ФЕДЕРАЛЬНОЕ АГЕНТСТВО СВЯЗИ
ФЕДЕРАЛЬНОЕ ГОСУДАРСТВЕННОЕ БЮДЖЕТНОЕ ОБРАЗОВАТЕЛЬНОЕ
УЧРЕЖДЕНИЕ ВЫСШЕГО ОБРАЗОВАНИЯ
«САНКТ-ПЕТЕРБУРГСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ
ТЕЛЕКОММУНИКАЦИЙ ИМ. ПРОФ. М.А. БОНЧ-БРУЕВИЧА»
(СПбГУТ)
ФАКУЛЬТЕТ ИНФОКОММУНИКАЦИОННЫХ СЕТЕЙ И СИСТЕМ (ИКСС)
КАФЕДРА ПРОГРАММНОЙ ИНЖЕНЕРИИ И ВЫЧИСЛИТЕЛЬНОЙ ТЕХНИКИ (ПИ И ВТ)
ДИСЦИПЛИНА: «Безопасность компьютерных систем»
«Настройка маршрутизаторов Cisco для операций системного журнала, NTP и SSH»
Выполнили студенты группы ИКПИ-92:
Козлов Н. С.
Смирнов Д. А.
Тюришев М. А.
Пурин И. К.
Принял:
Петрив Р. Б.
Подпись____________
«_____»________ 2021
Цели
• Настройка аутентификации OSPF MD5. • Настройка NTP. • Настройте маршрутизаторы для регистрации сообщений на сервере системного журнала. • Настройте R3 для поддержки SSH-соединений.
Часть 1: Настройка аутентификации OSPF MD5
Шаг 1: Проверьте подключение. Все устройства должны иметь возможность пинговать все остальные IP-адреса.
Шаг 2: Настройте аутентификацию OSPF MD5 для всех маршрутизаторов в области 0.
Настройте аутентификацию OSPF MD5 для всех маршрутизаторов в области 0.
R1(config)# router ospf 1
R1(config-router)# area 0 authentication message-digest
Шаг 3: Настройте ключ MD5 для всех маршрутизаторов в области 0.
Настройте ключ MD5 на последовательных интерфейсах на R1, R2 и R3. Используйте пароль MD5pa55 для ключа 1.
R1(config)# interface s0/0/0
R1(config-if)# ip ospf message-digest-key 1 md5 MD5pa55
Шаг 4: Проверьте конфигурацию.
a. Проверьте конфигурации аутентификации MD5 с помощью команд show ip ospf interface.
b. Проверьте сквозное подключение.
Часть 2: Настройка NTP
Шаг 1: Включите аутентификацию NTP на PC-A.
a. На ПК-A нажмите кнопку NTP на вкладке Службы, чтобы убедиться, что служба NTP включена.
b. Чтобы настроить аутентификацию NTP, нажмите кнопку Включить в разделе Аутентификация. Используйте ключ 1 и пароль NTPpa55 для аутентификации.
Шаг 2: Настройте R1, R2 и R3 в качестве клиентов NTP.
R1(config)# ntp server 192.168.1.5
R2(config)# ntp server 192.168.1.5
R3(config)# ntp server 192.168.1.5
Проверьте конфигурацию клиента с помощью команды show ntp status.
Шаг 3: Настройте маршрутизаторы для обновления аппаратных часов.
Настройте R1, R2и R3 на периодическое обновление аппаратных часов с учетом времени, полученного от NTP.
R1(config)# ntp update-calendar
R2(config)# ntp update-calendar
R3(config)# ntp update-calendar
Выйдите из глобальной конфигурации и убедитесь, что аппаратные часы были обновлены с помощью команды show clock.
Шаг 4: Настройте аутентификацию NTP на маршрутизаторах.
Настройка проверки подлинности NTP на R1, R2, и R3 использование ключа 1 и пароль NTPpa55.
R1(config)# ntp authenticate
R1(config)# ntp trusted-key 1
R1(config)# ntp authentication-key 1 md5 NTPpa55
Шаг 5: Настройте маршрутизаторы на сообщения журнала временных меток.
Настройте службу меток времени для входа в систему на маршрутизаторах.
R1(config)# service timestamps log datetime msec
R2(config)# service timestamps log datetime msec
R3(config)# service timestamps log datetime msec
Часть 3: Настройка маршрутизаторов для регистрации сообщений на сервере системного журнала
Шаг 1: Настройте маршрутизаторы для идентификации удаленного хоста (сервера системного журнала), который будет получать сообщения журнала.
R1(config)# logging host 192.168.1.6
R2(config)# logging host 192.168.1.6
R3(config)# logging host 192.168.1.6
Консоль маршрутизатора выведет на экран сообщение о начале ведения журнала.
