1

ROUTER&CISCO SYSTEMS

Realizzato da:

DIEGO RADICA Matr.056/102057

A.A. 2002/2003

INTRODUZIONE

Una rete a commutazione di messaggi è composta interamente da elementi con funzione di mirror che sono device denominati router, bridge e switch.

Il Router serve a collegare una rete di PC ad un'altra LAN o ad Internet mediante un collegamento di tipo LAN/ISDN/ADSL.

FUNZIONI ROUTER

Le funzioni principali dei router sono:

Ø Commutazione del traffico

ØDNS (Domain Name Service)

Ø Mantenimento dell’ambiente e memorizzare le relative valutazioni nella tabella di routing

TABELLE DI ROUTING

Le tabelle di routing includono: • serie di indirizzi esistenti sulla rete (Destin. Address);• la porta verso cui inoltrare il pacchetto (interface) ;• i dati necessari per acquisire un messaggio su un router più vicino alla destinazione (Hops);• i dati di routing (la metrica, una misura amministrativa del tempo o della distanza), e diversi contrassegni temporali.

COS’ E’ UN ROUTER

Sono dispositivi atti alla connessione tra vari host di una LAN ad altre reti (LAN, WAN, INTERNET)

I ROUTER possono essere

HARDWARESOFTWARE

ROUTER SOFTWARE

Talvolta denominati gateway, sono programmi gestiscono il traffico tra calcolatori e le connessioni tra LAN.

2

ROUTER HARDWAREUn router hardware è un computer a tutti gli effetti ed è composta dai seguenti elementi:

• un processore (CPU);• vari tipi di memoria, le quali vengono utilizzate per immagazzinare le informazioni;• un sistema operativo;• varie porte ed interfacce per connettersi a dispositivi periferici e per comunicare con altri computer.

CISCO SYSTEMS

Cisco Systems è conosciuta come la Regina di Internet, è una delle più grandi multinazionali del mondo, è leader nel settore tecnologico per le infrastrutture e i servizi di rete.

• fondata da un gruppo di scienziati della StanfordUniversity nel 1984;

• ha sede negli Stati Uniti, nel cuore della Silicon Valley;

• ad oggi controlla più dell'80% del mercato dei router;

• Migliaia di società private, service provider, enti governativi, sia in Italia che nel mondo, basano le loro infrastrutture di rete sulle soluzioni Cisco Systems.

CISCO IN ITALIA

• Cisco Systems è presente in Italia dal 1994;

• partecipa attivamente allo sviluppo tecnologico del nostro Paese;

• Cisco Systems Italy investe nella formazione di figure, lanciando programmi di studio, Networking Academy.

PRODOTTI CISCO(1)

Cisco dispone di una larga vasta di prodotti, sempre in aggiornamento.

Tra le varie serie menzioniamo:

• Sicurezza estesa;• Bassi costi di esercizio;• Affidabilità;• VPN;• Cisco IOS®, il software su misura per le piccole aziende.

SERIE 800

PRODOTTI CISCO(2)

• connette Ethernet LANs a WANs via ISDN;• connessioni seriali sincrone e asincrone;• supporta il Frame Relay, Switched 56, Switched Multimegabit Data Service(SMDS), e X.25.

• Integrazione multifunzione fonia/dati; • Accesso VPN (Virtual Private Network) con opzioni di firewall; • Servizi di accesso su chiamata analogici e digitali;• Instradamento con gestione dell'ampiezza di banda.

Serie 1600

Serie 2600 — Router modulare multifunzione

CERTIFICAZIONI CISCO(1)Cisco mette a dispone delle aziende corsi per far conseguire ai propri dipendenti certificazioni.Sostanzialmente le certificazioni Cisco seguono due rami e hanno durata prestabilita:

Installazione di Reti e Supporto Clienti

Progettazione e Ingegnerizzazionedi Reti

3

INSTALLAZIONE DI RETI E SUPPORTO CLIENTI(1)

CCNAE' senz'altro la certificazione da cui cominciare. Copre una serie di conoscenze di base sul networking e qualcosa anche più in particolare sugli apparati Cisco.

Bisogna avere conoscenze di:• subnetting;• protocolli di routing;• conoscenza almeno di base dell'interfaccia IOS Cisco;• concetti sullo switching (di rete locale).

INSTALLAZIONE DI RETI E SUPPORTO CLIENTI(2)

CCNPSecondo livello di certificazione del ramo, presuppone la CCNA.

La certificazione CCNP può essere conseguita superando separatamente quattro esami:

• Routing;• Switching;• Remote Access e Support.

INSTALLAZIONE DI RETI E SUPPORTO CLIENTI(3)

CCIEUltima e più importante certificazione Cisco per entrambi i rami.

Chi possiede questa certificazione ha una conoscenza approfondita dei prodotti Cisco. La certificazione prevede un esame pratico di laboratorio.

Diversi sono i corsi consigliati.

PROGETTAZIONE E INGEGNERIZZAZIONE DI RETI(1)

CCDACertificazione di base nel ramo progettazione e ingegnerizzazione di reti.

Bisogna avere conoscenze di base sulla progettazione di reti Cisco. Il corso su cui si basa la certificazione è il DCN.

PROGETTAZIONE E INGEGNERIZZAZIONE DI RETI(2)

CCDPE' il secondo livello di certificazione per chi si occupa di progettazione di reti.

Tre dei test necessari a raggiungere la certificazione sono gli stessi della certificazione CCNP:

• Routing;• Switching e Remote Access.

In più è necessario superare l'esame di Design. I rispettivi corsi sono:

• BSCN;• BCMSN;• BCRAN e CID.

COMPONENTI DI UN ROUTER CISCO(1)

Le Interfacce di rete sono le connessioni di rete sulla scheda madre del router, e sono:1) AUI: interfaccia Ethernet di tipo AUI (attachment unit interface); 2) 10BaseT: interfaccia Ethernet, 10BaseT; 3) SERIALE: interfaccia seriale sincrona (da collegare, con apposito cavo proprietario, a modem sincroni con interfaccia V.35); 4) BRI: interfaccia verso un accesso base ISDN; 5) ATM: interfaccia ATM, in fibra oppure in rame.

4

COMPONENTI DI UN ROUTER CISCO(2)

FLASH: memoria di tipo "permanente", nella quale si trova il sistema operativo IOS. Nella memoria Flash possono essere salvate diverse versioni dell‘IOS

RAM (memoria "volatile"): Si trova la configurazione "corrente" del router e le variabili temporanee necessarie al router per il suo funzionamento

NVRAM (non volatile RAM): preserva la configurazione utile allo startup e al backup. Non viene persa in caso di spegnimento del router

COMPONENTI DI UN ROUTER CISCO(3)

AUSILIARIA: porta seriale asincrona RS232 usata per il collegamento di altre periferiche. E' utilizzata spesso per la configurazione remota

CONSOLE: interfaccia seriale usata per il collegamento ad un terminale seriale

INTERFACCE : sono le connessioni di rete sulla scheda madre del router, attraverso le quale i pacchetti entrano ed escono

ROM: memoria nella quale si trova il software di diagnostica e il software di base del router

GESTIONE E LAVORO DELLA RAM

L’IOS è immagazzinato nella FLASH e viene caricato nella memoria principale ogni volta che il router si inizializza.

Il sistema operativo è strutturato in modo da eseguire delle operazioni che gestiscono dei task associati con differenti protocolli:

• spostamento dei dati;• gestione delle tabelle e dei buffer;• aggiornamenti degli instradamenti ;• esecuzione dei comandi utente.

ROUTER CISCO 827

Il router ADSL (AsymetricDigital Subscriber Line) Cisco 827 è dedicato al cosiddetto mercato SOHO (small office home office)

Le caratteristiche del router Cisco 827 sono le seguenti:- Gestibilità di Cisco IOS, comprese le funzioni interattive di diagnostica e debug;- Interfaccia CLI (Command Line Interface) di Cisco IOS;- Affidabilità comprovata(ACL, GRE, FIREWALL, VPN);- Supporto traduzione NAT.

ALCUNE CARATTERISTICHE

Memory/ Flash - 12 MB ( installed) / 20 MB (max) - flashAnalog Ports Qty/ Digital Ports Qty- 1

Memory/ RAM - 16 MB ( installed) / 32 MB (max)Network / Transport Protocol - IPX/SPX

Digital Signaling Protocol - ADSLRemote Management Protocol - SNMP, HTTP; Switching Protocol - Ethernet

Features - Cisco IOSCompliant Standards - IEEE 802.3-LAN, ANSI T1.413; ConnectivityTechnology- Cable

Data Transfer Rate - 10 Mbps; Data Link Protocol - EthernetDevice Type – Router; Processor - 1 x Motorola 50 MHz RISC

Porte/Connettori (1) RJ-45 port for 10BaseT Ethernet; (1) ADSL interface

MemorieDefault DRAM1 Memory - 16 MB; Maximum DRAM Memory- 32 MBDefault Flash2 Memory- 12 MB; Maximum Flash Memory- 20 MB

Software:MemoryRequirements for Cisco 827 IOS Feature Sets:

IP: 12 MB Flash, 16 MB DRAM; IP Plus: 12 MB Flash, 16 MB DRAMIP/IPX/Plus: 12 MB Flash, 20 MB DRAM; IP Firewall: 12 MB Flash, 20 MB DRAM

IP Firewall Plus: 12 MB Flash, 20 MB DRAM;VPN IPX Feature Set: IP/IPX/Plus/Firewall/IPSec 3DES: 12 MB Flash, 20 MB DRAM

VPN Feature Set: IP/Plus Firewall IPSec 56-bit DES: 12 MB Flash, 20 MB DRAM

SIGNIFICATO LEDSul fronte del router Cisco 827 sono presenti diversi led con il seguente significato:

5

COLLEGAMENTI CISCO 827

Porta gialla: cavo Ethernet(si usa il cavo streight sia per i collegamenti diretti al pcche per quelli ad una altro apparato

Porta azzurra: cavo console (roll over)

Porta bianca: cavo telefonico

ACCESSO AL ROUTER(1)

Se il router non è ancora dotato di un indirizzo IP, la configurazione iniziale va effettuata connettendosi tramite un cavo seriale alla sua porta console.

