Na prática de assegurar um roteador a Cisco possui uma serie de recomendações. Essas recomendações ou boas praticas podem ser manual ou automaticamente habilitadas num roteador. Se bem que elas não garantem total segurança, pelo menos são um primeiro passo na segurança adicional dos roteadores.
Existem 2 maneiras de habilita-los:
AutoSecure
Com o comando autosecure o roteador realiza uma serie de perguntas e o administrador escolhe as opções. Para habilitar basta digitar o comando auto secure a partir do modo EXEC privilegiado:
#auto secure
O processo é bastante explicativo.
Security Device Manager (SDM) One-Step Lockdown
Um outro jeito de fazer isso é usando a opção disponível no SDM conhecida como One-Step Lockdown. Aqui o administrador praticamente nada faz. O SDM faz tudo e aplica os comandos no roteador.
Configurei o roteador no GNS3 (no caso de nao ter um roteador de verdade) com os seguintes comandos:
username sdm privilege 15 password 0 sdm interface FastEthernet0/0 ip address 172.16.1.1 255.255.255.0 no shut ip http server ip http authentication local ip http secure-server line vty 0 4 login local transport input telnet ssh
Testei essa opção com o GNS3 e uma interface loopback com o cliente SDM a rodar no portátil e correu tudo bem:
Confiar neste certificado:
Entrar o username e password como sdm.
Já dentro do SDM, Clicar em Configure > Security Audit. Clicar no botão One-Step Lockdown.
Aguarde:
O seguinte artigo explica como usar o SDM com o GNS3 usando interface loopback.