Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
Lder
Controle Projeto
Abertura do Questionrio Situao Ctrl Fechamento Rel Quest de Questionrio P S PSR 12/06/2013 3 3 3 27
PRJR13004 - Switch DSWDFAS05 Aluisio LayerMeneses 2 Genrico de Brito AJunior auditoria SGSI_Ciclo_2013_Rede_CPDF do Switch deve ser habilitada e configurada 10/06/2013 Implementado de forma a registrar os eventos relevantes para a segurana.
PRJR13004 - Switch DSWDFAS05 Aluisio LayerMeneses 2 Genrico de Brito AJunior autenticao SGSI_Ciclo_2013_Rede_CPDF 802.1x deve ser habilitada para interfaces 10/06/2013 No Implementado 12/06/2013 nas quais se conectam dispositivos que a suportem. PRJR13004 - Switch DSWDFAS05 Aluisio LayerMeneses 2 Genrico de Brito AJunior data e hora SGSI_Ciclo_2013_Rede_CPDF do Switch devem ser corretamente 10/06/2013 Implementado configuradas. 12/06/2013
36
3 3 3 3 3
3 3 2 3 2
4 3 3 3 3
36 27 18 27 18
PRJR13004 - Switch DSWDFAS05 Aluisio LayerMeneses 2 Genrico de Brito AJunior performance SGSI_Ciclo_2013_Rede_CPDF do Switch deve ser monitorada 10/06/2013 No Implementado 12/06/2013 periodicamente. PRJR13004 - Switch DSWDFAS05 Aluisio LayerMeneses 2 Genrico de Brito AJunior proteo contra SGSI_Ciclo_2013_Rede_CPDF ataques do tipo "Packet Storm" 10/06/2013 deve No Implementado 12/06/2013 ser habilitada no Switch. PRJR13004 - Switch DSWDFAS05 Aluisio LayerMeneses 2 Genrico de Brito AJunior soluo de SGSI_Ciclo_2013_Rede_CPDF "QoS" do Switch deve ser configurada. 10/06/2013 No Implementado 12/06/2013 PRJR13004 - Switch DSWDFAS05 Aluisio LayerMeneses 2 Genrico de Brito AJunior verso doSGSI_Ciclo_2013_Rede_CPDF protocolo SNMP utilizado no Switch 10/06/2013 deve Implementado ser a 2.x ou mais recente. 12/06/2013
Comentrios telnet@DSWDFAS05#show logging Syslog logging: enabled (0 messages dropped, 0 flushes, 66 overruns) Buffer logging: level ACDMEINW, 50 messages logged level code: A=alert C=critical D=debugging M=emergency E=error I=informational N=notification W=warningStatic Log Buffer:Aug 19 12:07:16:I:System: Stack unit 1 Power supply 1 is upDynamic Log Buffer (50 lines):Jun 10 16:46:50:I:Security: telnet login by gabriel.valderrama from src IP 10.122.9.7, src MAC 108c.cf57.f640 to PRIVILEGE EXEC modeJun 10 00:02:45:I:Security: telnet logout by s2re from src IP 10.70.1.26, src MAC 000c.2934.caccJun 10 00:02:38:I:Security: telnet login by s2re from src IP 10.70.1.26, src MAC 000c.2934.cacc to PRIVILEGE EXEC mode
Evidncia
Anexo
Alto
Projeto SGSI_Ciclo_2013_Rede_CPDF
PRJR13004 PRJR13004
SGSI_Ciclo_2013_Rede_CPDF SGSI_Ciclo_2013_Rede_CPDF
10/06/2013 10/06/2013
12/06/2013 12/06/2013
Controle A verso do sistema operacional do Switch deve ser a mais atual disponvel, considerada estvel pelo fabricante. As interfaces no utilizadas do switch devem ser desabilitadas e alocadas a uma VLAN especfica. As interfaces que no sero utilizadas como troncos devem ser explicitamente definidas.
