Obraz smerovača C7200. Chránené heslom, poskytnuté na cvičení.
Chyby v cvičení nahlasujte na ondrej.kainz@cnl.sk.
Pozn.: V závislosti na zariadení, na ktorom pracujete môže byť LAN rozhranie buď gi0/0 alebo fa0/0, podobne se0/0/0 alebo se1/0/0. Dostupné rozhrania zistite cez show ip interface brief. Následne tomu prispôsobujete aj topológiu.
A. Konfigurácia zariadení:
- Nakonfigurujte smerovače R1 a R2 podľa topológie vyššie. Konfigurácia pozostáva z nastavenia hostname, konfigurácie rozhraní s IPv4 adresou podľa topológie.
- Nastavte statickú IP adresy na PC.
B. Konfigurácia dynamického smerovacieho protokolu OSPF:
1. Na oboch smerovačoch z globálneho konfiguračného módu:
(config)# router ospf 1
2. Použitím príkazu network zaveďte priamo pripojené siete do smerovacieho protokolu:
R1(config-router)# network 147.232.49.88 0.0.0.7 area 0
R1(config-router)# network 147.232.30.132 0.0.0.3 area 0
R2(config-router)# network 147.232.50.160 0.0.0.15 area 0
R2(config-router)# network 147.232.30.132 0.0.0.3 area 0
3. Rozhrania smerujúce do LAN nastavte ako pasívne:
R1(config-router)# passive-interface fa0/0
R2(config-router)# passive-interface fa0/0
4. Overenie vytvorenia OSPF susedstva:
# show ip ospf neighbor
5.Overenie naučených nových smerov cez OSPF (príznak v smerovacej tabuľke O):
# show ip route
Overenie konektivity: Realizujte ping z PC A na PC B a naopak. Ak nefunguje pokúste sa realizovať ping na lokálnu bránu suseda.
C. Nastavenie hesla do privilegovaného režimu:
Pozn.: Používané heslá sú pre edukačné účely zjednodušené.
Nasledujúce je len na vybraných reálnych zariadeniach alebo v GNS3 s použitím c7200-adventerprisek9-mz.155-2.XB.bin:
(config)# enable algorithm-type scrypt secret enableheslo
Pozn.: Zadávame iný typ hashovacieho algoritmu „scrypt“. Pôvodne sa používa MD5, ktorý je prelomený.
Ak príkaz nefunguje zadáva sa len:
(config)# enable secret enableheslo
Tzn. používa sa MD5 hashovací algoritmus.
D. Nastavenie minimálnej dĺžky hesla:
Nastaví sa minimálna dĺžka hesla na 8 znakov:
(config)# security passwords min-length 8
E. Zabezpečenie konzoly, aux portu a VTY (TELNET/SSH):
- Zabezpečenie konzoly:
(config)# line console 0(config-line)# password konzolaheslo
(config-line)# exec-timeout 5 0
(config-line)# login
(config-line)#logging synchronous
Príkazom exec-timeout sme nastavili automatické odhlásenie po 5 minútach. Príkazom logging synchronous sme zamedzili prerušeniu písania príkazov pri výpisoch z konzoly.
- Zabezpečenie AUX portu:
(config)# line aux 0
(config-line)# password auxheslo
(config-line)# exec-timeout 5 0
(config-line)# loginPozn.: AUX (auxiliary) port slúži ako záložné rozhranie ku konzole. Je možné ho použiť aj na vzdialenú správu cez dial-up pripojenie.
- Zabezpečenie VTY (TELNET/SSH):
(config)# line vty 0 4(config-line)# password telnetheslo
(config-line)# exec-timeout 5 0
(config-line)# transport input telnet
(config-line)# loginPozn.: Príkazom transport input telnet zabezpečíme, že jediné možné pripojenie bude cez Telnet.
