Braingineer

PEntru ca am citit aici un articol interesant despre remote admin, unde se amintea si de setarea SSH pe un router CISCO, m-am gandit ca n-ar fi rau sa vedem cum se configureaza. Dupa cum bine stiti, toti CCNA-istii invata cum se configureaza un acces telnet, care insa nu ofera nivelul de siguranta necesar unei retele corporative.

SSH (Secure Shell) ofera doua tipuri de versiuni de conectare, numite simplu SSH 1 si SSH 2. De mentionat ca sunt doua protocoale de comunicatie total diferite, motiv pentru care recomand versiunea 2, care ofera mult mai multa securitate. In orice caz, trebuie sa mentionam ca toate IOS-urile mai mari de versiunea 12 au suport pentru SSH1, dar SSH2 suporta doar 12.3—12.3(4)T, 12.2(25)S, 12.3(7)JA sau mai noi, care suporta 3DES.

Haideti sa vedem si ce avem de facut pentru ca routerul nostru sa poata comunica:

Router(config)# hostname Routerulmeu
Routerulmeu(config)#
TR-Router(config)# ip domain-name Domeniulmeu.com
TR-Router(config)#
Routerulmeu(config)# crypto key generate rsa
The name for the keys will be: routerulmeu.Domeniulmeu.com
Choose the size of the key modulus in the range of 360 to 2048
for your General Purpose Keys. Choosing a key modulus greater than
512 may take a few minutes.

How many bits in the modulus [512]: 512
% Generating 512 bit RSA keys ...[OK]

TR-Router(config)#
*Mar  1 00:17:13.337: %SSH-5-ENABLED: SSH 1.5 has been enabled
TR-Router(config)#

SSH 1.5 este conventia folosita deCISCO pentru SSH1. Daca apare SSH 1.99 inseamna ca routerul suporta ambele versiuni de SSH.

Succes!!

Pentru ca nu pun filmulete de pe alte site-uri, nici poze cu pitzipoance, nici nu comentez politica sau meciurile de fotbal. Pentru ca imi dau cu parerea doar in domeniile in care ma pricep. Putine dar bune!  Pentru ca nu-i injur pe Zoso, pe Buddha, pe Arhi, Visurat, etc. Pentru ca scriu despre chestii pe care nu le intelege toata lumea. Pentru ca ma adresez doar celor care au legatura cu un anumit domeniu (networking). Pentru ca… va las pe voi sa completati!!!

Uite de aia n-o sa am eu bani de Mercedes anul viitor!!! Da´nu-i nimic, tot o sa-mi ramana bani de un router nou !

…pentru Windows XP. Stiu ca toata lumea asteapta Tips&trick pentru vista, dar cum respectivul semi-esec Microsoft nu mi-a starnit curiozitatea, ma limitez la mult mai batranul si stabilul XP.

Treaba e simpla. Dupa cum cred ca stiti, marea majoritate a utilitatilor XP se pot accesa si din linia de comanda (Start-Run, si scrieti in casuta). Sintaxa e la fel de simpla:

