Esercizi sulla subnetizzazione IP

1) Date le seguenti coppie di indirizzi IP V4 e maschere di sottorete,
determinare se i due indirizzi sono nella stessa sottorete individuata dalla relativa maschera.

 

145. 20. 40.70

145. 20. 47.33

255.255.240. 0

 

196. 25. 7.125

196. 25. 7.130

255.255.255.192

 

10. 49. 50. 12

10. 49. 51.202

255.255.254. 0

 

2)   Il vostro Comando utilizza lo spazio dell’indirizzo privato 10.0.0.0;

vi viene comandato di creare uno schema di subnettizzazione per fornire

20.000 sottoreti, ognuna delle quali abbia fino a 400 dispositivi (Host).

Quale maschera di sottorete soddisferà questi requisiti?

 

3)   Il vostro Comando si è visto assegnare dalla RIPE-NCC l’indirizzo 220.168.49.0 .

Il vostro compito è quello di creare uno schema di subnettizzazione per creare

  • una sottorete per 50 utenti,
  • tre sottoreti un po’ più piccole per 20 utenti ciascuna
  • ed una sottorete di test, di soli 10 Host.

Trovate le maschere di sottorete, l’indirizzo di base di sottorete

e gli intervalli di indirizzi Host validi per ogni sottorete

Attivazione autenticazione in RIP

Un modo per consentire solo a delle determinate apparecchiature il traffico sulla propria rete è l’utilizzo dell’autenticazione in RIP

La seguente serie di comandi consente l’autenticazione in testo normale:

Router1#configure terminal
Enter configuration commands, one per line.  End with CNTL/Z.
Router1(config)#key chain ORA
Router1(config-keychain)#key 1
Router1(config-keychain-key)#key-string oreilly
Router1(config-keychain-key)#exit
Router1(config-keychain)#exit
Router1(config)#interface FastEthernet0/0.1
Router1(config-subif)#ip rip authentication key-chain ORA
Router1(config-subif)#ip rip authentication mode text
Router1(config-subif)#end
Router1#

Per una maggiore sicurezza, i router Cisco possono anche utilizzare l’autenticazione basata su MD5:

Router1#configure terminal
Enter configuration commands, one per line.  End with CNTL/Z.
Router1(config)#key chain ORA
Router1(config-keychain)#key 1
Router1(config-keychain-key)#key-string oreilly
Router1(config-keychain-key)#exit
Router1(config-keychain)#exit
Router1(config)#interface FastEthernet0/0.1
Router1(config-subif)#ip rip authentication key-chain ORA
Router1(config-subif)#ip rip authentication mode md5
Router1(config-subif)#end
Router1#

Autenticazione di RIP è uno dei miglioramenti del protocollo che appagliono nella versione 2.L’esempio della prima configurazione in questo articolo utilizza una normale autenticazione. In generale, si consiglia di utilizzare l’autenticazione MD5 perché il testo in chiaro è fin troppo facile da craccare. Se si desidera impostare l’autenticazione per assicurarsi di ricevere aggiornamenti solo dai dispositivi appropriati, è necessario utilizzare la versione più sicura MD5. L’unica ragione per considerare  la modalità in chiaro è che se alcuni dei dispositivi RIP non posso abilitare MD5. Poiché la RFC per RIP versione 2 descrive solo l’ autenticazione semplice, i non-Cisco dispositivi potrebbero non supportare l’autenticazione MD5.Entrambe le forme di autenticazione RIP contribuiscono a garantire che solo apparecchiature di rete legittime e autorizzate possono partecipare agli update di RIP. Ciò è particolarmente importante se si dispone di segmenti di rete contenenti dispositivi che possono corrompere le tabelle di routing. In questo esempio, la chiave viene applicata su un’interfaccia. Ciò consente di specificare una chiave diversa per ogni segmento di rete. Tuttavia, non c’è nulla che impedisca di utilizzare lo stesso codice su più di una interfaccia, o anche utilizzando una sola chiave in  tutta la rete.Le tracce di debug seguenti sono state prese con abilitato l’autenticazione. La prima traccia mostra il testo semplice e include la password:

Router1#debug ip rip
RIP protocol debugging is on
Aug 12 02:08:03.386: RIP: received packet with text authentication oreilly
Aug 12 02:08:03.390: RIP: received v2 update from 172.25.1.7 on FastEthernet0/0.1

La seconda traccia si presenta con un aggiornamento contenente l’autenticazione MD5. In questo caso, il router non è in grado di decodificare la stringa di autenticazione. Invece, si confronta la stringa della password cifrata con la versione cifrata della propria password per vedere se corrispondono. Non ci sono metodi noti per invertire in modo univoco la crittografia MD5:

Router3#debug ip rip
RIP protocol debugging is on
Aug 11 22:14:50 EDT: RIP: received packet with MD5 authentication
Aug 11 22:14:50 EDT: RIP: received v2 update from 172.25.1.5 on Ethernet0

il comando show ip protocols include informazioni sulle catene chiave di autenticazione:

Router3#show ip protocols
Routing Protocol is "rip"
  Sending updates every 30 seconds, next due in 16 seconds
  Invalid after 180 seconds, hold down 180, flushed after 240
  Outgoing update filter list for all interfaces is
  Incoming update filter list for all interfaces is
  Redistributing: rip
  Default version control: send version 2, receive version 2
    Interface        Send  Recv   Key-chain
    Ethernet0        2     2      ORA
  Routing for Networks:
    172.25.0.0
  Routing Information Sources:
    Gateway         Distance      Last Update
    172.25.1.5           120      00:00:01
  Distance: (default is 120)
Router3#

Se il router riceve un aggiornamento RIP che ha un chiave sbagliata (o nessuna chiave affatto), scarta il pacchetto, come mostrato nella traccia di debug seguente:

Router3#debug ip rip
RIP protocol debugging is on
Aug 11 22:17:07 EDT: RIP: ignored v2 packet from 172.25.1.5 (invalid authentication)

Controllo dell’accesso in base all’indirizzo MAC

Si desidera che solo una macchina particolare, identificata dal suo indirizzo MAC, può accedere al tuo sistema.

# iptables -F INPUT
# iptables -A INPUT -i lo -j ACCEPT
# iptables -A INPUT -m mac --mac-source 12:34:56:89:90:ab -j ACCEPT
# iptables -A INPUT -j REJECT

ipchains non supporta questa funzionalità.

Questa tecnica funziona solo all’interno della vostra sottorete locale. Se si riceve un pacchetto da una macchina di fuori della subnet, conterrà l’indirizzo MAC del gateway, non quella della macchina originale.

Gli indirizzi MAC possono essere contraffatti. Supponiamo di avere una macchina chiamata pippo il cui indirizzo MAC è considerato attendibile dal vostro firewall. Se un intruso scopre questo fatto, e pippo è giù, l’intruso potrebbe prendere l’indirizzo mac di pippo e il vostro firewall non saprebbe nulla. D’altra parte, se è pippo durante lo spoofing è acceso, il suo kernel inizieràurlare” (via syslog) che il suo indirizzo mac è stato duplicato.

1 34 35 36 37 38