Add to collection(s) Add to saved
  1. Engineering
  2. Informatica
  3. Computernetwerk

R1(config-view)

advertisement 
CASE STUDY NETWORK SECURITY
Ilka Winnen
Ilka winnen
3TI
Netwerk Security
Inhoudsopgave
Scenario ................................................................................................................................................... 3
1.
Topologie ......................................................................................................................................... 4
2.
IP-adres tabel................................................................................................................................... 4
Deel 1: Basis configuratie ........................................................................................................................ 5
Stap 1: Alle apparaten op een correcte manier met elkaar verbinden. .............................................. 5
Stap 2: Basis configuratie voor elke router. ........................................................................................ 5
Stap 3: Pc’s configureren ..................................................................................................................... 5
Deel 2: Control Administratieve Access voor Routers ............................................................................ 6
Deel 2.1: Configuratie en encryptie paswoorden op routers R1 en R3 .............................................. 6
Stap 1: Configureer een minimum wachtwoordlengte voor alle router wachtwoorden. .............. 6
Stap 2: Configureer het enable secret wachtwoord. ...................................................................... 6
Stap 3: Configureer basic console, auxiliary port, en virtual access lines. ...................................... 6
Stap 4: Encryptie van clear text wachtwoorden. ............................................................................ 6
Deel 2.2: Configureer een Login waarschuwingsbanner op routers R1 en R3 .................................... 7
Stap 1: Configureer een waarschuwingsbericht voor het aanmelden. ........................................... 7
Deel 2.3: Configureer verbeterde gebruikersnaam wachtwoord beveiliging op Routers R1 en R3. .. 7
Stap 1: Nieuw gebruikersaccount aanmaken doormiddel van het ‘username’ commando........... 7
Stap 2: Nieuwe gebruiker aanmaken met een secret wachtwoord. ............................................... 7
Deel 2.4: Configureer een verbeterd virtuele login security op Routers R1 en R3 ............................. 8
Stap 1: Configureer de router om hem te beschermen tegen login attacks................................... 8
Step 2: Configureer de router om een log van loginactiviteiten te verkrijgen. .............................. 8
Deel 2.5: Configureer de SSH server op router R1 en R3 door gebruikt te maken van het CLI .......... 9
Stap 1: Configureer een domeinnaam. ........................................................................................... 9
Stap 2: Configureer een voorkeur gebruiker om aan te melden vanaf de SSH client. .................... 9
Stap 3: Configureer de binnenkomende vty lines. .......................................................................... 9
Stap 4: Verwijder bestaande key pairs op de router....................................................................... 9
Stap 5: Genereer de RSA encryptie key pair voor de router. .......................................................... 9
Stap 6: Verifieer de SSH configuratie. ............................................................................................. 9
Stap 7: Configureer SSH time-outs en authenticatie parameters. ................................................ 10
Stap 8: Wijzigingen opslaan........................................................................................................... 10
Deel 3: configureer administratieve rollen ........................................................................................... 10
Deel 3.1: Activeer root view op R1 en R3 .......................................................................................... 10
Stap 1: Activeer AAA op router R1. ............................................................................................... 10
Stap 2: Activeer de root view. ....................................................................................................... 10
Deel 3.2: Maak nieuwe views voor Admin1, Admin2, en Tech Roles op R1 en R3 ........................... 10
Ilka winnen
3TI
Netwerk Security
Stap 1: Maak het admin1 view, maak een wachtwoord en ken bevoegdheden toe. ................... 10
Stap 2: Maak het admin2 view, maak een wachtwoord en ken bevoegdheden toe. ................... 11
Step 3: Maak het tech view, maak een wachtwoord en ken bevoegdheden toe. ........................ 12
Deel 4: Configureer IOS Resilience and Management Reporting ......................................................... 13
Deel 4.1: Secure Cisco IOS Image en configuration files op R1 en R3 ............................................... 13
Stap 1: De files in het flash geheugen van R1 weergeven............................................................. 13
Stap 2: Beveilig het Cisco IOS image en archiveer een kopie even de lopende configuratie. ...... 13
Stap 3: Controleer of de afbeelding en de configuratie zijn beveiligd. ......................................... 14
Stap 4: Geef de bestanden in het flash geheugen van R1 weer.................................................... 14
Stap 5: Schakel de IOS Resilient Configuration feature uit. .......................................................... 14
Stap 6: verifieer of het Cisco IOS image nu zichtbaar is in flash.................................................... 14
Deel 4.2: Configureer een gesynchroniseerde time source doormiddel van NTP ............................ 15
Stap 1: Zet de NTP Master op doormiddel van Cisco IOS commando’s. ....................................... 15
Stap 2: Configureer R1 en R3 als NTP clients doormiddel van het CLI. ......................................... 15
Deel 4.3: Configure syslog Support on R1 and PC-A ......................................................................... 15
Stap 1: Instaleer de syslog server. ................................................................................................. 15
Stap 2: Configureer R1 om log berichte te sturen naar de syslog server doormiddel van het CLI.