Шаг 2: Проверьте конфигурацию ведения журнала.
Используйте команду show logging чтобы убедиться, что ведение журнала включено.
Шаг 3: Изучите журналы сервера системного журнала.
Из Services вкладка в диалоговом окне Syslog Server выберите кнопку службы системного журнала. Обратите внимание на протоколирование сообщений, полученных от маршрутизаторов.
Примечание: Сообщения журнала могут быть сгенерированы на сервере путем выполнения команд на маршрутизаторе. Например, при входе в режим глобальной конфигурации и выходе из него будет сгенерировано информационное конфигурационное сообщение. Возможно, вам придется выбрать другую службу, а затем нажать кнопку Syslog снова, чтобы обновить отображение сообщения.
Часть 4: Настройка R3 для поддержки соединений SSH
Шаг 1: Настройте доменное имя.
Настройка доменного имени ccnasecurity.com на R3.
R3(config)# ip domain-name ccnasecurity.com
Шаг 2: Настройте пользователей для входа на SSH-сервер на R3.
Создайте идентификатор пользователя SSHadmin с максимально возможным уровнем привилегий и секретным паролем ciscosshpa55.
R3(config)# username SSHadmin privilege 15 secret ciscosshpa55
Шаг 3: Настройте входящие линии vty на R3.
Используйте локальные учетные записи пользователей для обязательного входа в систему и проверки. Принимайте только SSH-соединения.
R3(config)# line vty 0 4
R3(config-line)# login local
R3(config-line)# transport input ssh
Шаг 4: Сотрите существующие пары ключей на R3.
Все существующие пары ключей RSA должны быть стерты на маршрутизаторе.
R3(config)# crypto key zeroize rsa
Примечание: Если ключей не существует, вы можете получить это сообщение:
% No Signature RSA Keys found in configuration.
Шаг 5: Создайте пару ключей шифрования RSA для R3.
Маршрутизатор использует пару ключей RSA для аутентификации и шифрования передаваемых SSH-данных. Настройте ключи RSA с модулем 1024. Значение по умолчанию-512, а диапазон-от 360 до 2048.
R3(config)# crypto key generate rsa The name for the keys will be: R3.ccnasecurity.com
Choose the size of the key modulus in the range of 360 to 2048 for your General Purpose Keys.
Choosing a key modulus greater than 512 may take a few minutes.
How many bits in the modulus [512]: 1024 % Generating 1024 bit RSA keys, keys will be non-exportable...[OK]
Примечание: Команда для создания пар ключей шифрования RSA для R3 в Packet Tracer отличается от тех, которые используются в лаборатории.
Шаг 6: Проверьте конфигурацию SSH.
Используйте команду show ip ssh, чтобы увидеть текущие настройки. Убедитесь, что тайм-аут проверки подлинности и повторные попытки имеют значения по умолчанию 120 и 3.
Шаг 7: Настройте тайм-ауты SSH и параметры аутентификации.
Тайм-ауты SSH по умолчанию и параметры аутентификации могут быть изменены, чтобы быть более ограничительными. Установите тайм-аут на 90 секунд, количество повторных попыток аутентификации-на 2, а версию-на 2.
R3(config)# ip ssh time-out 90
R3(config)# ip ssh authentication-retries 2
R3(config)# ip ssh version 2
Выполните команду show ip ssh еще раз, чтобы подтвердить, что значения были изменены.
Шаг 8: Попытайтесь подключиться к R3 через Telnet с ПК-C.
Откройте рабочий стол PC-C. Выберите значок командной строки. Из PC-C введите команду для подключения к R3 через Telnet.
PC> telnet 192.168.3.1
Это соединение должно завершиться неудачей, поскольку R3 был настроен на прием только SSH-соединений на линиях виртуального терминала.
Шаг 9: Подключение к R3 с помощью SSH на PC-C.
Откройте рабочий стол PC-C. Выберите значок командной строки. С PC-C введите команду для подключения к R3 через SSH. При запросе пароля введите пароль, настроенный для администратора ciscosshpa55.
PC> ssh –l SSHadmin 192.168.3.1
Шаг 10: Подключитесь к R3 с помощью SSH на R2.
Чтобы устранить неполадки и поддерживать R3, администратор интернет-провайдера должен использовать SSH для доступа к CLI маршрутизатора. Из CLI R2 введите команду для подключения к R3 через SSH версии 2 с помощью учетной записи пользователя SSHadmin. При появлении запроса на ввод пароля введите пароль, настроенный для администратора: ciscosshpa55.
R2# ssh –v 2 –l SSHadmin 10.2.2.1