© 2013 Cisco und / oder ihre Tochtergesellschaften. Alle Rechte vorbehalten. Dieses Dokument ist eine öffentlich zugängliche Information von Cisco. Seite 1 von 12
Übung - Zugriff auf Netzwerkgeräte mit SSH
Topologie
Adressierungstabelle
Gerät Schnittstelle IP-Adresse Subnetzmaske Default Gateway
R1 G0/1 192.168.1.1 255.255.255.0 k. A.
S1 VLAN 1 192.168.1.11 255.255.255.0 192.168.1.1
PC-A Netzwerkkarte 192.168.1.3 255.255.255.0 192.168.1.1
Lernziele
Teil 1: Konfigurieren von Gerätegrundeinstellungen
Teil 2: Konfigurieren des Routers für den SSH-Zugriff
Teil 3: Untersuchen einer Telnet-Sitzung mit Wireshark
Teil 4: Untersuchen einer SSH-Sitzung mit Wireshark
Teil 5: Konfigurieren des Switchs für den SSH-Zugriff
Teil 6: SSH vom CLI auf dem Switch
Hintergrund / Szenario
In der Vergangenheit war Telnet das gebräuchliste Netzwerkprotokoll, um Netzwerkgeräte aus der Ferne zu konfigurieren. Allerdings führen Protokolle wie Telnet keine Authentifizierung oder Verschlüsselung der Daten zwischen dem Client und dem Server durch. Das ermöglicht einem Netzwerk-Sniffer, Kennwörter und Konfigurationsinformationen abzufangen.
Secure Shell (SSH) ist ein Netzprotokoll, das eine sichere Terminalemulationsverbindung zu einem Router oder einem anderen Netzwerkgerät einrichtet. SSH verschlüsselt alle Informationen, die über die Netzwerkverbindung gehen und bietet Authentifizierung des Remote-Computers. SSH ersetzt inzwischen Telnet als Remote-Login-Tool der Wahl für Netzwerk-Profis. SSH wird oft benutzt, um sich bei einem Remote-Gerät anzumelden und Befehle auszuführen; aber es kann auch Dateien mit den zugehörigen Protokollen Secure FTP (SFTP) oder Secure Copy (SCP) übertragen.
Damit SSH funktioniert, müssen die kommunizierenden Netzwerkgeräte entsprechend konfiguriert werden. In dieser Übung werden Sie den SSH-Server auf einem Router aktivieren und dann eine Verbindung zu diesem Router über einen PC mit einem installierten SSH-Client herstellen. In einem lokalen Netzwerk wird die Verbindung in der Regel unter Verwendung von Ethernet und IP hergestellt.
In dieser Übung konfigurieren Sie einen Router so, dass er eine SSH-Verbindung akzeptiert, und verwenden Wireshark zum Erfassen und Anzeigen der Telnet- und SSH-Sitzungen. Dadurch wird die Bedeutung der Verschlüsselung mit SSH demonstriert. Sie werden auch aufgefordert, selbstständig einen Switch für eine SSH-Verbindung zu konfigurieren.
Übung - Zugriff auf Netzwerkgeräte mit SSH
© 2013 Cisco und / oder ihre Tochtergesellschaften. Alle Rechte vorbehalten. Dieses Dokument ist eine öffentlich zugängliche Information von Cisco. Seite 2 von 12
Hinweis: Die in den praktischen CCNA-Übungen verwendeten Router sind Cisco 1941 Integrated Services Routers (ISRs) mit Cisco IOS Release 15.2(4)M3 (universalk9 image). Die verwendeten Switche sind Cisco Catalyst 2960 mit Cisco IOS Release 15.0(2) (lanbasek9 image). Andere Router, Switche und Cisco IOS-Versionen können verwendet werden. Je nach Modell und Cisco IOS-Version können die verfügbaren Befehle und deren Ergebnisse von den in den Übungen gezeigten abweichen. Siehe Router-Schnittstellen-Übersichtstabelle am Ende dieser Übung für die richtigen Schnittstellenkennungen.
