Dead Packets

01/05/2010

CCNA Security Lab Notes

Filed under: certificação,cisco — drak @ 10:23 AM

Recentemente passei na prova 640-553 (IINS) e obtive a certificação CCNA Security, deixo registrado aqui uma trilha do que estudei na forma de comandos utilizados durante o estudo para a prova, apenas lembrando que esses notes são apenas um GUIA para o estudo teórico, o que é mais cobrado na prova é o ASDM e os conceitos portanto não utilize isto aqui como única referência ou você vai se dar mal.

Como recursos de estudo utilizei:

CCNA Security Official Exam Certification Guide
– CCNA Security Lab Manual
– CBT Nuggets Cisco CCNA Security – Exam-Pack 640-553: IINS
– Simulações no GNS3

! CCNA Security Lab Notes

security passwords min-length 10
enable secret hardtoguesspass

! Configuracao console
line con 0
password ciscocon
exec-timeout 5 0
login
logg syn

! Configuracao telnet
line vty 0 4
password ciscovtypass
exec-timeout 5 0
login

! Criptografa as senhas que estao em plain-text
service password-encryption

banner motd $get off$

username admin secret hardpassadmin priv 15

! Melhorias no login
login block-for 60 attempts 2 within 30
login on-sucess log
login on-failure log every 2

! Preparacao para ssh
ip domain-name security.lab

! Limpa e gera chaves RSA para acesso ssh
crypto key zeroize rsa
crypto key generate rsa general-keys modulus 1024

! Ajusta configuracao de SSH
ip ssh time-out 90
ip ssh authentication-retries 2

! Configura SSH ao inves de telnet
line vty 0 4
priv level 15
login local
transport input ssh
exit

! Views
aaa new-model
exit
enable view

parser view TECH
secret techpass
commands exec include all show
commands exec include all config terminal

enable view TECH
sh parser view

! Boot resilience
sh flash
secure boot-image
secure boot-config
sh secure bootset
sh flash

! NTP
ntp master 3
ntp server 10.1.1.1
ntp update-calendar
sh ntp associations

! Logs
logging 10.0.0.1
logging trap critical
logging userinfo

! SNMP
snmp-server community secretSNMP ro

! Inicia lockdown generico
auto secure

! AAA
aaa new-model
aaa authentication login default local none
aaa authentication enable default enable
aaa authentication login TELNET_LINE local
line vty 0 4
login authentication TELNET_LINE
debug aaa authentication
aaa authentication login default group radius none
radius-server host 10.1.1.1 key chaveSECRETA auth-port 1645 acct-port 1646
aaa accounting exec default start-stop tacacs+

! ACL
ip access-list NOME_DA_ACL
	15 permit tcp 10.0.0.0 0.0.0.255 192.168.0.0 0.0.255.255 eq http

! CBAC - Classic firewall
ip inspect NOME_DA_REGRA telnet
ip inspect NOME_DA_REGRA realaudio
ip inspect autosec inspect out

sh ip inspect all

! Restricao em telnet e snmp com ACLs
access-list 50 permit 192.168.1.0 0.0.0.255
line vty 0 4
access-class 50 in

snmp-server community secretSNMP ro 50

! Stateful rudimentar
ip access-list extended INTERNET_FILTER
permit tcp any any established

! Reorganiza ACLs
ip access-list resequence INTERNET FILTER 5 10

! L2 Security
spanning-tree vlan 1 priority 0

! Protecao contra VLAN Hopping
int f0/0
switchport mode trunk
switchport trunk native vlan 99
switchport nonegotiate
storm-control broadcast level 50
sh int f0/0 trunk
sh int f0/0 switchport

! Protecao contra CAM Overflow
int f0/5
switchport mode access
spanning-tree portfast
spanning-tree bpduguard enable
sh spanning-tree int f0/5 detail
spanning-tree guard root
shut
switchport port-security
switchport port-security maximum 2
switchport port-security violation shutdown
switchport port-security mac-address aaaa.bbbb.cccc
switchport port-security mac-address sticky
switchport port-security aging time 120
no shut
sh port-security int f0/5

! Desabilita portas nao utilizadas
int range f0/2 - 4
shut

! Utilizacao de VLANs
vlan 20
name users
int f0/5 - 10
switchport access vlan 20

! SPAN Port - Monitora trafego
monitor session 1 source interface f0/5 both
monitor session 1 destination interface f0/5
sh monitor session 1

! VPN site-to-site

! Fase 1
crypto isakmp enable
crypto isakmp policy 10
crypto isakmp key cisco123 address 10.1.1.1
authentication pre-share
encryption aes 256
hash sha
group 5
lifetime 3600
sh crypto isakmp policy

! Fase 2
crypto ipsec transform-set 50 esp-aes 256 esp-sha-hmac
crypto ipsec security-association lifetime seconds 1800
! Proxy ID
access-list 101 permit ip 192.168.1.0 0.0.0.255 192.168.3.0 0.0.0.255

crypto map NOME_DO_CMAP 10 ipsec-isakmp
match address 101
set peer 10.1.1.1
set pfs group 5
set transform-set 50

int f0/0
crypto map NOME_DO_CMAP

sh crypto ipsec transform-set
sh crypto map
sh crypto isakmp sa
sh crypto ipsec sa
Anúncios

3 Comentários »

  1. […] Filed under: certificação,cisco — drak @ 11:02 AM Seguindo o mesmo espírito do CCNA Security Lab Notes, seguem algumas anotações utilizadas durante o estudo. Para este exame utilizei como principais […]

    Pingback por SNAF Lab Notes « Dead Packets — 30/06/2010 @ 11:02 AM | Responder

  2. Olá,
    Venho acompanhado há algum tempo seu blog logo após a decisão de me certificar em Segurança!
    Gostaria de saber sobre o que fora cobrado na sua prova e lab no ccna security.
    [ ]’s e parabéns pelo blog!

    Comentário por Rodrigo — 22/08/2010 @ 10:54 PM | Responder

    • Oi,
      Na prova CCNA Sec foi cobrado bastante ZBF (Zone Based Firewall), ACLs, segurança em switches e um pouco de ASDM. Recomendo fortemente que você pegue os livros indicados e faça os LABs, não são tão difíceis de achar nos 4shared da vida.
      Obrigado pelo elogio!

      Comentário por drak — 23/08/2010 @ 6:54 AM | Responder


RSS feed for comments on this post. TrackBack URI

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s

Blog no WordPress.com.

%d blogueiros gostam disto: