Die letzte Packet Tracer-Aufgabe ist eine Komplex-Übung. Sagen wir's so: sie ist in endlicher Zeit machbar...
Tischplattenbeißpotential:
1. Passwörter und Passwort-Sicherheit konfigurieren
R1(config)#security passwords min-length 10
-> alle Passwörter müssen mindestens 10 Zeichen lang sein
R1(config)#enable secret ciscoenpa55
R1(config)#service password-encryption
-> Passwörter werden nicht im Klartext in der running-config angezeigt
2. Console-Zugang mit Passwort versehen und Inaktivitäts-Timeout setzen
R1(config)#line con 0
R1(config-line)#pass ciscoconpa55
R1(config-line)#login
R1(config-line)#exec-timeout 5
R1(config-line)#logging synchronous
-> verhindert, dass Meldungen beim Eintippen der Befehle stören
3. VTY-Zugang und Banner setzen
R1(config)#line vty 0 4
R1(config-line)#pass ciscovtypa55
R1(config-line)#login
R1(config-line)#exec-t 5
R1(config)#banner motd $No Unauthorized Access!$
-> wird beim Einloggen angezeigt
4. Local Authentication / AAA aktivieren
R1(config)#username Admin01 secret Admin01pa55
-> Nutzer in der lokalen Datenbank anlegen
R1(config)#aaa new-model
R3(config)#aaa authentication login default local none
-> Der Parameter "none" muss hier explizit geschrieben werden ("no backup method")
R1(config)#line vty 0 4
R1(config-line)#login authentication default
-> Die Authentifizierungsliste muss auch am vty-Zugang angebracht werden
5. NTP auf R1 konfigurieren mit Authentifizierung (NTP authentication)
-> das heißt, es wird ein Schlüssel konfiguriert um eine vertrauenswürdige zentrale Quelle für die Uhrzeit zu erhalten. Geräte, die ohne Schlüssel konfiguriert wurden, bekommen aber trotzdem die Zeit vom NTP-Server.
R1(config)#ntp authenticate
R1(config)#ntp server 192.168.1.5 key 1
-> die key-nummer nicht vergessen, denn voreingestellt steht sonst "0" in der running-config
R1(config)#ntp authentication-key 1 md5 ciscontppa55
-> dieser Schlüssel (ciscontppa55) muss im NTP-Server (PC-A) hinterlegt werden: Im Config-Tab NTP wählen, mit "on" aktivieren, mit "enable" Authentifizierung aktivieren, und die Key-Nummer (1) den Schlüssel (ciscontppa55) rechts daneben eingeben.
R1(config)#ntp trusted-key 1
R1(config)#ntp update-calendar
-> Hardware-Clock aktualisieren lassen
6. Syslog auf R1 konfigurieren und aktivieren
R1(config)#service timestamps log datetime msec
-> Zeitstempel für Log-Nachrichten aktivieren
R1(config)#logging 192.168.1.6
-> Syslog-Server
R1(config)#ip ips notify log
R1(config)#loggin on
7. SSH auf R3 konfigurieren
R3(config)#ip domain-name ccnasecurity.com
-> SSH braucht einen Domain-Namen
R3(config)#crypto key zeroize rsa
-> eventuell vorhandene Schlüssel werden gelöscht
R3(config)#crypto key generate rsa
-> ein neues RSA-Schlüsselpaar wird generiert
R3(config)#ip ssh authentication-retries 2
R3(config)#ip ssh time-out 90
R3(config)#ip ssh version 2
8. CBAC auf R1 konfigurieren
a) Eine IP ACL erstellen namens OUT-IN (to block all traffic originating from the outside network)
R1(config)#ip access-list extended OUT-IN
R1(config-ext-nacl)#deny ip any any
R1(config)#int s0/0/0
R1(config-if)#ip access-group OUT-IN in
