhas secretas usando senhas do tipo 8 ou 9. O tipo 8 e o tipo 9 foram introduzidos no Cisco IOS 15.3 (3) M. Os tipos 8 e 9 usam criptografia SHA. Como o tipo 9 é um pouco mais forte que o tipo 8, ele será usado ao longo deste curso sempre que for permitido pelo Cisco IOS. A Figura 2 mostra que a configuração da criptografia do tipo 9 não é tão fácil quanto parece. Você não pode simplesmente inserir ativar o segredo 9 e a senha não criptografada. Para usar este formulário do comando, você deve colar a senha criptografada, que pode ser copiada de outra configuração do roteador. Para inserir uma senha não criptografada, use a sintaxe de comando enable do tipo de algoritmo mostrada na Figura 3. Um exemplo de configuração é mostrado na Figura 4. Observe que a configuração em execução agora mostra uma senha secreta do tipo 9. A criptografia do tipo 8 e do tipo 9 também foi introduzida no Cisco IOS 15.3 (3) M para o comando secreto de nome de usuário. Semelhante ao comando enable secret, se você simplesmente inserir um usuário com o comando secret username, a criptografia padrão será MD5. Use o comando nome do usuário nome do algoritmo-tipo para especificar a criptografia do tipo 9. A sintaxe é mostrada na Figura 5, junto com um exemplo. Por motivos de compatibilidade com versões anteriores, os comandos enable password, username password e line password estão disponíveis no Cisco IOS. Esses comandos não usam criptografia por padrão. Na melhor das hipóteses, eles podem usar apenas a criptografia tipo 7, como mostra a Figura 6. Portanto, esses comandos não serão utilizados neste curso. 2.1.2.4 Protegendo o acesso à linha Por padrão, o console e as portas auxiliares não exigem uma senha para acesso administrativo. Além disso, o comando password configurado nas linhas console, vty e auxiliares pode usar apenas o tipo 7. Portanto, você deve configurar as linhas console e auxiliares para autenticação de nome de usuário / senha com o comando local login. Além disso, as linhas vty devem ser configuradas apenas para acesso SSH, como mostra a Figura 1. Use o Verificador de sintaxe na Figura 2 para proteger o acesso administrativo ao R2. Nota: Alguns dispositivos Cisco têm mais de cinco linhas vty. Verifique o número de linhas vty na configuração em execução antes de configurar a senha. Por exemplo, os comutadores Cisco suportam até 16 linhas vty simultâneas, numeradas de 0 a 15. 2.1.3 Configurando a segurança aprimorada para logons virtuais 2.1.3.1 Aprimorando o processo de login A atribuição de senhas e autenticação local não impede que um dispositivo seja direcionado para ataque. Os aprimoramentos de logon do Cisco IOS mostrados na Figura 1 fornecem mais segurança, diminuindo a velocidade de ataques, como ataques de dicionário e ataques DoS. A ativação de um perfil de detecção permite configurar um dispositivo de rede para reagir a tentativas repetidas de falha ao recusar outras solicitações de conexão (ou bloqueio de login). Este bloco pode ser configurado por um período de tempo, chamado período silencioso. As listas de controle de acesso (ACLs) podem ser usadas para permitir conexão legítima a partir de endereços de administradores de sistema conhecidos. Os banners estão desativados por padrão e devem ser ativados explicitamente. Use o comando do modo de configuração global do banner mostrado na Figura 2 para especificar as mensagens apropriadas. Os banners protegem a organização de uma perspectiva legal. A escolha do texto apropriado a ser inserido nas mensagens de faixa é importante e deve ser revisada pelos advogados antes de ser colocada nos roteadores de rede. Nunca use a palavra bem-vindo ou qualquer outra saudação familiar que possa ser mal interpretada como um convite para usar a rede. 2.1.3.2 Configurando recursos de aprimoramento de logon Os comandos de aprimoramentos de logon do Cisco IOS, mostrados na Figura 1, aumentam a segurança das conexões de logon virtual. A Figura 2 mostra um exemplo de configuração. O comando de bloqueio de login pode se defender contra ataques de negação de serviço desativando logins após um número especificado de tentativas com falha de login. O comando de modo silencioso de login é mapeado para uma ACL que identifica os hosts permitidos. Isso garante que apenas hosts autorizados possam tentar efetuar login no roteador. O comando atraso de login especifica um número de segundos que o usuário deve esperar entre tentativas malsucedidas de login. Os comandos de login com êxito e login com falha registram tentativas de login com e sem êxito. Esses aprimoramentos de logon não se aplicam às conexões do console. Ao lidar com conexões de console, supõe-se que apenas pessoal autorizado tenha acesso físico aos dispositivos. Nota: Esses aprimoramentos de login podem ser ativados apenas se o banco de dados local for usado para autenticação para acesso local e remoto. Se as linhas estiverem configuradas apenas para autenticação de senha, os recursos de login aprimorados não serão ativados. 2.1.3.3 Ativar aprimoramentos de logon Para ajudar um dispositivo Cisco IOS a fornecer detecção de DoS, use o comando de bloqueio de login. Todos os outros recursos de aprimoramento de login são desativados até que o comando block-for de login seja configurado. A Figura 1 exibe a sintaxe do comando e um exemplo de configuração do comando bloco de login para. Especificamente, o comando de bloqueio de login monitora a atividade do dispositivo de login e opera em dois modos: Modo normal – também conhecido como modo de relógio. O roteador mantém a contagem do número de tentativas de login
com falha dentro de um período de tempo identificado. Ao implementar o comando de bloqueio de login, um atraso de um segundo entre as tentativas de login é automaticamente invocado. Para tornar mais difícil para um invasor, o tempo de atraso entre as tentativas de login pode ser aumentado usando o comando delay de login, conforme mostrado na Figura 3. O comando introduz um atraso uniforme entre tentativas sucessivas de login. O atraso ocorre para todas as tentativas de login, incluindo tentativas com falha ou com êxito. Os comandos de bloqueio de login, classe de acesso no modo silencioso e atraso de login ajudam a bloquear tentativas de login com falha por um período limitado de tempo. No entanto, eles não podem impedir que um invasor tente novamente. Como um administrador pode saber quando alguém tenta obter acesso à rede adivinhando a senha? 2.1.3.4 Tentativas com falha de log Existem três comandos que podem ser configurados para ajudar um administrador a detectar um ataque por senha, conforme mostrado na Figura 1. Cada comando permite que um dispositivo gere mensagens syslog para tentativas de login com falha ou com êxito. Os dois primeiros comandos, log com êxito e log com falha, geram mensagens syslog para tentativas de login bem-sucedidas. O número de tentativas de login antes que uma mensagem de log seja gerada pode ser especificado usando a sintaxe [every logon], em que o valor padrão é 1 tentativa. O intervalo válido é de 1 a 65.535. Como alternativa ao comando log de falha em logon, o comando de taxa de falha de autenticação de segurança pode ser configurado para gerar uma mensagem de log quando a taxa de falha de logon for excedida. Use o comando show login para verificar as configurações do comando de bloqueio de login e o modo atual. Na Figura 2, o R1 foi configurado para bloquear hosts de logon por 120 segundos se mais de cinco solicitações de logon falharem em 60 segundos. R1 também confirma que o modo atual é normal e que houve quatro falhas de login nos últimos 55 segundos, porque restam cinco segundos no modo normal. As Figuras 3 e 4 mostram um exemplo do que ocorre quando o limite de tentativas com falha é excedido. A Figura 5 exibe o status resultante usando o comando show login. Observe que agora ele está no modo silencioso e permanecerá no modo silencioso por mais 105 segundos. R1 também identifica que o PERMIT-ADMIN ACL contém uma lista de hosts com permissão para se conectar durante o modo silencioso. O comando show login failures exibe informações adicionais sobre as tentativas com falha, como o endereço IP do qual as tentativas com falha de login se originaram. A Figura 6 exibe uma amostra de saída do comando show login failures. Use o Verificador de sintaxe na Figura 7 para configurar a segurança aprimorada de login no R2. 2.1.4 Configurando SSH 2.1.4.1 Etapas para configurar o SSH Existem quatro requisitos que o roteador deve atender antes de configurar o SSH:
