ZiMSK.z06.(CLI_TELNE..
Transkrypt
ZiMSK.z06.(CLI_TELNE..
ZADANIE.06 Zarządzanie i Monitorowanie Sieci Komputerowych v.2013 Imię Nazwisko ZADANIE.06 Zarządzanie konfiguracją urządzeń (tryb tekstowy i graficzny) 2,5h 1. Zbudować sieć laboratoryjną 2. Czynności wstępne 3. Zarządzanie konfiguracją urządzeń (tryb tekstowy: konsola) 4. Zarządzanie konfiguracją urządzeń (tryb tekstowy: TELNET) 5. Zarządzanie konfiguracją urządzeń (tryb tekstowy: SSH) 6. Zarządzanie konfiguracją urządzeń (tryb graficzny: HTTP Manager, SDM, ASDM) 7. Czynności końcowe -1- ZADANIE.06 Zarządzanie i Monitorowanie Sieci Komputerowych v.2013 1. Zbudować sieć laboratoryjną Zadanie Zbudować sieć laboratoryjną zgodnie z przedstawioną poniżej topologią. Topologia sieci laboratoryjnej 79.96.21.160 / 28 OUTSIDE dmz security-level 50 outside security-level 0 212.191.89.128 / 25 subinterfaces, trunk 172.18.0.0 / 16 10.2.0.0 / 16 VLAN Admin sec.lev.95 10.10.0.0 / 16 VLAN Dyrekcja 10.20.0.0 / 16 sec.lev.85 VLAN Pracownicy sec.lev.80 -2- ZADANIE.06 Zarządzanie i Monitorowanie Sieci Komputerowych v.2013 2. Czynności wstępne Usunąć, jeśli istnieją, hasła i konfiguracje urządzeń. Przywrócić konfiguracje urządzeń z poprzedniego zadania (z serwera TFTP albo metodą „Crtl+C, Crtl+V”). Sprawdzić za pomocą programu ping działanie interfejsów: o z hosta w sieci inside_admin adres podinterfejsu inside_admin ASA: ……………… o z hosta w sieci inside_dyrekcja adres podinterfejsu inside_dyrekcja ASA: ……………… o z hosta w sieci inside_pracownicy adres podinterfejsu inside_pracownicy ASA: ……… o z hosta wewnątrz sieci dmz adres interfejsu dmz ASA: ……………… o z hosta wewnątrz sieci outside adres interfejsu Routera: ……………… o z hosta wewnątrz sieci outside adres interfejsu outside ASA: ……………… Zainstalować w strefie dmz, outside i inside_pracownicy po jednym serwerze FTP (np. TYPSoft FTP Server). Utworzyć na każdym serwerze FTP przynajmniej jedno konto z uprawnieniami do dowolnego folderu na dysku. Przeprowadzić testy: o Czy można połączyć się z sieci inside_admin do serwera FTP w dmz? ……………………………… Jeśli tak - z jakiego adresu nastąpiło połączenie? ………………………………………………………………… Jeśli nie – wyjaśnić dlaczego? ………………………………………………………………………………………………. o Czy można połączyć się z sieci inside_pracownicy do serwera FTP w outside? ………………… Jeśli tak - z jakiego adresu nastąpiło połączenie? ………………………………………………………………… Jeśli nie – wyjaśnić dlaczego? ………………………………………………………………………………………………. o Czy można połączyć się z sieci inside_dyrekcja do serwera FTP w outside? …………………… Jeśli tak - z jakiego adresu nastąpiło połączenie? ………………………………………………………………… Jeśli nie – wyjaśnić dlaczego? ………………………………………………………………………………………………. o Czy można połączyć się ze strefy dmz do serwera FTP w strefie outside? ………………………… Jeśli tak - z jakiego adresu nastąpiło połączenie? ………………………………………………………………… Jeśli nie – wyjaśnić dlaczego? ………………………………………………………………………………………………. o Czy można połączyć się ze strefy outside do serwera FTP w strefie dmz? ………………………… Jeśli tak - z jakiego adresu nastąpiło połączenie? ………………………………………………………………… Jeśli nie – wyjaśnić dlaczego? ………………………………………………………………………………………………. -3- ZADANIE.06 Zarządzanie i Monitorowanie Sieci Komputerowych v.2013 3. Zarządzanie konfiguracją urządzeń (tryb tekstowy: konsola) Zadanie Skonfigurować porty konsolowe urządzeń zgodnie z tabelą (dotyczy wyłącznie hasła): Urządzenie Konfiguracja portu Użytkownik i hasło Bits per second: 9600 Data bits: 8 dowolne Parity: None (hasło ustawione w konfiguracji konsoli) Stop bits: 