Imię Nazwisko ZADANIE.06 Zarządzanie konfiguracją urządzeń (tryb tekstowy i graficzny) 2,5h 1. Zbudować sieć laboratoryjną 2. Czynności wstępne 3. Zarządzanie konfiguracją urządzeń (tryb tekstowy: konsola) 4. Zarządzanie konfiguracją urządzeń (tryb tekstowy: TELNET) 5. Zarządzanie konfiguracją urządzeń (tryb tekstowy: SSH) 6. Zarządzanie konfiguracją urządzeń (tryb graficzny: HTTP Manager, SDM, ASDM) 7. Czynności końcowe - 1 -
1. Zbudować sieć laboratoryjną Zadanie Zbudować sieć laboratoryjną zgodnie z przedstawioną poniżej topologią. Topologia sieci laboratoryjnej 79.96.21.160 / 28 OUTSIDE dmz security-level 50 outside security-level 0 212.191.89.128 / 25 subinterfaces, trunk 172.18.0.0 / 16 10.2.0.0 / 16 VLAN Admin sec.lev.95 10.10.0.0 / 16 VLAN Dyrekcja sec.lev.85 10.20.0.0 / 16 VLAN Pracownicy sec.lev.80-2 -
2. Czynności wstępne Usunąć, jeśli istnieją, hasła i konfiguracje urządzeń. Przywrócić konfiguracje urządzeń z poprzedniego zadania (z serwera TFTP albo metodą Crtl+C, Crtl+V ). Sprawdzić za pomocą programu ping działanie interfejsów: o z hosta w sieci inside_admin adres podinterfejsu inside_admin ASA: o z hosta w sieci inside_dyrekcja adres podinterfejsu inside_dyrekcja ASA: o z hosta w sieci inside_pracownicy adres podinterfejsu inside_pracownicy ASA: o z hosta wewnątrz sieci dmz adres interfejsu dmz ASA: o z hosta wewnątrz sieci outside adres interfejsu Routera: o z hosta wewnątrz sieci outside adres interfejsu outside ASA: Zainstalować w strefie dmz, outside i inside_pracownicy po jednym serwerze FTP (np. TYPSoft FTP Server). Utworzyć na każdym serwerze FTP przynajmniej jedno konto z uprawnieniami do dowolnego folderu na dysku. Przeprowadzić testy: o Czy można połączyć się z sieci inside_admin do serwera FTP w dmz? Jeśli tak - z jakiego adresu nastąpiło połączenie? Jeśli nie wyjaśnić dlaczego?. o Czy można połączyć się z sieci inside_pracownicy do serwera FTP w outside? Jeśli tak - z jakiego adresu nastąpiło połączenie? Jeśli nie wyjaśnić dlaczego?. o Czy można połączyć się z sieci inside_dyrekcja do serwera FTP w outside? Jeśli tak - z jakiego adresu nastąpiło połączenie? Jeśli nie wyjaśnić dlaczego?. o Czy można połączyć się ze strefy dmz do serwera FTP w strefie outside? Jeśli tak - z jakiego adresu nastąpiło połączenie? Jeśli nie wyjaśnić dlaczego?. o Czy można połączyć się ze strefy outside do serwera FTP w strefie dmz? Jeśli tak - z jakiego adresu nastąpiło połączenie? Jeśli nie wyjaśnić dlaczego?. - 3 -
3. Zarządzanie konfiguracją urządzeń (tryb tekstowy: konsola) Zadanie Skonfigurować porty konsolowe urządzeń zgodnie z tabelą (dotyczy wyłącznie hasła): Urządzenie Konfiguracja portu Użytkownik i hasło Bits per second: 9600 Data bits: 8 Parity: None Stop bits: 1 Flow control: None Bits per second: 9600 Data bits: 8 Parity: None Stop bits: 1 Flow control: None Bits per second: 9600 Data bits: 8 Parity: None Stop bits: 1 Flow control: None dowolne (hasło ustawione w konfiguracji konsoli) dowolne (użytkownik i hasło w lokalnej bazie użytkowników) dowolne (użytkownik i hasło w lokalnej bazie użytkowników) Materiał pomocniczy Konfigurowanie hasła do portu konsoli Przejście do konfiguracji portu konsolowego: hostname(config)# line console <nr portu konsoli> Uwaga: Ponieważ istnieje tylko jeden port konsolowy, nr portu konsoli = 0. - 4 -
Wymuszenie podania hasła przy dostępie do konsoli, a także wybór skąd będą pobierane dane do uwierzytelnienia (dwie alternatywne wersje): hostname(config-line)# login Hasło będzie zdefiniowane w konfiguracji konsoli za pomocą polecenia: hostname(config-line)# password <hasło> hostname(config-line)# login local Nazwy użytkowników oraz ich hasła będą zdefiniowane na urządzeniu za pomocą poleceń: hostname(config)# username <nazwa> password <hasło> Wymuszenie podania hasła przy dostępie do konsoli, a także wybór skąd będą pobierane dane do uwierzytelnienia: ASA(config)# aaa authentication serial console <LOCAL nazwa_serwera> Wyjaśnienie pojęć: LOCAL - nazwy użytkowników oraz ich hasła będą zdefiniowane na urządzeniu za pomocą poleceń: ASA(config)# username <nazwa> password <hasło> nazwa_serwera - nazwy użytkowników oraz ich hasła będą pobierane z serwera TACACS albo RADIUS (będzie w kolejnych zadaniach). Sprawozdanie Połączyć się za pomocą konsoli ze Switch. o Czy połączenie powiodło się? o Czy uwierzytelnienie powiodło się? o Czy można przejść do trybu uprzywilejowanego #? - 5 -
Połączyć się za pomocą konsoli z Routerem. o Czy połączenie powiodło się? o Czy uwierzytelnienie powiodło się? o Czy można przejść do trybu uprzywilejowanego #? Połączyć się za pomocą konsoli z ASA. o Czy połączenie powiodło się? o Czy uwierzytelnienie powiodło się? o Czy można przejść do trybu uprzywilejowanego #? 4. Zarządzanie konfiguracją urządzeń (tryb tekstowy: TELNET) Zadanie Skonfigurować dostęp do urządzeń za pomocą protokołu TELNET: Urządzenie Opcje Użytkownik i hasło Session timeout: 60 sekund Session timeout: 60 sekund dowolne (hasło ustawione w konfiguracji linii vty) Dowolne (użytkownik i hasło w lokalnej bazie użytkowników) Session timeout: 60 sekund Dostęp: wyłącznie z jednego hosta w sieci VLAN Admin dowolne (użytkownik i hasło w lokalnej bazie użytkowników) Materiał pomocniczy Konfigurowanie dostępu poprzez TELNET - 6 -
Przejście do konfiguracji zdalnego dostępu: hostname(config)# line vty <nr_linii_vty_1> <nr_linii_vty_2> Wybór protokołu zdalnego dostępu: hostname(config-line)# transport input telnet Konfiguracja hasła przy zdalnym dostępie, a także wybór skąd będą pobierane dane do uwierzytelnienia (dwie alternatywne wersje): hostname(config-line)# login Hasło będzie zdefiniowane w konfiguracji linii vty za pomocą polecenia: hostname(config-line)# password <hasło> hostname(config-line)# login local Nazwy użytkowników oraz ich hasła będą zdefiniowane na urządzeniu za pomocą poleceń: hostname(config)# username <nazwa> password <hasło> Czas po jakim sesja TELNET wygaśnie: hostname(config-line)# exec-timeout <czas> <czas> Wyjaśnienie pojęć: nr_linii_vty_1 początkowy numer linii vty (zdalnego dostępu), która będzie dostępna i chroniona hasłem. nr_linii_vty_2 końcowy numer linii vty (zdalnego dostępu), która będzie dostępna i chroniona hasłem. Uwaga: liczba dostępnych linii zależy od urządzenia i wersji IOS (znakiem zapytania w poleceniu można sprawdzić liczbę dostępnych linii). Włączenie dostępu poprzez TELNET dla konkretnego hosta albo sieci: - 7 -
ASA(config)# telnet <adres_ip> <maska_sieci> <nazwa_sieci> Wybór miejsca skąd będą pobierane dane do uwierzytelnienia sesji TELNET: ASA(config)# aaa authentication telnet console <LOCAL nazwa_serwera> Czas po jakim sesja TELNET wygaśnie: ASA(config)# telnet timeout <czas> Wyjaśnienie pojęć: adres_ip adres hosta albo sieci, z której będzie możliwie połączenie z ASA. maska_sieci maska hosta (255.255.255.255) albo sieci, z której będzie możliwie połączenie z ASA. nazwa_sieci - nazwa sieci, z której będzie możliwie połączenie z ASA. nazwa_serwera - nazwy użytkowników oraz ich hasła będą pobierane z serwera TACACS albo RADIUS. LOCAL - nazwy użytkowników oraz ich hasła będą zdefiniowane na urządzeniu za pomocą poleceń ASA(config)# username <nazwa> password <hasło> Sprawozdanie Połączyć się za pomocą klienta TELNET ze Switch. o Czy połączenie powiodło się? o Czy uwierzytelnienie powiodło się? o Czy można przejść do trybu uprzywilejowanego #? Połączyć się za pomocą klienta TELNET z Routerem. o Czy połączenie powiodło się? o Czy uwierzytelnienie powiodło się? o Czy można przejść do trybu uprzywilejowanego #? Połączyć się za pomocą klienta TELNET z ASA. o Czy połączenie powiodło się? o Czy uwierzytelnienie powiodło się? o Czy można przejść do trybu uprzywilejowanego #? - 8 -
5. Zarządzanie konfiguracją urządzeń (tryb tekstowy: SSH) Zadanie Wyłączyć / zabronić dostępu poprzez TELNET na Routerze. Wyłączyć / zabronić dostępu poprzez TELNET na ASA. Skonfigurować dostęp do urządzeń za pomocą protokołu SSH zgodnie z tabelą: Urządzenie Opcje Użytkownik i hasło Version: 2 Authentication timeout: 5sekund Session timeout: 60 sekund Retries: 0 Version: 1 Session timeout: 60 sekund Access: wyłącznie z jednego hosta w sieci VLAN Admin dowolne (użytkownik i hasło w lokalnej bazie użytkowników) dowolne (użytkownik i hasło w lokalnej bazie użytkowników) Materiał pomocniczy Konfigurowanie dostępu poprzez SSH Do wygenerowania klucza algorytmu RSA konieczne jest skonfigurowanie nazwy urządzenia oraz nazwy domeny, w której to urządzenie pracuje: Router(config)# hostname <nazwa_urzadzenia> Router(config)# ip domain-name <nazwa_domeny> Generowanie klucza RSA: Router(config)# crypto key generate rsa - 9 -
Wybór wersji SSH: Router(config)# ip ssh version <nr_wersji> Konfiguracja czasu wygaśnięcia sesji uwierzytelniania oraz liczby prób logowania: Router(config)# ip ssh time-out <czas> Router(config)# ip ssh authentication-retries <liczba_prób> Przejście do konfiguracji zdalnego dostępu: Router(config)# line vty <nr_linii_vty_1> <nr_linii_vty_2> Wybór protokołu zdalnego dostępu: Router(config-line)# transport input ssh Wybór miejsca skąd będą pobierane dane do uwierzytelnienia: Router(config-line)# login <local tacacs> Czas po jakim sesja SSH wygaśnie: Router(config-line)# exec-timeout <czas> <czas> Wyjaśnienie pojęć: local - nazwy użytkowników oraz ich hasła będą zdefiniowane na urządzeniu za pomocą poleceń Router(config)# username <nazwa> password <hasło> tacacs - nazwy użytkowników oraz ich hasła będą pobierane z serwera TACACS. Weryfikacja konfiguracji Router# show ssh Router# show ip ssh Analiza problemów Router# debug ip ssh - 10 -
Generowanie klucza RSA: ASA(config)# crypto key generate rsa Konfiguracja danych hosta albo sieci, z której będzie możliwe połączenie z ASA: ASA(config)# ssh <adres_ip> <maska_sieci> <nazwa_sieci> Czas po jakim sesja SSH wygaśnie: ASA(config)# ssh timeout <czas> Wybór wersji SSH: ASA(config)# ssh version <nr_wersji> Wybór miejsca skąd będą pobierane dane do uwierzytelnienia: ASA(config)# aaa authentication ssh console <LOCAL nazwa_serwera> Wyjaśnienie pojęć: adres_ip adres hosta albo sieci, z której będzie możliwie połączenie z ASA. maska_sieci maska hosta (255.255.255.255) albo sieci, z której będzie możliwie połączenie z ASA. nazwa_sieci - nazwa sieci, z której będzie możliwie połączenie z ASA. nazwa_serwera - nazwy użytkowników oraz ich hasła będą pobierane z serwera TACACS albo RADIUS. LOCAL - nazwy użytkowników oraz ich hasła będą zdefiniowane na urządzeniu za pomocą poleceń ASA(config)# username <nazwa> password <hasło> - 11 -
Sprawozdanie Połączyć się za pomocą klienta SSH z Routerem. o Czy połączenie powiodło się? o Czy uwierzytelnienie powiodło się? o Czy można przejść do trybu uprzywilejowanego #? Połączyć się za pomocą klienta SSH z ASA. o Czy połączenie powiodło się? o Czy uwierzytelnienie powiodło się? o Czy można przejść do trybu uprzywilejowanego #? [edit system services] ssh { ciphers [ cipher-1 cipher-2 cipher-3...] client-alive-count-max number; client-alive-interval seconds; connection-limit limit; hostkey-algorithm <algorithm no-algorithm>; key-exchange algorithm; macs algorithm; max-sessions-per-connection number; no-passwords; no-tcp-forwarding; protocol-version [v1 v2] ; rate-limit limit; root-login <allow deny deny-password>; } - 12 -
6. Zarządzanie konfiguracją urządzeń (tryb graficzny: HTTP Manager, SDM, ASDM) Zadanie Włączyć możliwość konfiguracji urządzeń poprzez tryb graficzny (przeglądarkę internetową): Urządzenie Parametry konfiguracyjne Serwer: HTTP Uwierzytelnianie: hasło do trybu uprzywilejowanego Serwer: HTTPS Uwierzytelnianie: z lokalnej bazy użytkowników Serwer: HTTPS Uwierzytelnianie: z lokalnej bazy użytkowników Materiał pomocniczy HTTP Device Manager - 13 -
Włączenie HTTP Device Manager na Switch: Switch(config)# ip http server Konfiguracja hasła do trybu uprzywilejowanego na najwyższy poziom dostępu (standardowa konfiguracja hasła bez słowa level także powinna być na poziomie 15): Switch(config)# enable secret level 15 <hasło> Wybór metody uwierzytelniania przy połączeniu z HTTP Device Manager: Switch(config)# ip http authentication <local enable> Wyjaśnienie pojęć: local - nazwy użytkowników oraz ich hasła będą zdefiniowane na urządzeniu za pomocą poleceń Switch(config)# username <nazwa> password <hasło> enable do uwierzytelnienia będzie wykorzystane hasło do trybu uprzywilejowanego. Połączenie z HTTP Manager (podanie protokołu i adresu IP w przeglądarce internetowej): - 14 -
SDM (Security Device Manager) Wymagania SDM Router: Urządzenie Cisco 2610XM, 2611XM, 2620XM, 2621XM, 2650XM, 2651XM, 2691 Cisco 2801, 2811, 2821,2851 Wersja IOS 12.2(11)T6 or later 12.3(2)T or later 12.3(1)M or later 12.3(4)XD 12.2(15)ZJ3 12.3(8)T4 or later Stacja zarządzająca: - 15 -
o Procesor Pentium III o Windows XP, 2003 Server, 2000 Professional (Service Pack 4), ME, 98 (second edition), NT 4.0 Workstation (Service Pack 4) o Internet Explorer 5.5 lub Netscape version 7.1 o Sun Java Runtime Environment (JRE) 1.4.2_05 lub Java Virtual Machine (JVM) 5.0.0.3810. Konfiguracja SDM Router# configure terminal Włączenie serwera HTTP na Routerze: Router(config)# ip http server Włączenie serwera HTTPS na Routerze: Router(config)# ip http secure-server Wybór metody uwierzytelniania przy połączeniu z SDM: Router(config)# ip http authentication <local enable> Jeśli wybrano bazę lokalną musi być w niej zdefiniowany użytkownik o najwyższym poziomie uprzywilejowania (15): Router(config)# username <nazwa_użytkownika> privilege 15 password <hasło> Przejście do konfiguracji zdalnego dostępu: Router(config)# line vty <nr_linii_vty_1> <nr_linii_vty_2> Ustawienie zdalnego dostępu na najwyższym poziom uprzywilejowania (15): Router(config-line)# privilege level 15 Wybór miejsca skąd będą pobierane dane do uwierzytelnienia: Router(config-line)# login <local tacacs> Wybór protokołu zdalnego dostępu: - 16 -
Router(config-line)# transport input ssh Instalacja SDM - 17 -
Weryfikacja SDM Sprawdzenie czy w pamięci flash zostały zapisane pliki z SDM: Router# show flash: System flash directory: File Length Name/status 1 5148536 c831-k9o3y6-mz.122-13.zh1.bin 2 14617 sdm.shtml 3 669 sdmconfig-83x.cfg 4 2290688 sdm.tar 5 14617 sdm.shtml.hide 6 1446 home.html 7 214016 home.tar 8 1446 home.html.hide [7686035 bytes used, 17434224 available, 24903680 total] 24576K bytes of processor board System flash (Read/Write) Połączenie z SDM Połączenie z SDM (podanie protokołu i adresu IP w przeglądarce internetowej): - 18 -
ASDM (Adaptive Security Device Manager) Zasada działania ASDM Wymagania ASDM Przeglądarka obsługująca SSL. Wyłączone blokowanie wyskakujących okienek. - 19 -
Konfiguracja ASDM Włączenie serwera HTTPS (z ASDM): ASA(config)# http server enable IP hosta, maska sieci i nazwa interfejsu, z którego będzie możliwy dostęp do ASDM: ASA(config)# http <adres_ip> <maska_sieci> <nazwa_interfejsu> Nazwa ASA i nazwa domeny, w której się znajduje: ASA(config)# hostname <nazwa_urzadzenia> ASA(config)# domain-name <nazwa_domeny> Wybór miejsca, z którego będą pobierane dane do uwierzytelniania: ASA(config)# aaa authentication http console <LOCAL nazwa_serwera> Weryfikacja ASDM ASA# show flash: asa723-k8.bin - IOS asdm-523.bin - ASDM - 20 -
Uruchomienie ASDM set security zones security-zone untrust interfaces ge-0/0/0.0 host inbound-traffic http set security zones security-zone untrust interfaces ge-0/0/0.0 host-inbound-traffic https set system services web-management http interface ge-0/0/0.0 set system services web-management https interface ge-0/0/0.0-21 -
Sprawozdanie Połączyć się za pomocą HTTP Manager ze Switch. o Czy połączenie powiodło się? o Czy uwierzytelnienie powiodło się? o Jaki typ przełącznika jest konfigurowany? Połączyć się za pomocą SDM z Routerem. o Czy połączenie powiodło się? o Czy uwierzytelnienie powiodło się? o Jaka jest całkowita pojemność pamięci flash? Połączyć się za pomocą ASDM z ASA. o Czy połączenie powiodło się? o Czy uwierzytelnienie powiodło się? o Ile czasu urządzenie już pracuje? 7. Czynności końcowe Zapisać konfiguracje urządzeń na serwer TFTP. Zgrać konfiguracje na pendrive. - 22 -