Kurz CCNA Security

4 – Manažmentové protokoly a lokálna/serverová AAA

< späť na zoznam

Chyby v cvičení nahlasujte na ondrej.kainz@cnl.sk.

Pozn.: V závislosti na zariadení na ktorom pracujete môže byť LAN rozhranie buď gi0/0 alebo fa0/0, podobne se0/0/0 alebo se1/0/0. Dostupné rozhrania zistite cez show ip interface brief. Následne tomu prispôsobujete aj topológiu.

A. Konfigurácia zariadení

  1. Nakonfigurujte smerovače R1 a R2 podľa topológie vyššie. Konfigurácia pozostáva z nastavenia hostname, konfigurácie rozhraní s IPv4 adresou podľa topológie.
  2. Nastavte statickú IP adresy na PC.

 

B. Nakonfigurujte dynamický smerovací protokol OSPF:

  1. Použitím príkazu ip ospf 1 area 0 zaveďte priamo pripojené siete do smerovacieho protokolu na rozhraniach:

    R1(config-if)# ip ospf 1 area 0

  2. Rozhrania smerujúce do LAN nastavte ako pasívne:

    R1(config-router)# passive-interface fa0/0
    R2(config-router)# passive-interface fa0/0

  3. Overenie vytvorenia OSPF susedstva:

# show ip ospf neighbor

  1. Overenie naučených nových smerov cez OSPF (príznak v smerovacej tabuľke O):

# show ip route

Overenie konektivity: Realizujte ping z PC A na PC B a naopak. Ak nefunguje pokúste sa realizovať ping na lokálnu bránu suseda.

C. Konfigurácia SNMP protokolu

SNMP (angl. Simple Network Management Protocol) je protokol umožňujúci monitorovanie a správu zariadení v IP sieti. Je to protokol aplikačnej vrstvy a bol navrhnutý pre účely správy siete.

Bezpečnosť SNMP protokolu zabezpečí vytvorenie ACL pre sieť alebo zariadenie, ktoré bude mať k SNMP prístup. Pozn. konfigurácia ACL pri SNMP nie je možná v Cisco PT, len na reálnych zariadeniach alebo v GNS3.

Konfigurácia ACL na oboch smerovačoch:

R1(config)# access-list 1 permit 147.232.49.0 0.0.0.127
R2(config)# access-list 1 permit 147.232.49.128 0.0.0.127

Pre funkčnosť SNMP definujeme komunitný reťazec, ktorý je v podstate heslom. Pre zjednodušenie použijeme heslo citaniesnmp pre čítanie (RO) a zapissnmp pre zápis (RW). Číslo na konci reprezentuje ACL:

(config)# snmp-server community citaniesnmp RO 1
(config)# snmp-server community zapissnmp RW 1

Pozn.: Nasledujúce nie je dostupné v Cisco PT. V prípade, že chceme posielať notifikácie o udalostiach, ktoré vzniknú na zariadení, tak je potrebné definovať cieľ, kde budú posielané v rámci komunitnej skupiny:

R1(config)# snmp-server host 147.232.49.1 zapissnmp
R2(config)# snmp-server host 147.232.49.129 zapissnmp

Nasledujúcim príkazom sa budú posielať všetky udalosti:

(config)# snmp-server enable traps

Pozn.: Posielať je možné aj špecifické udalosti, za príkazom vyššie použite otáznik.

 

Overenie SNMP

V Cisco PT:

Pre pripojenie použite MIB Browser  v časti Desktop na PC. Vyberte Advanced… a zadajte ako IP adresu a reťazce. V stromovej štruktúre vyberte:

MIB Tree > router _std MIB  > .iso > .org > .dod > .internet > .mgmt >      .mib-2 > .system > .sysName

Z uvedeného by mal byť čitateľný názov smerovača. Pokúste sa zmeniť názov smerovača na R1/R2 na RLab1/Rlab2.

Na reálnych zariadeniach:

Otvorte aplikáciu SNMPB 🗔 (na ploche), kliknite na ikonu nastavení. Zmeňte komunitný reťazec pre čítanie a zápis. Vyberte verziu 2. Ako adresu agenta dajte adresu smerovača. V stromovej štruktúre vyberte:

MIB Tree > iso > org > dod > internet > mgmt > mib-2 > system > sysName

Z uvedeného by mal byť čitateľný názov smerovača. Pokúste sa zmeniť názov smerovača na R1/R2 na RLab1/Rlab2.

