Lunes 26 de Marzo de 2012
Clase de Redes II
En clases anteriores estuvimos viendo:
- Interfaz
- Comandos
- Como trabajar con copias de seguridad.
- Configuración
- Manejo de estructura de archivos
- Como poner alguna IP, etc...
Todo esto estaba en el apartado 2.4.
Ahora en el capitulo 2.5.1 , 2 , y 3 tenemos las prácticas para hacer por vuestra cuenta.
Seguimos pues con el capítulo 2.4 con el tema de seguridad:
Vamos viendo comandos.
enable password cisco, asi tenemos un primer nivel de contraseñas.
service password encryption, para poder hacer un show root
El profesor procede a abrir el programa CAIN, una vez abierto CAIN, despues de hacer el show root
corta una contraseña (del alagoritmo tipo 7) y la pega en CAIN. El algoritmo tipo 7 está comprometido, por eso CISCO, lo quitó y puso
enable secret CISCO, !no utilizar nunco enable password! , siempre !secret!.
Entonces ponemos dos niveles de contraseña: el enable secret (leer capitulo 2.4.1.4).
Todo esto es lo que tiene que ver con el proceso de ponerle algo de seguridad a la entrada.
En el capitulo 2.4.1.5, vemos que en el proceso de inicio de un switch hay que mantener pulsado un botoncito que podemos ver en el esquema. Si se entra en el modo rom mon, por ejemplo, he perdido la contraseña, tengo el dedo pulsado en el boton, y en unos segundos en lugar de aparecer el proceso normal, vemos rom mon 1. Cada modelo tendra una pulsación de tecla, otros dos pulsaciones. El procedimiento para switches,si hemos perdido la contraseña, por ejemplo, modelo 2960, vemos en la pagina web ese modelo y tenemos una herramienta para poder recuperar la contraseña.
Nos dan instrucciones, en inglés, de los pasos que tenemos que seguir. Pulsar el boton de modo y soltarlo cuando este parpadeando un led que pone SYST. En cada modelo de Switch hay que hacer una paso concreto. Pues bien, cuando el led parpadea nos sale un proceso de arranque, mas o menos extraño, y entonces habrá que teclear tres comandos
flash init
load helper
boot
De esta forma se monta el sistema de archivos que hay en la flash. y a continuación aparecerá la palabra:
switch:
Podemos poner
switch: dir flash:
Así podemos ver cualquier incidencia que puede haber ocurrido en la flash.
También podemos ver el fichero de configuración, y ahí, quizás podemos ver la contraseña que habíamos perdido. Si no es así, pues podremos configurar una nueva.
En estos momentos si reiniciamos el switch va a arrancar como si fuera de primera mano.
switch: boot , arranca el sistema normal.
Estamos accediendo al switch desde la BIOS, entonces quizas debemos leer bien el manual y utilizar toda una serie de comandos para poder arrancar correctamente nuestro switch.
Existe otra posibilidad que es cargar el switch por TFTP.
Con #boot system flash: para arrancar desde flash
boot system rom, para arrancar desde la rom
boot system tftp, para ir al servidor de FTP y descargar el archivo correpondiente.
Resumiendo
-quitamos la luz al dispositivo
-pulsamos boton
-se suelta el dedo
-entramos en el modo de boot, la configuración es la tipica de los dispositivos de CISCO.
-empezamos a ver en la pantalla la BIOS
flash init
load helper
boot
El fichero clave para recuperación de contraseñas es
Nos pregunta si queremos entrar en el asistente NO
Volvemos a renombrar el fichero old con el nombre que debe de tener
Ahora cargamos en fichero de la flash a runnig cofig. Hacemos un show run y comprobamos si se ven las contraseñas. Conviene no tener activos los Telnet.
Una vez hemos arrancado como no hay configuración cargada nos pregunta si queremos asistente. Quermos cambiar el runing config, hacemos un copy start run, asi todo se carga, incluidas las contraseñas, pero no nos hacen falta ahora , porque y estamos dentro.
