Uwagi użytkownika Cisco Amp8360

CISCO ASA obok routerów i przełączników jest kolejnym urządzeniem sieciowym, którego głównym zadaniem jest ochrona naszej sieci przed intruzami i nieautoryzowanym dostępem. Ochrona ta polega na blokowaniu niedozwolonego ruchu sieciowego. Urządzenie ASA w kontrolowanej przez nas sieci pełni rolę firewalla. W artykule tym zajmiemy się podstawową konfiguracją urządzenia CISCO ASA oraz jego implementacją w sieci.

Wiemy już, że głównym zadaniem urządzenia jest prowadzenie polityki bezpieczeństwa polegającej na filtrowaniu pakietów tak by sieć była zabezpieczona ale i by w sposób bezpieczny był zapewniony do niej dostęp. Ochrona naszej sieci jest realizowana z wykorzystaniem następujących mechanizmów:

• Filtrowanie pakietów realizowane z wykorzystaniem listy dostępu ACL: CISCO ASA obsługuje zarówno standardowe, jak i rozszerzone listy dostępu. Różnica pomiędzy listami dostępu tymi konfigurowanymi na routerze a na ASA jest taka, że w przypadku definicji listy ACL na firewallu używamy maski rzeczywistej a nie wildcard mask.
• Filtrowanie stanowe: przez urządzenie ASA cały ruch sieciowy traktowany jest jako całość co oznacza, że decyzja o przepuszczeniu bądź zablokowaniu danego pakietu jest podejmowana w oparciu o analizę pakietów tworzących połączenie. Mówiąc trochę inaczej, firewall „wie”, czy otrzymany pakiet jest częścią aktualnie realizowanego połączenia czy może jest całkowicie odrębnym i nieoczekiwanym pakietem. Dla użytkownika oznacza to, że pomimo domyślnie działającego blokowania przesyłania informacji z portu o niższej wartości security-level do portu bardziej zaufanego (wyższy poziom ustawienia security-level) w sytuacji w której ruch zostaje zainicjonowany z wewnątrz i oczekujemy danych zwrotnych to dane te nie zostaną przez firewall zablokowane.

Prześledźmy przykład w którym host znajdujący się wewnątrz sieci wysyła pakiet do serwera WWW. Adres źródłowy hosta to 10. 0. 10, zaś port źródłowy TCP to 5555. Docelowym adresem serwera WWW jest adres IP 100. 120. 56. 14, połączenie oczywiście jest ustanawiane z domyślnym portem TCP 80. Firewall tak ustanowioną sesję zapamięta czego efektem będzie oczekiwanie na ruch zwrotny. Gdy odpowiedź od serwera WWW nadejdzie (adres IP 100. 14, port źródłowy 80) i będzie kierowana do hosta (adres IP 10. 10, port docelowy 5555) zostanie ona przepuszczona.

• Wykorzystanie mechanizmu AAA: obsługiwane są usługi AAA – uwierzytelniania, autoryzacji i rozliczania. Mechanizm ten może być zaimplementowany lokalnie bądź wykorzystywać do działania serwer ACS (Access Control Server) lub RADIUS.
• DHCP: firewall może pełnić funkcję serwera bądź klienta usługi DHCP – może dostarczać konfigurację sieciową hostom po stronie sieci LAN (pula adresów IP zależna od posiadanej licencji) a jednocześnie sam uzyskiwać odpowiednie adresy IP od naszego ISP.
• NAT: obsługa NAT (NAT statyczny i dynamiczny) oraz PAT. Urządzenie posiada możliwość definicji wyjątku NAT określającego reguły co do ruchu sieciowego niepodlegającego translacji (wykorzystywane w przypadku użycia tuneli VPN).
• Routing: ASA obsługuje takie protokoły routingu dynamicznego jak: RIP (ang. Routing Information Protocol), EIGRP (ang. Enhanced Interior Gateway Routing Protocol) oraz OSPF (Open Shortest Path First). Istnieje również możliwość definicji tras statycznych.
• Grupy obiektów: których zadaniem jest uproszczenie konfiguracji urządzenia, zamiast np. definiować listę ACL do każdego z adresów IP podlegających jej działaniu można utworzyć grupę w skład, której będą wchodzić dane adresy IP a w składni polecenia listy ACL zamiast do adresów odwołać się do grupy. Tak utworzona lista ACL będzie stosowana do wszystkich adresów IP znajdujących się w grupie. Uzyskujemy przejrzystość konfiguracji oraz w przypadku zmiany zasięgu działania listy ACL (dodanie bądź usunięcie adresów IP) modyfikujemy elementy grupy a nie listę ACL (można ten mechanizm porównać z zasadami grup w Windows Server).
• Implementacja w warstwie 3 lub warstwie 2: firewall może działać w warstwie 3 modelu ISO/OSI co oznacza, że do każdego z interfejsów zapory można przypisać adres IP pomiędzy, którymi jest prowadzony routing. W przypadku warstwy 2 interfejsy sieciowe traktowane są jako most – ruch sieciowy przechodzący pomiędzy interfejsami nadal podlega kontroli i zdefiniowanym regułom.
• Obsługa tuneli VPN: – firewall może zostać skonfigurowany do obsługi tuneli VPN typu lokalizacja-lokalizacja (ang. Site-to-Site – gdy łączymy ze sobą dwie sieci, pomiędzy, którymi musi być zapewniona komunikacja) oraz tuneli VPN, których zadaniem jest zapewnienie łączności pracownikom z siecią np. przedsiębiorstwa (ang. Client-Site – tunele tego typu najczęściej są wykorzystywane przez klientów pracujących zdalnie ale muszących mieć dostęp do zasobów sieci firmowej).

Opisane usługi nie wyczerpują wszystkich możliwości urządzenia ale te bardziej złożone i wyrafinowane (np. filtrowanie ruch bootnet czy AMP – ochrona przed złośliwym oprogramowaniem) dostępne są dla urządzeń bardziej zaawansowanych.

Te możliwości urządzenia zaprezentowane powyżej będziemy wykorzystywać i ich działanie oraz sposób konfiguracji postaram się przedstawić.

Całość tego wpisu oprę na urządzeniu CISCO ASA 5505, które jest najmniej zaawansowanym sprzętem oferowanym przez CISCO w tej klasie produktów ale na tyle wystarczającym by wszystkie mechanizmy typowej zapory sieciowej omówić.

Zanim przejdziemy dalej przyjrzyjmy się urządzeniu. Omawiany model wyposażony jest w 256 MB pamięci DRAM (pamięć tą możemy zwiększyć o kolejne 256 MB) oraz 128 MB pamięci flash.

Na panelu przednim umieszczono szereg diod (poza złączem USB), których zadaniem jest informowanie Nas o stanie urządzenia i aktualnie włączonych funkcjach.

Dioda Power sygnalizuje Nam podłączenie urządzenia do zasilacza, firewall jest włączony.

Dioda Status, gdy pali się światłem stałym oznacza to, że nastąpił prawidłowy start urządzenia podczas, którego nie napotkano na żadne błędy (po włączeniu do zasilania dioda Status miga zielonym światłem powiadamiając Nas tym samym, że następuje proces ładowania poszczególnych komponentów systemu). Podczas napotkania na błąd, który uniemożliwia prawidłowy start systemu dioda zacznie mrugać pomarańczowym światłem.

Paląca się dioda Active oznacza aktywność urządzenia oraz jego prawidłową pracę.

Zainicjowanie tunelu VPN będzie sygnalizowane zapaleniem się diody VPN.

Dioda SSC świeci się tylko wtedy gdy do urządzenia CISCO ASA została podłączona dodatkowa karta SSC (ang. Secure Services Card). Zadaniem karty jest zapewnienie przyspieszenia pracy firewalla oraz umożliwienie realizowania połączeń VPN przez większą liczbę klientów. Kartę tą można traktować jako akcelerator.

Diody Link/Act zapalają się w momencie podpięcia przewodu do interfejsu, miganie diody oznacza prowadzoną transmisję danych. Maksymalna prędkość prowadzonej komunikacji sygnalizowana jest zapaleniem się diody 100 Mbps, niepaląca się dioda oznacza transmisję z prędkością 10 Mbps.

Łącze USB służy do podłączenia zewnętrznych nośników danych (dysk twardy, pendrive) celem np. aktualizacji oprogramowania. pl/uslugi-informatyczne/">

Panel przedni mamy z „głowy” przyjrzyjmy się tyłowi (idziemy od lewej).

Pierwsze złącze Power 48VDC służy do podłączenia zasilania.

Kolejne 8 łączy (od 0 do 7) to interfejsy sieciowe przy czym interfejsy oznaczone numerem 6 i 7 obsługują standard Power over Ethernet zapewniający zasilanie podłączonych do nich urządzeń (np. kamery IP, AP). Każdy z interfejsów zaopatrzony jest w dwie diody sygnalizujące stan interfejsu.

Interfejsy sieciowe w CISCO ASA 5505 mogą działać tylko w warstwie 2 co niesie za sobą niemożność skonfigurowania adresów IP bezpośrednio na każdym z interfejsów (w wyższych modelach urządzeń adres IP przypisujemy na danym interfejsie). Ominięciem tego problemu polega na utworzeniu sieci VLAN a następnie zdefiniowaniu jej adresu IP i przypisaniu określonego interfejsu do danej sieci VLAN.

Na tyle urządzenia zostały umiejscowione dwa dodatkowe złącza USB oraz port interfejsu konsolowego.

Celem zabezpieczenia urządzenia przed kradzieżą można użyć linki, którą umiejscawia się w złączu Kensington Lock.

Przycisk Reset służy do wyzerowania ustawień.

Po odkręceniu dwóch śrubek w wnętrzu firewalla możemy umieścić dodatkową kartę SSC.

Chwilę temu wspomniałem o parametrze security-level tak więc wypada temat rozwinąć gdyż mechanizm ten stanowi podstawę działania firewalla. Każdemu z interfejsów firewalla możemy przypisać wartość parametru security-level, możliwe do wykorzystania wartości mieszczą się w przedziale od 0 do 100. Poprzez definicję wartości określamy Nasz poziom zaufania do interfejsu. Zasada jest taka: im wyższa wartość tym bardziej ufamy sieci, która przez dany port firewalla jest osiągalna. Ponieważ sieci LAN są tymi sieciami nad którymi mamy pełną kontrolę to najczęściej interfejsowi podłączonemu z tego typu siecią przypisujemy wartość 100. Sieci WAN są poza naszą jurysdykcją dlatego też interfejs, który prowadzi do tej sieci ma przypisywaną wartość 0. Definicja poziomów zabezpieczeń niesie za sobą konsekwencje w sposobie przesyłania pakietów pomiędzy interfejsami, które mają przypisane różne wartości security-level. Obowiązuje zasada, że interfejsy z większą wartością poziomu bezpieczeństwa mogą komunikować się z sieciami o mniejszym poziomie zaufania. Sytuacja odwrotna czyli sieć z niższą wartością security-level nie ma dostępu do sieci znajdującej się za interfejsem dla którego ustaliliśmy większy poziom zaufania (no chyba, że lista ACL mówi inaczej). Podsumowując sieć LAN (secutity-level 100) wyśle swoje pakiety do sieci WAN (security-level 0) bez komplikacji zaś pakiety z sieci WAN do sieci LAN zostaną zablokowane.

Na poniższym schemacie został zaprezentowany sposób kontrolowania przepływu ruchu sieciowego (przedstawiony schemat sieci jest najczęściej implementowanym modelem, strzałkami został zaznaczony tylko ruch dozwolony w innych sytuacjach ruch jest blokowany). Sieć została podzielona na trzy strefy: Internet, DMZ oraz sieć LAN. W LAN-ie znajdują się chronione komputery tak by dostęp z poziomu Internetu i strefy DMZ był do nich zabroniony. Komunikacja z sieci Internet oraz DMZ z hostami w sieci LAN jest niemożliwa gdyż interfejs przez który dostępna jest sieć LAN ma zdefiniowany najwyższy możliwy poziom bezpieczeństwa. A jak już wiesz pakiety z interfejsów z niższym poziomem security-level kierowane do interfejsów bardziej zaufanych są odrzucane. Za to pakiety z sieci LAN mogą być swobodnie przekazane w kierunku Internetu oraz strefy DMZ. W strefie DMZ znajdują się komputery, które realizują usługi, które muszą być dostępne z poziomu Internetu (np. serwer WWW czy poczty elektronicznej). W domyślnej konfiguracji dostęp z Internetu do strefy DMZ jest niemożliwy ale poprzez utworzenie listy dostępu, możemy na dany typ ruchu sieciowego zezwolić. Tak więc jeśli w strefie DMZ znajduje się serwer WWW akceptowalnym ruchem sieciowym nie podlegającym blokowaniu będzie ten związany ze stronami internetowymi (ruch sieciowy innego typu nie spełni kryterium listy ACL więc zostanie przez firewall odrzucony).

Podstawowym celem tworzenia strefy DMZ jest zapewnienie ochrony sieci lokalnej w przypadku naruszenia bezpieczeństwa znajdujących się w niej serwerów. Jeśli atak na serwer znajdujący się w strefie DMZ powiedzie się i atakujący uzyska dostęp do tego segmentu sieci to dzięki zastosowaniu segmentacji sieci z różnymi poziomami zabezpieczeń nie uzyska on z poziomu tej strefy dostępu do sieci LAN.

Podczas podejmowania decyzji o zakupie urządzenia trzeba wziąć pod uwagę jeszcze jeden czynnik (ominięcie go może spowodować, że zakupione urządzenie nie będzie spełniać Naszych oczekiwań) a mianowicie sposób wyboru licencjonowania. Wybór odpowiedniej licencji ma wpływ na funkcjonalność urządzenia oraz na zakres jego działania.

Wybieramy pomiędzy dwiema licencjami:

• Base License

Licencja ta pozwala na skonfigurowanie do 3 sieci VLAN, co umożliwia Nam podzielenie sieci na trzy odrębne strefy (wewnętrzna, zewnętrzna, DMZ). Niestety urządzenia pracujące na bazie tej licencji mają nałożone ograniczenie komunikacji między sieciami VLAN. Oznacza to, że strefa wewnętrzna VLAN może komunikować się z DMZ, ale już sytuacja odwrotna jest niedozwolona (DMZ nie może wysyłać ruchu do wewnętrznej sieci VLAN). Brak możliwości zestawienia łącza typu trunk oraz wprowadzenia redundancji urządzeń.

• Security Plus License

Licencja ta znosi ograniczenia licencji podstawowej. Maksymalna ilość sieci VLAN jaką można utworzyć wynosi 20 i możliwe jest skonfigurowanie interfejsu do pracy w trybie trunk. Pełna komunikacja pomiędzy sieciami VLAN jest zapewniona. Możliwość wykorzystania nadmiarowości urządzeń.

Pełne porównanie możliwości każdej z licencji znajdziesz na stronie cisco.

Topologia sieci na której będziemy ćwiczyć konfigurację urządzenia CISCO ASA 5505 prezentuje się następująco (nie jest skomplikowana ale pozwoli Nam na poznanie i skonfigurowanie podstawowych funkcji urządzenia). pl/uslugi-informatyczne/cyber-security/wdrozenie-firewall/">Firewall CISCO ASA 5505 został fabrycznie skonfigurowany w taki sposób, by po wyjęciu urządzenia z pudełka było one od razu gotowe do pracy. Interfejs Ethernet 0/0 (sieć zewnętrzna, Internet) uzyskuje adres IP od naszego ISP (klient DHCP) a interfejsy wewnętrzne (Ethernet 0/1 – 0/7) dostarczają konfigurację sieciową podłączonym do nich hostom (serwer DHCP).

Opis konfiguracji urządzenia rozpoczniemy od wiersza linii poleceń. Dostęp do firewalla uzyskujemy po podłączeniu go z komputerem z wykorzystaniem portu Console.

Na naszym firewallu CISCO ASA rozpoczynamy od przejścia do trybu uprzywilejowanego, aby tryb ten uaktywnić wpisujemy dobrze Nam znane polecenie: enable (przy zapytaniu o hasło wybieramy Enter – hasło nie jest ustawione).

Pierwszą czynnością jaką możemy wykonać jest sprawdzenie wersji oprogramowania oraz wersji posiadanej licencji. Wszystkie informacje uzyskamy wydając polecenie: show version

W następnym kroku przechodzimy do trybu konfiguracji globalnej i na postawione pytanie dotyczące wysyłania anonimowych raportów odpowiadamy według własnego uznania.

Naszą konfigurację rozpoczniemy od zdefiniowania hasła dostępu do trybu uprzywilejowanego oraz założenia konta użytkownika.

1 – za pomocą polecenia: enable password <hasło> – ustalamy hasło dostępu do trybu enable,

2 – za pomocą polecenia: username <nazwa_konta> password <hasło> privilege <poziom> definiujemy konto użytkownika lokalnego. Poniżej zostało utworzone konto luk z hasłem cisco, użytkownika ma maksymalny poziom uprawnień

Stacja robocza jest do firewalla CISCO ASA podpięta do interfejsu e0/3 tak więc przejdźmy do ustawień portu. Konfigurację interfejsu tak jak w innych urządzeniach CISCO przeprowadzamy w trybie danego interfejsu aby tryb ten uaktywnić wydajemy polecenie: interface <nazwa_interfejsu>

Przypisanie portu do sieci VLAN realizujemy za pomocą komendy: switchport access vlan <numer_VLAN> – port został przypisany do sieci VLAN 1. Za pomocą polecenia: description <opis> możemy zdefiniować opcjonalny opis portu. Aby port uaktywnić wydajemy komendę: no shutdown

Wprowadzone ustawienia interfejsu możemy zweryfikować wydając polecenie: show interface <nazwa_interfejsu>

Wszystkie porty od e0/1 do e0/7 są przypisane do sieci VLAN 1. Sieć ta jest naszą siecią lokalną tak więc jest to sieć o największym zaufaniu. Dlatego też do sieci VLAN 1 został przypisany poziom security-level o wartości 100 Zdefiniowanie poziomu zaufania do sieci wykonujemy za pomocą polecenia: security-level <wartość> Polecenie wydajemy w trybie konfiguracji interfejsu VLAN.

