Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
&
INTRODUZIONE
CISCO SYSTEMS
A.A. 2002/2003
Realizzato da:
DIEGO RADICA
Matr.056/102057
FUNZIONI ROUTER
Le funzioni principali dei router sono:
Commutazione del traffico
DNS (Domain Name Service)
Mantenimento dellambiente e memorizzare le
relative valutazioni nella tabella di routing
COS E UN ROUTER
Sono dispositivi atti alla connessione tra vari host di una
LAN ad altre reti (LAN, WAN, INTERNET)
TABELLE DI ROUTING
Le tabelle di routing includono:
serie di indirizzi esistenti sulla rete (Destin. Address);
la porta verso cui inoltrare il pacchetto (interface) ;
i dati necessari per acquisire un messaggio su un router
pi vicino alla destinazione (Hops );
i dati di routing (la metrica, una misura amministrativa del
tempo o della distanza), e diversi contrassegni temporali.
ROUTER SOFTWARE
Talvolta denominati gateway, sono programmi gestiscono il
traffico tra calcolatori e le connessioni tra LAN.
SOFTWARE
HARDWARE
ROUTER HARDWARE
Un router hardware un computer a tutti gli effetti ed
composta dai seguenti elementi:
un processore (CPU);
vari tipi di memoria, le quali vengono utilizzate per
immagazzinare le informazioni;
un sistema operativo;
varie porte ed interfacce per connettersi a dispositivi
periferici e per comunicare con altri computer.
CISCO SYSTEMS
Cisco Systems conosciuta come la Regina di Internet, una
delle pi grandi multinazionali del mondo, leader nel settore
tecnologico per le infrastrutture e i servizi di rete.
fondata da un gruppo di scienziati della Stanford
University nel 1984;
ha sede negli Stati Uniti, nel cuore della Silicon Valley;
ad oggi controlla pi dell'80% del mercato dei router;
Migliaia di societ private, service provider, enti
governativi, sia in Italia che nel mondo, basano le loro
infrastrutture di rete sulle soluzioni Cisco Systems.
CISCO IN ITALIA
Cisco Systems presente in Italia dal 1994;
partecipa attivamente allo sviluppo tecnologico del nostro
Paese;
Cisco Systems Italy investe nella formazione di figure,
lanciando programmi di studio, Networking Academy.
PRODOTTI CISCO(2)
Serie 1600
connette Ethernet LANs a WANs via ISDN;
connessioni seriali sincrone e asincrone;
supporta il Frame Relay, Switched 56,
Switched
Multimegabit
Data
Service
(SMDS), e X.25.
PRODOTTI CISCO(1)
Cisco dispone di una larga vasta di prodotti, sempre in
aggiornamento.
Tra le varie serie menzioniamo:
SERIE 800
Sicurezza estesa;
Bassi costi di esercizio;
Affidabilit;
VPN;
Cisco IOS, il software su misura per le
piccole aziende.
CERTIFICAZIONI CISCO(1)
Cisco mette a dispone delle aziende corsi per far conseguire ai
propri dipendenti certificazioni.
Sostanzialmente le certificazioni Cisco seguono due rami e
hanno durata prestabilita:
Installazione di Reti e
Supporto Clienti
Progettazione e
Ingegnerizzazione di
Reti
INSTALLAZIONE DI RETI E
SUPPORTO CLIENTI(1)
CCNA
E' senz'altro la certificazione da cui
cominciare. Copre una serie di
conoscenze di base sul networking e
qualcosa anche pi in particolare
sugli apparati Cisco.
Bisogna avere conoscenze di:
subnetting;
protocolli di routing;
conoscenza
almeno
di
base
dell'interfaccia IOS Cisco;
concetti sullo switching (di rete
locale).
INSTALLAZIONE DI RETI E
SUPPORTO CLIENTI(3)
INSTALLAZIONE DI RETI E
SUPPORTO CLIENTI(2)
CCNP
Secondo livello di certificazione del
ramo, presuppone la CCNA.
La certificazione CCNP pu essere
conseguita superando separatamente
quattro esami:
Routing;
Switching;
Remote Access e Support.
PROGETTAZIONE E
INGEGNERIZZAZIONE DI RETI(1)
CCIE
Ultima e pi importante certificazione
Cisco per entrambi i rami.
CCDA
Certificazione di base nel ramo
progettazione e ingegnerizzazione di
reti.
PROGETTAZIONE E
INGEGNERIZZAZIONE DI RETI(2)
CCDP
E' il secondo livello di certificazione
per chi si occupa di progettazione di
reti.