Rel Quest 3
P 3
S 3
PSR 27
No Implementado Implementado
3 3
3 3
3 3
27 27
Comentrios
Evidncia
Anexo
Mdio Mdio Port Link State Dupl Speed Trunk Tag Pvid Pri MAC Name 0/1/1 Disable None None None None No 1 0 0024.38ec.11c0 espel0/1/2 Disable None None None None No 6 0 0024.38ec.11c1 VAGO 0/1/3 Up Forward Full 1G None No 6 0 0024.38ec.11c2 DFLWT0/1/4 Up Forward Full 1G None No 6 0 0024.38ec.11c3 UXDFL0/1/5 Disable None None None None No 6 0 0024.38ec.11c4 VAGO 0/1/6 Disable None None None None No 6 0 0024.38ec.11c5 VAGO 0/1/7 Up Forward Full 1G None No 6 0 0024.38ec.11c6 CHERN0/1/8 Disable None None None None No 6 0 0024.38ec.11c7 0/1/9 Disable None None None None No 6 0 0024.38ec.11c8 VAGO 0/1/10 Disable None None None None No 6 0 0024.38ec.11c9 VAGO 0/1/11 Disable None None None None No 6 0 0024.38ec.11ca 0/1/12 Disable None None None None No 6 0 0024.38ec.11cb 0/1/13 Disable None None None None No 6 0 0024.38ec.11cc 0/1/14 Disable None None None None No 6 0 0024.38ec.11cd 0/1/15 Disable None None None None No 6 0 0024.38ec.11ce 0/1/16 Disable None None None None No 6 0 0024.38ec.11cf 0/1/17 Disable None None None None No 6 0 0024.38ec.11d0 0/1/18 Disable None None None None No 6 0 0024.38ec.11d1 0/1/19 Disable None None None None No 6 0 0024.38ec.11d2 0/1/20 Disable None None None None No 6 0 0024.38ec.11d3 0/1/21 Disable None None None None No 6 0 0024.38ec.11d4 0/1/22 Disable None None None None No 6 0 0024.38ec.11d5 0/1/23 Up Forward Full 1G 23 No 6 0 0024.38ec.11d6 DSCDF0/1/24 Up Forward Full 1G 23 No 6 0 0024.38ec.11d6 DSCDF
Projeto SGSI_Ciclo_2013_Rede_CPDF
PRJR13004
SGSI_Ciclo_2013_Rede_CPDF
10/06/2013
12/06/2013
Controle As interfaces que no sero utilizadas como troncos devem ser explicitamente definidas.
Rel Quest 3
P 3
S 3
PSR 27
Implementado
18
Comentrios Port Link State Dupl Speed Trunk Tag Pvid Pri MAC Name 0/1/1 Disable None None None None No 1 0 0024.38ec.11c0 espel0/1/2 Disable None None None None No 6 0 0024.38ec.11c1 VAGO 0/1/3 Up Forward Full 1G None No 6 0 0024.38ec.11c2 DFLWT0/1/4 Up Forward Full 1G None No 6 0 0024.38ec.11c3 UXDFL0/1/5 Disable None None None None No 6 0 0024.38ec.11c4 VAGO 0/1/6 Disable None None None None No 6 0 0024.38ec.11c5 VAGO 0/1/7 Up Forward Full 1G None No 6 0 0024.38ec.11c6 CHERN0/1/8 Disable None None None None No 6 0 0024.38ec.11c7 0/1/9 Disable None None None None No 6 0 0024.38ec.11c8 VAGO 0/1/10 Disable None None None None No 6 0 0024.38ec.11c9 VAGO 0/1/11 Disable None None None None No 6 0 Port Link State Dupl Speed Trunk Tag Pvid Pri MAC Name 0/1/1 Disable None None None None No 1 0 0024.38ec.11c0 espel0/1/2 Disable None None None None No 6 0 0024.38ec.11c1 VAGO 0/1/3 Up Forward Full 1G None No 6 0 0024.38ec.11c2 DFLWT0/1/4 Up Forward Full 1G None No 6 0 0024.38ec.11c3 UXDFL0/1/5 Disable None None None None No 6 0 0024.38ec.11c4 VAGO 0/1/6 Disable None None None None No 6 0 0024.38ec.11c5 VAGO 0/1/7 Up Forward Full 1G None No 6 0 0024.38ec.11c6 CHERN0/1/8 Disable None None None None No 6 0 0024.38ec.11c7 0/1/9 Disable None None None None No 6 0 0024.38ec.11c8 VAGO 0/1/10 Disable None None None None No 6 0 0024.38ec.11c9 VAGO 0/1/11 Disable None None None None No 6 0 0024.38ec.11ca 0/1/12 Disable None None None None No 6 0 0024.38ec.11cb 0/1/13 Disable None None None None No 6 0 0024.38ec.11cc 0/1/14 Disable None None None None No 6 0 0024.38ec.11cd 0/1/15 Disable None None None None No 6 0 0024.38ec.11ce 0/1/16 Disable None None None None No 6 0 0024.38ec.11cf
Evidncia
Anexo
Mdio
Projeto SGSI_Ciclo_2013_Rede_CPDF
PRJR13004
SGSI_Ciclo_2013_Rede_CPDF
10/06/2013
12/06/2013
PRJR13004
SGSI_Ciclo_2013_Rede_CPDF
10/06/2013
12/06/2013
Rel Quest 3
P 2
S 3
PSR 18
As senhas padro ("default") fornecidas pelo fabricante para acesso ao Switch devem ser substitudas por outras senhas de difcil deduo (complexidade e tamanho mnimo).
Implementado
60
Nmeros de identificao "VLAN IDs" dedicados devem No Implementado ser utilizados para as interfaces tronco no Switch.
27
Comentrios Port Link State Dupl Speed Trunk Tag Pvid Pri MAC Name 0/1/1 Disable None None None None No 1 0 0024.38ec.11c0 espel0/1/2 Disable None None None None No 6 0 0024.38ec.11c1 VAGO 0/1/3 Up Forward Full 1G None No 6 0 0024.38ec.11c2 DFLWT0/1/4 Up Forward Full 1G None No 6 0 0024.38ec.11c3 UXDFL0/1/5 Disable None None None None No 6 0 0024.38ec.11c4 VAGO 0/1/6 Disable None None None None No 6 0 0024.38ec.11c5 VAGO 0/1/7 Up Forward Full 1G None No 6 0 0024.38ec.11c6 CHERN0/1/8 Disable None None None None No 6 0 0024.38ec.11c7 0/1/9 Disable None None None None No 6 0 0024.38ec.11c8 VAGO 0/1/10 Disable None None None None No 6 0 0024.38ec.11c9 VAGO 0/1/11 Disable None None None None No 6 0 0024.38ec.11ca 0/1/12 Disable None None None None No 6 0 0024.38ec.11cb 0/1/13 Disable None None None None No 6 0 0024.38ec.11cc 0/1/14 Disable None None None None No 6 0 0024.38ec.11cd 0/1/15 Disable None None None None No 6 0 0024.38ec.11ce 0/1/16 Disable None None None None No 6 0 0024.38ec.11cf 0/1/17 Disable None None None None No 6 0 0024.38ec.11d0 0/1/18 Disable None None None None No 6 0 0024.38ec.11d1 0/1/19 Disable None None None None No 6 0 0024.38ec.11d2 telnet@DSWDFAS05#sh users Username Password Encrypt Priv Status Expire Time===================================== ========================================= =====admin $1$Mn0..115$BPwdMGeYQN2Xn9Wwt8alv. enabled 0 enabled Never
Evidncia
Anexo
Muito Alto
Mdio
Projeto SGSI_Ciclo_2013_Rede_CPDF
PRJR13004
SGSI_Ciclo_2013_Rede_CPDF
10/06/2013
12/06/2013
Aluisio Meneses de Brito Junior Aluisio Meneses de Brito Junior Aluisio Meneses de Brito Junior Aluisio Meneses de Brito Junior Aluisio Meneses de Brito Junior Aluisio Meneses de Brito Junior Aluisio Meneses de Brito Junior
PRJR13004
SGSI_Ciclo_2013_Rede_CPDF
10/06/2013
12/06/2013
PRJR13004
SGSI_Ciclo_2013_Rede_CPDF
10/06/2013
12/06/2013
Controle O "flooding" de pacotes "unicast" e "multicast" desconhecidos deve ser bloqueado nas interfaces do Switch. O "Spanning Tree Protocol" (STP) deve ser desabilitado nas interfaces do Switch conectadas s estaes de trabalho. O acesso ao agente SNMP do Switch deve ser permitido apenas para clientes autorizados. O acesso ao servio "HTTP" do Switch deve ser permitido apenas para usurios autorizados. O acesso de escrita ("read write") ao agente SNMP do Switch deve ser removido. O acesso lgico ao Switch deve ser autenticado.
