Segurança de Rede: Ameaças e Proteção

Prévia do material em texto

NetSec 1
NetSec
Created
Tags redes segurança
Módulo 1 - Protegendo redes
Situação Atual
Razões para a segurança de rede
Mapa em tempo real de ameaças cibernéticas - Kapersky
Cisco Talos Intelligence Group
Cisco Product Security Incident Response Team (PSIRT)
Vetores de ataques de rede
vetor de ataque é um caminho pelo qual um atacante pode obter acesso a um servidor, 
equipamento ou rede.
internos ou externos.
Perda de dados
Vetores comuns:
e-mail/redes sociais
vetor mais comum para a perda inclui o software de sistema de mensagens
instantâneas e sites de mídia social.
dispositivos não
criptografados
laptop corporativo roubado normalmente contém dados organizacionais
confidenciais, caso estes, não sejam armazenados usando um algoritmo de
criptografia, o ladrão poderá recupera dados confidenciais valiosos.
dispositivo de
armazenamento em nuvem
salvar dados na nuvem tem muitos benefícios potenciais. Dados
confidenciais podem ser perdidos se o acesso à nuvem for comprometido
devido a configurações de segurança fracas
mídia removível funcionário pode realizar uma transferência não autorizada de dados para
uma unidade USB, outro risco é a perda de uma unidade USB contendo
@15 de junho de 2023 08:47
NetSec 2
dados corporativos valiosos.
cópia impressa
os dados corporativos podem ser descartados completamente, eles devem ser
fragmentados quando não forem mais necessários, caso contrário, um ladrão
pode recuperá-los
controle de acesso
inadequado
senhas são a primeira linha de defesa, mas senhas fracas que foram
comprometidas podem fornecer a um agente de ameaças acesso fácil aos
dados corporativos.
Visão geral da topologia de rede
Rede local do campus
redes de área do campus (CAN) consistem em LANs interconectadas dentro de uma área 
geográfica limitada.
conexões com redes não confiáveis devem ser verificadas em profundidade por várias 
camadas de defesa antes de alcançar recursos corporativos - defesa em profundidade.
VPN: protege os dados em movimento que estão fluindo da CAN para o mundo exterior.
garantem a confidencialidade e a integridade dos dados de fontes autenticadas.
Firewall ASA: Firewall Adaptive Securitu Appliance executa a filtragem de pacotes stateful 
para filtrar o tráfego de retorno da rede externa na rede do campus.
IPS: monitora continuamente o tráfego de rede de entrada e saída para atividade maliciosa.
registra informações sobre a atividade e tenta bloqueá-la e relatar.
Switches de L3: camada de distribuição, são protegidos e fornecem conexões de trunk 
seguras para o switches de L2.
ACLs, DHCP snooping, DAI e IP Source Guard.
NetSec 3
Switches de L2: camada de acesso, são distribuídos e conectam portas voltadas para o 
usuário à rede.
segurança de porta, DHCP snooping e autenticação de usuário 801.1x.
ESA/WSA: ferramenta de segurança de e-mail (ESA) e segurança da web (WSA) que 
fornecem a defesa avançada da ameaça, visibilidade e o controle do aplicativo, relatórios e a 
mobilidade segura para fixar e controlar o tráfego do e-mail e da web.
Servidor AAA: servidor de autenticação, autorização e contabilidade.
Hosts: pontos finais são protegidos usando vários recursos como, antivírus, antimalware, 
recursos do Host Intrusion Protection Systems e recursos de autenticação 802.1x.
Redes para pequenos escritórios e escritórios domésticos
redes domésticas e SOHO geralmente são protegidas usando um roteador de nível de 
consumo.
fornecem recursos básicos de segurança que protegem ativos internos contra invasores 
externos.
recursos integrados de firewall e conexões sem fio seguras.
Redes de longa distância
abrangem uma ampla área geográfica, muitas vezes através da internet pública.
site principal protegido por um ASA, que forneça recursos de firewall stateful e estabeleça 
túneis VPN seguros aos vários destinos.
Redes de data center
NetSec 4
normalmente alojadas em uma instalação externa para armazenar dados confidenciais ou 
proprietários.
são conectados aos locais corporativos usando a tecnologia VPN com dispositivos ASA e 
interruptores integrados do centro de dados.
segurança física não só protege o acesso às instalações, como também protege as pessoas e 
equipamentos.
segurança fora do perímetro
segurança dentro do perímetro
Nuvem e virtualização
a computação em nuvem permite que as organização usem serviços como armazenamento de 
dados ou aplicativos baseados em nuvem, para estender sua capacidade ou recursos sem 
adicionar infraestrutura.
a nuvem está fora do perímetro de rede tradicional, permitindo que uma organização tenha 
um data center que pode ou não residir atrás do firewall tradicional.
virtualização é a base da computação em nuvem, ela separa o SO do hardware
a computação em nuvem separa o aplicativo do hardware.
data centers estão cada vez mais usando VMs para fornecer serviços de servidor aos seus 
clientes.
hiperjacking: invasor sequestra um hipervisor VM e usa como um ponto de lançamento 
para atacar outros dispositivos na rede do data center.
ativação instantânea: quando uma VM que não foi usada por um período de tempo é 
colocada online, ela pode ter políticas de segurança desatualizadas que se desviam da 
segurança da linha de base e podem introduzir vulnerabilidades de segurança.
tempestades de antivírus: acontece quando todas as VMs tentam baixar arquivos de 
dados antivírus ao mesmo tempo.
o Cisco Secure Data Center bloqueia ameaças internas e externas na borda do data center.
segmentação segura: dispositivos ASA e um gateway de segurança virtual integrados aos 
switches Cisco Nexus Series são implantados em uma rede de data center para fornecer 
segmentação segura.
segurança granular entre VMs.
defesa contra ameaças: dispositivos ASAs e IPs em redes de data center usam 
inteligência contra ameaças, impressão digital passiva do SO e análise contextual e de 
reputação para fornecer defesa contra ameaças.
visibilidade: são fornecidas usando o software tal como o gerente de segurança da Cisco 
que ajudam a simplificar as operações e o relatório de conformidade.
NetSec 5
A fronteira da rede em evolução
para acomodar a tendência BYOD, a Cisco desenvolveu a rede sem fronteiras.
em uma rede sem bordas, o acesso aos recursos pode ser iniciado por usuários de muitos 
locais, em muitos tipos de dispositivos de endpoint, usando vários métodos de 
conectividade.
Mobile Device Management (MDM) oferece segurança, monitora e gerenciar dispositivos 
móveis, incluindo dispositivos corporativos e dispositivos de propriedade dos funcionários.
criptografia de dados - tanto no nível do dispositivo, quanto no arquivo.
aplicação de PIN
limpeza de dados
prevenção contra perda de dados (DLP) - impede que os usuários autorizados façam 
coisas descuidadas ou maliciosas com dados críticos.
detecção de jailbreak/root - meio para ignorar o gerenciamento de um dispositivo.
Módulo 2 - Ameaças à rede
Quem está atacando nossa rede?
Ameaça, vulnerabilidade e risco
ameaça: perigo potencial para um ativo, como dados ou a própria rede.
vulnerabilidade: fraqueza em um sistema ou em seu design que pode ser explorada por uma 
ameaça.
superfície de ataque: soma total das vulnerabilidades em um determinado sistema que são 
acessíveis a um invasor.
descreve diferentes pontos em que um invasor pode entrar em um sistema e onde ele 
pode obter dados do sistema.
exploit: mecanismo que é usado para alavancar a vulnerabilidade para comprometer um 
ativo.
exploração remota é aquela que funciona através da rede sem qualquer acesso prévio ao 
sistema de destino.
exploração local é onde o ator de ameaça tem algum tipo de acesso administrativo ou de 
usuário ao sistema final.
não significa que o invasor tenha acesso físico ao sistema final.
risco: probabilidade de uma determinada ameaça explorar uma vulnerabilidade específica de 
um ativo e resultar em uma consequência indesejável.
gestão de risco é o processo que equilibra os cursos operacionais de provisão de medidas de 
proteção com os ganhos obtidos através da proteçãodo ativo.
NetSec 6
aceitação de riscos: ocorre quando o custo das opções de gerenciamento de risco supera 
o curso do próprio risco, sendo ele aceito e nenhuma ação seja tomada.
prevenção de riscos: evitar qualquer exposição ao risco eliminando a atividade ou 
dispositivo que apresenta o risco.
ao eliminar uma atividades, todos os benefícios possíveis também são perdidos.
redução de risco: reduz a exposição ao risco ou reduz o impacto do risco, tomando 
medidas para diminuir o risco.
estratégia de mitigação mais utilizada.
requer uma avaliação cuidadosa dos custos de perda, da estratégia de mitigação e 
dos benefícios obtidos com a operação ou atividade que está em risco.
transferência de risco: parte ou todo o risco é transferido para um terceiro disposto.
contramedida: opções que são tomadas para proteger ativos, atenuando uma ameaça ou 
reduzindo o risco.
impacto: dano potencial à organização causado pela ameaça.
Hacker vs Ameaças
white hat: hackers éticos que usam suas habilidades de programação para propósitos bons, 
éticos e legais.
vulnerabilidades são relatadas aos desenvolvedores e equipes de segurança que tentam 
consertar a vulnerabilidade antes que ela possa ser explorada.
grey hat: indivíduos que cometem crimes e fazem coisas possivelmente antiéticas, mas não 
para ganho pessoal ou para causar danos.
podem revelar uma vulnerabilidade para a organização afetada após terem comprometido
sua rede.
black hat: criminosos antiéticos que violam a segurança do computador e da rede para ganho 
pessoal ou por motivos maliciosos, com ataques a rede.
Evolução dos atores de ameaças
script kiddies: surgiram em 1990 e se refere a adolescentes ou atores inexperientes 
executando scripts, ferramentas e explorações existentes para causar danos, mas normalmente 
sem fins lucrativos.
corretores de vulnerabilidades: grey hats que tentam descobrir exploits e relatá-los aos 
fornecedores, às vezes por prêmios ou recompensas.
hacktivistas: grey hat que se manifestam e protestam contra diferentes ideias políticas e 
sociais.
cybercriminals: criminoso cibernético que são autônomos ou trabalham para grandes 
organizações do crime cibernético.
NetSec 7
patrocinados pelo estado: atores que roubam segredos do governo, coletam informações e 
sabotam redes de governos estrangeiros, grupos terroristas e corporações.
Indicadores de ameaças cibernéticas
indicadores de comprometimento (COI)
cada ataque tem atributos identificáveis únicos.
cada um é uma evidência de um ataque que ocorreu.
podem ser recursos que identificam arquivos de malware, endereços IP de servidores que 
são usados em ataques, nomes de arquivos e alterações características feitas no software 
final do sistema, entre outros.
indicadores de ataque (IOA) se concentram mais na motivação por trás de um ataque e nos 
potenciais meios pelos quais os atores de ameaças têm, ou irão, comprometer 
vulnerabilidades para obter acesso a ativos.
estratégias usadas.
podem ajudar a gerar uma abordagem de segurança proativa.
Compartilhamento de ameaças e criação de conscientização
Agência de Infraestrutura e Segurança Cibernética dos EUA (CISA) usa um sistema para 
automatizar o compartilhamento de informações de segurança cibernética com organizações 
públicas e privadas, Compartilhamento Automático de Indicador (AIS).
a CISA e a National Cyber Security Alliance (NCSA) promovem a segurança cibernética a 
todos os usuários.
Ferramentas do agente de ameaças
Evolução das ferramentas de segurança
crackers de senhas as ferramentas de quebra de senha são frequentemente chamadas de ferramentas
de recuperação de senha e podem ser usadas para quebrar ou recuperar a senha.
Isso é feito removendo a senha original, depois de ignorar a criptografia de dados
ou pela descoberta direta da senha. Repetidamente fazem suposições para
NetSec 8
decifrar a senha e acessar o sistema. Ripper, Ophcrack, L0phtCrack, THC
Hydra, RainbowCrack e Medusa.
ferramentas de hacking
sem fio
ferramentas são usadas para invadir intencionalmente uma rede sem fio para
detectar vulnerabilidades de segurança. Aircrack-ng, Kismet, InSSIDer,
KriMAC, Firesheep e NetStumbler.
digitalização de rede e
ferramentas de hacking
ferramentas de verificação de rede são usadas para investigar dispositivos,
servidores e hosts de rede em busca de portas TCP ou UDP abertas. Nmap,
SuperScan, Angry IP Scannert e NetScan Tools.
ferramentas de
elaboração de pacotes
ferramentas de criação de pacotes são usadas para sondar e testar a robustez de
um firewall usando pacotes forjados especialmente criados. Hping, Scapy,
Socat, Yersinia, Netcat, Nping e Nemesis
sniffer de pacotes
farejadores de pacotes são usados para capturar a analisar pacotes em LANs
Ethernet ou WLANs tradicionais. Wireshark, Tcpdump, Ettercap, Dsniff,
Ethercap, Paros, Fiddler, Ratproxy e SSLstrip.
detectores de rootkit
verificador de integridade de diretório de arquivo usado por white hats para
detectar rootkits instalados. AIDE, Netfilter e PF: OpenBSD Packet Filter
fuzzers para pesquisar
vulnerabilidades
ferramentas usadas por agentes de ameaças ao tentar descobrir vulnerabilidades
de segurança em um sistema de computador. Skipfish, Wapiti e W3af.
ferramentas forenses
usadas para farejar qualquer vestígio de evidência existente em um sistema de
computador específico. Sleuth Kit, Helix, Maltego e Encase
depuradores
usadas por black hats para fazer engenharia reversa de arquivos binários ao
escrever exploits, também são usadas por white hats ao analisar malware. GDB,
WinDbg, IDA Pro e Immunity Debugger
hackeando SOs
os SOs de hacking são SOs especialmente projetados, pré-carregados com
ferramenta e tecnologias otimizadas para hackers. Kali Linux, SELinux,
Knoppix, Parrot OS e BackBox Linux
ferramentas de
criptografia
salvaguardam o conteúdo dos dados de uma organização quando são
armazenados ou transmitidos, usando esquemas de algoritmo para codificar os
dados e evitar o acesso não autorizado. VeraCrypt, CipherShed, Open SSH,
Open SSL, OpenVPN e Stunnel
ferramentas de
exploração de
vulnerabilidades
identificam se um host remoto é vulnerável a um ataque de segurança.
Metasploit, Core Impact, Sqlmap, Social Engineer ToolKit e Netsparker
scanner de
vulnerabilidades
examinam uma rede ou sistema para identificar portas abertas, como também
podem ser usados para verificar vulnerabilidades conhecidas e verificar VMs,
BYOD e bancos de dados. Nipper, Securia PSI, Core Impact, Nessus, SAINT
e Open VAS
Categoria de ataques
ataque de escuta
ataque de espionagem ocorre quando um agente de ameaça captura e escuta o
tráfego da rede - sniffing ou snooping
ataque de modificação
de dados
ocorrem quando um agente de ameaça capturou o tráfego da empresa e alterou os
dados nos pacotes sem o conhecimento do remetente ou receptor.
NetSec 9
ataque de falsificação de
endereços IP
ocorre quando um ator constrói um pacote IP que parece se originar de um
endereço válido dentro da intranet corporativa
ataques baseados em
senha
ocorrem quando um ator de ameaça obtém as credenciais de uma conta de
usuário válida. Em seguida, usam essa conta para obter listas de outros usuários e
informações de rede. Também pode alterar as configurações de servidor e rede e
modificar, redirecionar ou excluir dados.
ataque de negação de
serviço (DoS)
impede o uso normal de um computador ou rede por usuário válidos. Depois de
obter acesso a uma rede, o ataque DoS pode travar aplicativos ou serviços de
rede. Pode inundar um computador ou toda a rede com tráfego até que um
desligamento ocorra devido à sobrecarga. Também pode bloquear o tráfego, o
que resulta na perda de acesso aos recursos da rede por usuários autorizados.
ataque man-in-the-
middle (MiTM)
ocorre quando agentes se posicionam entre a origem e o destino, podendo
monitorar, capturar e controlar ativamente a comunicação de forma transparente.
ataque de chave
comprometida
ocorre quando um ator de ameaça obtém uma chave secreta, esta pode ser usada
para obter acesso a uma comunicaçãosegura sem que o remetente ou o
destinatário esteja ciente do ataque
ataque sniffer
aplicativo ou dispositivo que pode ler, monitorar e capturar trocas de dados de
rede e ler pacotes de rede. Se os pacotes não estiver criptografados, um sniffer
fornece uma visão completa dos dados dentro do pacote. Até mesmo pacotes
encapsulados podem ser quebrados abertos e lidos, a menos que sejam
criptografados e que o ator de ameaças não tenha acesso à chave.
Malware
Vírus
vírus é um tipo de malware que se espalha inserindo uma cópia de si mesmo em outro 
programa.
depois que o programa é executado, os vírus de espalham de um computador para outro, 
infectando computadores.
a maioria requer a ajuda humana para se espalhar.
podem ficar inativos por um período prolongado e, em seguida, ativá-los em uma hora e data 
específicas.
pode instalar-se na primeira linha de código de um arquivo executável, quando ativado, 
poderá verificar o disco em busca de outros executáveis para que ele possa infectar todos os 
arquivos que ainda não infectou.
podem ser programados para se modificarem e evitar a detecção.
Cavalos de Tróia
software que parece ser legítimo, mas contém código malicioso que explora os privilégios do 
usuário que o executa.
muitas vezes são encontrados anexados a jogos online.
o código continua a funcionar mesmo depois que o jogo foi fechado.
NetSec 10
pode causar danos imediatos, fornecer acesso remoto ao sistema ou acesso através de um 
backdoor.
também pode executar ações conforme instruído remotamente.
acesso remoto permitir acesso remoto não autorizado
envio de dados fornece ao agente de ameaça dados confidenciais, como senhas
destrutivo corrompe ou excluir arquivos
proxy
usa o computador da vítima como dispositivo de origem para lançar ataques e
realizar outras atividades ilegais
ftp
habilita serviços de transferência de arquivos não autorizados em dispositivos
finais
desativador de software
de segurança
impede o funcionamento de programas antivírus ou firewalls
negação de serviço
(DoS)
retarda ou interrompe a atividade da rede
agente de log de
digitação
tenta ativamente roubar informações confidenciais gravando as teclas digitadas em
um formulário da web.
Worms
são semelhantes aos vírus porque se replicam e podem causar o mesmo tipo de dano.
se replicam explorando vulnerabilidades nas redes de forma independente.
podem retardar as redes à medida que se espalham de sistema para sistema.
podem ser executados de modo autônomo.
exceto pela infecção inicial, não necessitam mais da participação do usuário.
componentes:
habilitar uma vulnerabilidade: um worm se instala usando um mecanismo de 
exploração em um sistema vulnerável.
mecanismo de propagação: depois de obter acesso a um dispositivo, o worm se replica 
e realiza novos alvos.
carga útil: qualquer código malicioso que resulta em alguma ação é uma carta útil.
após a exploração bem-sucedida, o worm se copia do host atacante para o sistema recém-
explorado e o ciclo começa novamente.
Ransomware
é um malware que nega acesso ao sistema de computador infectado ou aos seus dados.
exigem pagamento para liberar o sistema de computador.
usa frequentemente um algoritmo de criptografia para criptografar arquivos e dados do 
sistema.
NetSec 11
a maioria dos algoritmos de criptografia conhecidos não podem ser descriptografados 
facilmente, deixando as vítimas com poucas opções a não ser pagar o preço pedido.
pagamento são normalmente feitos em Bitcoins.
e-mail e publicidade maliciosa, também conhecidos como malvertising, são vetores de 
campanhas de ransomware.
engenharia social também é usada.
Outros malwares
spyware
usado para coleta informações sobre um usuário e enviar as informações para outra
entidade sem o consentimento do usuário. Pode ser um monitor de sistema, cavalo de
Troia, adware, cookies de rastreamento e keyloggers
adware
exibe pop-ups irritantes para gerar receita ao seu autor. Pode analisar os interesses do
usuário rastreando os sites visitados e em seguida, enviar anúncios pop-ups
relacionados a esses sites.
scareware
software fraudulento que usa engenharia social para chocar ou induzir ansiedade
criando a percepção de uma ameaça, sendo geralmente direcionado a um usuário
desavisado e tentar persuadir o usuário a infectar um computador, tomando medidas
para resolver a ameaça falsa.
phishing tenta convencer as pessoas a divulgar informações confidenciais.
rootkits
instalado em um sistema comprometido. Após sua instalação, ele continua a ocultar
sua intrusão e fornecer acesso privilegiado ao ator da ameaça.
Ataques de rede comuns - reconhecimento, acesso e engenharia social
Ataques de reconhecimento
reconhecimento é coleta de informações.
ataques para fazer descobertas e mapeamentos não autorizados de sistemas, serviços ou 
vulnerabilidades.
precedem ataques de acesso ou ataques DoS.
Técnicas Descrição
executar uma consulta de
informações de um alvo
o agente está procurando informações iniciais sobre um alvo. Google, site das
organizações, whois e outros.
iniciar uma varredura de
ping da rede de destino
consulta de informações geralmente revela o endereço de rede de destino. O
agente agora pode iniciar uma varredura de ping para determinar quais
endereços IPs estão ativos
iniciar uma verificação de
porta nos endereços IP
ativos
é usado para determinar quais portas ou serviços estão disponíveis. Nmap,
SuperScan, Angry IP Scanner e NetScanTools.
executar o scanner de
vulnerabilidades
consultar as portas identificadas para determinar o tipo e a versão do aplicativo
do SO que estão sendo executado no host. Nipper, Secuna PSI, Core Impact,
Nessus v6, SAINT e Open VAS
NetSec 12
Técnicas Descrição
executar ferramentas de
exploração
o agente agora tenta descobrir serviços vulneráveis que podem ser explorados.
Metasploit, Core Impact, Sqlmap, Social Engineer Toolkit e Netsparker.
Ataques de Acesso
exploram vulnerabilidades conhecidas em serviços de autenticação, serviços de FTP e 
serviços da web.
o objetivo é obter acesso a contas da web, bancos de dados confidenciais e outras 
informações confidenciais.
usam esses ataques para recuperar dados, obter acesso ou escalar privilégios de acesso ao 
status de administrador.
ataque de senha: o agente tenta descobrir senhas críticas do sistema usando vários métodos.
são muito comuns e podem ser iniciados usando uma variedade de ferramentas de quebra 
de senha.
ataques de falsificação (spoofing): o dispositivo do agente tenta se passar por outro 
dispositivo falsificando os dados.
falsificação IP (IP spoofing), falsificação MAC (MAC spoofing) e falsificação DHCP 
(DHCP spoofing).
exploração de confiança: agente usa privilégios não autorizados para obter acesso a um 
sistema, possivelmente comprometendo o alvo.
redirecionamento de porta: o agente usa um sistema comprometido como base para ataques 
contra outros alvos.
ataque man-in-the-middle: o agente é posicionado entre duas entidades legítimas para ler 
ou modificar os dados que passam entre as duas partes.
ataque de saturação do buffer: o agente explora a memória do buffer e a sobrecarrega com 
valores inesperados, o que geralmente torna o sistema inoperante, criando um DoS.
Ataques de engenharia social
ataque de acesso que tenta manipular indivíduos para realizar ações ou divulgar informações 
confidenciais.
frequentemente dependem da boa vontade das pessoas para ajuda.
atacam as fraquezas das pessoas.
ataques de engenharia
social
descrição
pretexting
ator finge precisar de dados pessoais ou financeiros para confirmar a identidade
do destinatário.
phishing agente envia e-mails fraudulentos, disfarçados de fontes legítimas e confiáveis,
para induzir o destinatário a instalar malware em seus dispositivo ou compartilhar
NetSec 13
ataques de engenharia
social
descrição
informações pessoais ou financeiras
spear phishing
agente cria um ataque de phishing direcionado, personalizado para um indivíduo
ou organização específica.
spam
lixo eletrônico, este é um e-mailnão solicitado que geralmente contém links
prejudiciais, malware ou conteúdo enganoso.
quid pro quo
ator solicita informações pessoais de uma parte em troca de algo como um
presente
iscas
um agente de ameaças deixa uma unidade flash infectada por malware em um
local público. Uma vítima encontra a unidade a insere inconscientemente em seu
laptop, instalando voluntariamente malware.
representação um ator finge ser outra pessoa para ganhar a confiança da vítima
tailgating
o agente segue rapidamente uma pessoa autorizada para um local seguro para
obter acesso a uma área segura
navegação bisbilhoteira
o agente olha discretamente por cima do ombro de alguém para roubar suas
senhas ou outras informações.
busca de informações na
lixeira
vasculha latas de lixo para descobrir documentos confidenciais.
o Social Engineer Toolkit foi projetado para ajudar white hats e outros profissionais de 
segurança de rede a criar ataques de engenharia social para testar suas próprias redes.
conjunto de ferramentas baseadas em menu que ajudam a lançar ataques de engenharia 
social.
apenas para fins educacionais.
disponível gratuitamente.
Ataques de rede - negação de serviço, estouro de buffers e evasão
Ataques de DoS
cria algum tipo de interrupção dos serviços de rede para usuários, dispositivos ou aplicativos.
grande quantidade de tráfego: o agente envia uma enorme quantidade de dados para 
avaliação que a rede, host ou aplicativo não pode manipular.
faz com que tempos de transmissão e resposta diminuam.
também pode trazer um dispositivo ou serviço.
pacotes maliciosamente formatados: o invasor envia um pacote formatado maliciosamente 
para um host ou aplicativo e o receptor não consegue manipulá-lo.
causa lentidão ou falha na execução do dispositivo receptor.
ataques de DoS são um grande risco, porque interrompem a comunicação e causam perda 
significativa de tempo e dinheiro.
NetSec 14
relativamente simples de conduzir, mesmo por um invasor não capacitado.
ataque de negação de serviço distribuída (DDoS) é semelhante ao DoS, porém é originado 
por várias fontes coordenadas.
zumbis controlados por um sistema de comando e controle (CnC) formando um botnet.
Ataques de Buffer Overflow
o objetivo é encontrar uma falha relacionada à memória do sistema em um servidor e 
explorá-la.
explorar a memória do buffer sobrecarregando-a com valores inesperados geralmente torna o 
sistema inoperável, criando um ataque DoS.
métodos de evasão descrição
criptografia e
encapsulamento
usa tunelamento para ocultar, ou criptografar para embaralhar, arquivos de
malware. Torna difícil muitas técnicas de detecção de segurança detectar e
identificar o malware. Tunelamento pode significar ocultar dados roubados
dentro de pacotes legítimos
esgotamento de recursos
torna o host de destino muito ocupado para usar corretamente técnicas de
detecção de segurança
fragmentação do tráfego
divide uma carga maliciosa em pacotes menores para ignorar a detecção de
segurança de rede. Depois que os pacotes fragmentados ignoram o sistema de
detecção de segurança, o malware é remontado e pode começar a enviar dados
confidenciais para fora da rede.
interpretação errada no
nível do protocolo
ocorre quando as defesas de rede não manipulam corretamente recursos de
uma PDU como um valor de soma de verificação ou TTL.
substituição de tráfego
o ator tenta enganar um IPS ofuscando os dados na carga útil. É feito
codificando-o em um formato diferente. O IPS não reconhece o verdadeiro
significado dos dados, mas o sistema final de destino pode ler os dados.
inserção de tráfego
semelhante à substituição de tráfego, mas o agente insere bytes extras de
dados em uma sequência maliciosa d dados. As regras de IPS perdem os dados
maliciosos, aceitando a sequência completa de dados
pivotando
pressupõe que o ator comprometeu um host interno e deseja expandir seu
acesso ainda mais para a rede comprometida.
rootkits
um rootkit é um ferramenta agressora complexa usada por atores experientes
em ameaças. Se integra com os níveis mais baixos do SO. Seu objetivo é
ocultar completamente as atividades do atacante no sistema local.
proxies
o tráfego de rede pode ser redirecionada através de sistemas intermediários
para ocultar o destino final para dados roubados. Desta forma, comando e
controle conhecidos não podem ser bloqueados por uma empresa porque o
destino proxy parece benigno. Além disso, se os dados estiverem sendo
roubados, o destino dos dados pode ser distribuído em muitos proxies, não
chamando a atenção para o fato de que um único destino desconhecido está
servindo como destino para grandes quantidades de tráfego de rede.
Módulo 3 - Mitigação de ameaças
NetSec 15
Defendendo a rede
Profissionais de segurança de rede
Diretor de Informação (CIO)
Diretor de Segurança da Informação (CISO)
Gerente de Operações de Segurança (SECOPs)
Direito de Segurança (CSO)
Gerente de Segurança
Engenheiro de Segurança de Rede
Comunidades de Inteligência de Rede
Empresa Descrição
SANS
os recursos do SysAdmin, Audit, Network, Security Institute (SANS) são
amplamente gratuitos mediante solicitação e incluem:
- Internet Storm Center - sistema de alerta antecipando da internet
- NewsBites, resumo semanal de artigos de notícias sobre segurança de
computadores
- @ RISK, resumo semanal de vetores de ataque recém-descobertos,
vulnerabilidades com exploits ativos e explicações de como os ataques recentes
funcionaram
- Alertas de segurança rápidos
- Sala de leitura - mais de 1200 trabalhos de pesquisa originais premiados
- Cursos de segurança
Mitre
mantém uma listra de vulnerabilidades e exposições comuns (CVE) usadas por
organizações de segurança proeminentes, facilitando o compartilhamento de
dados. Serve como um dicionário de nomes comuns para vulnerabilidades de
segurança cibernética conhecidas
FIRST
Forum of Incident Response and Security Teams é uma empresa de segurança que
une uma variedade de equipes de resposta a incidentes de segurança do
computador provenientes de organizações governamentais, comerciais e
educacionais, com o objetivo de promover a cooperação e coordenação de
compartilhamento de informações, prevenção de incidente e reação rápida.
SecurityNewsWire
portal de notícias de segurança que agrega as últimas notícias relacionadas a
alertas, explorações e vulnerabilidades.
(ISC)²
Consórcio Internacional de Certificação de Segurança de Sistemas de Informação,
fornece produtos educacionais neutros de fornecedores e serviços de carreira para
mais de 75.000 profissionais da indústria em mais de 135 países
CIS
ponto focal para prevenção, proteção, resposta e recuperação de ameaças
cibernéticas para governos estaduais, locais, tribais e territoriais por meio do
Centro de Análise e Compartilhamento de Informações Multiestaduais (MS-
ISAC), que fornece alertas e alertas de ameaças cibernéticas 24/7, identificação de
vulnerabilidades e mitigação e resposta a incidentes.
NetSec 16
Certificações de Segurança de Rede
Certificação Global de Garantia de Informações (GIAC)
Consórcio Internacional de Certificação de Segurança de Sistema de Informação (ISC)²
Associação de Auditoria e Controle de Sistemas de Informação (ISACA)
Conselho Internacional de Consultores de Comércio Eletrônico (CE-Conselho)
Profissional de Segurança sem Fio (CWSP)
CCNP - Cisco
Cisco Certified Specialist:
300-710-SNCF - Segurança de rede Firepower
SISE 300-715 - Implementando e configurando o Cisco Identity Services Engine
300-720 SESA - Protegendo o e-mail com ferramenta de segurança do email de Cisco
300-725 SWSA - Protegendo a Web com ferramenta de segurança da web de Cisco
300-730 SVPN - Implementando soluções seguras com redes privadas virtuais
300-735 SAUTO - Automatização e programação das soluções de segurança da Cisco
Segurança das comunicações: CIA
a segurança da informação trata da proteção da informação e dos sistemas de informação 
contra acesso não autorizado, uso, divulgação, interrupção, modificação ou destruição.
confidencialidade: somente indivíduos,entidades ou processos autorizados podem acessar 
informações confidenciais.
integridade: refere-se à proteção de dados contra alterações não autorizadas.
disponibilidade: os usuários autorizados devem ter acesso ininterrupto aos recursos e dados 
da rede de que necessitam.
a criptografia pode ser usada em praticamente qualquer lugar em que haja comunicação de 
dados.
Políticas de segurança de rede
Domínios de segurança de rede
existem 14 domínios de segurança de rede especificados pela ISO/IEC.
descritos pela ISO/IESC 270001, esses 14 domínios servem para organizar, em alto 
nível, o vasto reino de informações e atividades sob o guarda-chuva da segurança de 
rede.
têm alguns paralelos significativos com domínios definidos pela Certified Information 
Systems Security Professional (CISSP)
NetSec 17
tem como objetivo servir como uma vase comum para o desenvolvimento de padrões de 
segurança organizacional e práticas eficazes de gerenciamento de segurança.
Domínio de Segurança
de Rede
Descrição
Políticas de Segurança
da Informação
este anexo foi concebido para garantir que as políticas de segurança sejam
criadas, revisadas e mantidas
Organização da
Segurança da
Informação
este é o modelo de governança estabelecido por uma empresa para a
segurança da informação. Ele atribui responsabilidades para tarefas de
segurança da informação dentro de uma organização
Segurança de recursos
humanos
aborda as responsabilidades de segurança relacionadas a funcionários
ingressando, movendo-se dentro e deixando uma organização.
Gerenciamento de ativos
diz respeito à maneira como as organizações criam um inventário e
esquema de classificação para ativos de informação.
Controle de acesso
descreve a restrição dos direitos de acesso a redes, sistemas, aplicativos,
funções e dados
Criptografia
diz respeito à criptografia de dados e ao gerenciamento de informações
confidenciais para proteger a confidencialidade, a integridade e a
disponibilidade dos dados
Segurança física e
ambiental
descreve a proteção das instalações e equipamentos de computadores físicos
dentro de uma organização.
Segurança de Operações
descreve o gerenciamento de controles técnicos de segurança em sistemas e
redes, incluindo defesas de malware, backup de dados, registro e
monitoramento, gerenciamento de vulnerabilidades e considerações de
auditoria. Também está preocupado com a integridade do software que é
usado em operações comerciais.
Segurança de
comunicações
diz respeito à segurança dos dados, uma vez que são comunicados em redes,
tanto dentro de uma organização como entre a organização e terceiros,
como clientes ou fornecedores.
Aquisição,
Desenvolvimento e
Manutenção do Sistema
garante que a segurança das informações permaneça uma preocupação
central nos processos de uma organização em todo o ciclo de vida, tanto em
redes privadas, quanto públicas.
Relacionamento com
Fornecedores
diz respeito à especificação de acordos contratuais que protegem os ativos
de informação e tecnologia de uma organização que são acessíveis por
terceiros que fornecem suprimentos e serviços à organização
Gerenciamento de
incidentes de segurança
da informação
descreve como antecipar e responder a violações de segurança da
informação.
Gerenciamento de
continuidade de
negócios
Descreve a proteção, manutenção e recuperação de sistemas e processos
essenciais para os negócios
Conformidade
descreve o processo de assegurar a conformidade com as políticas, normas e
regulamentos de segurança da informação.
NetSec 18
Políticas de negócios
são as diretrizes que são desenvolvidas por uma organização para governar suas ações.
definem padrões de comportamento correto para a empresa e seus funcionários.
Política Descrição
Políticas da empresa
- estabelecem as regras de conduta e as responsabilidades dos trabalhadores e
empregadores.
- políticas protegem os direitos dos trabalhadores, bem como os interesses
comerciais dos empregadores
- dependendo da necessidade da organização, várias políticas e procedimentos
estabelecem regras relativas à conduta dos funcionários, assiduidade, código
de vestimenta, privacidade e outras áreas relacionadas com os termos e
condições de emprego
Políticas de funcionários
- são criadas e mantidas pela equipe de recursos humanos para identificar o
salário dos funcionários, o cronograma de pagamento, os benefícios dos
funcionários, o horário de trabalho, as férias e muito mais.
- muitas vezes, eles são fornecidos a novos funcionários para revisar e assinar
Políticas de segurança
- identificam um conjunto de objetivos de segurança para uma empresa,
definem as regras de comportamento para usuários e administradores e
especificam os requisitos do sistema.
- esses objetivos, regras e requisitos garantem coletivamente a segurança de
uma rede e dos sistemas de computador em uma organização.
- assim como um plano de continuidade, uma política de segurança é um
documento em constante evolução com base em mudanças no cenário de
ameaças, vulnerabilidades e requisitos de negócios e funcionários.
Política de segurança
são usadas para informar os usuários, funcionários e gerentes sobre os requisitos de uma 
organização para proteger os ativos de tecnologia e informação.
também especifica os mecanismos necessários para atender aos requisitos de segurança e 
fornece uma linha de base a partir da qual adquirir, configurar e auditar sistemas e redes de 
computadores para conformidade.
Política Descrição
Política de
identificação e
autenttcação
especifica pessoas autorizadas que podem ter acesso a recursos de rede e
procedimentos de verificação de identidade.
Políticas de senha
garante que as senhas atendam aos requisitos mínimos e sejam alteradas
regularmente
Acceptable Use Policy
(AUP)
identifica os aplicativos e usos de rede que são aceitáveis para a organização.
Também podem identificar as ramificações, se esta política for violada.
Política de acesso
remoto
identifica como os usuários remotos podem acessar uma rede e o que é acessível
por meio de conectividade remota.
NetSec 19
Política Descrição
Políticas de
Manutenção de Rede
especifica procedimentos de atualização de SOs dos dispositivos de rede e de
aplicativos de usuário final.
Procedimentos de
tratamento de
incidentes
descreve como os incidentes de segurança são tratados.
Políticas BYOD
permite que os funcionários usem seus próprios dispositivos móveis para acessar sistemas, 
software, redes ou informações da empresa.
aumento de produtividade, redução dos custos operacionais e de TI, melhor mobilidade para 
os funcionários e maior atração quando se trata de contratar e reter funcionários.
política de segurança:
especifique os objetivos do programa BYOD
identifique quais funcionários podem trazer seus próprios dispositivos
identifique quais dispositivos serão suportados
identifique o nível de acesso que os funcionários possuem ao usar dispositivos pessoais
descreva os direitos de acesso e as atividades permitidas ao pessoal de segurança no 
dispositivo
identifique quais regulamentos devem ser cumpridos ao usar dispositivos de funcionários
identifique as salvaguardar a serem implementadas se um dispositivos for 
comprometido.
Práticas
recomendadas
Descrição
acesso protegido por
senha
use senhas exclusivas para cada dispositivo e conta
controle manualmente a
conectividade sem fio
desative a conectividade Wi-Fi e Bluetooth quando não estiver em uso. Conecte-
se apenas em redes confiáveis
mantenha-se atualizado
mantenha sempre o SO do dispositivo e outros softwares atualizados. O software
atualizado geralmente contém patches de segurança para mitigar contra as
ameaças ou explorações mais recentes.
dados de backup ative o backup do dispositivo caso ele seja perdido ou roubado
ativar “localizar meu
dispositivo”
assine um serviço de localizados de dispositivos com o recursos de apagamento
remoto
fornece software
antivírus
fornece software antivírus para dispositivos BYOD aprovados
use um software de
gerenciamento de
o software MDM permiteque as equipes de TI implementem configurações de
segurança e configurações de software em todos os dispositivos que se conectam
às redes da empresa.
NetSec 20
Práticas
recomendadas
Descrição
dispositivos móveis
(MDM)
Conformidade com regulamentações e padrões
os profissionais de segurança de rede devem estar familiarizados com as leis e códigos de 
ética que são vinculativos para os profissionais de segurança de sistemas de informação 
(INFOSEC).
regulamentos de conformidade definem o que as organizações são responsáveis pelo 
fornecimento e a responsabilidade caso não cumpram.
Ferramentas, plataformas e serviços de segurança
Plataformas de segurança de dados
são uma solução de segurança integrada que combina ferramentas tradicionalmente 
independentes em um conjunto de ferramentas que são feitas para trabalharem juntas.
FireEye Helix é uma plataforma de operações de segurança baseada em nuvem que permite 
às organizações integrar muitas funcionalidades de segurança em uma única plataforma.
fornece gerenciamento de eventos, análise de comportamento de rede, detecção 
avançada de ameaças e orquestração, automação e resposta de segurança de incidentes 
(SOAR) para resposta a ameaças à medida que são detectadas.
se baseia em inteligência contra ameaças FireEye Mediant, resposta a incidentes e 
experiência em segurança.
Cisco SecureX vai um passo mais longe com sua forte integração com o portfólio Cisco 
Secure.
consiste em um amplo conjunto de tecnologias que funcionam como uma equipe - 
fornecendo interoperabilidade com a infraestrutura de segurança, incluindo tecnologias 
de terceiros.
resulta em visibilidade unificada, automação e defesas mais fortes.
integra firewalls de próxima geração, VPN, análise de rede, mecanismo de serviço de 
identidade, proteção avançada contra malware (AMP) e outros.
também integra ferramentas de terceiros.
Serviços de segurança
à medida que as ameaças surgem, os serviços de inteligência de ameaças criam e distribuem 
regras de firewall e IOCs para os dispositivos que assinaram o serviço.
NetSec 21
Cisco Talo Threat Intelligence Group tem como objetivo ajudar a proteger os usuários, 
dados e infraestrutura da empresa de adversários ativos.
coleta informações sobre ameaças ativas, existentes e emergentes.
fornece proteção abrangente contra esses ataques e malware aos seus assinantes.
Mitigando ataques comuns à rede
Mitigação de Malware
uma maneira de mitigar ataques de vírus e cavalos de Troia é o software antivírus.
ajuda a impedir que os hosts sejam infectados e espalhem código malicioso.
tem opções de automação de atualização para que novas definições de vírus e novas 
atualizações de software possam ser baixadas automaticamente ou sob demanda.
são baseados em host, são instalados em computadores e servidores para detectar e 
eliminar vírus.
não impedem que vírus entre na rede, portanto, um profissional de segurança de rede 
deve estar ciente dos principais vírus e acompanhar as atualizações de segurança em 
relação a vírus emergentes.
dispositivos de segurança no perímetro da rede podem identificar arquivos de malware 
conhecidos com base em seus indicadores de compromisso.
os arquivos podem ser removidos do fluxo de dados de entrada ates que eles possam 
causar um incidente.
