Archivio

Archivio per maggio 2009

Backup e ripristino di Active Directory

17 Maggio 2009

Panoramica su backup e ripristino di Active Directory

Per garantire la disponibilità delle applicazioni mission critical delle risorse di rete e gli oggetti, e la continuità del business, è necessario per eseguire back up di Active Directory, se è in esecuzione nel vostro ambiente. Ciò è dovuto al fatto di Active Directory normalmente ospita i dati mission-critical, e le risorse. I backup sono tipicamente preformata per una serie di motivi, tra cui i seguenti:

  • Proteggete il vostro ambiente di rete della cancellazione accidentale di, o la modifica dei dati, e da errori di hardware: Avere un punto facilmente accessibile il backup di Active Directory potrebbe assicurare che si può recuperare qualsiasi importanti oggetti di Active Directory che sono stati eliminati per errore. Backups rivelarsi prezioso anche quando gli utenti non autorizzati intenzionalmente o cancellare o modificare i dati. Il backup sarebbe consentono di ripristinare i dati al suo stato precedente di integrità. Perché alcuni guasti hardware come hard disk danneggiati possono causare una notevole perdita di dati, il backup dei vostri dati per garantire che l’attività possa continuare a svolgere le sue funzioni mission critical quando un tale evento si verifica.
  • Conservare i dati mission-critical: Si consiglia di consultare regolarmente il backup dei dati mission-critical in modo che qualsiasi versione precedente di informazioni può essere letta, se necessario, a un certo momento nel futuro.

Perché Active Directory è in funzione il Registro, è necessario eseguire il backup dei file all’interno della directory di sistema. Questi file sono chiamati file di sistema. Sistema di dati dello stato fondamentalmente contiene le principali informazioni di configurazione in Windows 2000 e Windows Server 2003. Quali informazioni effettive è inclusa nel sistema di dati è stato determinato dal sistema operativo (OS) di configurazione. Stato del sistema in genere comprende le seguenti importanti dati, file e componenti:

  • Il Registro di sistema di Windows
  • Il contenuto della directory SYSVOL
  • I file che sono protetti dalla Protezione file di sistema di Windows
  • Di avvio e file di sistema: Ntdetect.com, Ntldr e Bootsect.dat.
  • La classe COM + Registrazione dati
  • Il database di Active Directory (Ntds.dit), compresi tutti i file di log e controllo dei file
  • Servizio cluster file
  • Certificato di servizio file
  • L’Internet Information Server (IIS) metabase

È possibile utilizzare uno dei metodi elencati di seguito per eseguire il backup di Active Directory.

  • È possibile eseguire il backup dei dati dello stato del sistema solo
  • È possibile eseguire il backup di Active Directory come parte di un backup completo del sistema
  • È possibile eseguire il backup di Active Directory come parte di un sistema di backup parziale

La migliore opzione per utilizzare quando si specificano quali dati o componenti dovrebbe essere sostenuta in Active Directory di backup, è quello di specificare un backup dei dati dello stato del sistema. Ciò garantisce che tutti i principali file di sistema sono il backup. Quando un backup completo del sistema viene eseguito, i dati dello stato del sistema viene automaticamente incluso nel processo di backup. Quando si effettua un parziale di backup, è possibile specificare che i dati dello stato del sistema dovrebbe essere incluso. Specificando manualmente i singoli file e componenti per un backup di Active Directory può essere un processo estremamente complesso. Oltre a dover essere in grado di identificare e specificare tutti i più importanti file di sistema e componenti, è necessario essere in grado di specificare quali altri importanti dati di Active Directory e dei componenti devono essere sostenute, come ad esempio la topologia di replica, le informazioni e dei Criteri di gruppo.

È possibile eseguire il backup di Active Directory utilizzando il Windows Server 2003 utilità Backup, o da linea di comando, utilizzando la Ntdsutil utilità della riga di comando. Windows Server 2003 utilità Backup include la funzione di utilizzare la copia shadow del volume per eseguire il backup di file aperti. Con le versioni precedenti di Windows, uno strumento di backup di terze parti dovevano essere utilizzati per eseguire il backup di file aperti. Il servizio Copia Shadow del volume crea una copia di sola lettura di qualsiasi file aperti. Ciò, a sua volta garantisce che questi file possono continuare ad essere letta.

In Windows 2000 Active Directory, è possibile eseguire solo uno dei seguenti metodi di ripristino:

  • Ripristino autorevole
  • Non autorevole

Quando si tratta di ripristino di Windows Server 2003 Active Directory, è possibile utilizzare uno dei seguenti metodi di ripristino:

  • Ripristino normale: In Windows 2000, questa è stata la sua non-metodo di ripristino autorevole. Un normale ripristinare le funzioni più o meno la stessa cosa di un ripristino non autorevole. Con un normale ripristino, l’utilità Backup viene eseguito sul computer, mentre in modalità ripristino servizi directory. Dopo che il controller di dominio viene riavviato, la replica si verifica con normale partner di replica.

Un normale ripristino è di solito effettuata in presenza delle seguenti condizioni:

    • Un dominio è più controller di dominio, e un solo controller di dominio è operativo. È possibile utilizzare un normale ripristino per ripristinare tutti gli altri controller di dominio nel dominio.
    • Un dominio è un unico controller di dominio, e che il controller di dominio deve essere restaurato. È anche possibile scegliere di eseguire una alternativa primario il ripristino di Active Directory.
  • Ripristino autorevole: un ripristino autorevole di Active Directory deve essere effettuata nei casi in cui un normale ripristino non sarebbe in grado di tornare di Active Directory per il corretto stato. Ad esempio, se una unità organizzativa è stata eliminata per errore, ripristinare una normale sarebbe solo il risultato in particolare l’UO di essere eliminato ancora una volta, dopo la replica. Questo è essenzialmente dovuto al partner di replica con un più elevato numero di versione per la particolare unità organizzativa. Un ripristino autorevole è un processo simile a quello di un normale ripristino, la differenza è che, dopo i dati del sistema viene ripristinato, è possibile definire alcuni oggetti di Active Directory come autorevole. Quando gli oggetti di Active Directory vengono definiti come autorevoli, i particolari degli oggetti sono i più alti numeri di versione. Ciò si traduce in questi oggetti replicati ad altri controller di dominio della copia del database di Active Directory.
  • Ripristino primario: Il principale metodo di ripristino viene utilizzato quando ciascun controller di dominio in un dominio che ospita più controller di dominio, ha bisogno di essere restaurato. Ciò significa che l’intero dominio deve essere ricostruita da Active Directory di backup. Questo metodo può anche essere utilizzato per ripristinare Active Directory per un dominio che ha un solo controller di dominio. Il principale metodo di ripristino è stato selezionato in Windows Server 2003 utilità Backup da consentire solo il principale metodo di controllo di ripristino. Ciò elimina le complessità associate precedente con le procedure di questo tipo di ripristino in Windows 2000. Il principale processo di ripristino è anche molto simile a quella effettuata per un normale ripristino di Active Directory.

Come eseguire il backup di Active Directory utilizzando il Windows Server 2003 Backup Utility