Hay que volver a grabar con copy run start, para la próxima vez que arranquemos.
Esto no es algo que se vaya a pedir en el examen, pero hay que saber que toda esta información existe, por si alguna vez tenemos que utilizarla.
Ahora hablamos de los banner a los mensajes, banners a los procesos de arranque. Hay que poner un mensaje, y siempre tiene que ser amenazador (..!ha entrado en el departamento legal de defensa!, ....por ejemplo).
Esta el banner login y el banner mod. Este es el mensaje del dia, el que cambia día a dia. El banner login es el mensaje de bienvenida.
ASCII ART TEXT, buscamos en google o en bing. Buscamos alguno que permita escribir texto para hacer un ejemplo practico de mensajes
!Atención ..........
Una vez escrito el banner, guardaremos con copy run start.
A continucación hablamos de TELNET y SSH. Hasta ahora habíamos entrado por Telnet, ahora vamos a ver SSH. Con SSH se pueden buscar router que no que nos pueden pedir usuario y contreña. Esto no va a ocurrir con los ruters de las empresas que tienen personal con buena formación, como Google, por ejemplo, pero si es posible que si nos direccionamos a una pagina WEB de otro país remoto como la India, etc, podemos encontrar routers exentos de seguridad.
#trannsport input ssh, con esta instrucción , a partir de ahora no se podrá entrar por Telnet, sino por ssh.
Ahora deberíamos pensar que es posible empezar a hacer cosas por ssh. Pero no es así, necesitamos la contraseña pública, pero tambíén la contraseña privada. (estamos viendo el apartado 2.4.3.3).
El switch tiene guardada la clave privada. La clave pública es la que se puede ver.
Se puede probar en casa este comando ssh
ssh 10.0.0.10
Pasaremos a ataques de seguridad.
FIN DE CLASE
lunes, 26 de marzo de 2012
Clase 21/03/2012
Tema 2.3.6
Para evitar que todos los integrantes de una red tengan el mismo usuario/contraseña se crea un usuario y una contraseña para cada persona, pero esto tiene un problema ya que habría que crear este usuario en cada aparato que tenga funciones de red y esto es muy engorroso.
La idea es estandarizar las autentificaciones fuera de cada componente de red, es decir crear un servidor de autentificación de manera que cuando se necesite validad a un usuario un switch lo remita a este servidor para validarse.
Cisco dispone de dos sistemas TACACS y AAA este ultimo más moderno, esto especifica quien puedo acceder (autentificación) al sistema, con que privilegios(autorización) y además de ver que hace o hizo cuando estaba conectado(registro, log).
Para no tener que especificar lso privilegios de cada usuario se crean unos contenedores de usuarios con unos privilegios determinados, de manera que solo hace falta encasillas a un usuario en un grupo.
2.3.6.4
Mediante packet tracer creamos un switch al que le conectamos 4 pcs
Hacemos un ping a un destino (en modo simulación) como el switch no conoce la mac destino lo envía por todas las bocas sin ser un breadcast.
La maquina que conteste será el destinatario y el switch almacenara la Mac asociada a este PC y ya no volverla a enviar la trama por todas las bocas, tan solo entre los dos pcs que interviene en el proceso.
Proceso cambio switch -à HUB
Inundación de la tabla de asociaciones mac, para que el switch tenga que mandar toda la trama como un broadcast sin serlo.
Es posible que un switch convierta su tabla asociativa en estática introduciendo de forma manual la mac que corresponde a cada boca.
2.3.71
En este punto vemos una serie de comandos que pueden ser interesantes: show versión, show history, show int donde podemos ver diversa información del switch, una serie de estadísticas del nivel de enlace de cada bica del switch.