Applicatie = Comanda

Accessibility Controls = access.cpl
Add Hardware Wizard = hdwwiz.cpl
Add/Remove Programs = appwiz.cpl
Administrative Tools = control admintools
Automatic Updates = wuaucpl.cpl
Bluetooth Transfer Wizard = fsquirt
Calculator = calc
Certificate Manager = certmgr.msc
Character Map = charmap
Check Disk Utility = chkdsk
Clipboard Viewer = clipbrd
Command Prompt = cmd
Component Services = dcomcnfg
Computer Management = compmgmt.msc
Date and Time Properties = timedate.cpl
DDE Shares = ddeshare
Device Manager = devmgmt.msc
Direct X Control Panel (If Installed)* = directx.cpl
Direct X Troubleshooter = dxdiag
Disk Cleanup Utility = cleanmgr
Disk Defragment = dfrg.msc
Disk Management = diskmgmt.msc
Disk Partition Manager = diskpart
Display Properties = control desktop/desk.cpl
Dr. Watson System Troubleshooting Utility = drwtsn32
Driver Verifier Utility = verifier
Event Viewer = eventvwr.msc
File Signature Verification Tool = sigverif
Findfast = findfast.cpl
Folders Properties = control folders
Fonts = control fonts
Fonts Folder = fonts
Free Cell Card Game = freecell
Game Controllers = joy.cpl
Group Policy Editor (XP Prof) = gpedit.msc
Hearts Card Game = mshearts
Iexpress Wizard = iexpress
Indexing Service = ciadv.msc
Internet Properties = inetcpl.cpl
IP Configuration = ipconfig
Java Control Panel (If Installed) = jpicpl32.cpl
Java Application Cache Viewer (If Installed) = javaws
Keyboard Properties = control keyboard
Local Security Settings = secpol.msc
Local Users and Groups = lusrmgr.msc
Logs You Out Of Windows = logoff
Microsoft Chat = winchat
Minesweeper Game = winmine
Mouse Properties = control mouse
Mouse Properties = main.cpl
Network Connections = control netconnections
Network Connections = ncpa.cpl
Network Setup Wizard = netsetup.cpl
Notepad = notepad
Nview Desktop Manager (If Installed) = nvtuicpl.cpl
Object Packager = packager
ODBC Data Source Administrator = odbccp32.cpl
On Screen Keyboard = osk
Opens AC3 Filter (If Installed) = ac3filter.cpl
Password Properties = password.cpl
Performance Monitor = perfmon.msc
Performance Monitor = perfmon
Phone and Modem Options = telephon.cpl
Power Configuration = powercfg.cpl
Printers and Faxes = control printers
Printers Folder = printers
Private Character Editor = eudcedit
Quicktime (If Installed) = QuickTime.cpl
Regional Settings = intl.cpl
Registry Editor = regedit
Registry Editor = regedit32
Remote Desktop = mstsc
Removable Storage = ntmsmgr.msc
Removable Storage Operator Requests = ntmsoprq.msc
Resultant Set of Policy (XP Prof) = rsop.msc
Scanners and Cameras = sticpl.cpl
Scheduled Tasks = control schedtasks
Security Center = wscui.cpl
Services = services.msc
Shared Folders = fsmgmt.msc
Shuts Down Windows = shutdown
Sounds and Audio = mmsys.cpl
Spider Solitare Card Game = spider
SQL Client Configuration = cliconfg
System Configuration Editor = sysedit
System Configuration Utility = msconfig
System File Checker Utility = sfc
System Properties = sysdm.cpl
Task Manager = taskmgr
Telnet Client = telnet
User Account Management = nusrmgr.cpl
Utility Manager = utilman
Windows Firewall = firewall.cpl
Windows Magnifier = magnify
Windows Management Infrastructure = wmimgmt.msc
Windows System Security Tool = syskey
Windows Update Launches = wupdmgr
Windows XP Tour Wizard = tourstart
Wordpad = write

Sper sa va foloseasca. Linia de comanda e mult mai puternica si mai flexibila decat modul grafic…

Sa mergem mai departe cu configuratia initiala a unui router:

Configuratia unei interfete de retea:

configurare interfata de retea

ca de obicei, click pe imagine.

haideti sa vedem si comenzile si explicatia lor (daca e cazul):

RouterA> enable
RouterA# config terminal
RouterA(config)# interface fastethernet 0/0 * (intra in Submodul de Configuratie de Interfata)
RouterA(config-if)# ip address 192.168.0.1 255.255.255.0 (configureaza  IP-ul interfetei)
RouterA(config-if)# no shutdown (activeaza interfata)
RouterA(config-if)# description lan (aloca un nume interfetei)
RouterA(config-if)# exit
RouterA(config)#

* Tineti minte ca interfata poate fi  Ethernet sau Fast Ethernet si ca numarul poate fi 0, 1, 0/0, 0/1, etc. Datele variaza conform modelului de router…

La fel se configureaza si interfetele seriale ca DTE

In cazul DCE situatia e putin schimbata, dar nu cu mult:

RouterB> enable
RouterB# config terminal
RouterB(config)# interface serial 0/1
RouterB(config-if)# ip address 10.0.0.2 255.0.0.0
RouterB(config-if)# clock rate 56000 (configureaza sincronizarea intre link-uri)
RouterB(config-if)# no shutdown
RouterB(config-if)# description lan
RouterB(config-if)# exit
RouterB(config)#

Haideti sa vedem si explicatiile. In primul rand, va trebui sa ne lamurim ce este DTE si DCE.