....................................................................................................................................................... 15
Deel 5: Configureer geautomatiseerde security features ..................................................................... 16
Deel 5.1: Gebruik het CCP Security Audit Tool op R1 om security risico’s in kaart te brengen ........ 16
Step 1: Verifieer of CCP is geïnstalleerd op de Host PC................................................................. 16
Step 2: Maak een CCP gebruiker en schakel de HTTP secure server in op R1. ............................. 16
Ilka winnen
3TI
Netwerk Security
Scenario
De router is een hoofdrolspeler in het transport van data in en uit het netwerk en tussen apparaten
binnen het netwerk. Het is van uiterst belang om een router te beschermen want het falen van een
router kan er voor zorgen dat delen van het netwerk niet meer bereikbaar zijn. De toegang tot een
router controleren en het maken van rapporten zijn van cruciaal belang bij security.
In deze case zal er een multi-router netwerk gebouwd worden waar de routers en hosts geconfigureerd
zullen moeten worden. Er zullen verschillende CLI en CCP tools gebruikt worden om local en remote
access tot de router te verzekeren, potentiele zwaktes te analyseren en stappen te ondernemen om
deze te "verzachten". er zal tevens een management reporting geactiveerd zijn om veranderingen in
de configuratie van de router te monitoren.
Ilka winnen
3TI
Netwerk Security
1. Topologie
2. IP-adres tabel
Apparaat
Interface
IP-adres
Subnetmask
DG
R1
Fa0/1
S0/0/0 (DCE)
S0/0/0
S0/0/1 (DCE)
Fa0/1
S0/0/1
NIC
NIC
192.168.1.1
10.1.1.1
10.1.1.2
10.2.2.2
192.168.3.1
10.2.2.1
192.168.1.3
192.168.3.3
255.255.255.0
255.255.255.252
255.255.255.252
255.255.255.252
255.255.255.0
255.255.255.252
255.255.255.0
255.255.255.0
N/A
N/A
N/A
N/A
N/A
N/A
192.168.1.1
192.168.3.1
R2
R3
PC-A
PC-C
Switch
poort
S1 Fa0/5
N/A
N/A
N/A
S3 Fa0/5
N/A
S1 Fa0/6
S3 Fa0/18
Ilka winnen
3TI
Netwerk Security
Deel 1: Basis configuratie
Stap 1: Alle apparaten op een correcte manier met elkaar verbinden.
Zie afbeelding ‘Topologie’
Stap 2: Basis configuratie voor elke router.
 We gaan elke router een basis configuratie meegeven met IP-adres en subnetmask.
 Router 1 gaan we een clock rate meegeven:
R1(config)# interface S0/0/0
R1(config-if)# clock rate 64000
 Schakel de DNS lookup uit om de router er van te weerhouden foutieve commando’s te
vertalen naar een hostname. R1 is hier gegeven als een voorbeeld.
R1(config)# no ip domain-lookup
Stap 3: Pc’s configureren
Ilka winnen
3TI
Netwerk Security
Deel 2: Control Administratieve Access voor Routers
Deel 2.1: Configuratie en encryptie paswoorden op routers R1 en R3
Stap 1: Configureer een minimum wachtwoordlengte voor alle router wachtwoorden.
Gebruik het “security passwords” command om een paswoord in te stellen van minimum 10 karakters.
R1(config)# security passwords min-length 10
Stap 2: Configureer het enable secret wachtwoord.
Configureer het “enable secret” passwoord op beide routers
R1(config)# enable secret cisco12345
Stap 3: Configureer basic console, auxiliary port, en virtual access lines.
Configureer het console paswoord en enable login voor beide routers. Het ‘exec timeout’ commando
zorgt voor bijkomende security door de line af te melden na een inactiviteit van ongeveer 5 minuten.
Het ‘logging synchronous’ commando zorgt ervoor dat berichten op de console de commando’s niet
onderbreken.
Console wachtwoord
R1(config)# line console 0
R1(config-line)# password ciscocon
!! wachtwoord te kort!!
R1(config-line)# password ciscoconpass
R1(config-line)# exec-timeout 5 0
R1(config-line)# login
R1(config-line)# logging synchronous
Aux poort
R1(config)# line aux 0
R1(config-line)# password ciscoauxpass
R1(config-line)# exec-timeout 5 0
R1(config-line)# login
Telnet voor R2 naar R1
R2> telnet 10.1.1.1
Trying 10.1.1.1 ...Open
[Connection to 10.1.1.1 closed by foreign host]
Vty
R1(config)# line vty 0 4
R1(config-line)# password ciscovtypass
R1(config-line)# exec-timeout 5 0
R1(config-line)# login
Stap 4: Encryptie van clear text wachtwoorden.
Gebruik het ‘service password encryption’ commando om paswoorden te encrypteren
R1(config)# service password-encryption
Ilka winnen
3TI
Netwerk Security
Deel 2.2: Configureer een Login waarschuwingsbanner op routers R1 en R3
Stap 1: Configureer een waarschuwingsbericht voor het aanmelden.
Gebruik het “motd” commando om een “message-of-the-day” weer te geven wanneer een gebruiker
zich aanmeld op de router. In dit voorbeeld wordt het dollarteken gebruikt om het begin en het einde
aan te geven van de tekst.
R1(config)# banner motd $Unauthorized access strictly prohibited and prosecuted to the full extent
of the law$
R1(config)# exit
Deel 2.3: Configureer verbeterde gebruikersnaam wachtwoord beveiliging op Routers
R1 en R3.
Stap 1: Nieuw gebruikersaccount aanmaken doormiddel van het ‘username’ commando.
Maak user01 aan met een niet-geëncrypteerd paswoord.
R1(config)# username user01 password 0 user01pass
Stap 2: Nieuwe gebruiker aanmaken met een secret wachtwoord.
Maak een nieuwe user aan en gebruik MD5 om het paswoord te vergrendelen.
R1(config)# username user02 secret user02pass
Ilka winnen
3TI
Netwerk Security
Deel 2.4: Configureer een verbeterd virtuele login security op Routers R1 en R3
Stap 1: Configureer de router om hem te beschermen tegen login attacks.
Gebruik het ‘login block’ commando om brute force aanvallen tegen te gaan. Dit helpt om dictionary
aanvallen te vertragen en helpt de router te beschermen tegen een DoS aanval. Gebruik het “show
login” commando om de aanval instellingen te bekijken.
Gebruik het ‘login block’ commando om een shutdown van 60 seconden te configureren indien er 2
mislukte login pogingen zijn geweest binnen de 30 seconden.
R1(config)# login block-for 60 attempts 2 within 30
Step 2: Configureer de router om een log van loginactiviteiten te verkrijgen.
Configureer de router om logs te genereren voor zowel geode als foutieve login pogingen. De volgende
commando’s loggen elke juiste aanmelding en elke foutieve na de 2de keer proberen.
R1(config)# login on-success log
R1(config)# login on-failure log every 2 (niet mogelijk in PKT)
R1(config)# exit
Ilka winnen
3TI
Netwerk Security
Deel 2.5: Configureer de SSH server op router R1 en R3 door gebruikt te maken van het
CLI
Stap 1: Configureer een domeinnaam.
Stel de domeinnaam in
R1# conf t
R1(config)# ip domain-name ccnasecurity.com
Stap 2: Configureer een voorkeur gebruiker om aan te melden vanaf de SSH client.