1 Flow control: None Bits per second: 9600 Data bits: 8 dowolne Parity: None (użytkownik i hasło w lokalnej bazie użytkowników) Stop bits: 1 Flow control: None Bits per second: 9600 Data bits: 8 dowolne Parity: None (użytkownik i hasło w lokalnej bazie użytkowników) Stop bits: 1 Flow control: None Materiał pomocniczy Konfigurowanie hasła do portu konsoli Przejście do konfiguracji portu konsolowego: hostname(config)# line console <nr portu konsoli> Uwaga: Ponieważ istnieje tylko jeden port konsolowy, nr portu konsoli = 0. -4- ZADANIE.06 Zarządzanie i Monitorowanie Sieci Komputerowych v.2013 Wymuszenie podania hasła przy dostępie do konsoli, a także wybór skąd będą pobierane dane do uwierzytelnienia (dwie alternatywne wersje): hostname(config-line)# login Hasło będzie zdefiniowane w konfiguracji konsoli za pomocą polecenia: hostname(config-line)# password <hasło> hostname(config-line)# login local Nazwy użytkowników oraz ich hasła będą zdefiniowane na urządzeniu za pomocą poleceń: hostname(config)# username <nazwa> password <hasło> Wymuszenie podania hasła przy dostępie do konsoli, a także wybór skąd będą pobierane dane do uwierzytelnienia: ASA(config)# aaa authentication serial console <LOCAL | nazwa_serwera> Wyjaśnienie pojęć: LOCAL - nazwy użytkowników oraz ich hasła będą zdefiniowane na urządzeniu za pomocą poleceń: ASA(config)# username <nazwa> password <hasło> nazwa_serwera - nazwy użytkowników oraz ich hasła będą pobierane z serwera TACACS albo RADIUS (będzie w kolejnych zadaniach). Sprawozdanie Połączyć się za pomocą konsoli ze Switch. o Czy połączenie powiodło się? …………………… o Czy uwierzytelnienie powiodło się? …………………… o Czy można przejść do trybu uprzywilejowanego -5- #? …………………… ZADANIE.06 Zarządzanie i Monitorowanie Sieci Komputerowych v.2013 Połączyć się za pomocą konsoli z Routerem. o Czy połączenie powiodło się? …………………… o Czy uwierzytelnienie powiodło się? …………………… o Czy można przejść do trybu uprzywilejowanego #? …………………… Połączyć się za pomocą konsoli z ASA. o Czy połączenie powiodło się? …………………… o Czy uwierzytelnienie powiodło się? …………………… o Czy można przejść do trybu uprzywilejowanego #? …………………… 4. Zarządzanie konfiguracją urządzeń (tryb tekstowy: TELNET) Zadanie Skonfigurować dostęp do urządzeń za pomocą protokołu TELNET: Urządzenie Opcje Użytkownik i hasło dowolne Session timeout: 60 sekund (hasło ustawione w konfiguracji linii vty) Dowolne Session timeout: 60 sekund (użytkownik i hasło w lokalnej bazie użytkowników) Session timeout: 60 sekund dowolne Dostęp: wyłącznie z jednego hosta w sieci VLAN Admin Materiał pomocniczy Konfigurowanie dostępu poprzez TELNET -6- (użytkownik i hasło w lokalnej bazie użytkowników) ZADANIE.06 Zarządzanie i Monitorowanie Sieci Komputerowych v.2013 Przejście do konfiguracji zdalnego dostępu: hostname(config)# line vty <nr_linii_vty_1> <nr_linii_vty_2> Wybór protokołu zdalnego dostępu: hostname(config-line)# transport input telnet Konfiguracja hasła przy zdalnym dostępie, a także wybór skąd będą pobierane dane do uwierzytelnienia (dwie alternatywne wersje): hostname(config-line)# login Hasło będzie zdefiniowane w konfiguracji linii vty za pomocą polecenia: hostname(config-line)# password <hasło> hostname(config-line)# login local Nazwy użytkowników oraz ich hasła będą zdefiniowane na urządzeniu za pomocą poleceń: hostname(config)# username <nazwa> password <hasło> Czas po jakim sesja TELNET wygaśnie: hostname(config-line)# exec-timeout <czas> <czas> Wyjaśnienie pojęć: nr_linii_vty_1– początkowy numer linii vty (zdalnego dostępu), która będzie dostępna i chroniona hasłem. nr_linii_vty_2– końcowy numer linii vty (zdalnego dostępu), która będzie dostępna i chroniona hasłem. Uwaga: liczba dostępnych linii zależy od urządzenia i wersji IOS (znakiem zapytania w poleceniu można sprawdzić liczbę dostępnych linii). Włączenie dostępu poprzez TELNET dla konkretnego hosta albo sieci: -7- ZADANIE.06 Zarządzanie i Monitorowanie Sieci Komputerowych v.2013 ASA(config)# telnet <adres_IP> <maska_sieci> <nazwa_sieci> Wybór miejsca skąd będą pobierane dane do uwierzytelnienia sesji TELNET: ASA(config)# aaa authentication telnet console <LOCAL | nazwa_serwera> Czas po jakim sesja TELNET wygaśnie: ASA(config)# telnet timeout <czas> Wyjaśnienie pojęć: adres_IP – adres hosta albo sieci, z której będzie możliwie połączenie z ASA. maska_sieci – maska hosta (255.255.255.255) albo sieci, z której będzie możliwie połączenie z ASA. nazwa_sieci - nazwa sieci, z której będzie możliwie połączenie z ASA. nazwa_serwera - nazwy użytkowników oraz ich hasła będą pobierane z serwera TACACS albo RADIUS. LOCAL - nazwy użytkowników oraz ich hasła będą zdefiniowane na urządzeniu za pomocą poleceń ASA(config)# username <nazwa> password <hasło> Sprawozdanie Połączyć się za pomocą klienta TELNET ze Switch. o Czy połączenie powiodło się? …………………… o Czy uwierzytelnienie powiodło się? …………………… o Czy można przejść do trybu uprzywilejowanego …………………… Połączyć się za pomocą klienta TELNET z Routerem. o Czy połączenie powiodło się? …………………… o Czy uwierzytelnienie powiodło się? …………………… o Czy można przejść do trybu uprzywilejowanego #? #? …………………… Połączyć się za pomocą klienta TELNET z ASA. o Czy połączenie powiodło się? …………………… o Czy uwierzytelnienie powiodło się? …………………… o Czy można przejść do trybu uprzywilejowanego -8- #? …………………… ZADANIE.06 Zarządzanie i Monitorowanie Sieci Komputerowych v.2013 5. Zarządzanie konfiguracją urządzeń (tryb tekstowy: SSH) Zadanie Wyłączyć / zabronić dostępu poprzez TELNET na Routerze. Wyłączyć / zabronić dostępu poprzez TELNET na ASA. Skonfigurować dostęp do urządzeń za pomocą protokołu SSH zgodnie z tabelą: Urządzenie Opcje Użytkownik i hasło Version: 2 dowolne Authentication timeout: 5sekund Retries: 0 (użytkownik i hasło w lokalnej bazie użytkowników) Version: 1 dowolne Session timeout: 60 sekund Session timeout: 60 sekund Access: wyłącznie z jednego hosta w sieci VLAN Admin (użytkownik i hasło w lokalnej bazie użytkowników) Materiał pomocniczy Konfigurowanie dostępu poprzez SSH Do wygenerowania klucza algorytmu RSA konieczne jest skonfigurowanie nazwy urządzenia oraz nazwy domeny, w której to urządzenie pracuje: Router(config)# hostname <nazwa_urzadzenia> Router(config)# ip domain-name <nazwa_domeny> Generowanie klucza RSA: Router(config)# crypto key generate rsa -9- ZADANIE.06 Zarządzanie i Monitorowanie Sieci Komputerowych v.2013 Wybór wersji SSH: Router(config)# ip ssh version <nr_wersji> Konfiguracja czasu wygaśnięcia sesji uwierzytelniania oraz liczby prób logowania: Router(config)# ip ssh time-out <czas> Router(config)# ip ssh authentication-retries <liczba_prób> Przejście do konfiguracji zdalnego dostępu: Router(config)# line vty <nr_linii_vty_1> <nr_linii_vty_2> Wybór protokołu zdalnego dostępu: Router(config-line)# transport input ssh Wybór miejsca skąd będą pobierane dane do uwierzytelnienia: Router(config-line)# login <local | tacacs> Czas po jakim sesja SSH wygaśnie: Router(config-line)# exec-timeout <czas> <czas> Wyjaśnienie pojęć: local - nazwy użytkowników oraz ich hasła będą zdefiniowane na urządzeniu za pomocą poleceń Router(config)# username <nazwa> password <hasło> tacacs - nazwy użytkowników oraz ich hasła będą pobierane z serwera TACACS. Weryfikacja konfiguracji Router# show ssh Router# show ip ssh Analiza problemów Router# debug ip ssh - 10 - ZADANIE.06 Zarządzanie i Monitorowanie Sieci Komputerowych v.2013 Generowanie klucza RSA: ASA(config)# crypto key generate rsa Konfiguracja danych hosta albo sieci, z której będzie możliwe połączenie z ASA: ASA(config)# ssh <adres_IP> <maska_sieci> <nazwa_sieci> Czas po jakim sesja SSH wygaśnie: ASA(config)# ssh timeout <czas> Wybór wersji SSH: ASA(config)# ssh version <nr_wersji> Wybór miejsca skąd będą pobierane dane do uwierzytelnienia: ASA(config)# aaa authentication ssh console <LOCAL | nazwa_serwera> Wyjaśnienie pojęć: adres_IP – adres hosta albo sieci, z której będzie możliwie połączenie z ASA. maska_sieci – maska hosta (255.255.255.255) albo sieci, z której będzie możliwie połączenie z ASA. nazwa_sieci - nazwa sieci, z której będzie możliwie połączenie z ASA. nazwa_serwera - nazwy użytkowników oraz ich hasła będą pobierane z serwera TACACS albo RADIUS. LOCAL - nazwy użytkowników oraz ich hasła będą zdefiniowane na urządzeniu za pomocą poleceń ASA(config)# username <nazwa> password <hasło> - 11 - ZADANIE.06 Zarządzanie i Monitorowanie Sieci Komputerowych v.2013 Sprawozdanie Połączyć się za pomocą klienta SSH z Routerem. o Czy połączenie powiodło się? …………………… o Czy uwierzytelnienie powiodło się? …………………… o Czy można przejść do trybu uprzywilejowanego #? …………………… Połączyć się za pomocą klienta SSH z ASA. o Czy połączenie powiodło się? …………………… o Czy uwierzytelnienie powiodło się? …………………… o Czy można przejść do trybu uprzywilejowanego #? …………………… 6. Zarządzanie konfiguracją urządzeń (tryb graficzny: HTTP Manager, SDM, ASDM) Zadanie Włączyć możliwość konfiguracji urządzeń poprzez tryb graficzny (przeglądarkę internetową): Urządzenie Parametry konfiguracyjne Serwer: HTTP Uwierzytelnianie: hasło do trybu uprzywilejowanego Serwer: HTTPS Uwierzytelnianie: z lokalnej bazy użytkowników Serwer: HTTPS Uwierzytelnianie: z lokalnej bazy użytkowników - 12 - ZADANIE.06 Zarządzanie i Monitorowanie Sieci Komputerowych v.2013 Materiał pomocniczy HTTP Device Manager Włączenie HTTP Device Manager na Switch: Switch(config)# ip http server Konfiguracja hasła do trybu uprzywilejowanego na najwyższy poziom dostępu (standardowa konfiguracja hasła bez słowa level także powinna być na poziomie 15): Switch(config)# enable secret level 15 <hasło> Wybór metody uwierzytelniania przy połączeniu z HTTP Device Manager: Switch(config)# ip http authentication <local | enable> Wyjaśnienie pojęć: local - nazwy użytkowników oraz ich hasła będą zdefiniowane na urządzeniu za pomocą poleceń Switch(config)# username <nazwa> password <hasło> enable – do uwierzytelnienia będzie wykorzystane hasło do trybu uprzywilejowanego. - 13 - ZADANIE.06 Zarządzanie i Monitorowanie Sieci Komputerowych v.2013 Połączenie z HTTP Manager (podanie protokołu i adresu IP w przeglądarce internetowej): SDM (Security Device Manager) Wymagania SDM Router: Urządzenie Wersja IOS Cisco 12.2(11)T6 or later 2610XM, 2611XM, 2620XM, 2621XM, 2650XM, 2651XM, 2691 12.3(2)T or later 12.3(1)M or later 12.3(4)XD 12.2(15)ZJ3 Cisco 2801, 2811, 2821 ,2851 12.3(8)T4 or later - 14 - ZADANIE.06 Zarządzanie i Monitorowanie Sieci Komputerowych v.2013 Stacja zarządzająca: o Procesor Pentium III o Windows