практическая работа. работа. Практическая работа No 5 Обеспечение безопасности сети изучение угроз сетевой безопасности доступ к сетевым устройствам по протоколу ssh обеспечение безопасности сетевых устройств
 Скачать 107.69 Kb.
|
|
config]? Building configuration ... [ OK ] R 1# h ) У с т а н о в и т е с оедин ен и е с мар ш р у т из а т о р ом по п р о т о к о л у S SH . a. Зап у с т и т е Tera T e rm с P C - A. b . У с т ан о вите S S H - по д к л ючен и е к R 1. Использу йт е имя п ользо в ате л я adm i n и пароль adm i npass . У в а с д олж н о п ол у чи т ь с я ус т ано в и т ь S SH - под к л юч ение к R 1. i ) Сохраните текущую конфигурацию в файл загрузочной конфигурации. 3: Настройка коммутатора для доступа по протоколу SSH В ам предстоит настроить коммутатор в топологии для приема подключений по протоколу SSH , а затем установить SSH - подключение с помощью программы Tera Term . a ) Настройте основные параметры коммутатора. a . Подключитесь к коммутатору с помощью консольного подключения и активируйте привилегированный режим EXEC . b . Войдите в режим конфигурации. c . Отключите поиск DNS , чтобы предотвратить попытки маршрутизатора неверно преобразовывать введенные команды таким образом, как будто они являются именами узлов. d . Назначьте class в качестве зашифрованного пароля привилегированного режима EXEC . e . Назначьте cisco в качестве па роля консоли и включите режим входа в систему по паролю. f . Назначьте cisco в качестве пароля VTY и включите вход по паролю. g . Зашифруйте открытые пароли. h . Создайте баннер, который предупреждает о запрете несанкционированного доступа. i . Настройте и акт ивируйте на коммутаторе интерфейс VLAN 1, используя информацию, приведенную в таблице адресации. j . Сохраните текущую конфигурацию в файл загрузочной конфигурации. b ) Настройте коммутатор для соединения по протоколу SSH . Для настройки протокола SSH на коммутаторе используйте те же команды, которые применялись для аналогичной настройки маршрутизатора в части 2. a . Настройте имя устройства, как указано в таблице адресации. b . Задайте домен для устройства. S1(config)# ip domain - name ccna - lab.com c . Создайте ключ шифрования с указанием его длины. S1(config)# crypto key generate rsa modulus 1024 d . Создайте имя пользователя в локальной базе учетных записей. S1(config)# username admin privilege 15 secret adminpass e . Активируйте протоколы Telnet и SSH на линиях VTY . S1(config)# line vty 0 15 S1(config - line)# transport input telnet ssh f . Измените способ входа в систему таким образом, чтобы использовалась проверка пользователей по локальной базе учетных записей. S1(config - line)# login local S1(config - li ne)# end c ) Установите соединение с коммутатором по протоколу SSH . Запустите программу Tera Term на PC - A , затем установите подключение по протоколу SSH к интерфейсу SVI коммутатора S 1. Удалось ли вам установить SSH - соединение с коммутатором? Да. 4. Настройка протокола SSH с использованием интерфейса командной строки ( CLI ) коммутатора Клиент SSH встроен в операционную систему Cisco IOS и может запускаться из интерфейса командной строки. В ам предстоит установить соединение с маршрутизатором по протоко лу SSH , используя интерфейс командной строки коммутатора. a ) Посмотрите доступные параметры для клиента SSH в Cisco IOS . Используйте вопросительный знак ( ? ), чтобы отобразить варианты параметров для команды ssh . S1# ssh ? - c Select encryption algorithm - l Log in using this user name - m Select HMAC algorithm - o Specify options - p Connect to this port - v Specify SSH Protocol Version - vrf Specify vrf name WORD IP address or hostname of a remote system b ) Установите с коммутатора S 1 соединение с маршрутизатором R 1 по протоколу SSH . a . Чтобы подключиться к маршрутизатору R 1 по протоколу SSH , введите команду – l admin . Это позволит вам войти в систему под именем admin . При появлении приглашения введите в качестве пароля adminpass S1# ssh - l admin 192.168.1.1 Password: *********************************************** Warning: Unauthorized Access is Prohibited! *********************************************** R 1# b . Чтобы вернуться к коммутатору S 1, не закрывая сеанс SSH с маршрутизат ором R 1, нажмите комбинацию клавиш Ctrl + Shift + 6 . Отпустите клавиши Ctrl + Shift + 6 и нажмите x . Отображается приглашение привилегированного режима EXEC коммутатора. R 1# S 1# c . Чтобы вернуться к сеансу SSH на R 1, нажмите клавишу Enter в пустой строке интерфейса командной строки. Чтобы увидеть окно командной строки маршрутизатора, нажмите клавишу Enter еще раз. S1# [Resuming connection 1 to 192.168.1.1 ... ] R 1# d . Чтобы завершить сеанс SSH на маршрутизаторе R 1, введите в командной стро ке маршрутизатора команду exit . 