  1. Fare clic sul pulsante Start, Tutti i programmi, Accessori, Utilità di sistema, quindi fare clic su Backup. È inoltre possibile l’accesso di Windows Server 2003 utilità Backup facendo clic su Start, Esegui, ntbackup entrare nella finestra di dialogo Esegui, quindi fare clic su OK.
  2. Sulla pagina iniziale del Backup o Ripristino guidato, fare clic su Avanti.
  3. Assicurarsi che l’opzione predefinita, il backup dei file e le impostazioni, è stato selezionato sulla pagina di backup o di ripristino. Fare clic su Avanti.
  4. Sulla Cosa Back Up pagina, è possibile scegliere tra le seguenti opzioni:
    • Tutte le informazioni su questo computer
    • Permettetemi di scegliere ciò che per il backup
  5. Dopo aver selezionato l’opzione fare clic su Avanti.
  6. Se il Permettetemi di scegliere ciò che l’opzione per il backup è stato precedentemente selezionato; sul oggetti Backup pagina, scegliere il file, dati o componenti che dovrebbero essere inclusi nel backup di Active Directory. Fare clic su Avanti.
  7. Nella pagina seguente, in Scegliere un posto per salvare il backup nella casella di riepilogo, immettere il percorso che il backup deve essere salvato.
  8. Fornire un nome per il file di backup nel Digitare un nome per il backup e quindi fare clic su Avanti.
  9. Fare clic su Fine per avviare immediatamente il backup di Active Directory. Questo viene eseguito il backup utilizzando le opzioni di default le impostazioni avanzate, e di solito è optato per quando si esegue un backup completo del sistema. Se si desidera configurare le impostazioni avanzate di opzione, fare clic su Avanzate, e non Fine.
  10. Quando il tipo di backup viene visualizzata la pagina, selezionare il tipo di backup che deve essere eseguita. È possibile selezionare una delle seguenti opzioni da selezionare il tipo di backup nella casella di riepilogo.
    • Normale: Tutti i file specificati e componenti sono il backup. L’attributo di archivio è tuttavia azzerato.
    • Copia: Tutti i file specificati e componenti sono il backup. L’attributo di archivio non è stato ripristinato.
    • Incrementale: Questo tipo di backup riferimenti l’attributo di archivio, di isolare quei file che sono cambiati dal momento in cui l’ultimo è stato eseguito il backup, e poi solo il backup dei file modificati. L’attributo di archivio viene quindi eliminato per consentire il successivo processo di backup per determinare solo i file che sono stati modificati da questa corrente di backup, per il prossimo. Solo questi file sono quindi il backup nella seguente processo di backup.
    • Differenziale: Un backup differenziale anche solo il backup dei file che sono cambiati rispetto al precedente backup. La differenza tra questo tipo di backup e il tipo di backup incrementale, è che un backup differenziale non chiara l’attributo di archivio.
    • Giornaliero: The Daily riferimenti tipo di backup dei file ‘ora, e poi esegue il backup dei file che sono stati creati o modificati in particolare giorno.
  11. Controllare il backup migrato di archiviazione remota dei dati di controllo se si desidera punti di essere inclusi nel backup. Fare clic su Avanti.
  12. Sulla pagina Come Backup, è possibile scegliere tra le seguenti opzioni:
  • Verificare i dati dopo il backup: Selezionare questa opzione se si sta eseguendo il backup dei dati mission-critical.
  • Utilizza la compressione hardware, se disponibile: questa opzione deve essere attivata se è disponibile. L’opzione è disponibile solo quando l’utilità Backup riconosce un supporto di memorizzazione che supporta la compressione hardware.
  • Disattiva Copia Shadow del volume: Questa opzione viene automaticamente attivata.
  1. Fare clic su Avanti.
  2. Sulla pagina di opzioni di backup, è possibile selezionare una delle seguenti opzioni:
    • Aggiungi questo backup ai backup esistenti: Il backup verrà aggiunto a un backup esistenti.
    • Sostituisci i backup esistenti: Il backup sovrascrivere un backup esistenti.
  1. Fare clic su Avanti.
  2. Sulla Quando Backup pagina, è possibile selezionare una delle seguenti opzioni:
    • Ora: Il risultato è il backup di iniziare immediatamente.
    • Più tardi: questa opzione consente di specificare quando il backup deve essere eseguito.
  3. Se si è selezionato l’opzione Successivamente, immettere un nome per il backup nella casella Nome di lavoro. Si noterà che le impostazioni nella casella Data inizio riflettere la data e l’ora. Per modificare questa impostazione, fare clic su Imposta pianificazione.
  4. Quando la finestra di dialogo Programma di lavoro si apre, nella casella di riepilogo Pianifica attività della scheda Pianificazione, scegliere una delle seguenti opzioni per specificare quando il backup deve essere eseguito:
    • Giornaliera, settimanale, mensile, una volta, all’avvio del sistema, Al di accesso, e quando Idle

È possibile fare clic sul pulsante Avanzate per definire le date di inizio e fine, e per configurare la frequenza con cui il backup deve essere eseguito.

  1. Fare clic sulla scheda Impostazioni della finestra di dialogo Programma di Lavoro. È possibile configurare le opzioni di pianificazione elencati qui di seguito, da questa scheda.
    • Eliminare il compito, se non è programmato per eseguire di nuovo il particolare compito sarà rimosso dal operazioni pianificate oggetti se non è impostato per eseguire di nuovo.
    • Fermare il compito se si trova per; è possibile impostare il tempo (ore / minuti /) consentito per il backup da eseguire. L’impostazione predefinita è di 72 ore.
    • Solo avviare il compito se il computer è rimasto inattivo per, è possibile impostare la quantità di tempo di inattività del computer devono trascorrere, prima che il backup può essere avviato.
    • Se il computer non è rimasto inattivo a lungo, fino a tentare, questa impostazione è associata con la precedente opzione. È possibile impostare la frequenza con cui i computer devono essere continuamente controllati per determinare se la quantità sufficiente di tempo di inattività trascorso.
    • Fermare il compito se il computer cessa di essere inattivo, quando attivato, il processo di backup si arresta se un utente accede al computer.
    • Non avviare il compito se il computer è in esecuzione su batterie, se selezionata, il processo di backup non si avvia quando il computer è in esecuzione su batterie
    • Fermare il compito se batteria inizia, se selezionata, il processo di backup si arresta quando il computer passa alla modalità batteria.
    • Riattivare il computer per eseguire questo compito, se selezionata, il computer viene svegliato da una modalità di risparmio energetico per il backup di cominciare.
  2. Fare clic su OK nella finestra di dialogo Programma di Lavoro. Fare clic su Avanti.
  3. Quando la finestra di dialogo Imposta Account si apre, nella casella Esegui come, immettere i dettagli di un account che dispone di diritti sufficienti per eseguire l’operazione di backup. Inserisci la password per l’account e la password Conferma Password box.
  4. Fare clic su OK. Fare clic su Avanti.
  5. La procedura guidata visualizza prossimo informazioni sintetiche sulle impostazioni che avete specificato per il backup. Modifica le informazioni
  6. Fare clic su Fine.

Come eseguire il backup di Active Directory utilizzando la riga di comando

È possibile eseguire un backup di Active Directory dalla riga di comando utilizzando il Ntbackup utilità della riga di comando. Questa opzione è disponibile come alternativa di utilizzare l’utilità Backup.

Per utilizzare il Ntbackup utilità della riga di comando per eseguire un backup,

  1. Fare clic sul pulsante Start, Esegui e digitare cmd nella finestra di dialogo Esegui. Fare clic su OK.
  2. È possibile utilizzare il seguente comando e le opzioni per eseguire il backup dei dati dello stato del sistema:
    • ntbackup backup systemstate /J ‘Backup Job’ /F ‘C:\backupfile.bkf’
      • ntbackup Ntbackup indica la riga di comando di utilità di backup
      • backup precisa che una copia di backup deve essere eseguito
      • systemstate data di sistema specifica che i dati dovrebbero essere sostenuta
      • J definisce il nome del processo di backup
      • F definisce il nome del file di backup

Come eseguire un normale ripristino di Active Directory

  1. Riavviare il computer
  2. Durante l’avvio, premere F8 quando richiesto, quindi selezionare Modalità di ripristino servizi directory (Windows paesi in via di sviluppo solo) dal menu Opzioni avanzate di Windows. Premere Invio.
  3. Scegliere il sistema operativo che dovrebbe essere avviato. Premere Invio.
  4. Quando la modalità prompt di accesso viene visualizzata, immettere le informazioni di account di amministratore locale, quindi fare clic su OK.
  5. Fare clic su OK quando viene visualizzato un messaggio, di consulenza che Windows è in esecuzione in modalità provvisoria.
  6. Fare clic sul pulsante Start, Tutti i programmi, Accessori, Utilità di sistema, quindi fare clic su Backup.
  7. Sulla pagina iniziale del Backup o Ripristino guidato, fare clic su Avanti.
  8. Assicurarsi che il ripristino di file e impostazioni di opzione è selezionata sulla pagina di backup o di ripristino. Fare clic su Avanti.
  9. Sulla Cosa Ripristina pagina, scegli il backup che si desidera utilizzare per il processo di ripristino. Fare clic su Avanti.
  10. Fare clic su Fine per iniziare immediatamente un normale ripristino di Active Directory. Se si desidera configurare le impostazioni avanzate di opzione, fare clic su Avanzate, e non il pulsante Fine.
  11. Dove Quando la pagina viene visualizzata ripristino, scegliere una delle seguenti opzioni di ripristino di file nella casella di riepilogo:
    • Posizione originale, questa impostazione di default ripristina i file alla loro posizione originale.
    • Alternativo, se selezionati, è possibile specificare un percorso diverso per i file che devono essere ripristinati.
    • Singola cartella, questa opzione ripristina i file in una singola directory.
  12. Fare clic su Avanti.
  13. Fare clic su OK se viene visualizzato un messaggio, l’avvertimento che il ripristino di uno stato del sistema dati sovrascrive i dati dello stato del sistema esistente.
  14. Quando il ripristino Come apre la pagina, scegliere tra le seguenti opzioni:
    • Lasciare i file esistenti (scelta consigliata), selezionare questa opzione se non si desidera che il ripristino di sovrascrivere eventuali file esistenti.
    • Sostituire i file esistenti se sono di età superiore i file di backup, se selezionati, di età superiore ai file di backup dei file vengono sostituiti.
    • Sostituire i file esistenti; questa opzione sostituisce tutti i file esistenti con i file di backup.
  15. Fare clic su Avanti.
  16. Quando la pagina Opzioni avanzate di ripristino viene visualizzato, è possibile selezionare le seguenti opzioni:
    • Ripristinare la sicurezza settin gs; è abilitato di default. Se si disattiva questa opzione, tutti i file saranno ripristinati senza autorizzazioni.
    • Ripristino punti di congiunzione, ma non le cartelle e file di dati di riferimento, quando selezionata, il processo di ripristino è in grado di restituire informazioni su unità montate.
    • Mantieni attuali punti di montaggio del volume, quando selezionato, il montaggio sono protette esistenti sul volume.
    • Ripristinare il Registro cluster al disco quorum e su tutti gli altri nodi; se applicabile per questo controller di dominio, il quorum di cluster di database viene ripristinato.
    • Quando si ripristina replicato insiemi di dati, il marchio di dati ripristinati come i dati primari per tutte le repliche, questa opzione deve essere attivata se si sta eseguendo un Primary ripristino di Active Directory.
  17. Fare clic su Avanti.
  18. Fare clic su Fine per avviare il normale ripristino di Active Directory.