2.3.8
En este punto vemos como copiar la configuración guardada a la startup config:
copy flash:config.bak1 startup-config
Diferencias entre FTP y TFTP
tcp udp(no garantiza que llegue todo, sin corrección de errores, no garantiza que llegue ordenado)
tftp es factible en redes locales , es mucho mas rápido y no tenemos problemas de corrección de errores y problemas de orden ya que lo primero que sal es lo primero que llega
para montar un servidor de tftp tan solo hace falta un programa(gratuito, cisco tmb tiene el suyo) (http://www.solarwinds.com)
2.4.1
Hemos configurado el switch con una password para poder entrar al switch de forma remota sin un cable de consola mediante un terminal.
Comando:
Line con 0 *entra a configurar
Password: pass cambia la pass
*para conectarse mediante terminal
telnet 10.0.10.10
pass: cisco
Hemos visto que hay diferentes privilegios para entrar a un switch, cada forma tiene una contraseña diferente, con una solo podemos ver ciertas estadísticas y con la otra tendremos acceso a al configuración del mismo.
jueves, 15 de marzo de 2012
CLASE: 14 DE MARZO DE 2012
- Se comienza la clase realizando un repaso de cómo entrar y salir a los distintos modos de los switches (modo usuario “>”, modo privilegiado “#”)
- Se realiza una pequeña comparación entre los switches de Cisco y los 3COM, para ello utilizamos un 5500 de 3COM y un 2950 de Cisco. La página de 3COM utilizada es:
Uso | 3COM – 5500 | Cisco – 2950 |
Modo privilegiado | System view | Enable |
Salir del modo | Quit | Exit |
Irse al modo de usuario genérico, estemos en el modo que estemos | Return | Contro+Z |
Mostrar | Display | Show |
Recargar el sistema | Reboot | Reload |
| Deshacer un comando | Undo | No |
Y así muchos comandos que son idénticos o similares. Con esto quiero mostrar que los estándares con los que vamos a trabajar, son lo mismo en todos los fabricantes y con los comandos que los despliegan Cisco también marca referencia por lo que con un periodo breve de adaptación se puede estar trabajando sobre 3Com/HP/Huawei.
- La clase de hoy, básicamente ha sido probar los ejemplos de comandos para los switches de Cisco que encontramos en el curso de Cisco que estamos siguiendo. Así pues, hemos instalado el Packet Tracer, programa que podemos descargar de la página de Cisco.
- La clase de hoy, básicamente ha sido probar los ejemplos de comandos para los switches de Cisco que encontramos en el curso de Cisco que estamos siguiendo. Así pues, hemos instalado el Packet Tracer, programa que podemos descargar de la página de Cisco.
Puntos del temario de Cisco que hemos ido viendo:
2.3.1 - NAVEGACION POR LOS MODOS DE LA INTERFAZ DE LINEA DE COMANDOS
- Modo usuario “>”, Modo privilegiado “#”
- Para activar el modo privilegiado escribir enable, para salir del modo exit.
- Además de la configuración por comandos, existe la posibilidad de realizar una configuración basada en unas herramientas gráficas, enumeraremos cuales son y algunas de las características más relevantes de estas:
o Asistente de red Cisco:
§ Administras redes LAN pequeñas y medianas.
§ Permite configurar/administrar switches independientes o grupos de switches.
§ Se requiere una cuenta de Cisco (CCO)
o Cisco View
§ Permite añadir dispositivos que no son de Cisco, para ello se utiliza el Protocolo de Administración de Red Simple (SNMP)
o Administrador de dispositivos Cisco
§ Permite la configuración mediante Web
o Administración de red SNMP
§ Administrar switches desde una estación de administración compatible con SNMP
§ Dos tipos de acceso: Consulta de sólo lectura; Consulta de lectura/escritura
- Vemos el concepto de Mib
o Son consultas que se pueden hacer a los dispositivos de la red, y la que estos contestan con un número. Estas consultas se basan en una cadena numérica ordenada jerárquicamente.
o Cada fabricante puede tener sus propias consultas específicas
2.3.2 CÓMO UTILIZAR EL SEVICIO DE AYUDA
- ? à Me dice los posibles comandos que existen con las secuencia escrita:
o Ej:
§ Cl?
