Академический Документы
Профессиональный Документы
Культура Документы
Interativo: Este documento oferece uma anlise personalizada do seu dispositivo Cisco.
ndice
Introduo Pr-requisitos Requisitos Componentes Usados Convenes Informaes complementares Gerenciamento de Senha enable secret service password-encryption (e limitaes) Acesso Interativo de Controle Portas do Console Acesso Interativo Geral Banners de Advertncia Servios de Gerenciamento Configurados Normalmente SNMP HTTP Gerenciamento e Acesso Interativo atravs da Internet (e outras Redes No-Confiveis) Farejadores de Pacotes Outros Riscos de Acesso Internet Registro Informaes sobre a Gravao de Registros Registrar Violaes da Lista de Acesso IP Routing Seguro Anti-Falsificao Controle de Broadcasts Direcionados Integridade de Caminho Gerenciamento de Inundao Inundaes de Trnsito Autoproteo do Roteador Servios Possivelmente Desnecessrios Servios Pequenos de TCP e UDP Finger NTP CDP Mantenha-se Atualizado Lista de Comandos Informaes Relacionadas
Introduo
Este documento uma discusso informal sobre algumas definies de configurao da Cisco que administradores de rede devem pensar em alterar em seus roteadores, especialmente em seus roteadores de borda, para melhorar a segurana. Este documento trata de itens bsicos de configurao de texto padro que so aplicveis de forma praticamente universal em redes IP, bem como de alguns itens inesperados dos quais voc deve ter cincia. Se voc tiver a sada de um comando show running-configuration de seu dispositivo da Cisco, possvel usar para visualizar possveis problemas e correes.Voc dever ser um cliente registrado, estar conectado e possuir o JavaScript habilitado para usar . possvel utilizar a Interpretao de Sada para visualizar possveis problemas e correes. Voc dever ser um cliente registrado, estar conectado e possuir o JavaScript habilitado para utilizar a Interpretao de Sada.
Pr-requisitos
Requisitos
No existem requisitos especficos para este documento.
Componentes Usados
Este documento no est restrito a verses especficas de software e de hardware.
Convenes
Consulte Convenes de Dicas Tcnicas da Cisco para obter mais informaes sobre as convenes de documentos.
Informaes complementares
Esta no uma lista completa, nem pode ser substituda pelo conhecimento do administrador da rede. Este documento um lembrete de algumas coisas que, s vezes, so esquecidas. Somente comandos importantes para redes IP so mencionados. Muitos dos servios habilitados em roteadores Cisco exigem uma configurao de segurana cuidadosa. No entanto, este documento baseia-se principalmente em servios habilitados por padro, ou que quase sempre so habilitados pelos usurios, e que talvez precisem ser desabilitados ou reconfigurados. Isso especialmente importante porque algumas das configuraes padro do Cisco IOS Software esto presentes por razes histricas. As configuraes faziam sentido quando foram escolhidas, mas podem ser diferentes se novos padres forem escolhidos atualmente. Outros padres fazem sentido para a maioria dos sistemas, mas podem criar exposies de segurana se forem usados em dispositivos que fazem parte de uma defesa de permetro de rede. Outros ainda, so realmente exigidos por padres, mas nem sempre so desejveis do ponto de vista de segurana. O Cisco IOS Software possui muitas caractersticas especficas de segurana, como listas de acesso de filtragem de pacotes, Conjunto de Recursos do Cisco IOS Firewall, Interceptao de TCP, AAA e criptografia. Muitas outras caractersticas, como registro de pacotes e Quality of Service (QoS), podem ser utilizadas para aumentar a segurana de rede contra vrios ataques. Nenhum desses so discutidos, exceto superficialmente. Este no um documento sobre configurao de firewall. Em sua maioria, trata-se de um documento sobre como proteger o prprio roteador e ignora a questo igualmente importante de proteo de outros dispositivos de rede.
Gerenciamento de Senha
Senhas e segredos similares, como strings de comunidade do Simple Network Management Protocol (SNMP), so a principal defesa contra acesso no autorizado ao roteador. A melhor maneira de tratar a maioria das senhas mant-las em um servidor de autenticao TACACS+ ou RADIUS. No entanto, quase todos os roteadores ainda possuem uma senha configurada localmente para acesso privilegiado e tambm podem ter outras informaes de senha em seus arquivos de configurao.
enable secret
O comando enable secret usado para definir a senha que garante acesso administrativo privilegiado ao sistema IOS. Uma senha secreta habilitada deve ser sempre configurada. Utilize o comando enable secret, e no o antigo comando enable password. O comando enable password utiliza um algoritmo de criptografia fraco. Consulte a seo service password-encryption deste documento para obter mais informaes. Se nenhuma senha secreta habilitada estiver definida e uma senha for configurada para a linha TTY do console, a senha do console poder ser usada para obter o acesso privilegiado, mesmo a partir de uma sesso de VTY remota. Isso, quase certamente, no o que voc quer, mas outra razo para estar certo de configurar uma habilitao de segredo.