Come eseguire un ripristino autorevole di Active Directory

  1. Eseguire un normale ripristino di Active Directory.
  2. Quando viene chiesto di riavviare il server, fare clic su No e quindi chiudere l’utilità Backup di Windows.
  3. Fare clic sul pulsante Start, Esegui e digitare cmd nella finestra di dialogo Esegui. Fare clic su OK.
  4. Per aprire la Ntdsutil utilità della riga di comando, digitare ntdsutil.
  5. Inserisci il authoritative restore
  6. Per specificare di Active Directory, o dei componenti di Active Directory come autorevole, utilizzare uno dei seguenti metodi:
    • Enter restore database questo definisce il dominio e per tutti i contenitori di configurazione come autorevole.
    • Enter restore subtree insieme con il nome distinto di Active Directory oggetto che desideri segnalare come autorevole.
    • È possibile utilizzare l’opzione verinc con uno dei comandi di cui sopra, esplicitamente impostare il numero di versione. L’opzione è utile quando una diversa ripristino autorevole deve essere eseguito su un ripristino autorevole.
  7. Quando il ripristino autorevole conferma visualizzata la finestra di dialogo, chiedendo se il ripristino autorevole deve essere eseguito, fare clic su Sì.
  8. Inserisci quit entrare e quit di nuovo per chiudere la Ntdsutil utilità della riga di comando.
  9. Procedere al reboot del server.

Come eseguire un ripristino primario di Active Directory

  1. Riavviare il controller di dominio.
  2. Durante l’avvio, premere F8 quando richiesto, quindi selezionare Modalità di ripristino servizi directory (Windows paesi in via di sviluppo solo) dal menu Opzioni avanzate di Windows. Premere Invio.
  3. Scegliere il sistema operativo che dovrebbe essere avviato. Premere Invio.
  4. Quando la modalità prompt di accesso viene visualizzata, immettere le informazioni di account di amministratore locale, quindi fare clic su OK.
  5. Fare clic su OK quando viene visualizzato un messaggio, di consulenza che Windows è in esecuzione in modalità provvisoria.
  6. Fare clic sul pulsante Start, Tutti i programmi, Accessori, Utilità di sistema, quindi fare clic su Backup.
  7. Sulla pagina iniziale del Backup o Ripristino guidato, fare clic su Avanti.
  8. Assicurarsi che il ripristino di file e impostazioni di opzione è selezionata sulla pagina di backup o di ripristino. Fare clic su Avanti.
  9. Sulla Cosa Ripristina pagina, scegli il backup che si desidera utilizzare per il processo di ripristino primario. Fare clic su Avanti.
  10. Fare clic sul pulsante Avanzate.
  11. Sulla Dove Ripristina pagina, lasciare l’impostazione predefinita di originale, invariata, quindi fare clic su Avanti
  12. Sulla Come Ripristinare pagina, scegliere l’opzione di sostituire i file esistenti. Fare clic su Avanti.
  13. Quando le opzioni di ripristino avanzate pagina, attivare il ripristino Quando replicato insiemi di dati, il marchio di dati ripristinati come i dati primari per tutte le repliche di controllo. Puoi lasciare tutte le altre impostazioni di default sulla pagina Opzioni avanzate di ripristino invariato.
  14. Fare clic su Avanti.
  15. Fare clic su Fine per avviare il ripristino primario di Active Directory.
  16. Riavviare il server.
Share

Microsoft

Protetto: Creazione filtri per Router Cisco

16 Maggio 2009
Inserisci la tua password per visualizzare i commenti.

Il contenuto è protetto da password. Per visualizzarlo inserisci di seguito la password:

Share

Cisco

Password Recovery su Catalyst Switch 2900 – 2950 Series

16 Maggio 2009

Per motivi di sicurezza e  di management si stabiliscono delle password che assicurino ai soli utenti autorizzati l’accesso allo switch.

Può accadere, però, che una delle varie password necessarie per il collegamento allo switch
(console o telnet, user mode o privileged mode) vengano in qualche modo smarrite.

Cisco ovviamente non ci lascia nella disperazione e considerando indispensabili queste  password ci permette di recuperarle per riprendere il controllo della device (periferica) in oggetto.

I passaggi non sono semplici da memorizzare per cui, considerando l’eventualità del password recovery
solo come ultima spiaggia, si consiglia un supporto appuntato in luogo sicuro, da consultare all’occorrenza.

Vediamo comunque come si effettua il password recovery su questo apparato:

Due sono le alternative di connessione dal pc alla switch::

a) Porta seriale del p.c. -> cavo console (rollover) -> porta console dello switch
b) Porta ethernet del p.c. -> cavo dritto (straight through) -> una qualsiasi delle porte ethernet dello switch

La sessione di comunicazione verrà operata con un programma come HyperTerminal di Windows o similari.

Operazioni base

a) Spegnere lo switch
b) Riavviarlo tenendo premuto il tasto MODE finchè lo STAT LED termini di lampeggiare

Apparirà sulla schermata nella connessione aperta quanto segue:

C2950 Boot Loader (C2950-HBOOT-M) Version 12.1(6)EA2c, RELEASE SOFTWARE (fc1)

switch: flash_init format

Initializing Flash…

Compiled Thu 28-Feb-02 14:59 by antoninos, 2 directoriesck a filesystem

WS-C2950-24 starting…0 orphaned files, 0 orp

Base ethernet MAC Address: 00:0a:8a:0c:a4:40

flashfs[0]: Total b

Xmodem file system is available. Lock the te

flashfs[0]: Bytes u

The system has been interrupted prior to initializing thees available: 3574272

flash filesystem.  The following commands will initialize

mkdi

…done initializing flash.ctory

the flash filesystem, and finish loading the operatingalled, fsid: 3 contents of a file

system software:

flash_init

load_helper

boot

switch:

Per inizializzare il flash file di sistema e terminare il loading del sistema operativo eseguiamo questi passaggi:

switch: flash_init

switch: load_helper

switch: dir flash:

Assorbite le informazioni di sistema dallo switch passiamo ai comandi che permetteranno di rinominare la configurazionedei file contenenti la definizione delle password:

switch: rename flash:config.text flash:config.old

Riavviamo ora il sistema come evidenziato sotto:

switch: boot

Digitiamo una N quando apparirà la domanda che segue, per avviare il programma di setup:

Continue with the configuration dialog? [yes/no] : N

Per rinominare il file di configurazione con il suo nome originario inseriamo:

switch: rename flash:config.old flash:config.text

Possiamo ora copiare il file di configurazione nella memoria:

switch: copy flash:config.text system:running-config

source filename [config.text]? (invio)

destination filename [running-config] (invio)

A questo punto abbiamo ricaricato il file di configurazione e possiamo, ora,  cambiare le pasword

sconosciute con delle altre a piacimento:

Switch#conf t

Enter configuration commands, one per line.  End with CNTL/Z.

Switch(config)#no ena

Switch(config)#no enable secret

Switch(config)#ena

Switch(config)#enable pass

Switch(config)#enable password >(UNA CHE POSSIATE RICORDARE BENE)

Switch(config)#line con 0

Switch(config-line)#pass

Switch(config-line)#password >(UNA CHE POSSIATE RICORDARE BENE)

Switch(config-line)#exit

Switch(config)#line vty 0 15

Switch(config-line)#pass

Switch(config-line)#password >(UNA CHE POSSIATE RICORDARE BENE)

Switch(config-line)#exit

Switch(config)#exit

Switch#

00:05:30: %SYS-5-CONFIG_I: Configured from console by consolecopy runn

Switch#copy running-config star

Switch#copy running-config startup-config

Destination filename [startup-config]? (invio)

Building configuration…

[OK]

Switch#

Ovviamente, sperando di aver salvato la configurazione , la ritroveremo pronta per essere visualizzata con un semplice comando sh run dopo il riavvio dello switch.

Buon lavoro. E non dimenticate la password

Share

Cisco

Protetto: Esempi di configurazioni Router Cisco

16 Maggio 2009
Inserisci la tua password per visualizzare i commenti.

Il contenuto è protetto da password. Per visualizzarlo inserisci di seguito la password:

Share

Cisco

Router Cisco e IOS Overview

16 Maggio 2009

IOS (Internetworking Operating System) è il sistema operativo utilizzato nella maggior parte dei Router Cisco Systems.


