8.6 Grundkonfiguration 1: Hostname/Zugänge und Passwörter



Ähnliche Dokumente
Konfiguration Firewall (Zyxel Zywall 10) (von Gruppe Schraubenmeier)

1. IPSec Verbindung zwischen 2 Gateways mit dynamischen IP Adressen

How to install freesshd

Gruppe Grundlegende Konfiguration... 1 Übersicht Routerbefehle... 2 Schlussendliche Konfiguration... 2 TFTP-Server... 5 Gruppe 2...

CISCO-Router. Installation und Konfiguration Dr. Klaus Coufal

-Bundle auf Ihrem virtuellen Server installieren.

Anleitung zur Konfiguration eines NO-IP DynDNS-Accounts mit der TOOLBOXflex-3.2

Um DynDNS zu konfigurieren, muss ausschließlich folgendes Menü konfiguriert werden:

Seite Wireless Distribution System (Routing / Bridging) 3.1 Einleitung

Netzwerktechnik Cisco CCNA

Folgende Voraussetzungen für die Konfiguration müssen erfüllt sein: - Ein Bootimage ab Version Optional einen DHCP Server.

Seite Out-Of-Band-Authentifizierung (OOBA) 8.1 Einleitung

So wird der administrative Aufwand bei der Konfiguration von Endgeräten erheblich reduziert.

Folgende Voraussetzungen für die Konfiguration müssen erfüllt sein:

SSH-Zugang zu Datenbanken beim DIMDI

IAC-BOX Netzwerkintegration. IAC-BOX Netzwerkintegration IACBOX.COM. Version Deutsch

Scharl 2010 Dokument ist Urheberrechtlich geschützt. Port Forwarding via PuTTY und SSH. Was ist Port forwarding?

Einrichtung von VPN-Verbindungen unter Windows NT

Grundlagen PIX-Firewall

Beispielkonfiguration eines IPSec VPN Servers mit dem NCP Client

How-to: VPN mit L2TP und dem Windows VPN-Client. Securepoint Security System Version 2007nx

P793H PPP/ACT LAN 4 PRESTIGE P793H

VPN IPSec Tunnel zwischen zwei DI-804HV / DI-824VUP+

Konfigurationsanleitung Network Address Translation (NAT) Funkwerk. Seite Copyright Stefan Dahler Oktober 2008 Version 1.

Anbindung des eibport an das Internet

Benutzeranleitung (nicht für versierte Benutzer) SSH Secure Shell

Security. Stefan Dahler. 4. Internet Verbindung. 4.1 Einleitung

Anleitung: Confixx auf virtuellem Server installieren

estos UCServer Multiline TAPI Driver

OP-LOG

MSXFORUM - Exchange Server 2003 > SMTP Konfiguration von Exchange 2003

Kurzanleitung So geht s

Betriebssystem Windows - SSH Secure Shell Client

Einrichtung von VPN für Mac Clients bei Nortel VPN Router

NTCS Synchronisation mit Exchange

Collax VPN. Howto. Vorraussetzungen Collax Security Gateway Collax Business Server Collax Platform Server inkl. Collax Modul Gatekeeper

SSH Authentifizierung über Public Key

Virtueller Seminarordner Anleitung für die Dozentinnen und Dozenten

Virtual Private Network

Application Note MiniRouter: IPsec-Konfiguration und -Zugriff

Aufruf der Weboberflache des HPM- Warmepumpenmanagers aus dem Internet TIPPS

IEEE 802.1x Authentifizierung. IEEE 802.1x Authentifizierung IACBOX.COM. Version Deutsch

ISA Server Exchange RPC over HTTPS mit NTLM-Authentifizierung

How to: VPN mit L2TP und dem Windows VPN-Client Version 2007nx Release 3

Erstellen von Mailboxen

COPR Netzwerk. DI (FH) Levent Öztürk

LabView7Express Gerätesteuerung über LAN in einer Client-Serverkonfiguration. 1. Steuerung eines VI über LAN

Remote Tools. SFTP Port X11. Proxy SSH SCP.

Tutorial -

Anbindung einer Gateprotect GPO 150

MSXFORUM - Exchange Server 2003 > Konfiguration NNTP unter Exchange 2003

Lehrveranstaltung Grundlagen von Datenbanken

POP -Konto auf iphone mit ios 6 einrichten

Konfigurationsanleitung Access Control Lists (ACL) Funkwerk. Copyright Stefan Dahler Oktober 2008 Version 1.0.

