Практическая работа Угрозы

Практическая работа №5 «Обеспечение безопасности сети: изучение угроз сетевой
безопасности; доступ к сетевым устройствам по протоколу SSH; обеспечение безопасности
сетевых устройств»
Цель работы: изучить угрозы сетевой безопасности; включить SSH-сервер на маршрутизаторе,
после чего подключиться к этому маршрутизатору, используя ПК с установленным клиентом SSH;
научиться настроить сетевые устройства в топологии таким образом, чтобы разрешать SSH-соединения
для удаленного управления.
5.1 Изучение угроз сетевой безопасности
Задание
1. Изучение веб-сайта SANS
2. Определение новых угроз сетевой безопасности
3. Подробное описание отдельной угрозы сетевой безопасности
Исходные данные/сценарий
Чтобы защитить сеть от атак, администратор должен определить, какие внешние угрозы
представляют опасность для сети. Для определения возникающих угроз и способов их устранения
можно пользоваться специализированными веб-сайтами.
Одним из наиболее известных и проверенных ресурсов для защиты компьютера и сети является
веб-сайт SANS (системное администрирование, проверка, сеть, безопасность). На веб-сайте SANS
доступны несколько разных ресурсов, включая список 20 основных средств контроля безопасности для
эффективной киберзащиты и еженедельную новостную рассылку по вопросам безопасности @Risk: The
Consensus Security Alert. В рассылке подробно рассказывается о новых сетевых атаках и уязвимостях.
В ходе лабораторной работы вам необходимо открыть и изучить веб-сайт SANS, определить
новые угрозы сетевой безопасности с его помощью, посетить другие аналогичные веб-ресурсы и
подготовить подробное описание отдельной сетевой атаки.
Необходимые ресурсы
• Устройство с выходом в Интернет
•Компьютер для презентации с установленной программой PowerPoint или другой программой
для презентаций.
Порядок выполнения:
1: Изучение веб-сайта SANS
Вам нужно открыть веб-сайт SANS и изучить предлагаемые ресурсы.
a) Найдите ресурсы SANS.
Откройте веб-сайт www.sans.org в браузере. На главной странице наведите указатель мыши на
меню Resources (Ресурсы).
Назовите три доступных ресурса.__________________________________________________
_____________________________________________________________________________
b) Выберите пункт меню Top 20 Critical Controls (20 основных средств контроля
безопасности).
Список 20 основных средств контроля безопасности на веб-сайте SANS был составлен в
результате совместной работы государственных и частных компаний при участии Министерства
обороны, Ассоциации национальной безопасности, Центра интернет-безопасности и Института SANS.
Его задачей было определение приоритетности средств контроля кибербезопасности и связанных с
ними расходов для Министерства обороны. На основе этого списка правительство США разработало
эффективные программы обеспечения безопасности. В меню Resources (Ресурсы) выберите пункт Top
20 Critical Controls (20 основных средств контроля безопасности).
Выберите одно из 20 средств и назовите три предложения по его реализации.____________
______________________________________________________________________________
c) Выберите меню «Newsletters» (Новостные рассылки).
Откройте меню Resources (Ресурсы) и выберите пункт Newsletters (Новостные рассылки).
Кратко опишите каждую из трёх предлагаемых рассылок.
2: Определение новых угроз сетевой безопасности
Вам нужно изучить новые угрозы сетевой безопасности, пользуясь веб-сайтом SANS, и узнать,
на каких других сайтах можно найти информацию по этой теме.
a) Выберите раздел «Archive» (Архив) новостной рассылки @Risk: Consensus Security Alert.
Откройте страницу Newsletters (Новостные рассылки) и выберите раздел Archive (Архив) рядом
с названием @Risk: Consensus Security Alert. Прокрутите страницу вниз до раздела Archives Volumes
(Тома архива) и выберите последний выпуск еженедельной новостной рассылки. Ознакомьтесь с
информацией в разделах Notable Recent Security Issues (Последние важные проблемы безопасности) и
Most Popular Malware Files (Наиболее распространённые файлы вредоносных программ).