Mitigando worms
a mitigação do worm requer diligência e coordenação por parte dos profissionais de 
segurança de rede.
NetSec 22
Fase Resposta
1. custos
a fase de contenção envolve limitar a propagação de uma infecção por
worms para áreas da rede que já estão afetadas. Isso requer
compartimentação e segmentação da rede para abrandar ou parar o
worm e evitar que hosts atualmente infectados segmentem e infectem
outros sistemas. Requer o uso de ACLs de saída e entrada em roteadores e
firewalls em pontos de controle dentro da rede
2. inoculação
corre paralela ou subsequente à fase de contenção, onde todos os sistemas
não infectados são corrigidos com o patch de fornecedor apropriado. Esse
processo priva ainda mais o worm de quaisquer alvos disponíveis.
3. quarentena
envolve rastrear a identificar máquinas infectadas dentro das áreas contidas
e desconectá-las, bloquear ou removê-las, isso estes sistemas
adequadamente para a fase de tratamento.
4. tratamento
envolve a desinfecção ativa dos sistemas infectados. Pode envolver
encerrar o processo do worm, remover arquivos modificados ou
configurações do sistema introduzidos pelo worm e corrigir a
vulnerabilidade que o worm usou para explorar o sistema.
Alternativamente, em casos mais graves, o sistema pode precisar ser
reinstalado para garantir que o worm e seus subprodutos sejam removidos.
Mitigando ataques de reconhecimento
um profissional de segurança de rede pode detectar quando um ataque de reconhecimento 
está em andamento recebendo notificações de alarmes pré-configurados.
são provocados quando determinados parâmetros são excedidos.
a ferramenta de segurança adaptável (ASA) fornece prevenção da intrusão em um 
dispositivo autônomo.
o Cisco ISR apoia a prevenção de intrusão baseada em rede através da imagem de segurança 
do Cisco IOS.
maneiras de mitigação:
implementando a autenticação para garantir o acesso adequado.
usando criptografia para tornar os ataques de sniffer de pacotes inúteis
usando ferramentas anti-sniffer para detectar ataques de sniffer de pacotes
implementando uma infraestrutura comutada
usando um firewall e IPS
o software anti-sniffer e as ferramentas de harware detectam mudanças no tempo de 
resposta dos hosts para determinar se os hosts estão processando mais tráfego do que suas 
próprias cargas de tráfego indicariam.
não elimina completamente a ameaça, mas pode reduzir o número de instâncias de 
ameaça.
NetSec 23
a criptografia também é eficaz para mitigar ataques de sniffer de pacotes.
é importante mitigar a varredura de portas, mas usar um sistema de prevenção de intrusões 
(IPS) e firewall pode limitar as informações que podem ser descobertas com um scanner de 
portas.
as varreduras de ping podem ser paradas se o eco ICMP e resposta de eco estiverem 
desligados nos roteadores de borda.
no entanto, quando desligados, os dados de diagnósticos de rede são perdidos.
Mitigando ataques de acesso
segurança de senha forte, princípio de confiança mínima, criptografia, aplicação de patches 
de SO e aplicativos.
para se defender contra ataques de adivinhação de senha ou ataques de dicionários, crie e 
imponha uma política de autenticação forte que inclua:
usar senhas fortes
desativar contas após um número especificado de logins malsucedidos ter ocorrido
no princípio da confiança mínima, significa que os sistemas não devem usar um ao outro 
desnecessariamente.
recomenda-se o uso de criptografia para acesso remoto a uma rede.
o tráfego do protocolo de roteamento também deve ser criptografado.
o uso de protocolos de autenticação criptografados ou hash, juntamente com uma política 
de senha forte, reduz consideravelmente a probabilidade de ataques de acesso bem-
sucedidos.
educação de funcionários sobre os riscos da engenharia social e desenvolvimento de 
estratégias para validar identidades por telefone, e-mail ou pessoalmente.
autenticação multifator (MFA) requer dois ou mais meios independentes de verificação.
em geral, podem ser detectados através da revisão de logs, utilização da largura de banda e 
carga de processo.
Mitigação de ataques DoS
pacote de software de utilização de rede deve estar sempre em execução.
análise de comportamento da rede pode detectar padrões incomuns de uso que indicam que 
um ataque DoS está ocorrendo.
podem levar a problemas nos segmentos de rede dos computadores que estão sendo atacados.
tecnologias antispoofing: segurança da porta, espionagem do protocolo de configuração 
dinâmica do host (DHCP), protetor da fonte IP, inspeção do protocolo de resolução de 
endereço dinâmico (DAI) e listas de controles de acesso (ACLs).
Framework de Proteção Cisco Network Foundation
NetSec 24
Framework NFP
fornece diretrizes abrangentespara proteger a infraestrutura de rede.
formam a vase para a prestação contínua do serviço.
divide logicamente roteadores e switches em três áreas funcionais:
planos de controle - responsável pelo roteamento de dados corretamente. O tráfego 
consiste em pacotes gerados por dispositivos exigidos para operação da própria rede, 
como trocas de mensagens ARP ou anúncios de roteamento OSPF.
plano de gerenciamento - responsável pela gestão de elementos de rede. O tráfego 
plano de gerenciamento é gerado por dispositivos de rede ou estações de gerenciamento 
de rede usando processos e protocolos como Telnet, SSH, TFTP, FTP, NTP, AAA, 
ANMP, SYSLOG, TACACS+, RADIUS e NetFlow.
plano de dados (plano de encaminhamento) - responsável pelo encaminhamento de 
dados. O tráfego pelo plano de dados consiste normalmente em pacotes gerados pelo 
usuário que estão sendo enviados entre dispositivos finais. A maioria do tráfego viaja 
através do roteador, ou comuta, através do plano de dados.
Protegendo o plano de controle
consiste em pacotes gerados por dispositivos necessário para a operação da própria rede.
a segurança pode ser implementada usando os seguintes recursos:
autenticação de protocolo de roteamento - a autenticação vizinha, impede que um 
roteador aceite atualizações de roteamento fraudulentas.
policiamento plano de controle (CoPP) - característica do Cisco IOS projetada para 
permitir que os usuários controlem o fluxo de tráfego que é segurado pelo processador 
de rotas de um dispositivo de rede.
trata o plano de controle como uma entidade separada com sua portas de ingresso e 
saída.
NetSec 25
AutoSecure - pode bloquear as funções do plano de gerenciamento e o serviços e 
funções de plano de encaminhamento de um roteador.
Protegendo o plano de gerenciamento
o tráfego é gerado por dispositivos de rede ou estações de gerenciamento de rede usando 
processos e protocolos como Telnet, SSH e TFTP.
o fluxo de informações entre os hosts de gerenciamento e os dispositivos gerenciados pode 
estar fora de banda (OOB), onde a informações flui dentro de uma rede na qual nenhum 
tráfego de produção reside. Também pode ser in-band, onde a informação flui através da rede 
de produção da empresa, da Internet ou ambos.
recursos a serem implementados:
política de login e senha
presente notificação legal
garanta a confidencialidade dos dados
controle de acesso baseado em função (RBAC)
autorizar ações
ativar relatórios de acesso de gerenciamento
Protegendo o plano de dados
o tráfego consiste na maior parte dos pacotes de usuários que estão sendo enviados através do 
roteador através do plano de dados.
a segurança pode ser executada usando ACLs, mecanismos antispoofing e características de 
segurança de L2.
modos de uso das ACLs:
bloqueando tráfego ou usuários indesejados - filtrar pacotes de entrada ou saída de 
uma interface.
reduzindo a chance de ataques DoS - especificar se o tráfego de anfitriões, redes ou 
usuários pode acessar a rede.
ASA TCP é um mecanismo que pode ser usado para proteger os hosts finais, 
especialmente servidores.
mitigação de ataques de falsificação 
fornecendo controle de largura de banda
classificando o tráfego para proteger os planos de gerenciamento e controle - 
aplicação na linhas vty.
pode ser usadas como mecanismo antispoofing descartando o tráfego que tem um 
endereço de origem inválido.
NetSec 26
Unicast Reverse Path Forwarding (URPF) pode ser usado para complementar a estratégia 
antispoofing.
ferramentas de segurança de L2:
port security - impede a falsificação de MAC e ataques de inundação de endereços MAC
DHCP spoofing - impede ataques de cliente no servidor e switch DHCP
inspeção dinâmica de ARP (DAI) - adiciona segurança ao ARP usando tabela de 
espionagem DHCP para minimizar o impacto de ataques de envenenamento e spoofing 
ARP.
proteção de origem IP (IPSG) - impede a falsificação de endereços IP usando tabela de 
espionagem DHCP.
Módulo 4 - Proteger o acesso ao dispositivo
Proteger o acesso ao dispositivo
Proteja o roteador de borda
a proteção de infraestrutura de rede é fundamental para a segurança geral da rede.
inclui roteadores, switches, servidores, endpoints e outros dispositivos.
se um invasor obtém acesso a um roteador, a segurança e o gerenciamento de toda a rede 
podem ser comprometidos.
para evitar o acesso não autorizado a todos os dispositivos de infraestrutura, políticas e 
controles de segurança adequados devem ser implementados.
o roteador de borda é o último roteador entre a rede interna e uma rede não confiável.
todo o tráfego de de internet de uma organização passa por um roteador de borda, que 
geralmente funciona como primeira e última linha de defesa para uma rede.
ajuda a proteger o perímetro de uma rede protegida e implementa ações de segurança 
baseadas nas políticas de segurança da organização.
Abordagens de segurança
abordagem de roteador único: um único roteador conecta a rede protegida ou a rede local 
interna (LAN) à Internet.
todas as políticas de segurança são configuradas neste dispositivo.
mais comum em sites menores, nesses casos, os recursos de segurança necessários 
podem ser suportados por ISRs (Integrated Services Routers) sem impedir as 
capacidades de desempenho do roteador.
NetSec 27
abordagem de defesa em profundidade: usa várias camadas de segurança antes do tráfego 
que entra na LAN protegida.
há três camadas primárias de defesa: o roteador de borda, o firewall e um roteador 
interno que se conecte à LAN protegida.
o roteador de borda atua como a primeira linha de defesa e é conhecido como roteador 
de triagem.
depois de executar a filtragem de tráfego inicial, o roteador de borda passa todas as 
conexões que são pretendidas para a LAN interna e para a segunda linha de defesa, 
o firewall.
o firewall normalmente pega onde o roteador de borda sai e executa filtragem adicional.
fornece controle de acesso adicional, rastreando o estado das conexões e atua como 
um dispositivo de ponto de verificação.
por padrão, nega o início de conexões das redes externas para a rede interna.
contudo, permite que usuários internos estabeleçam conexões às redes externas e 
permite que as respostas voltem através do firewall.
também pode executar autenticação do usuário (proxy de autenticação) em que os 
usuários devem ser autenticados para obter acesso a recursos de rede.
outras ferramentas de segurança como sistemas de prevenção de intrusões (IPSs), 
dispositivos de segurança da Web (servidores proxy) e dispositivos de segurança de e-
mail (filtragem de spam) também podem ser implementadas.
abordagem DMZ: inclui uma ferramenta intermediária, muitas vezes chamada de zona 
desmilitarizada (DMZ).
pode ser usada para servidores que devem ser acessíveis a partir da Internet ou de 
alguma outra rede externa.
NetSec 28
pode ser configurada entre dois roteadores, com um roteador interno conectado à rede 
protegida e um roteador externo que conecta à rede desprotegida.
alternativamente, pode simplesmente ser uma porta adicional fora de um único roteador.
o firewall é configurado para permitir as conexões necessárias das redes externas aos 
servidores públicos na DMZ.
serve como proteção primária para todos os dispositivos na DMZ.
Três áreas de segurança do roteador
segurança física:
coloque o roteador e os dispositivos físicos que se conectam a ele em uma sala trancada 
segura que é acessível apenas ao pessoal autorizado, livre de interferência eletrostática 
ou magnética, com supressão de fogo e controles de temperatura e umidade.
fonte de alimentação ininterrupta (UPS) ou gerador de energia de backup a diesel. Fontes 
de alimentação redundantes em dispositivos de rede.
software de SO:
roteadores com a quantidade máxima de memória possível, reduzindo riscos de ataques 
de DoS e suportando mais serviços de segurança;
versão mais recente e estável do SO, com criptografia mais aprimorada e atualizada.
cópia segura das imagens do SO do roteador e arquivos de configuração do router comobackup.
hardening do router:
controle administrativo seguro.
desativar portas e interfaces não utilizadas.
desativar serviços desnecessários.
Acesso administrativo seguro
restringir a acessibilidade do dispositivo - limite as portas acessíveis, restrinja os 
comunicadores permitidos e restrinja os métodos permitidos de acesso.
registro e conta para todos os acesso - grave qualquer pessoa que acessa um dispositivo, o 
que ocorreu durante o acesso e quando o acesso ocorreu.
NetSec 29
autenticar acesso - acesso concedido apenas a usuários, grupos e serviços autenticados, limite 
o número de tentativas de login com falha e o tempo permitido entre logins
autorizar ações - restrinja as ações e exibições permitidas por qualquer usuário, grupo ou 
serviço específico.
apresentar notificação legal - banner
garante a confidencialidade dos dados - proteja os dados de serem visualizados e copiados.
Acesso local e remoto seguro
acesso local: o acesso local a um roteador geralmente requer uma conexão direta a uma porta 
de console no router e usando um computador que esteja executando o software de emulação 
de terminal.
o administrador deve ter acesso físico ao roteador e usar um cabo de console para se 
conectar à porta.
tipicamente usado para configuração inicial do dispositivo.
acesso remoto: o método de acesso remoto mais comum envolve permitir conexões Telnet, 
SSH, HTTP, HTTPS ou SNMP ao roteador a partir de um computador.
o computador pode estar na rede local ou em uma rede remota.
se a conectividade de rede ao dispositivo estiver inativa, a única maneira de acessá-lo 
pode ser sobre linhas telefônicas.
alguns métodos de acesso remoto enviam dados, incluindo nomes de usuário e senhas, para o 
roteador em texto simples.
NetSec 30
portanto, é preferível permitir somente acesso local ao roteador.
precauções com o acesso remoto:
criptografe todos o tráfego
estabeleça uma rede de gestão dedicada - somente hosts de gerência e identificados e 
conexões a uma interface dedicada no router.
filtro de pacote de informações - apenas hosts de gerência e protocolos autorizados 
acessem.
configurar e estabelecer conexão VPN com rede local.
Configurar o acesso administrativo seguro
Configurar senhas
para proteger o modo EXEC do usuário: 
line console 0
password 
login
end
proteger o acesso privilegiado no modo EXEC:
conf t
enable secret
exit
proteger linhas VTY:
conf t
line vty 0 15
password
NetSec 31
login
end
Criptografar as senhas
etapas para ajudar a garantir que a senhas permaneçam secretas:
criptografando todas as senhas de texto sem formatação
definindo um tamanho aceitável de senha
detecção de ataques de adivinhação de senha por força bruta
desativando um acesso de modo EXEC privilegiando inativo após um período 
específico.
para criptografar todas as senhas de texto simples (se aplica apenas as senhas no arquivo de 
configuração)
conf t
service password-encryption
show running-config para verificar as senhas.
Segurança de senha adicional
aplicar mínimo de comprimento para as senhas: security passwords min-length length
impedir ataque de força bruta: login block-for seconds attempts number within seconds
logout após tempo de inatividade: exec-timeout minutes seconds (aplicado a linha console, 
auxiliar e vty)
NetSec 32
Algoritmos de senha secreta
enable secret usa hash MD5 por padrão.
o recomendável é usar senhas tipo 8 e 9 que usam criptografia SHA
para usar a criptografia tipo 9, você deve colar a senha criptografada.
NetSec 33
enbale algorithm-type {md5 | scrypt | sha256 | secret} unencrypted password
md5: tipo 5
scrypt: tipo 9
sha256: tipo 8
se você inserir um usuário com o comando username secret, a criptografia padrão será md5.
username name algorythm-type {md5 | scrypt | sha256 | secret} unencrypted password 
para especificar a criptografia do tipo 9
enable password, username password e line password estão disponíveis em versão 
anteriores ao Cisco IOS 15.3, usando, na melhor das hipóteses, criptografia tipo 7.
Configurar segurança aprimorada para logins virtuais
Melhorar o processo de login
ativar um perfil de detecção permite que você configure um dispositivo de rede para reagir a 
tentativas repetidas com falha de login recusando solicitações de conexão adicionais (ou 
bloqueio de login).
este bloco pode ser configurado por um período de tempo, o período silencioso.
NetSec 34
ACLs podem ser usadas para permitir conexões legítimas de endereços de hosts de 
sistema conhecidos.
ativar o banner: banner {motd | exec | login} delimiter message delimiter
Configurar recursos de aprimoramento de login
login block-for é uma defesa contra ataques DoS desativando logins após um número 
especificado de tentativas de login com falha.
login quiet-mode mapeia a uma ACL que identifique os hosts permitidos
login delay especifica um número de segundos que o usuário deve esperar entre tentativas de 
login mal sucedidas.
login on-success e login on-failure registram tentativas de login bem e mal sucedidas.
não aplicáveis a linhas de console.
Ativar aprimoramentos de login
o login block-for monitora a atividade do dispositivo de login e opera em dois modos:
modo normal: modo de relógio, o roteador mantém a contagem de número de 
tentativas de login falhadas dentro de uma quantidade de tempo identificada.
modo silencioso: período de silêncio, se o número de logins com falha exceder o limite 
configurado, todas as tentativas de login usando Telnet, SSH e HTTP são negadas para o 
tempo especificado.
todas as tentativas de login, incluindo acesso administrativo válido, não são 
permitidas.
NetSec 35
no entanto, para fornecer hosts críticos, como acesso de hosts administrativos 
específicos em todos os momentos, esse comportamento pode ser substituído usando 
uma ACL.
login quit-mode access-class
um atraso de segundo entre as tentativas de login é automaticamente invocado.
para aumentar o tempo de atraso: login delay seconds
esse atraso ocorre para todas as tentativas de login, incluindo tentativas com falha ou 
bem-sucedidas.
Tentativas de falha de log
comandos para ajudar um administrador a detectar um ataque de senha, com cada comando 
permitindo que o dispositivo gere mensagens de syslog para tentativas de login falhadas ou 
bem-sucedidas:
login on-success log
login on-failure log
o número de tentativas de login antes de uma mensagem de registro pode ser 
especificado com [every login] com o valor padrão sendo de 1 e podendo ir até 65.535.
security authentication failure rate pode ser configurado como alternativa para gerar 
uma mensagem de log quando a taxa de falha de login é excedida.
show login para verificar as configurações.
NetSec 36
show login failures exibe informações adicionais sobre as tentativas malsucedidas, como IP 
de origem e tentativas.
secure boot-image: cria backup da imagem escondido na flash
secure boot-config: cria cópia de backup das configurações.
auto-secure: protege portas abertas e protocolos que são por padrão um risco de segurança.
Configurar SSH
Ativação do SSH
etapas:
1. configure um nome exclusive para o host
2. configure o nome do domínio - ip domain name name , crypto key generate rsa 
general-keys modulus bits
3. gerar uma chave para criptografar o tráfego do SSH
4. verificar ou criar uma entrada de banco de dados local - username name secret
5. autenticar contra o banco de dados local - login local
6. habilitar e entrada vty nas sessões SSH - transport input {ssh | telnet }
NetSec 37
show crypto key mypubkey rsa: exibir as chaves geradas no EXEC privilegiado
crypto key zeroize rsa: remover pares de chaves existentes.
Melhorar a segurança de login SSH
show ip ssh: verificar os ajustes opcionais.
ip ssh time-out seconds: modificar o intervalo de tempo limite padrão de 120 segundos.
ip ssh authentication-retries integer: modificar o número de tentativas consecutivas de 
login SSH.
Conecte um roteador a um roteador habilitado para SSH
por padrão, quando o SSHestá habilitado, um roteador Cisco pode atuar como um servidor 
SSH ou cliente SSH.
como servidor, um roteador pode aceitar conexões de cliente SSH
como cliente, um roteador pode se conectar via SSH a outro roteador habilitado para um 
SSH.
PuTTY, OpenSSH e TeraTerm
Módulo 5 - Atribuindo funções administrativas
Atribuindo funções administrativas
Configurando níveis de privilégio
o software Cisco IOS tem dois métodos de fornecer acesso à infraestrutura: nível de 
privilégio e CLI baseado em função.
o baseado em função fornece mais granularidade e controle.
níveis de acesso CLI:
modo EXEC do usuário (privilege 1): fornece os mais baixos privilégios de usuário no 
modo EXEC e permite somente comandos de nível de usuário disponíveis no prompt 
Router>
NetSec 38
modo EXEC privilegiado (privilege 15): inclui todos os comandos de nível de ativação 
no prompt Router#
níveis de privilégio:
nível 0: predefinido para privilégios de acesso no nível do usuário.
disable, enable, exit, help e logout
nível 1: nível padrão para início de uma sessão com o roteador.
usuário não pode fazer alterações ou visualizar o arquivo de configuração em 
execução
níveis 2 - 24: pode ser personalizado para privilégios de nível de usuário.
comandos de níveis mais baixos podem ser movidos para outro nível mais alto ou 
comando de níveis mais altos podem ser movidos para níveis mais baixos.
nível 15: reservado para os privilégios no modo enable.
usuários podem alterar as configurações e visualizar os arquivos de configuração.
privilege mode {level level|reset} command
mode: especifica o modo de configuração
level: definir um nível de privilégio 
level: o nível de privilégio associado ao comando acima, 0 a 15
reset: redefine o nível de privilégio
command: argumento a ser usado quando você deseja redefinir o nível de privilégio
Configurando e atribuindo níveis de privilégio
métodos para atribuir senhas aos diferentes níveis de privilégio:
username name privilege level secret password: para atribuir um nível de privilégio a 
um usuário específico.
NetSec 39
enable algorithm-type algorithm secret level level password: para atribuir nível de 
privilégio a uma senha específica
ambos são configurados para a criptografia do tipo 9.
Limitações dos níveis de privilégios
não há controle de acesso a interfaces, portas, interfaces lógicas e slots específicos em um 
roteador
os comandos disponíveis em níveis de privilégios mais baixos são sempre executáveis em 
níveis mais altos
comandos especificamente definidos em um nível de privilégio mais alto não estão 
disponíveis para usuários com privilégios mais baixos.
atribuir um comando com várias palavras-chave permite o acesso a todos os comandos que 
usam essa palavra-chave.
Configurar CLI com base em funções
Acesso CLI baseado em função
fornece acesso mais refinado e granular, controlando quais comandos estão disponíveis para 
funções específicas.
permite que o administrador crie diferentes pontos de vista das configurações de roteador 
para usuários diferentes.
segurança: aumenta a segurança do dispositivo definindo um conjunto de comandos CLI 
que são acessíveis por um usuário específico.
administradores podem controlar o acesso do usuário a portas específicas, interfaces 
lógicas e slots em um roteador, impedindo que usuários alterem acidentalmente ou 
propositalmente uma configuração ou colete informações às quais não deve ter acesso.
disponibilidade: impede a execução não intencional de comandos CLI por pessoal não 
autorizado e minimiza o tempo de inatividade.
eficiência operacional: usuários veem somente os comandos CLI aplicáveis às portas e ao 
CLI a que têm o acesso.
o roteador parece ser menos complexo e os comandos são mais fáceis de identificar ao 
usar o recurso de ajuda.
Exibições baseadas em função
View raiz: tem os mesmos privilégios de acesso que um usuário que tem privilégios de nível 
15.
no entanto, uma view raiz não é a mesma que um usuário de nível 15.
somente um usuário de view raiz pode configurar uma nova view e adicionar ou remover 
comandos das views existentes.
NetSec 40
CLI: ao contrário dos níveis de privilégio, uma view CLI não tem hierarquia de comando e 
nenhuma view superior ou inferior.
cada view deve receber todos os comandos associados a essa exibição.
uma view não herda os comandos de nenhuma outra.
os mesmos comandos podem ser usados em várias views.
Superview: consiste em uma ou mais views CLI.
administradores podem definir quais comandos são aceitos e quais informações de 
configuração são visíveis.
permite que o administrador atribua usuária e grupos de views múltiplas CLI dos 
usuários ao mesmo tempo, em vez de ter que atribuir uma única view CLI pelo usuário 
com todos os comandos associados a essa uma view CLI.
características:
uma única view CLI pode ser compartilhada em várias superviews.
os comandos não podem ser configurados para uma superview.
o administrador deve adicionar os comandos a view CLI e adicionar essa CLI 
ao superview
usuários que são registrados em uma superview podem alcançar todos os comandos 
são que configurados para alguns dos pontos da view CLI que são parte da 
superview
cada superview tem uma senha usada para alterar entre superviews ou de uma view 
CLI para uma superview.
a exclusão de uma superview não suprime as views CLI associadas.
elas permanecem disponíveis para serem atribuídas a outra superview.
NetSec 41
Configurar exibições baseadas em função
antes que um administrador possa criar uma view, o AAA deve ser permitido aaa new-
model.
para configurar e editar visualizações, um administrador deve efetuar login como root view 
enable view
quando solicitado digite enable secret secret
etapas para criar e gerenciar uma view específica:
1. habilite AAA aaa new-model. Saia e insira a view raiz enable view
view-name: entra ou sair de uma view específica.
view: incorpora a view raiz se nenhuma view-name for especificado, que permite 
que um administrador configure views CLI.
2. crie uma view parser view view-name, habilitando o modo de configuração de view.
excluindo a view raiz, há um limite máximo de 15 views ao total.
3. atribua uma senha secret password view
define uma senha para proteger o acesso à superview
deve ser criada imediatamente.
NetSec 42
4. atribua comandos à view selecionada commands parser-mode {include | include-
exclude | exclude} [all] [interface interface-name | command]
commands: adiciona comandos ou interfaces a uma view
parser-mode: modo em que o comando especificado existe.
include: adiciona um comando ou uma interface à view e permite que o mesmo 
comando ou interface seja adicionado a outras views.
include-exclude: adiciona um comando ou uma interface à view e exclui o mesmo 
comando ou interface que seja adicionado a todas as outras views.
exclude: exclui um comando ou uma interface de uma view
all: “curinga” que permite que cada comando em um modo de configuração 
especificado que comece com a mesma palavra-chave ou cada subinterface para 
uma interface especificada faça parte da view.
interface interface-name: interface que é adicionada a view
command: comando que é adicionado a view
5. saia do modo de configuração exit.
para verificar a configuração show running-config
NetSec 43
Configurar superviews CLI com base em função
as etapas para configurar superview são essencialmente as mesmas que configurar uma 
visualização CLI, exceto que o comando view view-name é usado para atribuir comandos a 
superview.
o administrador deve estar na view raiz para configurar uma superview.
para confirmar a view raiz usada, emita o comando enable view ou enable view root.
quando solicitado digite a secret senha
etapas:
1. cria uma view parser view view-name superview e entre no modo de configuração 
superview.
superview cria uma superview e entra no modo de configuração.
2. atribua uma senha à view secret password.
proteger o acesso à superview.
deve ser criada imediatamente após a criação da view,caso contrário, uma 
mensagem de erro será exibida.
3. atribua uma view view view-name.
adiciona uma view CLI ao superview.
várias views podem ser adicionadas.
as views podem ser compartilhadas entre superviews.
4. saia do modo de configuração superview exit.
NetSec 44
para acessar as views existentes, use enable view view-name no modo de usuário e insira a 
senha.
Verificar exibições de CLI baseadas em função
enable view para verificar uma view.
digite o nome da view a ser verificada e forneça a senha.
? para verificar os comandos disponíveis na view.
NetSec 45
ao não especificar uma view para o comando, você pode fazer login como root.
a partir da view raiz use show parser view all para visualizar um resumo de todas as views.
Módulo 6 - Monitoramento e gerenciamento de dispositivos
Protegendo arquivos de imagem e configuração Cisco IOS
Recurso de configuração resiliente do Cisco IOS
o arquivo de configuração no bootset principal é uma cópia da running-config que estava no 
router quando a característica foi habilitada primeiramente.
NetSec 46
o recurso protege o menor conjunto de arquivos de trabalho para preservar o espaço de 
armazenamento persistente.
nenhum espaço extra é exigido para proteger o arquivo de imagem preliminar do Cisco IOS.
detecta automaticamente a incompatibilidade da imagem ou da versão de configuração.
somente o armazenamento local é usado para proteger arquivos, eliminando desafios de 
manutenção de escalabilidade do armazenamento de várias imagens e configurações em 
servidores TFTP.
o recurso só pode ser desativado por meio de uma sessão de console.
Habilitando o recurso de resiliência de imagem do IOS
secure boot-image para proteger a imagem do IOS e habilitar a resiliência da imagem.
quando permitido pela primeira vez, a imagem do Cisco IOS em execução é fixada e 
uma entrada de log é gerada.
só pode ser desabilitado na sessão console com o adicional da palavra no.
funciona corretamente somente quando o sistema está configurado para executar uma 
imagem a partir de uma unidade flash com uma interface ATA.
a imagem em execução deve ser carregada do armazenamento persistente para ser 
protegida como primária.
secure boot-config: para obter um instantâneo da configuração em execução do router e 
arquivá-lo com segurança no armazenamento persistente.
uma mensagem de log é exibida no console.
o arquivo estará escondido e não pode ser visto ou removido diretamente pela CLI.
pode usar o comando repetidamente para atualizar o arquivo para a versão mais recente.
show secure bootset para verificar a existência do arquivo.
NetSec 47
A imagem principal do Bootset
como restaurar um bootset primário de um arquivo seguro após o router ter sido adulterado:
1. Recarregue o router usando reload.
a. se necessário emita a sequência de interrupção para entrar no modo ROM monitor 
(ROMmon)
2. no modo ROMmon, digite dir para listar o conteúdo do dispositivo que contém o 
arquivo do conjunto de inicialização seguro.
3. inicialize o router com a imagem do conjunto de inicialização seguro usando o boot 
seguido pelo local da memória flash, dois pontos e o nome do arquivo.
4. entre no modo de configuração global e restaure a configuração para o nome de arquivo 
da sua escolha com secure boot-config restore seguido pelo local da memória flash, 
depois pontos e um nome de arquivo da sua escolha.
5. saia do modo de configuração global e emita o comando copy para copiar o arquivo de 
configuração resgatado para a configuração em execução.
NetSec 48
Configurando Cópia Segura
o recurso Secure Copy Protocol (SCP) é usado para copiar a imagem IOS e os arquivos de 
configuração remotamente.
fornece um método seguro e autenticado para copiar a configuração do router ou 
arquivos de imagem do roteador para um local remoto.
depende de:
SSH para proteger a comunicação
AAA para fornecer autenticação e autorização.
etapas de configuração:
1. configurar SSH
2. para autenticação local, configure pelo menos um usuário de banco de dados local 
com nível de privilégio 15.
3. habilite o AAA com aaa new-model.
4. aaa authentication login default local para especificar que o banco de dados local 
seja usado para autenticação.
5. aaa authorization exec default local para configurar a autorização.
6. habilite a funcionalidade do lado do servidor SCP ip scp server enable.
NetSec 49
use copy e especifique primeiro o local do arquivo de origem da imagem e, em seguida, o 
destino (scp).
no router/servidor de destino use debug ip scp para visualizar a transferência dos arquivos.
Recuperando uma senha de roteador
por razões de segurança, a recuperação de senha exige que o administrador tenha acesso 
físico ao router através de um cabelo console.
1. conecte à porta console.
2. show version para exibir a definição do registro de configuração e documentar o valor.
3. reinicialize o router.
4. emita a sequência de interrupção (ctrl-break) para entrar no modo ROMMON
5. altere o registro de configuração padrão confreg 0x2142
6. reinicialize o router usando reset no modo ROMMON
7. pressione CTRL-C para pular o procedimento de configuração inicial
8. entre no EXEC privilegiado
9. copie a configuração de inicialização para configuração em execução com copy startu-
config running-config
10. verifique a configuração
11. altere a senha secreta ativa
12. habilite todas as interfaces com no shutdown
13. retorne a configuração do registro de configuração para a configuração original (etapa 2) com 
config-register.
NetSec 50
a. na próxima reinicialização, o router usará essas configurações e carregará o novo arquivo 
de configuração de inicialização que contém a senha alterada.
14. salve as alterações de configuração.
Recuperação de senha
este procedimento, se executado corretamente, deixa a configuração do router intacta.
o invasor pode usar para descobrir a configuração do router e outras informações 
pertinentes sobre a rede.
essa violação pode ser mitigada com no service password-recovery, sendo este um comando 
oculto que não tem nenhum argumento ou palavras-chave.
todo o acesso ao modo ROMMON será desabilitado.
quando inserido, uma mensagem de advertência é exibida e deve ser confirmada antes 
que a característica seja permitida.
quando ativado, aparece na configuração show running-config.
para recuperar um dispositivo com o comando ativado, inicie a sequência de quebra dentro de 
5 segundos após a descompressão da imagem durante a inicialização.
você será solicitado a confirmar a ação de quebra de chave.
depois da confirmação, a configuração de inicialização é completamente apagada, o 
procedimento de recuperação de senha está habilitado e o router inicializa com a 
configuração padrão de fábrica.
caso não haja confirmação, o router inicializará normalmente com o comando ativado.
se a memória flash do router não contiver uma imagem válida devido à corrupção ou à 
exclusão, o comando ROMMON xmodem não pode ser usado para carregar uma imagem 
flash nova.
para reparação, é necessária uma imagem nova.
no entanto, se um administrador tiver acesso ao ROMON, ele pode restaurar um arquivo 
IOS à memória flash usando o servidor TFTP.
Bloqueando um roteador usando o AutoSecure
Protocolos de descoberta CDP e LLDP
NetSec 51
o Cisco Discovery Protocol (CDP) é um exemplo de serviço que vem habilitado por padrão 
nos routers Cisco.
o Protocolo de descoberta de camada de link (LLDP) também é um exemplo disso.
lldp run 
show cdp neighbors detail e show lldp neighbors detail revelará o endereço, a 
plataforma e os detalhes do SO de um dispositivo.
a intenção dos dois serviços é facilitar para que os administradores descubram e pesquisem 
defeitos em outros dispositivos de rede.
Configurações para protocolos e serviços
os invasores escolhem serviços e protocolos que tornam a rede mais vulnerável à exploração 
maliciosa.
muitos desses recursos devem ser desativados ou restritos em suas capacidades com base 
nas necessidades de segurança.
recursopadrão recomendação
Protocolo de identificação Cisco (CDP
- Cisco Discovery Protocol)
habilitado
deve ser desabilitado globalmente ou
em uma base da relação se não for
exigido
Link Layer Discovery Protocol (LLDP) desabilitado
deve ser desativado globalmente ou
em uma base por interface, se não for
necessário
carregamento automático de
configuração
desabilitado
deve permanecer desabilitado quando
não estiver em uso pelo router
servidor FTP desabilitado
deve ser desativado quando não for
necessaário
servidor TFTP desabilitado
deve ser desativado quando não for
necessário
serviço de protocolo de tempo de rede
(NTP)
desabilitado
deve permanecer desativado quando
não for necessário
serviço de montador/desmontador de
pacotes (PAD)
habilitado
deve ser explicitamente desativado
quando não estiver em uso
serviços de espelhamento TCP e
protocolo de datagrama do usuário
(UDP)
habilitado nas versões
11.3 e posterior
desative este serviço explicitamente
serviço de protocolo de operação da
manutenção (MOP)
habilitado na maioria
das interfaces Ethernet
deve ser explicitamente desativado
quando não estiverem uso
protocolo de gerenciamento simples de
rede (SNMP)
habilitado
desative esse serviço quando não for
necessário
configuração e monitoramento HTTP
ou HTTPS
ajuste é dependente do
dispositivo Cisco
desabilite o serviço se não for
necessário, se exigido, restringir o
NetSec 52
recurso padrão recomendação
acesso ao serviço HTTP ou HTTPS do
router usando ACLs
domain name system (DNS) habilitado
desative quando não for necessário, se
for necessário assegure-se de que você
defina o endereço do servidor DNS
explicitamente
redirecionamento de protocolo de
mensagem de controle da internet
(ICMP)
habilitado desative quando não for necessário
roteamento de origem habilitado
desative esse serviço quando não for
necessário
serviço de finger habilitado desative quando não for necessário
notificações inacessíveis ICMP habilitado
desabilite as interfaces para redes não
confiáveis
resposta da máscara ICMP desabilitado
desative as interfaces em redes não
confiáveis
serviço de identificação de IP habilitado
o serviço deve ser explicitamente
desativado
TCP keepalives desabilitado
deve ser habilitado globalmente para
gerenciar conexões TCP e impedir
determinados ataques de DoS.
ARP gratuito (GARP) habilitado
desabilite em cada interface do
roteador, a menos que esteja serviço
seja necessário
ARP de proxy habiltiado
desabilite esse serviço em cada
relação, a menos que o router esteja
sendo usado como uma ponte LAN
AutoSecure Cisco
lançado na versão 12.3 do IOS, é uma característica que é iniciada na CLI e executa um 
script.
faz recomendações para corrigir vulnerabilidades de segurança e, em seguida, modifica a 
configuração de segurança no roteador.
pode bloquear as funções do plano de gerenciamento e os serviços e funções do plano de 
encaminhamento de um router.
usa frequentemente no campo para fornecer uma política de segurança da linha de base em 
um router novo.
existem vários serviços e funções de plano de gestão:
boot seguro, CDP, FTP, TFTP, PAD, UDP e TCP pequenos servidores, MOP, ICMP 
(redirecionamento, mask-replies), roteamento de fonte IP, finger, criptografia de senha, 
NetSec 53
keepalives, TCP, ARP gratuitos, proxy ARP e transmissão direcionada
notificação legal usando um banner
senha segura e funções de login
NTP seguro
acesso seguro ao SSH
serviços de interceptação TCP
três serviços e funções do plano de encaminhamento que o AutoSecure permite:
cisco express forwarding (CEF)
filtragem de tráfego com ACLs
inspeção de firewall do cisco IOS para protocolos comuns
Usando o recurso cisco AutoSecure
auto secure para permitir a instalação do recurso.
no modo iterativo, o router solicita opções para habilitar e desativar serviços e outros 
recursos de segurança - modo padrão
auto secure full
o modo não interativo é configurado com auto secure no-interact, executará 
automaticamente o autosecure com as configurações padrão recomendadas.
no-interact
o usuário não será solicitado a realizar nenhuma configuração interativa,
nenhum parâmetro de diálogo interativo será configurado, incluindo
nomes de usuário e senhas
full
o usuário será solicitado para todas as perguntas interativas, sendo esta a
configuração padrão
forwarding apenas o plano de encaminhamento será protegido
management apenas o plano de gestão será garantido
ntp especifica a configuração do recurso NTP no autosecure
login especifica a configuração do recursos de login no autosecure
NetSec 54
ssh especifica a configuração do recurso ssh no autosecure
firewall especifica a configuração do recurso de firewall no autosecure
tcp-intercept
especifica a configuração do recursos de interceptação de tco no
autosecure.
Usando o comando auto secure
1. auto secure, é exibida a mensagem de boas-vindas do assistente de configuração.
2. o assistente reúne informações sobre as interfaces externas
3. o autosecure protege o plano de gerenciamento desabilitando serviços desnecessários
NetSec 55
4. autosecure solicita um banner
5. autosecure solicita senhas e habilita recursos de senha e login
NetSec 56
6. as interfaces são protegidas
7. o plano de encaminhamento é fixado
após a conclusão, uma configuração em execução exibe todas as configurações e alterações.
Autenticação de protocolo de roteamento
Dynamic Routing Protocols
protocolos de roteamento dinâmico são usados pelos routers para compartilhar 
automaticamente informações sobre a acessibilidade e o status das redes remotas.
executam várias atividades, incluindo descoberta de rede e manutenção de tabelas de 
roteamento.
suas vantagens são a capacidade de selecionar um melhor caminho e a capacidade de 
descobrir automaticamente um novo caminho melhor quando houver alteração na 
topologia.
a avaliação da rede é a capacidade de um protocolo de roteamento de compartilhar 
informações sobre as redes que ele conhece com outros routers que também estão usando o 
mesmo protocolo de roteamento.
essas redes e o melhor caminho para cada uma, são adicionados à tabela de roteamento 
no router e identificadas como uma rede aprendida por um protocolo de roteamento 
dinâmico específico.
Spoofing de protocolo de roteamento
NetSec 57
o spoofing de informações de roteamento geralmente pode ser usado para fazer com que os 
sistemas se informem mal uns com os outros, causem um ataque DoS ou façam com que o 
tráfego siga um caminho que normalmente não seguiria.
consequências da informação de roteamento sendo spoofada:
redirecionando o tráfego para criar loops de roteamento
redirecionamento o tráfego para que possa ser monitorado em um link seguro
redirecionando o tráfego para descartá-lo.
Autenticação de protocolo de roteamento OSPF MD5
o OSPF apoia a autenticação do protocolo de roteamento usando o MD5.
a autenticação MD5 pode ser permitida globalmente para todas as interfaces ou em base por 
interface
habilitação:
1. ip ospf message-digest key key md5 password : comando de configuração de interface
2. area area-id authentication message-digest: configuração de roteamento
a. força a autenticação em todas as interfaces habilitadas para OSPF, pois caso ela não 
esteja habilitada não poderá formar adjacências com outros vizinhos.
habilitar autenticação MD5 em uma base por interface:
ip ospf message-digest-key key md5 password: configuração de interface
ip ospf authentication message-digest: configuração de interface.
a configuração da interface substitui a configuração global.
as senhas de autenticação não precisam ser as mesmas em uma área, mas precisam ser as 
mesma entre os vizinhos.
