CCNA

200-301
Part X Security Services
Securing IOS Passwords
Chapter 5
Securing Network
Firewalls and Intrusion Prevention Systems
(volume 2) Devices
Correção da Lista
 Securing IOS Passwords

enable secret senhaEnableAqui Enable Mode = SW1#

Telnet SSH e Telnet

line vty 0 15 User Mode = SW1> username gustavo secret kalau
transport input telnet
login hostname sw1
password senhaTelnetAqui ip domain-name example.com
crypto key generate rsa
Esses comandos são necessários line vty 0 15
somente para habilitar SSH. transport input all
login local
line vty 0 15
transport input ssh
login local

Considere utilizar somente ssh pois no telnet

todas as mensagens são enviadas em texto
puro (clear text) sem nenhuma criptografia.
username gustavo username privilege 15

Se o usuário tiver privilegio 15 ele já entrará em modo enable.

Encrypting Older IOS Passwords with service password-encryption

Switch3# show running-config | section line con 0

line con 0
password cisco
login

Switch3# configure terminal

Switch3(config)# service password-encryption

Switch3# show running-config | section line con 0

line con 0
password 7 070C285F4D06
login

Essa criptografia é facilmente quebrada, basta buscar no google (cisco service password encryption cracker)

Switch3# configure terminal

Switch3(config)# no service password-encryption

Se retirar o comando service password-encryption a senha não será

descriptografado, você terá que mudar para uma senha nova.
 Encoding the Enable Passwords with Hashes

Switch3(config)# enable secret kalau

Switch3# show running-config | include enable secret

enable secret 5 $1$ZGMA$e8cmvkz4UjiJhVp7.maLE1

Switch3# configure terminal

Switch3(config)# no enable secret

Se retirar o comando enable secret a senha não será descriptografado,

você terá que mudar para uma senha nova.
 Encoding the Enable Passwords with Hashes
Type 9

Scrypt
Type 4

Type 0
Type 7
Type 5
PBKDF2
Type 8

Clear Encrypted MD5 Descontinuado PBKDF2

1990 1995 2010 2015

Command Type Algorithm

enable [algorithm-type md5] secret password 5 MD5
enable algorithm-type sha256 secret password 8 SHA-256
enable algorithm-type scrypt secret password 9 SHA-256

R1# show running-config | include enable

enable secret 5 $1$ZSYj$725dBZmLUJ0nx8gFPTtTv0

R1(config)# enable algorithm-type scrypt secret mypass1

R1# show running-config | include enable

enable secret 9 $9$II/EeKiRW91uxE$fwYuOE5EHoii16AWv2wSywkLJ/KNeGj8uK/24B0TVU6

username gustavo secret kalau

No Username segue a mesma sintaxe

Controlling Password Attacks with ACLs

access-list 10 permit 10.1.1.0 0.0.0.255

access-list 20 permit 10.2.2.0 0.0.0.255

line vty 0 4
login
password cisco Somente dispositivos com IP de origem da ACL
access-class 10 in 10 poderão efetuar login nesse dispositivo.
access-class 20 out

De dentro desse dispositivo somente conseguirei

acessar dispositivos do escopo da ACL20
 Traditional Firewalls

Funções de um Firewall

Assim como ACLs, combine os endereços IP de origem e destino

Assim como ACLs, identifica os aplicativos combinando suas portas TCP e UDP conhecidas estáticas

Observa os fluxos da camada de aplicação para saber quais portas TCP e UDP adicionais são usadas por um fluxo específico e filtro
com base nessas portas

Combina o texto no URI de uma solicitação HTTP, ou seja, observa e compara o conteúdo do que costuma ser chamado de endereço
da web e corresponda aos padrões para decidir se permite ou nega o download da página da web identificada por esse URI

Mantem as informações de estado armazenando informações sobre cada pacote e tome decisões sobre a filtragem de pacotes
futuros com base nas informações de estado do histórico (chamado de inspeção com estado ou sendo um firewall com estado)
 Security Zones

Zone Inside Zone Outside

Public Web Server

Zone DMZ
 Intrusion Prevention Systems (IPS)

Signatures

(Assinaturas)
DoS

DDoS

Worms

Viruses

Um sistema de prevenção de intrusão (IPS) é uma forma de segurança de rede que funciona para detectar
e prevenir ameaças identificadas. Os sistemas de prevenção de intrusão monitoram continuamente sua
rede, procurando por possíveis incidentes maliciosos e capturando informações sobre eles.
Cisco Next-Generation Firewalls & Next-Generation IPS

Cisco Talos security group NGIPS & NGFW

Application Visibility and Control (AVC): esse recurso analisa profundamente os dados da camada 7 para identificar a
aplicação. Por exemplo, ele pode identificar a aplicação com base nos dados, em vez do número da porta, para se
defender contra ataques que usam números de porta aleatórios.

Advanced Malware Protection: as plataformas NGFW executam vários serviços de segurança, não apenas como uma
plataforma para executar um serviço separado, mas para melhor integração de funções. Uma função antimalware baseada
em rede pode ser executada no próprio firewall, bloqueando as transferências de arquivos que instalariam malware e
salvando cópias dos arquivos para análise posterior.

URL Filtering: Este recurso examina os URLs em cada solicitação da web, categoriza os URLs e filtra ou limita a taxa de
tráfego com base em regras. O grupo de segurança Cisco Talos monitora e cria pontuações de reputação para cada
domínio conhecido na Internet, com a filtragem de URL sendo capaz de usar essas pontuações em sua decisão de
categorizar, filtrar ou limitar a taxa.

NGIPS: Os produtos Cisco NGFW também podem executar seu recurso NGIPS junto com o firewall.

Contextual Awareness: as plataformas NGFW reúnem dados de hosts - SO, versão / nível de software, patches
aplicados, aplicação em execução, portas abertas, aplicação que envia dados no momento e assim por diante. Esses
fatos informam o NGIPS quanto às vulnerabilidades geralmente mais limitadas em uma parte da rede, de modo que o
NGIPS pode se concentrar nas vulnerabilidades reais enquanto reduz significativamente o número de eventos registrados.
Obrigado!