Segurança nos roteadores cisco
Hoje vamos conhecer um pouco das diferentes opções de segurança presentes nos roteadores Cisco.
Ao final deste artigo, você saberá:
. Descrever os dois níveis padrão: O User Mode e o Privileged Mode.
. Descrever os diferentes passwords usados para obter acesso aos diferentes níveis do roteador Cisco.
. Descrever o processo da encriptação do password.
O User Mode
Os comandos utilizados para alterar qualquer configuração do roteador estão ocultas no User Mode e presentes no Privileged Mode.
. User Mode – Utilizado para examinar basicamente o roteador
. Privileged Mode – Utilizado para alterar as configurações do roteador
Acesso por senha
Para garantir a entrada no momento do login é necessário um password, que irá garantir acesso ao User Mode, mas que não permitirá em momento algum alterações na configuração do roteador.
Existe uma diferença entre o password para console e telnet. Eles são configurados separadamente no roteador. Apesar de poderem apresentar o mesmo valor, são configurados por comandos diferentes.
O Privileged Mode
Seja como for que você conseguir acessar o roteador inicialmente, o acesso ao Privileged Mode só será permitido se você souber o password.
A relação a seguir mostra os comandos disponíveis no Privileged Mode. Os comandos destacados em negrito representam aqueles que unicamente estão disponíveis neste modo.
O comando “configure”, por exemplo, tem muitas opções que permitem a você modificarem o Configuration File (Arquivo de Configuração) que é o arquivo que dá as instruções do que fazer ao roteador.
Opções do comando Configure
A opção “network”: Permite carregar um Configuration File no roteador atual a partir de um servidor TFTP.
A opção “memory”: Permite restaurar o Configuration File armazenado na NVRAM na memória .
A opção “terminal”: Permite configurar manualmente um roteador.
A partir destas opções pode-se modificar Configuration File ativo diretamente e imediatamente. Só tome cuidado em planejar primeiro às alterações, pois elas podem afetar negativamente o desempenho do roteador.
O comando Enable Password
Dois tipos diferentes de passwords são utilizados para se obter acesso ao Privileged Mode. O comando “enable password” é o que permite criar um password que o administrador deve conhecer para acessar o Privileged Mode. Só para lembrar : os passwords são case sensitive.
Esse comando aparece em texto claro no Configuration File. Se você salvar o Configuration File em um servidor TFPT ou visualize-lo na tela, é possível que alguém possa descobrir este password. Caso deseje este password pode ser encriptado manualmente.
O Comando Enable Secret
O comando “enable secret” está disponível desde a versão 10.3 do Cisco IOS. Ele oferece alguns importantes avanços sobre o “enable password”.
Se ambos os comandos forem configurados, o administrador deverá usar “enable secret” para acessar o Privileged Mode e o “enable password” não será utilizado.
O comando “enable secret” é automaticamente encriptado usando-se o algoritmo de encriptação MD-5, que oferece uma proteção melhor que “enable password” e não são mais necessários comandos adicionais para proteger o password.
Configuração do comando Enable Password
Para configurar os passwords, use o comando privilegiado “configure terminal” para entrar no Configuration Mode. Para configurar o comando “enable password”, use o comando do Configuration Mode “enable password”. No exemplo a seguir o comando é configurado com “computer”, em minúsculo.
Alterando os argumentos do password
Os passwords não devem ser palavras simples. Neste outro exemplo, o comando “enable password” é configurado com “The sky is blue.” dê sempre preferência a frases e várias formas possíveis de colocar algumas letras em maiúsculas e com pontuação para aumentar a segurança do password.
Se a qualquer momento você quiser alterar o “enable secret” basta apenas redigitar o comando com o novo argumento. Se quiser desabilitar esta opção basta digitar “no” antes do comando (não precisa digitar o antigo argumento). Ex: “no enable secret”.
Verificação do password
Para verificar se os passwords foram devidamente configurados, você deve examinar o Configuration File.
O comando show não está disponível no Configuration Mode. Assim você, deve sair do Configuration Mode e retornar ao Privileged Mode. Para isso basta digitar o comando “end”.
Visualizando o Configuration File
O Configuration File só pode ser exibido no Privileged Mode. O comando “show running-config” mostra o arquivo de configuração ativo armazenado na RAM. Se o comando enable password estiver configurado, é mostrado perto do topo do arquivo. Neste exemplo , nós vemos : “The sky is blue.”.
O “enable secret” não pode ser visto no Configuration File. Cabe ao administrador lembrar-se deste password quando configurar comando.
Configuração do password da porta Console
Para configurar o password para a porta console, você deve estar no Configuration Mode. Uma vez lá, você deve configurar a porta console por si só e configurar o password.
A porta console é considerado uma linha ou mesmo ponto de entrada no roteador.
“line console 0″ :
Este comando configura a primeira porta console, console 0.
Comandos de configuração do password
Uma vez que você no prompt da porta console, existem dois comandos necessários para configurar o password da porta console. Um desses comandos é o password em si. No exemplo dado, o password é “television”.
O segundo comando é “login” que instrui o Cisco IOS a pedir, a cada tentativa de acesso, um prompt de password. Sem isto, o roteador não irá perguntar o password, desde que a sintaxe completa da configuração do password não é presente na porta console.
Configuração do password para Telnet
O password para telnet é configurado nas portas dos terminais virtuais do roteador. Existem cinco portas virtuais, ou portas VTY, que vão de zero até quatro respectivamente. Isto significa que até cinco pessoas podem estar em telnet no roteador simultaneamente.
Configure o mesmo password para todas as cinco portas, porque quando alguém fizer um telnet no roteador, o próximo login será feito na próxima porta. Desde que você não saberá em qual porta VTY você será levado a realizar login, você não saberá qual será o password específico para aquela porta.
As portas VTY
As portas VTY também são consideradas pontos de entrada no roteador.
“line vty 0 4″:
Este comando informa ao Cisco IOS que você quer configurar todas as cinco portas VTY. Mas caso você ainda queira que cada porta seja configurada com um password único, basta apenas indicar em qual porta você quer configurar, como mostrado a seguir.
Configurando as portas VTY
Uma vez que você decidiu como configurar as portas VTY, os mesmos dois comandos dados para configurar a porta console são utilizadas para configurar o password nas portas VTY. O comando “password” configura a senha atual. E o comando “login” instrui ao roteador a exibir um prompt exigindo um password.
E como na configuração do password para a porta console, se o comando “login” não for utilizado, o password não será checado. Como você não instruiu o roteador a exibir o prompt pedindo a senha, a sessão telnet será bem sucedida. Isto com certeza vai comprometer toda a segurança da rede.
O Comando Login
Sem o comando “login”, você não verá o prompt de senha do roteador. Isto porque a sintaxe completa de password não está presente nas portas VTY.
Caso deseje, você pode utilizar o comando “login” sem um password nas portas VTY. Assim você desabilitará qualquer sessão telnet no roteador. O roteador sabe que as portas VTY são pontos de comunicação importantes, e caso você as configure sem um password, o Cisco IOS lhe informará de uma sessão telnet em potencial em que um password é necessário, mas que não foi configurado. Com isso o roteador irá desabilitar a sessão telnet.
Password Seguro
Caso você consiga entrar em um roteador via telnet, então você terá que digitar o password daquele roteador para ter acesso ao Privileged Mode. Caso os comandos “enable password” ou “enable secret” não estejam configurados, então a sessão telnet nega o acesso ao Privileged Mode. E caso você tente configurar remotamente um ou outro comando, você não irá conseguir.
A Encriptação do password
O password configurado com o comando “enable password” é exibido em texto claro. Isto já não acontece com o password configurado com o comando “enable secret”. Ele é automaticamente encriptado e não pode ser descriptografado.
Os outros passwords podem ser encriptados, mas tenha em mente que o algoritmo de criptografia utilizado não é tão seguro quanto o usado no comando “enable secret”.
Exemplo de encriptação de password
Se você der o comando “show”, vai ver todos os passwords, exceto o do enable secret. Se você armazenar o Configuration File em um servidor TFTP, estes passwords podem cair em mãos erradas.
Lembre-se que se você estiver usando o comando “enable secret”, o roteador está em segurança. Mesmo que alguém consiga o password do “enable password”, este alguém ainda não terá acesso ao Privileged Mode.
Comando para ativar a encriptação de password
Você pode encriptar os passwords dos comandos “enable password”, da porta console e das portas VTY com um simples comando. Você deve estar no Configuration Mode e digitar o comando “service password-encryption”
Aparentemente não houve nenhuma ação do roteador, mas se você sair do Configuration Mode e reexaminar o Configuration File, verá os resultados.
Encriptação
Agora você verá no Configuration File, todos os passwords encriptados. Note também que “service password-encryption” aparece no topo do Configuration File.
O comando “service password-encryption” é um alternador de funções. Se o comando está presente no Configuration File, todo e qualquer password que for inserido deste ponto em diante será encriptado. Caso contrário, eles serão apresentados em texto claro.
Desabilitando a função de encriptação
Para desabilitar a função de encriptação, use “no” no início do comando apresentado. Ex: “no service password-encription”, que neste caso aparentará que nada ocorreu até que você visualize novamente o Configuration File.
Recuperando os passwords encriptados
Aqui você pode ver que sempre que a encriptação de passwords for desabilitada, os passwords ainda estarão encriptados. Isto ocorre porque o algoritmo de encriptação é do tipo one-way , ou seja, de apenas uma mão, o que significa que o roteador não faz o processo de desencriptação dos passwords. Os passwords escritos em texto claro podem ser recuperados com programas adequados que fazem ataques por dicionário, mas não podem ser recuperados pelo roteador.
Se mesmo assim você os quer em texto claro, deve redigitar todos os passwords sem o “service password-encryption” ativo.