sobota, 21 listopada 2015

CCNA - Resetowanie hasła dla trybu uprzywilejowanego S2960/R2610 cz.15

Jesteśmy w stanie usunąć ustawione hasło do trybu uprzywilejowanego dla urządzeń Cisco (np. 2960).

I. Hasło switch'a:
1. Wyłączamy switch z zasilania.
2. Przytrzymujemy klawisz MODE, aż dioda zmieni kolor na zielony.
3. W konsoli powinien pojawić się komunikat - switch:
4. Następnie wpisujemy flash_init, zatwierdzamy Enterem.
5. Po chwili wydajemy polecenie dir flash.
6. Potrzebujemy plik config.text.
7. Robimy backup powyższego pliku - rename  flash:config.text flash:config.old.
8. Następnie wpisujemy boot
9. Po uruchomieniu urządzenia pojawi się okienko konfiguracyjne, wpisujemy n
10. Przechodzimy do trybu uprzywilejowanego.
S2960>enable
S2960#
11. Następnie wydajemy polecenie rename flash:config.old flash:config.text
12. Następnie copy flash:config.text system:running-config
13. Teraz jesteśmy w stanie zmienić hasło do trybu uprzywilejowanego, przechodzimy do trybu konfiguracji globalnej:
S2960(config)#enable secret TajneHaslo

niedziela, 15 listopada 2015

CCNA - Backup ustawień switch 2960 cz.14

Mając skonfigurowane urządzenie, niezależnie czy jest to switch czy też router, warto zapisać konfigurację na serwerze ftp.
Poniżej kroki potrzebne do wykonania backupu na działającym w sieci serwerze TFTP.

1. Instalacja.

Pobierzemy w tym celu WinAgents TFTP Server oczywiście musimy go zainstalować oraz skonfigurować,






sobota, 14 listopada 2015

ICDN 1 - Zabezpieczenie portów switch'a 2960 cz.13

IOS pozwala na zabezpieczenie każdego portu urządzenia. W ten sposób możemy zablokować możliwość wpięcia do sieci kolejnego switcha, lub komputera z zewnątrz, który przez brak dobrych zabezpieczeń może spowodować rozprzestrzenienie się problemów w sieci.
Dlatego też możemy dostęp do naszej sieci zabezpieczyć przez utworzenie tablicy MAC tylko naszych komputerów, wszystkie inne przy próbie podłączenia będą odrzucane.

1. Podłączone urządzenia do switch'a:

Rozpoczniemy od sprawdzenia, jakie urządzenia są obecnie podłączone do switch'a.
W Packet Tracer tworzymy LAN, składający się z switcha 2960 oraz 2 PC'ów.
Przypisujemy do PC'ów IP: 192.168.100.1 oraz 192.168.100.2




niedziela, 8 listopada 2015

ICDN 1 - Zarządzanie użytkownikami cz.12

Konsola umożliwia zarządzanie użytkownikami jesteśmy w stanie zobaczyć kto jest zalogowany do urządzenia, możemy również wysłać informację do wszystkich użytkowników, gdy zachodzi konieczność restartu urządzenia.







1. Aktywni użytkownicy.

Przechodzimy do trybu uprzywilejowanego.
Poniżej widzimy że jeden użytkownik jest podpięty bezpośrednio do konsoli, chociaż nie ma loginu.
Jeżeli w kolumnie Line pojawiłby się wpis 1 vty 0 oznacza podłączenie zdalne np. przez Putty.

S2960>enable
S2960#show users
     Line           User        Host(s)            Idle           Location
*  0 con 0                         idle             00:00:00

    Interface     User         Mode             Idle         Peer Address

S2960#






ICDN 1 - Zabezpieczenie dostępu do switch'a 2960 SSH cz.11

Opisywany w poprzednich wpisach telnet jest prostym sposobem do podłączenia się do urządzenia, natomiast nie jest on praktycznie w żaden sposób zabezpieczony przed podsłuchem w sieci.
Dlatego też warto wykorzystać do podłączenia SSH, czyli bezpieczne przesyłanie np. haseł w sposób zaszyfrowany.

Tak jak w przypadku Telnetu wykorzystamy Putty, ponieważ pozwala on na użycie SSH.
W przypadku Telnetu potrzebne było jedynie hasło, aby zalogować się do konsoli, w przypadku SSH potrzebujemy również nazwy użytkownika.





1.Konfiguracja SSH

Przechodzimy do konsoli do trybu konfiguracji globalnej.

S2960>enable
S2960#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
S2960(config)#username beadmin password TajneHaslo_ssh

S2960(config)#

Następnym krokiem jest skonfigurowanie domeny, w której urządzenie jest używane. Ta konfiguracja potrzebna jest wygenerowania certyfikatu, który będzie ufał urządzeniu.

S2960(config)# ip domain-name beadmin.com

sobota, 7 listopada 2015

ICDN 1 - Banery cz.10

Na każdym z naszych urządzeń możemy ustawić krótką informację mówiącą o tym na którym urządzeniu jesteśmy zalogowani, z jakimi uprawnieniami obecnie jesteśmy zalogowani lub o tym że wszystkie działania użytkownika na urządzeniu są monitorowane.




1. Baner MOTD.

Pojawia się tuż przed pierwszym logowaniem (Message Of The Day).
Poniżej opis konfiguracji.

S2960>enable
S2960#configure terminal
S2960(config)#banner motd #      'komentarz pomiędzy motd a # musi być spacja
Enter TEXT message. End with the character '#'.
==========================================================
=                                 Switch nalezy do firmy beadmin                                        =
=              Jest monitorowane, a wszelkie próby nieautoryzowanego                 =
=                              logowanie będą odnotowane                                                  =

==========================================================





ICDN 1 - Zabezpieczenie dostępu do switch'a 2960 cz.9

W poprzednim wpisie pokazałem w jaki sposób zabezpieczyć bezpośredni dostęp do switch'a po podłączeniu się do niego poprzez kabel konsolowy.
Teraz zabezpieczymy dostęp do urządzenia poprzez program Putty oraz usługę telnet.






1. Putty:

Mały prosty program do podłączenia się do zdalnej maszyny min. poprzez Telnet oraz SSH.



poniedziałek, 2 listopada 2015

ICDN 1 - Zabezpieczenie dostępu do switch'a 2960 cz.8

Mając skonfigurowany switch musimy go zabezpieczyć przed dostępem osób niepowołanych.
Jeżeli użytkownik x ma mieć dostęp tylko w trybie użytkownika należy odciąć go od dostępu do trybu uprzywilejowanego oraz trybu konfiguracji globalnej.

1. Hasło trybu uprzywilejowanego - nieszyfrowane:

Ustawimy hasło dla trybu uprzywilejowanego, które pozwoli nam zabezpieczyć dostęp do tego trybu.
Chociaż będzie to hasło nieszyfrowane.
Przechodzimy do trybu konfiguracji globalnej

S2960>enable
S2960#configure terminal
S2960(config)#enable password TajneHaslo

 Teraz przy próbie wejścia w tryb uprzywilejowany pojawi się monit o hasło.

S2960>enable
Password:
S2960#

Hasło jest niezaszyfrowane w związku z tym my jako administratorzy jesteśmy w stanie zobaczyć je wywołując polecenie show running-config w trybie uprzywilejowanym.

S2960#show running-config
Building configuration...

Current configuration : 1072 bytes
!
version 12.2
no service timestamps log datetime msec
no service timestamps debug datetime msec
no service password-encryption
!
hostname Switch
!

enable password TajneHaslo







niedziela, 1 listopada 2015

ICDN 1 - Podstawowa konfiguracja switch'a 2960 cz.7





Rozpocznijmy konfigurację urządzenia z poziomu konsoli.

1. Zmiana nazwy urządzenia:

Przechodzimy kolejno w tryb uprzywilejowany oraz globalnej konfiguracji. Na koniec podajemy hostname nazwa_urządzenia

Switch>enable
Switch#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)#hostname S2960
S2960(config)#








ICDN 1 - Protokół STP cz.6

Pierwszym całej listy protokołów wykorzystywanych w sieciach komputerowych jest STP.
Czy on jest i jak wpływa na działanie sieci?

1.STP -  obsługiwany jest przez przełączniki (ang. network switch) i mostki sieciowe (ang. network bridge). Stworzony dla zwiększenia niezawodności środowisk sieciowych, umożliwia on konfigurację tych urządzeń w sposób zapobiegający powstawaniu pętli. Protokół ten tworzy graf bez pętli (drzewo) i ustala zapasowe łącza, w trakcie normalnej pracy sieci blokuje je tak, by nie przekazywały one żadnych danych, wykorzystywana jest tylko jedna ścieżka, po której może odbywać się komunikacja. Na szczycie grafu znajduje się główny przełącznik tzw. korzeń (ang. root), zarządzający siecią. Korzeniem zostaje przełącznik na podstawie identyfikatora. W momencie, gdy STP wykryje problem, np. zerwany link, to rekonfiguruje sieć uaktywniając łącze zapasowe, potrzebuje na to ok. 30 do 60 sekund.

Między sobą przełączniki komunikują się, rozgłaszając ramki BPDU (ang. Bridge Protocol Data Unit). Podstawowe zasady pracy mostu są takie same, jak przełącznika. Tak samo przełącznik jak most, uczy się na podstawie adresów źródłowych MAC (ang. Media Access Control) ramek, a przełącza je na podstawie adresów docelowych. Również zasady przełączania jak i działania algorytmów spanning-tree są identyczne.