Konfiguration VLAN's. Konfiguration VLAN's IACBOX.COM. Version Deutsch

Collax PPTP-VPN. Howto

Anleitung Grundsetup C3 Mail & SMS Gateway V

Klicken Sie mit einem Doppelklick auf das Symbol Arbeitsplatz auf Ihrem Desktop. Es öffnet sich das folgende Fenster.

How-to: VPN mit PPTP und dem Windows VPN-Client. Securepoint Security System Version 2007nx

Leitfaden Installation des Cisco VPN Clients

Rechnernetze Praktikum Versuch 2: MySQL und VPN

Konfiguration von Exchange 2000 zum versenden und empfangen von Mails & Lösung des SEND after POP Problems

PeDaS Personal Data Safe. - Bedienungsanleitung -

So richten Sie Ihr Postfach im Mail-Programm Apple Mail ein:

Eine ausführliche Anleitung finden Sie auf den folgenden Seiten.

telpho10 Update 2.1.6

Authentication Policy. Konfigurationsbeispiel ZyXEL ZyWALL USG-Serie. Juni 2010 / HAL

msm net ingenieurbüro meissner kompetent - kreativ - innovativ

Update und Konfiguraton mit dem ANTLOG Konfigurations-Assistenten

FTP Server unter Windows XP einrichten

Benutzerhandbuch - Elterliche Kontrolle

FastViewer Remote Edition 2.X

Guide DynDNS und Portforwarding

Anbinden der Visualisierung GILLES TOUCH (VNC)

iphone 4 - Einrichtung des VPN Clients (Cisco VPN Client) / Verbinden des iphones mit einem Exchange

VPN-Verbindung zwischen LANCOM und integrierten VPN-Client im MacOS X 10.6 Snow Leopard

Kommunikations-Parameter

Stefan Dahler. 1. Remote ISDN Einwahl. 1.1 Einleitung

Nutzung der VDI Umgebung

BusinessMail X.400 Webinterface Gruppenadministrator V2.6

Firmware-Update, CAPI Update

Konfiguration des Wireless Breitband Routers.

mit ssh auf Router connecten

PHP - Projekt Personalverwaltung. Erstellt von James Schüpbach

Anleitung für die Verwendung des CIP Pools von eigenen Rechner

Folgende Einstellungen sind notwendig, damit die Kommunikation zwischen Server und Client funktioniert:

VPN via UMTS. Nach der PIN-Eingabe stehen verschiedene Funktionen zur Verfügung.

Anleitung zur Inbetriebnahme einer FHZ2000 mit der homeputer CL-Software

Herzlich Willkommen. Roland Kistler. Tel. +49 (89) Sales Engineer. Folie 1

Netzlaufwerke verbinden

Technical Note ewon über DSL & VPN mit einander verbinden

8. Bintec Router Redundancy Protocol (BRRP) 8.1 Einleitung

KONFIGURATION TECHNICOLOR TC7230

Firewall oder Router mit statischer IP

Diese Anleitung enthält Anweisungen, die nur durch erfahrene Anwender durchgeführt werden sollten!

Version 1.0. Benutzerhandbuch Software Windows CE 6.0

Installationshinweise und Konfigurationshilfe SIP Account für eine AVM FritzBox 7270 Inhalt

Konfigurationsanleitung Fax over IP (T.38) und CAPI Fax Server (T.30) Graphical User Interface (GUI) Seite - 1 -

Transkript:

8.6 Grundkonfiguration 1: Hostname/Zugänge und Passwörter 8.6.1 Hostnamen konfigurieren Erster Arbeitsschritt auf einem nicht-konfiguriertem Router: Vergeben eines Hostnamens: Beispiel: Router hostname RTA RTA 8.6.2 PrivilegeEXEC Zugangspasswort Setzt ein verschlüsseltes Passwort für den privilegeexec mode. Dieses Passwort ist gültig! enable secret password Setzt ein lesbares Passwort für den privilegeexec mode (veraltet, missbilligt) enable password password 8.6.3 Konfiguration für Zugang über Konsolenanschluss Übergeordneter Befehl für Konsolenzugang. Wechsel in den Line-Subconfiguration-Mode. line con 0 Passwort für Konsolenzugang (config-line)# password password Aktivierung der Passwort-Abfrage, d.h. des login-prozesses (muss gesetzt werden) (config-line)# login Optional, aber empfehlenswert in Übungsnetzen: Keine Unterbrechung der Cosole-Session ohne Befehlsausführung (default: nach 5 min) (config-line)# exec-timeout 0 8.6.4 Konfiguration für telnet-zugang Übergeordneter Befehl für Terminal-Sessions 0 bis 4 (die 5 zur Verfügung stehenden virtuellen Terminal Lines). Wechsel in den Line-Subconfiguration Mode. line vty 0 4 Passwort für die telnet-verbindung (config-line)# password password Aktivierung der Passwort-Abfrage, d.h. des login-prozesses (muss gesetzt werden) (config-line)# login Optional, aber empfehlenswert für Übungsnetze: Keine Unterbrechung der telnet-session ohne Befehlsausführung (default 5 Minuten) (config-line)# exec-timeout 0 Damit ein Zugang via Telnet möglich ist, muss der Router über eine konfigurierte, aktive Schnittstelle verfügen. Nachfolgend am Beispiel einer FastEthernet 0/0 Schnittstelle Konfiguration einer IP Adresse und Aktivierung (siehe auch IP Konfiguration). interface FastEthernet 0/0 (config-if)# ip address ip-adresse netzmaske (config-if)# no shutdown 75

