ROUTER

&

INTRODUZIONE
CISCO SYSTEMS

Una rete a commutazione di messaggi composta

interamente da elementi con funzione di mirror che sono
device denominati router, bridge e switch.
Il Router serve a collegare una rete di PC ad un'altra LAN o ad
Internet mediante un collegamento di tipo LAN/ISDN/ADSL.

A.A. 2002/2003

Realizzato da:
DIEGO RADICA

Matr.056/102057

FUNZIONI ROUTER
Le funzioni principali dei router sono:
Commutazione del traffico
DNS (Domain Name Service)
Mantenimento dellambiente e memorizzare le
relative valutazioni nella tabella di routing

COS E UN ROUTER
Sono dispositivi atti alla connessione tra vari host di una
LAN ad altre reti (LAN, WAN, INTERNET)

TABELLE DI ROUTING
Le tabelle di routing includono:
serie di indirizzi esistenti sulla rete (Destin. Address);
la porta verso cui inoltrare il pacchetto (interface) ;
i dati necessari per acquisire un messaggio su un router
pi vicino alla destinazione (Hops );
i dati di routing (la metrica, una misura amministrativa del
tempo o della distanza), e diversi contrassegni temporali.

ROUTER SOFTWARE
Talvolta denominati gateway, sono programmi gestiscono il
traffico tra calcolatori e le connessioni tra LAN.

I ROUTER possono essere

SOFTWARE

HARDWARE

ROUTER HARDWARE
Un router hardware un computer a tutti gli effetti ed
composta dai seguenti elementi:
un processore (CPU);
vari tipi di memoria, le quali vengono utilizzate per
immagazzinare le informazioni;
un sistema operativo;
varie porte ed interfacce per connettersi a dispositivi
periferici e per comunicare con altri computer.

CISCO SYSTEMS
Cisco Systems conosciuta come la Regina di Internet, una
delle pi grandi multinazionali del mondo, leader nel settore
tecnologico per le infrastrutture e i servizi di rete.
fondata da un gruppo di scienziati della Stanford
University nel 1984;
ha sede negli Stati Uniti, nel cuore della Silicon Valley;
ad oggi controlla pi dell'80% del mercato dei router;
Migliaia di societ private, service provider, enti
governativi, sia in Italia che nel mondo, basano le loro
infrastrutture di rete sulle soluzioni Cisco Systems.

CISCO IN ITALIA
Cisco Systems presente in Italia dal 1994;
partecipa attivamente allo sviluppo tecnologico del nostro
Paese;
Cisco Systems Italy investe nella formazione di figure,
lanciando programmi di studio, Networking Academy.

PRODOTTI CISCO(2)
Serie 1600
connette Ethernet LANs a WANs via ISDN;
connessioni seriali sincrone e asincrone;
supporta il Frame Relay, Switched 56,
Switched
Multimegabit
Data
Service
(SMDS), e X.25.

Serie 2600 Router modulare multifunzione

PRODOTTI CISCO(1)
Cisco dispone di una larga vasta di prodotti, sempre in
aggiornamento.
Tra le varie serie menzioniamo:
SERIE 800
Sicurezza estesa;
Bassi costi di esercizio;
Affidabilit;
VPN;
Cisco IOS, il software su misura per le
piccole aziende.

CERTIFICAZIONI CISCO(1)
Cisco mette a dispone delle aziende corsi per far conseguire ai
propri dipendenti certificazioni.
Sostanzialmente le certificazioni Cisco seguono due rami e
hanno durata prestabilita:
Installazione di Reti e
Supporto Clienti

Progettazione e
Ingegnerizzazione di
Reti

Integrazione multifunzione fonia/dati;

Accesso VPN (Virtual Private Network) con
opzioni di firewall;
Servizi di accesso su chiamata analogici e
digitali;
Instradamento con gestione dell'ampiezza di
banda.

INSTALLAZIONE DI RETI E
SUPPORTO CLIENTI(1)
CCNA
E' senz'altro la certificazione da cui
cominciare. Copre una serie di
conoscenze di base sul networking e
qualcosa anche pi in particolare
sugli apparati Cisco.
Bisogna avere conoscenze di:
subnetting;
protocolli di routing;
conoscenza
almeno
di
base
dell'interfaccia IOS Cisco;
concetti sullo switching (di rete
locale).

INSTALLAZIONE DI RETI E
SUPPORTO CLIENTI(3)

INSTALLAZIONE DI RETI E
SUPPORTO CLIENTI(2)
CCNP
Secondo livello di certificazione del
ramo, presuppone la CCNA.
La certificazione CCNP pu essere
conseguita superando separatamente
quattro esami:
Routing;
Switching;
Remote Access e Support.

PROGETTAZIONE E
INGEGNERIZZAZIONE DI RETI(1)

CCIE
Ultima e pi importante certificazione
Cisco per entrambi i rami.

CCDA
Certificazione di base nel ramo
progettazione e ingegnerizzazione di
reti.