Presupunem urmatoarea configuratie de retea:

dce+dte

Pentru comunicatiile pe distanta mare, WAN-urile utilizeaza transmisiunile seriale(bitii de date se transmit pe un singur canal). Acest tip de transmisie reprezinta o conexiune sigura, pe un rang specific de frecvente electromagnetice sau optice.

Pentru un router CISCO exista 2 tipuri de conexiuni seriale.

Daca respectiva conexiune se face direct cu providerul de internet sau prin intermediul unui dispozitiv care ofera semnal de temporizare, atunci routerul se numeste Terminal de Date (DTE).

Clar, exista si cea de-a doua varianta, si anume aceea in care routerul este cel care ofera temporizarea, caz in care se numeste DCE.

In concluzie, in situtia in care avem 2 routere conectate intre ele printr-un cablu serial, unul trebuie sa ofere temporizarea, caz in care folosim configuratia de mai sus.

Bun, daca am ajuns aici, atunci va propun pentru data viitoare un mic scenariu, si anume acela de a crea o arhitectura de retea care sa cuprinda vlan-uri, servere, routere, switch-uri, etc, intr-o formula complicata la prima vedere, dar pe masura ce vor exista si explicatiile, vom vedea ca este chiar simplu.

Respectivul scenariu va fi construit initial cu ajutorul PacketTracer (simulatorul celor de la Cisco) urmand ca pe viitor, aceeasi retea sa fie construita si in GNS3, cu masini virtuale, DMZ, firewall, etc.

Succes!

Cateva chestii putin mai avansate, pentru cei care se lovesc de asa ceva in retelistica. Promit sa nu mai fac si sa  explic de la 0 totul…

Split Tunneling: Este optiunea prin care clientul, in incercarea de a se conecta prin VPN, nu are acces la Internet:
int e0
ip address 192.168.40.51 255.255.255.0
sh int ip brief

FASA 1
crypto isakmp policy 20
authentication pre-shared
encryption 3des
hash md5
group 2

FASA II
crypto ipsec transform-set ESP_DES_SHA esp-des esp-sha-hmac
ip local pool VPNPOOL 11.0.0.1-11.0.0.20 <– pentru IP-ul clientilor de vpn

group policy clientgroup internal
group-policy clientgroup attributes
vpn-idle-timeout 20

Informatia trimisa clientului de VPN

dns-server value 192.168.1.20
split-tunnel-policy tunnel-all

username xxxxxx password xxxxxx

tunnel-group CISCO type ipsec-ra
tunnel-group CISCO general-attributes
address-pol VPNPOOL
default-group-policy clentgroup
authorization-server-group LOCAL <- Propriul PIX il cere de forma automatica in local
authentication-server-group LOCAL

tunnel-group CISCO ipsec-attributes
pre-shared-key xxxxxxxxx

Cream un dinamic map in loc de crypto map

crypto dynamic-map DYNMAP 20 set transform-set ESP_DES_SHA
crypto map VPN 20 ipsec-isakmp dynamic DYNMAP
crypto map VPN interface outside <- se aloca unei interfete

isakmp enable outside
isakmp identity address

username user1 password passsword1

COMPATIBILITATEA PROTOCOALELOR INTRE FAZA I SI II
In Faza I:

Cu aes folosim SHA
cu aes nu folosim niciodata MD5
Cu DEs nu folosim  SHA

In Faza II:

Cu 3des si Sha incompatibil
Cu aes si md5 incompatibil
cu aes si Sha sunt compatibile

TUNEL DINAMIC (urmatorii pasi in tunelul creat anterior)

crypto MAP MAPA 20 ipsec-isakmp dynamic DYN
tunnel-group CISCO type ipssc-va

tunnel-group CISCO general-attributes

group-policy clientegroup attributes
password-storage enable <- permite salvarea parolei pentru conexiuni posterioare.