Gebruik het username commando om een user ID te maken met het hoogst mogelijke privilege level
en een ‘secret paswoord’.
R1(config)# username admin privilege 15 secret cisco12345
Stap 3: Configureer de binnenkomende vty lines.
Specifieer een privilege level 15 voor een gebruiker met het hoogste level. Deze gebruiker zal dan
meteen naar “privileged EXEC mode’ gaan waar andere gebruikers naar user EXEC mode worden
doorgestuurd.
R1(config)# line vty 0 4
R1(config-line)# privilege level 15
R1(config-line)# login local
R1(config-line)# transport input ssh
R1(config-line)# exit
Stap 4: Verwijder bestaande key pairs op de router.
R1(config)# crypto key zeroize rsa
Stap 5: Genereer de RSA encryptie key pair voor de router.
De router gebruikt een RSA sleutel voor authenticatie en encryptie van doorgestuurde SSH data.
Configureer de RSA sleutels met 1024 als nummer van de module bits. De default nummer is 512 en
het kan variëren van 360 tot 2048.
R3(config)# crypto key generate rsa general-keys modulus 1024
The name for the keys will be: R3.ccnasecurity.com
% The key modulus size is 1024 bits
% Generating 1024 bit RSA keys, keys will be non-exportable...[OK]
R3(config)#*Dec 16 21:24:16.175: %SSH-5-ENABLED: SSH 1.99 has been enabled
R3(config)# exit
!! niet morgelijk in PKT !!
R1(config)#crypto key generate rsa
Stap 6: Verifieer de SSH configuratie.
Gebruik het ‘show ip ssh’ commando om de huidige instellingen te zien.
R1# show ip ssh
Ilka winnen
3TI
Netwerk Security
Stap 7: Configureer SSH time-outs en authenticatie parameters.
De standaard SSH time-outs en authenticatie parameters kunnen aangepast worden door strengere
regels toe te passen gebruik makend van de volgende commando’s.
R1(config)# ip ssh time-out 90
R1(config)# ip ssh authentication-retries 2
Stap 8: Wijzigingen opslaan
R1# copy running-config startup-config
Deel 3: configureer administratieve rollen
De role-based CLI toegang feature laat de netwerk administrator toe om views te definiëren. Deze
bestaan uit een reeks operationele commando’s en configuratie mogelijkheden die gedeeltelijke
toegang geven tot Cisco IOS EXEC en configuratie mode commando’s. Views belemmeren de user
toegang tot de CISCO IOS CLI en configuratie informatie. Een view kan bepalen welke commando’s
men mag gebruiken en welke informatie zichtbaar is.
Deel 3.1: Activeer root view op R1 en R3
Als een admin een andere view wilt configureren op het systeem dan moet het systeem eerst in root
view staan. Wanneer dit het geval is, heeft de user dezelfde rechten als een user met het hoogste
privilege level met als verschil dat een root view user ook een nieuwe view kan configureren of
commando’s aanpassen uit een bestaande view. Als je in CLI bent dan kan je enkel de commando’s
gebruiken die gedefinieerd zijn in de view door een root view user.
Stap 1: Activeer AAA op router R1.
Om view te kunnen definiëren moet AAA bepaald zijn.
R1# config t
R1(config)# aaa new-model
R1(config)# exit
Stap 2: Activeer de root view.
Gebruik het commando ‘enable view’ om over te schakelen naar root view. Gebruik het commando
‘enable secret password cisco12345’
R1# enable view
Password: cisco12345
Deel 3.2: Maak nieuwe views voor Admin1, Admin2, en Tech Roles op R1 en R3
Stap 1: Maak het admin1 view, maak een wachtwoord en ken bevoegdheden toe.
De admin1 user is de top level onder root die toegang heeft tot de router, hij heeft de meeste rechten.
Deze user kan alle commando’s gebruiken. Gebruik het volgende commando om deze user aan te
maken als je in root view bent.
Ilka winnen
3TI
Netwerk Security
R1(config)# parser view admin1
R1(config-view)#
*Dec 16 22:45:27.587: %PARSER-6-VIEW_CREATED: view 'admin1’ successfully created.