Chi possiede questa certificazione ha

una conoscenza approfondita dei
prodotti Cisco. La certificazione
prevede un esame pratico di
laboratorio.

Bisogna avere conoscenze di base

sulla progettazione di reti Cisco. Il
corso su cui si basa la certificazione
il DCN.

Diversi sono i corsi consigliati.

PROGETTAZIONE E
INGEGNERIZZAZIONE DI RETI(2)
CCDP
E' il secondo livello di certificazione
per chi si occupa di progettazione di
reti.
Tre dei test necessari a raggiungere
la certificazione sono gli stessi della
certificazione CCNP:
Routing;
Switching e Remote Access.
In pi necessario superare l'esame
di Design. I rispettivi corsi sono:
BSCN;
BCMSN;
BCRAN e CID.

COMPONENTI DI UN ROUTER
CISCO(1)
Le Interfacce di rete sono le connessioni di rete sulla scheda madre
del router, e sono:
1) AUI: interfaccia Ethernet di tipo AUI (attachment unit interface);
2) 10BaseT: interfaccia Ethernet, 10BaseT;
3) SERIALE: interfaccia seriale sincrona (da collegare, con apposito
cavo proprietario, a modem sincroni con interfaccia V.35);
4) BRI: interfaccia verso un accesso base ISDN;
5) ATM: interfaccia ATM, in fibra oppure in rame.

COMPONENTI DI UN ROUTER
CISCO(2)
RAM
(memoria
"volatile"): Si trova la
configurazione
"corrente" del router e le
variabili
temporanee
necessarie al router per
il suo funzionamento

FLASH: memoria di tipo

"permanente", nella quale si
trova il sistema operativo IOS.
Nella memoria Flash possono
essere salvate diverse versioni
dellIOS

NVRAM
(non
volatile
RAM):
preserva
la
configurazione utile allo
startup e al backup. Non
viene persa in caso di
spegnimento del router

GESTIONE E LAVORO DELLA

RAM
LIOS immagazzinato
nella FLASH e viene
caricato nella memoria
principale ogni volta che
il router si inizializza.

Il sistema operativo strutturato in modo da eseguire delle operazioni che

gestiscono dei task associati con differenti protocolli:
spostamento dei dati;
gestione delle tabelle e dei buffer;
aggiornamenti degli instradamenti ;
esecuzione dei comandi utente.

COMPONENTI DI UN ROUTER
CISCO(3)
AUSILIARIA: porta seriale
asincrona RS232 usata per il
collegamento
di
altre
periferiche. E' utilizzata spesso
per la configurazione remota
CONSOLE:
interfaccia
seriale
usata
per
il
collegamento
ad un terminale
seriale

INTERFACCE: sono le
connessioni di rete sulla
scheda
madre
del
router, attraverso le
quale i pacchetti entrano
ed escono

ROM: memoria nella

quale si trova il software
di diagnostica e il
software di base del
router

ROUTER CISCO 827

Il router ADSL (Asymetric
Digital Subscriber Line)
Cisco 827 dedicato al
cosiddetto mercato SOHO
(small office home office)

Le caratteristiche del router Cisco 827 sono le seguenti:

- Gestibilit di Cisco IOS, comprese le funzioni interattive di
diagnostica e debug;
- Interfaccia CLI (Command Line Interface) di Cisco IOS;
- Affidabilit comprovata(ACL, GRE, FIREWALL, VPN);
- Supporto traduzione NAT.

ALCUNE CARATTERISTICHE

SIGNIFICATO LED

Memory/ Flash - 12 MB ( installed) / 20 MB ( max) - flash

Analog Ports Q t y / Digital Ports Qty- 1
Memory/ RAM - 16 MB ( installed) / 32 MB ( max)
Network / Transport Protocol - IPX/SPX
Digital Signaling Protocol - ADSL
Remote Management Protocol - SNMP, HTTP; Switching Protocol - Ethernet
Features - Cisco IOS
Compliant Standards - IEEE 802.3-LAN, ANSI T1.413; ConnectivityTechnology- Cable
Data Transfer Rate - 10 Mbps; Data Link Protocol - Ethernet
Device Type Router; Processor - 1 x Motorola 50 MHz RISC
Porte/Connettori
(1) RJ-45 port for 10BaseT Ethernet; (1) ADSL interface
Memorie
Default DRAM1 Memory - 16 MB; Maximum DRAM Memory- 32 MB
Default Flash2 Memory- 12 MB; Maximum Flash Memory- 20 MB
Software:
MemoryRequirements for Cisco 827 IOS Feature Sets:
IP: 12 MB Flash, 16 MB DRAM; IP Plus: 12 MB Flash, 16 MB DRAM
IP/IPX/Plus: 12 MB Flash, 20 MB DRAM; IP Firewall: 12 MB Flash, 20 MB DRAM
IP Firewall Plus: 12 MB Flash, 20 MB DRAM;
VPN IPX Feature Set: IP/IPX/Plus/Firewall/IPSec 3DES: 12 MB Flash, 20 MB DRAM
VPN Feature Set: IP/Plus Firewall IPSec 56-bit DES: 12 MB Flash, 20 MB DRAM

Sul fronte del router Cisco 827 sono presenti diversi led con il seguente significato:

COLLEGAMENTI CISCO 827

ACCESSO AL ROUTER(1)
Se il router non ancora dotato di
un indirizzo IP, la configurazione
iniziale va effettuata connettendosi
tramite un cavo seriale alla sua
porta console.