Назовите некоторые из новых атак. При необходимости просмотрите несколько последних
выпусков рассылки.___________________________________________________________________
______________________________________________________________________________
b) Найдите веб-сайты, которые содержат информацию о новых угрозах безопасности.
Выясните, на каких ещё сайтах, помимо SANS, можно ознакомиться с информацией о новых
угрозах сетевой безопасности.____________________________________________________
______________________________________________________________________________
Назовите некоторые новые угрозы безопасности, подробно описанные на этих веб-сайтах._
______________________________________________________________________________
______________________________________________________________________________
3: Подробное описание отдельной угрозы сетевой безопасности
Используя полученные результаты, заполните приведённую ниже форму.
Заполните приведённую ниже форму данными выбранной сетевой атаки.
Имя атаки:
Тип атаки:
Даты атак:
Пострадавшие компьютеры или организации:
Механизм атаки и её последствия:
Способы устранения:
Источники и ссылки на информационные ресурсы:
Контрольные вопросы:
1. Какие меры можно предпринять для защиты собственного компьютера?
2. Какие важные меры могут предпринимать компании для защиты своих ресурсов?
5.2. Доступ к сетевым устройствам через протокол SSH
Задание
1. Настройка основных параметров устройства
2. Настройка маршрутизатора для доступа по протоколу SSH
3. Настройка коммутатора для доступа по протоколу SSH
4. Настройка протокола SSH в интерфейсе командной строки коммутатора
Таблица адресации
Устройство
Интерфейс
R1
G0/1
S1
VLAN 1
ПК-А
Сетевой адаптер
IP-адрес
192.168.1.1
192.168.1.11
192.168.1.3
Маска подсети
255.255.255.0
255.255.255.0
255.255.255.0
Шлюз по умолчанию
Недоступно
192.168.1.1
192.168.1.1
Общие сведения/сценарий
Раньше для удаленной настройки сетевых устройств в основном применялся протокол Telnet.
Однако он не обеспечивает шифрование информации, передаваемой между клиентом и сервером, что
позволяет анализаторам сетевых пакетов перехватывать пароли и данные конфигурации.
Secure Shell (SSH) — это сетевой протокол, устанавливающий безопасное подключение с
эмуляцией терминала к маршрутизатору или иному сетевому устройству. Протокол SSH шифрует все
сведения, которые поступают по сетевому каналу, и предусматривает аутентификацию удаленного
компьютера. Протокол SSH все больше заменяет Telnet — именно его выбирают сетевые специалисты в
качестве средства удаленного входа в систему. Чаще всего протокол SSH применяется для входа в
удаленное устройство и выполнения команд, но может также передавать файлы по связанным
протоколам SFTP или SCP.
Чтобы протокол SSH мог работать, на сетевых устройствах, взаимодействующих между собой,
должна быть настроена поддержка SSH. В этой лабораторной работе необходимо включить SSH-сервер
на маршрутизаторе, после чего подключиться к этому маршрутизатору, используя ПК с установленным
клиентом SSH. В локальной сети подключение обычно устанавливается с помощью Ethernet и IP
Необходимые ресурсы
• 1 маршрутизатор (Cisco 1941 с операционной системой Cisco IOS 15.2(4)M3 (универсальный
образ) или аналогичная модель)
• 1 коммутатор (Cisco 2960 с ПО Cisco IOS версии 15.0(2) с образом lanbasek9 или аналогичная
модель)
• 1 ПК (Windows 7 или 8 с программой эмуляции терминала, например, Tera Term, и
установленной программой Wireshark)
• Консольные кабели для настройки устройств Cisco IOS через консольные порты
• Кабели Ethernet, расположенные в соответствии с топологией.