D. Konfigurácia NTP protokolu

NTP (angl. Network Time Protocol) je sieťový protokol na synchronizáciu hodín medzi počítačovými systémami cez dátové siete s prepínaním paketov s premenlivou latenciou. Tento protokol zaisťuje, aby všetky počítače v sieti mali rovnaký a presný čas. Bol obzvlášť navrhnutý tak, aby odolával následku premenlivého oneskorenia v doručovaní paketov.

Zobrazte aktuálny čas na smerovači:

# show clock

Na R2 nastavte aktuálny čas:

R2# clock set hh:mm:ss deň mesiac rok

Keďže R2 slúži ako NTP server je na ňom potrebné nastaviť aj stratum (napr. na hodnotu 9):

R2(config)# ntp master 9

Na smerovači R1 nastavte R2 ako zdroj času:

R1(config)# ntp server 147.232.50.134

Stav NTP je možné overiť príkazmi:

# show ntp status

# show ntp associations

Pozn.: Načítanie času zo servera trvá pár minút. Pokračujte ďalej.

E. Konfigurácia syslog

Syslog je štandardný protokol používaný na zaznamenávanie správ. Logovací proces riadi distribúciu logovacích správ do rôznych destinácií, ako je logging buffer, terminal lines alebo Syslog servery.

Na smerovači R2 nastavte, aby syslog správy mali časovú stopu:

R2(config)# service timestamps log datetime msec

Ako syslog server nastavte PC. Preskúmajte aj iné možnosti kam je možné syslog správy posielať:

R1(config)# logging 147.232.49.1
R2(config)# logging 147.232.49.129

Pri syslog je možné definovať závažnosť správ. Zoznam závažnosti správ, je definovaný nasledovne:

0

1

2

3

4

5

6

7

Núdzové

Upozornenie

Kritické

Chybové

Varovné

Notifikácie

Info.

Ladenie

Nastavte posielanie notifikácií (level 5). Pozn. príkaz nie je dostupný v Cisco PT.

(config)# logging trap notifications

V Cisco PT je pre zaznamenávanie syslog správ potrebné pridať server a následne ísť do Services/Syslog. Na reálnych zariadeniach, teda na PC spustite nástroj s názvom TFTPD64 🗔. Následne vytvorte nejakú udalosť, napríklad vypnite a zapnite sériové rozhranie. 

Sledujte rozdiel medzi správami prijatými na PC A a PC B.

F. AAA

Služby zabezpečenia siete AAA poskytujú primárny rámec na nastavenie riadenia prístupu na sieťovom zariadení. AAA je spôsob, ako kontrolovať, kto má povolený prístup k sieti (autentizovať) a čo môže robiť, kým tam je (autorizovať). AAA tiež umožňuje auditovanie akcií, ktoré používatelia vykonávajú pri prístupe do siete (účtovanie).

Sieťové zabezpečenie AAA tri funkčné komponenty:

  • Autentifikácia – Používatelia musia pred prístupom k sieti a sieťovým zdrojom preukázať svoju identitu. Autentifikáciu je možné vytvoriť pomocou kombinácie používateľského mena a hesla, prípadne otázok s výzvou a odpoveďou alebo aj iných metód. Napríklad: „Som používateľ „študent“ a poznám heslo, aby som to dokázal.“
  • Autorizácia – Po autentifikácii užívateľa autorizačné služby určia, ku ktorým zdrojom môže používateľ pristupovať a ktoré operácie môže užívateľ vykonávať. Príkladom je „Používateľ „študent“ môže pristupovať k hostiteľskému serveruXYZ iba pomocou SSH.
  • Účtovanie – Účtovanie zaznamenáva, čo používateľ robil, vrátane toho, k čomu pristupoval, v akom čase a aké zmeny prípadne v systéme vykonal. Príkladom je „Používateľ „študent“ pristupoval na hostiteľský serverXYZ pomocou SSH počas 15 minút.“

 

AAA sa delí na:

  • Lokálne AAA (angl. Local AAA) – používa lokálnu databázu na autentifikáciu. Táto metóda ukladá používateľské mená a heslá lokálne na smerovači a používatelia sa autentifikujú proti lokálnej databáze. Táto metóda je ideálna pre malé siete.
  • Serverové overovanie AAA (angl. Server-based AAA) – pri tejto metóde smerovač pristupuje k centrálnemu serveru AAA. Server obsahuje užívateľské mená a heslá pre všetkých užívateľov. Smerovač používa na komunikáciu so serverom AAA protokoly RADIUS (Remote Authentication Dial-In User Service) alebo protokoly TACACS+ (Terminal Access Controller Access Control System). Ak existuje viacero smerovačov a prepínačov, serverové AAA je vhodnejšie, pretože účty možno spravovať z jedného miesta a nie na jednotlivých zariadeniach.

