M6 · Segurança

Prática de endurecimento de dispositivos

Endurecimento (hardening) é o processo de reduzir a superfície de ataque de um dispositivo de rede aplicando configurações de segurança mínimas obrigatórias. No CCNA, o foco está nos controles básicos exigidos em roteadores e switches Cisco IOS.

Proteção de senhas

Enable secret vs enable password

Sempre utilize enable secret em vez de enable password. O secret armazena a senha com hash MD5 (ou SCRYPT em versões modernas), enquanto password usa codificação reversível por padrão.

R1(config)# enable secret S3cur@Pass

Criptografar senhas em texto claro

O comando abaixo aplica criptografia tipo 7 a todas as senhas em texto claro no running-config (console, VTY, AUX):

R1(config)# service password-encryption

> Tipo 7 é fraco e reversível — use enable secret e senhas de usuário com secret sempre que possível.

Segurança das linhas de acesso

Console

R1(config)# line console 0
R1(config-line)# password Cisco123
R1(config-line)# login
R1(config-line)# exec-timeout 5 0

exec-timeout 5 0 encerra sessões inativas após 5 minutos — evita acesso físico não autorizado.

VTY (Telnet/SSH)

R1(config)# line vty 0 4
R1(config-line)# transport input ssh
R1(config-line)# login local
R1(config-line)# exec-timeout 10 0

Restringir transport input ssh desativa Telnet, que transmite dados em texto claro.

Configuração de SSH

SSH é o único protocolo de gerenciamento remoto aceitável. Para habilitar:

R1(config)# ip domain-name fsudo.com
R1(config)# crypto key generate rsa modulus 2048
R1(config)# ip ssh version 2
R1(config)# username admin secret AdminPass1

Verificação:

R1# show ip ssh

Banners de segurança

Banners com aviso legal são exigidos para suporte jurídico em caso de acesso não autorizado.

R1(config)# banner motd # Acesso restrito. Monitorado. #
Banner Quando exibido
motd Antes do login
login Na tela de autenticação
exec Após login bem-sucedido

Desativação de serviços desnecessários

Serviços ativos por padrão que aumentam a superfície de ataque:

R1(config)# no ip http server
R1(config)# no ip http secure-server
R1(config)# no cdp run
R1(config)# no ip finger
R1(config)# no service tcp-small-servers
R1(config)# no service udp-small-servers

Desative CDP globalmente em interfaces voltadas para usuários finais ou redes externas. Para desativar por interface:

R1(config-if)# no cdp enable

Controle de acesso com ACL nas VTYs

Restrinja quais hosts podem acessar o dispositivo remotamente:

R1(config)# access-list 10 permit 192.168.1.0 0.0.0.255
R1(config)# line vty 0 4
R1(config-line)# access-class 10 in

Verificações pós-configuração

R1# show running-config | include enable secret
R1# show ip ssh
R1# show users
R1# show line

Pontos críticos para o exame

  • enable secret sempre tem precedência sobre enable password se ambos estiverem configurados
  • service password-encryption não protege o enable secret (já está criptografado)
  • SSH versão 2 requer domínio configurado e chave RSA de no mínimo 768 bits (recomendado 2048)
  • exec-timeout 0 0 desativa o timeout — nunca use em produção
  • transport input ssh nas VTYs desativa Telnet automaticamente