E’ sufficiente utilizzare un PC dotato di un programma di emulazione di terminale (ad esempio Hyper Terminal).

ACCESSO AL ROUTER(2)Se il router è già dotato di un suo indirizzo IP, in quanto già configurato, è possibile raggiungerlo tramite una sessione Telnet.

MODALITA’ DI ACCESSO(1)

Quando ci colleghiamo al nostro router in modalità terminale (Hyper Terminal o Telnet) abbiamo a disposizione diverse modalità che permettono diverse funzionalità.

MODALITA’ DI ACCESSO(2)

Alcune tipologie di modalità di accesso:

STARTUP ROUTER(1)

Le fasi principali di startup di un router Cisco, e nello specifico del Cisco 827 si possono riassumere in questi tre passi:

• Controllo dell'Hardware

• Ricerca e caricamento dell'immagine del sistema operativo

• Ricerca e caricamento della configurazione

La fase di caricamento dell'IOS è normalmente effettuata con un ricerca nella FLASH memory ma può essere anche configurata diversamente.Per default un router Cisco esegue queste priorità di ricerca per caricare l'immagine dell'IOS: FLASH, TFTP Server, ROM.

6

STARTUP ROUTER(2)

Da questa schermata abbiamo informazioni riguardo la versione del Bootstrap del router e il tipo di piattaforma con la relativa memory:

STARTUP ROUTER(3)Informazioni riguardo il produttore e relative clausole, versione e tecnologia di IOS montata:

STARTUP ROUTER(4)

Modello router e alcune caratteristiche tecniche del prodotto, quali:

• processore;• memoria;• interfacce.

STARTUP ROUTER(5)Una volta effettuato il caricamento dell'IOS e della configurazione, avviene il cambiamento di stato da down in updelle interfacce:

IOS E FUNZIONALITA’(1)

• L'IOS (Internetwork Operating System) che sono in costante evoluzione, non è altro che il sistema operativo dei routerCisco.

• Le immagini sono disponibili per il download dal sito Cisco; l'utilizzo di tale software è subordinato al pagamento di una licenza, quindi è necessario login e password autorizzate a tale download.

• Per poter quindi ottenere tale aggiornamento è d'obbligo l'acquisto di uno Smartnet, cioè un contratto di assistenza, oppure rivolgersi al proprio rivenditore.

IOS E FUNZIONALITA’(2)

Per conoscere caratteristiche e funzionalità di un determinato IOS, bisogna registrarsi sul CCO (http://www.cisco.com/register).

7

IOS E FUNZIONALITA’(3)Possiamo ricercare, confrontare, scaricare e avere varie informazioni riguardo un IOS in base al tipo di feature:

• IP • IP PLUS• IP/IPX/Plus• IP Firewall• IP Firewall Plus• IP/IPX/Plus/Firewall/IPSec3DES

Sappiamo anche la dimensione richiesta di flash e memory per installarla e il nome del file.

CONVENZIONI NOMI IOS(1)

Le versioni di IOS si distinguono in tre classi principali:

- General Deployment: software di sistema considerato stabile ed esente da bug;- Early Deployment: release con correzione dei bug della precedente e nuove features;- Maintenance Release: sostituisce la General Deployment ed è rappresentata dai vari rilasci di manutenzione.

CONVENZIONI NOMI IOS(2)

Maintenance Release

CONVENZIONI NOMI IOS(3)

Lettere o gruppi di lettere sono assegnate alle releases della Technology ED degli IOS. Queste lettere quando sono in prima posizione definiscono gli IOS Cisco ED:

A = Access Server/Dial technology (per esempio, 11.3AA)D = xDSL technology (per esempio, 11.3DA)E = Enterprise feature set (per esempio, 12.1E)H = SDH/SONET technology (per esempio, 11.3HA)N = Voice, Multimedia, Conference (per esempio, 11.3NA)S = Service Provider (per esempio, 12.0S)T = Consolidated Technology (per esempio, 12.0T)W = ATM/LAN Switching/Layer 3 Switching (per esempio, 12.0W5)

CONVENZIONI NOMI IOS(4)

Convenzione utilizzata per definire il nome dell'immagine è datadalla seguente tripla:

• PPPP = Piattaforma• FFFF = Caratteristiche• MM = Esecuzione in memoria e formato di compressione

CONVENZIONI NOMI IOS(5)

Esempio di un IOS:

c820-k8osv6y6-mz.122-2.T4.bin

nome della piattaforma (serie 800 e 820)

K8=codifica minore o uguale a 64bit; o=firewall; s=sorgente di scambio dell'instradamento; v6=protocollo voce H.323; y6=converte varianti IP

m=l'immagine si avvia nella RAM; z=compresso con zip

release principale 12.2, revisione 2, tecnologia consolidata, rebuilddi manutenzione 4 di 12.2(2)T

8

IOS UPGRADE(1)

L’aggiornamento dell'IOS di un router normalmente si effettua attraverso:

• un server TFTP con Telnet;

• modalità ROMMON con Hyper Terminal.

La prima cosa da fare è determinare se l'IOS che si ha intenzione montare supporti le caratteristiche tecniche del router, in termini di:

• modello del router;• dimensione di flash e di memory a disposizione.

IOS UPGRADE(2)

Comando per determinare la dimensione della nostra flash:

IOS UPGRADE(3)

Disponibilità di spazio libero della flash memory

Backupdell’IOS attualmente presente nella flash memory

IOS UPGRADE(4)

Prima di iniziare l'upgrade e' sempre bene verificare quali novità presenta l'IOS che stiamo per caricare, quali modifiche sarà necessario apportare alla nostra configurazione, affinché tutto continui a funzionare correttamente.

ROMMON(1)La modalità ROM monitor consiste in una modalità ibrida (programma di bootstrap), serve a:

• inizializzare il processore ed il sistema operativo del router, si avvia se non è presente nessun IOS;• utilizzata per alcuni lavori di configurazioni (recupero pw, download di IOS tramite console)

Per accedere in ROM monitor, in avvio del router bisogna premere i tasti CTRL + Break.

ROMMON(2)L'aggiornamento di un nuovo IOS può essere effettuata anche attraverso la modalità ROM monitor. I passi da seguire sono:

• cambiare l'indirizzo di memoria da 0x2102 in 0x2142 con il comando "confreg 0x2142“ e riavviare il router e rientrare nella modalità ROM monitor. • settare le variabili:

IP_ADDRESS= ip_address (indirizzo del router) IP_SUBNET_MASK= ip_address (maschera di sottorete del router) DEFAULT_GATEWAY= ip_address (indirizzo del gateway di default) TFTP_SERVER= ip_address (indirizzo del server TFTP che contiene l'IOS) TFTP_FILE= filename (nome del file che deve essere copiato dal server TFTP)

9

ROMMON(3)Lanciare il comando "tftpdnld" e l'immagine dell'IOS dal server TFTP verrà copiata nella memoria flash del router, similmente come nella modalità privilegiata attraverso Telnet.

Riavviare il router e durante l'avvio ripristinare l'indirizzo di configurazione da 0x2142 in 0x2102.

CONFIGURAZIONE(1)

I modi per configurare un router Cisco sono:1) tramite imputazioni di comandi via console (Hyper Terminal);2) tramite imputazione di comandi via telnet;3) Upload di una configurazione attraverso rete con l'ausilio di un server TFTP.

La prima configurazione del router si effettua attraverso cavo console con una sessione Hyper Terminal.

Indipendentemente dal tipo di collegamento al router la procedura di configurazione è identica.

CONFIGURAZIONE(2)Per prima cosa entrare nella modalità privilegiata Router#:

1. modalità "configurazione generale" Router#conf tàRouter(config)#

2. selezionare l’interfaccia Ethernet0 Router(config)#interface ethernet0àRouter(config -if)#

3. effettuate le opportune configurazioni uscire dalla configurazione dell’interfaccia Ethernet0

Router(config -if)#exità Router(config)#

4. configurazione del Dialer0 in versione PPPoA o PPPoERouter(config)#interface dialer0à Router(config -if)#

5. effettuate le opportune configurazioni uscire dalla configurazione dell’interfaccia Dialer0

Router(config -if)#exità Router(config)#

CONFIGURAZIONE(3)6. selezionare l’interfaccia ATM0:

Router(config)#interface ATM0àRouter(config -if)#

7. effettuate le opportune configurazioni uscire dalla configurazione dell’interfaccia ATM0:Router(config -if)#exità Router(config)#

8. configurare il NAT per la rete locale:Router(config)#ip nat inside source list 1 interface dialer 0

overload

9. Definire le opportune AccessList per il NAT:Router (config)#access-list 1 permit 192.168.0.254 0.0.0.255

10.Infine salvare la configurazione sulla NVRAM:Router#copy running-config startup-config o Router#wr

SICUREZZA ROUTER(1)Operazione da fare è abilitare il sistema di log per tenere traccia di tutti gli eventi "interessanti".

service timestamps log datetimelogging trap debugginglogging facility <LOG FILE>logging <LOG SERVER>

Eliminare la possibilita` che un router utente sia utilizzato come "ponte" per connessioni illecite, disabilitare la possibilita` di fare telnet dal router.

username <ACCOUNT SERVIZIO> access-class 1 nopasswordaccess-list 1 deny any log.... access-list 2 permit <ROUTER POP> 0.0.0.0access-list 2 permit <RETE INTERNA> 0.0.0.255

SICUREZZA ROUTER(2)La criptazione della password di accesso al router non è sufficiente, è consigliato sostituire la password di enable con il "secret" che usa un algoritmo di criptazione non reversibile(MD5).

! abilita la criptazione delle password!service password-encryption!! inserimento password di tipo secret!enable secret SECRET1

10

ACCESS LIST Standard(1)Le ACL (Access Control List) sono una lista di istruzioni da applicare alle interfacce per gestire il traffico, filtrando i pacchetti in entrata e in uscita.

Ragioni per decidere di adoperare le ACL:

• Fornire un livello base di sicurezza: restringere gli accessi auna determinata rete o sottorete;

• Limitare il traffico e aumentare la performance della rete: decidere che alcuni pacchetti vengano processati prima di altri;

• Decidere quale tipo di traffico può essere trasmesso: permettere l’invio di e-mail e impedire allo stesso tempo il Telnet.

ACCESS LIST Standard(2)Le caratteristiche delle ACL sono:

• vengono elaborate dal router in maniera sequenziale;• se un pacchetto soddisfa una delle condizioni, la valutazione s’interrompe;• se il pacchetto non soddisfa nessuna delle condizioni viene scartato; • si considera cha alla fine di un ACL non vuota ci sia l’istruzione denyany).

CONFIGURAZIONE ACL Standard

Per creare una ACL in configuration mode bisogna definirle con il seguente comando:

Router(config)#access-list access-list number permit|deny} {test-conditions}– access-list number è il numero univoco che identifica ogni ACL e che ne definisce il tipo;– permit e deny definiscono le condizioni sui pacchetti;– il termine finale specifica la condizione da soddisfare.

ACL Standard (Esempio)Permettere il traffico dalla rete 172.16.0.0 e contemporaneamente bloccare quello da altre reti (non-172.16.0.0).

access-list 1 permit 172.16.0.0 0.0.255.255(access-list 1 deny any – implicito, non visibile nella lista)interface ethernet 0ip access-group 1 outinterface Ethernet 1ip access-group 1 out

ACCESS LIST EsteseLe ACL estese forniscono una maggiore flessibilità e controllo se paragonate a quelle standard.

Le ACL estese possono effettuare:

• il controllo non solo sull’indirizzo del mittente, ma anche su quello del destinatario, su uno specifico protocollo, sul numero di porta o su altri parametri.

• controlli sui singoli protocolli che compongono la suite (es.ICMP, …).

CONFIGURAZIONE ACL Estesa(1)

Router(config)# access-list access-list-number {deny | permit} protocol sourcesource-wildcard destination destination-wildcard [operator operand] [established] [precedence precedence] [log]

11

CONFIGURAZIONE ACL Estesa(2)

Applicare l’ACL a una o più interfacce:

Router(config-if)# ip access-group access-list number {in|out}

Per cancellare un ACL o rimuoverla da un’interfaccia del Router:

Router(config)# no access-list access-list numberRouter(config-if)# no ip access-group access-list number

ACL Estesa (Esempio)Esempio che dimostra come bloccare esclusivamente il traffico FTP:

access-list 101 deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 21access-list 101 permit ip 172.16.4.0 0.0.0.255 any(access-list 101 deny any any – implicito, non visibile nella lista)interface ethernet 0ip access-group 101

ALGORITMI PASSWORDEnable password 7

• utilizza un algoritmo proprietario cisco per criptare, molto debole;• usato per evitare che qualcun'altro, durante l'utilizzo del comando show conf, possa vedere le password in chiaro;• stringa di password 7 si decripta in pochi secondi.

Enable secret 5• utilizza il ben piu' complesso, ed anche one-way, algoritmo MD5 per criptare;• password criptata, e salvata nella configurazione, da quel momento in poi indecifrabile;• MD5 verifica se la password criptata salvata e quella criptata coincidono;• modo per ricavare una password in MD5 è per tentativi.

MODALITA’ AUTENTICAZIONE

Le modalità di accesso al provider attraverso il protocollo ppp sono:

1. CHAP (Challenge Hanshake Autentication Protocol)• utilizza il protocollo di encryption MD5

2. PAP (Password Authentication Protocol)• trasmette username e password in chiaro

Sequenza che si verifica:1) il router chiamante effettua la chiamata;2) il router chiamato "chiede" al router chiamante username e

password, invia anche un numero casuale (challenge);3) il router chiamante effettua una funzione (hash) tra username,

password e numero casuale ricevuto, ottenendo una stringa criptata che invia al router chiamato;

4) il router chiamato effettua la stessa operazione, per verificare che il chiamante sia autorizzato alla connessione.

MIGLIORE

PASSWORD RECOVERY(1)Per ripristinare la password smarrita di accesso al router bisogna:

• verificare il valore esadecimale del registro di configurazione che risiede nella NVRAM (per default è settato con 0x2102)

"Router# Show ver“

PASSWORD RECOVERY(2)

• settare il registro con la forma esadecimale 0x2142, escludendo il caricamento dell'IOS dalla Flash e della configurazione dalla NVRAM;

• il router si avvierà senza IOS, configurazione e password (ROM Monitor).

Bisogna quindi:1) riavviare il router;

12

RECOVERY PASSWORD(3)

2) collegarsi al router in modalità console con il cavo apposito;3) entro 60 secondi premere CTRL+Break (CTRL+PAUSE) dal

terminale collegato.

RECOVERY PASSWORD(4)

4) si presenterà un nuovo prompt ibrido, senza il nome del router, ROM Monitor (senza IOS);

5) modificare il registro di configurazione, con "config-register 0x2142" e premere Invio, poi digitare i.Alla "System configuration dialog“ rispondere NO e apparirà un nuovo prompt:

RECOVERY PASSWORD(5)6) passare alla modalità privilegiata con "ena". Non verrà

richiesta la password perchè il sistema è privo di configurazione;

7) copiare la configurazione presente in Flash e rendere operativo il router e cambiare la password:a) "copy startup-config running-config“;b) passare in modalità di configurazione "config t“;c) digitare "enable secret nuovapassword“.

8) salvare la configurazione corrente nella Flash con "copy running-config startup-config“;

9) cambiare i settaggi del registro di configurazione e riportarli ai valori di default: "config-register 0x2102“.

VPN

Con il termine VPN si descrivono:• ambiti di una rete pubblica che si scambiano, in modo

sicuro, informazioni private;

Le caratteristiche sono:• stabilire collegamenti a livello di infrastruttura;• rendere sicuro il traffico su una rete creando un tunnel;• consentire ai PC remoti di scambiarsi le informazioni come se possedessero un collegamento diretto (end to end).

VANTAGGI VPN

Il primo vantaggio è di tipo economico:

• la VPN utilizza Internet, o una Intranet già esistente, senza aggravio di spesa relativa alla connettività;• unica spesa è relativa agli apparati di supporto e del sw a corredo.

ALTERNATIVALa sicurezza assoluta la si può avere anche con un link diretto fra i due end-point, modalità che richiede un collegamento di tipo "dedicato" che, in ambito WAN, ha costi altissimi!!!

MODALITA’ VPN: TUNNELTecnologia tipica per collegamento fra una filiale e la sede centrale.

• ruolo fondamentale router e i firewall;• gli apparati trasformano/codificano tutto il traffico fra gli end-point;• nessuna percezione della crittografia applicata;

• il tunnelling ha notevoli vantaggi in tema di sicurezza.

13

MODALITA’ VPN: TRASPORTO

Tecnologia nella quale hanno un ruolo fondamentale i software impiegati.

• l’ apparato (notebook, palm , wap ecc.) dovrà essere dotato di software per VPN;• il collegamento può essere effettuato con qualsiasi ISP;• la cifratura e decifratura dei dati è garantita dal software e dagli apparati riceventi;• Internet lascierà in chiaro solamente le infomazioni di instradamento IP (header e trailers dei pacchetti).

IPSEC DI CISCO

Possibilità di implementare i collegamenti VPN sicuri in modalità tunnel usando il protocollo IPSec (Internet ProtocolSecurity) di Cisco Systems in modo da rendere sicuri i dati.

Se il protocollo IPSec è stato implementato correttamente, gli utenti remoti possono accedere con sicurezza alle risorse dell'azienda, certi della propria privacy.

TUNNELING GRE

Funzionalità particolarmente utile quando è necessario passare su Internet del traffico IPX, AppleTalk o DECnet.

Il tunneling GRE incapsula il protocollo IPX in un pacchetto IP.

La tecnologia GRE non serve per implementare il protocollo IPSec, anche se i tunnel GRE forniscono un livello significativo di flessibilità soprattutto quando viene connesso più di un sitoremoto.

INCAPSULAMENTO PPP

Intorno a un frame PPP (un datagramma IP, un datagramma IPX o un frame NetBEUI) sono disposte:

• intestazione GRE (Generic Routing Encapsulation);• IP.

Nell'intestazione IP sono presenti: • indirizzi di origine (client);• indirizzi destinazione (server VPN).

CONFIGURAZIONE IPSEC

I passi principali per implementare la configurazione IPSec, in generale sono:

Ø Configurare la politica IKE;

Ø Configurare le trasformazioni IPSec e protocolli;

Ø Creare Access List per la codificazione;

Ø Configurare Crypto Map;

Ø Applicare Crypto Map all’interfaccia.

CONFIGURARE POLITICA IKE

Protocollo IKE:

v negozia automaticamente parametri sicuri;v autentica;v stabilisce accordi tra i protocolli IPsec dei router.

Per effettuare una politica IKE, bisogna usare i seguenti comandi:

crypto isakmp policy 1encr 3desauthentication pre-sharecrypto isakmp key sharedkey address 30.30.30.30

14

CONFIGURARE TRASFORMAZIONI IPSEC

Un transform-set è:• la combinazione di regole che governa il modo in cui i dati vengono crittografati e autenticati

Durante la negoziazione IKE, i punti si accordano nell'usare una particolare trasform set per poter proteggere il flusso di dati.

Per configurare una politica IKE, bisogna usare i seguenti comandi nella confugurazione globale:

crypto ipsec transform-set vpn-test esp-3des esp-sha-hmac

CREAZIONE ACCESS-LISTLe Access List definiscono quanto il traffico IP sarà protetto con la codifica.

Le Access List estese precisano ulteriormente gli indirizzi sorgenti e destinatari e il tipo di pacchetti:

ip access-list extended vpn-static1permit 192.168.100.0 0.0.0.255 192.168.200.0 0.0.0.255

• qualsiasi traffico non protetto verso l'interno, in ingresso di tipo permit nell'Access List, sarà rifiutata: IPsec protegge questo tipo di traffico

• il normale comportamento permette che il resto del traffico siaspedito senza crittografia: processo nominato tunneling diviso

CONFIGURARE CRYPTO MAP

Il comando crypto map svolge le seguenti funzioni:• raggruppa tutti gli elementi vengono;• l'ingresso crypto map unisce gli IPsec uguali;• l'ingresso crypto map unisce l'insieme di trasformazioni usate e le access list usate per definire il traffico.

Il comando ipsec-isakmp indica al mapping che si sta usando il processo IKE.

crypto map static-map local-address Ethernet0crypto map static-map 1 ipsec-isakmpset peer 192.168.101.1set transform-set vpn-testmatch address vpn-static1

APPLICAZIONE CRYPTO MAP

Le crypto map devono essere applicate ad ogni interfaccia per cui il traffico IPsec passerà.

Per applicare crypto map all'interfaccia, bisogna usare i seguenti comandi:

interface Ethernet0ip address 192.168.100.100 255.255.255.0crypto map static-map

ESEMPIO VPN TUNNEL

VPN attraverso Tunnel IPsec tra due apparati Cisco con IP statico:

TIPOLOGIE ATTACCHI

• qualsiasi apparato esposto ad internet è oggetto di diversi tipi di attacchi esterni o interni alla stessa lan sulla quale si trovano.

• una politica di sicurezza preventiva può essere effettuata efficacemente solo a livello di sito utente tramite opportuna configurazione degli apparati.

15

ATTACCHI DoS• scopo principale è di rendere non più utilizzabile un servizio o una risorsa, sostituendosi ad essa e trarne così un illecito vantaggio.

• tipologia di questi attacchi molto vasta, può andare dall'impedire la connessione ad un server (o router) al mandare in crash lo stesso.

• casi più diffusi di questa tipologia di attacchi:

Ø Smurfing;Ø Attacchi UDP-TCP sulle porte di diagnostica del router;Ø Attacco "land“;Ø Attacchi "TCP SYN“.

ATTACCHI DoS - SMURFING

Coinvolge solitamente:

• il sito di origine dell'attacco (sito O);• due siti "vittime“;• uno intermedio che "amplifica" l'attacco (sito I);• uno terminale (sito T).

Funzionamento: • ping da O verso una (o più reti) del sito I, con campo IP posto uguale a quello di un host del sito T;• T generare un flusso consistente di pacchetti ICMP dal sito I al sito T.

SMURFING - PROTEZIONEEvitare che la propria LAN agisca da sito intermedio I, disabilitando la possibilità di inviare pacchetti dall'esterno sull'indirizzo di broadcast delle proprie reti:

interface ethernet 0..... no ip directed-broadcast

Applicare opportune access-list che controllano che i pacchetti che escono dalla LAN abbiano nell'header come sourceaddress un indirizzo valido:

access-list 101 permit ip <RETE> 0.0.0.255 any any

ATTACCHI DoS – UDP-TCPAltro possibile attacco a cui sono soggetti i router, è l'invio di un grande numero di pacchetti spuri di tipo UDP o TCP sulle porte:§ echo;§ chargen;§ discard;§ daytime (quest'ultimo solo TCP).

Il router può arrivare inutilmente a consumare una grande percentuale della propria CPU fino, in casi estremi, ad andare in crash.

Disabilitare tale accesso, con le seguenti istruzioni:

no service udp-small-serversno service tcp-small-servers

ATTACCHI DoS – LAND

Esistono tools (noti come land) che permettono di inviare ad un determinato host pacchetti TCP SYN (di inizio connessione), con "ip source address" e "port" falsificati e posti uguali all'indirizzo ed alla porta dell'host di destinazione, causando in alcuni casi anche lo stallo del router.

Problema abbastanza evidente nelle vecchie versioni di IOS di Cisco, mentre è stato risolto nelle più recenti versioni, ma negli altri casi è necessario applicare un filtro che blocchi per ogniinterfaccia la ricezione di questi pacchetti.

LAND - PROTEZIONE! impedisce l'invio alle interfacce di pacchetti ! con ip source address uguale a quello dell'interfaccia! interface ethernet 0 ..... ip address <ETH ADDRESS> <SUBNET MASK> ip access-group 102 in ..... ! ! access-list 102 deny ip <ETH ADDRESS> 0.0.0.0 <ETH ADDRESS> 0.0.0.0 access-list 102 deny ip <SERIAL ADDRESS> 0.0.0.0 <SERIAL ADDRESS> 0.0.0.0 access-list 102 permit ip any any

16

ATTACCHI DoS – TCP-SYN

Funzionamento "TCP SYN“:• richiesta di un grande numero di connessioni, apparentemente da host diversi, ad un router;• il router non riceverà mai l'acknowledgment di chiusura del "TCP three-way handshake"

EFFETTI

riempimento della coda di connessione del router

TCP-SYN - PROTEZIONE• non è possibile rintracciare l'origine dell'attacco, il mittente viene falsificato;

• non esistono metodi semplici di difesa (non è fattibile l'attivazione di una access-list che filtri le connessioni in ingresso).

Sono attuabili solo alcune contromisure come:

• aumentare la dimensione della coda di connessione (SYN ACK queue);• diminuire il tempo di time-out per il "three-way handshake“;• uso di access-list per filtrare i pacchetti in uscita (diminuisce la probabilità che la LAN sia utilizzata come base per questo tipo di attaccho).

USO NON AUTORIZZATO RISORSE – PROTEZIONE HOSTDifficilmente si può attuare il controllo centralizzato di tutti gli host sulla propria LAN.

Operazioni alternative:• filtrare selettivamente sul router i servizi tendenzialmente e ipoteticamente pericolosi;• isolare su una LAN dedicata i server "esterni" ovvero quelli che devono essere visibili a tutti;• permettere l'accesso verso i server solo limitatamente ai servizi "ufficiali" offerti;• bloccare sulle macchine utente tutto il traffico diretto verso le porte "pericolose" (dalle quali comunque di norma non dovrebbero essere offerti servizi).

PROTEZIONE HOSTServizi consigliabili da filtrare o bloccare:

MAIL SPAMMINGUso di mailer SMTP da parte di utenti non autorizzati per ottenere l'invio di decine di migliaia di messaggi di e-mail (messaggi pubblicitari) non richiesti dai destinatari.

SOLUZIONE

configurare correttamente gli host di una LAN eliminando la possibilità di utilizzarli come mail relay dall'esterno.

In realtà è necessario filtrare il servizio smtp dall'esterno verso tutti gli host ritenuti non "affidabili“, lasciando pieno accesso smtpsolo verso i mail server "ufficiali".

MAIL SPAMMING - PROTEZIONE

Esempio di access-list che realizza un filtro contro Mail Spamming:

access-list 103 permit tcp any host <MAIL SERVER 1>access-list 103 permit tcp any host <MAIL SERVER 2> access-list 103 deny tcp any <RETE> 0.0.0.255 eq smtp logaccess-list 103 permit ip any any

17

SPAMMING – DOPPIO NON DELIVERY

Problema ancora aperto è lo spamming con il metodo del "doppio non delivery".

Funzionamento:• lo "spammer“ aggira le protezioni sul mail-relay, inviando mail ad un utente inesistente in un dato dominio;• il campo From falsificato è posto uguale al "bersaglio“;• il sistema di mail del dominio che riceve la mail accetta la stessa ma determina che l'utente è inesistente;• la mail è rispedita al mittente (a quello che crede essere il mittente ma che in realtà non è).

Non c'è un vero e proprio modo di difendersi se non segnalando l'accaduto agli ISP ed eventualmente filtrare la connessione smtp dalle reti in questione.

ALTRI COMANDI(1)

Uso del simbolo “?”:

ALTRI COMANDI(2)

Comando “show config”:

ALTRI COMANDI(3)Comando “show vers”:

ALTRI COMANDI(4)Comando “show interfaces Dialer0”:

ALTRI COMANDI(5)

Comando “show ip interfaces brief”: