Assegnare un utenza (o gruppo) a un apparato Cisco

Utilizzare la seguente serie di comandi di configurazione per attivare gli ID utenti localmente:

Router1#configure terminal
Enter configuration commands, one per line.  End with CNTL/Z.
Router1(config)#username tomas password cisco
Router1(config)#username milian password class
Router1(config)#aaa new-model
Router1(config)#aaa authentication login default local
Router1(config)#end
Router1#

Il comando username permette anche di creare le utenze senza password, specificando la parola chiave nopassword.Tuttavia, si consiglia vivamente di non farlo perché si può indebolire gravemente la sicurezza del router.L’attivazione delle utenze amministrate localmente sostituisce il sistema di autenticazione predefinito basato sulle VTY. Quando si attiva il comando aaa-new model,come mostrato, il router inizia immediatamente per richiedere username e password. L’esempio seguente mostra il prompt di login per un router che utilizza l’autenticazione locale:Gli utenti amministrati localmente vanno bene per un piccolo ambiente con un numero limitato di amministratori.

Router1#configure terminal  Enter configuration commands, one per line. End with CNTL/Z.
Router1(config)#username pippo nopassword
Router1(config)#aaa new-model
Router1(config)#aaa authentication login default local
Router1(config)#end
Router1#

linux%telnet Router1
Trying 172.25.1.5...
Connected to Router1.
Escape character is '^]'.

User Access Verification

Username: tomas
Password: <password>

Router1>

Il router chiede il nome dell’utente e la password mentre confrontandolo con un accesso predefinito si comporta diversamente chiedendo solo la password:

linux%telnet Router2
Trying 172.25.1.6...
Connected to Router2.
Escape character is '^]'.

User Access Verification

Password: <password>

Router2>

Tuttavia, questo metodo non si adatta bene a una rete di grandi dimensioni con molti amministratori. Fortunatamente, Cisco supporta anche un sistema centralizzato per l’autenticazione.Quando si configurano utenti locali, il router chiede di nomi su tutte le linee, comprese le porte consol e AUX, così come le porte VTY utilizzate per le sessioni Telnet. Per evitare di bloccare il  router, si dovrebbe sempre configurare con il comando username prima di utilizzare i comandi AAA. E ‘anche una buona idea utilizzare un altra sessione per testare il nuovo sistema di autenticazione prima del logout della sessione originale. Se accidentalmente bloccate il router, è necessario seguire le normali procedure di recupero password.

Router1>show users
  Line       User       Host(s)              Idle       Location
  66 vty 0     tomas idle               00:36:21   linux.pippo.com
  67 vty 1     milian idle               00:00:24   server1.pippo.com
* 68 vty 2     pippo       idle               00:00:00   linux.pippo.com

  Interface      User        Mode                     Idle     Peer Address

Router1>

Attraverso i file di log si può vedere quali azioni fanno i vari utenti configurati:

Jun 27 12:58:26: %SYS-5-CONFIG_I: Configured from console by tomas on vty2
 (172.25.1.1)
Jun 27 13:02:22: %CLEAR-5-COUNTERS: Clear counter on all interfaces by pippo on vty2
 (172.25.1.1)
Jun 27 14:00:14: %SYS-5-RELOAD: Reload requested by milian on vty0
 (172.25.1.1).

Si noti che questi messaggi di log includono ora il nome dell’utente associato a ciascuna azione, in questo modo non solo sivede che cosa è stato cambiato nel file di configurazione ma anche da chi è stato editato.Per visualizzare queste informazioni, utilizzare il comando show running-config:

 

Router1#show running-config
Building configuration...

