Quando a gente começa a estudar a parte prática do CCNA Security, atualmente chamado de IINSv2 (Implementing Cisco IOS Network Security), nos deparamos com um assunto chamado “Device Hardening”, mas o que é exatamente isso?

O “Device Hardening” nada mais é que aumentar a segurança nos roteadores, switches e demais dispositivos da Rede IP, ou seja, melhorar o controle de acesso (usuários, senhas e uso de servidores de autenticação), monitoração, desativar protocolos desnecessários, utilizar protocolos seguros ao invés de abertos ou que enviam mensagens em texto claro, etc.

Mas note que no CCNA Security o tema trata mais especificamente dos Roteadores e Switches, ok?

Existem diversas configurações padrões que podem ser consideradas por muitas empresas e ambientes como “riscos de segurança”.

Agora você pode ter pensado: “Opa, espera aí prof Marcelo… como assim algo padrão é um risco de segurança?“

Vamos lá…

Eu não falei que SÃO UM RISCO e sim PODEM SER CONSIDERADAS um risco, pois isso depende da política de segurança e necessidades de cada solução de Infra de TI.

Deixa eu dar um exemplo prático…

O sistema de telefonia IP da Cisco utiliza o protocolo CDP ou o LLDP-MED para descoberta de dispositivos na rede e algumas tarefas a mais que um telefone IP precisa para subir na rede.

Ao mesmo tempo, ambos os protocolos (CDP e LLDP) podem ser utilizados para levantar informações sobre os dispositivos de rede, por isso em algumas empresas a política de segurança recomenda desabilitá-los.

Nesse ponto o administrador de redes juntamente com os responsáveis pela Segurança da rede precisarão entrar em um acordo sobre como e onde utilizar os protocolos citados anteriormente, ou então provavelmente os telefones IP terão que ser configurados um a um manualmente… imagine isso em uma rede com 1000 telefones? Sem comentários certo (rsrs)?

Portanto, agora sabemos o que é o device hardening e já até vimos um exemplo do que isso implica vamos passar algumas opções de configurações básicas que podem ser cobradas no CCNA Security envolvendo o controle de acesso através da configurações de senhas locais.

Basicamente podemos acessar os roteadores e switches baseados em Cisco IOS ou IOS-XE de forma local (cabo de console) ou remota (Telnet e SSH).

Quando você acessa um roteador de forma local é possível configurar uma senha para esse acesso que é a senha de console.

Após esse acesso, o usuário vai entrar em um modo básico que não dá acesso às configurações dos roteadores e switches Cisco, para ganhar acesso completo é preciso utilizar o comando “enable”, aqui vem um momento que é crucial!

Se não existir uma senha de enable forte, quem acesso o dispositivo vai poder fazer o que bem intender, inclusive apagar o sistema operacional e reiniciar o roteador, por exemplo. Isso simplesmente iria parar a rede ou boa parte dela!

Portanto, a seguir vamos passar algumas recomendações para configuração de um acesso seguro e também como fazer a configuração das senhas de console e enable.

Recomendações para Proteger o Acesso Administrativo

Para proteger os equipamentos como roteadores e switches o primeiro passo deve ser a escolha de senhas fortes, seguindo diretrizes ou regras para criar senhas que não sejam facilmente descobertas por métodos de “tentativa e erro”  ou ferramentas para quebra de senha.

Abaixo seguem algumas regras para criação de uma senha segura:

• Use uma senha com comprimento de 10 ou mais caracteres, portanto quanto maior melhor será.

• Utilize senhas complexas, as quais devem incluir uma mistura de letras maiúsculas e minúsculas, números, caracteres especiais e espaços.

• Evite senhas baseadas em repetição, palavras do dicionário, sequências de números, nomes de parentes ou animal de estimação, informação biográfica, tais como datas de nascimento, números de documentos, nomes dos antepassados ou informações que sejam rastreáveis e de fácil identificação. Por exemplo: senha1234, admin/admin, joao160599, etc.

• Erre deliberadamente a ortografia da palavra utilizada como senha. Por exemplo, cisco = C1sc0 ou password = P@ssw0rd.

