Port security su Switch Cisco

Apprendimento degli indirizzi

Le funzionalità di port security possono mitigare alcuni attacchi limitando il numero massimo di indirizzi MAC sorgenti provenienti su una porta o mappando staticamente gli indirizzi su una porta. Le associazioni possono essere di tre tipi:

  1. Statiche: utilizzando il comando switchport port-security mac-address “nome_mac a livello di interfaccia che viene inserito staticamente nella tabella di switching
  2. Sticky: utilizzando il comando switchport port-security mac-address sticky a livello di interfaccia si abilita l’apprendimento sticky che aggiunge in configurazione staticamente gli indirizzi dinamici presenti in tabella di
    switching e quelli che si aggiungeranno successivamente. Possono essere aggiunti anche indirizzi non fisicamente presenti in tabella con il comando di interfaccia switchport port-security mac-address sticky nome_mac (sconsigliato). Se questa modalità viene disabilitata gli indirizzi vengono cancellati dalla tabella ma non dalla configurazione.
  3. Dinamici: gli indirizzi vengono inseriti in tabella con apprendimento dinamico

Continua a leggere

Protocolli di routing esterni

Avrete probabilmente già sentito parlare dei protocolli di routing esterni come il BGP (Border Gateway Protocol) e l’EGP (Exterior Gateway Protocol).Per ora non ne parleremo poichè se avete bisogno di utilizzare il BGP avrete un ISP in grado di verificare la vostra configurazione di routing.Ma quando avete bisogno di BGP?Sostanzialmente se siete un ISP o se avete due o più servizi di gestione del traffico che volete configurare in modo da garantire la ridondanza e la continuità del servizio.

Se siete nella situazione di dover garantire a tutti i costi i servizi di connettività IP,considerate se non sia il caso di affidarvi a un servizio di hosting,invece che tenere i server in casa.Risparmierete molti grattacapi.

Continua a leggere

Generare centinaia di file di configurazione per i router cisco

Quando si costruisce una grande WAN, di solito bisognerebbe configurare i router filiali in modo simile in base a un modello di progettazione. L’esempio utilizza uno script in Perl per unire un file CSV contenente informazioni di base con un file di modello standard. Prende il file CSV come input su STDIN.

 

 

Continua a leggere

WPA

Il protocollo Wi-Fi Protected Access (WPA) é uno sforzo dei produttori nel tentativo di colmare le lacune derivate da WEP. WPA é un sottoinsieme dello standard IEEE 802.11i; quest’ultimo chiamato anche WPA2 verrà rilasciato nel corso dell’anno 2004 e sarà pienamente compatibile con WPA. I produttori hanno disegnato questo protocollo per minimizzare l’impatto sulle performance e per permettere la sua distribuzione attraverso un aggiornamento software dei prodotti basati su IEEE 802.11b, come ad esempio Access Points e schede di rete. Alcuni produttori di hardware hanno ideato dei sistemi che permettono il “mixed mode”, ovvero la possibilità di supportare contemporaneamente WPA e WEP per facilitare la migrazione a questo nuovo protocollo. Continua a leggere

VPN concentrator con Cisco IOS

Come per l’esempio di CheckPoint FW-1, questo descrive la configurazione di un gateway VPN usando i certificati digitali X.509. I router Cisco non dispongono di una Certification Authority, ma devono appoggiarsi su una CA esterna che supporti il protocollo Simple Certificate Enrollment Protocol (SCEP), come ad esempio Windows 2000, Entrust, VeriSign e OpenCA. Per supportare il servizio di VPN server, è necessario avere una versione di IOS 1.2.(8)T o superiore.

Enrollment del certificato

Il router deve scaricare il certificato digitale nella sua configurazione per permettere l’autenticazione del client. A tale scopo è necessario effettuare il processo di “Enrollment” come nell’esempio seguente: Continua a leggere

1 2 3 8