© 2013 Cisco i/lub partnerzy. Wszelkie prawa zastrzeżone. To jest jawny dokument Cisco

Strona 1 /8

Lab. 11.2.4.6

– Bezpieczeństwo urządzeń sieciowych

Topologia

Tabela adresacji

Urządzenie

Interfejs

Adres IP

Maska podsieci

Brama domyślna

R1

G0/1

192.168.1.1

255.255.255.0

N/A

S1

VLAN 1

192.168.1.11

255.255.255.0

192.168.1.1

PC-A

NIC

192.168.1.3

255.255.255.0

192.168.1.1

Cele

Część 1: Konfiguracja ustawień podstawowych urządzeń sieciowych

Część 2:

Konfiguracja

podstawowych zabezpieczeń na routerze

Część 3:

Konfiguracja

podstawowych zabezpieczeń na przełączniku

Scenariusz

Zaleca się, aby wszystkie urządzenia sieciowe zostały skonfigurowane z co najmniej minimalnym
zestawem

ustawień, zgonie z najlepszymi praktykami w zakresie bezpieczeństwa, która obejmuje

urządzenia, użytkowników końcowych, serwery i urządzenia sieciowe, takie jak routery i przełączniki.

W trakcie laboratorium

należy skonfigurować urządzenia sieciowe przedstawione na schemacie

topologicznym,

w taki sposób aby akceptowały one połączenia SSH umożliwiając tym samym ich

późniejsze zdalne zarządzanie poprzez sieć. Należy również użyć komend CLI IOS w celu
skonfigurowania typowych środków bezpieczeństwa - podstawowych w świetle najlepszych praktyk w
zakresie bezpieczeństwa.

Następnie należy przetestować zastosowane środki bezpieczeństwa w celu sprawdzenia, czy są one
właściwie zaimplementowane i zabezpieczenia działają poprawnie, zgodnie z dobrymi praktykami, w tym
zakresie.

Uwaga:

Instrukcja laboratoryjne dla kursu CCNA zostały przygotowane dla routerów serii Cisco

1941(ISR) (ang. Integrated Services Router) z Cisco IOS (ang. Internetwork Operating System) w wersji
15.2 (4) oraz

przełączników Cisco Catalyst 2960S z Cisco IOS w wersji 15.0 (2). Zamiast powyższych

mogą być używane inne routery i przełączniki z inną wersja systemu Cisco IOS. W zależności od modelu i
wersji Cisco IOS,

dostępne polecenia jak również informacje zwracane przez urządzenia mogą się jednak

różnić od tego, co przedstawiono w instrukcjach laboratoryjnych. Podczas zajęć proszę stosować
właściwe oznaczenia interfejsów routera, których nazwy w zależności od typu routera zostały zebrane w
tabeli na końcu instrukcji.

Uwaga:

Przed przystąpieniem do ćwiczeń proszę się upewnić, że z routerów i przełączników została

usunięta konfiguracja startowa. Jeżeli nie jesteś tego pewien, to należy poprosić o pomoc instruktora.

.

Wymagane zasoby



1 router (Cisco 1941 z Cisco IOS wydanie 15.2(4)M3 z obrazem uniwersalnym lub kompatybilnym)

Laboratorium

– Bezpieczeństwo urządzeń sieciowych

© 2013 Cisco i/lub partnerzy. Wszelkie prawa zastrzeżone. To jest jawny dokument Cisco.

Strona 2 / 8



1

przełącznik (Cisco 2960 z Cisco IOS wydanie 15.0(2) aa obrazem lanbasek9 lub kompatybilnym)



1 komputer z systemem operacyjnym (Windows 7, Vista lub XP z zainstalowanym emulatorem
terminala)



Kabel konsolowy

do skonfigurowania urządzeń CISCO za pomocą portu konsolowego



Kable ethernetowe takie jak pokazano na zamieszczonej topologii sieci

Cześć 1. Konfiguracja podstawowych ustawień urządzeń

W części 1, zestaw urządzenia w sieć według zadanej topologii i skonfiguruj podstawowe ustawienia,
takie jak adresy IP, dostęp do urządzenia i hasła w routerze.