- Overenie Telnet vzdialeného pripojenia:
R1> telnet 147.232.30.134
R2> telnet 147.232.30.133
F. Šifrovanie hesiel vo forme clear-text:
Zobrazte bežiacu konfiguráciu príkazom show running-config. Sú práve konfigurované heslá čitateľné? Z bezpečnostných dôvodov by nemali byť, napr. ak niekto vidí obrazovku na ktorej sú zobrazené. Ich šifrovanie je možné cez službu na smerovači, aktivuje sa príkazom:
(config)# service password-encryption
Zobrazte bežiacu konfiguráciu opäť. Je možné heslá prečítať aj naďalej? Pozn. ide o ľahko prelomiteľný alogizmus, jeho úlohou je zabezpečiť nečitateľnosť hesla, nie jeho bezpečné uloženie.
G. Nastavenie správy pre neautorizovaných používateľov:
Z legislatívnych dôvodov je potrebné neautorizovaných používateľov upozorniť, že prístup na zariadenie nie je povolený. Práve uvedené je možné dosiahnuť konfiguráciou príkazu:
(config)# banner motd $Neautorizovaný prístup je zakázaný!$
Znak $ určuje začiatok a koniec správy. Je možné zadať ju aj na viac riadkov.
Realizujte opäť Telnet pripojenie. Správa by mala byť viditeľná.
H. Nastavenie používateľského mena a hesla:
Prístup na zariadenie môže mať viacej používateľov s rôznymi privilégiami. Zavadenie používateľov taktiež poskytne informáciu o tom, kto robil aké zmeny (ak je aktívne logovanie).
Používateľa vytvárame:
Nasledujúce je len na vybraných reálnych zariadeniach alebo v GNS3 s použitím c7200-adventerprisek9-mz.155-2.XB.bin:
(config)# username spravca algorithm-type scrypt secret heslospravca
Ak príkaz nefunguje zadáva sa len:
(config)# username spravca secret heslospravca
Tzn. používa sa MD5 hashovací algoritmus.
Používateľ je vytvorený, ale nie je nikde vyžadovaný, nasaďte jeho vyžadovanie pri prihlásení do konzoly:
(config)# line console 0
(config-line)# login local
(config-line)# end
# exit
I. Konfigurácia lokálnej autentifikácie cez SSH:
Momentálne je vzdialené pripojenie na smerovače možné cez Telnet, avšak toto pripojenie nie je bezpečné, celá komunikácia sa prenáša ako čitateľný text.
1. Nastavenie doménového mena, príkazom:
(config)# ip domain-name securitylab.sk
2. Nastavenie používateľa s najvyššími oprávneniami:
Nasledujúce je len na vybraných reálnych zariadeniach alebo v GNS3 s použitím c7200-adventerprisek9-mz.155-2.XB.bin:
(config)# username admin privilege 15 algorithm-type scrypt secret hesloadmin
Ak príkaz nefunguje zadáva sa len:
(config)# username admin privilege 15 secret hesloadmin
Pozn.: Celkovo je 16 úrovní privilégií (privilege levels) od 0 po 15. Úrovne je možné rôzne definovať. Posledná, 15 úroveň, má všetky oprávnenia.
3. Nastavenie VTY (SSH):
(config)# line vty 0 4
(config-line)# privilege level 15
(config-line)# login local
(config-line)# transport input ssh
(config-line)# exit
4. Vymazanie existujúcich RSA kľúčov: Ak na zariadení existujú, tak ich zmažeme, príkazom:
(config)# crypto key zeroize rsa
5. Vytvorenie RSA kľúčov pre smerovač. Kľúče sa používajú pre autentifikáciu a šifrovanie SSH komunikácie:
(config)# crypto key generate rsa general-keys modulus 1024
Pozn.: Hodnota 1024 hovorí dĺžke kľúčov, predvolené je 512, odporúčané 2048.
6. Nastavenie SSH na verziu 2:
(config)# ip ssh version 2
7. Overenie SSH konfigurácie:
# show ip ssh
8. Nastavenie SSH timeout (v sekundách) a možných pokusov pre autentifikaciu:
(config)# ip ssh time-out 90
(config)# ip ssh authentication-retries 2
9. Overte pripojenie na SSH z PC na smerovač. Na smerovači je možné zobraziť pripojených používateľov:
# show users