практическая работа. работа. Практическая работа No 5 Обеспечение безопасности сети изучение угроз сетевой безопасности доступ к сетевым устройствам по протоколу ssh обеспечение безопасности сетевых устройств
 Скачать 107.69 Kb.
|
|
в приведённой выше команде? ____________________ Что означает block - for 30в приведённой выше команде? ________________________ o ) Убедитесь, что все неиспользуемые порты отключены. По умолчанию порты маршрутизатора отключены, однако рекомендуется лишний раз убедиться, что все неиспользуемые порты административно отключены. Для этого можно воспользоваться командой show ip interface brief . Все неиспользуемые порты, не отключенные административно, необход имо отключить с помощью команды shutdown в режиме конфигурации интерфейса. R1# show ip interface brief Interface IP - Address OK? Method Status Protocol Embedded - Service - Engine0/0 unassigned YES NVRAM administratively down down GigabitEthernet0/0 unassigned YES NVRAM administratively down down GigabitEthernet0/1 192.168.1.1 YES manual up up Serial0/0/0 unassigned YES NVRAM administratively down down Serial0/0/1 unassigned YES NVRAM administratively down down R 1# p ) Убедитесь, что все меры безопасности предприняты должным образом. q ) С помощью программы Tera Term подключитесь к R 1 по протоколу Telnet . Принимает ли R 1 подключение по протоколу Telnet ? Поясните свой ответ. _____________ r ) С помощью программы Tera Term подключитесь к R 1 по протоколу SSH . Принимает ли R 1 подключение по протоколу SSH ? _________________________________ s ) Намеренно укажите неверное имя пользователя и пароль, чтобы проверить, будет ли заблокирован доступ к системе после двух неудачных попыток. t ) Что произошло после ввода неправильных данных для входа в систему во второй раз? _____________________________________________________________________________ u ) Из консольной сессии на маршрутизаторе отправьте команду show login , чтобы проверить состояние вхо да в систему. В приведённом ниже примере команда show login была отправлена в течение 30 - секундной блокировки доступа к системе и показывает, что маршрутизатор находится в режиме « Quiet ». Маршрутизатор не будет принимать попытки входа в систему в течение е ще 14 секунд. R1# show login A default login delay of 1 second is applied. No Quiet - Mode access list has been configured. Router enabled to watch for login Attacks. If more than 2 login failures occur in 120 seconds or less, logins will be disabled for 30 seconds. Router presently in Quiet - Mode. Will remain in Quiet - Mode for 14 seconds. Denying logins from all sources. R 1# v ) По истечении 30 секунд повторите попытку подключения к R 1 по протоколу SSH и войдите в систему, используя имя пользователя admin и пароль Admin 15 p @55 . w ) Что отобразилось после успешного входа в систему? ______________________________ x ) Выберите привилегированный режим и укажите в качестве пароля Enablep @55 . w ) Если вы неправильно укажете пароль, прервётся ли подключение по протоколу SSH после двух неудачных попыток в течение 120 секунд? Поясните свой ответ. ___________________ z ) Введите команду show running - config в строке привилегированного режима для просмо тра установленных параметров безопасности. 3 . Настройка основных мер безопасности на коммутаторе a ) Зашифруйте открытые пароли. S1(config)# service password - encryption b ) Выберите более надёжные пароли для коммутатора . Чтобы соблюсти рекомендации по созданию надёжных паролей, измените зашифрованный пароль привилегированного режима. S1(config) # enable secret Enablep@55 Примечание. Команда безопасности password min - length на коммутаторах модели 2960 не используется. c ) Активируйте подключения SSH . d ) В качестве имени домена укажите CCNA - lab . com . e ) S 1( config )# ip domain - name CCNA - lab . com f ) Создайте в базе данных локальных пользователей запись, которая будет использоваться при подключении к маршрутизатору через SSH . Па роль должен соответствовать стандартам надёжных паролей, а пользователь — иметь права доступа уровня администратора. S1(config) # username admin privilege 15 secret Admin15p@55 g ) Настройте транспортный ввод для vty - линий таким образом, чтобы они могли принимать подключения SSH , но не разрешайте подключения Telnet . S1(config)# line vty 0 15 S1(config - line)# transport input ssh h ) Для проверки подлинности в vty - линиях должна использоваться база данных локальных пользо вателей. S1(config - line)# login local S1(config - line)# exit Создайте ключ шифрования RSA с длиной 1024 бит. S1(config)# crypto key generate rsa modulus 1024 i ) Обеспечьте защиту консоли и vty - линий. j ) Настройте коммутатор таким образом, чтобы он закрывал линию через десять минут отсутствия активности. S1(config)# line console 0 S1(config - line)# exec - timeout 10 0 S1(config - line)# line vty 0 15 S1(config - line)# exec - timeout 10 0 S1(config - line)# exit S1(config)# k ) Чтобы помешать попыткам входа в систему с использованием метода полного перебора, настройте коммутатор таким образом, чтобы он блокировал доступ к системе на 30 секунд после двух неудачных попыток входа за 120 секунд. На этом таймере установлено низкое значение специально для выполнения данной лаб ораторной работы. S1(config)# login block - for 30 attempts 2 within 120 S 1( config )# end l ) Убедитесь, что все неиспользуемые порты отключены. m ) По умолчанию порты коммутатора включены. Отключите на коммутаторе все неиспользуемые порты. n ) Состояние портов коммутатора можно проверить с помощью команды show ip interface brief . S 1# show ip interface brief Чтобы отключить сразу несколько интерфейсов, воспользуйтесь командой interface range . S1(config)# interface range f0/1 – 4 , f0/7 - 24 , g0/1 - 2 S1(config - if - range)# shutdown S1(config - if - range)# end S1# o ) Убедитесь, что все неактивные интерфейсы административно отключены. S 1# show ip interface brief p ) Убедитесь, что все меры безопасности предприняты должным образом. q ) Убедитесь, что протокол Telnet на коммутаторе отключён. r ) Подключитесь к коммутатору по протоколу SSH и намеренно укажите неверное имя пользователя и пароль, чтобы проверить, будет ли заблокирован доступ к системе. s ) По истечении 30 секунд повторите попытку подключения к S 1 по протоколу SSH и войдите в систему, используя имя пользователя admin и пароль Admi n 15 p @55. t ) Появился ли баннер после успешного входа в систему? Выберите привилегированный режим, используя Enablep @55в качестве пароля. u ) Введите команду show running - config в строке привилегированного режима для просмотра установленных параметров безопасности. Контрольные вопросы: 1. В задании 1 для консоли и vty - линий в вашей основной конфигурации была введена команда passwordcisco . Когда используется этот пароль после применения наиболее эффективных мер обеспечения безопасности? 2. Распространяется ли команда security passwords min - length 10на настроенные ранее пароли, содержащие меньше десяти символов |