La realizzazione dello scenario che seguirà, necessita delle conoscenze acquisite sino all’ultimo semestre del percorso di certificazione CCNA. Tale scenario sarà suddiviso in più fasi in modo da poter facilitare la comprensione a livello teorico che a livello pratico.
Qui di seguito trovate la topologia che andremo a realizzare, come si può vedere occorrono:
AreaNetworking e l’associazione informatica @System hanno siglato una partnership in occasione della 4a Edizione del Convegno sulla Sicurezza Informatica “Net&System Security” che si terrà presso l’Auditorium del CNR di Pisa il 17 ottobre p.v.
L’obiettivo del Convegno Net&System Security è quello di creare un contatto tra Ricerca, Università, Studenti, Aziende e TDM, approfondendo le tematiche attuali relativamente alla sicurezza informatica.
La partnership in questione segna l’inizio di quella che sarà una duratura collaborazione tra AreaNetworking e @System e vuole publicizzare l’evento NSS06 al quale, tra l’altro, AreaNetworking sarà rappresentata da Gianluca Lini con un intervento sul Control Plane Policing su router Cisco GSR 12000 e 7600. Il tutto seguendo la linea guida della partnership “Events Partnership” del Partner Program di AreaNetworking. A @System è stata infatti messa a disposizione una intera pagina dedicata al loro evento sul portale di documentazione di AreaNetworking publicizzando comunque il convegno in entrambe le homepage. Inoltre, è stata inviata una news anche ai più di 60 iscritti dello Cisco Users Group. @System, a sua volta, ha inserito e segnalato AreaNetworking come partner dell’evento che vedrà coinvolti rappresentanti di tutte le categorie dell’IT (Ricerca e Università, Aziende, Associazioni del Settore) tra cui: IIT del CNR di Pisa, Cisco Systems, HP Italia, IBM Italia, Sun Microsystems, Microsoft Italia, Wind, CLUSIT, DGSI del MIUR, GAT-Guardia di Finanza di Roma.
AreaNetworking sarà rappresentata da Gianluca Lini con una sessione sul Control Plane Policing al Net&System Security 2006, evento che si terrà a Pisa il 17 Ottobre.
AreaNetworking, con l’obiettivo di trattare in varie forme l’argomento networking e affini, terrà un workshop su un argomento di un certo livello. Segue l’abstract dell’intervento.
“Il termine QoS sicuramente non è sconosciuto agli esperti di networking, esso identifica il concetto lato di Qualità del Servizio. Ma può essere la QoS uno strumento utile alla sicurezza informatica? Se analizziamo il trend della QoS, scopriamo che l’ultima frontiera a cui si è affacciata è prorio la sicurezza. Il Control Plane Policing rappresenta lo strumento utilizzato in Cisco IOS per implementare delle policy a protezione della CPU dei router. Nella presentazione si cercherà nel tempo a disposizione di focalizzare l’attenzione sull’architettura di un router Cisco GSR12000 e 7600, evidenziandone le differenze principali a livello HW e si forniranno delle regole base per il deployment del CoPP in un ambiente di produzione.”
Cisco Systems amplia la famiglia di Integrated Services Router con nuovi modelli e servizi
L’evoluzione di questi innovativi router con servizi Wireless sicuri annunciati dal leader tecnologico offrono maggiore mobilità, sicurezza e flessibilità ai service provider, alle Piccole Medie Imprese ed alle grandi aziende.
Cisco Systems ha recentemente annunciato la disponibilità dei nuovi Integrated Services Router (ISR) con funzionalità Wireless integrata, in grado di offrire servizi simultanei ad alta disponibilità per l’accesso a banda larga e ideali per la Piccola e Media Impresa, le filiali di grandi aziende e i telelavoratori. Cisco Systems offrirà inoltre nuovi servizi WLAN (Wireless Local Area Network), sicurezza avanzata e gestione completa per l’intera gamma di router ISR. Tali ampliamenti, offrono ai clienti maggiore flessibilità e mobilità e semplificano l’implementazione, la protezione e la gestione della rete.
“L’introduzione degli ISR, conferma l’impegno di Cisco Systems nel fornire ai clienti una gamma completa di router progettata per erogare servizi dati, voce e video simultanei ad elevate prestazioni e in piena sicurezza“, ha commentato Joel Conover di Current Analysis. “Grazie a queste nuove piattaforme per piccoli uffici e ai nuovi servizi inclusi quelli wireless, Cisco Systems offre ad una gamma sempre più ampia di clienti, la flessibilità di scegliere tra molteplici opzioni, beneficiando appieno di una rete altamente sicura e affidabile”.