Stap 2: Maak het admin2 view, maak een wachtwoord en ken bevoegdheden toe.
De admin2 user is een junior administrator in opleiding. Deze gebruiker kan alle configuratie zien, maar
is niet toegestaan om zelf de routers te gaan configureren of om debug commando’s te gebruiken.
Gebruik het ‘enable view’ commando om over te schakelen naar ‘root view’ en voer het paswoord in.
R1# enable view
Password:cisco12345
Gebruik het volgende commando om de admin2 view aan te maken
R1(config)# parser view admin2
R1(config-view)#
*Dec 16 23:02:27.587: %PARSER-6-VIEW_CREATED: view 'admin2’ successfully created.
Voeg een paswoord toe aan admin2.
R1(config-view)# secret admin2pass
Ilka winnen
3TI
Netwerk Security
Voeg alle ‘show’ commando’s toe aan de view.
R1(config-view)# commands exec include all show
R1(config-view)# end
Controller de admin2 view
R1# enable view admin2
Password: admin2pass
*Dec 16 23:05:46.971: %PARSER-6-VIEW_SWITCH: successfully set to view 'admin2'
Step 3: Maak het tech view, maak een wachtwoord en ken bevoegdheden toe.
De tech user is meestal de persoon die de end devices installeert en de bekabeling legt. Deze users zijn
enkel toegelaten om bepaalde show commando’s uit te voeren.
R1# enable view
Password:cisco12345
Gebruik het volgende commando om de tech view te maken.
R1(config)# parser view tech
R1(config-view)#
*Dec 16 23:10:27.587: %PARSER-6-VIEW_CREATED: view 'tech’ successfully created.
Voeg een paswoord toe aan de tech view.
R1(config-view)# secret techpasswd
Voeg de volgende commando’s toe aan de view.
R1(config-view)# commands exec include show version
R1(config-view)# commands exec include show interfaces
R1(config-view)# commands exec include show ip interface brief
R1(config-view)# commands exec include show parser view
R1(config-view)# end
Controlleer de view
R1# enable view tech
Password:techpasswd
*Dec 16 23:13:46.971: %PARSER-6-VIEW_SWITCH: successfully set to view 'tech'
R1# show parser view
R1# Current view is ‘tech’
Ilka winnen
3TI
Netwerk Security
Deel 4: Configureer IOS Resilience and Management Reporting
Deel 4.1: Secure Cisco IOS Image en configuration files op R1 en R3
De Cisco IOS Resilient Configuration zorgt ervoor dat een router een werkende kopie van de
configuratie bijhoudt en de running config veilig stelt zodat deze bestanden bestand zijn tegen
kwaadaardige pogingen om de inhoud te deleten. Voor deze feature is geen extra opslagvermogen
nodig.
In dit deel gaan we zien hoe we dit configureren.
Stap 1: De files in het flash geheugen van R1 weergeven.
R1# show flash
Stap 2: Beveilig het Cisco IOS image en archiveer een kopie even de lopende configuratie.
Het ‘secure boot image’ zet deze functie aan. Het zorgt ervoor dat de file niet zichtbaar is bij dir en
show commando’s.
R1(config)# secure boot-image
Het secure boot config commando neemt een snapshot van de running config van de router en slaat
het veilig op
R1(config)# secure boot-config
Ilka winnen
3TI
Netwerk Security
Stap 3: Controleer of de afbeelding en de configuratie zijn beveiligd.
Je kan het show secure bootset commando enkel gebruiken om de gearchiveerde bestandsnaam te
zien.
R1# show secure bootset
Stap 4: Geef de bestanden in het flash geheugen van R1 weer.
Toon de inhoud van flash met het show flash commando.
R1# show flash
Stap 5: Schakel de IOS Resilient Configuration feature uit.
Verwijder de Resilient Configuration feature voor de router.
R1# config t
R1(config)# no secure boot-image
Verwijder de Resilient Config voor de running config.
R1(config)# no secure boot-config
Stap 6: verifieer of het Cisco IOS image nu zichtbaar is in flash.
R1# show flash
Ilka winnen
3TI
Netwerk Security
Deel 4.2: Configureer een gesynchroniseerde time source doormiddel van NTP
Router R2 zal de master NTP zijn clock source van routers R1 en R3.
