Segurança Básica – Router de Borda

1. Desabilitar os serviços desnecessários

Por default, routers Cisco executam uma infinidade de serviços opcionais. Estes serviços podem ser utilizados para dar informação a atacantes sobre o router e eles podem explorar as falhas e tirar vantagem delas. Você deve desabilitar os seguintes serviços:

1.1 Modo de configuração global :

Remote configuration - no service configSource Routing - no ip source-routeFinger - no service fingerWeb Server - no ip http serverBOOTP - no ip boot serverTCP services - no service tcp-small-serversUDP services - no service udp-small-servers

1.2 Modo de configuração da interface :

no ip direct-broadcastno ip mask-replyno ip proxy-arp

2) Não deverá receber tráfego de uma rede com ip´s privados (RFC 1918)

Access-list 105 deny ip 127.0.0.0 0.255.255.255 any logAccess-list 105 deny ip 10.0.0.0 0.255.255.255 any logAccess-list 105 deny ip 172.16.0 0.15.255.255 any logAccess-list 105 deny ip 192.168.0.0 0.0.255.255 any logAccess-list 105 deny ip 192.168.0 0.0.0.255 any logAccess-list 105 deny ip 224.0.0 7.255.255.255 any logAccess-list 105 permit ip any any log

Interface GigabitEthernet0/0/2! WAN Internet InterfaceIp access-group 105 in

3) Armazenar logs do router e utilizar uma fonte confiável de hora:

Modo de configuração global:

!Habilitar SyslogLogging onLogging buffered 16384

!Endereço IP do servidor SyslogLogging 1.1.1.1

!Habilita o tempo para exibição dos logsService timestamps log datetime localtime show-timezone msec!Este é um simples servidor NTP free baseado em InternetNtp server a.ntp.brNtp server b.ntp.br

4) Aplique as senhas no modo privilegiado e nas linhas vty

Todos aqui já sabemos disso, mas existem três modos básicos para acessar um router: console, aux, e vty. Você deve ter certeza de que todos os três modos têm senhas aplicadas a eles. Aqui, você vê como aparece quando você verifica seu arquivo de configuração com o “sh run”:

line con 0loginpassword MinhaSenhaComplexaExec-timeout 0 0

line aux 0loginpassword MinhaSenhaComplexaExec-timeout 0 0!Verifique para ter certeza que você não tem mais do que 4 vty’s, alguns routers tem !line vty 0 4loginpassword MinhaSenhaComplexa

Para acessar os modos privilegiados dos router, você deve configurar uma senha “enable password“. Quando você fizer isto, sempre use a “enable secret” para encriptar a senha com encriptação MD5, ao invés da “enable password“. Aqui está um exemplo:

Enable secret MinhaEnableSecretComplexa

5) Utilize senhas complexas, senhas encriptadas, e evite ataques de dicionário Assegure-se de utilizar senhas longas no seu router, porque isto significativamente diminue as chances do router aceitar. Para fazer isto, use os comandos:

!Configura um comprimento mínimo de senha para 6 caracteresSecurity passwords min-length 6

Sempre tenha certeza de que todas as senhas do seu router estão encriptadas com, pelo menos, a encriptação básica. Para fazer isto, use o comando:

Service password-encryption

Você pode evitar os ataques de dicionário ao dizer ao router para aceitar logins somente a cada 1 segundo e bloquear todos os logins para o router por 120 segundos se existirem 5 falhas consecutivas dentro de 60 segundos. Para fazer isto, use o comando:

login block-for 120 attempts 5 within 60

Para qualquer conta de usuário local que você configurar, você deverá usar o comando “secret” :

Username [LOGIN] secret …Isto irá encriptar a senha para o username com encriptação MD5.

6) Controle quem pode acessar o seu router:

Para restringir o acesso gerenciado pelo endereço IP, faça o seguinte :

!Isto é apenas uma LAN local; você pode fechá-lo para um único ip

access-list 5 permit 200.242.43.155access-list 5 permit 200.242.43.156access-list 5 permit 177.66.14.46access-list 5 permit 177.66.15.10

Line vty 0 4Access-class 5 in

7) Use o SSH

Isto porque o SSH é encriptado e os outros não. Para habilitar o SSH somente, faça assim:

!O hostname do router é exigidoHostname myrouter!Um nome de domínio é exigidoIp domain-name mydomain.com!Geração de chaves de encriptaçãoCrypto key generate rsaIp ssh timeout 60Line vty 0 4Transport input ssh

8) Evitar ataques DoS (Denial of Service)

Você quer parar que outros desativem seus links de rede ou desliguem seu router inteiro. Um dos comandos mais fáceis que você pode utilizar para ajudar a evitar ataques DoS é o comando “no ip directed-broadcast“. IP directed-broadcasts são raramente necessários e são tipicamente explorados para refletir os ataques DoS.

Outra maneira simples de evitar ataques DoS é limitar as taxas de pacotes ICMP. O ICMP pode ser usado para fazer floods na sua rede, causando negação de serviço. Para evitar os floods, aplique os seguinte comandos em cada interface do seu router.

(Observe que você vai querer limitar a largura de banda permitida, dependendo da largura de banda que sua rede está conectada; neste exemplo limitamos todo ICMP a 20 kb.)

Você deverá aplicar os seguintes comandos em cada interface que está na Internet :

access-list 106 deny icmp any any echo logaccess-list 106 deny icmp any any redirect logaccess-list 106 deny icmp any any time-exceeded logaccess-list 106 permit ip any any log

Interface GigabitEthernet0/0/2rate-limit input access-group 106 20000 8000 8000 conform-action transmit exceed-action drop

9)TCP Intercept - Configuring Denial-of-Service Security Features

Configuring TCP Intercept

ip tcp intercept list 107ip tcp intercept connection-timeout 180ip tcp intercept watch-timeout 180ip tcp intercept one-minute low 600ip tcp intercept one-minute high 800ip tcp intercept mode watch

access-list 107 permit tcp any [BLOCOS DA PRODAM]