Порядок выполнения работы
1:Основные настройки устройства
a) Потребуется настройка топологии сети и основных параметров, таких как IP-адреса
интерфейсов, доступ к устройствам и пароли на маршрутизаторе.
b) Создайте сеть в соответствии с изображенной на схеме топологией.
c) Выполните инициализацию и перезагрузку маршрутизатора и коммутатора.
d) Настройте маршрутизатор.
e) Подключите консоль к маршрутизатору и активируйте привилегированный режим.
f) Войдите в режим конфигурации.
g) Отключите поиск в DNS, чтобы предотвратить попытки маршрутизатора преобразовывать
неверно введённые команды таким образом, как будто они являются именами узлов.
h) Назначьте class в качестве пароля привилегированного режима.
i) Назначьте cisco в качестве пароля консоли и включите вход по паролю.
j) Назначьте cisco в качестве пароля виртуального терминала и включите вход по паролю.
k) Зашифруйте пароли.
l) Создайте баннер, который предупреждает о запрете несанкционированного доступа.
m) Настройте и активируйте интерфейс маршрутизатора G0/1 с помощью сведений,
содержащихся в таблице адресации.
n) Сохраните текущую конфигурацию в файл загрузочной конфигурации.
o) Настройте ПК-A.
p) Настройте на ПК-A IP-адрес и маску подсети.
q) Настройте на ПК-A шлюз по умолчанию.
r) Проверьте подключение к сети.
s) Отправьте эхо-запрос с помощью команды ping с ПК-A на маршрутизатор R1. Если эхо- запрос
с помощью команды ping не проходит, найдите и устраните неполадки подключения.
2:Настройка маршрутизатора для доступа по протоколу SSH
a) Подключение к сетевым устройствам по протоколу Telnet сопряжено с риском для
безопасности, поскольку вся информация передаётся в виде открытого текста. Протокол SSH шифрует
данные сессии и требует аутентификации устройств, поэтому для удалённых подключений
рекомендуется использовать именно его. В части 2 вам нужно настроить маршрутизатор для приёма
соединений по протоколу SSH по линиям VTY.
b) Настройте аутентификацию устройств.
c) При генерации ключа шифрования в качестве его части используются имя устройства и
домен.Поэтому эти имена необходимо указать перед вводом команды crypto key.
a. Задайте имя устройства.
Router(config)# hostname R1
b. Задайте домен для устройства.
R1(config)# ip domain-name ccna-lab.com
d) Создайте ключ шифрования с указанием его длины.
R1(config)# crypto key generate rsa modulus 1024
The name for the keys will be: R1.ccna-lab.com
% The key modulus size is 1024 bits
% Generating 1024 bit RSA keys, keys will be non-exportable... [OK] (elapsed time was 1 seconds)
R1(config)#
*Jan 28 21:09:29.867: %SSH-5-ENABLED: SSH 1.99 has been enabled
e) Создайте имя пользователя в локальной базе учетных записей.
R1(config)# username admin privilege 15 secret adminpass
Примечание. Уровень привилегий 15 дает пользователю права администратора.
f) Активируйте протокол SSH на линиях VTY.
a. Активируйте протоколы Telnet и SSH на входящих линиях VTY с помощью команды transport
input.
R1(config)# line vty 0 4
R1(config-line)# transport input telnet ssh
b. Измените способ входа в систему таким образом, чтобы использовалась проверка
пользователей по локальной базе учетных записей.
R1(config-line)# login local
R1(config-line)# end
R1#
g) Сохраните текущую конфигурацию в файл загрузочной конфигурации.
R1# copy running-config startup-config Destination filename [startup-config]? Building
configuration...
[OK] R1#
h) Установите соединение с маршрутизатором по протоколу SSH.
a. Запустите Tera Term с PC-A.
b. Установите SSH-подключение к R1. Используйте имя пользователя admin и пароль adminpass.