Rel Quest 3
P 2
S 3
PSR 18
No Implementado
24
DSWDFAS05 - Switch Layer 2 Genrico DSWDFAS05 - Switch Layer 2 Genrico DSWDFAS05 - Switch Layer 2 Genrico DSWDFAS05 - Switch Layer 2 Genrico DSWDFAS05 - Switch Layer 2 Genrico DSWDFAS05 - Switch Layer 2 Genrico DSWDFAS05 - Switch Layer 2 Genrico
3 3 3 3 3 3 3
3 3 3 3 3 2 2
3 4 4 4 4 3 3
27 36 36 36 36 18 18
O acesso lgico ao Switch deve ser permitido apenas para Implementado usurios autorizados. O acesso remoto a sistemas externos a partir do Switch deve ser proibido. O agente SNMP do Switch deve ser configurado para enviar "traps" somente para "hosts" de gerenciamento autorizados. O controle de fluxo de dados ("Flow Control") deve ser habilitado no Switch. No Implementado Implementado
Implementado
18
Implementado
36
Comentrios
Evidncia
Anexo
Mdio
Mdio Alto Alto Alto Alto Mdio Mdio ACL para filtrar o trfego:snmp-server community ..... ro 30 show interfaces ethernet 0/1/1Flow Control is config enabled, oper disabled, negotiation disabledshow interfaces ethernet 0/1/2Flow Control is config enabled, oper disabled, negotiation disabledshow interfaces ethernet 0/1/3Flow Control is config enabled, oper disabled, negotiation disabled(...) aaa authentication web-server default tacacs+aaa authentication login default tacacs+ enable aaa authentication web-server default tacacs+
Mdio
Alto
Projeto SGSI_Ciclo_2013_Rede_CPDF
PRJR13004
SGSI_Ciclo_2013_Rede_CPDF
10/06/2013
12/06/2013
PRJR13004
SGSI_Ciclo_2013_Rede_CPDF
10/06/2013
12/06/2013
PRJR13004
SGSI_Ciclo_2013_Rede_CPDF
10/06/2013
12/06/2013
PRJR13004
SGSI_Ciclo_2013_Rede_CPDF
10/06/2013
12/06/2013
Aluisio Meneses de Brito Junior Aluisio Meneses de Brito Junior Aluisio Meneses de Brito Junior Aluisio Meneses de Brito Junior Aluisio Meneses de Brito Junior
Controle O modo de acesso privilegiado ao Switch dever ser protegido por senha e a mesma deve ser criptografada. O nome da comunidade SNMP de escrita ("read write") no agente SNMP do Switch deve ser de difcil deduo.
Rel Quest 3
P 3
S 4
PSR 36
Implementado
36
O nome da comunidade SNMP de leitura ("read only") no Implementado agente SNMP do Switch deve ser de difcil deduo.
18
No Aplicvel
36
Implementado
18
DSWDFAS05 - Switch Layer 2 Genrico DSWDFAS05 - Switch Layer 2 Genrico DSWDFAS05 - Switch Layer 2 Genrico DSWDFAS05 - Switch Layer 2 Genrico DSWDFAS05 - Switch Layer 2 Genrico
O recurso de proteo contra ataques do tipo "Smurf" deve ser habilitado no Switch.
