Reti e dintorni

Novembre 2002 N 14

RETI E DINTORNI N 14

Pag. 2

EDITORIALE
Computer Virus Il loro nome deriva dallanalogia che essi hanno con i virus presenti in natura, i quali, non potendo riprodursi autonomamente, infettano delle cellule ospiti trasmettendo ad esse il loro DNA e costringendole a produrre altri virus. I virus dei computer funzionano in modo simile: non potendo riprodursi autonomamente si attaccano a un programma eseguibile ospite e quando questo viene eseguito esso esegue le istruzioni virali e il virus si propaga in altri programmi. Elenchiamo alcune delle propriet possedute dai virus: 1) Modello spazio-tempo: i virus esistono in un certo intervallo di tempo (cio la loro vita) in diversi computer. 2) Riproduzione: questa la caratteristica principale dei virus, cio il fatto che possono riprodursi facilmente. 3) Metabolismo: i virus hanno in un certo senso un metabolismo, in quanto usano lenergia elettrica del computer nel quale sono ospiti per propagarsi ed eseguire le proprie istruzioni. 4) Interazione con lambiente: i virus hanno tra le loro attivit quella di esplorare lambiente in cui si trovano: essi esaminano la memoria e larchitettura dei dischi, alterano indirizzi per nascondere la loro presenza e i propagano in altri computer, cio alterano lambiente in cui si trovano per adattarlo alla propria esistenza. 5) Interdipendenza delle parti: (emergenza) un virus non pu essere diviso in parti, in quanto ci porterebbe alla sua distruzione, come negli esseri viventi una parte separata dalle altre non pu vivere. 6) Stabilit alle perturbazioni: i virus possono girare su una grande variet di macchine anche con sistemi operativi e configurazioni software diversi e infine molti di essi sono in grado di adattarsi e sconfiggere gli antivirus. Perci presentano una grande stabilit alla variazione delle condizioni ambientali. 7) Evoluzione: un virus non pu evolversi tuttavia pu avvenire la mutazione, anche se questa limitata a poche istruzioni, solitamente due o tre. 8) Altri comportamenti: sono state individuate diverse specie di virus, ognuna delle quali ha una sua ben definita nicchia ecologica (cio un certi tipo di macchine) e variazioni allinterno di queste specie. Esse non sopravvivono se spostate dal loro ambiente. Alcuni virus mostrano comportamenti predatori, mentre altri sono territoriali e marcano il loro territorio infetto in modo da non far entrare altri virus della stessa specie. Per tutte queste propriet e per la loro somiglianza quasi perfetta con i loro corrispondenti in natura, i virus sembrano essere molto simili a quello che potremmo definire vita artificiale. Gli scienziati non fanno ricerche su di essi per ovvie ragioni, anche se alcuni di essi ritengono che potrebbero essere usati in maniera benefica ad esempio per aumentare le prestazioni dei computer o per rendere pi intelligenti i sistemi operativi. Worms Gli Worms sono programmi per computer simili ai virus con i quali spesso vengono confusi. Essi infatti si riproducono e si diffondono da un computer ad un altro ma, al contrario dei virus, non hanno bisogno di un programma ospitante dato che sono in grado di riprodursi autonomamente. Perci non modificano i programmi, ma possono trasportare delle informazioni che agiscono proprio come nei veri virus (alcuni di loro si riproducono facendo copie di se stessi che vengono diffuse mediante la posta elettronica). Il pi famoso stato lInternet Worm del Novembre 1988. Esso fu creato da Robert Morris ed era progettato in modo da visitare ogni nodo di Internet e mandare indietro delle informazioni in modo da creare una mappa della Rete. Purtroppo esso and fuori controllo e provoc il blocco di molti sistemi invasi da migliaia di copie. Il suo autore fu condannato a una multa di diecimila dollari e a quattrocento ore di lavoro per la comunit.

