lunes, 26 de marzo de 2012
CLASE REDES 2 LUNES 26-3-2012
Clase de Redes II
En clases anteriores estuvimos viendo:
- Interfaz
- Comandos
- Como trabajar con copias de seguridad.
- Configuración
- Manejo de estructura de archivos
- Como poner alguna IP, etc...
Todo esto estaba en el apartado 2.4.
Ahora en el capitulo 2.5.1 , 2 , y 3 tenemos las prácticas para hacer por vuestra cuenta.
Seguimos pues con el capítulo 2.4 con el tema de seguridad:
Vamos viendo comandos.
enable password cisco, asi tenemos un primer nivel de contraseñas.
service password encryption, para poder hacer un show root
El profesor procede a abrir el programa CAIN, una vez abierto CAIN, despues de hacer el show root
corta una contraseña (del alagoritmo tipo 7) y la pega en CAIN. El algoritmo tipo 7 está comprometido, por eso CISCO, lo quitó y puso
enable secret CISCO, !no utilizar nunco enable password! , siempre !secret!.
Entonces ponemos dos niveles de contraseña: el enable secret (leer capitulo 2.4.1.4).
Todo esto es lo que tiene que ver con el proceso de ponerle algo de seguridad a la entrada.
En el capitulo 2.4.1.5, vemos que en el proceso de inicio de un switch hay que mantener pulsado un botoncito que podemos ver en el esquema. Si se entra en el modo rom mon, por ejemplo, he perdido la contraseña, tengo el dedo pulsado en el boton, y en unos segundos en lugar de aparecer el proceso normal, vemos rom mon 1. Cada modelo tendra una pulsación de tecla, otros dos pulsaciones. El procedimiento para switches,si hemos perdido la contraseña, por ejemplo, modelo 2960, vemos en la pagina web ese modelo y tenemos una herramienta para poder recuperar la contraseña.
Nos dan instrucciones, en inglés, de los pasos que tenemos que seguir. Pulsar el boton de modo y soltarlo cuando este parpadeando un led que pone SYST. En cada modelo de Switch hay que hacer una paso concreto. Pues bien, cuando el led parpadea nos sale un proceso de arranque, mas o menos extraño, y entonces habrá que teclear tres comandos
flash init
load helper
boot
De esta forma se monta el sistema de archivos que hay en la flash. y a continuación aparecerá la palabra:
switch:
Podemos poner
switch: dir flash:
Así podemos ver cualquier incidencia que puede haber ocurrido en la flash.
También podemos ver el fichero de configuración, y ahí, quizás podemos ver la contraseña que habíamos perdido. Si no es así, pues podremos configurar una nueva.
En estos momentos si reiniciamos el switch va a arrancar como si fuera de primera mano.
switch: boot , arranca el sistema normal.
Estamos accediendo al switch desde la BIOS, entonces quizas debemos leer bien el manual y utilizar toda una serie de comandos para poder arrancar correctamente nuestro switch.
Existe otra posibilidad que es cargar el switch por TFTP.
Con #boot system flash: para arrancar desde flash
boot system rom, para arrancar desde la rom
boot system tftp, para ir al servidor de FTP y descargar el archivo correpondiente.
Resumiendo
-quitamos la luz al dispositivo
-pulsamos boton
-se suelta el dedo
-entramos en el modo de boot, la configuración es la tipica de los dispositivos de CISCO.
-empezamos a ver en la pantalla la BIOS
flash init
load helper
boot
El fichero clave para recuperación de contraseñas es
Nos pregunta si queremos entrar en el asistente NO
Volvemos a renombrar el fichero old con el nombre que debe de tener
Ahora cargamos en fichero de la flash a runnig cofig. Hacemos un show run y comprobamos si se ven las contraseñas. Conviene no tener activos los Telnet.
Una vez hemos arrancado como no hay configuración cargada nos pregunta si queremos asistente. Quermos cambiar el runing config, hacemos un copy start run, asi todo se carga, incluidas las contraseñas, pero no nos hacen falta ahora , porque y estamos dentro.
Hay que volver a grabar con copy run start, para la próxima vez que arranquemos.