У вас должно получиться установить SSH-подключение к R1.
i) Сохраните текущую конфигурацию в файл загрузочной конфигурации.
3: Настройка коммутатора для доступа по протоколу SSH
Вам предстоит настроить коммутатор в топологии для приема подключений по протоколу SSH, а
затем установить SSH-подключение с помощью программы Tera Term.
a) Настройте основные параметры коммутатора.
a. Подключитесь к коммутатору с помощью консольного подключения и активируйте
привилегированный режим EXEC.
b. Войдите в режим конфигурации.
c. Отключите поиск DNS, чтобы предотвратить попытки маршрутизатора неверно
преобразовывать введенные команды таким образом, как будто они являются именами узлов.
d. Назначьте class в качестве зашифрованного пароля привилегированного режима EXEC.
e. Назначьте cisco в качестве пароля консоли и включите режим входа в систему по паролю.
f. Назначьте cisco в качестве пароля VTY и включите вход по паролю.
g. Зашифруйте открытые пароли.
h. Создайте баннер, который предупреждает о запрете несанкционированного доступа. i.
Настройте и активируйте на коммутаторе интерфейс VLAN 1, используя информацию, приведенную в
таблице адресации.
j. Сохраните текущую конфигурацию в файл загрузочной конфигурации.
b) Настройте коммутатор для соединения по протоколу SSH.
Для настройки протоколаSSHна коммутаторе используйте те же команды, которые применялись
для аналогичной настройки маршрутизатора в части 2.
a. Настройте имя устройства, как указано в таблице адресации. b. Задайте домен для устройства.
S1(config)# ip domain-name ccna-lab.com
c. Создайте ключ шифрования с указанием его длины.
S1(config)# crypto key generate rsa modulus 1024
d. Создайте имя пользователя в локальной базе учетных записей.
S1(config)# username admin privilege 15 secret adminpass
e. Активируйте протоколы Telnet и SSH на линиях VTY.
S1(config)# line vty 0 15
S1(config-line)# transport input telnet ssh
f. Измените способ входа в систему таким образом, чтобы использовалась проверка
пользователей по локальной базе учетных записей.
S1(config-line)# login local
S1(config-line)# end
c) Установите соединение с коммутатором по протоколу SSH.
Запустите программу Tera Term на PC-A, затем установите подключение по протоколу SSH к
интерфейсу SVI коммутатора S1.
Удалось ли вам установить SSH-соединение с коммутатором? Да.
4. Настройка протокола SSH с использованием интерфейса командной строки (CLI)
коммутатора
Клиент SSH встроен в операционную систему Cisco IOS и может запускаться из интерфейса
командной строки. Вам предстоит установить соединение с маршрутизатором по протоколу SSH,
используя интерфейс командной строки коммутатора.
a) Посмотрите доступные параметры для клиента SSH в Cisco IOS.
Используйте вопросительный знак (?), чтобы отобразить варианты параметров для команды ssh.
S1# ssh ?
-c Select encryption algorithm
-l Log in using this user name
-m Select HMAC algorithm
-o Specify options
-p Connect to this port
-v Specify SSH Protocol Version
-vrf Specify vrf name
WORD IP address or hostname of a remote system
b) Установите с коммутатора S1 соединение с маршрутизатором R1 по протоколу
SSH.
a. Чтобы подключиться к маршрутизатору R1 по протоколу SSH, введите команду – l admin. Это
позволит вам войти в систему под именем admin. При появлении приглашения введите в качестве
пароля adminpass
S1# ssh -l admin 192.168.1.1
Password:
***********************************************
Warning: Unauthorized Access is Prohibited!
***********************************************
R1#
b. Чтобы вернуться к коммутатору S1, не закрывая сеанс SSH с маршрутизатором R1, нажмите
комбинацию клавиш Ctrl+Shift+6. Отпустите клавиши Ctrl+Shift+6 и нажмите x. Отображается
приглашение привилегированного режима EXEC коммутатора.
R1# S1#
c. Чтобы вернуться к сеансу SSH на R1, нажмите клавишу Enter в пустой строке интерфейса
командной строки. Чтобы увидеть окно командной строки маршрутизатора, нажмите клавишу Enter еще
раз.
S1#
[Resuming connection 1 to 192.168.1.1 ... ]
R1#
d. Чтобы завершить сеанс SSH на маршрутизаторе R1, введите в командной строке
маршрутизатора команду exit.
1# exit
[Connection to 192.168.1.1 closed by foreign host] S1#
Какие версии протокола SSH поддерживаются при использовании интерфейса командной
строки?____________________________________________________________________________
Контрольные вопросы:
1. Как предоставить доступ к сетевому устройству нескольким пользователям, у каждого из
которых есть собственное имя пользователя?
2. Какие версии протокола SSH поддерживаются интерфейсом командной строки?
5.3.Обеспечение безопасности сетевых устройств
Задание
1. Настройка основных параметров устройства
2. Настройка основных мер обеспечения безопасности на маршрутизаторе
3. Настройка основных мер обеспечения безопасности на коммуникаторе
Таблица адресации
Устройство
Интерфейс
R1
G0/1
S1
VLAN 1
ПК-А
Сетевой адаптер
IP-адрес
192.168.1.1
192.168.1.11
192.168.1.3
Маска подсети
255.255.255.0
255.255.255.0
255.255.255.0
Шлюз по умолчанию
Недоступно
192.168.1.1
192.168.1.1
Общие сведения/сценарий
Все сетевые устройства рекомендуется настраивать с использованием хотя бы минимального
набора эффективных команд обеспечения безопасности. Это относится к устройствам конечных
пользователей, серверам и сетевым устройствам, таким как маршрутизаторы и коммутаторы.
В ходе лабораторной работы вы должны будете настроить сетевые устройства в топологии таким
образом, чтобы разрешать SSH-соединения для удаленного управления. Кроме того, вы должны будете
настроить основные эффективные меры обеспечения безопасности через интерфейс командной строки
операционной системы Cisco IOS. Затем вам необходимо будет протестировать меры обеспечения
безопасности и убедиться в том, что они правильно внедрены и работают без ошибок.
Примечание. Убедитесь, что у всех маршрутизаторов и коммутаторов была удалена начальная
конфигурация. Если вы не уверены, обратитесь к инструктору
Необходимые ресурсы
• 1 маршрутизатор (Cisco 1941 с ПО Cisco IOS версии 15.2(4)M3 с универсальным образом или
аналогичная модель)
• 1 коммутатор (Cisco 2960 с ПО Cisco IOS версии 15.0(2) с образом lanbasek9 или аналогичная
модель)
• 1 ПК (под управлением Windows 7 или 8 с программой эмуляции терминала, например, Tera
Term)
• Консольные кабели для настройки устройств Cisco IOS через консольные порты
• Кабели Ethernet, расположенные в соответствии с топологией.
Порядок выполнения работы:
1. Основные настройки устройства
a) Потребуется настройка топологии сети и основных параметров, таких как IPадреса интерфейсов, доступ к устройствам и пароли на маршрутизаторе.
b) Создайте сеть в соответствии с изображенной на схеме топологией.
c) Подключайте отображаемые в топологии устройства, а также кабель по мере необходимости.
d) Выполните инициализацию и перезагрузку маршрутизатора и коммутатора.
e) Настройте маршрутизатор.
f) Справку по командам, необходимым для протокола SSH, см. впредыдущей лабораторной
работе.
g) Подключите консоль к маршрутизатору и активируйте привилегированный режим.
h) Войдите в режим конфигурации.
i) Присвойте маршрутизатору имя R1.