Porta
gialla:
cavo Ethernet
(si usa il cavo
streight sia per
i collegamenti
diretti al pc
che per quelli
ad una altro
apparato

E sufficiente utilizzare un PC
dotato di un programma di
emulazione di terminale (ad
esempio Hyper Terminal).

Porta azzurra:
cavo console
(roll over)

Porta
bianca:
cavo
telefonico

ACCESSO AL ROUTER(2)
Se il router gi dotato di un suo indirizzo IP, in quanto gi
configurato, possibile raggiungerlo tramite una sessione
Telnet.

MODALITA DI ACCESSO(2)
Alcune tipologie di modalit di accesso:

MODALITA DI ACCESSO(1)
Quando ci colleghiamo
al nostro router in
modalit
terminale
(Hyper
Terminal
o
Telnet)
abbiamo
a
disposizione
diverse
modalit che permettono
diverse funzionalit.

STARTUP ROUTER(1)
Le fasi principali di startup di un router Cisco, e nello specifico
del Cisco 827 si possono riassumere in questi tre passi:
Controllo dell'Hardware
Ricerca e caricamento dell'immagine del sistema operativo
Ricerca e caricamento della configurazione
La fase di caricamento dell'IOS normalmente effettuata con
un ricerca nella FLASH memory ma pu essere anche
configurata diversamente.
Per default un router Cisco esegue queste priorit di ricerca per
caricare l'immagine dell'IOS: FLASH, TFTP Server, ROM.

STARTUP ROUTER(2)
Da questa schermata abbiamo informazioni riguardo la
versione del Bootstrap del router e il tipo di piattaforma con la
relativa memory:

STARTUP ROUTER(3)
Informazioni riguardo il produttore e relative clausole, versione e
tecnologia di IOS montata:

STARTUP ROUTER(4)

STARTUP ROUTER(5)

Modello router e alcune caratteristiche tecniche del prodotto,

quali:

Una volta effettuato il caricamento dell'IOS e della

configurazione, avviene il cambiamento di stato da down in up
delle interfacce:

processore;
memoria;
interfacce.

IOS E FUNZIONALITA(1)
L'IOS (Internetwork Operating System) che sono in costante
evoluzione, non altro che il sistema operativo dei router
Cisco.

Le immagini sono disponibili per il download dal sito Cisco;

l'utilizzo di tale software subordinato al pagamento di una
licenza, quindi necessario login e password autorizzate a
tale download.

IOS E FUNZIONALITA(2)

Per conoscere caratteristiche e

funzionalit di un determinato
IOS, bisogna registrarsi sul
CCO
(http://www.cisco.com/register).

Per poter quindi ottenere tale aggiornamento d'obbligo

l'acquisto di uno Smartnet, cio un contratto di assistenza,
oppure rivolgersi al proprio rivenditore.

IOS E FUNZIONALITA(3)
Possiamo
ricercare,
confrontare, scaricare e avere
varie informazioni riguardo un
IOS in base al tipo di feature:
IP
IP PLUS
IP/IPX/Plus
IP Firewall
IP Firewall Plus
IP/IPX/Plus/Firewall/IPSec
3DES

CONVENZIONI NOMI IOS(1)

Le versioni di IOS si distinguono in tre classi principali:
- General Deployment: software di sistema considerato stabile ed
esente da bug;
- Early Deployment: release con correzione dei bug della precedente
e nuove features;
- Maintenance Release: sostituisce la General Deployment ed
rappresentata dai vari rilasci di manutenzione.

Sappiamo anche la dimensione

richiesta di flash e memory per
installarla e il nome del file.

CONVENZIONI NOMI IOS(2)

Maintenance Release

CONVENZIONI NOMI IOS(3)

Lettere o gruppi di lettere sono assegnate alle releases della
Technology ED degli IOS. Queste lettere quando sono in prima
posizione definiscono gli IOS Cisco ED:
A = Access Server/Dial technology (per esempio, 11.3AA)
D = xDSL technology (per esempio, 11.3DA)
E = Enterprise feature set (per esempio, 12.1E)
H = SDH/SONET technology (per esempio, 11.3HA)
N = Voice, Multimedia, Conference (per esempio, 11.3NA)
S = Service Provider (per esempio, 12.0S)
T = Consolidated Technology (per esempio, 12.0T)
W = ATM/LAN Switching/Layer 3 Switching (per esempio,
12.0W5)