…numai pentru cine intelege…

pentru ca m-au intrebat prietenii, mai jos gasiti cateva linii de configuratie SDM pentru un router Cisco intr-o retea virtuala GNS3:

Router(config)#username numele tau secret parola
Router(config)#username numele tau Privilege 15

Router(config)#ip http server

Router(config)#ip http authentication enable
Router(config)#ip http authentication local

Router(config)#line vty 0 4
Router(config-line)#login local
Router(config-line)#line con 0
Router(config-line)#login local

Pentru a functiona cu SSH adaugam:

Router(config)#ip http secure-server
% Generating 1024 bit RSA keys, keys will be non-exportable…[OK]

Router(config)#line vty 0 4
Router(config-line)#transport input telnet ssh

** Daca, prin absurd, nu functioneaza, deschideti un proiect GNS care functioneaza si stergeti partea cu placa de retea

Data trecuta reusisem sa configuram o conexiune initiala cu routerul, prin intermediul cablului de consola. Va ramasesem dator cu urmatorii pasi.

Asadar :

Mod configurare

Avem modul de configurare activat. Mergem mai departe, iar urmatorul pas ar fi, logic, stabilirea uni nume sisecurizarea routerului. Pentru asta se introduc urmatoarele comenzi:

Stabilire hostname si parola

Ca de obicei, click pe imagine pentru detalii!

Router>enable
Router#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
Router(config)#hostname Routerulmeu
Routerulmeu(config)#line console 0
Routerulmeu(config-line)#password parolata
Routerulmeu(config-line)#login
Routerulmeu(config-line)#

Asta inseamna ca, incepand cu acest moment, routerul imi va cere  parola de fiecare data cand intru in modul de configurare:

Routerulmeu#exit

Routerulmeu>

BUn, acum ca avem o parola pentru conectarea prin cablu de consola, facem un exercittiu de gandire si ajungem la concluzia ca nu intotdeauna o sa fim langa router. Drept urmare avem nevoie si de alt tip de conectare.

In cazul nostru vorbim de una sau mai multe linii de telnet, foarte utile in configurarea unui router cisco:

Routerulmeu>enable
Routerulmeu#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
Routerulmeu(config)#line vty 0 5
Routerulmeu(config-line)#password parolatelnet
Routerulmeu(config-line)#login
Routerulmeu(config-line)#exit
Routerulmeu(config)#

Dupa cum spuneam mai sus, putem stabili mai multe linii de telnet (functie de necesitate), pe care le securizam cu ajutorul unei parole. MARE atentie, pentru ca telnetul transmite comunicatiile necifrate, ceea ce inseamna ca pot fi interceptate extrem de usor.

Mai avem un pas de facut, si anume cifrarea tuturor parolelor stabilite, cu ajutorul comenzii :

Routerulmeu(config)#service password-encryption

Data viitoare vom intra in modul de configurare a interfetei de retea si vom vedea cum se configureaza!

… nu va ganditi la grilele de examen pe alea cautati-le singuri, desi nu vi le recomand. Nu din egoism, dar retelistica este o treaba seriosa si nu se merita sa aveti o diploma si sa nu aveti habar de ce aveti de facut.

Asadar, revenind la cadou, am gasit un site (http://packetlife.net/cheatsheets/) cu cateva fisiere PDF care va pot fi de mare ajutor. Fisierele sunt gratuite, si se pot distribui liber, asa ca mi-am permis sa le pun pe blog:

bgp cheatsheet

cisco-ios-versions

common-ports

eigrp

first-hop-redundancyip-access-lists

ipsec

ipv4-multicast

ipv6

is-is

mpls

ospf

qos

spanning-tree

subnetting

vlans_

Sper sa va fie de folos !

Dupa cum presupun ca stiti deja, toti studentii de CISCO trebuie sa aiba solide cunostinte de matematica binara. Asta inseamna conversia obisnuita intre binar-decimal, sau scenarii ceva mai complicate gen Subnetting sau VLSM.

Exista insa si o alta conversie care da suficiente batai de cap celor care au tangente cu lumea informatica – conversia hexadecimala.

Haideti sa incepem cu un mic scenariu si sa ne gandim la un numar  – sa zicem 453 – ca fiind format din 4 unitati de 100, 5 unitati de 10 si 3 unitati de 3 – adica 453 = 4×100+5×10+3×1 Corect?

Numerele hexadecimale sunt aproximativ la fel (ca metoda). Ce difera este insa sistemul la care te raportezi.

Daca in cazul de mai sus aveam unitati de 100, de 10 si de 1, in matematica hexadecimala avem unitati de 256, unitati de 16 si unitati de 1.