XP, 2003 Server, 2000 Professional (Service Pack 4), ME, 98 (second edition), NT 4.0 Workstation (Service Pack 4) o Internet Explorer 5.5 lub Netscape version 7.1 o Sun Java Runtime Environment (JRE) 1.4.2_05 lub Java Virtual Machine (JVM) 5.0.0.3810. Konfiguracja SDM Router# configure terminal Włączenie serwera HTTP na Routerze: Router(config)# ip http server Włączenie serwera HTTPS na Routerze: Router(config)# ip http secure-server Wybór metody uwierzytelniania przy połączeniu z SDM: Router(config)# ip http authentication <local | enable> Jeśli wybrano bazę lokalną musi być w niej zdefiniowany użytkownik o najwyższym poziomie uprzywilejowania (15): Router(config)# username <nazwa_użytkownika> privilege 15 password <hasło> Przejście do konfiguracji zdalnego dostępu: Router(config)# line vty <nr_linii_vty_1> <nr_linii_vty_2> Ustawienie zdalnego dostępu na najwyższym poziom uprzywilejowania (15): Router(config-line)# privilege level 15 Wybór miejsca skąd będą pobierane dane do uwierzytelnienia: Router(config-line)# login <local | tacacs> - 15 - ZADANIE.06 Zarządzanie i Monitorowanie Sieci Komputerowych v.2013 Wybór protokołu zdalnego dostępu: Router(config-line)# transport input ssh Instalacja SDM - 16 - ZADANIE.06 Zarządzanie i Monitorowanie Sieci Komputerowych v.2013 Weryfikacja SDM Sprawdzenie czy w pamięci flash zostały zapisane pliki z SDM: Router# show flash: System flash directory: File Length Name/status 1 5148536 c831-k9o3y6-mz.122-13.ZH1.bin 2 14617 sdm.shtml 3 669 sdmconfig-83x.cfg 4 2290688 sdm.tar 5 14617 sdm.shtml.hide 6 1446 home.html 7 214016 home.tar 8 1446 home.html.hide [7686035 bytes used, 17434224 available, 24903680 total] 24576K bytes of processor board System flash (Read/Write) Połączenie z SDM Połączenie z SDM (podanie protokołu i adresu IP w przeglądarce internetowej): - 17 - ZADANIE.06 Zarządzanie i Monitorowanie Sieci Komputerowych v.2013 ASDM (Adaptive Security Device Manager) Zasada działania ASDM Wymagania ASDM Przeglądarka obsługująca SSL. Wyłączone blokowanie „wyskakujących okienek”. - 18 - ZADANIE.06 Zarządzanie i Monitorowanie Sieci Komputerowych v.2013 Konfiguracja ASDM Włączenie serwera HTTPS (z ASDM): ASA(config)# http server enable IP hosta, maska sieci i nazwa interfejsu, z którego będzie możliwy dostęp do ASDM: ASA(config)# http <adres_IP> <maska_sieci> <nazwa_interfejsu> Nazwa ASA i nazwa domeny, w której się znajduje: ASA(config)# hostname <nazwa_urzadzenia> ASA(config)# domain-name <nazwa_domeny> Wybór miejsca, z którego będą pobierane dane do uwierzytelniania: ASA(config)# aaa authentication http console <LOCAL | nazwa_serwera> Weryfikacja ASDM ASA# show flash: asa723-k8.bin - IOS asdm-523.bin - ASDM - 19 - ZADANIE.06 Zarządzanie i Monitorowanie Sieci Komputerowych v.2013 Uruchomienie ASDM Sprawozdanie Połączyć się za pomocą HTTP Manager ze Switch. o Czy połączenie powiodło się? …………………… o Czy uwierzytelnienie powiodło się? …………………… o Jaki typ przełącznika jest konfigurowany? …………………… Połączyć się za pomocą SDM z Routerem. o Czy połączenie powiodło się? …………………… o Czy uwierzytelnienie powiodło się? …………………… o Jaka jest całkowita pojemność pamięci flash? …………………… Połączyć się za pomocą ASDM z ASA. o Czy połączenie powiodło się? …………………… o Czy uwierzytelnienie powiodło się? …………………… o Ile czasu urządzenie już pracuje? …………………… - 20 - ZADANIE.06 Zarządzanie i Monitorowanie Sieci Komputerowych v.2013 7. Czynności końcowe Zapisać konfiguracje urządzeń na serwer TFTP. Zgrać konfiguracje na pendrive. - 21 -