8.6.5 Lesbare Passwörter in der Konfigurationsdatei verschleiern Nach Eingabe des folgenden Kommando werden die - sonst im Klartext lesbaren - Passwörter innerhalb der Konfigurationsdatei (z.b. die Passwörter auf der Line) verschlüsselt dargestellt.! Dies ist keine wirkliche Sicherheit. Die "verschleierten" Passwörter können mit Hilfe frei erhältlicher Tools in sekundenschnelle entschlüsselt werden! service password-encryption 8.6.6 Benutzerdefiniertes Login Auf einem Cisco Gerät können Benutzer für ein benutzerdefiniertes Login (aber auch für andere Zwecke) angelegt werden. Für Telnet ist eine Benutzerdefiniertes Login optional, für SSH (s.u.) notwendig. Dabei können einem User,mit dem Kommando privilege, höhere Rechte auf dem Router zugeteilt werden (15 bedeutet dabei PrivilegeEXEC Rechte, d.h. der User befindet sich nach dem Login direkt im PrivilegeEXEC Mode). Normaler User username name password passwort User mit privilegeexec Rechten username name privilege 15 password passwort Um eine benuzterdefiniertes Login auf den Lines zu konfigurieren muß das Kommando login im jeweiligen Subkonfigurationsmode der entsprechenden Line (z.b. vty 0 4) wie folgt erweitert werden: Übergeordneter Befehl für Konsolenzugang. Wechsel in den Line-Subconfiguration Mode. line vty 0 4 Aktiviert das benutzerdefinierte Login auf der Line, d.h. der Login-Prozess fragt nicht mehr nach dem Line-Passwort, sondern nach dem Namen und dem Passwort eines mit username angelegten Benutzers. (config-line)# login local 76

8.6.7 (Login-)Banner Es gibt unterschiedliche Banner für Login-Zugänge: motd Banner beim Zugriff auf eine Line (vor Login-Prozess) login Banner vor dem Login prompt-timeout Banner nach Timeout der Login-Passwort Eingabe exec Banner nach dem Login slip-ppp "Message for SLIP/PPP" incoming "incoming terminal line banner" Um Banner zu konfigurieren, muß nach Auswahl des Banner ein (beliebiges) Trennzeichen angegeben werden, das als EOF-Kennzeichen für die (mgl. mehrzeilige) Texteingabe verwendet wird. Die ENTER Taste dient bei der Texteingabe temporär nicht wie üblich zum Abschluß des CLI-Kommandos, sondern zum Einfügen eines Zeilenumbruchs... das Trennzeichen darf natürlich nicht im Text verwendet werden ;-). banner motd trennzeichen Welcome to the Router Authorized Personal Only trennzeichen Trennzeichen kann z.b. # sein Beispiel: banner motd * WARNING: This device is the privacy of foo.bar. Disconnect now if you are no an authorized user! All activities will be logged! Violators will be prosecuted! * 8.6.8 Ciscos Login Erweiterungen.. nicht CCNA relevant! Mit Ciscos Login Enhancements für virtuelle Terminals können folgende Einstellungen definiert werden: Eine temporäre Abschaltung des Login-Prozesses (block-for) in Sekunden bei einer bestimmen Anzahl von Login-Versuchen (attempts) während einer gewissen Zeitspanne (within) in Sekunden als Abwerhrmaßnahme von DoS-Angriffen. Eine Verzögerung (in Sekunden) zwischen aufeinanderfolgenden Login-Prozessen (bei z.b. falscher Eingabe) als Abwehrmaßnahme gegen Brut-Force oder Dictionary Angriffen. Erzeugung von Log-Meldungen bei Login-Vorgängen (erfolgreich/erfolglos) login block-for 5 attempt 3 within 3 login delay 2 login on-failure log login on-success log Troubleshooting # show login 77