RETI E DINTORNI N 14

Pag. 3

CONFIGURAZIONE INIZIALE DEL PIX TRAMITE IL PDM (Pix Device Manager)

Nel numero 2 di Reti e Dintorni, un breve articolo sul PIX e i suoi pi importanti comandi potevano permettere una prima conoscenza di questo apparato. Questo firewall inutile nasconderlo, non nasce con un concetto di semplicit di configurazione, talvolta i comandi sono ostici, ed e per questo che la Cisco ad ogni versione nuova ha portato delle migliorie, cercando di ottenere dei comandi di configurazione like IOS. Nonostante ci, la concorrenza (vedi Checkpoint) ha da sempre favorito una modalit configurativa molto friendly, tramite lutilizzo di finestre e mouse. Anche la Cisco ha ceduto a questa modalit configurativa, ed ha sviluppato il PDM (Pix Device Manager), il quale permette di configurare il PIX tramite finestre https, utilizzando un semplice browser. Il file PDM non un eseguibile che deve essere installato sul PC, ma bens un file che deve essere presente dentro la flash del PIX. La configurazione di un firewall, nella sua totalit, richiede al configuratore una conoscenza approfondita dei protocolli alla quale si perviene soltanto dopo molte giornate di studio. Nonostante ci il PDM permette di configurare facilmente il PIX senza essere distratti da comandi troppo complicati, oppure semplici ma che il loro insieme diventa complicato. Il PDM ci permette di concentrarsi sulle regole che necessitano al cliente per la sua rete e per i suoi servizi, e ci non pu che aumentare lefficienza verso il cliente. Nel seguito prima di descrivere la procedura di una configurazione base tramite PDM, parler di come si pu aggiornare il firmware di un PIX, e di come si preconfigura un PIX nuovo per accedere alla funzionalit PDM.

DOWNLOAD FIRMWARE PIX Per il download del firmware necessario per laggiornamento del PIX andare sulla pagina html: http://www.cisco.com/cgi-bin/tablebuild.pl/pix viene richiesta appena entrati lo user e la password che permetta il download dei file sul sito Cisco. Trovate i file pix-6xx.bin e pdm-2xx.bin (o comunque le ultime versioni) verificare che la flash e la Ram presente sul Pix da aggiornare sia sufficiente per le versioni firmware che scaricate. PRECONFIGURAZIONE DI UN PIX Appena acceso un PIX compare la seguente schermata:
CISCO SYSTEMS PIX FIREWALL Embedded BIOS Version 4.3.207 01/02/02 16:12:22.73 Compiled by morlee 32 MB RAM PCI Device Table. Bus Dev Func VendID DevID Class 00 00 00 8086 7192 Host Bridge 00 07 00 8086 7110 ISA Bridge 00 07 01 8086 7111 IDE Controller 00 07 02 8086 7112 Serial Bus 00 07 03 8086 7113 PCI Bridge 00 0D 00 8086 1209 Ethernet 00 0E 00 8086 1209 Ethernet 00 13 00 8086 1229 Ethernet

Irq

9 11 10 5

Cisco Secure PIX Firewall BIOS (4.2) #0: Mon Dec 31 08:34:35 PST 2001 Platform PIX-515E System Flash=E28F128J3 @ 0xfff00000 Use BREAK or ESC to interrupt flash boot. Use SPACE to begin flash boot immediately. Reading 1528320 bytes of image from flash. ################################################################################# 32MB RAM System Flash=E28F128J3 @ 0xfff00000 BIOS Flash=am29f400b @ 0xd8000 mcwa i82559 Ethernet at irq 11 MAC: 0009.43e9.a7b8 mcwa i82559 Ethernet at irq 10 MAC: 0009.43e9.a7b5 mcwa i82559 Ethernet at irq 5 MAC: 0002.b397.1766 ----------------------------------------------------------------------|| || || ||

RETI E DINTORNI N 14

Pag. 4

|||| |||| ..:||||||:..:||||||:.. c i s c o S y s t e m s Private Internet eXchange ----------------------------------------------------------------------Cisco PIX Firewall Cisco PIX Firewall Version 6.2(1) Licensed Features: Failover: Disabled VPN-DES: Enabled VPN-3DES: Disabled Maximum Interfaces: 3 Cut-through Proxy: Enabled Guards: Enabled URL-filtering: Enabled Inside Hosts: Unlimited Throughput: Unlimited IKE peers: Unlimited . . . Cryptochecksum(changed): d41d8cd9 8f00b204 e9800998 ecf8427e

Versione del Firmware, per verificare anche la versione del PDM si usi il comando show version

Caratteristiche che indicano che la versione del firmware Ristretta. La restrizione non permette lutilizzo del failover e limita le interfacce possibili ad un massimo di 3

Pre-configure PIX Firewall now through interactive prompts [yes]? Cannot select private key