I modelli ISR Cisco 1800 e Cisco 800 distribuiscono intelligentemente servizi simultanei altamente sicuri, incluse funzionalità wireless LAN IEEE 802.11, fornendo ai piccoli uffici un singolo sistema affidabile. Questi nuovi router ad elevate prestazioni sono caratterizzati da connessioni a banda larga e offrono ai piccoli uffici importanti funzioni come ad esempio sicurezza avanzata, gestione remota e collegamenti WAN di backup.
I nuovi ISR fanno parte della soluzione Cisco SMB-Class e Enterprise Business Ready. I partner di canale della Società avranno l’opportunità di offrire nuove soluzioni e servizi nativamente integrati nella rete e ideali per soddisfare le esigenze attuali e future dei clienti. I service provider avranno a disposizione la piattaforma ideale per i servizi gestiti offerti alle Piccole e Medie Imprese e alle filiali con un’ampia gamma di opzioni di infrastruttura e servizi.
L’intera linea Cisco ISR oggi supporta servizi wireless LAN 802.11 integrati o modulari e in totale sicurezza. Sono disponibili anche nuovi ISR a configurazione fissa. Le schede Wireless sono disponibili per gli ISR della Serie Cisco 1841, Cisco 2800 e Cisco 3800. La funzionalità wireless integrata e ad elevate prestazioni ottimizza le attività aziendali, il tutto grazie ad un dispositivo semplice da installare e di piccole dimensioni.
“I nuovi ISR wireless di Cisco Systems offrono alla nostra azienda la massima mobilità e flessibilità”, ha commentato Dan Campbell, Chief Information Officer di Watt Commercial, uno dei più importanti sviluppatori degli Stai Uniti dell’ovest. “Grazie alla funzionalità integrata di sicurezza per la copertura wireless associata ai servizi di gestione remota, questi nuovi router sono in grado di soddisfare appieno le esigenze, in continuo mutamento, dei nostri impiegati mobile. Questo dispositivo particolarmente semplice da implementare, elimina la necessità di modificare o rimuovere l’infrastruttura di rete cablata ogni qualvolta viene organizzato o distaccato uno dei nostri 30 uffici remoti. Allo stesso tempo, la possibilità di aggiungere senza particolare sforzo un nuovo Cisco ISR alla rete consente di supportare al meglio l’arrivo non pianificato di nuovo personale”.
I router Cisco ISR sono parte integrante della strategia Cisco Self-Defending Network, offrendo al mercato la più completa gamma di servizi integrati per la sicurezza della rete. Gli ISR sono in grado di fornire difesa completa contro le minacce con notevoli avanzamenti nella sicurezza delle applicazioni, protezione anti-x, così come contenimento e controllo delle minace in rete. Tutto ciò offre ai clienti una singola piattaforma affidabile per implementare rapidamente applicazioni aziendali di rete altamente sicure.
I nuovi ISR Cisco 1800 and Cisco 800 a configurazione fissa vengono pre configurati con cifratura VPN e accelerazione hardware integrata, supportando la cifratura IPSec AES e 3DES. La sicurezza offerta da Cisco IOS® consente di proteggere l’intera gamma di router Cisco offrendo sicurezza pervasiva lungo l’intera rete, incluse funzionalità di firewalling complete, prevenzione dalle intrusioni, funzionalità Network Admission Control (NAC) e filtraggio URL, supporto di VPN MPLS o VPN che utilizzano cifratura ad elevata velocità IPSec AES e 3DES. La versione 2.1 del Cisco SDM (Security Device Manager) supporta tutti i modelli di router Cisco, dalla nuova serie Cisco 800 ai dispositivi Cisco 7301, offrendo ai clienti un’interfaccia web semplice da utilizzare per proteggere le impostazioni e garantire una gestione sicura delle funzionalità dei router, incluse quelle WAN (wide area networking), LAN (local area networking), di sicurezza e WLAN.
Cisco Systems ha inoltre annunciato ulteriori servizi in grado di ampliare la gestione dei dati e dei contenuti sugli ISR. I nuovi moduli EtherSwitch da 16, 24 e 48 porte includono funzionalità Power over Ethernet (PoE) per la serie di ISR Cisco 2800 e 3800, offrendo elevate capacità. Le schede Cisco Serial and Asynchronous High-Speed WAN Interface Cards offrono connessioni flessibili ai protocolli legacy o per l’aggregazione WAN.
Inoltre, sono disponibili funzioni NAM (Network Analysis Module) ampliate, valutazione della larghezza di banda per la QoS (quality of service) definita dall’utente e aggiornamenti per l’ACNS 5.3 (Application & Content Networking System) che consentono di gestire il traffico e ottimizzare la larghezza di banda WAN. La gestione del dispositivo e il caching ampliato consentono di ampliare la funzionalità, rendere ancora più rapida l’implementazione delle applicazioni e ridurre i costi e la complessità operativa in modo che i clienti possano ottenere un rapido ritorno degli investimenti.
