ZiMSK.z06.(CLI_TELNE..
Transkrypt
ZiMSK.z06.(CLI_TELNE..
ZADANIE.06 Zarządzanie i Monitorowanie Sieci Komputerowych v.2015 Imię Nazwisko ZADANIE.06 Zarządzanie konfiguracją urządzeń (tryb tekstowy i graficzny) 2,5h 1. Zbudować sieć laboratoryjną 2. Czynności wstępne 3. Zarządzanie konfiguracją urządzeń (tryb tekstowy: konsola) 4. Zarządzanie konfiguracją urządzeń (tryb tekstowy: TELNET) 5. Zarządzanie konfiguracją urządzeń (tryb tekstowy: SSH) 6. Zarządzanie konfiguracją urządzeń (tryb graficzny: HTTP Manager, SDM, ASDM) 7. Czynności końcowe -1- ZADANIE.06 Zarządzanie i Monitorowanie Sieci Komputerowych v.2015 1. Zbudować sieć laboratoryjną Zadanie Zbudować sieć laboratoryjną zgodnie z przedstawioną poniżej topologią. Topologia sieci laboratoryjnej 79.96.21.160 / 28 OUTSIDE dmz security-level 50 outside security-level 0 212.191.89.128 / 25 subinterfaces, trunk 172.18.0.0 / 16 10.2.0.0 / 16 VLAN Admin sec.lev.95 10.10.0.0 / 16 VLAN Dyrekcja 10.20.0.0 / 16 sec.lev.85 VLAN Pracownicy sec.lev.80 -2- ZADANIE.06 Zarządzanie i Monitorowanie Sieci Komputerowych v.2015 2. Czynności wstępne Usunąć, jeśli istnieją, hasła i konfiguracje urządzeń. Przywrócić konfiguracje urządzeń z poprzedniego zadania (z serwera TFTP albo metodą „Crtl+C, Crtl+V”). Sprawdzić za pomocą programu ping działanie interfejsów: o z hosta w sieci inside_admin adres podinterfejsu inside_admin ASA: ……………… o z hosta w sieci inside_dyrekcja adres podinterfejsu inside_dyrekcja ASA: ……………… o z hosta w sieci inside_pracownicy adres podinterfejsu inside_pracownicy ASA: ……… o z hosta wewnątrz sieci dmz adres interfejsu dmz ASA: ……………… o z hosta wewnątrz sieci outside adres interfejsu Routera: ……………… o z hosta wewnątrz sieci outside adres interfejsu outside ASA: ……………… Zainstalować w strefie dmz, outside i inside_pracownicy po jednym serwerze FTP (np. TYPSoft FTP Server). Utworzyć na każdym serwerze FTP przynajmniej jedno konto z uprawnieniami do dowolnego folderu na dysku. Przeprowadzić testy: o Czy można połączyć się z sieci inside_admin do serwera FTP w dmz? ……………………………… Jeśli tak - z jakiego adresu nastąpiło połączenie? ………………………………………………………………… Jeśli nie – wyjaśnić dlaczego? ………………………………………………………………………………………………. o Czy można połączyć się z sieci inside_pracownicy do serwera FTP w outside? ………………… Jeśli tak - z jakiego adresu nastąpiło połączenie? ………………………………………………………………… Jeśli nie – wyjaśnić dlaczego? ………………………………………………………………………………………………. o Czy można połączyć się z sieci inside_dyrekcja do serwera FTP w outside? …………………… Jeśli tak - z jakiego adresu nastąpiło połączenie? ………………………………………………………………… Jeśli nie – wyjaśnić dlaczego? ………………………………………………………………………………………………. o Czy można połączyć się ze strefy dmz do serwera FTP w strefie outside? ………………………… Jeśli tak - z jakiego adresu nastąpiło połączenie? ………………………………………………………………… Jeśli nie – wyjaśnić dlaczego? ………………………………………………………………………………………………. o Czy można połączyć się ze strefy outside do serwera FTP w strefie dmz? ………………………… Jeśli tak - z jakiego adresu nastąpiło połączenie? ………………………………………………………………… Jeśli nie – wyjaśnić dlaczego? ………………………………………………………………………………………………. -3- ZADANIE.06 Zarządzanie i Monitorowanie Sieci Komputerowych v.2015 3. Zarządzanie konfiguracją urządzeń (tryb tekstowy: konsola) Zadanie Skonfigurować porty konsolowe urządzeń zgodnie z tabelą (dotyczy wyłącznie hasła): Urządzenie Konfiguracja portu Użytkownik i hasło Bits per second: 9600 Data bits: 8 dowolne Parity: None (hasło ustawione w konfiguracji konsoli) Stop bits: 1 Flow control: None Bits per second: 9600 Data bits: 8 dowolne Parity: None (użytkownik i hasło w lokalnej bazie użytkowników) Stop bits: 1 Flow control: None Bits per second: 9600 Data bits: 8 dowolne Parity: None (użytkownik i hasło w lokalnej bazie użytkowników) Stop bits: 1 Flow control: None Materiał pomocniczy Konfigurowanie hasła do portu konsoli Przejście do konfiguracji portu konsolowego: hostname(config)# line console <nr portu konsoli> Uwaga: Ponieważ istnieje tylko jeden port konsolowy, nr portu konsoli = 0. -4- ZADANIE.06 Zarządzanie i Monitorowanie Sieci Komputerowych v.2015 Wymuszenie podania hasła przy dostępie do konsoli, a także wybór skąd będą pobierane dane do uwierzytelnienia (dwie alternatywne wersje): hostname(config-line)# login Hasło będzie zdefiniowane w konfiguracji konsoli za pomocą polecenia: hostname(config-line)# password <hasło> hostname(config-line)# login local Nazwy użytkowników oraz ich hasła będą zdefiniowane na urządzeniu za pomocą poleceń: hostname(config)# username <nazwa> password <hasło> Wymuszenie podania hasła przy dostępie do konsoli, a także wybór skąd będą pobierane dane do uwierzytelnienia: ASA(config)# aaa authentication serial console <LOCAL | nazwa_serwera> Wyjaśnienie pojęć: LOCAL - nazwy użytkowników oraz ich hasła będą zdefiniowane na urządzeniu za pomocą poleceń: ASA(config)# username <nazwa> password <hasło> nazwa_serwera - nazwy użytkowników oraz ich hasła będą pobierane z serwera TACACS albo RADIUS (będzie w kolejnych zadaniach). Sprawozdanie Połączyć się za pomocą konsoli ze Switch. o Czy połączenie powiodło się? …………………… o Czy uwierzytelnienie powiodło się? …………………… o Czy można przejść do trybu uprzywilejowanego -5- #? …………………… ZADANIE.06 Zarządzanie i Monitorowanie Sieci Komputerowych v.2015 Połączyć się za pomocą konsoli z Routerem. o Czy połączenie powiodło się? …………………… o Czy uwierzytelnienie powiodło się? …………………… o Czy można przejść do trybu uprzywilejowanego #? …………………… Połączyć się za pomocą konsoli z ASA. o Czy połączenie powiodło się? …………………… o Czy uwierzytelnienie powiodło się? …………………… o Czy można przejść do trybu uprzywilejowanego #? …………………… 4. Zarządzanie konfiguracją urządzeń (tryb tekstowy: TELNET) Zadanie Skonfigurować dostęp do urządzeń za pomocą protokołu TELNET: Urządzenie Opcje Użytkownik i hasło dowolne Session timeout: 60 sekund (hasło ustawione w konfiguracji linii vty) Dowolne Session timeout: 60 sekund (użytkownik i hasło w lokalnej bazie użytkowników) Session timeout: 60 sekund dowolne Dostęp: wyłącznie z jednego hosta w sieci VLAN Admin Materiał pomocniczy Konfigurowanie dostępu poprzez TELNET -6- (użytkownik i hasło w lokalnej bazie użytkowników) ZADANIE.06 Zarządzanie i Monitorowanie Sieci Komputerowych v.2015 Przejście do konfiguracji zdalnego dostępu: hostname(config)# line vty <nr_linii_vty_1> <nr_linii_vty_2> Wybór protokołu zdalnego dostępu: hostname(config-line)# transport input telnet Konfiguracja hasła przy zdalnym dostępie, a także wybór skąd będą pobierane dane do uwierzytelnienia (dwie alternatywne wersje): hostname(config-line)# login Hasło będzie zdefiniowane w konfiguracji linii vty za pomocą polecenia: hostname(config-line)# password <hasło> hostname(config-line)# login local Nazwy użytkowników oraz ich hasła będą zdefiniowane na urządzeniu za pomocą poleceń: hostname(config)# username <nazwa> password <hasło> Czas po jakim sesja TELNET wygaśnie: hostname(config-line)# exec-timeout <czas> <czas> Wyjaśnienie pojęć: nr_linii_vty_1– początkowy numer linii vty (zdalnego dostępu), która będzie dostępna i chroniona hasłem. nr_linii_vty_2– końcowy numer linii vty (zdalnego dostępu), która będzie dostępna i chroniona hasłem. Uwaga: liczba dostępnych linii zależy od urządzenia i wersji IOS (znakiem zapytania w poleceniu można sprawdzić liczbę dostępnych linii). Włączenie dostępu poprzez TELNET dla konkretnego hosta albo sieci: -7- ZADANIE.06 Zarządzanie i Monitorowanie Sieci Komputerowych v.2015 ASA(config)# telnet <adres_IP> <maska_sieci> <nazwa_sieci> Wybór miejsca skąd będą pobierane dane do uwierzytelnienia sesji TELNET: ASA(config)# aaa authentication telnet console <LOCAL | nazwa_serwera> Czas po jakim sesja TELNET wygaśnie: ASA(config)# telnet timeout <czas> Wyjaśnienie pojęć: adres_IP – adres hosta albo sieci, z której będzie możliwie połączenie z ASA. maska_sieci – maska hosta (255.255.255.255) albo sieci, z której będzie możliwie połączenie z ASA. nazwa_sieci - nazwa sieci, z której będzie możliwie połączenie z ASA. nazwa_serwera - nazwy użytkowników oraz ich hasła będą pobierane z serwera TACACS albo RADIUS. LOCAL - nazwy użytkowników oraz ich hasła będą zdefiniowane na urządzeniu za pomocą poleceń ASA(config)# username <nazwa> password <hasło> Sprawozdanie Połączyć się za pomocą klienta TELNET ze Switch. o Czy połączenie powiodło się? …………………… o Czy uwierzytelnienie powiodło się? …………………… o Czy można przejść do trybu uprzywilejowanego …………………… Połączyć się za pomocą klienta TELNET z Routerem. o Czy połączenie powiodło się? …………………… o Czy uwierzytelnienie powiodło się? …………………… o Czy można przejść do trybu uprzywilejowanego #? #? …………………… Połączyć się za pomocą klienta TELNET z ASA. o Czy połączenie powiodło się? …………………… o Czy uwierzytelnienie powiodło się? …………………… o Czy można przejść do trybu uprzywilejowanego -8- #? …………………… ZADANIE.06 Zarządzanie i Monitorowanie Sieci Komputerowych v.2015 5. Zarządzanie konfiguracją urządzeń (tryb tekstowy: SSH) Zadanie Wyłączyć / zabronić dostępu poprzez TELNET na Routerze. Wyłączyć / zabronić dostępu poprzez TELNET na ASA. Skonfigurować dostęp do urządzeń za pomocą protokołu SSH zgodnie z tabelą: Urządzenie Opcje Użytkownik i hasło Version: 2 dowolne Authentication timeout: 5sekund Retries: 0 (użytkownik i hasło w lokalnej bazie użytkowników) Version: 1 dowolne Session timeout: 60 sekund Session timeout: 60 sekund Access: wyłącznie z jednego hosta w sieci VLAN Admin (użytkownik i hasło w lokalnej bazie użytkowników) Materiał pomocniczy Konfigurowanie dostępu poprzez SSH Do wygenerowania klucza algorytmu RSA konieczne jest skonfigurowanie nazwy urządzenia oraz nazwy domeny, w której to urządzenie pracuje: Router(config)# hostname <nazwa_urzadzenia> Router(config)# ip domain-name <nazwa_domeny> Generowanie klucza RSA: Router(config)# crypto key generate rsa -9- ZADANIE.06 Zarządzanie i Monitorowanie Sieci Komputerowych v.2015 Wybór wersji SSH: Router(config)# ip ssh version <nr_wersji> Konfiguracja czasu wygaśnięcia sesji uwierzytelniania oraz liczby prób logowania: Router(config)# ip ssh time-out <czas> Router(config)# ip ssh authentication-retries <liczba_prób> Przejście do konfiguracji zdalnego dostępu: Router(config)# line vty <nr_linii_vty_1> <nr_linii_vty_2> Wybór protokołu zdalnego dostępu: Router(config-line)# transport input ssh Wybór miejsca skąd będą pobierane dane do uwierzytelnienia: Router(config-line)# login <local | tacacs> Czas po jakim sesja SSH wygaśnie: Router(config-line)# exec-timeout <czas> <czas> Wyjaśnienie pojęć: local - nazwy użytkowników oraz ich hasła będą zdefiniowane na urządzeniu za pomocą poleceń Router(config)# username <nazwa> password <hasło> tacacs - nazwy użytkowników oraz ich hasła będą pobierane z serwera TACACS. Weryfikacja konfiguracji Router# show ssh Router# show ip ssh Analiza problemów Router# debug ip ssh - 10 - ZADANIE.06 Zarządzanie i Monitorowanie Sieci Komputerowych v.2015 Generowanie klucza RSA: ASA(config)# crypto key generate rsa Konfiguracja danych hosta albo sieci, z której będzie możliwe połączenie z ASA: ASA(config)# ssh <adres_IP> <maska_sieci> <nazwa_sieci> Czas po jakim sesja SSH wygaśnie: ASA(config)# ssh timeout <czas> Wybór wersji SSH: ASA(config)# ssh version <nr_wersji> Wybór miejsca skąd będą pobierane dane do uwierzytelnienia: ASA(config)# aaa authentication ssh console <LOCAL | nazwa_serwera> Wyjaśnienie pojęć: adres_IP – adres hosta albo sieci, z której będzie możliwie połączenie z ASA. maska_sieci – maska hosta (255.255.255.255) albo sieci, z której będzie możliwie połączenie z ASA. nazwa_sieci - nazwa sieci, z której będzie możliwie połączenie z ASA. nazwa_serwera - nazwy użytkowników oraz ich hasła będą pobierane z serwera TACACS albo RADIUS. LOCAL - nazwy użytkowników oraz ich hasła będą zdefiniowane na urządzeniu za pomocą poleceń ASA(config)# username <nazwa> password <hasło> - 11 - ZADANIE.06 Zarządzanie i Monitorowanie Sieci Komputerowych v.2015 Sprawozdanie Połączyć się za pomocą klienta SSH z Routerem. o Czy połączenie powiodło się? …………………… o Czy uwierzytelnienie powiodło się? …………………… o Czy można przejść do trybu uprzywilejowanego #? …………………… Połączyć się za pomocą klienta SSH z ASA. o Czy połączenie powiodło się? …………………… o Czy uwierzytelnienie powiodło się? …………………… o Czy można przejść do trybu uprzywilejowanego #? …………………… [edit system services] ssh { ciphers [ cipher-1 cipher-2 cipher-3 ...] client-alive-count-max number; client-alive-interval seconds; connection-limit limit; hostkey-algorithm <algorithm | no-algorithm>; key-exchange algorithm; macs algorithm; max-sessions-per-connection number; no-passwords; no-tcp-forwarding; protocol-version [v1 v2] ; rate-limit limit; root-login <allow | deny | deny-password>; } - 12 - ZADANIE.06 Zarządzanie i Monitorowanie Sieci Komputerowych v.2015 6. Zarządzanie konfiguracją urządzeń (tryb graficzny: HTTP Manager, SDM, ASDM) Zadanie Włączyć możliwość konfiguracji urządzeń poprzez tryb graficzny (przeglądarkę internetową): Urządzenie Parametry konfiguracyjne Serwer: HTTP Uwierzytelnianie: hasło do trybu uprzywilejowanego Serwer: HTTPS Uwierzytelnianie: z lokalnej bazy użytkowników Serwer: HTTPS Uwierzytelnianie: z lokalnej bazy użytkowników Materiał pomocniczy HTTP Device Manager - 13 - ZADANIE.06 Zarządzanie i Monitorowanie Sieci Komputerowych v.2015 Włączenie HTTP Device Manager na Switch: Switch(config)# ip http server Konfiguracja hasła do trybu uprzywilejowanego na najwyższy poziom dostępu (standardowa konfiguracja hasła bez słowa level także powinna być na poziomie 15): Switch(config)# enable secret level 15 <hasło> Wybór metody uwierzytelniania przy połączeniu z HTTP Device Manager: Switch(config)# ip http authentication <local | enable> Wyjaśnienie pojęć: local - nazwy użytkowników oraz ich hasła będą zdefiniowane na urządzeniu za pomocą poleceń Switch(config)# username <nazwa> password <hasło> enable – do uwierzytelnienia będzie wykorzystane hasło do trybu uprzywilejowanego. Połączenie z HTTP Manager (podanie protokołu i adresu IP w przeglądarce internetowej): - 14 - ZADANIE.06 Zarządzanie i Monitorowanie Sieci Komputerowych v.2015 SDM (Security Device Manager) Wymagania SDM Router: Urządzenie Wersja IOS Cisco 12.2(11)T6 or later 2610XM, 2611XM, 2620XM, 2621XM, 2650XM, 2651XM, 2691 12.3(2)T or later 12.3(1)M or later 12.3(4)XD 12.2(15)ZJ3 Cisco 2801, 2811, 2821 ,2851 12.3(8)T4 or later Stacja zarządzająca: - 15 - ZADANIE.06 Zarządzanie i Monitorowanie Sieci Komputerowych v.2015 o Procesor Pentium III o Windows XP, 2003 Server, 2000 Professional (Service Pack 4), ME, 98 (second edition), NT 4.0 Workstation (Service Pack 4) o Internet Explorer 5.5 lub Netscape version 7.1 o Sun Java Runtime Environment (JRE) 1.4.2_05 lub Java Virtual Machine (JVM) 5.0.0.3810. Konfiguracja SDM Router# configure terminal Włączenie serwera HTTP na Routerze: Router(config)# ip http server Włączenie serwera HTTPS na Routerze: Router(config)# ip http secure-server Wybór metody uwierzytelniania przy połączeniu z SDM: Router(config)# ip http authentication <local | enable> Jeśli wybrano bazę lokalną musi być w niej zdefiniowany użytkownik o najwyższym poziomie uprzywilejowania (15): Router(config)# username <nazwa_użytkownika> privilege 15 password <hasło> Przejście do konfiguracji zdalnego dostępu: Router(config)# line vty <nr_linii_vty_1> <nr_linii_vty_2> Ustawienie zdalnego dostępu na najwyższym poziom uprzywilejowania (15): Router(config-line)# privilege level 15 Wybór miejsca skąd będą pobierane dane do uwierzytelnienia: Router(config-line)# login <local | tacacs> Wybór protokołu zdalnego dostępu: - 16 - ZADANIE.06 Zarządzanie i Monitorowanie Sieci Komputerowych v.2015 Router(config-line)# transport input ssh Instalacja SDM - 17 - ZADANIE.06 Zarządzanie i Monitorowanie Sieci Komputerowych v.2015 Weryfikacja SDM Sprawdzenie czy w pamięci flash zostały zapisane pliki z SDM: Router# show flash: System flash directory: File Length Name/status 1 5148536 c831-k9o3y6-mz.122-13.ZH1.bin 2 14617 sdm.shtml 3 669 sdmconfig-83x.cfg 4 2290688 sdm.tar 5 14617 sdm.shtml.hide 6 1446 home.html 7 214016 home.tar 8 1446 home.html.hide [7686035 bytes used, 17434224 available, 24903680 total] 24576K bytes of processor board System flash (Read/Write) Połączenie z SDM Połączenie z SDM (podanie protokołu i adresu IP w przeglądarce internetowej): - 18 - ZADANIE.06 Zarządzanie i Monitorowanie Sieci Komputerowych v.2015 ASDM (Adaptive Security Device Manager) Zasada działania ASDM Wymagania ASDM Przeglądarka obsługująca SSL. Wyłączone blokowanie „wyskakujących okienek”. - 19 - ZADANIE.06 Zarządzanie i Monitorowanie Sieci Komputerowych v.2015 Konfiguracja ASDM Włączenie serwera HTTPS (z ASDM): ASA(config)# http server enable IP hosta, maska sieci i nazwa interfejsu, z którego będzie możliwy dostęp do ASDM: ASA(config)# http <adres_IP> <maska_sieci> <nazwa_interfejsu> Nazwa ASA i nazwa domeny, w której się znajduje: ASA(config)# hostname <nazwa_urzadzenia> ASA(config)# domain-name <nazwa_domeny> Wybór miejsca, z którego będą pobierane dane do uwierzytelniania: ASA(config)# aaa authentication http console <LOCAL | nazwa_serwera> Weryfikacja ASDM ASA# show flash: asa723-k8.bin - IOS asdm-523.bin - ASDM - 20 - ZADANIE.06 Zarządzanie i Monitorowanie Sieci Komputerowych v.2015 Uruchomienie ASDM set security zones security-zone untrust interfaces ge-0/0/0.0 host inbound-traffic http set security zones security-zone untrust interfaces ge-0/0/0.0 host-inbound-traffic https set system services web-management http interface ge-0/0/0.0 set system services web-management https interface ge-0/0/0.0 - 21 - ZADANIE.06 Zarządzanie i Monitorowanie Sieci Komputerowych v.2015 Sprawozdanie Połączyć się za pomocą HTTP Manager ze Switch. o Czy połączenie powiodło się? …………………… o Czy uwierzytelnienie powiodło się? …………………… o Jaki typ przełącznika jest konfigurowany? …………………… Połączyć się za pomocą SDM z Routerem. o Czy połączenie powiodło się? …………………… o Czy uwierzytelnienie powiodło się? …………………… o Jaka jest całkowita pojemność pamięci flash? …………………… Połączyć się za pomocą ASDM z ASA. o Czy połączenie powiodło się? …………………… o Czy uwierzytelnienie powiodło się? …………………… o Ile czasu urządzenie już pracuje? …………………… 7. Czynności końcowe Zapisać konfiguracje urządzeń na serwer TFTP. Zgrać konfiguracje na pendrive. - 22 -