Introdução
Num projecto real de rede empresarial, já encontrei switches de acesso com Telnet activo, passwords em texto quase claro, portas de utilizador sem controlo e uma VLAN de gestão acessível a partir de qualquer posto da empresa. O problema não era falta de equipamento. Era falta de processo: a equipa sabia “pôr a rede a funcionar”, mas não tinha uma baseline de segurança que todos aplicassem da mesma forma.
É por isso que a formação cibersegurança empresas tem de ser prática. Não basta falar de ameaças, phishing ou firewalls. Uma equipa de TI que administra redes Cisco precisa de saber configurar SSH, restringir acessos de gestão, aplicar AAA, validar logs, proteger portas de acesso e diagnosticar quando uma feature de segurança bloqueia tráfego legítimo.
No final deste artigo vais ter uma baseline Cisco aplicável em laboratório ou numa rede pequena, perceber os erros que vejo com frequência em formação e saber que partes são relevantes para CCNA, CCNP e trabalho real. Se estás a preparar equipas internas, vê também a página de formação Cisco para empresas da ACAD4Y.
O que deve incluir uma formação de cibersegurança para empresas
Uma boa formação de cibersegurança para equipas de TI não deve começar pelo produto. Deve começar pelo risco operacional: quem pode aceder aos equipamentos, por onde entra, que privilégios tem, como é registada a actividade e que protecções existem no acesso à rede.
Numa rede Cisco típica, divido a formação em cinco blocos:
| Área | Objectivo | Exemplo prático |
|---|---|---|
| Gestão segura | Evitar Telnet e acessos abertos | SSHv2, ACL na VTY, AAA local ou RADIUS |
| Hardening de IOS/IOS XE | Reduzir superfície de ataque | Desactivar serviços não usados |
| Segurança Layer 2 | Evitar ataques locais | Port Security, DHCP Snooping |
| Segmentação | Limitar movimentos laterais | VLANs e ACLs inter-VLAN |
| Monitorização | Ver e auditar eventos | Syslog, NTP, SNMPv3 |
A Cisco tem documentação oficial sobre hardening em IOS/IOS XE, incluindo recomendações para reduzir serviços expostos e proteger planos de gestão. Um bom ponto de partida é o guia Harden IOS Devices da Cisco.
A topologia que uso muitas vezes em formação é simples:
- Um router ou switch Layer 3 como gateway.
- Um switch de acesso com utilizadores.
- Uma VLAN de gestão separada.
- Um servidor de autenticação, por exemplo RADIUS.
- Um servidor Syslog/NTP.
- Duas VLANs de utilizadores: uma para colaboradores e outra para convidados.
Esta topologia é suficiente para treinar conceitos que aparecem no exame e, mais importante, no trabalho diário.
Configuração passo-a-passo de uma baseline Cisco
A configuração abaixo é uma base. Não é uma receita universal. O comportamento pode variar entre IOS clássico, IOS XE 16.x/17.x e plataformas Catalyst mais antigas. Em equipamentos reais, valida sempre a versão, licenciamento e impacto antes de aplicar em produção.
1. Identidade, passwords e SSH
Primeiro, damos identidade ao equipamento, criamos utilizador local, activamos SSHv2 e removemos Telnet.
conf t
hostname SW-ACESSO-01
ip domain-name empresa.local
username admin privilege 15 secret 0 SenhaForte-Temporaria
enable secret 0 EnableForte-Temporaria
crypto key generate rsa modulus 2048
ip ssh version 2
ip ssh time-out 60
ip ssh authentication-retries 3
line vty 0 4
transport input ssh
login local
exec-timeout 10 0
exit
end
write memoryOutput esperado ao gerar a chave RSA:
SW-ACESSO-01(config)#crypto key generate rsa modulus 2048
The name for the keys will be: SW-ACESSO-01.empresa.local
% The key modulus size is 2048 bits
% Generating 2048 bit RSA keys, keys will be non-exportable...
[OK]Erro comum: configurar ip ssh version 2 mas esquecer o ip domain-name ou as chaves RSA. Sem isso, o SSH não fica operacional.
Validação:
show ip sshOutput típico:
SSH Enabled - version 2.0
Authentication timeout: 60 secs; Authentication retries: 3
Minimum expected Diffie Hellman key size : 1024 bits2. Restringir quem pode gerir o equipamento
Uma decisão de design que tomo quase sempre em redes empresariais é separar a gestão numa VLAN própria e permitir acesso SSH apenas a partir dessa rede ou de uma jump box. Não quero que qualquer portátil numa VLAN de utilizadores consiga sequer tentar autenticar no switch.
Exemplo: a rede de gestão é 10.10.99.0/24.
conf t
ip access-list standard ACL-GESTAO-SSH
permit 10.10.99.0 0.0.0.255
deny any log
exit
line vty 0 4
access-class ACL-GESTAO-SSH in
transport input ssh
login local
exit
endValidação:
show access-lists ACL-GESTAO-SSHOutput esperado após uma tentativa fora da rede autorizada:
Standard IP access list ACL-GESTAO-SSH
10 permit 10.10.99.0, wildcard bits 0.0.0.255
20 deny any log (3 matches)Isto é simples, mas muda muito a postura de segurança. Reduz tentativas de brute force, diminui ruído nos logs e obriga a equipa a gerir os equipamentos por caminhos controlados.