Krok 1: Połącz okablowanie zgodnie topologią przedstawiona na rysunku

Podłącz urządzenia zgodnie z topologią sieci. Użyj właściwego okablowania.

Krok 2:

Włącz i przeładuj router i przełącznik

Krok 3: Skonfiguruj router

Proszę odnieść się do poprzedniego laboratorium celem uzyskania pomocy w zakresie komend
potrzebnych do konfiguracji SSH

.

a.

Podłącz się konsolą do routera i wejdź w tryb uprzywilejowany.

b.

Wejdź w tryb konfiguracji ogólnej.

c. Przypisz routerowi

nazwę R1.

d.

Wyłącz zapytania DNS (DNS lookup).

e. Ustaw class

jako hasło szyfrowane dla trybu uprzywilejowanego.

f.

Ustaw cisco jako

hasło dla konsoli i włącz możliwość logowania.

g. Ustaw cisco jako

hasło dla vty i włącz możliwość logowania.

h.

Włącz tryb szyfrowania haseł w pliku konfiguracyjnym zapisanych w postaci jawnej.

i.

Stwórz baner, który ostrzega że dostęp do urządzenia dla osób nieautoryzowanych jest
zabroniony.

j.

Skonfiguruj i aktywuj interfejs G0/1 na routerz

e używając informacji w tabeli adresacji.

k.

Zapisz konfigurację routera do pliku konfiguracji startowej.

Krok 4. Skonfiguruj przełącznik

a.

Podłącz się konsolą do przełącznika i wejdź w tryb uprzywilejowany.

b.

Wejdź w tryb konfiguracji ogólnej.

c. Przypisz

przełącznikowi nazwę S1.

d.

Wyłącz zapytania DNS (DNS lookup).

e. Ustaw class

jako hasło szyfrowane dla trybu uprzywilejowanego.

f.

Ustaw cisco jako

hasło dla konsoli i włącz możliwość logowania.

g. Ustaw cisco jako

hasło dla VTY i włącz możliwość logowania.

h.

Włącz szyfrowanie haseł zapisanych otwartym tekstem w pliku konfiguracyjnym.

i.

Stwórz baner, który ostrzega że dostęp do urządzenia dla osób nieautoryzowanych jest
zabroniony.

j.

Skonfiguruj adres na domyślnym SVI używając informacji w tabeli adresacji.

Laboratorium

– Bezpieczeństwo urządzeń sieciowych

© 2013 Cisco i/lub partnerzy. Wszelkie prawa zastrzeżone. To jest jawny dokument Cisco.

Strona 3 / 8

k. Zapisz

konfigurację routera do pliku konfiguracji startowej.

Cz

ęść 2:

Konfiguracja

podstawowych środków ochrony na routerze

Krok 1

. Wzmocnienie haseł.

Administrator powinien

upewnić się, że hasło spełnia standardowe wytyczne dla silnych haseł. Wytyczne

te

mówią, że w haśle powinny znajdować się: litery małe i duże, cyfry, znaki specjalne ponadto hasło

powinno mieć ustawione wymaganie na minimalną długość.

Uwaga: Wytyczne dla najlepszych praktyk

wymagają stosowania silnych haseł, takich jak te pokazane

poniżej, w rzeczywistym środowisku sieciowym. Jednak podczas ćwiczeń laboratoryjnych należy używać
haseł Class i Cisco w celu ułatwienia wykonywania laboratoriów, a w szczególności „odzyskiwania”
rou

terów z nieusuniętą konfiguracją startową .

a.

Zmień hasło szyfrowane do trybu uprzywilejowanego EXEC zgodnie z wytycznymi.

R1(config)# enable secret Enablep@55

b. Wymagaj, aby

w haśle było użyte minimum 10 znaków.

R1(config)# security passwords min-length 10

Krok 2:

Włącz połączenie SSH.

b.

Przypisz nazwę domeny jako CCNA-lab.com

.

R1(config)# ip domain-name CCNA-lab.com

c.

Utwórz bazę danych użytkowników lokalnych, na potrzeby logowania się użytkowników do routera za
pomocą SSH. Hasło powinno spełniać wymagania na silne hasło, a użytkownik powinien mieć
zapewniony

dostęp na poziomie administratora.