j) Отключите поиск DNS, чтобы предотвратить попытки маршрутизатора неверного
преобразования введённых команд так, как если бы они были узлами.
k) Назначьте classв качестве пароля привилегированного режима.
l) Назначьте ciscoв качестве пароля консоли и включите вход по паролю.
m) Назначьте ciscoв качестве пароля виртуального терминала и включите вход по паролю.
n) Зашифруйте пароли, хранящиеся в открытом виде.
o) Создайте баннер с предупреждением о запрете несанкционированного доступа к устройству.
p) Настройте и активируйте интерфейс маршрутизатора G0/1 с помощью сведений,
содержащихся в таблице адресации.
q) Сохраните текущую конфигурацию в файл загрузочной конфигурации.
r) Настройте коммутатор.
s) Подключите консоль к коммутатору и активируйте привилегированный режим.
t) Войдите в режим конфигурации.
u) Присвойте коммутатору имя S1.
v) Отключите поиск DNS, чтобы предотвратить попытки маршрутизатора неверного
преобразования введённых команд так, как если бы они были узлами.
w) Назначьте class в качестве пароля привилегированного режима.
x) Назначьте cisco в качестве пароля консоли и включите вход по паролю.
y) Назначьте cisco в качестве пароля виртуального терминала и включите вход по паролю.
z) Зашифруйте пароли, хранящиеся в открытом виде.
aa) Создайте баннер с предупреждением о запрете несанкционированного доступа к устройству.
bb) Присвойте интерфейсу SVI, который используется по умолчанию, IP-адрес из таблицы
адресации.
cc) Сохраните текущую конфигурацию в файл загрузочной конфигурации.
2. Настройка основных мер безопасности на маршрутизаторе
a) Зашифруйте открытые пароли.
R1(config)# service password-encryption
b) Используйте надёжные пароли.
Администратор должен следить за тем, чтобы пароли отвечали стандартным рекомендациям по
созданию надёжных паролей. Рекомендации могут включать сочетание в пароле букв, цифр и
специальных символов и определять его минимальную длину.
Примечание. Согласно рекомендациям по обеспечению эффективной работы в
производственной среде необходимо использовать надёжные пароли, такие как приводятся в этой
лабораторной работе. Однако для простоты выполнения лабораторных работ в данном курсе
используются пароли cisco и class.
c) Чтобы соблюсти рекомендации, измените зашифрованный пароль привилегированного
режима.
R1(config)# enable secret Enablep@55
d) Укажите, что пароль должен включать не менее десяти символов.
R1(config)# security passwords min-length 10
e) Активируйте подключения SSH.
f) В качестве имени домена укажите CCNA-lab.com.
R1(config)# ip domain-name CCNA-lab.com
g) Создайте в базе данных локальных пользователей запись, которая будет использоваться при
подключении к маршрутизатору через SSH. Пароль должен соответствовать стандартам надёжных
паролей, а пользователь — иметь права доступа уровня администратора.
R1(config)# username admin privilege 15 secret Admin15p@55
h) Настройте транспортный ввод для vty-линий таким образом, чтобы они могли принимать
подключения SSH, но не разрешайте подключения Telnet.
R1(config)# line vty 0 4
R1(config-line)# transport input ssh
i) Для проверки подлинности в vty-линиях должна использоваться база данных локальных
пользователей.
R1(config-line)# login local
R1(config-line)# exit
j) Создайте ключ шифрования RSA с длиной 1024 бит.
R1(config)# crypto key generate rsa modulus 1024
The name for the keys will be: R1.CCNA-lab.com
% The key modulus size is 1024 bits
% Generating 1024 bit RSA keys, keys will be non-exportable... [OK] (elapsed time was 2 seconds)
R1(config)#
*Jan 31 17:54:16.127: %SSH-5-ENABLED: SSH 1.99 has been enabled
k) Обеспечьте защиту консоли и vty-линий.
l) Маршрутизатор можно настроить таким образом, чтобы он завершал сеанс подключения,
неактивного в течение указанного времени. Если сетевой администратор вошёл в систему сетевого
устройства, а потом был внезапно вызван в другое место, по истечении установленного времени эта
команда автоматически завершит сеанс подключения. Приведённые ниже команды закрывают линию
связи через пять минут неактивности.