IOS equipaggia la maggiorparte dei router Cisco ed anche molti dei suoi switch. Attualmente lo sviluppo di questo software è arrivato alla versione 12.2. Tramite IOS è possibile gestire tutte le caratteritiche del router, dal settaggio degli indirizzi, a quello dei protocolli di routing, al controllo del traffico, all’aggiornamento del software.

COMPONENTI DI UN ROUTER CISCO
Sapere quali sono i componenti presenti in un router è importante per comprendere l’utilizzo di IOS. Il router è sostanzialmente un apparato hardware simile ad un computer con uno o più processori, le memorie (volatili e non) e le interfacce per connettersi in reti ed il sistema operativo IOS appunto.
I principali componenti di un Router Cisco sono:
Memoria ROM: contiene il codice per il Bootstrap (avvio) del router, il codice per il POST (Power-On Self Test) il quale esegue la diagnostica dell’hardware presente ed un mini-IOS per permetterne la manutenzione in caso di problemi;
Memoria RAM: in questa memoria di tipo volatile il routing mantiene le informazioni relative alla configurazione corrente e le tabelle di routing. Resettando la macchina le informazioni qui presenti verrano perse, così come eventuali modifiche alla configurazione non ancora salvate;
Memoria NVRAM: è acronimo di Non Volatile RAM ovvero quell’area di memoria che non viene persa allo spegnimento del router dove vengono memorizzate le configurazioni da caricare all’avvio e l’importante Configuration Register (Registro di configurazione) che permette tra le altre cose di determinare la modalità di avvio dell’apparato;
Memoria FLASH: si tratta di una memoria di tipo EEPROM (Electrically Erasable Programmable Read Only Memory).
La Flash non viene cancellata allo spegnimento del router e contiene l’immagine (ma è anche possibile più di una) del sistema operativo IOS;

IOS RELEASE
Le versioni di IOS si distinguono in tre classi principali in base all’utente:
– General Deployment: rappresenta un software di sistema considerato stabile ed esente da bug;
– Early Deployment: questo tipo di release offre oltre alla correzione dei bug della precedente release nuove features come per esempio il supporto di nuovo hardware o il miglioramento di alcuni protocolli;
– Maintenance Release: sostitisce la General Deployment ed è rappresentata dai vari rilasci di manutenzione (es. per la versione 12.0 avremo le Maintenance 12.1 12.2 ecc.)

IOS IMAGE NAMING CONVENTION
Il sistema operativo Cisco IOS viene solitamente caricato, o aggiornato copiando la relativa immagine tramite un TFTP server nella memoria FLASH del router. E’ necessario conoscere le caratteristche del proprio apparato al fine di installare la corretta immagine. Il nome di ogni IOS segue uno schema preciso: Platform-Features-Run-time memory and compression format.
Il significato è il seguente:
Platform: è il modello di router per cui il sistema operativo è stato sviluppato (Es. Cisco 2500, Cisco 7000, Cisco 12000)
Features: sono le caratteristiche come per esempio i protocolli di routing supportati, la possibilità di fare NAT o di creare connessioni VPN ecc.;
Run-time memory and compression format: questo valore è indicato da due lettere, la prima identifica in che area di memoria verrà eseguita l’immagine del sistema operativo, e la seconda il formato di compressione;

Un esempio: c7200-ajs56-mz
c7200: Router Cisco Serie 7200

a: supporto protocollo APPN;
j: supporto di caratteristiche Enterprise;
s: supporto di NAT,ISL,VPDN/L2F
56: supporto di crittografia a 56 bit

m: esecuzione in RAM
z: file compresso con Zip

CONNESSIONE AL ROUTER
Ci sono diversi modi di connetersi al router, a seconda della situazione in cui ci si trova. Al primo avvio non essendo configurate interfacce di rete sarà necessario connettersi tramite la porta CONSOLE la AUXILIARY PORT tramite un cavo cosidetto console (roll-over), mentre successivamente, una volta configurata un’interfaccia di rete, ci si potrà connettere tramite telnet o SSH.

Le porte CONSOLE e AUX si trovano nella parte posteriore del router e solitamente sono di tipo RJ45. Il collegamento attraverso questo tipo di porte, di default è privo di password.

SETUP MODE
Una volta collegati al router, se non esiste una configurazione in NVRAM, IOS propone una configurazione passo-passo In questo caso il sistema pone una serie di domande (tra parentesi quadre[] viene visualizzata la risposta di default) al fine di configurare l’hardware trovato. Al termine delle domande verrà generato il file di configurazione.
Esempio di SETUP MODE:
— System Configuration Dialog —
Would you like to enter the initial configuration dialog?
[yes/no]:
y
At any point you may enter a question mark ‘?’ for help.
Use ctrl-c to abort configuration dialog at any prompt.
Default settings are in square brackets ‘[]’.
..
Configuring global parameters:
Enter host name [Router]:
Zion-1
..

IOS USER INTERFACE
Le configurazioni avvengono solitamente tramite CLI (Command Line Interface), un interfaccia testuale a menu nidificati, che permette di configurare in ogni sua parte il comportamento del router.
E’ comunque possibile creare delle configurazioni tramite tool ad interfaccia grafica e poi copiarla via rete nel router.

LE MODALITA’ DI UN ROUTER CISCO: COMMAND MODES
Cisco IOS puo operare in differenti modalità:
User EXEC mode: Una volta configurato il router, premendo INVIO al termine dei messaggi di boot ci si trova in questa modalità. In User Mode è disponibile solo un sottoinsieme dei comandi IOS ed il prompt del router è rappresentato dal nome host seguito dal carattere >. E’ possibile visualizzare alcune informazioni sulle interfacce, le statistiche del router ma non cambiare i parametri di configurazione.
Esempio di prompt da USER MODE:
Press Enter to Begin
Router>
Router è il nome host name di default, nel caso avessimo dato come host name Zion-1 avremmo avuto un prompt:
Zion-1>
Privileged EXEC mode: in questa modalità a cui si ha accesso tramite password è possibile visualizare tutte le informazioni del router ed accedere alla modalità di configurazione per cambiarne i parametri di funzionamento.
Esempio:

Router>
enable
tramite il comando enable si passa in modalità Privileged EXEC mode
Password:
<password>
Router#
Una volta autenticati tramite password si nota che il prompt è cambiato, e presente il simbolo # simile a quando ci si trova come root su una macchina Unix/Linux
Global configuration: in configurazione globale è possibile accedere ai sotto menu di configurazione di interfacce e protocolli ed il prompt cambierà in:
Router(config)#
Interface configuration: è possibile configurare ogni interfaccia di rete presente (Bri, ATM, Eth), quando il router si trova in questo stato avremo un prompt di questo tipo:
Router(config-if)#
ROM Monitor: quando l’immagine del sistema è corrotta o non trovata il sistema si avvia in questa modalità, e con un ristretto insieme di comandi utili per eseguire la manutenzione. E’ possibile entrare in questa modalità anche facendo lanciando il comando reload da user EXEC mode e premendo entro 60 secondi dal boot il tasto Interr (Break Key) sulla tastiera del computer. Il prompt Rom Monitor sarà:
>

HELP IN LINEA DI IOS
Ios dispone di un help in linea che attraverso il comando ? permette di visualizzare aiuti sui comandi disponibili a seconda della modalità in cui ci si trova.

LINK

Cisco Systems

LINK

Cisco IOS Release 12.0


L’avvio di un Router Cisco attraversa una serie di fasi chiamata sequenza di boot, la sua conoscenza è fondamentale per il troubleshooting e la gestione dell’apparato. Tramite il Configuration Register è possibile gestire in modo personalizzato il boot.
Tutte le procedure di password recovery su router Cisco prevedono la modifica momentanea di questo registro.

IL BOOT
La sequenza di avvio di un router Cisco attraversa principalmente quattro fasi:
Fase 1: Viene eseguito il Power On Self Test (POST), ed in modo simile ad un pc viene effettuato il controllo dei propri componenti;
Fase 2: In questa fase viene eseguito il bootstrap ovvero codice che permette di avviare IOS, determinando a seconda di quanto contenuto nel registro di configurazione dove cercare l’immagine del sistema operativo (per default IOS si trova nella memoria FLASH);
Fase 3: Una volta che IOS è stato caricato, esso cerca un file di configurazione valido nella NVRAM chiamato startup-config.
Fase 4: La configurazione nel file startup-config viene caricata in RAM ,e assume il nome di running-config, in caso contrario sarà avviata la modalità Setup Mode.

IL CONFIGURATION REGISTER
I router Cisco contengono un registro software di 16 bit salvato nella memoria NVRAM. Tramite questo registro, contenente un valore in esadecimale, è possibile modificare in parte il comportamento dell’apparato di rete, in particolare è spesso utile per gestire la fase di boot.

