11.2.4.5 Lab - Dostęp do urządzeń sieciowych przy użyciu SSH.pdf

(2841 KB) Pobierz
Laboratorium - Dostęp do urządzeń sieciowych przy użyciu SSH
Topologia
Tabela z adresami IP
Urządzenie
R1
S1
PC-A
Interfejs
G0/1
VLAN 1
NIC
Adres IP
192.168.1.1
192.168.1.11
192.168.1.3
Maska podsieci
255.255.255.0
255.255.255.0
255.255.255.0
Brama domyślna
N/A
192.168.1.1
192.168.1.1
Cele
Część 1: Podstawowa konfiguracja urządzeń
Część 2: Konfiguracja dostępu SSH na ruterze
Część 3: Obserwacja sesji Telnet przy pomocy Wireshark
Część 4: Obserwacja sesji SSH przy pomocy Wireshark
Część 5: Konfiguracja dostępu SSH na przełączniku
Część 6: Użycie SSH z wiersza poleceń (CLI) na przełączniku
Wprowadzenie/Scenariusz
W przeszłości Telnet był najczęściej używanym protokołem sieciowym do zdalnej konfiguracji urządzeń
sieciowych. Jednakże protokoły takie jak Telnet nie pozwalają na uwierzytelnienie i szyfrowanie informacji
przesyłanej pomiędzy klientem i serwerem. Pozwala to na przechwytywanie haseł i konfiguracji przy pomocy
programu przechwytującego ruch w sieci (network sniffer).
Secure Shell (SSH) jest protokołem sieciowym, który pozwala ustanowić bezpieczne połączenie z emulatora
terminala do rutera lub innego urządzenia sieciowego. SSH szyfruje całą informację przenoszoną przez łącze
sieciowe i dostarcza mechanizm uwierzytelnienia zdalnego komputera. SSH szybko zastępuje Telnet w roli
narzędzia do zalogowania na zdalnym urządzeniu i jest wybierane przez specjalistów sieciowych. SSH jest
zazwyczaj używane do zalogowania i wydawania poleceń na zdalnym urządzeniu; jednakże pozwala również na
transfer plików przy użyciu stowarzyszonych z nim protokołów Secure FTP (SFTP) lub Secure Copy (SCP).
Aby skorzystać z funkcji SSH do komunikacji z urządzeniami sieciowymi muszą być one skonfigurowane do
obsługi tego protokołu. W dzisiejszym laboratorium włączysz serwer SSH na ruterze i połączysz się z nim
używając PC-ta z zainstalowanym klientem SSH. W sieci lokalnej połączenie jest wykonywane z użyciem
Ethernetu i protokołu IP.
W czasie laboratorium będziesz konfigurować ruter aby akceptował połączenia SSH oraz użyjesz Wireshark do
przechwytywania i oglądania sesji Telnet i SSH. Pozwoli to zademonstrować jak ważne jest szyfrowanie z
użyciem SSH. Podejmiesz też wyzwanie skonfigurowania przełącznika do obsługi twoich połączeń przy użyciu
SSH.
Uwaga:
Niniejsza instrukcja zakłada użycie ruterów Cisco 1941 Integrated Services Routers (ISRs) z
oprogramowaniem Cisco IOS Release 15.2(4) M3 (universalk9 image). Można zastosować inne rutery i wersje
IOS. W zależności od modelu i wersji oprogramowania IOS Cisco dostępne polecenia i ich wyniki mogą się różnić
od przedstawionych w tej instrukcji. Na końcu instrukcji znajduje się tabela zawierająca zestawienie interfejsów
ruterów, które można użyć na laboratorium, ułatwi ona poprawną identyfikację interfejsów.
Uwaga:
Sprawdź czy na ruterach i przełącznikach została skasowana konfiguracja. Jeżeli tak nie jest poproś
instruktora o pomoc.
© 2013 Cisco and/or its affiliates. All rights reserved. This document is Cisco Public.
Page
1
of
9
Tłumaczenie i uzupełnienia: Jarosław Janukiewicz, Katedra Telekomunikacji i Teleinformatyki Politechniki Wrocławskiej, maj 2014
Laboratorium - Dostęp do urządzeń sieciowych przy użyciu SSH
Wymagane zasoby
1 Ruter (Cisco 1941 z Cisco IOS Release 15.2(4)M3 universal image lub podobny)
1 Przełącznik (Cisco 2960 z Cisco IOS Release 15.0(2) lanbasek9 image lub podobny)
1 PC (Windows 7, Vista, lub XP z zainstalowanymi programami emulatora terminala, takim jak Tera Term lub
PuTTy oraz Wireshark)
Kable konsolowe do konfiguracji urządzeń z IOS przez port konsoli