Il supporto clienti offerto da Cisco Sysems per l’intera famiglia di ISR include Cisco SMB Support Assistant e Cisco SMARTnet®, progettati rispettivamente per le Piccole Medie Imprese e le grandi aziende. Cisco SMB Support Assistant offre chiare informazioni e strumenti che consentono di semplificare l’impostazione, la configurazione, il troubleshooting e le richieste di apertura dei servizi. Questo servizio economico include sostituzione hardware, mantenimento base del sistema operativo, un portale web e un client semplici da utilizzare, nonchè accesso 8×5 al supporto tecnico di Cisco Systems. Cisco SMARTnet® e SMARTnet Onsite offrono ai clienti enterprise supporto 24×7 con il più elevato livello di assistenza tecnica, strumenti e informazioni, aggiornamenti software per il sistema operativo e sostituzione hardware avanzata.
La pluripremiata famiglia di Cisco Integrated Services Router è composta dai router della serie Cisco 800, 1800, 2800 e 3800 e rappresenta la “punta di diamante” dell’offerta Cisco. Nel corso dei primi due trimestri dalla data di annuncio, Cisco Systems ha consegnato oltre 100.000 router. Con un’ampia gamma di servizi integrati nei router, come la sicurezza, la voce e il wireless, i clienti possono scegliere la giusta piattaforma e servizio in grado di soddisfare appieno le loro esigenze nonché la semplicità di gestione e implementazione, il tutto in un dispositivo di piccole dimensioni in grado di fornire il massimo livello di prestazioni.
Configurazione adatta per ADSL con encapsulazione PPPoE.
service timestamps debug datetime msec service timestamps log datetime msec service password-encryption no service dhcp ! hostname NomeRouter ! enable password PASSWORDROUTER ! ip subnet-zero ! ! vpdn enable vpdn-group 1 request-dialin protocol pppoe ! interface Ethernet0 ip address 10.0.0.138 255.255.255.0 ip nat inside ! interface ATM0 no ip address pvc 8/35 pppoe-client dial-pool-number 1 ! bundle-enable dsl operating-mode auto ! interface Dialer1 ip address negotiated ip nat outside encapsulation ppp ip tcp header-compression passive dialer pool 1 dialer-group 1 no cdp enable ppp pap sent-username NOMEUTENTE password PAROLACHIAVE ! ip nat inside source list 9 interface Dialer1 overload ip classless ip route 0.0.0.0 0.0.0.0 Dialer1 no ip http server ! access-list 9 permit 10.0.0.0 0.0.0.255 dialer-list 1 protocol ip permit ! line con 0 stopbits 1 line vty 0 4 password TELNETPASSWORD login !
end
Grazie al nuovo programma Cisco Compatible Extensions.
Il nuovo programma è supportato da importanti società quali Agere Systems, Atheros, Atmel, HP, IBM, Intel, Intersil, Marvell e Texas Instruments.
Cisco Systems Inc. ha recentemente annunciato un accordo senza costi di licenza che fornisce interoperabilità di adattatori client e dispositivi mobile di terze parti con l’infrastruttura Wireless LAN Cisco Aironet.
Questo programma, conosciuto come Cisco Compatible Extensions, è disponibile per un numero selezionato di fornitori strategici di silicio che producono sia dispositivi Wireless LAN integrati che a se stanti. Insieme, i leader di mercato Agere Systems, Atheros, Atmel, Intel, Intersil, Marvell e Texas Instruments detengono oltre il 90% dei dispositivi wireless LAN nel mercato attuale, con una produzione che spazia dai moduli integrati all’interno di notebook e PC desktop, PDA, telefoni cellulari e terminali industriali, ai prodotti stand-alone quali PC Card, adattatori client PCI e Compact Flash.
La compatibilità con Cisco Systems è garantita attraverso test effettuati presso laboratori indipendenti. Grazie al Cisco Compatible Extensions, gli utenti finali possono implementare con tutta tranquillità le proprie wireless LAN scegliendo tra un’ampia gamma di adattatori client e dispositivi mobile che riportano il marchio “Cisco Compatible”.
“La crescente richiesta da parte degli utenti di avere a disposizione applicazioni wireless, consente all’IT delle aziende di essere proattive nella definizione di policy e standard che garantiscano sicurezza, gestione e affidabilità di classe enterprise“, ha dichiarato Chris Kozup, Senior Research Analyst di META Group.
“Poiché il numero di dispositivi wireless che si connettono alla rete continua ad aumentare, l’ IT aziendale e’ alla ricerca di soluzioni interoperabili basate su standard che semplifichino l’implementazione e la gestione, e riducano i costi totali di possesso (TCO total cost of ownership)“.
Grazie al programma Cisco Compatible Extensions, Cisco Systems offre – senza alcun costo di licenza – le funzioni innovative dei dispositivi terminali Aironet per l’integrazione all’interno di adattatori o di altri dispositivi mobili. A seguito di una fase di test intensiva con l’infrastruttura wireless LAN di Cisco Systems, l’adattatore o il dispositivo riceve il marchio Cisco Compatible che garantisce il supporto per la gamma completa di funzioni Cisco Compatible Extensions. Cisco Compatible Extension versione 1 include:
Per favorire l’innovazione attraverso funzionalità innovative e al contempo guidare gli standard di mercato emergenti, Cisco Systems introdurrà, su base regolare, nuove versioni aggiornate di Cisco Compatible Extensions. La versione 2, che sarà annunciata ai partner nel corso dei prossimi 30-60 giorni, includerà supporto per:
Autenticazione IEEE 802.1X tipo PEAP e compatibilità con il WPA (Wi-Fi Protected Access) quando vengono utilizzati differenti tipi di autenticazione IEEE 802.1X, incluso l’EAP (Extensible Authentication Protocol) e Cisco LEAP
funzionalità di integrazione con l’infrastruttura wireless LAN di Cisco Systems in grado di ampliare le prestazioni di roaming e di gestione wireless LAN.
“Attualmente, stiamo facendo un enorme passo in avanti nel cercare di mettere in pratica la visione Cisco Systems relativa al Wireless Internet attraverso la combinazione delle competenze da noi maturate nella tecnologia per prodotti wireless e nel networking aziendale, con l’affidabilità e la pervasività dei dispositivi mobili forniti dai nostri principali partner“, ha dichiarato Bill Rossi, Vice President e General Manager della divisione Wireless Networking di Cisco Systems. “Il risultato è un’ampia gamma di soluzioni wireless che indirizzano appieno i requisiti delle applicazioni aziendali mobili rappresentando anche un chiaro percorso per il futuro”.
Grazie alle aziende che fino ad oggi hanno aderito al programma, gli utenti finali avranno presto a disposizione una nuova generazione di dispositivi mobili dotati di connessione wireless integrata, supporto per la sicurezza basato sugli standard, e piena interoperabilità con l’infrastruttura wireless Cisco Aironet.
Intel, partner strategico dell’alleanza, ha recentemente annunciato di aver ampliato la propria collaborazione e partecipazione al programma Cisco Compatible Extensions. La società ha collaborato a stretto contatto con Cisco Systems quale principale partner nello sviluppo di tale programma.
I partecipanti al programma includono:
“Grazie al nostro impegno comune volto alla crescita delle wireless LAN aziendali, Intel è orgogliosa di essere una fra le principali aziende che collaborano al programma Cisco Compatible Extensions”, ha commentato Jim A. Johnson, Vice President e General Manager del gruppo Network Platform di Intel Corporation. “Attraverso questa collaborazione, il mercato enterprise potrà beneficiare di soluzioni end-to-end di provata qualità provenienti dai leader tecnologici in ambito wireless LAN“.
“Abbiamo in programma di offrire il Cisco Compatible Extensions all’interno della linea di computer notebook ThinkPad, andando a complementare le offerte integrate Cisco Aironet e promuovendo l’ampia gamma di soluzioni wireless di IBM”, ha commentato Peter Hortensius, General Manager of ThinkPad Offerings della divisione Personal Computing di IBM. “In qualità di leader nel wireless computing, IBM e Cisco Systems offrono accesso wireless sicuro con la massima libertà di scelta. Come testimoniato dalla nostra alleanza strategica, IBM e Cisco Systems sono impegnate nella fornitura di soluzioni aziendali agli utenti finali di tutto il mondo”.
Il marchio Cisco Compatible sarà promosso congiuntamente da Cisco Systems e i propri partner. Maggiori informazioni relative ai prodotti Cisco Compatible saranno al sito www.cisco.com/go/ciscocompatible/wireless nel momento in cui saranno disponibili sul mercato.
In questo articolo vedremo quali sono gli accorgimenti da prendere per gestire al meglio una rete costituita di apparati Cisco Systems.
Supponete di dover gestire una rete composta da numerosi apparati Cisco (Router e Switch, ad esempio). Vedremo nel seguito quali configurazioni è meglio adottare, quali protocolli attivare, che standard utilizzare per gestire al meglio questa rete.
Nella maggior parte dei casi la vostra rete sarà già bella e pronta, putroppo. Supponiamo che sia così, altrimenti dovremmo qui parlare di network design nel dettaglio, argomento che mi riprometto di trattare in un altro articolo. In ogni caso se la vostra rete è stata ben progettata e pianificata, in modo gerarchico, sarà probabilmente molto più semplice da gestire, sia a livello di protocolli di routing, che di access-lists, ecc.
Una rete, invece, dove i collegamenti sono nati lì dove necessario in un certo momento (rete magliata, non gerarchica) le cose si fanno parecchio più complicate.
Definire ed utilizzare schemi di indirizzamento IP ben precisi, che facciano magari riferimento alla topologia della rete, è un vantaggio enorme. Vi permetterà ad esempio di effettuare le cosiddette route summarizations e vi renderà anche più facile ricordare in quale parte della rete si trovi un certo indirizzo, senza dover andare magari a consultare della documentazione, che va comunque prodotta.
Un’altra cosa da prendere in considerazione sono i nomi che vengono dati agli apparati. Si vedono spesso reti nelle quali gli apparati hanno nomi di fantasia (ad esempio Zeus, Athena, ecc.). Questo tipo di pratica è senz’altro divertente ma molto meno efficace dal punto di vista della gestibilità della rete. Molto meglio dare agli apparati nomi che denotino, ad esempio, la loro locazione fisica. Sarà poi più semplice per il gestore di rete capire su quale apparato e in quale punto della rete è collegato in un certo momento. Utilizziamo quindi il comando hostname dell’IOS in modo sensato, ad esempio:
hostname roma_backbone oppure hostname milano_access o hostname milano_ISDN, ecc.
denotando ad esempio la locazione fisica e l’utilizzo che viene fatto del router (router di backbone, router di accesso ISDN, ecc.).
Inoltre l’host name può essere reperito tramite SNMP da un eventuale sistema di gestione: questo vi permetterà di rappresentare la mappa fisica della rete su, ad esempio, HP Openview NNM in modo molto più semplice. Documentate inoltre in una tabella Excel i nomi degli apparati, la locazione fisica, gli indirizzi, ecc. Configurate anche un DNS dove inserirete i nomi degli apparati con i rispettivi indirizzi IP: sarà in questo modo molto più semplice raggiungerli utilizzando nomi, invece di indirizzi. Se utilizzate un DNS configurate tutti i router in modo che facciano riferimento ad esso per risolvere i nomi:
ip domain-server 10.5.4.1
dove 10.5.4.1 è l’indirizzo IP del vostro DNS. Se invece non avete un DNS server inserite il comando:
no ip domain-lookup
per evitare che il vostro router cerchi di risolvere ogni nome a lui sconosciuto che inserite a linea di comando.
Come ben sapete in un router ogni interfaccia ha un indirizzo IP ben preciso e differente dalle altre (tralasciando i casi di interfacce unnumbered o negotiated). E’ buona pratica assegnare un nome simbolico ad ogni interfaccia, andandolo ad inserire sia nel router tramite il comando ip host che in un DNS. Ad esempio:
ip host s0_roma_backbone 22.253.23.3 ip host e0_roma_backbone 22.253.24.1 ip host roma_backbone 22.253.24.1 ip domain-name rete.it
Scegliamo nel caso sopra come interfaccia principale del router l”interfaccia Ethernet0 (e0). Quindi roma_backbone.rete.it corrisponderà allo stesso indirizzo di e0_roma_backbone.rete.it. Utilizzate un dominio fittizio (rete.it) oppure un dominio reale assegnatovi dal NIC (questo a seconda che la vostra sia una rete privata o una rete pubblica).
Nella configurazione delle interfacce è inoltre buona regola:
Utilizzare sempre il comando shutdown se l”interfaccia non è attiva.
Ricordarsi sempre di rimuovere indirizzi, descrizione, ecc. se l’interfaccia è stata disattivata (questo evita situazioni del tipo: “ma qui questa linea non funziona, era attiva?”). Questo soprattutto se la gestione della rete è affidata a più persone.
Utilizzare sempre il comando description, che permette di assegnare ad una interfaccia una descrizione. E’ buona regola in questo caso inserire nella descrizione informazioni aggiuntive, come la tecnologia del collegamento (ISDN, Frame-Relay, CDN, ecc.) il numero della linea (DLCI, N. CDN, N. ISDN), punti collegati o cliente collegato all”interfaccia, eventualmente la velocità. Ad esempio:
interface Serial0 description Collegamento Roma Milano - CDN N. 335566/33 - Vel. 128KBit
Inoltre se avete un buon sistema di gestione o vi cimentate nello scripting, potete prelevare queste informazioni tramite SNMP e costruire automaticamente una tabella Excel o un database dei vostri collegamenti attivi. Molto utile anche per generare inventari sempre aggiornati, che alternativamente andranno prodotti manualmente.
Specificate sempre tramite il comando bandwidth la velocità del collegamento. In questo modo le statistiche di occupazione che potete visualizzare tramite il comando show interface indicheranno il carico corretto della linea (xxx/255). Ad esempio:
interface Serial0 bandwidth 128
notate che lo specificare la velocità del collegamento sull”interfaccia non limita in alcun modo le performance del collegamento ma serve solo a fini statistici per aggiornare in modo corretto le stime di occupazione. Quindi se ad esempio specificate bandwidth 1024 su un collegamento a 2MBit/Sec (2048KBit/Sec) non limitate l”utilizzo del collegamento ad un solo MBit/Sec ma semplicemente le statistiche di occupazione saranno calcolate dal router come se il collegamento avesse una velocità di un solo MBit/Sec.
Infine se avete reti libere a disposizione (ad esempio siete in una rete privata e avete praticamente tutti gli indirizzi che volete) utilizzate sempre una interfaccia di loopback configurata su ogni router.
In questo modo avrete a disposizione una interfaccia sempre up e raggiungibile, indipendentemente dal fatto che le altre siano up o down:
interface loopback0 ip address 10.149.250.5 255.255.255.252
I vantaggi dell”utilizzare una interfaccia di loopback su ogni router sono diversi, questi alcuni:
Come saprete i router cisco supportano diverse modalità di commutazione (routing) dei pacchetti. A seconda della modalità di commutazione scelta su di un interfaccia, un eventuale pacchetto in output sull”interfaccia stessa segue un percorso diverso all”interno dell”hardware del router e ciò influenza la velocità con cui il pacchetto viene commutato e quindi le performance e l’occupazione della CPU del router stesso. I principali metodi di commutazione dei pacchetti sono i seguenti:
In aggiunta a questi sui router della serie 12000, 7500, 7200 lo switching può avvenire in maniera distribuita, ovvero direttamente effettuato dalle VIP Cards (schede hardware montate sui router di fascia alta che sono a loro volta dei veri e propri router, si parla in questo caso di distributed switching, distributed CEF, ecc.). Non mi voglio dilungare qui nella spiegazione di come i pacchetti vengano commutati nelle diverse modalità (è materiale per un articolo a parte) ma sappiate che l’ordine che ho sopra mantenuto va dalla modalità più lenta a quella più veloce. In particolare non utilizzate MAI il process switching, modalità nella quale ogni singolo pacchetto viene commutato dalla CPU del router, senza utilizzare alcuna cache. Utilizzate sempre almeno il fast switching dando a livello di ogni interfaccia del router il comando:
ip route-cache
utilizzate il process switching solo in caso dobbiate effettuare del debugging intensivo, utilizzando ad esempio il comando debug ip packet, che mostra traccia di tutti i pacchetti che transitano sul router solo in caso sia attivo il process switching. Ricordate però alla fine del debug di tornare sempre in modalità fast switching. L”optimum switching è da preferire sui router della serie 7500 solo se avete una versione di IOS inferiore alla 12.0. In caso contrario utilizzate il CEF (Cisco Express Forwarding) che garantisce performance migliori. Per attivare il CEF date in modalità di configurazione globale il comando:
ip cef
In questo modo verrà automaticamente utilizzato il CEF per tutte le interfaccie dove avrete dato il comando ip route-cache. Utilizzate comunque il CEF su tutti i router dove è disponibile (dalla 12.1 in poi anche sui router della serie 3600 e 2600 e piano piano verra esteso a tutte le serie di router Cisco). Per verificare se il vostro router supporta il CEF date semplicemente il comando sopra e verificate se viene accettato dall’IOS.
Se utilizzate ad esempio una Ethernet per fare il routing di più subnet sulla stessa rete locale (pratica non molto pulita e consigliata ma a volte dettata dalle necessità) utilizzate sempre il comando:
ip route-cache same-interface
In questo modo verrà utilizzato il fast switching anche per i pacchetti che entrano ed escono dalla stessa interfaccia. Questo comando ridurrà di parecchio il carico di CPU del vostro router se siete nella situazione sopra descritta.
Come saprete il protocollo SNMP (Simple Network Management Protocol) permette di accedere a varie informazioni riguardanti lo stato degli apparati di rete (router e switch), occupazione di linee, statistiche, ecc.
Per abilitare il protocollo SNMP in sola lettura sui vostri router date il comando:
snmp-server community password RO
Se invece volete avere la possibilità di fare modifiche utilizzate il comando:
snmp-server community password2 RW
Nel secondo caso sarà ad esempio possibile scrivere in alcuni MIB dei vostri apparati (ad esempio facendo in questo modo un reload di un router o comandando al router di inviare la propria configurazione tramite TFTP ad un certo server in modo da archiviare le configurazioni in modo automatico). Quello che molti non sanno è che si può limitare l”accesso SNMP ad un router a indirizzi IP ben precisi, utilizzando una access-list. Ad esempio:
access-list 10 permit 10.1.1.0 0.0.0.255 snmp-server community password3 RW 10
In questo modo solo un host della rete 10.1.1.0/24 sarà in grado di accedere al nostro router tramite SNMP. E’ buona regola utilizzare accorgimenti di questo tipo perchè l’SNMP è un protocollo molto semplice ed è quindi semplice utilizzarlo per, ad esempio, acquisire informazioni sulla struttura di una rete prima di effettuare un attacco.
Se prevedete di utilizzare dei software per effettuare aggiornamenti automatici dei firmware dei router (ad esempio Ciscoworks 2000) o comunque volete avere la possibilità di riavviare un router tramite SNMP dovete dare il comando:
snmp-server system-shutdown
in questo modo, scrivendo in un opportuno MIB, sarà possibile effettuare il riavvio di un router tramite SNMP. Se questo comando non è inserito l”operazione invece non sarà possibile. Se avete dubbi evitate tranquillamente di inserire questo comando.
Un’altra cosa che si configura normalmente è l’indirizzo in un host che riceverà le nostre trap, ovvero messaggi che scattano a particolari eventi che accadono all’interno del nostro router:
snmp-server host 10.3.3.3
In questo modo le trap verranno inviate all’host 10.3.3.3. Su questo host dovrà essere ovviamente installato un software in grado di interpretare le trap, ad esempio HP Openview NNM. Supponiamo ad esempio che sul nostro router cada un collegamento dedicato, l’evento verrà immediatamente notificato all”host 10.3.3.3 tramite una trap snmp di link-down. Questo permetterà ad esempio di far scattare un allarme acustico sull”host stesso, o di inviare una mail di allarme, o ancora un messaggio SMS.
Un’altra buona pratica è quella di attivare un logging almeno di livello informational sui vostri router. Inviando questi log ad un syslog server, potete memorizzare il comportamento dei vostri router e realizzare tramite ad esempio dei tool unix (grep, awk, ecc.) dei report sul comportamento dei vostri apparati (stato delle interfaccie, problemi di CPU, RAM, ecc.). Una cosa molto importante è assicurarsi di aver disabilitato la modalità di output del logging del router in console. Se infatti attivate un comando di debug con molto output rischiate di mandare in blocco il vostro router in quanto il logging saturerà la vostra console, che di norma va solo a 9600bps. Per disabilitare il logging in console date il seguente comando in modalità di configurazione globale:
no logging console
date poi il comando:
logging buffered 8192
che attiva un buffer di 8192 byte all”interno dei quale verranno memorizzati i messaggi di log più recenti. Il numero di byte può essere anche maggiore a seconda della quantità di messaggi che volete memorizzare e della quantità di memoria libera del vostro router. Infine per attivare l”invio dei messaggi di logging ad un syslog server utilizzate il comando:
logging 10.5.4.3
dove 10.5.4.3 è l’indirizzo IP del server a cui volete inviare i log del vostro router. Sul server deve essere installato un demone di syslog (se utilizzate linux potete utilizzare syslogd, installato di default all”installazione del sistema operativo). Per stabilire il livello di dettaglio dei log che verranno inviati al server potete utilizzare il comando:
logging trap
dove può essere: debugging, informational, notification, warnings, errors, critical, alerts, emergencies. Più alto il livello (debugging) maggiore e più dettagliato sarà l”output dei log. Consiglio di utilizzare il default (informational) e di attivare debugging solo qualora dobbiate fare del troubleshooting.
Configurate poi la facility che utilizzate per inviare i log al syslog server. Il default è local7:
logging facility local7
In questo modo potete redirezionare i log inviati dai router in un certo file sul sistema server (deviando invece i log di altri apparati in file diversi, per maggiori informazioni consultate il manuale online del syslogd, ad esempio).