Premete Invio per la preconfigurazione e si ottengono le seguenti righe alle quali si deve rispondere:
Enable password [<use current password>]: tua_password Clock (UTC): Year [2002]: Configurazione della data e dellora Month [Oct]: Day [7]: Configurare lindirizzo IP e la netmask Time [11:32:12]: dellinterfaccia Inside (ethernet 1) Inside IP address: 192.168.0.1 Inside network mask: 255.255.255.0 Host name: PIXLAB Configurare lidentificativo del PIX e il dominio Domain name: tuo_domino.com DNS (se non lo si conosce scrivetene uno IP address of host running PIX Device Manager: 192.168.0.2 qualsiasi) The following configuration will be used: Enable password: cisco Clock (UTC): 11:32:12 Oct 7 2002 Inside IP address: 192.168.0.1 Inside network mask: 255.255.255.0 Host name: PIXLAB Domain name: tuo_dominio.com IP address of host running PIX Device Manager: 192.168.0.2 Use this configuration and write to flash? yes Building configuration... Cryptochecksum: adf319c1 542d509d 0585e364 36e6720d [OK] Configurare lindirizzo IP del client che sar autorizzato a eseguire il PDM installato sul PIX

Type help or '?' for a list of available commands. PIXLAB>

AGGIORNAMENTO FIRMWARE Eseguire sul client 192.168.0.2 un server tftp.

PIXLAB> ena Password: ***** PIXLAB# copy tftp flash:image Address or name of remote host [127.0.0.1]? 192.168.0.2 Source file name [cdisk]? pix622.bin copying tftp://192.168.0.2/pix622.bin to flash:image [yes|no|again]? yes !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!! Received 1658880 bytes Erasing current image

RETI E DINTORNI N 14

Pag. 5

Writing 1540152 bytes of image !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! ! Image installed PIXLAB# copy tftp flash:pdm Address or name of remote host [127.0.0.1]? 192.168.0.2 Source file name [cdisk]? pdm-211.bin copying tftp://192.168.0.2/pdm-211.bin to flash:pdm [yes|no|again]? yes Erasing current PDM file Writing new PDM file !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!! PDM file installed. PIXLAB# reload

Dopo il reload verificare con il comando show version che lavorino le versioni desiderate:
PIXLAB# show version Cisco PIX Firewall Version 6.2(2) Cisco PIX Device Manager Version 2.1(1) Compiled on Fri 07-Jun-02 17:49 by morlee PIXLAB up 13 secs Hardware: PIX-515E, 32 MB RAM, CPU Pentium II 433 MHz Flash E28F128J3 @ 0x300, 16MB BIOS Flash AM29F400B @ 0xfffd8000, 32KB 0: ethernet0: address is 0009.43e9.a7b5, irq 10 1: ethernet1: address is 0009.43e9.a7b8, irq 11 2: ethernet2: address is 0002.b397.1766, irq 5 Licensed Features: Failover: Disabled VPN-DES: Enabled VPN-3DES: Disabled Maximum Interfaces: 3 Cut-through Proxy: Enabled Guards: Enabled URL-filtering: Enabled Inside Hosts: Unlimited Throughput: Unlimited IKE peers: Unlimited Serial Number: 406142718 (0x18353efe) Running Activation Key: 0xf6d85538 0x2386f192 0x492a89d5 0x13522f26 Configuration last modified by enable_15 at 12:33:19.060 UTC Mon Oct 7 2002 PIXLAB#

RETI E DINTORNI N 14

Pag. 6

UTILIZZO DEL PDM Dal client autorizzato collegato sulla lan Inside o tramite cavo cross sullinterfaccia ethernet 1 del pix, lanciamo dal browser http il seguente url: https://192.168.0.1 (voi logicamente metterete il vostro del vostro PIX!!!) Comparir una finestra di security alert dove voi cliccherete YES Compare la seguente:

introdurre solo la password che nel nostro esempio cisco e premere OK Compaiono le seguenti finestre di configurazione Wizard: Finestra: Startup Wizard. Premere Next per continuare con il Wizard oppure Cancel per iniziare direttamente dal PDM

Finestra: Basic Configuration Qui potete riconfigurare il PIX Host Name, il dominio e cambiare la password di enable.