Hinweis: Stellen Sie sicher, dass die Router und Switche gelöscht wurden und keine Startkonfigurationen vorhanden sind. Wenn Sie unsicher sind, wenden Sie sich an Ihren Instruktor.
Erforderliche Ressourcen
1 Router (Cisco 1941 mit Cisco IOS Release 15.2(4)M3 universal image oder vergleichbar)
1 Switch (Cisco 2960 mit Cisco IOS Release 15.0(2) lanbasek9 image oder vergleichbar)
1 PC (Windows 7, Vista oder XP mit Terminalemulationsprogramm wie Tera Term und installiertem
Wireshark)
Konsolenkabel zum Konfigurieren der Cisco IOS-Geräte über die Konsolenports
Ethernet-Kabel wie in der Topologie gezeigt
Part 1: Konfigurieren von Gerätegrundeinstellungen
In Teil 1 richten Sie die Netzwerktopologie ein und konfigurieren Grundeinstellungen wie Schnittstellen-IP-Adressen, Gerätezugang und Kennwörter auf dem Router.
Step 1: Das Netzwerk mit der gezeigten Topologie verkabeln.
Step 2: Router und Switch initialisieren und neu laden
Step 3: Router konfigurieren
a. Richten Sie eine Konsolenverbindung zum Router ein und aktivieren Sie den privilegierten EXEC-Modus.
b. Aktivieren Sie den Konfigurationsmodus.
c. Deaktivieren Sie DNS-Lookup, um zu verhindern, dass der Router nicht richtig eingegebene Befehle so aufzulösen versucht, als ob sie Hostnamen wären.
d. Weisen Sie class als das verschlüsselte privilegierte EXEC-Kennwort zu.
e. Weisen Sie cisco als das Konsolen-Kennwort zu und aktivieren Sie login.
f. Weisen Sie cisco als das vty-Kennwort zu und aktivieren Sie login.
g. Verschlüsseln Sie die Klartextpasswörter.
h. Erstellen Sie ein Banner, das jedem, der auf das Gerät zugreifen will, mitteilt, dass unbefugter Zugriff verboten ist.
i. Konfigurieren und aktivieren Sie die Schnittstelle G0/1 des Routers mit den Informationen, die in der Adressierungstabelle enthalten sind.
j. Speichern Sie die aktuelle Konfiguration in der Startkonfigurationsdatei.
Step 4: PC-A konfigurieren
a. Konfigurieren Sie PC-A mit einer IP-Adresse und einer Subnetzmaske.
b. Konfigurieren Sie ein Default Gateway für PC-A.
Übung - Zugriff auf Netzwerkgeräte mit SSH
© 2013 Cisco und / oder ihre Tochtergesellschaften. Alle Rechte vorbehalten. Dieses Dokument ist eine öffentlich zugängliche Information von Cisco. Seite 3 von 12
Step 5: Netzwerkkonnektivität überprüfen
Senden Sie einen Ping an R1 von PC-A aus. Wenn der Ping-Test fehlschlägt, suchen Sie den Fehler in der Verbindung.
Part 2: Konfigurieren des Routers für den SSH-Zugriff
Die Verwendung von Telnet für die Verbindung zu einem Netzwerkgerät stellt ein Sicherheitsrisiko dar, da alle Informationen in einem reinen Textformat übertragen werden. SSH verschlüsselt die Sitzungsdaten und bietet Geräteauthentifizierung, weshalb SSH für Fernverbindungen zu empfehlen ist. In Teil 2 werden Sie den Router so konfigurieren, dass er SSH-Verbindungen über die VTY-Leitungen akzeptiert.
Step 1: Geräteauthentifizierung konfigurieren
Gerätename und Domäne werden beim Generieren der Verschlüsselung als deren Teil verwendet. Deshalb müssen diese Namen eingegeben werden, bevor der Befehl crypto key angewendet wird.
a. Konfigurieren Sie den Gerätenamen.
Router(config)# hostname R1
b. Konfigurieren Sie die Domäne für das Gerät.