3. AAA local com preparação para RADIUS
Em empresas, normalmente recomendo AAA com RADIUS ou TACACS+, dependendo do ambiente. Para laboratórios e redes pequenas, podes começar com base local, mas deixar a estrutura preparada.
conf t
aaa new-model
aaa authentication login default local
aaa authorization exec default local
username netadmin privilege 15 secret 0 OutraSenhaForte-Temporaria
endSe existir servidor RADIUS:
conf t
radius server RADIUS-01
address ipv4 10.10.99.10 auth-port 1812 acct-port 1813
key ChavePartilhadaForte
aaa group server radius GRP-RADIUS
server name RADIUS-01
aaa authentication login default group GRP-RADIUS local
aaa authorization exec default group GRP-RADIUS local
endNota honesta: em alguns ambientes antigos vais encontrar sintaxe legacy com radius-server host. Em IOS XE mais recente, a sintaxe com radius server NOME é preferível. Em formação, mostro as duas porque os alunos encontram as duas no mundo real.
4. Hardening básico de serviços
Nem todos estes comandos se aplicam a todas as plataformas, mas a lógica é: desactivar o que não usas.
conf t
no ip http server
no ip http secure-server
no cdp run
service password-encryption
service timestamps log datetime msec localtime show-timezone
login block-for 120 attempts 3 within 60
no ip source-route
no service pad
endAtenção ao no cdp run: em algumas redes, o CDP é útil para troubleshooting e inventário. Em vez de desligar globalmente, podes desligar apenas em interfaces viradas para utilizadores ou terceiros:
interface GigabitEthernet1/0/10
no cdp enableEsta é uma boa discussão para formação empresarial: segurança não é aplicar comandos cegamente. É decidir com base no risco, operação e visibilidade.
5. Segurança Layer 2: DHCP Snooping
O DHCP Snooping protege contra servidores DHCP não autorizados. Já vi um caso em que um utilizador ligou um pequeno router doméstico à rede interna. Resultado: alguns postos receberam gateway errado e DNS externo. A rede “falhava às vezes”, mas o problema era um rogue DHCP.
Em Cisco Catalyst, a lógica é:
- Activar DHCP Snooping globalmente.
- Activar nas VLANs relevantes.
- Marcar como trusted apenas a porta que liga ao servidor DHCP ou ao uplink.
- Deixar portas de utilizador como untrusted.
conf t
ip dhcp snooping
ip dhcp snooping vlan 10,20
interface GigabitEthernet1/0/48
description UPLINK-PARA-CORE
ip dhcp snooping trust
exit
interface range GigabitEthernet1/0/1 - 24
description PORTAS-UTILIZADORES
ip dhcp snooping limit rate 10
exit
endValidação:
show ip dhcp snoopingOutput típico:
Switch DHCP snooping is enabled
DHCP snooping is configured on following VLANs:
10,20
DHCP snooping is operational on following VLANs:
10,20
Interface Trusted Rate limit (pps)
------------------------ ------- ----------------
GigabitEthernet1/0/48 yes unlimited
GigabitEthernet1/0/1 no 10A Cisco documenta o funcionamento e troubleshooting de DHCP Snooping em Catalyst no guia Operate and Troubleshoot DHCP Snooping on Catalyst 9000.
Erros comuns e troubleshooting
Erro 1: bloquear a própria equipa fora do equipamento
Este é talvez o erro mais frequente quando os alunos aplicam ACLs nas linhas VTY. Criam a ACL, aplicam com access-class, mas esquecem que estão ligados a partir de uma rede diferente.
Diagnóstico:
show running-config | section line vty
show access-lists
show usersOutput a verificar:
line vty 0 4
access-class ACL-GESTAO-SSH in
transport input ssh
login localCorrecção segura: antes de aplicar a ACL, confirma o IP de origem da tua sessão e garante que está permitido.
show usersExemplo:
Line User Host(s) Idle Location
* 2 vty 0 admin idle 00:00:00 10.10.50.23Se estás a administrar a partir de 10.10.50.23, mas a ACL só permite 10.10.99.0/24, vais perder acesso quando abrires nova sessão.
Erro 2: confiar a porta errada no DHCP Snooping
Muitos alunos colocam ip dhcp snooping trust nas portas de utilizador porque “assim funciona”. Funciona, mas remove a protecção.
A porta trusted deve ser a que leva ao servidor DHCP legítimo, normalmente uplink para core, firewall ou servidor.
Diagnóstico:
show ip dhcp snooping
show interfaces status
show mac address-table dynamicSe vários clientes não recebem IP depois de activares DHCP Snooping, verifica se o uplink está trusted.
Erro 3: activar Port Security sem plano de operação
Port Security é útil, mas pode criar incidentes se for aplicado sem pensar. Em escritórios com docking stations, telefones IP ou rotação frequente de utilizadores, o limite de MAC addresses tem de ser ajustado.
