Imię Nazwisko ZADANIE.06 Zarządzanie konfiguracją urządzeń (tryb tekstowy i graficzny) dr inż. Łukasz Sturgulewski luk@kis.p.lodz.pl http://luk.kis.p.lodz.pl/ http://tinyurl.com/gngwb4l 1. Zbudować sieć laboratoryjną 2. Czynności wstępne 3. Zarządzanie konfiguracją urządzeń (tryb tekstowy: konsola) 4. Zarządzanie konfiguracją urządzeń (tryb tekstowy: TELNET) 5. Zarządzanie konfiguracją urządzeń (tryb tekstowy: SSH) 6. Zarządzanie konfiguracją urządzeń (tryb graficzny: Cisco HTTP Manager, SDM, ASDM; Juniper Web Device Manager) To Do 7. Czynności końcowe - 1 -
Zadanie 1. Zbudować sieć laboratoryjną Zbudować sieć laboratoryjną zgodnie z przedstawioną poniżej topologią. Topologia sieci laboratoryjnej 79.96.21.160 / 28 OUTSIDE dmz security-level 50 outside security-level 0 212.191.89.128 / 25 subinterfaces, trunk 172.18.0.0 / 16 10.2.0.0 / 16 VLAN Admin sec.lev.95 10.10.0.0 / 16 VLAN Dyrekcja sec.lev.85 10.20.0.0 / 16 VLAN Pracownicy sec.lev.80-2 -
2. Czynności wstępne Usunąć, jeśli istnieją, hasła i konfiguracje urządzeń. Przywrócić konfiguracje urządzeń z poprzedniego zadania (z serwera TFTP albo metodą Crtl+C, Crtl+V albo load override terminal). Sprawdzić za pomocą programu ping działanie interfejsów: o z hosta w sieci inside_admin adres podinterfejsu inside_admin Firewall: o z hosta w sieci inside_dyrekcja adres podinterfejsu inside_dyrekcja Firewall: o z hosta w sieci inside_pracownicy adres podinterfejsu inside_pracownicy Firewall:. o z hosta wewnątrz sieci dmz adres interfejsu dmz Firewall: o z hosta wewnątrz sieci outside adres interfejsu Routera: o z hosta wewnątrz sieci outside adres interfejsu outside Firewall: Zainstalować w strefie dmz, outside i inside_pracownicy po jednym serwerze FTP (np. TYPSoft FTP Server). Utworzyć na każdym serwerze FTP przynajmniej jedno konto z uprawnieniami do dowolnego folderu na dysku. Przeprowadzić testy: o Czy można połączyć się z sieci inside_admin do serwera FTP w dmz? Jeśli tak - z jakiego adresu nastąpiło połączenie? Jeśli nie wyjaśnić dlaczego?. o Czy można połączyć się z sieci inside_pracownicy do serwera FTP w outside? Jeśli tak - z jakiego adresu nastąpiło połączenie? Jeśli nie wyjaśnić dlaczego?. o Czy można połączyć się z sieci inside_dyrekcja do serwera FTP w outside? Jeśli tak - z jakiego adresu nastąpiło połączenie? Jeśli nie wyjaśnić dlaczego?. o Czy można połączyć się ze strefy dmz do serwera FTP w strefie outside? Jeśli tak - z jakiego adresu nastąpiło połączenie? Jeśli nie wyjaśnić dlaczego?. o Czy można połączyć się ze strefy outside do serwera FTP w strefie dmz? Jeśli tak - z jakiego adresu nastąpiło połączenie? Jeśli nie wyjaśnić dlaczego?. - 3 -
Zadanie 3. Zarządzanie konfiguracją urządzeń (tryb tekstowy: konsola) Skonfigurować porty konsolowe urządzeń zgodnie z tabelą (dotyczy wyłącznie hasła): Urządzenie Konfiguracja portu Użytkownik i hasło Bits per second: 9600 Data bits: 8 Parity: None Stop bits: 1 Flow control: None dowolne (hasło ustawione w konfiguracji konsoli) Firewall Bits per second: 9600 Data bits: 8 Parity: None Stop bits: 1 Flow control: None Bits per second: 9600 Data bits: 8 Parity: None Stop bits: 1 Flow control: None dowolne (użytkownik i hasło w lokalnej bazie użytkowników) dowolne (użytkownik i hasło w lokalnej bazie użytkowników) Bits per second: 9600 Data bits: 8 Parity: None Stop bits: 1 Flow control: None Etap pomiąć Materiał pomocniczy Konfigurowanie hasła do portu konsoli Przejście do konfiguracji portu konsolowego: hostname(config)# line console nr_portu_konsoli Uwaga: Ponieważ istnieje tylko jeden port konsolowy, nr portu konsoli = 0. - 4 -