§ Clear Clock
- Si únicamente hay un comando, se puede completar utilizando el tabulador, al igual que en Linux, aunque sí sólo hay uno no hace falta escribirlo entero, basta con la abreviatura,
o Ej: show, podríamos poner sh
- Si el comando ejecutado es incorrecto, nos indica con un circunflejo (^) la parte errónea del comando.
2.3.3 ACCESO AL HISTORIAL DE COMANDO
- Show history
o Muestra los últimos comandos escritos en el modo en el que nos encontremos.
- Por defecto son 10 comandos los que se guardan, pero puede mofificarse:
o Ej: terminal history size 50
o Ahora la lista es de 50 comandos
- NOTA: para desactivar un comando se utiliza no, delante del comando. En el caso de los 3COM es undo.
2.3.4 SECUENCIA DE ARRANQUE DEL SWITCH
- Para recargar el switch se utiliza el comando reload
- Cuando el switch se enciende se carga un programa que se encuentra almacenado en la NVRAM
- Cuando carga
o Inicialización de la CPU
o Realiza el autodiagnostico
o Inicializa en el sistema de archivos
o Carga la imagen del sistema operativo
- Para entrar en el modo de recuperación se tiene que hacer lo siguiente:
o Se quita el cable de alimentación; se pulsa el botón mode, y volvemos a conectar el cable de alimentación
o Entonces el switch entra en lo que se conoce como modo rommon
o Esto lo usaremos si tenemos algún problema con el sistema operativo, necesitamos recuperar contraseñas, …
o OJO. Se necesita acceso físico al dispositivo para entrar en modo rommon.
- Foro donde explica un poco el rommon
2.3.5 PREPARACIÓN PARA LA CONFIGURACION DEL SWITCH
- Para configurar un switch lo más habitual es utilizar uno ordenador, portátil por ejemplo, con un puerto de consola.
- Un cable de consola es un “modem nulo”
2.3.6 CONFIGURACION BÁSICA DE SWITCH
- NOTA – PARA EL EXAMEN: Se puede llevar una hoja manuscrita, por las dos caras. No puede estar hecha a ordenador, tiene que ser a mano. El examen práctico tiene tiempo, por ello es muy importante practicar los comandos.
- Realizamos el ejemplo de los comandos que se índica en el curso:
EJEMPLO
Switch>enable
Switch#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)#interface vlan 99
Switch(config-if)#ip address 172.17.99.11 255.255.255.0
Switch(config-if)#
Switch#
- En 3COM el comando es igual, pero se puede poner la máscara con la barra, es decir /24
- Las VLAN se transmiten entre switches (en próximos capítulos se verá más en detalle las VLAN)
o Cada VLAN tiene su propio control de tráfico
o Todas las bocas de un switch, con los valores de fabrica, pertenecen a la misma VLAN
o Cuando se asignan número a las distintas VLAN, se suelen dejar huecos por si en un futuro se expande. Por ejemplo, si creamos la VLAN de alumnos como 10, la siguiente VLAN la crearemos en la 20, por si en un futuro necesitamos crear una VLAN wifi para alumnos, tener el valor 11 para poder asignárselo, es simplemente por tener las VLAN organizadas.
o Todos los switches pertenecen a una VLAN de administración, y evidentemente esa VLAN es distinta del resto, de forma que los equipos no puedan entrar a configurar los switches si no están en dicha VLAN.