No Implementado
3 3 3 3 3
4 2 3 4 4
4 3 4 3 4
48 18 36 36 48
O recurso de resposta a pacotes "Address Mask Request" No Implementado deve ser desabilitado no Switch. O servio "Bootp" deve ser desabilitado no Switch. O servio "Finger" deve ser desabilitado no Switch. O servio "HTTP" deve ser desabilitado no Switch. No Aplicvel No Aplicvel No Implementado
Evidncia
Anexo
Alto
SNMP Community StringType Community String Encrypt View Name ACL Id get startrek yes all 30 set matrix yes config-copia 6 SNMP Community StringType Community String Encrypt View Name ACL Id get startrek yes all 30 set matrix yes config-copia 6 Do manual do fabricante:Support for DHCP snooping with dynamic ACLs-----------------------------------------------------------------------NOTEThis feature is not supported on FWS and FCX devices.----------------------------------------------------------------------
Mdio
Alto
Mdio
Do manual do fabricante (http://www.brocade.com/downloads/documents/html_pr oduct_manuals/FI_07400a_CFG/wwhelp/wwhimpl/js/ht ml/wwhelp.htm):Proxy ARP is disabled by default on Brocade Layer 3 Switches. This feature is not supported on Brocade Layer 2 Switches
Lder Aluisio Meneses de Brito Junior Aluisio Meneses de Brito Junior Aluisio Meneses de Brito Junior
Aluisio Meneses de Brito Junior Aluisio Meneses de Brito Junior Aluisio Meneses de Brito Junior
Aluisio Meneses de Brito Junior Aluisio Meneses de Brito Junior Aluisio Meneses de Brito Junior Aluisio Meneses de Brito Junior
Comp Ativo DSWDFAS05 - Switch Layer 2 Genrico DSWDFAS05 - Switch Layer 2 Genrico DSWDFAS05 - Switch Layer 2 Genrico
Controle
Situao Ctrl
Rel Quest 3 3 3
P 3 4 4
S 4 4 4
PSR 36 48 48
O servio "HTTP" do Switch deve ser executado em uma No Implementado porta diferente da padro (porta 80). O servio "SNMP" deve ser desabilitado no Switch caso seja desnecessrio. O servio "TFTP" deve ser desabilitado no Switch. Implementado Implementado
DSWDFAS05 - Switch Layer 2 Genrico DSWDFAS05 - Switch Layer 2 Genrico DSWDFAS05 - Switch Layer 2 Genrico
O servio Telnet do Switch deve ser desabilitado. O Switch deve ser configurado de forma a utilizar autenticao local.
No Implementado No Implementado
3 3 3
3 2 3
4 4 3
36 24 27
O Switch deve ser configurado de forma que cada pessoa Implementado com acesso autorizado possua uma conta individual associada. O Switch deve ser gerenciado em uma VLAN dedicada, diferente da VLAN "default". O Switch deve ser instalado em um compartimento fechado, com mecanismo de controle de acesso. O Switch deve ser inventariado. O trfego de administrao remota do Switch deve ser protegido atravs de criptografia. No Implementado Implementado Implementado No Implementado
DSWDFAS05 - Switch Layer 2 Genrico DSWDFAS05 - Switch Layer 2 Genrico DSWDFAS05 - Switch Layer 2 Genrico DSWDFAS05 - Switch Layer 2 Genrico
3 3 3 3
3 4 3 3
4 4 3 4
36 48 27 36
Comentrios
Evidncia
Anexo
gabriel@gabriel-pc:~$ nmap -A 10.70.0.234Starting Nmap 6.00 ( http://nmap.org ) at 2013-06-12 15:04 BRTNmap scan report for dswdfas05.prevnet (10.70.0.234)Host is up (0.017s latency).Not shown: 997 closed portsPORT STATE SERVICE VERSION23/tcp open telnet Pocket CMD telnetd80/tcp open tcpwrapped280/tcp open tcpwrappedService detection performed. Please report any incorrect results at http://nmap.org/submit/ .Nmap done: 1 IP address (1 host up) scanned in 20.25 seconds
Alto Alto Mdio Alto aaa authorization commands 0 default tacacs+aaa authorization exec default tacacs+
Aluisio Meneses de Brito Junior Aluisio Meneses de Brito Junior Aluisio Meneses de Brito Junior Aluisio Meneses de Brito Junior Aluisio Meneses de Brito Junior Aluisio Meneses de Brito Junior Aluisio Meneses de Brito Junior
PRJR13004 PRJR13004
SGSI_Ciclo_2013_Rede_CPDF SGSI_Ciclo_2013_Rede_CPDF
10/06/2013 10/06/2013
12/06/2013 12/06/2013
Comp Ativo DSWDFAS05 - Switch Layer 2 Genrico DSWDFAS05 - Switch Layer 2 Genrico
Controle Os "logs" do Switch devem ser redirecionados para um servidor de "logs". Os departamentos (ou grupo de usurios) devem ser organizados em VLANs no Switch, considerando os privilgios de cada grupo. Os pacotes "ICMP Redirect" devem ser bloqueados no Switch. Os pacotes "ICMP Unreachable" devem ser bloqueados no Switch.