Tre dei test necessari a raggiungere
la certificazione sono gli stessi della
certificazione CCNP:
Routing;
Switching e Remote Access.
In pi necessario superare l'esame
di Design. I rispettivi corsi sono:
BSCN;
BCMSN;
BCRAN e CID.
COMPONENTI DI UN ROUTER
CISCO(1)
Le Interfacce di rete sono le connessioni di rete sulla scheda madre
del router, e sono:
1) AUI: interfaccia Ethernet di tipo AUI (attachment unit interface);
2) 10BaseT: interfaccia Ethernet, 10BaseT;
3) SERIALE: interfaccia seriale sincrona (da collegare, con apposito
cavo proprietario, a modem sincroni con interfaccia V.35);
4) BRI: interfaccia verso un accesso base ISDN;
5) ATM: interfaccia ATM, in fibra oppure in rame.
COMPONENTI DI UN ROUTER
CISCO(2)
RAM
(memoria
"volatile"): Si trova la
configurazione
"corrente" del router e le
variabili
temporanee
necessarie al router per
il suo funzionamento
NVRAM
(non
volatile
RAM):
preserva
la
configurazione utile allo
startup e al backup. Non
viene persa in caso di
spegnimento del router
COMPONENTI DI UN ROUTER
CISCO(3)
AUSILIARIA: porta seriale
asincrona RS232 usata per il
collegamento
di
altre
periferiche. E' utilizzata spesso
per la configurazione remota
CONSOLE:
interfaccia
seriale
usata
per
il
collegamento
ad un terminale
seriale
INTERFACCE: sono le
connessioni di rete sulla
scheda
madre
del
router, attraverso le
quale i pacchetti entrano
ed escono
ALCUNE CARATTERISTICHE
SIGNIFICATO LED
Sul fronte del router Cisco 827 sono presenti diversi led con il seguente significato:
ACCESSO AL ROUTER(1)
Se il router non ancora dotato di
un indirizzo IP, la configurazione
iniziale va effettuata connettendosi
tramite un cavo seriale alla sua
porta console.
Porta
gialla:
cavo Ethernet
(si usa il cavo
streight sia per
i collegamenti
diretti al pc
che per quelli
ad una altro
apparato
E sufficiente utilizzare un PC
dotato di un programma di
emulazione di terminale (ad
esempio Hyper Terminal).
Porta azzurra:
cavo console
(roll over)
Porta
bianca:
cavo
telefonico
ACCESSO AL ROUTER(2)
Se il router gi dotato di un suo indirizzo IP, in quanto gi
configurato, possibile raggiungerlo tramite una sessione
Telnet.
MODALITA DI ACCESSO(2)
Alcune tipologie di modalit di accesso:
MODALITA DI ACCESSO(1)
Quando ci colleghiamo
al nostro router in
modalit
terminale
(Hyper
Terminal
o
Telnet)
abbiamo
a
disposizione
diverse
modalit che permettono
diverse funzionalit.
STARTUP ROUTER(1)
Le fasi principali di startup di un router Cisco, e nello specifico
del Cisco 827 si possono riassumere in questi tre passi:
Controllo dell'Hardware
Ricerca e caricamento dell'immagine del sistema operativo
Ricerca e caricamento della configurazione
La fase di caricamento dell'IOS normalmente effettuata con
un ricerca nella FLASH memory ma pu essere anche
configurata diversamente.
Per default un router Cisco esegue queste priorit di ricerca per
caricare l'immagine dell'IOS: FLASH, TFTP Server, ROM.
STARTUP ROUTER(2)
Da questa schermata abbiamo informazioni riguardo la
versione del Bootstrap del router e il tipo di piattaforma con la
relativa memory:
STARTUP ROUTER(3)
Informazioni riguardo il produttore e relative clausole, versione e
tecnologia di IOS montata:
STARTUP ROUTER(4)
STARTUP ROUTER(5)
processore;
memoria;
interfacce.
IOS E FUNZIONALITA(1)
L'IOS (Internetwork Operating System) che sono in costante
evoluzione, non altro che il sistema operativo dei router
Cisco.
