Поможем в ✍️ написании учебной работы

Имя

Поможем с курсовой, контрольной, дипломной, рефератом, отчетом по практике, научно-исследовательской и любой другой работой

Выберите тип работыЧасть дипломаДипломная работаКурсовая работаКонтрольная работаРешение задачРефератНаучно - исследовательская работаОтчет по практикеОтветы на билетыТест/экзамен onlineМонографияЭссеДокладКомпьютерный набор текстаКомпьютерный чертежРецензияПереводРепетиторБизнес-планКонспектыПроверка качестваЭкзамен на сайтеАспирантский рефератМагистерская работаНаучная статьяНаучный трудТехническая редакция текстаЧертеж от рукиДиаграммы, таблицыПрезентация к защитеТезисный планРечь к дипломуДоработка заказа клиентаОтзыв на дипломПубликация статьи в ВАКПубликация статьи в ScopusДипломная работа MBAПовышение оригинальностиКопирайтингДругое

Нажимая кнопку "Продолжить", я принимаю политику конфиденциальности

Цели:

· Установка и шифрование паролей доступа к устройству.

· Настройка параметров доступа к консольному и терминальному порту: установка тайм-аута, установка списков доступа на консольный порт и на порт vty, настройка SSH для удаленного доступа. Создание баннеров для различных режимов устройства.

· Установка системы привелегий для всех режимов устройства. Ограничение числа попыток доступа к устройству, различные варианты блокировки доступа, в зависимости от ситуации, включение создания логов попыток доступа на устройство.

 

Оборудование:

Для выполнения понадобится маршрутизатор серии 1700, 2600, 2690, 3600, 3700, 7200, также понадобится rollover кабель и хост для подключения к маршрутизатору через консольный порт.

 

Введение:

 

Одной из главных целей атак нарушителей являются административные интерфейсы маршрутизатора, поэтому их необходимо защитить с помощью паролей и других средств защиты. Для улучшения безопасности используется шифрование паролей, также применятся система привелигированного доступа, с помощью привелегий можно разделить пользователей на группы. Для защиты от атак типа brute-force используется ограничение числа попыток доступа к устройству, и различные блокировки доступа. Также для мониторинга используется ведение различных логов доступа.

 

Задание 1. Установка и шифрование паролей доступа к устройству.

 

Команда enable password устанавливает пароль для привелигированного режима маршрутизатора или коммутатора, но он хранится в незашифрованном виде, лучше использовать команду enable secret password, в таком случае пароль хранится как хэш-значение MD5. Установим пароль с помощью команды enable secret password :

 

Router (config)# enable secret Cisc0Pr3$$

Router (config)# end

Router # show running-config

!

enable secret 5 $1$kmOB$rL419kUxmQphzVVTgO4sP1

!

 

Установим пароли также и для доступа к консоли, удаленного доступа и к доступа к порту aux:

 

Router (config)# line con 0

Router (config-line)# password 1mA$3cr3t

Router (config-line)# login

 

Router (config)# line aux 0

Router (config-line)# password @uxP@$$w0rd

Router (config-line)# login

 

Router (config)# line vty 0 4

Router (config-line)# login

Router (config-line)# password MyP@$$w0rd

 

Эти пароли хранятся в незашифрованном виде, поэтому применим команду service password-encryption, которая зашифрует все существующие незашифрованные пароли, а также созданные впоследствии:

 

Router (config)# service password-encryption

Router # show run

!

line con 0

password 7 091D43285D5614005818

login

line aux 0

password 7 06261A397C6E4D5D1247000F

login

line vty 0 4

password 7 09615739394153055B1E00

login

 

Нарушитель может обойти парольную защиту при помощи режима ROMMON, для предотвращения этой угрозы используем команду no service password-recovery в режиме глобальной конфигурации:

 

 Router (config)# no service password-recovery

 

Задание 2. Настройка параметров доступа к консольному и терминальному порту.

 

Для усиления безопасности установим таймеры бездействия, они будут закрывать существующие соеденения если пользователь бездействует заданное время:

 

Router # conf term

Router (config)# line con 0

Router (config-line)# exec-timeout 2 30

Router (config-line)# exit

Router (config)# line aux 0

Router (config-line)# exec-timeout 2 30

Router (config-line)# exit

Router (config)# line vty 0 4

Router (config-line)# exec-timeout 2 30

 

Чтобы настроить сообщения при входе в систему используется команда banner, существует 4 опции, banner exec, banner incoming, banner login, banner motd, создадим сообщение,которое будет появлятся при попытке доступа к консоли или при попытке доступа к vty:

 

Router # conf term

Router (config)# banner exec $

Enter TEXT message. End with the character '$'.

