Exempel 1

SSH används oftast för hantering (administration) av nätverkshanterare som routrar, switchar och liknande. SSH anslutningen går genom en komplex process redan när en anslutnings mellan två datorsystem ska upprättas genom ett osäkert nätverk. När anslutningen finns på plats så är det autentisering en stor del av processen, slutligen sker säker nätverkstrafik mellan kommunicerande parter.

I denna laboration förenklar jag nätverkstopologin och fokuserar på följande:

Definiera priviligierade behörigheters nivåer (privilege levels)
Implementera SSH för en lokal autentiseringsprocess (utan och med AAA)
Använda nätverksserver NTP (tidstyrning) och Syslog (övervakning).

IOS privilege levels

Cisco IOS-nätverkshanterare använder olika behörighetsnivåer för att tillhandahålla anpassad åtkomstkontroller. En nätverksadministratör som vill ansluta till en nätverksenheter ska ta sig genom en autentiseringsprocess där verifieras användarkonto och lösenord samt anpassas administratörs behörigheter. Det finns 16 behörighetsnivåer för administratörsåtkomst, 0-15:

Nivå 0 – tillåter endast fem kommandon – logout, enable, disable, help och exit.
Nivå 1 – tillåter dig gå in i användarexekveringsläge som ger mycket begränsad ”read-only” åtkomst till routern.
Nivå 15 – eller priviligierad behörighetsnivå som ger fullständig kontroll över routern.
Nivå 2 till 14 – anpassade behörigheters nivåer.

Nätverksadministratörer med anpassade åtkomstbehörigheter loggar in direkt på privilegierad exekveringsläget utan att behöva exekvera kommandot enable. Man behåller lösenordet hemligt annars kan man kringgå anpassade behörighetsnivåer med kommando disable och därefter enable.

SYSLOG

Som standard skickar en router/switch utdata till konsolen från ett system som hanterar olika typer av meddelande genererade när någon övervakad händelse inträffar. Systemmeddelandet styr registrering av händelser (logg) och distributionen av meddelande till olika destinationer såsom loggningsbufferten, terminaler eller till en SYSLOG-server, beroende på hur loggsystemet konfigurerats. Förutom att skicka logg-meddelande till de olika alternativen får router/switch samma meddelande på sitt konsol (CLI).

Nätverksadministratörer kan fjärrövervaka router/switch tillstånd med hjälp av SYSLOG- servern med hjälp av loggarna på servern eller genom att fjärransluta till routern/switchen via SSH eller Telnet. Det finns så klart också alternativ att vara fysisk nära till routern/switchen och använda en konsolkabeln.

Meddelanden som visas på router/switch eller på SYSLOGG-servern ordnas i allvarlighetsgraden från 0 till 7 där låga numrerade meddelande är mest kritiska/akuta.

emergency (router/switch kan inte användas)
alert (Omedelbar åtgärd krävs)
critical events (kritiskt tillstånd)
error events (feltillstånd)
warning events (varningstillstånd)
notification events (normalt men betydande tillstånd)
informal events (endast informationsmeddelande)
debug messages (visas endast under felsökning)

Nätverkstopologin

Konfigurationer

login local – SSH version 2 ska implementeras på konsolen och virtuella terminalerna 0 till 4 på S1 och R1. Åtkomsten via login local kräver enskilda kontodatabas på varje nätverkshanterare.
AAA på R1 och S1 – Inloggning kontrolleras av protokollet AAA lokalt implementerat
AAA server – En dedikerad AAA server används (RADIUS eller TACACS+). Server kör en centraliserad kontodatabas.

Router> enable
Router# configure terminal
Router(config)# hostname R1
R1(config)# no ip domain-lookup
R1(config)# service password-encryption
R1(config)# enable secret ensecP@55
R1(config)# interface Gig0/1
R1(config-if)# description Allow only SSH Management
R1(config-if)# ip address 192.168.0.1 255.255.255.0
R1(config-if)# no shutdown
R1(config)# exit
!
R1(config)# username admin privilege 15 secret adminP@55
R1(config)# username admin15 privilege 15 secret admin15P@55
R1(config)# username admin10 privilege 10 secret admin10P@55
R1(config)# username admin5 privilege 5 secret admin5P@55
!
R1(config)# privilege configure level 10 interface
R1(config)# privilege interface level 10 ip address
R1(config)# privilege interface level 10 no ip address
R1(config)# privilege interface level 10 shutdown
R1(config)# privilege interface level 10 no shutdown
!
R1(config)# privilege exec level 10 configure terminal
R1(config)# privilege exec level 5 show running-config view
R1(config)# privilege exec level 5 show running-config view full
R1(config)# privilege exec level 5 more system:running-config
!
R1(config)# line console 0
R1(config-line)# login local
R1(config-line)# logging synchronous
R1(config-line)# exec-timeout 5
R1(config-line)# exit
!
R1(config)# line vty 0 4
R1(config-line)# login local
R1(config-line)# logging synchronous
R1(config-line)# exec-timeout 5
R1(config-line)# transport input ssh
R1(config-line)# exit
!
R1(config)# ip ssh version 2
R1(config)# ip domain-name diginto.se
R1(config)# crypto key generate rsa general-keys modulus 1024
!
R1(config)# ip ssh time-out 90
R1(config)# ip ssh authentication-retries 3
R1(config)# login block-for 60 attempts 3 within 60
R1(config)# end
R1#