Portas do Console
importante lembrar que a porta do console de um dispositivo Cisco IOS tem privilgios especiais. Especificamente, se um sinal BREAK for enviado porta do console durante os primeiros segundos aps uma reinicializao, o procedimento de recuperao de senha pode ser facilmente utilizado para assumir o controle do sistema. Isso significa que invasores que interrompam a alimentao ou induzam um travamento do sistema, e que tenham acesso porta do console atravs de um terminal conectado, um modem, um servidor de terminal, ou outro dispositivo de rede, podem assumir o controle do sistema, mesmo que no tenham acesso fsico a ele ou a capacidade de conectar-se a ele normalmente. Qualquer modem ou dispositivo de rede que fornea acesso porta do console Cisco deve estar protegido com um padro comparvel ao da segurana usada para acesso privilegiado ao roteador. No mnimo, todo modem de console dever ser de um tipo que possa exigir que o usurio dialup fornea uma senha de acesso, e a senha do modem deve ser gerenciada cuidadosamente.
de modem de discagem, e simule o prompt de logon do roteador para roubar senhas. Essa caracterstica tambm pode executar aes para enganar usurios locais ou interferir em seu trabalho. Execute o comando de configurao transport input none para desabilitar a caracterstica de Telnet reverso em qualquer linha de modem ou assncrona que no deva receber conexes de usurios de rede. Se possvel, no use os mesmos modems para discagem interna e discagem externa e no permita conexes Telnet reversas nas linhas que voc usa para discagem interna. Controle de VTYs e Garantia de Disponibilidade de VTY Todo VTY deve ser configurado para aceitar conexes somente com os protocolos realmente necessrios. Isso feito com o comando transport input. Por exemplo, um VTY que deva receber somente sesses Telnet configurado com o comando transport input telnet, enquanto um VTY que permita sesses Telnet e SSH tem o comando transport input telnet ssh. Se seu software for compatvel com um protocolo de acesso criptografado, como o SSH, ative somente esse protocolo e desative o Telnet de texto puro. Alm disso, execute o comando ip access-class para restringir os endereos IP dos quais o VTY deve aceitar conexes. Um dispositivo Cisco IOS possui um nmero limitado de linhas VTY, geralmente cinco. Quando todos os VTYs estiverem em uso, nenhuma conexo interativa remota poder ser estabelecida. Isso cria a oportunidade de um ataque de recusa de servio. Se um invasor pode abrir sesses remotas para todos os VTYs no sistema, o administrador legtimo poder no conseguir efetuar logon. O invasor no precisa efetuar logon para fazer isso. As sesses podem simplesmente ser deixadas no prompt de logon. Uma forma de reduzir essa exposio configurar um comando ip access-class mais restritivo no ltimo VTY do sistema do que nos outros VTYs. O ltimo VTY, em geral VTY 4, pode ser restrito de forma a aceitar conexes apenas de uma nica estao de trabalho administrativa especfica, enquanto os outros VTYs podem aceitar conexes de qualquer endereo em uma rede corporativa. Outra ttica til executar o comando exec-timeout para configurar expiraes VTY. Isso impede uma sesso ociosa de consumir um VTY indefinidamente. Embora sua eficcia contra ataques deliberados seja relativamente limitada, ele tambm oferece alguma proteo contra sesses deixadas ociosas acidentalmente. Da mesma forma, habilitar as keepalives de TCP em conexes recebidas com o comando service tcpkeepalives-in pode ajudar na proteo contra ataques maliciosos e sesses rfs motivados por travamentos do sistema remoto. possvel desabilitar todos os protocolos de acesso remoto que no sejam baseados em IP e usar a criptografia IPSec para todas as conexes interativas remotas com o roteador para fornecer uma proteo VTY completa. O IPSec uma opo de custo extra e sua configurao foge do escopo deste documento.
Banners de Advertncia
Em algumas jurisdies, as aes civis e criminais contra invasores que invadem sistemas so muito facilitadas se voc utilizar um banner que informe a usurios no autorizados que o uso no autorizado. Em outras jurisdies, pode ser proibido monitorar as atividades at mesmo de usurios no autorizados, a menos que voc tenha realizado etapas para notific-los de sua inteno. Uma forma de fornecer essa notificao coloc-la em uma mensagem de banner, configurada com o comando banner login do Cisco IOS. Requisitos de notificaes legais so complexos e variam de acordo com a jurisdio e a situao. Mesmo em jurisdies, as opinies legais variam e essa questo deve ser discutida com seu prprio advogado. Decida com seu advogado qual informao colocar em seu banner: Uma observao informando que o sistema s poder ser acessado ou utilizado por pessoal autorizado especfico e, talvez, informaes sobre quem pode autorizar o uso. Uma observao informando que qualquer utilizao no autorizada do sistema ilegal e pode estar sujeita a penalidades civis e/ou criminais. Uma observao informando que qualquer utilizao do sistema pode ser registrada ou monitorada sem aviso prvio e que os arquivos de registro resultantes podem ser utilizados como evidncia nos tribunais. Observaes especficas exigidas por determinadas leis locais. Por questes de segurana, e no do ponto de vista legal, o seu banner de logon no deve conter nenhuma informao especfica sobre o roteador, como nome, modelo, qual software ele executa ou quem o proprietrio. Essas informaes podem ser usadas por invasores.