IOS E FUNZIONALITA(2)
IOS E FUNZIONALITA(3)
Possiamo
ricercare,
confrontare, scaricare e avere
varie informazioni riguardo un
IOS in base al tipo di feature:
IP
IP PLUS
IP/IPX/Plus
IP Firewall
IP Firewall Plus
IP/IPX/Plus/Firewall/IPSec
3DES
m =l'immagine
si
avvia nella RAM;
z=compresso con
zip
c820-k8osv6y6-mz.122-2.T4.bin
K8=codifica
minore o uguale a
64bit; o=firewall; s=sorgente di
scambio
dell'instradamento;
v6=protocollo
voce
H.323;
y6=converte varianti IP
release
principale
12.2, revisione 2,
tecnologia
consolidata, rebuild
di manutenzione 4 di
12.2(2)T
IOS UPGRADE(1)
Laggiornamento dell'IOS di un router normalmente si effettua
attraverso:
IOS UPGRADE(2)
Comando per determinare la dimensione della nostra flash:
IOS UPGRADE(3)
IOS UPGRADE(4)
Prima di iniziare l'upgrade e'
sempre bene verificare quali
novit presenta l'IOS che
stiamo per caricare, quali
modifiche
sar
necessario
apportare
alla
nostra
configurazione, affinch tutto
continui
a
funzionare
correttamente.
Disponibilit
di
spazio libero della
flash memory
Backup
dellIOS
attualmente
presente nella
flash memory
ROMMON(1)
ROMMON(2)
settare le variabili:
IP_ADDRESS= ip_address (indirizzo del router)
IP_SUBNET_MASK= ip_address (maschera di sottorete del router)
DEFAULT_GATEWAY= ip_address (indirizzo del gateway di default)
TFTP_SERVER= ip_address (indirizzo del server TFTP che contiene
l'IOS)
TFTP_FILE= filename (nome del file che deve essere copiato dal
server TFTP)
ROMMON(3)
CONFIGURAZIONE(1)
CONFIGURAZIONE(2)
CONFIGURAZIONE(3)
6. selezionare linterfaccia ATM0:
Router(config)#interface ATM0 Router(config -if)#
dalla
dalla
uscire
dalla
SICUREZZA ROUTER(1)
SICUREZZA ROUTER(2)
CONFIGURAZIONE ACL
Standard
Router(config)#access-list
access-list
number
permit|deny} {test-conditions}
access-list number il numero univoco che identifica ogni
ACL e che ne definisce il tipo;
permit e deny definiscono le condizioni sui pacchetti;
il termine finale specifica la condizione da soddisfare.
CONFIGURAZIONE ACL
Estesa(1)
10
CONFIGURAZIONE ACL
Estesa(2)
Applicare lACL a una o pi interfacce:
Router(config-if)# ip access-group access-list number {in|out}
ALGORITMI PASSWORD
Enable password 7
utilizza un algoritmo proprietario cisco per criptare, molto
debole;
usato per evitare che qualcun'altro, durante l'utilizzo del
comando show conf, possa vedere le password in chiaro;
stringa di password 7 si decripta in pochi secondi.
Enable secret 5
utilizza il ben piu' complesso, ed anche one-way, algoritmo
MD5 per criptare;
password criptata, e salvata nella configurazione, da quel
momento in poi indecifrabile;
MD5 verifica se la password criptata salvata e quella
criptata coincidono;
modo per ricavare una password in MD5 per tentativi.
PASSWORD RECOVERY(1)
Per ripristinare la password smarrita di accesso al router bisogna:
verificare il valore esadecimale del registro di configurazione
che risiede nella NVRAM (per default settato con 0x2102)
"Router# Show ver
MODALITA
AUTENTICAZIONE
Le modalit di accesso al provider attraverso il protocollo ppp sono:
1. CHAP (Challenge Hanshake Autentication Protocol)
utilizza il protocollo di encryption MD5
2. PAP (Password Authentication Protocol)
trasmette username e password in chiaro
MIGLIORE
PASSWORD RECOVERY(2)
settare il registro con la forma esadecimale 0x2142,
escludendo il caricamento dell'IOS dalla Flash e della
configurazione dalla NVRAM;
il router si avvier senza IOS, configurazione e password
(ROM Monitor).
Bisogna quindi:
1) riavviare il router;
11
RECOVERY PASSWORD(3)
RECOVERY PASSWORD(4)
RECOVERY PASSWORD(5)
VPN
Le caratteristiche sono:
stabilire collegamenti a livello di infrastruttura;
rendere sicuro il traffico su una rete creando un tunnel;
consentire
ai
PC
remoti di scambiarsi le
informazioni come se
possedessero
un
collegamento
diretto
(end to end).
VANTAGGI VPN
Il primo vantaggio di tipo economico:
la VPN utilizza Internet, o una Intranet gi esistente, senza
aggravio di spesa relativa alla connettivit;
unica spesa relativa agli apparati di supporto e del sw a
corredo.
ALTERNATIVA
La sicurezza assoluta la si pu avere anche con un link diretto
fra i due end-point, modalit che richiede un collegamento di
tipo "dedicato" che, in ambito WAN, ha costi altissimi!!!
il tunnelling ha notevoli
vantaggi in tema di sicurezza.
12
IPSEC DI CISCO
Possibilit di implementare i collegamenti VPN sicuri in
modalit tunnel usando il protocollo IPSec (Internet Protocol
Security) di Cisco Systems in modo da rendere sicuri i dati.
TUNNELING GRE
INCAPSULAMENTO PPP
CONFIGURAZIONE IPSEC
I passi principali per implementare la configurazione IPSec, in
generale sono:
Configurare la politica IKE;
13
CONFIGURARE
TRASFORMAZIONI IPSEC
Un transform-set :
la combinazione di regole che governa il modo in cui i dati
vengono crittografati e autenticati
Durante la negoziazione IKE, i punti si accordano nell'usare
una particolare trasform set per poter proteggere il flusso di
dati.
Per configurare una politica IKE, bisogna usare i seguenti
comandi nella confugurazione globale:
crypto ipsec transform-set vpn-test esp-3des esp-shahmac
CREAZIONE ACCESS-LIST
Le Access List definiscono quanto il traffico IP sar protetto con
la codifica.
Le Access List estese precisano ulteriormente gli indirizzi
sorgenti e destinatari e il tipo di pacchetti:
ip access-list extended vpn-static1
permit 192.168.100.0 0.0.0.255 192.168.200.0 0.0.0.255
qualsiasi traffico non protetto verso l'interno, in ingresso di tipo
permit nell'Access List, sar rifiutata: IPsec protegge questo
tipo di traffico
il normale comportamento permette che il resto del traffico sia
spedito senza crittografia: processo nominato tunneling diviso
TIPOLOGIE ATTACCHI
qualsiasi apparato esposto ad internet oggetto di diversi tipi
di attacchi esterni o interni alla stessa lan sulla quale si trovano.
una politica di sicurezza preventiva pu essere effettuata
efficacemente solo a livello di sito utente tramite opportuna
configurazione degli apparati.
14
ATTACCHI DoS
scopo principale di rendere non pi utilizzabile un servizio o
una risorsa, sostituendosi ad essa e trarne cos un illecito
vantaggio.
tipologia di questi attacchi molto vasta, pu andare
dall'impedire la connessione ad un server (o router) al mandare
in crash lo stesso.
casi pi diffusi di questa tipologia di attacchi:
Smurfing;
Attacchi UDP-TCP sulle porte di diagnostica del router;
Attacco "land;
Attacchi "TCP SYN.
SMURFING - PROTEZIONE
interface ethernet 0
.....
no ip directed-broadcast
LAND - PROTEZIONE
! impedisce l'invio alle interfacce di pacchetti
! con ip source address uguale a quello dell'interfaccia
!
interface ethernet 0
.....
i p address <ETH ADDRESS> <SUBNET MASK>
i p access-group 102 in
.....
!
!
access-list 102 deny i p <ETH ADDRESS> 0.0.0.0 <ETH
ADDRESS> 0.0.0.0
access-list 102 deny i p <SERIAL ADDRESS> 0.0.0.0 <SERIAL
ADDRESS> 0.0.0.0
access-list 102 permit i p any any
15
TCP-SYN - PROTEZIONE
EFFETTI
PROTEZIONE HOST
Servizi consigliabili da filtrare o bloccare:
Operazioni alternative:
filtrare selettivamente sul router i servizi tendenzialmente
e ipoteticamente pericolosi;
isolare su una LAN dedicata i server "esterni" ovvero
quelli che devono essere visibili a tutti;
permettere l'accesso verso i server solo limitatamente ai
servizi "ufficiali" offerti;
bloccare sulle macchine utente tutto il traffico diretto
verso le porte "pericolose" (dalle quali comunque di norma
non dovrebbero essere offerti servizi).
MAIL SPAMMING
SOLUZIONE
configurare correttamente gli host di una LAN eliminando la
possibilit di utilizzarli come mail relay dall'esterno.
16
ALTRI COMANDI(1)
Uso del
simbolo
?:
ALTRI COMANDI(2)
Comando
show config:
ALTRI COMANDI(4)
Comando show
interfaces Dialer0:
ALTRI COMANDI(3)
Comando show vers:
ALTRI COMANDI(5)
Comando show ip interfaces brief:
17