ЗАТВЕРДЖЕНО

Наказ Міністерства освіти і науки,

молоді та спорту України
29 березня 2012 року № 384

Форма № Н-6.01

Київський національний університет будівництва і архітектури

(повне найменування вищого навчального закладу)

Кафедра кібербезпеки та комп'ютерної інженерії

(повна назва кафедри, циклової комісії)

ЛАБОРАТОРНА РОБОТА №4
з дисципліни: «Захист даних в інформаційно-телекомунікаційних системах»
(назва дисципліни)

на тему: «Захист мережних пристроїв»

Студентки 4 курсу БІКС-41 групи

спеціальності – 125 «Кібербезпека»
Шкарупило Катерини
(прізвище та ініціали)

Викладач: доцент, к.т.н., Делембовський М.М.

(посада, вчене звання, науковий ступінь, прізвище та ініціали)

Національна шкала ________________________

Кількість балів: __________Оцінка: ECTS _____

м. Київ – 2021 рік

ТЕМА: Захист мережних пристроїв.

Топологія

Таблиця адресації

Шлюз за
Пристрій Інтерфейс IP-адреса Маска підмережі замовчуванням

R1 G0/0/1 192.168.1.1 255.255.255.0 N/A

S1 VLAN 1 192.168.1.11 255.255.255.0 192.168.1.1
PC-A NIC 192.168.1.3 255.255.255.0 192.168.1.1

ЦІЛІ ТА ЗАДАЧІ:
Частина 1. Налаштування основних параметрів пристрою
Частина 2. Налаштування основних заходів безпеки на маршрутизаторі
Частина 3. Налаштування основних заходів безпеки на комутаторі

ДОВІДКОВА ІНФОРМАЦІЯ / СЦЕНАРІЙ:

Рекомендується, щоб усі мережні пристрої були налаштовані за допомогою низки
команд, що дозволяють запровадити передовий досвід мережного захисту. Це стосується
пристроїв кінцевого користувача, серверів та мережних пристроїв, таких як
маршрутизатори і комутатори.
У цій лабораторній роботі ви налаштуєте мережні пристрої топології для
прийняття сеансів SSH з метою віддаленого керування. Також, ви використаєте IOS CLI
для налаштування базових заходів безпеки. Далі ви перевірити застосовані параметри
налаштування захисту, аби переконатися, що вони правильно впроваджені та працюють
належним чином.
Примітка: У лабораторній роботі використовуються такі пристрої:
маршрутизатори Cisco 4221 з операційною системою Cisco IOS XE Release 16.9.4 (образ
universalk9) і комутатори Cisco Catalyst 2960 з операційною системою Cisco IOS Release
15.0(2) (образ lanbasek9). Також можна використовувати інші маршрутизатори,
комутатори та версії Cisco IOS. Залежно від моделі та версії Cisco IOS, доступні команди
та отримані результати можуть відрізнятися від зазначених у лабораторних роботах. Для
правильної ідентифікації інтерфейсів зверніться до зведеної таблиці інтерфейсів
маршрутизатора у кінці лабораторної роботи.
Примітка: Переконайтесь, що налаштування маршрутизаторів і комутаторів були
видалені та пристрої не містять файлів конфігурацій запуску. Якщо ви у цьому не
впевнені, зверніться до свого інструктора.

НЕОБХІДНІ РЕСУРСИ:
 Один маршрутизатор (Cisco 4221 з операційною системою Cisco IOS XE Release
16.9.4, образ universal або аналогічний)
 1 комутатор (Cisco 2960 з операційною системою Cisco IOS Release 15.2(2), образ
lanbasek9 або аналогічний)
 1 ПК (Windows 10 з програмою емуляції терміналу, наприклад, Tera Term)
 Консольні кабелі для налаштування пристроїв Cisco IOS через консольні порти
 Кабелі Ethernet, вказані на топології

ІНСТРУКЦІЇ

ЧАСТИНА 1: Налаштування основних параметрів пристрою

У Частині 1 ви створите мережну топологію і налаштуєте на пристроях такі основні
параметри, як IP-адреси інтерфейсу, доступ до пристрою та паролі.

Крок 1: З'єднайте пристрої у мережу, відповідно до схеми топології.

З'єднайте за допомогою кабелів пристрої так, як показано на схемі топології.
Крок 2: Ініціалізуйте та перезавантажте маршрутизатор та комутатор.

Крок 3: Налаштуйте маршрутизатор.

a. Під'єднайтесь до пристрою через консольний кабель і увійдіть до привілейованого

режиму EXEC.

b. Налаштуйте ім’я пристрою відповідно до таблиці адресації.

c. Вимкніть пошук DNS, щоб запобігти спробам маршрутизатора перетворити
неправильно введені команди так, наче це імена вузлів.
d. Призначте ShkarupiloK (вказати пароль за схемою: Delembovskyi) як
зашифрований пароль на привілейований режим EXEC.
e. Призначте BIKS (вказати пароль за схемою: KSM) як пароль на консольній лінії і
активуйте авторизацію.
f. Призначте ShkarupiloK_BIKS (вказати пароль за схемою: Delembovskyi_KSM) як
пароль на вхід до віртуальних ліній і активуйте авторизацію.
g. Створіть банер, який попереджатиме всіх, хто під'єднується до пристрою, про
заборону несанкціонованого доступу.
h. Налаштуйте і активуйте інтерфейс G0/0/1 на маршрутизаторі, використовуючи
інформацію із таблиці адресації.
i. Налаштуйте на комутаторі SVI за замовчуванням, вказавши параметри IP-адреси
згідно з таблицею адресації.
j. Збережіть поточну конфігурацію у файлі конфігурації запуску.
Крок 4: Налаштуйте PC-A.

a. Налаштуйте на PC-A IP-адресу і маску підмережі.

b. Налаштуйте шлюз за замовчуванням для PC-A.

Крок 5: Перевірте наявність з'єднання у мережі.

Пропінгуйте R1 з PC-A. В разі невдалого результату, усуньте неполадки зі з'єднанням.

Закрийте вікно конфігурації
ЧАСТИНА 2: Налаштування основних заходів безпеки на маршрутизаторі
Крок 1. Налаштуйте заходи безпеки.

a. Забезпечте шифрування для усіх паролів, що відображаються у відкритому вигляді.

b. Налаштуйте систему на підтримку паролів довжиною мінімум 8 символів.
c. Змініть паролі (привілейований exec, консоль і vty) для задоволення нових вимог
щодо довжини.

1) Встановіть пароль на привілейований режим ShkarupiloK (вказати пароль за

схемою: Delembovskyi)
2) Встановіть на консолі пароль BIKS3838 (вказати пароль за схемою: KSM)
3) Встановіть на лініях vty пароль Shkarupilo_BIKS (вказати пароль за схемою:
Delembovskyi_KSM)
d. Налаштуйте маршрутизатор на прийнятті виключно SSH-з'єднань для віддаленого
доступу.

1) Налаштуйте ім'я користувача ShkarupiloK (вказати пароль за схемою:

Delembovskyi) із зашифрованим паролем ShkarupiloK _BIKS (вказати пароль
за схемою: KSM)
2) Як доменне ім'я маршрутизатора встановіть (вказати схемою: ksm-
shkarupilo.com)
3) Модуль ключа повинен становити 1024 біти.
e. Встановіть параметри безпеки та застосуйте передові практики на консольній та
vty-лініях.

1) Користувачів слід від'єднувати після 5 хвилин відсутності активності на лініях.

2) Маршрутизатор повинен блокувати доступ до vty на 2 хвилини після 3 невдалих
спроби входу, виконаних впродовж 1 хвилини.
Крок 2. Переконайтеся, що усі невикористані порти вимкнуті.

Порти маршрутизаторів вимкнено за замовчуванням, проте завжди доцільно

перевірити, чи всі невикористані порти знаходяться у адміністративно вимкненому стані.
Це можна швидко перевірити, застосувавши команду show ip interface brief. Будь-які
невикористані порти, що не перебувають у адміністративно вимкненому стані, слід
закрити за допомогою команди shutdown у режимі конфігурації інтерфейсу.
 R1# show ip interface brief
Interface IP-Address OK? Method Status Protocol
GigabitEthernet0/0/0 unassigned YES unset administraтимоvely down down
GigabitEthernet0/0/1 192.168.1.1 YES manual up up
Serial0/1/0 unassigned YES unset administratively down down
Serial0/1/1 unassigned YES unset administratively down down

Крок 3. Переконайтеся, що заходи безпеки були правильно запроваджені.

a. Використайте програму Tera Term на PC-A для створення telnet-з'єднання із R1.