Se volete che nei vostri log compaiano data e ora del messaggio, dovete dare i comandi:
service timestamps log datetime service timestamps debug datetime
E’ inoltre buona regola avere sempre data e ora esatti configurati sui router in modo da avere data e ora corretti anche sui singoli messaggi di log che arrivano al syslog server. Configurate la vostra timezone (fuso) tramite il comando:
clock timezone GMT 1
Settate poi data e ora con il comando:
clock set 12:30:00 May 3 2001
Se il router ha una batteria tampone interna (non è il caso del Cisco 2500 ma la maggior parte degli altri router Cisco la ha) anche dopo un reload conserverà data e ora corretti. L”ideale è però avere data e ora sincronizzati su ogni router. Per fare questo consiglio di installare su di un server un demone NTP (Network Time Protocol Server). Per Linux, ad esempio, esiste un demone NTP, lo potete installare sulla stessa macchina su cui indirizzate i syslog, ad esempio. Poi dovete configurare ogni router per reperire la data e ora dal server NTP:
clock timezone GMT 1 ntp server 10.3.3.3
dove 10.3.3.3 è l”indirizzo del PC sul quale avete installato il server NTP. Se configurate in questo modo tutti i router avrete data e ora identici su ognuno di essi. Se volete che il router aggiorni addirittura data e ora al passaggio ora legale/ora solare e viceversa date per l”italia il comando:
clock summer-time summertime recurring last Sun Mar 3:00 last Sun Oct 3:00
che indica la data in cui entra in vigore l”ora legale e quella in cui si rientra nell’ora solare.
Ovviamente configurate sempre le password di telnet, enable ed enable secret ma non dimenticate quella di console, che spesso si tende a tralasciare:
line console 0 login password xxxx line aux 0 login password xxxx line vty 0 4 login password xxxx exit enable secret Secretpassword enable password Enablepassword
Non dimenticate che in questo caso al prompt di enable dovrete inserire la secret password. Usate inoltre sempre il comando:
service password-encryption
in questo modo anche le password di telnet e console vengono mostrate criptate quando listate a video la configurazione.
Se avete molti apparati potrebbe essere utile utilizzare un sistema di autenticazione sul quale configurerete i vari utenti amministratori, ad esempio un TACACS+ server o un RADIUS server come il Ciscosecure ACS. In questo modo potrete anche assegnare ai vari operatori diversi livelli di accesso (e quindi diversi comandi che potranno o meno utilizzare).
Per quanto riguarda l’accesso tramite telnet (sulle linee vty) è bene limitare l’accesso in telnet ai router a indirizzi IP ben definiti. Utilizzando questi comandi lo potete fare:
access-list 1 permit 10.1.1.0 0.0.0.255 line vty 0 4 access-class 1 in
In questo modo solo gli host nella rete 10.1.1.0/24 saranno in grado di accedere in telnet al router.
Il CDP è attivo automaticamente su tutte le interfacce. Disattivatelo sulle interfacce di dial-out/dial-in (BRI, Dialer, ecc.), non è normalmente utile e fa traffico. Per farlo usate il comando:
interface BRI0 no cdp enable
Non dimenticate che utilizzando il comando show cdp neighbors potete avere informazioni su tutti gli apparati cisco adiacenti a quello su cui siete connessi. Ad esempio:
show cdp neighbors Capability Codes: R - Router, T - Trans Bridge, B - Source Route Bridge S - Switch, H - Host, I - IGMP, r - Repeater Device ID Local Intrfce Holdtme Capability Platform Port ID Chicago_backbone.rete.it Ser 2/3 166 R 2620 Ser 0/0 Chicago_switch1 Eth 0/0 134 T S WS-C4006 2/4 Chicago_cliente1 Ser 2/1 133 R 2610 Ser 0/0
lasciate quindi attivo il CDP su tutte le interfacce tranne quelle che lavorano in commutata.
Altro
Se utilizzate un comando del tipo:
boot system flash slot0:nomeios
inserite sempre al di sotto di esso un comando:
boot system flash
senza il nome del file. In questo modo se aggiornate il firmware e vi dimenticate di modificare il comando partirete comunque dal primo IOS presente nella flash.
Disattivate il source-routing se non lo utilizzate, è un buco di sicurezza:
no ip source-route
Utilizzate sempre il comando:
no ip directed-broadcast
su tutte le interfacce (se non li utilizzate, ovviamente). Vi proteggerete meglio dagli attacchi DDOS (Distributed Denial Of Service).
Se potete (se avete una versione di IOS dalla 12.0T in su) utilizzate le named access-list. Se date nomi significativi alle liste di accesso sarà più semplice identificare il loro utilizzo.
In ultimo vediamo quale documentazione è bene predisporre. Essa sarà utile in caso di aggiornamenti, nuove implementazioni e troubleshooting:
© 2003-2023 AreaNetworking.it
Lagni Group Srl a socio unico
P.IVA: 04069250241 - REA: VI - 376486
Cap. soc. 30.000 € i.v.
Tutti i diritti sono riservati.
Contattaci: [email protected]