Esto no es algo que se vaya a pedir en el examen, pero hay que saber que toda esta información existe, por si alguna vez tenemos que utilizarla.
Ahora hablamos de los banner a los mensajes, banners a los procesos de arranque. Hay que poner un mensaje, y siempre tiene que ser amenazador (..!ha entrado en el departamento legal de defensa!, ....por ejemplo).
Esta el banner login y el banner mod. Este es el mensaje del dia, el que cambia día a dia. El banner login es el mensaje de bienvenida.
ASCII ART TEXT, buscamos en google o en bing. Buscamos alguno que permita escribir texto para hacer un ejemplo practico de mensajes
!Atención ..........
Una vez escrito el banner, guardaremos con copy run start.
A continucación hablamos de TELNET y SSH. Hasta ahora habíamos entrado por Telnet, ahora vamos a ver SSH. Con SSH se pueden buscar router que no que nos pueden pedir usuario y contreña. Esto no va a ocurrir con los ruters de las empresas que tienen personal con buena formación, como Google, por ejemplo, pero si es posible que si nos direccionamos a una pagina WEB de otro país remoto como la India, etc, podemos encontrar routers exentos de seguridad.
#trannsport input ssh, con esta instrucción , a partir de ahora no se podrá entrar por Telnet, sino por ssh.
Ahora deberíamos pensar que es posible empezar a hacer cosas por ssh. Pero no es así, necesitamos la contraseña pública, pero tambíén la contraseña privada. (estamos viendo el apartado 2.4.3.3).
El switch tiene guardada la clave privada. La clave pública es la que se puede ver.
Se puede probar en casa este comando ssh
ssh 10.0.0.10
Pasaremos a ataques de seguridad.
FIN DE CLASE
Clase 21/03/2012
Tema 2.3.6
Para evitar que todos los integrantes de una red tengan el mismo usuario/contraseña se crea un usuario y una contraseña para cada persona, pero esto tiene un problema ya que habría que crear este usuario en cada aparato que tenga funciones de red y esto es muy engorroso.
La idea es estandarizar las autentificaciones fuera de cada componente de red, es decir crear un servidor de autentificación de manera que cuando se necesite validad a un usuario un switch lo remita a este servidor para validarse.
Cisco dispone de dos sistemas TACACS y AAA este ultimo más moderno, esto especifica quien puedo acceder (autentificación) al sistema, con que privilegios(autorización) y además de ver que hace o hizo cuando estaba conectado(registro, log).
Para no tener que especificar lso privilegios de cada usuario se crean unos contenedores de usuarios con unos privilegios determinados, de manera que solo hace falta encasillas a un usuario en un grupo.
2.3.6.4
Mediante packet tracer creamos un switch al que le conectamos 4 pcs
Hacemos un ping a un destino (en modo simulación) como el switch no conoce la mac destino lo envía por todas las bocas sin ser un breadcast.
La maquina que conteste será el destinatario y el switch almacenara la Mac asociada a este PC y ya no volverla a enviar la trama por todas las bocas, tan solo entre los dos pcs que interviene en el proceso.
Proceso cambio switch -à HUB
Inundación de la tabla de asociaciones mac, para que el switch tenga que mandar toda la trama como un broadcast sin serlo.
Es posible que un switch convierta su tabla asociativa en estática introduciendo de forma manual la mac que corresponde a cada boca.
2.3.71
En este punto vemos una serie de comandos que pueden ser interesantes: show versión, show history, show int donde podemos ver diversa información del switch, una serie de estadísticas del nivel de enlace de cada bica del switch.
2.3.8
En este punto vemos como copiar la configuración guardada a la startup config:
copy flash:config.bak1 startup-config
Diferencias entre FTP y TFTP
tcp udp(no garantiza que llegue todo, sin corrección de errores, no garantiza que llegue ordenado)
tftp es factible en redes locales , es mucho mas rápido y no tenemos problemas de corrección de errores y problemas de orden ya que lo primero que sal es lo primero que llega
para montar un servidor de tftp tan solo hace falta un programa(gratuito, cisco tmb tiene el suyo) (http://www.solarwinds.com)
2.4.1
Hemos configurado el switch con una password para poder entrar al switch de forma remota sin un cable de consola mediante un terminal.