Kable Ethernet tak jak pokazano na rysunku
Część 1.
Podstawowa konfiguracja urządzeń
W pierwszej części wykonaj okablowanie zgodnie z topologią oraz wykonaj podstawową konfigurację rutera
obejmującą adresację IP interfejsów, dostęp do urządzenia i hasła.
Krok 1. Okabluj sieć zgodnie z topologią pokazaną na rysunku.
Krok 2. Wyczyść konfigurację i przeładuj (reload) ruter i przełącznik.
Krok 3. Skonfiguruj ruter.
a. Podłącz się do konsoli na ruterze i wejdź (enable) na poziom uprzywilejowany (privileged EXEC).
b. Włącz tryb konfiguracji (configure terminal).
c.
Wyłącz zapytania do DNS (DNS lookup) aby zapobiec próbie niepotrzebnej translacji nazw przez ruter w
przypadku gdy wprowadzimy błędne polecenie, które zostanie potraktowane jak nazwa hosta.
d. Na poziomie uprzywilejowanym ustaw zaszyfrowane (encrypted) hasło na
class.
e. Ustaw
cisco
jako hasło konsoli i zezwól na zalogowanie (enable login).
f.
Ustaw
cisco
jako hasło na liniach vty i zezwól na zalogowanie (enable login).
g. Włącz szyfrowanie haseł zapisanych jawnym tekstem.
h. Utwórz baner (banner), który będzie ostrzegał wszystkich,
że
nieautoryzowany dostęp do urządzenia jest
zakazany.
i.
j.
Skonfiguruj i aktywuj interfejs G0/1 (F0/1) na ruterze używając informacji odczytanych z tabeli z adresacją.
Zachowaj konfigurację w pliku startup.
Konfiguracja PC-A.
k.
l.
Skonfiguruj PC-A z właściwym adresem IP i maską podsieci.
Skonfiguruj bramę domyślną na PC-A.
Sprawdź łączność w sieci.
Wykonaj ping do R1 z PC-A. Jeżeli próba będzie nieudana sprawdź połączenie.
Część 2.
Konfiguracja dostępu SSH na ruterze
Używanie protokołu Telnet do łączenia z urządzeniami sieciowymi jest obarczone ryzykiem gdyż informacja jest
transmitowania w postaci jawnego tekstu. SSH szyfruje dane w sesji i pozwala na uwierzytelnienie urządzenia.
Z tego powodu rekomenduje się SSH dla zdalnych połączeń. W części drugiej, będziesz konfigurować ruter tak
aby akceptował połączenia SSH na liniach VTY.
Konfiguracja uwierzytelniania urządzenia.
Nazwa urządzenia i nazwa domeny są używane jako element generacji klucza szyfrującego. Z tego powodu przed
użyciem polecenia
crypto key
należy ustalić obie nazwy.
© 2013 Cisco and/or its affiliates. All rights reserved. This document is Cisco Public.
Page
2
of
9
Tłumaczenie i uzupełnienia: Jarosław Janukiewicz, Katedra Telekomunikacji i Teleinformatyki Politechniki Wrocławskiej, maj 2014
Laboratorium - Dostęp do urządzeń sieciowych przy użyciu SSH
a. Konfiguracja nazwy urządzenia.
Router(config)#
hostname R1
b. Konfiguracja nazwy domeny dla urządzenia.
R1(config)#
ip domain-name ccna-lab.com
Generacja klucza szyfrującego.
R1(config)#
crypto key generate rsa modulus 1024
The name for the keys will be: R1.ccna-lab.com
% The key modulus size is 1024 bits
% Generating 1024 bit RSA keys, keys will be non-exportable...
[OK] (elapsed time was 1 seconds)
R1(config)#
*Jan 28 21:09:29.867: %SSH-5-ENABLED: SSH 1.99 has been enabled
Konfiguracja użytkownika w lokalnej bazie danych (local database username).
R1(config)#
username admin privilege 15 secret adminpass
R1(config)#
*Feb 6 23:24:43.971: End->Password:QHjxdsVkjtoP7VxKIcPsLdTiMIvyLkyjT1HbmYxZigc
R1(config)#
Uwaga:
Piętnasty poziom uprzywilejowania (privilege level of 15) daje prawa administratora.
Włącz SSH na liniach VTY.
c.
Włącz obsługę protokołów Telnet i SSH dla ruchu przychodzącego na linie VTY używając polecenia
transport input.
R1(config)#
line vty 0 4
R1(config-line)#
transport input telnet ssh
d. Zmień metodę zalogowania używając lokalną bazę danych do sprawdzenia użytkownika.
R1(config-line)#
login local
R1(config-line)#
end
R1#
Zachowaj aktualną konfigurację (running configuration) w pliku startup.
R1#
