SecLab01
13.07.2015 Views
Share Embed Flag

SecLab01

SecLab01

SecLab01

SHOW MORE
SHOW LESS
ePAPER READ
DOWNLOAD ePAPER
tfzr.uns.ac.rs

You also want an ePaper? Increase the reach of your titles

YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.

START NOW

SecLab 01v2.00Router(config)#interface s0/0 # komanda se koristi u Interfejs configuration komandnom modu zakonfigurisanje interfejsa. U ovom slučaju se konfiguriše serijski interfejs s0/0Router(config-if)#ip address 50.0.0.1 255.255.255.0 # dodela IP adreseRouter(config-if)#no shutdown # komanda služi da se omogući aktivira interface koji sekonfigurišeRouter(config-if)#interface loop 1 # konfigurisanje loopback interfejsa. Koji za ovu vežbusimulira mreže koje se nalaze iza rutera USRouter(config-if)#ip address 10.1.1.1 255.255.255.0 # dodela IP adreseRouter(config-if)#router rip # aktiviranje RIP protokolaRouter(config-router)#version 2 # podešavanje verzije RIP protokola na 2Router(config-router)#network 10.1.1.0 # oglašavanje mreže 10.1.1.0Router(config-router)#network 50.0.0.0Router(config-router)#no auto-summary #Router(config-router)#exit # izlaz iz komandnog moda za konfiguracijuRouter(config)#exitRouter#copy running-config startup-config # snimanje trenutne konfiguracijeDestination filename [startup-config]?Building configuration...[ OK]Router#Korak 1.2.Zatim je potrebno iskonfigurisati ruter ISP.Router>enableRouter#configure terminalEnter configuration commands, one per line. End with CNTL/Z.Router(config)#no logging consoleRouter(config)#interface s0/0Router(config-if)#ip address 50.0.0.2 255.255.255.0Router(config-if)#no shutdownRouter(config-if)#exitRouter(config)#interface s0/1Router(config-if)#ip address 192.168.1.2 255.255.255.0Router(config-if)#no shutdownRouter(config)#router ripRouter(config-router)#version 2Router(config-router)#network 50.0.0.0Router(config-router)#network 192.168.1.0Router(config-router)#no auto-summaryRouter(config-router)#exitRouter(config)#exitRouter#copy running-config startup-configDestination filename [startup-config]?Building configuration...[OK]Router#Korak 1.3.I na kraju ruter Pakistan:Router>Router>enableRouter#configure terminalEnter configuration commands, one per line. End with CNTL/Z.Router(config)#no logging consoleRouter(config)#interface s0/0Router(config-if)#ip address 192.168.1.1 255.255.255.0Router(config-if)#no shutdownRouter(config-if)#interface loop 1Router(config-if)#ip address 172.16.0.1 255.255.255.0Router(config-if)#router ripRouter(config-router)#version 2Router(config-router)#network 192.168.1.0Router(config-router)#network 172.16.0.0Router(config-router)#no auto-summaryRouter(config-router)#exitRouter(config)#exitRouter#copy running-config startup-configDestination filename [startup-config]?Building configuration...[OK]