Stap 1: Zet de NTP Master op doormiddel van Cisco IOS commando’s.
R2 is de hoofd NTP server in deze case. Alle andere routers en switches leren van hem op een
(in)directe manier de tijd.
Gebruik het commando ‘show clock’ om de tijd te tonen op de router.
R2# show clock
Om de tijd in te stellen op de router gebruik je het clock set time commando.
R2# clock set 20:12:00 Dec 17 2008
Configureer de R2 als de hoofd NTP door gebruik te maken van het NTP master stratum-number
commando.
R2(config)# ntp master 3
Stap 2: Configureer R1 en R3 als NTP clients doormiddel van het CLI.
R1 en R3 worden NTP clients van R2. Om R1 te configureren gebruik het ‘ntp server hostname’
commando. De hostname mag ook een IP-adres zijn.
R1(config)# ntp server 10.1.1.2
R1(config)# ntp update-calendar
Controlleer of R1 een connective heeft gemaakt met R2 met het show ntp associations commando.
R1# show ntp associations
Deel 4.3: Configure syslog Support on R1 and PC-A
Stap 1: Instaleer de syslog server.
De Kiwi Syslog Daemon is een syslog server. Een andere applicatie is Tftpd32, hierin zit een TFTP server,
TFTP client en een syslog server en viewer in vervat. Bijden zijn gratis en draaien op Windows.
Stap 2: Configureer R1 om log berichte te sturen naar de syslog server doormiddel van het
CLI.
Controleer of je een verbinding hebt met R1 en de host door te pingen vanop R1 naar 192.168.1.1. Als
dit niet lukt, troubleshoot alvorens verder te gaan.
NTP was geconfigureerd in Deel 2 om de tijd te synchroniseren op het netwerk. Het tonen van de
correcte tijd is van cruciaal belang bij het gebruiken van syslog om het netwerk te monitorren. Indien
er een foutieve tijd werd weergegeven is het moeilijk te bepalen welk event het bericht heeft
veroorzaakt.
Ilka winnen
3TI
Netwerk Security
Gebruik het volgende commando om de timestamp service aan te zetten.
R1(config)# service timestamps log datetime msec
Configureer de syslog service op de router en zen syslog berichten naar de syslog server.
R1(config)# logging host 192.168.1.3
Deel 5: Configureer geautomatiseerde security features
Deel 5.1: Gebruik het CCP Security Audit Tool op R1 om security risico’s in kaart te
brengen
In dit deel gebruik je de CCP grafische interface om de beveiligingsproblemen op te sporen op R1. CCP
is sneller dan elk commando te typen en voorziet een grotere controle dan de AutoSecure feature.
Step 1: Verifieer of CCP is geïnstalleerd op de Host PC.
Step 2: Maak een CCP gebruiker en schakel de HTTP secure server in op R1.
Maak een level 15 username en paswoord op R1
R1(config)# username admin privilege 15 secret 0 cisco12345
Schakel de HTTP secure server in
R1(config)# ip http secure-server
R1(config)#
Schakel de locale HTTP authenticatie in op R1
R1(config)# ip http authentication local
R1(config)# end
Sla de running config op in de startup config
R1# copy run start
Related documents
Een apparaat of computer aan een netwerk toevoegen
Een apparaat of computer aan een netwerk toevoegen
presentatie Johan
presentatie Johan
Handreiking voor het gebruik van supernova 13
Handreiking voor het gebruik van supernova 13
Inloggen op de Router
Inloggen op de Router
Met een gezond netwerk, een goed werkende organisatie!
Met een gezond netwerk, een goed werkende organisatie!
Breedband DSL/kabel Router – met 4
Breedband DSL/kabel Router – met 4
OPENBAAR Tweede Kamer tav Parlementaire werkgroep
OPENBAAR Tweede Kamer tav Parlementaire werkgroep
Opdracht 3 - Fred Triep
Opdracht 3 - Fred Triep
Draadloos verbinden – MAC OS 10.5.5
Draadloos verbinden – MAC OS 10.5.5
m12 - Gert Jan Schop
m12 - Gert Jan Schop
Download
advertisement