Rel Quest 3 3
P 2 3
S 3 3
PSR 18 27
DSWDFAS05 - Switch Layer 2 Genrico DSWDFAS05 - Switch Layer 2 Genrico DSWDFAS05 - Switch Layer 2 Genrico DSWDFAS05 - Switch Layer 2 Genrico DSWDFAS05 - Switch Layer 2 Genrico DSWDFAS05 - Switch Layer 2 Genrico DSWDFAS05 - Switch Layer 2 Genrico
No Implementado No Implementado
3 3 3 3 3 3 3
3 3 2 3 4 2 3
3 3 3 3 4 3 3
27 27 18 27 48 18 27
Os procedimentos de instalao e configurao do Switch No Implementado devem ser documentados. Os registros da auditoria ("logs") do Switch devem ser verificados periodicamente. Os servios "TCP/IP Small Services" devem ser desabilitados no Switch. Recurso de deteco de erros ("Error Detection") devem ser habilitados. Servios de compartilhamento de configuraes e "status" entre Switches e Roteadores ("Discovery Protocols") devem ser desabilitados no Switch. Um "banner" de advertncia para "login" no Switch deve ser implementado. No Implementado No Aplicvel No Implementado Implementado
No Implementado
3 3
2 2
2 4
12 24
Evidncia
Anexo
Mdio Mdio Mdio Mdio Alto Mdio Mdio Syntax:[no] cdp runThe feature is disabled by default. Recurso no disponvel no equipamento.
Projeto SGSI_Ciclo_2013_Rede_CPDF
PRJR13004 PRJR13004
SGSI_Ciclo_2013_Rede_CPDF SGSI_Ciclo_2013_Rede_CPDF
10/06/2013 10/06/2013
12/06/2013 12/06/2013
Rel Quest 3
P 4
S 3
PSR 36
Um perodo de inatividade ("timeout") deve ser definido para conexes ao Switch. Um perodo de reteno para os arquivos de auditoria do Switch deve ser definido.
No Implementado No Implementado
3 3
2 2
4 4
24 24
Comentrios User Access VerificationUsername: tentativa 1Password: User login failure.User Access VerificationUsername: tentativa 2Password: User login failure.User Access VerificationUsername: tentativa 3Password: User login failure.User Access VerificationUsername: tentativa 4Password: User login failure.Connection closed by foreign host.
Evidncia
Anexo
Mdio Mdio
Projeto SGSI_Ciclo_2013_Rede_CPDF
Aluisio Meneses de Brito Junior Aluisio Meneses de Brito Junior Aluisio Meneses de Brito Junior Aluisio Meneses de Brito Junior
Controle Um plano de contingncia em caso de perda das senhas de acesso ao Switch deve ser elaborado. Uma descrio resumida da funcionalidade de cada interface do Switch deve ser cadastrada. Uma descrio resumida da funcionalidade de cada interface do Switch deve ser documentada. Uma lista de acesso para bloquear acesso indevido em VLANs privadas deve ser criada. Uma poltica que assegure a utilizao de senhas fortes (complexidade e tamanho mnimo) para o acesso ao Switch deve ser implementada.
Rel Quest 3
P 2
S 5
PSR 30
DSWDFAS05 - Switch Layer 2 Genrico DSWDFAS05 - Switch Layer 2 Genrico DSWDFAS05 - Switch Layer 2 Genrico DSWDFAS05 - Switch Layer 2 Genrico
3 3 3 3
2 2 3 4
2 2 3 4
12 12 27 48
Comentrios aaa authentication web-server default tacacs+aaa authentication login default tacacs+ enableaaa authentication login privilege-mode
Evidncia
Anexo