A1: Att säkra en Cisco switch

I denna uppgift ska du konfigurera en Cisco-switch i Packet Tracer. Syftet är att öva på kommandon i Packet Tracer inför arbete med fysiska Cisco-enheter som switchar och routrar. Uppgiften bygger på genomgången av Cisco IOS och kunskaper om IP-adressering.
Material:

  • En dator med programmet Packet Tracer
  • I Packet Tracer en PC, en switch 2960 och en router 1941.

När laborationen görs i en fysisk miljö kommer att behövas en Cisco switch, en konsolokabel, två TP-kablar.

Topologi

Enhet Interface IP-adress Nätmask Default Gateway Switch port
PC1 Fa0 192.168.1.10 255.255.255.0 Fa0/1
R1 Gig0/1 192.168.1.1 255.255.255.0 Gig0/1

.
Observera att fokus i denna laboration är switchen därmed konfigureras inte router. 

Instruktioner

IP-adressera och anslut PC1 till switchen SW1

Steg 1: Ställ in IP-adressering på PC1

  1. Klicka på PC1.
  2. Välj fliken Desktop och öppna IP Configuration.
  3. Ange följande inställningar:
    • IPv4 Address: 192.168.1.10
    • Subnet Mask: 255.255.255.0
    • Default Gateway: 0.0.0.0
    • DNS Server: 0.0.0.0

Steg 2: Anslut PC1 till SW1 via konsolkabel

  1. Gå till verktygsfältet och klicka på Connections (kabel-ikonen).
  2. Välj Console Cable (blå kabel-ikon).
  3. Anslut kabeln:
    • Klicka på PC1 och välj porten RS-232.
    • Klicka på SW1 och välj porten Console.

Steg 3: Öppna terminalen på PC1

  1. PC1, gå till fliken Desktop och öppna Terminal.
  2. Bekräfta standardinställningarna för terminalen:
    • Hastighet (Baud Rate): 9600 bps (standard för nätverksutrustning).
    • Data Bits: 8 (indikerar starten av dataöverföring).
    • Parity: None (felsökning används ej i Packet Tracer).
    • Stop Bits: 1 (indikerar slutet av dataöverföring).
    • Flow Control: None (ej effektiv för denna typ av överföringar).
  3. Klicka på OK för att öppna terminalen.

Steg 4: Bekräfta anslutningen

  1. I terminalfönstret, tryck Enter flera gånger tills du ser prompten:
    • Switch>
    • Detta innebär att anslutningen är etablerad och du är i användarens exekveringsläge.

Nu är PC1 korrekt IP-adresserad och ansluten till switchen SW1 via konsolkabel. Du kan börja konfigurera switchen från terminalen.

Uppgift 1: Undersök switchens standardinställningar

  1. Gå till privilegierat läge:
    • Switch> enable
  2. Visa konfiguration:
    • Switch# show running-config
    • Använd mellanslag för att bläddra.
  3. Svara på följande frågor:
    • Hur många Fast Ethernet-interface har switchen?
    • Hur många Gigabit Ethernet-interface har switchen?
    • Är interface VLAN1 IP-konfigurerat, och vad används det till?
    • Vad är VTY-linjer, och vilka intervall används?
    • Vad är skillnaden mellan running-config och startup-config?
  4. Visa startup-konfiguration:
    • Switch# show startup-config
    • Förklara varför ingen konfigurationsfil finns ännu.

Uppgift 2: Tilldela ett namn till switchen

  1. Gå till globalt konfigurationsläge:
    • Switch# configure terminal
  2. Tilldela namn:
    • Switch(config)# hostname SW1

Uppgift 3: Säkra åtkomst till konsolporten

  1. Studera topologin. För att komma åt till switchen behövs en dator som kan anslutas till switchen med en konsolkabel. I Packet Tracer används en konsolkabel med änderna RS 232 och RJ45 kontakter. I den fysiska laborationsmiljö används en kabel med änderna USB (nu typ C) och RJ45 kontakter. RJ45 kontakten ansluts till switchens konsolport och USB till datorn. Förutom konsolkabel behövs ett terminalemuleringsprogram installerat på datorn. Det finns flera olika sådana program exempelvis Putty och Tera Term.

