Labor Netzwerktechnik. Cisco Router. Version 1.1 22.03.2005. Cisco 1710. Prof. Dr. Alfons Eizenhöfer. Dipl.-Inf. (FH) Daniel Beuchler.



Ähnliche Dokumente
Stefan Dahler. 1. Remote ISDN Einwahl. 1.1 Einleitung

Tutorial -

Konfigurationsanleitung Access Control Lists (ACL) Funkwerk. Copyright Stefan Dahler Oktober 2008 Version 1.0.

Stefan Dahler. 2. Wireless LAN Client zum Access Point mit WPA-TKIP. 2.1 Einleitung

Folgende Einstellungen sind notwendig, damit die Kommunikation zwischen Server und Client funktioniert:

Konfiguration Firewall (Zyxel Zywall 10) (von Gruppe Schraubenmeier)

Lexware professional und premium setzen bis einschließlich Version 2012 den Sybase SQL-Datenbankserver

Zugriffssteuerung - Access Control

Guide DynDNS und Portforwarding

Anleitung zur Einrichtung der Zugriffssteuerung - Access Control

Switching. Übung 9 EAP 802.1x. 9.1 Szenario

Scharl 2010 Dokument ist Urheberrechtlich geschützt. Port Forwarding via PuTTY und SSH. Was ist Port forwarding?

Zugriffssteuerung - Access Control

Security. Stefan Dahler. 4. Internet Verbindung. 4.1 Einleitung

Anbindung des eibport an das Internet

Netzwerkeinstellungen unter Mac OS X

Um mit der FEC Utility Software zu konfigurieren, Müssen Sie in folgendem Untermenü die Software starten:

How to install freesshd

Gruppe Grundlegende Konfiguration... 1 Übersicht Routerbefehle... 2 Schlussendliche Konfiguration... 2 TFTP-Server... 5 Gruppe 2...

Virtual Private Network

Firewalls für Lexware Info Service konfigurieren

Einrichtung des Cisco VPN Clients (IPSEC) in Windows7

IAC-BOX Netzwerkintegration. IAC-BOX Netzwerkintegration IACBOX.COM. Version Deutsch

1 Mit einem Convision Videoserver über DSL oder ISDN Router ins Internet

FTP-Server einrichten mit automatischem Datenupload für

Kurzanleitung. MEYTON Aufbau einer Internetverbindung. 1 Von 11

Technical Note ewon über DSL & VPN mit einander verbinden

Einrichtung von VPN-Verbindungen unter Windows NT

OP-LOG

Um DynDNS zu konfigurieren, muss ausschließlich folgendes Menü konfiguriert werden:

INTERNET UND MMS MIT DEM QTEK2020 MARCO 28. MÄRZ 04

Folgende Voraussetzungen für die Konfiguration müssen erfüllt sein: - Ein Bootimage ab Version Optional einen DHCP Server.

Firewalls für Lexware Info Service konfigurieren

UserManual. Handbuch zur Konfiguration einer FRITZ!Box. Autor: Version: Hansruedi Steiner 2.0, November 2014

Seite Out-Of-Band-Authentifizierung (OOBA) 8.1 Einleitung

Netzwerktechnik Cisco CCNA

Erstellen von Mailboxen

Benutzerverwaltung Business- & Company-Paket

1 von :04

Anwendungsbeispiele Buchhaltung

Anleitung Grundsetup C3 Mail & SMS Gateway V

Ether S-Net Diagnostik

Einrichtung des GfT Leitsystems für GPRS Verbindungen

Das Handbuch zu KNetAttach. Orville Bennett Übersetzung: Thomas Bögel

NX Standardinstallation

mysql - Clients MySQL - Abfragen eine serverbasierenden Datenbank

Um IPSec zu konfigurieren, müssen Sie im Folgenden Menü Einstellungen vornehmen:

Konfigurationsanleitung Network Address Translation (NAT) Funkwerk. Seite Copyright Stefan Dahler Oktober 2008 Version 1.

