отчет по учебной практике. политехнический колледж 8 имени дважды Героя Советского Союза И. Ф. Павлова (гапоу пк 8 им. И. Ф. Павлова)
 Скачать 82.95 Kb.
|
1 2   ДЕПАРТАМЕНТ ОБРАЗОВАНИЯ И НАУКИ ГОРОДА МОСКВЫ Государственное автономное профессиональное образовательное учреждение города Москвы «ПОЛИТЕХНИЧЕСКИЙ КОЛЛЕДЖ № 8 имени дважды Героя Советского Союза И.Ф. Павлова» (ГАПОУ ПК № 8 им. И.Ф. Павлова)  ОТЧЁТ ПО УЧЕБНОЙ ПРАКТИКЕ по профессиональному модулю ПМ.01 Выполнение работ по проектированию сетевой инфраструктуры
Москва, 2022 СОДЕРЖАНИЕ
РАЗДЕЛ 1. ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ СЕТИ 1.1 Изучение угроз сетевой безопасности Чтобы защитить сеть от атак, администратор должен определить, какие внешние угрозы представляют опасность для сети. Для определения возникающих угроз и способов их устранения можно пользоваться специализированными веб-сайтами. Одним из наиболее известных и проверенных ресурсов для защиты компьютера и сети является веб-сайт SANS (системное администрирование, проверка, сеть, безопасность). 1.2 Доступ к сетевым устройствам по протоколу SSH Раньше для удаленной настройки сетевых устройств в основном применялся протокол Telnet. Однако он не обеспечивает шифрование информации, передаваемой между клиентом и сервером, что позволяет анализаторам сетевых пакетов перехватывать пароли и данные конфигурации. Secure Shell (SSH) — это сетевой протокол, устанавливающий безопасное подключение с эмуляцией терминала к маршрутизатору или иному сетевому устройству. Протокол SSH шифрует все сведения, которые поступают по сетевому каналу, и предусматривает аутентификацию удаленного компьютера. Протокол SSH все больше заменяет Telnet — именно его выбирают сетевые специалисты в качестве средства удаленного входа в систему. Чаще всего протокол SSH применяется для входа в удаленное устройство и выполнения команд, но может также передавать файлы по связанным протоколам SFTP или SCP. Чтобы протокол SSH мог работать, на сетевых устройствах, взаимодействующих между собой, должна быть настроена поддержка SSH. В этой лабораторной работе необходимо включить SSH-сервер на маршрутизаторе, после чего подключиться к этому маршрутизатору, используя ПК с установленным клиентом SSH. В локальной сети подключение обычно устанавливается с помощью Ethernet и IP. Часть 1: Настройка основных параметров устройств Шаг 1: Создайте сеть согласно топологии. Шаг 2: Выполните инициализацию и перезагрузку маршрутизатора и коммутатора. Шаг 3: Настройте маршрутизатор. Шаг 4: Настройте компьютер PC-A Шаг 5: Проверьте подключение к сети. Часть 2: Настройка маршрутизатора для доступа по протоколу SSH Шаг 1: Настройте аутентификацию устройств. Задайте имя устройства. Router(config)# hostname R1 b. Задайте домен для устройства R1(config)# ip domain-name ccna-lab.com Шаг 2: Создайте ключ шифрования с указанием его длины. R1(config)# crypto key generate rsa moduls 1024 The name for the keys will be: R1.ccna-lab.com % The key modulus size is 1024 bits % Generating 1024 bit RSA keys, keys will be non-exportable… [OK] (elapsed time was 1 seconds) R1(config)# *Jan 28 21:09:29.867: %SSH-5-ENABLED: SSHB1.99 has been enabled Шаг 3: Создайте имя пользователя в локальной базе учетных записей. R1(config)# username admin privilege 15 secret adminpass Шаг 4: Активируйте протокол SSH на линиях VTY a. Активируйте протоколы Telnet и SSH на входящих линиях VTY с помощью команды transport input R1(config)# line vty 0 4 R1(config-line)# transport input telnet ssh b. Измените способ входа в систему таким образом, чтобы использовалась проверка пользователей по локальной базе учетных записей. R1(config-line)# login local R1(config-line)# end R1# Шаг 5: Сохраните текущую конфигурацию в файл загрузочной конфигурации. R1# copy running-config startup-config Destination filename (startup-config)? Building configuration… [OK] R1# Шаг 6: Установите соединение с маршрутизатором по протоколу SSH. a. Запустите Tera Term с PC-A. b. Установите SSH-подключение к R1. Используйте имя пользователя admin и пароль adminpass. У вас должно получиться установить SSH-подключение к R1. Часть 3: Настройка коммутатора для доступа по протоколу SSH Шаг 1: Настройте основные параметры коммутатора. a. Подключитесь к коммутатору с помощью консольного подключения и активируйте привилегированный режим EXEC. b. Войдите в режим конфигурации. c. Отключите поиск DNS, чтобы предотвратить попытки маршрутизатора неверно преобразовывать введенные команды таким образом, как будто они являются именами узлов. d. Назначьте class в качестве зашифрованного пароля привилегированного режима EXEC. e. Назначьте cisco в качестве пароля консоли и включите режим входа в систему по паролю. f. Назначьте cisco в качестве пароля VTY и включите вход по паролю. g. Зашифруйте открытые пароли. h. Создайте баннер, который предупреждает о запрете несанкционированного доступа. i. Настройте и активируйте на коммутаторе интерфейс VLAN 1, используя информацию, приведенную в таблице адресации. j. Сохраните текущую конфигурацию в файл загрузочной конфигурации. Шаг 2: Настройте коммутатор для соединения по протоколу SSH. a. Настройте имя устройства, как указано в таблице адресации. b. Задайте домен для устройства. S1 (config) # ip domain-name ccna-lab.com c. Создайте ключ шифрования с указанием его длины. S1 (config) # crypto key generate rsa modulus 1024 d. Создайте имя пользователя в локальной базе учетных записей. S1(config)# username admin privilege 15 secret adminpass e. Активируйте протоколы Telnet и SSH на линиях VTY. S1(config)# line vty 0 15 S1(config-line)# transport input telnet ssh f. Измените способ входа в систему таким образом, чтобы использовалась проверка пользователей по локальной базе учетных записей. S1(config-line)# login local S1(config-line)# end Шаг 3: Установите соединение с коммутатором по протоколу SSH. Запустите программу Tera Term на PC-A, затем установите подключение по протоколу SSH к интерфейсу SVI коммутатора S1 1.3 Oбеспечение безопасности сетевых устройств Все сетевые устройства рекомендуется настраивать с использованием хотя бы минимального набора эффективных команд обеспечения безопасности. Это относится к устройствам конечных пользователей, серверам и сетевым устройствам, таким как маршрутизаторы и коммутаторы Часть 1: Настройка основных параметров устройств Шаг 1: Создайте сеть согласно топологии. Подключите устройства, показанные в топологии, и кабели соответствующим образом Шаг 2: Выполните инициализацию и перезагрузку маршрутизатора и коммутатора. Шаг 3: Выполните настройку маршрутизатора и коммутатора. a. Подключитесь к устройству с помощью консольного подключения и активируйте привилегированный режим EXEC. b. Назначьте устройству имя в соответствии с таблицей адресации. c. Отключите поиск DNS, чтобы предотвратить попытки маршрутизатора неверно преобразовывать введенные команды таким образом, как будто они являются именами узлов. d. Назначьте class в качестве зашифрованного пароля привилегированного режима EXEC. e. Назначьте cisco в качестве пароля консоли и включите вход в систему по паролю. f. Назначьте cisco в качестве пароля VTY и включите вход в систему по паролю. g. Создайте баннер с предупреждением о запрете несанкционированного доступа к устройству. h. Настройте и активируйте на маршрутизаторе интерфейс G0/1, используя информацию, приведенную в таблице адресации. i. Задайте для используемого по умолчанию интерфейса SVI сведения об IP-адресе согласно таблице адресации. j. Сохраните текущую конфигурацию в файл загрузочной конфигурации. Часть 2: Настройка базовых мер безопасности на маршрутизаторе Шаг 1: Зашифруйте открытые пароли R1(config)# service password-encryption Шаг 2: Установите более надежные пароли. a. Измените зашифрованный пароль привилегированного режима EXEC в соответствии с рекомендациями. R1(config)# enable secret Enablep@55 b. Установите минимальную длину 10 символов для всех паролей. R1(config)# security passwords min-length 10 Шаг 3: Разрешите подключения по протоколу SSH. a. В качестве имени домена укажите CCNA-lab.com. R1(config)# ip domain-name CCNA-lab.com b. Создайте в базе данных локальных пользователей запись, которая будет использоваться при подключении к маршрутизатору через SSH. Пароль должен соответствовать стандартам надежных паролей, а пользователь — иметь права доступа уровня EXEC. Если уровень привилегий не задан в команде, то пользователь по умолчанию будет иметь права доступа EXEC (уровень 15). R1(config)# username SSHadmin privilege 15 secret Adminlp@55 c. Настройте транспортный вход для линий VTY таким образом, чтобы они могли разрешать подключения по протоколу SSH, но не разрешали подключения по протоколу Telnet. R1(config)# line vty 0 4 R1(config-line)# transport input ssh d. Аутентификация на линиях VTY должна выполняться с использованием базы данных локальных пользователей. R1(config-line)# login local R1(config-line)# exit e. Создайте ключ шифрования RSA с длиной 1024 бит R1(config)# crypto key generate rsa moduls 1024 Шаг 4: Обеспечьте защиту консоли и линий VTY. a. Маршрутизатор можно настроить таким образом, чтобы он завершал сеанс подключения в случае отсутствия активности в течение заданного времени. Если сетевой администратор вошел в систему сетевого устройства, а потом был внезапно вынужден покинуть рабочее место, то по истечении установленного времени эта команда автоматически завершит сеанс подключения. Приведенные ниже команды обеспечивают закрытие сеанса линии связи через пять минут отсутствия активности. R1 (config)# line console 0 R1 (config-line)# exec-timeout 5 0 R1 (config-line)# line vty 0 4 R1 (config-line)# exec-timeout 5 0 R1 (config-line)# exit R1 (config)# b. Команда, приведенная ниже, не разрешает вход в систему с использованием метода полного перебора. Маршрутизатор блокирует попытки входа в систему на 30 секунд, если в течение 120 секунд будет дважды введен неверный пароль. Низкое значение этого таймера установлено специально для данной лабораторной работы. R1 (config)# login block-for 30 attempts 2 within 120 Шаг 5: Убедитесь, что все неиспользуемые порты отключены.Порты маршрутизатора отключены по умолчанию, однако рекомендуется лишний раз убедиться, что все неиспользуемые порты отключены администратором. Для этого можно воспользоваться командой show ip interface brief. Все неиспользуемые порты, не отключенные администратором, необходимо отключить с помощью команды shutdown в режиме конфигурации интерфейса. R1# show ip interface brief
R1# Шаг 6: Убедитесь, что все меры безопасности внедрены правильно. a. С помощью программы Tera Term подключитесь к маршрутизатору R1 по протоколу Telnet. b. С помощью программы Tera Term подключитесь к маршрутизатору R1 по протоколу SSH. c. Намеренно укажите неверное имя пользователя и пароль, чтобы проверить, будет ли заблокирован доступ к системе после двух неудачных попыток. d. Из сеанса подключения к маршрутизатору с помощью консоли отправьте команду show login, чтобы проверить состояние входа в систему. В приведенном ниже примере команда show login была введена в течение 30-секундной блокировки доступа к системе и показывает, что маршрутизатор находится в режиме Quiet. Маршрутизатор не будет разрешать попытки входа в систему в течение еще 14 секунд R1# show login A default login delay of 1 second applied. No Quiet-Mode access list has been configured. Router enable to watch for login Attacks. If more than 2 login failures occur in 120 seconds or less, Logins will be disabled for 30 seconds. Router presently in Quiet-Mode. Will remain in Quiet-Mode for 14 seconds. Denying logins from all sourcess. R1# e. По истечении 30 секунд повторите попытку подключения к R1 по протоколу SSH и войдите в систему f. Войдите в привилегированный режим EXEC и введите пароль g. Введите команду show running-config в строке приглашения привилегированного режима EXEC для просмотра установленных параметров безопасности. Часть 3: Настройка базовых мер безопасности на коммутаторе Шаг 1: Зашифруйте открытые пароли. S1(config)# service password-encryption Шаг 2: Установите более надежные пароли на коммутаторе Измените зашифрованный пароль привилегированного режима EXEC в соответствии с рекомендациями по установке надежного пароля S1(config)# enable secret Enablep@55 Шаг 3: Разрешите подключения по протоколу SSH. В качестве имени домена укажите CCNA-lab.com. S1(config)# ip domain- name CCNA-lad.com b. Создайте в базе данных локальных пользователей запись, которая будет использоваться при подключении к коммутатору через SSH. Пароль должен соответствовать стандартам надежных паролей, а пользователь — иметь права доступа уровня EXEC. Если уровень привилегий не задан в команде, то пользователь по умолчанию будет иметь права доступа EXEC (уровень 1) S1(config)# username SSHadmin privilege 1 secret Adminlp@55 c. Настройте транспортный вход для линий VTY таким образом, чтобы они могли разрешать подключения по протоколу SSH, но не разрешали подключения по протоколу Telnet. S1(config)# line vty 0 15 S1(config-line)# transport input ssh d. Аутентификация на линиях VTY должна выполняться с использованием базы данных локальных пользователей. S1(config-line)# login local S1(config-line)# exit e. Создайте ключ шифрования RSA с длиной 1024 бит S1(config)# crypto key generate rsa modulus 1024 Шаг 4: Обеспечьте защиту консоли и линий VTY. a. Настройте коммутатор таким образом, чтобы он закрывал линию через десять минут отсутствия активности. S1(config)# line console 0 S1(config-line)# exec-timeout 10 0 S1(config-line)# line vty 0 15 S1(config-line)# exec-timeout 10 0 S1(config-line)#exit S1(config)# b. Чтобы помешать попыткам входа в систему с использованием метода полного перебора, настройте коммутатор таким образом, чтобы он блокировал доступ к системе на 30 секунд после двух неудачных попыток входа в течение 120 секунд. Низкое значение этого таймера установлено специально для данной лабораторной работы. S1(config)# login block-for 30 attempts 2 within 120 S1(config)# end Шаг 5: Убедитесь, что все неиспользуемые порты отключены. a. Состояние портов коммутатора можно проверить с помощью команды show ip interface brief S1# show ip interface brief
S1# b. Чтобы отключить сразу несколько интерфейсов, воспользуйтесь командой interface range. S1(config)# interface range f0/1-4 , f0/7-24 , g0/1-2 S1(config-if-range)# end S1# c. Убедитесь, что все неактивные интерфейсы отключены администратором. S1# show ip interface brief
S1# Шаг 6: Убедитесь, что все меры безопасности внедрены правильно. a. Убедитесь, что протокол Telnet на коммутаторе отключен. b. Подключитесь к коммутатору по протоколу SSH и намеренно укажите неверное имя пользователя и пароль, чтобы проверить, будет ли заблокирован доступ к системе. c. По истечении 30 секунд повторите попытку подключения к R1 по протоколу SSH и войдите в систему, используя имя пользователя и пароль d. Войдите в привилегированный режим EXEC e. Введите команду show running-config в строке приглашения привилегированного режима EXEC для просмотра установленных параметров безопасности. 1 2 |