RETI E DINTORNI N 14

Pag. 7

Finestra: Outside Interface Configuration In questa finestra si configura la velocit e il duplex dellinterfaccia Outside (Ethernet 0). Inoltre si definisce la modalit per ottenere lindirizzo Ip dellOutside. Abbiamo tre modi (scegliete il vostro): 1) Tramite un server PPPoE (PPP over Ethernet) configurato dallISP. (pu essere utilizzato su ADSL) 2) Tramite server DHCP. 3) Tramite Ip statico: a) Si configura lindirizzo IP la Netmask e il Default Gateway

Finestra: Auto Update Configuration Qui si pu configurare un server https (porta 443) o http (porta 80) dove il PIX in modo automatico si upgrada la configurazione, il firmware PIX e PDM. Come prima funzionalit. configurazione non abilitate questa

Finestra: Other Interfaces Configuration In questa finestra potete configurare le altre interfacce del PIX. La interfaccia Ethernet 1 sempre chiamata inside ha un livello di sicurezza 100. Questi parametri non possono essere modificati. La interfaccia Ethernet 0 sempre chiamata outside ha un livello di sicurezza 0. Questi parametri non possono essere modificati. Per configurare le altre interfacce selezionarla e premere Edit.

Finestra:Edit Interface Sullinterfaccia selezionata potete configurare: - Il nome dellinterfaccia; - Lindirizzo Ip e relativa Netmask; - Speed e duplex - Il livello di sicurezza (da 0 a 100) (attenzione interfacce con lo stesso livello di sicurezza non potranno mai comunicare tra loro) - Abilitare linterfaccia;

RETI E DINTORNI N 14

Pag. 8

Finestra: NAT and PAT Configuration Possiamo configurare come gli indirizzi Ip sorgente dellinside devono essere trasformati quando attraversano il PIX, dallinside alloutside. Abbiamo le seguenti possibilit: 1) PAT a) Si pu specificare un indirizzo b) Si pu utilizzare lo stesso indirizzo dellinterfaccia outside 2) NAT: si definisce un Pool di indirizzi 3) Nessuna traslazione. Per il PIX di default non permesso nessuna comunicazione attraverso le interfacce. Dopo aver configurato questa finestra sono possibili tutte le sessioni che iniziano dallinside verso le interfacce con livello di sicurezza minore di 100 Finestra: DHCP Server Configuration Il PIX pu anche essere utilizzato come DHCP Server per i client presenti sullinside. sufficiente configurare un Pool di indirizzi e il lease time. (il PIX utilizzer il proprio indirizzo inside come default gateway per i client). Di solito non viene utilizzato! Premete ora Next e dopodich Finish. Avete completato il Wizard con successo.

Questa prima configurazione ha definito i parametri primari e cio a grandi linee: 1) Permettere che tutti i client dallinside possano aprire sessioni verso le altre interfacce. 2) Ricordatevi che comunque i ping non attraversano il PIX (i ping non aprono sessioni!!!). Se si desidera che i pacchetti ICMP attraversino il PIX ci deve essere configurato esplicitamente. 3) Abbiamo configurato e abilitato le interfacce e i relativi indirizzamenti. 4) Abbiamo configurato che tipo di NAT viene utilizzato. Da alcuni clienti questa potrebbe essere la configurazione finale. Ci accade se il cliente non deve fornire servizi (WEB, FTP ecc.) allesterno, e se tutti i client dellinside sono paritari e se lunica subnet che vede linterfaccia inside la sua subnet di appartenenza. In tutti gli altri casi si utilizzerano le funzionalit del PDM vediamo per esempio la:

RETI E DINTORNI N 14

Pag. 9

CONFIGURAZIONE ACCESS RULES Terminata la preconfigurazione tramite il Wizard troverete le regole che permettono ai client dellinside di iniziare le sessioni verso le interfacce meno sicure. Per aggiungere unaltra regola cliccare sulla finestra con il pulsante destro del mouse e selezionare Add, comparir la finestra successiva:

Finestra: Add Rules Action: scegliere fra permit o deny Source Host/Network: il client o la subnet oppure si pu scegliere il nome (che verr risolto tramite dns) o infine il gruppo di clients o networks. (I gruppi devono prima essere definiti nella finestra Host/Networks) Destination Host/Network: vedi precedente Protocol and Service: scegliere fra TCP, UDP, ICMP o IP Se avete scelto TCP o UDP potete definire il servizio (la porta) oppure un gruppo di servizi precedentemente configurato tramite il Manage Service Groups Se avete scelto ICMP potete scegliere lICMP Type. Se avete scelto IP potete scegliere lIP Protocol. Premete OK e successivamente Apply Dal menu cliccare su File e poi su Save Running Configuration to Flash alla finestra successiva premere Apply. Come inizio pu bastare.