S TAND N OVEMBE R 2012 HANDBUCH DUDLE.ELK-WUE.DE T E R M I N A B S P R A C H E N I N D E R L A N D E S K I R C H E

Konfiguration VLAN's. Konfiguration VLAN's IACBOX.COM. Version Deutsch

Machen Sie Ihr Zuhause fit für die

How-to: Webserver NAT. Securepoint Security System Version 2007nx

Inhalt. 1 Einleitung AUTOMATISCHE DATENSICHERUNG AUF EINEN CLOUDSPEICHER

Beispielkonfiguration eines IPSec VPN Servers mit dem NCP Client

Switching. Übung 7 Spanning Tree. 7.1 Szenario

Lieber SPAMRobin -Kunde!

System-Update Addendum

Step by Step VPN unter Windows Server von Christian Bartl

Lizenzen auschecken. Was ist zu tun?

Klicken Sie mit einem Doppelklick auf das Symbol Arbeitsplatz auf Ihrem Desktop. Es öffnet sich das folgende Fenster.

ICS-Addin. Benutzerhandbuch. Version: 1.0

STRATO Mail Einrichtung Mozilla Thunderbird

TeamSpeak3 Einrichten

Stefan Dahler. 1. Konfiguration der Stateful Inspection Firewall. 1.1 Einleitung

Kabellos surfen mit Ihrem D-Link DIR-615

! " # $ " % & Nicki Wruck worldwidewruck

Task: Nmap Skripte ausführen

Anleitung Captain Logfex 2013

Einrichten eines POP-Mailkontos unter Thunderbird Mail DE:

Der Schalter Eigenschaften öffnet die rechts stehende Ansicht. Internetprotokolle aussuchen

Anleitung zur Konfiguration eines NO-IP DynDNS-Accounts mit der TOOLBOXflex-3.2

2 Die Terminaldienste Prüfungsanforderungen von Microsoft: Lernziele:

Verwendung des IDS Backup Systems unter Windows 2000

1. Der Router ist nicht erreichbar Lösungsansatz: IP Adresse des Routers überprüfen ( entweder irgendwo auf dem Gerät aufgeklebt oder im Handbuch )

Einrichten eines Postfachs mit Outlook Express / Outlook bis Version 2000

a.i.o. control AIO GATEWAY Einrichtung

Meldung Lokale Anwendung inkompatibel oder Microsoft Silverlight ist nicht aktuell bei Anmeldung an lokal gespeicherter RWE SmartHome Anwendung

Local Control Network Technische Dokumentation

Wollen Sie einen mühelosen Direkteinstieg zum Online Shop der ÖAG? Sie sind nur einen Klick davon entfernt!

ASA Schnittstelle zu Endian Firewall Hotspot aktivieren. Konfiguration ASA jhotel

FuxMedia Programm im Netzwerk einrichten am Beispiel von Windows 7

Enigmail Konfiguration

1 Änderungen bei Windows Server 2008 R2

Handbuch Groupware - Mailserver

Windows XP Jugendschutz einrichten. Monika Pross Molberger PC-Kurse

ADSL-Verbindungen über PPtP (Mac OS X 10.1)

Anleitung zur Einrichtung des USB-Speicherzugriffs (SharePort) Für DIR-506L (Stand April 2013)

Battlefield 2 BF2CCD Anleitung

Aufrufen des Konfigurators über eine ISDN- Verbindung zur T-Eumex 628. Eine neue ISDN-Verbindung unter Windows XP einrichten

Hilfestellung. ALL500VDSL2 Rev.B & ALL02400N. Zugriff aus dem Internet / Portweiterleitung / Fernwartung. Router. Endgeräte. lokales.

Netzwerk einrichten unter Windows

FastViewer Remote Edition 2.X

Loggen Sie sich in Ihrem teamspace Team ein, wechseln Sie bitte zur Verwaltung und klicken Sie dort auf den Punkt Synchronisation.

