Real New Page Bijlage 3 Sjabloon Testrapport – Variant 1                                                               Inleiding   De beheeractiviteiten zijn in drie delen gecategoriseerd. Om de beheeractiviteiten uit te voeren zijn de volgende tools ter beschikking gesteld.   Tool- ID Tool Symbool Ti-1 Testhost (pc of laptop) Ti-2 Testserver Ti-3 Testrouter Ti-4 Testswitch Ti-5 Test-MLS Ti-6 Device CLI Device> _ Ti-7 Device GUI Ti-8 Sniffer       1a Inventarisatie (LLDP)   Log via SSH in op de devices zoals in de tabel is weergegeven. Vraag via LLDP de neighbour-gegevens op en noteer die in de tabel.   Device IP-adres Interface Verbonden met Device Interface Trunk/ Access Core 172.30.0.2 G3/1 MLS G1/0/2 Trunk G0/1 AS3 G0/1 Trunk G1/1 AS2 G0/1 Trunk G2/1 AS1 G0/1 Trunk DMZ 10.20.02 G0/0/1 SW-Backbone Fa0/1 Access Edge 10.0.0.2 G0/0/0 MLS G1/0/1 Trunk G0/0/1 SW-Backbone Fa0/2 Access     1b Inventarisatie (Netwerktekening)   Maak een netwerktekening van   de backbone-infrastructuur aan de hand van de tabel en plaats die op de volgende bladzijde. Benoem in de tekening:   · De servers in het serverdomein ( Intranet, FTP, NTP/Syslog, DHCP, DNS ) · De routers en switches in de infrastructuur-backbone ( Core, MLS, DMZ, SW-Backbone, Edge ) · Noteer bij alle verbindingen de transmissiesnelheid.   Voorbeeld: 2 Controleactiviteiten   Beheeractiviteit C2.08 Controle Er is een wachtwoord geconfigureerd voor console-toegang. Devices Voer de controles uit op de volgende devices: Core, DMZ, Edge, MLS, AS1     Gekozen tool(s) Device CLI Uitvoering Ik ssh naar de devices toe: Core, DMZ, Edge, MLS en AS1 en ik kijk in de running config of er een login/wachtwoord is ingesteld voor de console, aux en vty lines. CMD’s: “enable” “sh run” Verwacht resultaat Ik verwacht dat er overal authenticatie is ingesteld.   Afwijkingen DMZ heeft geen login ingesteld voor de aux line. Edge heeft geen login ingesteld voor de aux line. MLS heeft geen login ingesteld voor de aux line.   Impact/risico 3 Advies Nu is het mogelijk om via de aux lines met de switch te verbinden zonder in te hoeven loggen.   De aux lines dichtzetten/weghalen of login erop instellen.     Beheeractiviteit C2.06 Controle De wachtwoorden zijn versleuteld opgeslagen. Devices Voer de controles uit op de volgende devices: Core, DMZ, Edge, MLS, AS1     Gekozen tool(s) Device CLI Uitvoering Ik ssh naar de devices toe: Core, DMZ, Edge, MLS en AS1 en ik kijk in de running config of de enable en user gegevens en eventueel de ftp gegevens encrypted zijn. Dit kan ik zien doordat het wachtwoord er niet direct staat. CMD’s: “enable” “sh run” Verwacht resultaat Ik verwacht dat deze overal encrypted zijn.   Afwijkingen Core heeft “no service password-encryption” in de config. Waardoor nieuwe wachtwooren niet automatisch encrypted zijn. Alle devices: Core, DMZ, Edge, MLS en AS1 hebben een plaintext ftp-wachtwoord erin staan.     Impact/risico 3 Advies Het is nu mogelijk om een switch in recovery te starten en zo de ftp gegevens te krijgen en zo dus toegang te krijgen tot alles wat daarop staat. En voor Core is het mogelijk als er een wachtwoord aangepast wordt dat deze zichtbaar blijft.   Op de core raad ik aan om “service password-encryption” uit te voeren waardoor de huidige en toekomstige wachtwoorden encrypted zijn.   Voor het ftp wachtwoord kan je op alle devices opnieuw “ip ftp password 7 (je wachtwoord)” uitvoeren om die ook encrypted op te slaan.     3 Testactiviteiten   Beheeractiviteit T4.01 Toelichting Dataverkeer tussen de VLAN’s is niet mogelijk door geconfigureerde ACL’s in de MLS.     Gekozen tool(s) Testserver en de Device CLI Uitvoering Ik plaats een test server op elke vlan en zet hem dan op dhcp. Dan ga ik op elke test server kijken bij welke andere test servers ik kan komen. Door met ping/traceroute te kijken of ik reactie krijg   Verwacht resultaat Dat er geen dataverkeer mogelijk is tussen de VLAN’s   Afwijkingen geen Impact/risico 0 Advies geen     New Page