Stan przypisania portów do określonego VLAN-u możemy sprawdzić wydając polecenie: show switch vlan zaś informacje statystyczne poznamy za pomocą komendy: show interfave vlan <numer>

Oprogramowanie Cisco ASA pozwala Nam na zdefiniowanie nazwy interfejsu, alias ten może być użyty podczas dalszej konfiguracji urządzenia a dodatkowo nazwa ta lepiej definiuje przeznaczenie interfejsu. Poniżej interfejsowi VLAN 1 został przypisana nazwa LAN. Nazwę definiujemy w trybie konfiguracji interfejsu za pomocą polecenia: nameif <nazwa> Domyślnie sieć VLAN 1 jest identyfikowana jako inside zaś sieć VLAN 2 jako outside.

Jak można zauważyć poniżej zdefiniowana nazwa interfejsu VLAN znajduje odzwierciedlenie w wydanej komendzie: show switch vlan

Rezygnujemy z domyślnej konfiguracji IP i adres interfejsu zostaje zmieniony z adresu 192. 168. 1. 1 na 10. 1 Po zmianie adresu IP zostaje wyświetlony komunikat o jego niezgodności z zdefiniowaną pulą adresów serwera DHCP. Polecenie wydajemy w trybie konfiguracji interfejsu VLAN a składnia polecenia jest taka sama jak na innych urządzeniach CISCO: ip address <adres_IP> <maska_sieci>

Zmiana adresu IP pociągnęła za sobą wyłączenie serwera DHCP dlatego też aby nowi klienci mogli uzyskać prawidłowe parametry sieci musimy skonfigurować na nowo ustawienia serwera DHCP.

Pulę adresów DHCP definiujemy za pomocą komendy: dhcpd address <początkowy_adres_IP> <końcowy_adres_IP> <nazwa_sieci> Ilość adresów w puli zależna jest od licencji urządzenia w wersji podstawowej maksymalna liczba dostępnych adresów wynosi 32 dlatego też zakres puli został ustawiony od adresu IP 10. 10 do adresu 10. 41 Definicja większego zakresu zakończy się jej ograniczeniem do ilości określonej przez posiadaną licencję.

Kolejne opcje dotyczą:

1 – czas dzierżawy adresu IP – dhcpd lease <czas> (12 godzin),

2 – adres serwera DHCP – dhcpd dns <adres_IP>,

3 – adres bramy – dhcpd option 3 ip <adres_IP>,

4 – uaktywnienie serwera w kontekście danej sieci – dhcpd enable <nazwa_sieci>

Na firewallu CISCO ASA Serwer DHCP został uruchomiony sprawdźmy zatem czy adresy IP są poprawnie przypisywane. Jak widać poniżej stacji klienckiej została dostarczona konfiguracja sieci. Host otrzymał pierwszy adres IP z zdefiniowanej puli, adres bramy oraz serwera DNS są tożsame z tymi zdefiniowanymi podczas konfiguracji serwera DHCP.

Stan serwera DHCP możemy sprawdzić za pomocą komend:

1 – show dhcpd binding – ilość przypisanych adresów IP wraz z informacją o adresie MAC klienta i czasem wygaśnięcia dzierżawy adresu,

2 – show dhcpd state – ogólny stan usługi serwera DHCP – od strony sieci LAN urządzenie jest serwerem zaś od strony sieci zewnętrznej klientem,

3 – show dhcpd statistics – statystyka serwera DHCP – ilość wysłanych/odebranych pakietów z rozbiciem na ich określony typ.

I tu również jest wszystko w porządku.

Serwer DHCP działa, przechodzimy dalej i kolejnym krokiem będzie konfiguracja dostępu z wykorzystaniem serwera WWW.

Aby móc zarządzać routerem CISCO ASA z wykorzystaniem oprogramowania CISCO ASDM (ang. Adaptive Security Device Manager) musimy skonfigurować dostęp do urządzenia z poziomu przeglądarki.

Aby uruchomić serwer http należy w trybie konfiguracji globalnej wydać polecenie: http server enable a następnie określić sieć (można również określić hosty), z poziomu, której dostęp do urządzenia z wykorzystaniem przeglądarki będzie możliwy. Definicję uprawnionych klientów przeprowadzamy za pomocą komendy: http <adres_sieci> <maska_sieci> <nazwa_sieci> W przykładzie poniżej każdy host należący do sieci 10. 0/24 będzie mógł uzyskać dostęp do urządzenia.

Kompleksowe usługi informatyczne dla firm. Oferujemy: Outsourcing IT, certyfikaty SSL, szkolenia informatyczne oraz audyty bezpieczeństwa.

Zadzwoń i dowiedz się więcej, tel. 68 411 40 00.

Po przeprowadzonej konfiguracji sprawdzamy jej efekt – po uruchomieniu przeglądarki w pasku adresu wpisujemy adres IP firewalla – https://10. 1 (nie zapomnij dodać https). Łączność zostaje nawiązana lecz przeglądarka zgłasza błąd dotyczący certyfikatu – jest to jak najbardziej prawidłowe zachowanie gdyż przeglądarka tego typu certyfikaty zapisane na urządzeniach z reguły traktuje jako nieprawidłowe. Aby nawiązać połączenie (w przypadku Firefox) wybieramy Zaawansowane a następnie Dodaj wyjątek.

Po kliknięciu w nowo otwartym oknie potwierdzamy wyjątek bezpieczeństwa.

Po potwierdzeniu, że na pewno ufamy certyfikatowi zostaje nawiązane połączenie. Na wyświetlonej stronie celem instalacji narzędzia wybieramy Install ASDM Launcher. Po wyborze opcji następuje instalacja aplikacji, która przebiega w sposób standardowy. Ważne jest aby mieć zainstalowane oprogramowanie JAVA, gdyż to na nim opiera się funkcjonowanie narzędzia ASDM.

Aplikacja ASDM została zainstalowana prawidłowo.

Sprawdźmy zatem czy uda się Nam narzędzie uruchomić i nawiązać prawidłowe połączenie. Po wyborze ikony programu musimy zdefiniować adres IP urządzenia oraz podać dane uwierzytelniające (korzystamy z konta użytkownika luk utworzonego w CLI). Wybieramy OK.

Po podaniu prawidłowych danych następuje połączenie z firewallem.

Weryfikację połączenia przy wykorzystaniu narzędzia ASDM możemy sprawdzić za pomocą polecenia: show asdm sessions zaś wersję, która zostanie zainstalowana po wyborze przycisku Install ASDM Launcher poznamy wydając komendę: show asdm image

Narzędzie ASDM wykorzystamy jeszcze w dalszej części opisu a My powróćmy do wiersza poleceń i przeprowadźmy dalszą konfigurację urządzenia z wykorzystaniem interfejsu tekstowego.

Zanim przejdziemy do konfiguracji sesji zdalnej Telnet oraz SSH jeszcze dwa proste ustawienia.

Zmianę nazwy urządzenia przeprowadzamy w trybie konfiguracji globalnej za pomocą komendy: hostname <nowa_nazwa> Domyślna nazwa ciscoasa została zmieniona na ASA.

Warto jest również ustawić bieżący czas gdyż w przypadku włączonego raportowania znacznie ułatwia to orientowanie się w zapisanych logach. Czas ustawiamy za pomocą polecenia: clock set <00:00:00> <dzień_miesiąc_rok> zaś efekt wydania polecenia sprawdzimy za pomocą komendy: show clock

Część konfiguracji routera CISCO ASA mamy już za sobą. Przechodzimy do konfiguracji zestawienia połączenia zdalnego. Rozpoczniemy od połączenia Telnet. Już wiele razy zaznaczałem, iż nie jest to do końca dobry pomysł gdyż wszystkie poświadczenia wprowadzane podczas tego typu sesji są przesyłane jawnie, co w przypadku sytuacji przechwycenia pakietów powoduje przez atakującego przechwycenie danych uwierzytelniających. Dlatego też warto jak już musimy korzystać z tego typu rozwiązania zdefiniować adresy hostów z których takie połączenie może zostać wykonane (wprawdzie nie uchroni Nas to przed utratą hasła w przypadku prowadzenia podsłuchu przez atakującego ale uniemożliwi wykonanie procesu logowania z dowolnej maszyny dostępnej w sieci). I tak też właśnie uczynimy.

Aby skonfigurować sesję Telnet rozpoczynamy od zdefiniowania hasła, które zostanie użyte podczas jej nawiązywania. Hasło określamy za pomocą polecenia: password <hasło> W następnym kroku za pomocą komendy: telnet <adres_ip> <maska> <nazwa_sieci> konfigurujemy adresy IP hostów, które to połączenie będą mogły zestawić. W przykładzie poniżej nawiązać połączenie może tylko host 10. 10 gdyż użyta maska 255. 255. 255 ma dopasowanie tylko do tego adresu. Dodatkowo czas automatycznego rozłączenia sesji (gdy nic się nie dzieje) za pomocą polecenia: timeout <czas> został ustawiony na 3 minuty (domyślnie 5 minut).

Ustawienia Telnet można zweryfikować za pomocą komendy: show running telnet

Sesja Telnet została skonfigurowana czas przetestować ją w działaniu. Połączenie zostaje nawiązane z hosta 10. 10 jak widać poniżej wszystko przebiegło pomyślnie. Stan aktualnych połączeń możemy zweryfikować po wydaniu komendy: who

Aby sesję przerwać posługujemy się poleceniem: kill <numer_sesji> Poniżej administrator zamyka sesję o identyfikatorze 0. Po wydaniu komendy połączenie z hostem zostaje natychmiast przerwane.

Podczas nawiązywania połączenia celem autoryzacji należało podać hasło zdefiniowane za pomocą komendy: password <hasło> aby wymusić logowanie z uwzględnieniem lokalnej bazy użytkowników należy wydać dodatkowe polecenie: aaa authentication telnet console LOCAL Od tej pory podczas nawiązywania połączenia będziemy musieli podać nazwę użytkownika oraz hasło. Niżej zamieszczono przykład w którym do zalogowania wykorzystano wcześniej zdefiniowane konto użytkownika luk.

Połączenie Telnet działa przechodzimy do SSH.

Do zestawienia połączenia również wykorzystamy konto użytkownika luk. Aby sprawdzić listę utworzonych kont możemy posłużyć się komendą: show aaa local user Aby móc przy pomocy tego konta uzyskać zdalny dostęp do urządzenia wydajemy polecenie nakazujące weryfikację połączenia z wykorzystaniem lokalnej bazy użytkowników (tak samo jak w przypadku telnet): aaa authentication ssh console LOCAL

Wymuszenie logowania za pomocą kont zapisanych w bazie dla połączenia konsolowego wykonamy po wydaniu komendy: aaa authentication serial console LOCAL

By połączenie SSH doszło do skutku musimy wygenerować klucz, który zostanie użyty do zabezpieczenia naszego połączenia – klucz generujemy wydając polecenie: crypto key generate rsa modulus <długość_klucza> W przypadku istnienia takiego klucza musimy potwierdzić jego zamianę.

Ostatnią czynnością jest określenie wersji protokołu SSH (ssh ver <wersja_protokołu>) i określenie adresów hostów, które połączenie mogą nawiązać (ssh <adres_IP> <maska_sieci> <nazwa_sieci>).

Poprawność wszystkich ustawień zweryfikujemy wydając instrukcje: show ssh

Konfiguracja dobiegła końca ostatni test to próba nawiązania połączenia. Do zestawienia sesji zostaje użyta aplikacja PuTTY (podczas pierwszego połączenia musimy zatwierdzić odcisk klucza – wybieramy TAK).

Aby kontynuować należy podać poświadczenia użytkownika luk. Weryfikację sesji dokonamy za pomocą komendy: show ssh session (komenda: who w przypadku SSH nie działa).

Po stronie sieci LAN podstawową konfigurację mamy wykonaną czas by umożliwić naszej sieci dostęp do Internetu. Łączność z siecią Internet zapewniona jest dzięki interfejsowi e0/0 tak więc nasze ustawienia rozpoczniemy od tego interfejsu.

Po przejściu do trybu konfiguracji interfejsu, port e0/0 przypisujemy do VLAN-u 2 – switchport access vlan <numer>. Aby interfejs uaktywnić należy wydać polecenie: no shutdown

Ponieważ interfejs routera CISCO ASA e0/0 został włączony do sieci VLAN 2 kolejne czynności przeprowadzimy w trybie konfiguracji interfejsu VLAN 2. Ponieważ adres IP interfejsowi ma zostać przydzielony od strony ISP, dlatego też port musi pracować w trybie klienta ip address dhcp Konfigurowany port znajduje się poza naszą „strefą wpływów” dlatego też za pomocą komendy: security-level <wartość> zostaje zdefiniowany najniższy możliwy poziom zaufania, dodatkowo alias interfejsu przyjmuje nazwę: INTERNET

Weryfikację wprowadzonych ustawień przeprowadzamy z wykorzystaniem instrukcji: show interface vlan 2 Interfejsowi został przypisany adres IP 192. 102

Łączność z routerem jest zapewniona. Wydanie polecenia ping kończy się sukcesem.

Przypisane interfejsom adresy IP dodatkowo sprawdzimy przy wykorzystaniu komendy: show ip

Kolejnym krokiem jest zapewnienie dostępu do Internetu. W pierwszej kolejności rozpoczniemy od samego urządzenia. Jak można zauważyć po analizie zrzutu poniżej firewall nie może komunikować się z siecią zewnętrzną gdyż nie zna „drogi” która posłuży mu do przesłania pakietów. Test ping z wykorzystaniem adresów IP 8. 8. 8 oraz 4. 2. 2 kończy się niepowodzeniem (No route to host …). Zmieńmy to i wskażmy urządzeniu trasę, którą pakiety będą mogły podróżować, tak by osiągnąć cel.

Ponieważ urządzenie odpowiedzialne jest za routowanie pakietów dlatego po wydaniu polecenia: show route poznamy adresy IP sieci do których może być prowadzona komunikacja. Do firewalla bezpośrednio zostały podłączone dwie sieci 10. 0/24 (LAN) oraz 192. 0/24 (INTERNET)

Aby pakiety mogły być swobodnie przesyłane od strony sieci LAN w kierunku Internetu musimy zdefiniować statyczną trasę zerową, która swym działaniem obejmie wszystkie możliwe adresy IP. Trasę taką wprowadzimy do tablicy routingu za pomocą polecenia: route <nazwa_interfejsu_zewnętrznego> <adres_IP> <maska> <adres_następnego skoku> Po wydaniu komendy wszystkie pakiety, które nie zostaną dopasowane do adresów sieci innych tras zostaną przesłane z wykorzystaniem trasy zerowej w kierunku adresu następnego skoku (w Naszym przypadku jest to adres IP 192. 1). pl/wp-content/uploads/definicja-statyczna-trasy-zerowej. jpg" alt="definicja statyczna trasy zerowej" width="680" height="71" srcset="https://www. pl/wp-content/uploads/definicja-statyczna-trasy-zerowej-300x31. pl/wp-content/uploads/definicja-statyczna-trasy-zerowej-64x7. jpg 64w" sizes="(max-width: 680px) 100vw, 680px"/>

Weryfikację dodania trasy wykonamy wydając powtórnie polecenie: show route

Urządzenie ASA uzyskało dostęp do sieci Internet. Jak widać poniżej ponowny test ping w połączeniu z adresami IP 4. 2 oraz 8. 8 tym razem kończy się sukcesem. pl/wp-content/uploads/test-ping. jpg" alt="test ping" width="680" height="200" srcset="https://www. pl/wp-content/uploads/test-ping-300x88. pl/wp-content/uploads/test-ping-64x19. jpg 64w" sizes="(max-width: 680px) 100vw, 680px"/>

Aby hosty znajdujące się w sieci LAN mogły nawiązać połączenie z siecią Internet musimy dodatkowo skonfigurować NAT. Ponieważ najczęściej wykorzystywaną metodą translacji adresów jest PAT (ang. Port Address Translation – jeden publiczny adres IP pod którym są dostępne pozostałe hosty) tak więc tę metodę omówimy.

Konfigurację PAT rozpoczynamy od definicji obiektu: object network (obiekt jest to zbiór ustawień) za pomocą polecenia: object network <nazwa_obiektu> (polecenie wydajemy w trybie konfiguracji globalnej) – punkt 1. Po wydaniu polecenia przechodzimy do przypisania ustawień, które dany obiekt będą charakteryzować. Za pomocą polecenia subnet <adres_sieci> <maska> (punkt 2) określamy sieć co do której będą stosowane reguły translacji. Ostatnim krokiem jest wskazanie nazw interfejsów, które w translacji będą uczestniczyć. Czynność tą wykonamy za pomocą komendy: nat (<nazwa_interfejs_wewnętrzny>, <nazwa_interfejs_zewnętrzny>) dynamic interface (punkt 3). Translacja adresów z wykorzystaniem PAT została skonfigurowana.

Konfigurację NAT zweryfikujemy wydając polecenie: show nat

Zaś dokładne informacje dotyczące działania mechanizmu NAT możemy uzyskać wyświetlając za pomocą polecenia: show xlate aktualną tablicę translacji.

Po wykonaniu tych wszystkich czynności hosty znajdujące się w sieci wewnętrznej powinny uzyskać dostęp do Internetu (nie weryfikuj dostępu do sieci Internet z wykorzystaniem ping gdyż test ten zakończy się niepowodzeniem – wykorzystaj przeglądarkę).

Te podstawowe, przedstawione przeze mnie polecenia pozwolą Ci czytelniku na skonfigurowanie z powodzeniem urządzenia CISCO ASA. Na tym etapie kończymy korzystanie z trybu wiersza poleceń.

Omówienie trybu graficznego w CISCO ASA

Kilka linijek wyżej zainstalowaliśmy oprogramowanie ASDM, które umożliwia nam konfigurację urządzenia z wykorzystaniem GUI. Prześledźmy zatem jak skonfigurować Cisco ASA z wykorzystaniem tego narzędzia. Lecz zanim przejdziemy do właściwych ustawień, zatrzymajmy się chwilkę by omówić interfejs programu.

Po uruchomieniu programu i poprawnym zalogowaniu się do urządzenia zostanie wyświetlone główne okno aplikacji, które podzielone jest na dwie zakładki: Device Dashboard oraz Firewall Dashboard.

