Aufgabe: Configure Cisco Routers for Syslog, NTP, and SSH Operations
Tischplattenbeißpotential:
1. NTP (Network Time Protocol) konfigurieren
-> Warum ist NTP wichtig? Um bei einem Angriff genaue Zeitstempel zu haben
-> Bei manuellen Einstellungen der Uhrzeit kommt es oft zu Abweichungen
(Anmerkung: wie kann man die Zeit eigentlich manuell einstellen?
So: Router# clock set 10:28:00 APR 04 2011)
a) Einen Router als NTP-Client konfigurieren
-> dafür einfach die NTP-Server-Adresse angeben
R1(config)# ntp server 192.168.1.5
-> in dieser Übung ist kein key verlangt
b) Configure routers to update hardware clock / die Hardware-Uhr aktualisieren
-> das stand nirgendwo explizit im Kursmaterial, aber die Cisco-Kommando-Referenz enthüllt folgendes:
R1(config)# ntp update-calendar
c) Zeitstempel (timestamp) verwenden für Log-Benachrichtigungen
R1(config)# service timestamps log datetime msec
-> es gibt auch die Option für Debug Messages (Parameter debug statt log), aber das wird hier nicht verlangt
2. Syslog konfigurieren
-> Ein Syslog-Server ist ein Computer, der die Syslog-Nachrichten von Syslog-Clients empfängt
-> Hier konfigurieren wir einen Router als Syslog-Client, indem wir ihm die IP-Adresse des Syslog-Servers mitteilen (mehr ist hier nicht verlangt):
R1(config)#logging host 192.168.1.6
3. SSH konfigurieren
a) SSH braucht einen Domain-Namen; vorgegeben ist: ccnasecurity.com
R3(config)#ip domain-name ccnasecurity.com
b) SSH braucht einen Benutzer mit Passwort und zugeteilten Rechten. Vorgegeben ist: SSHadmin, >>secret<< Passwort ciscosshpa55, höchstmögliches Privilege Level
R3(config)#username SSHadmin privilege 15 secret ciscosshpa55
c) Nur SSH soll an den VTY-Zugängen akzeptiert werden (also kein Telnet):
R3(config)#line vty 0 4
R3(config-line)#login local
-> login local gibt an, dass die lokale Datenbank genutzt werden soll, also dass wir uns mit dem Benutzer einloggen können, den wir gerade angelegt haben
R3(config-line)#transport input ssh
d) RSA-Schlüsselpaar generieren, eventuell vorhandenen Schlüssel löschen:
R3(config)#crypto key zeroize rsa
-> diese Meldung ist erwartet: % No Signature RSA Keys found in configuration.
R3(config)#crypto key generate rsa
-> anders als im Lehrmaterial kann man hier nicht "general-keys modulus 1024" eingeben
-> wenn man auf Enter drückt, kann man anschließend die Schlüssellänge eingeben
e) SSH timeouts and authentication parameters
-> Der Befehl zur SSH-Konifguration ist nicht "ssh...", sondern "ip ssh..."
-> Einstellungsoptionen anzeigen lassen:
R3(config)#ip ssh ?
(Und den Rest könnt ihr selbst ;))
Tischplattenbeißpotential:
1. NTP (Network Time Protocol) konfigurieren
-> Warum ist NTP wichtig? Um bei einem Angriff genaue Zeitstempel zu haben
-> Bei manuellen Einstellungen der Uhrzeit kommt es oft zu Abweichungen
(Anmerkung: wie kann man die Zeit eigentlich manuell einstellen?
So: Router# clock set 10:28:00 APR 04 2011)
a) Einen Router als NTP-Client konfigurieren
-> dafür einfach die NTP-Server-Adresse angeben
R1(config)# ntp server 192.168.1.5
-> in dieser Übung ist kein key verlangt
b) Configure routers to update hardware clock / die Hardware-Uhr aktualisieren
-> das stand nirgendwo explizit im Kursmaterial, aber die Cisco-Kommando-Referenz enthüllt folgendes:
R1(config)# ntp update-calendar
c) Zeitstempel (timestamp) verwenden für Log-Benachrichtigungen
R1(config)# service timestamps log datetime msec
-> es gibt auch die Option für Debug Messages (Parameter debug statt log), aber das wird hier nicht verlangt
2. Syslog konfigurieren
-> Ein Syslog-Server ist ein Computer, der die Syslog-Nachrichten von Syslog-Clients empfängt
-> Hier konfigurieren wir einen Router als Syslog-Client, indem wir ihm die IP-Adresse des Syslog-Servers mitteilen (mehr ist hier nicht verlangt):
R1(config)#logging host 192.168.1.6
3. SSH konfigurieren
a) SSH braucht einen Domain-Namen; vorgegeben ist: ccnasecurity.com
R3(config)#ip domain-name ccnasecurity.com
b) SSH braucht einen Benutzer mit Passwort und zugeteilten Rechten. Vorgegeben ist: SSHadmin, >>secret<< Passwort ciscosshpa55, höchstmögliches Privilege Level
R3(config)#username SSHadmin privilege 15 secret ciscosshpa55
c) Nur SSH soll an den VTY-Zugängen akzeptiert werden (also kein Telnet):
R3(config)#line vty 0 4
R3(config-line)#login local
-> login local gibt an, dass die lokale Datenbank genutzt werden soll, also dass wir uns mit dem Benutzer einloggen können, den wir gerade angelegt haben
R3(config-line)#transport input ssh
d) RSA-Schlüsselpaar generieren, eventuell vorhandenen Schlüssel löschen:
R3(config)#crypto key zeroize rsa
-> diese Meldung ist erwartet: % No Signature RSA Keys found in configuration.
R3(config)#crypto key generate rsa
-> anders als im Lehrmaterial kann man hier nicht "general-keys modulus 1024" eingeben
-> wenn man auf Enter drückt, kann man anschließend die Schlüssellänge eingeben
e) SSH timeouts and authentication parameters
-> Der Befehl zur SSH-Konifguration ist nicht "ssh...", sondern "ip ssh..."
-> Einstellungsoptionen anzeigen lassen:
R3(config)#ip ssh ?
(Und den Rest könnt ihr selbst ;))
Keine Kommentare:
Kommentar veröffentlichen