Switch> enable
Switch# configure terminal
Switch(config)# hostname S1
S1(config)# no ip domain-lookup
S1(config)# service password-encryption
S1(config)# enable secret ensecP@55
S1(config)# interface vlan 1
S1(config-if)# description Allow only SSH Management
S1(config-if)# ip address 192.168.0.2 255.255.255.0
S1(config-if)# no shutdown
S1(config-if)# exit
S1(config)# ip default-gateway 192.168.0.1
S1(config)# username admin privilege 15 secret adminP@55
S1(config)# username admin15 privilege 15 secret admin15P@55
S1(config)# username admin10 privilege 10 secret admin10P@55
S1(config)# username admin5 privilege 5 secret admin5P@55
!
S1(config)# privilege configure level 10 interface
S1(config)# privilege interface level 10 ip address
S1(config)# privilege interface level 10 no ip address
S1(config)# privilege interface level 10 shutdown
S1(config)# privilege interface level 10 no shutdown
!
S1(config)# privilege exec level 10 configure terminal
S1(config)# privilege exec level 5 show running-config view
S1(config)# privilege exec level 5 show running-config view full
S1(config)# privilege exec level 5 more system:running-config
!
S1(config)# line console 0
S1(config-line)# login local
S1(config-line)# logging synchronous
S1(config-line)# exec-timeout 5
S1(config-line)# exit
!
S1(config)# line vty 0 4
S1(config-line)# login local
S1(config-line)# logging synchronous
S1(config-line)# exec-timeout 5
S1(config-line)# transport input ssh
S1(config-line)# exit
!
S1(config)# ip ssh version 2
S1(config)# ip domain-name diginto.se
S1(config)# crypto key generate rsa general-keys modulus 1024
!
S1(config)# ip ssh time-out 90
S1(config)# ip ssh authentication-retries 3
S1(config)# login block-for 60 attempts 3 within 60
S1(config)# end
S1#

NTP server:

SYSLOG server:

R1#show clock
*0:5:4.397 UTC Mon Mar 1 1993
! Fel datum
R1# configure terminal
R1(config)# ntp server 192.168.0.4
R1(config)# ntp update-calendar
R1(config)# end
R1#show clock
17:55:4.133 UTC Sat Jun 10 2023
!
R1# configure terminal
R1(config)# logging on
R1(config)# logging host 192.168.0.5
R1(config)# logging userinfo
R1(config)# login on-success log
R1(config)# login on-failure log
R1(config)# service timestamps log datetime msec
R1(config)# end
R1#
!
S1#show clock
*0:5:4.397 UTC Mon Mar 1 1993
! Fel datum
S1# configure terminal
S1(config)# ntp server 192.168.0.4
S1(config)# ntp update-calendar
S1(config)# end
S1#show clock
17:55:4.133 UTC Sat Jun 10 2023
!
S1# configure terminal
S1(config)# logging on
S1(config)# logging host 192.168.0.5
S1(config)# logging userinfo
S1(config)# login on-success log
S1(config)# login on-failure log
S1(config)# service timestamps log datetime msec
S1(config)# end
S1#

AAA implementation
R1(config)# aaa new-model
R1(config)# aaa authentication login default local-case
R1(config)# aaa authentication login RA-SSH local
!
R1(config)# line console 0
R1(config-line)# login authentication default
R1(config-line)# exit
!
R1(config)# line vty 0 4
R1(config-line)# login authentication RA-SSH
R1(config-line)# exit
R1(config)# end
R1#
*Jun 10, 20:08:35.088: SYS-5-CONFIG_I: Configured from console by console
R1# copy run start
Destination filename [startup-config]?
Building configuration...
[OK]
R1#

Återställa konsolen och vty
S1(config)# line console 0
S1(config-line)# no login local
S1(config-line)# exit
S1(config)# line vty 0 4
S1(config-line)# no login local
S1(config-line)# exit
AAA implementation
S1(config)# aaa new-model
S1(config)# aaa authentication login default local-case
S1(config)# aaa authentication login RA-SSH local
!
S1(config)# line console 0
S1(config-line)# login authentication default
S1(config-line)# exit
!
S1(config)# line vty 0 4
S1(config-line)# login authentication RA-SSH
S1(config-line)# exit
S1(config)# end
S1#
*Jun 10, 20:08:35.088: SYS-5-CONFIG_I: Configured from console by console
S1# copy run start
Destination filename [startup-config]?
Building configuration...
[OK]
S1#

RADIUS server

R1 är klienten av AAA RADIUS Server. Lösenordet är raP@55

Fjärranslutningar som begär åtkomst kommer att behöva ta sig genom autentisering. Följande användare kommer att få logga in på router via SSH.

Router konfigurationer

R1(config)# aaa new-model
R1(config)# aaa authentication login SSHaaa group radius local enable
R1(config)# radius-server host 192.168.0.3 key raP@55
R1(config)# line vty 0 4
R1(config-line)# transport input ssh
R1(config-line)# login authentication SSHaaa
R1(config-line)# end
R1#

Switch konfigurationer

S1(config)# aaa new-model
S1(config)# aaa authentication login SSHaaa group radius local enable
S1(config)# radius-server host 192.168.0.3 key raP@55
S1(config)# line vty 0 4
S1(config-line)# transport input ssh
S1(config-line)# login authentication SSHaaa
S1(config-line)# end
S1#