Sigamos ahora, con el ejemplo, hemos mostrado algunos de los comandos ejecutados:
- Creamos la vlan y le damos nombre
Switch(config)#vlan 99
%LINK-5-CHANGED: Interface Vlan99, changed state to up
Switch(config-vlan)#name Admin
Switch(config-vlan)#
- Nos muestras las vlan, sus nombre y las bocas asociadas
Switch(config-vlan)#do sh vlan
- Para evitar tirar una dirección IPSwitch(config)#int vlan 99
Switch(config-if)#ip address 172.17.99.11 255.255.255.0
Switch(config-if)#no shut
Switch(config-if)#no shutdown
- Vamos a hacer a una boca particular a una vlan particular
Switch(config-if)#interface fastethernet 0/18
Switch(config-if)#switchport mode access
Switch(config-if)#switchport acces vlan 99
- Running-config à me da información sobre la configuración, esta configuración es de lo que hay en la memoria RAM. Observamos como me da información sobre la interfaz 18
Switch#sh running-config
…
interface FastEthernet0/17
!
interface FastEthernet0/18
switchport access vlan 99
switchport mode access
!
interface FastEthernet0/19
…
- Podemos guardar los cambios
Switch#
Switch#copy running-config startup-config
Destination filename [startup-config]?
Building configuration...
[OK]
Switch#
o Normalmente en los switch siempre es dúplex
o Velocidad
Switch(config-if)#speed ?
10 Force 10 Mbps operation
100 Force 100 Mbps operation
auto Enable AUTO speed configuration
o Duplex
Switch(config-if)#Duplex ?
auto Enable AUTO duplex configuration
full Force full duplex operation
half Force half-duplex operation
- MAC – Addres – Table
Switch#show mac-address-table
2.3.7 VERIFICACIÓN DE LA CONFIGURACIÓN DEL SWITCH
- Cuando estamos trabajando con el cable de consola se puede obviar el usuario y contraseña
- Establecer contraseña
Switch#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)#line vty 0
Switch(config-line)#password cisco
Switch(config-line)#login
- A las interfaces se les puede dar nombre.
lunes, 12 de marzo de 2012
Clase 12/03/2012
Hola a todos. En la clase de hoy hemos seguido hablando switches, sus características funcionales en cuanto a su arquitectura, la diferencia entre un L2SW, L3SW (switches de capa 3) y su comparación con routers , así como una introducción al programa de cisco de simulación de redes llamado "Cisco Packet Tracer".
En primer lugar hemos empezado a hablar sobre el método de corte de reenvío de paquetes con el cual se decide la boca por la cual enviar un paquete consultando la Mac en la tabla CAM. Mencionamos el método Fragment Free con el cual recibimos paquetes de 64 bytes y el método de corte, el cuál es el más rapido y, por consiguiente, el más utilizado.
Otra caracterización de los switches es el buffer de memoria. Éste puede ser "En Puerto" o "De Memoria Compartida". En puerto utilizamos una memoria fisica a cada puerto con lo cual es más cara en comparación con la compartida, que es más barata.
Como culturilla general saber que los buses PCI express albergan tarjetas de red de uno o 10 gigabits o directamente se integran en placa para evitar las limitaciones de los buses PCI.
También repasamos los switches de nivel 2 o 3 y su comparación con los routers. Cabe mencionar que los switches pueden actuar como routers pero sin transmisión asimétrica. Además de que los routers conmutan a velocidad de cable y pueden trabajar entre redes más extensas que los switches, los cuales están mas especializados en LAN.
Echamos un vistazo a unos ejercicios básicos de almacenamiento y envío de paquetes situados en el apartado 2.2.4.
Una vez visto esto pasamos a la introducción de "Cisco Packet Tracer". Este programa lo podemos descargar desde un banner que hay en la parte izquierda del Netacad, para los presenciales también está en la carpeta Redes2 de la unidad común.
Hemos conectado a modo de ejemplo un Switch, un servidor, un PC de sobremesa y un portátil según los diferentes cableados que nos ofrece el programa, utilizando el rayo para conexión automática y el cable negro para conexión LAN. Les hemos puesto una IP y probado a hacer pings, navegación web, comando ARP, etc.
Comprobamos las diferentes opciones de configuración de los elementos que hemos incluido, y utilidades que incluyen, ya que podemos añadirle hardware, habilitar opciones, en incluso poder usar un navegador web para visitar una página web alojada en el propio servidor incluido en la simulación.