Korak 1.4.SecLab 01v2.00Provera konekcije sa prvim ruterom (US) se vrši komandom:Router#ping 50.0.0.1Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 50.0.0.1, timeout is 2 seconds:!!!!!Success rate is 100 percent (5/5), round-trip min/avg/max = 20/40/68 msRouter#Konfiguracija Telnet servisaTelnet je osnovi protokola koji se koristi na Internetu i u lokalnim TCP/IP mrežama za udaljenipristup računarima. Omogućava dvosmernu komunikaciju baziranu na tekstu. Telnet je razvijen1969. U početku je denisan dokumentom RFC 15, a proširen RFC 854.Omogućava pristup udaljenom računaru i njegovom komandnom interfejsu. Problem je što Telnetkoristi neenkriptovanu komunikaciju (koristi se običan tekst), što otvara mogućnost otkrivanjalozinki i drugih važnih informacija.Nedostatak Telnet‐a će se pokazati u sledećem primeru.Korak 2.1.Prvo je na ruteru Pakistan, potrebno omogućiti Telnet pristup.Router> enableRouter# configure terminalEnter configuration commands, one per line. End with CNTL/Z.Router(config)# line vty 0 4 # ova i sledeće dve naredbe podešavaju telnet server i korisničkoime za logovanjeRouter(config-line)# login% Login disabled on line 130, until 'password' is set% Login disabled on line 131, until 'password' is set% Login disabled on line 132, until 'password' is set% Login disabled on line 133, until 'password' is set% Login disabled on line 134, until 'password' is setRouter(config-line)# password proba #podešavanje lozinke za logovanje preko telnet servisaRouter(config)#enable password probaRouter(config-line)# exit+Korak 2.2.Da bi se mogla izvršiti analiza saobraćaja potrebno je pokrenuti WireShark.Korak 2.3.Zatim se na ruteru US pokreće telnet klijent za pristup na udaljeni ruter Pakistan. Pored naredbetelnet navodi se i IP adresa udaljenog rutera.Router#telnet 172.16.0.1Trying 172.16.0.1 ... OpenUser Access VerificationPassword: # Na ovom mestu se unosi passwordRouter>enablePassword: # Na ovom mestu se unosi enable passwordRouter#exit[Connection to 172.16.0.1 closed by foreign host]Router#exit

Korak 2.4.SecLab 01v2.00Sada je potrebno pregledati pakete koji su poslati preko mreže. Da bi se to postiglo potrebno jepokrenuti WireShark.Sada je potrebno selektovati telnet pakete koji su upućeni ruteru Pakistan. To se vrši desnim klikomna bilo koji paket prikazan u WireSharku koji u Destination polju ima vrednost IP adrese rutera nakoji je izvršeno logovanje (Pakistan ima IP adresu 172.16.0.1) i u polju Protocol ima vrednostTELNET. Desni klik miša je potrebno izvršiti na IP adresi 172.16.0.1 u vrsti gde se nalazi i vrednostTELNET i odabrati opciju menija Apply as Filter > Selected.Dalje je potrebno dodati još kriterijuma u filter za prikaz paketa. To se vrši desnim klikom miša, kaošto je prikazano na slici, i odabirom opcije Apply as Filter > ... and Selected.Sada se u polju filter pojavlju sledeći prikaz: (ip.dst==172.16.0.1) && (telnet) kao što je prikazanona slici.

SecLab 01v2.00Sada se u programu WireShark vrši prikaz samo TELNET paketa upućenih na adresu 172.16.0.1. Dabi se video njihov sadržaj, potrebno je kliknuti na svaki paket posebno na + ispred polja Telent udonjem delu prozora. U svakom paketu se prenosi po jedan karakter.Da bi se video niz podataka koji su sadržani u nizu paketa, potrebno je aktivirati opciju Follow TCPStream klika desnim tasterom miša.Rezultat te akcije će biti prikaz sličan kao na slici. Na ekranu se vidi da je komunikacija izmeđuračunara neenkriptovana i da se sadržaj paketa jasno može videti.

SecLab 01v2.00Konfiguracija SSH ser visaSecure Shell (SSH) je kriptografski mrežni protokol za sigurni prenos podataka i pristupudaljenom računaru preko nesigurne javne mreže. Na računaru kome se pristupa potrebno je dapostoji SSH server, a na računaru sa koga se pristupa potrebno je da postoji SSH klijent. Postojedve glavne verzije ovog protokola: SSH­1 i SSH­2.Dizajniran je da zameni Telnet i druge nesigurne protokole kao što su Berkeley rsh i rexec. SSHkoristi kriptografiju sa javnim ključem za autentifikaciju udaljenog računara i korisnika.Prva verzija protokola SSH‐1 nastala je 1995. god., a druga verzija SSH‐2 2006. god. Ta verzijaprotokola nije kompatibilna sa SSH‐1. Posle promovisanja 2.1 verzije protokola, dokumentom RFC4253 specificirana je verzija koja podržava i verziju 2.0 i ranije verzije protokola na istom serveru.To je verzija 1.99 i ne predstavlja pravu verziju protokola već metod za održavanje kompatibilnostisa ranijim verzijama.Korak 3.1.Prvo je potrebno restartovati ruter Pakistan da bi se resetovala Telnet konfiguracija. Za to sekoristi naredba reload u globalnom konfiguracionom modu. Prilikom restarta sitema bićeponuđeno da se izmenjena konfiguracija sačuva, ali je potrebno odabrati opciju no.Pakistan#reloadSystem configuration has been modified. Save? [yes/no]: noProceed with reload? [confirm]Nakon restarta sistema, potrebno konfigurisati i startovati SSH server na ruteru PakistanRouter>Router> enableRouter# configure terminalEnter configuration commands, one per line. End with CNTL/Z.Router(config)# hostname Pakistan # dodela imena ruteru (hostu)Pakistan(config)# ip domain-name pakistan.com # dodela imena domena kome pripada ruter. PraviInternet domen za ovaj host ne postoji, tj. nije dodeljen, ali se za potrebe konfigurisanja SSHmora dodeliti ovaj „privremeni“ domain-namePakistan(config)# logging console # aktiviranje prikaza sistemskih logova da bi se video izveštajo generisanom ključuPakistan(config)# crypto key generate rsa general-keys modulus 1024 # generisanje sertifikataupotrebom RSA algoritma dužine 1024 bita. Naredba crypto ukazuje da se radi o kriptografskimkomandama

The name for the keys will be: Pakistan.pakistan.comSecLab 01v2.00% The key modulus size is 1024 bits% Generating 1024 bit RSA keys, keys will be non-exportable...[OK]Pakistan(config)#*Mar 1 00:40:46.107: %SSH-5-ENABLED: SSH 1.99 has been enabledPakistan(config)# no logging console # isključenje prikaza sistemskih logovaPakistan(config)# username admin priv 15 secret proba # kreiranje korisnika admin saadministratorskim privilegijama (priv 15) i enkriptovanom lozinkom sa md5 hash algoritmom(secret)Pakistan(config)# aaa new-model # aktiviranje prikazaPakistan(config)# enable secret proba # aktiviranje prikazaPakistan(config)# line vty 0 4 # aktiviranje prikazaPakistan(config-line)# transport input ssh # Ova naredba dozvoljava samo SSH pristup. Da bi sedozvolio samo Telnet pristup koristi se telnet umesto ssh, a za sve protokole koristi se allumesto sshPakistan(config-line)#Korak 3.2.Posle konfiguracije rutera Pakistan potrebno je pokrenuti analizu saobraćaja kao i u koraku 2.3.Korak 3.3.Sa rutera US daljinski pristup na ruter Pakistan (adresa 172.16.0.1) vrši se komandom:ssh -l admin 172.16.0.1Korak 3.4.Sada je potrebno pregledati pakete koji su poslati preko mreže kao u koraku 2.4. Za razliku od togakoraka filtriraju se i analiziraju samo SSHv2 paketi (potrebno je obratiti pažnju kod filtriranjapaketa). Ukoliko su sve akcije dobro izvršene dobiće se prikaz enkriptovane komuniakcije izmeđudva rutera. Kao što se vidi na slici sva korisnikova komunikacija je skrivena.Konfiguracija VPN i IPsec protokolaInternet Protocol Security (IPsec) je proširenje IP protokola koje služi da obezbedi sigurnu IPkomunikaciju uz pomoć autentifikacije i enkripcije svih paketa na nivou mrežnog sloja OSI modela( Internet sloj TCP/IP modela). IPsec obuhvata protokole za uspostavljanje obostrane autentifikacijeizmeđuagenata na početku sesije i razmenu kriptografskih ključeva u toku sesije.

SecLab 01v2.00Za razliku od drugih sigurnosnih protokola kao što su Secure Sockets Layer (SSL), TransportLayer Security (TLS) i Secure Shell (SSH) i koji rade na višim slojevima TCP/IP modela, IPsec radina Internet sloju TCP/IP modela. Tako SSH ili SSL štite samo saobraćaj na nivou jedne aplikacije,dok IPsec štiti celokupnu komunikaciju.IPsec je otvoreni standard i koristi sledeće protokole za razne funkcije:• Authentication Headers (AH)• Encapsulating Security Payloads (ESP)• Security Associations (SA)• Internet Security Association and Key Management Protocol (ISAKMP)Da bi se izvršila konfiguracija IPsec virtuelne privatne mreže između dva rutera potrebno je izvršitisledeće korake.Korak 4.1.Ponovo se mogu restartovati svi ruteri u scenariju. Dateljnije objašnjenje sigurnosnih naredbi senalazi u Cisco IOS Security Command Reference ­ Release 12.3.Konfiguracija VPN‐a na ruteru US:Router>Router>enableRouter#configure terminalEnter configuration commands, one per line. End with CNTL/Z.Router(config)#crypto isakmp policy 7 # podešava identifikator Diffie-Hellman grupeRouter(config-isakmp)#authentication pre-share # pre-share metod autentifikacije je dobar za malemrežeRouter(config-isakmp)#encryption aes 128 # podešava identifikator Advanced Encryption Standard sadužinom ključa 128 bitaRouter(config-isakmp)#group 2Router(config-isakmp)#hash sha # podešava hash algoritam za omogućavanje integriteta podataka.Osigurava da paketi stižu sa naznačenog mesta i da nisu modifikovani u toku transportaRouter(config-isakmp)#lifetime 100Router(config-isakmp)#exitRouter(config)#crypto isakmp key 0 vpnkey address 192.168.1.1 no-xauth # podešava ključ zaautentifikaciju. 0 znači da sledi neenkriptovana lozinka. vpnkey je ključ. address služi za unosadrese udaljenog rutera. no-xauth se koristi da spreči rutere u produženoj autentifikaciji.Router(config)#crypto ipsec transform-set vpntrans esp-aes 128 esp-sha-hmac # definiše transformset. Vpntrans je ime transform seta. esp-aes 128 je tip transformacije - ESP sa 128-bit AdvancedEncryption Standard (AES) algoritmom enkripcijeRouter(cfg-crypto-trans)#exitRouter(config)#ip access-list extended vpn-acl # definiše ime access listeRouter(config-ext-nacl)#permit ip 50.0.0.0 0.0.0.255 172.16.0.0 0.0.255.255Router(config-ext-nacl)#exitRouter(config)#crypto map vpn-map 10 ipsec-isakmp # kreira i modifikuje kripto mapu za sesiju% NOTE: This new crypto map will remain disabled until a peerand a valid access list have been configured.Router(config-crypto-map)#set peer 192.168.1.1 # podešava adresu rutera na drugoj strani veze(peer)Router(config-crypto-map)#match address vpn-acl # određuje extended access listu koja jedefinisana komadom ip access-list extended za crypto mapRouter(config-crypto-map)#set transform-set vpntrans # podešava koji se transform set koristi zacrypto map.Router(config-crypto-map)#exitRouter(config)#Router(config)#interface s0/0Router(config-if)#crypto map vpn-mapRouter(config-if)#exitRouter(config)#exitRouter#copy running-config startup-configDestination filename [startup-config]?Building configuration...[OK]Korak 4.2.

Konfiguracija VPN‐a na ruteru Pakistan:SecLab 01v2.00Router>Router>enableRouter#configure terminalEnter configuration commands, one per line. End with CNTL/Z.Router(config)#crypto isakmp policy 7Router(config-isakmp)#authentication pre-shareRouter(config-isakmp)#encryption aes 128Router(config-isakmp)#group 2Router(config-isakmp)#lifetime 100Router(config)#crypto isakmp key 0 vpnkey address 50.0.0.1 no-xauthRouter(config)#crypto ipsec transform-set vpntrans esp-aes esp-sha-hmacRouter(cfg-crypto-trans)#exitRouter(config)#ip access-list extended vpn-aclRouter(config-ext-nacl)#permit ip 172.16.0.0 0.0.255.255 50.0.0.0 0.0.0.255Router(config-ext-nacl)#exitRouter(config)#crypto map vpn-map 10 ipsec-isakmp% NOTE: This new crypto map will remain disabled until a peerand a valid access list have been configured.Router(config-crypto-map)#set peer 50.0.0.1Router(config-crypto-map)#set transform-set vpntransRouter(config-crypto-map)#match address vpn-aclRouter(config-crypto-map)#interface s0/0Router(config-if)#crypto map vpn-mapRouter(config-if)#Provera radaKorak 5.1.Uspostavljanje VPN tunela između dva rutera se vrši pokretanjem inicijalne komunikacije uz pomoćprograma ping sa ruterom 172.16.0.1. Prvi izgubljeni paket se dešava zbog uspostavljana tunela.Router#ping 172.16.0.1Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 172.16.0.1, timeout is 2 seconds:.!!!!Success rate is 80 percent (4/5), round-trip min/avg/max = 36/54/72 msRouter#Korak 5.2.Provera konfiguracije na ruteru US:Router#show crypto isakmp sadst src state conn-id slot status192.168.1.1 50.0.0.1 QM_IDLE 1 0 ACTIVEKorak 5.3.Provera konfiguracije na ruteru US:Router#show crypto ipsec sainterface: Serial0/0Crypto map tag: vpn-map, local addr 50.0.0.1protected vrf: (none)local ident (addr/mask/prot/port): (50.0.0.0/255.255.255.0/0/0)remote ident (addr/mask/prot/port): (172.16.0.0/255.255.0.0/0/0)current_peer 192.168.1.1 port 500PERMIT, flags={origin_is_acl,}#pkts encaps: 4, #pkts encrypt: 4, #pkts digest: 4#pkts decaps: 4, #pkts decrypt: 4, #pkts verify: 4#pkts compressed: 0, #pkts decompressed: 0#pkts not compressed: 0, #pkts compr. failed: 0#pkts not decompressed: 0, #pkts decompress failed: 0#send errors 1, #recv errors 0

local crypto endpt.: 50.0.0.1, remote crypto endpt.: 192.168.1.1path mtu 1500, ip mtu 1500, ip mtu idb Serial0/0current outbound spi: 0x7967A8A8(2036836520)SecLab 01v2.00inbound esp sas:spi: 0x286E5D21(678321441)transform: esp-aes esp-sha-hmac ,in use settings ={Tunnel, }conn id: 2001, flow_id: SW:1, crypto map: vpn-mapsa timing: remaining key lifetime (k/sec): (4404240/3540)IV size: 16 bytesreplay detection support: YStatus: ACTIVEinbound ah sas:inbound pcp sas:outbound esp sas:spi: 0x7967A8A8(2036836520)transform: esp-aes esp-sha-hmac ,in use settings ={Tunnel, }conn id: 2002, flow_id: SW:2, crypto map: vpn-mapsa timing: remaining key lifetime (k/sec): (4404240/3536)IV size: 16 bytesreplay detection support: YStatus: ACTIVEoutbound ah sas:outbound pcp sas:Router#Korak 5.4.Uz pomoć programskog paketa WireShark može se videti da sadržaj paketa kod Telnetpristupa više nije nezaštićen. Takođe, u listi paketa u koloni protokola se više ne videTelnet nego samo ESP paketi.Zadatak 1.1.Izvšiti konfiguraciju jednostavne IPsec virtualne privatne mreže (VPN) za scenario prikazan na slici.

SecLab 01v2.00U ovom scenariju koristiti:‐ DES enkripciju umesto AES,‐ odabrati md5 hash algoritam (ne sha kao u prethodnom primeru),‐ podesiti ključ za identifikaciju i nazvati ga kljuczavpn,‐ transform‐set nazvati settransformacije,‐ access‐listu nazvati acl‐lista,‐ crypto map nazvati mapica,IP adrese interfejsa su date na slici. Na sva tri rutera (SiteA, SiteB i Internet) podesiti RIP dinamičkorutiranje.Napomena: kod podešavanja DES enkripcije i drugih komandi koje su nepoznate može se upotrebiti? da bi se prikazale sve moguće opcije u nastavku naredbe i njihovo značenje, kao što je prikazano usledećem primeru:Router(config-isakmp)#encryption ?3des Three key triple DESaes AES - Advanced Encryption Standard.des DES - Data Encryption Standard (56 bit keys).Router(config-isakmp)#encryption des ?< cr>iliRouter(config-isakmp)#hash ?md5 Message Digest 5sha Secure Hash StandardRešenje 1.1.Konfiguracija rutera SiteARouter#Router#configure terminalEnter configuration commands, one per line. End with CNTL/Z.Router(config)#crypto isakmp policy 7Router(config-isakmp)#authentication pre-shareRouter(config-isakmp)#encryption desRouter(config-isakmp)#group 2Router(config-isakmp)#hash md5Router(config-isakmp)#lifetime 100Router(config)#crypto isakmp key 0 kljuczavpn address 147.91.100.1 no-xauthRouter(config)#crypto ipsec transform-set settransformacije esp-desRouter(cfg-crypto-trans)#exitRouter(config)#ip access-list extended vpn-listaRouter(config-ext-nacl)#permit ip 212.100.1.0 0.0.0.255 10.0.0.0 0.0.0.255

Router(config-ext-nacl)#exitRouter(config)#crypto map mapica 10 ipsec-isakmp% NOTE: This new crypto map will remain disabled until a peerand a valid access list have been configured.Router(config-crypto-map)#set peer 147.91.100.1Router(config-crypto-map)#match address vpn-listaRouter(config-crypto-map)#set transform-set settransformacijeRouter(config-crypto-map)#exitRouter(config)#interface s0/0Router(config-if)#crypto map mapicaRouter(config-if)#exitRouter(config)#exitRouter#copy running-config startup-configDestination filename [startup-config]?Building configuration...[OK]Router#SecLab 01v2.00Konfiguracija rutera SiteBRouter>Router>enableRouter#configure terminalEnter configuration commands, one per line. End with CNTL/Z.Router(config)#crypto isakmp policy 7Router(config-isakmp)#authentication pre-shareRouter(config-isakmp)#encryption desRouter(config-isakmp)#hash md5Router(config-isakmp)#group 2Router(config-isakmp)#lifetime 100Router(config)#crypto isakmp key 0 kljuczavpn address 212.100.1.1 no-xauthRouter(config)#crypto ipsec transform-set settransformacije esp-desRouter(cfg-crypto-trans)#exitRouter(config)#ip access-list extended vpn-listaRouter(config-ext-nacl)#permit ip 10.0.0.0 0.0.0.255 212.100.1.0 0.0.0.255Router(config-ext-nacl)#exitRouter(config)#crypto map mapica 10 ipsec-isakmp% NOTE: This new crypto map will remain disabled until a peerand a valid access list have been configured.Router(config-crypto-map)#set peer 212.100.1.1Router(config-crypto-map)#set transform-set settransformacijeRouter(config-crypto-map)#match address vpn-listaRouter(config-crypto-map)#interface s0/0Router(config-if)#crypto map mapicaRouter(config-if)#exit

logo

Prodotti

Risorse

Aziende

Terms of service
Privacy policy
Cookie policy
Cookie settings
Imprint
Change language
Made with love in Switzerland
© 2024 Yumpu.com all rights reserved

Hooray! Your file is uploaded and ready to be published.

Saved successfully!

Ooh no, something went wrong!