R1(config)# username admin privilege 15 secret Admin15p@55

d.

Skonfiguruj

wejście dla linii VTY tak, że akceptuje ono połączenia SSH, ale nie pozwalala

n

a połączenia

TELNET

R1(config)# line vty 0 4
R1(config-line)# transport input ssh

e. Linie VTY

powinny używać do uwierzytelniania lokalnej bazy danych użytkowników.

R1(config-line)# login local
R1(config-line)# exit

f.

Wygeneruj klucz szyfrujący RSA o długości 1024 bitów.

R1(config)# crypto key generate rsa modulus 1024

Nazwa klucza powinna być następująca: R1.CCNA-lab.com

Odpowiedź routera będzie następująca:
% The key modulus size is 1024 bits
% Generating 1024 bit RSA keys, keys will be non-exportable...
[OK] (elapsed time was 2 seconds)
R1(config)#
*Jan 31 17:54:16.127: %SSH-5-ENABLED: SSH 1.99 has been enabled

Krok 3. Zabezp

iecz wejście konsolowe oraz VTY

a.

Możesz ustawić router w taki sposób, aby po określonym czasie bezczynności rozłączył połączenie na
linii konsolowej lub VTY.

Jeśli administrator sieci był zalogowany do urządzenia sieciowego i został nagle

wezwany, to polecenie automatycznie wyloguje

użytkownika po upływie określonego czasu. Poniższe

polecenia

powodują wylogowanie z urządzenia po pięciu minutach bezczynności.

R1(config)# line console 0

Laboratorium

– Bezpieczeństwo urządzeń sieciowych

© 2013 Cisco i/lub partnerzy. Wszelkie prawa zastrzeżone. To jest jawny dokument Cisco.

Strona 4 / 8

R1(config-line)# exec-timeout 5 0
R1(config-line)# line vty 0 4
R1(config-line)# exec-timeout 5 0
R1(config-line)# exit
R1(config)#

b.

Następujące polecenia utrudniają atak siłowy (przeszukania całej przestrzeni klucza) na hasło logowania.
Router blokuje

możliwość zalogowania się przez 30 sekund, jeśli nastąpiły dwie nieudane próby

logow

ania w ciągu 120 sekund. Na potrzeby niniejszego laboratorium czasokres blokady został specjalnie

ustawiony na krótki czas. Standardowo należy stosować dłuższe czasy.

R1(config)# login block-for 30 attempts 2 within 120

Co oznacza

część komendy 2 within 120?

_________________________________________________________________________________

Co oznacza

część komendy block-for 30 ?

_________________________________________________________________________________

Krok 4. Zweryfikuj

że wszystkie nieużywane interfejsy są wyłączone

Porty routera są domyślnie wyłączone, ale zawsze dobrze jest zweryfikować czy faktycznie wszystkie
nieużywane porty są w stanie administratively down. Można to szybko sprawdzić, wydając polecenie
show ip interface biref

. Wszelkie nieużywane porty, które nie są w stanie administratively down

powinny być wyłączone za pomocą polecenia shutdown w trybie konfiguracji interfejsu.

R1# show ip interface brief

Interface IP-Address OK? Method Status
Protocol
Embedded-Service-Engine0/0 unassigned YES NVRAM administratively down down
GigabitEthernet0/0 unassigned YES NVRAM administratively down down
GigabitEthernet0/1 192.168.1.1 YES manual up up
Serial0/0/0 unassigned YES NVRAM administratively down down
Serial0/0/1 unassigned YES NVRAM administratively down down
R1#

Krok 5: Sprawdź, czy środki bezpieczeństwa zostały zaimplementowane poprawnie

a.

Użyj programu Tera Term do połączenia się protokołem Telnet do R1.

Czy R1 nadal akceptuje

połączenia poprzez Telnet? ___________________________

Dlaczego lub dlaczego nie?

____________________________________________________________________________________

b.

Użyj programu Tera Term do połączenia się protokołem SSH do R1.

Czy R1

akceptuje połączenia SSH? __________

c. Specjalnie pomyl przy wprowadzaniu

nazwę użytkownika i hasło w celu sprawdzenia czy dostęp

zostanie zablokowany po dwóch nieprawidłowych podejściach.