A uno de los PCs le hemos puesto un cable de consola (azul y curvado) desde el puerto RS232 al puerto de consola del switch, mediante el programa de simulaciónde hiperterminal que tienen los PCs, y con una velocidad de 9600 bps (otros fabricantes de electrónica de red tienen otras configuraciones, ej: 3COM/HP/Huawei usa 19200 bps).
Una vez dentro de la línea de comandos del switch, vemos algunos comandos para configurar los switches mediante Hyperterminal y ek cable de consola. Comentar que podemos ver los diferentes comandos escribiendo "?" o completar un comando con "comando + ?". Muy útil resulta también el tabulador para completar comandos con solo poner las primeras palabras + tabulador ó solo tabulador para escribir el último comando utilizado. Hemos visto los distintos modos de trabajo, como movernos entre ellos y algunos comandos como "Hostname SW1PAB5" para cambiarle el nombre al switch y "show mac-address-table" para ver el contenido de la tabla CAM de direcciones mac asociadas a puertos de la electrónica.
En primer lugar hemos empezado a hablar sobre el método de corte de reenvío de paquetes con el cual se decide la boca por la cual enviar un paquete consultando la Mac en la tabla CAM. Mencionamos el método Fragment Free con el cual recibimos paquetes de 64 bytes y el método de corte, el cuál es el más rapido y, por consiguiente, el más utilizado.
Otra caracterización de los switches es el buffer de memoria. Éste puede ser "En Puerto" o "De Memoria Compartida". En puerto utilizamos una memoria fisica a cada puerto con lo cual es más cara en comparación con la compartida, que es más barata.
Como culturilla general saber que los buses PCI express albergan tarjetas de red de uno o 10 gigabits o directamente se integran en placa para evitar las limitaciones de los buses PCI.
También repasamos los switches de nivel 2 o 3 y su comparación con los routers. Cabe mencionar que los switches pueden actuar como routers pero sin transmisión asimétrica. Además de que los routers conmutan a velocidad de cable y pueden trabajar entre redes más extensas que los switches, los cuales están mas especializados en LAN.
Echamos un vistazo a unos ejercicios básicos de almacenamiento y envío de paquetes situados en el apartado 2.2.4.
Una vez visto esto pasamos a la introducción de "Cisco Packet Tracer". Este programa lo podemos descargar desde un banner que hay en la parte izquierda del Netacad, para los presenciales también está en la carpeta Redes2 de la unidad común.
Hemos conectado a modo de ejemplo un Switch, un servidor, un PC de sobremesa y un portátil según los diferentes cableados que nos ofrece el programa, utilizando el rayo para conexión automática y el cable negro para conexión LAN. Les hemos puesto una IP y probado a hacer pings, navegación web, comando ARP, etc.
Comprobamos las diferentes opciones de configuración de los elementos que hemos incluido, y utilidades que incluyen, ya que podemos añadirle hardware, habilitar opciones, en incluso poder usar un navegador web para visitar una página web alojada en el propio servidor incluido en la simulación.
A uno de los PCs le hemos puesto un cable de consola (azul y curvado) desde el puerto RS232 al puerto de consola del switch, mediante el programa de simulaciónde hiperterminal que tienen los PCs, y con una velocidad de 9600 bps (otros fabricantes de electrónica de red tienen otras configuraciones, ej: 3COM/HP/Huawei usa 19200 bps).
Una vez dentro de la línea de comandos del switch, vemos algunos comandos para configurar los switches mediante Hyperterminal y ek cable de consola. Comentar que podemos ver los diferentes comandos escribiendo "?" o completar un comando con "comando + ?". Muy útil resulta también el tabulador para completar comandos con solo poner las primeras palabras + tabulador ó solo tabulador para escribir el último comando utilizado. Hemos visto los distintos modos de trabajo, como movernos entre ellos y algunos comandos como "Hostname SW1PAB5" para cambiarle el nombre al switch y "show mac-address-table" para ver el contenido de la tabla CAM de direcciones mac asociadas a puertos de la electrónica.
Suscribirse a:
Entradas (Atom)