CONVENZIONI NOMI IOS(4)

Convenzione utilizzata per definire il nome dell'immagine data
dalla seguente tripla:
PPPP = Piattaforma
FFFF = Caratteristiche
MM = Esecuzione in memoria e formato di compressione

CONVENZIONI NOMI IOS(5)

Esempio di un IOS:
nome della
piattaforma
(serie 800
e 820)

m =l'immagine
si
avvia nella RAM;
z=compresso con
zip

c820-k8osv6y6-mz.122-2.T4.bin

K8=codifica

minore o uguale a
64bit; o=firewall; s=sorgente di
scambio
dell'instradamento;
v6=protocollo
voce
H.323;
y6=converte varianti IP

release
principale
12.2, revisione 2,
tecnologia
consolidata, rebuild
di manutenzione 4 di
12.2(2)T

IOS UPGRADE(1)
Laggiornamento dell'IOS di un router normalmente si effettua
attraverso:

IOS UPGRADE(2)
Comando per determinare la dimensione della nostra flash:

un server TFTP con Telnet;

modalit ROMMON con Hyper Terminal.

La prima cosa da fare determinare se l'IOS che si ha

intenzione montare supporti le caratteristiche tecniche del
router, in termini di:
modello del router;
dimensione di flash e di memory a disposizione.

IOS UPGRADE(3)

IOS UPGRADE(4)
Prima di iniziare l'upgrade e'
sempre bene verificare quali
novit presenta l'IOS che
stiamo per caricare, quali
modifiche
sar
necessario
apportare
alla
nostra
configurazione, affinch tutto
continui
a
funzionare
correttamente.

Disponibilit
di
spazio libero della
flash memory

Backup
dellIOS
attualmente
presente nella
flash memory

ROMMON(1)

ROMMON(2)

La modalit ROM monitor consiste in una modalit ibrida

(programma di bootstrap), serve a:
inizializzare il processore ed il sistema operativo del router,
si avvia se non presente nessun IOS;
utilizzata per alcuni lavori di configurazioni (recupero pw,
download di IOS tramite console)

L'aggiornamento di un nuovo IOS pu essere effettuata anche attraverso

la modalit ROM monitor. I passi da seguire sono:
cambiare l'indirizzo di memoria da 0x2102 in 0x2142 con il comando
"confreg 0x2142 e riavviare il router e rientrare nella modalit ROM
monitor.

Per accedere in ROM monitor, in avvio del router bisogna

premere i tasti CTRL + Break.

settare le variabili:
IP_ADDRESS= ip_address (indirizzo del router)
IP_SUBNET_MASK= ip_address (maschera di sottorete del router)
DEFAULT_GATEWAY= ip_address (indirizzo del gateway di default)
TFTP_SERVER= ip_address (indirizzo del server TFTP che contiene
l'IOS)
TFTP_FILE= filename (nome del file che deve essere copiato dal
server TFTP)

ROMMON(3)

CONFIGURAZIONE(1)

Lanciare il comando "tftpdnld" e l'immagine dell'IOS dal server

TFTP verr copiata nella memoria flash del router, similmente
come nella modalit privilegiata attraverso Telnet.

I modi per configurare un router Cisco sono:

1) tramite imputazioni di comandi via console (Hyper
Terminal);
2) tramite imputazione di comandi via telnet;
3) Upload di una configurazione attraverso rete con l'ausilio
di un server TFTP.

La prima configurazione del router si effettua attraverso cavo

console con una sessione Hyper Terminal.
Riavviare il router e durante l'avvio ripristinare l'indirizzo di
configurazione da 0x2142 in 0x2102.

CONFIGURAZIONE(2)

Indipendentemente dal tipo di collegamento al router la

procedura di configurazione identica.

CONFIGURAZIONE(3)
6. selezionare linterfaccia ATM0:
Router(config)#interface ATM0 Router(config -if)#

Per prima cosa entrare nella modalit privilegiata Router#:

1. modalit "configurazione generale"
Router#conf tRouter(config)#
2. selezionare linterfaccia Ethernet0
Router(config)#interface ethernet0Router(config -if)#

7. effettuate le opportune configurazioni

configurazione dellinterfaccia ATM0:
Router(config -if)#exit Router(config)#

3. effettuate le opportune configurazioni uscire

configurazione dellinterfaccia Ethernet0
Router(config -if)#exit Router(config)#

8. configurare il NAT per la rete locale:

Router(config)#ip nat inside source list 1 interface dialer 0
overload

dalla

dalla

9. Definire le opportune AccessList per il NAT:

Router (config)#access-list 1 permit 192.168.0.254 0.0.0.255

4. configurazione del Dialer0 in versione PPPoA o PPPoE

Router(config)#interface dialer0 Router(config -if)#
5. effettuate le opportune configurazioni uscire
configurazione dellinterfaccia Dialer0
Router(config -if)#exit Router(config)#

uscire

dalla

10.Infine salvare la configurazione sulla NVRAM:

Router#copy running-config startup-config o Router#wr

SICUREZZA ROUTER(1)

SICUREZZA ROUTER(2)

Operazione da fare abilitare il sistema di log per tenere traccia

di tutti gli eventi "interessanti".