Запитання:
Чи приймає R1 з'єднання по Telnet? Поясніть.

Ні, тому що ми налаштовували ssh, а telnet с ssh не може працювати одночасно

 ь тут свою відповідь.

b. Використайте Tera Term на PC-A для утворення SSH-з'єднання із R1.

Запитання:
Чи приймає R1 SSH-з'єднання?

Так
 c. Навмисно кілька разів неправильно введіть ім'я користувача та пароль, щоб
перевірити, чи буде заблоковано доступ для входу після двох невдалих спроб.

Запитання:
Що відбулося після того, як Ви не змогли увійти вдруге?

Заблокувався доступ та попросило відновити сесію або закрити її

d. Під час консольного сеансу на маршрутизаторі запустіть на виконання команду

show login для перегляду стану входу. У наведеному нижче прикладі
відображається результат виконання команди show login, запущеної у період 120-
секундного блокування входу. Як бачимо, маршрутизатор перебуває в режимі
Quiet-Mode і не прийматиме жодних спроб входу ще протягом 111 секунд.
R1# show login
A default login delay of 1 seconds is applied.
No Quiet-Mode access list has been configured.
All successful login is logged.

Router enabled to watch for login Attacks.

If more than 3 login failures occur in 60 seconds or less,
logins will be disabled for 120 seconds.

Router presently in Quiet-Mode.

Will remain in Quiet-Mode for 111 seconds.
Denying logins from all sources.
 a. Після 120 секунд очікування повторно встановіть SSH-з'єднання із R1,
використавши для входу ім’я користувача ________ і пароль __________.

Запитання:
Що відобразилося після того, як Ви успішно увійшли в систему?

Банер Warning!!!

b. Перейдіть до привілейованого режиму EXEC і для входу введіть пароль ________

Запитання:
Чи відбудеться припинення SSH-сеансу зв'язку після трьох невдалих спроб
введення цього пароля протягом 60 секунд? Поясніть.

Так, після 3 невдалих спроб доступ блокується

c. Запустіть команду show running-config у привілейованому режимі EXEC для

перегляду застосованих налаштувань безпеки.
 Закрийте вікно конфігурації

ЧАСТИНА 3: Налаштування основних заходів безпеки на комутаторі

Крок 1. Налаштуйте заходи безпеки.

a. Зашифруйте усі паролі, що відображаються у відкритому вигляді.

b. Налаштуйте систему на підтримку паролів довжиною мінімум 8 символів.----

c. Змініть паролі (привілейований exec, консоль і vty) для задоволення нових вимог
щодо довжини.

1) Встановіть пароль на привілейований режим exec ShkarupiloK

2) Встановіть пароль на консолі BIKS

3) Встановіть пароль на vty-лініях ShkarupiloK_BIKS

d. Налаштуйте комутатор на прийняття виключно SSH-з'єднань для віддаленого

доступу.
1) Налаштуйте ім'я користувача ShkarupiloK із зашифрованим паролем BIKS3838

2) Як доменне ім'я комутаторів встановіть _________(вказати схемою латиницею:

shkarupilok.com)
3) Модуль ключа повинен становити 1024 біти.
e. Встановіть параметри безпеки та застосуйте передові практики на консольній та
vty-лініях.

1) Користувачів слід від'єднувати після 5 хвилин відсутності активності на лініях.

 2) Комутатор повинен блокувати доступ до vty на 2 хвилини після 3 невдалих
спроби входу, виконаних впродовж 1 хвилини.

f. Вимкніть усі невикористані порти.

Крок 2. Переконайтеся, що усі невикористані порти вимкнуті.

За замовчуванням порти комутатора перебувають у відкритому стані. Закрийте усі

порти, які не використовуються.

a. Перевірити стан портів комутатора можна за допомогою команди show ip interface

brief

b. Скористайтесь командою interface range для одночасного закриття декількох

інтерфейсів.

c. Переконайтесь, що всі неактивні інтерфейси були адміністративно вимкнені.