Comando:
Line con 0 *entra a configurar
Password: pass cambia la pass
*para conectarse mediante terminal
telnet 10.0.10.10
pass: cisco
Hemos visto que hay diferentes privilegios para entrar a un switch, cada forma tiene una contraseña diferente, con una solo podemos ver ciertas estadísticas y con la otra tendremos acceso a al configuración del mismo.
jueves, 15 de marzo de 2012
Uso | 3COM – 5500 | Cisco – 2950 |
Modo privilegiado | System view | Enable |
Salir del modo | Quit | Exit |
Irse al modo de usuario genérico, estemos en el modo que estemos | Return | Contro+Z |
Mostrar | Display | Show |
Recargar el sistema | Reboot | Reload |
Deshacer un comando | Undo | No |
- La clase de hoy, básicamente ha sido probar los ejemplos de comandos para los switches de Cisco que encontramos en el curso de Cisco que estamos siguiendo. Así pues, hemos instalado el Packet Tracer, programa que podemos descargar de la página de Cisco.
lunes, 12 de marzo de 2012
Clase 12/03/2012
En primer lugar hemos empezado a hablar sobre el método de corte de reenvío de paquetes con el cual se decide la boca por la cual enviar un paquete consultando la Mac en la tabla CAM. Mencionamos el método Fragment Free con el cual recibimos paquetes de 64 bytes y el método de corte, el cuál es el más rapido y, por consiguiente, el más utilizado.
Otra caracterización de los switches es el buffer de memoria. Éste puede ser "En Puerto" o "De Memoria Compartida". En puerto utilizamos una memoria fisica a cada puerto con lo cual es más cara en comparación con la compartida, que es más barata.
Como culturilla general saber que los buses PCI express albergan tarjetas de red de uno o 10 gigabits o directamente se integran en placa para evitar las limitaciones de los buses PCI.
También repasamos los switches de nivel 2 o 3 y su comparación con los routers. Cabe mencionar que los switches pueden actuar como routers pero sin transmisión asimétrica. Además de que los routers conmutan a velocidad de cable y pueden trabajar entre redes más extensas que los switches, los cuales están mas especializados en LAN.
Echamos un vistazo a unos ejercicios básicos de almacenamiento y envío de paquetes situados en el apartado 2.2.4.
Una vez visto esto pasamos a la introducción de "Cisco Packet Tracer". Este programa lo podemos descargar desde un banner que hay en la parte izquierda del Netacad, para los presenciales también está en la carpeta Redes2 de la unidad común.
Hemos conectado a modo de ejemplo un Switch, un servidor, un PC de sobremesa y un portátil según los diferentes cableados que nos ofrece el programa, utilizando el rayo para conexión automática y el cable negro para conexión LAN. Les hemos puesto una IP y probado a hacer pings, navegación web, comando ARP, etc.
Comprobamos las diferentes opciones de configuración de los elementos que hemos incluido, y utilidades que incluyen, ya que podemos añadirle hardware, habilitar opciones, en incluso poder usar un navegador web para visitar una página web alojada en el propio servidor incluido en la simulación.
A uno de los PCs le hemos puesto un cable de consola (azul y curvado) desde el puerto RS232 al puerto de consola del switch, mediante el programa de simulaciónde hiperterminal que tienen los PCs, y con una velocidad de 9600 bps (otros fabricantes de electrónica de red tienen otras configuraciones, ej: 3COM/HP/Huawei usa 19200 bps).
Una vez dentro de la línea de comandos del switch, vemos algunos comandos para configurar los switches mediante Hyperterminal y ek cable de consola. Comentar que podemos ver los diferentes comandos escribiendo "?" o completar un comando con "comando + ?". Muy útil resulta también el tabulador para completar comandos con solo poner las primeras palabras + tabulador ó solo tabulador para escribir el último comando utilizado. Hemos visto los distintos modos de trabajo, como movernos entre ellos y algunos comandos como "Hostname SW1PAB5" para cambiarle el nombre al switch y "show mac-address-table" para ver el contenido de la tabla CAM de direcciones mac asociadas a puertos de la electrónica.