Laboratorium - Dostęp do urządzeń sieciowych za pomocą SSH
Topologia
Tabela adresacji
Urządzenie
Interfejs
Adres IP
Maska podsieci
Brama domyślna
R1
G0/1
192.168.1.1
255.255.255.0
Nie dotyczy
S1
VLAN 1
192.168.1.11
PC-A
Karta sieciowa
192.168.1.3
Cele
Część 1: Konfiguracja podstawowych ustawień urządzenia
Część 2: Konfiguracja dostępu do routera poprzez SSH
Część 3: Śledzenie sesji Telnet za pomocą programu Wireshark
Część 4: Śledzenie sesji SSH za pomocą programu Wireshark
Część 5: Konfiguracja dostępu do przełącznika poprzez SSH
Część 6: Użycie sesji SSH na przełączniku za pomocą wiersza poleceń
Scenariusz
Telnet w przeszłości był powszechnym i szeroko stosowanym protokołem używanym do zdalnego konfigurowania urządzeń sieciowych. Protokoły takie jak Telnet nie posiadają mechanizmu szyfrowanego uwierzytelniania i nie szyfrują informacji wysyłanych miedzy klientem a serwerem. Pozwala to snifferom sieciowym na przechwytywanie haseł oraz konfiguracji.
Secure Shell (SSH) jest protokołem sieciowym który pozwala zestawić bezpieczne połączenie terminalowe do routera lub innych urządzeń sieciowych. SSH szyfruje wszystkie informacje które przechodzą przez sieć i wprowadza mechanizm bezpiecznego uwierzytelniania zdalnego komputera. Profesjonaliści sieciowi szybko zastąpili, używany do zdalnego logowania Telnet protokołem SSH. SSH jest używany przede wszystkim do logowania się do zdalnego urządzenia i wykonywania poleceń, ale można taże wykorzystać SSH do transmisji plików przez protokoły Secure FTP (SFTP) lub Secure Copy Protocol (SCP).
Aby protokół SSH mógł funkcjonować, wymagana jest jego konfiguracja na urządzeniach sieciowych. W tym laboratorium skonfigurujesz serwer SSH na routerze a potem połączysz się z nim używając komputera PC posiadającego zainstalowanego klienta SSH. Połączenia tego typu w sieci lokalnej są zazwyczaj zestawiane poprzez Ethernet i adres IP.
W tym laboratorium będziesz konfigurować router, tak aby zaakceptować połączenie SSH a następnie będziesz używać programu Wireshark do przechwytywania i śledzenia sesji Telnet oraz sesji SSH. Ćwiczenie zaprezentuje znaczenie szyfrowania w SSH. Spróbujesz samodzielnie skonfigurować przełącznik dla połączeń SSH.
Uwaga: Routery używane w laboratorium interaktywnym to Cisco Integrated Services Router 1941 (ISR) z oprogramowaniem Cisco IOS 15.2(4)M3 (obraz universalk9). Przełączniki używane w laboratorium to Cisco Catalyst 2960 z oprogramowaniem Cisco IOS 15.0(2) (obraz lanbasek9). Można używać innych routerów lub przełączników oraz wersji Cisco IOS. Zależnie od modelu urządzenia i wersji systemu IOS dostępne polecenia i wyniki ich działania mogą się różnić od prezentowanych w niniejszej instrukcji. Identyfikatory interfejsów znajdują się w tabeli zestawienia interfejsów routerów na końcu tej instrukcji.
Uwaga: Upewnij się, że konfiguracje routerów i przełączników zostały usunięte i nie mają konfiguracji startowej. Jeśli nie jesteś pewien, poproś o pomoc instruktora.
Wymagane wyposażenie
· 1 router (Cisco 1941 z oprogramowaniem Cisco IOS, wersja 15.2 (4) M3 obraz uniwersalny lub porównywalny)
· 1. przełącznik (Cisco 2960 Cisco IOS wersja15.0 (2) obraz lanbasek9 lub porównywalny)
· 1 komputer PC (z systemem Windows 7, Vista lub XP oraz zainstalowanym emulatorem terminala Tera Term i programem Wireshark)
· Kable konsolowe do konfiguracji urządzeń Cisco przez port konsolowy
· Kable Ethernet zgodnie z pokazaną topologią
Część 1: Konfigurowanie podstawowych ustawień urządzenia
W części 1 będziesz tworzyć topologię sieci oraz konfigurować podstawowe ustawienia takie jak adresy IP, dostęp do interfejsu urządzenia i hasła w routerze.