8.6.9 VTY Zugang via SSH Ein Konfigurationszugang via SSH ist nur mit ensprechendem IOS, das Security-Features enthält, möglich. Zudem hängt es auch von der Hardware-Platform ab, ob SSH verwendet werden kann. Zuerst sollten User für den SSH Zugang angelegt worden sein (siehe auch 8.6.6), z.b.: username sshuser password cisco Bei der (nachfolgenden) Erzeugung eines RSA Schlüsselpaares wird der Domain-Name des Routers mit einbezogen, daher muss ein Domain-Name für den Router festgelegt werden: ip domain-name beispiel.net Mit dem folgenden Kommando wird das RSA Schlüsselpaar erzeugt, wobei weitere Angaben wie Schlüssellänge interaktiv abgefragt werden -! dieses Kommando aktiviert gleichzeitig den SSH Serverdienst auf dem Router!: crypto key generate rsa Die Schlüsselerzeugung kann auf einigen IOS - allerdings auch detaillierter erfolgen: Nachfolgendes Beispiel erzeugt ein exportierbares (!) RSA Schlüsselpaar mit der Bezeichnung "mygeneral" und einer Schlüssellänge von 2048 Bit (min. 1024). crypto key generate rsa general-keys label mygeneral modulus 2048 \ exportable Zugangskonfiguration für die Line VTY. Im Beispiel werden SSH- und Telnet-Verbindungen zum Cisco Gerät erlaubt. line vty 0 4 (config-line)# transport input ssh telnet läßt SSH und Telnet zu (eingehend) (config-line)# login local Login mit lokalen Benutzerdaten Die sichere Variante wäre nur SSH Verbindungen zuzulassen - mit: transport input ssh. Optionale Einstellungen ip ssh ip ssh ip ssh für den SSH-Server version 2 time-out sekunden authentication-retries anzahl default 1 default 120 default 3 Kommando um den RSA Schlüssel wieder zu löschen und den SSH-Server zu deaktivieren: crypto key zeroize rsa SSH Troubleshooting # show ip ssh # show ssh # show crypto key mypubkey rsa # show crypto engine configuration Zugriff via SSH Vom Cisco Gerät kann der SSH Client (für den sicheren Zugang auf einen weiteren Cisco) wie folgt gestartet werden. Dabei können Optionen wie unter Linux angegeben werden. # ssh -l username ip-des-routers Unter Linux ist ein SSH Client standardmäßig implementiert. Aufruf identisch mit Cisco. > ssh -l username ip-des-routers Um von einem Windows-Host eine SSH Verbindung zu starten ist ein SSH Client Programm notwendig, wie z.b. Putty (empfehlenswert) oder Tera Term Pro. 78

8.6.10 Effektiv Arbeiten mit telnet/ssh Die Applikation telnet wird verwendet, um Layer-7 Verbindungen zu testen. Wenn eine telnet-verbindung zu einem anderen Gerät funktioniert, müssen alle 7 Schichten des OSI Modell ebenfalls korrekt funktionieren. Aufbau von Verbindungen (IP oder FQDN. FQDN nur wenn Namesauflösung funktioniert): # 192.168.1.0 oder # telnet 192.168.1.0 oder # connect 192.168.1.0 Wenn man von einem Cisco-Router mit telnet remote auf einem anderen Cisco-Gerät arbeitet, aber schnell etwas auf dem Heimat-Router erledigen will, kann man die telnet-sitzung in den Hintergrund verlagern (CCNA relevant): Strg+Shift+6 dann x suspend telnet session, man ist wieder "at home" # show sessions zeigt alle telnet sessions die vom Heimat-Router ausgehen an, incl. der Conn-Nummer # resume conn_nr reaktiviert die Session mit der Conn-Nummer # disconnect conn_nr terminiert die Session mit der Conn-Nummer Achtung: Tastenkombination für Linux (minicom): Strg+6 dann x Möglichkeit um telnet sessions zum Router zu terminieren: # show users zeigt alle eingeloggten User incl. einer line number # clear line line_nr terminiert die session mit der line number TIPP: Strg+Shift+6 (bzw. Strg+6 bei Linux) ist auf der CLI auch oft "Escape Zeichen". Folgende Kommandos/Funktionen lassen sich u.a. damit abbrechen: ping traceroute service config (Suche nach Konfigurationsdateien) DNS Anfragen (falls nicht bereits mit no ip domain-lookup deaktiviert) 79

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback