МИНИСТЕРСТВО ЦИФРОВОГО РАЗВИТИЯ,
СВЯЗИ И МАССОВЫХ КОММУНИКАЦИЙ РОССИЙСКОЙ ФЕДЕРАЦИИ
ФЕДЕРАЛЬНОЕ ГОСУДАРСТВЕННОЕ БЮДЖЕТНОЕ ОБРАЗОВАТЕЛЬНОЕ
УЧРЕЖДЕНИЕ ВЫСШЕГО ОБРАЗОВАНИЯ
«САНКТ-ПЕТЕРБУРГСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ ТЕЛЕКОММУНИКАЦИЙ ИМ. ПРОФ. М.А. БОНЧ-БРУЕВИЧА»
(СПбГУТ)
Факультет Инфокоммуникационных сетей и систем
Кафедра Защищенных систем связи
Дисциплина Основы маршрутизации в компьютерных сетях
ОТЧЕТ ПО ЛАБОРАТОРНОЙ РАБОТЕ №5
Направление/специальность подготовки
10.03.01 Информационная безопасность
(код и наименование направления/специальности)
Выполнили стойка 10:
Травкина Е.А., ИКБ-14
(Ф.И.О., № группы) (подпись)
Федченко А.С., ИКБ-14
(Ф.И.О., № группы) (подпись)
Мельцин Л.М., ИКБ-14
(Ф.И.О., № группы) (подпись)
Преподаватель:
доц. Беккель Л.С.
(Ф.И.О., № группы) (подпись)
5.1.1 Настройка ntp. Нет ntp-сервера
1. Конфигурирование NTP.
Шаг 1. На R1 из привилегированного режима командой config проходим в режим глобальной конфигурации.
R1# config
R1(config)#
Шаг 2. Включить работу протокола NTP на R1.
R1(config)# ntp enable
Шаг 3. Установить адрес NTP-сервера:
R1(config)# ntp server 10.0.1.1
Шаг 4. Установить адрес-источник для пакетов NTP:
R1(config)# ntp source address 10.0.1.30
Шаг 5. Установить равноправного узла (peer), с которым будет синхронизация NTP:
R1(config)# ntp peer 10.0.1.1
R1(config-ntp)#
Шаг 6. Установить минимальный интервал опрашивания в секундах:
R1(config-ntp)# minpoll 4
Шаг 7. Установить максимальный интервал опрашивания в секундах:
R1(config-ntp)# maxpoll 10
Шаг 8. Сделать этого равноправного узла предпочитаемым источником:
R1(config-ntp)# prefer
Шаг 9. Установить версию протокола NTP:
R1(config-ntp)# version 4
R1(config-ntp)# exit
Шаг 10. Установить часовой пояс:
R1(config)# clock timezone gmt +7
Шаг 11. Создадим список номеров портов object-group типа service с именем NTP_PORT, куда поместим номер порта UDP 123.
R1(config)# object-group service NTP_PORT
R1(config-object-group-service)# port-range 123
R1(config-object-group-service)# exit
R1(config)#
Шаг 12. Настроим правила взаимодействия между зонами безопастности для NTP.
R1(config)# security zone-pair LAN self
R1(config-security-zone-pair)# rule 50
R1(config-security-zone-pair-rule)# match protocol udp
R1(config-security-zone-pair-rule)# match destination-port NTP_PORT
R1(config-security-zone-pair-rule)# action permit
R1(config-security-zone-pair-rule)# enable
R1(config-security-zone-pair-rule)# exit
R1(config-security-zone-pair)# exit
R1(config)#
Шаг 13. Применим и подтвердим настроенную конфигурацию.
R1# commit
R1# confirm
Шаг 14. Проверили бы с помощью команд show ntp configuration. Но ntp сервер не настроен.
R1# show ntp configuration
5.2.1 Настройка aaa.
1. Создание и управление паролями.
Шаг 1. На R1 из привилегированного режима командой config проходим в режим глобальной конфигурации.
R1# config
R1(config)#
Шаг 2. Создать пароль при переходе пользователей из непривилегированного (пользовательского) режима в привилегированный и одновременным повышением уровень привилегий пользователя до определённого уровня (с 2 по 15 уровень). То есть, если пользователь с уровнем привилегий 1 зайдёт под этим паролем ELTEXenable123, то его уровень привилегий будет поднят до 9.
Примечание. По умолчанию пароль не установлен, если его не задать, то никто не сможет перейти в привилегированный режим. При этом, пользователи с уровнем привилегий 15 сразу подключаются и оказываются в привилегированном режиме.
R1(config)# enable password ELTEXenable123 privilege 9
Шаг 3. Укажем время жизни пароля для всех пользователей, в днях. Чтобы каждый месяц (раз в 30 дней) пользователь вводил новый пароль.
R1(config)# security passwords lifetime 30
Шаг 4. Укажем минимальную длину пароля для всех пользователей, в количестве символов.
R1(config)# security passwords min-length 10
Шаг 5. Укажем максимальную длину пароля для всех пользователей, в количестве символов.
R1(config)# security passwords max-length 32
Шаг 6. Укажем количество разных сменных паролей для каждого пользователя, хранящийся в памяти маршрутизатора. Чтобы каждый месяц (раз в 30 дней) пользователь вводил новый пароль, и при этом не повторял один из старых паролей в течении 1 года. Для этого нам необходимо указать число 11, то есть на 1 год всего будет 12 разных паролей.
R1(config)# security passwords history 11
Шаг 7. Укажем минимальное количество различных типов символов.
Примечание. Например, строчные буквы, заглавные буквы и цифры – вот 3 типа символов. Это требование будет распространяться на все локальные пароли и пользователей, но не распростаняется на удалённых пользователей (RADIUS, TACACS, LDAP, PPPTP, L2TP и PPPoE), а также не применяется к аутентификации протоколов динамической маршрутизации (RIP, OSPF, IS-IS, BGP).
После применения и подтверждения команда будет сразу действовать для создания новых паролей, но не будет применяться к текущему установленному паролю до истечения времени его жизни (то есть для admin пароль ещё 29 дней останется password, если его не заменят вручную)
R1(config)# security passwords symbol-types 3
R1(config)# exit
Шаг 8. Применим и подтвердим настроенную конфигурацию.
R1# commit
R1# confirm
2. Создание и управление пользователями.
Шаг 1. На R1 из привилегированного режима командой config проходим в режим глобальной конфигурации.
R1# config
R1(config)#
Шаг 2. Создадим пользователя ivan и перейдём в режим настройки этого пользователя. Если нужно удалить пользователя, то необходимо ввести команду no username ivan.
R1(config)# username ivan
R1(config-user)#
Шаг 3. Зададим пользователю ivan уровень привелегий 9.
R1(config-user)# privilege 9
Шаг 4. Зададим пользователю ivan пароль по настроенным ранее требованиям (символовв пароле от 10 до 120, типы символов минимум 3 разных).
R1(config-user)# prassword ELTEXuser123
Шаг 5. Применим и подтвердим настроенную конфигурацию.
R1# commit
R1# confirm
Шаг 6. Проверим командами show (см. рис. 1).
R1# show users accounts
Рис. 1. Вывод пользователей
Шаг 7. Также для проверки пользователя выходим из-под аккаунта admin и зайти под пользователем ivan и попробовать настроить IP-адрес на интерфейсе gi 1/0/2.
R1# exit
R1 login: ivan
Password: ELTEXuser123
R1# show users (см. рис. 2)
Пользователь ivan ничего не может настроить имея уровень привилегий 9.
Рис. 2. Команда show users под авторизацией пользователя ivan
Шаг 8. Выходим из аккаунта ivan c уровнем привилегий 9 и заходим под пользователем admin с паролем password.
R1# exit
R1 login: admin
Password: password
R1#
Шаг 9. Разрешим пользователю с уровнем привилегий 9 мог просматривать полностью конфигурацию устройства, а также менять IP-адреса интерфейсов.
Для этого необходимо понизить уровень привилегий для выполнения команд команд: show running-config, configure, interface, ip address, no ip address, commit и confirm до 9.
R1(config)# privilege root level 9 “show running-config”
R1(config)# privilege root level 9 “commit”
R1(config)# privilege root level 9 “confirm”
R1(config)# privilege root level 9 “configure”
R1(config)# privilege config level 9 “interface”
R1(config)# privilege config-subif level 9 “ip address”
R1(config)# privilege config-subif level 9 “no ip address”
R1(config)# exit
Шаг 10. Применим и подтвердим настроенную конфигурацию.
R1# commit
R1# confirm
Шаг 11. Ещё раз для проверки пользователя выходим из под аккаунта admin и заходим под пользователем ivan и ещё раз пробуем настроить IP-адрес на интерфейсе gi 1/0/2.
R1# exit
R1 login: ivan
Password: ELTEXuser123
R1# config
R(config)# interface gi 1/0/2.211
R(config-if-gi)# no ip address 192.168.0.1/30
R(config-if-gi)# ip address 192.168.0.1/30
R1# (config-if-gi)# end
R1# commit
R1# confirm
Видим, что в этот раз всё получилось
R1# exit
R1 login: admin
Password: password
Шаг 12. Зададим учёт сессий пользователя.
R1# config
R(config)# aaa accounting login start-stop radius
Шаг 13. Настроим блокировку пользователей, когда количество попыток подключения с неправильным пароле превышает определённое пороговое значение. Также эта настройка предотвращает и делает бесполезной атаки типа «методом перебора паролей». Установим 3 попытки неверно введённого пароля, после которых пользователь будет заблокирован на 10 минут (600 секунд).