SNMP
O SNMP amplamente utilizado para monitoramento de roteador e freqentemente utilizado para alteraes de configurao do roteador. Infelizmente, a verso 1 do protocolo SNMP, que a mais comumente usada, utiliza um esquema de autenticao muito fraco baseado em uma
string de comunidade. Isso resulta em uma senha fixa transmitida atravs da rede sem criptografia. Se possvel, utilize a verso 2 do SNMP, que compatvel com um esquema de autenticao de digest baseado em MD5 e permite acesso restrito a vrios dados de gerenciamento. Se precisar usar a verso 1 do SNMP, escolha strings de comunidade que no sejam bvias. No escolha, por exemplo, "pblica" ou "privada". Se possvel, evite utilizar as mesmas strings de comunidade para todos os dispositivos de rede. Utilize uma string ou strings diferentes para cada dispositivo, ou, pelo menos, para cada rea da rede. No faa uma string somente leitura igual a uma string de leitura/gravao. Se possvel, dever ser feita uma apurao peridica da verso 1 do SNMP com uma string de comunidade somente leitura. Strings leitura/gravao s devem ser utilizadas para operaes de gravao reais. A verso 1 do SNMP no adequada para uso na Internet pblica pelos seguintes motivos: Ele utiliza as strings de autenticao de texto claro. A maioria das implementaes de SNMP envia essas strings repetidamente como parte da apurao peridica. um protocolo de transao, baseado em datagrama, que pode ser falsificado facilmente. Antes de us-lo dessa maneira, voc deve considerar com cuidado as implicaes. Na maioria das redes, mensagens SNMP legtimas so emitidas apenas por determinadas estaes de gerenciamento. Se isso ocorre em sua rede, provavelmente necessrio utilizar a opo nmero de lista de acesso no comando snmp-server community para restringir o acesso da verso 1 do SNMP apenas aos endereos IP das estaes de gerenciamento. No utilize o comando snmp-server community para qualquer finalidade em um ambiente da verso 2 do SNMP puro. Implicitamente, este comando habilita a verso 1 do SNMP. Para a verso 2 do SNMP, configure a autenticao de digest com as palavras-chave authentication e md5 do comando de configurao snmpserver party. Se possvel, utilize um valor secreto de MD5 diferente para cada roteador. As estaes de gerenciamento de SNMP normalmente possuem grandes bancos de dados de informaes de autenticao, como strings de comunidade. Essas informaes permitem o acesso a vrios roteadores e outros dispositivos de rede. Essa concentrao de informaes torna a estao de gerenciamento de SNMP um alvo natural para ataques. Sendo assim, ela deve ser protegida de acordo.
HTTP
As verses mais recentes do Cisco IOS Software utilizam o protocolo HTTP da World Wide Web para serem compatveis com o monitoramento e a configurao remotos. Geralmente, o acesso HTTP equivalente ao acesso interativo ao roteador. O protocolo de autenticao utilizado para o HTTP equivalente a enviar uma senha de texto claro atravs da rede. Infelizmente, no h provises eficientes no HTTP para senhas baseadas em desafio ou de uma vez. Isso torna o HTTP uma escolha relativamente arriscada para utilizao na Internet pblica. Se voc escolher utilizar o HTTP para gerenciamento, execute o comando ip http access-class para restringir o acesso aos endereos IP apropriados. Alm disso, execute o comando ip http authentication para configurar a autenticao. Assim como nos logons interativos, a melhor opo para autenticao HTTP utilizar um servidor TACACS+ ou RADIUS. Evite utilizar a senha de habilitao como uma senha HTTP.
Farejadores de Pacotes
Os invasores freqentemente entram em computadores pertencentes a provedores de servios de Internet (ISPs), ou em computadores de outras redes de grande porte, e instalam programas farejadores de pacotes. Esses programas monitoram o trfego realizado atravs da rede e roubam dados, como senhas e strings de comunidade do SNMP. Embora isso tenha sido dificultado graas s melhorias de segurana realizadas por operadores de rede, ainda relativamente comum. Alm do risco de invasores externos, no incomum que o pessoal de ISP de rogue instale farejadores. Qualquer senha enviada atravs de um canal no criptografado est em risco. Isso inclui as senhas de logon e habilitao de seus roteadores.
Se possvel, evite efetuar logon em seu roteador utilizando um protocolo no criptografado em uma rede no confivel. Se o software do roteador for compatvel, utilize um protocolo de logon criptografado, como SSH ou Telnet Kerberizado. Outra possibilidade utilizar a criptografia IPSec para todo o trfego de gerenciamento do roteador, incluindo Telnet, SNMP e HTTP. Todas essas caractersticas de criptografia esto sujeitas a determinadas restries de exportao impostas pelo governo dos Estados Unidos e so itens que exigem solicitao especial e custos extras em roteadores Cisco. Se voc no tiver acesso a um protocolo de acesso remoto criptografado, outra possibilidade utilizar um sistema de senha de uma vez, como S/KEY ou OPIE, junto com um servidor TACACS+ ou RADIUS. Isso controla os logons interativos e o acesso privilegiado ao seu roteador. A vantagem nesse caso que uma senha roubada fica inutilizada, pois invalidada pela sesso em que roubada. Dados sem senha transmitidos na sesso permanecem disponveis aos curiosos, mas muitos programas farejadores esto instalados para se concentrarem nas senhas. Se voc precisar enviar senhas atravs de sesses de Telnet de texto puro, altere suas senhas com freqncia e preste muita ateno no caminho percorrido pelas sesses.
Registro
Os roteadores Cisco podem registrar informaes sobre diversos eventos, muitos dos quais tm significado de segurana. Os registros podem ser muito importantes para caracterizar e combater incidentes de segurana. Estes so os tipos principais de registro utilizados pelos roteadores Cisco: Registro de AAAColeta informaes sobre conexes de entrada do usurio, logons, logouts, acessos HTTP, alteraes de nvel de privilgio, comandos executados e eventos semelhantes. As entradas de registro de AAA so enviadas aos servidores de autenticao que utilizam os protocolos TACACS+ e/ou RADIUS e gravadas localmente por esses servidores, geralmente em arquivos de disco. Se voc utiliza um servidor TACACS+ ou RADIUS, possvel habilitar o registro de AAA de vrias formas. Execute os comandos de configurao de AAA, como aaa accounting, para habilit-lo. Uma descrio detalhada da configurao de AAA est alm do escopo deste documento. Registro de armadilha de SNMPEnvia notificaes de alteraes significativas no status do sistema para as estaes de gerenciamento do SNMP. Utilize armadilhas de SNMP somente se voc tiver uma infra-estrutura de gerenciamento de SNMP pr-existente. Registro de sistemaRegistra uma grande variedade de eventos, dependendo da configurao do sistema. Os eventos de registro do sistema podem ser informados a vrios destinos, incluindo os seguintes: A porta do console do sistema (console de registro). Servidores que utilizem o protocolo UNIX syslog (logging ip-address, logging trap). Sesses remotas em VTYs e sesses locais em TTYs ( monitor de registro, monitor do terminal). Um buffer de registro local na RAM do roteador (registro em buffer). Do ponto de vista da segurana, os eventos mais importantes, geralmente gravados pelo registro do sistema, so as alteraes de status de interface, alteraes na configurao do sistema, correspondncias de lista de acesso e eventos detectados pelo firewall opcional e caractersticas de deteco de intruses. Cada evento de registro de sistema rotulado com um nvel de urgncia. O intervalo de nveis das informaes de depurao (de menor urgncia), para as principais emergncias de sistema. Cada destino de registro pode ser configurado com urgncia limiar, e recebe eventos
IP Routing Seguro
Esta seo discute algumas medidas de segurana bsicas relacionadas forma como o roteador encaminha pacotes IP. Consulte Caractersticas essenciais do IOS para obter mais informaes sobre essas questes.
Anti-Falsificao
Muitos ataques rede consistem em um invasor que falsifica ou frauda os endereos de origem de datagramas IP. Alguns ataques dependem de falsificao para funcionar e outros ataques sero muito mais difceis de rastrear, se o invasor conseguir usar o endereo de outra pessoa, em vez do seu prprio endereo. Portanto, importante que os administradores de rede impeam a falsificao sempre que possvel. A anti-falsificao deve ser realizada em todos os pontos da rede onde for possvel. Normalmente mais fcil e mais eficaz nas bordas entre grandes blocos de endereo ou entre domnios de administrao de rede. praticamente impossvel realizar a anti-falsificao em todos os roteadores de uma rede, por causa da dificuldade de determinar quais endereos de origem podem aparecer legitimamente em uma determinada interface. Se voc for um ISP, poder perceber que a anti-falsificao eficaz, junto com outras medidas efetivas de segurana, faz com que assinantes caros e problemticos transfiram seus negcios para outros provedores. Os ISPs devem aplicar controles anti-falsificao nos pools de dialup e outros pontos de conexo do usurio final (consulte RFC 2267 ). Os administradores de firewalls corporativos ou de roteadores de permetro s vezes instalam medidas anti-falsificao para evitar que hosts da Internet se apropriem de endereos de hosts internos, mas no tomam providncias para evitar que os hosts internos se apropriem dos endereos dos hosts da Internet. Tente evitar a falsificao em ambas as direes. H pelo menos trs boas razes para se executar a anti-falsificao em ambas as direes em um firewall organizacional: 1. Usurios internos ficam menos tentados a realizar ataques a redes e tm menos chances de sucesso se tentarem de fato. 2. Hosts internos configurados incorretamente por acidente tm menor probabilidade de causar problemas para locais remotos. Portanto, tm menor probabilidade de causarem ligaes de reclamao ou de denegrir a reputao da organizao. 3. Invasores externos freqentemente entram em redes como pontos de partida para outros ataques. Esses invasores podem ficar menos interessados em uma rede que tenha proteo de falsificao de sada.
Anti-Falsificao com Listas de Acesso Infelizmente, no possvel fornecer uma lista simples de comandos que forneam a proteo contra falsificao adequada. A configurao da lista de acesso depende muito da rede individual. O principal objetivo descartar pacotes que cheguem em interfaces que no sejam caminhos viveis dos supostos endereos de origem desses pacotes. Por exemplo, em um roteador de duas interfaces que conecta uma rede corporativa Internet, qualquer datagrama que chegar na interface da Internet, mas cujo campo de endereo de origem indicar que veio de uma mquina na rede corporativa, dever ser descartado. Da mesma forma, todos os datagramas que chegarem interface conectada rede corporativa, mas cujo campo de endereo de origem indicar que a origem uma mquina fora da rede corporativa, devero ser descartados. Se os recursos de CPU permitirem, aplique a anti-falsificao em todas as interfaces onde seja vivel determinar o trfego que deve chegar de forma lcita. ISPs que transportam trfego de trnsito podem ter oportunidades limitadas de configurar listas de acesso anti-falsificao, mas eles podem, em geral, filtrar pelo menos o trfego externo que alegar ser originado a partir do prprio espao de endereo do ISP. Geralmente, os filtros anti-falsificao devem ser construdos com listas de acesso de entrada. Isso significa que os pacotes devem ser filtrados nas interfaces pelas quais chegam no roteador e no nas interfaces pelas quais deixam o roteador. Isso definido aplicando-se o comando de configurao de interface ip access-group list in. possvel utilizar listas de acesso de sada em algumas configuraes de duas portas para antifalsificao, mas listas de entrada costumam ser de mais fcil compreenso mesmo nestes casos. Alm disso, uma lista de entrada protege o prprio roteador contra ataques de falsificao, enquanto uma lista de sada protege somente dispositivos atrs do roteador. Quando existem listas de acesso anti-falsificao, elas sempre devem recusar os datagramas com endereos de origem broadcast ou multicast e os datagramas com endereo loopback reservado como endereo de origem. Normalmente apropriado para uma lista de acesso anti-falsificao filtrar todos os redirecionamentos de ICMP, independentemente do endereo de origem ou de destino. Esses so os comandos adequados:
access-list access-list access-list access-list number number number number deny deny deny deny icmp any any redirect ip 127.0.0.0 0.255.255.255 any ip 224.0.0.0 31.255.255.255 any ip host 0.0.0.0 any
O quarto comando filtra pacotes de sada de muitos clientes BOOTP/DHCP. Portanto, ele no adequado em todos os ambientes. Anti-Falsificao com Verificaes de RPF Em quase todas as verses do Cisco IOS Software que so compatveis com o Cisco Express Forwarding (CEF) possvel fazer com que o roteador verifique o endereo de origem de qualquer pacote com relao interface pela qual o pacote entrou no roteador. Se a interface de entrada no for um caminho possvel para o endereo de origem de acordo com a tabela de roteamento, o pacote ser descartado. Isso funciona somente quando o roteamento simtrico. Se a rede for desenhada de forma que o trfego do host A para o host B possa seguir normalmente um caminho diferente do caminho seguido do host B para o host A, sempre ocorrer uma falha na verificao e a comunicao entre os dois hosts ser impossvel. Esse tipo de roteamento assimtrico comum no centro da Internet. Antes de ativar essa caracterstica, certifique-se de que a sua rede no utiliza um roteamento assimtrico. Esta caracterstica conhecida como verificao de encaminhamento de caminho reverso (RPF) e habilitada com o comando ip verify unicast rpf. Ele est disponvel no Cisco IOS Software Releases 11.1CC, 11.1CT, 11.2GS e em todas as verses 12.0 e posteriores, mas requer que o CEF esteja habilitado para que seja efetivo.
Para obter uma estratgia que bloqueia ataques de smurf em alguns roteadores de firewall, que depende do desenho de rede, e informaes gerais sobre o ataque de smurf, consulte ataques de recusa de servio .
Integridade de Caminho
Muitos ataques dependem da habilidade de influenciar os caminhos que os datagramas utilizam atravs da rede. Se conseguirem controlar o roteamento, os invasores podem falsificar o endereo da mquina de outro usurio e fazer com que o trfego de retorno seja enviado para eles, ou podem interceptar e ler dados destinados a outra pessoa. O roteamento tambm pode ser interrompido simplesmente para fins de recusa de servio. Roteamento de Origem de IP O protocolo IP compatvel com opes de roteamento de origem que permitem que o emissor de um datagrama IP controle a rota que o datagrama ir tomar em direo ao seu destino final e, em geral, a rota que qualquer resposta ir tomar. Essa opes raramente so utilizadas para fins lcitos em redes reais. Algumas implementaes de IP mais antigas no fazem o processamento de pacotes roteados por origem corretamente e possvel enviar datagramas com opes de roteamento de origem para causar o travamento de mquinas que estejam executando essas implementaes. Um roteador Cisco com o comando no ip source-route definido jamais encaminhar um pacote IP que transporte uma opo de roteamento de origem. Voc deve utilizar esse comando, a menos que sua rede precise de roteamento de origem. Redirecionamentos ICMP Uma mensagem de redirecionamento de ICMP instrui um n final a utilizar um roteador especfico como seu caminho para um determinado destino. Em uma rede IP que funcione corretamente, um roteador envia redirecionamentos somente para hosts em suas prprias sub-redes locais. Um n final nunca envia um redirecionamento e um redirecionamento nunca percorre mais do que um salto na rede. No entanto, um invasor pode violar essas regras. Alguns ataques baseiam-se nisso. Filtre redirecionamentos de ICMP de entrada nas interfaces de entrada de qualquer roteador que esteja localizado em uma borda entre domnios administrativos. Alm disso, razovel que qualquer lista de acesso aplicada ao lado de sada da interface de um roteador Cisco filtre todos os redirecionamentos de ICMP. Isso no causa impactos operacionais em uma rede configurada corretamente. Esse filtro evita apenas ataques de redirecionamento iniciados por invasores remotos. Ainda assim possvel que os invasores provoquem problemas significativos utilizando redirecionamentos, se seus hosts estiverem diretamente conectados ao mesmo segmento de um host que esteja sendo invadido. Filtro de Protocolo de Roteamento e Autenticao Se voc utiliza um protocolo de roteamento dinmico que compatvel com autenticao, habilite-a. Isso impede alguns ataques maliciosos na infra-estrutura de roteamento e tambm pode ajudar a impedir danos causados por dispositivos invasores configurados incorretamente na rede. Pelas mesmas razes, provedores de servios e outros operadores de redes de grande porte geralmente so muito orientados a utilizar filtragem de rota (com o comando distribute-list in) para evitar que seus roteadores aceitem informaes de roteamento claramente incorretas. Apesar de o uso excessivo de filtros na rota ser capaz de liquidar as vantagens do roteamento dinmico, o uso moderado geralmente ajuda na preveno de resultados no desejados. Por exemplo, se voc utiliza um protocolo de roteamento dinmico para se comunicar com uma rede de cliente de stub, voc no deve aceitar nenhuma rota desse cliente, alm das rotas para o espao de endereo que voc realmente tiver atribudo a ele. Instrues detalhadas sobre como configurar autenticao de roteamento e filtragem de rota esto alm do escopo deste documento. A documentao est disponvel no site da Cisco e em outros lugares. Devido complexidade envolvida, recomendvel que iniciantes busquem orientao de pessoas experientes antes de configurar essas caracterstica em redes importantes.
Gerenciamento de Inundao
Muitos ataques de recusa de servio dependem das inundaes de pacotes inteis. Essas inundaes congestionam os links de rede, reduzem o desempenho dos hosts e tambm podem sobrecarregar os roteadores. Uma configurao cuidadosa do roteador pode reduzir o impacto dessas inundaes. Uma parte importante no gerenciamento de inundaes estar ciente de onde ficam os gargalos de desempenho. Se a inundao sobrecarrega uma linha T1, ento, filtrar a inundao no roteador na extremidade de origem da linha eficiente, enquanto a filtragem na extremidade de destino surte pouco ou nenhum efeito. Se o prprio roteador for o componente da rede mais sobrecarregado, ento, protees de filtragem que demandem muito do roteador podero piorar o problema. Pense nisso na hora de avaliar a implementao das sugestes desta seo.
Inundaes de Trnsito
possvel utilizar as caracterstica de QoS do Cisco para proteger os hosts e links contra alguns tipos de inundaes. Infelizmente, um tratamento geral deste tipo de gerenciamento de inundao est alm do escopo deste documento e a proteo depende muito do ataque. A nica recomendao simples e geralmente aplicvel utilizar o WFQ (weighted fair queueing) sempre que os recursos de CPU forem compatveis. WFQ o padro para linhas seriais de baixa velocidade em verses recentes do Cisco IOS Software. Outras caracterstica possivelmente interessantes so a taxa de acesso comprometida (CAR), a modelagem de trfego generalizado (GTS) e o enfileiramento personalizado. s vezes,
possvel configurar essas caractersticas sob ataque ativo. Se voc realmente estiver planejando utilizar caractersticas de QoS para controlar inundaes, importante entender como essas caracterstica funcionam e como ataques de inundao comuns funcionam. Por exemplo, o WFQ muito mais eficaz contra inundaes de ping do que contra inundaes de SYN. Isso acontece porque a inundao de ping normal aparece no WFQ como um nico fluxo de trfego, enquanto que cada pacote de uma inundao de SYN geralmente aparece como um fluxo separado. Um fluxo de respostas smurf localiza-se em algum lugar entre os dois. Uma grande quantidade de informaes sobre as caractersticas de QoS da Cisco est disponvel no site da Cisco e informaes sobre ataques comuns esto disponveis em muitos sites mantidos por terceiros. A Cisco fornece duas caractersticas diferentes de roteador que pretendem reduzir especificamente o impacto de ataques de inundao de SYN nos hosts. A caracterstica Interceptao de TCP est disponvel em certas verses de software de muitos roteadores com modelo nmero 4000 ou superior. O Conjunto de Caractersticas do Cisco IOS Firewall, que est sendo disponibilizado em um nmero crescente de roteadores Cisco, inclui uma proteo diferente contra inundao de SYN. A proteo contra a inundao de SYN pode ser complexa e os resultados podem variar. Isso depende da taxa de inundao, da velocidade e do tamanho da memria do roteador e dos hosts em uso. Se voc configurar alguma dessas caractersticas, leia a documentao no site da Cisco. Alm disso, se possvel, teste sua configurao em uma inundao real.
Autoproteo do Roteador
Antes que um roteador possa proteger outras partes da rede a partir dos efeitos de fluxos, o prprio roteador deve ser protegido de sobrecarga. Modos de Switching e Cisco Express Forwarding O modo de switching CEF, disponvel no Cisco IOS Software Releases 11.1CC, 11.1CT, 11.2GS e 12.0, substitui o cache de roteamento Cisco tradicional por uma estrutura de dados que espelha toda a tabela de roteamento do sistema. Como no necessrio criar entradas de cache quando o trfego comea a chegar para novos destinos, o CEF se comporta de forma mais previsvel do que outros modos quando apresentado a grandes volumes de trfego endereados a muitos destinos. Embora a maioria dos ataques de recusa de servio de inundao envie todo seu trfego para um ou alguns destinos, e no tarife o algoritmo de manuteno de cache tradicional, muitos ataques de inundao de SYN comuns utilizam endereos de origem aleatrios. O host sob ataque responde a uma frao dos pacotes de inundao de SYN, criando trfego para um grande nmero de destinos. Portanto, os roteadores configurados para CEF tm melhor desempenho nas inundaes de SYN (dirigidas a hosts, e no a roteadores propriamente ditos) do que os roteadores que utilizam o cache tradicional. O CEF recomendado quando disponvel. Configurao do programador Quando um roteador Cisco executa o switching rpido de um grande nmero de pacotes, possvel que o roteador demore tanto para responder a interrupes das interfaces de rede que nenhum outro trabalho seja executado. Algumas inundaes de pacote muito rpidas podem gerar essa condio. Execute o comando scheduler interval, que instrui o roteador a parar de lidar com interrupes e a realizar outras atividades em intervalos regulares, para reduzir o efeito. Uma configurao tpica pode incluir o comando scheduler interval 500, que indica que as tarefas de nvel de processo devem ser manipuladas freqentemente, no mnimo a cada 500 milissegundos. Esse comando raramente tem efeitos negativos e deve ser parte da configurao padro do roteador, a menos que haja um motivo especfico para deix-lo de lado. Muitas plataformas mais recentes da Cisco utilizam o comando scheduler allocate em vez do comando scheduler interval. O comando scheduler allocate utiliza dois parmetros: um perodo em microssegundos para que o sistema seja executado com interrupes habilitadas e um perodo em microssegundos para que o sistema seja executado com interrupes disfaradas. Se o seu sistema no reconhecer o comando scheduler interval 500, execute o comando scheduler allocate 3000 1000. Esses valores foram escolhidos para representar os pontos mdios dos intervalos. O intervalo para o primeiro valor de 400 a 60000, e o intervalo para o segundo valor de 100 a 4000. Esses parmetros podem ser ajustados.
modo seria inacessvel, quanto a porta de origem como a porta de servio de DNS (porta 53). Se um pacote como esse for enviado para a porta de eco UDP do Cisco, o Cisco enviar um pacote DNS para o servidor em questo. Nenhuma verificao de lista de acesso de sada aplicada a este pacote, pois ele gerado localmente pelo prprio roteador. Embora a maior parte dos abusos dos pequenos servios possa ser evitada ou minimizada pelas listas de acesso anti-falsificao, os servios devem estar quase sempre desabilitados em qualquer roteador que faa parte de um firewall ou que pertena a uma parte da rede crtica para a segurana. Como os servios so usados raramente, a melhor poltica geralmente desabilit-los em todos os roteadores de qualquer descrio. Os servios pequenos so desabilitados por padro no Cisco IOS Software Release 12.0 e posteriores. Em softwares anteriores, possvel executar os comandos no service tcp-small-servers e no service udp-small-servers para desabilit-los.
Finger
Os roteadores Cisco fornecem a implementao do servio finger, que utilizado para descobrir quais usurios esto conectados em um dispositivo da rede. Embora estas informaes normalmente no sejam importantes, s vezes elas so teis para um invasor. O servio finger pode ser desativado com o comando no service finger.
NTP
O Protocolo de Tempo de Rede (NTP) no especialmente perigoso, mas qualquer servio desnecessrio pode representar uma via de penetrao. Se o NTP for realmente utilizado, importante configurar explicitamente uma origem de tempo confivel e utilizar autenticao adequada. Isso necessrio porque o corrompimento da base de tempo uma boa forma de subverter alguns protocolos de segurana. Se o NTP no for utilizado em uma interface de roteador especfica, ele pode ser desabilitado com o comando de interface ntp disable.
CDP
O Cisco Discovery Protocol (CDP) utilizado para algumas funes de gerenciamento de redes, mas perigoso por permitir que qualquer sistema em um segmento conectado diretamente saiba que o roteador um dispositivo Cisco e determine o nmero do modelo e a verso do Cisco IOS Software em execuo. Essas informaes podem ser usadas para desenhar ataques contra o roteador. As informaes de CDP esto acessveis apenas para sistemas conectados diretamente. O protocolo CDP pode ser desabilitado com o comando de configurao global no cdp running. O CDP pode ser desabilitado em uma interface especfica com o comando no cdp enable.