Co się stało po dwóch nieudanych logowaniach?

_________________________________________________________________________________

_________________________________________________________________________________

d.

Podczas sesji konsolowej na routerze, wydaj komendę show login, aby wyświetlić status logowania.
W przykładzie poniżej komenda show login została wydana podczas 30 sekundowego okresu
blokady logowania i w trybie Quiet-Mode ustawionym na routerze. Router nie

przyjmuje żadnych prób

logowania jeszcze

przez następne 14 sekund.

Laboratorium

– Bezpieczeństwo urządzeń sieciowych

© 2013 Cisco i/lub partnerzy. Wszelkie prawa zastrzeżone. To jest jawny dokument Cisco.

Strona 5 / 8

R1# show login

A default login delay of 1 second is applied.
No Quiet-Mode access list has been configured.

Router enabled to watch for login Attacks.
If more than 2 login failures occur in 120 seconds or less,
logins will be disabled for 30 seconds.

Router presently in Quiet-Mode.
Will remain in Quiet-Mode for 14 seconds.
Denying logins from all sources.
R1#

e.

Po upłynięciu 30 sekundowego okresu blokady, połącz się ponownie za pomocą SSH do routera R1 i
zaloguj się na konto admin używając hasła Admin15p@55.

Po udanym logowaniu ,

co zostało wyświetlone? ________________________

f.

Wejdź w tryb uprzywilejowany EXEC i użyj Enablep@55 jako hasła.

Czy

jeśli dwa razy wprowadzisz nieprawidłowe hasło, to czy zostaniesz rozłączony z sesją SSH po

dwóch nieudanych logowaniach w ciągu 120 sekund? ______________

Dlaczego lub dlaczego nie?

________________________________________________________________________________

g.

Wydaj komendę show running-config w trybie uprzywilejowanym EXEC aby wyświetlić I sprawdzić,
czy wszystkie zabezpieczenia

zostały zastosowane na routerze.

Część 3:

Konfiguracja

podstawowych środków ochrony na przełączniku

Krok 1

. Wzmocnienie haseł.

a.

Zmień hasło szyfrowane do trybu uprzywilejowanego EXEC zgodnie z wytycznymi na silne hasło

R1(config)# enable secret Enablep@55

Uwaga:

Komenda wymuszająca minimalna długość hasła password min-length nie jest dostępna na

przełączniku serii 2960.

Krok 2: Włącz połączenie SSH.

a.

Przypisz nazwę domeny jako CCNA-lab.com

.

R1(config)# ip domain-name CCNA-lab.com

b.

Utwórz bazę danych użytkowników lokalnych, na potrzeby logowania się do przełącznika za pomocą
SSH. Hasło powinno spełniać wymagania na silne hasło, a użytkownik powinien mieć dostęp do
przełącznika na poziomie administratora.

R1(config)# username admin privilege 15 secret Admin15p@55

c.

Skonfiguruj

wejście dla linii VTY tak, że akceptuje ono połączenia SSH, ale nie pozwala

n

a połączenia

Telnet

R1(config)# line vty 0 4
R1(config-line)# transport input ssh

d. Linie

VTY powinny używać lokalnej bazy danych użytkowników w celu uwierzytelniania.

R1(config-line)# login local
R1(config-line)# exit

e.

Wygeneruj klucz szyfrujący RSA o długości 1024 bitów.

Laboratorium

– Bezpieczeństwo urządzeń sieciowych

© 2013 Cisco i/lub partnerzy. Wszelkie prawa zastrzeżone. To jest jawny dokument Cisco.

Strona 6 / 8

R1(config)# crypto key generate rsa modulus 1024

Krok 3. Zabezp

iecz wejście konsolowe oraz VTY

a. Ustaw automatyczne wylogowanie, po 10 minutach

bezczynności na linii

S1(config)# line console 0
S1(config-line)# exec-timeout 10 0
S1(config-line)# line vty 0 15
S1(config-line)# exec-timeout 10 0
S1(config-line)# exit
S1(config)#

b. W celu utrudnienia

dostępu do konsoli przełącznika metoda brutalną, skonfiguruj blokowanie dostępu do

panelu logowania

przełącznika

przez 30 sekund

, jeśli nastąpiły dwie nieudane próby logowania w ciągu

120 sekund. Na potrzeby niniejszego laboratorium czasookres

został specjalnie ustawiony na krótki

czas.