R1(config)# ip domain-name ccna-lab.com
Step 2: Konfigurieren Sie die Verschlüsselungsmethode.
R1(config)# crypto key generate rsa modulus 1024
The name for the keys will be: R1.ccna-lab.com
% The key modulus size is 1024 bits
% Generating 1024 bit RSA keys, keys will be non-exportable...
[OK] (elapsed time was 1 seconds)
R1(config)#
*Jan 28 21:09:29.867: %SSH-5-ENABLED: SSH 1.99 has been enabled
Step 3: Konfigurieren Sie einen lokalen Datenbankbenutzernamen.
R1(config)# username admin privilege 15 secret adminpass
R1(config)#
*Feb 6 23:24:43.971: End->Password:QHjxdsVkjtoP7VxKIcPsLdTiMIvyLkyjT1HbmYxZigc
R1(config)#
Hinweis: Ein Privilege Level 15 erteilt dem Benutzer Administratorrechte.
Step 4: SSH auf den VTY-Leitungen aktivieren
a. Aktivieren Sie Telnet und SSH auf den ankommenden VTY-Leitungen mit dem Befehl transport input.
R1(config)# line vty 0 4
R1(config-line)# transport input telnet ssh
b. Ändern Sie das Anmeldeverfahren, um die lokale Datenbank zur Benutzerüberprüfung zu verwenden.
R1(config-line)# login local
R1(config-line)# end
R1#
Übung - Zugriff auf Netzwerkgeräte mit SSH
© 2013 Cisco und / oder ihre Tochtergesellschaften. Alle Rechte vorbehalten. Dieses Dokument ist eine öffentlich zugängliche Information von Cisco. Seite 4 von 12
Step 5: Speichern Sie die aktuelle Konfiguration in der Startkonfigurationsdatei
R1# copy running-config startup-config
Destination filename [startup-config]?
Building configuration...
[OK]
R1#
Part 3: Untersuchen einer Telnet-Sitzung mit Wireshark
In Teil 3 verwenden Sie Wireshark zum Erfassen und Anzeigen der übertragenen Daten einer Telnet-Sitzung auf dem Router. Sie verwenden Tera Term für die Telnet-Verbindung mit R1, melden sich an und geben dann den Befehl show run auf dem Router ein.
Hinweis: Falls kein Telnet/SSH-Client-Softwarepaket auf Ihrem PC vorhanden ist, müssen Sie es jetzt installieren, bevor Sie weitermachen. Zwei weitverbreitete kostenlose Telnet/SSH-Pakete sind Tera Term (http://download.cnet.com/Tera-Term/3000-20432_4-75766675.html) und PuTTy (www.putty.org).
Hinweis: Telnet ist von der Befehlseingabeaufforderung in Windows 7 standardmäßig nicht zulässig. Zum Aktivieren von Telnet für die Verwendung im Befehlseingabefenster klicken Sie auf Start > Systemsteuerung > Programme > Programme und Funktionen > Windows-Funktionen ein- oder ausschalten. Klicken Sie auf das Kontrollkästchen Telnet Client und dann auf OK.
Step 1: Wireshark öffnen und Erfassen von Daten auf der LAN-Schnittstelle starten
Hinweis: Falls Sie das Erfassen von Daten auf der LAN-Schnittstelle nicht starten können, müssen Sie möglicherweise Wireshark öffnen mit der Option Als Administrator ausführen.
Step 2: Eine Telnet-Sitzung zum Router beginnen.
a. Öffnen Sie Tera Term, wählen Sie den Service Telnet und geben Sie im Feld Host 192.168.1.1 ein.
Was ist der TCP-Standardport für Telnet-Sitzungen? _________________
b. Geben Sie als Benutzer admin und als Kennwort adminpass ein. Die entsprechenden Eingabeaufforderungen werden generiert, da Sie die VTY-Leitungen mit dem Befehl login local konfiguriert haben, die lokale Datenbank zu verwenden.
Übung - Zugriff auf Netzwerkgeräte mit SSH
© 2013 Cisco und / oder ihre Tochtergesellschaften. Alle Rechte vorbehalten. Dieses Dokument ist eine öffentlich zugängliche Information von Cisco. Seite 5 von 12
c. Geben Sie den Befehl show run ein.
R1# show run
d. Geben Sie exit ein, um die Telnet-Sitzung zu beenden und Tera Term zu verlassen.
R1# exit
Step 3: Aufzeichnung mit Wireshark stoppen
Step 4: Einen Telnet-Filter auf die mit Wireshark erfassten Daten anwenden
Step 5: Die Funktion Follow TCP Stream in Wireshark zum Anzeigen der Telnet-Sitzung
verwenden
a. Klicken Sie mit der rechten Maustaste auf die Telnet-Zeilen im Abschnitt Packet list von Wireshark und wählen Sie in der Drop-down-Liste Follow TCP Stream.
Übung - Zugriff auf Netzwerkgeräte mit SSH
© 2013 Cisco und / oder ihre Tochtergesellschaften. Alle Rechte vorbehalten. Dieses Dokument ist eine öffentlich zugängliche Information von Cisco. Seite 6 von 12
b. Das Fenster Follow TCP Stream zeigt die Daten für Ihre Telnet-Sitzung mit dem Router. Die gesamte Sitzung wird im Klartext angezeigt, einschließlich Kennwort. Beachten Sie, dass der von Ihnen eingegebene Benutzername und der Befehl show run mit verdoppelten Zeichen angezeigt werden. Das wird durch die Echo-Einstellung in Telnet verursacht, die Ihnen ermöglicht, die Zeichen, die Sie eingeben, auf dem Bildschirm zu sehen.
c. Nachdem Sie Ihre Telnet-Sitzung in dem Fenster Follow TCP Stream geprüft haben, klicken Sie auf Close.
Part 4: Untersuchen einer SSH-Sitzung mit Wireshark
In Teil 4 verwenden Sie die Software Tera Term zum Einrichten einer SSH-Sitzung mit dem Router. Wireshark wird zum Aufzeichnen und Anzeigen der Daten dieser SSH-Sitzung verwendet.
Step 1: Wireshark öffnen und Erfassen von Daten auf der LAN-Schnittstelle starten
Step 2: Eine SSH-Sitzung auf dem Router starten
a. Öffnen Sie Tera Term und geben Sie die IP-Adresse der Schnittstelle G0/1 von R1 im Feld Host: des Fensters Tera Term: New Connection ein. Stellen Sie sicher, dass das Optionsfeld SSH gewählt ist und klicken Sie dann auf OK, um die Verbindung zum Router herzustellen.
Übung - Zugriff auf Netzwerkgeräte mit SSH
© 2013 Cisco und / oder ihre Tochtergesellschaften. Alle Rechte vorbehalten. Dieses Dokument ist eine öffentlich zugängliche Information von Cisco. Seite 7 von 12
Was ist der TCP-Standardport für SSH-Sitzungen? __________________
b. Das erste Mal, wenn Sie eine SSH-Sitzung zu einem Gerät einrichten, wird eine Sicherheitswarnung SECURITY WARNING generiert, die Ihnen mitteilt, dass Sie bisher noch keine Verbindung zu diesem Gerät eingerichtet hatten. Diese Meldung ist Teil des Authentifizierungsprozesses. Lesen Sie die Sicherheitswarnung und klicken Sie dann auf Continue.
c. Im Fenster SSH Authentication geben Sie admin als Benutzername und adminpass als Passphrase ein. Klicken Sie auf OK, um sich auf dem Router anzumelden.
Übung - Zugriff auf Netzwerkgeräte mit SSH
© 2013 Cisco und / oder ihre Tochtergesellschaften. Alle Rechte vorbehalten. Dieses Dokument ist eine öffentlich zugängliche Information von Cisco. Seite 8 von 12
d. Sie haben eine SSH-Sitzung auf dem Server eingerichtet. Das Programm Tera Term sieht ähnlich aus wie ein Befehlsfenster. Geben Sie an der Eingabeaufforderung den Befehl show run ein.
e. Beenden Sie die SSH-Sitzung und verlassen Sie Tera Term mit dem Befehl exit.
R1# exit
Step 3: Aufzeichnung mit Wireshark stoppen
Step 4: Einen SSH-Filter auf die mit Wireshark erfassten Daten anwenden
Übung - Zugriff auf Netzwerkgeräte mit SSH
© 2013 Cisco und / oder ihre Tochtergesellschaften. Alle Rechte vorbehalten. Dieses Dokument ist eine öffentlich zugängliche Information von Cisco. Seite 9 von 12
Step 5: Die Funktion Follow TCP Stream in Wireshark zum Anzeigen der Telnet-Sitzung
verwenden
a. Klicken Sie mit der rechten Maustaste auf die SSH-Zeilen im Abschnitt Packet list von Wireshark und wählen Sie in der Drop-down-Liste Follow TCP Stream.
b. Untersuchen Sie das Fenster Follow TCP Stream Ihrer SSH-Sitzung. Die Daten wurden verschlüsselt und sind nicht lesbar. Vergleichen Sie die Daten in Ihrer SSH-Sitzung mit den Daten Ihrer Telnet-Sitzung.
Warum wird SSH gegenüber Telnet für Remote-Verbindungen bevorzugt?
____________________________________________________________________________________
____________________________________________________________________________________
c. Nach Überprüfen Ihrer SSH-Sitzung klicken Sie auf Close.
d. Schließen Sie das Programm Wireshark.
Part 5: Konfigurieren des Switches für den SSH-Zugriff
In Teil 5 konfigurieren Sie den Switch in der Topologie so, dass er SSH-Verbindungen zulässt. Sobald der Switch konfiguriert worden ist, richten Sie darauf eine SSH-Sitzung mit Tera Term ein.
Übung - Zugriff auf Netzwerkgeräte mit SSH
© 2013 Cisco und / oder ihre Tochtergesellschaften. Alle Rechte vorbehalten. Dieses Dokument ist eine öffentlich zugängliche Information von Cisco. Seite 10 von 12
Step 1: Grundeinstellungen am Switch konfigurieren
Step 2: Switch für SSH-Verbindung konfigurieren
Verwenden Sie die gleichen Befehle, die Sie zum Konfigurieren von SSH auf dem Router in Teil 2 verwendeten, um SSH für den Switch zu konfigurieren.
Step 3: SSH-Verbindung zum Switch herstellen
Starten Sie Tera Term von PC-A aus und stellen Sie dann eine SSH-Verbindung zu der Schnittstelle SVI von S1 her.
Step 4: Bei Bedarf Fehler beheben
Können Sie eine SSH-Sitzung mit dem Switch herstellen?
_______________________________________________________________________________________
Part 6: SSH vom CLI auf dem Switch
Der SSH-Client ist im Cisco IOS integriert und kann vom CLI aus gestartet werden. In Teil 6 werden Sie eine SSH-Verbindung zum Router vom CLI auf dem Switch herstellen.
Step 1: Parameter ansehen, die für den Cisco IOS-SSH-Client verfügbar sind
Verwenden Sie das Fragezeichen (?), um die verfügbaren Parameteroptionen für den Befehl ssh anzuzeigen.
S1# ssh ?
-c Wählt Verschlüsselungsalgorithmus
-l Anmelden mit diesem Benutzernamen
-m Wählt HMAC-Algorithmus
-o Spezifiziert Optionen
-p Verbindet mit diesem Port
-v Spezifiziert SSH-Protokollversion
-vrf Spezifiziert vrf-Namen
WORD IP-Adresse oder Host-Name eines Remote-Systems
Step 2: SSH-Verbindung zum Router R1 von S1 aus herstellen
a. Sie müssen die Option –l admin verwenden, um eine SSH-Verbindung zu R1 herzustellen. Das ermöglicht die Anmeldung als Benutzer admin. Geben Sie auf Aufforderung adminpass für das Kennwort ein.
S1# ssh -l admin 192.168.1.1
Password:
***********************************************
Warning: Unauthorized Access is Prohibited!
***********************************************
R1#
b. Sie können zu S1 zurückkehren, ohne dass Sie Ihre SSH-Sitzung zu R1 schließen, indem Sie Ctrl+Shift+6 drücken. Lassen Sie die Tasten Ctrl+Shift+6 wieder los und drücken Sie x. Sie sollten die privilegierte EXEC-Eingabeaufforderungsanzeige des Switches sehen.
Übung - Zugriff auf Netzwerkgeräte mit SSH
© 2013 Cisco und / oder ihre Tochtergesellschaften. Alle Rechte vorbehalten. Dieses Dokument ist eine öffentlich zugängliche Information von Cisco. Seite 11 von 12
R1#
S1#
c. Zur Rückkehr zur SSH-Sitzung auf R1 drücken Sie die Eingabetaste in einer leeren CLI-Zeile. Sie müssen die Eingabetaste möglicherweise ein zweites Mal drücken, damit Sie die CLI-Eingabeaufforderung des Routers sehen.
S1#
[Resuming connection 1 to 192.168.1.1 ... ]
R1#
d. Zum Beenden der SSH-Sitzung auf R1 geben Sie exit an der Router-Eingabeaufforderung ein.
R1# exit
[Connection to 192.168.1.1 closed by foreign host]
S1#
Welche Versionen von SSH werden vom CLI unterstützt?
_______________________________________________________________________________________
_______________________________________________________________________________________
Reflexion
Wie würden Sie mehreren Benutzern jeweils mit einem eigenen Benutzernamen Zugriff auf ein Netzwerkgerät gewähren?
_______________________________________________________________________________________
_______________________________________________________________________________________
_______________________________________________________________________________________
_______________________________________________________________________________________
Übung - Zugriff auf Netzwerkgeräte mit SSH
© 2013 Cisco und / oder ihre Tochtergesellschaften. Alle Rechte vorbehalten. Dieses Dokument ist eine öffentlich zugängliche Information von Cisco. Seite 12 von 12
Übersichtstabelle Router-Schnittstellen
Übersicht der Router-Schnittstellen
Router-
Modell
Ethernet-
Schnittstelle #1
Ethernet-
Schnittstelle #2
Serielle
Schnittstelle #1
Serielle
Schnittstelle #2
1800 Fast Ethernet 0/0 (F0/0)
Fast Ethernet 0/1 (F0/1)
Serial 0/0/0 (S0/0/0) Serial 0/0/1 (S0/0/1)
1900 Gigabit Ethernet 0/0 (G0/0)
Gigabit Ethernet 0/1 (G0/1)
Serial 0/0/0 (S0/0/0) Serial 0/0/1 (S0/0/1)
2801 Fast Ethernet 0/0 (F0/0)
Fast Ethernet 0/1 (F0/1)
Serial 0/1/0 (S0/1/0) Serial 0/1/1 (S0/1/1)
2811 Fast Ethernet 0/0 (F0/0)
Fast Ethernet 0/1 (F0/1)
Serial 0/0/0 (S0/0/0) Serial 0/0/1 (S0/0/1)
2900 Gigabit Ethernet 0/0 (G0/0)
Gigabit Ethernet 0/1 (G0/1)
Serial 0/0/0 (S0/0/0) Serial 0/0/1 (S0/0/1)
Hinweis: Um herauszufinden, wie der Router konfiguriert ist, schauen Sie auf die Schnittstellen, um den Routertyp zu bestimmen und wie viele Schnittstellen der Router hat. Es können jedoch nicht alle Konfigurationskombinationen für jede Routerklasse aufgeführt werden. Diese Tabelle enthält Kennungen für die möglichen Kombinationen von Ethernet- und seriellen Schnittstellen im Gerät. Die Tabelle enthält keine anderen Schnittstellentypen, obwohl bestimmte Router diese umfassen können. Ein Beispiel dafür ist die Schnittstelle ISDN BRI. Die Zeichenfolge in Klammern ist die Abkürzung, die in einem IOS-Befehl zur Angabe der Schnittstelle verwendet werden kann.