A Figura 1 é um exemplo das cinco etapas necessárias para configurar um roteador Cisco para suportar SSH com autenticação local: Etapa 1. Configure o nome de domínio IP da rede usando o comando ip domain-name domain-name no modo de configuração global. Etapa 2. Chaves secretas unidirecionais devem ser geradas para que um roteador possa criptografar o tráfego SSH. Essas chaves são chamadas de chaves assimétricas. O software Cisco IOS usa o algoritmo Rivest, Shamir e Adleman (RSA) para gerar chaves. Para criar a chave RSA, use o comando crypto key generate rsa general-keys modulus modulus-size no modo de configuração global. O módulo determina o tamanho da chave RSA e pode ser configurado de 360 bits a 4.096 bits. Quanto maior o módulo, mais segura a chave RSA. No entanto, chaves com grandes valores de módulo demoram um pouco mais para gerar, criptografar e descriptografar. O comprimento mínimo recomendado da chave do módulo é 1.024 bits. Nota: O SSH é ativado automaticamente após a geração das chaves RSA. Etapa 3. Embora não seja tecnicamente necessário, como os roteadores Cisco adotam o padrão SSH versão 2, você pode configurar manualmente a versão 2 com o comando de configuração global ip ssh versão 2. A versão original possui vulnerabilidades conhecidas. Etapa 4. Verifique se há uma entrada de nome de usuário do banco de dados local válida. Caso contrário, crie um usando o comando nome do usuário nome do algoritmo scrypt secret secret. Etapa 5. Habilite as sessões SSH de entrada vty usando os comandos line vty, faça login no local e transporte ssh da entrada. Para verificar o SSH e exibir as chaves geradas, use o comando show crypto key mypubkey rsa no modo EXEC privilegiado. Se houver pares de chaves existentes, é recomendável que eles sejam substituídos usando o comando crypto key zeroize rsa. Se houver pares de chaves existentes, é recomendável que eles sejam removidos usando o comando crypto key zeroize rsa. A Figura 2 fornece um exemplo de verificação das chaves criptográficas SSH e remoção das chaves antigas. 2.1.4.2 Modificando a configuração SSH Para verificar as configurações opcionais do comando SSH, use o comando show ip ssh, como mostra a Figura 1. Você também pode modificar o intervalo de tempo limite padrão do SSH e o número de tentativas de autenticação. Use o comando do modo de configuração global ip ssh time-out seconds para modificar o intervalo de tempo limite padrão de 120 segundos. Isso configura o número de segundos que o SSH pode usar para autenticar um usuário. Depois de autenticada, uma sessão EXEC é iniciada e o tempo limite de execução padrão configurado para o vty se aplica. Por padrão, um usuário que faz login tem três tentativas para inserir a senha correta antes de ser desconectado. Para configurar um número diferente de tentativas SSH consecutivas, use o comando ip ssh authentication-retries integer global configuration mode mode. Use o Verificador de sintaxe na Figura 2 para ativar o SSH no R2. 2.1.4.3 Conectando a um roteador habilitado para SSH Para verificar o status das conexões do cliente, use o comando show ssh. Existem duas maneiras diferentes de conectar-se a um roteador habilitado para SSH:
O procedimento para conectar-se a um roteador Cisco varia de acordo com o aplicativo cliente SSH que está sendo usado. Geralmente, o cliente SSH inicia uma conexão SSH com o roteador. O serviço SSH do roteador solicita a combinação correta de nome de usuário e senha. Após a verificação do login, o roteador pode ser gerenciado como se o administrador estavisse usando uma sessão Telnet padrão. 2.2.1 Configurando níveis de privilégio 2.2.1.1 Limitando a disponibilidade do comando As grandes organizações têm muitas funções de trabalho variadas em um departamento de TI. Nem todas as funções do trabalho devem ter o mesmo nível de acesso aos dispositivos de infraestrutura (como mostrado nas Figuras 1 e 2). O software Cisco IOS possui dois métodos para fornecer acesso à infraestrutura: nível de privilégio e CLI baseada em função. Ambos os métodos ajudam a determinar quem deve se conectar ao dispositivo e o que essa pessoa deve fazer com ele. O acesso à CLI baseado em função fornece mais granularidade e controle. Por padrão, a CLI do Cisco IOS Software possui dois níveis de acesso aos comandos:
Existem 16 níveis de privilégio no total, como mostra a Figura 3. Quanto maior o nível de privilégio, mais acesso ao roteador o usuário tem. Os comandos disponíveis em níveis mais baixos de privilégio também são executáveis em níveis mais altos. Para atribuir comandos a um nível de privilégio personalizado, use o comando do modo de configuração global de privilégios (Figura 4). 2.2.1.2 Configurando e atribuindo níveis de privilégio Para configurar um nível de privilégio com comandos específicos, use o nível de privilégio exec [comando]. A Figura 1 mostra exemplos para três níveis de privilégio diferentes.