R(config)# aaa authentication attempts max-fail 3 600
R(config)# exit
3. Настройка аутентификации по RADIUS. НЕ ВЫПОЛНЯЛИ. Но вот как могли бы…
Шаг 1. На R1 из привилегированного режима командой config проходим в режим глобальной конфигурации.
R1# config
R1(config)#
Шаг 2. Выполним настройку взаимодействия маршрутизатора с RADIUS-сервером. Настройку самого RADIUS-сервера мы не рассматриваем, но нам важно: знать IP-адрес RADIUS-сервера, должен совпадать ключ аутентификации и номер порта RADIUS-сервера, а также на самом RADIUS-сервере должен быть разрешен приём пакетов с IP-адреса маршрутизатора. Укажем IP-адрес RADIUS-сервера.
R1(config)# radius-server host 10.0.1.1
R1(config-radius-server)#
Шаг 3. Укажем номер порта для обмена данными с удалённым RADIUS-сервером при выполнении аккаунтинга. Оставим как есть, то есть по умолчанию 1813.
R1(config-radius-server)# acct-port 1813
Шаг 4. Укажем номер порта для обмена данными с удалённым RADIUS-сервером при выполнении аутентификации и авторизации. Оставим как есть, то есть по умолчанию 1812.
R1(config-radius-server)# auth-port 1812
Шаг 5. Укажем ключ аутентификации с RADIUS-сервером eltex123.
R1(config-radius-server)# key ascii-text eltex123
Шаг 6. Укажем этот RADIUS-сервер самым приоритетным, чтобы к нему в первую очередь шло обращение от маршрутизатора, в случае если будут добавлены ещё RADIUS-серверы.
R1(config-radius-server)# priority 1
Шаг 7. Укажем количество попыток подключений к RADIUS-серверу, установим 3 попытки.
R1(config-radius-server)# retransmit 3
Шаг 8. Укажем промежуток времени между попытками подключения к RADIUS-серверу, установим 10 секунд.
R1(config-radius-server)# timeout 10
Шаг 9. Укажем промежуток времени, в течении которого не отправлять запросы на RADIUS-сервер, после использования всех установленных retransmit попыток подключения, установим 30 секунд. То есть, работать будет так: 1 попытка, ждём 10 секунд, 2 попытка, ждём 10 секунд, 3 попытка, ждём 10 секунд, и если нет ответа, то после этого 30 секунд не пытаемся связаться с RADIUS-сервером, затем всё повторим сначала.
R1(config-radius-server)# dead-interval 30
Шаг 10. Укажем на маршрутизаторе IP-адрес определённого интерфейса, как адрес источника, постоянный для подключения к RADIUC-серверу (этот IP-адрес должен быть известен и разрешён на сервере).
R1(config-radius-server)# source-address 10.0.1.30
Шаг 11. Укажем режим использования RADIUS-сервера для всех типов соединения.
R1(config-radius-server)# usage all
R1(config-radius-server)# exit
Шаг 12. Укажем значение DSCP для RADIUS-сервера, по умолчанию это максимальное значение (63), поэтому снизим приоритетность такого трафика до 40.
R1(config)# exit
Шаг 13. Применим и подтвердим настроенную конфигурацию.
R1# commit
R1# confirm
Шаг 14. Проверим с помощью команд show.
R1# show aaa radius-servers
4. Методы и способы аутентификации.
Шаг 1. На R1 из привилегированного режима командой config проходим в режим глобальной конфигурации.
R1# config
R1(config)#
Шаг 2. Включим возможность подключения к R1 с помощью протокола SSH.
R1(config)# ip ssh server
Шаг 2. Отключим возможность подключения к R1 по протоколу TELNET.
R1(config)# line telnet
R1(config-line-telnet)# no login authentication
R1(config-line-telnet)# exit
Шаг 3. Создадим профиль аутентификации с именем SPISOK_METODOV_AAA для организации правил обработки различных методов аутентификации. Укажем по порядку, сначала по RADIUS-серверу, а затем проверять по локальной базе пользователей (находится в памяти маршрутизатора). В профиле методы задаются в порядке очереди, то есть первым будет radius, вторым local и т.д. (до 4-х методов)
R1(config)# aaa authentication login SPISOK_METODOV_AAA radius local
Шаг 4. Укажем режим перебора методов аутентификации. Настроим режим break, который будет отслеживать, что если в первом методе (а это radius) в комбинации “логин + пароль” возникла ошибка, тогда запретить такому пользователю доступ к маршрутизатору и прекратить дальнейшую проверку аутентификации.
Но если для аутентификации пользователя RADIUS-сервер не отвечает или не доступен, тогда перейти к следующему по порядку настроенному методу аутентификации в профиле (указан local), то есть проверить комбинацию “логин + пароль” по локальной базе пользователей на маршрутизаторе.
R1(config)# aaa authentication mode break
R1(config)# exit
Шаг 5. Применим и подтвердим настроенную конфигурацию.
R1# commit
R1# confirm
Шаг 6. Проверим настройки аутентификации.
R1# show aaa authentication