Current configuration : 4285 bytes
!
! Last configuration change at 12:58:26 EDT Fri Jun 27 2003 by tomas
! NVRAM config last updated at 13:01:45 EDT Fri Jun 27 2003 by milian
!
version 12.2

Il comando username dispone anche di una parola chiave autocommand, che è possibile utilizzare per assegnare un livello EXEC ad un utente particolare.
Questo è utile quando si desidera fornire un accesso limitato a un particolare comando, invece di limitare l’accesso a tutto l’apparato. Ad esempio, è possibile impostare
un nome utente speciale che chiunque potrebbe usare per eseguire un singolo comando router e poi terminare la sessione:

Router1#configure terminal
Enter configuration commands, one per line.  End with CNTL/Z.
Router1(config)#aaa new-model
Router1(config)#aaa authentication login default local
Router1(config)#aaa authorization exec default local
Router1(config)#username run nopassword noescape
Router1(config)#username run autocommand show ip interface brief
Router1(config)#end
Router1#

In questo esempio, abbiamo definito l’utente senza una password e assegnato un autocomando per lo show ip interface brief. Quando si accede al router con questo nome utente, il router non chiederà una password.E ‘appena entrerà eseguirà il comando e succesivamente terminerà la sessione:

linux% telnet Router1
Trying 172.22.1.4...
Connected to Router1.
Escape character is '^]'.

User Access Verification

Username: run
Interface                  IP-Address    OK? Method Status                Protocol
BRI0/0                     unassigned    YES NVRAM  administratively down down
Ethernet0/0                172.25.1.8    YES NVRAM  administratively down down
BRI0/0:1                   unassigned    YES unset  administratively down down
BRI0/0:2                   unassigned    YES unset  administratively down down
FastEthernet1/0            172.22.1.4    YES NVRAM  up                    up
Loopback0                  192.168.20.1  YES NVRAM  up                    up
Connection closed by foreign host.
Freebsd%

Si noti che il router ha emesso il comando e poi terminato la seduta senza fornire la possibilità di emettere un altro comando.

La parola chiave noescape impedisce all’utente di emettere una sequenza di escape per accedere al router EXEC. Si consiglia vivamente di utilizzare questa parola chiave quando si utilizza autocommand.

Esercizi sulla subnetizzazione IP

1) Date le seguenti coppie di indirizzi IP V4 e maschere di sottorete,
determinare se i due indirizzi sono nella stessa sottorete individuata dalla relativa maschera.

 

145. 20. 40.70

145. 20. 47.33

255.255.240. 0

 

196. 25. 7.125

196. 25. 7.130

255.255.255.192

 

10. 49. 50. 12

10. 49. 51.202

255.255.254. 0

 

2)   Il vostro Comando utilizza lo spazio dell’indirizzo privato 10.0.0.0;

vi viene comandato di creare uno schema di subnettizzazione per fornire

20.000 sottoreti, ognuna delle quali abbia fino a 400 dispositivi (Host).

Quale maschera di sottorete soddisferà questi requisiti?

 

3)   Il vostro Comando si è visto assegnare dalla RIPE-NCC l’indirizzo 220.168.49.0 .

Il vostro compito è quello di creare uno schema di subnettizzazione per creare

  • una sottorete per 50 utenti,
  • tre sottoreti un po’ più piccole per 20 utenti ciascuna
  • ed una sottorete di test, di soli 10 Host.

Trovate le maschere di sottorete, l’indirizzo di base di sottorete

e gli intervalli di indirizzi Host validi per ogni sottorete

Attivazione autenticazione in RIP

Un modo per consentire solo a delle determinate apparecchiature il traffico sulla propria rete è l’utilizzo dell’autenticazione in RIP

La seguente serie di comandi consente l’autenticazione in testo normale:

Router1#configure terminal
Enter configuration commands, one per line.  End with CNTL/Z.
Router1(config)#key chain ORA
Router1(config-keychain)#key 1
Router1(config-keychain-key)#key-string oreilly
Router1(config-keychain-key)#exit
Router1(config-keychain)#exit
Router1(config)#interface FastEthernet0/0.1
Router1(config-subif)#ip rip authentication key-chain ORA
Router1(config-subif)#ip rip authentication mode text
Router1(config-subif)#end
Router1#

Per una maggiore sicurezza, i router Cisco possono anche utilizzare l’autenticazione basata su MD5:

Router1#configure terminal
Enter configuration commands, one per line.  End with CNTL/Z.
Router1(config)#key chain ORA
Router1(config-keychain)#key 1
Router1(config-keychain-key)#key-string oreilly
Router1(config-keychain-key)#exit
Router1(config-keychain)#exit
Router1(config)#interface FastEthernet0/0.1
Router1(config-subif)#ip rip authentication key-chain ORA
Router1(config-subif)#ip rip authentication mode md5
Router1(config-subif)#end
Router1#

Autenticazione di RIP è uno dei miglioramenti del protocollo che appagliono nella versione 2.L’esempio della prima configurazione in questo articolo utilizza una normale autenticazione. In generale, si consiglia di utilizzare l’autenticazione MD5 perché il testo in chiaro è fin troppo facile da craccare. Se si desidera impostare l’autenticazione per assicurarsi di ricevere aggiornamenti solo dai dispositivi appropriati, è necessario utilizzare la versione più sicura MD5. L’unica ragione per considerare  la modalità in chiaro è che se alcuni dei dispositivi RIP non posso abilitare MD5. Poiché la RFC per RIP versione 2 descrive solo l’ autenticazione semplice, i non-Cisco dispositivi potrebbero non supportare l’autenticazione MD5.Entrambe le forme di autenticazione RIP contribuiscono a garantire che solo apparecchiature di rete legittime e autorizzate possono partecipare agli update di RIP. Ciò è particolarmente importante se si dispone di segmenti di rete contenenti dispositivi che possono corrompere le tabelle di routing. In questo esempio, la chiave viene applicata su un’interfaccia. Ciò consente di specificare una chiave diversa per ogni segmento di rete. Tuttavia, non c’è nulla che impedisca di utilizzare lo stesso codice su più di una interfaccia, o anche utilizzando una sola chiave in  tutta la rete.Le tracce di debug seguenti sono state prese con abilitato l’autenticazione. La prima traccia mostra il testo semplice e include la password:

Router1#debug ip rip
RIP protocol debugging is on
Aug 12 02:08:03.386: RIP: received packet with text authentication oreilly
Aug 12 02:08:03.390: RIP: received v2 update from 172.25.1.7 on FastEthernet0/0.1

La seconda traccia si presenta con un aggiornamento contenente l’autenticazione MD5. In questo caso, il router non è in grado di decodificare la stringa di autenticazione. Invece, si confronta la stringa della password cifrata con la versione cifrata della propria password per vedere se corrispondono. Non ci sono metodi noti per invertire in modo univoco la crittografia MD5:

Router3#debug ip rip
RIP protocol debugging is on
Aug 11 22:14:50 EDT: RIP: received packet with MD5 authentication
Aug 11 22:14:50 EDT: RIP: received v2 update from 172.25.1.5 on Ethernet0

il comando show ip protocols include informazioni sulle catene chiave di autenticazione:

Router3#show ip protocols
Routing Protocol is "rip"
  Sending updates every 30 seconds, next due in 16 seconds
  Invalid after 180 seconds, hold down 180, flushed after 240
  Outgoing update filter list for all interfaces is
  Incoming update filter list for all interfaces is
  Redistributing: rip
  Default version control: send version 2, receive version 2
    Interface        Send  Recv   Key-chain
    Ethernet0        2     2      ORA
  Routing for Networks:
    172.25.0.0
  Routing Information Sources:
    Gateway         Distance      Last Update
    172.25.1.5           120      00:00:01
  Distance: (default is 120)
Router3#

Se il router riceve un aggiornamento RIP che ha un chiave sbagliata (o nessuna chiave affatto), scarta il pacchetto, come mostrato nella traccia di debug seguente:

Router3#debug ip rip
RIP protocol debugging is on
Aug 11 22:17:07 EDT: RIP: ignored v2 packet from 172.25.1.5 (invalid authentication)
1 7 8 9 10