Existem dois métodos para atribuir senhas aos diferentes níveis de privilégio:
Nota: Os comandos secreto de nome de usuário e de habilitação secreto estão configurados para criptografia do tipo 9. Use o comando username para atribuir um nível de privilégio a um usuário específico. Use o comando enable secret para atribuir um nível de privilégio a uma senha específica do modo EXEC. Por exemplo, o usuário SUPPORT recebe o nível de privilégio 5 com a senha cisco5. No entanto, como mostrado na Figura 2, qualquer usuário pode acessar o nível de privilégio 5 se esse usuário souber que a senha secreta de ativação é cisco5. A Figura 2 também demonstra que o nível de privilégio 5 não pode recarregar o roteador. Na Figura 3, o usuário habilita o nível de privilégio 10, que tem acesso ao comando reload. No entanto, os usuários no nível de privilégio 10 não podem exibir a configuração em execução. Na Figura 4, o usuário habilita o nível de privilégio 15, que tem acesso total para visualizar e alterar a configuração, incluindo a execução da configuração. 2.2.1.3 Limitações dos níveis de privilégio O uso de níveis de privilégio tem suas limitações:
Nota: Se um administrador precisar criar uma conta de usuário que tenha acesso à maioria, mas não a todos os comandos, as instruções exec de privilégio precisarão ser configuradas para cada comando que deve ser executado em um nível de privilégio inferior a 15. Use o Verificador de sintaxe na Figura 2 para configurar os níveis de privilégio no R2. 2.2.2.1 Acesso à CLI com base em funções Em um esforço para fornecer mais flexibilidade do que os níveis de privilégio permitem, a Cisco introduziu o recurso de acesso à CLI baseado em função no Cisco IOS Release 12.3 (11) T. Esse recurso fornece acesso mais fino e granular, controlando quais comandos estão disponíveis para funções específicas, conforme mostrado nas Figuras 1 e 2. O acesso à CLI baseado em função permite que o administrador da rede crie visualizações diferentes das configurações do roteador para diferentes usuários. Cada visualização define os comandos da CLI que cada usuário pode acessar. Segurança O acesso à CLI baseado em função aprimora a segurança do dispositivo, definindo o conjunto de comandos da CLI acessíveis por um usuário específico. Além disso, os administradores podem controlar o acesso do usuário a portas, interfaces lógicas e slots específicos em um roteador. Isso evita que um usuário altere acidental ou propositalmente uma configuração ou colete informações às quais não deve ter acesso. Disponibilidade O acesso à CLI baseado em função impede a execução não intencional de comandos da CLI por pessoal não autorizado e minimiza o tempo de inatividade. Eficiência operacional Os usuários veem apenas os comandos da CLI aplicáveis às portas e à CLI às quais eles têm acesso. Portanto, o roteador parece ser menos complexo e os comandos são mais fáceis de identificar ao usar o recurso de ajuda no dispositivo. 2.2.2.2 Visualizações baseadas em funções A CLI baseada em função fornece três tipos de visualizações que determinam quais comandos estão disponíveis: Root View Para configurar qualquer visualização para o sistema, o administrador deve estar na visualização raiz. A visualização raiz possui os mesmos privilégios de acesso que um usuário com privilégios de nível 15. No entanto, uma visualização raiz não é igual a um usuário de nível 15. Somente um usuário da visualização raiz pode configurar uma nova visualização e adicionar ou remover comandos das visualizações existentes. CLI View Um conjunto específico de comandos pode ser empacotado em uma visualização da CLI. Ao contrário dos níveis de privilégio, uma visualização da CLI não possui hierarquia de comandos e visualizações superiores ou inferiores. Cada visualização deve receber todos os comandos associados a essa visualização. Uma visão não herda comandos de nenhuma outra visão. Além disso, os mesmos comandos podem ser usados em várias visualizações. Superview Uma superview consiste em uma ou mais visualizações da CLI. Os administradores podem definir quais comandos são aceitos e quais informações de configuração são visíveis. As superviews permitem que um administrador de rede atribua a usuários e grupos de usuários várias visualizações de CLI ao mesmo tempo, em vez de precisar atribuir uma única visualização de CLI por usuário com todos os comandos associados a essa visualização de CLI. As Superviews têm várias características específicas:
Clique em Reproduzir na animação para obter uma explicação das visualizações. Quais os requisitos para habilitar o acesso remoto seguro SSH no roteador?Etapa 1. Certifique-se de que o roteador tenha um nome de host exclusivo e, em seguida, configure o nome do domínio IP da rede usando o comando ip domain-name domain-name no modo de configuração global. Etapa 2. As chaves secretas unidirecionais devem ser geradas para que um roteador criptografe o tráfego SSH.
Quais três etapas de configuração devem ser executadas para implementar o acesso SSH a um roteador?Laboratório – Configurar dispositivos de rede com SSH
Parte 1: Definir as configurações básicas do dispositivo. Parte 2: Configurar o roteador para acesso SSH. Parte 3: Configurar o switch para acesso SSH.
Qual etapa de configuração deve ser executada primeiro ao ativar o SSH em um dispositivo da Cisco?Para a configuração do SSH , a primeira etapa é configurar um nome do domínio. Outras configurações SSH dependem do nome do domínio válido, como a geração dos pares de chaves RSA . Para a configuração do SSH , a primeira etapa é configurar um nome do domínio.
Qual é a finalidade de usar SSH para se conectar a um roteador?Explicação: Secure Shell (SSH) é um protocolo que fornece uma conexão de gerenciamento segura para um dispositivo remoto. SSH fornece segurança fornecendo criptografia para autenticação (nome de usuário e senha) e os dados transmitidos.
|