Wymuszenie podania hasła przy dostępie do konsoli, a także wybór skąd będą pobierane dane do uwierzytelnienia (dwie alternatywne wersje): hostname(config-line)# login Hasło będzie zdefiniowane w konfiguracji konsoli za pomocą polecenia: hostname(config-line)# password haslo hostname(config-line)# login local Nazwy użytkowników oraz ich hasła będą zdefiniowane na urządzeniu za pomocą poleceń: hostname(config)# username nazwa password haslo Firewall Wymuszenie podania hasła przy dostępie do konsoli, a także wybór skąd będą pobierane dane do uwierzytelnienia: ASA(config)# aaa authentication serial console [LOCAL nazwa_serwera] Wyjaśnienie pojęć: LOCAL - nazwy użytkowników oraz ich hasła będą zdefiniowane na urządzeniu za pomocą poleceń: ASA(config)# username nazwa password haslo nazwa_serwera - nazwy użytkowników oraz ich hasła będą pobierane z serwera TACACS albo RADIUS (będzie w kolejnych zadaniach). Sprawozdanie Połączyć się za pomocą konsoli ze Switch. o Czy można przejść do trybu konfiguracji? Połączyć się za pomocą konsoli z Routerem. o Czy można przejść do trybu konfiguracji? Połączyć się za pomocą konsoli z Firewall. o Czy można przejść do trybu konfiguracji? - 5 -
Zadanie 4. Zarządzanie konfiguracją urządzeń (tryb tekstowy: TELNET) Skonfigurować dostęp do urządzeń za pomocą protokołu TELNET: Urządzenie Opcje Użytkownik i hasło Session timeout: 60 s dowolne (hasło ustawione w konfiguracji linii vty) Firewall Session timeout: 60 s Session timeout: 60 s Dostęp: wyłącznie z jednego hosta w sieci VLAN Admin Dowolne (użytkownik i hasło w lokalnej bazie użytkowników) dowolne (użytkownik i hasło w lokalnej bazie użytkowników) WYŁĄCZYĆ Materiał pomocniczy Konfigurowanie dostępu poprzez TELNET Przejście do konfiguracji zdalnego dostępu: hostname(config)# line vty nr_linii_vty_1 nr_linii_vty_2 Wybór protokołu zdalnego dostępu: hostname(config-line)# transport input telnet Konfiguracja hasła przy zdalnym dostępie, a także wybór skąd będą pobierane dane do uwierzytelnienia (dwie alternatywne wersje): hostname(config-line)# login Hasło będzie zdefiniowane w konfiguracji linii vty za pomocą polecenia: hostname(config-line)# password haslo - 6 -
hostname(config-line)# login local Nazwy użytkowników oraz ich hasła będą zdefiniowane na urządzeniu za pomocą poleceń: hostname(config)# username nazwa password haslo Czas po jakim sesja TELNET wygaśnie: hostname(config-line)# exec-timeout min sek Wyjaśnienie pojęć: nr_linii_vty_1 początkowy numer linii vty (zdalnego dostępu), która będzie dostępna i chroniona hasłem. nr_linii_vty_2 końcowy numer linii vty (zdalnego dostępu), która będzie dostępna i chroniona hasłem. Uwaga: liczba dostępnych linii zależy od urządzenia i wersji IOS (znakiem zapytania w poleceniu można sprawdzić liczbę dostępnych linii). Firewall Włączenie dostępu poprzez TELNET dla konkretnego hosta albo sieci: ASA(config)# telnet adres_ip maska_sieci nazwa_sieci Wybór miejsca skąd będą pobierane dane do uwierzytelnienia sesji TELNET: ASA(config)# aaa authentication telnet console [LOCAL nazwa_serwera] Czas po jakim sesja TELNET wygaśnie: ASA(config)# telnet timeout czas Wyjaśnienie pojęć: adres_ip adres hosta albo sieci, z której będzie możliwie połączenie z ASA. maska_sieci maska hosta (255.255.255.255) albo sieci, z której będzie możliwie połączenie z ASA. nazwa_sieci - nazwa sieci, z której będzie możliwie połączenie z ASA. nazwa_serwera - nazwy użytkowników oraz ich hasła będą pobierane z serwera TACACS albo RADIUS. LOCAL - nazwy użytkowników oraz ich hasła będą zdefiniowane na urządzeniu za pomocą poleceń ASA(config)# username nazwa password haslo Sprawozdanie Połączyć się za pomocą klienta TELNET ze Switch. o Czy można przejść do trybu konfiguracji? - 7 -
Połączyć się za pomocą klienta TELNET z Routerem. o Czy można przejść do trybu konfiguracji? Połączyć się za pomocą klienta TELNET z Firewall. o Czy można przejść do trybu konfiguracji? 5. Zarządzanie konfiguracją urządzeń (tryb tekstowy: SSH) Zadanie Skonfigurować dostęp do urządzeń za pomocą protokołu SSH zgodnie z tabelą: Urządzenie Opcje Użytkownik i hasło Version: 2 Authentication timeout: 5 s Session timeout: 60 s Retries: 0 dowolne (użytkownik i hasło w lokalnej bazie użytkowników) Firewall Version: 2 Session timeout: 60 s Access: wyłącznie z sieci VLAN Admin dowolne (użytkownik i hasło w lokalnej bazie użytkowników) Version: 2 Session timeout: 60 s Simultaneous connections: 1 Access: wyłącznie z sieci VLAN Admin dowolne (może być użytkownik root z hasłem) WYŁĄCZYĆ Materiał pomocniczy Konfigurowanie dostępu poprzez SSH - 8 -
Do wygenerowania klucza algorytmu RSA konieczne jest skonfigurowanie nazwy urządzenia oraz nazwy domeny, w której to urządzenie pracuje: Router(config)# hostname nazwa_urzadzenia Router(config)# ip domain-name nazwa_domeny Generowanie klucza RSA: Router(config)# crypto key generate rsa Wybór wersji SSH: Router(config)# ip ssh version nr_wersji Konfiguracja czasu wygaśnięcia sesji uwierzytelniania oraz liczby prób logowania: Router(config)# ip ssh time-out czas Router(config)# ip ssh authentication-retries liczba_prób Przejście do konfiguracji zdalnego dostępu: Router(config)# line vty nr_linii_vty_1 nr_linii_vty_2 Wybór protokołu zdalnego dostępu: Router(config-line)# transport input ssh Wybór miejsca skąd będą pobierane dane do uwierzytelnienia: Router(config-line)# login [local tacacs] Czas po jakim sesja SSH wygaśnie: Router(config-line)# exec-timeout min sek Wyjaśnienie pojęć: local - nazwy użytkowników oraz ich hasła będą zdefiniowane na urządzeniu za pomocą poleceń Router(config)# username nazwa password haslo tacacs - nazwy użytkowników oraz ich hasła będą pobierane z serwera TACACS. Weryfikacja konfiguracji Router# show ssh Router# show ip ssh Analiza problemów Router# debug ip ssh - 9 -
Firewall Generowanie klucza RSA: ASA(config)# crypto key generate rsa Konfiguracja danych hosta albo sieci, z której będzie możliwe połączenie z ASA: ASA(config)# ssh adres_ip maska_sieci nazwa_sieci Czas po jakim sesja SSH wygaśnie: ASA(config)# ssh timeout czas Wybór wersji SSH: ASA(config)# ssh version nr_wersji Wybór grupy Diffie-Hellman dla połączeń SSH: ASA(config)# ssh key-exchange group? Wybór mocnych szyfrów i MAC (Message Authentication Code) dla połączeń SSH: ASA(config)# ssh cipher encryption high ASA(config)# ssh cipher integrity high Wybór miejsca skąd będą pobierane dane do uwierzytelnienia: ASA(config)# aaa authentication ssh console [LOCAL nazwa_serwera] Wyjaśnienie pojęć: adres_ip adres hosta albo sieci, z której będzie możliwie połączenie z ASA. maska_sieci maska hosta (255.255.255.255) albo sieci, z której będzie możliwie połączenie z ASA. nazwa_sieci - nazwa sieci, z której będzie możliwie połączenie z ASA. nazwa_serwera - nazwy użytkowników oraz ich hasła będą pobierane z serwera TACACS albo RADIUS. LOCAL - nazwy użytkowników oraz ich hasła będą zdefiniowane na urządzeniu za pomocą poleceń ASA(config)# username nazwa password haslo - 10 -
Włączenie usługi ssh oraz jej konfiguracja: [edit system services] ssh { authentication-order [ method 1 method2... ]; ciphers [ cipher-1 cipher-2 cipher-3... ]; client-alive-count-max number; client-alive-interval seconds; connection-limit limit; fingerprint-hash (md5 sha2-256); hostkey-algorithm <algorithm no-algorithm>; key-exchange algorithm; macs algorithm; max-sessions-per-connection number; no-passwords; no-public-keys; no-tcp-forwarding; protocol-version [v1 v2] ; rate-limit limit; root-login (allow deny deny-password); } Generowanie klucza RSA w shell jako użytkownik root: root@juniper% ssh-keygen -t rsa - 11 -
Sprawozdanie Połączyć się za pomocą klienta SSH ze Switch. o Czy można przejść do konfiguracji urządzenia? Połączyć się za pomocą klienta SSH z Router. o Czy można przejść do konfiguracji urządzenia? Połączyć się za pomocą klienta SSH z Firewall. o Czy można przejść do konfiguracji urządzenia? 6. Zarządzanie konfiguracją urządzeń (tryb graficzny: Cisco HTTP Manager, SDM, ASDM; Juniper Web Device Manager) Zadanie Włączyć możliwość konfiguracji urządzeń poprzez tryb graficzny (przeglądarkę internetową): Urządzenie Parametry konfiguracyjne Serwer: HTTP Uwierzytelnianie: hasło do trybu uprzywilejowanego Serwer: HTTPS Uwierzytelnianie: z lokalnej bazy użytkowników Firewall Serwer: HTTPS Uwierzytelnianie: z lokalnej bazy użytkowników Serwer: HTTPS Uwierzytelnianie: z lokalnej bazy użytkowników - może być użytkownik root Access: wyłącznie z sieci VLAN Admin WYŁĄCZYĆ - 12 -
Materiał pomocniczy HTTP Device Manager Włączenie HTTP Device Manager na Switch: Switch(config)# ip http server Konfiguracja hasła do trybu uprzywilejowanego na najwyższy poziom dostępu (standardowa konfiguracja hasła bez słowa level także powinna być na poziomie 15): Switch(config)# enable secret level 15 haslo Wybór metody uwierzytelniania przy połączeniu z HTTP Device Manager: Switch(config)# ip http authentication [local enable] Wyjaśnienie pojęć: local - nazwy użytkowników oraz ich hasła będą zdefiniowane na urządzeniu za pomocą poleceń Switch(config)# username nazwa password haslo enable do uwierzytelnienia będzie wykorzystane hasło do trybu uprzywilejowanego. Połączenie z HTTP Manager (podanie protokołu i adresu IP w przeglądarce internetowej): - 13 -
SDM (Security Device Manager) Wymagania SDM Router: Urządzenie Cisco 2610XM, 2611XM, 2620XM, 2621XM, 2650XM, 2651XM, 2691 Cisco 2801, 2811, 2821,2851 Wersja IOS 12.2(11)T6 or later 12.3(2)T or later 12.3(1)M or later 12.3(4)XD 12.2(15)ZJ3 12.3(8)T4 or later Stacja zarządzająca: o Procesor Pentium III o Windows XP, 2003 Server, 2000 Professional (Service Pack 4), ME, 98 (second edition), NT 4.0 Workstation (Service Pack 4) o Internet Explorer 5.5 lub Netscape version 7.1 o Sun Java Runtime Environment (JRE) 1.4.2_05 lub Java Virtual Machine (JVM) 5.0.0.3810. Konfiguracja SDM Router# configure terminal Włączenie serwera HTTP na Routerze: Router(config)# ip http server Włączenie serwera HTTPS na Routerze: Router(config)# ip http secure-server Wybór metody uwierzytelniania przy połączeniu z SDM: Router(config)# ip http authentication [local enable] Jeśli wybrano bazę lokalną musi być w niej zdefiniowany użytkownik o najwyższym poziomie uprzywilejowania (15): Router(config)# username nazwa_użytkownika privilege 15 password haslo Przejście do konfiguracji zdalnego dostępu: Router(config)# line vty nr_linii_vty_1 nr_linii_vty_2 Ustawienie zdalnego dostępu na najwyższym poziomie uprzywilejowania (15): Router(config-line)# privilege level 15 Wybór miejsca skąd będą pobierane dane do uwierzytelnienia: Router(config-line)# login [local tacacs] Wybór protokołu zdalnego dostępu: Router(config-line)# transport input ssh - 14 -
Instalacja SDM - 15 -
Weryfikacja SDM Sprawdzenie czy w pamięci flash zostały zapisane pliki z SDM: Router# show flash: System flash directory: File Length Name/status 1 5148536 c831-k9o3y6-mz.122-13.zh1.bin 2 14617 sdm.shtml 3 669 sdmconfig-83x.cfg 4 2290688 sdm.tar 5 14617 sdm.shtml.hide 6 1446 home.html 7 214016 home.tar 8 1446 home.html.hide [7686035 bytes used, 17434224 available, 24903680 total] 24576K bytes of processor board System flash (Read/Write) Połączenie z SDM Połączenie z SDM (podanie protokołu i adresu IP w przeglądarce internetowej): - 16 -
ASDM (Adaptive Security Device Manager) Firewall Zasada działania ASDM Wymagania ASDM Przeglądarka obsługująca SSL. Wyłączenie blokowania wyskakujących okienek. - 17 -
Konfiguracja ASDM Włączenie serwera HTTPS (z ASDM): ASA(config)# http server enable IP hosta, maska sieci i nazwa interfejsu, z którego będzie możliwy dostęp do ASDM: ASA(config)# http adres_ip maska_sieci nazwa_interfejsu Nazwa ASA i nazwa domeny, w której się znajduje: ASA(config)# hostname nazwa_urzadzenia ASA(config)# domain-name nazwa_domeny Wybór miejsca, z którego będą pobierane dane do uwierzytelniania: ASA(config)# aaa authentication http console [LOCAL nazwa_serwera] Weryfikacja ASDM ASA# show flash: asa723-k8.bin - IOS asdm-523.bin - ASDM Uruchomienie ASDM - 18 -
[edit system services] web-management { http { interfaces interface-names ; port port; } https { interfaces interface-names; local-certificate name; pki-local-certificate name; system-generated-certificate name; port port; } management url management url; session { idle-timout minutes; session-limit number; } traceoptions { file { filename; files number; match regular-expression; size maximum-file-size; (no-world-readable world-readable); } flag flag; level level; no-remote-trace; } } - 19 -
Sprawozdanie Połączyć się za pomocą HTTP ze Switch. o Jaki typ przełącznika jest konfigurowany? Połączyć się za pomocą HTTP z Router. o Jaka jest całkowita pojemność pamięci flash? Połączyć się za pomocą HTTP z Firewall. o Ile czasu urządzenie już pracuje? Połączyć się za pomocą HTTPS ze Switch. o Jaki typ przełącznika jest konfigurowany? Połączyć się za pomocą HTTPS z Router. o Jaka jest całkowita pojemność pamięci flash? Połączyć się za pomocą HTTPS z Firewall. o Ile czasu urządzenie już pracuje? 7. Czynności końcowe Zapisać konfiguracje urządzeń na serwer TFTP/FTP. Zgrać konfiguracje na pendrive. - 20 -