Крок 3. Переконайтеся, що заходи безпеки були реалізовані правильно.

a. Переконайтесь, що доступ за протоколом Telnet до комутатора вимкнено.

b. Встановіть SSH-з'єднання із комутатором і навмисно неправильно введіть ім'я

користувача і пароль, щоб перевірити, чи буде заблоковано доступ для входу.

c. Після 30 секунд очікування повторно встановіть SSH-з'єднання із S1 і увійдіть,

використовуючи ім'я користувача ShkarupiloK і пароль BIKS3838.

Запитання:
Чи з'явився банер після успішного входу в систему?
 Так
d. Увійдіть до привілейованого режиму EXEC, використовуючи пароль ShkarupiloK.

e. Запустіть команду show running-config у привілейованому режимі EXEC для

перегляду застосованих налаштувань безпеки.
 Питання для роздумів

1. У базовій конфігурації у Частині 1 введено команду password ________ для доступу

до консолі та VTY-ліній. Де використовуватиметься цей пароль після застосування
передових практик безпеки?

Під час авторизації, та отримання доступу до інших режимів роботи

2. Чи вплине на попередньо налаштовані паролі довжиною менше 10 символів,
застосування команди security passwords min-length 12?
 Так, налаштовані паролі не будуть працювати
Зведена таблиця інтерфейсів маршрутизатора

Модель Інтерфейс Інтерфейс Інтерфейс Інтерфейс

маршрутизатора Ethernet #1 Ethernet #2 Serial #1 Serial #2
Fast Ethernet 0/0 Fast Ethernet 0/1 Serial 0/0/0 Serial 0/0/1
1800 (F0/0) (F0/1) (S0/0/0) (S0/0/1)
Gigabit Ethernet Gigabit Ethernet Serial 0/0/0 Serial 0/0/1
1900 0/0 (G0/0) 0/1 (G0/1) (S0/0/0) (S0/0/1)
Fast Ethernet 0/0 Fast Ethernet 0/1 Serial 0/1/0 Serial 0/1/1
2801 (F0/0) (F0/1) (S0/1/0) (S0/1/1)
Fast Ethernet 0/0 Fast Ethernet 0/1 Serial 0/0/0 Serial 0/0/1
2811 (F0/0) (F0/1) (S0/0/0) (S0/0/1)
Gigabit Ethernet Gigabit Ethernet Serial 0/0/0 Serial 0/0/1
2900 0/0 (G0/0) 0/1 (G0/1) (S0/0/0) (S0/0/1)
Gigabit Ethernet Gigabit Ethernet Serial 0/1/0 Serial 0/1/1
4221 0/0/0 (G0/0/0) 0/0/1 (G0/0/1) (S0/1/0) (S0/1/1)
Gigabit Ethernet Gigabit Ethernet Serial 0/1/0 Serial 0/1/1
4300 0/0/0 (G0/0/0) 0/0/1 (G0/0/1) (S0/1/0) (S0/1/1)
Примітка: Щоб дізнатись, як налаштований маршрутизатор, подивіться на
інтерфейси, щоб визначити тип маршрутизатора та кількість інтерфейсів на ньому.
Неможливо ефективно перелічити всі комбінації налаштувань для кожного класу
маршрутизаторів. Ця таблиця містить ідентифікатори можливих комбінацій інтерфейсів
Ethernet і Serial. У ній немає інших типів інтерфейсів, хоча конкретний маршрутизатор
може їх містити. Прикладом може бути інтерфейс ISDN BRI. Рядок у дужках - це
загальноприйнята абревіатура, яка використовується у командах Cisco IOS при зверненні
до інтерфейсу.

Кінець документа
ОСТАТОЧНА КОНФІГУРАЦІЯ ПРИСТРОЮ
Маршрутизатор R1
Ip: 192.168.1.1/24
Пароль на привілейований режим: ShkarupiloK
Пароль (консоль): BIKS3838
Пароль (vty): ShkarupiloK_BIKS
SSH: name (ShkarupiloK) password (ShkarupiloK_BIKS)

Комутатор S1
Ip: 192.168.1.11/24
Пароль на привілейований режим: ShkarupiloK
Пароль (консоль): BIKS
Пароль (vty): ShkarupiloK_BIKS
SSH: name (ShkarupiloK) password (BIKS3838)