b) Eine inspection rule erstellen (to inspect ICMP, Telnet and HTTP traffic)
R1(config)#ip inspect name IN-OUT-IN icmp alert on
R1(config)#ip inspect name IN-OUT-IN telnet alert on
R1(config)#ip inspect name IN-OUT-IN http alert on
c) Die IN-OUT-IN inspection rule ans Interface s0/0/0 outbound anbringen
R1(config)#int s0/0/0
R1(config-if)#ip inspect IN-OUT-IN out
9. Firewall (ZPF) auf R3 konfigurieren
a) Zonen erstellen
R3(config)#zone security IN-ZONE
R3(config-sec-zone)#exit
R3(config)#zone security OUT-ZONE
b) ACL 101 erstellen; erlaubt alle IP-Protokolle von 192.168.3.0/24 an jedes Ziel
R3(config)#acc 101 permit ip 192.168.3.0 0.0.0.255 any
c) Class map erstellen, die sich auf ACL 101 bezieht
R3(config)#class-map type inspect IN-NET-CLASS-MAP
R3(config-cmap)#match access-group 101
d) Policy map namens IN-2-OUT-PMAP erstellen und der class map IN-NET-CLASS-MAP zuordnen. Action: inspect
R3(config)#policy-map type inspect IN-2-OUT-PMAP
R3(config-pmap)#class type inspect IN-NET-CLASS-MAP
R3(config-pmap-c)#inspect
e) Zonenpaar namens IN-2-OUT-ZPAIR erstellen und Datenflussrichtung zuweisen
R3(config)#zone-pair security IN-2-OUT-ZPAIR source IN-ZONE destination OUT-ZON
f) Policy map und action "inspect" zuweisen
R3(config-sec-zone-pair)#service-policy type inspect IN-2-OUT-PMAP
g) Die Interfaces den Sicherheitszonen zuweisen
R3(config)#int fa0/1
R3(config-if)#zone-member security IN-ZONE
R3(config)#int s0/0/1
R3(config-if)#zone-member security OUT-ZONE
10. Die Switches (S1+S2+S3) absichern
a) Passwörter und Zugänge absichern
S1(config)#enable secret ciscoenpa55
S1(config)#service password-encryption
S1(config)#line con 0
S1(config-line)#password ciscoconpa55
S1(config-line)#login
-> Set the basic login parameter
S1(config-line)#exec-timeout 5
S1(config-line)#logging synchronous
S1(config)#line vty 0 4
S1(config-line)#pass ciscovtypa55
S1(config-line)#login
S1(config-line)#exec-t 5
b) Die Trunk-Ports auf S1 und S2 absichern, Storm Control aktivieren
S1(config)#int fa0/1
S1(config-if)#swi mode trunk
-> Der Modus "trunk" sollte immer nur zwischen zwei Switches aktiviert sein
S1#sh int trunk
-> Einstellungen verifizieren
S1(config-if)#swi native vlan 99
-> ungenutztes VLAN 99 verwenden um Angreifer zu ärgern
S1(config-if)#swi nonegotiate
S1(config-if)#storm-control broadcast level 50
c) Die Access-Ports absichern (Portfast, BPDU Guard, Port-Security); hier für S1 und S3
S1(config)#int range fa0/5 - 6 // zum Router hin ist auch ein Access-Port
S1(config-if-range)#swi mode access
S1(config-if-range)#span portfast
S1(config-if-range)#spanning-tree bpduguard enable
S1(config-if-range)#switchport port-security
S1(config-if-range)#switchport port-security mac-address sticky
-> für S2 ist es fast das Gleiche, muss aber für den Port fa0/18 konfiguriert werden
d) alle Ports außer die konfigurierten deaktivieren; Achtung bei S2, dort sind es wieder andere Portnummern
S1(config)#int range fa0/2 - fa0/4
-> Interfaces am besten gleich im Bereich ansprechen
S1(config-if-range)#shutdown
S1(config)#int range fa0/7 - fa0/24
S1(config-if-range)#shu
S1(config)#int range g1/1 - 2
