Úvod PS cvicenia (OK) PS (OK) – Cvičenie 2: Základná konfigurácia zariadení a bezpečnosť

    PS (OK) – Cvičenie 2: Základná konfigurácia zariadení a bezpečnosť

    1245
    0

    Topológiu si prv vyskúšajte zadať v Cisco Packet Tracer (Cisco PT), bez konfigurácie. Následne zapojte sieťové zariadenia podľa vyššie uvedenej logickej topológie.

    Na pripomenutie:

    Prechod z user-exec do privileged-exec módu:

    > en (enable)

    Prechod z priviledged-exec do global-config modu:

    # conf t (configure terminal)

    Otázka 1: Je zariadenie v predvolenom nastavení? Ako je to možné overiť?

    Príkazy na zobrazenia stavu zariadenia:

    # sh runn (show running-config)
    (config)# do sh runn

    Príkaz na zobrazenia stavu rozhraní:

    # sh ip int br (show ip interface brief)
    (config)# do sh ip int br

    1. Nastavenie mena zariadenia

    Meno smerovača, podľa vyššie uvedenej topológie, bude R1.

    (config)# hostname [nazovZariadenia]

    2. Konfigurácia zabezpečenia

    Používané heslo bude cnl12345 a cnl123456 (vid. 2.3).

    2.1. Konfigurácia nekryptovaného hesla do privilegovaného módu:
    (config)# enable password [heslo]

    Po konfigurácii overte funkčnosť hesla (exit do user-exec) a zobrazte bežiacu konfiguráciu.

    Otázka 2: Je konfigurované heslo čitateľné? Prečo?

     

    2.2. Automatické kryptovanie hesiel:

    Zabezpečte, aby všetky zadané heslá boli automaticky kryptované do nečitateľnej formy.

    (config)# service password-encryption

    Opakujte príkaz pre zobrazenie bežiacej konfigurácie.

    Otázka 3: Je konfigurované heslo čitateľné? Prečo?

     

    2.3. Konfig. kryptovaného hesla do privileg. módu:
    (config)# enable secret [heslo]

    Otázka 4: Ako je v bežiacej konfigurácii heslo zapísané? Aké heslo IOS preferuje?

     

    2.4. Nastavenie hesla do konzoly:
    (config)# line console 0
    (config-line)# password [heslo]
    (config-line)# login

    Po konfigurácii overte funkčnosť hesla (exit do konzoly).

    Otázka 5: Zistite kde sa v bežiacej konfigurácii nachádza nastavenie hesla do konzoly.

     

    2.5. Upozornenie pre používateľov:

    Zabezpečte, aby bol neznámy používateľ upovedomený o zákaze prístupu na zariadenie s textom „Pristup na toto zariadenie je zakazany“. V nižšie uvedenom príkaze nahraďte text.

    (config)# banner motd *text*

    Overte zobrazenie varovania (exit do konzoly).

     

    2.6 Nastavenie min. dĺžky hesla:

    Nastavte minimálnu dĺžku hesla na 6 znakov, overte funkčnosť zadaním ľubovoľného hesla o dĺžke menšej ako 6 znakov.

    (config)# security passwords min-length [cislo]

     

    2.7 Príklad nastavenia času
    >enable
    #clock set 10:00:00 12 Feb 2018
    #show clock

    3. Konfigurácia IPv4 adresy na rozhraní smerovača

    IPv4 adresa je uvedená pri Fa0/0 rozhraní, zadajte ju pri konfigurácii, maska podsiete bude  255.255.255.0 Rozhrania na smerovači sú v predvolenom stave vypnuté.

    (config)# int [rozhranie] (interface)
    (config-if)# ip add [ipAdresa, maskaPodsiete] (ip address)
    (config-if)# no shut (no shutdown)

    Otázka 6: Čo by sa stalo ak odpojíte konzolový kábel?


    4. Konfig. vzdialeného nezabezpeč. (Telnet) pripojenia

    Vzdialené pripojenie podstatné pre konfiguráciu zariadenia na diaľku. Domáce smerovače majú vzdialené pripojenie predkonfigurované. Heslo je z 2. úlohy.

    (config)# line vty 0 15
    (config-line)# password [heslo]
    (config-line)# login

    Otázka 7: Čo predstavuje časť príkazu 0 15?


    5. Nastavenie statickej IPv4 adresy na PC

    Nastavte IPv4 adresu na PC podľa logickej topológie.

    Po tlačení „OK“ zatvorte vlastnosti rozhrania na PC. PC nedajte reštartovať! Otestujte Telnet komunikáciu a odchyťte ju cez program Wireshark.

    Otázka 8: Čo je predvolená brána?


    6. Konfig. vzdialeného zabezpeč. (SSH) pripojenia

    Vzdialené pripojenie používajúce Telnet protokol je nezabezpečené. SSH je protokol, ktorý umožňuje zabezpečené vzdialené pripojenie. Konfigurácia SSH predpokladá niekoľko krokov (prerekvizít).

    6.1. Autentifikácia používateľa:

    Príkazy nižšie vytvoria používateľa s menom cnl a heslom cnl12345.

    (config)# username [pouzivat.Meno] secret [heslo]

    Autentifikáciu používateľa (meno a heslo) vieme aplikovať aj do konzoly:

    (config)# line console 0
    (config-line)# login local

    Otestujte fungovanie mena a hesla pre prístup do konzoly. (Pozn. posledné dve príkazy sú len ukážkou fungovania a nesúvisia priamo s SSH).

    6.2. Nastavenie doménového mena

    SSH vyžaduje nastavenie tohto parametru. Zadajte www.cnl.sk

    (config)# ip domain-name [menoDomeny]

     

    6.3. Generovanie kľúčov pre šifrovanie

    Generovanie kľúčov je nevyhnutným predpokladom pre funkčnosť SSH. Dĺžku kľúča nastavte na 2048.

    (config)# crypto key generate rsa

     

    6.4. SSH pre vzdialené pripojenie:
    (config)# line vty 0 4
    (config-line)# login local
    (config-line)# transport input ssh

    Otázka 9: Čo predstavuje časť príkazu 0 4?


    7. Overenie konfigurácie

    Na PC spustite PuTTY a vyberte SSH pripojenie, ako IP adresu zadajte bránu siete. V prípade korektného pripojenia odpojte konzolový kábel.

    Otázka 10: Prečo pripojenie na smerovač stále funguje? Čo to zabezpečuje? Čo by sa stalo ak smerovač vypneme?


    8. Uloženie konfigurácie

    Pre uloženie konfigurácie existuje viac možností, použite ?

    # copy [moznosti]

    Otázka 11: Kde všade je možné konfiguráciu uložiť?


    9. Vymazanie konfigurácie

    Zariadenia sa používajú pre výučbu, po skončení práce vymažeme konfiguráciu a zariadenie reštartujeme.

    # write erase
    # reload

    10. Doplnové príkazy:

    Otravné hlášky v Cisco IOS, napr. v priviledged-exec mode zadáme chybný príkaz vypíše:

    # Translating...

    Na to, aby sme tomu zabránili zadáme príkaz:

    (config)# no ip domain-lookup

    Iný prípad je, ak píšeme príkazy a zrazu sa niečo zmení, IOS nás o tom informuje, ale často ide o redundantnú informáciu. To, aby nám nerozhadzovalo príkazy pri písaní zabezpečím cez príkaz:

    R1(config)# line console 0
    R1(config-line)# logging synchronous

    Pozor: Káble odložte na stojan. Pri konfigurácii nezabudnite používať klávesu TAB a otáznik pre zjednodušenie práce.

    Po skončení cvičenia je potrebné zariadenia vypnúť! Smerovače zozadu a v prípade použitia prepínača cez predlžovacie napájanie.


    11. Ping a traceroute

    • ping urobí kontrolu konektivity na tretej vrstve s cieľovým zariadením s IP adresou w.x.y.z
    • traceroute vypíše cestu (zoznam smerovačov) k cieľovému zariadeniu s IP adresou w.x.y.z
    R1#ping w.x.y.z
    R1#traceroute w.x.y.z

    Poznámka: všetky príkazy privilegovaného módu vieme zadať aj z globálneho konfiguračného alebo vyšších módov pridaním kľúčového slova do pred príkaz.


    12. Príkazy zadávane v CMD na PC

    12.1. Zobrazenie sieťových nastavení:
    C:\>ipconfig
    C:\>ipconfig /all
    12.2. Testovanie konektivity:
    C:\>ping w.x.y.z
    C:\>tracert w.x.y.z