Standardowo należy stosować dłuższe czasy.

S1(config)# login block-for 30 attempts 2 within 120
S1(config)# end

Krok 4:

Sprawdź, czy wszystkie nieużywane porty są wyłączone

Porty przełącznika są domyślnie włączone. Zamknij wszystkie porty na przełączniku, które nie są
używane.

a.

Możesz sprawdzić stan portów używając komendy show ip interface brief.

S1# show ip interface brief

Interface IP-Address OK? Method Status Protocol
Vlan1 192.168.1.11 YES manual up up
FastEthernet0/1 unassigned YES unset down down
FastEthernet0/2 unassigned YES unset down down
FastEthernet0/3 unassigned YES unset down down
FastEthernet0/4 unassigned YES unset down down
FastEthernet0/5 unassigned YES unset up up
FastEthernet0/6 unassigned YES unset up up
FastEthernet0/7 unassigned YES unset down down
FastEthernet0/8 unassigned YES unset down down
FastEthernet0/9 unassigned YES unset down down
FastEthernet0/10 unassigned YES unset down down
FastEthernet0/11 unassigned YES unset down down
FastEthernet0/12 unassigned YES unset down down
FastEthernet0/13 unassigned YES unset down down
FastEthernet0/14 unassigned YES unset down down
FastEthernet0/15 unassigned YES unset down down
FastEthernet0/16 unassigned YES unset down down
FastEthernet0/17 unassigned YES unset down down
FastEthernet0/18 unassigned YES unset down down
FastEthernet0/19 unassigned YES unset down down
FastEthernet0/20 unassigned YES unset down down
FastEthernet0/21 unassigned YES unset down down
FastEthernet0/22 unassigned YES unset down down
FastEthernet0/23 unassigned YES unset down down
FastEthernet0/24 unassigned YES unset down down
GigabitEthernet0/1 unassigned YES unset down down
GigabitEthernet0/2 unassigned YES unset down down

Laboratorium

– Bezpieczeństwo urządzeń sieciowych

© 2013 Cisco i/lub partnerzy. Wszelkie prawa zastrzeżone. To jest jawny dokument Cisco.

Strona 7 / 8

S1#

i.

Użyj komendy interface range do zamknięcia wielu interfejsów naraz.

S1(config)# interface range f0/1–4 , f0/7-24 , g0/1-2
S1(config-if-range)# shutdown
S1(config-if-range)# end
S1#

ii.

Upewnij się, że wszystkie interfejsy administracyjnie wyłączone są nieaktywne

.

S1# show ip interface brief

Interface IP-Address OK? Method Status Protocol
Vlan1 192.168.1.11 YES manual up up
FastEthernet0/1 unassigned YES unset administratively down down
FastEthernet0/2 unassigned YES unset administratively down down
FastEthernet0/3 unassigned YES unset administratively down down
FastEthernet0/4 unassigned YES unset administratively down down
FastEthernet0/5 unassigned YES unset up up
FastEthernet0/6 unassigned YES unset up up
FastEthernet0/7 unassigned YES unset administratively down down
FastEthernet0/8 unassigned YES unset administratively down down
FastEthernet0/9 unassigned YES unset administratively down down
FastEthernet0/10 unassigned YES unset administratively down down
FastEthernet0/11 unassigned YES unset administratively down down
FastEthernet0/12 unassigned YES unset administratively down down
FastEthernet0/13 unassigned YES unset administratively down down
FastEthernet0/14 unassigned YES unset administratively down down
FastEthernet0/15 unassigned YES unset administratively down down
FastEthernet0/16 unassigned YES unset administratively down down
FastEthernet0/17 unassigned YES unset administratively down down
FastEthernet0/18 unassigned YES unset administratively down down
FastEthernet0/19 unassigned YES unset administratively down down
FastEthernet0/20 unassigned YES unset administratively down down
FastEthernet0/21 unassigned YES unset administratively down down
FastEthernet0/22 unassigned YES unset administratively down down
FastEthernet0/23 unassigned YES unset administratively down down
FastEthernet0/24 unassigned YES unset administratively down down
GigabitEthernet0/1 unassigned YES unset administratively down down
GigabitEthernet0/2 unassigned YES unset administratively down down
S1#

Step 2:

Sprawdź, czy środki bezpieczeństwa zostały zaimplementowane prawidłowo.

a.

Sprawdź czy Telnet został wyłączony na przełączniku.

b.

Podłącz się za pomocą sesji SSH do przełącznika i pomyl się specjalnie przy wprowadzaniu nazwy
użytkownika i hasła, w celu sprawdzenia, że dostęp do przełącznika jest zablokowany

c.

Po 30 sekundach sesja SSH wygasła, podłącz się ponownie za pomocą SSH do przełącznika S1 i
zaloguj się używając nazwy użytkownika admin i hasła: Admin15p@55.

Czy pojawił się baner po udanym logowaniu? __________

d. Wej

dź w tryb uprzywilejowany EXEC używając Enablep@55 jako hasła.

e. Wydaj polecenie show running-config w trybie uprzywilejowanym

EXEC, aby wyświetlić

konfiguracj

ę zastosowanych zabezpieczeń. Sprawdź czy zostały zastosowane ustawienia

zabezpieczeń.

Laboratorium

– Bezpieczeństwo urządzeń sieciowych

© 2013 Cisco i/lub partnerzy. Wszelkie prawa zastrzeżone. To jest jawny dokument Cisco.

Strona 8 / 8

Pytania

1.

W części 1 podczas konfiguracji ustawień podstawowych została wydana komenda password cisco w
trybie konfiguracji linii konsoli oraz wirtualnych terminali VTY. Kiedy to

hasło jest używane po

zastosowaniu środków zgodnych z najlepszymi praktykami w zakresie bezpieczeństwa.

____________________________________________________________________________________

____________________________________________________________________________________

____________________________________________________________________________________

2. Czy komenda security passwords min-length 10

dotyczy haseł prekonfigurowanych, któree są którtsze

niz 10 znaków.?

____________________________________________________________________________________

____________________________________________________________________________________

____________________________________________________________________________________

Tabela

–podsumowanie interfejsów routera

Podsumowanie interfejsów routera

Model

routera

Interfejs ethernetowy

#1

Interfejs ethernetowy

#2

Interfejs szeregowy

#1

Interfejs szeregowy

#2

1800

Fast Ethernet 0/0 (F0/0)

Fast Ethernet 0/1
(F0/1)

Serial 0/0/0 (S0/0/0)

Serial 0/0/1 (S0/0/1)

1900

Gigabit Ethernet 0/0
(G0/0)

Gigabit Ethernet 0/1
(G0/1)

Serial 0/0/0 (S0/0/0)

Serial 0/0/1 (S0/0/1)

2801

Fast Ethernet 0/0 (F0/0)

Fast Ethernet 0/1
(F0/1)

Serial 0/1/0 (S0/1/0)

Serial 0/1/1 (S0/1/1)

2811

Fast Ethernet 0/0 (F0/0)

Fast Ethernet 0/1
(F0/1)

Serial 0/0/0 (S0/0/0)

Serial 0/0/1 (S0/0/1)

2900

Gigabit Ethernet 0/0
(G0/0)

Gigabit Ethernet 0/1
(G0/1)

Serial 0/0/0 (S0/0/0)

Serial 0/0/1 (S0/0/1)

Uwaga

: Aby dowiedzieć się, jaka jest konfiguracja sprzętowa routera, obejrzyj interfejsy, aby zidentyfikować typ

routera oraz aby określić liczbę interfejsów routera. Nie ma sposobu na skuteczne opisanie wszystkich
kombinacji konfiguracji dla każdej klasy routera. Tabela ta zawiera identyfikatory możliwych kombinacji
interfejsów szeregowych i Ethernet w urządzeniu. Tabela nie zawiera żadnych innych rodzajów interfejsów, mimo
iż dany router może jakieś zawierać Przykładem może być interfejs ISDN BRI. Łańcuch w nawiasie jest
skrótem, który może być stosowany w systemie operacyjnym Cisco IOS przy odwoływaniu się do interfejsu..