I bit del registro di configurazione sono suddivisi in campi, ogni campo si occupa della gestione di una particolare caratteristica dell’apparato, in particolare è possibile controllare:
– le modalità di boot dell’apparato
– la funzione di Break
– gli indirizzi di broadcast
– la velocità della porta console
– i messaggi di diagnostica
– se utilizzare o meno le configurazioni contenute nella NVRAM

I CAMPI RELATIVI AL BOOT DEL CONFIGURATION REGISTER
I bit da 0 a 3 del registro di configurazione sono chiamati il boot field, modificando i valori in esso contenuti è possibile gestire l’avvio del router. In particolare:
00: con questo valore l’avvio avverrà in modalità ROM monitor. Il valore del registro sarà 0x2100;
01: con questo valore il router può utilizzare l’immagine IOS residente nella ROM. Il valore del registro sarà 0x2101;
02-F: con valori da 2 a F il router esegue il boot secondo quando spefificato nella configurazione in NVRAM;
Il valore del registro potrà variare da 0x2102 a 0x210F;
Il valore di default per il registro di configurazione è 0x2102.

VISUALIZZAZIONE E SETTAGGIO DEL CONFIGURATION REGISTER
E’ possibile visualizzare il contenuto corrente del registro di configurazione tramite il comando show version in modalità Priviliged EXEC mode:
Router# show version
Cisco Internetwork Operating System Software
IOS ™ C2600 Software (C2600-I-M), Version 12.0(3)T3,
RELEASE SOFTWARE (fc1)

Configuration register is 0x2102
In questo caso il registro è settato di default, in modo da caricare l’immagine dalla FLASH memory

Attraverso il comando config-register è possibile modificarne il valore:
Router# configure terminal
Per modificare il registro è necessario entrare in modalità Global Configuration
Router(config)#
config-register 0x2100
Il registro di configurazione è stato modificato per avviare il router in modalità ROM Monitor al prossimo reboot
Una modificato il registro è necessario riavviare il router per rendere effettive le modifiche.

In modalità ROM monitor per modificare o ripristare il valore del registro è possibile utilizzare il comando confreg seguito dal valore del registro. In caso si digiti solamente il comando confreg senza parametri viene visualizzata una procedura guidata:
Rommon 1 > confreg 0x2102
In questo caso viene passato direttamente il valore esadecimale
rommon 7 >
confreg
Lanciando il comando senza parametri viene passato in rassegna ogni campo del registro di configurazione
Configuration Summary
enabled are:
console baud: 9600
boot: the ROM Monitor
do you wish to change the configuration? y/n [n]: y
enable “diagnostic mode”? y/n [n]: y
enable “use net in IP bcast address”? y/n [n]:
enable “load rom after netboot fails”? y/n [n]:
enable “use all zero broadcast”? y/n [n]:
enable “break/abort has effect”? y/n [n]:
enable “ignore system config info”? y/n [n]:
change console baud rate? y/n [n]: y
enter rate: 0 = 9600, 1 = 4800, 2 = 1200, 3 = 2400 [0]: 0
change the boot characteristics? y/n [n]: y
enter to boot:
0 = ROM Monitor
1 = the boot helper image
2-15 = boot system
[0]: 0
Configuration Summary
enabled are:
diagnostic mode
console baud: 9600
boot: the ROM Monitor
do you wish to change the configuration? y/n [n]:
You must reset or power cycle for new config to take effect.
rommon 8>

Non tutte le versioni di ROM monitor supportano gli stessi comandi, è quindi necessario consultare la documentazione in dotazione del router. I valori di configuration register da impostare per una procedura di password recovery, inoltre, possono variare a seconda del modello di router.

SOURCE

Cisco IOS Configuration Fundamentals Command Reference

SOURCE


Router Cisco Password, Privileged Level e Password Recovery

2

Grazie alle Password ed ai Privileged Level è possibile proteggere un router Cisco da accessi indesiderati, e definire policy di accesso, configurazione e utilizzo. In caso di perdita delle parole d’accesso è comunque possibile riottenere il controllo dell’apparato grazie alle procedure di password recovery eseguibili localmente.

Le password utilizzabili su un router Cisco si dividono in due categorie, le Enable Password che proteggono il privileged EXEC mode e le Line Password ovvero quelle che proteggono l’accesso da Auxiliary Port, da Console Port e tramite Telnet.

ENABLE PASSWORD
La password per la modalità privileged EXEC detta password di ENABLE viene settata tramite il comando enable password. Utilizzando questo comando, la password risulta però visibile nel file di configurazione, per garantire una migliore sicurezza è consigliato l’utilizzo di password crittografate tramite il comando enable secret.
Esempio:
Router# configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)# enable secret ndcdiv400
Ora la password è presente crittografata nel file di configurazione

LINE PASSWORD
Le line password devono anch’esse essere settate in Global Configuration Mode, il comando utilizzato è password. Tramite il comando line ? è possibile visualizzare quali interfacce line è possibile configurare:
Router(config)# line ?
<0-4> First Line number
aux Auxiliary line
console Primary terminal line
vty Virtual terminal

Possiamo notare aux per la Auxilary porte, console per la ominima porta e vty per gli accessi via telnet sulle interfacce configurate e attive

Alcuni esempi di configurazione per le line password:
AUXILARY PORT
Router(config)# line aux ?
<0-0> First Line number
Con il comando line <nomeinterfaccia> ? IOS restituisce il numero di interfacce disponibili. In questo caso vediamo che essendoci una sola Auxilary Port il range è 0-0 ovvero una sola line disponibile, la prima ovvero la line 0
Router(config)#
line aux 0
Router(config-line)#
login
Viene indicato che il settaggio è relativo al login su questa porta
Router(config-line)#
password oskcpr
CONSOLE PORT
Router(config)# line console ?
<0-0> First Line number
Router(config)#
line console 0
Router(config-line)#
login
Router(config-line)#
password oskcpr
ACCESSO VIA TELNET
Router(config)# line vty 0 ?
<0-4>Last Line Number
Router(config-line)#
line vty 0 4
Il settaggio fa riferimento agli accessi via telnet da 0 a 4
Router(config-line)#
login
Router(config-line)#
password osktps

PASSWORD ENCRYPTION
Solamente attraverso il comando enable secret le password settate sul router vengono crittografate di default, altrimenti restano visibili nel file di configurazione. Per fare in modo che ogni password immessa venga sempre crittografata è possibile abilitare il servizio di password encryption. Questa feature viene attivata in global configuration mode tramite il comando: service password-encryption.
Esempio:
Router# conf t
Enter configuration commands, one per line. End with CNTL/Z.
Conf t è un’abbreviazione possibile di configuration terminal per entrare in global configuration mode
Router(config)#
service password-encryption
Ora ogni password è crittografata di default
Router(config)# Exit
Router#
show running-config
!
version 12.1
..
service timestamps debug uptime
service timestamps log uptime
service password-encryption
..
Visualizzando la configurazione corrente tramite il comando show running-config è possibile vedere che il servizio di password-encryption è attivo
Router#
copy running-config startup-config
A questo punto la configurazione viene salvata in NVRAM

PRIVILEGE LEVELS
Un router cisco prevede di default due livelli di utilizzo, a livello 1 troviamo user EXEC Mode mentre a livello 15 troviamo Privileged EXEC mode. Tra questi due livelli è possibile inserire ulteriori levels, i quali protetti da password consentono solamente l’utilizzo di determinati comandi. Un’ipotetica policy potrebbe essere quella di definire degli operatori che possando eseguire solo operazioni di debug:
Router(config)# enable password level 10 pswoscr
Viene abilitata una password per lavorare a level 10
Router(config)#
privilege exec level 10 debug ppp chap
Router(config)#
privilege exec level 10 debug ppp error
Router(config)#
privilege exec level 10 debug ppp negotiation
L’operatore che farà il log sul router a level 10 potrà utilizzare i comandi di debug sul protocollo ppp sopra definiti o definiti a levels inferiori e non altri
Router(config)#
exit
Router#
copy running-config startup-config
Uscita dalla modalità di configurazione globale e salvataggio nel file di configurazione

Una volta stabiliti i vari privilege level sarà possibile autenticarsi con i camandi enable numero_level, uscire dal livello con disable numero_level o verificare in che level si è loggati con show privilege.

PASSWORD RECOVERY
Le procedure di password recovery di un router Cisco possono essere eseguite, per ragioni di sicurezza, solamente dalla porta console dell’apparato. Il recupero dell’accesso all’apparato varia da modello a modello di router, ma il processo è sostanzialmente il seguente:

FASE 1: Settare il router (tramite il configuration register) in modo da non utilizzare la configurazione presente nella NVRAM;
FASE 2: Riavviare il router;
FASE 3: Entrare in modalità Privileged EXEC mode (che a questo punto sarà priva di password di accesso);
FASE 4: In caso di password non crittografate sarà possibile visualizzare dal file di configurazione nella NVRAM, altrimenti sarà necessario settare una nuova password, nel caso peggiore bisognera caricare una nuova configurazione;
FASE 5: Settare nuovamente il router per leggere il file di configurazione nella NVRAM;
FASE 6: Riavviare il router

Consultando il sito di Cisco Systems è possibile trovare la procedura di Password Recovery per ogni modello di Router.

LINK

Cisco Password Recovery Procedures

SOURCE

Cisco IOS Security Configuration Guide


Cisco Discovery Protocol

2- JUNIOR – 2003-06-18 20:45:41 – UserID: 173

Cisco Discovery Protocol (CDP) è un protocollo proprietario di Cisco Systems sviluppato per la raccolta di informazioni (tipo di Hardware, versione IOS, protocolli, numero di matricola ecc) su apparati di rete interconnessi tra loro.

CDP è stato implementato per essere utilizzato su router, access server, bridge e switch Cisco. Le informazioni ricavate tramite l’utilizzo di questo protocollo sono utili ai fine della documentazione e del troubleshooting della rete.

ABILITARE E DISABILITARE CDP
E’ possibile verificare se CDP è abilitato sul router tramite il comando show cdp neighbors in modalità Enable.
Un esempio:
router-Cs2# show cdp neighbors
router-Cs2# “% CDP is not enabled”
router-Cs2#
config terminal
IOS informa che il protocollo non è attivo: not enabled. E’ quindi necessario abilitarlo…
router-Cs2(config)#
cdp run
Se non impostato diversamente CDP è abilitato su tutte le interfacce supportate
router-Cs2(config)#
end
router-Cs2#
show cdp neighbors

Capability Codes:R – Router, T – Trans Bridge, B – Source Route Bridge S – Switch, H –
Host, I – IGMP, r – Repeater

Device ID   Local  Intrfce  Holdtme  Capability  Platform Port ID

Router-Cs1  Eth    0        122       R          2621     Fas 0/0
Router-Cs3  Ser    0        140       R          2500     Ser 0
L’output del comand mostra i due router connessi rispettivamente sull’interfaccia Ethernet e Seriale

Qualora invece si voglia disabilitare su ogni interfaccia il protocollo CDP è necessario utilizzare il comando no cdp run.

PARAMETRI GLOBALI
Cisco Discovery Protocol utilizza per il suo funzionamento due parametri globali:
CDP Timers: Ogni quanto tempo i pacchetti CDP vengono inviati sulle interfacce attive;
Holdtime Information: Per quanto tempo il valore dei pacchetti ricevuti è mantenuto valido;

Se CDP è in funzione, é possibile visualizzare questi parametri tramite il comando show cdp:
Router> sh cdp
Global CDP information:
Sending CDP packets every 60 seconds
Sending a holdtime value of 180 seconds

In modalità configurazione si ha la possibilità di modificare questi parametri:
Router-Cs2# conf t
Enter configuration commands, one per line. End with CNTL/Z.
Router-Cs2(config)#
cdp ?
holdtime Specify the holdtime (in sec) to be sent in packets timer Specify the rate at which CDP packets are sent(in sec) run
In caso di dubbio l’help in linea e’ un valido supporto
Router-Cs2(config)#
cdp timer 90
Router-Cs2(config)#
cdp holdtime 240
Router-Cs2(config)#
end

INFORMAZIONI SUI NEIGHBORS ROUTER
Tramite il comando show cdp neighbors oppure show cdp neighbors detail è possibile ottenere con diverso grado di dettaglio diverse informazioni riguardanti gli apparati di rete direttamente interconessi a quello su quale si lancia il comando.
Tra i parametri abbiamo:
Device ID: L’hostname dell’apparato;
Local Interface: La porta o l’interfaccia sulla quale si ricevono i pacchetti CDP;
Holdtime: Il tempo per il quale il router considererà valide le informazioni ottenute prima di scaricare il pacchetto se non ne riceverà altri;
Capability: Il tipo del dispositivo (Router, Switch, Bridge ecc.). La legenda dei tipi di dispositivi è visualizzata come intestazione dell’output del comando stesso;
Platform: La piattaforma del dispositivo;
Port ID: La porta del dispositivo sulla quale vengono trasmessi in broadcast i pacchetti CDP;

Tramite l’opzione detail vengono aggiunte ulteriori informazioni:

Entry address(es): Gli indirizzi di rete dell’apparato conesso;
Version: La versione di IOS;
Duplex Mode: Lo stato duplex della connessione;
Native VLAN: Identificativo della VLAN di cui l’apparato fa parte;
VTP Management Domain: Stringa di identificazione VLAN Trunk Protocol;

Un esempio:
router# show cdp neighbors detail
Device ID: 008024 1EEB00 (milan-sw-1-cat9k)
Entry address(es):
IP address: 192.168.10.5
Platform: CAT5000, Capabilities: Switch
Interface: Ethernet1/0, Port ID (outgoing port): 2/7
Holdtime : 162 sec
Version :
Cisco Catalyst 5000
Duplex Mode: full
Native VLAN: 42
VTP Management Domain: ‘Supporto Tecnico’

INFORMAZIONI SU SPECIFICHE INTERFACCE
Tramite il comando show cdp interface si ottengono informazioni in relazione ad ogni singola interfaccia o porta di uno switch.

Router-Cs2# sh cdp interface
Ethernet0 is up, line protocol is up
Encapsulation ARPA
Sending CDP packets every 60 seconds
Holdtime is 180 seconds
Serial0 is administratively down, line protocol is down
Encapsulation HDLC
Sending CDP packets every 60 seconds
Holdtime is 180 seconds
Serial1 is administratively down, line protocol is down
Encapsulation HDLC
Sending CDP packets every 60 seconds
Holdtime is 180 seconds

Per abilitare o disabilitare su una singola interfaccia CDP è necessario selezionarla ed utilizzare i comandi cdp enable oppure no cdp enable:
Router-Cs2# config t
Enter configuration commands, one per line. End with CNTL/Z.
Router-Cs2(config)#
int s0
Router-Cs2(config-if)#
no cdp enable
Il protocollo CDP viene disabilitato solamente sulla prima interfaccia seriale SO
Router-Cs2(config-if)#
end

INFORMAZIONI SUL TRAFFICO CDP
E’ possibile visualizzare informazioni relative al traffico scambiato tra apparati che utilizzano il protocollo CDP tramite il comando show cdp traffic:
Router-Cs2# show cdp traffic
Total packets output: 543, Input: 333
Hdr syntax: 0, Chksum error: 0, Encaps failed: 0
No memory: 0, Invalid: 0, Fragmented: 0
CDP version 1 advertisements output: 191, Input: 187
CDP version 2 advertisements output: 352, Input: 146

Share

Cisco

Windows 2008 e la cartella winsxs

15 Maggio 2009

Molti utenti di Windows Vista o Windows Server 2008 si chiedono ”perché la cartella WinSxS é così grossa e cresce sempre?!
La risposta dipende dalla componentizzazione, una peculiarietà introdotta con Windows Vista e versioni successive.

Da Vista in poi si passa da un sistema operativo i cui elementi erano descritti tramite file INF ai componenti. Questo passaggio ricorda la conversione che si ebbe tra i file .INI ed il registry.

Un componente in Windows è costituito da uno o più binari, un file catalogo, e un file XML che dice tutto su come i file devono essere installati, dalle chiavi del registry interessate ai servizi ai permessi di sicurezza che i file devono avere.  I componenti sono raggruppati in unità logiche, e queste unità sono usate per costruire le diverse edizioni di Windows.

 

Tutti i componenti del S.O. sono nella cartella WinSxS – infatti detta magazzino dei componenti.  Ogni componente ha nome unico che include la versione, la lingua, e l’architettura di processore per cui è costruito.  La cartella WinSxS è l’unico posto dove si trovano i componenti nel sistema, tutte le altre istanze dei file che si vedono nel sistema sono “proiettate” tramite collegamento dal component store.  Quindi c’è una sola copia di ogni file del S.O., e questa copia è nella cartella WinSxS. Quindi la cartella WinSxS è in realtà l’intero S.O.

Questo metodo operativo è il motivo per cui non si viene più richiesti di inserire dischi durante operazioni come il System File Check (SFC), o installando caratteristiche addizionali.

Questo spiega perché la cartella è grossa, ma non perchè cresce nel tempo: la risposta è il servicing (i cosiddetti Service Pack).   Nelle precedenti versioni l’unità atomica dei SP erano i file, da Vista sono i componenti.  Quando si aggiorna un file binario si aggiorna l’intero componente, e la nuova versione viene memorizzata INSIEME alla vecchia nel component store.  La versione più recente è proiettata nel sistema ma la vecchia è ancora lì, e da questo la crescita della cartella.

Non tutti i componenti nel component store devono essere proiettati nel sistema.  Ad es., dove IIS è presente ma non installato, i componenti relativi sono nel component store, ma non proiettati sul sistema.  C’è in breve una versione differente del componente per ogni livello di Service Pack e tutte queste diverse versioni sono nella cartella WinSxS, anche se non sono immediatamente applicabile.  Ad es., un singolo package GDR di un SP che aggiorna un componente, può finire per installarne quattro versioni in WinSxS – il doppio su un sistema a 64 bit in alcuni casi.

Ci si chiederà perché le versioni vecchie dei componenti non vengono rimosse: la risposta è la affidabilità, in quanto il component store, con le altre informazioni sul sistema, consente in un certo istante di determinare quale sia la più appropriata versione di un componente da proiettare nel sistema. Ciò consente di disinstallare aggiornamenti di sicurezza senza avere problemi con l’ordine di disinstallazione, ad esempio. Se inoltre si decide di installare componenti opzionali, si possono proiettare le versioni dei componenti più opportune basandosi sulle relazioni tra i componenti basandosi su quelle disponibili e sulle informazioni sulle interrelazioni tra i componenti, avendo la possibilità di reagire alle mutate necessità del sistema in modi che non erano precedentemente possibili.

L’unico modo di ridurre la dimensione della cartella WinSxS è disinstallare i package che hanno installato i componenti in prima battuta.  Ciò si può fare usando un eseguibile chiamato VSP1CLN.EXE, contenuto nel Service Pack 1, uno strumento che consente di rendere permanenti i Service Pack (non rimovibili) nel sistema,  e di rimuovere tutti i componenti di versione superata.  Ciò è possibile perché se i S.P. sono permanenti le versioni RTM precedenti certo non servono più. Questa è la sintassi supportata:

VSP1CLN.exe [/h] | [/o: percorso ai file di windows] [/quiet]

/? o /h: mostra la lista dei comandi di Vsp1cln.
/o:[percorso ai file di windows]: cartella contenente il S.P. di Windows Vista di cui rimuovere i file RTM.
/quiet: esecuzione senza alcun feedback.
/verbose: mostra dettagli ulteriori durante l’esecuzione del comando.

Quindi sì, WinSXS è una cartella molto ingombrante e destinata a crescere sempre più all’invecchiare del S.O.: contenti di saperlo ?

Si noti che la struttura e le funzioni dei service pack e del component store potranno variare nel tempo.

Leggere anche questo documento:

http://technet.microsoft.com/en-us/library/cc709655.aspx

Share

Microsoft

Come rimuovere Antivirus XP Pro 2009!

15 Maggio 2009

Antivirus XP Pro 2009 è un falso software di sicurezza della stessa famiglia di SysAntivirus 2009 e PC Defender 2008.

Il falso antivirus una volta infettato il pc, avvia false scansione facendo credere all’utente di avere il sistema infettato, invitandolo ad acquistare la licenza del falso antivirus per disinfettarsi.

Ovviamente non acquistate nulla!

I sintomi che presenta un pc rimasto vittima diAntivirus XP Pro 2009 sono:

sistema rallentato, settaggi del browser modoficati, apertura continua di finestre pop-up durante la navigazione ed infine l’impossibilità in alcuni casi di collegarsi ad internet.

Questi sono i files creati dal falso antivirus:

  • AntivirusXP.exe
  • antivirusxppro2009.exe

Queste invece le chiavi di registro:

  • HKEY_LOCAL_MACHINE\software\AntivirusXPPro2009
  • HKEY_LOCAL_MACHINE\software\AntivirusXPPro2009 info
  • HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run Antivirus XP Pro 2009

Come disinfettarsi.

Il tool che si è dimostrato efficace nel rimuovere Antivirus XP Pro 2009 è:
Malwarebytes Anti-Malware – Download

Disinfettarsi con Malwarebytes Anti-Malware

Scaricate Malwarebytes’ Anti-Malware sul desktop e procedete con l’installazione.

Avviate il software, procedete prima con l’update e successivamente effettuate una scansione in modalità “rapida” del sistema.

Selezionate tutti i malware scovati dal tool e cliccate su “Rimuovi selezionati”.

Ottenuto conferma che tutti i malware sono stati eliminati, potete chiudere il programma e riavviare il sistema.

In alternativa, risultano altrettanto altrettanti efficaci i seguenti software:

SUPERAntiSpyware Free Edition

a-squared Free 4.0

Share

Malware / Virus

Come eliminare dal pc Windowsclick

15 Maggio 2009

Tratto da: www.laguidainformatica.it

UACd.sys sfruttando una ingegnosa tecnica che gli permette di risultare invisibile al sistema ed agli antivirus, è un pericoloso trojan che compromette la sicurezza dei sistemi operativi Windows.

Una volta infettato il pc,  blocca l’accesso ai siti web di sicurezza, inoltre, tutti i risultati delle ricerche effettuati sui vari motori di ricerca vengono indirizzati sul sito windowsclick.com.

Procedura di rimozione:

Il primo passo da fare è quello di disabilitare i driver creati dal trojan:

  • Cliccate sull’icona Start (nel caso usaste XP) e succesivamente con il tasto dx del mouse su Risorse del computer e subito dopo su Proprietà

  • Nella nuova finestra che visualizzate scegliete Hardware e subito dopo Gestione periferiche
  • Dal menu Gestione Periferiche cliccate su Visualizza e successivamente spuntate l’opzione Mostra periferiche nascoste

  • Nella lista dei driver selezionate UACd.sys e successivamente Disabilitatelo (come mostrato in figura)

 

  • Nella finestra di dialogo cliccate su Si
  • Chiudete tutte le applicazioni e finestre e riavviate il pc

Il secondo passo consiste nel rimuovere i driver UACd.sys precedentemente disabilitati

  • Scaricate Avenger a questo link e scompattatelo dove volete
  • Avviate Avenger, copiate ed incollate lo script in basso nella finestra del programma e cliccate su Execute

Drivers to delete:
UACd.sys

  • Una finestra di dialogo vi chiederà se volete veramente eseguire lo script inserito, cliccate su Yes ed attendete la fine della scansione
  • Alla fine della scansione riavviate il Pc

Il terzo passo consiste nel rimuovere tutti i files associati al malware

  • Scaricate Malwarebytes’ Anti-Malware sul desktop e procedete con l’installazione
  • Avviate il software, procedete prima con l’update e successivamente effettuate una scansione in modalità “rapida” del sistema
  • Selezionate tutti i malware scovati dal tool e cliccate su “Rimuovi selezionati
  • Ottenuto conferma che tutti i malware sono stati eliminati, potete chiudere il programma e riavviare il sistema
Share

Malware / Virus

Realizzazione di un Firewall (IPcop)

13 Maggio 2009

Cos’è IPCop

IPCop  è una mini-distribuzione GNU/Linux opensource adatta a realizzare un firewall hardware/software. Garantisce un’efficiente sicurezza della rete impedendo intrusioni esterne non autorizzate.

È un’ottima soluzione per piccole reti, reti aziendali e SOHO (Small Office-Home Office). Può essere adattata ad ogni esigenza e può essere usata anche su hardware piuttosto datato. Può essere usata da amministratori di rete che non conoscono Linux per creare un firewall Linux-based, oppure può essere utilizzata da chi ne capisce di più (di Linux ovviamente!) ma non ha il tempo per configurare manualmente un PC.

Il progetto IPCop è attivo da un paio d’anni e nelle ultima versioni è risultato essere così maturo da acquistare crescente successo in una vasta comunità di utenti e di sviluppatori.

Il manifesto della distribuzione si articola nei seguenti punti:

  • Offrire una distribuzione Firewall Linux stabile sicura e opensource

  • Creare ed offrire una distribuzione Firewall Linux estremamente configurabile

  • Offrire una distribuzione Firewall Linux di facile manutenzione

Investire nella sicurezza, sopratutto se nelle reti passano dati sensibili è assolutamente necessario. Sappiamo però che questi investimenti spesso sono molto costosi, sia perchè chi se ne occupa chiede parcelle da brivido, sia perchè firewall e router specifici spesso costano davvero tanto.

In nostro soccorso però arrivano le sempre amate soluzioni Open Source, che si dimostrano molto valide e abbassano drasticamente i costi da sopportare. Una delle soluzioni pià famose e più funzionali è sicuramente IPCop.

Questo programma, non è altro che una mini distribuzione linux, pensata e realizzata appositamente per funzionare come componente primaria di una rete.

Quello che fa infatti è davvero interessante: firewall, router, vpn, proxy e molto altro ancora, anche grazie ad applicazioni terze installabili gratuitamente.

IPCop risulta davvero interessante anche perchè i requisiti harware sono davvero minimi: con un server di fascia bassa è possibile installare e configurare al meglio questo software ed è possibile gestire una rete di medie dimensioni senza alcun problema.

Anche l’installazione guidata è molto intuitiva ed esistono moltissime community su internet che rilasciano guide e consigli su come configurare al meglio questo programma.

Vale assolutamente la pena provarlo. E – personalmente – lo consiglio anche per uffici o aziende di piccole dimensioni.

La funzione svolta dal firewall è di crescente importanza in una scuola. Ci proponiamo ora di presentare una soluzione applicabile nell’ambiente di una scuola utilizzando software open source.

È sufficiente visitare il sito http://freshmeat.net e cercare “firewall” per rendersi conto dell’attenzione che il mondo dell’Open Source ha dedicato all’argomento.Tra le tante offerte disponibili abbiamo scelto “IPCop” per le seguenti caratteristiche:

  • Facilità d’installazione.
  • Applicabile in ambiente “Home” o piccola rete locale con minime opzioni.
  • Applicabile in ambiente “Enterprise network” con diverse funzionalità aggiuntive quali logging, reporting, proxy, vpn ecc.

IPCop é una mini distribuzione Linux specializzata per realizzare un firewall;

Ottenere la distribuzione

L’immagine iso è scaricabile direttamente dal sitohttp://www.ipcop.org al link Download, fate attenzione a scaricare la versione più recente (alla redazione di questo documento è la 1.4.2).

Caratteristiche

  1. Linux Netfilter con capacità di NAT/PAT e logging.
  2. Supporto per quattro schede di rete.
  3. Supporto Client DHCP su una scheda di rete per ricevere l’indirizzo IP dal Provider.
  4. Supporto Server DHCP per due schede di rete.
  5. Supporto server NTP per sincronizzare la data e l’ora e per fornirla a due schede di rete.
  6. IDS (Intrusion detection system) per tutte e quattro le schede di rete.
  7. Supporto per la VPN (rete privata virtuale).
  8. Supporto proxy per il Web.
  9. Amministrazione e controllo attraverso il browser.
  10. Possibilità di pach/update
  11. Backup e Restore della configurazione

Hardware

IPCop può essere installato su un vecchio “486” con 16 MB di RAM, consigliamo tuttavia di utilizzare schede madri e schede di rete basate sullo standard PCI, 64 MB di RAM, un BIOS che permette l’avvio da CDROM (la distribuzione comprende anche l’immagine floppy per l’avvio) e qualche GB di Hard Disk.

Per utilizzare il proxy è consigliabile avere 256 MB di RAM e di più GB di Hard Disk se si desidera conservare i file di log.

Perché quattro adattatori di rete?

Gli adattatori di rete sono individuati con dei colori:

  • ROSSO – rappresenta l’interfaccia connessa ad internet.
  • VERDE – rappresenta l’interfaccia per la rete interna.
  • BLU – rappresenta l’interfaccia per una seconda rete interna o per una rete wireless.
  • ARANCIO – rappresenta l’interfaccia per un’eventuale zona DMZ in cui si trovano server che offrono servizi all’esterno.

L’applicazione minima prevede due interfacce di rete, quella verso internet (ROSSA) e quella verso la rete locale (VERDE) da proteggere.

Nel caso in cui esistono due reti locali che devono rimanere separate (accesso consentito solo in VPN) si utilizza anche l’interfaccia BLU; è la classica situazione in cui la rete locale dell’amministrazione condivide l’unico accesso ad internet con la rete della didattica, tuttavia ne deve restare separata.

L’immagine che segue, tratta dal sito http://www.ipcop.org illustra l’utilizzo di tutti e quattro gli adattatori di rete.

utilizzo 4 adattori di rete

La nostra installazione minima

Abbiamo utilizzato un Pentium II 233 Mhz con 64 MB di RAM, 5GB di Hard Disk, due schede di rete PCI (ROSSA e VERDE).

L’installazione è composta dai seguenti passi:

  1. Avvio del sistema (nel nostro caso direttamente dal CDROM generato dall’immagine iso scaricata).
  2. Partizionamento del disco rigido del vostro computer“ATTENZIONE I DATI PRESENTI SUL HARD DISK SARANNO CANCELLATI”.
  3. Rilevamento delle interfacce di rete (scegliere automatico).
  4. Scelta dell’indirizzo IP dell’interfaccia verde (rete locale).
  5. Scelta dei parametri locali (tastiera, data/ora).
  6. Scelta del nome del sistema (hostname) e del domino.
  7. Configurazione del dispositivo ISDN (saltare se non interessa).
  8. A questo punto il sistema è configurato per due schede di rete (ROSSA + VERDE). Utilizzate il menu per cambiare le impostazioni ed abilitare eventualmente altre schede di rete.
  9. Con l’opzione “Impostazioni driver e schede” impostate i driver delle schede di rete non ancora configurate.
  • Assegnate ora gli indirizzi IP alle schede di rete tramite l’opzione “Impostazione indirizzo”.
  1. Assegnate il Gateway e il DNS tramite l’opzione “Impostazioni DNS e Gateway”.
  2. Configurate il server DHCP (saltare se non interessa).
  3. Impostate le password di root e di amministratore.

Il firewall in configurazione minima è pronto, collegate un cavo di rete al router (quello dell’interfaccia ROSSA) e un altro al vostro Hub o Switch (quello dell’interfaccia VERDE); poiché non sapete fisicamente come sono state assegnate le interfacce può essere necessario invertire i cavi.

Provate anavigare con i PC della vostra rete locale.

Amministrazione del firewall

Connettetevi con il vostro browser all’indirizzo assegnato all’interfaccia di rete VERDE (ad. es. https://192.168.1.1:445), vi si presenterà la seguente pagina:

IpCop pagina principale

Potete ora cominciare ad esplorare le differenti possibilità disponibili.

  • Sistema:Utilità per la configurazione del sistema e di IPCop stesso.
  • Stato: Informazioni dettagliato sullo stato del vostro server IPCop.
  • Network: utilità per configurare/amministrare connessioni tramite modem.
  • Servizi: Configurazione/Amministrazione dei servizi disponibili sul server IPCop.
  • Firewall: Configurazione/Amministrazione delle opzioni del firewall.
  • VPNs:Configurazione/Amministrazione della VPN (Rete Privata Virtuale).
  • Log:Visualizzarei vari log di IPCop (firewall, IDS,ecc.)

Per una spiegazione dettagliata rimandiamo alla documentazione ufficiale scaricabile dal sito http://www.ipcop.org; ci limitiamo qui ad illustrare il comportamento di “default” del firewall con una tabella tratta dalla documentazione ufficiale.

modalità configurazione

L’interpretazione della tabella e delle modalità con cui configurare il Port Forwarding e la VPN comportano conoscenze nel campo delle reti e dei protocolli che esulano dallo scopo di quest’articolo.

In generale osserviamo che la conoscenza base della configurazione degli adattatori di rete (indirizzi IP, netmask, gateway, dns) e una minima esperienza d’installazione del sistema operativo linux permettono di realizzare un firewall più che adeguato alle esigenze di un ufficio.

Share

Tips Linux e Microsoft

Bloccare le chiavette USB in windows

12 Maggio 2009

Hai un PC che devi proteggere? Non vuoi che viengano usate le chiavette USB per prendere o portare via dati dal suddetto PC? Puoi inibire l’uso di tutte le memorie di massa su porta USB, mantenedo però la possibilità di usare il mouse o di stampare.
La procedura è scritta qui (sito Microsoft).

La riporto, semplificata, qui sotto (non sono responsabile se vengono fatti pasticci sul proprio PC a causa di questa guida!)

Prima parte, da fare sui tutti i PC

  1. Avviare Esplora risorse e individuare la cartella %SystemRoot%\Inf.
  2. Fare clic con il pulsante destro del mouse sul file Usbstor.pnf quindi scegliereProprietà.
  3. Fare clic sulla scheda Protezione.
  4. Nell’elenco Utenti e gruppi selezionare l’utente o il gruppo per il quale si desidera impostare la negazione di autorizzazione.
  5. Nell’elenco Autorizzazioni per Nomeutente o Nomegruppo selezionare la casella di controllo Nega accanto a Controllo completo, quindi scegliere OK. Nota: Aggiungere inoltre l’account di sistema nell’elenco Nega.
  6. Fare clic con il pulsante destro del mouse sul file Usbstor.inf quindi scegliere Proprietà.
  7. Fare clic sulla scheda Protezione.
  8. Nell’elenco Utenti e gruppi selezionare l’utente o il gruppo per il quale si desidera impostare la negazione di autorizzazione.
  9. Nell’elenco Autorizzazioni per Nomeutente o Nomegruppo selezionare la casella di controllo Nega accanto a Controllo completo, quindi scegliere OK.

Seconda parte, da fare solo se è già stata usata una chiavetta USB sul PC

  1. Fare clic sul pulsante Start, quindi scegliere Esegui.
  2. Nella casella Apri digitare regedit, quindi scegliere OK.
  3. Individuare e fare clic sulla chiave del Registro di sistema seguente:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UsbStor
  4. Nel riquadro di destra fare doppio clic sulla voce Start.
  5. Nella casella Dati valore digitare 4, selezionare Esadecimale (se l’opzione non è ancora stata selezionata), quindi scegliere OK.
  6. Chiudere l’editor del Registro di sistema.

Nota personale
Provando, si disabilitano le chiavette usb per tutti gli utenti, non solo per l’utente desiderato… :(

Share

Tips Linux e Microsoft