FTP-Leitfaden RZ. Benutzerleitfaden

STRATO Mail Einrichtung Microsoft Outlook

How-To-Do. Fernwartung einer VIPA Steuerung via Ethernet

STRATO Mail Einrichtung Android 4.4

DynDNS Router Betrieb

Transkript:

Fachbereich Informatik Fachbereich efi Labor Netzwerktechnik Version 1.1 22.03.2005 Cisco 1710 Prof. Dr. Alfons Eizenhöfer Dipl.-Inf. (FH) Daniel Beuchler Oliver Reiche Fachhochschule Nürnberg 2005

Verbindung herstellen Um eine Verbindung mit einem herstellen zu können wird eine funktionierende Netzwerkverbindung oder eine Direktverbindung über den Console Port des Routers benötigt. Da die Netzwerkverbindung erst später konfiguriert wird, muss eine Direktverbindung mit Hilfe von Hyper Terminal herstellen. Für das Hyper Terminal finden sie auf dem Desktop einen vorkonfigurierten Link. (Einstellungen siehe links). Wenn der Router richtig verkabelt und eingeschaltet ist, dann erscheint ein leeres Terminalfenster, in dem links unten die Anzeige "Verbunden" (markiert) zu erkennen ist. Nach dem Drücken der Returntaste erscheint der User Mode Prompt. Einstellungen Hyper Terminal Verbinden über: COM1 Bit pro Sekunde : 9600 Datenbits: 8 Parität: Keine Stopbits: 1 Flussteuerung: Hardware Router Modis Bevor wir uns an das Konfigurieren wagen, müssen noch einige Begriffe erklärt und verdeutlicht werden um zu verstehen wie ein arbeitet. Ein Router arbeitet in Verschiedenen Modis. Jeder dieser Modis hat einen bestimmten Zweck und verleiht einem bestimmte Rechte. In welchem Modus wir uns gerade befinden können wir anhand des Routerprompts erkennen. 1. User EXEC Mode Loggen wir uns auf einen Router ein sind wir standardmäßig in diesem Modus. Wir haben nur Zugriff auf wenige Funktionen wie z.b. ping oder traceroute. User Mode Prompt: Router> 2. Privileged EXEC Mode Um von dem User in den Privileged Mode zu gelangen muss man und falls gesetzt auch das Enable Passwort eingeben. Hier haben wir eine große Anzahl von Funktionen und unter Anderem auch Einsicht in die gesamte Konfiguration ( show running-config ) oder sogar die Möglichkeit die Konfiguration zu löschen ( write erase ). Privileged Mode Prompt: Router# 3. Configuration Mode Wollen wir in diesen Modus wechseln müssen wir den Befehl im Privileged Mode verwenden. In diesem Modus haben wir die Möglichkeit die Konfiguration zu verändern, indem wir Interfaces und access-listen konfigurieren. Von hier aus gelangt man auch in untergeordnete Konfigurationsmodis. Configuration Mode Prompt: Router(config)# Interface Configuration Mode Prompt: Router(config-if)# (Beispiel für untergeordneten Konfigurationsmodus) Version 1.1 Fachhochschule Nürnberg 2005 Seite 2 von 7

