New Page

Bijlage 3

Sjabloon Testrapport – Variant 1

Inleiding

De beheeractiviteiten zijn in drie delen gecategoriseerd.

Om de beheeractiviteiten uit te voeren zijn de volgende tools ter beschikking gesteld.

Tool- ID	Tool	Symbool
Ti-1	Testhost (pc of laptop)
Ti-2	Testserver
Ti-3	Testrouter
Ti-4	Testswitch
Ti-5	Test-MLS
Ti-6	Device CLI	Device> _
Ti-7	Device GUI
Ti-8	Sniffer

1a Inventarisatie (LLDP)

Log via SSH in op de devices zoals in de tabel is weergegeven. Vraag via LLDP de neighbour-gegevens op en noteer die in de tabel.

Device	IP-adres	Interface	Verbonden met
Device	IP-adres	Interface	*Device*	*Interface*	*Trunk/ Access*
Core	172.30.0.2	G3/1	MLS	G1/0/2	Trunk
		G0/1	AS3	G0/1	Trunk
		G1/1	AS2	G0/1	Trunk
		G2/1	AS1	G0/1	Trunk
DMZ	10.20.02	G0/0/1	SW-Backbone	Fa0/1	Access
Edge	10.0.0.2	G0/0/0	MLS	G1/0/1	Trunk
Edge	10.0.0.2	G0/0/1	SW-Backbone	Fa0/2	Access

1b Inventarisatie (Netwerktekening)

Maak een netwerktekening van de backbone-infrastructuur aan de hand van de tabel en plaats die op de volgende bladzijde. Benoem in de tekening:

· De servers in het serverdomein (Intranet, FTP, NTP/Syslog, DHCP, DNS)

· De routers en switches in de infrastructuur-backbone (Core, MLS, DMZ, SW-Backbone, Edge)

· Noteer bij alle verbindingen de transmissiesnelheid.

Voorbeeld:

2 Controleactiviteiten

Beheeractiviteit

C2.08

Controle

Er is een wachtwoord geconfigureerd voor console-toegang.

Devices

Voer de controles uit op de volgende devices:

Core, DMZ, Edge, MLS, AS1

Gekozen tool(s)

Device CLI

Uitvoering

Ik ssh naar de devices toe: Core, DMZ, Edge, MLS en AS1 en ik kijk in de running config of er een login/wachtwoord is ingesteld voor de console, aux en vty lines.

CMD’s: “enable” “sh run”

Verwacht resultaat

Ik verwacht dat er overal authenticatie is ingesteld.

Afwijkingen

DMZ heeft geen login ingesteld voor de aux line.

Edge heeft geen login ingesteld voor de aux line.

MLS heeft geen login ingesteld voor de aux line.

Impact/risico

Advies

Nu is het mogelijk om via de aux lines met de switch te verbinden zonder in te hoeven loggen.

De aux lines dichtzetten/weghalen of login erop instellen.

Beheeractiviteit

C2.06

Controle

De wachtwoorden zijn versleuteld opgeslagen.

Devices

Voer de controles uit op de volgende devices:

Core, DMZ, Edge, MLS, AS1

Gekozen tool(s)

Device CLI

Uitvoering

Ik ssh naar de devices toe: Core, DMZ, Edge, MLS en AS1 en ik kijk in de running config of de enable en user gegevens en eventueel de ftp gegevens encrypted zijn. Dit kan ik zien doordat het wachtwoord er niet direct staat.

CMD’s: “enable” “sh run”

Verwacht resultaat

Ik verwacht dat deze overal encrypted zijn.

Afwijkingen

Core heeft “no service password-encryption” in de config. Waardoor nieuwe wachtwooren niet automatisch encrypted zijn.

Alle devices: Core, DMZ, Edge, MLS en AS1 hebben een plaintext ftp-wachtwoord erin staan.

Impact/risico

Advies

Het is nu mogelijk om een switch in recovery te starten en zo de ftp gegevens te krijgen en zo dus toegang te krijgen tot alles wat daarop staat. En voor Core is het mogelijk als er een wachtwoord aangepast wordt dat deze zichtbaar blijft.

Op de core raad ik aan om “service password-encryption” uit te voeren waardoor de huidige en toekomstige wachtwoorden encrypted zijn.

Voor het ftp wachtwoord kan je op alle devices opnieuw “ip ftp password 7 (je wachtwoord)” uitvoeren om die ook encrypted op te slaan.

3 Testactiviteiten

Beheeractiviteit	T4.01
Toelichting	Dataverkeer tussen de VLAN’s is niet mogelijk door geconfigureerde ACL’s in de MLS.

Gekozen tool(s)

Testserver en de Device CLI

Uitvoering

Ik plaats een test server op elke vlan en zet hem dan op dhcp. Dan ga ik op elke test server kijken bij welke andere test servers ik kan komen. Door met ping/traceroute te kijken of ik reactie krijg

Verwacht resultaat

Dat er geen dataverkeer mogelijk is tussen de VLAN’s

Afwijkingen	geen
Impact/risico	0
Advies	geen