 

G. Konfigurácia lokálnej AAA do konzoly

Pozn.: Používané heslá sú pre edukačné účely zjednodušené.

Prv vytvoríme lokálneho používateľa admin007, a heslo admin007heslo:

(config)# username admin007 privilege 15 algorithm-type sha256 secret admin007heslo

V prípade práce na staršom IOS alebo v Cisco PT použite príkaz:

(config)# username admin007 privilege 15 secret admin007heslo

Následne aktivujeme AAA príkazom:

(config)# aaa new-model

Teraz nastavíme prístup do konzoly cez vyššie uvedené meno a heslo. Ako sekundárnu metódu prihlásenia zvolíme „none“:

(config)# aaa authentication login default local-case none

Metódu aplikujeme na prístup do konzoly:

(config-line)# login authentication default

Sériou príkazov exit sa dostaňte do konzoly a pokúste sa príhlásiť ako admin007. Prihlásenie bude úspešné. Opakujte postup a prihláste sa ako admin008, prihlásenie bude opäť úspešné, keďže sekundárne prihlásenie je nastavené ako „none“, teda bez autentifikácie používateľa. V produkčnom prostredí by bol na primárnu autentifikáciu použitý TACACS+ alebo RADIUS server a lokálna autentifikácia ako záložný mechanizmus prihlásenia v prípade nedostupnosti servera.

H. Konfigurácia lokálnej AAA pre SSH

Nakonfigurujte SSH (doménové meno securitylab.sk, dĺžka kľúča 1024).

(config)# aaa authentication login sshpristup local
(config)# line vty 0 4
(config-line)# login authentication sshpristup

Pokúste sa na SSH prihlásiť podobne ako pri konfigurácii AAA na konzolu. Je možné prihlásiť sa aj cez používateľa admin008? Ak nie, prečo? Aký je rozdiel medzi „local“ a „local-case“?

I. Konfigurácia vzdialenej AAA pre RADIUS server (nefunguje v Cisco PT)

Na PC spustite aplikaciu WinRadius 🗔. Vytvorte používateľa admin008 a heslom admin008heslo. Následne v časti Settings/System je potrebné zmeniť NAS secret na radiusheslo.

Príkazy, ktoré by bolo potrebné zadať, ale už sú zadané:

(config)# aaa new-model
(config)# username admin007 privilege 15 algorithm-type sha256 secret admin007heslo

Špecifikujeme kde sa RADIUS server nachádza (na PC) a zadáme heslo pre prístup na RADIUS server.

R1(config)# radius server radiusnapc
R1(config-radius-server)# address ipv4 147.232.49.1 auth-port 1812 acct-port 1813
R1(config-radius-server)# key radiusheslo

R2(config)# radius server radiusnapc
R2(config-radius-server)# address ipv4 147.232.49.129 auth-port 1812 acct-port 1813
R2(config-radius-server)# key radiusheslo

Následne nakonfigurujeme metódu pre autentifikáciu príkazom:

(config)# aaa authentication login default group radius local-case

Metódu aplikujeme na prístup do konzoly:

(config-line)# login authentication default

Konfiguráciu otestujeme – pokúste sa o prihlásenie cez používateľa admin008 a následne admin007.

Opakujte totožné aj pre SSH (predpokladá sa, že RSA kľúče už sú vygenerované).

(config)# line vty 0 4
(config-line)# login authentication default

Konfiguráciu otestujeme – pokúste sa o prihlásenie cez používateľa admin008 a následne admin007. PC odpojte zo siete, následne sa na smerovač pripája sused a vy sa pripájate na suseda cez SSH. Konfiguráciu otestujeme – pokúste sa o prihlásenie cez používateľa admin008 a následne admin007. Aká je zmena a prečo?