1# exit [Connection to 192.168.1.1 closed by foreign host] S1# Какие версии протокола SSH поддерживаются при использовании интерфейса командной строки? ____________________________________________________________________________ Контрольные в опросы : 1. Как предоставить доступ к сетевому устройству нескольким пользователям, у каждого из которых есть собственное имя пользователя? 2. Какие версии протокола SSH поддерживаются интерфейсом командной строки? 5 .3 .Обеспечение безопасности сетевых устройств Задание 1. Настройка основных параметров устройства 2. Настройка основных мер обеспечения безопасности на маршрутизаторе 3. Настройка основных мер обеспечения безопасности на коммуникаторе Таблица адресации Устройство Интерфейс IP - адрес Маска подсети Шлюз по умолчанию R1 G0/1 192.168.1.1 255.255.255.0 Недоступно S1 VLAN 1 192.168.1.11 255.255.255.0 192.168.1.1 ПК - А Сетевой адаптер 192.168.1.3 255.255.255.0 192.168.1.1 Общие с в едения/сценарий В с е с е те вые у с т рой с т ва реко м енд у е т с я на с т ра и в а т ь с и с п ол ь з о в анием хот я бы минимального н аб ора э фф ек т ивных команд об е с п ечения б е з о па с н о с т и. Э т о о т но с и т с я к у с т рой с т вам ко н ечн ы х п оль з о в а т елей, с ер в ер а м и с е т ев ы м у с т рой с тв ам, т аким как маршр ут и з а то ры и комм ут а т оры. В х оде лабора т орной р а бо т ы вы до л жны б у де т е нас т рои т ь сет евые у с т р о й с т ва в т о по логии т аким обр а з о м, ч т обы р а з р е ша т ь SSH - с оед и нения для у д аленного уп равлени я . Кроме т ого, вы должны б у де т е на с тр ои т ь о с нов н ые э фф ек т ивные м е ры о б е с п ечения бе з о п а с н о с т и через ин те р ф ейс командной ст роки о п ер а ционной с и ст емы C i s c o I OS . За т ем в ам не о б х одимо б у дет п ро т е с т иро в а т ь меры о б е с пе чения бе з о п а с н о с т и и у беди т ь с я в т ом, ч т о они п равильно вн е дрены и ра б о т ают без ошибок. Пр и ме ч ан и е . Убеди т е с ь , ч т о у в с ех мар ш р ут и з ат оров и ко ммут а т оров б ы ла у далена н ачальная кон ф иг у рац и я . Е с ли вы н е у верены, о бра т и т е с ь к ин с т р у к т ор у Необход и мые ре с у рсы • 1 мар ш р ут и з а т ор ( C is c o 1 941 с П О C is c o I OS ве р с и и 15 . 2( 4 ) M 3 с у ниве р с а л ьным о б р а з о м или аналогичная модель) • 1 комм ут а то р ( C i s c o 29 6 0 с ПО C is c o I OS вер с ии 15 . 0( 2 ) с о б р а з о м lan b a se k 9 или анал о гичная модель) • 1 ПК ( п од у п равлени е м Win d o w s 7 и ли 8 с п рог р аммой эм у л я ции т ерминала, на п ример, Tera T e r m ) • Кон с ольн ы е кабели для на с т ройки у с т рой с т в Ci s c o I OS через к он с ольн ы е п ор т ы • Кабели E t he r ne t , ра с п ол о женные в с о о т ве т с т вии с т о п ологией. Порядок выполнения работы: 1. Основные настройки устройства a ) П отребуется настройка топологии сети и основных параметров, таких как IP - адреса интерфейсов, доступ к устройствам и пароли на маршрутизаторе. b ) Создайте сеть в соответствии с изображенной на схеме топологией. c ) Подключайте отображаемые в топологии устро йства, а также кабель по мере необходимости. d ) Выполните инициализацию и перезагрузку маршрутизатора и коммутатора. e ) Настройте маршрутизатор. f ) Справку по командам, необходимым для протокола SSH , см. впредыдущей лабораторной работе. g ) Подключите консоль к маршрутизатору и активируйте привилегированный режим. h ) Войдите в режим конфигурации. i ) Присвойте маршрутизатору имя R 1. j ) Отключите поиск DNS , чтобы предотвратить попытки маршрутизатора неверного преобразования введённых команд та к, как если бы они были узлами. k ) Назначьте class в качестве пароля привилегированного режима. l ) Назначьте cisco в качестве пароля консоли и включите вход по паролю. m ) Назначьте cisco в качестве пароля виртуального терминала и включите вход по паролю. n ) Зашифруйте пароли, хранящиеся в открытом виде. o ) Создайте баннер с предупреждением о запрете несанкционированного доступа к устройству. p ) Настройте и активируйте интерфейс маршрутизатора G 0/1 с помощью сведений, содержащихся в таблице адресации. q ) Сохраните текущую конфигурацию в файл загрузочной конфигурации. r ) Настройте коммутатор. s ) Подключите консоль к коммутатору и активируйте привилегированный режим. t ) Войдите в режим конфигурации. u ) Присвойте коммутатору имя S 1. v ) Отключите поиск DNS , чтобы предотвратить попытки маршрутизатора неверного преобразования введённых команд так, как если бы они были узлами. w ) Назначьте class в качестве пароля привилегированного режима. x ) Назначьте cisco в качестве пароля консоли и включите вход по паролю. y ) Назначьте cisco в качестве пароля виртуального терминала и включите вход по паролю. z ) Зашифруйте пароли, хранящиеся в открытом виде. aa ) Создайте баннер с предупреждением о запрете несанкционированного доступа к устройству. bb ) Присвойте интерфейсу SVI , который используется по умолчанию, IP - адрес из таблицы адресации. cc ) Сохраните текущую конфигурацию в файл загрузочной конфигурации. 2. Настройка основных мер безопасности на маршрутизаторе a ) За ш и ф р у й т е о т кр ы т ые пароли . R 1( config )# service password - encryption b ) Используйте надёжные пароли. Администратор должен следить за тем, чтобы пароли отвечали стандартным рекомендациям по созданию надёжных паролей. Рекомендации могут включать сочетание в пароле букв, цифр и специальных символов и определять его минимальную длину. Примечание. Согласно рекомендациям по обеспечению эффективной работы в производственной среде необходимо использовать надёжные пароли, такие как приводятся в этой лабораторной работе. Однако для простоты выполнения лабораторных работ в д анном курсе используются пароли cisco и class . c ) Чтобы соблюсти рекомендации, измените зашифрованный пароль привилегированного режима. R1(config) # enable secret Enablep@55 d ) Укажите, что пароль должен включать не менее десяти символов. R1(config)# security passwords min - length 10 e ) Активируйте подключения SSH . f ) В качестве имени домена укажите CCNA - lab . com . R1(config)# ip domain - name CCNA - lab.com g ) Создайте в базе данных локальных пользователей запись, которая будет использоваться при подключении к маршрутизатору через SSH . Пароль должен соответствовать стандартам надёжных паролей, а пользователь — иметь права доступа уровня администратора. R1(config ) # username admin privilege 15 secret Admin15p@55 h ) Настройте транспортный ввод для vty - линий таким образом, чтобы они могли принимать подключения SSH , но не разрешайте подключения Telnet . R1(config)# line vty 0 4 R1( config - line)# transport input ssh i) Для проверки подлинности в vty - линиях должна использоваться база данных локальных пользователей. R1(config - line)# login local R1(config - line)# exit j ) Создайте ключ шифрования RSA с длиной 1024 бит. R1(config )# crypto key generate rsa modulus 1024 The name for the keys will be: R1.CCNA - lab.com % The key modulus size is 1024 bits % Generating 1024 bit RSA keys, keys will be non - exportable... [OK] (elapsed time was 2 seconds) R1(config)# *Jan 31 17:54:16.127: %SSH - 5 - ENABLED: SSH 1.99 has been enabled k ) Обеспечьте защиту консоли и vty - линий. l ) Маршрутизатор можно настроить таким образом, чтобы он завершал сеанс подключения, неактивного в течение указанного времени. Если сетевой администратор вошёл в систему се тевого устройства, а потом был внезапно вызван в другое место, по истечении установленного времени эта команда автоматически завершит сеанс подключения. Приведённые ниже команды закрывают линию связи через пять минут неактивности. R1(config)# line console 0 R1(config - line)# exec - timeout 5 0 R1(config - line)# line vty 0 4 R1(config - line)# exec - timeout 5 0 R1(config - line)# exit R1(config)# m ) Указанная ниже команда препятствует входу в систему с использованием метода полного перебора. Маршрутизатор блокирует п опытки входа в систему на 30 секунд, если в течение 120 секунд будет дважды введён неверный пароль. На этом таймере установлено низкое значение специально для выполнения данной лабораторной работы. R1(config)# login block - for 30 attempts 2 within 120 n ) От ветьте на вопросы: Что означает 2 within 120 |