R1(config)# line console 0
R1(config-line)# exec-timeout 5 0
R1(config-line)# line vty 0 4
R1(config-line)# exec-timeout 5 0
R1(config-line)# exit
R1(config)#
m) Указанная ниже команда препятствует входу в систему с использованием метода полного
перебора. Маршрутизатор блокирует попытки входа в систему на 30 секунд, если в течение 120 секунд
будет дважды введён неверный пароль. На этом таймере установлено низкое значение специально для
выполнения данной лабораторной работы.
R1(config)# login block-for 30 attempts 2 within 120
n) Ответьте на вопросы:
Что означает 2 within 120 в приведённой выше команде? ____________________
Что означает block-for 30в приведённой выше команде? ________________________
o) Убедитесь, что все неиспользуемые порты отключены.
По умолчанию порты маршрутизатора отключены, однако рекомендуется лишний раз убедиться,
что все неиспользуемые порты административно отключены. Для этого можно воспользоваться
командой show ip interface brief. Все неиспользуемые порты, не отключенные административно,
необходимо отключить с помощью команды shutdown в режиме конфигурации интерфейса.
R1# show ip interface brief
Interface
IP-Address
OK?
Method
Status
Protocol
Embedded-Serviceunassigned
YES
NVRAM
administratively
down
Engine0/0
down
GigabitEthernet0/0
unassigned
YES
NVRAM
GigabitEthernet0/1
Serial0/0/0
192.168.1.1
unassigned
YES
YES
manual
NVRAM
Serial0/0/1
unassigned
YES
NVRAM
administratively
down
up
administratively
down
administratively
down
down
up
down
down
R1#
p) Убедитесь, что все меры безопасности предприняты должным образом.
q) С помощью программы Tera Term подключитесь к R1 по протоколу Telnet.
Принимает ли R1 подключение по протоколу Telnet? Поясните свой ответ._____________
r) С помощью программы Tera Term подключитесь к R1 по протоколу SSH.
Принимает ли R1 подключение по протоколу SSH?_________________________________
s) Намеренно укажите неверное имя пользователя и пароль, чтобы проверить, будет ли
заблокирован доступ к системе после двух неудачных попыток.
t) Что произошло после ввода неправильных данных для входа в систему во второй раз?
_____________________________________________________________________________
u) Из консольной сессии на маршрутизаторе отправьте команду show login, чтобы проверить
состояние входа в систему. В приведённом ниже примере команда show login была отправлена в
течение 30-секундной блокировки доступа к системе и показывает, что маршрутизатор находится в
режиме «Quiet». Маршрутизатор не будет принимать попытки входа в систему в течение еще 14 секунд.
R1# show login
A default login delay of 1 second is applied.
No Quiet-Mode access list has been configured.
Router enabled to watch for login Attacks.
If more than 2 login failures occur in 120 seconds or less,
logins will be disabled for 30 seconds.
Router presently in Quiet-Mode.
Will remain in Quiet-Mode for 14 seconds.
Denying logins from all sources.
R1#
v) По истечении 30 секунд повторите попытку подключения к R1 по протоколу SSH и войдите в
систему, используя имя пользователя adminи пароль Admin15p@55.
w) Что отобразилось после успешного входа в систему?______________________________
x) Выберите привилегированный режим и укажите в качестве пароля Enablep@55.
w) Если вы неправильно укажете пароль, прервётся ли подключение по протоколу SSH после
двух неудачных попыток в течение 120 секунд? Поясните свой ответ.___________________
z) Введите команду show running-config в строке привилегированного режима для просмотра
установленных параметров безопасности.