NetSec 58
Autenticação do protocolo de roteamento OSPF SHA
RFC 5709
a autenticação OSPF SHA inclui duas etapas principais:
1. especifique um key chain de autenticação:
configurar um key chain key chain
atribua-o um número e uma senha key e key-string
especifique a autenticação SHA cryptographic-algorithm
especifique quando a chave irá expirarsend-lifetime
2. atribua uma chave de autenticação às relações ip ospf authentication key-chain
Gerenciamento seguro e relatórios
Determinando o tipo de acesso de gerenciamento
NetSec 59
ao registrar e gerenciar informações, o fluxo entre hosts de gerenciamento e os dispositivos 
gerenciados pode seguir dois caminhos:
in-band: a informação flui através de uma rede de produção empresarial, internet ou 
ambas, usando canais de dados regulares.
out-of-band: a informação flui em uma rede de gerenciamento dedicada na qual nenhum 
tráfego de produção reside.
o gerenciamento in-band ocorre somente quando o gerenciamento OOB não é 
possível ou disponível.
se o gerenciamento in-band é exigido, então esse tráfego deve ser enviado com 
segurança usando um túnel cifrado privado ou um túnel VPN.
na rede de gerenciamento protegida residem os hosts de gerenciamento e servidores de 
terminal.
quando colocados dentro da rede de gerenciamento, os servidores de terminal oferecem 
conexões de console direito OOB através da rede de gerenciamento para qualquer 
dispositivo de rede que exija gerenciamento na rede de produção.
a maioria dos dispositivos deve ser conectada a este segmento de gerenciamento e ser 
configurada usando o gerenciamento OOB.
possui acesso administrativo a quase todas as áreas da rede.
o módulo de gerenciamento no firewall incorpora várias tecnologias projetadas para 
mitigar riscos de invasão.
ACLs, configuração para impedir a comunicação direta com outros hosts na mesma 
sub-rede de gerenciamento usando LANs separadas ou VLANs.
NetSec 60
Acessos out-of-band e in-band
para fins de segurança, o gerenciamento OOB é apropriado para grandes redes 
empresariais, no entanto, nem sempre é desejável.
depende do tipo de aplicativos de gerenciamento em execução e dos protocolos que 
estão sendo monitorados.
faz todos os dispositivos parecerem ser unidos a uma única rede de gerenciamento 
OOB.
diretrizes:
fornecer o mais alto nível de segurança
reduzir o risco de passar protocolos de gerenciamento inseguros pela rede de 
produção.
o gerenciamento in-band é recomendado em redes menores como meio de alcançar uma 
implantação de segurança mais econômica.
o tráfego de gerenciamento flui em banda em todos os caos.
é feito o mais seguro possível usando protocolos de gerenciamento seguros.
usar túneis seguros, com protocolos como IPsec, para tráfego de gerenciamento.
se o acesso de gerenciamento não for necessário em todos os momentos, buracos 
temporários podem ser colocados em um firewall enquanto as funções de 
gerenciamento são executadas.
diretrizes:
aplicar apenas a dispositivos que precisam ser gerenciados ou monitorados.
usar IPsec, SSH ou SSL quando possível.
decidir se o canal de gerenciamento precisa estar aberto o tempo todo.
cuidado ao usar ferramentas de gerenciamento remoto com gerenciamento in-band, 
com vulnerabilidades de segurança subjacentes da própria ferramenta de 
gerenciamento.
Usando o syslog para segurança de rede
Introdução ao syslog
o protocolo syslog foi desenvolvido para sistemas UNIX na década de 1980, mas foi 
documentado pela primeira vez como RFC 3164 pela IETF em 2001.
muitos dispositivos de rede são compatíveis com syslog, incluindo: roteadores, switches, 
servidores de aplicativos, firewalls, entre outros.
permite que os dispositivos de rede enviem suas mensagens de sistema por meio da rede para 
servidores syslog.
NetSec 61
porta UDP 514 para enviar mensagens de notificação de eventos através de redes IP para 
coletores de mensagens de eventos.
funções principais:
capacidade de coleta informações de registro para monitorar e solucionar problemas
capacidade de selecionar o tipo de informações de registro que são capturadas
capacidade de especificar destinos de mensagens syslog capturadas.
Operações de syslog
em dispositivos Cisco, o protocolo syslog começa enviando mensagens do sistema e saída 
debug para um processo de registro local interno ao dispositivo.
podem ser enviadas a um servidor externo ou buffer interno.
servidor externo: podem ser filtradas sem a necessidade de alcançar o dispositivo real e 
podem ser inseridas em vários relatórios para facilitar a leitura
buffer interno: só podem ser exibidas por meio do CLI do dispositivo.
o administrador pode especificar que apenas certos tipos de mensagens do sistema sejam 
enviados para vários destinos.
destinos populares para mensagens syslog:
buffer de logging (RAM dentro de um router ou switch)
linha de console
linha de terminal
servidor syslog
Formato de mensagem do syslog
o nível de gravidade das mensagens pode ser definido para controlar o local onde cada tipo 
de mensagem é exibido.
emergência nível 0 sistema inutilizável
alerta nível 1 ação imediata necessária
críticos nível 2 condição crítica
erro nível 3 condição de erro
aviso nível 4 condição de aviso
notificação nível 5 condição normal, mas significativa
informativo nível 6 mensagem informativa
depuração nível 7 mensagem de depuração
cada nível tem seu próprio significado:
NetSec 62
nível de emergência 0 - nível de aviso 4: essas são mensagens de erro sobre mau 
funcionamento de software ou hardware, a gravidade do problema determina o nível de 
syslog aplicado
nível de notificação 5: é para eventos normais, mas significativos.
nível informativo 6: mensagem de informação normal que não afeta a funcionalidade 
do dispositivo.
nível depuração 7: indica que as mensagens são geradas a partir da emissão de vários 
comandos debug
Instalações Syslog
as instalações de syslog são identificadores de serviço que identificam e categorizam dados 
de estado do sistema para gerar relatórios de mensagens de erro e de eventos.
as opções de instalação de registros disponíveis são especificadas ao dispositivo de rede.
códigos de recurso de mensagens syslog comuns:
IF: identifica que a mensagem do syslog foi gerada por uma relação
IP: identifica que a mensagem do syslog foi gerada pelo IP
OSPF: identifica que a mensagem do syslog foi gerada pelo protocolo de roteamento 
OSPF
SYS: identifica que a mensagem do syslog foi gerada pelo SO do dispositivo
IPSEC: identifica que a mensagem do syslog foi gerada pelo protocolo de criptografia 
de segurança IP.
formato da mensagem padrão:
Configurar timestamps do syslog
por padrão, as mensagens não possuem carimbo de hora.
service timestamps log datetime para forçar os eventos registrados a exibir data e hora.
Sistemas Syslog
tipos de sistemas da implementação:
servidores de syslog: hosts de log, estes sistemas aceitam e processam mensagens de 
log dos clientes do syslog
clientes do syslog: routers ou outros tipos de equipamento que geram e encaminham 
mensagens de log aos servers do syslog.
NetSec 63
Configurando o log do sistema
configurar o registro do sistema:
1. define o host de registro de destino com logging [host] [hostname | ip-address]
2. (opcional) ajuste o nível de gravidade do log logging trap level
3. (opcional) defina a interface de origem com logging source-interface interface-type 
interface-number
a. especifica que os pacotes syslog contêm o IPv4 ou IPv6 de uma interface específica, 
independentemente de qual interface o pacote usa para sair do router.
4. (opcional) permita o registro em todos os destinos habilitados logging on
show logging para ver a configuração de registro e mensagens de syslog protegidas
NetSec 64
Usando NTP
Serviços de horário e calendário
o relógio de software em um router ou switch é iniciado quando o sistema é inicializado.
é importante sincronizar a hora em todos os dispositivos na rede, pois todos os aspectos do 
gerenciamento, proteção, solução de problemas e planejamento de redes exigem carimbos de 
hora precisos.
configuração manual:
RFC 1305
NTP permite que os dispositivos de rede (cliente) sincronizem seus ajustes de tempo com 
uma fonte de tempo autoritativa NTP (servidor).
fonte NTP e os clientes abrem a porta UDP 123 para enviar e receber carimbos de 
data/hora.
Operação NTP
redesNTP usam um sistema hierárquico de fontes de horário.
cada nível desse sistema é denominado stratum.
NetSec 65
o nível é definido como o número de contagens de saltos da fonte oficial.
stratum 0: identifica um dispositivo que fornece a fonte de tempo mais autorizada.
são dispositivos de cronometragem de alta precisão fora da rede, considerados 
precisos e com poucos ou nenhum atraso associado a eles.
stratum 1: dispositivos que estão diretamente conectados às fontes de tempo 
autoritativas.
funcionam como o padrão de tempo de rede principal para dispositivos do stratum 2.
stratum 2: clientes NTP que sincronizam seu tempo usando os pacotes NTP de um 
servidor stratum 1.
os níveis de stratum de NTP são baseados em uma escala de 0 a 15.
um cliente NTP que não seja sincronizado com um server é atribuído o nível do stratum 16.
Configurar e verificar o NTP
show clock mostra o horário atual no relógio do software.
detail mostra detalhes sobre a origem do tempo.
ntp master \ [stratum] para escolher um dispositivo como fonte de tempo autoritativa;
ntp server ip-address para configurar o endereço do servidor NTP
show ntp associations e show ntp status para verificar se o dispositivo está sincronizado e o 
nível do stratum.
NetSec 66
Usando SNMP para segurança de rede
Introdução ao SNMP
foi desenvolvido para que administradores gerenciem dispositivos em uma rede IP.
permite o monitoramento de desempenho da rede, busca e solução de problemas de rede 
e planejamento do crescimento da rede.
define como informações de gerenciamento são trocadas entre os aplicativos de 
gerenciamento de rede e os agentes de gerenciamento.
protocolo de L7 que fornece um formato de mensagem para comunicação entre gerentes e 
agentes.
elementos:
gerenciados SNMP
agentes de SNMP (nó gerenciado)
base de informação gerenciável (MIB)
gerenciador de SNMP faz parte de um sistema de gerenciamento de rede (NMS)
executa o software de gerenciamento de SNMP.
coleta informações dos agentes com o get.
altera configurações com o set
encaminha informações diretamente para um gerenciador de rede com traps.
NetSec 67
o agente de SNMP e a MIB residem nos clientes.
o MIB armazena dados e estatísticas operacionais sobre o dispositivo.
os dispositivos gerenciados são equipados com um módulo de software de agente SNMP.
gerente envia um get ao agente para alcançar dados no MIB local.
gerenciador pesquisa e consulta na porta UDP 161.
os agentes enviam para o gerenciados na porta UDP 162
Operação do SNMP
solicitações primárias do gerenciados SNMP:
get request: usado pelo NMS para consultar dados do dispositivo
set request: usado pelo NMS para alterar as variáveis \u200b e \u200bde na 
configurações dos dispositivos agentes.
também pode iniciar ações em um dispositivo.
get-request recupera o valor de uma variável específica
get-next-request
recupera um valor de uma variável em uma tabela - o gerenciador não precisa
saber o nome exato da variável. Uma pesquisa sequencial é executada para
localizar a variável necessária dentro de uma tabela
get-bulk-request recupera blocos grandes de dados (SNMPv2 ou posterior)
get-response
resposta a uma get-request, get-next-request e set-request enviado por um
NMS
set-request armazena um valor em uma variável específica.
o agente responde às solicitações do gerenciador como:
NetSec 68
get uma variável MIB: resposta a um get-request do gerenciador de rede.
o agente recupera o valor da variável solicitada e responde ao gerenciador com esse 
valor.
set uma variável MIB: resposta a um set-request do gerenciador.
o agente altera o valor da variável de MIB para o valor especificado pelo 
gerenciador.
uma resposta do agente para uma solicitação set inclui as novas configurações do 
dispositivo.
Management Information Base (MIB)
organiza variáveis hierarquicamente.
as variáveis permitem que o software de gerenciamento monitore e controle o dispositivo de 
rede.
formalmente, define cada variável como uma ID do objeto (OID).
identificam exclusivamente os objetos gerenciados na hierarquia da MIB.
a MIB organiza as OIDs com base nos padrões de RFC em uma hierarquia geralmente 
mostrada como uma árvore.
a árvore de MIB para um dispositivo específico inclui alguns ramos com variáveis comuns 
para muitos dispositivos de rede e alguns ramos com variáveis específicas para esse 
dispositivo.
Versões de SNMP
SNMPv1: protocolo de gerenciamento de rede simples, um padrão completo da Internet, 
RFC 1157
NetSec 69
SNMPv2: RFCs 1901 a 1908, usa uma estrutura administrativa em cadeia de comunidade.
a comunidade de gerentes que é capaz de acessar o MIB do agente é definida por uma 
cadeira de comunidade.
inclui mecanismo de recuperação em massa e uma mensagem de erro detalhada para 
relatar às estações de gerenciamento.
o tratamento de erros inclui códigos de erros expandidos que distinguem entre os tipos 
de condições de erro.
não autentica a origem da mensagem, nem oferece criptografia.
SNMPv3: protocolo interoperável baseado em padrões que fornece acesso seguro aos 
dispositivos por meio de autenticação e criptografia de pacotes na rede, RFCs 2273 a 2275
RFC 3410 a 3415
inclui integridade da mensagem para garantir que um pacote não seja violada em 
trânsito, autenticação para determinar que a mensagem é de uma fonte válida e 
criptografia para impedir que o conteúdo de uma mensagem seja lido por uma fonte não 
autorizada.
oferece modelos e níveis de segurança.
um modelo de segurança é uma estratégia de autenticação estabelecida para um 
usuário e o grupo em que o usuário reside.
nível de segurança é o nível permitido em um modelo de segurança.
SNMPv1:
nível: sem autenticação, sem privavidade
autenticação: cadeia de comunidade
criptografia: não
resultado: usa uma correspondência de cadeia de comunidade para autenticação
SNMPv2:
nível: sem autenticação, sem privavidade
autenticação: cadeia de comunidade
criptografia: não
resultado: usa uma correspondência de cadeia de comunidade para autenticação
SNMPv3 NoAuthNoPriv:
nível: sem autenticação, sem privacidade
autenticação: nome de usuário
criptografia: não
resultado: utiliza uma correspondência de nome de usuário para autenticação.
NetSec 70
SNMPv3 AuthNoPriv:
nível: autenticação sem privacidade
autenticação: MD5 ou SHA
criptografia: não
resultado: fornece uma autenticação com base em HMAC-MD5 ou HMAC-SHA
SNMPv3 AuthPriv
nível: autenticação e privacidade (requer a imagem de software criptográfico)
autenticação: MD5 ou SHA
criptografia: DES ou AES
resultado: fornece autenticação com base nos algoritmos HMAC-MD5 ou HMAC-SHA. 
Permite a especificação do modelo de segurança baseado em usuário (USM) com estes 
algoritmos de criptografia:
DES 56 bits, além de autenticação baseada no padrão CBC-DES (DES 56)
3DES de 168 bits
AES de 128 bits, 192 ou 256.
Vulnerabilidades SNMP
em qualquer topologia, pelo menos um node do gerente deve executar o software de 
gerenciamento SNMP.
é vulnerável para ataque precisamente porque os agentes podem ser votados com pedidos de 
obter e aceitar alterações de configuração com pedidos ajustados.
SNMPv3
autentica e criptografa pacotes na rede para fornecer acesso seguro aos dispositivos.
NetSec 71
funções de segurança:
integridade e autenticação da mensagem: garante que o pacote não foi adulterado em 
trânsito e é de uma fonte válida
criptografia: embaralha o conteúdo de um pacote para evitar que seja visto por uma 
fonte não autorizada
controle de acesso: restringe cada principal a certas ações em partes específicas dos 
dados.
Configurando a segurança SNMPv3
1. configure uma ACL que permite acesso a gerentes de SNMP autorizados
2. configure uma visualização SNMP snmp-server view para identificar os OIDs MIB que o 
gerenciados SNMP será capaz de ler.
a. é necessário configurar uma exibição para limitar as mensagens do SNMP ao acesso 
somente leitura
3. configure os recursos do grupo SNMP com snmp-server group:
a. configurar um nome para o grupo
b.definir a versão SNMP para 3 v3
c. requerer autenticação e criptografia priv
d. associar uma visualização ao grupo e conceder a ela acesso somente leitura read
e. especificar a ACL configurada no passo 1
4. configurar os recursos de usuário do grupo SNMP com snmpp=server user
a. configurar um nome de usuário e associar o usuário ao nome do grupo da etapa 3
b. definir a versão do SNMP v3
c. definir o modo de autenticação para md5 ou sha e configurar uma senha de autenticação.
d. requerer criptografia com priv e configurar uma senha de criptografia
NetSec 72
Verificando a configuração SNMPv3
show snmp user para exibir as informações do usuário
Módulo 7 - Autenticação, Autorização e Contabilidade (AAA)
Características AAA
Autenticação sem AAA
o controle de acesso limite quem ou o quê pode usar recursos específicos.
também limite os serviços ou as opções disponíveis que o acesso é concedido.
o método mais simples de autenticação de acesso remoto é configurar uma combinação de 
login e senha no console, linhas vty e portas auxiliares.
SSH é uma forma mais segura de acesso remoto, pois requer um nome de usuário e uma 
senha, ambos criptografados durante as transmissões.
o método de banco de dados local fornece segurança adicional porque um invasor precisa 
saber o nome de usuário e senha.
também fornece mais responsabilidade porque o nome de usuário é gravado quando faz 
o login.
não oferece nenhum método de autenticação de fallback.
Componentes AAA
forma de controlar quem tem permissão para acessar uma rede (autenticação) e o que eles 
podem fazer enquanto estão lá (autorização).
NetSec 73
também permite auditoria das ações que os usuários executam ao acessar a rede 
(contabilidade).
componentes funcionais:
autenticação: os usuários e administradores devem provar sua identidade antes de 
acessar os recursos da rede.
pode ser estabelecida usando combinações de nome de usuário e senha, perguntas e 
respostas de desafio, tokens e outros métodos.
autorização: depois que o usuário é autenticado, os serviços de autorização determinam 
quais recursos o usuário pode acessar e quais operações o usuário tem para realizar.
contabilidade e auditoria: a contabilidade registra o que o usuário faz, incluindo o que 
é acessado, a quantidade de tempo que o recurso é acessado e todas as alterações feitas.
a contabilidade controla como os recursos de rede são usados.
Modos de autenticação
a autenticação AAA pode ser usada para autenticar usuários para o acesso administrativo ou 
pode ser usada para autenticar usuários para o acesso à rede remota.
autenticação AAA local: usa um banco de dados local para autenticação.
também conhecido como autenticação independente.
este método armazena nomes de usuário e senhas localmente no router e os usuários 
são autenticados no banco de dados local.
esta base de dados é a mesma que é exigida para estabelecer o CLI baseado em 
função.
ideal para redes pequenas.
autenticação AAA baseada em servidor: router acessa um servidor AAA central que 
contém os nomes de usuário e a senha de todos.
o router usa o protocolo RADIUS ou TACACS+ para se comunicar com o servidor 
AAA.
NetSec 74
mais apropriado para redes maiores.
Autorização
depois que os usuários são autenticados com sucesso contra a fonte de dados AAA 
selecionada, local ou com base no servidor, eles são autorizados então para recursos de rede 
específicos.
controla o que os usuários podem e não podem fazer na rede depois de serem autenticados.
similar aos níveis de privilégio e o CLI baseado em função.
usa um conjunto de atributos que descrevem o acesso do usuário à rede.
esses atributos são comparados às informações contidas no banco de dados AAA e uma 
determinação das restrições para esse usuário é feita e entregue ao router local onde o 
usuário está conectado.
é automática e não exige que os usuários executem etapas adicionais após a autenticação.
Contabilidade
coleta e relata dados de uso
esses dados podem ser usados para propósitos como auditoria ou contabilidade.
podem incluir os horários de início e término da conexão, os comandos executados, o 
número de pacotes e o número de bytes.
NetSec 75
um uso amplamente difundido da contabilidade é combiná-lo com a autenticação AAA.
isso ajuda a gerenciar o acesso a dispositivos de interrede pela equipe administrativa.
fornece mais segurança do que apenas autenticação.
mantêm um registro detalhado de exatamente tudo o que o usuário autenticado faz no 
dispositivo.
todos os comandos EXEC e de configuração emitidos pelo usuário.
contabilidade de rede: coleta registros de uso para acesso à rede em várias conexões de 
acesso remoto.
contabilidade de conexão: captura informações sobre todas as conexões de saída feitas do 
cliente AAA, telnet ou SSH
contabilidade EXEC: captura informações sobre sessões de terminal EXEC do usuário no 
servidor de acesso à rede, incluindo usuário, data, horas de início e término e IP do servidor 
de acesso.
contabilidade do sistema: captura informações sobre todos os eventos no nível do sistema.
contabilidade de comando: captura informações sobre os comandos do shell EXEC para um 
nível de privilégio especificado que estão sendo executados em um servidor de acesso à rede.
cada registro de contabilidade de comando inclui uma lista dos comandos executados 
para aquele nível de privilégio, bem como a data e hora em que cada comando foi 
executado e quem executou.
Configurar autenticação AAA local
Autenticar acesso administrativo
o método de autenticação AAA local é similar a usar o login local com uma exceção, o AAA 
também fornece uma maneira de configurar métodos alternativos de autenticação.
1. adicionar nomes de usuário e senhas ao banco de dados do router local para usuários que 
precisam de acesso administrativo ao router.
2. permitir o AAA globalmente no router.
3. configurar parâmetros AAA no router.
NetSec 76
4. confirmar e pesquisar defeitos de configuração AAA
aaa authentication login permite que os usuários selecionados façam login no router por 
meio de console ou linhas vty.
default significa que o método de autenticação se aplica a todas as linhas, exceto aquelas 
para as quais uma configuração de linha específica substitui o padrão.
local-case diferencia minúsculas e maiúsculas.
Métodos de autenticação
para habilitar o AAA primeiro é necessário inserir o comando aaa new-model
para desabilitar o AAA use a frase com o no na frente.
quando inserido pela primeira vez, uma autenticação “padrão” não vista usando o banco 
de dados local é automaticamente aplicada a todas as linhas, exceto a console.
configure sempre uma entrada de base de dados local antes de permitir o AAA
aaa authentication login habilita a autenticçaão das linhas console, auxiliar e vty.
default aplica a autenticação a todas as linhas.
default
usa os métodos de autenticação listados que seguem esta palavra-chave como a
lista padrão de métodos quando um usuário faz login
list-name
em vez de usar default no nome da lista,o administrador pode desejar
especificar um nome para fins de documentação (até 31 caracteres)
method1… [method4]
identifica a lista de métodos que o processo de autenticação AAA consultará na
sequência dada. Pelo menos um deve ser especificado. Máximo de 4 métodos.
nesses 4 métodos, podem ser fornecidos métodos de reserva caso um método não esteja 
disponível.
se o método de autenticação negar o acesso do usuário, o processo de autenticação é 
interrompido e nenhum outro método de autenticação será permitido.
para habilitar a autenticação local usando um banco de dados local pré-configurado use local 
ou local-case.
local aceita um nome de usuário independentemente do caso.
local-case diferencia maiúsculas e minúsculas.
NetSec 77
para especificar que um usuário pode autenticar usando a senha de habilitação use enable.
para garantir que a autenticação seja bem-sucedida mesmo que todos os métodos retornem 
um erro, especifique none como método final.
deve ser usadasomente como teste de configuração.
enable usa a senha de habilitação para autenticação
local usa o banco de dados de nome de usuário local para autenticação
local-case usa a autenticação de nome de usuário local que diferencia maiúsculas
none não usa autenticação
group-radius usa a lista de todos os servidores RADIUS para autenticação
group tacacs+ usa a lista de todos os servidores TACACS+ para autenticação
group group-name
usa um subconjunto de servidores RADIUS ou TACACS+ para autenticação como
definido pelo comando aaa group-server radius ou aaa grou-server tacacs+
Métodos padrão e nomeados
para flexibilidade, diferentes listas de métodos podem ser aplicadas a diferentes interfaces e 
linhas com aaa authentication login list-name
linha vty: base de dados local para autenticação
linha console e auxiliar: bando de dados local e senha de habilitação como um fallback 
se não houver entradas de bancos de dados no dispositivo
a lista nomeada deve ser explicitamente habilitada na linha com login authentication
se uma linha tiver uma lista de métodos de autenticação personalizada aplicada a 
ela, essa lista de métodos substitui a lista de métodos padrão para essa interface.
para voltar a lista de métodos padrão após usar uma lista personalizada use no 
authentication login
Ajuste fino da configuração de autenticação
segurança adicional pode ser implementada na linha usando o aaa local authentication 
attempts max-fail
assegura contas de usuário AAA bloqueando para fora as contas que têm tentativas falhas 
excessivas.
NetSec 78
ao contrário do login delay que introduz um atraso entre as tentativas de login mal 
sucedidas sem bloquear a conta, o comando acima bloqueia a conta do usuário se a 
autenticação falhar.
a conta permanece bloqueada até que seja limpa manualmente por um administrador 
com clear aaa local user lockout
show aaa local user lockout
quando um usuário entra em um router que usa AAA, um id exclusivo é atribuído à sessão 
desse usuário.
ao longo da vida da sessão, vários atributos que são relacionados à sessão são recolhidos 
e armazenados internamente dentro da base de dados AAA.
IP do usuário, velocidade da conexão e o número de pacotes ou bytes que são recebidos 
ou transmitidos.
show aaa user para visualizar os atributos recolhidos para uma sessão AAA.
fornece informação apenas daqueles usuários que foram autenticados e autorizados 
usando AAA ou cujas sessões estão sendo contabilizadas pelo módulo AAA
show aaa sessions é usado para mostrar o ID exclusivo de uma sessão.
Características e protocolos AAA baseados em servidor
Comparte as implementações AAA locais e baseadas em servidor
o software de servidor AAA pode criar um usuário central e um banco de dados 
administrativo do acesso a que todos os dispositivos de rede possam se referir.
também pode funcionar com muitos bancos de dados externos, incluindo Active 
Directory ou LDAP.
NetSec 79
Cisco Identity Services Engine (ISE)
plataforma de política de controle de identidade e acesso que permite às empresas reforçar a 
conformidade, aprimorar a segurança da infraestrutura e otimizar suas operações de serviço.
permite que empresas reúnam informações contextuais em tempo real de redes, usuários e 
dispositivos.
define políticas de acesso justo e reforça a conformidade para todos os dispositivos, incluindo 
BYOD.
principal componente de política para Cisco TrustSec e é uma tecnologia Cisco que protege 
ativos como dados, aplicativos e dispositivos móveis contra acesso não autorizado.
combina a definição, o controle e o relatório da política em um dispositivo.
trabalha com a infraestrutura de rede existente para fornecer aos administradores de rede a 
informação sobre dispositivos finais que anexam à rede.
características:
visibilidade de ativos: fornece visibilidade e controle sobe quem e o que está na rede de 
forma consistente, através de conexões sem fio, com fio e VPN.
avaliação da postura: determina se o dispositivo está em conformidade com as políticas 
de segurança do dispositivo antes que se conecte à rede.
segmentação: usa dados contextuais sobre dispositivos de rede e valores-limite para 
facilitar a segmentação de rede.
as etiquetas do grupo de segurança, as listas do controle de acesso, os protocolos de 
acesso à rede e os grupos de política que definem a autorização, o acesso e a 
autenticação, são algumas maneiras que o ISE permite a segmentação segura.
gerenciamento de convidados e sem fio seguro: permite fornecer acesso seguro à rede 
visitantes.
contenção de ameaças: detecta atributos de ameaça ou vulnerabilidade de um valor-
limite, as políticas de controle de rede adaptáveis são enviadas para mudar 
dinamicamente os níveis de acesso do valor-limite.
depois que a ameaça ou vulnerabilidade é avaliada e tratada, o endpoint pode ser 
devolvido a sua política de acesso original.
fornece gerenciamento de identidade com reconhecimento de contexto:
para determinar se os usuários estão acessando a rede em um dispositivo autorizado e 
compatível com a política.
para estabelecer a identidade do usuário, o local e o histórico de acessos, que podem ser 
usados para conformidade e emissão de relatórios
para atribuir serviços com base na função de usuário atribuída, grupo e política 
associada.
NetSec 80
para conceder aos usuários autenticados acesso a segmentos específicos da rede ou a 
aplicativos e serviços específicos ou ambos, com base em resultados de autenticação.
Os protocolos TACACS+ e RADIUS
recursos TACACS+ RADIUS
funcionalidade
separa o AAA de acordo com a
arquitetura AAA, permitindo
modularidade da implementação do
servidor de segurança
combina autenticação e autorização, mas
separa a contabilidade, permitindo menos
flexibilidade na implementação do que o
TACACS+
padrão principalmente com suporte Cisco padrão aberto/RFC
protocolo de
transporte
TCP (49) UDP
CHAP
desafio bidirecional e resposta
conforme usado no Challenge
Handshake Authentication Protocol
(CHAP)
desafio unidirecional e resposta do
servidor de segurança RADIUS para o
cliente RADIUS
confidencialidade pacote inteiro criptografado senha criptografada
personalização
fornece autorização de comandos do
router por usuário ou por grupo
não tem opção para autorizar comandos
de router por usuário ou grupo
contabilidade limitado abrangente
RADIUS suporta tecnologias de acesso remoto, 802.1X e SIP (session initiation protocol)
Autenticação TACACS+
fornece serviços separados do AAA
fornece flexibilidade na implementação porque é possível usá-lo para autorização e a 
contabilidade ao usar um outro método de autenticação.
oferece suporte a vários protocolos, como IP e o AppleTalk.
sua operação normal criptografa todo o corpo do pacote para comunicações mais seguras 
utilizando a porta TCP 49.
NetSec 81
Autenticação RADIUS
desenvolvido pela Livingston Enterprises.
protocolo AAA padrão IETF aberto para aplicações como acesso à rede ou mobilidade IP.
funciona em situações locais e em roaming e é comumente usado para fins contábeis.
RFCs 2865, 2866, 2867, 2868, 3162 e 6911.
oculta senhas durante a transmissão, mesmo com o Protocolo de Autenticação de Senha 
(PAP), usando uma operação bastante complexa que envolva o hashing do MD5 e um 
segredo compartilhado.
combina autenticação e autorização como um processo.
quando o usuário é autenticado, esse usuário também é autorizado.
usa porta UDP 1645 ou 1812 para autenticação e porta UDP 1646 ou 1813 para 
contabilidade.
amplamente utilizado por provedores de serviços VoIP e pelo padrão de segurança 802.1X.
NetSec 82
Configurar autenticação baseada em servidor
Etapas para configurar a autenticação AAA baseada em servidor
1. permite globalmente o AAA (pré-requisito)
2. especifique o servidor que fornecerá os serviços AAA para o router.
3. configure a chave de criptografia necessária para cifrar a transferência de dados entre o 
dispositivo de rede e o servidor AAA
4. configure a lista do método de autenticação AAA para referir ao servidorusado.
a. para redundância, é possível configurar mais de um servidor.
Configurar servidores TACACS+
permitir o AAA com aaa new-model
em seguida use tacacs server name
configure o IPv4 do servidor com address ipv4
permite a opção de modificar a porta de autenticação e a porta de contabilidade.
é possível também especificar um endereço IPv6
use single-conection para melhorar o desempenho do TCP mantendo uma única conexão 
TCP durante a vida útil da sessão.
se necessário servidores múltiplos podem ser identificados incorporando seus IPv4 com 
tacacs server name
key é usado para configurar a chave secreta compartilhada para cifrar a transferência de 
dados entre o servidor e o router habilitado para AAA.
deve ser configurada da mesma maneira em ambos os dispositivos.
Configurar servidores RADIUS
radius server name para entrar no modo de configuração do servidor.
se necessário vários servidores, eles podem ser identificados com o nome radius server 
name para cada um
configurar um IPv4 com address ipv4 ipv4-adress.
NetSec 83
também é possível configurar um IPv6.
especifque as portas 1812 para autenticação e 1819 para contabilidade.
para configurar a chave secreta compartilhada para criptografar a senha use key.
Autenticar para os comandos de configuração do servidor AAA
quando os servidores tiverem sido identificados, devem ser incluídos na lista do método com 
aaa authentication login
para configurar uma lista de métodos que o início de uma sessão padrão autentique 
primeiramente usando um servidor TACACS+, segundo com um servidor RADIUS, e 
finalmente com uma base de dados de nome de usuário local use aaqa authentication login 
default
NetSec 84
Configurar a autorização e a contabilidade baseadas no servidor
Introdução à autorização AAA baseada em servidor
um router pode ser configurado para restringir o usuário a executar somente determinadas 
funções após a autenticação bem-sucedida.
a autorização possui a capacidade de controlar o acesso do usuário a serviços específicos.
o router pergunta ao servidor AAA para obter permissão para executar os comandos em nome 
do usuário.
Configuração de autorização AAA
aaa authorization para configurar.
network: para serviços de rede como PPP e SLIP
exec: sessões do terminal EXEC do usuário
commands level: tenta autorização para todos os comandos do modo EXEC, incluindo 
comandos de configuração global, associados a um nível de privilégio específico.
NetSec 85
quando a autorização AAA não está habilitada, todos os usuários têm acesso total.
após o início da autenticação, o padrão muda para não permitir acesso.
o administrador deve criar um usuário com direitos de acesso total antes que a 
autorização esteja habilitada 
Introdução à contabilidade AAA baseada em servidor
um problema de segurança que é resolvido pela contabilidade é a criação de uma lista de 
usuários e a hora do dia em que eles se conectaram ao sistema.
criar lista de alterações que ocorrem na rede, o usuário que fez as alterações e a natureza 
exata das alterações.
quando a contabilidade é configurada em um servidor AAA, ela funciona como um 
repositório central para a informação de contabilidade.
depois da habilitada, a lista de métodos de contabilidade padrão é aplicada automaticamente a
todas as interfaces, exceto aquelas que têm uma lista de métodos contábeis definida pelo 
usuário ou personalizada que tenha sido explicitamente definida.
Configuração de contabilidade AAA
aaa accounting para configurar a contabilidade AAA
network: executa a contabilização de todas as solicitações de serviço relacionadas à 
rede, incluindo PPP
exec: executa a contabilização para sessão de shell EXEC
connection: executa a contabilidade em todas as conexões de saída tais como SSH e 
telnet.
default ou list-name podem ser usados.
depois o tipo de registro, ou gatilho, é configurado, sendo este o que especifica quais ações 
fazem com que os registros contábeis sejam atualizados:
NetSec 86
start-stop: envia um aviso contábil “start” no início de um processo e um aviso contábil 
“stop” no final de um processo
stop-only: envia um registro de contabilidade “stop” para todos os casos, incluindo 
falhas de autenticação
none: desativa os serviços contábeis em uma linha ou interface.
Módulo 8 - Listas de controle de acesso
Introdução às listas de controle de acesso
O que é uma ACL?
routers tomam decisão de roteamento com base nas informações no cabeçalho do pacote.
o tráfego que entra na interface do router é roteado apenas com base nas informações da 
tabela de roteametno.
o router compara o IP de destino com as rotas na tabela de roteamento para encontrar a 
melhor correspondência e, em seguida, encaminha o pacote com base na melhor rota de 
correspondência.
esse mesmo processo pode ser usado para filtrar o tráfego usando uma lista de controle 
de acesso (ACL).
é uma série de comandos do IOS usados para filtrar pacotes com base nas informações 
encontradas no cabeçalho do pacote.
quando uma ACL for aplicada a uma interface, o router executará a tarefa adicional de avaliar 
todos os pacotes de rede que passam pela interface para determinar se o pacote pode ser 
enviado.
NetSec 87
é uma lisa sequencial de instruções de permissão ou negação , conhecidas como entradas de 
controle de acesso (ACEs)
quando o tráfego da rede passa através de uma interface configurada com uma ACL, o router 
compara as informações no pacote com cada ACE, em ordem sequencial, para determinar se 
o pacote corresponde a uma das ACEs.
filtragem de pacote.
tarefa exemplo
limitar o tráfego da rede para
aumentar o desempenho da
rede
- uma política corporativa proíbe o tráfego de vídeo na rede para reduzir
sua carga
- uma política pode ser aplicada usando ACLs para bloquear o tráfego de
vídeo
fornecer controle de fluxo de
tráfego
- uma política corporativa requer que o tráfego de protocolo de roteamento
seja limitado apenas a determinados links
- uma política pode ser implementada usando ACLs para restringir a
entrega de atualizações de roteamento apenas para aqueles que vêm de uma
fonte conhecida
fornecer um nível básico de
segurança para acesso à rede
- a política corporativa exige que o acesso à rede de RH seja restrito apenas
a usuários autorizados.
- uma política pode ser aplicada usando ACLs para limitar o acesso a redes
especificadas
filtrar o tráfego com base no
tipo de tráfego
- a política corporativa exige que o tráfego de e-mail seja permitido em
uma rede, mas que o acesso telnet seja negado
- uma política pode ser implementada usando ACLs para filtrar tráfego por
tipo
screen hosts para permitir ou
negar acesso aos serviços de
rede
- a política corporativa exige que o acesso a alguns tipos de arquivos (por
exemplo, FTP ou HTTP) se limitasse aos grupos de usuários
- uma política pode ser implementada usando ACLs para filtrar o acesso ao
usuário aos serviços
fornecer prioridade a
determinadas classes de
tráfego de rede
- o tráfego corporativo especifica que o tráfego de voz seja encaminhado o
mais rápido possível para evitar qualquer interrupção
- uma política pode ser implementada usando serviços ACLs e QoS para
identificar o tráfego de voz e processá-lo imediatamente.
Filtragem de pacotes
a filtragem de pacotes controla o acesso a uma rede analisando os pacotes de entrada e/ou 
saída e encaminhando-os ou descartando-os com base nos critérios fornecidos.
pode ocorrer na L3 ou L4.
tipos de ACLs:
ACLs padrão: filtram apenas na L3 usando apenas o IPv4 de origem
ACLs estendidas: filtram na L3 usando o IPv4 de origem e/ou destino.
NetSec 88
também podem filtrar L4 usando TCP, UDP e informações de tipo de protocolo 
opcional para controle mais fino.
ACLs numeradas e nomeadas
ACLs numeradas:
de 1 a 99 ou 1300 a 1999 são as padrões
100 a 199 ou 2000 a 2699 são estendidas.
ACLs nomeadas:
método preferido a ser usado.
fornecer informações sobre a finalidade da ACL.
ip access-list é usado para criá-la.
regras:
atribua um nome para identificar o objetivoda ACL
nomes podem conter caracteres alfanuméricos
nome não podem conter espaços ou pontuação
sugere-se escrevê-lo em letras maiúsculas
é possível adicionar ou excluir entradas na ACL
Operação ACL
as ACLs expressam o conjunto de regras que permitem maior controle dos pacotes que 
chegam às interfaces de entrada, pacotes que são retransmitidos através do router e pacotes 
que saem das interfaces do router.
NetSec 89
podem ser configuradas para serem aplicadas ao tráfego de entrada e de saída.
não atuam em pacotes originados do próprio roteador.
a ACL de entrada filtra pacotes antes de serem roteados para a interface de saída.
é eficiente porque salva a sobrecarga de pesquisas de roteamento se o pacote é 
descartado.
se o pacote for permitido pela ACL, ele será processado para roteamento.
são mais usadas para filtrar pacotes quando a rede conectada a uma interface de entrada é 
a única origem dos pacotes que precisa ser examinada.
a ACL de saída filtra pacotes após seu roteamento, independentemente da interface de 
entrada.
pacotes de entrada são roteados para a interface de saída e são processados através da 
ACL de saída.
mais usadas quando o mesmo filtro é aplicado aos pacotes que vêm de várias interfaces 
de entrada antes de saírem da mesma interface de saída.
quando uma ACL é aplicada a uma interface, ela segue um procedimento operacional 
específico.
operação padrão de uma ACL com o tráfego que entrou em uma interface com ACL padrão 
de entrada:
1. o router extrai o IPv4 de origem do cabeçalho do pacote
2. o router inicia na parte superior da ACL e compara o IPv4 de origem a cada ACE em 
uma ordem sequencial.
3. quando uma correspondência é feita, o router executa a instrução, permitindo ou 
negando o pacote, e as ACEs restantes na ACL, se houver, não são analisadas.
4. se o IPv4 de origem não corresponder a nenhuma ACE na ACL, o pacote será descartado 
porque há uma ACE de negação implícita aplicada automaticamente a todas as ACLs.
a última instrução ACE de uma ACL é sempre uma negação implícita que bloqueia todo o 
tráfego.
uma ACL deve ter pelo menos uma declaração de permissão, caso contrário, todo o tráfego 
será negado devido à declaração de negação ACE implícita.
Máscaras curingas
Visão geral da máscara curinga
uma ACE IPv4 usa uma máscara curinga de 32 bits para determinar quais bits do endereço 
examinar para uma correspondência.
também são usadas pelo OSPF.
NetSec 90
é semelhante a uma máscara de sub-rede, mas diferente na forma que combinam os 1s e 0s 
no processo de ANDing.
regras:
máscara curinga bit 0: corresponde ao valor do bit correspondente no endereço
máscara curinga bit 1: ignora o valor correspondente no endereço.
Cálculo de máscara curinga
subtrair a máscara de sub-rede de 255.255.255.255
exemplos:
permitir todos os usuários na rede 192.168.3.0/24 = access-list 10 permit 192.168.3.0 
0.0.0.255
permitir o acesso para 14 usuário na sub-rede 192.168.3.32/28 = access-list 10 permit 
192.168.3.32 0.0.0.15
permitir as redes 192.168.10.0 e 192.168.11.0 = access-list 10 permit 192.168.10.0 
0.0.1.255
Palavras-chave de máscara curinga
host: substitui a máscara 0.0.0.0, que indica que todos os bits do IPv4 precisam 
corresponder para filtrar apenas um endereço de host
NetSec 91
any: substitui a máscara 255.255.255.255, que instrui o sistema a ignorar todo o 
endereço IPv4 ou a aceitar qualquer endereço.