Na pierwszej zakładce zostały zaprezentowane takie informacje jak:

• Device Information – podstawowe dane o urządzeniu – nazwa, wersje oprogramowania (firmware urządzenia, ASDM), czas uruchomienia, tryb pracy czy ilości pamięci. Na zakładce License znajdziesz informacje o typie posiadanej licencji,
• VPN Session – informacje o nawiązanych sesjach VPN,
• System Resources Status – wykresy ukazujące stopień wykorzystania komponentów urządzenia (CPU, pamięć),
• Interface Status – aktywne interfejsy sieciowe – ich stan, przypisane adresy IP i ilość przesyłanych informacji,
• Trafic Status – statystyka ruchu sieciowego,
• Latest ASDM Sysylog Messages – komunikaty syslog (stan urządzenia) – okno aktywne po wybraniu opcji Enable Logging.

Kompleksowe usługi informatyczne dla firm.

Zakładka Firewall Dashboard dostarczy Nam informacje o:

Traffic Overview – wykresy reprezentujące statystykę prowadzonych połączeń wraz z informacją o pakietach, które przez urządzenie zostały odrzucone i prawdopodobnych próbach ataku.

Top 10 … – najczęściej zaistniałe zdarzenia – zdarzenia te dotyczą list ACL, które miały zastosowanie, wykorzystywanych adresów IP (źródło, cel), aktywnych użytkowników czy hostów.

Do wszystkich opcji narzędzia i oferowanych funkcji oprogramowania ASDM dla CISCO ASA możemy dostać się wykorzystując do tego górne menu oraz zestaw ikon dostępnych na pasku zadań.

Przyjrzyjmy się więc opcją dostępnym w górnym menu.

Menu zostało podzielone na 6 kategorii po rozwinięciu, których uzyskujemy dostęp do opcji bardziej zaawansowanych.

1 – File – wybranie tej pozycji umożliwi nam wykonanie takich zadań jak: odświeżenie okna narzędzia ASDM, przywrócenie ustawień fabrycznych urządzenia, wgląd oraz zapis konfiguracji bieżącej urządzenia czy wyczyszczenie pamięci podręcznej.

2 – View – dostosowywanie widoków, przejście do ekranów konfigurujących bądź monitorujących stan urządzenia czy utworzenie zakładek po wyborze których mamy szybki dostęp do najczęściej wykorzystywanych ekranów,

3 – Tools – po rozwinięciu menu uzyskamy możliwość skorzystania z wielu narzędzi ułatwiających wykonanie Nam podstawowych czynności administracyjnych i tak: przy pomocy narzędzi ping, traceroute, packet tracer zbadamy osiągalność hostów, wykonamy backup i import ustawień, dokonamy aktualizacji oprogramowania, wymusimy ponowny rozruch urządzenia, wykonamy podstawowe operacje plikowe (kopiowanie, usuwanie plików) czy przy pomocy wiersza linii poleceń wydamy dowolne polecenie.

4 – Wizards – zestaw kreatorów, które pozwolą Nam na przeprowadzenie konfiguracji urządzenia krok po kroku odpowiadając na poszczególne pytania np. podstawowa konfiguracja CISCO ASA czy konfiguracja połączenia VPN.

5 – Window – lista aktywnych okien, możliwość przełączania się pomiędzy nimi,

6 – Help – dostęp do pomocy.

Opcje dostępne na zakładkach (od lewej) pozwalają na:

• Home – ekran startowy.
• Configuration – przejście do konfiguracji urządzenia, po wyborze tej ikony dostępne są kolejne, które umożliwiają skonfigurowanie poszczególnych parametrów pracy
• Device Setup – podstawowe ustawienia urządzenia, z poziomu tej ikony uzyskamy dostęp do opcji związanych z interfejsami, routingiem (statycznym, dynamicznym), nazwą urządzenia, przypisaniem haseł czy czasem.

Firewall (zapora ogniowa) – ta grupa ustawień dotyczy konfiguracji mechanizmu NAT, list dostępu ACL czy zarządzania certyfikatami.

Remote Access VPN – konfiguracja dostępu do sieci z wykorzystaniem tuneli VPN dla użytkowników zdalnych.

Site-to-Site VPN – konfiguracja tunelu VPN, którego zadaniem jest połączenie ze sobą dwóch oddalonych od siebie sieci.

Device Management – grupa opcji, których zadaniem jest konfiguracja opcji związanych z dostępem do urządzenia (tworzenie użytkowników oraz nadawanie im uprawnień, mechanizm AAA oraz RADIUS). Ponadto znajdziesz tu również ustawienia dotyczące ustawień serwerów DHCP czy DNS.

Monitoring – jak sama nazwa wskazuje grupa kart odpowiedzialnych za monitorowanie stanu urządzenia. Poszczególne parametry pracy firewalla zostały zgrupowane na odpowiednich kartach, gdzie przeglądając je uzyskujemy wiedzę o aktualnym stanie urządzenia (prowadzone zadania, konfiguracja czy wykorzystanie zasobów).

Pierwsza karta Interface informuje Nas o statusie interfejsów – znajdziemy tu informacje o adresach IP (statycznych i dynamicznych), zyskamy wgląd w tablicę protokołu ARP czy poznamy stopień wykorzystania pasma (ilość wysyłanych/odbieranych pakietów przez dany interfejs).

Karta VPN poinformuje Nas o stanie nawiązanych połączeń VPN wraz z bardzo bogatą statystyką pakietów jakie są wymieniane podczas nawiązanych sesji.

Ponieważ jedną z funkcji urządzenia jest możliwość prowadzenia routingu na karcie Routing zostały zebrane wszystkie informacje związane z tą funkcjonalnością urządzenia (informacje związane z protokołami routingu dynamicznego OSPF oraz EIGRP).

Karta Properties zawiera informację związane z aktualnie nawiązanymi sesjami z urządzeniem, użytkownikach, serwerach AAA, wykorzystaniu zasobów urządzenia (procesor, pamięć) czy tablicy translacji.

Celem rozwiązania problemów z konfiguracją czy samym urządzeniem możemy skorzystać z karty Logging gdzie w czasie rzeczywistym możemy przeglądać logi urządzenia co daje Nam wgląd w aktualnie prowadzone zadania i realizowane funkcje.

Pozostałe przyciski dostępne na pasku zadań pozwalają na:

• Save – zapisane konfiguracji.
• Refresh – odświeżenie ustawień.
• Back i Forward – przejście pomiędzy ostatnio używanymi ekranami.
• Help – dostęp do pomocy.

Podstawowa konfiguracja urządzenia CISCO ASA

Omówiliśmy interfejs programu, wykonajmy zatem podstawową konfigurację urządzenia – do tego celu wykorzystamy kreator: Startup Wizard. Kreator uruchomimy klikając na opcję Startup Wizard dostępną w menu Wizards. Alternatywą jest wybranie pozycji Configuration a następnie Device Setup i ikony Launch Startup Wizard.

Pierwszy krok (a jest ich 9) uruchomionego kreatora to pytanie – czy chcemy przywrócić urządzenie do ustawień fabrycznych (ang. Reset configuration to factory defaults) czy wykonać modyfikację istniejącej konfiguracji (ang. Modify existing configuration). Wybieramy opcję pierwszą (urządzenie zostało zresetowane do ustawień fabrycznych, rozpoczynamy od konfiguracji domyślnej).

Krok drugi to określenie nazwy urządzenia oraz nazwy domeny (jeśli takowa istnieje – jeśli nie pole zostawiamy puste). Na tym etapie możemy również zdefiniować hasło wejścia do tryb uprzywilejowanego. W tym celu zaznaczamy opcję: Change privileged mode (enable) password i w polu New Password definiujemy hasło. Hasło potwierdzamy wpisując je ponownie w polu: Confirm New Password. Ponieważ w konfiguracji początkowej hasło do trybu enable nie jest zdefiniowane dlatego pole: Old Password pozostawiamy puste. pl/wp-content/uploads/startup-wizard-2. pl/wp-content/uploads/startup-wizard-2-300x287. pl/wp-content/uploads/startup-wizard-2-64x61. png 64w" sizes="(max-width: 642px) 100vw, 642px"/>

Kolejne okno Interface Selection służy do przypisania identyfikatora sieci VLAN do interfejsu sieci zewnętrznej (outside, sieć Internet, domyślny poziom zabezpieczeń 0) oraz określenie sieci VLAN będącej po stronie LAN (inside, domyślny poziom zabezpieczeń 100). Zaproponowane opcje możemy pozostawić, jeśli zaś chcesz utworzyć nową sieć VLAN wybierz opcję: Create new VLAN. Uaktywnienie VLAN-ów dokonujemy poprzez zaznaczenie opcji: Enable VLAN. pl/wp-content/uploads/startup-wizard-3. pl/wp-content/uploads/startup-wizard-3-300x287. pl/wp-content/uploads/startup-wizard-3-64x61. png 64w" sizes="(max-width: 642px) 100vw, 642px"/>

Krok czwarty pozwala na przypisanie fizycznych interfejsów zapory ogniowej (firewalla) do zdefiniowanych w kroku poprzednim sieci VLAN. Przynależność interfejsów do danej sieci VLAN zrealizujesz za pomocą przycisków Add oraz Remove Interfejsy określasz dla każdej z sieci VLAN oddzielnie. pl/wp-content/uploads/startup-wizard-4. pl/wp-content/uploads/startup-wizard-4-300x287. pl/wp-content/uploads/startup-wizard-4-64x61. png 64w" sizes="(max-width: 642px) 100vw, 642px"/>

Karta Interface IP Address Configuration odpowiedzialna jest za definicję adresów IP pod którymi będą dostępne sieci VLAN. Sposób adresacji określamy osobno dla sieci zewnętrznej oraz wewnętrznej. Ponieważ adres IP dla sieci VLAN outside ma zostać skonfigurowany automatycznie została wybrana opcja: Use DHCP. Zaznaczenie pola: Obtain default route using DHCP pozwoli automatycznie uzyskać informację o trasie statycznej (opcja musi być wspierana przez serwer

Adres IP po stronie sieci LAN definiujemy sami. Tak jak w przypadku wykonanej konfiguracji z użyciem wiersza poleceń zostaje wybrany adres IP 10. 1 w połączeniu z maską 255. 0

Krok 6 to decyzja o uruchomieniu serwera DHCP po stronie interfejsu wewnętrznego. Aby serwer mógł zacząć przydzielać adresy IP hostom znajdującym się w sieci LAN zaznaczamy opcję: Enable DHCP server on the inside interface Po wyborze opcji pola dotyczące dostarczanych adresów IP zostaną uaktywnione. Definiujemy następujące pola:

Starting IP Address oraz Ending IP Address – definicja puli adresowej z której serwer DHCP będzie mógł przydzielać adresy IP (pamiętamy o ograniczeniu do 32 adresów IP w przypadku licencji standardowej),

DNS Server – adres serwera DNS.

W przypadku naszej ćwiczebnej topologii wystarczy określenie opcji zaprezentowanych powyżej, oczywiście wpisane adresy IP dostosowujemy do środowiska sieciowego w którym urządzenie ma pracować.

Nie wszystkie opcje serwera DHCP można określić za pomocą tej karty dlatego też celem doprecyzowania ustawień będzie trzeba przeprowadzić dalszą konfigurację po zakończeniu pracy kreatora. pl/wp-content/uploads/startup-wizard-6. pl/wp-content/uploads/startup-wizard-6-300x287. pl/wp-content/uploads/startup-wizard-6-64x61. png 64w" sizes="(max-width: 642px) 100vw, 642px"/>

Kolejna porcja ustawień dotyczy konfiguracji mechanizmu translacji adresów IP. Aby uruchomić funkcję zaznaczamy opcję: Use Port Address Translation (PAT) – zaznaczenie ustawienia spowoduje uruchomienie PAT (jeden publiczny adres a wielu użytkowników). pl/wp-content/uploads/startup-wizard-7. pl/wp-content/uploads/startup-wizard-7-300x287. pl/wp-content/uploads/startup-wizard-7-64x61. png 64w" sizes="(max-width: 642px) 100vw, 642px"/>

Karta Administrative Access jest odpowiedzialna za określenie adresów IP z których będzie możliwy dostęp do urządzenia. Domyślnie zakres adresów IP obejmuje całą sieć w której znajduje się interfejs wewnętrzny. Aby zdefiniować konkretne adresy IP wybierz przycisk Edit. Aby dostęp do urządzenia z wykorzystaniem przeglądarki był możliwy musi być zaznaczona opcja: Enable HTTP Server for HTTPS/ASDM access

Krok ostatni konfiguracji CISCO ASA to podsumowanie ustawień, które zostaną przesłane do urządzenia. W przypadku stwierdzenia, poprawności przeprowadzonej konfiguracji wybieramy Finish. Rozpoczyna się konfiguracja zapory ogniowej (firewalla). pl/wp-content/uploads/startup-wizard-9. pl/wp-content/uploads/startup-wizard-9-300x287. pl/wp-content/uploads/startup-wizard-9-64x61. png 64w" sizes="(max-width: 642px) 100vw, 642px"/>

Podczas stosowania ustawień możemy zostać poproszeni o hasło – wpisujemy zdefiniowane hasło dostępu do trybu uprzywilejowanego (pole Username pozostawiamy puste).

Konfiguracja urządzenia dobiegła końca.

Aby wszystko poprawnie działało musimy dodać jedno z ustawień serwera DHCP – informacja o rozgłaszaniu adresu IP bramy domyślnej. Aby to zadanie wykonać przechodzimy do karty Configuration/Device Management a następnie z lewej strony rozwijamy gałąź DHCP i klikamy na DHCP Server (punkt 1). W oknie po prawej wyświetli się pula adresów IP jaka została przydzielona do rozdysponowania klientom. Wybieramy pulę i klikamy na przycisk Edit (punkt 2). W nowo otwartym oknie Edit DHCP Server wybieramy przycisk Advanced (punkt 3). Po otwarciu kolejnego okna Advanced DHCP Options i po rozwinięciu listy Option Code (punkt 4) należy odszukać pozycję numer 3 po wyborze, której określamy adres IP bramy domyślnej. Całość ustawień zatwierdzamy przyciskiem OK. pl/wp-content/uploads/ustawienia-serwera-dhcp. png" alt="ustawienia serwera DHCP" width="1485" height="1023" srcset="https://www. png 1485w, https://www. pl/wp-content/uploads/ustawienia-serwera-dhcp-300x207. pl/wp-content/uploads/ustawienia-serwera-dhcp-768x529. pl/wp-content/uploads/ustawienia-serwera-dhcp-1024x705. pl/wp-content/uploads/ustawienia-serwera-dhcp-64x44. png 64w" sizes="(max-width: 1485px) 100vw, 1485px"/>

Kolejnym ustawieniem, które musimy określić to dodanie domyślnej trasy statycznej tak aby była możliwość prowadzenia routingu pomiędzy siecią lokalną a siecią, która ma dostęp do Internetu. Aby określić trasę statyczną wybieramy kartę Configuration a następnie Device Setup. W kroku kolejnym przechodzimy do gałęzi Routing/Static Routes (punkt 1). Po zaznaczeniu gałęzi celem dodania nowego wpisu wybieramy przycisk Add (punkt 2). W nowo otwartym oknie Add Static Route w polu Interface wybieramy interfejs zewnętrzny (punkt 3). Po wyborze interfejsu kolejnym krokiem jest zdefiniowanie adresu sieci. W tym celu w polu Network wybieramy ikonę oznaczoną trzema kropkami i w nowo otwartym oknie Browse Network wybieramy trasę zerową (oznaczoną samymi zerami – punkt 4). Całość zatwierdzamy przyciskiem OK. Po powrocie do okna Add Static Route uzupełnij pole Gateway IP, definiując tym samym adres IP bramy domyślnej (punkt 5).

Zmianę nazwy interfejsów wraz z konfiguracją sieciową wykonamy na ekranie Interfaces dostępnym po wyborze Configuration/Device Setup

Ostatnią czynnością jest wykonanie konfiguracji translacji (translację ustawiliśmy w jednym z kroków kreatora lecz nie zawsze to wystarcza). Konfigurację tą wykonamy na ekranie Nat Rules (Configuration/Firewall). Rozpoczynamy od wybrania przycisku Add a następnie Add Network Object Nat Rule W nowo otwartym oknie w polu Name określamy nazwę obiektu, typ reguły ustawiamy na Network oraz definiujemy sieć co do której translacja ma być stosowana (pola IP Address oraz Netmask). Ponieważ wykorzystywaną metodą translacji jest PAT dlatego też w polu Type (sekcja NAT) wybieramy Dynamic PAT (Hide). Pole Translated Addr powinno wskazywać interfejs zewnętrzny. Po całości przeprowadzonych ustawień upewniamy się, że translacja odbywa się pomiędzy siecią wewnętrzną a zewnętrzną CISCO ASA wybierając pozycję Advanced.

Hosty znajdujące się w sieci wewnętrznej uzyskały możliwość komunikacji z siecią Internet.

W trybie wiersza poleceń dostęp zdalny do urządzenia skonfigurowaliśmy dla sesji Telnet oraz SSH. Tę samą operację z wykorzystaniem trybu GUI przeprowadzimy na ekranie: Configuration/Device Management/Management Access/ASDM/HTTPS/Telnet/SSH Nową sesję (również włączenie serwera HTTP) wykonamy po kliknięciu na ikonę Add. W nowo otwartym oknie definiujemy typ sesji, interfejs przez który nastąpi połączenie oraz sieć która z danego typu połączenia ma prawo korzystać. W dolnej części ekranu skonfigurujesz ustawienia dodatkowe tj. czas bezczynności, wersję użytych protokołów czy użyte porty.

Gdy wszystko działa jak należy warto wykonać backup konfiguracji. Opcje odpowiedzialne za wykonanie zapisu kopii ustawień (i ich przywrócenie) odnajdziemy po wybraniu z menu Tools.

Aby wykonać backup należy kliknąć Backup Configuration. Wybieramy kopię całościową bądź jej składniki określamy sami.

Po określeniu lokalizacji zapisu, proces tworzenia kopii rozpocznie się po wybraniu przycisku Backup.

Po skończonym procesie zostanie wyświetlone podsumowanie.

Utworzoną kopię można przywrócić wybierając Restore Configuration

Po wskazaniu pliku przywracania określamy, które z ustawień ma zostać przywrócone.

Tego, kto choć raz utracił swoje dane nie trzeba przekonywać do wykonywania regularnych backupów ale prócz kopii warto jeszcze zadbać o aktualizację oprogramowania. Stosowne opcje odnajdziemy również wybierając z menu opcję Tools.

Najprostszym sposobem wykonania kopii jest użycie Check for ASA/ASDM Updates. Urządzenie cały proces wykona za Nas – sprawdzi dostępność nowego oprogramowania, pobierze i zainstaluje je. Jednak by móc z tej opcji skorzystać musimy mieć aktywny suport – niezbędne jest logowanie w serwisie producenta.

Gdy suportu nie posiadamy o stosowne pliki aktualizacyjne musimy zadbać sami.

Wybierając z menu Tools opcję Upgrade Software from Local Computer przeprowadzimy proces aktualizacji firmware oraz narzędzia Downgrade Software.

Użycie Cisco ASDM nie jest jedynym sposobem aktualizacji, dlatego też przedstawię dwie jego odsłony: akt pierwszy aktualizacja firmware CISCO ASA przy użyciu ASDM, akt drugi aktualizacja ASDM przy użyciu serwera TFTP. Obie metody można stosować zamiennie.

Rozpoczynamy od aktualizacji firmware, posiadaną wersję 9. 0(4) zaktualizujemy do 9. 2(2)4. Po wybraniu Upgrade Software from Local Computer w pozycji Image to Upload wskazujemy ASA. Krok następny to wskazanie pliku zawierającego nowe oprogramowanie. Pozycja Flash File System Path zostanie uzupełniona automatycznie. Gdy lokalizacja zapisu Nam odpowiada wybieramy Upload Image.

Następuje proces kopiowania.

Aby przy kolejnym uruchomieniu urządzenia plik mógł zostać załadowany – odpowiadamy twierdząco.

Aby ponownie uruchomić urządzenie z menu Tools wybieramy System Reload.

Dostępny zestaw opcji pozwala również zaplanować czas ponownego uruchomienia urządzenia.

Aby zrestartować firewalla CISCO ASA należy wybrać przycisk Details… i na kolejnym ekranie Force Imediate Reload.

Proces restartu i ładowania nowej wersji firmware można obserwować po zestawieniu połączenia konsolowego.

Alternatywnym sposobem jest użycie serwera TFTP.

Procedurę rozpoczynamy od uruchomienia serwera TFTP na komputerze, z którego pliki będą kopiowane. Posłużyć możemy się darmowym narzędziem Tftpd64.

Po uruchomieniu aplikacji za pomocą przycisku Browse określamy lokalizację plików. Użycie Show Dir wyświetli udostępnione pliki.

Po zestawieniu sesji z konsolą urządzenia należy wydać polecenia:

1 – copy tftp: flash: – rozpoczynamy kopiowanie, źródłem plików jest serwer TFTP a miejscem docelowym pamięc flash urządzenia,

2 – adres IP serwera TFTP (użyto: 10. 10);

3 – nazwa kopiowanego pliku (kopiowany plik: asdm-771. bin);

4 – pozostawiamy lokalizację domyślną, zatwierdzamy enterem.

Rozpoczyna się proces kopiowania. pl/wp-content/uploads/proces-kopiowania-1. png" alt="proces kopiowania" width="661" height="418" srcset="https://www. pl/wp-content/uploads/proces-kopiowania-1-300x190. pl/wp-content/uploads/proces-kopiowania-1-64x40. png 64w" sizes="(max-width: 661px) 100vw, 661px"/>

Jego efekt możemy również obserwować w oknie aplikacji Tftpd64.

Po wykonaniu kopiowania za pomocą polecenia dir wyświetlimy listę plików. Aby móc skorzystać z nowej wersji narzędzia ASDM należy wydać polecenie: asdm image <ścieżka_do pliku> W przypadku pliku firmware używamy komendy: boot system <ścieżka_do pliku>

Nowa wersja oprogramowania ASDM dla CISCO ASA jest dostępna – podczas następnego użycia narzędzia nastąpi jego aktualizacja.

Aktualizacja obu narzędzi zakończyła się powodzeniem.

Na koniec jeszcze jedno krótkie zagadnienie.

Celem diagnostyki stanu połączenia CISCO ASA często wykorzystujemy polecenie ping niestety w konfiguracji domyślnej nie uda Nam się spingować hostów znajdujących się po stronie interfejsu zewnętrznego gdyż ruch ICMP jest blokowany. Aby uzyskać możliwość badania dostępności hostów przy wykorzystaniu protokołu ICMP musimy na czynność tą jawnie zezwolić poprzez definicję listy ACL, która tego typu pakietów nie będzie filtrować.

Poniżej przykład – test ping hosta wp. pl kończy się niepowodzeniem.

Zezwólmy zatem na ruch pakietów ICMP tak aby test ten zakończył się sukcesem.

Ogólna składnia polecenia utworzenia listy ACL jest taka sama jak w przypadku konfigurowania jej na routerze lecz są dwie drobne różnice:

• polecenie nakazujące utworzenie listy ACL wydajemy w trybie konfiguracji globalnej a nie jak to było w przypadku routerów w trybie konfiguracji interfejsu,
• nie używamy maski wildcard tylko maskę standardową.

Aby utworzyć listę ACL wydajemy poniższe polecenia. Pierwsze tworzy listę ACL o numerze 105, która zezwala na ruch ICMP z dowolnego hosta do dowolnego adresu IP pod warunkiem, że jest to odpowiedź na zapytanie ICMP (pakiet: ICMP Echo Request). Polecenie drugie przypisuje utworzoną listę do interfejsu zewnętrznego i ustala jej kierunek działania na wejście.

Po wydaniu tych dwóch poleceń ponowny test ping kończy się sukcesem.

Nazywam się Rafał Wielgus, jestem informatykiem oraz międzynarodowym audytorem wiodącym ISO 27001. Świadczę kompleksowe usługi z zakresu bezpieczeństwa teleinformatycznego, wdrażam systemy z rodziny „IT security”, skutecznie nadzoruję RODO, prowadzę szkolenia oraz audyty.

Posiadam prawie 20 lat doświadczenia w bezpieczeństwie systemów i sieci komputerowych. Jako jeden z nielicznych w Polsce dysponuję wiedzą praktyczną w zakresie Certified Information Systems Security Professional (CISSP). Szkolony również przez ABW i SKW.

Zarządzanie dostępem administracyjnym jest procesem krytycznym w każdej sieci to od administratora zależy, kto i do czego ma dostęp oraz jakie czynności na danym urządzeniu może wykonać. Routery CISCO zapewniają wiele sposobów kontroli dostępu do urządzenia oraz posiadają szereg mechanizmów pozwalających na ustalenie uprawnień. Artykuł opisuje jak skonfigurować urządzenie wykorzystując do tego połączenie zdalne oraz jak przypisać prawa do wykonania poszczególnych zadań konkretnym, zdefiniowanym użytkownikom.

W przypadku routerów i przełączników CISCO proces dostępu do urządzenia możemy zrealizować na wiele sposobów.

Wyróżniamy następujące metody:

• password – dostęp do trybu użytkownika oraz do trybu uprzywilejowanego po podaniu wcześniej ustalonego hasła,
• local database – metoda oparta na zdefiniowaniu bazy uprawnionych użytkowników, baza jest zapisana w pamięci urządzenia. W przeciwieństwie do metody poprzedniej oprócz hasła musimy podać nazwę użytkownika. Aby móc logować się przy wykorzystaniu tych samych danych uwierzytelniających, baza danych musi zostać powielona na każdym z urządzeń.
• AAA (Authentication Authorization Accounting) – model ten stanowi spójny system w obrębie, którego działają mechanizmy odpowiedzialne za bezpieczny dostęp do sieci i jej zasobów. Modułowy charakter mechanizmu pozwala wpływać na konfigurację trzech głównych usług: autentykacji (authentication), autoryzacji (authorization) oraz raportowania (accounting). Model ten może opierać się na lokalnej bazie użytkowników – AAA Local Authentication (self-contained AAA) oraz na bazie opartej o serwery uwierzytelniające – AAA Server-based

Celem uproszczenia opisywanych czynności i by pokazać działanie wszystkich mechanizmów na konkretnym przykładzie w całym artykule przyjąłem następującą topologię:

Pierwszym i chyba najprostszym sposobem, który możemy wykorzystać aby skonfigurować urządzenie jest skorzystanie z protokołu Telnet. Dla nie wtajemniczonych standard ten został stworzony aby umożliwić obsługę odległego terminala w architekturze klient-serwer, tak aby po połączeniu z urządzeniem móc je kontrolować.

Naszym celem będzie zdalna konfiguracja routera R3, która będzie wykonana z komputera Windows 10.

Całą procedurę rozpoczniemy od sprawdzenia poprawności połączenia pomiędzy urządzeniami.

Jak widać komunikacja jest zachowana a więc spróbujmy połączyć się z routerem z wykorzystaniem protokołu Telnet. Po wywołaniu polecenia – telnet 172. 16. 1. 1 otrzymujemy następującą informację

Jak widać nie udało się ustanowić połączenia.

Otrzymaliśmy informację o potrzebie wprowadzenia hasła lecz hasło nie zostało do tej pory ustawione. Spróbujmy to zmienić i wprowadźmy stosowne ustawienia na routerze R3. Najprostsza konfiguracja sprowadza się do wydania następujących poleceń.

Polecenie: line vty <numer linii> wydane w trybie konfiguracji globalnej routera nakazuje urządzeniu przejście do konfiguracji linii wirtualnych, które umożliwiają nam zdalne połączenie z routerem (sesja telnet bądź SSH). Liczba dostępnych do wykorzystania wirtualnych linii jest różna i zależy od modelu urządzenia w naszym przykładzie konfigurujemy 5 linii (od 0 do 4). Dzięki temu możliwe będzie nawiązanie pięciu oddzielnych połączeń. Komenda: password <hasło> ustawia hasło niezbędne do zestawienia połączenia natomiast polecenie: login włącza logowanie.

Sprawdźmy więc czy tym razem uda się nawiązać poprawne połączenie. Wydajmy ponownie polecenie: telnet 172. 1 Jak widać poniżej nastąpiła inicjacja połączenia a dostęp do linii poleceń routera możliwy jest po podaniu hasła. pl/wp-content/uploads/image5. png" alt="" width="680" height="92" srcset="https://www. pl/wp-content/uploads/image5-300x41. pl/wp-content/uploads/image5-64x9. png 64w" sizes="(max-width: 680px) 100vw, 680px"/>

Po poprawnym połączeniu klient znajduje się w trybie użytkownika.

Tryb ten nie pozwala na wprowadzenie jakichkolwiek ustawień a więc spróbujmy przełączyć się do trybu uprzywilejowanego. pl/wp-content/uploads/image6. png" alt="" width="680" height="97" srcset="https://www. pl/wp-content/uploads/image6-300x43. pl/wp-content/uploads/image6-64x9. png 64w" sizes="(max-width: 680px) 100vw, 680px"/>

Po wprowadzeniu polecenia enable, które pozwala na przejście do trybu uprzywilejowanego otrzymujemy komunikat o braku hasła. Hasło do trybu uprzywilejowanego jest dodatkowym zabezpieczeniem (druga linia obrony), które chroni router przed nieautoryzowanym dostępem.

Dajmy użytkownikowi podłączonemu zdalnie możliwość przejścia w tryb uprzywilejowany. Zadanie wykonamy wydając polecenie: enable password <hasło>

Od tej pory po podaniu poprawnego hasła router pozwoli nam na zmianę trybu. A więc na tą chwilę mamy skonfigurowane dwa hasła:

• pierwsze – pozwalające na nawiązanie sesji Telnet – hasło: tajnehasło,
• drugie – pozwalające na przejście do trybu uprzywilejowanego – hasło: bardzotajnehaslo.

Po nawiązaniu połączenia i wprowadzeniu zdefiniowanych haseł uzyskujemy dostęp do trybu uprzywilejowanego routera.

Użycie protokołu Telnet nie należy do najbezpieczniejszych ponieważ cała komunikacja prowadzona jest otwartym tekstem bez zastosowania jakichkolwiek metod szyfrowania. Jak widać poniżej przechwycona sesja uwidacznia wszystkie wpisane komendy i polecenia.

Kolejną wadą tej metody jest przechowywanie haseł w formie czystego tekstu w pliku konfiguracji routera. Wydanie komendy show running-config uwidacznia skonfigurowane hasła. pl/uslugi-informatyczne/">

Aby zabezpieczyć hasła i przynajmniej trochę utrudnić ich odczytanie możemy użyć usługi, która odpowiada za ich zaszyfrowanie (słaba metoda ale zawsze lepsza niż żadna). Dlatego w trybie konfiguracji globalnej wydaj polecenie: service password-encryption

Włączenie usługi jest odnotowane w pliku konfiguracji routera i jak możesz zauważyć hasło enable oraz hasło linii VTY nie są już zapisane w formie czystego tekstu. pl/wp-content/uploads/image12. png" alt="" width="680" height="413" srcset="https://www. pl/wp-content/uploads/image12-300x182. pl/wp-content/uploads/image12-64x39. png 64w" sizes="(max-width: 680px) 100vw, 680px"/>

Użyty algorytm szyfrowania (7 za słowem password) nie należy do najbezpieczniejszych gdyż opiera się on na metodzie Vigenère’a i jest łatwy do złamania.

Po wpisaniu ciągu 1311161805090C2B382827 i wysłaniu zapytania dostajemy odpowiedź – rozszyfrowane hasło.

Zdecydowano się mechanizm szyfrowania poprawić tak aby zagwarantować lepszą ochronę danych uwierzytelniających. Zdecydowano się na użycie algorytmu MD5, który jest funkcją nieodwracalną czyli na podstawie przechwyconego ciągu nie da się odwrócić procesu tak by wyznaczyć hasło (co nie jest równoznaczne z tym, że hasła nie da się złamać).

Hasło definiuje się za pomocą polecenia: enable secret <hasło>. Po wyświetleniu konfiguracji routera widać, że za ukrycie hasła odpowiada funkcja MD5 (oznaczenie cyfra 5 po słowie secret). pl/wp-content/uploads/image14. png" alt="" width="680" height="131" srcset="https://www. pl/wp-content/uploads/image14-300x58. pl/wp-content/uploads/image14-64x12. png 64w" sizes="(max-width: 680px) 100vw, 680px"/>

W ten sposób ustawiliśmy dwa hasła, które pozwalają przejście do trybu uprzywilejowanego. pl/wp-content/uploads/image15. png" alt="" width="680" height="90" srcset="https://www. pl/wp-content/uploads/image15-300x40. pl/wp-content/uploads/image15-64x8. png 64w" sizes="(max-width: 680px) 100vw, 680px"/>

Aby zwiększyć ochronę decydujemy się na usunięcie hasła zdefiniowanego za pomocą komendy enable password <hasło>. Usunięcie odbywa się za pomocą polecenia: no enable password

Jak widać powyżej hasło podatne na złamanie zostało wycofane.

Zmianę liczby dostępnych linii VTY można wykonać za pomocą polecenia: line vty <zakres_linii>. Linie od 0 do 4 tworzone są automatycznie. Wydanie np. polecenia line vty 0 12, spowoduje utworzenie 13 linii wirtualnych. Niemożliwe jest utworzenie linii bez zachowania kolejności czyli np. utworzenie linii 14 spowoduje dodanie linii od 0 do 14 natomiast usunięci linii do np. 7 będzie wykasuje porty od siódmego włącznie.

Niemożliwe jest wykasowanie pięciu pierwszych linii (od 0 do 4), próba usunięcia linii z tego zakresu powoduje wygenerowanie błędu. pl/wp-content/uploads/routery-cisco-17. png" alt="" width="680" height="102" srcset="https://www. pl/wp-content/uploads/routery-cisco-17-300x45. pl/wp-content/uploads/routery-cisco-17-64x10. png 64w" sizes="(max-width: 680px) 100vw, 680px"/>

Zmianę dopuszczalnego czasu korzystania z linii terminala można dokonać za pomocą polecenia: exec-timeout <min> <s> wydanego w trybie konfiguracji linii VTY. pl/wp-content/uploads/routery-cisco-18. pl/wp-content/uploads/routery-cisco-18-300x46. pl/wp-content/uploads/routery-cisco-18-64x10. png 64w" sizes="(max-width: 680px) 100vw, 680px"/>

Czas ten domyślnie ustawiony jest na 10 minut i po braku aktywności ze strony użytkownika po tym czasie następuje automatyczne rozłączenie. Powyższy przykład ilustruje przestawienie tego czasu na 260 minutowy okres bezczynności.

Wydanie polecenia: exec-timeout 0 0 spowoduje wyłączenie mechanizmu odliczania czasu nieaktywności.

Oprócz czasu nieaktywności możemy również ustawić czas całkowitego trwania ustanowionego połączenia. Przykładowa konfiguracja czasu trwania połączenia może wyglądać tak:

Polecenie absolute-timeout <min> ustawia maksymalny czas trwania połączenia, natomiast logout-warning <s> czas wygenerowania ostrzeżenia (czas po, którym nastąpi zamknięcie sesji). W naszym przykładzie czas połączenia został ustawiony na 10 minut a 60 sekund przed zakończeniem połączenia zostanie wysłane ostrzeżenie.

Innym mechanizmem, który daje nam większe możliwości jest skorzystanie z systemu zarządzania nazwami użytkowników AAA (ang. Authentication Authorization Accounting). Narzędzia AAA wpierają najprostszą metodę uwierzytelnienia opartą na lokalnej bazie użytkowników zapisaną w konfiguracji routera po zaawansowane wsparcie dla protokołów RADIUS (ang. Remote Authentication Dial-In User Service), Kerberos czy TACACS+, dodatkowo skorzystanie z dobrodziejstw tego modelu powoduje, że możliwe jest zastosowanie różnych protokołów autentykacji dla różnych interfejsów routera.

Metoda korzystająca z lokalnego uwierzytelnienia użytkowników jest przeciwieństwem autentykacji opartej na odwołaniach do centralnego serwera (bądź serwerów – redundancja na wypadek niedostępności serwera) na którym to znajduje się wspólna baza użytkowników dostępna dla wszystkich urządzeń. Na podstawie informacji zawartych w tej bazie przeprowadza się uwierzytelnienie i nadanie uprawnień. Korzystanie z zdalnej bazy zwalnia nas z konfiguracji uwierzytelnienia na każdym z urządzeń z osobna. pl/uslugi-informatyczne/obsluga-it/iso-27001/">

Metoda lokalna sprawdza się w małych środowiskach natomiast korzystanie z odwołań zdalnych z reguły jest zarezerwowane dla dużych środowisk sieciowych.

Procedura konfiguracji uwierzytelniania bazującego na modelu AAA za pomocą CLI sprowadza się do:

1. Włączenia usługi AAA za pomocą polecenia: aaa new-model, komendę wydajemy w trybie konfiguracji globalnej.
2. Zdefiniowaniu listy metod uwierzytelnienia – polecenie: aaa authentication <rodzaj_uwierzytelnienia> default |<nazwa_listy> <metoda_uwierzytelnienia>

Pierwszą opcją, którą musimy określić jest podanie rodzaju uwierzytelnienia.

Po określeniu rodzaju uwierzytelnienia musimy zdecydować się czy użyjemy listy domyślnej, która jest automatycznie stosowana do wszystkich interfejsów. Jeżeli zdecydujemy się na zdefiniowanie nazwy listy, musimy pamiętać aby tą listę założyć na konkretny interfejs. pl/wp-content/uploads/typ-listy. jpg" alt="" width="680" height="426" srcset="https://www. pl/wp-content/uploads/typ-listy-300x188. pl/wp-content/uploads/typ-listy-64x40. jpg 64w" sizes="(max-width: 680px) 100vw, 680px"/>

Ostatnią decyzją jest wybranie metody uwierzytelnienia. Co ważne, spośród podanych metod możemy wybrać ich kilka, a kolejność ich stosowania jest równoznaczna z kolejnością ich definicji.

1. Przypisanie (jeśli wymagane) zdefiniowanych list metod do konkretnych interfejsów lub linii.

A więc spróbujmy przeprowadzić konfigurację routera, który będzie korzystał z modelu AAA i model ten będzie odwoływał się do lokalnie utworzonej bazy danych o użytkownikach.

1. za pomocą polecenia: username <nazwa_użytkownika> password <hasło> tworzymy konto użytkownika.

Włączenie modelu AAA powoduje, zastąpienie domyślnego mechanizmu uwierzytelnienia i od tej pory router będzie żądał podania nazwy użytkownika i hasła na wszystkich liniach (VTY, AUX i port konsoli). Aby zabezpieczyć się i nie doprowadzić do sytuacji w której zablokujemy sobie dostęp do urządzenia poprzez włączenie modelu AAA i braku zdefiniowanego konta należy w pierwszej kolejności użyć polecenia username.

1. włączenie modelu AAA następuje poprzez wydanie polecenia: aaa new-model,
2. polecenie: aaa authentication login default local informuje router, że do procesu logowania ma użyć lokalnej bazy użytkowników zapisanej w pamięci routera,
3. opcjonalnie za pomocą parametru nopassword można zdefiniować użytkownika do którego nie będzie przypisane żadne hasło.

Po wpisaniu powyższych poleceń można nawiązać sesję Telnet. Użytkownik jankow aby się zalogować musi podać zarówno login i hasło natomiast użytkownik katwal tylko login.

Tak skonfigurowane konta są widoczne w pliku konfiguracji routera, informacja ta przechowywana jest w postaci niezaszyfrowanej. pl/wp-content/uploads/routery-cisco-26. jpg" alt="" width="680" height="108" srcset="https://www. pl/wp-content/uploads/routery-cisco-26-300x48. pl/wp-content/uploads/routery-cisco-26-64x10. jpg 64w" sizes="(max-width: 680px) 100vw, 680px"/>

Zaszyfrować hasła możemy dzięki znanemu nam już poleceniu: service password-encryption. pl/wp-content/uploads/routery-cisco-27. jpg" alt="" width="680" height="158" srcset="https://www. pl/wp-content/uploads/routery-cisco-27-300x70. pl/wp-content/uploads/routery-cisco-27-64x15. jpg 64w" sizes="(max-width: 680px) 100vw, 680px"/>

Aby skorzystać z algorytmu MD5 należy użyć polecenia: username <nazwa_użytkownika> secret <hasło>

Bardzo fajną możliwością jest nadanie konkretnemu użytkownikowi prawa do wykonania jakiegoś polecenia tak aby np. użytkownik uzyskał daną informację ale żeby nie mógł konfigurować urządzenia.

Cała procedura sprowadza się do wykorzystania polecenia autocommand, które to jest parametrem komendy username. Wydanie poniższych poleceń konfigurację usługi pozwoli wykonać. pl/wp-content/uploads/router-cisco-29. jpg" alt="" width="680" height="107" srcset="https://www. pl/wp-content/uploads/router-cisco-29-300x47. pl/wp-content/uploads/router-cisco-29-64x10. jpg 64w" sizes="(max-width: 680px) 100vw, 680px"/>

1. danie użytkownikowi możliwość wykonania polecenia zarezerwowanego dla EXEC,
2. utworzenie użytkownika routing, konto nie ma hasła oraz dodanie parametru noescape spowoduje, że dany użytkownik nie może przerwać wykonania instrukcji,
3. dla użytkownika routing ma być wykonana komenda: show ip route.

Po nawiązaniu połączenia telnet nastąpi automatyczne pokazanie tablicy routingu routera.

Listę aktualnie zalogowanych użytkowników uzyskamy po wydaniu polecenia: show users. pl/wp-content/uploads/router-cisco-31. jpg" alt="" width="680" height="121" srcset="https://www. pl/wp-content/uploads/router-cisco-31-300x53. pl/wp-content/uploads/router-cisco-31-64x11. jpg 64w" sizes="(max-width: 680px) 100vw, 680px"/>

Wcześniej wspomniałem, że można zdefiniować listę nazwaną oraz, że tak utworzoną listę trzeba jawnie przypisać do danego interfejsu. Jak to wykonać? Przedstawia poniższy listening. pl/wp-content/uploads/router-cisco-32. jpg" alt="" width="680" height="170" srcset="https://www. pl/wp-content/uploads/router-cisco-32-300x75. pl/wp-content/uploads/router-cisco-32-64x16. jpg 64w" sizes="(max-width: 680px) 100vw, 680px"/>

1 – włączenie modelu AAA,

2 – stworzenie listy nazwanej Telnet-user, logowanie lokalne,

3 – konfiguracja linii VTY,

4 – przypisanie listy nazwanej Telnet-user do interfejsów wirtualnych,

5 – utworzenie użytkownika.

Podczas ustalania uwierzytelnienia została użyta opcja local-case, która oznacza, że nazwa użytkownika ma uwzględniać wielkość liter. Domyślnie nazwy są insensitive co oznacza, że nazwa użytkownika TadWal czy TADWAL jest tożsama. Jak można zaobserwować poniżej podczas próby nawiązania sesji Telnet z włączonym local-case tak już nie jest. Trzeba dokładnie podać nazwę użytkownika z uwzględnieniem wielkości liter. pl/wp-content/uploads/router-cisco-33. jpg" alt="" width="680" height="344" srcset="https://www. pl/wp-content/uploads/router-cisco-33-300x152. pl/wp-content/uploads/router-cisco-33-64x32. jpg 64w" sizes="(max-width: 680px) 100vw, 680px"/>

Aby uniemożliwić wielokrotne logowanie się można zdefiniować próg po przekroczeniu, którego nastąpi automatyczna blokada konta. Służy do tego celu polecenie: aaa local authentication attempts max-fail <liczba_nieudanych_prób>

Maksymalna liczba błędnych logowań została ustalona na 3 (rysunek powyżej) po trzeciej próbie następuje blokada konta.

By zobaczyć aktualnie zablokowane konta wydaj polecenie: show aaa local user lockout

Aby konto ponownie stało się aktywne należy użyć komendy: clear aaa local user lockout username <nazwa_użytkownika> |all

Użytkownik TadWal może ponownie się zalogować.

Potrzeby wykonywania różnych czynności na routerze ściśle wiążą się z uprawnieniami do przeprowadzania danego typu konfiguracji (dostępu do różnych poleceń). Tak więc osoba odpowiedzialna za zabezpieczenia nie będzie potrzebowała poleceń, które związane są z routingiem i na odwrót. Routery Cisco umożliwiają konfigurację różnych poziomów uprawnień dla różnych grup administratorów. Dodatkowo aby kontrolować dostęp do danego poziomu uprawnień, należy skonfigurować hasło do każdego z poziomów.

Do dyspozycji mamy 16 poziomów uprawnień.

• Level 0:

– wstępnie zdefiniowany do przywilejów na poziomie trybu użytkownika (user-level access privileges),

– ze względu na to, że poziom ten udostępnia tylko pięć poleceń: disable, enable, exit, help, and logout rzadko stosowany.

• Level 1 (user EXEC mode):

– domyślnie ustawiany poziom logowania ze znakiem zachęty Router>,

– użytkownik nie może wykonać żadnych zmian konfiguracji plus brak możliwości podejrzenia pliku konfiguracji bieżącej.

• Levels 2 –14:

– poziomy, które mogą być dostosowane w zależności od potrzeb i wymagań,

– polecenia z niższego poziomu może być przeniesione do wyższego poziomu, a polecenia z wyższego poziomu mogą być przeniesione na niższy poziom,

– poziomy te mogą być skonfigurowane za pomocą poleceń konfiguracji globalnej.

• Level 15 (Privileged EXEC mode):

– najwyższe uprawnienia, możliwość uruchomienia trybu uprzywilejowanego – polecenie enable.

OK no to wykonajmy mały przykład.

• stworzono cztery odrębne konta użytkownika.
• konto user z domyślnym dostępem na poziomie 1.
• technik z dostępem na poziomie 5 i dostępem do polecenia ping.
• starszytechink z dostępem na poziomie konta technik plus dostęp do polecenia clock.
• admin – poziom trybu uprzywilejowanego.
• dodatkowo umożliwiono przejście na level 5 i level 10, przejście następuje po wpisaniu hasła. pl/wp-content/uploads/routery-cisco-37. jpg" alt="" width="680" height="208" srcset="https://www. pl/wp-content/uploads/routery-cisco-37-300x92. pl/wp-content/uploads/routery-cisco-37-64x20. jpg 64w" sizes="(max-width: 680px) 100vw, 680px"/>

  Wszystkie wymienione powyżej zadania zostały zrealizowane za pomocą poniższych komend:

  1 – konto user, dostęp do poziomu 1, hasło: poziom1, algorytm MD5,

  2 – polecenie ping może być uruchomione z uprawnieniami poziomu 5,

  3 – przejście na poziom 5 po podaniu hasła: poziom5,

  4 – konto technik, dostęp do poziomu 5, hasło: poziom5, algorytm MD5,

  5 – polecenie clock może być uruchomione z uprawnieniami poziomu 10,

  6 – przejście na poziom 10 po podaniu hasła poziom10,

  7 – konto starszytechnik, dostęp do poziomu 10, hasło: poziom10, algorytm MD5,

  8 – konto admin, dostęp do poziomu 15, hasło: poziom15, algorytm MD5,

  Po wydaniu tych wszystkich poleceń sprawdźmy czy konta zostały utworzone:

  Jak widać wszystko wydaje się być OK a więc spróbujmy podłączyć się do routera z wykorzystaniem sesji telnet i sprawdzić czy wprowadzone ustawienia działają jak należy. Wykonujemy serię poleceń.

  1 – nawiązanie sesji telnet z poświadczeniami użytkownika user,

  2 – sprawdzenie poziomu użytkownika za pomocą polecenia: show privilege, poziom użytkownika user to level 1,

  3 – sprawdzenie czy działa polecenie ping – polecenie nie działa,

  4 – za pomocą polecenia: enable <poziom>, podwyższamy uprawnienia do level 5,

  5 – hasło do level 5,

  6 – sprawdzenie poziomu użytkownika,

  7 – sprawdzenie czy działa polecenie ping – polecenie działa,

  8 – sprawdzenie czy działa polecenie clock – polecenie nie działa,

  9 – podwyższamy uprawnienia do level 10,

  10 – hasło do level 10,

  11 – sprawdzenie poziomu użytkownika,

  12 – sprawdzenie czy działa polecenie clock – polecenie działa,

  13 – sprawdzenie czy działa polecenie show running-config – polecenie nie działa,

  Jak widać po powyższym briefingu wszystko działa jak należy z wyjątkiem ostatniego 13 polecenia. Stało się tak ponieważ polecenie: show running-config zarezerwowane jest dla najwyższego 15 poziomu.

  Spróbujmy przejść na najwyższy poziom uprawnień. Jak widać wydanie polecenia: enable 15 kończy się niepowodzeniem. Niepowodzenie spowodowane jest tym, że konfigurując router nie daliśmy możliwości przejścia na ostatni 15 poziom. pl/wp-content/uploads/routery-40. jpg" alt="" width="680" height="58" srcset="https://www. pl/wp-content/uploads/routery-40-300x26. pl/wp-content/uploads/routery-40-64x5. jpg 64w" sizes="(max-width: 680px) 100vw, 680px"/>

  A więc przejdźmy do routera i spróbujmy włączyć możliwość podwyższenia uprawnień do poziomu 15. Oczywiście można by było nawiązać kolejną sesję i zalogować się z poświadczeniami użytkownika admin. pl/wp-content/uploads/routery-41. jpg" alt="" width="680" height="72" srcset="https://www. pl/wp-content/uploads/routery-41-300x32. pl/wp-content/uploads/routery-41-64x7. jpg 64w" sizes="(max-width: 680px) 100vw, 680px"/>

  Po wprowadzeniu korekty możliwe staje się podwyższenie uprawnień a co za tym idzie wydanie komendy: show running-config. pl/wp-content/uploads/routery-42. jpg" alt="" width="680" height="355" srcset="https://www. pl/wp-content/uploads/routery-42-300x157. pl/wp-content/uploads/routery-42-64x33. jpg 64w" sizes="(max-width: 680px) 100vw, 680px"/>

  Mechanizm oparty o poziomy nie daje nam możliwości pełnego kontrolowania dostępu do poszczególnych poleceń a złożona konfiguracja bywa kłopotliwa a dodatkowo podlega on następującym ograniczeniom:

  • brak możliwości ustalenia dostępu do określonych interfejsów, portów routera,
  • polecenia dostępne na niższych poziomach są zawsze możliwe do wykonania na wyższych poziomach, natomiast te z poleceń, które zostały przypisane do wyższych poziomów uprawnień, nie są dostępne dla niższej uprzywilejowanych użytkowników,
  • polecenie zawierające wiele słów kluczowych, które zostaje przeniesione na inny poziom sprawi, że wszystkie polecenia rozpoczynające się od pierwszego słowa również przechodzą na ten sam poziom,
  • aby zdefiniować konto, które ma dostęp do większości poleceń, lecz z małymi wyjątkami (bez pewnych komend), wymaga od nas wydanie polecenia privilege exec dla każdego polecenia, które ma być dostępne na tworzonym koncie.

  Innym sposobem określenia uprawnień w systemie jest skorzystanie z tzw. Role-Based CLI. Mechanizm ten ma większe możliwości i jest bardziej przyjazny niż poziomy uprawnień trybu enable. Dzieje się tak ponieważ definiowane poziomy i przypisywanie określonych praw dostępnych w ramach levelu nie zapewniają odpowiedniego poziomu szczegółowości, potrzebnego podczas pracy z systemem IOS.

  Cała koncepcja Role-Based CLI opiera się na definiowaniu tzw. widoków (ang. views). Celem utworzenia widoku jest danie administratorowi możliwości zdefiniowania grupy poleceń, która będzie obowiązywać w ramach widoku. Czyli widok zapewnia nam selektywny lub częściowy dostęp do poleceń trybu konfiguracji oraz określa jakie informacje konfiguracyjne będą widoczne.

  Cały proces konfiguracji Role-Based CLI rozpoczyna się od definicji widoku głównego (ang. Root View). Root view jest niezbędny do definiowania widoków i superwidoków (ang. superview). Jak już zostało wspomniane widok zawiera polecenia system IOS a co najważniejsze dane polecenie nie jest ograniczone do jednego widoku czyli komenda może pojawić się w więcej niż jednym widoku. pl/wp-content/uploads/widoki-routery-cisco. jpg" alt="" width="680" height="242" srcset="https://www. pl/wp-content/uploads/widoki-routery-cisco-300x107. pl/wp-content/uploads/widoki-routery-cisco-64x23. jpg 64w" sizes="(max-width: 680px) 100vw, 680px"/>

  Widok główny jest najwyższym widokiem administracyjnym. W widoku tym następuje tworzenie i modyfikowanie pozostałych widoków bądź superwidoków. Porównując prawa dostępne w ramach 15-tego poziomu uprzywilejowania a prawa użytkownika widoku głównego to okażę, się że tylko użytkownik widoku głównego może tworzyć lub zmieniać widoki i superwidoki.

  Aby móc skorzystać z Role-Based CLI wymagane jest włączenia modelu AAA (wykorzystanie lokalnego uwierzytelniania nie wystarcza).

  Administrator ma do dyspozycji oprócz widoku głównego, dodatkowych 15 widoków.

  Tak więc wykonajmy małe ćwiczenie i spróbujmy uruchomić Role-Based CLI.

  1 – tworzymy nowego użytkownika,

  2 – włączamy nowy model AAA, za pomocą polecenia aaa new-model

  3 – następnie, za pomocą polecenia enable z parametrem view wchodzimy do widoku głównego (opcjonalnie enable view root). Jeśli uaktywnione jest uwierzytelnianie, korzystamy z hasła enable secret. pl/wp-content/uploads/router-cisco-44. jpg" alt="" width="680" height="212" srcset="https://www. pl/wp-content/uploads/router-cisco-44-300x94. pl/wp-content/uploads/router-cisco-44-64x20. jpg 64w" sizes="(max-width: 680px) 100vw, 680px"/>

  Aby wyświetlić informację o bieżącym widoku użyj polecenia: show parser view

  Gdy jesteśmy już w widoku głównym możemy zdefiniować kolejne. A więc zdefiniujmy widok ROUTE w którym będzie dozwolone wykonanie poleceń z rodziny show ip oraz komendy show version.

  4 – utworzenie widoku ROUTE i uruchomienie trybu konfiguracji widoku – polecenie: parser view <nazwa_widoku>,

  5 – ustawienie hasła zabezpieczającego dostęp do widoku w naszym przypadku hasło to slow7 – polecenie: secret <hasło>.

  6 – przypisanie poleceń do widoku – wszystkie polecenia z rodziny show ip oraz polecenie show version. pl/wp-content/uploads/router-cisco-46. jpg" alt="" width="680" height="200" srcset="https://www. pl/wp-content/uploads/router-cisco-46-300x88. pl/wp-content/uploads/router-cisco-46-64x19. jpg 64w" sizes="(max-width: 680px) 100vw, 680px"/>

  Od tej pory widok ROUTE jest aktywny spróbujmy więc skorzystać z niego. Przełączenie widoku realizujemy za pomocą polecenia: enable view <nazwa_widoku>. pl/wp-content/uploads/router-cisco-47. jpg" alt="" width="680" height="144" srcset="https://www. pl/wp-content/uploads/router-cisco-47-300x64. pl/wp-content/uploads/router-cisco-47-64x14. jpg 64w" sizes="(max-width: 680px) 100vw, 680px"/>

  Oczywiście by uaktywnić widok musimy podać hasło dostępu do widoku. Wydanie komendy show parser view zdradza nazwę aktywnego widoku.

  Po uaktywnieniu widoku możemy sprawdzić z jakich poleceń możemy korzystać. Zgodnie z konfiguracją widoku oprócz poleceń zdefiniowanych odgórnie możemy wywołać tylko polecenie show version oraz każde z poleceń z rodziny show ip. pl/wp-content/uploads/router-cisco-48. jpg" alt="" width="680" height="439" srcset="https://www. pl/wp-content/uploads/router-cisco-48-300x194. pl/wp-content/uploads/router-cisco-48-64x41. jpg 64w" sizes="(max-width: 680px) 100vw, 680px"/>

  Wywołanie polecenia, które nie zostało zdefiniowane w konfiguracji danego widoku skutkuje informacją o błędzie. Gdy w widoku ROUTE chcemy przeprowadzić konfigurację urządzenia, poleceniem: config terminal, router zgłasza błąd. pl/wp-content/uploads/router-cisco-49. jpg" alt="" width="680" height="214" srcset="https://www. pl/wp-content/uploads/router-cisco-49-300x94. pl/wp-content/uploads/router-cisco-49-64x20. jpg 64w" sizes="(max-width: 680px) 100vw, 680px"/>

  Wcześniej do widoku ROUTE włączyliśmy wszystkie polecenia z rodziny show ip, jeśli z jakiegoś powodu chcemy część poleceń wykluczyć musimy użyć polecenie z parametrem exclude – commands exec exclude <nazwa_polecenia> Spróbujmy zablokować polecenie: show ip access-lists

  Jak można zaobserwować poniżej ponowne uruchomienie widoku ROUTE i wywołanie wszystkich możliwych poleceń z rodziny show ip jest pozbawione komendy: access-lists. pl/wp-content/uploads/router-cisco-51. jpg" alt="" width="680" height="404" srcset="https://www. pl/wp-content/uploads/router-cisco-51-300x178. pl/wp-content/uploads/router-cisco-51-570x340. jpg 570w, https://www. pl/wp-content/uploads/router-cisco-51-64x38. jpg 64w" sizes="(max-width: 680px) 100vw, 680px"/>

  Dodatkowo został nam udostępniony mechanizm tworzenia tzw. superwidoków (ang. superviews). Przy tworzeniu superwidoków trzeba pamiętać o następujących zasadach:

  • Superwidoki zawierają poszczególne widoki, lecz nie zawierają poleceń, ponieważ polecenia są dodawane tylko do widoków,
  • Dwa superwidoki mogą korzystać z tego samego Widoku, oznacza to, że zarówno superview #1 jak i superview #2, mogą obejmować widok #5,
  • Użytkownicy, którzy zalogują się do danego superwidoku mają dostęp do wszystkich poleceń, skonfigurowanych w widokach tworzących dany superwidok,
  • Każdy superwidok jest zabezpieczony hasłem, hasło jest używane do przełączania się między superwidokami oraz widokami,
  • Skasowanie superwidoku nie powoduje usunięcia widoków powiązanych z tym superwidokiem. pl/wp-content/uploads/cisco-52. jpg" alt="" width="680" height="292" srcset="https://www. pl/wp-content/uploads/cisco-52-300x129. pl/wp-content/uploads/cisco-52-64x27. jpg 64w" sizes="(max-width: 680px) 100vw, 680px"/>

    Tworzenie superwidoku odbywa się poprzez dodanie słowa superview do polecenia parser view. Wydanie polecenia uruchamia tryb konfiguracji superwidoku.

    Kolejnym krokiem jest utworzenie hasła, które zabezpieczy nam dostęp do superwidoku. Hasło musi zostać zdefiniowane po utworzeniu widoku, w przeciwnym razie pojawi się komunikat błędu. Hasło tworzymy za pomocą polecenia: secret <hasło>

    Ostatnią czynnością jest zdefiniowanie widoków, które będą tworzyć superwidok. Dodanie widoku do superwidoku odbywa się za pomocą komendy: view <nazwa_widoku>

    To tyle jeśli chodzi o cześć teoretyczną czas na mały przykład. pl/wp-content/uploads/cisco-53. jpg" alt="" width="680" height="510" srcset="https://www. pl/wp-content/uploads/cisco-53-300x225. pl/wp-content/uploads/cisco-53-64x48. jpg 64w" sizes="(max-width: 680px) 100vw, 680px"/>

    1 – tworzymy nowego użytkownika,

    2 – włączamy model AAA,

    3 – przechodzimy do widoku głównego – root,

    4 – tworzymy widok SHOWVERSION,

    5 – ustalamy hasło do widoku SHOWVERSION,

    6 – przydzielamy polecenie show version do widoku,

    7 – tworzymy widok PINGVIEW,

    8 – ustalamy hasło do widoku PINGVIEW,

    9 – przydzielamy polecenie ping do widoku,

    10 – tworzymy widok SHOWROUTE,

    11 – ustalamy hasło do widoku SHOWROUTE,

    12 – przydzielamy polecenie show ip route do widoku,

    13 – przydzielamy polecenie show ip interface brief do widoku.

    Po wykonaniu wszystkich poleceń weryfikujemy czy wszystko zostało wykonane prawidłowo. Jak można zaobserwować poniżej wszystkie polecenia zostały przypisane do poszczególnych widoków prawidłowo. Dodatkowo, co również można zauważyć zmiana widoku wymusza na nas podanie hasła widoku. pl/wp-content/uploads/cisco-54. jpg" alt="" width="680" height="560" srcset="https://www. pl/wp-content/uploads/cisco-54-300x247. pl/wp-content/uploads/cisco-54-64x53. jpg 64w" sizes="(max-width: 680px) 100vw, 680px"/>

    Po utworzeniu trzech widoków: SHOWVERSION, PINGVIEW oraz SHOWROUTE spróbujmy stworzyć dwa superwidoki: USER oraz TECHNIK do których to przypiszemy widoki według schematu znajdującego się poniżej. pl/wp-content/uploads/cisco-55. jpg" alt="" width="680" height="403" srcset="https://www. pl/wp-content/uploads/cisco-55-300x178. pl/wp-content/uploads/cisco-55-64x38. jpg 64w" sizes="(max-width: 680px) 100vw, 680px"/>

    Jak widać naszym celem jest przypisanie widoku SHOWVERSION do superwidoku USER oraz przypisanie widoku SHOWROUTE do superwidoku TECHNIK przy czym widok PINGVIEW ma należeć do obydwu superwidoków.

    Polecenia jakie należy wydać by osiągnąć nasz zamierzony cel znajdują się poniżej:

    1 – włączenie widoku głównego (root),

    2 – utworzenie superwidoku USER – polecenie: parser view <nazwa_superwidoku> superview,

    3 – ustalenie hasła do superwidoku USER – polecenie: secret <hasło>,

    4 – dodanie widoku SHOWVERSION do superwidoku USER polecenie: view <nazwa_widoku>,

    5 – próba dodania widoku SHOWPING do superwidoku USER – jak widać próba zakończona niepowodzeniem z powodu braku zdefiniowania widoku o takiej nazwie,

    6 – dodanie widoku PINGVIEW do superwidoku USER,

    7 – utworzenie superwidoku TECHNIK,

    8 – próba dodanie widoku PINGVIEW do superwidoku TECHNIK, próba zakończona niepowodzenie z powodu braku zdefiniowanego hasła do superwidoku,

    9 – ustalenie hasła do superwidoku TECHNIK,

    10 – dodanie widoku PINGVIEW do superwidoku TECHNIK,

    11 – dodanie widoku SHOWROUTE do superwidoku TECHNIK.

    Ostatnią czynnością jaka nam pozostała to przypisanie widoku/superwidoku do konkretnych użytkowników dlatego skonfigurujmy dwa dodatkowe konta. pl/wp-content/uploads/cisco-57. jpg" alt="" width="680" height="91" srcset="https://www. pl/wp-content/uploads/cisco-57-300x40. pl/wp-content/uploads/cisco-57-64x9. jpg 64w" sizes="(max-width: 680px) 100vw, 680px"/>

    1 – utworzenie konta agaban z hasłem cisco123 i przypisanie do konta widoku PINGVIEW,

    2 – utworzenie konta katwal z hasłem cisco123 i przypisanie do konta superwidoku TECHNIK.

    No to przetestujmy konfigurację i spróbujmy się zalogować na nowo utworzone konta. Jak widać poniżej widok PINGVIEW został skojarzony z kontem agaban. pl/wp-content/uploads/cisco-58. pl/wp-content/uploads/cisco-58-300x152. pl/wp-content/uploads/cisco-58-64x32. jpg 64w" sizes="(max-width: 680px) 100vw, 680px"/>

    No to pozostaje nam jeszcze sprawdzić konto katwal. pl/wp-content/uploads/cisco-59. pl/wp-content/uploads/cisco-59-300x152. pl/wp-content/uploads/cisco-59-64x32. jpg 64w" sizes="(max-width: 680px) 100vw, 680px"/>

    I tu wszystko ustawione jest prawidłowo.

    Gdyby przypadkiem okazało się, że logując się na podane konto widok nie jest przypisany do danego konta sprawdź czy zostało wydane polecenie: aaa authorization exec default local Polecenie wymusza dostęp do danych poleceń na podstawie lokalnie zdefiniowanych ustawień.

    Bezpieczną komunikację z routerem zapewnia usługa SSH. Zaimplementowanie funkcji pozwoli nawiązać bezpieczne połączenie z routerem – przechwycona sesja jak to miało miejsce w przypadku protokołu Telnet już nie zdradzi haseł, przebiegu przeprowadzonych czynności czy użytych komend. Użycie szyfrowania gwarantuje bezpieczeństwo połączenia a sesja nawet przechwycona jest nieczytelna.

    Usługa szyfrowania korzystająca z SSH udostępniana jest w routerach Cisco od wersji 12. 1(1)T systemu IOS i w tych urządzeniach, które zawierają moduły IPSec (DES czy 3DES).

    Konfiguracja usługi SSH wymusza przeprowadzenie dodatkowych czynności związanych z konfiguracją routera:

    • opisane już powyżej dwa warunki czyli sprawdzenie czy system IOS odpowiada wymaganiom usługi SSH – wersja systemu + moduł IPSec (DES czy 3DES),
    • skonfigurowanie domeny za pomocą polecenia: ip domain-name,
    • nazwa routera musi być inna niż domyślna – Router,
    • skorzystanie z mechanizmu wymuszającego podanie nazwy użytkownika i hasła czyli możemy skorzystać z opisanego wyżej modelu AAA i np. lokalnej bazy użytkowników,
    • wygenerowanie kluczy RSA, które będą użyte do zestawienia połączenia SSH. Długość kluczy może wahać się od 360 do 2048 bitów. Obowiązuje zasada: im dłuży klucz – większe bezpieczeństwo lecz dłuższy klucz to mniejsza wydajność całego systemu. Wartość, którą uznaje się za optymalną to 1024 bity (złoty środek pomiędzy wydajnością a bezpieczeństwem). Generowanie kluczy odbywa się za pomocą polecenia: crypto key generate rsa (wydanie polecenia automatycznie uaktywnia protokół SSH) natomiast ich usunięcie odbywa się za pomocą komendy: crypto key zeroize rsa.

    Po tym krótkim teoretycznym wstępie spróbujmy wykonać konkretny przykład i dać użytkownikowi dostęp do linii poleceń routera lecz z wykorzystaniem połączenia SSH. Konfigurowany będzie router R3 a następnie będziemy próbować połączyć się z routerem z komputera Windows 10.

    Konfiguracja routera może być wykonana tak jak poniżej:

    1 – konfiguracja domeny,

    2 – generowanie kluczy,

    3 – utworzenie użytkownika i hasła,

    4 – włączenie logowania,

    5 – konfiguracja linii VTY do przeniesienia ruchu SSH.

    Po konfiguracji przyszedł czas sprawdzić czy uda nam się zestawić połączenie. Do nawiązania połączenia użyjemy darmowej aplikacji PuTTY. Aplikacja jak już wspomniałem będzie uruchamiana na komputerze Windows 10. Konfiguracja programu sprowadza się do podania adresu IP urządzenia, z którym chcemy się połączyć oraz do wybrania rodzaju połączenia (w naszym scenariuszu SSH), wykorzystywany port to port TCP o numerze 22.

    Jeżeli istnieje potrzeba ustalenia szczegółowych opcji np. wersja protokołu SSH to można tego dokonać w sekcji SSH. pl/wp-content/uploads/cisco-62. jpg" alt="" width="680" height="659" srcset="https://www. pl/wp-content/uploads/cisco-62-300x291. pl/wp-content/uploads/cisco-62-64x62. jpg 64w" sizes="(max-width: 680px) 100vw, 680px"/>

    Po wprowadzeniu danych konfiguracyjnych następuje próba nawiązania połączenia. Pierwsze połączenie wymaga od nas potwierdzenie klucza urządzenia, który zostanie użyty do zaszyfrowania sesji. pl/wp-content/uploads/cisco-63. jpg" alt="" width="680" height="428" srcset="https://www. pl/wp-content/uploads/cisco-63-300x189. pl/wp-content/uploads/cisco-63-64x40. jpg 64w" sizes="(max-width: 680px) 100vw, 680px"/>

    Kliknięcie na Tak otwiera sesję. Dostęp do opcji konfiguracji routera uzyskamy po podaniu skonfigurowanych poświadczeń. pl/wp-content/uploads/cisco-64. jpg" alt="" width="680" height="204" srcset="https://www. pl/wp-content/uploads/cisco-64-300x90. pl/wp-content/uploads/cisco-64-64x19. jpg 64w" sizes="(max-width: 680px) 100vw, 680px"/>

    Innym programem mogącym posłużyć do ustanowienia sesji SSH jest Tera Term. Aplikacja ta również jest darmowa.

    Aby zestawić sesje podajemy te same dane, które użyliśmy w przypadku konfiguracji PuTTy. pl/wp-content/uploads/cisco-65. jpg" alt="" width="680" height="583" srcset="https://www. pl/wp-content/uploads/cisco-65-300x257. pl/wp-content/uploads/cisco-65-64x55. jpg 64w" sizes="(max-width: 680px) 100vw, 680px"/>

    I również podobnie jak to miało miejsce wcześniej musimy zaakceptować klucz. pl/wp-content/uploads/cisco-66. png" alt="" width="680" height="960" srcset="https://www. pl/wp-content/uploads/cisco-66-213x300. png 213w, https://www. pl/wp-content/uploads/cisco-66-64x90. png 64w" sizes="(max-width: 680px) 100vw, 680px"/>

    Po akceptacji klucza ostatnią opcją jest podanie danych, które uwierzytelnią użytkownika.

    Jeśli wszystko podaliśmy poprawnie następuje dostęp do wiersza poleceń routera. pl/wp-content/uploads/cisco-68. jpg" alt="" width="680" height="235" srcset="https://www. pl/wp-content/uploads/cisco-68-300x104. pl/wp-content/uploads/cisco-68-64x22. jpg 64w" sizes="(max-width: 680px) 100vw, 680px"/>

    Czemu warto skonfigurować połączenie SSH? Na to pytanie już na pewno czytelniku sam poprawnie jesteś w stanie odpowiedzieć. Dzięki połączeniu SSH zyskujemy pewność, że osoba która będzie monitorować ruch sieciowy nie będzie w stanie odczytać treści konwersacji jak to było w przypadku sesji Telnet. Poniżej przykład przechwyconej sesji SSH (notabene część informacji jest jawna m. in. użyty klient czy wersja protokołu SSH). pl/wp-content/uploads/przechwycona-sesja-ssh. jpg" alt="" width="680" height="521" srcset="https://www. pl/wp-content/uploads/przechwycona-sesja-ssh-300x230. pl/wp-content/uploads/przechwycona-sesja-ssh-64x49. jpg 64w" sizes="(max-width: 680px) 100vw, 680px"/>

    Dodatkowe opcje dotyczące połączenia SSH (rysunek poniżej) jakie możemy skonfigurować to:

    1. użyta wersja protokołu SSH – polecenie: ip ssh version <wersja_protokołu>

    Cisco IOS Release 12. 1(1)T i późniejsze wspierają SSHv1 natomiast IOS Release 12. 3(4)T i późniejsze wspierają SSHv1 oraz SSHv2 (tryb zgodności).

    1. liczba nieudanych prób uwierzytelniania – polecenie: ip ssh authentication-retries <liczba_prób>

    Domyślnie ustawienie to 3 próby logowania.

    1. czas ustanowienia połączenia (ang. SSH Timeouts) – polecenie: ip ssh time-out <czas_sekundy>

    Domyślny przedział czasu, przez który router będzie czekać na odpowiedź klienta SSH podczas fazy negocjacji wynosi 120 sekund.

    Możliwe jest również wykonanie połączenia SSH bezpośrednio z konsoli drugiego routera. Spróbujmy nawiązać połączenie z routera R2. pl/wp-content/uploads/polaczenie-ssh-71. jpg" alt="" width="680" height="338" srcset="https://www. pl/wp-content/uploads/polaczenie-ssh-71-300x149. pl/wp-content/uploads/polaczenie-ssh-71-64x32. jpg 64w" sizes="(max-width: 680px) 100vw, 680px"/>

    Polecenie, które możemy użyć do sprawdzenia czy jest nawiązane jakiekolwiek połączenie szyfrowane z urządzeniem to: show ssh. Jak widać poniżej na routerze R3 nie ma żadnych aktywnych połączeń. pl/wp-content/uploads/polaczenie-ssh-72. pl/wp-content/uploads/polaczenie-ssh-72-300x40. pl/wp-content/uploads/polaczenie-ssh-72-64x9. jpg 64w" sizes="(max-width: 680px) 100vw, 680px"/>

    Za pomocą polecenia: ssh (wraz z odpowiednimi parametrami) wydanym na routerze R2 ustanowimy bezpieczne połączenie z routerem R3. Parametry polecenia ssh są następujące:

    Chcąc połączyć się z hostem zdalnym użyjemy przełącznika –l po którym podajemy nazwę użytkownika oraz przełącznika –v do określenia wersji protokołu SSH no i oczywiście nie możemy zapomnieć o podaniu adresu IP hosta zdalnego. pl/wp-content/uploads/polaczenie-ssh-74. jpg" alt="" width="680" height="151" srcset="https://www. pl/wp-content/uploads/polaczenie-ssh-74-300x67. pl/wp-content/uploads/polaczenie-ssh-74-64x14. jpg 64w" sizes="(max-width: 680px) 100vw, 680px"/>

    Ponowne wydanie polecenia: show ssh (router R3), uwidacznia aktywną sesję, ukazane są również podstawowe informacje o zestawionym połączeniu. pl/wp-content/uploads/polaczenie-ssh-75. jpg" alt="" width="680" height="85" srcset="https://www. pl/wp-content/uploads/polaczenie-ssh-75-300x38. pl/wp-content/uploads/polaczenie-ssh-75-64x8. jpg 64w" sizes="(max-width: 680px) 100vw, 680px"/>

    Po skonfigurowaniu bezpiecznego połączenia dobrą praktyką jest wyłączenie pozostałych metod. Sens wdrożenia SSH podważa zostawienie możliwości uzyskania komunikacji np. poprzez sesję Telnet. Poniżej zebrano wszystkie dostępne protokoły linii VTY:

    • all – obsługa wszystkich protokołów,
    • lat – połączenia realizowane za pomocą protokołu LAT (ang. Local Area Terminal),
    • mop – obsługa połączeńz wykorzystaniem protokołu MOP (ang. Maintenance Operation Protocol),
    • nasi – wykorzystanie interfejsu serwerów dostępowych NetWare (ang. NetWare Access Servers Interface),
    • none – brak możliwości skorzystanie z linii VTY, wyłączenie wszystkich protokołów,
    • pad – połączenia X. 3 PAD (ang. Public Access Defibrillation),
    • rlogin – zablokowanie protokołu rlogin wykorzystywanego w systemach z rodziny UNIX,
    • ssh – protokół SSH,
    • telnet – połączenia typu Telnet,
    • v120 – obsługa protokołu V. 120.

    Wyłączenie wszystkich możliwych opcji następuje za pomocą polecenia: transport input none (komendę wydajemy w trybie konfiguracji linii VTY) kolejny krok to włączenie tylko tych pożądanych. pl/wp-content/uploads/polaczenie-ssh-76. jpg" alt="" width="680" height="135" srcset="https://www. pl/wp-content/uploads/polaczenie-ssh-76-300x60. pl/wp-content/uploads/polaczenie-ssh-76-64x13. jpg 64w" sizes="(max-width: 680px) 100vw, 680px"/>

    Jak widać poniżej po wydaniu komendy niemożliwe staje się zestawienia połączenia za pomocą klienta SSH (polecenie wydane na routerze R2). pl/wp-content/uploads/polaczenie-ssh-77. jpg" alt="" width="680" height="61" srcset="https://www. pl/wp-content/uploads/polaczenie-ssh-77-300x27. pl/wp-content/uploads/polaczenie-ssh-77-64x6. jpg 64w" sizes="(max-width: 680px) 100vw, 680px"/>

    Dopiero zezwolenie na ruch typu SSH pozwoli nam uzyskać połączenie. pl/wp-content/uploads/polaczenie-ssh-78. jpg" alt="" width="680" height="223" srcset="https://www. pl/wp-content/uploads/polaczenie-ssh-78-300x98. pl/wp-content/uploads/polaczenie-ssh-78-64x21. jpg 64w" sizes="(max-width: 680px) 100vw, 680px"/>

    Próba nawiązania połączenia z wykorzystaniem klienta Telnet z komputera Windows 10, kończy się niepowodzeniem. pl/wp-content/uploads/routery-79. jpg" alt="" width="680" height="125" srcset="https://www. pl/wp-content/uploads/routery-79-300x55. pl/wp-content/uploads/routery-79-64x12. jpg 64w" sizes="(max-width: 680px) 100vw, 680px"/>

    Sprawdzenie protokołów dopuszczonych do korzystania z liniami VTY odbywa się za pomocą polecenia show terminal.

    Dodatkowo zwiększenie bezpieczeństwa połączeń wirtualnych może być zrealizowane za pomocą:

    • zmiana opóźnień pomiędzy kolejnymi próbami logowania,
    • uaktywnienie trybu Quiet-Mode, który spowoduje włączenie blokady logowania do systemu, jeśli podejrzewany jest atak DoS.
    • włączenie logów informujących o wystąpieniu procesu logowania.

    Przykładowa konfiguracja (choć można wykonać bardziej złożoną z wykorzystaniem mechanizmu ACL) mogła by wyglądać tak:

    1 – utworzenie użytkownika tadwal z hasłem MD5 – tajnehaslo,

    2 – konfiguracja linii VTY – logowanie,

    3 – włączenie blokowania w naszym przykładzie jeśli w ciągu 30 sekund wystąpi więcej niż 5 nieudanych prób logowania, logowanie zostanie wyłączone na 90 sekund – polecenie: login block-for <czas_blokady> attempts <liczba_prób> within <czas_logowania>,

    4 – minimalne opóźnienie pomiędzy próbami logowań ustawione na 5 sekund – polecenie: login delay <czas>,

    5 – log w razie wystąpienia poprawnego zalogowania – polecenie: login on-success log,

    6 – log w razie wystąpienia błędnego logowania – polecenie: login on-failure log.

    Przetestujmy przeprowadzoną konfigurację. Wydanie polecenia: show login poinformuje, że router jest skonfigurowany do odpierania ataków opartych na zgadywaniu danych logowania, i że aktualnie pracuje normalnie. pl/wp-content/uploads/routery-81. jpg" alt="" width="680" height="288" srcset="https://www. pl/wp-content/uploads/routery-81-300x127. pl/wp-content/uploads/routery-81-64x27. jpg 64w" sizes="(max-width: 680px) 100vw, 680px"/>

    Następuje atak na hasło użytkownika jankow, atakujący w czasie mniejszym niż 30 sekund sześciokrotnie wpisuje hasło użytkownika. pl/wp-content/uploads/routery-82. jpg" alt="" width="680" height="298" srcset="https://www. pl/wp-content/uploads/routery-82-300x131. pl/wp-content/uploads/routery-82-64x28. jpg 64w" sizes="(max-width: 680px) 100vw, 680px"/>

    Przeprowadzona próba ataku wymusza na routerze R3 przejście w tryb Quiet-Mode

    a tym samy przez okres 90 sekund następuje blokowanie wszelkich prób logowania. pl/wp-content/uploads/routery-84. jpg" alt="" width="680" height="78" srcset="https://www. pl/wp-content/uploads/routery-84-300x34. pl/wp-content/uploads/routery-84-64x7. jpg 64w" sizes="(max-width: 680px) 100vw, 680px"/>

    Informacja o nieudanej próbie logowania oraz przejściu w tryb Quiet Mode jest wyświetlana w linii interfejsu CLI routera. pl/wp-content/uploads/routery-85. jpg" alt="" width="680" height="193" srcset="https://www. pl/wp-content/uploads/routery-85-300x85. pl/wp-content/uploads/routery-85-64x18. jpg 64w" sizes="(max-width: 680px) 100vw, 680px"/>

    Również udane logowanie jest potwierdzone odpowiednim komunikatem. pl/wp-content/uploads/routery-86. jpg" alt="" width="680" height="21" srcset="https://www. pl/wp-content/uploads/routery-86-300x9. pl/wp-content/uploads/routery-86-64x2. jpg 64w" sizes="(max-width: 680px) 100vw, 680px"/>

    Wydanie polecenia: show login failures wyświetla informacje o nieudanych próbach logowania, po wydaniu polecenia otrzymujemy informację o:

    1 – użytkowniku (informacja ta nie jest pokazywana w przypadku sesji SSH),

    2 – adresie źródłowym, z którego próbowano nawiązać połączenie,

    3 – użytym porcie,

    4 – liczbie nieudanych prób,

    5 – czasie wystąpienia błędu. pl/wp-content/uploads/routery-87. jpg" alt="" width="680" height="115" srcset="https://www. pl/wp-content/uploads/routery-87-300x51. pl/wp-content/uploads/routery-87-64x11. jpg 64w" sizes="(max-width: 680px) 100vw, 680px"/>

    Opisaliśmy już dostęp do routera za pomocą modelu AAA bazującym na lokalnej bazie użytkowników a więc spróbujmy skonfigurować router w taki sposób aby łączył się z zdalnym serwerem, na którym zapisano dane uwierzytelniające i na podstawie informacji uzyskanych od serwera następowała odmowa bądź udzielenie dostępu. pl/wp-content/uploads/routery-88. jpg" alt="" width="680" height="137" srcset="https://www. pl/wp-content/uploads/routery-88-300x60. pl/wp-content/uploads/routery-88-64x13. jpg 64w" sizes="(max-width: 680px) 100vw, 680px"/>

    Do wykonania tego zadania wykorzystamy serwer RADIUS, który będzie uruchomiony na komputerze Windows 10. Serwer RADIUS będzie symulowała aplikacja WinRadius.

    Aplikacja nie wymaga instalacji, po uruchomieniu programu musimy skonfigurować bazę w której będą zapisywane informacje o kontach (w przypadku braku uruchomienia klikamy Settings a następnie Database). Najlepiej w tym celu kliknąć Configure ODBC automatically wszystkie opcje odnoszące się do bazy powinny zostać skonfigurowane automatycznie (pamiętaj, że program musi być uruchomiony jako administrator), po ponownym uruchomieniu programu będziemy mogli dodać konta użytkowników. pl/wp-content/uploads/routery-89. jpg" alt="" width="680" height="520" srcset="https://www. pl/wp-content/uploads/routery-89-300x229. pl/wp-content/uploads/routery-89-64x49. jpg 64w" sizes="(max-width: 680px) 100vw, 680px"/>

    Jeżeli wystąpią problemy z bazą rozwiążesz je wybierając Narzędzia administracyjne a następnie Źródła danych (ODBC). pl/wp-content/uploads/routery-90. jpg" alt="" width="680" height="577" srcset="https://www. pl/wp-content/uploads/routery-90-300x255. pl/wp-content/uploads/routery-90-64x54. jpg 64w" sizes="(max-width: 680px) 100vw, 680px"/>

    Dodawanie użytkowników odbywa się poprzez wybranie Operation a następnie Add user. W nowo otwartym oknie wpisujemy nazwę użytkownika i hasło – w naszym przypadku jankow i hasło: cisco

    W spakowanym archiwum znajduje się narzędzie, który pozwoli zweryfikować czy nowo utworzone konto działa. Uruchom aplikację RadiusTest i wprowadź poświadczenia nowo utworzonego użytkownika i kliknij Send. Jeżeli wszystko wykonałeś poprawnie w głównym oknie programu powinien pojawić się log informujący o tym, że konto jest aktywne. W razie wystąpienia problemów zainteresuj się ustawieniami firewalla. pl/wp-content/uploads/routery-92. pl/wp-content/uploads/routery-92-300x229. pl/wp-content/uploads/routery-92-64x49. jpg 64w" sizes="(max-width: 680px) 100vw, 680px"/>

    Po skonfigurowaniu serwera RADIUS przyszedł czas aby skonfigurować router. Całość ustawień wykonamy na routerze R3.

    Konfiguracja urządzenia sprowadza się do wykonania następujących czynności:

    1 – utworzenie konta – ale zaraz, zaraz przecież konta mają się znajdować na serwerze RADIUS a nie na routerze – zwróci uwagę uważny czytający. Po co to dodatkowe konto? Daj mi chwilę czytelniku a zaraz wszystko będzie jasne.

    2 – włączenia modelu AAA,

    3 – zdefiniowania sposobu autentykacji, do tego celu wykorzystamy polecenie: aaa authentication login default <metoda_1> <metoda_2> Czyli w naszym scenariuszu polecenie to przyjmie postać: aaa authentication login default group radius local Czyli od tej pory za logowanie będzie odpowiadał serwer RADIUS a w razie wystąpienia problemów (np. niedostępność serwera) logowanie ma odbyć się na podstawie lokalnej bazy użytkowników.

    4 – ostatnim krokiem jest podanie adresu IP serwera RADIUS wraz z kluczem, który jest używany do szyfrowania komunikacji pomiędzy klientem a serwerem. Oczywiście klucz musi być tożsamy z kluczem zapisanym na serwerze. Do określenia tych opcji posłuży nam polecenie: radius-server host <adres_ip> key <hasło> – komenda przyjmie postać: radius-server host 172. 10 key WinRadius W celu zapewnienia dostępności usług można podać więcej niż jeden adres IP serwera RADIUS. pl/wp-content/uploads/routery-93. pl/wp-content/uploads/routery-93-300x60. pl/wp-content/uploads/routery-93-64x13. jpg 64w" sizes="(max-width: 680px) 100vw, 680px"/>

    Aby zmienić domyślny klucz używany do zabezpieczenia przesyłanych informacji w aplikacji wybierz Settings a następnie System. pl/wp-content/uploads/routery-94. pl/wp-content/uploads/routery-94-300x186. pl/wp-content/uploads/routery-94-64x40. jpg 64w" sizes="(max-width: 680px) 100vw, 680px"/>

    Po skonfigurowaniu serwera i routera przyszedł czas by przetestować wprowadzone ustawienia. W tym celu spróbujmy zalogować się do urządzenia. Jak widać poniżej proces logowania nie powiódł się, serwer zwrócił informację Authentication failed (uważny czytelnik już pewnie wie gdzie tkwi błąd – ale po kolei). pl/wp-content/uploads/dostep-zdalny-95. jpg" alt="" width="680" height="119" srcset="https://www. pl/wp-content/uploads/dostep-zdalny-95-300x53. pl/wp-content/uploads/dostep-zdalny-95-64x11. jpg 64w" sizes="(max-width: 680px) 100vw, 680px"/>

    I tu dochodzimy do odpowiedzi – Po co nam było te dodatkowe konto? Właśnie na wypadek gdyby coś poszło nie tak. Gdybyśmy nie założyli konta lokalnego admin stracilibyśmy możliwość naprawienia naszej pomyłki a dostęp do urządzenia byłby nie możliwy (dla ścisłości akurat w tej sytuacji dosyć prosto dałoby się jeszcze odkręcić całą sytuację). Wykonujemy logowanie za pomocą poświadczeń, które są zapisane w pamięci routera. Logowanie jest możliwe dzięki zdefiniowaniu drugiego sposobu – gdy serwer RADIUS jest niedostępny zaloguj na podstawie danych zapisanych lokalnie. Jak widać poniżej proces logowania zakończył się sukcesem. pl/wp-content/uploads/dostep-zdalny-96. jpg" alt="" width="680" height="180" srcset="https://www. pl/wp-content/uploads/dostep-zdalny-96-300x79. pl/wp-content/uploads/dostep-zdalny-96-64x17. jpg 64w" sizes="(max-width: 680px) 100vw, 680px"/>

    Przyjrzyjmy się konfiguracji routera. Jak można zauważyć prócz adresu serwera RADIUS i klucza zostały zdefiniowane dwa porty a mianowicie: auth-port 1645 i acct port 1646. Przyjęta wartość portów to ustawienia domyślne. Cały problem z komunikacją to wynik ustawień routera – router ma zdefiniowane inne wartości portów niż serwer (trzeci screen powyżej – serwer ma ustawione wartości: auth-port 1812 i acct port 1813). Aby naprawić problem korygujemy ustawienia na routerze bądź serwerze. pl/wp-content/uploads/dostep-zdalny-97. pl/wp-content/uploads/dostep-zdalny-97-300x34. pl/wp-content/uploads/dostep-zdalny-97-64x7. jpg 64w" sizes="(max-width: 680px) 100vw, 680px"/>

    Aby wykonać poprawkę musimy usunąć bieżącą konfigurację, wydajemy komendę: no radius-server host 172. 10 auth-port 1645 acct port 1646 key WinRadius

    Za pomocą polecenia: radius-server host 172. 10 auth-port 1812 acct port 1813 key WinRadius wprowadzamy nowe ustawienia. Od tej pory do komunikacji z serwerem RADIUS zostaną użyte zdefiniowane przez nas porty. pl/wp-content/uploads/dostep-zdalny-99. jpg" alt="" width="680" height="77" srcset="https://www. pl/wp-content/uploads/dostep-zdalny-99-300x34. pl/wp-content/uploads/dostep-zdalny-99-64x7. jpg 64w" sizes="(max-width: 680px) 100vw, 680px"/>

    Drugim sposobem wyjścia z naszego problemu jest zmiana ustawień portów na serwerze RADIUS. By wykonać tą operację korzystamy z karty System settings dostępnej po wybraniu z menu opcji Settings. Porty ustawiamy jak na rysunku poniżej:

    Po skorygowaniu ustawień (niezależnie od wybranego sposobu) spróbujmy się zalogować, jak widać w logach WinRadius-a tym razem proces przebiegł prawidłowo. pl/wp-content/uploads/router-cisco-101. jpg" alt="" width="680" height="152" srcset="https://www. pl/wp-content/uploads/router-cisco-101-300x67. pl/wp-content/uploads/router-cisco-101-64x14. jpg 64w" sizes="(max-width: 680px) 100vw, 680px"/>

    Aby wyświetlić aktualnie zalogowanych użytkowników możemy posłużyć się poleceniem: show aaa session Poniżej przykład sesji podczas, której musieliśmy się zalogować lokalnie, po nie udanej próbie związanej z błędnym przypisaniem portów. Pole IP Address ustawione na 0. 0. 0 informuje, że jest to logowanie wykonywane bezpośrednio na urządzeniu z wykorzystaniem portu CONSOLE. pl/wp-content/uploads/router-cisco-102. jpg" alt="" width="680" height="301" srcset="https://www. pl/wp-content/uploads/router-cisco-102-300x133. pl/wp-content/uploads/router-cisco-102-64x28. jpg 64w" sizes="(max-width: 680px) 100vw, 680px"/>