WARNING: This router is the private property of Cisco Press.

Disconnect now if you are not an authorized user.

Violators will be prosecuted.

$

Router (config)#end

 

По умолчанию для удаленного доступа используется Telnet, и сообщения передаются в открытом виде, для усиления безопасности для удаленного доступа настроим SSH:

 

Router (config)# crypto key generate rsa general-keys modulus 1024

Router (config)# ip ssh time-out 120

Router (config)# ip ssh authentication-retries 4

Router (config)# line vty 0 4

Router (config-line)# transport input ssh

 

Теперь удаленный доступ можно получить используя только SSH, Telnet сессии не принимаются.

 

Для того чтобы была возможность подключиться к маршрутизатору или коммутатору только с заданных хостов используем списки доступа:

 

Router (config)#access-list 21 permit 10.1.1.4

Router (config)#line vty 0 4

Router (config-line)#access-class 21 in

 

Теперь подключиться к маршрутизатору или коммутатору можно только с хоста с адресом 10.1.1.4

 

Задание 3. Настройка привелегий, блокировки доступа, ведения логов.

 

Для настройки привелегий используется команда privelige level, уровни привелегий могут быть от 0 до 15, по умолчанию когда вы заходите на маршрутизатор или коммутатор у вас 0 уровень привелегий, когда заходите в enable-режим у вас становится 15 уровень привелегий, можно вручную задать команды, которые будут доступны для каждого уровня привелегий. Например создадим уровень привелегий системного администтратора, который может выполнять следующие команды show startup-config, debug ip rip, ping, для этого используем команду privelige level, но сначала создадим пользователя sysAdmin с уровнем привелегий 2:

 

Router (config)#username sysAdmin privilege 2 secret 0dmin

Router (config)#privelige exec level 2 show startup-config

Router (config)#privelige exec level 2 debug

Router (config)#privelige exec level 2 ping

 

Теперь установим пароль для пользователей уровня 2:

 

Router (config)#enable secret level 2 2kd042

 

Теперь чтобы войти на маршрутизатор с данным уровнем привелегий нужно ввести команду:

 

Router >enable 2

 

Для того чтобы работал вход по имени пользователя нужно включить сервис ААА и указать ему использовать локальную базу данных пользователей:

 

Router(config)#aaa new-model

Router(config)#aaa authorization exec default local none

Router(config)#line con 0

Router(config-line)#login authentication default

Router(config)#line vty 0 4

Router(config-line)#login authentication default

 

Для противостояния DoS атакам можно использовать команды блокироки доступа login, для того чтобы блокировать доступ используем:

 

Router # conf term

Router (config)# login block-for 90 attempts 5 within 10

 

Теперь если в течении 10 секунд произойдет 5 попыток доступа и все они будут неудачными, то произойдет отключение возможности доступа на 90 секунд, чтобы назначить адреса для которых не действует блокировка доступа используем команду:

 

Router (config)# login quiet-mode access-class 21

 

Теперь на все адреса указанные в 21 списке доступа НЕ будет дейсвовать блокировка, для установки времени между попытками доступа используем команду:

 

Router (config)# login delay 3

 

Для ведения логов попыток доступа используем команды:

 

Router (config)# login on failure log

Router (config)# login on-success log

Для просмотра информации о попытках доступа используем команду:

 

Router # show login

A login delay of 3 seconds is applied.

Quiet-Mode access list 101 is applied.

All successful login is logged.

All failed login is logged.

Router enabled to watch for login Attacks.

If more than 5 login failures occur in 10 seconds or less,

logins will be disabled for 30 seconds.

Router presently in Normal-Mode.

Current Watch Window

Time remaining: 9 seconds.

Login failures for current window: 0.

Total login failures: 0.

Router #

 

Чтобы указать syslog сервер на который будут сохранятся логи используем команду:

 

Router(config)#logging host 172.16.1.155 transport tcp port 514

 

 

Контрольные вопросы:

1. Какую команду создания пароля для привелигированного режима предпочтительнее использовать?

2. С помощью какой команды можно зашифровать все существующие и будущие пароли методом шифрования Cisco.

3. Почему следует настроить протокол SSH для удаленного доступа к маршрутизатору? С помощью какой команды?

4. Зачем используются списки доступа для удаленного доступа?

5. С помощью какой команды можно настроить привелегии для пользователей и зачем это нужно?

6. Для чего нужно ведение логов, с помощью каких команд это осуществляется?

Лабороторная работа № 2 .