R. Gaeta

RETI E DINTORNI N 14

Pag. 10

PROCEDURE DI CREAZIONE VLAN e VLAN DI MANAGEMENT SU APPARATI ENTERASYS

Creare Virtual Lan su alcuni apparati Enterasys non di immediata comprensione, se poi si vuole creare una Vlan di Management diversa dalla Vlan 1 la cosa pu essere quasi oscura. Per Vlan di Management si intende la Vlan per la quale lo switch sar raggiungibile tramite per esempio telnet, snmp ecc. Di default su tutti gli switch questa particolare Vlan la numero 1. In seguito troverete le configurazioni necessarie per creare una VLAN qualsiasi e una VLAN di Management ristretta ad un singolo ID diverso da quello di default. Cio possibile su i seguenti apparati: # VH2402S # VH4802 # Moduli del 6000 # Moduli dellE5 non possibile sugli ELS100TXG.

CONFIGURAZIONE DI UNA VLAN DI MANAGEMENT SU VH2402S MENU NOTE

Verificare/modificare che il VLAN Learning sia su IVL (di default SVL). Ricordarsi che questo cambiamento comporta il reboot dellapparato.

RETI E DINTORNI N 14

Pag. 11

Ora si crei la VLAN di management. Seguire la seguente procedura: VID = X (numero ID che si vuole utilizzare) New Enter VLAN Name = nome locale identificativo Status = Active Egress Ports = 1 (se si vuole associare la porta alla vlan); 0 (se non si vuole associare). Per la vlan di managemnt non necessario che esistano porte fisiche associate a quella vlan. Le associazioni sono obbligatorie solo sullhost virtuale (che vedremo in seguito) e sulla porta in 802.1Q Trunk. Untagged Ports = 1 (se da questa porta non si vuole che escano frames taggate) 0 (se da questa porta si vuole che escano frames taggate, in pratica 802.1Q trunk) APPLY Enter OK Enter

Verificare che effettivamente la porta che deve essere utilizzata per il 802.1Q trunk sia sulla PVID = 4000.

RETI E DINTORNI N 14

Pag. 12

Configurare: Management VLAN = ONE VLAN = X APPLY Return OK

CONFIGURAZIONE DI UNA VLAN DI MANAGEMENT SU 6H123-50/6E123-26 MENU NOTE

RETI E DINTORNI N 14

Pag. 13

Verificare/configurare: Operational Mode = 802.1Q Switching Management Mode = Standalone SAVE Enter

RETI E DINTORNI N 14

Pag. 14

Creare la VLAN di Management: VLAN Operation Mode = SECURE Forward Default VLAN Out All Ports = NO VLAN ID = X VLAN Name = Nome della VLAN ADD Return Admin Status = ENABLED SAVE Return

Configurare la porta 802.1Q trunk: Port Mode = 1QTRUNK Configurare lHOST DATA PORT in modo che appartenga alla VLAN scelta per il management. LHOST DATA PORT sempre lultima porta della lista. Nel caso del 6H123-50 la numero 15. Nel caso del 6E123-26 la numero 31. VLAN ID = X SAVE Enter

RETI E DINTORNI N 14

Pag. 15

CONFIGURAZIONE DI UNA VLAN DI MANAGEMENT SU 5H102-48 / 5G106-06 MENU NOTE

Verificare/modificare che il VLAN Learning sia su IVL. Configurare: Host Vlan ID = X (la ID della vostra VLAN di Management) SAVE Enter

Creare la vlan di management nella stessa modalit dei VH2402S. Sempre qui configurare la porta utilizzata per il trunking.

RETI E DINTORNI N 14

Pag. 16

Non obbligatorio associare alcuna porta fisica alla vlan di management.

R. Gaeta

RETI E DINTORNI N 14

Pag. 17

CONFIGURAZIONE DELLACCESS POINT CISCO AIRONET 350

Generalit sullACCESS POINT

Sulla parte frontale vi sono tre indicatori a led: 1) Indicatore Ethernet: questo led lampeggia quando un pacchetto trasmesso o ricevuto dalla porta ethernet. 2) Indicatore Status: se il led lampeggia, lapparato funziona normalmente, ma nessuna client wireless associato. Se il led acceso in modo costante, vuol dire che almeno un client wireless si associato. 3) Indicatore Radio: il led lampeggia ogni volta un pacchetto ricevuto o trasmesso dalle antenne. Sulla parte posteriore trovate il MAC ADDRESS (sar simile al seguente 004096xxxxxx, dove le x indicano un numero esadecimale) dellapparato, che deve essere appuntato, in quanto sar utilizzato successivamente.

INSTALLAZIONE DELLUTILITY IPSU

Questa utility deve essere installata (se non gi presente!) sul pc che verr utilizzato per configurare lAccess Point. Il PC deve essere collegato sulla stessa lan di collegamento dellAccess Point. Si procedi nel seguente modo: a) Inserire il Cisco Aironet Access Point CD nel pc. b) Tramite windows explorer trovare la cartella IPSU. Dentro questa cartella fate doppio click sul file eseguibile setup.exe. Seguire le indicazioni fornite dal software di installazione. c) Fare doppio click sullicona IPSU presente sul desktop del pc.

CONFIGURAZIONE DELLINDIRIZZO IP DI MANAGEMENT

Lutility IPSU pu configurare lindirizzo IP o il valore di SSID solo se i rispettivi valori presenti sullAccess point sono quelli di default. Una volta modificati questi valori lutilit IPSU non pu pi modificarli, in quanto questa utility non ha nessun livello di sicurezza. Eventuali altre modifiche potranno essere effettuate o tramite console o tramite browser http. Per configurare lindirizzo IP, tramite IPSU, si proceda nel seguente modo: a) Settare sulla finestra dellIPSU, il valore di Function in Set Parameters b) Inserire il MAC ADDRESS dellAccess Point c) Inserire lindirizzo IP di management che si vuole fornire allapparato d) Inserire il valore SSID che stato precedentemente fornito da Albacom e) Premere il pulsante Set Parameters f) Fare una prova di raggiungibilit dellAccess Point tramite una sequenza di ping (lindirizzo ip del Pc deve appartenere alla stessa classe dellindirizzo fornito allAccess point)

Ora tramite il pc entriamo tramite il browser in http sullAccess Point.

RETI E DINTORNI N 14

Pag. 18

CONFIGURAZIONE DELLACCESS POINT TRAMITE HTTP

La prima finestra che appare il menu principale, come rappresentato in figura:

Si entri nel menu di setup, (fare click sul pulsante di Setup). Appare la seguente finestra:

Ora fare click su Express setup: Appare la seguente finestra:

RETI E DINTORNI N 14

Pag. 19

Configurare le seguenti voci: 1) 2) 3) 4) 5) 6) 7) 8) 9) 10) 11) 12) System Name: identificativo dellaccess point Configuration Server Protocol: settare a NONE Default IP Address: dovreste trovare lindirizzo ip gi definito dallutility IPSU Default IP Subnet Mask: settare la netmask Default Gateway: settare lindirizzo del default router SSID: dovreste trovare il valore gi settato tramite lutility IPSU Role in Radio network: settare laccess point come Root Optimize Radio Network For: settare come Throughput, se alcune porzioni della zona da coprire rimangono scoperte provare a settare come Range Ensure Compatibility With: settare 2Mb/sec Clients e non-Aironet 802.11 SNMP Admin Community: settare la password SNMP Cliccare su Apply Cliccare su OK

Ora ritornate nel menu di setup e cliccate su Hardware presente sulla riga AP Radio sotto Network ports. Appare la seguente a finestra:

Configurare solo le seguenti voci: 1) 2) 3) 4) Allow Broadcast SSID to Associate?: settare no Data Rates (Mb/s): 1.0 basic; 2.0 basic; 5.5 basic; 11.0 basic. Tranmit Power: 50 mW Search for less-congested Radio Channel?: yes

RETI E DINTORNI N 14

Pag. 20

5) Apply 6) OK Ora ritornate nel menu di setup e cliccate su Security: Appare la seguente finestra (menu di Security Setup):

Cliccare su Radio Data Encryption (WEP): Appare la seguente finestra:

Configurare le seguenti voci: 1) Accept Authentication Types: settare Open 2) WEP Key 1 Encryption Key: settare la chiave WEP formata esattamente da 10 numeri esadecimali 3) Key Size: settare 40-bit (i 40 bit assicurano la compatibilit al 100% con schede client di altri produttori, se le schede client sono tutte Cisco potete settare la chiave 128-bit, e formata da 26 numeri esadecimali) 4) Apply 5) OK Sempre dalla finestra Radio Data Encryption (WEP) settare il seguente campo: 1) Use of Data Encryptionby Stations is: settare Full Encryption 2) Apply 3) OK Ritornare al menu Security Setup: Cliccare su User Information:

RETI E DINTORNI N 14

Pag. 21

Appare la seguente finestra:

1) Cliccare su Add New User Appare la seguente finestra:

Configurare le seguenti voci: 1) 2) 3) 4) 5) user name: settare il nickname da usare come amministratore dellAccess point new password: settare la password dellamministratore confirm password: riscrivere la precedente password capabilty settings: settare SNMP, Ident e Firmware (automaticamente sono settati anche Admin e Write) Apply

Ora ritornate alla seguente finestra:

Devono essere rimossi ogni eventuale utente diverso da quello appena configurato per fare ci si esegua: 1) cliccare sul nickname che si vuole eliminare, (colonna User Name) 2) Sulla finestra che compare cliccare il pulsante Remove user 3) Ripetere la procedura fino a quando non rimane soltanto lutente desiderato. Ritornate al menu Security Setup: Cliccate su User Manager.

RETI E DINTORNI N 14

Pag. 22

Appare la seguente finestra

Configurare i seguenti campi: 1) 2) 3) 4) 5) User Manager: settare Enabled Allow Read-Only Browsing without Login?: settare no Protect Legal Credit Page?: settare yes Apply OK Tabella riassuntiva dei valori Campo System Name Indirizzo Ip NetMask Default Gateway SSID SNMP Community WEP Key (10 o 26 numeri esadecimali) User Name Password

Valore

Configurazione di un Access Point Cisco come Repeater

Uno o pi Access Point aggiuntivi possono essere utilizzati per estendere la copertura della cella Radio. Nel caso esista una rete Lan cablata e distribuita si potranno installare altri Access Point collegati alla rete e settati su canali non interferenti. Nel caso non sia presente la rete lan si potranno utilizzare, gli Access Point configurati come Repeater.

Configurazione Repeater
Il settaggio deve essere ripetuto come descritto in precedenza. Di tutti i valori impostati in precedenza devono essere diversi o modificati solo i seguenti valori: Nel menu Express Setup configurare: 1) System Name: identificativo dellaccess point Repeater (valore definito da Albacom) 2) Default IP Address: Indirizzo Ip del Reapeater (valore definito da Albacom) 3) Role in Radio network: settare laccess point come Repeater 4) Cliccare su Apply 5) Cliccare su OK

Procedura di RESET
Se per qualsiasi evenienza si deve procedere a un reset completo dellAccess point si esegua la seguente procedura:

RETI E DINTORNI N 14

Pag. 23

1) dal menu di Setup si selezioni Cisco services (o Aironet Services) 2) Appare la seguente finestra:

3) Selezionare Manage System Configuration: Appare la seguente finestra

4) Selezionare Reset All System Factory Defaults (N.B. Effettuare questo comando solo se siete collegati con il vostro PC sulla stessa LAN)

RETI E DINTORNI N 14

Pag. 24

R. Gaeta

RETI E DINTORNI N 14

Pag. 25

CONFIGURAZIONE DELLA SCHEDA WIRELESS AIR-PCM352 e AIR-PCI352

Generalit sulla scheda AIR-PCM352

La scheda AIR-PCM352 deve essere installata su uno slot PCMCIA di Tipo II o Tipo III, presente sul pc, mentre la scheda AIR-PCI352 deve essere installata in uno slot PCI di Pc. La procedura dinstallazione similare a qualsiasi altra installazione di schede aggiuntive su un pc. In questa sezione descriveremo, la procedura da seguire nel caso dei seguenti sistemi operativi: Windows98; Windows2000. (per altri sistemi operativi come Windows 95;
RF Activity Status

Windows NT; Windows CE; Windows 3.11; Windows Me; Windows XP;

MS-DOS; Linux; MacOS 9.x fare riferimento al manuale di riferimento, presente sul Cisco Wireless Client CD). Windows 98
1) Inserire la scheda nello slot. Automaticamente Windows apre la finestra New Hardware Found, ed inizia a raccolgliere informazioni dal suo database dei driver Appare la finestra Add New Hardware Cliccare su Next Selezionare Display a list of all the drivers in a specific location e cliccare su Next Selezionare Network adapters e cliccare su Next Cliccare su Have Disk Inserire il Cisco Aironet Wireless Client CD, nel pc. Selezionare il percorso. (Se il CD viene visto come D allora sara D:\Win98) Cliccare OK Selezionare nella finestra Select Device il driver della scheda e cliccare su OK Cliccare Next Cliccare Finish Al Prompt per il riavvio del computer, cliccare Yes Rimuovere il CD dal Pc. Procedere al binding con il protocollo TCP/IP e relativa configurazione. (indirizzo Ip, netmask, default gateway ecc.) 1)