Configurar ACLs
Criar uma ACL
dicas:
use um editor de texto e escreva as especificidades da política a ser implementada
adicione os comandos de configuração do IOS para realizar essas tarefas
inclua observações para documentar a ACL
copie e cole os comandos no dispostivo
sempre teste minuciosamente uma ACL para garantir que ela aplica corretamente a 
política desejada.
Sintaxe numerada da ACL IPv4 padrão
no access-list access-list-number para remover uma ACL padrão numerada
access-list-number número decimal da ACL, de 1 a 99 ou 1300 a 1999
deny nega o acesso se as condições corresponderem
permit permite o acesso se as condições corresponderem
remark text
(opcional) - adiciona uma entrada de texto para fins de documentação
- são extremamente úteis, especialmente em ACLs mais longas ou mais complexas
- limitada a 100 caracteres
source
- identifica a rede de origem ou o endereço do host a ser filtrado
-
any para especificar todas as redes
-
host ip-address ou somente ip-address para identificar um IP específico
source-wildcard (opcional) máscara curinga, caso omita-se será usada a máscara padrão 0.0.0.0
log (opcional) - gera uma mensagem informativa sempre que a ACE é correspondida.
- mensagem inclui o número da ACL, condição correspondente, endereço de origem e
NetSec 92
número de pacotes
- mensagem gerada para o primeiro pacote correspondente
- pode ser intensivo para a CPU afetando negativamente outras funções, portanto,
deve ser implementado apenas para soluções de problemas ou razões de segurança
Sintaxe nomeada da ACL IPv4 padrão
no ip access-list standard access-list-name para remover uma ACL padrão nomeada.
instruções ACE são inseridas no modo de subconfiguração ACL padrão nomeada
ao contrário da ACL numerada, não é necessário repetir o ip access-list para cada ACE.
Sintaxe numerada da ACL IPv4 padrão
as etapas são as mesmas usadas na ACL padrão, no entanto, a sintaxe de comandos e os 
parâmetros são mais complexos para suportar recursos adicionais fornecidos pelas ACLs 
estendidas.
a ACL estendida é configurada em primeiro lugar e é ativada em uma interface.
no access-list access-list-number para remover uma ACL estentida.
access-list-number número decimal da ACL, 100 a 199 e 2000 a 2699
deny nega o acesso se as condições corresponderem
permit permite o acesso se as condições corresponderem
remark text
(opcional) - adiciona uma entrada de texto para fins de documentação
- limitada a 100 caracteres
protocol
nome ou número de um protocolo da internet, inclui palavras-chaves como ip,
tcp, udp e icmp
NetSec 93
source
- identifica a rede de origem ou o endereço do host a ser filtrado
-
any para espeficar todas as redes
-
host ip-address ou ip-address para identificar um IP específico
source-wildcard (opcional) máscara curinga da origem
destination
- identifica a rede de destino o endereço do host a ser filtrado
-
any para especificar todas as redes
-
host ip-address ou ip-address para identificar um IP específico
destination-wildcard (opcional) máscara curinga do destino
operator
(opcional) - compara as portas de origem ou destino
- alguns incluem
it (menor que), gt (maior que), eq (igual) e neq (não igual)
port (opcional) número decimal ou nome de uma porta TCP ou UDP
established
(opcional) - apenas para protocolo TCP
- recurso de firewall de 1ª geração
log
(opcional) - gera e envia uma mensagem informativa sempre que a ACE é
correspondida.
- mensagem inclui número ACL, condição correspondente, endereço de origem
e número de pacotes
- gerada para o primeiro pacote correspondente
- só deve ser implementada para solução de problemas ou motivos de
segurança.
o comando para aplicar a ACL estendida a uma interface é o mesmo da ACL padrão
para remover uma ACL de uma interface use no ip access-group.
para remover uma ACL do router use no access-klist.
a ordem que as instruções são fornecidas durante a configuração é a ordem em que são 
exibidas e processadas.
Protocolos e números de porta
opções de protocolo
NetSec 94
se um protocolo de internet não estiver listado, o número do protocolo IP pode ser 
especificado.
opções de palavra-chave da porta
selecionar um protocolo influencia as opções de porta.
NetSec 95
ACL estendida estabelecida TCP
o TCP também pode executar serviços básicos de firewall stateful com a palavra-chave 
established.
permite que o tráfego interno saia da rede privada interna e permite que o tráfego de 
resposta retornando entre na rede privada interna.
no entanto, tráfego gerado por um host externo que tentar se comunicar com o host 
interno é negado.
showaccess-lists para exibir as ACLs
Sintaxe da ACL IPv4 estendida nomeada
Exemplo de ACL IPv4 estendida nomeada
as ACLs estendidas nomeadas são criadas essencialmente da mesma forma que as ACLs 
padrão.
NetSec 96
Modificar ACLs
Dois métodos para modificar uma ACL
editor de texto
número de sequência
Método do Editor de texto
copie a ACL da configuração em execução e cole-a no editor de texto
faça as alterações necessárias
remova a ACL configurada anteriormente no router, caso contrário, os comandos editados só 
seriam acrescentados e não substituiriam os comandos errados.
copia e cole a ACL editada de volta para o router.
Método de número de sequência
os números de sequência são atribuídos automaticamente quando uma ACE é inserida.
show access-lists
ip access-list standard para editar uma ACL.
NetSec 97
as instruções não podem ser substituídas usando o mesmo número de sequência de uma 
instrução existente.
a instrução errada deve ser excluída primeiro no número de sequência
em seguida, a ACE correta pode ser adicionada o número de sequência anterior.
Implementar ACLs
Guia de Configurações ACL
lembretes:
cria uma ACL globalmente e aplique-a
garante que a última declaração seja um implícito deny any or deny ip any any
a ordem da declaração é importante porque as ACLs são processadas de cima para baixo
assim que uma declaração é correspondida na ACL, ela para.
sempre filtre o mais específico para o mais genérico.
apenas uma ACL é permitida por interface, por protocolo, por direção
novas declarações para uma ACL existentes são adicionadas à parte inferior da ACL por 
padrão.
os pacotes gerados pelo roteador não são filtrados por ACLs de saída.
coloque as ACLs padrão o mais próxima possível do destino
coloque as ACLs estendidas o mais próxima possível da fonte
Aplique uma ACL
aplicando a uma interface
aplicando as linhas VTY
NetSec 98
aplicar ACLs para interfaces e linhas é apenas um dos seus muitos usos possíveis.
também são parte integrante de outras configurações de segurnaça, como NAT, firewalls 
baseados em zonas e VPNs.
Onde posicionar as ACLs
as ACLs estendidas devem estar localizadas o mais perto possível da origem do tráfego a ser 
filtrada.
dessa forma, o tráfego não desejado é negado perto da rede de origem sem atravessar a 
infraestrutura de rede.
as ACLs padrão devem ser localizadas o mais perto possível do destino.
se uma ACL padrão for colocada na origem do tráfego, a permissão ou negação ocorrerá 
com base no endereço de origem especificado, independentemente do destino do tráfego.
fatores que influenciam o
posicionamento da ACL
explicação
a extensão do controle
organizacional
o posicionamento da ACL pode depender se a organização tem ou não
controle das redes de origem e de destino
largura de banda das redes
envolvidas
pode ser desejável filtrar o tráfego indesejado na origem para evitar a
transmissão de tráfego que consome largura de banda
fácil configuração
- pode ser mais fácil implementar uma ACL no destino, mas o tráfego usará a
largura de banda desnecessariamente
- uma ACL estendida pode ser usada em cada roteador onde o tráfego é
originado. Isso economizaria largura de banda filtrando o tráfego na origem,
mas exigiria a criação de ACLs estendidas em vários routers.
Mitigar ataques com ACLs
Mitigar ataques spoofing
NetSec 99
spoofing de endereço IP substitui o processo de criação de pacotes normais inserindo um 
cabeçalho IP personalizado com um IP de origem diferente.
endereços IP que nunca devem ser vistos como endereços de origem para o tráfego que entra 
na rede:
todos os endereços de zeros
endereços de broadcast
endereços de host local (127.0.0.0/8)
endereços de endereçamento IP privativo automático (APIPA - 168.254.0.0/16)
endereços privados reservados (RFC 1918)
faixa de endereço multicast IP (224.0.0.0/4)
Permitir o tráfego necessário através de um firewall
uma estratégia eficaz para atenuar ataques é permitir explicitamente apenas alguns tipos de 
tráfego através do firewall.
DNS, SMTP, SSH, SNMP e FTP são serviços que geralmente devem ser permitidos por 
meio de um firewall.
Mitigar ataques ICMP
os hackers também podem usar pacotes de eco ICMP para descobrir sub-redes e hosts em 
uma rede protegida e gerar ataques de inundação DoS.
também podem usar mensagens de redirecionamento ICMP para alterar as tabelas de 
roteamento do host.
ambas as mensagens devem ser bloqueadas de entrada pelo router.
várias mensagens ICMP são recomendadas para operação adequada de rede e devem ser 
permitidas na rede interna:
echo reply: permite que os usuários façam ping em hosts externos.
source quench: solicita que o remetente diminua a taxa de tráfego das mensagens
unreachable: gerado para pacotes que não negados administrativamente por uma ACL.
várias mensagens ICMP são necessárias para a operação de rede adequada e devem ser 
permitidas para sair da rede:
echo: permite que os usuários façam ping em hosts externos.
NetSec 100
parameter problem: informa o host sobre problemas de cabeçalho de pacote
packet too big: habilita a descoberta da unidade máxima de transmissão do pacote 
(MTU)
source quench: reduz o tráfego quando necessário
como regra, bloqueio todos os outros tipos de mensagens ICMP de saída.
Mitigar ataques SNMP
protocolos de gerenciamento, como SNMO, são úteis para monitoramento remoto e 
gerenciamento de dispositivos de rede.
se o SNMP for necessário, a exploração de vulnerabilidades SNMP pode ser mitigada 
aplicando ACLs de interface para filtrar pacotes SNMP de sistemas não autorizados.
o meio mais seguro é desativar o SNMP no snmp-server
ACLs IPv6
Sintaxe da ACL IPv6
a funcionalidade da ACL no IPv6 é semelhante às ACLS no IPv4, no entanto, não há 
equivalente a ACLs padrão IPv4.
todas as ACLs IPv6 devem ser configuradas com um nome.
permitem filtrar com base nos endereços de origem e de destino que estão viajando de 
entrada e saída para um interface específica.
também suportam a filtragem de tráfego com base em cabeçalhos de opção IPv6 e 
informações opcionais do tipo de protocolo de camada superior para a granularidade mais 
fina de controle.
ipv6 access-list
ipv6 traffic-filter para aplicar a ACL a uma interface.
deny | permit especifica se o pacote será permitido ou recusado
protocol
insira o nome ou número de protocolo de internet ou um número inteiro
representando um número de protocolo IPv6
source-ipv6-
prefix/prefix-length
destinantion-ipv6-
address/prefix-length
rede de origem ou destino ou classe de redes para as quais definir as
condições deny ou permit
any abreviatura para ::/0 que corresponde a todos os endereços
NetSec 101
host
endereço de origem ou destino para o qual definir as condições deny ou
permit
operator
(opcional) compara as portas de origem ou destino do protocolo
especificado. Incluem it (menor que), gt (maior que), eq (igual), neq (não
igual) e range
port-number (opcional) número decimal ou nome de porta TCP ou UDP para filtrar.
dscp
(opcional) corresponde a um valor de código de serviços diferenciados em
relação ao valor da classe de tráfego, intervalo de 0 a 63.
fragments
(opcional) corresponde aos pacotes fragmentados não iniciais, onde o
cabeçalho de extensão de fragmentos contém um deslocamento de
fragmento diferente de zero. É uma opção apenas se os argumentos operator
[port-number] não são especificados. Corresponde quando o primeiro
fragmento não tem informações de L4.
log
(opcional) causa uma mensagem informativa de login sobre o pacote que
corresponde à entrada a ser enviada ao console. O nível de mensagens
registradas no console é controlado pelo comando logging console
log input
(opcional) fornece a mesma função que o log, exceto que a mensagem de
registro também inclui a interface de entrada.
sequence value
(opcional) especifica o value do número sequência para a instrução da lista
de acesso, varia de 1 a 4294967295
timer-range name
(opcional) especifica o intervalo de tempo que se aplica à declaração de
permissão. O nome do intervalode tempo e suas restrições são
especificados time-range e absolute ou periodic, respectivamente.
Configurar ACLs IPv6
uma ACL IPv6 contém um implícito deny ipv6 any any.
cada ACL contém regras de licença implícitas para permitir a descoberta de vizinho do IPv6.
o administrador deve permitir explicitamente o protocolo NDP.
Módulo 9 - Tecnologias de firewall
NetSec 102
Proteger redes com firewalls
Firewalls
é um sistema ou grupo de sistemas que aplica uma política de controle de acesso entre redes.
propriedades comuns:
são resistentes a ataques de rede
são o único ponto de trânsito entre redes corporativas internas e redes externas porque 
todo o tráfego flui através do firewall.
aplicam a política de controle de acesso
benefícios:
impedem a exposição de hosts, recursos e aplicações sensíveis a usuários não confiáveis
sanitizam o fluxo do protocolo, o que impede a exploração de falhas no protocolo.
bloqueiam dados maliciosos de servidores e clientes.
reduzem a complexidade do gerenciamento de segurança descarregando a maior parte do 
controle de acesso à rede para alguns firewalls na rede.
limitações:
um firewall mal configurado pode ter sérias consequências para a rede, como se tornar 
um único ponto de falha
os dados de muitas aplicações não pode ser transmitidos por firewalls com segurança
os usuários podem procurar proativamente maneiras de contornar o firewall para receber 
material bloqueado, o que expõe a rede a possíveis ataques.
desempenho da rede pode diminuir
tráfego não autorizado pode ser encapsulado ou escondido como tráfego legítimo através 
do firewall.
Tipos de firewalls
filtragem de pacotes (sem estado):
geralmente fazem parte de um firewall de router, que permite ou nega tráfego com base 
nas informações da L3 e L4.
são firewalls sem estado que usam uma simples pesquisa de tabela de políticas que filtra 
o tráfego com base em critérios específicos.
NetSec 103
monitoração de estado:
mais versáteis e mais comuns em uso
os stateful fornecem filtragem de pacotes statetul usando informações de conexão 
mantidas em uma tabela de estado.
arquitetura de firewall classificada na L3.
análise o tráfego da L4 e L5.
firewall de gateway de aplicativo:
firewall proxy
filtra informações na L3, L4, L5 e L7.
a maior parte do controle e filtragem do firewall é feita em software.
quando um cliente precisa acessar um servidor remoto, ele se conectar a um servidor 
proxy, que então se conecta a um servidor remoto em nome do cliente.
o servidor só vê uma conexão do servidor proxy.
firewall de última geração
vão além dos firewall statetul com mais funções.
prevenção de intrusão integrada
reconhecimento e controle de aplicações para ver e bloquear aplicativos arriscados
caminhos de atualização para incluir futuros feed de informações
técnicas para lidar com ameaças de segurança em evolução.
outros métodos de implementação de firewall incluem:
NetSec 104
firewall baseados em host (servidor e pessoal): pc ou servidor com software de 
firewall em execução nele
firewall transparente: filtra o tráfego IP entre um par de interfaces em bridge
firewall híbrido: combinação dos vários tipos de firewall.
Benefícios e limitações do firewall de filtragem de pacotes
geralmente fazem parte de um firewall de router, que permite ou nega o tráfego com base nas 
informações da L3 e L4.
são firewalls sem estado que usam uma consulta de tabela de política simples que filtra o 
tráfego com base em critérios específicos.
vantagens:
filtros de pacote implementam conjuntos de regras de permissão simples ou negam
filtros de pacote têm um baixo impacto no desempenho da rede
filtros de pacote são fáceis de implementar e são suportados pela maioria dos routers
filtros de pacotes fornecem um grau inicial de segurança na L3
filtros de pacote executam quase todas as tarefas de um firewall high-end a um custo 
muito menor.
desvantagens:
filtros de pacote de informação são suscetíveis à falsificação de IP.
hackers podem enviar pacotes arbitrários que atendem aos critérios ACL e passam 
pelo filtro
filtros de pacote não filtram de forma confiável pacotes fragmentados.
como os pacotes fragmentados carregam o cabeçalho TCP no primeiro fragmento, 
todos os fragmentos após o primeiro são passados incondicionalmente.
NetSec 105
filtros de pacote usam ACLs complexas, que podem ser difíceis de implementar e 
manter.
filtros de pacote não podem filtrar dinamicamente determinados serviços.
Vantagens e limitações do firewall com estados
benefícios:
são frequentemente usados como um meio de defesa, filtrando tráfego indesejado ou 
desnecessário
fortalecem a filtragem de pacotes fornecendo um controle mais rigoroso sobre a 
segurança
melhoram o desempenho em relação aos filtros de pacotes ou servidores proxy
se defendem contra ataques de falsificação e DoS, determinando se os pacotes pertencem 
a uma conexão existente ou são de uma origem não autorizada
fornecem mais informações de log do que um firewall de filtragem de pacotes.
desvantagens:
não podem evitar ataques a camada de aplicação porque não examinam o conteúdo real 
da conexão HTTP
nem todos os protocolos são stateful
é difícil rastrear conexões que usam negociação de porta dinâmica
não suportam autenticação de usuário.
firewalls em design de rede
Arquiteturas de segurança comuns
o design do firewall é principalmente sobre interfaces de dispositivo que permitem ou negam 
tráfego com base na origem, no destino e no tipo de tráfego.
alguns designs são tão simples quantos designar uma rede externa e uma rede interna, que 
são determinados por duas interfaces de um firewall.
privado e público:
a rede pública (externa) não é confiável e a rede privada (interna) é confiável.
o tráfego proveniente da rede privada é permitido e inspecionado à medida que viaja em 
direção à rede pública.
é permitido o tráfego inspecionado que retorne da rede pública e associado ao 
tráfego originado na rede privada.
o tráfego originado na rede pública e que viaja para a rede privada geralmente é 
bloqueado.
NetSec 106
zona desmilitarizada:
uma DMZ é um projeto de firewall onde normalmente há uma interface interna 
conectada à rede privada, uma interface externa conectada à rede pública e uma interface 
DMZ.
o tráfego proveniente da rede privada é inspecionado à medida que ele viaja para a rede 
pública ou DMZ.
esse tráfego é permitido com pouca ou nenhuma restrição.
tráfego inspecionado que retorna da DMZ ou da rede pública para a rede privada é 
permitido.
tráfego originado da DMZ e que viaja para a rede privada geralmente é bloqueado
tráfego originado da DMZ e viajando para a rede pública é permitido seletivamente com 
base nos requisitos de serviço.
tráfego proveniente da rede pública e que viaja em direção à DMZ é seletivamente 
permitido e inspecionado.
normalmente é tráfego de email, DNS, HTTP/HTTPS.
o tráfego de retorno da DMZ para a rede pública é permitido dinamicamente.
o tráfego originado da rede pública e que viaja para a rede privada está bloqueado.
NetSec 107
firewalls de política baseado em zona:
ZPFs
usam o conceito de zonas para fornecer flexibilidade adicional
uma zona é um grupo de uma ou mais interfaces que têm funções ou recursos 
semelhantes.
as zonas ajudam a especificar onde uma regra ou política de firewall do Cisco IOS deve 
ser aplicada.
por padrão, o tráfego entre interfaces na mesma zona não está sujeito a nenhuma política 
e passa livremente.
no entanto, todo o tráfego de zona para zona está bloqueado.
para permitir o tráfego entre as zonas, uma política que permite ou inspeciona o 
tráfego deve ser configurada.
a única exceção a política padrão deny any é a zona própria do roteador.
a zona auto é o próprio router e inclui todos os IPs da interface do router.
as configurações de política aplicam-se ao tráfego destinado e proveniente do router.
por padrão, não há nenhuma política para esse tipo de tráfego.
o tráfego que deve ser considerado ao projetar uma política paraa auto zona inclui o 
tráfego de plano de gerenciamento e plano de controle, como SSH, SNMP e 
protocolos de roteamento.
Defesa em camadas
uma defesa em camadas usa diferentes tipos de firewalls que são combinados em camadas 
para adicionar profundidade à segurança de uma organização.
as políticas podem ser aplicadas entre as camadas e dentro das camadas.
determinam se o tráfego é encaminhado ou descartado.
um host bastion é um computador com hardening que normalmente está localizado na DMZ.
NetSec 108
configuração de sub-rede rastreada:
o tráfego vem dentro da rede não confiável e encontra primeiramente um filtro de pacote 
no router de borda.
se permitido pela política, o tráfego vai ao firewall seleciona ou host bastion que aplica 
mais regras ao tráfego e descarta pacotes suspeitos.
então o tráfego vai para um router de triagem interior.
o tráfego move-se para o host de destino interno somente após passar com sucesso todos 
os pontos de imposição da política entre o router externo e a rede interna.
um administrador deve considerar muitos fatores ao construir uma defesa em profundidade:
os firewalls normalmente não interrompem as intrusões provenientes de hosts dentro de 
uma rede ou zona.
firewalls não projetem contra instalações de ponto de acesso desonestos.
firewalls não substituem os mecanismos de backup e recuperação de desastre resultantes 
de ataques ou falhas de hardware.
firewalls não substituem administradores e usuários informados.
consideração para defesa de rede em camadas:
1. segurança do núcleo da rede: protege contra software malicioso e anomalias de tráfego, 
impõe políticas de rede e garante capacidade de sobrevivência
2. segurança do perímetro: protege limites entre zonas
3. segurança das comunicações: fornece garantia de informação
4. segurança do endpoint: fornece identidade e conformidade com a política de segurança 
do dispositivo.
práticas recomendadas:
posicione firewalls nos limites de segurança
são uma parte crítica da segurança de rede, mas não é sensato confiar 
exclusivamente em um firewall para segurança
negue todo o tráfego por padrão
permita apenas serviços que não necessários
assegure-se de que o acesso físico ao firewall esteja controlado
monitore regularmente logs de firewall
pratique o gerenciamento de alterações para alterações de configuração de firewall
lembre-se de que os firewalls protegem principalmente contra ataques técnicos 
originários do exterior.
Módulo 10 - Firewalls de política baseados em zona
NetSec 109
Visão Geral do ZPF
Benefícios de um ZPF
modelos de configuração para o Cisco IOS Firewall:
firewall clássico: o modelo de configuração tradicional em que a política de firewall é 
aplicada em interfaces
firewall de política baseado em zona (ZPF): modelo de configuração na qual as 
interfaces são atribuídas a zonas de segurança e a política de firewall é aplicada ao 
tráfego em movimento entre as zonas.
se uma interface adicional for aplicada à zona privada, os hosts conectados à nova interface 
na zona privada pode passar tráfego para todos os hosts na interface existente na mesma 
zona.
as principais motivações para profissionais de segurança de rede migrarem para o modelo 
ZPF são estrutura e facilidade de uso.
benefícios:
não é dependente de ACLs
a postura de segurança do router é bloquear a menos que seja permitido explicitamente.
as políticas são fáceis de ler e solucionar problemas com linguagem de política de 
classificação comum da cisco (C3PL)
método estruturado para criar políticas de trânsito com base em eventos, condições e 
ações, fornecendo escalabilidade porque uma política afeta qualquer tráfego, em vez 
de precisar de várias ações de ACLs e inspeção para diferentes tipos de tráfego.
as interfaces virtuais e físicas podem ser agrupadas em zonas
políticas são aplicadas ao tráfego unidirecional entre as zonas.
ambos os modelos de configuração podem ser ativados simultaneamente em um router, no 
entanto, não podem ser combinados em uma única interface.
Design ZPF
1. determine as zonas: zonas definem um limite onde o tráfego é submetido a restrições 
políticas à medida que cruza para outra região da rede.
2. estabeleça políticas entre as zonas: para cada par de zonas “de destino a destino” de fina as 
sessões que os clientes nas zonas de origem podem solicitar os servidores nas zonas de 
destino.
a. para o tráfego que não é baseado no conceito de sessões, o administrador deve definir 
fluxos de tráfego unidirecionais da fonte para o destino e vice-versa.
3. projetar a infraestrutura física: depois que as zonas foram identificadas e os requisitos de 
tráfego entre eles documentados, o administrador deve projetar a infraestrutura física.
NetSec 110
a. deve levar em conta os requisitos de segurança e disponibilidade ao projetar a 
infraestrutura física.
4. identificar subconjuntos dentro de zonas e mesclar requisitos de tráfego: para cada 
dispositivo de firewall no design, o administrador deve identificar subconjuntos de zonas que 
estão conectados a suas interfaces e mesclar os requisitos de tráfego para essas zonas.
Operação ZPF
Ações ZPF
as políticas identificam ações que o ZPF executará no tráfego de rede.
três ações possíveis podem ser configuradas para processar o tráfego por protocolo, zonas de 
origem e destino (pares de zona) e outros critérios:
inspect: realiza inspeção de pacotes de estado de Cisco IOS
drop: análogo ao deny.
log está disponível para registrar os pacotes rejeitados
pass: análogo ao permit.
essa ação não rastreia o estado das conexões ou das sessões no tráfego.
Regras para tráfego de trânsito
as regras dependem se as interfaces de entrada e saída são membros da mesma zona:
se nenhuma interface é membro da zona, a ação resultante é passar o tráfego.
se ambas as interfaces são membros da mesma zona, a ação resultante é passar o tráfego.
se uma interface é membro da zona, mas a outra não, então a ação é derrubar o tráfego, 
independentemente de existir um par de zona.
se ambas as interfaces pertencerem ao mesmo par de zona e uma política existir, a ação 
resultante é inspecionar , permitir ou dropar conforme definido pela política.
membro da
interface de
origem da zona?
membro da
interface de
destino da zona?
o par de zona
existe:
política existe? resultado
não não n/d n/d aprovado
sim não n/d n/d drop
não sim n/d n/d drop
sim (privado) sim (privado) n/d n/d aprovado
sim (privado) sim (público) não n/d drop
sim (privado) sim (público) sim não aprovado
sim (privado) sim (público) sim sim inspect
NetSec 111
Regras para tráfego para auto zona
a auto zona é o próprio router e inclui todos os IPs atribuídos às interfaces do router.
este é o tráfego que se origina no router e é endereçado a uma interface de router.
gerenciamento de dispositivos
membro da
interface de
origem da zona?
membro da
interface de
destino da zona?
o par de zona
existe?
política existe? resultado
sim (auto zona) sim não n/d aprovado
sim (auto zona) sim sim não aprovado
sim (auto zona) sim sim sim inspect
sim sim (auto zona) não n/d aprovado
sim sim (auto zona) sim não aprovado
sim sim (auto zona) sim sim inspect
Configure um ZPF
Configure um ZPF
Etapa 1: Crie as zonas
quais interfaces devem ser incluídas nas zonas?
qual será o nome para cada zona?
que tráfego é necessário entre as zonas e em qual direção?
NetSec 112
Etapa 2: Identifique o tráfego
usar um mapa de classe para identificar o tráfego para o qual uma política será aplicada.
uma classe é uma maneira de identificar um conjunto de pacotes com base em seus conteúdos 
usando condições de “correspondência”.
normalmente, você define uma classe para que você possa aplicar uma ação ao tráfego 
identificado que reflita uma política.
uma classe é definida como mapa de classe
class-map
inspect para configuração ZPF com definição de mapa de classe.
match-any
pacotes devem atender a um dos critérios de partida a serem considerados um
membro da classe
match-all
pacotes devem atendera todos os critérios de partida para serem considerados um
membro da classe
class-map-name
nome do mapa de classe que será usado para configurar a política para a classe no
mapa da política
match access-group
configure os critérios de correspondência para um mapa de classe com base no
número ou nome da ACL específica
match protocol
configura os critérios de correspondência para um mapa de classe com base no
protocolo especificado
match class-map usa outro mapa de classe para identificar o tráfego
Etapa 3: Defina uma ação
usar um policy-map para definir qual ação deve ser tomada para o tráfego que seja membro 
de uma classe.
NetSec 113
uma ação é uma funcionalidade específica
é tipicamente associada a classe de tráfego
inspect
uma ação que oferece estado baseado no controle de tráfego. O router mantém
informações de sessão para TCP ou UDP e permite o tráfego de retorno
drop descara o tráfego indesejado
pass
uma ação sem estado que permite ao router encaminhar o tráfego de uma zona para
outra.
inspect: oferece controle de tráfego baseado em estado.
drop: ação padrão para todo o tráfego.
semelhante ao deny any implícito no final de cada ACL, há um drop explícito pelo IOS 
no final de cada policy map
listado como class class-default na última seção de qualquer configuração de policy 
map.
outros class map dentro de policy map também podem ser configurados para diminuir o 
tráfego indesejado.
o tráfego é silenciosamente descartado e nenhuma mensagem ICMP é enviado para a 
origem.
pass: ação que permite que o router encaminhe o tráfego de uma zona para outra.
não rastreia o estado das conexões.
só permite o tráfego em uma direção.
uma política correspondente deve ser aplicada para permitir a passagem do tráfego de 
retorno na direção oposta.
ideal para protocolos seguros com comportamentos previsíveis.
Etapa 4: Identifique um par de zona e corresponda uma política
zone-pair security para criar um par de zona
service-policy type inspect para anexar um policy map e sua ação associada ao par de zona
NetSec 114
source source-zone-
name
especifica o nome da zona a partir do qual o tráfego é originário
destination
destination-zone-name
especifica o nome da zona a que o tráfego é destinado
self
especifica a zona definida pelo sistema. Indica se o tráfego será ou não para o
próprio router
o par de zona precisa especificar a zona de origem, a zona de destino e a política de lidar com 
o tráfego entre as zonas.
Etapa 5: Atribuir zonas a interfaces
associar uma zona a uma interface aplicará imediatamente a política de serviço que foi 
associada à zona.
se nenhuma política de serviço ainda estiver configurada, todo o tráfego será descartado.
zone-member security para atribuir uma zona a uma interface.
Verifique uma configuração do ZPF
show run
as configurações de zona seguem as configurações de policy map com nomeação de zona, 
emparelhamento de zona e associando uma política de serviço ao par de zona.
NetSec 115
show policy-map type inspect zone-pair sessions
show class-map type inspect
Considerações de configuração do ZPF
o router nunca filtra o tráfego entre as interfaces na mesma zona
uma interface não pode pertencer a várias zonas.
para criar uma união de zonas de segurança, especifique uma nova zona e um policy map 
apropriado e pares de zona
ZPF pode coexistir com o firewall clássico, embora eles não possam ser usados na mesma 
interface
remova o comando de configuração de interface ip inspect antes de aplicar a zone-
member security
o tráfego nunca pode fluir entre uma interface atribuída a uma zona e uma interface sem uma 
atribuição de zona.
zone-member sempre resulta em uma interrupção temporária de serviço até que o outro 
membro da zona esteja configurado.
a política inter-zone padrão é descartar todo o tráfego, a menos que seja especificamente 
permitido pela política de serviço configurada o par de zona
NetSec 116
zone-member não protege o próprio router, a menos que os pares de zona sejam 
configurados usando o auto zona.
Módulo 11 - Tecnologia IPS
Características de IDS e IPS
Ataques de Dia Zero
um ataque de dia zero é um ataque cibernético que tenta explorar vulnerabilidade de software 
desconhecidas ou não divulgadas pelo fornecedor do software.
durante o tempo que os fornecedores de software demoram para desenvolver e liberar um 
patch, a rede está vulnerável a essas exploração.
Monitorar para ataques
uma abordagem para evitar exploits de malware é um administrador monitorar 
continuamente a rede e analisar os arquivos de log gerados por dispositivos de rede.
ferramentas do SOC, como SIEM e SOAR automatizam o processo de coleta e análise de 
arquivos de log.
tornou-se um fato aceito que o malware entrará na rede, apesar das melhores defesas.
os arquivos de log gerados por dispositivos em cada camada ajudarão a identificar se ocorreu 
uma exploração, as características de diagnóstico da exploração e a extensão do dano dentro 
da empresa.
também ajudará a informar as medidas tomadas em resposta à exploração.
os IDSs (Intrusion Detection System) monitoram passivamente o tráfego em uma rede.
copiam o stream de tráfego e analisa a cópia do tráfego, no lugar dos pacotes reais 
encaminhados.
NetSec 117
trabalhando offline, ele compara o fluxo de tráfego capturado com assinaturas 
reconhecidamente mal-intencionadas.
IDS funcionam passivamente.
IDS está posicionado fisicamente na rede para que o tráfego seja espelhado para 
alcançá-lo.
tráfego de rede não passa pelos IDs, a menos que seja espelhado.
muita pouca latência é adicionada ao fluxo de tráfego de rede.
embora o tráfego seja monitorado, registrado, e talvez relatado, nenhuma ação é tomada 
nos pacotes pelos IDS.
modo promíscuo.
a vantagem de operar dessa forma é que não afeta negativamente o fluxo de pacotes do 
tráfego encaminhado.
a desvantagem é que não se pode evitar que os ataques mal-intencionados atinjam o alvo, 
antes de responder ao ataque.
muitas vezes requer a assistência de outros dispositivos de rede para responder a um 
ataque.
Dispositivos de prevenção e detecção de intrusão
1. tráfego malicioso é enviado ao host de destino que está dentro da rede
2. tráfego é roteado para a rede e recebido por um sensor habilitado para IPS, onde é bloqueado
3. o sensor habilitado para IPS envia informações de log sobre o tráfego para o console de 
gerenciamento de segurança de rede.
4. o sensor habilitado para IPS elimina o tráfego.
tecnologias IDS e IPS são implantadas como sensores.
sensor IDS ou IPS podem estar na forma de vários dispositivos diferentes:
router configurado com o software IPS
NetSec 118
dispositivo projetado especificamente para fornecer serviços IPS ou IDS dedicados.
módulo de rede instalado em um dispositivo de segurança adaptável (ASA), switch ou 
router.
tecnologias IDS ou IPS usam assinaturas para detectar padrões no tráfego da rede.
uma assinatura é um conjunto de regras de um IDS ou IPS usa para detectar atividades 
maliciosas.
podem ser usadas para detectar violações graves de segurança, para detectar ataques de 
rede comuns e para coletar informações.
podem detectar padrões de assinatura atômica (pacote único) ou padrões de 
assinatura composta (pacote múltiplo).
Vantagens e desvantagens de IDS e IPS
solução vantagens desvantagens
IDS
- nenhum impacto na rede (latência,
jitter)
- nenhum impacto da rede se houver
falha do sensor
- sem impacto na rede se houver
sobrecarga do sensor
- ação de resposta não pode parar pacotes de
gatilho
- ajuste correto necessário para ações de
resposta
- mais vulnerável a técnicas de evasão de
segurança de rede
IPS
- interrompe pacotes de gatilho
- pode usar técnicas de normalização
de fluxo
- problemas de sensor podem afetar o tráfego
de rede
- a sobrecarga do sensor afeta a rede
- algum impacto na rede (latência, jitter)
Implementações de IPS
Tipos de IPS
IPS de host (HIPS): software instalado em um host para monitorar e analisar atividades 
suspeitas.
pode monitorar a protegero SO e os processos críticos do sistema que são específicos 
para esse host.
pode monitorar e impedir que o host execute comandos que não correspondam ao 
comportamento típico.
o tráfego de rede também pode ser monitorado para impedir que o host participe de um 
ataque DoS ou faça parte de uma sessão de FTP ilícita.
pode ser pensado como uma combinação de software antivírus, antimalware e firewall.
Windows Defender
combinado com um IPS baseado em rede, o HIPS é uma ferramenta eficaz para fornecer 
proteção adicional para o host.
NetSec 119
uma desvantagem é que ele opera apenas a nível local.
para ser eficaz em uma rede, deve ser instalado em cada host e ter suporte para cada 
SO.
IPS baseado em rede: pode ser implementado usando um dispositivo IPS dedicado ou não 
dedicado.
é componente crítico da prevenção de intrusões.
combinada com o HIPS garantem uma arquitetura de rede robusta.
sensores detectam atividades maliciosas e não autorizadas em tempo real e podem agir 
quando necessário.
implantados em pontos de rede designados.
permite que os gerentes de segurança monitorem a atividade da rede enquanto ela 
estiver ocorrendo, independentemente do local do alvo de ataque.
IPS baseado em rede
modos de implantação:
cisco Firepower
firewall ASA
router ISR
IPS virtual de próxima geração (Ngipsv) para o VMware
o cisco Firepower Ngips é sintonizado para análise de prevenção de intrusão.
o SO subjacente da plataforma é livre de serviços de rede desnecessários e os serviços 
essenciais são protegidos.
o hardware de todos os sensores baseados em rede inclui três componentes:
NIC
processador
NetSec 120
memória
fornece aos gerentes de segurança informações de segurança em tempo real sobre suas redes, 
independentemente do crescimento.
sensores adicionais só são necessários quando sua capacidade nominal de tráfego é excedida, 
quando seu desempenho não atende às necessidades atuais ou quando uma revisão na política 
de segurança ou projeto de rede requer sensores adicionais para ajudar a impor limites de 
segurança.
Modos de implantação
modo inline (também conhecido como modo de par de interface embutido) ou modo 
prosmícuo (modo passivo)
os pacotes não fluem através do sensor no modo promíscuo.
o sensor analisa uma cópia do tráfego monitorado, não o pacote real.
a vantagem é que o sensor não afeta o fluxo do pacote.
a desvantagem é que o sensor não impede que o pacote malicioso atinja seu alvo 
pretendido para certos tipos de ataques.
as ações de resposta são pós-evento e muitas vezes exigem assistência de outros 
dispositivos de rede.
o modo inline coloca o IPS diretamente no fluxo de tráfego e torna as taxas de 
encaminhamento de pacotes mais lentas, adicionando latência.
permite que o sensor pare ataques, derrubando o tráfego malicioso antes de atingir o alvo 
pretendido, proporcionado assim um serviço de proteção.
não somente processa as informações em L3 e L4, mas também está analisando o 
conteúdo e a carga útil dos pacotes para ataques incorporados mais sofisticados (L3 a 
L7).
NetSec 121
essa análise permite que o IPS identifique, pare e bloqueie os ataques que passariam por 
um firewall tradicional.
um IDS também pode ser implantado inline, no entanto, só enviará alertas e não 
derrubará nenhum pacote.
IPS em ISRs Cisco
Componentes IPS
um sensor IPS tem:
detecção IPS e mecanismo de aplicação: para validar o tráfego, o mecanismo de 
detecção compara o tráfego de entrada com assinaturas de ataque conhecidas que são 
incluídas no pacote de assinatura de ataque IPS.
pacote de assinatura de ataque IPS: lista de assinatura de ataque conhecidas que estão 
contidas em um arquivo.
o pacote é atualizado com frequência à medida que novos ataques são descobertos.
o tráfego de rede é analisado para correspondências a estas assinaturas.
o motor de detecção e aplicação IPS que pode ser implementado depende da plataforma do 
router:
cisco IOS IPS: disponível em ISRs mais antigos da Cisco 800, 1900, 2900 e 3900.
cisco snort ips: disponível nos router ISRs e cisco cloud services series 4000 e cisco 
cloud série 1000v
cisco snort ips entrega a detecção e a prevenção tradicionais da intrusão comparando o 
tráfego de rede a base de dados continuamente atualizada dos malwares conhecidos e das 
assinaturas de ameaça.
Cisco IOS IPS
permitir que um router funcione como um IPS é uma maneira econômica de proteger redes 
de filiais.
no passado, um cisco ISR poderia ser permitido como um sensor IPS que verificasse pacotes 
e sessões para combinar qualquer uma das assinaturas IPS do cisco IOS.
o administrador de rede poderia configurar o cisco IOS IPS para escolher a resposta 
apropriada à várias ameaças:
enviar um alarme a um servidor de syslog ou a uma interface de gerenciamento 
centralizada
descartar o pacote
resetar a conexão
negar o tráfego do IP de origem da ameaça por um período de tempo especificado
NetSec 122
negar o tráfego da conexão para a qual a assinatura foi vista por uma quantidade 
especificada de tempo.
Snort IPS
complementa características de segurança de rede existentes da séries 4000 sem a 
necessidade de distribuir um segundo dispositivo em locais de filiais.
é um IPS de rede de código aberto que executa análise de tráfego em tempo real e gera alertas 
quando ameaças são detectadas em redes IP.
também pode realizar análise de protocolo, pesquisa de conteúdo ou correspondência e 
detectar uma variedade de ataques e sondas, como estouros de buffer, varreduras de portas 
furtivas e assim por diante.
o motor é executado em um contêiner do serviço virtual.
é uma máquina virtual que é executada no SO do router ISR.
são aplicativos que podem ser hospedados diretamente em plataforma de roteamento do 
cisco IOS XE.
pode usar poder do computador do contêiner de serviço para escalar a segurança com a 
plataforma sem afetar as capacidades de roteamento ou a outra funcionalidade do plano de 
dados.
serviço virtual suporta três perfis de recursos que indicam como o contêiner Snort usa 
recursos de CPU, RAM e flash ou disco do sistema.
Operação Snort
as assinaturas do Snort IPS são entregues automaticamente ao ISR pelo Cisco Talos
o Snort suporta a capacidade de personalizar conjuntos de regras e fornece recursos 
centralizados de implantação e gerenciamento para ISRs series 4000.
modos de ativação:
modo IDS: inspeciona o tráfego e relata alertas, mas não toma nenhuma ação para 
impedir ataques.
modo IPS: além da detecção de intrusão, são tomadas ações para evitar ataques.
ações:
monitora o tráfego de rede a analisa em relação a um conjunto de regras 
definido.
executa classificação de ataque
invoca ações contra regras correspondentes.
monitora o tráfego e relata eventos a um servidor de log externo ou ao SYSLOG IOS.
permitir o acesso ao SYSLOG IOS pode afetar o desemepenho.
NetSec 123
Características do Snort
recurso benefícios
IDS baseado em assinatura e
IPS
IPS de código aberto, capaz de executar análise de tráfego em tempo real e
registro de pacotes em redes IP, é executado no contêiner de serviço ISR serie
4000 e sem a necessidade de distribuir um dispositivo adicional no ramo
atualizações do conjunto de
regras Snort
as atualizações do conjunto de regras Snort são geradas pelo cisco Talos, um
grupo de especialistas de segurança de rede de ponta que trabalham 24/7 para
descobrir, avaliar e responder proativamente às últimas tendências em
atividades de pirataria, tentativas de intrusão, malware e vulnerabilidades
regra snort para puxar
o router poderá transferir grupos de regras diretamente do cisco.com ou do
snort.org a um servidor loca, usando comandos únicos ou atualizações
automatixas periódicas.
regras snort para empurrar
uma ferramenta de gerenciamento centralizado pode empurrar os conjuntos
de regras baseados na política pré-configurada, em vez do router transferir
diretamente por contra própria
listagem de assinatura
permitida
a listagem permitida permite a desativação de determinadas assinaturas do
conjunto deregras. As assinaturas podem ser reativadas a qualquer momento.
Requisitos do sistema Snort
8gb de DRAM e 8gb de flash
licença de segurança K9 (SEC) para ativar a funcionalidade.
assinatura anual para o pacote de assinatura distribuída.
tipos de assinaturas baseadas em termos:
conjunto de regras comunitárias: oferece cobertura limitada contra ameaças, com foco 
em resposta reativa às ameaças de segurança versus trabalho proativo de pesquisa.
30 dias de acesso atrasado a assinaturas atualizadas nesse conjunto e não dá direito 
ao suporte ao cliente da Cisco.
conjunto de regras de assinantes: oferece melhor proteção contra ameaças.
inclui cobertura antes das explorações usando o trabalho de pesquisa dos 
especialistas em segurança cisco Talos.
fornece acesso mais rápido às assinaturas atualizadas em resposta a um incidente de 
segurança ou à descoberta proativas de uma nova ameaças.
PulledPork é um aplicativo de gerenciamento de regras que pode ser usado para baixar 
automaticamente atualizações de regras Snort.
para usá-lo é necessário um código de autorização, o oinkcode, disponível na sua conta 
em snort.org.
Cisco Switched Port Analyzer
Métodos de monitoramento de rede
http://cisco.com/
http://snort.org/
NetSec 124
a operação diária de uma rede consiste em padrões comuns de fluxo de tráfego, uso de 
largura de banda e acesso a recursos.
várias ferramentas são usadas para ajudar a descobrir o comportamento normal da rede, 
incluindo IDS, analisadores de pacotes, SNMP, NetFlow e outros.
métodos comuns para capturar o tráfego de rede e enviá-lo para dispositivos de 
monitoramento de rede:
torneiras de rede:, pontos de acesso de teste (TAP)
espelhamento de tráfego, usando analisador de portar por interruptor (SPAN)
Taps de rede
normalmente é um dispositivo de divisão passiva implementado em linha entre um 
dispositivo de interesse e a rede.
encaminha todo o tráfego, incluindo erros de camada física, para um dispositivo de análise, 
permitindo que o tráfego chegue ao destino pretendido.
são normalmente à prova de falhas, o que significa que se um tap falhar ou perder energia, o 
tráfego entre dispositivos não é afetado.
envia RX e TX simultaneamente.
Espelhamento de tráfego e SPAN
suportado por muitos switches corporativos, o espelhamento permite que o switch copie 
quadros recebidos em uma ou mais portas para uma porta SPAN conectada a um dispositivo 
de análise.
tráfego de entrada tráfego que entra no switch
tráfego de saída tráfego que sai do switch
porta de origem
(SPAN)
as portas de origem são monitoradas à medida que o tráfego que as insere é replicado
para as portas de destino
porta de destino
(SPAN)
uma porta que espelha portas de origem. As portas SPAN de destino geralmente se
conectam a dispositivos de análise.
NetSec 125
a associação entre as portas de origem e destino é chamada de sessão SPAN
em uma única sessão, uma ou várias portas podem ser monitoradas.
em alguns switches, o tráfego de sessão pode ser copiado para mais de uma porta de 
destino.
cada sessão SPAN pode ter portas ou VLANs como origens, mas não ambas.
uma variação de span chamada SPAN Remote (RSPAN) permite que um administrador de 
rede use a flexibilidade de VLANs para monitorar o tráfego em switches remotos.
Configure o Cisco SPAN
um número de sessão é usado para identificar uma sessão de SPAN local.
monitor session é usado par associar uma porta de origem e uma porta de destino com uma 
sessão de extensão.
usado para cada sessão.
show monitor é usado para verificar a sessão SPAN.
tipo da sessão, portas de origem para cada direção do tráfego e porta de destino
NetSec 126
o RSPAN pode ser usado quando o analisador de pacotes ou o IDS estiver em um switch 
diferente do que o tráfego que está sendo monitorado.
ele amplia o SPAN, permitindo o monitoramento remoto de vários switches em toda a 
rede.
o tráfego para cada sessão RSPAN é transportado sobre uma VLAN RSPAN 
especificado pelo usuário.
Módulo 12 - Operação e implementação de IPS
Assinaturas IPS
Atributos de assinaturas IPS
uma assinatura é um conjunto de regras que um IDS e um IPS usam para detectar atividades 
típicas de intrusão.
identificam exclusivamente vírus, worms, anomalias de protocolo e tráfego malicioso 
específico.
um fluxo de pacote malicioso tem um tipo específico de atividade e assinatura.
à medida que os sensores verificam pacotes de rede, eles usam assinaturas para detectar 
ataques conhecidos e responder com ações predefinidas.
um sensor toma ação quando combina uma assinatura com um fluxo de dados, como registrar 
o evento ou enviar um alarme para o software de gerenciamento IDS ou IPS
atributos:
tipo: atômico ou composto
gatilho: alarme
ação: o que o sensor fará.
Tipos de assinaturas
algumas ameaças podem ser identificas em um pacote, enquanto outras ameaças podem 
exigir muitos pacotes e suas informações de estado (IP, porta e outros) para identificar uma 
ameaça.
NetSec 127
assinatura atômica: tipo mais simples de assinatura porque um único pacote, atividade ou 
evento identifica um ataque.
o IPS não precisa manter informações de estado e análise de tráfego, geralmente pode ser 
realizada de forma muito rápida e eficiente.
assinatura composta: assinatura stateful porque o IPS requer várias partes de dados para 
corresponder a uma assinatura de ataque.
o IPS deve manter informações estatais, que é referido como horizonte de eventos.
o comprimento varia de uma assinatura para outra.
Alarmes de assinatura IPS
disparador de assinatura para um IPS pode ser qualquer coisa que possa sinalizar 
confiantemente uma violação da intrusão ou da política de segurança.
podem ser aplicados a assinaturas atômicas e compostas.
podem ser simples ou complexos.
tipo de detecção vantagens
detecção baseada em
padrões
- detecção baseada em assinaturas
- mecanismo de disparo mais simples, uma vez que procura um padrão atômico
ou composto específico e predefinido.
- sensor IPS compara o tráfego de rede a um banco de dados de ataques
conhecidos e aciona um alarme ou impede a comunicação se uma
correspondência for encontrada
detecção baseada em
anomalias
- detecção baseada em perfil
- envolve primeiro definir um perfil que é considerado atividade normal de rede
ou host
- esse perfil normal geralmente é definido monitorando o tráfego e
estabelecendo uma linha de base
- uma vez definida, qualquer atividade além de um limite especificado no perfil
normal gerará um gatilho e uma ação de assinatura
detecção baseada em
políticas
- detecção baseada em comportamento
- embora semelhante à detecção baseada em padrões, um administrador define
manualmente comportamentos suspeitos com base na análise histórica
- o uso de comportamentos permite que uma única assinatura abranja toda uma
classe de atividades sem precisar especificar cada situação individual.
detecção à base de
honeypot
- usa um servidor de chamariz para atrair ataques
- o objetivo é atrair ataques para longe de dispositivos de produção
- permite que os administradores analisem ataques recebidos e padrões de
tráfego mal-intencionados para ajustar suas assinaturas de sensores.
Ações de assinatura IPS
quando um assinatura detecta a atividade para a qual está configurada, a assinatura aciona 
uma ou mais ações.
NetSec 128
gerar um alerta:
produzir um alerta: o IPS envia eventos como alertas
produzir um alerta detalhado: o IPS envia um alerta de evento detalhado.
registrar a atividade:
pacotes de invasores de log: registra pacotes do IP do invasor e envia um alerta
pacotes de par de log: registra pacotes do IP da vítima e do invasor e envia um alerta
log pacotes de vítima: registra pacotes do IP da vítima e envia um alerta
negar a atividade:
negar pacote inline: termina o pacote
negar conexão inline: termina o pacote atual e os pacotes futuros neste fluxo TCP
negar atacante inline: termina o pacote atual e os pacotes futuros deste endereço do 
invasor por um período de tempo especificado
redefinir a conexão TCP: envia restauraçõesTCP para sequestrar e terminar o fluxo TCP
bloquear atividades futuras:
solicitar conexão de bloco: envia uma solicitação a um dispositivo de bloqueio para 
bloquear essa conexão.
solicitar host de bloco: envia uma solicitação para um dispositivo de bloqueio para 
bloquear esse host invasor
solicitar trap SNMP: envia uma solicitação ao componente do aplicativo de notificação 
do sensor para executar a notificação SNMP.
Avaliação de alertas
os mecanismos de disparo podem gerar alarmes que são falsos positivos ou falsos negativos.
verdadeiros positivos e verdadeiros negativos são desejáveis e indicam que o IPS está 
funcionando corretamente.
tipos de alarme atividade da rede atividade IPS resultado
verdadeiro positivo tráfego de ataque alarme gerado ajuste ideal
verdadeiro negativo
tráfego normal de
usuários
nenhum alarme gerado ajuste ideal
falso positivo
tráfego normal de
usuários
alarme gerado sintonizar alarme
falso negativo tráfego de ataque nenhum alarme gerado sintonizar alarme
verdadeiro positivo: (desejável) é usado quando o IPS gera um alarme porque detectou o 
tráfego conhecido do ataque.
NetSec 129
o alerta foi verificado como um incidente de segurança real e também indica que a regra 
IPS funcionou corretamente.
verdadeiro negativo: (desejável) é usado quando o sistema está funcionando como esperado.
nenhum alerta é emitido porque o tráfego que está passando pelo sistema está livre de 
ameaças.
falso positivo: (indesejável) é usado quando um IPS gera um alarme depois de processar o 
tráfego normal do usuário que não deveria ter acionado um alarme.
o IPS deve ser ajustado para alterar esses tipos de alarme para verdadeiro negativos.
o alerta não indica um incidente de segurança real.
a atividade benigna que resulta em um falso positivo é as vezes referida como um gatilho 
benigno.
falso negativo: (indesejável) é usado quando um IPS não consegue gerar um alarme e 
ataques conhecidos não estão sendo detectados.
significa que os exploits não estão sendo detectados pelos sistemas de segurança 
existentes.
podem passar despercebidos por um longo período de tempo e a perda e danos contínuos 
de dados podem seguir.
Cisco Snort IPS
Opções de Serviço IPS
os serviços de prevenção de intrusão estavam disponíveis nos routers de serviços integrados 
de primeira geração (ISR G1) usando o cisco IOS IPS.
suporte foi descontinuado em 2018.
opções disponíveis para fornecer serviços de prevenção de intrusões:
IPS de próxima geração Cisco FirePOWER (NGIPS): dispositivos dedicados de 
prevenção de ameaças em linha que fornecem eficácia líder do setor contra ameaças 
conhecidas e desconhecidas.
Cisco Snort IPS: serviço IPS que possa ser permitido em um ISR de segunda geração 
(ISR 4000s).
Servidor IPS do Snort externo: similar à solução IPS da Cisco, mas exige uma porta 
promíscua (switch SPAN) e um Snort externo IDS/IPS.
todas as opções recebem atualizações sobre regras do Cisco Talos.
NGIPS
dispositivos IPS dedicados.
construídos sobre a tecnologia aberta do núcleo do Snort e usam regras IPS de 
vulnerabilidade focadas em inteligência de segurança baseada em IP, URL e DNS encaixada 
NetSec 130
com as regras fornecidas pelo Cisco Talos.
recursos:
regras IPs que identificam e bloqueiam o tráfego de ataque direcionado às 
vulnerabilidades da rede
defesa totalmente integrada contra malware avançado, incorporando análise avançada de 
rede e atividade de endpoint
tecnologia de sandbox que usa centenas de indicadores comportamentais para identificar 
ataques de dia zero e evasivos.
inclui visibilidade e controle de aplicativos (AVC), cisco advanced malware protection 
(AMP) para redes e filtragem de URL.
Snort IPS
rede aberta IPs que realiza análise de tráfego em tempo real e gera alertas quando as ameaças 
são detectadas em redes IP.
também pode realizar análise de protocolo, pesquisa ou correspondência de conteúdo e 
detectar uma variedade de ataques e sondagens.
seu motor pode ser executado como um serviço de contêiner virtual no Cisco series 4000 e 
cisco cloud services router 1000 series.
pode ser executado com outros recursos de segurança como VPN, firewalls baseados em 
zonas e cisco cloud web security.
permite que o ISR fornece proteção abrangente contra ameaças em um espaço pequeno.
funcionalidades:
IDS e IPS: configurar modo de detecção ou prevenção de ameaças.
três níveis de assinatura: conectividade (menos segura), equilibrada (opção média) e 
segurança (mais segura).
uma lista permitida: fornece a capacidade de desligar determinadas assinaturas e ajuda 
a evitar falsos positivos, tais como o tráfego legítimo que desencadeia uma ação IPs.
até 1000 entradas na lista permitida.
snort monitoramento da saúde: mantém o controle da integridade do motor Snort que 
está sendo executado no contêiner do serviço.
falha abrir e fechar: no caso de falha do motor, o router pode ser configurado para 
obstruir o fluxo de tráfego ou contornar a verificação IPS até que o motor se recupere.
atualização de assinatura: atualizações automáticas e manuais são suportadas.
pode transferir o pacote da assinatura diretamente do cisco.com ou de um recurso 
local sobre HTTP e HTTPS
http://cisco.com/
NetSec 131
registro de eventos: os logs podem ser enviados a um coletor de log independente ou 
incluído junto com o córrego do syslog do router.
Alarmes da regra do IPS do Snort
as assinaturas são configuradas usando “rules”.
estas regras servem como os alarmes de assinatura comparando o tráfego de entrada às regras 
do snort.
o tráfego que corresponde a um cabeçalho de regra gera uma ação.
um cabeçalho de regra é conceitualmente similar a uma ACL.
[action] [protocol] [source IP] [sourcePort] → [destIP] [destPort] ([rule options])
Ações da regra do IPS do Snort
IDS pode executar as seguintes três ações:
alert: gera um alerta usando o método de alerta selecionado
log: registra o pacote
pass: ignora o pacote
IPS executa:
drop: bloqueia e registra o pacote
reject: bloqueia o pacote, registra-o e envia então uma redefinição de TCP se o 
protocolo for TCP ou uma mensagem inalcançável da porta ICMP se for UDP
sdrop: bloqueia o pacote, mas não registra.
Opções da regra do encabeçamento IPS do Snort
um cabeçalho de regra contém campos para fornecer a informação adicional para a regra.
as opções são separadas por ponto-e-vírgulas e as palavras-chave de opção são separadas de 
seus argumentos usando dois pontos.
NetSec 132
msg:
string de texto simples que fornece uma mensagem significativa para a saída
quando a regra corresponde.
flow: especifica a direção do tráfego de rede
content:
opção de regra de detecção que permite que o criado de regras defina regras que
buscam conteúdo específico na carga útil do pacote e acionam a resposta com
base nesses dados. Estes dados podem conter texto misto e dados binários
distance: / offset:
permitem que o criador de regras especifique onde começar a pesquisar em
relação ao início da carga útil ou ao início de uma correspondência de conteúdo.
within: / depth:
permitem que o criador especifique até onde procurar em relação ao final de uma
correspondência de conteúdo anterior, e uma vez que essa correspondência de
conteúdo for encontrada, até onde procurar por ela.
pcre
permite que as regras sejam escritas usando “expressões regulares compatíveis
com perl” que permite correspondência mais complexas
byte_test
permite que uma regra teste um número de bytes contra um valor específico em
binário
metadata: permite que um criador de regras incorpore informações adicionais sobre a regra
reference: permite que as regras incluem referências a fonte externas de informação
classtype: identifica o efeito potencial do que seria um ataque bem-sucedido
sid / rev
ID da assinatura (sid) é um identificador único para cada regra, tornando-as
fáceis de identificar. Deve ser usado com o rev (revisão) para indicar a versão
atual da regra.
Operação Snort IPS
os pacotes que chegam em relações permitidas do Snort são inspecionados:
1. ciscoIOS software para a frente os pacotes a serem inspecionados ao motor IPS do Snort 
usando uma interface interna do grupo de portal virtual (VPG)
2. inspeciona o tráfego e toma a ação necessária
NetSec 133
3. deixar cair os pacotes associados com fluxo ruins (IPS). Os pacotes bons são retornados 
de volta ao router para processamento adicional.
a troca de pacotes entre os aplicativos de contêiner e o plano de dados IOS é feita usando 
interfaces VPG.
IPS requer duas interfaces VPG:
interface de gerenciamento: usada aos logs da fonte ao coletor do log e recuperando 
atualizações de assinatura do cisco.com.
exige um IP roteável.
interface de dados: usada para enviar o tráfego de usuário entre o serviço do contêiner 
virtual do snort e o plano de encaminhamento do router.
Configure o Snort IPS
Etapas da configuração IPS do Snort
Etapa 1: transfira o arquivo OVA do Snort
Etapa 2: instale o arquivo OVA
virtual-service install name virtual-service-name package file-url media file-system 
privilege
durante a instalação, a licença de segurança é verificada e um erro é relatado se a licença 
não estiver presente.
show virtual-service list para exibir o status da instalação de todos os aplicativos no 
contêiner de serviço virtual.
Etapa 3: configurar interfaces de grupo de porta virtual
NetSec 134
Etapa 4: ative os serviços virtuais
virtual-services virtual-service-name
vnic gateway VirtualPortGroup interface-name cria uma interface de gateway da 
placa de interface de rede virtual (vNIC) para o serviço de contêiner virtual.
também mapeia a relação do gateway vNIC ao grupo da porta virtual, e incorpora o 
modo de confgiuração do vNIC do serviço virtual.
guest ip address ip-address configura um endereço vNIC convidado para a interface de 
gateway vNIC
activate ativa o aplicativo instalado em um serviço de contêiner virtual.
Etapa 5: configurar especificações do Snort
escolher modo IPS ou IDS, para onde os logs devem ser enviados, a política e o perfil a 
configurar, entre outros.
utd engine standard configura o motor padrão UTD e entra no modo de configuração
logging host e logging syslog permitem o registro de mensagens de emergência em um 
servidor
threat-inspection configura a inspeção da ameaça para o motor do Snort.
proteção contra ameaças
detecção de ameaças
policy especifica três políticas de segurança usadas pelo Snort e fornecida pelo cisco 
Talos
NetSec 135
conectivity: fornece a menor proteção, pois prioriza a conectividade em relação à 
segurança. Aproximadamente 1000 regras são pré-carregadas usando essa política
balanced: política padrão, recomendada para implantações iniciais. Ela tenta 
equilibrar as necessidades de segurança e as características de desempenho da rede. 
Aproximadamente 8000 regras são pré-carregadas usando essa política.
security: fornece maior proteção, sendo projetada para organizações que estão 
excepcionalmente preocupadas com a segurança. Redes com requisitos de largura de 
banda mais baixos, mas requisitos de segurança maiores. Aproximadamente 12000 
regras são pré-carregadas.
signature update configura os parâmetros do intervalo de atualização de assinatura.
signature update server configura os parâmetros do servidor de atualização de 
assinatura.
logging level especifica os tipos de mensagens do syslog que serão geradas.
Etapa 6: permite o IPS globalmente ou em interfaces desejadas
utd
all interfaces configura a defesa unificada contra ameaças (UTD) em todas as 
interfaces de L3 do dispositivo.
engine standard configura o mecanismo UTD baseado em Snort e entra no modo 
de configuração do mecanismo padrão.
fail-open (padrão): quando há uma falha do motor UTD, esta opção permite 
que todo o tráfego IPS/IDS passe completamente sem ser inspecionado.
NetSec 136
fail-close: se permitido, esta opção deixa cair o todo o tráfego IPS/IDS quando 
há uma falha do motor UTD.
uma mensagem de erro é exibida se a configuração global foi configurada pela primeira 
vez.
você pode ativar o recursos de lista permitida UTD.
permite que você identifique IDs de assinatura IPS a serem suprimidos.
IPS não usará assinaturas nas lista de permissões.
utd theat-inspection name
identifique IDs de assinatura a serem excluídos da inspeção.
Etapa 7: verifique o Snort IPs
show virutal-service list: exibe uma visão geral dos recursos que são utilizados pelos 
aplicativos
show virtual-service detail: exibe uma lista de recursos que estão comprometidos com 
um aplicativo específico, incluindo dispositivos conectados.
show utd engine standard config: exibe a configuração UTD
show utd engine standard status: exibe o status do mecanismo UTD
show platform hardware qfp active feature utd stats: verifica o plano de dados.
verifica incrementos para encap, decap, redirecionamento e rejeição e exibe uma 
integridade.
Módulo 13 - Segurança de endpoints
Visão geral da segurança de endpoint
Segurança de elementos de LAN
endpoints: os hosts geralmente consistem em laptops, desktops, servidores e telefones IP que 
são suscetíveis a ataques relacionados com malware.
também incluem câmeras de vídeo, dispositivos de ponto de venda e dispositivos IoT
NetSec 137
infraestrutura de rede: interconectam pontos de extremidade e geralmente incluem 
switches, dispositivos sem fio e dispositivos de telefonia IP.
ataques de estouro de tabela de endereços MAC, ataques de falsificação, ataques 
relacionados a DHCP, ataques de tempestade de LAN, ataques de manipulação de STP e 
ataques de VLAN.
Segurança tradicional do endpoint
medidas de segurança tradicionais baseadas em host:
software antivírus/antimalware: software instalado em um host para detectar e mitigar 
vírus e malware.
Norton, TotalAV, McAfee, MalwareBytes e outros.
IPS baseado em host: software instalado no host local para monitorar a relatar a 
configuração do sistema e a atividade do aplicativo, fornecer análise de log, correlação 
de eventos, verificação de integridade, aplicação de política, detecção de rootkit e 
alertas.
Snort IPS, OSSEC e Malware Defender.
firewall baseado em host: software instalado em um host que restringe as conexões de 
entrada e saída àquelas iniciadas por aquele host apenas. Alguns também podem impedir 
que um host se infecte e impedir que hosts infectados espalhem malware para outros 
hosts.
Windons, NetDefender, Zonealarm, Comodo Firewall e outros.
Segurança para endpoints na rede sem fronteiras
organizações exigem proteção antes, durante e após um ataque.
software antimalware proteja endpoints contra malware
filtro de spam evite que e-mails de spam cheguem a endpoints
lista de bloqueio
impeça que os endpoints se conectem a sites com má reputação, bloqueando
imediatamente conexões com base da inteligência de reputação mais recente.
prevenção de perda de
dados (DLP)
impedir que informações confidenciais sejam perdidas ou roubadas
Proteção contra malware com base na rede
fornecem muito mais camadas de varredura do que um único ponto de extremidade possível.
também são capazes de compartilhar informações entre si para tomar decisões melhor 
informadas.
NetSec 138
proteção avançada contra malware (AMP): fornece proteção de endpoint contra vírus e 
malware.
email security appliance (ESA): fornece filtragem de SPAM e e-mails potencialmente mal-
intencionados antes que eles cheguem ao endpoint.
web security appliance (WSA): fornece filtragem e bloquei de sites para evitar que os hosts 
cheguem a locais perigosos na web.
controle de admissão de rede (NAC): permite que somente sistemas autorizados e 
compatíveis se conectem à rede.
Criptografia de hardware e software de dados locais
a criptografia protege os dados confidenciais contra acesso não autorizado.
MAC OSX e Windows 10 fornecem nativamente opções de criptografia.
BitLocker fornece criptografia de unidade.
Controle de acesso à rede
sua finalidade é permitir que somente sistemas autorizados e complacentes, gerenciados ou 
não gerenciados, alcancem a rede.
unifica tecnologias de segurança deendpoint com autenticação de usuário ou dispositivo de 
aplicação de políticas de segurança de rede.
pode negar o acesso de rede aos dispositivos noncompliant, colocá-los em uma área de 
quarentena ou dar-lhes acesso restrito aos recursos de computação.
capacidades:
criação de perfil e visibilidade: reconhece e cria perfis de usuário e seus dispositivos 
antes que códigos malicioso possam causar danos.
acesso à rede de convidados: gerencia os convidados por meio de um portal de 
autoatendimento personalizável que inclui registros de convidados, autenticação, 
patrocínio e um portal de gerenciamento de convidados.
verificação da postura de segurança: avalia a conformidade da política de segurança 
por tipo de usuário, tipo de dispositivo e SO.
NetSec 139
resposta a incidentes: atenua as ameaças à rede ao aplicar políticas de segurança que 
bloqueia, isolam e reparam máquinas incompatíveis sem a atenção do administrador.
sistemas NAC devem estender o NAC a todos os métodos de acesso à rede, incluindo o 
acesso através de LANs, gateways de acesso remoto e pontos de acesso wireless.
Autenticação 802.1X
Segurança usando autenticação baseada em porta 802.1X
define um controle de acesso baseado em portas e o protocolo de autenticação que restringe 
os locais de trabalho não autorizados de se conectarem a uma LAN por meio de portas de 
switch que podem ser acessadas publicamente.
funções:
suplicante (cliente): dispositivo que solicita acesso a LAN e switch services responde a 
solicitações do comutador.
NetSec 140
deve estar executando o software cliente.
autenticador (switch): controla o acesso físico à rede com base no status de 
autenticação do cliente.
atua como intermediário (proxy) entre o cliente o servidor de autenticação, 
solicitando informações de identificação do cliente, verificando essas informações 
com o servidor de autenticação e retransmitindo uma resposta ao cliente.
usa um agente de software RADIUS, responsável pelo encapsulamento e 
desencapsulamento dos quadros de EAP (extensible authentication protocol), bem 
como a interação com o servidor de autenticação.
servidor de autenticação: realização a autenticação real do cliente.
valida a identidade do cliente e notifica o switch se o cliente está autorizado a 
acessar os serviços de LAN e do switch.
como o switch atua como proxy, o serviço de autenticação é transparente ao cliente.
até que o cliente seja autenticados, o controle de acesso permite apenas o protocolo de 
autenticação extensível sobre a LAN (EAPOL), o CDP e o tráfego de spanning tree (STP) 
através da porta à qual a estação de trabalho está conectada.
o estado da porta do switch determina se o cliente tem acesso concedido à rede.
quando configurado para autenticação baseada em 802.1X, a porta começa no estado não 
autorizado, sendo assim, não permitindo todo o tráfego de entrada e saída, exceto os 
pacotes ditos acima.
quando um cliente é autenticado com sucesso, as transições de porta passam para o 
estado autorizado, permitindo que todo o tráfego para o cliente flua normalmente.
se o switch solicitar a identidade do cliente e ele não suportar 802.1X, a porta 
permanecerá no estado não autorizado e o cliente não terá o acesso à rede concedido.
quando um cliente conecta a uma porta iniciando o processo de autenticação, mas o 
switch não está executando o protocolo, nenhuma resposta é recebida pelo cliente e o 
cliente começa a enviar quadros como se a porta não estivesse autorizada.
NetSec 141
encapsulamento:
entre o suplicante e o autenticador: dados EAP são encapsulados nos quadros EAPOL
entre o autenticador e o servidor: dados EAP são encapsulados usando RADIUS.
se a autenticação falhar, a porta permanecerá no estado não autorizado, mas a autenticação 
pode ser repetida após um número x de vezes.
quando um cliente faz logout, envia uma mensagem EAPOL-logout, fazendo com que a porta 
faça a transição para o estado não autorizado.
Controle o acesso da autorização do 802.1X
authentication port-control para controlar o estado de autorização da porta.
por padrão, uma porta está force-authorized, que significa que pode enviar a receber tráfego 
sem autenticação 802.1X.
auto
permite a autenticação baseada em porta 802.1X e faz com que a porta comece no
estado não autorizado. Durante este tempo, somente os quadros EAPOL, STP e CDP
são autorizados a enviar e receber através da porta, até que o dispositivo cliente seja
autenticados.
NetSec 142
force-authorized
a porta envia e recebe o tráfego normal sem autenticação 802.1X, sendo está a
configuração padrão.
force-
unauthorized
faz com que a porta permaneça no estado não autorizado, ignorando todas as tentativas
do cliente para autenticar. O switch não pode fornecer os serviços de autenticação ao
cliente através da porta.
authentication port-control auto para habilitar o 802.1X na porta.
Configuração 802.1X
Etapa 1: permita o AAA com aaa new-model
Etapa 2: designe o servidor RADIUS e configure seu endereço e portas
Etapa 3: crie uma lista de métodos de autenticação baseada em portas 802.1X com aaa 
authentication dot1x
Etapa 4: permita globalmente a autenticação baseada em porta do 802.1X com dot1x system-
auth-control
Etapa 5: permita a autenticação baseada em porta na interface com authentication port-
control auto
Etapa 6: permita a autenticação 802.1X na interface com dot1x pae.
a opção authenticator ajusta o tipo da entidade de acesso de porta (PAE) assim que a 
relação atua somente como um autenticador e não responderá nenhuma mensagem 
destinada a um suplicante.
Módulo 14 - Camada 2 Considerações de Segurança
Camada 2 Ameaças de Segurança
Categorias de ataque a switch
NetSec 143
ataques à tabela
MAC
inclui ataques de estouro de tabela MAC (inundação de endereços MAC)
ataques à VLAN
inclui salto de VLAN e ataques de marcação dupla de VLAN. Também inclui ataques
entre dispositivos em uma VLAN comum
ataques à DHCP inclui ataques de privação e falsificação de DHCP
ataques ARP inclui ataques de falsificação e envenenamento de ARP
ataques de
falsificação de
endereços
inclui ataques de falsificação de endereço MAC e endereço IP
ataques STP inclui ataques de manipulação de STP
soluções para mitigação de ataques:
segurança de
portas
a segurança da porta evita muitos tipos de ataques, incluindo ataques de estouro de
tabela MAC e ataques de privação de DHCP
rastreamento de
DHCP
o DHCP snooping impede a privação de DHCP e ataques de spoofing de DHCP
por servidores DHCP desonestos
DAI
dynamic ARP inspection impede que ataques de falsificação e envenenamento por
ARP
IPSG (IP source
guard)
proteção de origem IP impede ataques de spoofing de endereço MAC e IP
estratégias:
sempre use variantes seguras de protocolos, como SSH, SCP e SSL
considere o uso de gerenciamento fora de banda (OOB)
usar uma VLAN de gerenciamento dedicado quando nada além do tráfego de 
gerenciamento residir.
usar ACLs para filtrar acessos indesejados.
Ataques à tabela MAC
Alternar aprendizado e encaminhamento
o switch constrói dinamicamente a tabela MAC examinando o endereço de origem dos 
quadros recebidos em uma porta.
o switch encaminha quadros procurando uma correspondência entre o MAC de destino no 
quadro e uma entrada na tabela MAC.
aprendizado: todo o quadro que entra em um switch é verificado quanto ao aprendizado de 
novas informações.
isso é feito examinando o MAC de origem do quadro e número da porta em que o quadro 
entrou no switch.
NetSec 144
se o MAC de origem não existe, é adicionado à tabela juntamente com o número da 
porta de entrada.
se o MAC existir, o switch atualizará o cronômetro de atualização para essa entrada na 
tabela (tempo padrão de 5 minutos)
se o MAC de origem de origem existir na tabela, mas em uma porta diferente, o switch 
tratará isso como uma nova entrada.
encaminhamento: se o MAC de destino for unicast, o switch procurará uma 
correspondência entre o MAC de destino do quadro e uma entrada em sua tabela de 
endereços.
se o endereçode destino estiver na tabela, ele encaminhará o quadro pela porta 
especificada.
se o MAC de destino não estiver na tabela, o switch encaminhará o quadro por todas as 
portas, exceto a entrada, unicast desconhecido.
se o MAC de destino for um broadcast ou multicast, o quadro também inundará todas as 
portas, exceto a de entrada.
Inundação de tabela de endereço MAC
todas as tabelas MAC têm um tamanho fixo e, consequentemente, um switch pode ficar sem 
recursos para armazenar endereços MAC.
os ataques de inundação aproveitam essa limitação bombardeando o switch com MACs de 
origem falsos até que a tabela do switch esteja cheia.
quando isso ocorre, o switch trata o quadro como um unicast desconhecido e começa a 
inundar todo o tráfego de entrada em todas as portas na mesma VLAN sem fazer 
referência à tabela MAC.
permite que um hacker capture todos os quadros enviados.
o tráfego é inundado apenas dentro da LAN ou VLAN local.
Mitigação de ataques da tabela de endereços MAC
a segurança de porta permitirá apenas que um número especificado de endereços MAC de 
origem seja aprendido na porta.
Mitigar os ataques à tabela MAC
Proteja as portas não utilizadas
todas as portas do switch devem ser protegidas antes de serem implementadas em produção.
um método simples aplicado para proteger a rede contra acesso não autorizado consiste em 
desativar todas as portas não utilizadas em um switch.
shutdown
NetSec 145
interface range type module/first-number - last-number
Mitigar os ataques a tabela de endereços
a segurança de porta limita o número de endereços MAC válidos permitidos para uma porta.
permite que um administrador configure manualmente os MACs para uma porta ou permita 
que o switch aprenda dinamicamente um número limite de MACs.
quando uma porta é configurada com segurança de porta recebe um quadro, o MAC de 
origem do quadro é comparado à lista de endereços MAC de origem segura que foram 
configurados manualmente ou aprendidos dinamicamente.
Habilitar a segurança da porta
a segurança de porta só pode ser configurada em portas de acesso configuradas manualmente 
ou em portas trunk configuradas manualmente.
por default, as portas de um switch são configuradas como dynamic auto.
switch port-security
configure a porta como switchport mode access
show port-security interface para exibir as configurações de segurança da porta.
NetSec 146
se uma porta for configurada e mais de um dispositivo estiver conectado à essa porta, ela fará 
a transição para o estado down por erro.
Pode aprender endereços MAC
para definir o número máximo de MACs permitidos em uma porta use switchport port-
security maximun value
o número padrão é 1 e o máximo é 8192.
o switch pode ser configurado para aprender sobre MACs em uma porta segura de três 
maneiras:
Configuração manual: o administrador configura manualmente o MAC estático usando 
switchport port-security mac-address mac-address
Aprendizado dinâmico: quando o comando switchport port-security é inserido, o 
MAC de origem atual para o dispositivo conectado à porta é automaticamente protegido, 
NetSec 147
mas não é adicionado à configuração de inicialização.
quando o switch for reiniciado, a porta terá que reaprender o MAC.
Aprendizado dinâmico - sticky: o administrador pode permitir que o switch aprenda 
dinamicamente o MAC e os cole à configuração em execução com switchport port-
security mac-address sticky.
salvar a configuração em execução confirmará o MAC aprendido dinamicamente na 
NVRAM.
show port-security interface e show port-security address para verificar a configuração.
Vencimento de segurança da porta
pode ser usado para definir o tempo de vencimento para endereços seguros estáticos e 
dinâmicos em uma porta.
dois tipos são suportados por porta:
absoluto: os endereços seguros na porta são excluídos após o tempo de envelhecimento 
especificado.
NetSec 148
inatividade: os endereços são excluídos apenas se ficarem inativos pelo tempo de 
envelhecimento especificado.
use o vencimento para remover MAC seguro em uma porta segura sem excluir manualmente 
os MAC seguros existentes.
os limites de tempo de vencimento também podem ser aumentados para garantir que os 
MACs seguros antigos permaneçam, mesmo quando novos MACs são adicionados.
o vencimento de endereços seguros configurados estaticamente podem ser ativados ou 
desativados por porta
switchport port-security aging habilita o envelhecimento estático para a porta.
static
habilita o vencimento para endereços seguros configurados estaticamente
nesta porta
time time
especifica o tempo de vencimento para esta porta. De 0 a 1440 minutos, se
0 então, o envelhecimento está desabilitado.
type absolute
define o tempo de vencimento absoluto. Todos os endereços seguros nesta
porta envelhecem exatamente após o tempo especificado e são removidos
da lista de endereços seguros.
type inactivity
define o tipo de envelhecimento por inatividade. Os endereços seguros
nesta porta expiram apenas se não houver tráfego de dados do endereço de
origem para o período de tempo especificado.
NetSec 149
Segurança de porta: modos de violação
se o MAC de um dispositivo conectado à porta for diferente da lista de endereços seguros, 
ocorrerá uma violação de porta.
por padrão, a porta entra no estado error-disabled
shutdown
a porta faz a transição para error-disabled imediatamente, desliga o LED da porta e
envia uma mensagem syslog. Incrementa contador de violação. Quando uma porta
segura está em error-disabled, um administrador deve reativá-la com shutdown ou
no shutdown
restrict
a porta descarta pacotes com endereços de origem desconhecidos até que você
remova um número suficiente de MACs seguros para cair abaixo do valor máximo
ou aumentar o valor máximo. Faz com que o contador de violação de segurança
incrementa e gere uma mensagem de syslog.
protect
menos seguro de todos os modos, pois a porta descarta pacotes com MAC de
origem desconhecidos até que você remova um número suficiente de MACs
seguros para cair abaixo do valor máximo ou aumentar o valor máximo. Nenhuma
mensagem de syslog é enviada.
NetSec 150
modo de violação
descarta tráfego
ofensivo
envia mensagem
de syslog
aumenta
contador de
violação
fecha a porta
protect sim não não não
restrict sim sim sim não
shutdown sim sim sim sim
Porta no estado error-disabled
quando uma porta é desligada e colocada no estado error-disabled, nenhum tráfego é enviado 
ou recebido nessa porta.
show interface mostra como er-disabled.
show port-security mostra a porta como secure-shutdown.
Verifique a segurança de portas
show port-security para exibir as configurações de segurança de porta do switch.
show port-security interface interface para visualizar os detalhes de uma interface 
específica.
show run interface para verificar se os MACs estão “sticking” à configuração.
show port-security address para exibir todos os MACs seguros que são configurados 
manualmente ou aprendidos dinamicamente em todas as interfaces.
Notificação de endereço MAC SNMP
o recurso de notificação de endereço MAC envia armadilhas SNMP à estação de 
gerenciamento de rede (NMS) sempre que um MAC novo é adicionado ou um endereço 
antigo é suprimido das tabelas de encaminhamento.
NetSec 151
as notificações são geradas somente para MAC dinâmicos e seguros.
permite o monitoramento dos MACs que são aprendidos, assim como os MACs que 
envelhecem e são removidos do switch.
mac address-table notification para permitir a característica da notificação do MAC em um 
switch.
Mitigar ataques de VLAN
Ataques de salto de VLAN
os ataques de VLAN podem contornar a intenção de um projeto de VLAN, permitindo que 
usuários não autorizados acessem VLANs que eles não deveriam ter acesso.
um ataque de salto de VLAN permite que o tráfego de uma VLAN seja visto por outra 
VLAN sem a ajuda de um router.
em um ataque básico, o agente configura um host para agir como um switch para 
aproveitar o recurso da porta trunk automática ativada por padrão na maioria das portasde switches.
o agente configura o host para falsificar a sinalização 802.1Q e o protocolo DTP para o 
tronco com o comutador de conexão.
se bem-sucedido, o switch estabelece um link de tronco com o host.
o agente pode enviar e receber tráfego em qualquer VLAN, pulando efetivamente 
entre VLANs.
Ataques de marcação dupla de VLAN
um agente pode incorporar uma tag 802.1Q oculta no quadro que já possui uma tag 802.1Q, 
permitindo que o quadro acesse uma VLAN que a tag original não especificou.
Etapa 1: o agente envia um quadro 802.1q com etiqueta dupla ao switch. O cabeçalho externo 
possui a tag VLAN do agente, que é igual à VLAN nativa da porta de tronco.
NetSec 152
Etapa 2: o quadro chega no primeiro switch que analisa a primeira etiqueta 802.1q de 4 bytes. 
O switch vê que o quadro é destinado à VLAN nativa. O switch encaminha o pacote para 
todas as portas da VLAN após remover a etiqueta. O quadro não é etiquetado novamente 
porque faz parte da VLNA nativa. A tag da outra VLAN ainda está intacta e não foi 
inspecionada pelo primeiro switch.
Etapa 3: o quadro chega ao segundo switch, que não sabe que deveria ser para a outra VLAN. 
O tráfego não é identificado pelo switch de envio, conforme especificado na tag 802.1q. O 
segundo switch examina apenas a tag interna inserida pelo agente e vê que o quadro é 
destinado para aquela VLAN. O segundo switch envia o quadro para o destino ou o inunda, 
dependendo da existência de entrada existente na tabela MAC para o destino.