Krok 1: Połącz okablowanie sieciowe zgodnie z topologią.
Krok 2: Uruchom i zrestartuj router i przełącznik.
Krok 3: Skonfiguruj router.
a. Połącz się przy użyciu konsoli z routerem i przejdź do uprzywilejowanego trybu EXEC.
b. Wejdź do trybu konfiguracji.
c. Aby zapobiec próbom tłumaczenia przez router i przełącznik niepoprawnie wprowadzonych poleceń, jako nazw hostów, wyłącz wyszukiwanie DNS.
d. Jako zaszyfrowane hasło trybu uprzywilejowanego ustaw class .
e. Jako hasło dostępu do konsoli ustaw cisco oraz włącz logowanie.
f. Jako hasło do VTY ustaw cisco oraz włącz logowanie.
g. Zaszyfruj hasła występujące otwartym tekstem.
h. Utwórz baner, który będzie ostrzegał osoby łączące się z urządzeniem, że nieautoryzowany dostęp jest zabroniony.
i. Skonfiguruj i włącz interfejs G0/1 w routerze przy użyciu informacji zawartych w tabeli adresowania.
j. Zapisz konfigurację bieżącą (running-configuration) jako plik konfiguracji startowej (startup-configuration).
Krok 4: Skonfiguruj PC-A.
a. Skonfiguruj adres IP i maskę podsieci dla komputera PC-A.
b. Skonfiguruj bramę domyślną dla komputera PC-A.
Krok 5: Zweryfikuj połączenie sieciowe.
Wykonaj ping od PC-A z R1. Jeżeli ping nie powiedzie się, to poszukaj rozwiązania problemu.
Część 2: Konfigurowanie routera dla zdalnego dostępu poprzez SSH
Korzystanie z usługi Telnet do łączenia się z urządzeniami sieciowymi jest niebezpieczne, ponieważ wszystkie informacje są wysyłane otwartym tekstem. Zalecane jest używanie protokołu SSH dla połączeń zdalnych, ponieważ SSH szyfruje dane sesji oraz zapewnia mechanizm uwierzytelniania urządzenia. W części 2 będziesz konfigurować linie VTY routera w celu akceptacji połączenia SSH, .
Krok 1: Skonfiguruj uwierzytelnianie urządzenia.
Do generowania klucza szyfrującego RSA używane są nazwa urządzenia i nazwa domeny. Dlatego nazwy te muszą być wprowadzone przed wydaniem polecenia crypto key.
c. Skonfiguruj nazwę urządzenia.
Router(config)# hostname R1
d. Skonfiguruj domenę dla tego urządzenia.
R1(config)# ip domain-name ccna-lab.com
Krok 2: Skonfiguruj klucz szyfrowania.
R1(config)# crypto key generate rsa modulus 1024
The name for the keys will be: R1.ccna-lab.com
% The key modulus size is 1024 bits
% Generating 1024 bit RSA keys, keys will be non-exportable...
[OK] (elapsed time was 1 seconds)
R1(config)#
*Jan 28 21:09:29.867: %SSH-5-ENABLED: SSH 1.99 has been enabled
Krok 3: Skonfiguruj nazwę użytkownika w lokalnej bazie danych.
R1(config)# username admin privilege 15 secret adminpass
*Feb 6 23:24:43.971: End->Password:QHjxdsVkjtoP7VxKIcPsLdTiMIvyLkyjT1HbmYxZigc
Uwaga: Poziom uprawnień 15 daje użytkownikowi prawa administratora.
Krok 4: Włącz SSH na liniach VTY.
e. Włącz Telnet oraz SSH na liniach wejściowych VTY za pomocą polecenia transport input .
R1(config)# line vty 0 4
R1(config-line)# transport input telnet ssh
f. Zmień metodę logowania do lokalnej bazy danych w celu weryfikacji użytkownika.
R1(config-line)# login local
R1(config-line)# end
R1#
Krok 5: Zapisz konfigurację bieżącą (running-configuration) do pliku konfiguracji startowej (startup-configuration).
R1# copy running-config startup-config
Destination filename [startup-config]?
Building configuration...
[OK]
W części 3 będziesz używał programu Wireshark do przechwytywania i obserwacji danych przesyłanych w czasie sesji Telnet na routerze. Będziesz korzystać z programu Tera Term w celu połączenia się z R1 za pomocą telnetu, zalogowania się a następnie używania polecenia show na routerze.
Uwaga: Jeżeli pakiet oprogramowania typu klient Telnet/SSH nie jest zainstalowany na twoim komputerze PC, to przed kontynuowaniem ćwiczenia należy go zainstalować. Dwa popularne darmowe pakiety Telnet/SSH to Tera Term (http://download.cnet.com/Tera-Term/3000-20432_4-75766675.html) oraz PuTTy (www.putty.org).
Uwaga: Domyślnie telnet nie jest dostępny w wierszu poleceń w Windows 7. Aby umożliwić korzystanie z Telnet w w wierszu poleceń, kliknij Start > Panel Sterowania > Programy > Programy i funkcje > Włącz lub wyłącz funkcje systemu Windows. Zaznacz pole wyboru Klient Telnet , a potem kliknij przycisk OK.
Krok 1: Uruchom program Wireshark i rozpocznij przechwytywanie pakietów danych z interfejsu LAN
Uwaga: Jeżeli nie możesz uruchomić przechwytywania na interfejsie LAN, to może będziesz musiał uruchomić program Wireshark za pomocą opcji Uruchom jako Administrator.
Krok 2: Rozpocznij sesję Telnet do routera.
g. Uruchom program Tera Term zaznacz opcję Telnet, a w polu Host wpisz 192.168.1.1.
Jaki jest domyślny port TCP dla sesji Telnet? _________________ Port 23
h. Po zapytaniu o nazwę użytkownika (Username) wpisz admin a po zapytaniu o hasło (Password) wpisz adminpass. Powyższe zapytania zostały generowane, ponieważ linie VTY skonfigurowałeś tak aby używały lokalnej bazy (polecenie login local ).
i. Wykonaj polecenie show run .
R1# show run
j. Aby zakończyć sesję Telnet session i wyjść z Tera Term, wpisz exit .
R1# exit
Krok 3: Zatrzymaj przechwytywanie w programie Wireshark.
Krok 4: Zastosuj filtr Telnet dla danych przechwytywanych w Wireshark.
Krok 5: Aby zobaczyć sesję Telnet użyj funkcji "Follow TCP Stream" programu Wireshark.
k. Prawym przyciskiem myszy kliknij jedną z linii Telnet w sekcji Packet list, rozwiń listę i wybierz Follow TCP Stream.
l. Okno Follow TCP Stream wyświetla dane twojej sesji Telnet połączonej z routerem. Cała sesja jest wyświetlana w postaci otwartego tekstu (hasła także). Zauważ, że nazwa użytkownika i polecenia show run, które wpisałeś składają się z powtórzonych znaków. Jest to spowodowane przez ustawienie echa w Telnet, które umożliwia wyświetlanie znaków wpisywanych na ekranie.
m. Po zakończeniu oglądania twojej sesji Telnet kliknij Close w oknie Follow TCP Stream.
Część 4: Badanie sesji SSH za pomocą programu Wireshark
W części 4 będziesz korzystać z programu Tera Term w celu ustanowienia sesji SSH z routerem. Program Wireshark będzie wykorzystywany do przechwytywania i wyświetlania danych z tej sesji SSH.
Krok 1: Uruchom program Wireshark i rozpocznij przechwytywanie pakietów danych z interfejsu LAN.
Krok 2: Uruchom sesję SSH na routerze.
n. Otwórz Tera Term a następnie w polu Host: w oknie New Connection wprowadź adres IP dla interfejsu G0/1 routera R1. Upewnij się, czy opcja SSH została zaznaczona a potem kliknij OK aby połączyć się z routerem.
Jaki jest domyślny port TCP dla sesji SSH? __________________ Port 22
o. Gdy tworzysz sesję SSH do urządzenia po raz pierwszy, to gene...
muc13k