M6 · Segurança

Endurecimento de Segurança em Dispositivos Cisco

O que é

Endurecimento de segurança — ou device hardening — é o processo de reduzir ao máximo a superfície de ataque de um roteador ou switch Cisco. Em vez de aceitar a configuração padrão de fábrica (que priorizou a facilidade de uso, não a segurança), o administrador desativa serviços desnecessários, reforça o controle de acesso e registra eventos para fins de auditoria.

Um dispositivo recém-saído da caixa costuma ter o servidor HTTP ativo, o CDP rodando em todas as interfaces, o Telnet habilitado nas linhas VTY e nenhum tempo limite de sessão configurado. Qualquer um desses itens, isoladamente, já representa um risco real em redes de produção.

Como funciona

Senhas e criptografia

O primeiro passo é proteger o acesso privilegiado. O IOS oferece dois comandos para isso:

! Fraco — type 7, crackeável em segundos
enable password CCNA

! Correto — MD5 (type 5), sempre criptografado
enable secret Cisco123@

! Ainda mais forte — scrypt (type 9), disponível em IOS moderno
enable algorithm-type scrypt secret Cisco123@

O service password-encryption criptografa senhas que ainda estejam em texto claro (linhas console, VTY, usuários locais), mas usa type 7 — fácil de reverter. Mesmo assim vale ativá-lo como camada adicional:

service password-encryption

Se enable secret e enable password coexistirem, o IOS ignora o enable password. Use apenas o enable secret.

Banners

Banners informam usuários legítimos e têm peso jurídico: avisos de "acesso não autorizado é crime" são necessários para que uma empresa possa processar invasores em muitos países, incluindo o Brasil.

banner motd ^
  *** Acesso restrito — equipamento da Empresa XYZ ***
  Uso não autorizado e monitorado. Desconecte imediatamente.
^

Tempo limite de sessão (exec-timeout)

Sem esse parâmetro, uma sessão de console ou VTY abandonada permanece ativa indefinidamente. No Brasil, técnicos de campo frequentemente deixam sessões abertas em NOCs.

line console 0
 exec-timeout 5 0        ! desconecta após 5 min de inatividade

line vty 0 15
 exec-timeout 5 0

O formato é exec-timeout <minutos> <segundos>. exec-timeout 0 0 desabilita o timeout — evite em produção.

Limitação de tentativas de login

O IOS pode bloquear automaticamente o acesso após múltiplas falhas seguidas, frustrando ataques de força bruta:

login block-for 120 attempts 3 within 60
! Bloqueia por 120 s se houver 3 falhas em 60 s

login delay 2
! Acrescenta 2 s de atraso entre cada tentativa

Desabilitar serviços não utilizados

Serviços que ninguém usa são portas abertas para atacantes:

! CDP — útil para troubleshooting interno, perigoso em links externos
no cdp run                   ! desativa globalmente
! ou por interface:
interface GigabitEthernet0/0
 no cdp enable

! Servidor HTTP/HTTPS — gerência via web raramente é usada e raramente é segura
no ip http server
no ip ip http secure-server

! Source routing — permite que o atacante dite o caminho dos pacotes
no ip source-route

! Proxy ARP — responde ARP em nome de outros hosts; habilite apenas se necessário
interface GigabitEthernet0/0
 no ip proxy-arp

Desabilitar portas de switch não usadas

Portas livres são pontos de entrada para quem consegue acesso físico ao rack:

interface range FastEthernet0/10 - 24
 shutdown
 switchport mode access
 switchport access vlan 999    ! VLAN de quarentena, sem roteamento

Restringir o acesso remoto ao SSH

Telnet transmite tudo em texto claro — senha incluída. Use SSH com autenticação local:

ip domain-name empresa.com.br
crypto key generate rsa modulus 2048
ip ssh version 2

line vty 0 15
 transport input ssh       ! bloqueia Telnet
 login local
 exec-timeout 5 0

Na prática

Imagine uma filial de uma operadora de telecomunicações em São Paulo. O técnico instala um roteador novo, configura os links e vai embora sem hardening. Dois dias depois, a equipe de segurança detecta tráfego suspeito: um atacante acessou o roteador via Telnet usando a senha padrão, inseriu uma rota estática apontando para seu servidor e passou a interceptar chamadas VoIP da filial.

Um checklist mínimo teria evitado isso:

  • enable secret configurado
  • transport input ssh nas VTYs
  • no ip http server
  • exec-timeout 5 0
  • login block-for 120 attempts 3 within 60

Por que cai no exame

O tópico 5.3 do blueprint CCNA 200-301 exige que o candidato saiba "configurar dispositivos de rede para acesso remoto seguro usando SSH" e "implementar medidas de segurança de dispositivos". As questões costumam apresentar:

  • Diferença entre enable password e enable secret
  • Efeito real do service password-encryption (type 7 não é seguro)
  • Configuração completa de SSH passo a passo
  • Qual comando bloqueia Telnet nas VTYs (transport input ssh)
  • O que exec-timeout 0 0 faz (desabilita o timeout)
  • Qual serviço o CDP usa e por que desabilitá-lo em interfaces externas

Uma pegadinha clássica: o exame mostra uma configuração com service password-encryption e pergunta se a senha está "segura". A resposta correta é não, pois type 7 é facilmente crackeável.

Resumo em uma linha

Endurecimento de segurança é desativar tudo o que o dispositivo não precisa fazer e proteger cada ponto de acesso restante com senhas fortes, criptografia robusta e limites de sessão — reduzindo ao mínimo a superfície disponível para ataques.