NetSec 153
um ataque de marcação dupla é unidirecional e funciona apenas quando o invasor está 
conectado a uma porta que reside na mesma VLAN que a VLAN nativa da porta de tronco.
a ideia é que a marcação permita que o invasor envie dados para hosts ou servidores em 
uma VLAN que, de outra forma, seria bloqueada por algum tipo de configuração de 
controle de acesso.
presumivelmente, o tráfego de retorno também será permitido.
os ataques de salto e marcação dupla de VLAN podem ser evitados implementando as 
seguintes diretrizes de segurança de tronco:
desative o entroncamento em todas as portas de acesso
desative o entroncamento automáticos nos links de tronco para que os troncos sejam 
ativados manualmente.
certifique-se de que a VLAN nativa seja usada apenas para links de tronco.
Mitigar ataques de salto de VLAN
1. desative as negociações de DTP em portas sem entroncamento com switchport mode access
2. desative as portas não utilizadas e coloque-as em uma VLAN não utilizada.
3. habilite manualmente o link de tronco em uma porta de entroncamento com switchport 
mode trunk
4. desative as negociações de DTP nas portas de entroncamento com switchport nonegotiate
5. defina a VLAN nativa para uma VLAN diferente da VLAN 1 com switchport trunk native 
vlan vlan-number
NetSec 154
VLANs privadas
fornecem isolamento da L2 entre portas dentro do mesmo domínio de transmissão.
tipos de portas PVLAN:
promíscuo: pode falar com todos, incluindo portas isoladas e da comunidade dentro de 
uma PVLAN.
isolado: só pode falar com portas promíscuas, tendo separação completa da L2 das 
outras portas dentro mesmo PVLAN, mas não das portas promíscuas.
comunidade: podem falar com outras comunidades e portas promíscuas. Estas relações 
são separadas na L2 de todas as relações restantes em outras comunidades ou portas 
isoladas dentro de sua PVLAN.
são usados principalmente em locais de co-localização do provedor de serviços.
para mitigar esse tipo de ataque, configure uma ACL que negue o tráfego com um IP de 
origem e de destino que pertença a mesma sub-rede.
Recursos de borda PVLAN
alguns aplicativos exigem que nenhum tráfego seja enviado na L2 entre portas no mesmo 
switch de modo que um vizinho não veja o tráfego gerado por outro vizinho.
o uso da borda PVLAN assegura que não haja nenhuma troca do unicast, broadcast, ou do 
tráfego de multicast entre portas de borda PVLAN no switch.
portas protegidas
NetSec 155
características:
uma porta protegida não envia nenhum tráfego a nenhuma outra porta que seja 
igualmente uma porta protegida.
o tráfego não pode ser enviado entre portas protegidas na L2, somente o tráfego de 
controle é enviado porque esses pacotes são processador pela CPU e encaminhados 
no software.
todo o restante do tráfego deve ser encaminhado através de um dispositivo da L3.
o comportamento de encaminhamento entre uma porta protegida e uma porta não 
protegida prossegue como de costume.
o padrão é não ter nenhuma porta protegida definida.
Configurar a borda PVLAN
switchport protected
pode ser configurada em uma relação física ou em grupo de etherchannel.
quando permitida para um canal de porta é permitida para todas as portas no grupo do 
canal de porta.
para desativar inserir o o no na frente.
para verificar a configuração da característica da borda PVLAN use show interface 
interface-id
NetSec 156
é uma característica que tem significado somente no local do switch e não há nenhum 
isolamento fornecido entre duas portas protegidas em switches diferentes.
Mitigar os ataques ao DHCP
Ataques à DHCP
ataque de privação do DHCP: seu objetivo é criar um DoS para conectar clientes.
requerem uma ferramenta de ataque como o Gobbler que possui a capacidade de 
examinar todo o escopo de endereços IP locáveis e tenta conceder todos eles, 
especificamente criando mensagens de descoberta de DHCP com endereços MAC falsos.
ataque de falsificação de DHCP: ocorre quando um servidor DHCP invasor está conectado 
à rede e fornece falsos parâmetros de configuração IP aos clientes legítimos.
um servidor pode oferecer:
gateway padrão errado: o servidor não autorizado fornece um gateway inválido ou 
IP de seu host para criar um ataque man-in-the-middle, que pode passar totalmente 
NetSec 157
despercebido, pois o invasor intercepta o fluxo de dados pela rede e encaminha para 
o gateway padrão real.
servidor DNS errado: o servidor não autorizado fornece um endereço de servidor 
DNS incorreto, apontando o usuário para um site malicioso.
endereço IP errado: o servidor não autorizado fornece um IP inválido, criando 
efetivamente um ataque de negação de serviço ao cliente DHCP.
etapas:
1. ator de ameaça conecta servidor DHCP não autorizado
2. cliente transmite mensagens de descoberta de DHCP
3. resposta DHCP legítima e desonesta: o cliente responderá à primeira oferta recebida.
4. cliente aceita oferta DHCP não autorizada
NetSec 158
5. servidor não autorizado reconhece
Mitigação de ataques DHCP
é fácil mitigar ataques de privação de DHCP usando a segurança de porta, no entanto, atenuar 
ataques de falsificação de DHCP requer mais proteção.
o gobbler usa um MAC exclusivo para cada solicitação DHCP e a segurança de porta pode 
ser configurada para mitigar isso.
No entanto, ele também pode ser configurado para usar o mesmo MAC de interface com um 
endereço de hardware diferente para cada solicitação, o que a segurança de porta não é capaz 
de impedir.
para contrariá-lo usando o mesmo MAC, o snooping DHCP igualmente faz a verificação 
do switch o campo do endereçode hardware do cliente (CHADDR) no pedido DHCP, 
assegurando que combine o MAC do hardware na tabela obrigatória do snooping e na 
tabela MAC.
ataques de spoofing podem ser mitigador usando DHCP snooping em portas confiáveis.
também ajuda a atenuar contra ataques de starvation DHCP, limitando a taxa de 
mensagens de descoberta DHCP que uma porta não confiável pode receber.
o snooping DHCP constrói e mantém um banco de dados vinculativo que o switch pode usar 
para filtrar mensagens DHCP de fontes não confiáveis.
NetSec 159
inclui o MAC, IP, tempo de locação de DHCP, tipo de vinculação, número da VLAN e 
informações de interface do cliente em cada porta ou interface não confiável do switch.
qualquer dispositivo além do firewall ou fora da sua rede é uma fonte não confiável.
todas as portas de acesso são geralmente tratadas como fontes não confiáveis.
quando o snooping de DHCP está habilitado em uma interface ou VLAN e um switchrecebe um pacote em uma porta não confiável, o switch compara as informações do pacote de 
origem com as informações contidas na tabela de vinculação de snooping de DHCP
ele negará os pacotes contendo informações específicas:
mensagens não autorizadas do servidor DHCP provenientes de uma porta não 
confiável.
mensagens não autorizadas de cliente DHCP que não estão dentro dos limites de 
taxa ou de banco de dados de vínculo de rastreamento de DHCP
pacotes de agente de relay do DHCP que incluem informações de opção 82 
provenientes de uma porta não confiável.
Etapas para implementar o snooping DHCP
1. habilite o rastreamento DHCP com ip dhcp snooping
2. em portas confiáveis, use ip dhcp snooping truste
3. limite o número de mensagens de descoberta de DHCP que podem ser recebidas por segundo 
em portas não confiáveis com ip dhcp limite rate
4. habilite a detecção de DHCP por VLAN por um intervalo de VLANs com ip dhcp snooping 
vlan
NetSec 160
show ip dhcp snooping para verificar o snooping DHCP
show ip dhcp snooping binding para visualizar os clientes que receberam informações de 
DHCP
Mitigar ataques ao ARP
Ataques ARP
de acordo com a RFC do ARP, um cliente pode enviar uma resposta ARP não solicitada, o 
ARP gratuito. Quando um host envia um ARP gratuito, outros hosts na sub-rede armazenam 
o MAC e o IP em suas tabelas ARP.
um invasor pode enviar um ARP gratuito com um MAC falsificado para um switch e o 
switch atualiza a tabela MAC de acordo.
NetSec 161
qualquer host pode reivindicar ser o proprietário de qualquer combinação de IP e MAC 
que escolher.
em um ataque típico, um invasor pode enviar respostas ARP não solicitadas a outros 
hosts na sub-rede com o MAC do invasor e o IP do gateway padrão.
Inspeção dinâmica do ARP
para impedir o rastreamento do ARP e a contaminação resultante do ARP, um switch deve 
garantir que apenas solicitações e respostas válidas do ARP sejam retransmitidas.
a inspeção dinâmica de ARP (DAI) requer rastreamento DHCP e ajuda a impedir ataques de 
ARP por:
não retransmitir respostas ARP inválidas ou gratuitas para outras portas na mesma 
VLAN.
interceptando todas as solicitações e respostas do ARP em portas não confiáveis
verificando cada pacote interceptado para obter uma ligação válida de IP para MAC
eliminando e registrando solicitações ARP provenientes de fontes inválidas para evitar 
ARP poisoning
ativando o error-disabled se o número DAI configurado de pacotes ARP foi excedido.
Diretrizes de implementação do DAI
para reduzir as chances de rastreamento e contaminação por ARP, siga estas diretrizes de 
implementação do DAI:
habilite o snooping DHCP globalmente
habilite o snooping DHCP nas VLANs selecionadas
habilite o DAI nas VLANs selecionadas
configure interfaces confiáveis para snooping DHCP e DAI.
é geralmente aconselhável configurar todas as portas do switch de acesso como não 
confiáveis e configuras todas as portas de uplink conectadas a outros switches como 
confiáveis.
o DAI também pode ser configurado para verificar os MAC e IP de destino ou de origem:
MAC de destino: verifica o MAC de destino no cabeçalho Ethernet em relação ao MAC 
de destino no corpo do ARP
NetSec 162
MAC de origem: verifica o MAC de origem no cabeçalho Ethernet em relação ao MAC 
do remetente no corpo do pacote ARP
IP: verifica o corpo do pacote ARP em busca de IP inválidos e inesperados, incluindo 
0.0.0.0, 255.255.255.255 e todos IPs multicast.
ip arp inspection validate {src-mac [dst-mac] [ip]} é usado para configurar o DAI para 
descartar pacotes ARP quando os IPs são inválidos.
Mitigar ataques de falsificação de endereço
Ataque de falsificação de endereços
os ataques de falsificação ocorrem quando um host se apresenta como ouro para receber 
dados inacessíveis ou para contornar configurações de segurança.
o método usado pelos switches para preencher uma tabela MAC leva a uma vulnerabilidade 
conhecida como falsificação de endereço MAC
ocorrem quando invasores alteração o MAC de seu host para corresponder a outro MAC 
conhecido de um host de destino.
o host atacante envia um quadro pela rede com o MAC recém-configurado.
quando o switch recebe o quadro, ele examina o MAC de origem e substitui a entrada 
atual da tabela MAC e atribui o endereço à nova porta.
para impedir que o switch retorne a atribuição de porta ao estado correto, o agente pode 
criar um programa ou script que enviará constantemente quadros ao switch para que ele 
mantenha as informações incorretas.
a falsificação de endereço IP ocorre quando um PC invasor sequestra um IP válido de um 
vizinho ou usa um IP aleatório.
Mitigar ataques de falsificação de endereço
o IP source guard opera como DAI, mas olha cada pacote, não apenas os pacotes ARP.
também requer o snooping DHCP habilitado.
NetSec 163
especificamente, ele é distribuído em portas não confiáveis de acesso e tronco da L2.
mantém dinamicamente ACLs de VLAN por porta (PVACL) com base em ligações de porta 
IP para MAC para switch.
inicialmente, todo o tráfego IP na porta é bloqueado, exceto pacotes DHCP que são 
capturados pelo processo de snooping DHCP.
um PVACL é instalado na porta quando um cliente recebe um IP válido do servidor DHCP ou 
quando uma ligação de origem de IP estática é configurada.
este processo restringe o tráfego IP do cliente àqueles IPs de origem que são configurados na 
vinculação.
qualquer tráfego IP com um IP de origem diferente daquele na vinculação de origem será 
filtrado para fora.
para cada porta não confiável, há dois níveis possíveis de filtragem de segurança de tráfego 
IP:
filtro de endereço IP de origem: o tráfego IP é filtrado com base em seu IP de origem e 
somente o tráfego com um IP que corresponda à entrada de vinculação é permitido.
quando uma nova vinculação de entrada de origem IP é criada ou suprimida na 
porta, o PVACL ajusta-se automaticamente para refletir a alteração.
filtro de IP e MAC de origem: o tráfego IP é filtrada com base no IP de origem além do seu 
MAC.
somente o tráfego com IP e MAC que correspondam à entrada de vinculação de origem 
IP é permitido.
Configura o IP Source Guard
ip verify source para permitir o IPSG.
show ip verify source para verificar a configuração.
Protocolo Spanning Tree
Protocolo Spanning Tree
NetSec 164
é um protocolo de rede de prevenção de loop que permite redundância ao criar uma topologia 
de L2 sem loop.
IEEE 802.1D
Funções de porta STP e RSTP
o algoritmo do STP designa um único switch como root bridge e o usa como ponto de 
referência para todos os cálculos de caminho.
todos os switches que fazem parte do STP trocam quadros BPDU para determinar qual 
switch tem o menor bridge ID (BID) na rede.
o switch com o BID mais baixo torna-se automaticamente a root bridge.
um BPDU é um quadro de mensagens trocadas pelos switches para para o STP.
cada um tem um BID que identifica o switch que o enviou.
o BID contém o valor de prioridade, o MAC do switch de envio e um ID de sistema 
estendido opcional.
depois que o root é determinado, o algoritmo de árvore de abrangência calcula o caminho 
mais curto para ele.
cada switch usa o algoritmo de STP para determinar quais portas bloquear.
enquanto são determinados os melhores caminhos até o root bridge para todas as portas 
de switch no domínio de broadcast, o tráfego fica impedido de ser encaminhado através 
da rede.
ao determinar quais portas serão bloqueadas, o STA considera os custos de caminho e 
porta.
os custos de caminho são estimados usando-se valores de custo de porta associados 
às velocidades de porta de cada porta do switch ao longo de um determinado 
caminho.
quando o STA determina quais caminhos são mais desejáveis, ele atribui funções de porta:
alternativo: ou backup, são configuradas para estar em um estado de bloqueio para 
evitar loops.
são selecionadas apenas em links de tronco em que nenhuma das extremidades é 
uma porta raiz.
root: são portas de switch que estão mais próximas da root bridge
designado: são todas as portas não raiz queo STP permite para encaminhar o tráfego na 
rede.
são selecionadas em uma base por tronco.
se uma extremidade de um tronco for uma porta raiz, a outra extremidade será uma 
designada.
NetSec 165
todas as portas na root bridge são designadas.
uma porta que seja desligada administrativamente é referida como uma porta desabilitada.
STP Root Bridge
cada instância de STP tem um switch designado como root bridge.
serve como ponto de referência para todos os cálculos de ST para determinar os caminhos 
redundantes a serem bloqueados.
todos os switches no domínios de broadcast participam do processo de eleição;.
após a inicialização de um switch, ele começa a enviar quadros BPDU a cada 2 
segundos.
à medida que os switches encaminham seus quadros BPDU, os switches do broadcast 
leem as informações de ID da root dos quadros.
se o ID recebido for inferior ao ID de raiz no switch de recebimento, este atualiza seu ID 
de root, que identifica o switch adjacente como root bridge.
o switch então encaminha novos BPDU com o ID de root inferior para os outros 
switches.
com o tempo, o switch com menor BID acaba sendo identificado como root bridge para 
a instância do ST.
Custo do caminho STP
quando o root bridge tive sido eleito para instância de ST, o STA inicia o processo de 
determinação dos melhores caminhos até o root bridge de todos os destinos no domínio de 
boradcast.
os custos de porta padrão são definidos pela velocidade em que a porta operada.
velocidade e nome do link custo (IEEE revisada) custo (IEEE anterior)
10 gb/s 2 1
1 gb/s 4 1
NetSec 166
velocidade e nome do link custo (IEEE revisada) custo (IEEE anterior)
100 mb/s 19 10
10 mb/s 100 100
embora as portas de switches tenham um custo por padrão associado a elas, o custo da porta é 
configurável.
flexibilidade de controlar manualmente os caminhos de ST até o root bridge.
spanning-tree cost value, indo de 1 a 200.000.000
para restaurar o valor padrão de 19, use o no na frente do comando.
o custo de caminho root é igual à soma de todos os custos de porta no caminho até o root 
bridge.
os caminhos com menor custo tornam-se preferenciais e todos os demais caminhos 
redundantes ficam bloqueados.
para verificar o custo da porta e do caminho para o root bridge use show spanning-tree
Selecione a root bridge
quando um administrador deseja que um switch específico torne-se um root bridge, o valor 
de prioridade de bridge deve ser ajustado.
NetSec 167
primeiro método:
spanning-tree vlan vlan-id root primary para definir o valor para 24.576 ou para o 
maior múltiplo de 4096, inferior à prioridade de bridge mais baixa detectada na rede.
se uma root bridge alternativa for desejada use spanning-tree vlan-id root secondary, 
que define a prioridade do switch para o valor 28.672
pressupõe que o resto dos switches na rede tem o valor de prioridade padrão de 
32.768
segundo método:
spanning-tree vlan vlan-id priority value para configurar o valor de prioridade.
fornece controle mais granular.
o valor é configurado em incrementos de 4096 a 61.440
show spanning-tree para verificar a prioridade de uma bridge de um switch.
Mitigar os ataques ao STP
Ataque STP
NetSec 168
os atacantes podem manipular o STP para conduzir um ataque falsificando a root bridge e 
alterando a topologia de uma rede.
os invasores podem fazer com que seus hosts apareçam como root bridge e, portanto, 
capturem todo o tráfego para o domínio broadcast imediato.
para conduzir esse ataque, o atacante transmite as BPDUs contendo alterações de 
configuração e topologia que forçarão o recálculo da extensão de root.
se bem-sucedido, o atacante se torna o root bridge e agora poderá capturar uma 
variedade de quadros.
Mitigar os ataques ao STP
mecanismos de estabilidade Cisco STP para aumentar o desempenho total dos switches e 
reduzir o tempo perdido durante as mudanças de topologia.
mecanismos:
PortFast: usado para trazer imediatamente uma interface configurada como uma porta 
de acesso ou tronco para o estado de encaminhamento a partir de um estado de bloequi.
ignora os estados de escuta e aprendizagem.
aplicado a todas as portas do usuário final.
BPDU Guard: erro de proteção BPDU imediatamente desativa uma porta que recebe 
um BPDU.
usado tipicamente em interfaces com PortFast.
aplique a todas as portas de usuário final.
Protetor de raiz: impede que um switch inapropriado se torne o root bridge.
limite as portas de switch fora das quais o root bridge pode ser negociado.
aplicado a todas as portas que não devem se tornar root port.
Proteção de loop: detecta links unidirecionais para impedir que portas alternativas ou 
raiz se tornem portas designadas.
todas as portas que são ou podem tornar-se designadas.
NetSec 169
Configurar o PortFast
spanning-tree portfast ou spanning-tree portfast default no modo global.
show running-config | begin span ou show spanning-tree summary para verificar se está 
habilitando.
show running-config interface type/number ou show spanning-tree interface type/number 
detail para verificar se está habilitado em uma interface
Configurar o BPDU Guard
mesmo que o PortFast esteja ativado, a interface ainda escutará BPDUs.
BPDUs inesperadas podem ser acidentais ou parte de uma tentativa não autorizada de 
adicionar um switch à rede.
se qualquer BPDU for recebido em uma porta ativada pelo BPDU Guard, essa porta será 
colocada em error-disabled.
NetSec 170
para recuperá-la use errdisable recovery cause bpduguard 
spanning-tree bpduguard enable ou spanning-tree portfast bpduguard default para 
ativar globalmente.
show spanning-tree summary para exibir informações sobre o estado da árvore estendida.
Configurar o BPDU Guard
o protetor de root é distribuído melhor em portas que conectam aos swiches que não devem 
ser root bridges.
se uma porta root-guard-enabled recebe BPDU que são superiores àqueles que a root 
bridge atual está enviando, essa porta é movida para o estado root-inconsistent
é efetivamente igual a um estado de escuta STP e nenhum tráfego de dados é 
encaminhado através dessa porta.
a recuperação ocorre assim que o dispositivo ofensivo deixa de enviar BPDUs 
superiores.
spanning-tree guard root para configurar o root guard em uma interface.
para ver as portas do root guard que receberam BPDUs superiores e estão no estado root-
inconsistent use spanning-tree inconsistent ports
Configurar Loop Guard
o tráfego de links bidirecionais flui em ambos os sentidos. Se por algum motivo, o fluxo de 
um sentido falhar, isto cria um link unidirecional que pode resultar em um loop de L2.
o Loop Guard fornece proteção adicional contra loopings de L2.
NetSec 171
se os BPDUs não são recebidos em uma porta não designada de loop guard-enabled, a 
porta transita para um estado de bloqueio inconsistente em loop, em vez dos outros 
estados.
spanning-tree guard loop ou spanning-tree loopguard default para ativar globalmente.
Módulo 15 - Serviços Criptográficos
Comunicações Seguras
Autenticação, integridade e confidencialidade
para garantir comunicações seguras em toda a infraestrutura pública e privada, o primeiro 
objetivo do administrador da rede é proteger a infraestrutura de rede, incluindo routers, 
switches, servidores e hosts.
isso pode ser realizando usando hardening do dispositivo, o AAA access control, ACLs, 
firewalls, monitoramento de ameaças usando IPs, proteção de endpoints com proteção 
avançada de malware (AMP) e aplicação de e-mails e segurnaça na Web com ESA e 
WSA.
o próximo objetivo é proteger os dados à medida que viaja em vários links.
objetivos principais de garantia de comunicações:
autenticação: garante que a mensagem não seja uma falsificação e, na verdade, vem de 
fonte autêntica.
código de autenticação de mensagem Hash (HMAC)
integridade: garante que ninguém intercepte a mensagem ou altere-a
SHA-2 ou SHA-3
confidencialidade: garante que, se a mensagem for capturada, ela não pode ser 
decifrada
criptografia simétrica ou assimétrica.
Autenticação
a autenticação garanteque uma mensagem vem da fonte que afirma vir.
o não-repúdio de dados é um serviço similar que permite que o remetente de uma mensagem 
seja identificado exclusivamente.
um dispositivo não pode repudiar ou refutar a validade de uma mensagem enviada.
depende do fato de que apenas o remetente possui as características ou a assinatura 
exclusiva de como essa mensagem é tratada.
nem mesmo o dispositivo de recepção pode saber como o remetente tratou essa 
mensagem para provar autenticidade porque o receptor pode fingir ser a fonte.
NetSec 172
Integridade de dados
garante que as mensagens não sejam alteradas em trânsito.
o receptor pode verificar se a mensagem recebida é idêntica à mensagem enviada e que 
nenhuma manipulação ocorreu.
Sigilo dos dados
garante a privacidade para que apenas o receptor possa ler a mensagem.
criptografia é o processo de embaralhar dados para que não possam ser lido facilmente por 
terceiros não autorizados.
ao habilitá-la, os dados legíveis são chamados de texto simples ou texto claro, enquanto 
a versão criptografada é chamada de texto criptografado ou texto cifrado.
a mensagem legível em texto simples é convertida em texto cifrado, que é a mensagem 
disfarçada ilegível.
a descriptografia reverte o processo.
uma chave é necessária para criptografar e descriptografar.
uma função de hash transforma uma sequência de caracteres em um valor ou chave 
geralmente menor e fixo que representa a string original.
com o texto criptografado, os dados podem ser descriptografados com uma chave.
Criptografia
Criando texto de cifra
Scytale: dispositivo usado para gerar uma cifra de transposição.
Cifra de César: tipo de substituição na qual cada letra é substituída por outra letra que é um 
número definido de lugares fora no alfabeto.
Cifra de Vigenere: tipo de cifra de substituição polialfabética. Para usá-la, um texto chave é 
gerado que se repete para o comprimento da mensagem a ser criptografada. Uma combinação 
de letra de texto simples e a letra-chave correspondente são usadas para localização o valor 
cifrado para a letra em uma tabela.
Máquina Enigma: dispositivo de criptografia eletromecânica que foi desenvolvido e usado 
pela Alemanha Nazista na II WW. Dependia da distribuição de chaves pré-compartilhadas 
que foram usadas para criptografar e descriptografar mensagens. 
Criptoanálise
Código de cracking
a criptoanálise é a prática e o estudo de determinar o significado de informações criptografas, 
sem acesso à chave secreta compartilhada.
Métodos de código de cracking
NetSec 173
método de força bruta: o atacante tenta todas as principais teclas sabendo que, 
eventualmente, uma dela funcionará.
método ciphertext: o atacante tem o ciphertexto de várias mensagens criptografas, mas 
nenhum conhecimento do texto simples subjacente
método de texto simpels: o atacante tem acesso ao ciphertexto de várias mensagens e sabe 
algo sobre o texto simples subjacente a esse ciphertexto.
método chosen-plaintext: o atacante escolhe quais dados o dispositivo de criptografia 
criptografa e observa a saída da cifra de texto.
método chosen-ciphertext: o atacante pode escolher diferentes ciphertext a descriptografar e 
tem acesso ao texto simples descriptografado.
método meet-in-the-middle: o atacante conhece uma parte do texto simples e o do cifrado 
correspondente.
Criptologia
Fazendo e quebrando códigos secretos
a criptologia é a ciência de criar e violar códigos secretos.
criptografia: desenvolvimento e uso de códigos
criptoanálise: a quebra desses códigos.
Criptoanalistas
frequentemente usada por governos em vigilância militar e diplomática, pelas empresas em 
testar a força dos procedimentos de segurança e por hackers maliciosos na exploração de 
fraquezas nos sites.
criptoanalistas são indivíduos que realizam criptoanálise para quebrar códigos secretos.
O segredo está nas chaves
a escolha do protocolo e do algoritmo varia com base no nível de segurança necessária para 
atender às metas da política de segurança da rede.
a segurança da criptografia depende do segredo das chaves, não do algoritmo.
integridade autenticidade confidencialidade
MD5 (legado) HMAC-MD5 (legado) 3DEES
SHA HMAC-SHA-256 AES
RSA e DSA
Módulo 16 - Integridade e autenticidade básicas
Integridade e autenticidade
Comunicações seguras
NetSec 174
integridade dos dados: garante que a mensagem não foi alterada.
autenticação da origem: garante que a mensagem não é uma falsificação e vem realmente 
de quem afirma.
confidencialidade dos dados: garante que apenas usuários autorizados possam ler a 
mensagem.
dados não repudiáveis: garante que o remetente não possa repudiar ou refutar a validade de 
uma mensagem enviada.
Funções criptográficas de hash
hashes são usados para verificar e garantir a integridade dos dados.
também são usados para verificar a autenticação
é baseado em uma função matemática unilateral que é relativamente fácil de calcular, mas 
significativamente difícil de reverter.
leve um bloco variável de dados, mensagem, e produz uma representação condensada de 
comprimento fixo, o hash ou message digest.
com funções hash, é computacionalmente inviável que dois conjuntos diferentes de dados 
apresentem a mesma saída hash.
o valor de hash muda toda vez que a mensagem é modificada.
hashs são usados para proteger contra uma alteração acidental ou intencional dos dados ou 
corrupção acidental dos dados.
Operação de hash criptográfico
propriedades:
a entrada pode ser de qualquer comprimento
a saída tem sempre um comprimento fixo
H(x) é relativamente fácil de calcular para qualquer x dado
H(x) é unilateral e não reversível.
NetSec 175
H(x) é livre de colisões, o que significa que dois valores de entrada diferentes resultarão 
em valores de hash diferentes.
MD5 e SHA
funções de hash bem conhecidas:
MD5 com resumo de 128 bits: desenvolvido por Ron Rivest e usado em uma variedade 
de aplicações de internet, MD5 é uma função unidirecional que produz uma mensagem 
hash de 128 bits. É considerado um algoritmo legado e deve ser evitado e usado apenas 
quando não houver alternativas melhores disponíveis. Recomenda-se o uso do SHA-2 ou 
SHA-3.
SHA-1: desenvolvido pela NSA em 1995, é muito semelhante às funções do MD5. 
Existem várias versões, a 1 cria uma mensagem de 160 bits e é um pouco mais lento que 
o MD5. Possui falhas e é antigo.
SHA-2: desenvolvido pela NSA, inclui SHA-224 (224 bits), SHA-256, SHA-384 e 
SHA-512. 256 e 512 são os recomendados.
SHA-3: algoritmo de hashing mais recente e foi apresentado pelo NIST como uma 
alternativa e substituição eventual para o SHA-2. Inclui SHA2-224, SHA3-256, SHA3-
384 e SHA3-512.
embora o hashing possa ser usado para detectar alterações acidentais, ele não pode ser usado 
para proteger contra alterações deliberadas feitas por um agente.
não há informações de identificação única do remetente no procedimento de hash.
qualquer pessoa pode processar um hash para quaisquer dados, desde que tenha a função 
hash correta.
vulnerável a ataques man-in-the-middle e não oferece segurança aos dados transmitidos.
Autenticação da origem
para adicionar autenticação de origem e garantia de integridade, use um código de 
autenticação de mensagem hash com chave (HMAC).
HMACs usam uma chave secreta adicional como entrada à função hash.
algoritmo de hash HMAC: é calculando usando qualquer algoritmo criptográfico que 
combina uma função hash criptográfica com uma chave secreta.
somente o remetente e o destinatário têm conhecimento da chave secreta e agora a saída 
da função hash depende dos dados de entrada e da chave secreta.
apenas as partes que têm acesso a essa chave podem calcular o message digest de uma 
função HMAC.
derrota os ataques man-in-the-middle e fornece autenticação da origem dos dados.
criação do valor de HMAC: o dispositivo de envio insere dados no algoritmo de hash e 
calcular o HMAC digest de comprimento fixo. Esse digest autenticado é anexado à 
NetSec 176
mensagem e enviado ao destinatário.
verificaçãodo valor de HMAC: o receptor remove o digest da mensagem e usa a mensagem 
de texto sem formatação com sua chave secreta como entrada na mesma função hash. 
se o digest calculado pelo dispositivo receptor for igual ao resumo enviado, a mensagem 
não foi alterada.
adicionalmente, a origem da mensagem é autenticada porque apenas o remetente possui 
uma cópia da chave secreta compartilhada.
Gerenciamento de chaves
Características do gerenciamento de chaves
geração de chave
em um sistema criptográfico moderno, a geração da chave é geralmente
automatizada e não controlada pelo usuário final. O uso de gerados de números
aleatórios eficientes é necessário para garantir que todas as chaves sejam
igualmente geradas, de modo que o invasor não possa prever quais chaves têm
maior probabilidade de serem usadas
verificação da chave
quase todos os algoritmos criptográficos têm algumas chaves fracas que não
devem ser usadas. Com a ajuda dos procedimentos de verificação de chave, as
chaves fracas podem ser identificada e regeneradas para proporcionar uma
criptografia mais segura.
troca de chave
os procedimentos de gerenciamento de chave devem oferecer um mecanismo de
troca de chaves confiável, que permita que as partes estabeleçam o material da
chave de segurança, provavelmente usando um meio não confiável.
armazenamento de chave
em um SO moderno de vários usuários que utiliza criptografia, uma chave pode
ser armazenada na memória. Isso representa um problema potencial, quando a
memória é colocada no disco porque um vírus pode ser instalado no PC
duração da chave
o uso de curta duração da chave melhora a segurança das cifras antigas que são
usadas em conexões de alta velocidade. Em IPsec, uma duração de 24h é típica,
no entanto alterar a duração para 30 minutos melhora a segurança dos
algoritmos.
revogação e destruição
da chave
a revogação notifica todas as partes interessadas que determinada chave foi
comprometida e não deve mais ser usada. A destruição apaga as chaves antigas
de modo que evite a recuperação por invasores.
Comprimento da chave e espaço de chave
comprimento de chave: tamanho da chave, é a medida em bits.
espaço da chave: número de possibilidades que podem ser geradas por um comprimento de 
chave específico.
conforme o comprimento da chave aumenta, o keyspace aumenta exponencialmente.
nome do algoritmo AES (padrão de criptografia avançada)
linha do tempo oficial desde 2001
NetSec 177
tipo de algoritmo simétrico
key size (bits) 128, 192 e 256
velocidade alto
hora de rachar (255 chaves por segundo) 149 trilhões de anos
resource consumption baixa
O Keyspace
o keyspace de um algoritmo é o conjunto de todos os valores de chave possíveis.
uma chave que tem n bits produz um keyspace que tem 2 elevado a n valores-chaves 
possíveis.
chaves mais longas são mais seguras, no entanto, elas também consomem mais recursos.
quase todo algoritmo tem algumas chaves fracas em seu keyspace que permitem a um 
invasor quebrar a criptografia por meio de um atalho.
Tipos de chaves criptográficas
teclas simétricas: pode ser trocado entre dois routers que suportam uma VPN.
teclas assimétricas: são usados em aplicações HTTPS seguras
assinaturas digitais: são usados quando se conecta a um site seguro
teclas de hash: são usados em geração de chaves simétricas e assimétricas, assinaturas 
digitais e outros tipos de aplicações.
independentemente do tipo de chave, todas as chaves compartilham problemas semelhantes.
os comprimentos de chave atuais podem facilmente tornar aquela tentativa insignificante 
porque leva milhões ou bilhões de anos para concluir a pesquisa quando uma chave 
suficientemente longa é usada.
Escolha de chaves criptográficas
um administrador deve encontrar um bom equilíbrio entre a velocidade e a força de proteção 
de um algoritmo, porque alguns algoritmos, como o RSA são executados lentamente devido a 
grandes comprimentos de chave.
ao avaliar o risco de alguém quebrar o algoritmo de criptografia, estime os recursos do 
invasor e quanto tempo os dados devem ser protegidos.
Confidencialidade
Sigilo dos dados
a criptografia assimétrica e simétrica são as duas classes de criptografia usadas para fornecer 
confidencialidade de dados.
NetSec 178
algoritmos de criptografia simétrica, como DES, 3DES e AES, baseiam-se na premissa de 
que cada parte que se comunica conhece a chave pré-compartilhada.
a confidencialidade dos dados também pode ser garantida usando algoritmos assimétricos, 
como RSA e a infraestrutura de chave pública (PKI).
Criptografia simétrica
usam a mesma chave pré-compartilhada para criptografar e descriptografar dados.
a chave secreta é conhecida pelo remetente e pelo receptor antes que qualquer comunicação 
criptografada possa ocorrer.
hoje, algoritmos de criptografia simétrica são comumente usados com o tráfego VPN.
usam menos recursos da CPU do que os algoritmos de criptografia assimétrica.
quanto maior a chave, mais tempo levará para alguém descobrir a chave.
as cifras de bloco transformam um bloco de texto simples de comprimento fixo em um bloco 
comum de texto cifrado de 64 ou 128 bits. Incluem DES 64 bits e AES 128 bits.
as cifras de fluxo criptografam o texto simples em um byte ou um bit de cada vez. São 
basicamente uma cifra de bloco com um tamanho de bloco de um byte ou bit. Geralmente são 
mais rápidas que as cifras de bloco porque os dados são criptografados continuamente. RC4 e 
A5.
NetSec 179
data encryption standard
(DES)
algoritmo de criptografia simétrica legado. Usa um comprimento de chave
curto que o torna inseguro para a maioria dos usos atuais.
3DES
substituto do DES e repete o processo dele 3 vezes. Deve ser evitado, se
possível, uma vez que está programado para ser aposentado em 2023. Se
implementado, use duração de chave curtas.
AES (advanced encryption
standard)
algoritmo de criptografia simétrica popular e recomendado. Oferece
combinação de 128, 192 ou 256 bits para criptografar blocos de dados de 128,
192 ou 256 bits.
software-optimized
encryption algorithm
(SEAL)
alternativa mais rápida de algoritmo de criptografia simétrica para AES. É uma
cifra de fluxo que usa uma chave de criptografia de 160 bits e tem um impacto
menor na CPU em comparação com outros algoritmos baseados em software.
algoritmo da série rivest
ciphers (RC)
diversas variações foram desenvolvidas, mas o RC4 foi o mais prevalente em
uso. É uma cifra de fluxo usada para proteger o tráfego da web. Verificou-se
que tem múltiplas vulnerabilidades que o tornaram inseguro e não deve ser
mais utilizado.
Criptografia assimétrica
também chamados de algoritmos de chave pública, são projetados para que a chave usada 
para criptografia seja diferente da chave usada para descriptografia.
a chave de descriptografia não pode, em uma quantidade razoável de tempo, ser calcular a 
partir da chave de criptografia e vice-versa.
usam uma chave pública e uma privada, sendo ambas capazes do processo de criptografia, 
mas a chave emparelhada complementar é necessária para descriptografia.
o processo também é reversível.
os dados criptografados com a chave pública requerem a chave privada para descriptografar.
alcançam confidencialidade e autenticidade usando este processo.
como nenhuma das partes possui um segredo compartilho, é necessário usar comprimentos 
de chave muito longos, indo de 512 a 4096.
protocolos:
Internet Key Exchange (IKE): componente fundamental das redes virtuais privadas 
IPsec (VPNs)
Secure Socket Layer (SSL): TLS (transport layer security).
NetSec 180
Secure Shell (SSH): fornece uma conexão segura de acesso remoto a dispositivos de 
rede
Pretty Good Privacy (PGP): programa de computador que fornece privacidade e 
autenticação criptográficas.
são substancialmente mais lentos que os algoritmos simétricos e portanto, são usados em 
mecanismos criptográficos de baixo volume.
gerenciamento das chaves tende a ser mais simples que os algoritmos simétricos porque 
geralmente uma das duas chaves de criptografia ou descriptografia podeser tornada púbica.
algoritmo
comprimento da
chave
descrição
diffie-hellman
(DH)
512, 1024, 2046,
3072, 4096
permite que duas partes concordem com uma chave que elas
podem usar para criptografar as mensagens que desejam enviar
uma para a outra. Sua segurança depende da suposição de que é
fácil aumentar um número para uma determinada potência, mas
difícil calcular qual potência foi usada, dado o número e o
resultado.
padrão de
assinatura digital
(DSS) e algoritmo
de assinatura
digital (DSA)
512 -1024
o DSS especifica o DSA como o algoritmo para assinaturas
digitais. DSA é baseado no esquema de assinatura ElGamal. A
velocidade de criação da assinatura é semelhante ao RSA, mas é
10 a 40 vezes mais lenta para verificação.
rivest, shamir e
adleman (RSA)
512 até 2048
se baseia na dificuldade atual de fatora números muito grandes. É
o primeiro algoritmo conhecido por ser adequado para assinatura,
bem como criptografia. É amplamente utilizado em protocolos de
comércio eletrônico e acredita-se ser seguro, dadas chaves
suficientemente longas e o uso de implementações atualizadas.
elGamal 512 - 1024
se baseia no contrato de chave diffie-hellman. Uma desvantagem
do sistema elGamal é que a mensagem criptografada se torna
muito grande, aproximadamente o dobro do tamanho da
mensagem original e, por esse motivo, é usada apenas para
mensagens pequenas, como chaves secretas.
técnicas de curva
elíptica
224 ou superior
pode ser usada para adaptar muitos algoritmos criptográficos,
como diffie-hellman ou elGamal. A principal vantagem da
criptografia é que as chaves podem ser muitos menores.
Criptografia assimétrica - confidencialidade
são usados para fornece confidencialidade sem pré-compartilhar uma senha.
o objetivo da confidencialidade dos algoritmos assimétricos é iniciando quando o processo de 
criptografia é iniciado com a chave pública.
chave pública (criptografar) + chave privada (descriptogrfar) = confidencialidade
quando a chave pública é usada para criptografar os dados, a chave privada deve ser usada 
para descriptografar os dados.
NetSec 181
apenas um host tem a chave privada.
se a chave privada estiver comprometida, outro par de chaves deve ser gerado para substituir 
a chave comprometida.
Criptografia assimétrica - autenticação
o objetivo da autenticação é iniciado quando o processo de criptografia é iniciado com a 
chave privada.
chave privada (criptografar) + chave pública (descriptografar) = autenticação
quando a chave privada é usada para criptografar os dados, a chave pública correspondente 
deve ser usada para descriptografar os dados.
como apenas um host tem a chave privada, somente esse host poderia ter criptografado a 
mensagem, fornecendo autenticação do remetente.
normalmente, nenhuma tentativa é feita para preservar o sigilo da chave pública, portanto, 
qualquer número de hosts pode descriptografar a mensagem.
quando um host descriptografa uma mensagem com êxito usando uma chave pública, é 
confiável que a chave privada criptografou a mensagem, o que verifica quem é o remetente.
Criptografia assimétrica - integridade
combinar os dois processos de criptografia assimétrica fornece confidencialidade, 
autenticação e integridade da mensagem.
Diffie-Hellman
algoritmo matemático assimétrico que permite que dois computadores gerem um segredo 
compartilhado idêntico sem terem se comunicado antes.
a nova chave compartilhada nunca é realmente trocada entre remetente e destinatário.
no entanto, como as duas partes o conhecem, a chave pode ser usada por um algoritmo de 
criptografia para criptografar o tráfego entre dois sistemas.
uso comum:
dados trocados usando VPN IPsec
dados SSHS
NetSec 182
a segurança se baseia no fato que ele usa números muitos grandes em seus cálculos.
usa diferentes grupos para determinar a força da chave que é usada no processo de acordo de 
chave
os números mais altos são mais seguros, mas exigem tempo adicional para calcular a chave.
DH group 1: 768 bits
DH group 2: 1024 bits
DH group 5: 1536 bits
DH group 14: 2048 bits
DH group 15: 3072 bits
DH group 16: 4096 bits.
também pode ser baseado em criptografia de curva elíptica, sendo os grupos 19, 20 e 24.
são extremamente lentos para qualquer tipo de criptografia em massa
Módulo 17 - Criptografia de chave pública
Criptografia de chave pública com assinaturas digitais
Visão geral da assinatura digital
assinaturas digitais são uma técnica matemática usada para fornecer autenticidade, 
integridade e não repúdio.
autenticidade: não pode ser falsificada e fornece prova de que o signatário, e ninguém 
mais, assinou o documento.
inalterável: após assinar um documento, ele não pode ser alterado.