3. Настройка основных мер безопасности на коммутаторе
a) Зашифруйте открытые пароли.
S1(config)# service password-encryption
b) Выберите более надёжные пароли для коммутатора.
Чтобы соблюсти рекомендации по созданию надёжных паролей, измените зашифрованный
пароль привилегированного режима.
S1(config)# enable secret Enablep@55
Примечание. Команда безопасности password min-lengthна коммутаторах модели 2960 не
используется.
c) Активируйте подключения SSH.
d) В качестве имени домена укажите CCNA-lab.com. e) S1(config)# ip domain-name CCNA-lab.com
f) Создайте в базе данных локальных пользователей запись, которая будет использоваться при
подключении к маршрутизатору через SSH. Пароль должен соответствовать стандартам надёжных
паролей, а пользователь — иметь права доступа уровня администратора.
S1(config)# username admin privilege 15 secret Admin15p@55
g) Настройте транспортный ввод для vty-линий таким образом, чтобы они могли принимать
подключения SSH, но не разрешайте подключения Telnet.
S1(config)# line vty 0 15
S1(config-line)# transport input ssh
h) Для проверки подлинности в vty-линиях должна использоваться база данных локальных
пользователей.
S1(config-line)# login local
S1(config-line)# exit
Создайте ключ шифрования RSA с длиной 1024 бит. S1(config)# crypto key generate rsa modulus
1024
i) Обеспечьте защиту консоли и vty-линий.
j)
Настройте коммутатор таким образом, чтобы он закрывал линию через десять минут
отсутствия активности.
S1(config)# line console 0
S1(config-line)# exec-timeout 10 0
S1(config-line)# line vty 0 15
S1(config-line)# exec-timeout 10 0
S1(config-line)# exit
S1(config)#
k) Чтобы помешать попыткам входа в систему с использованием метода полного перебора,
настройте коммутатор таким образом, чтобы он блокировал доступ к системе на 30 секунд после двух
неудачных попыток входа за 120 секунд. На этом таймере установлено низкое значение специально для
выполнения данной лабораторной работы.
S1(config)# login block-for 30 attempts 2 within 120
S1(config)# end
l) Убедитесь, что все неиспользуемые порты отключены.
m) По умолчанию порты коммутатора включены. Отключите на коммутаторе все
неиспользуемые порты.
n)
Состояние портов коммутатора можно проверить с помощью команды show ip interface
brief.
S1# show ip interface brief
Чтобы отключить сразу несколько интерфейсов, воспользуйтесь командой interface range.
S1(config)# interface range f0/1–4 , f0/7-24 , g0/1-2
S1(config-if-range)# shutdown
S1(config-if-range)# end
S1#
o) Убедитесь, что все неактивные интерфейсы административно отключены.
S1# show ip interface brief
p)
Убедитесь, что все меры безопасности предприняты должным образом. q) Убедитесь,
что протокол Telnet на коммутаторе отключён.
r)
Подключитесь к коммутатору по протоколу SSH и намеренно укажите неверное имя
пользователя и пароль, чтобы проверить, будет ли заблокирован доступ к системе.
s)
По истечении 30 секунд повторите попытку подключения к S1 по протоколу SSH и
войдите в систему, используя имя пользователя adminи пароль Admin15p@55.
t)
Появился ли баннер после успешного входа в систему? Выберите привилегированный
режим, используя Enablep@55в качестве пароля.
u)
Введите команду show running-configв строке привилегированного режима для просмотра
установленных параметров безопасности.
Контрольные вопросы:
1. В задании 1 для консоли и vty-линий в вашей основной конфигурации была введена команда
passwordcisco. Когда используется этот пароль после применения наиболее эффективных мер
обеспечения безопасности?
2. Распространяется ли команда security passwords min-length 10на настроенные ранее пароли,
содержащие меньше десяти символов?