• Altere as senhas com frequência. Se uma senha for comprometida sem que o administrador de rede ou o usuário saibam, a janela de oportunidade para que o atacante use a senha estará limitada.

• Não escreva senhas em locais óbvios como sobre a mesa, em sua agenda ou monitor, o ideal é não escrever em local algum e sim memorizá-la.

Dica: Em roteadores Cisco e muitos outros sistemas, os espaços no início da senha são ignorados, mas espaços após o primeiro caractere não são ignorados.

Portanto, um método para criar uma senha forte é usar a barra de espaço e criar uma frase composta de muitas palavras.

Isso é chamado de uma frase secreta. A frase é muitas vezes mais fácil de lembrar do que uma simples senha. Também é mais longo e difícil de adivinhar.

Configurando a Senha de Enable (senha secreta para o modo Executivo Privilegiado)

A senha “enable secret” é um comando que deve ser executado em modo configuração global e tem o objetivo de restringir o acesso ao modo EXEC privilegiado.

Na senha enable secret é utiliza um algoritmo de hash (criptografia) Message Digest 5 (MD5).

Se a senha de enable for perdida ou esquecida, ela deve ser trocada utilizando o processo de recuperação de senha. Veja a seguir um exemplo de aplicação.

Router>enable

Router#config term

Router(config)#enable secret d1t3c@!

Router(config)#end

Router#disable

Router>enable

Password:

Após configurada a senha de enable será necessarário digitar a senha para ter acesso ao modo provilegiado. Veja no comando show running-config que a senha de enable secret vem critptografada.

Router#show running-config

Building configuration…

Current configuration : 499 bytes

!

version 12.4

no service timestamps log datetime msec

no service timestamps debug datetime msec

no service password-encryption

!

hostname Router

!

enable secret 5 $1$mERr$hx5rVt7rPNoS4wqbXKX7m0

!

O 5 que aparece na configuração significa que a criptografia é MD-5 e os caracteres $1$mERr$hx5rVt7rPNoS4wqbXKX7m0 é a senha criptografada.

Existe ainda o enable password, porém esse comando não deve ser utilizado por não ser criptografado.

O enable password, apesar de não ser criptografado, foi mantido nas versões mais novas de IOS como uma forma de compatibilidade com versões mais antigas em caso de necessidade de um downgrade de versão, ou seja, necessidade de uma versão antiga de IOS que não suporte o comando “enable secret”.

Configurando a Senha de Console

Por padrão, a porta de console não exige uma senha para acesso administrativo, porém não é recomendado deixá-la sem uma proteção de acesso por senha. Siga os passos a seguir para criar uma senha de console local.

Router#

Router#configure terminal

Enter configuration commands, one per line.  End with CNTL/Z.

Router(config)#line console 0

Router(config-line)#password D1t3c@!

Router(config-line)#login

Router(config-line)#end

Router#

%SYS-5-CONFIG_I: Configured from console by console

Router#

Router#show running-config | begin line con

line con 0

 password D1t3c@!

 login

line vty 0 4

 login

end

O sub-comando “password” define a senha como D1t#c@! e o “login” faz com que a senha seja solicitada ao conectar um laptop via cabo de console.

Note no show running-config que a senha definida é mostrada em texto claro, pois com exceção da senha secreta (enable secret) isso ocorrerá com todas as outras senhas.

Para resolver esse problema entre com o comando “service password-encryption”, o qual criptografará todas as senhas em modo texto com um hash proprietário da Cisco de nível 7.

Então é isso aí, chegamos ao final de mais um artigo incrível que muitos de vocês pediram em nosso blog e de coração espero ter ajudado na sua busca por conhecimento realmente de valor na área de Redes e Infraestrutura de TI.

Conto sempre com sua ajuda para compartilhar nosso artigo em suas redes sociais para que possamos cada vez mais impactar o maior número de profissionais da nossa área.

Se você tiver alguma dúvida, crítica ou até mesmo sugestão de melhoria ou de assunto para uma próxima postagem utilize o campo que está mais abaixo e deixe seu comentário.

Sempre damos muita atenção aos comentários!

Muito obrigado pela visita e até uma próxima!