NetSec 183
não reutilizável: a assinatura não pode ser transferida para outro documento
não repudiado: o documento assinado é considerado o mesmo que um documento físico.
usos:
assinatura de código: usado para fins de autenticação e integridade de dados.
usada para verificar a integridade dos arquivos executáveis baixados do site de um 
fornecedor.
também usa certificados digitais assinados para autenticar e verificar a identidade do 
site que é a origem dos arquivos.
certificados digitais: semelhantes a um cartão de identificação virtual e usados para 
autenticar a identidade do sistema com o site de um fornecedor e estabelecer uma 
conexão criptografada para trocar dados confidenciais.
algoritmos DSS (digital signature standard) que são usados para gerar e verificar assinaturas 
digitais:
digital signature algorithm (DSA): padrão original para gerar pares de chaves públicas 
e privadas e para gerar e verificar assinaturas digitais.
rivert-shamir adelman (RSA): algoritmo assimétrico que é comumente usado para 
gerar e verificar assinaturas digitais.
elliptice curve digital signature (ECDSA): variante mais recente do DSA e fornece 
autenticação de assinatura digital e não repúdio com os benefícios adicionais da 
eficiência computacional, tamanhos de assinatura pequenos e largura de banda mínima.
Assinaturas digitais para assinatura de código
assinaturas digitais são comumente usadas para garantir a autenticidade e integridade do 
código de software.
garantias fornecidas:
o código é autêntico e é realmente originado pela editora.
o código não foi modificado desde que saiu do editor de software
a editor publicou inegavelmente o código, fornecendo não repúdio à publicação.
a publicação 140-3 do FIPS (federal information processing standard) dos EUA especifica 
que o software disponível para download na internet deve ser assinado e verificado 
digitalmente.
Assinaturas digitais para certificados digitais
permite que usuários, hosts e organizações troquem informações com segurança pela 
Internet.
especificamente, ele é usado para autenticar a verificar se um usuário que está enviando uma 
mensagem é quem afirma ser.
NetSec 184
também podem ser usados para fornecer confidencialidade ao receptor com os meios de 
criptografar uma resposta.
para quem é certificado foi emitido, quem autorizou o certificado e por quanto tempo o 
certificado é válido.
um certificado verifica a identidade, uma assinatura verifica se algo vem dessa identidade.
Autoridades e o sistema de confiança PKI
Gerenciamento de chave pública
ao estabelecer uma conexão assimétrica entre dois hosts, os hosts trocarão suas informações 
de chave pública.
para implementar SSL em seu site, você compra um certificado SSL para seu domínio de um 
provedor de certificado SSL.
NetSec 185
a empresa terceirizada de confiança faz uma investigação aprofundada antes da emissão 
das credenciais.
após essa investigação, o terceiro emite credenciais que são difíceis de falsificar.
quando os computadores tentam se conectar a um site sobre HTTPS, o navegador 
verifica o certificado de segurança do site e verifica que é válido e originado de uma 
autoridade de certificação confiável (CA)
o certificado digital é salvo localmente pelo navegador da web e é usado em transações 
subsequentes.
a chave pública do siteestá incluída no certificado e é usada para verificar futuras 
comunicações entre o site e o cliente.
a infraestrutura de chave pública (PKI) consiste em especificações, sistemas e ferramentas 
que são usados para criar, gerenciar, distribuir, usar, armazenar e revogar certificados digitais.
a autoridade de certificação (CA) é uma organização que cria certificados digitais 
vinculando uma chave pública a uma identificação confirmada.
A infraestrutura de chave pública
a PKI é necessária para oferecer suporte à distribuição em larga escala e à identificação de 
chaves de criptografia públicas.
a estrutura consiste em hardware, software, pessoas, políticas e procedimentos.
os certificados PKI contêm a chave pública de uma entidade ou de um indivíduo, a sua 
finalidade, a autoridade de certificação (AC) que validou e emitiu o certificado, o intervalo de 
datas durante o qual o certificado é válido e o algoritmo usado para criar a assinatura.
o armazenamento de certificados reside em um computador local e armazena certificados 
emitidos e chaves privadas
o certificado de autoridade PKI (CA) é um terceiro confiável que emite certificados PKI 
para entidades e indivíduos após verificar sua identidade. Assina esses certificados usando 
sua chave privada.
o banco de dados de certificados armazena todos os certificados aprovados pela autoridade de 
certificação.
nem todos os certificados PKI são recebidos diretamente de uma autoridade de certificação. 
NetSec 186
uma autoridade de registro (RA) é uma autoridade de certificação subordinada e é 
certificada por uma autoridade de certificação raiz para emitir certificados para usos 
específicos.
O sistema de autoridades PKI
organizações podem ir atrás de fornecedores de PKI ou usar o Microsoft Server ou Open 
SSL.
as autoridades de certificação, especialmente aquelas que são terceirizadas, emitem 
certificados baseados em classes que determinam a confiabilidade de um certificado.
porém, não há um padrão para classes de certificados digitais, variando de de CA para 
CA.
o número de classe é determinado pelo rigor do procedimento que verificou a identidade 
do titular quando o certificado foi emitido.
quando maior o número de classes, mais confiável será o certificado.
0 usado para testes em situações em que não foram realizadas verificações
1 usado por indivíduos que exigem verificação de e-mail
2 usado por organizações para as quais a prova de identidade é necessária
3
usado para servidores de assinatura de software. A CA procede à verificação e
verificações independentes da identidade e da autoridade
4 usado para transações comercias online entre empresas
5 usado para organizações privadas ou segurança do governo.
algumas chaves públicas da CA são pré-carregadas, como as listadas em navegadores da web.
O sistema de confiança PKI
PKIs podem formar diferentes topologias de confiança, a mais simples é a topologia PKI de 
raiz única.
NetSec 187
topologias de AC certificadas cruzadas: modelo ponto a ponto na qual as ACs individuais 
estabelecem relações de confiança com outras ACs através da certificação cruzada.
os usuários em ambos os domínios da CA têm a certeza de que podem confiar uns nos 
outros.
fornece redundância e elimina o ponto único de falha.
topologias de CA hierárquicas: o CA de nível mais alto é chamado de raiz, podendo emitir 
certificados para usuários finais e para uma autoridade de certificação subordinada.
as subCAs podem ser criadas para suportar várias unidades de negócios, domínios ou 
comunidades de confiança.
a autoridade raiz mantém a “comunidade de confiança” estabelecida garantindo que cada 
entidade na hierarquia esteja em conformidade com um conjunto mínimo de práticas.
maior escalabilidade e maior capacidade de gerenciamento.
pode ser combina com uma topologia de certificação cruzada para criar uma 
infraestrutura híbrida.
NetSec 188
Interoperabilidade de diferentes fornecedores de PKI
a interoperabilidade entre uma PKI e seus serviços de suporte, como LDAP e diretórios 
X.500, é uma preocupação porque muitos fornecedores de CA propuseram e implementaram 
soluções proprietárias em vez de aguardar o desenvolvimento de padrões.
o IETF publicou o Internet X.509 Public Key Infrastructure Policy and Certification 
Practices Framework (RFC 2527).
X.509 versão 3 define o formato de um certificado digital.
Inscrição, autenticação e revogação de certificados
a primeira etapa no procedimento de autenticação da autoridade de certificação é obter com 
segurança uma cópia da chave pública da autoridade de certificação.
NetSec 189
certificado autoassinado, verifica todos os certificados emitidos pela autoridade de 
certificação e é vital para o bom funcionamento da PKI.
para muitos sistemas, como navegadores, a distribuição de certificados de CA é processada 
automaticamente.
ele vem pré-instalado com um conjunto de certificados raiz de CA públicos.
o processo de registro de certificado é usado por uma sistema host para se inscrever com uma 
PKI.
para fazer isso, certificados CA são recuperados na banda em uma rede e a autenticação 
é feita fora de banda.
uma vez inscritos, a autenticação entre duas partes não depende mais da presença do 
servidor CA, pois cada usuário troca seus certificados contendo chaves públicas.
métodos comuns de revogação:
lista de revogação de certificados (CRL): lista de número de série de certificados 
revogados que foram invalidados porque expiraram. 
protocolo de status de certificado online (OCSP): protocolo de internet usado para 
consultar um servidor OCSP para o status de revogação de um certificado digital X.509. 
as informações de revogação são imediatamente enviadas para um banco de dados 
online.
Aplicações e impactos da criptografia
Aplicações PKI
autenticação de peer baseada em certificado SSL/TLS
proteger o tráfego de rede usando VPNs IPsec
tráfego da web HTTPS
controle de acesso à rede com 802.1X
e-mail seguro com protocolo S/MIME
mensagens instantâneas seguras
aprovação e autorização de aplicativos com assinatura de código
proteção de dados do usuário com o sistema de arquivos de criptografia (EFS)
implementação de autenticação de dois fatores com cartões inteligentes
proteção de dispositivos de armazenamento USB
Transações de rede criptográfica
problemas relacionados à PKI associados a avisos de segurança:
NetSec 190
faixa de datas de validade: X509v3 especifica datas “não antes” e “não depois”
erro de validação de assinatura
SSL/TLS são extensíveis e modulares, isto é conhecido como conjunto de cifras.
MAC, algoritmo de criptografia, algoritmo de troca de chaves e o algoritmo de 
autenticação.
podem ser alterados sem substituir todo o protocolo.
Criptografia e monitoramento de segurança
o que analistas de segurança podem fazer para monitorar pacotes criptografados:
configurar regras para distinguir entre tráfego SSL e não SSL, tráfego SSL HTTPS e SSL
HTTP
melhorar a segurança através da validação de certificados de servidor utilizando CRLs e 
OCSP
implementar proteção antimalware e filtragem de URL de conteúdo HTTPS.
maneiras em que a criptografia afeta as investigações de segurança:
os ataques podem ser direcionados especificamente para os próprios algoritmos de 
criptografia.
após o algoritmo ter sido rachado o invasor obtém as chaves, todos os dados 
criptografados que foram capturados podem ser descriptografados pelo invasor e 
lidos, expondo assim dados privados.
a investigação de segurança também é afetada porque os dados podem ser escondidos à 
vista, encriptando-os.
Módulo 18 - VPNs
Visão Geral VPN
Redes Privadas Virtuais
para proteger o tráfego de rede entre sites e usuários, as organizações usam VPNs para criar 
conexões de rede privadas de ponta a ponta.
uma VPN é virtual, pois carrega informações dentro de uma rede privada, mas essas 
informações são realmente transportadas por uma rede pública.
uma VPN é privada, pois o tráfego é criptografado para manter os dados confidenciais 
enquanto são transportadospela rede pública.
o túnel permite que sites remotos e usuários acessem os recursos da rede do site principal 
com segurança.
NetSec 191
Vantagens de VPN
agora suportam recursos de criptografia, como segurança do Protocolo da Internet (IPsec) e 
Secure Socket Layer (SSL) para proteger o tráfego de rede entre sites.
redução de custos
com o advento de tecnologias econômicas e de alta largura de banda, as organizações
podem usar VPNs para reduzir seus custos de conectividade enquanto aumenta
simultaneamente a largura de banda da conexão remota
segurança
fornece o mais alto nível de segurança disponível, usando protocolos avançados de
criptografia e autenticação que protegem os dados de acesso não autorizado
escalabilidade
VPNs permitem que as organizações usem a Internet, facilitando a adição de novos
usuários sem adicionar infraestrutura significativa
compatibilidade
podem ser implementadas em uma ampla variedade de opções de link WAN incluindo
todas as tecnologias populares de banda larga. Trabalhadores remotos podem aproveitar
essas conexões de alta velocidade para obter acesso seguro às suas redes corporativas.
Topologias VPN
VPN site a site e acesso remoto
VPN de site a site: criada quando dispositivos e terminação da VPN, gateways VPN, são 
pré-configurados com informações para estabelecer um túnel seguro.
o tráfego é criptografado apenas entre esses dispositivos.
hosts internos não sabem que uma VPN está sendo usada.
NetSec 192
VPN de acesso remoto: criada dinamicamente para estabelecer uma conexão segura entre 
um cliente e um dispositivo de terminação da VPN.
VPNs de acesso remoto
VPNs de acesso remoto permitem que usuários remotos e móveis se conectem com 
segurança à empresa, criando um túnel criptografado.
os usuários remotos podem replicar com segurança o acesso à segurança da empresa, 
incluindo aplicativos de email e rede.
permitem que contratados e parceiros tenham acesso limitado a servidores, páginas da web 
ou arquivos específicos, conforme necessário.
VPNs de acesso remoto geralmente são ativadas dinamicamente pelo usuário quando 
necessário.
podem ser criadas usando IPsec ou SSL
NetSec 193
conexão VPN sem cliente: a conexão é protegida usando uma conexão SSL do 
navegador da web.
SSL é usado principalmente para proteger o tráfego HTTPS e protocolos de e-mail.
a conexão SSL é estabelecida primeiro e, em seguida, os dados são trocados.
conexão VPN baseada no cliente: o software cliente VPN deve ser instalado no 
dispositivo final do usuário remoto.
usuários devem iniciar a conexão VPN usando o cliente VPN e, em seguida, 
autenticar no gateway VPN de destino.
quando usuários remotos são autenticados, eles têm acesso a arquivos e aplicativos 
corporativos.
o software cliente VPN criptografa o tráfego usando IPsec ou SSL e o encaminha 
pela internet para o gateway VPN de destino.
VPNs SSL
quando um cliente negocia uma conexão SSL VPN com o gateway VPN, na verdade ele se 
conecta usando o TLS.
SSL usa a infraestrutura de chave pública e os certificados digitais para autenticar pares.
tecnologias IPsec e SSL VPN oferecem acesso a praticamente qualquer recurso ou aplicativo 
de rede.
o tipo de método de VPN implementado é baseado nos requisitos de acesso dos usuários e 
nos processos de TI da organização.
recurso IPsec SSL
aplicativos suportados
extensivo - todos os aplicativos
baseados em IP são suportados
limitado - somente aplicativos e
arquivos baseados no compartilhamento
web são suportados
NetSec 194
recurso IPsec SSL
força de autenticação
forte - usa autenticação bidirecional
com chaves compartilhadas ou
certificados digitais
moderado - usando autenticação
unidirecional ou bidirecional
força de criptografia
forte - usa comprimentos de chave
de 56 a 256 bits
moderado a forte - com comprimentos
de chave de 40 a 256 bits
complexidade da conexão
médio - porque requer um cliente
VPN pré-instalado em um host
baixo - requer apenas um navegador da
web em um host
opção da conexão
limitado - somente dispositivos
específicos com configurações
podem se conectar
extensivo - qualquer dispositivo com
um navegador web pode se conectar.
IPsec e SSL são complementares.
VPNs IPsec site a site
são usadas para conectar redes através de outra rede não confiável, como a Internet.
hosts finais enviam e recebem tráfego TCP/IP não criptografado normal por meio de um 
dispositivo de terminação VPN.
gateway VPN, pode ser um router ou um firewall.
encapsula e criptografa o tráfego de saída, em seguida, envia o tráfego através de um 
tunel VPN pela internet para um gateway VPN no site de destino.
após o recebimento, o gateway VPN receptor retira os cabeçalhos, descriptografa o 
conteúdo e retransmite o pacote em direção ao host de destino dentro de sua rede 
privada.
VPNs site a site geralmente são criada e protegidas usando IPsec.
Visão geral do IPsec
Tecnologias IPsec
padrão IETF (RFC 2401 - 2412) que define como uma VPN pode ser protegida em redes IP.
protege e autentica pacotes IP entre a origem e o destino.
protege o tráfego da L4 a L7.
funções essenciais de segurança:
confidencialidade: uso algoritmos de criptografia para impedir que criminosos 
cibernéticos leiam o conteúdo do pacote
integridade: usa algoritmos de hash para garantir que os pacotes não tenham sido 
alterados entre a origem e o destino
autenticação de origem: usa o protocolo da Internet Key Exchange (IKE) para 
autenticar origem e destino.
NetSec 195
método de autenticação inclui chaves pré-compartilhadas, certificados digitais ou 
certificados RSA
diffie-hellman: intercâmbio de chaves seguros tipicamente usando vários grupos do 
algoritmo DH.
não está vinculado a nenhuma regras específica para comunicações seguras.
permite que o IPsec integre facilmente novas tecnologias de segurança sem atualizar 
padrões IPsec existentes.
protocolo IPsec
as opçõs incluem autenticação de cabeçalho ou protocolo de segurança de
encapsulamento (ESP). AH autentica pacotes de L3. ESP criptografa pacotes
de L3. ESP + AH não atravessa NAT
confidencialidade
padrão avançado de criptografia (AES) ou algoritmo de criptografia otimizado
de software (SEAL). DES e 3DES por serem legados, devem ser evitados.
integridade
hash seguro (SHA) ou MD5, que é inseguro e deve ser evitado. SHA-256 é
recomendado para proteger informações sensíveis. SHA-384 e SHA-512 são
necessários para proteger informações classificadas de maior importância.
autenticação
intercâmbio de chaves da internet (IKE) para autenticar usuários e
dispositivos que podem realizar a comunicação de forma independente. IKE
usa vários tipos de autenticação, incluindo nome de usuário, sena única,
biometria, chaves pré-compartilhadas (PKS) e certificados digitais usando
RSA
diffie-hellman
usado para fornecer um método de troca de chave pública para dois pares para
estabelecer uma chave secreta compartilhada. Grupos 1, 2 e 5 não são mais
recomendados, use o 14, 15 ou 16 e os de curva elíptica 19,20 e 21.
uma associação de segurança exclusiva (SA) é um componente básico do IPsec.
ao estabelecer um link VPN, os pares devem compartilhar o mesmo SA para 
negociar os parâmetros de troca de chaves, estabelecer uma chave compartilhada, 
autenticar uns aos outros e negociar os parâmetros de criptografia.
NetSec 196
Encapsulamento do protocolo IPsec
a escolha do encapsulamento do IPsec é o primeiro bloco de construção da estrutura.
a escolha de AH ou ESP estabelece quais outros blocos de construção estão disponíveis.
AH: apropriado somente quando a confidencialidade não é necessária ou permitida. 
fornece autenticação e integridade de dados, mas não fornece confidencialidade de 
dados (criptografia)
ESP: fornece confidencialidade e autenticação.
fornece confidencialidade executando a criptografia no pacote IP
fornece autenticação para o pacote IP interno e o cabeçalho ESP.
autenticação de origem e integridade de dados.
embora a criptografia e a autenticação sejam opcionais, pelo menos um deve ser 
selecionado.
Confidencialidadealcançada criptografando os dados.
o grau de confidencialidade depende do algoritmo de criptografia e do comprimento da chave 
usada.
algoritmos de criptografia simétrica:
DES: tecla de 56 bits, deve ser evitado
3DES: usa três chaves de criptografia independentes de 56 bits por bloco de 64 bits. 
Computacionalmente desgastante e deve ser evitado.
AES: oferece três comprimentos de chaves diferentes, 128, 192 e 256 bits
SEAL: cifra de fluxo, ou seja, criptografa dados continuamente, em vez de criptografar 
blocos. Usa tecla de 160 bits.
Integridade
os dados recebidos são exatamente os mesmos dados que foram enviados.
como os dados da VPN são transportados pela internet pública, é necessário um método para 
provar a integridade dos dados para garantir que o conteúdo não tenha sido alterado.
HMAC é um algoritmo de integridade de dados que garante a integridade da mensagem 
usando um valor de hash.
MD5: chave secreta compartilhada de 128 bits. 
mensagem de tamanho variável e a chave secreta compartilhada são combinada e 
executadas pelo algoritmo.
a saída é um hash de 128 bits.
NetSec 197
deve ser evitado
SHA: chave de 160 bits.
a mensagem de comprimento variável e a chave secreta compartilhada são 
combinadas e executadas pelo algoritmo .
a saída é um hash de 160 bits.
SHA-256 ou superior.
Autenticação
o dispositivo na outra extremidade do túnel da VPN deve ser autenticado antes que o 
caminho da comunicação seja considerado seguro.
PSK: valor de chave secreta pré-compartilhado que é inserido manualmente em cada par.
combinado com outras informações para formar a chave de autenticação.
não escalam bem.
RSA: usa certificados digitais para autenticar os pares.
o dispositivo local deriva um hash e o criptografa com sua chave privada.
o hash criptografado é anexado à mensagem e é encaminhado para a extremidade remota 
e age como uma assinatura.
na extremidade remota, o hash criptografado é descriptografado usando a chave pública 
da extremidade local.
NetSec 198
Troca de chaves segura com diffe-hellman
algoritmos de criptografia requerem uma chave secreta simétrica e compartilhada para 
executar criptografia e descriptografia.
o método mais fácil de troca de chaves é usar um método de troca de chaves pública, como 
diffie-hellman.
fornece uma maneira para dois pares estabelecerem uma chave secreta compartilhada que 
somente eles conhecem, mesmo que estejam se comunicando por um canal inseguro.
grupos DH 1, 2 e 5 não devem mais ser usados.
tamanhos de chaves de 768 bits, 1024 e 1536.
grupos 14, 15 e 16 usam tamanhos de chaves de 2048, 3072 e 4096 bits e são 
recomendados para uso até 2030.
grupos 19, 20, 21 e 24 com tamanhos de chave de 256, 348, 521 e 2048 bits oferecem 
suporte à criptografia de curva elíptica (ECC), que reduz o tempo necessário para gerar 
chaves. Grupo 24 é a criptografia preferida da próxima geração.
Protocolo IPsec
Cabeçalho de autenticação
AH atinge a autenticidade aplicando uma função hash unidirecional de um pacote para criar 
um hash ou message digest.
o hash é combinado com o texto e é transmitido em texto simples.
o hash constrói um novo cabeçalho AH, que é inserido no pacote original.
o receptor detecta alterações em qualquer parte do pacote que ocorre durante o trânsito 
executando a mesma função de hash unidirecional no pacote recebido e comparando o 
resultado para o valor da mensagem que o remetente forneceu.
a autenticidade é assegurada porque o hash único também emprega uma chave secreta 
compartilhada entre os dois sistemas
NetSec 199
a função AH é aplicada a todo o pacote, exceto para quaisquer campos de cabeçalho IP que 
normalmente mudam em trânsito.
Protocolo de segurança de encapsulamento
se ESP for selecionado como protocolo IPsec, um algoritmo de criptografia também deve ser 
selecionado.
o ESP também pode fornecer integridade e autenticação
primeiro a carga útil é criptografada, em seguida é enviada através de um algoritmo 
hash.
o hash fornece autenticação e integridade.
opcionalmente, o ESP pode impor a proteção anti-replay.
verifica se cada pacote é único e não duplicado.
funciona mantendo a faixa dos números de sequência de pacotes e usando uma janela 
deslizante na extremidade de destino.
quando uma conexão é estabelecida entre uma fonte e destino, seus contadores são 
inicializados em zero.
cada vez que um pacote é enviado, um número de sequência é anexado ao pacote pela 
fonte.
o destino usa a janela deslizante para determinar quais números de sequência são 
esperados.
ESP criptografa e autentica
quando a autenticação e a criptografia são selecionadas, a criptografia é executada primeiro.
uma razão para essa ordem de processamento é que ela facilita a detecção rápida a 
rejeição de pacotes repetidos ou falsos pelo dispositivo de recebimento.
antes de criptografar o pacote, o receptor pode autenticar pacotes de entrada.
o ESP fornece confidencialidade com a criptografia e fornece integridade com a autenticação.
NetSec 200
Modos de transporte e túnel
modo de transporte: a segurança é fornecida apenas da L4 para cima. Protege a carga útil 
do pacote, mas deixa o IP original em texto simples. O IP original é usado para encaminhar o 
pacote através da internet. Usado entre os hosts.
modo de túnel: fornece segurança para o pacote IP original completo, sendo criptografado e, 
em seguida, é encapsulado em outro pacote IP, IP-IN-IP. O endereço IP no pacote IP externo 
é usado para encaminhar o pacote através da internet.
usado entre um host e um gateway de segurança ou entre dois gateways de segurança.
para aplicativos host-to-gateway, um cliente IPsec em execução no PC executa o 
encapsulamento e a criptografia IPsec IP-IN-IP.
para aplicativos de gateway-to-gateway, em vez de carregar o IPsec em todos os 
computadores, é mais fácil ter os gateways de segurança para executar a criptografia e 
encapsulamento IP-IN-IP.
NetSec 201
Troca de chave da internet
O protocolo IKE
padrão de protocolo de gerenciamento de chaves.
é usado em conjunto com o padrão IPsec.
negocia automaticamente associações de segurança IPsec e permite comunicações seguras 
IPsec.
aprimora o IPsec adicionando recursos e simplifica a configuração padrão.
protocolo híbrido que implementa protocolos de câmbio dentro da estrutura Isakmp protocol 
(Isakmp)
define o formato da mensagem, a mecânica de um protocolo de troca de chaves e o 
processo de negociação para construir um SA para IPsec.
em vez de transmitir chaves diretamente em uma rede, o IKE calcula chaves compartilhadas 
com base na troca de uma série de pacotes de dados.
NetSec 202
desativa que um terceiro descriptografe as chaves, mesmo que o terceiro tenha capturado 
todos os dados trocados que foram usados para calcular as chaves.
porta UDP 500
Fase 1 e 2 Principais negociações
a fase 1 negocia uma associação de segurança (uma chave) entre dois partes IKE.
a chave permite que os pares IKE se comuniquem firmemente na fase 2.
durante a negociação da fase 1, o IKE estabelece chaves (associações seguras) para outras 
aplicações como o IPsec.
na fase 1, dois pares IPsec realizam a negociação inicial do SAS.
o objetivo básico é negociar a política ISAKMP, autenticar os pares e configurar um 
túnel seguro entre os pares.
esse túnel será então usado na fase 1 para negociar a política IPsec.
pode ser implementada em dois modos:
principal: as identidades dos dois pares são ocultas.
agressivo: leva menos tempo do que o principal para negociar chaves entre os pares, 
no entanto, uma vez que o hash de autenticação é enviado não criptografado antes 
que o túnel seja estabelecido, o modo agressivo é vulnerável a ataques de força 
bruta.
Fase 2: negociar SAS
o objetivo da fase 2 é negociar parâmetros de segurança IPsec que serão usados para proteger 
o túnel IPsec.
NetSec 203
chamada de modo rápido e só pode ocorrer depois que o IKe estabeleceu um túnel seguro na 
fase 1.
a SAS é negociada pelo processo IKE ISAKMP em nome do IPsec, que precisa de chavesde 
criptografia para operação.
nesta fase, o SAS que o IPsec usa são unidirecionais, portanto, uma troca de chaves separada 
é necessária para cada fluxo de dados.
também renegocia um novo IPsec SA quando a vida útil do IPsec SA expira.
basicamente, ele atualiza o material da chave que cria a chave secreta compartilhada.
IKE versão 2 (RFC 5996) é um aprimoramento do protocolo IKE
suporta detecção NAT e TRAVERSAL NAT (NAT-T) durante a fase 1.
Módulo 19 - Implemente o IPsec VPNs site a site
Configurar uma VPN IPsec Site a site
Negociação IPsec
para que um túnel VPN IPsec se torne operacional, a negociação IPsec deve primeiro ocorrer.
o processo de negociação IPsec para estabelecer uma VPN envolve cinco etapas, que incluem 
a fase 1 e 2 da IKE
1. um túnel de protocolo de gerenciamento de associação de chaves de segurança da internet é 
iniciado quando o host A envia tráfego “interessante” para hospedar B.
a. o tráfego é considerado interessante quando ele viaja entre os pares e atende aos critérios 
definidos em uma ACL.
2. fase 1 do IKE inicia.
3. fase 2 do IKE começa, os pares usam o túnel seguro autenticado para negociar a política 
IPsec SA
4. o túnel IPsec é criado e os dados são transferidos entre os pares IPsec com base no IPsec 
SAS.
5. o túnel termina quando o IPsec SAS é excluído manualmente ou quando sua vida expira.
Tarefas de configuração VPN IPsec site a site
requisitos de política de segurança:
criptografar o tráfego com AES 256 e SHA
autenticar com PSK
chaves de troca com o DH group 14
tempo de vida do túnel ISAKMP de 1 hora.
túnel IPsec usa esp com uma vida de 15 minutos
NetSec 204
tarefas de configuração:
configurar a política ISAKMP para IKE fase 1
configurar a política IPsec para IKE fase 2
configurar uma mapa crypto para política IPsec
aplicar a política IPsec
verificar se o túnel está operacional.
Configurações de ACLs existentes
antes de implementa ruma VPN IPsec site a site, assegure-se de que as ACLs existentes não 
bloqueiem o tráfego necessário para as negociações de IPsec.
Manipulação de transmissão e tráfego multicast
IPsec só suporta tráfego unicast.
para ativar o tráfego de protocolo de roteamento, os pares em uma implementação de VPN do 
IPsec precisam ser configurados com um túnel de encapsulação de roteamento genérico 
(GRE) para o tráfego multicast.
suporta o tunelamento de multiprotocolos.
pode encapsular vários tipos de pacote de L3 dentro de um túnel IP.
oferece suporte ao tunelamento IP multicast.
não fornece criptografia.
NetSec 205
Políticas de ISAKMP
As políticas padrão ISAKMP
a política ISAKMP lista o SAS que o router está disposto a estabelecer o túnel da fase 1 do 
IKE.
para visualizar as políticas padrão show crypto isakmp default policy
NetSec 206
se nenhuma outra política foi definida pelo administrador, o router tentará usar a política 
padrão mais segura.
se o remetente tiver uma política correspondente, então eles podem negociar com êxito o 
túnel IKE 1 ISAKMP sem qualquer configuração pelo administrador.
se não houver acordo para usar a política padrão mais segura, o router tentará usar a próxima 
política mais segura.
Sintaxe para configurar uma nova política ISAKMP
crypto isakmp policy para configurar uma nova política.
o único argumento para o comando é definir uma prioridade para a política (1 a 10000)
os pares tentarão negociar usando a política com o menor número (maior prioridade)
quando no modo de configuração da política, o SAS para o túnel de fase 1 IKE pode ser 
configurado usando:
hash
autenticação
grupo
tempo de vida
encriptação
Configuração da política ISAKMP
NetSec 207
Configuração da chave pré-compartilhada
o administrador pode especificar um nome de host ou IP para o par
Política IPsec
Definir tráfego interessante
embora a política ISAKMP para o túnel da fase 1 seja configurada, o túnel ainda não existe
show crypto isakmp sa
para definir o tráfego interessante, configure cada router com uma ACL para permitir o 
tráfego da LAN local para a LAN remota.
use o crypto map para especificar qual tráfego desencadeará o início da fase 1 do IKE.
NetSec 208
Configurar conjunto de transformação IPsec
configurar o conjunto de algoritmos de criptografia e hash que serão usados para transformar 
os dados enviados pelo túnel IPsec.
conjunto de transformação
durante as negociações da IKE fase 2, os pares concordam com o conjunto de transformação 
IPsec para ser usado para proteger o tráfego interessante.
crypto ipsec transform-set para configurar um conjunto de transformação.
depois que o conjunto de transformações é nomeado, a criptografia e o algoritmo de hashing 
podem ser configurados em qualquer ordem.
Mapa de Crypto
Sintaxe para configurar um mapa de criptografia
agora que o tráfego interessante foi definido e um conjunto de transformação IPsec foi 
configurado, é hora de se ligar essas configurações com o restante da política IPsec em uma 
mapa cypto.
o número de sequência é importante ao configurar várias entradas de mapa crypto.
NetSec 209
map-name identifica o conjunto de mapa crypto
seq-num
número da sequência que você atribui à entrada do mapa crypto. Use crypto map map-
name-seq-num sem qualquer palavra-chave para modificar a entrada ou o perfil
existente do mapa crypto
ipsec-isakmp
indica que IKE será usado para estabelecer o IPsec para proteger o tráfego especificado
por esta entrada de mapa crypto
ipsec-manual
indica que IKE não será usado para estabelecer o IPsec SAS para proteger o tráfego
especificado por esta entrada de mapa crypto.
Configuração do mapa crypto
etapas:
vincular ACL e a transformação definida no mapa
especificar o IP do par
configurar o grupo DH
configurar o tempo de vida do túnel IPsec
NetSec 210
show crypto map para verificar a configuração do mapa Crypto
Aplicar e verificar o mapa crypto
configuração de interface para a interface de saída o comando crypto map map-name
VPN IPsec
Envie tráfego interessante
agora que ambas as políticas ISAKMP e IPsec estão configuradas e o mapa Crypto foi 
aplicado às interfaces de saída apropriadas, teste os dois túneis enviando tráfego interessante 
no link.
NetSec 211
Verifique os túneis ISAKMP e IPsec
show crypto isakmp sa e show crypto ipsec sa
Módulo 20 - Introdução ao ASA
Soluções ASA
Modelos de firewall ASA
a família de produtos Cisco ASA com FirePOWER Services fornece serviços de firewall 
dedicados em um dispositivo.
são firewall de nova geração (NGFW) que oferece defesa integrada de ameaças em todo 
a continuidade de ataque.
NetSec 212
a escolha do modelo ASA depende dos requisitos de uma organização, como rendimento 
máximo, conexões máximas por segundo e orçamento.
todos os modelos fornecem recursos de firewall avançados e funcionalidade VPN.
a maior diferença entre os modelos é o rendimento máximo de tráfego tratado por cada 
modelo e o número e tipos de interfaces.
cisco firepower 1000, 2100, 4100 e 9300.
a cisco também suporta a virtualização da infraestrutura de computação, aproveitando a 
maior disponibilidade de energia dos modernos servidores x86.
Cisco Adaptive Security Virtual Appliance (ASAV)
suporta VPN de site para o site, acesso remoto e funcionalidades VPN sem clientes.
não suporta cluster e múltiplos contextos.
modelos:
ASAv5: 2gb de memória e entrega 100mbps de taxa de transferência de 
inspeção de estado
ASAv10: 4gb de memória e entrega 1gbps de taxa de transferência de inspeção 
de estado
ASAv30: 8gb de memória e entrega 2gbps de taca de transferência de inspeção 
de última geração
ASAv50: 16gb de memória e entrega até 10gbps de taxa de transferência de 
inspeção
ASAv100: requer 32gb de memória e entrega até 20gbps de taxa de 
transferência de inspeção de estado.
Recursos avançados de firewall ASA
virtualização ASA: um único ASA pode ser particionado em vários dispositivos virtuais.
cada dispositivo é chamado de contexto de segurança, cada um é um dispositivo 
independente, com sua própria política de segurança, interfacese administradores.
vários contextos são semelhantes a ter vários dispositivos autônomos.
recursos que não são suportados são VPN e protocolos de roteamento dinâmico.
NetSec 213
alta disponibilidade com failover: dois ASA idênticos podem ser emparelhados em uma 
configuração de failover ativo/standby para fornecer redundância de dispositivos.
ambas as plataformas devem ser idênticas em software, licenciamento, memória e 
interfaces, incluindo o módulo Security Services (SSM)
firewall de identidade: fornece controle opcional de acesso granulado com base em uma 
associação de IPs para informações de login do Windows Active Directory.
esses serviços aumentam os mecanismos de controle de acesso e segurança de acesso 
existentes, permitindo aos usuários ou grupos, a serem especificados no lugar dos IPs de 
origem.
as políticas de segurança baseadas em identidade podem ser intercaladas sem restrição 
entre as regras tradicionais baseadas em IP.
NetSec 214
serviços de controle e contenção de ameaças: todos os modelos ASA suportam recursos 
básicos do IPS.
no entanto, os recursos avançados só podem ser fornecidos integrando módulos especiais 
de hardware com a arquitetura ASA.
a capacidade IPS está disponível usando os módulos avançados de inspeção e prevenção 
(AIP).
recursos antimalware podem ser implantados integrando o módulo de segurança de 
conteúdo e controle (CSC).
módulo avançado de inspeção e prevenção do Cisco (AIP-SSM) e cartão de serviços de 
segurança de inspeção e prevenção da cisco (AIP-SSC) .
ambos fornecem proteção contra dezenas de milhares de explorações conhecidas.
Cisco Firepower Series
o NGFW combina tecnologia comprovada de firewall com recursos avançados de detecção 
de ameaças e malware.
consolidam várias camadas de segurança em uma única plataforma, eliminando o custo de 
compra e gerenciamento de várias soluções.
cisco ASa 5500-X com FirePOWER foi projetado para filiais de pequeno e médio porte, 
combina os recursos de firewall stateful do ASA 5500 com alguns dos seguintes recursos 
avançados de detecção de ameaças e malware:
IPS de próxima geração (ngips)
advanced malware protection (AMP)
controle de aplicativos e filtragem de URL 
Revisão dos firewalls em design de rede
os firewalls protegem as redes internas contra acesso não autorizado pelos usuários que estão 
em uma rede externa.
também protegem os usuários de rede dentro uns dos outros.
NetSec 215
o cisco ISRS pode fornecer recursos de firewall usando o firewall de política baseado em 
zona (ZPF) ou usando o recurso de controle de acesso baseado em contexto (CBAC).
um ASA fornece os mesmos recursos, mas a configuração difere consideravelmente da 
configuração do router do iOS do ZPF.
o ASA é um aparelho dedicado de firewall..
por padrão, trata uma interface interna definida como a rede confiável e quaisquer 
interfaces externas definidas como redes não confiáveis.
cada interface tem um nível de segurança associado.
esses níveis permitem a implementação de políticas de segurança.
podem ser chamados de níveis de confiança.
ASA firewall modos de operação
modo roteado, duas ou mais interfaces separam a L3 (domínios)
suporta várias interfaces
cada interface está em uma sub-rede diferente e requer um IP nessa sub-rede.
aplica política a fluxos à medida que transitam o firewall.
modo transparente (bump in the wire), faz com o que o ASA funcione como um 
dispositivo de L2 e não é considerado um salto de router.
útil para simplificar uma configuração de rede ou quando o endereçamento IP existente 
não puder ser alterado.
não suporta protocolos de roteamento dinâmico, VPNs, QoS ou DHCP.
NetSec 216
Requisitos de licenciamento ASA
a maioria dos aparelhos ASA vem pré-instalada com uma licença base ou uma licença 
“security plus”.
a licença security plus permite a dimensão Cisco ASA 5506-X suportar uma capacidade 
de conexão mais alta e até 50 usuários dde VPN IPsec.
adiciona suporte completo ao DMZ e integra os ambientes de rede computados por meio 
do suporta ao VLAN Trunking.
permite o suporta para conexões IPS redundantes e serviços de alta disponibilidade 
ativo/standby stateful.
para fornecer mais recursos ao ASA, licenças adicionais com base no tempo ou opcionais 
podem ser adquiridas.
combinando essas licenças adicionais com as licenças pré-instaladas cria-se uma licença 
permanente
ativada instalando uma chave de ativação permanente usando o comando activation-key
NetSec 217
O ASA 5506-X com firePOWER services
Visão geral do ASA 5506-X
dispositivo de segurança completo para pequenas empresas, escritórios de filiais e ambientes 
de teletrabalho presencial.
fornece firewall de alto desempenho, SSL VPN, VPN IPsec e serviços de rede em um 
aparelho modular, plu-and-play.
memória DRAM padrão de 4gb e flash de 8gb.
Níveis de segurança ASA
atribui níveis de segurança para distinguir entre redes internas e externas.
níveis de segurança definem o nível de confiabilidade de uma interface
quanto maior o nível, mais confiável a interface.
0 a 100 (mais confiável)
cada interface operacional deve ter um nome e um nível de segurança;
quando o tráfego se move de uma interface com um nível de segurança maior para uma 
interface com um nível de segurança menor, é considerado tráfego de saída.
o oposto é tráfego de entrada.
ajudam a controlar muitos aspectos do tráfego de rede:
acesso à rede por padrão, há uma permissão implícita de uma interface de segurança maior
para uma interface de segurança menor. Os hosts na interface de segurança
superior podem acessar hosts em uma interface de segurança menor. Várias
NetSec 218
interfaces podem ser atribuídas ao mesmo nível de segurança. Se a
comunicação for ativada para interfaces com o mesmo nível de segurança, há
uma licença implícita para o tráfego entre as interfaces
motores de inspeção
alguns motores de inspeção de aplicativos são dependentes de nível de
segurança. Quando as interfaces têm o mesmo nível de segurança, o ASA
inspeciona o tráfego em qualquer direção.
filtragem de
aplicações
a filtragem HTTPS e FTP se aplica apenas para conexões de saída que são de
um nível mais alto para um nível inferior. Se a comunicação estiver habilitada
para interfaces com o mesmo nível de segurança, o tráfego pode ser filtrado em
qualquer direção.
o tráfego de saída é permitido e inspecionado por padrão.
o tráfego retornando é permitido por causa da inspeção de pacotes.
o tráfego que vem da rede externa e indo para a DMZ ou a rede interna, é negado por padrão.
retornar o tráfego originário da rede interna e retornando através da interface externa é 
permitido.
qualquer exceção a este comportamento padrão requer a configuração de uma ACL para 
permitir explicitamente o tráfego de uma interface com um nível de segurança menor para 
uma interface com um nível de segurança maior.
Cenários de implantação ASA 5506-X
comumente usado como um dispositivo de segurança de borda.
conecta uma pequena empresa a um dispositivo ISP, como um modem DSL ou cabo, para 
acesso à internet.
pode ser implantado para interconectar e proteger várias estações de trabalho, impressoras de 
rede e telefones IP.
implantação de ASA em um pequeno negócio, ficando entre dois segmentos de rede 
protegidos, um a rede interna e outro a DMZ.