Praxisübung 1: Router aufsetzten Besteht eine Verbindung und erhalten wir einen User Mode Prompt ( Router> ), so können wir mit dem konfigurieren beginnen. Vom User in den Privileged Mode wechseln, alte Konfiguration löschen und den Router booten: (Privileged Mode) write erase (Konfiguration löschen) reload (Booten) Nach Reboot wieder vom User in Priveleged Mode wechseln: (Privileged Mode) In den untergeordneten Konfigurationsmodus wechseln und IP-Adressen vergeben: (Configuration Mode) interface ethernet 0 (Interface Config Mode) ip address 192.168.2.253 255.255.255.0 (Adresse Vergeben) no shutdown (Interface aktivieren) interface fastethernet 0 (Interface Config Mode) ip address 192.168.129.1 255.255.255.0 (Adresse Vergeben) no shutdown (Interface aktivieren) Test (vom Router aus): ping 192.168.129.2 ping 192.168.2.1 (Client) (Default Gateway) Bei beiden Pings sollte ein ähnlicher Output wie Folgender erscheinen: Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to A.B.C.D, timeout is 2 seconds:!!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/4 ms Default Gateway einstellen: ip route 0.0.0.0 0.0.0.0 192.168.2.1 Test (vom Client aus): ping 192.168.3.10 (Server) Ist der Output ähnlich wie Folgender, funktioniert Alles wie gewünscht: Ping wird ausgeführt für A.B.C.D mit 32 Bytes Daten: Antwort von A.B.C.D: Bytes=32 Zeit=10ms TTL=63 Antwort von A.B.C.D: Bytes=32 Zeit<10ms TTL=63 Antwort von A.B.C.D: Bytes=32 Zeit<10ms TTL=63 Antwort von A.B.C.D: Bytes=32 Zeit<10ms TTL=63 (Configuration Mode) (Default Gateway festlegen) Ping-Statistik für A.B.C.D: Pakete: Gesendet = 4, Empfangen = 4, Verloren = 0 (0% Verlust), Ca. Zeitangaben in Millisek.: Minimum = 0ms, Maximum = 10ms, Mittelwert = 2ms Testen der Gesamtkonfiguration: Mit Browser http://192.168.3.10 anfragen - Erscheint eine Testpage, so ist die Konfiguration geglückt. Speichern der Konfiguration: Um zu verhindern das der Router die Konfiguration bei einem Reboot verwirft müssen wir die Konfiguration speichern. Dies geschieht mit folgendem Befehl der im Privileged Mode eingegeben werden muss. copy running-config startup-config Version 1.1 Fachhochschule Nürnberg 2005 Seite 3 von 7

Praxisübung 2: Router verstecken Das bekannteste Programm zum Prüfen ob und wo sich ein Netzwerkgerät befindet ist Ping. Wollen wir den Router verstecken, d.h. er soll nicht mehr auf Pings reagieren, so wäre eine Lösung mit Hilfe der Accesslisten des Routers das von Ping benötigte Protokoll zu sperren. Das Problem ist, dass man auch nicht mehr die Möglichkeit hat von dem Router selbst andere Netzwerkgeräte anzupingen, da er ja das gesamte Protokoll gesperrt hat und somit auch seine eingenen Pings verworfen werden. Dennoch ist die Idee mit den Accesslisten nicht völlig unbrauchbar, denn möglich ist damit (fast) Alles, aber bevor wir zur Lösung des Problems kommen, noch ein paar wichtige Hintergrundinformationen über das Programm Ping und seine Arbeitsweise. PING: Ping ist ein Programm das auf Basis des ICMP (Internet Control Message Protocoll) arbeitet. Dieses Protokoll dient dazu gewisse Zustandsnachrichtigen (z.b. Netzwerk nicht erreichbar ), so genannte ECHOS zu schicken. Ping macht sich dies zu nutze und verwendet ECHO_REQUEST (Anfrage) und ECHO_REPLY (Antwort). ausgehender Reply ausgehender Request eingehender Request eingehender Reply Bei den Accesslisten haben wir die Möglichkeit zwischen Request, Reply, eingehend und ausgehend zu unterscheiden. So können wir falls notwendig jeden Echo einzeln ansprechen und sperren. Es kann also entweder der eingehenden Request (Anfrage) oder der ausgehenden Reply (Antwort) gesperrt werde. Ein weiteres Kriterium in der Accessliste ist Quell- und Ziel-IP-Adresse. Es gibt 3 Möglichkeiten diese anzugeben: 1. ein gesamtes Netz 2. ein einzelner Host 3. any (jede mögliche Adresse) Jetzt stehen alle Informationen zur Verfügung und man muss sich für eine der beiden Sichtweisen entscheiden: 1. Möglichkeit 2. Möglichkeit - eingehend - ausgehend - Quelladresse: any (kein Gerät soll ihn anpingen dürfen) - Quelladresse: IP-Adressen des Routers (alle Interfaces angeben) - Zieladresse: IP-Adressen des Routers (alle Interfaces angeben) - Zieladresse: any (kein Gerät soll ihn anpingen dürfen) - Protokoll ICMP - Protokoll ICMP - ECHO-REQUEST sperren - ECHO-REPLY sperren Wir werden allerdings nur die erste Möglichkeit konfigurieren und ausprobieren ob es funktioniert. Merkregel für Accesslisten: Sobald eine Accessliste vorhanden ist, sperrt sie standardmäßig alle Protokolle und alle Ports. Beispiel Accessliste: Extended IP access list permit tcp any any http Diese Accessliste lässt von Überall nach Überall nur eine TCP/HTTP-Verbindung zu, keine Weiteren!!! Alle nicht explizit erlaubten Protokolle und Ports werden by default am Ende jeder Liste gesperrt! Vor dem Konfigurieren des Routers: Der Router sollte sich im User Mode befinden und mit der Grundkonfiguration von Praxisübung 1 vorkonfiguriert sein. Version 1.1 Fachhochschule Nürnberg 2005 Seite 4 von 7

Erstellen einer neuen Accessliste: (Privileged Mode) (Configuration Mode) ip access-list extended 100 (Anlegen einer extended Accessliste #100) Eintragen der Regeln nach 1. Möglichkeit für jedes Interface: ( echo steht für ECHO_REQUEST und echo-reply steht für ECHO_REPLY) deny icmp any host 192.168.129.1 echo (Zugewannte Interface) deny icmp any host 192.168.2.253 echo (Abgewannte Interface) deny icmp any host 127.0.0.1 echo (Loopback Interface) Standardmäßige Sperrung aller Protokolle umgehen: Angenommen wir würden jetzt keine Regel mehr eintragen und der Router würde an ein beliebiges Gerät einen ECHO_REQUEST schicken, dann würde er keinen ECHO_REPLY bekommen, da er nicht explizit angegeben wurde und die Accessliste ihn standardmäßig sperrt. permit icmp any any echo-reply (ECHO_REPLY-Rückweg erlauben) Accesslisten auf die Interfaces legen: Jetzt wird die oben erstellte Accessliste dem zu- und abgewandte Interface zugeordnet. Mit der Option in oder out wird festgelegt ob die Filterregeln für eingehende oder ausgehende Datenpakete gelten. interface fastethernet 0 (Interface Configuration Mode) ip access-group 100 in (Accessliste #100 als eingehend) interface ethernet 0 (Interface Configuration Mode) ip access-group 100 in (Accessliste #100 als eingehend) Testen der Konfiguration: Ping vom Router an beliebiges Gerät sollte funktionieren und Folgendem ähnlich sehen: Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to A.B.C.D, timeout is 2 seconds:!!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/4 ms DOS-Konsole öffnen: Start -> Ausführen -> cmd -> OK Ping an Router sollte nicht funktionieren und Folgendem ähnlich sehen: Ping wird ausgeführt für 192.168.129.1 mit 32 Bytes Daten: Ping-Statistik für 192.168.129.1: Pakete: Gesendet = 4, Empfangen = 3, Verloren = 1 (25% Verlust), Ca. Zeitangaben in Millisek.: Minimum = 0ms, Maximum = 0ms, Mittelwert = 0ms Ein Zugriff mit dem Browser auf http://192.168.2.10 darf jetzt nicht mehr möglich sein, da eine HTTP- Verbindung nicht explizit erlaubt ist Speichern der Konfiguration: Um zu verhindern das der Router die Konfiguration bei einem Reboot verwirft, muss die Konfiguration gespeichert werden. Dies geschieht mit folgendem Befehl im Privileged Mode:. copy running-config startup-config Version 1.1 Fachhochschule Nürnberg 2005 Seite 5 von 7

Praxisübung 3: Stateful Inspection Als letzte Praxisübung versuchen wir auf alle Funktionen des Servers (192.168.3.10) zu zugreifen, ohne jede Regel einzeln in eine Accessliste schreiben zu müssen. Alles was wir an den Accesslisten ändern ist (abgesehen vom den Regeln aus Praxistest 2): Alles von Innen nach Außen zu erlauben und andersrum zu verbieten. Im Bild greifen wir mit einem Browser auf den Server zu (HTTP_REQUEST). Der Client kommt mit dem Port 1132, ein vom Betriebsystem zufällig ausgewählten Port, an und versucht sich mit dem Port 80 (HTTP) auf dem Server zu verbinden. Damit der Server eine Antwort (HTTP_REPLY) senden kann muss die Accessliste eine Verbindung mit Quell-Port 80 und Ziel-Port 1132 zulassen. Leider gilt diese Regel nur für diese eine Verbindung, da sich bei der nächsten Browseranfrage wieder der Quell-Port des Clients geändert hat. Für dieses Problem gibt es Stateful Inspection. Es merkt sich wenn eine Anfrage von Innen nach Außen geht und generiert für das Antwortpacket eine Accesslistenregel, die nur so lange gilt bis das Antwortpacket zum Client zurück gesendent wurde. Dabei tauscht der Router nur die Quell- und Ziel-Adresse und den Quell- und Ziel-Port der HTTP-Anfrage aus um die Regel für das Rückpacket zu erstellen. Konfiguration von Stateful Inspection: Zuerst ändern wir die Accessliste #100 so ab, dass wir auf Alles von Innen nach Außen können. Dazu hängen wir einfach unten die Regel erlaube Alles (ip) von überall (any) nach überall an um Alles zu erlauben aber trotzdem das Konfigurierte aus Praxisübung 2 nicht unwirksam zu machen. ip access-list extended 100 (Configuration access-list #100) no permit icmp any any echo-reply (Alte Regel wird gelöscht) permit ip any any ( Erlaube Alles ersetzt alte Regel) Erstellung 2. Accessliste: Wir erstellen eine 2. Accessliste #101 welche den Router, genauso wie die #100, versteckt, aber keine Zugriffe von Außen nach Innen gewährt. ip access-list extended 101 deny icmp any host 192.168.129.1 echo (Versteckt, siehe #100) deny icmp any host 192.168.2.253 echo (Versteckt, siehe #100) deny icmp any host 127.0.0.1 echo (Versteckt, siehe #100) permit icmp any any (Erlaube ECHO_REPLYs, siehe #100) deny ip any any (Verbiete Alles) Stateful Inspect konfigurieren: Um die Inspection Maschine zu aktivieren muss man einen Namen und zu verarbeitetende Protokolle festlegen. ip inspect name praxis tcp (Name: praxis, Protokoll: tcp) ip inspect name praxis udp (Name: praxis, Protokoll: udp) Stateful Inspect und neue Accessliste auf Interfaces legen: interface fastethernet 0 (Configuration Mode zugewanntes Interface) ip inspect praxis in (Inspection auf eingehendende Packete) interface ethernet 0 (Configuration Mode abgewanntes Interface) no ip access-group 100 in (Alte Accessliste #100 runternehmen) ip access-group 101 in (Neue Accessliste #101 auflegen) Version 1.1 Fachhochschule Nürnberg 2005 Seite 6 von 7

Testen der Konfiguration: 2 DOS-Konsolen öffnen und mit dem Router in den Privileged Mode wechseln. Mit der 1. DOS-Konsole verbinden wir uns via FTP mit dem Server: ftp 192.168.3.10, mit der 2. DOS-Konsole führen wir den Befehl netstat an aus und auf dem Router geben wir show ip access-lists ein. Der Router wurde richtig konfiguriert wenn - wir in der 1. DOS-Konsole einen FTP-Prompt bekommen - der Output der 2. DOS-Konsole wie folgender aussieht - und der Output des Routers so aussieht Die 2. Konsole gibt aus, dass eine Verbindung vom Client Port 1153 auf den Server Port 21(ftp) hergestellt wurde. Der Router gibt aus, dass vorrübergehend eine zusätzliche Accessliste für den Rückweg vom Server Port 21 auf den Client Port 1153 erstellt wurde. (rote Markierungen) Speichern der Konfiguration: copy running-config startup-config Webinterface: Wir haben neben dem Hyper Terminal auch die Möglichkeit den Router über ein Webinterface zu konfigurieren. Dazu müssen wir es erst aktivieren indem wir im Configuration Mode den Befehl ip http server eingeben. Wenn wir jetzt mit einem Browser auf http://192.168.129.1, der IP-Adresse des Routers, zugreifen, tut sich uns das Webinterface auf und wir hätten nun die Möglichkeit den Router mit Hilfe dessen zu konfigurieren. Version 1.1 Fachhochschule Nürnberg 2005 Seite 7 von 7

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback