Archivio

Archivio per la categoria ‘Cisco’

Configurazione Cisco 1720/1721 con WIC-1ADSL per Telecom Alice 7Mbit

15 novembre 2009

Di seguito riporto un esempio di per router 1720/1721 con WIC-1ADSL e connessione 7Mbit.

 version 12.4
 service timestamps debug datetime msec
 service timestamps log datetime msec
 service password-encryption
 !
 hostname Router
 !
 boot-start-marker
 boot-end-marker
 !
 no aaa new-model
 !
 resource policy
 !
 mmi polling-interval 60
 no mmi auto-configure
 no mmi pvc
 mmi snmp-timeout 180
 ip subnet-zero
 ip cef
!
 no ip domain lookup
 ip name-server 151.99.125.2
 ip name-server 151.99.125.1
 ip name-server 151.99.125.3
 ip name-server 212.216.112.222
 !
 interface ATM0
   description Interfaccia ATM0/0 - Wic 
   bandwidth 2464
   no ip address
   no atm ilmi-keepalive
   dsl operating-mode ansi-dmt
   hold-queue 224 in
   pvc 8/35
     encapsulation aal5mux ppp dialer
     dialer pool-member 1
 !
 !
 interface FastEthernet0
   description Interfaccia FastEthernet0/0 - Lan interna
   ip address 192.168.0.1 255.255.255.0
   ip nat inside
   ip virtual-reassembly
   speed auto
 !
 interface Dialer0
   description Interfaccia Dialer1 - Connessione   7Mbit/s
   bandwidth 2464
   ip address negotiated
   ip nat outside
   ip virtual-reassembly
   encapsulation ppp
   dialer pool 1
   ppp pap sent-username aliceadsl password 7 094D42001A0016161800
 !
 ip classless
 ip route 0.0.0.0 0.0.0.0 Dialer0
 !
 no ip http server
 no ip http secure-server
 ip nat translation timeout 420
 ip nat translation tcp-timeout 120
 ip nat translation pptp-timeout 420
 ip nat translation icmp-timeout 1
 ip nat translation max-entries 1000
 ip nat inside source list nat interface Dialer0 overload
 !
 ip access-list extended nat
   permit ip 192.168.0.0 0.0.0.255 any
   permit icmp 192.168.0.0 0.0.0.255 any
 !
 control-plane
 !
 !
 line con 0
 line aux 0
 line vty 0 4
 login
 !
 end
Share

Cisco

Cisco – PPPoE per router Cisco 827

15 novembre 2009

Di seguito riporto un esempio di configurazione per router con connessione Telecom Alice 7Mbit.

version 12.3
no service pad
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname c827
!
boot-start-marker
boot-end-marker
!
no aaa new-model
ip subnet-zero
ip name-server 151.99.125.2
ip name-server 212.216.112.112
ip dhcp excluded-address 192.168.0.100
ip dhcp excluded-address 192.168.0.1 192.168.0.5
!
ip dhcp pool LAN
  network 192.168.0.0 255.255.255.0
  default-router 192.168.0.1
  dns-server 208.67.222.222 151.99.0.100
  lease 0 12
!
no ip bootp server
vpdn enable
!
vpdn-group 1
request-dialin
  protocol 
!
interface Ethernet0
description Interfaccia Ethernet0/0 - Lan interna
ip address 192.168.0.1 255.255.255.0
no ip redirects
ip mtu 1492
ip nat inside
ip tcp adjust-mss 1452
no cdp enable
hold-queue 100 out
!
interface ATM0
description Interfaccia ATM0/0 - Connessione ADSL
no ip address
no atm ilmi-keepalive
bundle-enable
dsl operating-mode auto
hold-queue 224 in
pvc 8/35
 -client dial-pool-number 1
 !
!
interface Dialer0
description Interfaccia Dialer0/0 - Alice Mega ADSL 7Mbit/s
bandwidth 8096
ip address negotiated
ip mtu 1492
ip nat outside
encapsulation ppp
ip tcp header-compression passive
ip tcp adjust-mss 1452
dialer pool 1
dialer-group 1
no cdp enable
ppp pap sent-username aliceadsl password 0 aliceadsl
!
ip nat translation timeout 420
ip nat translation syn-timeout 40
ip nat translation max-entries 5000
ip nat inside source list 1 interface Dialer0 overload
ip classless
no ip forward-protocol udp bootps
no ip forward-protocol udp tftp
no ip forward-protocol udp nameserver
no ip forward-protocol udp domain
no ip forward-protocol udp time
no ip forward-protocol udp netbios-ns
no ip forward-protocol udp netbios-dgm
no ip forward-protocol udp tacacs
ip route 0.0.0.0 0.0.0.0 Dialer0
no ip http server
no ip http secure-server
!
access-list 1 permit 192.168.0.0 0.0.0.255
banner login ^C
                 ||        ||
                 ||        ||
                ||||      ||||
            ..:||||||:..:||||||:..
               Systems Inc.
                       -
              c827 @ 192.168.0.1

*** Accesso alla configurazione del router. Ogni accesso viene loggato ***^C
banner prompt-timeout ^C
La sessione di lavoro e' scaduta. Per continuare e' necessario
riautenticarsi.^C
!
line con 0
transport preferred all
transport output all
stopbits 1
line vty 0 4
access-class 1 in
exec-timeout 0 0
logging synchronous
login
transport preferred all
transport input all
transport output all
!
scheduler max-task-time 5000
sntp server 193.204.114.232
sntp server 193.204.114.233
end
Share

Cisco

Cisco NTP – Sincronizzazione del tempo

15 novembre 2009

Sincronizzazione del tempo

E’ bene usare il protocollo NTP per sincronizzare i router con un NTP Server stratum 1 o stratum 2 (vedi http://www.ntp.org per informazioni)., avendo cura di autenticare –quando possibile- il protocollo NTP. Si consiglia di usare la timezone UTC qualora si gestiscano più router distribuiti su più fasce orarie: questo accorgimento facilita la lettura nel caso fosse necessario correlare i log. Esempio:

clock timezone UTC 0
no clock summer-time
ntp update-calendar
ntp authenticate
ntp authentication-key 10 md5 ntpkey
ntp trusted-key 10
ntp server 172.16.3.2 key 10

interface Serial 0/0
ntp disable
interface Ethernet 0/0
ntp broadcast

Share

Cisco ,

Cisco Tuning

15 novembre 2009

Tuning dello stack IP

I comandi successivi servono ad effettuare un miglioramento dello stack IP del routerl. Il primo abilita l’algoritmo di Nangle per la gestione del controllo della congestione (RFC 896). Il secondo limita il tempo di timeout dei pacchetti Syn, il default è di 30 secondi. Il terzo e il quarto nel rispetto degli RFC 1323 e RFC2018.

service nagle
ip tcp synwait-time 10
ip tcp window-size 2144
ip tcp selective-ack

Tuning della CPU

Attraverso il seguente comando si garantisce il tempo minimo della CPU per i processi vitali (500 millisecondi)

scheduler-interval 500

Sui Cisco 7200 e 7500 si può anche inserire il seguente comando, che abilita 500 microsecondi per ciclo di clock sul fast-packet switching e 100 microsecondi per cliclo di clock per process-switching:

scheduler allocate 500 100

Share

Cisco ,

Testare la qualità della linea ADSL

15 novembre 2009

Spesso tra le  varie problematiche che si possono incontrare durante l’installazione di linee ADSL, la qualità offerta e’ uno di questi.  I router  Cisco ci mettono a disposizione un comando specifico per verificarne l’efficienza.

Show dsl interface atm

Tra i vari parametri che  vengono visualizzati ci soffermeremo su due di questi che già da soli danno un’ idea della qualita’ della linea. Il primo è il rumore di fondo (noise) che viene espresso in decibel, ed il secondo è l’attenuazione (attenuation) sempre espresso in decibel. Con questi due parametri si puo’ gia’ avere un’idea di ciò che il gestore sta erogando.

Il primo parametro viene visualizzato con la seguente espressione;Noise Margin:     18.00 dB il concetto di rumore è abbastanza semplice, più alto è il rumore e minore è la qualita’ della linea. Diciamo che intorno ai 20.0 dB la linea puo’ essere utilizzata senza alcun problema , per grandezze inferiori si potrebbero avere dei problemi che consistono nella perdita di pacchetti.

L’altro parametro è l’attenuazione, anche lui espresso in Decibel e viene visualizzato nel seguente modo; Attenuation : 10.0 dB. Questo numero varia a seconda della qualita’ della linea e del rumore stesso (noise), infatti maggiore sono i Decibel di “Noise Margin” e inferiore è l’attenuazione. Per intenderci l’attenuazione puo’ essere interpretata come la perdita di segnale tra il punto A ed il punto B della rete.

La soluzione a questi problemi può essere: Sotituzione del doppino ADSL, sotituzione del filtro ADSL o diminuzione della distanza tra la centrale che eroga il servizio ed il router che lo utilizza.

Share

Cisco ,

Protetto: Creazione filtri per Router Cisco

16 maggio 2009
Inserisci la tua password per visualizzare i commenti.

Il contenuto è protetto da password. Per visualizzarlo inserisci di seguito la password:

Share

Cisco

Password Recovery su Catalyst Switch 2900 – 2950 Series

16 maggio 2009

Per motivi di sicurezza e  di management si stabiliscono delle password che assicurino ai soli utenti autorizzati l’accesso allo switch.

Può accadere, però, che una delle varie password necessarie per il collegamento allo switch
(console o telnet, user mode o privileged mode) vengano in qualche modo smarrite.

Cisco ovviamente non ci lascia nella disperazione e considerando indispensabili queste  password ci permette di recuperarle per riprendere il controllo della device (periferica) in oggetto.

I passaggi non sono semplici da memorizzare per cui, considerando l’eventualità del password recovery
solo come ultima spiaggia, si consiglia un supporto appuntato in luogo sicuro, da consultare all’occorrenza.

Vediamo comunque come si effettua il password recovery su questo apparato:

Due sono le alternative di connessione dal pc alla switch::

a) Porta seriale del p.c. -> cavo console (rollover) -> porta console dello switch
b) Porta ethernet del p.c. -> cavo dritto (straight through) -> una qualsiasi delle porte ethernet dello switch

La sessione di comunicazione verrà operata con un programma come HyperTerminal di Windows o similari.

Operazioni base

a) Spegnere lo switch
b) Riavviarlo tenendo premuto il tasto MODE finchè lo STAT LED termini di lampeggiare

Apparirà sulla schermata nella connessione aperta quanto segue:

C2950 Boot Loader (C2950-HBOOT-M) Version 12.1(6)EA2c, RELEASE SOFTWARE (fc1)

switch: flash_init format

Initializing Flash…

Compiled Thu 28-Feb-02 14:59 by antoninos, 2 directoriesck a filesystem

WS-C2950-24 starting…0 orphaned files, 0 orp

Base ethernet MAC Address: 00:0a:8a:0c:a4:40

flashfs[0]: Total b

Xmodem file system is available. Lock the te

flashfs[0]: Bytes u

The system has been interrupted prior to initializing thees available: 3574272

flash filesystem.  The following commands will initialize

mkdi

…done initializing flash.ctory

the flash filesystem, and finish loading the operatingalled, fsid: 3 contents of a file

system software:

flash_init

load_helper

boot

switch:

Per inizializzare il flash file di sistema e terminare il loading del sistema operativo eseguiamo questi passaggi:

switch: flash_init

switch: load_helper

switch: dir flash:

Assorbite le informazioni di sistema dallo switch passiamo ai comandi che permetteranno di rinominare la configurazionedei file contenenti la definizione delle password:

switch: rename flash:config.text flash:config.old

Riavviamo ora il sistema come evidenziato sotto:

switch: boot

Digitiamo una N quando apparirà la domanda che segue, per avviare il programma di setup:

Continue with the configuration dialog? [yes/no] : N

Per rinominare il file di configurazione con il suo nome originario inseriamo:

switch: rename flash:config.old flash:config.text

Possiamo ora copiare il file di configurazione nella memoria:

switch: copy flash:config.text system:running-config

source filename [config.text]? (invio)

destination filename [running-config] (invio)

A questo punto abbiamo ricaricato il file di configurazione e possiamo, ora,  cambiare le pasword

sconosciute con delle altre a piacimento:

Switch#conf t

Enter configuration commands, one per line.  End with CNTL/Z.

Switch(config)#no ena

Switch(config)#no enable secret

Switch(config)#ena

Switch(config)#enable pass

Switch(config)#enable password >(UNA CHE POSSIATE RICORDARE BENE)

Switch(config)#line con 0

Switch(config-line)#pass

Switch(config-line)#password >(UNA CHE POSSIATE RICORDARE BENE)

Switch(config-line)#exit

Switch(config)#line vty 0 15

Switch(config-line)#pass

Switch(config-line)#password >(UNA CHE POSSIATE RICORDARE BENE)

Switch(config-line)#exit

Switch(config)#exit

Switch#

00:05:30: %SYS-5-CONFIG_I: Configured from console by consolecopy runn

Switch#copy running-config star

Switch#copy running-config startup-config

Destination filename [startup-config]? (invio)

Building configuration…

[OK]

Switch#

Ovviamente, sperando di aver salvato la configurazione , la ritroveremo pronta per essere visualizzata con un semplice comando sh run dopo il riavvio dello switch.

Buon lavoro. E non dimenticate la password

Share

Cisco

Protetto: Esempi di configurazioni Router Cisco

16 maggio 2009
Inserisci la tua password per visualizzare i commenti.

Il contenuto è protetto da password. Per visualizzarlo inserisci di seguito la password:

Share

Cisco

Router Cisco e IOS Overview

16 maggio 2009

IOS (Internetworking Operating System) è il sistema operativo utilizzato nella maggior parte dei Router Cisco Systems.


IOS equipaggia la maggiorparte dei router Cisco ed anche molti dei suoi switch. Attualmente lo sviluppo di questo software è arrivato alla versione 12.2. Tramite IOS è possibile gestire tutte le caratteritiche del router, dal settaggio degli indirizzi, a quello dei protocolli di routing, al controllo del traffico, all’aggiornamento del software.

COMPONENTI DI UN ROUTER CISCO
Sapere quali sono i componenti presenti in un router è importante per comprendere l’utilizzo di IOS. Il router è sostanzialmente un apparato hardware simile ad un computer con uno o più processori, le memorie (volatili e non) e le interfacce per connettersi in reti ed il sistema operativo IOS appunto.
I principali componenti di un Router Cisco sono:
Memoria ROM: contiene il codice per il Bootstrap (avvio) del router, il codice per il POST (Power-On Self Test) il quale esegue la diagnostica dell’hardware presente ed un mini-IOS per permetterne la manutenzione in caso di problemi;
Memoria RAM: in questa memoria di tipo volatile il routing mantiene le informazioni relative alla configurazione corrente e le tabelle di routing. Resettando la macchina le informazioni qui presenti verrano perse, così come eventuali modifiche alla configurazione non ancora salvate;
Memoria NVRAM: è acronimo di Non Volatile RAM ovvero quell’area di memoria che non viene persa allo spegnimento del router dove vengono memorizzate le configurazioni da caricare all’avvio e l’importante Configuration Register (Registro di configurazione) che permette tra le altre cose di determinare la modalità di avvio dell’apparato;
Memoria FLASH: si tratta di una memoria di tipo EEPROM (Electrically Erasable Programmable Read Only Memory).
La Flash non viene cancellata allo spegnimento del router e contiene l’immagine (ma è anche possibile più di una) del sistema operativo IOS;

IOS RELEASE
Le versioni di IOS si distinguono in tre classi principali in base all’utente:
– General Deployment: rappresenta un software di sistema considerato stabile ed esente da bug;
– Early Deployment: questo tipo di release offre oltre alla correzione dei bug della precedente release nuove features come per esempio il supporto di nuovo hardware o il miglioramento di alcuni protocolli;
– Maintenance Release: sostitisce la General Deployment ed è rappresentata dai vari rilasci di manutenzione (es. per la versione 12.0 avremo le Maintenance 12.1 12.2 ecc.)

IOS IMAGE NAMING CONVENTION
Il sistema operativo Cisco IOS viene solitamente caricato, o aggiornato copiando la relativa immagine tramite un TFTP server nella memoria FLASH del router. E’ necessario conoscere le caratteristche del proprio apparato al fine di installare la corretta immagine. Il nome di ogni IOS segue uno schema preciso: Platform-Features-Run-time memory and compression format.
Il significato è il seguente:
Platform: è il modello di router per cui il sistema operativo è stato sviluppato (Es. Cisco 2500, Cisco 7000, Cisco 12000)
Features: sono le caratteristiche come per esempio i protocolli di routing supportati, la possibilità di fare NAT o di creare connessioni VPN ecc.;
Run-time memory and compression format: questo valore è indicato da due lettere, la prima identifica in che area di memoria verrà eseguita l’immagine del sistema operativo, e la seconda il formato di compressione;

Un esempio: c7200-ajs56-mz
c7200: Router Cisco Serie 7200

a: supporto protocollo APPN;
j: supporto di caratteristiche Enterprise;
s: supporto di NAT,ISL,VPDN/L2F
56: supporto di crittografia a 56 bit

m: esecuzione in RAM
z: file compresso con Zip

CONNESSIONE AL ROUTER
Ci sono diversi modi di connetersi al router, a seconda della situazione in cui ci si trova. Al primo avvio non essendo configurate interfacce di rete sarà necessario connettersi tramite la porta CONSOLE la AUXILIARY PORT tramite un cavo cosidetto console (roll-over), mentre successivamente, una volta configurata un’interfaccia di rete, ci si potrà connettere tramite telnet o SSH.

Le porte CONSOLE e AUX si trovano nella parte posteriore del router e solitamente sono di tipo RJ45. Il collegamento attraverso questo tipo di porte, di default è privo di password.

SETUP MODE
Una volta collegati al router, se non esiste una configurazione in NVRAM, IOS propone una configurazione passo-passo In questo caso il sistema pone una serie di domande (tra parentesi quadre[] viene visualizzata la risposta di default) al fine di configurare l’hardware trovato. Al termine delle domande verrà generato il file di configurazione.
Esempio di SETUP MODE:
— System Configuration Dialog —
Would you like to enter the initial configuration dialog?
[yes/no]:
y
At any point you may enter a question mark ‘?’ for help.
Use ctrl-c to abort configuration dialog at any prompt.
Default settings are in square brackets ‘[]’.
..
Configuring global parameters:
Enter host name [Router]:
Zion-1
..

IOS USER INTERFACE
Le configurazioni avvengono solitamente tramite CLI (Command Line Interface), un interfaccia testuale a menu nidificati, che permette di configurare in ogni sua parte il comportamento del router.
E’ comunque possibile creare delle configurazioni tramite tool ad interfaccia grafica e poi copiarla via rete nel router.

LE MODALITA’ DI UN ROUTER CISCO: COMMAND MODES
Cisco IOS puo operare in differenti modalità:
User EXEC mode: Una volta configurato il router, premendo INVIO al termine dei messaggi di boot ci si trova in questa modalità. In User Mode è disponibile solo un sottoinsieme dei comandi IOS ed il prompt del router è rappresentato dal nome host seguito dal carattere >. E’ possibile visualizzare alcune informazioni sulle interfacce, le statistiche del router ma non cambiare i parametri di configurazione.
Esempio di prompt da USER MODE:
Press Enter to Begin
Router>
Router è il nome host name di default, nel caso avessimo dato come host name Zion-1 avremmo avuto un prompt:
Zion-1>
Privileged EXEC mode: in questa modalità a cui si ha accesso tramite password è possibile visualizare tutte le informazioni del router ed accedere alla modalità di configurazione per cambiarne i parametri di funzionamento.
Esempio:

Router>
enable
tramite il comando enable si passa in modalità Privileged EXEC mode
Password:
<password>
Router#
Una volta autenticati tramite password si nota che il prompt è cambiato, e presente il simbolo # simile a quando ci si trova come root su una macchina Unix/Linux
Global configuration: in configurazione globale è possibile accedere ai sotto menu di configurazione di interfacce e protocolli ed il prompt cambierà in:
Router(config)#
Interface configuration: è possibile configurare ogni interfaccia di rete presente (Bri, ATM, Eth), quando il router si trova in questo stato avremo un prompt di questo tipo:
Router(config-if)#
ROM Monitor: quando l’immagine del sistema è corrotta o non trovata il sistema si avvia in questa modalità, e con un ristretto insieme di comandi utili per eseguire la manutenzione. E’ possibile entrare in questa modalità anche facendo lanciando il comando reload da user EXEC mode e premendo entro 60 secondi dal boot il tasto Interr (Break Key) sulla tastiera del computer. Il prompt Rom Monitor sarà:
>

HELP IN LINEA DI IOS
Ios dispone di un help in linea che attraverso il comando ? permette di visualizzare aiuti sui comandi disponibili a seconda della modalità in cui ci si trova.

LINK

Cisco Systems

LINK

Cisco IOS Release 12.0


L’avvio di un Router Cisco attraversa una serie di fasi chiamata sequenza di boot, la sua conoscenza è fondamentale per il troubleshooting e la gestione dell’apparato. Tramite il Configuration Register è possibile gestire in modo personalizzato il boot.
Tutte le procedure di password recovery su router Cisco prevedono la modifica momentanea di questo registro.

IL BOOT
La sequenza di avvio di un router Cisco attraversa principalmente quattro fasi:
Fase 1: Viene eseguito il Power On Self Test (POST), ed in modo simile ad un pc viene effettuato il controllo dei propri componenti;
Fase 2: In questa fase viene eseguito il bootstrap ovvero codice che permette di avviare IOS, determinando a seconda di quanto contenuto nel registro di configurazione dove cercare l’immagine del sistema operativo (per default IOS si trova nella memoria FLASH);
Fase 3: Una volta che IOS è stato caricato, esso cerca un file di configurazione valido nella NVRAM chiamato startup-config.
Fase 4: La configurazione nel file startup-config viene caricata in RAM ,e assume il nome di running-config, in caso contrario sarà avviata la modalità Setup Mode.

IL CONFIGURATION REGISTER
I router Cisco contengono un registro software di 16 bit salvato nella memoria NVRAM. Tramite questo registro, contenente un valore in esadecimale, è possibile modificare in parte il comportamento dell’apparato di rete, in particolare è spesso utile per gestire la fase di boot.

I bit del registro di configurazione sono suddivisi in campi, ogni campo si occupa della gestione di una particolare caratteristica dell’apparato, in particolare è possibile controllare:
– le modalità di boot dell’apparato
– la funzione di Break
– gli indirizzi di broadcast
– la velocità della porta console
– i messaggi di diagnostica
– se utilizzare o meno le configurazioni contenute nella NVRAM

I CAMPI RELATIVI AL BOOT DEL CONFIGURATION REGISTER
I bit da 0 a 3 del registro di configurazione sono chiamati il boot field, modificando i valori in esso contenuti è possibile gestire l’avvio del router. In particolare:
00: con questo valore l’avvio avverrà in modalità ROM monitor. Il valore del registro sarà 0x2100;
01: con questo valore il router può utilizzare l’immagine IOS residente nella ROM. Il valore del registro sarà 0x2101;
02-F: con valori da 2 a F il router esegue il boot secondo quando spefificato nella configurazione in NVRAM;
Il valore del registro potrà variare da 0x2102 a 0x210F;
Il valore di default per il registro di configurazione è 0x2102.

VISUALIZZAZIONE E SETTAGGIO DEL CONFIGURATION REGISTER
E’ possibile visualizzare il contenuto corrente del registro di configurazione tramite il comando show version in modalità Priviliged EXEC mode:
Router# show version
Cisco Internetwork Operating System Software
IOS ™ C2600 Software (C2600-I-M), Version 12.0(3)T3,
RELEASE SOFTWARE (fc1)

Configuration register is 0x2102
In questo caso il registro è settato di default, in modo da caricare l’immagine dalla FLASH memory

Attraverso il comando config-register è possibile modificarne il valore:
Router# configure terminal
Per modificare il registro è necessario entrare in modalità Global Configuration
Router(config)#
config-register 0x2100
Il registro di configurazione è stato modificato per avviare il router in modalità ROM Monitor al prossimo reboot
Una modificato il registro è necessario riavviare il router per rendere effettive le modifiche.

In modalità ROM monitor per modificare o ripristare il valore del registro è possibile utilizzare il comando confreg seguito dal valore del registro. In caso si digiti solamente il comando confreg senza parametri viene visualizzata una procedura guidata:
Rommon 1 > confreg 0x2102
In questo caso viene passato direttamente il valore esadecimale
rommon 7 >
confreg
Lanciando il comando senza parametri viene passato in rassegna ogni campo del registro di configurazione
Configuration Summary
enabled are:
console baud: 9600
boot: the ROM Monitor
do you wish to change the configuration? y/n [n]: y
enable “diagnostic mode”? y/n [n]: y
enable “use net in IP bcast address”? y/n [n]:
enable “load rom after netboot fails”? y/n [n]:
enable “use all zero broadcast”? y/n [n]:
enable “break/abort has effect”? y/n [n]:
enable “ignore system config info”? y/n [n]:
change console baud rate? y/n [n]: y
enter rate: 0 = 9600, 1 = 4800, 2 = 1200, 3 = 2400 [0]: 0
change the boot characteristics? y/n [n]: y
enter to boot:
0 = ROM Monitor
1 = the boot helper image
2-15 = boot system
[0]: 0
Configuration Summary
enabled are:
diagnostic mode
console baud: 9600
boot: the ROM Monitor
do you wish to change the configuration? y/n [n]:
You must reset or power cycle for new config to take effect.
rommon 8>

Non tutte le versioni di ROM monitor supportano gli stessi comandi, è quindi necessario consultare la documentazione in dotazione del router. I valori di configuration register da impostare per una procedura di password recovery, inoltre, possono variare a seconda del modello di router.

SOURCE

Cisco IOS Configuration Fundamentals Command Reference

SOURCE


Router Cisco Password, Privileged Level e Password Recovery

2

Grazie alle Password ed ai Privileged Level è possibile proteggere un router Cisco da accessi indesiderati, e definire policy di accesso, configurazione e utilizzo. In caso di perdita delle parole d’accesso è comunque possibile riottenere il controllo dell’apparato grazie alle procedure di password recovery eseguibili localmente.

Le password utilizzabili su un router Cisco si dividono in due categorie, le Enable Password che proteggono il privileged EXEC mode e le Line Password ovvero quelle che proteggono l’accesso da Auxiliary Port, da Console Port e tramite Telnet.

ENABLE PASSWORD
La password per la modalità privileged EXEC detta password di ENABLE viene settata tramite il comando enable password. Utilizzando questo comando, la password risulta però visibile nel file di configurazione, per garantire una migliore sicurezza è consigliato l’utilizzo di password crittografate tramite il comando enable secret.
Esempio:
Router# configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)# enable secret ndcdiv400
Ora la password è presente crittografata nel file di configurazione

LINE PASSWORD
Le line password devono anch’esse essere settate in Global Configuration Mode, il comando utilizzato è password. Tramite il comando line ? è possibile visualizzare quali interfacce line è possibile configurare:
Router(config)# line ?
<0-4> First Line number
aux Auxiliary line
console Primary terminal line
vty Virtual terminal

Possiamo notare aux per la Auxilary porte, console per la ominima porta e vty per gli accessi via telnet sulle interfacce configurate e attive

Alcuni esempi di configurazione per le line password:
AUXILARY PORT
Router(config)# line aux ?
<0-0> First Line number
Con il comando line <nomeinterfaccia> ? IOS restituisce il numero di interfacce disponibili. In questo caso vediamo che essendoci una sola Auxilary Port il range è 0-0 ovvero una sola line disponibile, la prima ovvero la line 0
Router(config)#
line aux 0
Router(config-line)#
login
Viene indicato che il settaggio è relativo al login su questa porta
Router(config-line)#
password oskcpr
CONSOLE PORT
Router(config)# line console ?
<0-0> First Line number
Router(config)#
line console 0
Router(config-line)#
login
Router(config-line)#
password oskcpr
ACCESSO VIA TELNET
Router(config)# line vty 0 ?
<0-4>Last Line Number
Router(config-line)#
line vty 0 4
Il settaggio fa riferimento agli accessi via telnet da 0 a 4
Router(config-line)#
login
Router(config-line)#
password osktps

PASSWORD ENCRYPTION
Solamente attraverso il comando enable secret le password settate sul router vengono crittografate di default, altrimenti restano visibili nel file di configurazione. Per fare in modo che ogni password immessa venga sempre crittografata è possibile abilitare il servizio di password encryption. Questa feature viene attivata in global configuration mode tramite il comando: service password-encryption.
Esempio:
Router# conf t
Enter configuration commands, one per line. End with CNTL/Z.
Conf t è un’abbreviazione possibile di configuration terminal per entrare in global configuration mode
Router(config)#
service password-encryption
Ora ogni password è crittografata di default
Router(config)# Exit
Router#
show running-config
!
version 12.1
..
service timestamps debug uptime
service timestamps log uptime
service password-encryption
..
Visualizzando la configurazione corrente tramite il comando show running-config è possibile vedere che il servizio di password-encryption è attivo
Router#
copy running-config startup-config
A questo punto la configurazione viene salvata in NVRAM

PRIVILEGE LEVELS
Un router cisco prevede di default due livelli di utilizzo, a livello 1 troviamo user EXEC Mode mentre a livello 15 troviamo Privileged EXEC mode. Tra questi due livelli è possibile inserire ulteriori levels, i quali protetti da password consentono solamente l’utilizzo di determinati comandi. Un’ipotetica policy potrebbe essere quella di definire degli operatori che possando eseguire solo operazioni di debug:
Router(config)# enable password level 10 pswoscr
Viene abilitata una password per lavorare a level 10
Router(config)#
privilege exec level 10 debug ppp chap
Router(config)#
privilege exec level 10 debug ppp error
Router(config)#
privilege exec level 10 debug ppp negotiation
L’operatore che farà il log sul router a level 10 potrà utilizzare i comandi di debug sul protocollo ppp sopra definiti o definiti a levels inferiori e non altri
Router(config)#
exit
Router#
copy running-config startup-config
Uscita dalla modalità di configurazione globale e salvataggio nel file di configurazione

Una volta stabiliti i vari privilege level sarà possibile autenticarsi con i camandi enable numero_level, uscire dal livello con disable numero_level o verificare in che level si è loggati con show privilege.

PASSWORD RECOVERY
Le procedure di password recovery di un router Cisco possono essere eseguite, per ragioni di sicurezza, solamente dalla porta console dell’apparato. Il recupero dell’accesso all’apparato varia da modello a modello di router, ma il processo è sostanzialmente il seguente:

FASE 1: Settare il router (tramite il configuration register) in modo da non utilizzare la configurazione presente nella NVRAM;
FASE 2: Riavviare il router;
FASE 3: Entrare in modalità Privileged EXEC mode (che a questo punto sarà priva di password di accesso);
FASE 4: In caso di password non crittografate sarà possibile visualizzare dal file di configurazione nella NVRAM, altrimenti sarà necessario settare una nuova password, nel caso peggiore bisognera caricare una nuova configurazione;
FASE 5: Settare nuovamente il router per leggere il file di configurazione nella NVRAM;
FASE 6: Riavviare il router

Consultando il sito di Cisco Systems è possibile trovare la procedura di Password Recovery per ogni modello di Router.

LINK

Cisco Password Recovery Procedures

SOURCE

Cisco IOS Security Configuration Guide


Cisco Discovery Protocol

2- JUNIOR – 2003-06-18 20:45:41 – UserID: 173

Cisco Discovery Protocol (CDP) è un protocollo proprietario di Cisco Systems sviluppato per la raccolta di informazioni (tipo di Hardware, versione IOS, protocolli, numero di matricola ecc) su apparati di rete interconnessi tra loro.

CDP è stato implementato per essere utilizzato su router, access server, bridge e switch Cisco. Le informazioni ricavate tramite l’utilizzo di questo protocollo sono utili ai fine della documentazione e del troubleshooting della rete.

ABILITARE E DISABILITARE CDP
E’ possibile verificare se CDP è abilitato sul router tramite il comando show cdp neighbors in modalità Enable.
Un esempio:
router-Cs2# show cdp neighbors
router-Cs2# “% CDP is not enabled”
router-Cs2#
config terminal
IOS informa che il protocollo non è attivo: not enabled. E’ quindi necessario abilitarlo…
router-Cs2(config)#
cdp run
Se non impostato diversamente CDP è abilitato su tutte le interfacce supportate
router-Cs2(config)#
end
router-Cs2#
show cdp neighbors

Capability Codes:R – Router, T – Trans Bridge, B – Source Route Bridge S – Switch, H –
Host, I – IGMP, r – Repeater

Device ID   Local  Intrfce  Holdtme  Capability  Platform Port ID

Router-Cs1  Eth    0        122       R          2621     Fas 0/0
Router-Cs3  Ser    0        140       R          2500     Ser 0
L’output del comand mostra i due router connessi rispettivamente sull’interfaccia Ethernet e Seriale

Qualora invece si voglia disabilitare su ogni interfaccia il protocollo CDP è necessario utilizzare il comando no cdp run.

PARAMETRI GLOBALI
Cisco Discovery Protocol utilizza per il suo funzionamento due parametri globali:
CDP Timers: Ogni quanto tempo i pacchetti CDP vengono inviati sulle interfacce attive;
Holdtime Information: Per quanto tempo il valore dei pacchetti ricevuti è mantenuto valido;

Se CDP è in funzione, é possibile visualizzare questi parametri tramite il comando show cdp:
Router> sh cdp
Global CDP information:
Sending CDP packets every 60 seconds
Sending a holdtime value of 180 seconds

In modalità configurazione si ha la possibilità di modificare questi parametri:
Router-Cs2# conf t
Enter configuration commands, one per line. End with CNTL/Z.
Router-Cs2(config)#
cdp ?
holdtime Specify the holdtime (in sec) to be sent in packets timer Specify the rate at which CDP packets are sent(in sec) run
In caso di dubbio l’help in linea e’ un valido supporto
Router-Cs2(config)#
cdp timer 90
Router-Cs2(config)#
cdp holdtime 240
Router-Cs2(config)#
end

INFORMAZIONI SUI NEIGHBORS ROUTER
Tramite il comando show cdp neighbors oppure show cdp neighbors detail è possibile ottenere con diverso grado di dettaglio diverse informazioni riguardanti gli apparati di rete direttamente interconessi a quello su quale si lancia il comando.
Tra i parametri abbiamo:
Device ID: L’hostname dell’apparato;
Local Interface: La porta o l’interfaccia sulla quale si ricevono i pacchetti CDP;
Holdtime: Il tempo per il quale il router considererà valide le informazioni ottenute prima di scaricare il pacchetto se non ne riceverà altri;
Capability: Il tipo del dispositivo (Router, Switch, Bridge ecc.). La legenda dei tipi di dispositivi è visualizzata come intestazione dell’output del comando stesso;
Platform: La piattaforma del dispositivo;
Port ID: La porta del dispositivo sulla quale vengono trasmessi in broadcast i pacchetti CDP;

Tramite l’opzione detail vengono aggiunte ulteriori informazioni:

Entry address(es): Gli indirizzi di rete dell’apparato conesso;
Version: La versione di IOS;
Duplex Mode: Lo stato duplex della connessione;
Native VLAN: Identificativo della VLAN di cui l’apparato fa parte;
VTP Management Domain: Stringa di identificazione VLAN Trunk Protocol;

Un esempio:
router# show cdp neighbors detail
Device ID: 008024 1EEB00 (milan-sw-1-cat9k)
Entry address(es):
IP address: 192.168.10.5
Platform: CAT5000, Capabilities: Switch
Interface: Ethernet1/0, Port ID (outgoing port): 2/7
Holdtime : 162 sec
Version :
Cisco Catalyst 5000
Duplex Mode: full
Native VLAN: 42
VTP Management Domain: ‘Supporto Tecnico’

INFORMAZIONI SU SPECIFICHE INTERFACCE
Tramite il comando show cdp interface si ottengono informazioni in relazione ad ogni singola interfaccia o porta di uno switch.

Router-Cs2# sh cdp interface
Ethernet0 is up, line protocol is up
Encapsulation ARPA
Sending CDP packets every 60 seconds
Holdtime is 180 seconds
Serial0 is administratively down, line protocol is down
Encapsulation HDLC
Sending CDP packets every 60 seconds
Holdtime is 180 seconds
Serial1 is administratively down, line protocol is down
Encapsulation HDLC
Sending CDP packets every 60 seconds
Holdtime is 180 seconds

Per abilitare o disabilitare su una singola interfaccia CDP è necessario selezionarla ed utilizzare i comandi cdp enable oppure no cdp enable:
Router-Cs2# config t
Enter configuration commands, one per line. End with CNTL/Z.
Router-Cs2(config)#
int s0
Router-Cs2(config-if)#
no cdp enable
Il protocollo CDP viene disabilitato solamente sulla prima interfaccia seriale SO
Router-Cs2(config-if)#
end

INFORMAZIONI SUL TRAFFICO CDP
E’ possibile visualizzare informazioni relative al traffico scambiato tra apparati che utilizzano il protocollo CDP tramite il comando show cdp traffic:
Router-Cs2# show cdp traffic
Total packets output: 543, Input: 333
Hdr syntax: 0, Chksum error: 0, Encaps failed: 0
No memory: 0, Invalid: 0, Fragmented: 0
CDP version 1 advertisements output: 191, Input: 187
CDP version 2 advertisements output: 352, Input: 146

Share

Cisco

Guida alla configurazione sicura di un router Cisco

1 maggio 2009

Configurazione di base

Il primo passo per la prevenzione è abilitare il sistema di log per tenere traccia di tutti gli eventi “interessanti”. (È inutile dire che il server sul quale viene registrato il file di log deve essere adeguatamente protetto; è consigliabile inoltre adottare meccanismi automatici di allarme, ad es. swatch).

service timestamps log datetime
logging trap debugging
logging facility
logging
Per eliminare la possibilita` che un router utente sia utilizzato come “ponte” per connessioni illecite,  è consigliabile disabilitare la possibilita` di fare telnet dal router,  pur lasciando un account non privilegiato per diagnostica: la connessione inoltre dovra` essere possibile solo da alcuni host prestabiliti (ad es.: dalla rete interna e dal router del PoP).


! account di servizio (non puo’ fare telnet)
!
username access-class 1 nopassword
access-list 1 deny any log
….
access-list 2 permit 0.0.0.0
access-list 2 permit 0.0.0.255
!
line vty 0 4
….
access-class 2 in
login local

I file di configurazione dei router vengono tipicamente salvati su un tftp server e sono quindi accessibili, in linea di principio, a tutti: è consigliabile permettere l’accesso al tftp server ai soli nodi interessati (ad es. mediante un sistema di tcp-wrapper sul server).

La criptazione della password di accesso al router non è sufficiente: è infatti diffuso un “tool” che permette di decriptare la password di enable dei router CISCO, a partire dal file di configurazione (si veda il punto precedente), in quanto l’algoritmo di criptazione è reversibile. E` fortemente consigliato quindi sostituire la password di enable con il “secret” che usa un algoritmo di criptazione non reversibile.

! abilita la criptazione delle password
!
service password-encryption
!
! inserimento password di tipo secret
!
enable secret SECRET1

Attacchi di tipo Denial of Service (DoS)

Gli attacchi di tipo DoS hanno come scopo di rendere inutilizzabile un servizio o una risorsa, eventualmente per sostituirsi ad essa e trarne un illecito vantaggio.

La tipologia di questi attacchi spazia dall’impedire la connessione ad un server (o a un router) al mandare in crash lo stesso.

Vediamo i casi più diffusi.

smurfing

Un grave disservizio verificatosi recentemente in alcuni siti GARR è stato causato dall’invio dall’esterno di pacchetti ICMP all’indirizzo di broadcast di una delle reti del sito (“broadcast storm”): lo “smurfing“.

Tale tipo di attacco coinvolge solitamente tre siti: il sito di origine dell’attacco (sito O) e altri due siti “vittime”, uno intermedio che “amplifica” l’attacco (sito I) ed uno terminale (sito T).

Solitamente dal sito O vengono effettuati ping sull’indirizzo di broadcast di una (o più reti) del sito I, con il campo source ip address dell’header falsificato e posto uguale a quello di un host del sito T (per maggiori dettagli: CERT CA-98.01, RFC 2267). In questo modo viene generato un flusso consistente di pacchetti ICMP dal sito I al sito T (per una stima del disservizio, si veda: “THE LATEST IN DENIAL OF SERVICE ATTACKS: “SMURFING” DESCRIPTION AND INFORMATION TO MINIMIZE EFFECTS“)

Purtroppo non c’è modo per il sito T di difendersi direttamente, se non tramite una politica preventiva estesa a quanti più siti possibile tesa ad eliminare le cause (cioè ad impedire comportamenti “scorretti” dei propri utenti).

E` quindi importante impedire che la propria LAN sia origine dell’attacco o amplificatore ignaro (ed allo stesso tempo vittima) dello stesso.

Per evitare che la propria LAN agisca da sito intermedio, è necessario disabilitare la possibilità di inviare pacchetti dall’esterno sull’indirizzo di broadcast delle proprie reti nel seguente modo:

! impedisce di inviare pacchetti broadcast dall’esterno
!
interface ethernet 0
…..
no ip directed-broadcast

Questa operazione deve essere ripetuta su ogni router connesso alla propria LAN.

Inoltre, per evitare che la propria LAN sia origine dell’attacco o quanto meno per permettere di individuare l’origine dell’attacco, è necessario controllare che i pacchetti che escono dalla LAN abbiano nell’header come source address un indirizzo appartenente ad essa. In questo modo è almeno possibile evitare di coinvolgere siti “terzi” e risalire all’origine dell’attacco disponendo di un sistema di monitoraggio sulla LAN (si veda ad es: “Building a Network Monitoring and Analysis Capability Step by Step”)

L’access-list seguente effettua il controllo richiesto (si ricordi che le access-list estese sono identificate da un numero compreso nell’intervallo 100-199 e che l’IOS CISCO effettua il controllo sequenzialmente dalla prima istruzione, fermandosi al primo match di condizione esatto che trova).

! impedisce ai pacchetti con source address falsificato di uscire dalla LAN
!
interface serial 0
……
ip access-group 101 out
…..
!
! definizione access-list (nell’esempio RETE è una rete di “classe C”)
!
access-list 101 permit ip <RETE> 0.0.0.255 any any
access-list 101 deny ip any any log

L’uso di una access-list per filtrare i pacchetti in uscita dalla propria LAN (è sufficiente l’access-list applicata come misura preventiva per lo smurfing) permette di circoscrivere eventuali attacchi verso terzi provenienti dalla propria LAN.


Attacchi UDP-TCP sulle porte di diagnostica del router

Un altro possibile attacco, di tipo DoS, cui sono soggetti router CISCO è l’invio di un grande numero di pacchetti spuri UDP o TCP sulle porte echo, chargen, discard e daytime (quest’ultimo solo TCP). In questi casi il router, per rispondere a queste richieste, può arrivare a consumare una grande percentuale della propria CPU fino, in casi estremi, ad andare in crash (per maggiori dettagli: “White Paper: Strategies to Protect Against UDP Diagnostic Port Denial of Service Attacks“).

È consigliabile disabilitare tale accesso, con le seguenti istruzioni in configurazione:

no service udp-small-servers
no service tcp-small-servers

Attacco “land”

Come è noto, è diffuso un “tool” (noto come land)  che permette l’invio ad un determinato host di pacchetti TCP SYN (inizio di connessione), con “ip source address” e “port” falsificati e posti uguali all’indirizzo ed alla porta dell’host di destinazione, causando in alcuni casi anche lo stallo del router.

Il problema è stato risolto nelle più recenti versioni di IOS Cisco, ma negli altri casi è necessario applicare un filtro che blocchi per ogni interfaccia la ricezione di questi pacchetti (per maggiori dettagli: “TCP Loopback DoS Attack (land.c) and Cisco Devices“).

! impedisce l’invio alle interfacce di pacchetti
! con ip source address uguale a quello dell’interfaccia
!
interface ethernet 0
…..
ip address
ip access-group 102 in
…..
!
! il filtro è inutile se l’interfaccia è unnumbered o
! comunque se ha un indirizzo non annunciato
!
interface serial 0
……
ip address
ip access-group 102 in
…..
!
access-list 102 deny ip 0.0.0.0 0.0.0.0
access-list 102 deny ip 0.0.0.0 0.0.0.0
access-list 102 permit ip any any

Attacchi “TCP SYN”

Un altro possibile attacco di tipo DoS  è l’attacco “TCP SYN” caratterizzato dalla richiesta di un grande numero di connessioni, apparentemente da host diversi, ad un router il quale però non riceverà mai l’acknowledgment di chiusura del “TCP three-way handshake”  per queste connessioni, causando quindi il riempimento della sua coda di connessione e quindi realizzando una situazione di Denial of Service (per maggiori dettagli si veda: “White Paper: Defending Strategies to Protect Against TCP SYN Port Denial of Service Attacks“).

Non è possibile rintracciare l’origine dell’attacco in quanto il mittente viene falsificato, né esistono metodi semplici di difesa (non è fattibile ad esempio l’attivazione di una access-list che filtri le connessioni in ingresso, perchè tipicamente l’ip sorgente è falsificato in maniera casuale e quindi un attacco può coprire buona parte dello space-address di Internet).

Sono attuabili alcune contromisure come aumentare la dimensione della coda di connessione (SYN ACK queue) e diminuire il tempo di time-out per il “three-way handshake“.

Anche in questo caso la realizzazione dell’acces-list per filtrare i pacchetti in uscita diminuisce la probabilità che la LAN sia utilizzata come base per questo tipo di attacchi (è sufficiente l’access-list applicata come misura preventiva per lo smurfing).

Uso non autorizzato delle risorse

Protezione degli host sulla LAN

In situazioni normali è difficilmente attuabile il controllo centralizzato di tutti gli host sulla propria LAN. La misura alternativa è filtrare selettivamente sul router i servizi tendenzialmente pericolosi.

In linea di principio, la situazione ottimale è isolare su una LAN dedicata i server “esterni” ovvero quelli che devono essere visibili a tutti, permettendo l’accesso verso di essi però solo limitatamente ai servizi “ufficiali” offerti; per quanto riguarda invece le macchine utente, dovrebbe essere bloccato tutto il traffico diretto verso le porte “pericolose” (dalle quali comunque di norma non dovrebbero essere offerti servizi).

Nella seguente tabella sono riportati i servizi da filtrare o bloccare.

Servizio Porta Protocollo Azione Note
echo 7 TCP/UDP Bloccare DoS
systat 11 TCP/UDP Bloccare informativo
daytime 13 TCP/UDP Bloccare
netstat 15 TCP Bloccare informativo
quotd 17 TCP/UDP Bloccare
chargen 19 TCP/UDP Bloccare DoS
smtp 25 TCP Filtrare
time 37 TCP/UDP Bloccare inutile
tacacs 49 TCP/UDP Bloccare
domain 53 TCP Filtrare Usato principalmente per zone transfer
bootp 67-68 UDP Bloccare
tftp 69 UDP Bloccare
gopher 70 TCP Bloccare obsoleto
finger 79 TCP Bloccare informativo
http 80 TCP Filtrare
link 87 TCP Bloccare
supdup 95 TCP Bloccare
pop2 109 TCP Bloccare obsoleto
pop3 110 TCP Filtrare
sunrpc 111 TCP/UDP Filtrare
nntp 119 TCP Filtrare
nbios-ns 137 TCP/UDP Filtrare
nbios-dgm 138 TCP/UDP Filtrare
nbios-ssn 139 TCP/UDP Filtrare
imap 143 TCP Filtrare
NeWS 144 TCP Bloccare
snmp 161 UDP Filtrare
snmptrap 162 UDP Bloccare
xdmcp 177 UDP Filtrare
irc 194 TCP/UDP Bloccare
exec 512 TCP Bloccare
biff 512 UDP Bloccare
login 513 TCP Bloccare
who 513 UDP Bloccare informativo
shell 514 TCP Bloccare
syslog 514 UDP Bloccare
printer 515 TCP Bloccare
route 520 UDP Bloccare
uucp 540-541 TCP Bloccare
mountd 635 TCP/UDP Filtrare
openwin 2000 TCP Bloccare
NFS 2049 TCP/UDP Filtrare
X11 6000-6063 TCP Filtrare


Mail Spamming

Come esempio significativo di uso illecito delle risorse (soprattutto della rete) esaminiamo il “mail spamming”, ovvero l’uso di mailer SMTP da parte di utenti non autorizzati per ottenere l’invio di decine di migliaia di messaggi di e-mail, di solito contenenti messaggi pubblicitari non richiesti dai destinatari (detti UCE: Unsolicited Commercial E-mails).

Per prevenire questo fenomeno, in linea di principio, è sufficiente configurare correttamente gli host di una LAN eliminando (selettivamente) la possibilità di utilizzarli come mail relay dall’esterno (per maggiori dettagli: sendmail organization )

In realtà però, come abbiamo notato precedentemente, è necessario filtrare il servizio smtp dall’esterno verso tutti gli host ritenuti non “affidabili” (cioè non controllati direttamente dai reponsabili del sito), lasciando pieno accesso smtp solo verso i mail server “ufficiali”.

Viene riportato di seguito un esempio di access-list che realizza questo filtro.

! impedisce le connessioni smtp dall’esterno verso host non autorizzati
! (nell’esempio si suppone che la connessione verso l’esterno avvenga
! tramite l’interfaccia serial 0)
!
interface serial 0
……
ip access-group 103 in
…..
!
! definizione access-list (nell’esempio RETE è una rete di “classe C”)
!
access-list 103 permit tcp any host
access-list 103 permit tcp any host
access-list 103 deny   tcp any <RETE> 0.0.0.255 eq smtp log
access-list 103 permit ip any any

Si noti che una simile configurazione non impedisce alle macchine interne di parlare SMTP tra di loro nè di trasmettere direttamente posta elettronica a tutto il mondo esterno: impedisce solamente al mondo esterno di accedere direttamente alla porta SMTP delle macchine non autorizzate (per maggiori dettagli si veda, ad es.: “Installazione e configurazione di Berkeley sendmail su piattaforma Unix“).

Un problema che rimane comunque aperto è lo spamming con il metodo del “doppio non delivery”. In questo caso lo “spammer”, per aggirare le protezioni sul mail-relay, invia il mail ad un utente inesistente in un dato dominio con il campo From falsificato e posto uguale al “bersaglio”: il sistema di mail del dominio ricevente accetta l’e-mail (è diretto ad utente del proprio dominio) ma poi constata che l’utente è inesistente e quindi lo rispedisce al mittente (a quello che crede essere il mittente…).

Purtoppo non c’è modo di difendersi se non segnalando il fatto ai gestori dell’ISP dal quale avvengono queste connessioni ed eventualmente  filtrare la connessione smtp dalle reti in questione (eliminando quindi anche i mail “legittimi”); d’altra parte questo tipo di “mail-spamming” è assolutamente inefficiente dal punto di vista dello spammer (deve mandare un mail per ogni “vittima”).

Share

Cisco