Mantenha-se Atualizado
Como acontece com todo software, o Cisco IOS Software tem bugs. Alguns desses bugs possuem implicaes na segurana. Alm disso, novos ataques esto sempre sendo criados e um comportamento considerado correto durante a criao de um software pode ter efeitos nocivos quando explorado deliberadamente. Quando uma nova vulnerabilidade de segurana significativa descoberta em um produto Cisco, a Cisco normalmente executa uma recomendao de segurana sobre ela. Consulte Resposta de Incidente de Segurana de Produto Cisco para obter informaes sobre o processo atravs do qual esses alertas so executados. Consulte Recomendaes de Segurana e Notificaes sobre Produtos Cisco para obter informaes sobre os alertas. Quase todos os comportamentos inesperados de qualquer software podem gerar algum tipo de exposio de segurana, e somente bugs com implicaes especialmente diretas na segurana do sistema so mencionados nessas recomendaes. Sua segurana melhorar se voc mantiver o software atualizado mesmo na ausncia de recomendaes de segurana. Alguns problemas de segurana no so causados por bugs de software e importante que os administradores de rede fiquem atentos a diferentes tipos de tendncias de ataques. Muitos sites, listas de endereos da Internet e grupos de notcias da Usenet esto preocupados com isso.
Lista de Comandos
Esta seo deve funcionar como um lembrete das sugestes de configurao em outras sees deste documento. Os nomes dos comandos de configurao do Cisco IOS so usados nesta tabela como auxlios mnemnicos. Leia sempre a documentao de qualquer comando antes de uslo. Use enable secret service passwordencryption no service tcp-smallservers no service udpPara Configurar uma senha para acesso privilegiado ao roteador. Fornecer um mnimo de proteo para senhas configuradas.
Evitar o abuso dos servios pequenos para recusa de servio ou outros tipos de ataque.
small-servers no service finger no cdp running no cdp enable ntp disable no ip directedbroadcast Evitar a divulgao de informaes de usurio a possveis invasores. Evitar a divulgao de informaes sobre o roteador para dispositivos conectados diretamente. Impedir ataques contra o servio do NTP. Impedir o invasor de usar o roteador como um amplificador de "smurf". Controlar quais protocolos podem ser usados por usurios remotos para se conectar interativamente aos VTYs do roteador ou para acessar suas portas de TTY. Controlar os endereos IP que podem ser conectados a TTYs ou VTYs. Reservar um VTY para o acesso a partir de uma estao de trabalho administrativa. Impedir que uma sesso ociosa obstrua um VTY indefinidamente. Detectar e excluir sesses interativas inoperantes, impedindo que elas vinculem VTYs. Salvar informaes de registro em um buffer de RAM local do roteador. Com softwares mais recentes, o tamanho do buffer pode ser seguido como limite de urgncia. Descartar pacotes IP falsificados. Descartar os redirecionamentos de ICMS recebidos. Descartar pacotes IP falsificados em ambientes de roteamento simtricos com CEF somente. Evitar que as opes de roteamento de origem de IP sejam usadas para falsificar o trfego.
transport input
ip access-class
exec-timeout service tcpkeepalives-in logging buffered buffer-size ip access-group list in ip verify unicast rpf
no ip source-route access-list number action criteria log access-list number action criteria loginput scheduler-interval scheduler allocate ip route 0.0.0.0 0.0.0.0 null 0 244 distribute-list list in snmp-server community somethinginobvious ro list
Ativar o logon de pacotes que so compatveis com entradas de lista de acesso especficas. Utilize log-input se ele estiver disponvel na verso de seu software.
Impedir inundaes rpidas, desativando o processamento importante. Descartar rapidamente os pacotes com endereos de destinos invlidos. Filtrar as informaes de roteamento para evitar aceitar rotas invlidas.
Habilitar a verso 1 do SNMP, configurar a autenticao e restringir o acesso a certos endereos IP. Utilize a verso 1 do SNMP apenas se a verso 2 no estiver disponvel e aguarde
sniffers. Habilite o SNMP apenas quando ele for necessrio em sua rede e no configure o acesso leitura-gravao, a menos que seja preciso.
snmp-server party... Configurar a autenticao da verso 2 do SNMP com base em authentication md5 MD5 Habilite o SNMP somente se for necessrio em sua secret ... rede. ip http authentication method ip http access-class list Autenticar as solicitaes de conexo de HTTP (se tiver habilitado o HTTP no roteador). Ter maior controle sobre o acesso HTTP, restringindo-o a endereos de host especficos (se tiver habilitado o HTTP no roteador). Estabelecer um banner de advertncia a ser exibido a usurios que tentarem efetuar logon no roteador.
banner login
Informaes Relacionadas
Caractersticas Essenciais do IOS que Todo ISP Deve Considerar O Que H de Mais Recente sobre Ataques de Recusa de Servio: "Smurfing" Resposta de Incidente de Segurana de Produto Cisco Alertas de Segurana Cisco RFC 2267 Suporte Tcnico e Documentao - Cisco Systems
1992-2013 Cisco Systems Inc. Todos os direitos reservados. Data da Gerao do PDF: 7 Abril 2008 http://www.cisco.com/cisco/web/support/BR/8/84/84031_21.html