NetSec 219
em uma implantação corporativa pode ser usado por telecomutadores e usuários domésticos 
para se conectar a uma localização centralizada usando uma VPN
Módulo 21 - Configuração do Firewall ASA
Configuração de firewall ASA básica
Configurações básicas do ASA
a CLI do ASA é um OS proprietário que tem a aparência similar ao router IOS.
permite:
abreviação de comandos e palavras-chave
tecla tab para concluir o comando parcial
uso do ? depois de um comando para visualizar sintaxe adicional.
NetSec 220
comando router IOS comando ASA equivalente
enable secret password enable password password
line vty 0 4
password
password
login
passwd password
ip route route if_name
show ip interface brief show interfaceip brief
show ip route show route
show ip nat translations show xlate
copy running-config startup-config write [memory]
erase startup-conig write erase
os comandos podem ser executados apesar do modo de configuração sem o uso do do.
todos os modelos ASA podem ser configurados e controlados usando CLI ou o gerenciados 
de dispositivo de segurança adaptável (ASDM)
Configuração padrão ASA
pode ser restaurado para sua configuração padrão de fábrica com configure factory-default
NetSec 221
por padrão, as senhas EXEC privilegiado e linha de console não configuradas.
todas as interfaces são desligadas e sem nome
Assistente interativo de inicialização da instalação ASA
o assistente é indicado quando não há nenhuma configuração de inicialização ou se a 
configuração de inicialização é apagada e o ASA é recarregado usando o write erase e 
reload
quando o dispositivo é recarregado, o assistente indica o alerta “Pre-configure firewall now 
through interactive prompt [yes]?”
você pode usar no ou yes.
NetSec 222
depois que a parte interativa do assistente é terminada, a ferramenta de segurança indica o 
sumário da configuração nova e solicita que o usuário salve ou rejeite os ajustes.
Configurar configurações e serviços de gerenciamento
Entrar no modo de configuração global
ciscoasa> é indicado quando uma configuração ASA é apagada, o dispositivo é recarregado e 
o usuário não usa o assistente de instalação interativo.
enable para entrar no modo EXEC privilegiado.
data e hora devem ser ajustadas manualmente ou usando NTP, use clock set.
use configure terminal para entrar no modo de configuração global.
a primeira vez que é acessado uma mensagem pertencente ao recurso Smart Call Home 
aparece, permitindo a ativação do relatório de erro anônimo.
outros recursos são acessado através do comando call-home.
oferecem diagnósticos proativos e alertas em tempo real nos dispositivos selecionados.
Definir configurações básicas
hostname name
- especifica o nome de host de até 63 caracteres
- um nome deve iniciar e terminar com uma letra ou um dígito e ter como
caracteres interiores apenas letras, dígitos ou um hífen
domain-name name nome de domínio padrão
enable password password
- define a senha do modo EXEC privilegiado
- define a senha como uma string que diference maiúsculas e minúsculas de 3
a 32 caracteres alfanuméricos e especiais (não inclui ponto de interrogação
ou espaço)
NetSec 223
banner motd message
notificação legal para configurar o sistema para indicar uma bandeira da
mensagem do dia ao conectar ao ASA
key config-key password-
encryption [new-pass [old-
pass]]
- define a senha entre 8 e 128 caracteres
- usado para gerar a chave de criptografia
password encryption aes ativa a criptografia de senha e criptografa todas as senhas de usuário
para configurar um banner com várias linhas, o comando deve ser inserido várias vezes.
para remover use o no
a senha do EXEC privilegiado é criptografada automaticamente usando MD5.
para alterar a senha principal use key config-key password-encryption
para determinar se a criptografia de senha está ativada use show password encryption
NetSec 224
Configurar interfaces
a interface g1/1 é usada por convenção como interface externa para a internet ou outra rede 
externa.
configurado para receber seu IP sobre DHCP por padrão.
uma porta gigabit ethernet (ge mgmt) é dedicada à gestão in-band no módulo ASA 
firePOWER.
nas versões 9.7 e posteriores, as portas individuais podem ser combinadas em grupos de 
bridge que os fazem agir como portas de switch na mesma rede lógica.
portas de interfaces virtuais conectadas (BVI), configurada com um nome, nível de 
segurança, IP e máscara e outras configurações.
same-security-traffic permit-interfaceh para permitir dispositivos em interfaces físicas 
diferentes.
o IP de uma interface pode ser configurado:
manualmente: geralmente usado para atribuir um IP e uma máscara à interface
DHCP: usado quando uma interface está conectando a um dispositivo upstream que 
fornece serviços DHCP
a interface pode ser um cliente DHCP e descobrir seu IP de um ou mais servidores 
cisco ICM NT e informações relacionadas ao DHCP dos dispositivo ascendente.
PPPoE: usado quando uma interface está conectando a um dispositivo DSL ascendente 
que fornece conectividade ponto-a-ponto sobre serviços ethernet.
a interface pode ser um cliente PPPoE e descobrir seu IP de um dispositivo DSL 
PPPoE upstream.
para configurar comando ASA descrição
manualmente ip address ip-add netmask atribui um IP à interface
usando DHCP ip address dhcp
interface solicitará uma configuração de
endereço IP do dispositivo upstream
ip address dhcp setroute
usado para ter o pedido de interface e
instalar uma rota padrão para o
dispositivo upstream
usando PPPoE ip address pppoe
comando da interface que solicita um IP
ao dispositivo upstream
ip address pppoe setroute
mesmo comando, mas também solicita e
instala uma rota padrão para o dispositivo
upstream
o comportamento padrão do nível de segurança é permitir implicitamente o tráfego de uma 
interface de segurança mais alta para uma interface de segurança mais baixa de saída.
NetSec 225
o tráfego é permitido implicitamente entre relações com o mesmo nível de segurança se o 
ASA foi configurado para permitir globalmente este comportamento.
o tráfego de interfaces com níveis de segurança mais baixos é negado implicitamente às 
relações com níveis de segurança mais altos.
configurar parâmetros básicos da interface:
nameif if_name
- nomeia a interface usando a sequência de texto de até 48 caracteres
- nome não distingue maiúscula de minúscula
- pode alterar o nome digitando novamente o comando com um novo valor
-
no faz com que todos os comandos que se referem a esse nome sejam
excluídos
security-level value define o nível de segurança até 0 (mais baixo) e 100 (mais alto)
no shutdown ativa a interface
show interface ip brief para verificar o endereçamento e status da interface.
Configurar uma rota estática padrão
NetSec 226
se um ASA é configurado como um cliente DHCP, a seguir pode receber e instalar uma rota 
padrão do dispositivo ascendente.
caso contrário, uma rota estática padrão deve ser configurada com route interface-name 
0.0.0.0 0.0.0.0 next-hop-ip-address
para verificar use show route
Configurar serviços de acesso remoto
o aaa authentication telnet console LOCAL substitui a senha definida com o password e 
autentica o acesso telnet contra o banco de dados local.
{passwd | password} password define a senha de login com até 80 caracteres
telenet {ipv4_add mask |
ipv6_add/prefix} if_name
- identifica que host interno ou rede podem fazer telnet com a interface
ASA
- use
clear configure telnet para remover a conexão telnet
telnet timeout minutes
- à revelia, as sessões telenet deixadas inativas por 5 minutos são
fechados pelo ASA
- comando altera o tempo limite padrão do EXEC de 5 minutos
aaa authentication telnet console
LOCAL
- configure o telnet para se referir ao banco de dados local para
autenticação
- a palavra-chave LOCAL faz distinção entre maiúsculas e minúsculas
e é uma tag de servidor predefinida
clear configure telnet remove a conexão telnet
configurar o SSH, use show ssh para verificar
NetSec 227
username name password
password
cria uma entrada de banco de dados local
aaa authentication ssh console
LOCAL
- configura SSH para referir0se ao banco de dados local para
autenticação
- a palavra LOCAL faz distinção entre maiúsculas e minúsculas e é
uma tag de servidor predefinida
crypto key generate rsa
modulus modulus_size
- gera a chave RSA necessária para criptografia SSH
- tamanho do módulo pode ser 512, 768, 1024, 2048, 3072 e 4096
- recomenda-se valor de pele menos 2048
ssh {ip_address mask |
ipv6_address/prefix} if_name
- identifica que host interno ou rede poder fazer SSH à interface
ASA
- vários comandos podem estar na configuração
- se o if_name não é especificado, o SSH é permitido em todas as
interfaces, exceto a interface interna- comando
clear configure ssh para remover a conexão.
ssh version version_number
- (opcional) à relevia, o ASA permite versão 1 do SSH e versão 2
(mais segura)
- restringir as conexões a uma versão específica
ssh timeout minutes altera o tempo limite padrão do EXEC de 5 minutos
clear configure ssh remove a conexão SSH da configuração.
Configurar serviços de protocolo de tempo de rede
para habilitar o NTP use:
ntp authenticate permite a autenticação com um servidor NTP
ntp trusted-key key_id
especifica um ID de chave de autenticação para ser uma chave confiável, que
é necessária para autenticação com um servidor NTP
NetSec 228
ntp authentication-
key key_id md5 key
define uma chave para autenticar com um servidor NTP
ntp server ip_address
[key key_id]
identifica um servidor NTP
show ntp status e show ntp associations
Configurar serviços DHCP
dhcpd address
ip_address1 [ -
ip_address2]
if_name
- cria um pool de endereços DHCP no qual o 1 é o início e o 2 é o final, separados por
hífen
- o pool de endereços deve estar na mesma sub-rede que a intrface ASA
dhcpd dns dns 1
[dns2]
(opcional) especifica o(s) endereço(s) IP do(s) servidor(es) DNS
dncpd lease
lease_length
- (opcional) altera o comprimento de concessão concedido ao cliente que é a quantidade
de tempo nos segundos que o cliente pode usar seu IP alocado antes que o contrato
expire
- o padrão são 3600 segundos (1h), mas pode ser de 0 a 1048575 segundos
dhcpd domain
domain_name
(opcional) especifica o nome de domínio atribuído ao cliente
dhcpd enable
if_name
permite o serviço DHCP (daemon) na relação (tipicamente a interface interna) do ASA
se a interface externa ASA foi configurada como um cliente DHCP, o comando dhcpd 
auto_config OUTSIDE pode ser usado para passar a informação obtida por DHCP aos 
clientes internos.
show dhcpd state para exibir o status atual do DHCP nas interfaces internas e externas
show dhcpd binding exibe as ligações DHCP atuais de usuários internos
show dhcpd statistics exibe as estatísticas atuais.
clear dhcpd binding ou clear dhcpd statistics para limpar as ligações ou estatísticas.
Grupos de objetos
NetSec 229
Introdução a objetos e grupos de objetos
objetos são componentes reutilizáveis para uso em configurações.
podem ser definidos e usados nas configurações do cisco ASA no lugar de IP em linha, 
serviços, nomes e assim por diante
facilitam a manutenção das configurações porque um objeto pode ser modificado em um 
lugar e a mudança será refletida em todos os outros lugares que o fazem referência.
tipos de objetos:
objeto de rede: pode conter um host, IP de rede, intervalo de IP ou um nome de domínio 
totalmente qualificado (FQDN).
object network
objeto de serviço: contém um protocolo e uma porta opcional de origem e/ou destino.
object service
os grupos de objetos de rede podem conter vários objetos de rede, bem como redes ou hosts 
embutidos.
podem misturar IPv4 e IPv6.
objetos podem ser anexados ou separados de um ou mais grupos de objetos quando 
necessário, garantindo que os objetos não sejam duplicados, mas possam ser reutilizados 
sempre que necessário.
podem ser usados em NAT, lista de acesso e grupo de objetos.
Configurar objetos de rede
object network object-name
podem consistir em:
NetSec 230
host - endereço de host
fqdn - nome de domínio totalmente qualificado
range - intervalo de IPs
subnet - rede IP ou sub-rede inteira
no para remover um valor de objeto de rede
clear config object netwok para apagar todos objetos de rede
show running-config objetc para verificar.
attribute attribute-agent
attribute-type attribute-value
definido e usado para filtrar o tráfego associado a uma ou mais VMs
description insere uma descrição do objeto com até 200 caracteres
fqdn
nome de domínio totalmente qualificado, como o nome de um host.
Especifica v4 ou v6. Se não especificar, será assumido IPv4
host ip_address endereço de um único host
range stard_add end_add intervalo de endereços. Não inclui máscaras ou prefixos
subnet {ipv4_add ipv4_mask |
ipv6_add/ipv6_prefix}
atribui uma sub-rede ao objeto
Configurar objetos de serviço
object service object-name
pode conter um protocolo ICMP, ICMPv6, TCP ou porta UDP (ou intervalo de portas)
NetSec 231
palavras-chave opcionais são usadas para identificar a porta de origem ou a porta de destino, 
ou ambas.
eq, neq, lt, gt e range suporta a configuração de uma porta para um determinado protocolo
se nenhum for especificado, o padrão será eq
clear config object service para apagar todos os objetos de serviços
use no para remover um objeto de serviço.
show running-config object service
service protocol especifica um nome ou número de protocolo IP
service tcp [source operator port]
[destination operator port]
especifica que objeto de serviço é para o protocolo TCP
service udp [source operator
port] [destination operator port]
especifica que objeto de serviço é para o protocolo UDP
service icmp
[icmp_type[icmp_code ]]
especifica que objeto de serviço é para o protocolo ICMP
service icmp6
[icmp_type[icmp_code ]]
especifica que objeto de serviço é para o protocolo ICMPv6
NetSec 232
se um objeto de serviço existente estiver configurado com um protocolo e uma porta 
diferentes, a nova configuração substituirá o protocolo e porta existentes pelos novos
Grupos de objetos
ao agrupar objetos semelhantes, um grupo de objetos pode ser usado em uma entrada de 
controle de acesso (ACE) em vez de ter que inserir um ACE para cada objeto diferente.
diretrizes e limitações:
objetos e grupos de objetos compartilham o mesmo espaço de nome
os grupos de objetos devem ter nomes exclusivos
um grupo de objetos não pode ser removido ou esvaziado se for usado em um comando
o ASA não apoia grupos de objetos aninhados IPv6
tipos:
rede: baseado em rede especifica uma lista de IP de host, sub-rede ou rede
usuário: criados localmente, bem como grupos de usuários importados do Active 
Directory podem ser definidos para uso em recursos que suportam o firewall de 
identidade
serviço: é usado para agrupar portas TCP, UDP ou TCP e UDP em um objeto.
o ASA permite a criação de um gripo de objetos de serviço que possa conter uma 
mistura de serviços TCP, UDP, ICMP e todo o protocplo, como ESP, GRE e TCP
ICMP-type: protocolo ICMP usa tipos exclusivos para enviar mensagens de controle 
(RFC 792).
pode agrupar os tipos necessários para atender às necessidades de segurança de uma 
organização, como criar um grupo de objetos chamado ECHO para agrupar eco e 
suas respostas.
segurança: pode ser usado nos recursos que apoiam Cisco TrustSec incluindo o grupo 
em uma ACL estendida, que pode sua vez pode ser usada em uma regra de acesso
Configurar grupos de objetos comuns
object-group network group-name
adicione os objetos de rede ao grupo com networl-object e group-object
NetSec 233
um grupo de objetos de rede não pode ser usado para implementar NAT.
um objeto de rede é necessário
object-group icmp-type group-name para configurar um grupo de objetos ICMP
icmp-object e group-object.
para configurar um gripo de objetos de serviços use object-group service group-name
adicione objetos com service-object e group-object
para configurar um grupo de objeto de serviços para TCP, UDP ou TCP e UDP especifica a 
opção no comando object-group service group-name [tcp | udp | tcp-udp]
adicione objetos com port-object e group-object
para remover todos os grupos de objeto da configuração use clear configure objetc-group
para verificar as configurações use show running-config object-group.
NetSec 234
ASA ACL
ASA ACLs
há muitas semelhanças entre ASA ACLs e IOS ACL:
ambos são compostos de ACEs, aplicadas a um protocolo, IP de origem e destino, uma 
rede ou às portas de origem e destino
processados sequencialmente de cima para baixo
implícito deny any na parte inferior.
somente uma ACL por relação, protocolo, sentido, ainda se aplica.
uma correspondência de critérios fará com que a ACL seja encerrada.
observações podem ser adicionadaspor ACL ou ACE
podem ser ativadas/desabilitadas com base em intervalos de tempo.
usam máscara de rede ao invés de curinga, por padrão os níveis de segurança da interface 
aplicam o controle de acesso sem uma ACL configurada e são nomeada ao em vez de 
numerada.
Tipos de filtragem ASA ACL
filtragem através do tráfego: tráfego que está passando através da ferramenta de segurança 
de uma relação a outra relação.
o primeiro passo é estabelecer uma ACL, o segundo é aplicar essa ACL a uma relação.
filtragem de tráfego para a caixa: regra de acesso de gerenciamento, aplica-se ao tráfego 
que termina no ASA
são criado para filtrar o tráfego que é destinado para o plano de controle do ASA
NetSec 235
são concluídos em uma etapa, mas exigem um conjunto adicional de regras para 
implementar o controle de acesso.
à revelia, os níveis de segurança aplicam o controle de acesso sem uma ACL configurada.
interfaces menos seguras são impedidas de acessar interfaces mais seguras.
se necessário, uma ACL teria que ser configurada explicitamente para permitir o tráfego 
de um nível mais baixo de segurança para o mais alto.
para permitir a conectividade entre interfaces com os mesmos níveis de segurança use 
same-security-traffic permit inter-interfaces
para permitir que o tráfego entre e sai ada mesma interface, como quando o tráfego 
criptografado entra em uma interface e é então roteado para fora da mesma interface não 
criptografada use same-security-traffic permit intra-interface.
Tipos de ACLs ASA
lista de acesso estendido: contém uma ou mais ACE para especificar endereços de origem e 
destino e protocolo, portas ou tipo ICMP.
são usadas para filtrar o tráfego e para identificar o tráfego que deve ser segurado por 
vários recursos.
lista de acesso padrão: usada para identificar os IPs de destino.
usadas tipicamente somente para rotas de OSPF e podem ser usadas em uma mapa de 
rotas para a redistribuição OSPF.
não podem ser aplicadas às interfaces para controlar tráfego.
lista de acesso ethertype: pode ser configurada somente se a ferramenta de segurança estiver 
sendo executada no modo transparte.
lista de acesso do tipo web: filtrar tráfego VPN SSL sem cliente.
podem negar o acesso baseado em URLs ou endereços de destino
lista de acessos IPv6: determinar que tráfego IPv6 obstruir e que tráfego encaminhar em 
interfaces de router.
help access-list para exibir a sintaxe para todas as ACLs suportadas.
exemplos de uso de ACLs estendidas, padrão e IPv6:
controle o acesso
à rede para tráfego
IP
o ASA não permite nenhum tráfego de uma interface de segurança mais alta a
menos que seja explicitamente permitida por uma ACL estendida
identifique o
tráfego para regras
AAA
as regras AAA usam ACLs para identificar o tráfego
identificar
endereços para
a política NAT permite identificar o tráfego local para a tradução de endereço
especificando os endereços de origem e destino em uma ACL estendida
NetSec 236
NAT
estabelecer acesso
VPN
pode ser usada em comandos VPN
identificar o
tráfego para a
estrutura de
política modular
(MPF)
- identificar o tráfego em uma mapa de classe, que seja usado para recursos que
suportam MPF
- recursos que suportam MPF incluem TCP, configurações gerais de conexão e
inspeção.
identificar a rede de
destino OSPF nos mapas
de rotas
- lista padrão incluem apenas o endereço de destino
- pode ser usada para controlar a redistribuição de rotas OSPF
filtros VPN
filtra o tráfego para LAN (L2L), cisco VPN cliente e o tráfego do cisco
anyConnect Security Mobility Client
controle de acesso à rede
para redes IPv6
adicionar e aplicar listas de acesso para controlar o tráfego em rede IPv6.
Sintaxe para configurar um ASA ACL
NetSec 237
ID ACL nome da ACL com qualquer caractere alfanumérico até 241.
ação permitir ou negar
protocol number -
source
pode ser IP para todo o tráfego, ou o nome/número do protocolo IP (0-250),
incluindo icmp (1), tcp (6), udp (17) ou um gripo de objetos
source
- identifica a origem e pode ser any, um host, uma rede ou um grupo de objetos de
rede
- para a filtragem do da caixa do tráfego, a palavra-chave da relação é usada para
especificar a interface de origem do ASA
source port operator
- (opcional) é usado em conjunto com a porta de origem
- os operadores válidos incluem it (menor que), gt (maior que), eq (igual), neq
(diferente) e range para um intervalo inclusivo
porta de origem
(opcional) pode ser o número da porta TCP ou UDP real, nomes das portas
selecionadas ou grupo de objetos de serviço
destination
- identifica o destino e, como a fonte, pode ser any, um host, uma rede ou um
grupo de objetos de rede
-para a filtragem do da caixa do tráfego, a palavra-chave da relação é usada para
especificar a interface de origem do ASA
destination port operator
(opcional) é usado em conjunto com a porta de origem
- os operadores válidos incluem it (menor que), gt (maior que), eq (igual), neq
(diferente) e range para um intervalo inclusivo
destination port
(opcional) pode ser o número da porta TCP ou UDP real, nomes das portas
selecionadas ou grupo de objetos de serviço
log
pode ajustar elementos para o syslog, incluindo o nível de gravidade e o intervalo
de log
time range (opcional) especifica um intervalo de tempo para o ACE
Sintaxe para aplicar um ASA ACL
access-group
NetSec 238
show access list e show running-config access-list para verificar as ACLs
clear configure access-list id para apagar uma ACL configurada
access-group palavra-chave usada para aplica uma ACL a uma relação
id nome da ACL real a ser aplicada a uma interface
in ACL filtrará pacotes de entrada
out ACL filtrará pacotes de saída
interface palavra-chave para especificar a interface a que aplicar a ACL
if_name nome da interface a que aplicar a ACL
per-user-override opção que permite que ACLs transferíveis anulem as entradas na interface ACLs
control-plane
palavra-chave para especificar se a ACL aplicada analisa o tráfego destinado ao
ASA para fins de gerenciamento
Exemplo de ASA ACL
permite que todos os hosts na rede interna atravessem o ASA
por padrão, o todo o tráfego restante é negado a menos que explicitamente permitido
impede que os hosts em 192.168.1.0/24 acessem a rede 209.165.201.0/27
hosts internos têm acesso permitido a todos os outros endereços
todo o tráfego restante é implicitamente negado
permite que os hosts em 192.168.1.0/24 acessem a rede 209.165.201.0/27
todo o tráfego restante é negado.
impede que todos os hosts internos acessem um serviço da web em 209.165.201.29
NetSec 239
hosts internos têm permissão para acessar todos os outros serviços em 209.165.201.29
hosts internos têm acesso permitido a todos os outros endereços.
todo o tráfego restante é implicitamente negado.
ACLs e grupos de objetos
ACL usando exemplos de grupo de objetos
a ferramenta de segurança segue a regra do fator de multiplicação quando as ACEs são 
definidas.
NetSec 240
se dois hosts precisam alcançar dois servidores internos que executam dois serviços, o 
ASA terá oito ACEs com base em host.
depois que os grupos de objetos foram configurados, podem ser usados em toda a ACL e em 
ACLs múltiplas.
uma única ACE pode ser usada para permitir que os hosts confiáveis façam solicitações 
específicas a um grupo de servidores internos.
Serviços NAT em um ASA
Visão geral do ASA NAT
pode ser implantado usando um dos métodos:
NAT interno: método típico do desenvolvimento NAT é quando um host de uma 
interface de segurança superior tem o tráfego destinado para uma interface de segurança 
inferior e o ASA traduz o endereço de host interno em um endereço global.
o ASA restaura então o IP interno original para o tráfego do retorno.
NAT externo: é usado quando o tráfego de uma interface de segurança destinada a um 
host na interface de segurança superior deve ser traduzido.
pode ser útil para fazer com que um host empresarial localizado na parte externa da 
rede interna apareça como um endereço IP interno conhecido.
NAT bidirecional: indica que o NAT internoe o NAT externo são usados juntos.
o cisco ASA apoia os seguintes tipos comuns de NAT:
NetSec 241
PAT dinâmico: tradução de muitos-para-um, conhecido também como NAT com 
sobrecarga.
normalmente um pool interno de endereços privados sobrecarregando uma interface 
externa ou endereço externo
NAT estático: um-para-um, normalmente, um mapeamento de endereço externo para um 
servidor interno.
Política NAT: NAT baseado em política é baseado em um conjunto de regras.
estas regras podem especificar que somente determinados endereços de origem 
destinados a endereços de destino específicos e/ou portas específicas serão 
traduzidos.
Identidade NAT: endereço real é traduzido estaticamente para si mesmo, 
essencialmente ignorando o NAT.
usado quando você quer traduzir um grande grupo de endereço, mas então quer 
isentar um subconjunto menor de endereços.
esses tipos de NAT são referidos como objeto de rede NAT porque a configuração exige que 
os objetos de rede sejam configurados.
NAT duplo identifica o endereço de origem e de destino e uma única regra.
usado para configurar IPsec de acesso remoto e VPNs SSL.
Configuração de NATs dinâmicos
são necessários dois objetos de rede:
um objeto de rede que identifica o pool de IPs públicos nos quais os endereços internos 
são convertidos, sendo identificados por meio de comandos de intervalo ou sub-rede de 
objeto de rede
um objeto de rede que identifica os endereços internos a serem traduzidos e, em seguida, 
vincula os dois objetos juntos, sendo identificados usando o intervalo ou sub-rede.
os dois objetos são então ligados usado o comando nat [(real_if_name,mappeed_if_name)] 
dynamic mapped_obj [interface [ipv6]] [dns]
real if name é a interface prenat
mapped if name é a interface postnat
NetSec 242
show xlate para verificar a tradução do endereço de rede
show nat e show nat detail para informações adicionais.
Configurar PAT dinâmico
apenas um objeto de rede é necessário ao sobrecarregar a interface externa
para permitir que hosts internos sobrecarreguem o endereço externo use nat 
[(real_if_name,mapped_if_name)] dynamic interface
NetSec 243
Configurar NAT estático
nat [(real_if_name,mapped_if_name)] static mapped-inline-host-ip
clear nat counters pode ser necessário para testar o NAT
AAA
Revisão AAA
NetSec 244
o ASA pode autenticar todas as conexões administrativas ao ASA, incluindo telnet, SSH, 
console, ASDM usando HTTPS e o EXEC privilegiado.
ASA pode autorizar comandos de gerenciamento, acesso rede e acesso VPN
a informações de contabilidade inclui tempos de início e parada de sessão, nomes de usuário, 
número de bytes que passam através do ASA para a sessão, serviço usado e duração de cada 
sessão.
Banco de dados e servidores locais
AAA local usa um banco de dados local para autenticação.
este método armazena nomes de usuários e senhas localmente no ASA e os usuários se 
autenticam no banco de dados local.
username name password password [privilege priv-level] para criar contas de usuários 
locais.
para apagar um usuário do banco de dados local use clear config username [name]
para exibir todas as contas de usuários use show running-config username
a autenticação baseada em servidor é um método muito mais escalonável que a autenticação 
local.
para configurar TACACS+ ou RADIUS, use:
aaa-server server-tag
protocol protocol
cria um grupo de servidores TACACS+ ou RADIUS AAA
aaa-server server-tag [(if-
name)] host {server-ip |
name} [key]
- configura um servidor AAA como parte de um grupo de servidores
AAA
- igualmente configura parâmetros do servidor AAA que são
específicos o host.
para apagar todas as configurações do servidor AAA use clear config aaa-server.
para exibir todas as contas de usuários use show running-config aaa-server
Configuração AAA
NetSec 245
para autenticar usuários que alcançam o ASA CLI sobre um console, SSH, ASDM ou telnet 
ou para autenticar usuários que acessam o modo EXEC privilegiado usando enable use aaa 
authentication enable console
para apagar todos os parâmetros AAA use clear config aaa
para exibir todas as contas de usuário use show running-config username
Preste serviços de manutenção em um ASA
Visão geral do MPF
Uma configuração Modular Policy Framework (MPF) define um grupo de regras para aplicar 
recursos de firewall
inspeção de tráfego e QoS, ao tráfego que atravessa o ASA
permite a classificação granular dos fluxos de tráfego, o que permite a aplicação de 
diferentes políticas avançadas aos fluxos diferentes
é usado com módulos de hardware para reorientar o tráfego granularmente do ASA aos 
módulos que usam Cisco MPF.
pode ser usado para inspeção avançada da camada de aplicação do tráfego classificando 
nas camadas 5 a 7
Limitação de taxa e recursos de QoS também podem ser implementados
objetos de configuração para definir políticas modulares, orientadas a objeto e hierárquicas:
NetSec 246
mapa de classe - o que estamos procurando
mapas de políticas - O que faremos com isso
políticas de serviço - Onde é que fazemos isso
Embora a sintaxe MPF seja similar à sintaxe do Cisco Modular QoS CLI (MQC) do ISR IOS 
ou à sintaxe da Cisco Common Classification Policy Language (C3PL), os parâmetros 
configuráveis diferem
etapas para configuração de MPF:
1. (Opcional) Configurar ACLs estendidos para identificar o tráfego granular que pode ser 
referenciado especificamente no mapa da classe.
2. Configurar o mapa de classe para identificar o tráfego.
3. Configurar um mapa de política para aplicar ações a esses mapas de classe.
4. Configurar uma política de serviço para anexar o mapa de política a uma interface.
Configurar mapas de classe
são configurados para identificar o tráfego da camada 3 e 4
class-map class-map-name
Os nomes “class-default” e qualquer nome que comece com “_internal” ou “_default” 
são reservados.
nome do mapa de classe deve ser exclusivo e pode ter até 40 caracteres de comprimento
class-map type management class-map-name para o tráfego de gerenciamento
description para adicionar uma descrição
match any para identificar o tráfego correspondente (todo) ou match access-list access-list-
name para corresponder a uma lista específica.
NetSec 247
class-map inspection_default define automaticamente um mapa da classe da camada 3/4 do 
padrão identificado
match default-inspection-traffic corresponde às portas padrão para todas as inspeções
Quando usado em um mapa de política, este mapa da classe assegura-se de que a 
inspeção correta esteja aplicada a cada pacote, com base na porta de destino do tráfego
show running-config class-map para exibir informações sobre a configuração do mapa de 
classe
Para remover todos os mapas de classe clear configure class-map
Definir e ativar uma política
Os mapas de política são usados para vincular mapas de classe com ações
policy-map policy-map-name para aplicar ações ao tráfego das camadas 3 e 4
description - Adicionar texto de descrição
class class-map-name para identificar um mapa de classe específico no qual executar ações.
O número máximo de mapas de política é 64
A configuração inclui um mapa da política da camada 3 e 4 padrão que o ASA use na política 
global padrão. 
Ele é chamado global_policy e executa uma inspeção no tráfego de inspeção padrão. 
NetSec 248
Só pode haver uma política global, portanto, para alterar a política global, edite ou 
substitua-a.
comandos mais comuns disponíveis no modo de configuração do mapa de política:
set connection - Define valores de conexão
inspect - Fornece servidores de inspeção de protocolo.
police - Define limites de taxa para tráfego nesta classe.
As ações são aplicadas ao tráfego bidirecional ou unidirecionalmente, dependendo da 
característica.
show running-config policy-map para exibir informações sobre a configuração do mapa de 
política
Para remover todos os mapas de política clear configure policy-map
Para ativar um mapa de política globalmente em todas as interfaces ou em uma interface de 
destino service-policy policy-map-name[ global | interface intf ]
Introdução ao ASDM
Visão geral do ASDM
O Cisco ASA pode ser configurado e gerenciado usando a interface de linha de comando 
(CLI) ou usando o Adaptive Security Device Manager (ASDM) da interface gráfica do 
usuário (GUI).
é uma ferramenta GUI baseada em Java que facilita a instalação, configuração, 
monitoramento e solução de problemas do Cisco ASAs
Trabalha com SSL para assegurar uma comunicação segura com o ASA
fornece assistentes de configuração rápida e funcionalidade de registro e monitoramento que 
não está disponível usando o CLI.
Prepare-se para ASDM
NetSec 249
No mínimo, o ASA exige que uma interface de gerenciamento esteja configurada a fim 
executar o ASDM
o seguinte deve ser configurado:
Selecionado dentro da porta física - concluir uma configuração básica na porta, 
incluindo um endereço IP de gerenciamento e nível de segurança
Permita o servidor de Web ASA - Permita o servidor HTTP ASA.
Permita o acesso ao servidor de Web ASA - À revelia, o ASA opera-se em uma 
política fechada; consequentemente, todas as conexões ao servidor HTTP são negadas. 
Uma instrução de rede que especifica os hosts com permissão para acessar o servidor 
HTTP deve ser configurada.
Iniciar ASDM
Para iniciar o ASDM, entre no endereço IP de gerenciamento do ASA em um navegador da 
web de um host permitido
fornece duas opções para preparar seu computador para acessar a GUI ASDM:
Execute Cisco ASDM como um aplicativo local - Isso fornece Instalar o ASDM 
Launcher opção para conectar ao ASA do desktop do host usando SSL. A vantagem de 
fazer assim é que um aplicativo pode ser usado para controlar diversos dispositivos ASA, 
e um navegador da Web não é exigido para iniciar o ASDM.
Execute o Cisco ASDM como um aplicativo Java Web Start - fornece 
a opção Instalar Java Web Start para permitir que um navegador execute o ASDM de 
inicialização. Um navegador da Web é necessário para estabelecer uma conexão. O 
ASDM não é instalado no host local.
Módulo 22 - Teste de segurança de rede
Técnicas de teste de segurança de rede
Segurança de Operações
NetSec 250
A segurança das operações se preocupa com as práticas diárias necessárias para primeiro 
implantar e depois manter um sistema seguro.
começa com o processo de planejamento e implementação de uma rede
a equipe de operações analisa projetos, identifica riscos e vulnerabilidades e faz as 
adaptações necessárias
As tarefas operacionais reais começam depois que a rede é configurada e incluem a 
manutenção contínua do ambiente
Independentemente do tipo de teste, a equipe que configura e conduz os testes de segurança 
deve ter um conhecimento significativo de segurança e rede nestas áreas:
Sistemas operacionais
Programação básica
Protocolos de rede, como TCP / IP
Vulnerabilidades de rede e mitigação de risco
Hardening do dispositivo
Firewalls
IPSs
Testando e avaliando a segurança da rede
O teste de segurança de rede é executado em uma rede para garantir que todas as 
implementações de segurança estejam operando conforme o esperado
Os testes de segurança fornecem informações sobre várias tarefas administrativas, como 
análise de risco e planejamento de contingência
Durante a fase de implementação, os testes de segurança são conduzidos em partes 
específicas da rede.
Depois que uma rede está totalmente integrada e operacional, um Teste e Avaliação de 
Segurança (ST&E) é executado
Um ST&E é um exame das medidas de proteção que são colocadas em uma rede 
operacional.
objetivos de ST&E incluem o seguinte:
Descubra falhas de design, implementação e operacionais que podem levar à 
violação da política de segurança.
Determine a adequação dos mecanismos de segurança, garantias e propriedades do 
dispositivo para fazer cumprir a política de segurança.
Avalie o grau de consistência entre a documentação do sistema e sua 
implementação.
NetSec 251
Os testes devem ser repetidos periodicamente e sempre que uma alteração for feita no 
sistema.
Tipos de testes de rede
Teste de penetração - Testes de penetração de rede, ou testes de penetração, simulam 
ataques de fontes maliciosas. 
O objetivo é determinar a viabilidade de um ataque e as possíveis consequências se um 
ocorrer. 
Alguns testes de penetração podem envolver o acesso às instalações de um cliente e o 
uso de habilidades de engenharia social para testar sua postura geral de segurança.
Varredura de rede - inclui software que pode fazer ping em computadores, verificar portas 
TCP de escuta e exibir quais tipos de recursos estão disponíveis na rede. 
Alguns softwares de varredura também podem detectar nomes de usuários, grupos e 
recursos compartilhados. 
Os administradores de rede podem usar essas informações para fortalecer suas redes.
Varredura de vulnerabilidade - Inclui software que pode detectar fraquezas potenciais nos 
sistemas testados. 
Esses pontos fracos podem incluir configuração incorreta, senhas em branco ou padrão 
ou alvos potenciais para ataques DoS. 
Alguns softwares permitem que os administradores tentem travar o sistema através da 
vulnerabilidade identificada.
Cracking de senha - Isso inclui software usado para testar e detectar senhas fracas que 
devem ser alteradas. 
As políticas de senha devem incluir diretrizes para evitar senhas fracas.
Revisão de log - os administradores de sistema devem revisar os logs de segurança para 
identificar ameaças de segurança em potencial. 
O software de filtragem para varrer arquivos de log longos deve ser usado para ajudar a 
descobrir atividades anormais a serem investigadas.
Verificadores de integridade - um sistema de verificação de integridade detecta e relatórios 
sobre mudanças no sistema. 
A maior parte do monitoramento concentra-se no sistema de arquivos. No entanto, 
alguns sistemas de verificação podem relatar atividades de login e logout.
Detecção de vírus - O software de detecção de vírus ou antimalware deve ser usado para 
identificar e remover vírus de computador e outros malwares.
Aplicação de resultados de teste de rede
Os resultados dos testes de segurança de rede podem ser usados de várias maneiras:
NetSec 252
Para definir as atividades de mitigação para abordar as vulnerabilidades identificadas
Como referência para rastrear o progresso de uma organização no cumprimento dos 
requisitos de segurança
Para avaliar o status de implementação dos requisitos de segurança do sistema
Para realizar análises de custos e benefícios para melhorias na segurança da rede
Para aprimorar outras atividades, como avaliações de risco, certificação e autorização 
(C&A) e esforços de melhoria de desempenho
Como ponto de referência para ação corretiva
Ferramentas de teste de segurança de rede
Ferramentas de teste de rede
As ferramentas de software que podem ser usadas para realizar testes de rede incluem:
Nmap / zenmap - é usado para descobrir computadores e seus serviços em uma rede, 
criando, portanto, um mapa da rede.
SuperScan - Este software de varredura de porta é projetado para detectar as portas 
Abrir TCP e UDP, determine quais serviços estão sendo executados nessas portas e 
execute consultas, como pesquisas Whois, Ping, Traceroute e HostName.
Siem (gerenciamento de eventos de informação de segurança) - Esta é uma 
tecnologia usada em organizações corporativas para fornecer relatórios em tempo real e 
análise de longo prazo de eventos de segurança.
GFI Languard - Este é um scanner de rede e segurança que detecta vulnerabilidades.
TripWire - Esta ferramenta avalia e valida configurações de TI contra políticas internas, 
padrões de conformidade e as melhores práticas de segurança.
Nessus - Este é um software de varredura de vulnerabilidade, com foco em acesso 
remoto, misconfigurtion e DOS contra a pilha TCP / IP.
L0phtcrack - Este é um aplicativo de auditoria e recuperação de senha.
Metaploit - Esta ferramenta fornece informações sobre vulnerabilidades e ajuda em 
testes de penetração e desenvolvimento de assinaturas de IDs.
Nmap e Zenmap
Nmap é um scanner de baixonível comumente usado que está disponível ao público
em uma série de recursos excelentes que podem ser usados para mapeamento e 
reconhecimento de rede.
A funcionalidade básica do Nmap permite ao usuário realizar várias tarefas:
Clássico TCP e UDP Port Scanning - isso procura por diferentes serviços em um host.
NetSec 253
Clássico TCP e UDP Port Sweeping - Isto procura o mesmo serviço em vários hosts.
Varreduras furtivas de portas TCP e UDPSemelhante às varreduras clássicas, mas 
mais difíceis de detectar pelo host de destino ou IPS.
Identificação do sistema operacional remotoisso também é conhecido como 
impressões digitais do sistema operacional.
recursos avançados do Nmap incluem varredura de protocolo
identifica o suporte ao protocolo da Camada 3 em um host.
SuperScan
ferramenta de escaneamento de portas do Microsoft Windows
funciona na maioria das versões do Windows e requer privilégios de administrador.
SuperScan versão 4 possui vários recursos úteis:
Velocidade de digitalização ajustável
Suporte para intervalos de IP ilimitados
Detecção de host aprimorada usando vários métodos ICMP
Verificação TCP SYN
Varredura UDP (dois métodos)
Geração de relatório HTML simples
Varredura da porta de origem
Resolução rápida de nome de host
Recursos abrangentes de captura de banner
Grande banco de dados de descrição de lista de portas integrado
Randomização de ordem de varredura de IP e porta
Uma seleção de ferramentas úteis, como ping, traceroute e whois
Capacidade extensa de enumeração de host do Windows
SIEM
tecnologia usada em organizações empresariais para fornecer relatórios em tempo real e 
análise de longo prazo de eventos de segurança.
evoluiu de dois produtos anteriormente separados: Security Information Management (SIM) 
e Security Event Management (SEM).
pode ser implementado como software, integrado ao Cisco Identity Services Engine (ISE) ou 
como um serviço gerenciado.
combina as funções essenciais de SIM e SEM para fornecer:
NetSec 254
Correlação - Examina logs e eventos de sistemas ou aplicativos diferentes, acelerando a 
detecção e reação às ameaças de segurança.
Agregação - A agregação reduz o volume de dados de eventos consolidando registros de 
eventos duplicados.
Análise Forense - A capacidade de pesquisar logs e registros de eventos de fontes em 
toda a organização fornece informações mais completas para análise forense.
Retenção - O relatório apresenta os dados de eventos correlacionados e agregados em 
monitoramento em tempo real e resumos de longo prazo.
fornece detalhes sobre a fonte de atividade suspeita, incluindo:
Informações do usuário (nome, status de autenticação, localização, grupo de autorização, 
status de quarentena)
Informações do dispositivo (fabricante, modelo, versão do sistema operacional, endereço 
MAC, método de conexão de rede, localização)
Informações sobre postura (Conformidade do dispositivo com a política de segurança 
corporativa, versão antivírus, patches do sistema operacional, conformidade com a 
política de gerenciamento de dispositivos móveis)