S1(config-if-range)#shu
Tischplattenbeißpotential:
1. Passwörter und Passwort-Sicherheit konfigurieren
R1(config)#security passwords min-length 10
-> alle Passwörter müssen mindestens 10 Zeichen lang sein
R1(config)#enable secret ciscoenpa55
R1(config)#service password-encryption
-> Passwörter werden nicht im Klartext in der running-config angezeigt
2. Console-Zugang mit Passwort versehen und Inaktivitäts-Timeout setzen
R1(config)#line con 0
R1(config-line)#pass ciscoconpa55
R1(config-line)#login
R1(config-line)#exec-timeout 5
R1(config-line)#logging synchronous
-> verhindert, dass Meldungen beim Eintippen der Befehle stören
3. VTY-Zugang und Banner setzen
R1(config)#line vty 0 4
R1(config-line)#pass ciscovtypa55
R1(config-line)#login
R1(config-line)#exec-t 5
R1(config)#banner motd $No Unauthorized Access!$
-> wird beim Einloggen angezeigt
4. Local Authentication / AAA aktivieren
R1(config)#username Admin01 secret Admin01pa55
-> Nutzer in der lokalen Datenbank anlegen
R1(config)#aaa new-model
R3(config)#aaa authentication login default local none
-> Der Parameter "none" muss hier explizit geschrieben werden ("no backup method")
R1(config)#line vty 0 4
R1(config-line)#login authentication default
-> Die Authentifizierungsliste muss auch am vty-Zugang angebracht werden
5. NTP auf R1 konfigurieren mit Authentifizierung (NTP authentication)
-> das heißt, es wird ein Schlüssel konfiguriert um eine vertrauenswürdige zentrale Quelle für die Uhrzeit zu erhalten. Geräte, die ohne Schlüssel konfiguriert wurden, bekommen aber trotzdem die Zeit vom NTP-Server.
R1(config)#ntp authenticate
R1(config)#ntp server 192.168.1.5 key 1
-> die key-nummer nicht vergessen, denn voreingestellt steht sonst "0" in der running-config
R1(config)#ntp authentication-key 1 md5 ciscontppa55
-> dieser Schlüssel (ciscontppa55) muss im NTP-Server (PC-A) hinterlegt werden: Im Config-Tab NTP wählen, mit "on" aktivieren, mit "enable" Authentifizierung aktivieren, und die Key-Nummer (1) den Schlüssel (ciscontppa55) rechts daneben eingeben.
R1(config)#ntp trusted-key 1
R1(config)#ntp update-calendar
-> Hardware-Clock aktualisieren lassen
6. Syslog auf R1 konfigurieren und aktivieren
R1(config)#service timestamps log datetime msec
-> Zeitstempel für Log-Nachrichten aktivieren
R1(config)#logging 192.168.1.6
-> Syslog-Server
R1(config)#ip ips notify log
R1(config)#loggin on
7. SSH auf R3 konfigurieren
R3(config)#ip domain-name ccnasecurity.com
-> SSH braucht einen Domain-Namen
R3(config)#crypto key zeroize rsa
-> eventuell vorhandene Schlüssel werden gelöscht
R3(config)#crypto key generate rsa
-> ein neues RSA-Schlüsselpaar wird generiert
R3(config)#ip ssh authentication-retries 2
R3(config)#ip ssh time-out 90
R3(config)#ip ssh version 2
8. CBAC auf R1 konfigurieren
a) Eine IP ACL erstellen namens OUT-IN (to block all traffic originating from the outside network)
R1(config)#ip access-list extended OUT-IN
R1(config-ext-nacl)#deny ip any any
R1(config)#int s0/0/0
R1(config-if)#ip access-group OUT-IN in
b) Eine inspection rule erstellen (to inspect ICMP, Telnet and HTTP traffic)
R1(config)#ip inspect name IN-OUT-IN icmp alert on
R1(config)#ip inspect name IN-OUT-IN telnet alert on
R1(config)#ip inspect name IN-OUT-IN http alert on
c) Die IN-OUT-IN inspection rule ans Interface s0/0/0 outbound anbringen
R1(config)#int s0/0/0
R1(config-if)#ip inspect IN-OUT-IN out
9. Firewall (ZPF) auf R3 konfigurieren
a) Zonen erstellen
R3(config)#zone security IN-ZONE
R3(config-sec-zone)#exit
R3(config)#zone security OUT-ZONE
b) ACL 101 erstellen; erlaubt alle IP-Protokolle von 192.168.3.0/24 an jedes Ziel
R3(config)#acc 101 permit ip 192.168.3.0 0.0.0.255 any
c) Class map erstellen, die sich auf ACL 101 bezieht
R3(config)#class-map type inspect IN-NET-CLASS-MAP
R3(config-cmap)#match access-group 101
d) Policy map namens IN-2-OUT-PMAP erstellen und der class map IN-NET-CLASS-MAP zuordnen. Action: inspect
R3(config)#policy-map type inspect IN-2-OUT-PMAP
R3(config-pmap)#class type inspect IN-NET-CLASS-MAP
R3(config-pmap-c)#inspect
e) Zonenpaar namens IN-2-OUT-ZPAIR erstellen und Datenflussrichtung zuweisen
R3(config)#zone-pair security IN-2-OUT-ZPAIR source IN-ZONE destination OUT-ZON
f) Policy map und action "inspect" zuweisen
R3(config-sec-zone-pair)#service-policy type inspect IN-2-OUT-PMAP
g) Die Interfaces den Sicherheitszonen zuweisen
R3(config)#int fa0/1
R3(config-if)#zone-member security IN-ZONE
R3(config)#int s0/0/1
R3(config-if)#zone-member security OUT-ZONE
10. Die Switches (S1+S2+S3) absichern
a) Passwörter und Zugänge absichern
S1(config)#enable secret ciscoenpa55
S1(config)#service password-encryption
S1(config)#line con 0
S1(config-line)#password ciscoconpa55
S1(config-line)#login
-> Set the basic login parameter
S1(config-line)#exec-timeout 5
S1(config-line)#logging synchronous
S1(config)#line vty 0 4
S1(config-line)#pass ciscovtypa55
S1(config-line)#login
S1(config-line)#exec-t 5
b) Die Trunk-Ports auf S1 und S2 absichern, Storm Control aktivieren
S1(config)#int fa0/1
S1(config-if)#swi mode trunk
-> Der Modus "trunk" sollte immer nur zwischen zwei Switches aktiviert sein
S1#sh int trunk
-> Einstellungen verifizieren
S1(config-if)#swi native vlan 99
-> ungenutztes VLAN 99 verwenden um Angreifer zu ärgern
S1(config-if)#swi nonegotiate
S1(config-if)#storm-control broadcast level 50
c) Die Access-Ports absichern (Portfast, BPDU Guard, Port-Security); hier für S1 und S3
S1(config)#int range fa0/5 - 6 // zum Router hin ist auch ein Access-Port
S1(config-if-range)#swi mode access
S1(config-if-range)#span portfast
S1(config-if-range)#spanning-tree bpduguard enable
S1(config-if-range)#switchport port-security
S1(config-if-range)#switchport port-security mac-address sticky
-> für S2 ist es fast das Gleiche, muss aber für den Port fa0/18 konfiguriert werden
d) alle Ports außer die konfigurierten deaktivieren; Achtung bei S2, dort sind es wieder andere Portnummern
S1(config)#int range fa0/2 - fa0/4
-> Interfaces am besten gleich im Bereich ansprechen
S1(config-if-range)#shutdown
S1(config)#int range fa0/7 - fa0/24
S1(config-if-range)#shu
S1(config)#int range g1/1 - 2
S1(config-if-range)#shu
Keine Kommentare:
Kommentar veröffentlichen