copy running-config startup-config
Destination filename [startup-config]?
Building configuration...
[OK]
R1#
Część 3.
Obserwacja sesji Telnet przy pomocy Wireshark
W części trzeciej będziesz używać Wireshark do przechwytywania i oglądania danych przesyłanych w czasie sesji
Telnet do rutera. Użyj Tera Term lub PuTTy aby połączyć się telnetem do R1, zaloguj się i wydaj polecenie
show
run
na ruterze.
Uwaga:
Jeżeli oprogramowanie klienta Telnet/SSH nie jest zainstalowane na twoim PC musisz je zainstalować
nim przejdziesz dalej. Dwa popularne darmowe pakiety to Tera Term (http://download.cnet.com/Tera-Term/3000-
20432_4-75766675.html)
i PuTTy (www.putty.org).
Uwaga:
Telnet nie jest dostępny domyślnie w linii poleceń Windows 7. Telnet może być aktywowany przez
ustawienie w
Start
>
Control Panel
>
Programs
>
Programs and Features
>
Turn Windows features
na
on
lub
off.
Zaznacz
Telnet Client
I kliknij na
OK.
© 2013 Cisco and/or its affiliates. All rights reserved. This document is Cisco Public.
Page
3
of
9
Tłumaczenie i uzupełnienia: Jarosław Janukiewicz, Katedra Telekomunikacji i Teleinformatyki Politechniki Wrocławskiej, maj 2014
Laboratorium - Dostęp do urządzeń sieciowych przy użyciu SSH
Otwórz Wireshark i rozpocznij przechwytywanie danych (start capturing data) na interfejsie LAN.
Uwaga:
Jeżeli nie można uruchomić przechwytywania na interfejsie LAN oznacza to,
że
Wireshark musi być
otwarty w trybie
Run as Administrator.
Uruchom sesję Telnet do rutera.
a. Otwórz
Tera Term
lub
PuTTY
i zaznacz
Telnet
następnie wpisz w pole Host
192.168.1.1.
Jaki jest domyślny port TCP dla sesji Telnet? _________________
b. Po Username: wpisz
admin
i po Password: wpisz
adminpass.
Podpowiedzi (prompts) Username i Password
są generowane ponieważ wcześniej zostało skonfigurowane na liniach VTY użycie lokalnej bazy danych
przez polecenie
login local.
c.
Wykonaj polecenie
show run.
R1#
show run
d. Napisz
exit
aby wyjść z sesji Telnet i zakończyć program Tera Term (PuTTY).
R1#
exit
Zatrzymaj przechwytywanie pakietów (capture) w Wireshark.
Wpisz telnet w polu Filter w Wireshark aby odfiltrować pakiety protokołu Telnet.
© 2013 Cisco and/or its affiliates. All rights reserved. This document is Cisco Public.
Page
4
of
9
Tłumaczenie i uzupełnienia: Jarosław Janukiewicz, Katedra Telekomunikacji i Teleinformatyki Politechniki Wrocławskiej, maj 2014
Laboratorium - Dostęp do urządzeń sieciowych przy użyciu SSH
Użyj funkcji Follow TCP Stream w Wireshark aby zobaczyć sesję Telnet.
e. Naciśnij prawy przycisk na jednej z linii
Telnet
w sekcji
Packet list
programu Wireshark i z rozwiniętej listy
wybierz
Follow TCP Stream.
f.
Okno
Follow TCP Stream
pokazuje dane wymieniane w czasie sesji Telnet z serwerem. Cała sesja jest
wyświetlona jako jawny tekst włącznie z twoim hasłem. Odnotujmy, ze nazwa użytkownika i polecenia
show
run
są wyświetlone podwójnie. Spowodowane jest to tym,
że
serwer odsyła przesyłane do niego znaki (echo)
tak aby było możliwe pokazanie wpisywanych znaków na ekranie.
g. Po zakończeniu przeglądania sesji Telnet zamknij okno
Follow TCP Stream
przez kliknięcie na
Close.
Część 4.
Obserwacja sesji SSH przy pomocy Wireshark
W części czwartej będziesz używać programu Tera Term lub PuTTY do ustanowienia sesji SSH z ruterem.
Wireshark będzie używany do przechwytywania i oglądania danych przesyłanych w czasie w tej sesji SSH.
© 2013 Cisco and/or its affiliates. All rights reserved. This document is Cisco Public.
Page
5
of
9
Tłumaczenie i uzupełnienia: Jarosław Janukiewicz, Katedra Telekomunikacji i Teleinformatyki Politechniki Wrocławskiej, maj 2014

Plik z chomika:

Inne pliki z tego folderu:

Inne foldery tego chomika:

Zgłoś jeśli naruszono regulamin