    W przypadku logowania zdalnego uzyskamy informację o adresie IP urządzenia z którego nastąpiło połączenie. pl/wp-content/uploads/router-cisco-103. jpg" alt="" width="680" height="424" srcset="https://www. pl/wp-content/uploads/router-cisco-103-300x187. pl/wp-content/uploads/router-cisco-103-64x40. jpg 64w" sizes="(max-width: 680px) 100vw, 680px"/>

    Aby zobaczyć bardziej szczegółowe informacje możemy posłużyć się poleceniem: show aaa user <unique_id> Numer unique id zdobędziesz wywołując polecenie: show aaa session (rysunek powyżej). W polu Authen mamy informację dotyczącą logowania, jak można było się spodziewać jest to logowanie z wykorzystaniem lokalnej bazy o użytkownikach (method=LOCAL) wykonane po próbie wykorzystania serwera RADIUS (Fallover-from=RADIUS)

    I jeszcze jeden przykład – tym razem również logowanie ale dostęp został uzyskany dzięki serwerowi RADIUS. pl/wp-content/uploads/router-cisco-105. jpg" alt="" width="680" height="380" srcset="https://www. pl/wp-content/uploads/router-cisco-105-300x168. pl/wp-content/uploads/router-cisco-105-64x36. jpg 64w" sizes="(max-width: 680px) 100vw, 680px"/>

    Oczywiście na serwerze RADIUS może być założonych wiele kont. Każda próba odwołania się do serwera jest rejestrowana w logu serwera. pl/wp-content/uploads/prawa-uzytkownika-106. jpg" alt="" width="680" height="225" srcset="https://www. pl/wp-content/uploads/prawa-uzytkownika-106-300x99. pl/wp-content/uploads/prawa-uzytkownika-106-64x21. jpg 64w" sizes="(max-width: 680px) 100vw, 680px"/>

    W przypadku wystąpienia problemów możemy włączyć proces debugowania, który będzie odnosił się do modelu AAA. Służy temu szereg poleceń:

    Jednym z bardziej użytecznych poleceń jest debug aaa authentication. Wydanie komendy dostarczy szeregu informacji mających związek z procesem autentykacji. Poniżej przykład, w którym użytkownik tadwal próbuje uzyskać dostęp do urządzenia. Pierwsza próba kończy się nie powodzeniem (błędne hasło) natomiast druga sukcesem. pl/wp-content/uploads/prawa-uzytkownika-108. jpg" alt="" width="680" height="402" srcset="https://www. pl/wp-content/uploads/prawa-uzytkownika-108-300x177. pl/wp-content/uploads/prawa-uzytkownika-108-64x38. jpg 64w" sizes="(max-width: 680px) 100vw, 680px"/>

    Użytkownik po zalogowaniu znajduje się w trybie użytkownika. Hasło do trybu uprzywilejowanego może być zapisane w pamięci routera ale również dostęp do tego trybu może być realizowany dzięki serwerowi RADIUS. By kontrolować proces dostępu do tego trybu ale z wykorzystaniem zdalnego serwera wydaj polecenie jak poniżej (komenda uwzględnia sytuacje, w której z powodu niedostępności serwera trzeba by było skorzystać z hasła zapisanego w pamięci urządzenia – metoda pierwsza wykorzystująca serwer RADIUS: group radius, metoda druga korzysta z standardowego hasła: enable)

    Aby serwer RADIUS mógł rozliczać dostęp do trybu uprzywilejowanego trzeba na serwerze założyć konto o nazwie $enab15$ lub $enable$ (nazwa konta zależy od modelu urządzenia oraz wersji systemu IOS). Poniżej część logu serwera RADIUS – id 21 – dostęp niemożliwy z powodu braku konta; id 22 – założenie konta $enab15$, id 23 – dostęp do trybu enable uzyskany. pl/wp-content/uploads/prawa-uzytkownika-110. jpg" alt="" width="680" height="60" srcset="https://www. pl/wp-content/uploads/prawa-uzytkownika-110-300x26. pl/wp-content/uploads/prawa-uzytkownika-110-64x6. jpg 64w" sizes="(max-width: 680px) 100vw, 680px"/>

    Poniżej również zrzut informacji uzyskanych dzięki poleceniu: debug aaa authentication, dostęp do trybu uprzywilejowanego uzyskał użytkownik tadwal łącząc się z routerem z adresu IP 10. 5. pl/wp-content/uploads/prawa-uzytkownika-111. pl/wp-content/uploads/prawa-uzytkownika-111-300x99. pl/wp-content/uploads/prawa-uzytkownika-111-64x21. jpg 64w" sizes="(max-width: 680px) 100vw, 680px"/>

    Wykorzystanie serwera RADIUS jest mniej bezpieczną metodą niż skorzystanie z rozwiązania TACAS+. Jest tak ponieważ dane wymieniane pomiędzy serwerem a urządzeniem nie są w pełni szyfrowane. Jak można zaobserwować poniżej login jest przesyłany tekstem otwartym, szyfrowane jest jedynie hasło. Tak więc gdy przechwycimy komunikację mamy połowę roboty z głowy ponieważ pozostaje nam tylko złamanie hasła. pl/wp-content/uploads/prawa-uzytkownika-112. jpg" alt="" width="680" height="441" srcset="https://www. pl/wp-content/uploads/prawa-uzytkownika-112-300x195. pl/wp-content/uploads/prawa-uzytkownika-112-64x42. jpg 64w" sizes="(max-width: 680px) 100vw, 680px"/>

    Aby odczytać hasło danego użytkownika musimy w pierwszej kolejności poznać klucz, jaki został użyty do zabezpieczenia połączenia z serwerem RADIUS. Do odczytania hasła użyjemy narzędzia Cain & Abel.

    Po wczytaniu przechwyconej transmisji do narzędzia Cain, przechodzimy do sekcji Sniffer i u dołu ekranu wybieramy zakładkę Passwords. W oknie po lewej stronie w części Radius-Keys oraz Radius-users zostało zaimportowanych 10 kluczy.

    Przechwycone klucze z sekcji Radius-Keys po zaznaczeniu wysyłamy do programu łamiącego hasło. W tym celu klikamy PPM i z rozwijanego menu wybieramy Send to Cracker. pl/wp-content/uploads/prawa-uzytkownika-113. pl/wp-content/uploads/prawa-uzytkownika-113-300x229. pl/wp-content/uploads/prawa-uzytkownika-113-64x49. jpg 64w" sizes="(max-width: 680px) 100vw, 680px"/>

    By zacząć proces łamania hasła serwera RADIUS klikamy na kartę Cracker i po lewej stronie wybieramy sekcje Radius Shared-Keys. Do wyboru mamy dwa typy ataków: atak brute-force oraz atak z wykorzystaniem słownika – dictionary attack.

    W przypadku wybrania ataku słownikowego w pierwszej kolejności musimy wskazać słowniki, które będą użyte do łamania hasła oraz określić dodatkowe opcje związane z podstawianiem kolejnych wyrazów np. użyj duże litery, użyj małe litery, użyj małe i duże litery itd. pl/wp-content/uploads/cisco-114. pl/wp-content/uploads/cisco-114-300x229. pl/wp-content/uploads/cisco-114-64x49. jpg 64w" sizes="(max-width: 680px) 100vw, 680px"/>

    W przypadku brute-force attack, określamy minimalną liczbę znaków z których ma się składać hasło oraz maksymalną liczbę znaków. Ostatnią czynnością przed uruchomieniem procesu szukania hasła jest określenie zbioru znaków, które będą użyte do tego procesu. pl/wp-content/uploads/cisco-115. jpg" alt="" width="680" height="504" srcset="https://www. pl/wp-content/uploads/cisco-115-300x222. pl/wp-content/uploads/cisco-115-64x47. jpg 64w" sizes="(max-width: 680px) 100vw, 680px"/>

    W naszym scenariuszu wybrałem metodę słownikową z zaznaczonymi opcjami jak poniżej, cały proces szukania hasła trwał 12 minut. Hasło, które użyto do konfiguracji serwera RADIUS to WinRadius (hasło domyślne). pl/wp-content/uploads/cisco-116. pl/wp-content/uploads/cisco-116-300x229. pl/wp-content/uploads/cisco-116-64x49. jpg 64w" sizes="(max-width: 680px) 100vw, 680px"/>

    Gdy już znamy hasło zabezpieczające transmisje klient-serwer RADIUS, czas by uzyskać hasło użytkownika. W tym celu przechodzimy do znanej już nam zakładki Passwords (sekcja Sniffer) i z gałęzi po lewej wybieramy Radius-User. Cały proces sprowadza się do kliknięcia na danym użytkowniku i wybraniu opcji Decode w nowo otwartym oknie wpisujemy hasło zdobyte w poprzednim kroku czyli WinRadius. Hasło użytkownika jankow to cisco. pl/wp-content/uploads/cisco-117. pl/wp-content/uploads/cisco-117-300x229. pl/wp-content/uploads/cisco-117-64x49. jpg 64w" sizes="(max-width: 680px) 100vw, 680px"/>

    Jak widać możliwe jest uzyskanie hasła użytkownika nawet w konfiguracji z serwerem RADIUS, lecz w prawdziwym środowisku nie jest to takie łatwe, gdyż aby tego dokonać trzeba przechwycić odpowiedni typ transmisji. Znaczniej bezpieczniej do celów autoryzacji zamiast serwera RADIUS użyć TACAS+ ale opis przykładowej konfiguracji to już odrębny temat na kolejny wpis.

    Routery CISCO, tak jak urządzenia SOHO można konfigurować poprzez interfejs WWW

    Całość ustawień przebiega z wykorzystaniem przeglądarki internetowej. Aby móc połączyć się z routerem wykorzystując protokół HTTP w pierwszej kolejności należy skonfigurować samo urządzenie np. tak jak poniżej:

    1 – tworzymy użytkownika z maksymalnym 15 poziomem uprawnień,

    2 – uruchamiamy serwer HTTP – ip http server

    3 – ustawiamy logowanie na podstawie lokalnej bazy użytkowników – ip http authentication local

    Po przeprowadzeniu powyższych operacji możemy uruchomić przeglądarkę w której wpisujemy adres IP routera. Jeżeli wszystko wykonaliśmy prawidłowo zostaniemy poproszeni o dane uwierzytelniające. pl/wp-content/uploads/konfiguracja-cisco-119. pl/wp-content/uploads/konfiguracja-cisco-119-300x225. pl/wp-content/uploads/konfiguracja-cisco-119-64x48. jpg 64w" sizes="(max-width: 680px) 100vw, 680px"/>

    Po wpisaniu poprawnego loginu i hasła uzyskamy dostęp do urządzenia i będziemy mogli dzięki interfejsowi www przeprowadzić konfigurację samego urządzenia. pl/wp-content/uploads/konfiguracja-cisco-120. jpg" alt="" width="680" height="498" srcset="https://www. pl/wp-content/uploads/konfiguracja-cisco-120-300x220. pl/wp-content/uploads/konfiguracja-cisco-120-64x47. jpg 64w" sizes="(max-width: 680px) 100vw, 680px"/>

    Używanie poszczególnych komend sprowadza się do wybierania ich poprzez klikanie na poszczególne linki oraz czasem musimy wprowadzić odpowiednie dane sami – np. przy konfiguracji interfejsu adres IP. pl/wp-content/uploads/konfiguracja-cisco-121. pl/wp-content/uploads/konfiguracja-cisco-121-300x220. pl/wp-content/uploads/konfiguracja-cisco-121-64x47. jpg 64w" sizes="(max-width: 680px) 100vw, 680px"/>

    Jak wiadomo protokół HTTP nie należy do najbezpieczniejszych ponieważ wszystkie dane przesyłane tym protokołem są przekazywane otwartym tekstem. Poniżej zrzut przechwyconego pakietu – jak widać login i hasło można odczytać bez problemu. pl/wp-content/uploads/konfiguracja-cisco-122. jpg" alt="" width="680" height="433" srcset="https://www. pl/wp-content/uploads/konfiguracja-cisco-122-300x191. pl/wp-content/uploads/konfiguracja-cisco-122-64x41. jpg 64w" sizes="(max-width: 680px) 100vw, 680px"/>

    Aby zabezpieczyć kanał transmisji należy użyć szyfrowania – rozpoczynamy od wydania polecenia: ip http secure-server po którym to zostaną wygenerowane klucze RSA (podobnie jak to miało miejsce w przypadku konfiguracji połączenia SSH), które posłużą do zabezpieczenia transmisji. Protokołem odpowiedzialny za łączność zostaje HTTPS. pl/wp-content/uploads/konfiguracja-routera-cisco-123. jpg" alt="" width="680" height="122" srcset="https://www. pl/wp-content/uploads/konfiguracja-routera-cisco-123-300x54. pl/wp-content/uploads/konfiguracja-routera-cisco-123-64x11. jpg 64w" sizes="(max-width: 680px) 100vw, 680px"/>

    Po skonfigurowaniu urządzenia, aby nawiązać połączenie z routerem w pasku adresu przeglądarki należy odwołać się do protokołu HTTPS. Podczas ustanawiania połączenia musimy zaakceptować certyfikat routera. pl/wp-content/uploads/konfiguracja-routera-cisco-124. pl/wp-content/uploads/konfiguracja-routera-cisco-124-300x220. pl/wp-content/uploads/konfiguracja-routera-cisco-124-64x47. jpg 64w" sizes="(max-width: 680px) 100vw, 680px"/>

    Po akceptacji i wprowadzeniu danych uwierzytelniających możemy rozpocząć konfigurację routera. pl/wp-content/uploads/konfiguracja-routera-cisco-125. pl/wp-content/uploads/konfiguracja-routera-cisco-125-300x220. pl/wp-content/uploads/konfiguracja-routera-cisco-125-64x47. jpg 64w" sizes="(max-width: 680px) 100vw, 680px"/>

    Przechwycona transmisja nie zdradzi danych, których użyliśmy do nawiązania połączenia, jak widać poniżej dane te zostały zaszyfrowane. pl/wp-content/uploads/konfiguracja-routera-cisco-126. pl/wp-content/uploads/konfiguracja-routera-cisco-126-300x195. pl/wp-content/uploads/konfiguracja-routera-cisco-126-64x42. jpg 64w" sizes="(max-width: 680px) 100vw, 680px"/>

    Istnieje jeszcze jedna metoda pozwalająca na szybką i sprawną konfigurację urządzeń CISCO (bez znajomości składni poleceń). A mianowicie można posłużyć się dedykowanym do tego celu programem Cisco Configuration Professional. Narzędzie dzięki użyciu interfejsu graficznego pozwala na zmianę ustawień routera. Warto mieć na uwadze, że nie wszystkie opcje konfiguracji przeprowadzimy z wykorzystaniem aplikacji CCP co bardziej złożone operacje nadal trzeba przeprowadzić z wykorzystaniem CLI. Pomimo wielu zalet wiersza poleceń są mechanizmy, które znacznie łatwiej skonfigurować właśnie przy użyciu programu – ten, kto wykorzystuje listy ACL bądź Zone-based Firewall wie ile z funkcjami tymi jest kłopotu i jak łatwo o błąd. Użycie aplikacji i wbudowanych kreatorów jest sporym ułatwieniem.

    Po pobraniu, zainstalowaniu (do działania aplikacji niezbędna jest JAVA) oraz uruchomieniu programu (tryb administratora) program przywita nas oknem Select/Manage Community w którym należy podać: adres IP urządzenia, poświadczenia oraz określić tryb komunikacji (czy korzystamy z szyfrowania). Następnie po wpisaniu powyższych opcji klikamy na OK. pl/wp-content/uploads/konfiguracja-routera-cisco-127. jpg" alt="" width="680" height="509" srcset="https://www. pl/wp-content/uploads/konfiguracja-routera-cisco-127-300x225. pl/wp-content/uploads/konfiguracja-routera-cisco-127-64x48. jpg 64w" sizes="(max-width: 680px) 100vw, 680px"/>

    Po zamknięciu okna z listy wybieramy interesujące nas urządzenie i klikamy na Discover. pl/wp-content/uploads/konfiguracja-cisco-128. pl/wp-content/uploads/konfiguracja-cisco-128-300x225. pl/wp-content/uploads/konfiguracja-cisco-128-64x48. jpg 64w" sizes="(max-width: 680px) 100vw, 680px"/>

    W przypadku komunikacji odznaczonej jako Secure przed połączniem z urządzeniem będziemy musieli zaakceptować certyfikat. pl/wp-content/uploads/konfiguracja-cisco-129. jpg" alt="" width="680" height="544" srcset="https://www. pl/wp-content/uploads/konfiguracja-cisco-129-300x240. pl/wp-content/uploads/konfiguracja-cisco-129-64x51. jpg 64w" sizes="(max-width: 680px) 100vw, 680px"/>

    Po nawiązaniu połączenia (a także jego braku) po kliknięciu na Discovery Details możemy zobaczyć status połączenia.

    Po nawiązaniu poprawnego połączenia i po kliknięciu na Configure możemy rozpocząć konfigurację urządzenia. Wszystkie niezbędne wpisy na podstawie, których nowe ustawienia zaczną obowiązywać są generowane na bieżąco a po skończeniu konfiguracji są przekazywane (celem zastosowania) do urządzenia. pl/wp-content/uploads/konfiguracja-cisco-131. jpg" alt="routery cisco - konfiguracja" width="680" height="509" srcset="https://www. pl/wp-content/uploads/konfiguracja-cisco-131-300x225. pl/wp-content/uploads/konfiguracja-cisco-131-64x48. jpg 64w" sizes="(max-width: 680px) 100vw, 680px"/>

    W tym miejscu artykuł chciałbym zakończyć; krótkie wprowadzenie do CCP miało pokazać, że oprócz wiersza poleceń istnieją alternatywne metody konfiguracji urządzeń z logo CISCO a opis samego programu to już temat na kolejny (obszerny) wpis.

    Nazywam się Rafał Wielgus, jestem informatykiem oraz międzynarodowym audytorem wiodącym ISO 27001. Świadczę kompleksowe usługi z zakresu bezpieczeństwa teleinformatycznego, wdrażam systemy z rodziny „IT security”, skutecznie nadzoruję RODO, prowadzę szkolenia oraz audyty.

    Posiadam prawie 20 lat doświadczenia w bezpieczeństwie systemów i sieci komputerowych. Jako jeden z nielicznych w Polsce dysponuję wiedzą praktyczną w zakresie Certified Information Systems Security Professional (CISSP). Szkolony również przez ABW i SKW.