Windows 2000
Inserire la scheda nello slot. Automaticamente Windows apre la finestra New Hardware Found, ed inizia a raccolgliere informazioni dal suo database dei driver 2) Cliccare su Next 3) Selezionare Display a list of all the drivers in a specific location e cliccare su Next 4) Cliccare su Have Disk 5) Inserire il Cisco Aironet Wireless Client CD, nel pc 6) Selezionare il percorso. (Se il CD viene visto come D allora sara D:\Win2000) 7) Cliccare OK 8) Selezionare nella finestra Select Device il driver della scheda e cliccare su cliccare Next 9) Cliccare Finish 10) Rimuovere il CD dal Pc. 11) Procedere al binding con il protocollo TCP/IP e relativa configurazione (indirizzo Ip, netmask, default gateway ecc.)

2) 3) 4) 5) 6) 7) 8) 9) 10) 11) 12) 13) 14) 15)

Installazione delle AIRONET CLIENT UTILITY (ACU)

1) Inserire il Cisco Aironet Wireless Client CD, nel pc. 2) Se il CD viene visto come D, allora eseguire il file D:\Aironet Client Utility\Setup.exe 3) Alla finestra di Welcome cliccare Next 4) Alla finestra Select Options cliccare Next 5) Alla finestra del percorso dinstallazione, cliccare Next 6) Alla finestra Select Program Folder cliccare Next 7) Cliccare Finish

Utilizzo e configurazione dell AIRONET CLIENT UTILITY

Eseguire lutility ACU La prima volta che viene eseguita, non presente nessun profilo utente. I profili utenti permettono di utilizzare il PC portatile provvisto di scheda wireless in diversi ambienti wireless, che logicamente avranno parametri di configurazione per il link wireless diversi. Quindi si pu avere, per esempio, il profilo definito per la rete wireless aziendale di Roma e un altro per la rete aziendale di Milano. Per creare un profilo utente cliccare Add definire il nome del profilo utente e cliccare Apply

RETI E DINTORNI N 14

Pag. 26

Profilo utilizzato dal client wireless

Profilo gi presente che si vuole o Configurare o Rinominare o Cancellare

Subito dopo compare la finestra di configurazione del profilo utente (che comunque pu essere fatto anche successivamente dalla finestra di Profile Manager cliccando Edit).

Configurare i seguenti campi: 1) Client Name: settare nome identificativo del Pc 2) SSID1: settare la stringa SSID (deve essere identico al SSID dellAccess Point al quale il client si deve associare) 3) Power Save mode: settare CAM (soltanto se si hanno problemi di durata della batteria del pc portatile settare Fast PSP) 4) Network Type: settare Infrastructure Cliccare su Network Security Appare la seguente finestra:

RETI E DINTORNI N 14

Pag. 27

Configurare i seguenti campi: 1) WEP: Settare Use Static WEP Keys 2) Transmit Key: settare la WEP Key 1 (la chiave deve essere identica alla chiave wep configurata sullaccess point al quale il client deve essere autenticato) 3) WEP Key Size: settare a 40 o 128 (la lunghezza della chiave deve essere identica alla chiave wep configurata sullaccess point al quale il client deve essere autenticato) 4) Access Point Authentication: settare Open Authentication 5) OK Nella finestra Profile Manager verificare che nella casella User Selected Profile sia selezionato il profilo desiderato. Cliccare su Apply e OK. A questo punto potete verificare se la scheda si associata allAccess point, come scritto in precedenza, guardando nella parte inferiore dellAironet Client Utility, dove comparir una scritta del tipo: Your 350 Series is Associated to . Inoltre se avete configurato in modo opportuno il protocollo TCP/IP associato alla scheda, potete iniziare a trasmettere/ricevere dati dalla rete.

UTILIZZO DELLUTILITY LINK STATUS METER

Questa utility pu essere utilizzata per visualizzare la qualit e lintensit del segnale. Infatti non sufficiente visualizzare soltanto lintensit, perch un valore alto dellintensit, pu essere anche dovuto a delle interferenze costruttive dai vari segnali radio riflessi nellambiente. Il valore pi importante sicuramente la qualit del segnale. I valori sono espressi in percentuale, ed inoltre lutility visualizza uno storico (tramite puntini neri) delle caratteristiche del segnale. Viene anche evidenziato il nome, il Mac Address e lindirizzo IP dellAccess Point al quale si associati.

R. Gaeta