Ok, imi veti spune, dar ce are asta de-a face cu literele?

Pai … simplu. Prin conventie avem urmatoarele analogii:

10= a

11= b

12= c

13= d

14= e

15= f

si ne oprim aici….

Acum, revenind la conversia propriuzisa, haideti sa transformam numarul de mai sus – 453 – in hexadecimal:

Avem o unitate de 256 – 1×256

Avem 12 unitati de 16  – 12×16

Avem 5 unitati de 1      – 5×1

In acelasi timp stim ca 12 = c

Concluzia? 453 in hexadecimal inseamna 1c5

Nu-i chiar dificil……nu?

Va vorbeam in articolele trecute despre modelul OSI, si mai ales, despre importanta lui in ceea ce priveste construirea si administrarea unei retele.

In esenta, modelul OSI (open system interconnect) este un model ierarhic are iti arata interoperabilitate au deferitele componente aleunui dispozitiv de retea pentru a functiona corect in respectivul cadru informatic.

Cele 7 layere, sau straturi sunt distribuite astfel:

Layer 7: Aplicatie (application)

Layer 6: Prezentare (presentation)

Layer 5: Sesiune (session)

Layer 4: Transport (transport)

Layer 3: Retea (network)

Layer 2: Link (data link)

Layer 1: Fizic (physical)

Haideti sa le luam pe fiecare pe rand si sa vedem ce fac:

Layer 7 – application – este layerul de  protocoale si servicii care fac ca programele folosite sa functioneze ( de tipul FTP, SMTP, Telnet etc.)

Layer 6 – presentacion – intr-o expriamre mai practica si plastica in acelasi timp, este stratul care “prezinta” layerul de sesiune catre aplicatie (ASCII, jpg, doc, etc)

Layer 5  – session – este stratul care pregateste de trasport datele prin initierea sau terminarea unei conexiuni. un exemplu sunt functiile de RPC sau loginul unei sesiuni de SQL.

Layer 4 – transport – este layerul care hotaraste transpotul unor date… de exemplu, protocolul folosit – TCP sau UDP… TCP-ul, de ex. , este foarte important intr-o sesiune CISCO pentru ca, printre altele, asigura corectia de erori, secventierea si Flow-controlul…(prietenii stiu de ce!!!!!)

Layer 3 – network – este stratul undepartea de IP din TCP/IP isi desfasoara activitatea. pentru ca IP-ul lucrea za pe layer 3, putem spune ca rutarea si routerul lucreaza si ele pe Layer 3.

Layer 2 – data link – aici avem doua situatii. prima dintre ele se refera la WAN, caz in care layeryul 2 inseamna ppp, frame-relay, etc. in cele mai comune situatii, ne referim doar la LAN,  ceea ce reduce totul la ethernet. In esenta, data link-ul inseamna adresa MAC si switch-uri ethernet (care lucreaza pe baza tabelelor de MAC, deci in layer 2.

Layer 1 – physical – inseamna cabluri, fibra optica, etc… – adica acel mediu fizic de transport al datelor, care ne ia bit-ul dintr-o parte si il duce in alta.

Pe site-ul celor de la Novel am gasit poate cea mai buna explicatie grafica a modelului OSI:

OSI model - click pe imagine

Daca am vazut, pe scurt, ce inseamna modelul OSI, haideti sa vedem si la ce ne foloseste.

In primul rand, cunoscand bine modelul OSI, si mai ales relatia dintre Layere, ne putem face o idee mult mai completa despre cum functioneaza intr-adevar o retea, si ce procese au loc de-a lungul cablurilor.

In al doilea rand, cunoscand modelul OSI, poti intelege mai bine cum sa construiesti o lista de acces (ACL)pentru fitrarea traficului, sau pentru QoS. In plus, iti va fi mult mai usor stiind ca BGP-ul merge pe layer 4 pentru ca foloseste TCP-ul, OSPF sau IGMP merg pe layer 3 – network – , sau ca ARP-ul functioneaza undeva intre layerele 2 si 3 intru-cat mapeaza adresele MAC pe adrese IP.

In al treilea, si nu in ultimul rand, cunoscand bine modelul OSI, vei sti mult mai precis care este explicatia unor erori de retea, si, mai ales cum sa le abordezi.

Succes!