1 - Considerar o uso de SSH ao Telnet comum
2 - Habilitar segurança de SNMP (v3)
3 - Desabilita serviços desnecessários
4 - Habilitar syslog
5 - Habilitar autenticação dos IGP
Smurf attacks, Directed Broadcasts e RPF (Reverse Path Forwarding) check
Por default(IOS > 12.0) as interfaces usam o no ip direct-broadcast para prevenir esse tipo de ataque.
Além disso o RPF pode ser usado nas interfaces com o comando
ip verify unicast source reachable-via {rx|any} [allow-default] [allow-self-ping]
rx - strict, verifica se a rota para a rede de origem aponta pra interface de onde o pacote veio.
any - Loose, verifica se existe qualquer rota para a rede.
allow-default - considera inclui a rota default
allow-self-ping - verifica se o host está acesivel por ping (não recomendado)
O livro fala muito de access-lists (Li por cima e acabei pulando essa parte)
Além disso ele recomenda a leitura sobre :
CBAC: Context-Based Access Control aqui ( http://www.cisco.com/en/US/docs/ios/12_0/security/configuration/guide/sccbac.html )
DMVPN: Dunamic Multipont VPN aqui ( http://www.cisco.com/en/US/products/ps6658/index.html )
Agora praticamente falta:
WAN (Frame-Relay), MPLS, IPV6 e Multicast.
Vamos ver se faço um por dia (quinta, sexta, sabado e domingo)
Nenhum comentário:
Postar um comentário