Exemplo moderado para uma porta com PC e telefone IP:
conf t
interface GigabitEthernet1/0/12
description UTILIZADOR-COM-TELEFONE-IP
switchport mode access
switchport access vlan 10
switchport voice vlan 30
switchport port-security
switchport port-security maximum 3
switchport port-security violation restrict
switchport port-security mac-address sticky
spanning-tree portfast
endValidação:
show port-security interface gigabitEthernet1/0/12Output típico:
Port Security : Enabled
Port Status : Secure-up
Violation Mode : Restrict
Maximum MAC Addresses : 3
Total MAC Addresses : 2
Security Violation Count : 0Prefiro restrict durante fases iniciais porque gera contador/log sem desligar totalmente a porta. Em ambientes maduros, pode fazer sentido shutdown, mas só se houver processo de suporte preparado.
Erro 4: logs sem hora certa
Logs sem NTP são quase inúteis em incidentes. Se tens eventos em firewall, switch e servidor, mas cada equipamento tem uma hora diferente, a análise fica frágil.
Configuração base:
conf t
clock timezone WET 0
ntp server 10.10.99.20 prefer
logging host 10.10.99.30
logging trap warnings
service timestamps log datetime msec localtime show-timezone
endValidação:
show ntp status
show loggingQuando usar cada opção
Nem todas as empresas precisam da mesma maturidade no primeiro dia. A formação deve adaptar-se ao contexto.
| Situação | Opção recomendada | Porquê |
|---|---|---|
| Pequena empresa sem servidor central | AAA local + SSH + ACL VTY | Simples, rápido e melhor que Telnet |
| Empresa com Active Directory/RADIUS | AAA com RADIUS e fallback local | Gestão centralizada de utilizadores |
| Rede com muitos switches de acesso | DHCP Snooping + Port Security selectivo | Reduz risco de ataques locais |
| Ambiente regulado | Syslog central, NTP, AAA e auditoria | Evidência e rastreabilidade |
| Equipa a preparar CCNA | Laboratório com IOS/IOS XE e Packet Tracer/CML | Consolida comandos e troubleshooting |
| Equipa a evoluir para CCNP | Design, alta disponibilidade, segurança avançada | Aproxima-se de redes reais complexas |
Se a tua equipa ainda está a consolidar fundamentos de redes, pode fazer sentido começar pelo curso CCNA 200-301 da ACAD4Y. Se já domina routing, switching e quer aprofundar design, troubleshooting e tecnologias mais avançadas, o passo seguinte pode ser o CCNP na ACAD4Y.
Relevância para o exame CCNA/CCNP
No CCNA, segurança não é um detalhe. A Cisco lista “Security Fundamentals” como uma das áreas do exame 200-301, incluindo conceitos de ameaças, mitigação, controlo de acesso, wireless security e configuração básica de segurança. Podes confirmar os domínios no guia oficial 200-301 CCNA Exam Topics da Cisco Learning Network.
O que costuma aparecer em exame:
- Diferença entre Telnet e SSH.
- Conceitos de AAA.
- ACLs standard e extended.
- Segurança de portas em switches.
- DHCP Snooping, Dynamic ARP Inspection e mitigação de ataques Layer 2.
- Boas práticas de passwords, acesso remoto e gestão.
O que os candidatos erram:
-
Wildcard masks em ACLs
Confundem máscara de rede com wildcard. Para permitir10.10.99.0/24, a wildcard é0.0.0.255. -
Sentido da ACL
Aplicam ACL inbound/outbound no local errado. Em VTY, oaccess-class ... infiltra quem entra para gerir o equipamento. -
SSH incompleto
Sabem o comandotransport input ssh, mas esquecem domínio, chaves RSA e utilizador local. -
Confundir segurança de gestão com segurança de dados
Proteger o acesso ao switch não substitui segmentação, firewalling ou políticas de endpoint.
Para CCNP, a exigência sobe. Já não chega saber o comando isolado. Tens de perceber impacto operacional, escalabilidade, autenticação centralizada, logging, templates, troubleshooting e integração com arquitectura empresarial.
Se estás a preparar o CCNA de forma estruturada em Portugal, também podes consultar o guia completo para tirar o CCNA em Portugal.
Conclusão
Formação de cibersegurança para empresas não deve ser uma sessão teórica cheia de buzzwords. Deve preparar a equipa para configurar, validar e corrigir redes reais.
Pontos essenciais:
- Começa por proteger a gestão: SSH, AAA, ACL nas VTY e passwords fortes.
- Reduz a superfície de ataque: desactiva serviços que não usas.
- Aplica segurança Layer 2 com cuidado: DHCP Snooping e Port Security têm impacto operacional.
- Garante logs com hora certa: Syslog e NTP são essenciais para análise.
- Treina troubleshooting, não apenas configuração.
Se queres preparar a tua equipa de TI com laboratórios Cisco adaptados ao contexto da empresa, vê a página de formação para empresas da ACAD4Y ou fala directamente comigo para desenharmos um plano adequado.