  • Konfigurera lösenord:
    • SW1(config)# line console 0
    • SW1(config-line)# password consoP@55
    • SW1(config-line)# login
    • SW1(config-line)# logging synchronous
    • SW1(config-line)# exit
  • Varför används kommandot login?

Uppgift 4: Säkra priviligierat exekveringsläge

När konsol-anslutningen är i gång ser du på terminalen prompten Switch> som indikerar att du befinner dig i användarens exekveringsläge. Läget har den lägsta behörigheten och därför behöver du exekvera kommando enable för att få placera dig i det privilegierade exekveringsläget. Det är just den övergången ska begränsas med ett lösenord.

  1. Konfigurera lösenord (okrypterat):
    • SW1(config)# enable password enaP@55
  2. Bekräfta att lösenordet är i klartext:
    • SW1(config)# exit
    • SW1# show running-config
  3. Konfigurera krypterat lösenord:
    • SW1# configure terminal
    • SW1(config)# enable secret ensecP@55
  4. Observera att enable secret gäller över enable password.

Uppgift 5: Kryptera alla lösenord

För att kryptera alla befintliga och kommande lösenord exekvera följande:

  1. Kryptera befintliga och framtida lösenord:
    • SW1(config)# service password-encryption
  2. Kontrollera att lösenorden är krypterade:
    • SW1(config)# exit
    • SW1# show running-config

Uppgift 6: Konfigurera ett varningsmeddelande som visas vid inloggning

Det ska bli tydligt för alla som vill logga in på switchen att den är säkrad därmed tillåts åtkomst till switchen enbart till behöriga. Meddelandet heter på engelska message of the day eller MOTD. Vid dess konfiguration omges meddelandet med en begränsare, till exempel citationstecken ”” eller tecken #.

  1. Konfigurera MOTD:
    • SW1# configure terminal
    • SW1(config)# banner motd "This is a secure system. Authorized Access Only!"

Uppgift 7: Verifiera och spara konfiguration

  1. Verifiera:
    • SW1(config)# exit
    • SW1# show running-config
  2. Spara konfigurationen:
    • SW1# copy running-config startup-config

Uppgift 8: utforska lösenordsalgoritmer

Vi har konfigurerat ett krypterat lösenord med kommandot enable secret, men hur säkert är det?
Krypteringsalgoritmer finns i olika nivåer och på Packet Tracer stöds nivåer 0, 5 och 7 vilka är inte tillräckliga säkra. Krypteringsalgoritmer 0 och 7(krackad 1995) inte längre anses vara säkra eftersom de kan relativt lätt krypteras av. Nivå 5 eller MD5 var säker men har krackats och därför brukar användas andra krypteringsalgoritmer.
Riktiga Cisco maskiner som kör IOS 15.3 operativsystem stödjer nivåer 8 och 9 vilka använder också SHA-kryptering (fler bitar och bättre krypteringsalgoritmer).

  1. Undersök krypteringsnivåer:
    • SW1# configure termial
    • SW1(config)# enable password ?
    • SW1(config)# enable secret ?
  2. Utforska hur lösenordet consoP@55 kan krackas. Sammanfatta processen för att bryta krypteringen online.

Nivå 5 är känd som MD5 och det är den som används i Packet tracer tillsammans med kommandot enable secret. På riktiga Cisco switchar och routrar rekommenderas använda nivån 5 ifall inte stödjas 6, 8 eller 9.

  1. Utforska hur consoP@55 som nu är krypterat kan knäckas. Du får använda Internet och söka efter en hemsida som gör det online. Ange nedan sammanfattat hur du lyckades.

Labben klar!