La criptazione della password di accesso al router non

sufficiente, consigliato sostituire la password di enable con il
"secret" che usa un algoritmo di criptazione non
reversibile(MD5).

service timestamps log datetime

logging trap debugging
logging facility <LOG FILE>
logging <LOG SERVER>

Eliminare la possibilita` che un router utente sia utilizzato come

"ponte" per connessioni illecite, disabilitare la possibilita` di fare
telnet dal router.
username <ACCOUNT SERVIZIO> access-class 1 nopassword
access-list 1 deny any log
....
access-list 2 permit <ROUTER POP> 0.0.0.0
access-list 2 permit <RETE INTERNA> 0.0.0.255

! abilita la criptazione delle password

!
service password-encryption
!
! inserimento password di tipo secret
!
enable secret SECRET1

ACCESS LIST Standard(1)

Le ACL (Access Control List) sono una lista di istruzioni da
applicare alle interfacce per gestire il traffico, filtrando i pacchetti
in entrata e in uscita.
Ragioni per decidere di adoperare le ACL:
Fornire un livello base di sicurezza: restringere gli accessi a
una determinata rete o sottorete;
Limitare il traffico e aumentare la performance della rete:
decidere che alcuni pacchetti vengano processati prima di altri;
Decidere quale tipo di traffico pu essere trasmesso:
permettere linvio di e-mail e impedire allo stesso tempo il Telnet.

ACCESS LIST Standard(2)

Le caratteristiche delle ACL sono:
vengono elaborate dal router in maniera sequenziale;
se un pacchetto soddisfa una delle condizioni, la valutazione
sinterrompe;
se il pacchetto
non
soddisfa
nessuna
delle
condizioni viene
scartato;
si
considera
cha alla fine di
un ACL non
vuota ci sia
listruzione deny
any).

CONFIGURAZIONE ACL
Standard

ACL Standard (Esempio)

Per creare una ACL in configuration mode bisogna definirle con

il seguente comando:

Permettere il traffico dalla rete 172.16.0.0 e contemporaneamente

bloccare quello da altre reti (non-172.16.0.0).

Router(config)#access-list
access-list
number
permit|deny} {test-conditions}
access-list number il numero univoco che identifica ogni
ACL e che ne definisce il tipo;
permit e deny definiscono le condizioni sui pacchetti;
il termine finale specifica la condizione da soddisfare.

access-list 1 permit 172.16.0.0 0.0.255.255

(access-list 1 deny any implicito, non visibile nella lista)
interface ethernet 0
i p access-group 1 out
interface Ethernet 1
i p access-group 1 out

ACCESS LIST Estese

CONFIGURAZIONE ACL
Estesa(1)

Le ACL estese forniscono una maggiore flessibilit e controllo

se paragonate a quelle standard.

Router(config)# access-list access-list-number {deny | permit} protocol source

source-wildcard destination destination-wildcard [operator operand] [established]
[precedence precedence] [log]

Le ACL estese possono effettuare:

il controllo non solo sullindirizzo del mittente, ma anche su
quello del destinatario, su uno specifico protocollo, sul
numero di porta o su altri parametri.
controlli sui singoli protocolli che compongono la suite
(es.ICMP, ).

10

CONFIGURAZIONE ACL
Estesa(2)
Applicare lACL a una o pi interfacce:
Router(config-if)# ip access-group access-list number {in|out}

ACL Estesa (Esempio)

Esempio che dimostra come bloccare esclusivamente il traffico FT P:
access-list 101 deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 21
access-list 101 permit ip 172.16.4.0 0.0.0.255 any
(access-list 101 deny any any implicito, non visibile nella lista)
interface ethernet 0
ip access-group 101

Per cancellare un ACL o rimuoverla da uninterfaccia del Router:

Router(config)# no access-list access-list number
Router(config-if)# no ip access-group access-list number

ALGORITMI PASSWORD
Enable password 7
utilizza un algoritmo proprietario cisco per criptare, molto
debole;
usato per evitare che qualcun'altro, durante l'utilizzo del
comando show conf, possa vedere le password in chiaro;
stringa di password 7 si decripta in pochi secondi.
Enable secret 5
utilizza il ben piu' complesso, ed anche one-way, algoritmo
MD5 per criptare;
password criptata, e salvata nella configurazione, da quel
momento in poi indecifrabile;
MD5 verifica se la password criptata salvata e quella
criptata coincidono;
modo per ricavare una password in MD5 per tentativi.

PASSWORD RECOVERY(1)
Per ripristinare la password smarrita di accesso al router bisogna:
verificare il valore esadecimale del registro di configurazione
che risiede nella NVRAM (per default settato con 0x2102)
"Router# Show ver

MODALITA
AUTENTICAZIONE
Le modalit di accesso al provider attraverso il protocollo ppp sono:
1. CHAP (Challenge Hanshake Autentication Protocol)
utilizza il protocollo di encryption MD5
2. PAP (Password Authentication Protocol)
trasmette username e password in chiaro

MIGLIORE

Sequenza che si verifica:

1) il router chiamante effettua la chiamata;
2) il router chiamato "chiede" al router chiamante username e
password, invia anche un numero casuale (challenge);
3) il router chiamante effettua una funzione (hash) tra username,
password e numero casuale ricevuto, ottenendo una stringa
criptata che invia al router chiamato;
4) il router chiamato effettua la stessa operazione, per verificare che il
chiamante sia autorizzato alla connessione.

PASSWORD RECOVERY(2)
settare il registro con la forma esadecimale 0x2142,
escludendo il caricamento dell'IOS dalla Flash e della
configurazione dalla NVRAM;
il router si avvier senza IOS, configurazione e password
(ROM Monitor).
Bisogna quindi:
1) riavviare il router;

11

RECOVERY PASSWORD(3)

RECOVERY PASSWORD(4)

2) collegarsi al router in modalit console con il cavo apposito;

3) entro 60 secondi premere CTRL+Break (CTRL+PAUSE) dal
terminale collegato.

4) si presenter un nuovo prompt ibrido, senza il nome del

router, ROM Monitor (senza IOS);
5) modificare il registro di configurazione, con "configregister 0x2142" e premere Invio, poi digitare i.
Alla "System configuration dialog rispondere NO e apparir
un nuovo prompt:

RECOVERY PASSWORD(5)

VPN

6) passare alla modalit privilegiata con "ena". Non verr

richiesta la password perch il sistema privo di
configurazione;

Con il termine VPN si descrivono:

ambiti di una rete pubblica che si scambiano, in modo
sicuro, informazioni private;

7) copiare la configurazione presente in Flash e rendere

operativo il router e cambiare la password:
a) "copy startup-config running-config;
b) passare in modalit di configurazione "config t;
c) digitare "enable secret nuovapassword.

Le caratteristiche sono:
stabilire collegamenti a livello di infrastruttura;
rendere sicuro il traffico su una rete creando un tunnel;
consentire
ai
PC
remoti di scambiarsi le
informazioni come se
possedessero
un
collegamento
diretto
(end to end).

8) salvare la configurazione corrente nella Flash con "copy

running-config startup-config;
9) cambiare i settaggi del registro di configurazione e riportarli
ai valori di default: "config-register 0x2102.

VANTAGGI VPN
Il primo vantaggio di tipo economico:
la VPN utilizza Internet, o una Intranet gi esistente, senza
aggravio di spesa relativa alla connettivit;
unica spesa relativa agli apparati di supporto e del sw a
corredo.

ALTERNATIVA
La sicurezza assoluta la si pu avere anche con un link diretto
fra i due end-point, modalit che richiede un collegamento di
tipo "dedicato" che, in ambito WAN, ha costi altissimi!!!

MODALITA VPN: TUNNEL

Tecnologia tipica per
collegamento fra una
filiale
e
la
sede
centrale.
ruolo
fondamentale
router e i firewall;
gli
apparati
trasformano/codificano
tutto il traffico fra gli
end-point;
nessuna percezione
della
crittografia
applicata;

il tunnelling ha notevoli
vantaggi in tema di sicurezza.

12

MODALITA VPN: TRASPORTO

Tecnologia nella quale hanno un ruolo fondamentale i software
impiegati.

l apparato (notebook, palm , wap ecc.) dovr essere dotato di

software per VPN;
il collegamento pu essere effettuato con qualsiasi ISP;
la cifratura e decifratura dei dati garantita dal software e
dagli apparati riceventi;
Internet lascier in chiaro solamente le infomazioni di
instradamento IP (header e trailers dei pacchetti).

IPSEC DI CISCO
Possibilit di implementare i collegamenti VPN sicuri in
modalit tunnel usando il protocollo IPSec (Internet Protocol
Security) di Cisco Systems in modo da rendere sicuri i dati.

Se il protocollo IPSec stato implementato correttamente, gli

utenti remoti possono accedere con sicurezza alle risorse
dell'azienda, certi della propria privacy.

TUNNELING GRE

INCAPSULAMENTO PPP

Funzionalit particolarmente utile quando necessario passare

su Internet del traffico IPX, AppleTalk o DECnet.

Intorno a un frame PPP (un datagramma IP, un datagramma IPX

o un frame NetBEUI) sono disposte:
intestazione GRE (Generic Routing Encapsulation);
IP.

Il tunneling GRE incapsula il protocollo IPX in un pacchetto IP.

La tecnologia GRE non serve per implementare il protocollo
IPSec, anche se i tunnel GRE forniscono un livello significativo
di flessibilit soprattutto quando viene connesso pi di un sito
remoto.

CONFIGURAZIONE IPSEC
I passi principali per implementare la configurazione IPSec, in
generale sono:
Configurare la politica IKE;

Nell'intestazione IP sono presenti:

indirizzi di origine (client);
indirizzi destinazione (server VPN).

CONFIGURARE POLITICA IKE

Protocollo IKE:
v negozia automaticamente parametri sicuri;
v autentica;
v stabilisce accordi tra i protocolli IPsec dei router.

Configurare le trasformazioni IPSec e protocolli;

Creare Access List per la codificazione;
Configurare Crypto Map;
Applicare Crypto Map allinterfaccia.

Per effettuare una politica IKE, bisogna usare i seguenti

comandi:
crypto isakmp policy 1
encr 3des
authentication pre-share
crypto isakmp key sharedkey address 30.30.30.30

13

CONFIGURARE
TRASFORMAZIONI IPSEC
Un transform-set :
la combinazione di regole che governa il modo in cui i dati
vengono crittografati e autenticati
Durante la negoziazione IKE, i punti si accordano nell'usare
una particolare trasform set per poter proteggere il flusso di
dati.
Per configurare una politica IKE, bisogna usare i seguenti
comandi nella confugurazione globale:
crypto ipsec transform-set vpn-test esp-3des esp-shahmac

CREAZIONE ACCESS-LIST
Le Access List definiscono quanto il traffico IP sar protetto con
la codifica.
Le Access List estese precisano ulteriormente gli indirizzi
sorgenti e destinatari e il tipo di pacchetti:
ip access-list extended vpn-static1
permit 192.168.100.0 0.0.0.255 192.168.200.0 0.0.0.255
qualsiasi traffico non protetto verso l'interno, in ingresso di tipo
permit nell'Access List, sar rifiutata: IPsec protegge questo
tipo di traffico
il normale comportamento permette che il resto del traffico sia
spedito senza crittografia: processo nominato tunneling diviso

CONFIGURARE CRYPTO MAP

APPLICAZIONE CRYPTO MAP

Il comando crypto map svolge le seguenti funzioni:

raggruppa tutti gli elementi vengono;
l'ingresso crypto map unisce gli IPsec uguali;
l'ingresso crypto map unisce l'insieme di trasformazioni
usate e le access list usate per definire il traffico.

Le crypto map devono essere applicate ad ogni interfaccia per

cui il traffico IPsec passer.

Il comando ipsec-isakmp indica al mapping che si sta usando

il processo IKE.
crypto map static-map local-address Ethernet0
crypto map static-map 1 ipsec-isakmp
set peer 192.168.101.1
set transform-set vpn-test
match address vpn-static1

ESEMPIO VPN TUNNEL

VPN attraverso Tunnel IPsec tra due apparati Cisco con IP
statico:

Per applicare crypto map all'interfaccia, bisogna usare i

seguenti comandi:
interface Ethernet0
ip address 192.168.100.100 255.255.255.0
crypto map static-map

TIPOLOGIE ATTACCHI
qualsiasi apparato esposto ad internet oggetto di diversi tipi
di attacchi esterni o interni alla stessa lan sulla quale si trovano.
una politica di sicurezza preventiva pu essere effettuata
efficacemente solo a livello di sito utente tramite opportuna
configurazione degli apparati.

14

ATTACCHI DoS
scopo principale di rendere non pi utilizzabile un servizio o
una risorsa, sostituendosi ad essa e trarne cos un illecito
vantaggio.
tipologia di questi attacchi molto vasta, pu andare
dall'impedire la connessione ad un server (o router) al mandare
in crash lo stesso.
casi pi diffusi di questa tipologia di attacchi:
Smurfing;
Attacchi UDP-TCP sulle porte di diagnostica del router;
Attacco "land;
Attacchi "TCP SYN.

ATTACCHI DoS - SMURFING

Coinvolge solitamente:
il sito di origine dell'attacco (sito O);
due siti "vittime;
uno intermedio che "amplifica" l'attacco (sito I);
uno terminale (sito T).
Funzionamento:
ping da O verso una (o
pi reti) del sito I, con
campo IP posto uguale a
quello di un host del sito T;
T generare un flusso
consistente di pacchetti
ICMP dal sito I al sito T.

SMURFING - PROTEZIONE

ATTACCHI DoS UDP-TCP

Evitare che la propria LAN agisca da sito intermedio I,

disabilitando la possibilit di inviare pacchetti dall'esterno
sull'indirizzo di broadcast delle proprie reti:

Altro possibile attacco a cui sono soggetti i router, l'invio di un

grande numero di pacchetti spuri di tipo UDP o TCP sulle porte:
echo;
chargen;
discard;
daytime (quest'ultimo solo TCP).

interface ethernet 0
.....
no ip directed-broadcast

Applicare opportune access-list che controllano che i pacchetti

che escono dalla LAN abbiano nell'header come source
address un indirizzo valido:
access-list 101 permit ip <RETE> 0.0.0.255 any any

ATTACCHI DoS LAND

Esistono tools (noti come land) che permettono di inviare ad un
determinato host pacchetti TCP SYN (di inizio connessione),
con "ip source address" e "port" falsificati e posti uguali
all'indirizzo ed alla porta dell'host di destinazione, causando in
alcuni casi anche lo stallo del router.

Problema abbastanza evidente nelle vecchie versioni di IOS di

Cisco, mentre stato risolto nelle pi recenti versioni, ma negli
altri casi necessario applicare un filtro che blocchi per ogni
interfaccia la ricezione di questi pacchetti.

Il router pu arrivare inutilmente a consumare una grande

percentuale della propria CPU fino, in casi estremi, ad andare
in crash.
Disabilitare tale accesso, con le seguenti istruzioni:
no service udp-small-servers
no service tcp-small-servers

LAND - PROTEZIONE
! impedisce l'invio alle interfacce di pacchetti
! con ip source address uguale a quello dell'interfaccia
!
interface ethernet 0
.....
i p address <ETH ADDRESS> <SUBNET MASK>
i p access-group 102 in
.....
!
!
access-list 102 deny i p <ETH ADDRESS> 0.0.0.0 <ETH
ADDRESS> 0.0.0.0
access-list 102 deny i p <SERIAL ADDRESS> 0.0.0.0 <SERIAL
ADDRESS> 0.0.0.0
access-list 102 permit i p any any

15

ATTACCHI DoS TCP-SYN

TCP-SYN - PROTEZIONE

Funzionamento "TCP SYN:

richiesta di un grande numero di connessioni,
apparentemente da host diversi, ad un router;
il router non ricever mai l'acknowledgment di chiusura del
"TCP three-way handshake"

non possibile rintracciare l'origine dell'attacco, il mittente

viene falsificato;
non esistono metodi semplici di difesa (non fattibile
l'attivazione di una access-list che filtri le connessioni in
ingresso).
Sono attuabili solo alcune contromisure come:

EFFETTI

aumentare la dimensione della coda di connessione (SYN ACK

queue);
diminuire il tempo di time-out per il "three-way handshake;
uso di access-list per filtrare i pacchetti in uscita (diminuisce la
probabilit che la LAN sia utilizzata come base per questo tipo di
attaccho).

riempimento della coda

di connessione del router

USO NON AUTORIZZATO

RISORSE PROTEZIONE HOST
Difficilmente si pu attuare il controllo centralizzato di tutti gli
host sulla propria LAN.

PROTEZIONE HOST
Servizi consigliabili da filtrare o bloccare:

Operazioni alternative:
filtrare selettivamente sul router i servizi tendenzialmente
e ipoteticamente pericolosi;
isolare su una LAN dedicata i server "esterni" ovvero
quelli che devono essere visibili a tutti;
permettere l'accesso verso i server solo limitatamente ai
servizi "ufficiali" offerti;
bloccare sulle macchine utente tutto il traffico diretto
verso le porte "pericolose" (dalle quali comunque di norma
non dovrebbero essere offerti servizi).

MAIL SPAMMING

MAIL SPAMMING - PROTEZIONE

Uso di mailer SMTP da parte di utenti non autorizzati per

ottenere l'invio di decine di migliaia di messaggi di e-mail
(messaggi pubblicitari) non richiesti dai destinatari.

Esempio di access-list che realizza un filtro contro Mail

Spamming:

SOLUZIONE
configurare correttamente gli host di una LAN eliminando la
possibilit di utilizzarli come mail relay dall'esterno.

access-list 103 permit tcp any host <MAIL SERVER 1>

access-list 103 permit tcp any host <MAIL SERVER 2>
access-list 103 deny tcp any <RETE> 0.0.0.255 eq smtp log
access-list 103 permit ip any any

In realt necessario filtrare il servizio smtp dall'esterno verso

tutti gli host ritenuti non "affidabili, lasciando pieno accesso smtp
solo verso i mail server "ufficiali".

16

SPAMMING DOPPIO NON

DELIVERY
Problema ancora aperto lo spamming con il metodo del
"doppio non delivery".
Funzionamento:
lo "spammer aggira le protezioni sul mail-relay, inviando mail
ad un utente inesistente in un dato dominio;
il campo From falsificato posto uguale al "bersaglio;
il sistema di mail del dominio che riceve la mail accetta la
stessa ma determina che l'utente inesistente;
la mail rispedita al mittente (a quello che crede essere il
mittente ma che in realt non ).

ALTRI COMANDI(1)
Uso del
simbolo
?:

Non c' un vero e proprio modo di difendersi se non segnalando

l'accaduto agli ISP ed eventualmente filtrare la connessione
smtp dalle reti in questione.

ALTRI COMANDI(2)
Comando
show config:

ALTRI COMANDI(4)
Comando show
interfaces Dialer0:

ALTRI COMANDI(3)
Comando show vers:

ALTRI COMANDI(5)
Comando show ip interfaces brief:

17