[Guida] CISCO-Introduzione ad IOS e guida di sopravvivenza.

[thay]

Quote:

Originariamente inviato da Hack3rAttack

OttimO!
Sto navigando!

Tutto si è sbloccato quando ho messo il dns di alice, invece di 192.168.1.1 anche se no nho capito se è stato questo il vero dettaglio risolutivo...

Ora c'è da risolvere la questione relativa alla config che non salva... cioè io ora se spegnessi il router o faccio un reloaded sarebbe tutto da rifare

ci ho azzeccato,mi fa piacere che hai risolto
Comunque dovrebbe fungere anche con le inpostazioni che avevi prima ,probabilmente manca qualcosa nell'impostazione dns sul rutto

ciao

[cisketto]

Quote:

Originariamente inviato da thay

ci ho azzeccato,mi fa piacere che hai risolto
Comunque dovrebbe fungere anche con le inpostazioni che avevi prima ,probabilmente manca qualcosa nell'impostazione dns sul rutto

ciao

Il DNS era anche un problema ma tengo a precisare che con questa conf:

Codice:

Router#sh runn
Building configuration...

Current configuration : 867 bytes
!
version 12.2
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname Router
!
memory-size iomem 15
logging queue-limit 100
!
ip subnet-zero
!
!
!
!
!
!
!
!
!
interface Ethernet0
ip address 192.168.1.0 255.0.0.0
ip nat inside
hold-queue 100 out
!
interface ATM0
no ip address
no atm ilmi-keepalive
pvc 8/35
encapsulation aal5mux ppp dialer
dialer pool-member 1
!
dsl operating-mode auto
!
interface Dialer0
ip address negotiated
ip nat outside
encapsulation ppp
dialer pool 1
!
ip nat inside source list 1 interface Dialer0 overload
ip classless
ip route 0.0.0.0 0.0.0.0 Dialer0
no ip http server
no ip http secure-server
!
access-list 1 permit 192.168.1.0 0.0.0.255
!
line con 0
no modem enable
stopbits 1
line aux 0
line vty 0 4
!
scheduler max-task-time 5000
!
end

Router#

non avrebbe mai navigato, perche stava usando l'indirizzo 192.168.1.0 che come si sa è l'indirizzo di rete e poi stava usando una subnet di classe A su un indirizzo di rete di classe C. Ad ogni modo ancora è solo all'inizio, perche con questa conf ha una sicurezza che è sotto lo zero! basti pensare che chiunque puo fare il login al router tramite telnet e n ci sta neanche password, ne di accesso ne di enable. password scritte in chiaro nel file di configurazione e tante altre cose che per elencarle mi perderei di casa. dopo km torna le afforntiamo tutti insieme.
saluti

[thay]

Discorso molto interessante,se hai tempo x spiegare e' molto gradito

[Hack3rAttack]

cisketto, ho fatto quelle modifiche e tutto ok sembra aver salvato il tutto.

Ora puoi procedere (sempre se ti va ovvio) con il resto^^

Sopratutto vorri edelucidazioni sull'apertura delle porte (emule etc..)

Ovviamente ti ringrazio in anticipo!

[sikdog]

Ho cercato di configurare il router ma nn ne vuole sapere di navigare allego la conf qualcuno mi può dare un'occhiata?
io oramai sono a massa !!

p.s. devo ammettere che ho apprezzato l'interfaccia web
(il cut & paste è fenomenale)

il mio isp è tiscali


Router
Home Exec Configure




------------------ show version ------------------

Cisco Internetwork Operating System Software
IOS (tm) C1700 Software (C1700-Y7-M), Version 12.2(2)T4, RELEASE SOFTWARE (fc3)
TAC Support: http://www.cisco.com/tac
Copyright (c) 1986-2002 by cisco Systems, Inc.
Compiled Sun 10-Feb-02 08:08 by yiyan
Image text-base: 0x800080E0, data-base: 0x807D3B7C

ROM: System Bootstrap, Version 12.0(3)T, RELEASE SOFTWARE (fc1)

Router uptime is 13 minutes
System returned to ROM by error - a SIGTRAP exception, PC 0x8016CB78
System image file is "flash:c1700-y7-mz.122-2.T4.bin"

cisco 1720 (MPC860) processor (revision 0x601) with 24576K/8192K bytes of memory.
Processor board ID *********MY (**********), with hardware revision 0000
M860 processor: part number 0, mask 32
Bridging software.
X.25 software, Version 3.0.0.
Basic Rate ISDN software, Version 1.1.
1 FastEthernet/IEEE 802.3 interface(s)
1 ISDN Basic Rate interface(s)
1 ATM network interface(s)
32K bytes of non-volatile configuration memory.
8192K bytes of processor board System flash (Read/Write)

Configuration register is 0x2142


------------------ show running-config ------------------


Building configuration...

Current configuration : 1204 bytes
!
version 12.2
no parser cache
no service single-slot-reload-enable
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname Router
!
logging rate-limit console 10 except errors
enable secret 5
!
memory-size iomem 25
ip subnet-zero
!
ip dhcp pool myroute +++ aggiunto
network 192.168.5.0 255.255.255.0 +++ aggiunto
default-router 192.168.5.1 +++ aggiunto
!
no ip dhcp-client network-discovery
!
!
!
interface ATM0
no ip address
atm vc-per-vp 256
no atm ilmi-keepalive
pvc 8/35
encapsulation aal5mux ppp dialer
dialer pool-member 1
!
dsl operating-mode auto
no fair-queue
!
interface BRI0
no ip address
shutdown
!
interface FastEthernet0
ip address 192.168.5.1 255.255.255.0
ip nat inside
speed auto
!
interface Dialer0
ip address negotiated
ip nat outside
encapsulation ppp
dialer pool 1
ppp chap hostname myhostname
ppp chap password 7 112c45878979848897
ppp pap sent-username myhostname password 7 5848457895488457
!
ip nat inside source list 1 interface Dialer0 overload
ip classless
ip route 0.0.0.0 0.0.0.0 Dialer0
ip http server
!
access-list 1 permit 192.168.5.0 0.0.0.255
!
line con 0
line aux 0
line vty 0 4
password
login
!
end

[Hack3rAttack]

Ciao.
Mi permetto di risponderti per un motivo.
Dunque se hai tiscali su ADSL2 forse è questo il problema... io ho socperto che il router in questione non è compatibile con adsl2... poi ovviamente cisketto ne saprà di più sicuramente

[cisketto]

per aprire una porta nel router davi prima capire quuesto: IL NAT.
CXome avrai notato abbiamo messo sotto l'interfaccia Ethernet0 il comando:

Codice:

ip nat inside

e sotto l'interfaccia Dialer0 il comando:

Codice:

ip nat outside

Bene tu non devi fare altro che associare una porta di un host che sta dentro la rete tua(zona INSIDE) alla corrispettiva porta che sta sulla rete esterna(zona OUTSIDE). Tradotto in linguaggio comprensibile per l'IOS diventa:

Codice:

ip nat inside source static "tcp o udp" "ip interno computer" porta "interfaccia esterna" porta

vediamo se con un esempio è piu comprensibile: vogliamo aprire le porte TCP 4662 e UDP 4672 sul computer che ha indirizzo 192.168.1.2;allora diventera:

Codice:

ip nat inside source static tcp 192.168.1.2 4662 interface dialer0 4662
ip nat inside source static udp 192.168.1.2 4672 interface dialer0 4672

Ora ho sonno domani vedo di continuare il post e vediamo di sistemare il login al router.
Notte
P.S. questa è la risposta alla domanda sul muletto!!! cosi funge, da id alto e va come un treno!

[cisketto]

L'avevo gia detto in questo topic! cmq regge fino a 8Mbps in downstream e 1Mbps in upstream

[cisketto]

Quote:

Originariamente inviato da sikdog

Ho cercato di configurare il router ma nn ne vuole sapere di navigare allego la conf qualcuno mi può dare un'occhiata?
io oramai sono a massa !!

p.s. devo ammettere che ho apprezzato l'interfaccia web
(il cut & paste è fenomenale)

il mio isp è tiscali


Router
Home Exec Configure




------------------ show version ------------------

Cisco Internetwork Operating System Software
IOS (tm) C1700 Software (C1700-Y7-M), Version 12.2(2)T4, RELEASE SOFTWARE (fc3)
TAC Support: http://www.cisco.com/tac
Copyright (c) 1986-2002 by cisco Systems, Inc.
Compiled Sun 10-Feb-02 08:08 by yiyan
Image text-base: 0x800080E0, data-base: 0x807D3B7C

ROM: System Bootstrap, Version 12.0(3)T, RELEASE SOFTWARE (fc1)

Router uptime is 13 minutes
System returned to ROM by error - a SIGTRAP exception, PC 0x8016CB78
System image file is "flash:c1700-y7-mz.122-2.T4.bin"

cisco 1720 (MPC860) processor (revision 0x601) with 24576K/8192K bytes of memory.
Processor board ID *********MY (**********), with hardware revision 0000
M860 processor: part number 0, mask 32
Bridging software.
X.25 software, Version 3.0.0.
Basic Rate ISDN software, Version 1.1.
1 FastEthernet/IEEE 802.3 interface(s)
1 ISDN Basic Rate interface(s)
1 ATM network interface(s)
32K bytes of non-volatile configuration memory.
8192K bytes of processor board System flash (Read/Write)

Configuration register is 0x2142


------------------ show running-config ------------------


Building configuration...

Current configuration : 1204 bytes
!
version 12.2
no parser cache
no service single-slot-reload-enable
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname Router
!
logging rate-limit console 10 except errors
enable secret 5
!
memory-size iomem 25
ip subnet-zero
!
ip dhcp pool myroute +++ aggiunto
network 192.168.5.0 255.255.255.0 +++ aggiunto
default-router 192.168.5.1 +++ aggiunto
!
no ip dhcp-client network-discovery
!
!
!
interface ATM0
no ip address
atm vc-per-vp 256
no atm ilmi-keepalive
pvc 8/35
encapsulation aal5mux ppp dialer
dialer pool-member 1
!
dsl operating-mode auto
no fair-queue
!
interface BRI0
no ip address
shutdown
!
interface FastEthernet0
ip address 192.168.5.1 255.255.255.0
ip nat inside
speed auto
!
interface Dialer0
ip address negotiated
ip nat outside
encapsulation ppp
dialer pool 1
ppp chap hostname myhostname
ppp chap password 7 112c45878979848897
ppp pap sent-username myhostname password 7 5848457895488457
!
ip nat inside source list 1 interface Dialer0 overload
ip classless
ip route 0.0.0.0 0.0.0.0 Dialer0
ip http server
!
access-list 1 permit 192.168.5.0 0.0.0.255
!
line con 0
line aux 0
line vty 0 4
password
login
!
end

se i computer sono in DHCP non ti funziona la navigazione perche non hai impostato i server DNS sul router. il comando è

Codice:

ip name-server xxx.yyy.zzz.jjj

e va dato in modalita di configurazione dhcp.

[sikdog]

Grazie cisketto!
ma non riesco a trovare il dns di tiscali. E' così evidente!!!
Mi risparmieresti un po di navigazione per scoprire come fare.
Ho provano anche senza il dhcp e non funzionava. Credo che leggerò con attenzione gli ultimi messaggi.
Grazie a presto.
Approfitto per sapere quali sono i parametri me "minicom" in linux

[cisketto]

DNS Tiscali:
213.205.32.70
213.205.36.70

P.S. se hai ADSL 2 non funzionera mai!

[Hack3rAttack]

cisketto attendo (quando ti va e puoi) altre info per migliorare il router
Parlavi ieri che c'èra ancora molto da fare^^

[sikdog]

E indovina un po'. Grazie all'aiuto (spero non l'ultimo) di cisketto, sto navigando con il nuovo router cisco e va che è una bellezza.
Grazie.
Ora seguendo quello che avete scritto sopra (muletto e confurarazione in startup) posso spegnere e accendere il router quando voglio, (credo).
La prossima sfida è l'attacco dell'AP.

[Hack3rAttack]

Ok i comandi perle porte funzionano alla perfezione
Ora attendo altre info da cisketto in generale

[cisketto]

L'ACCESSO AL ROUTER

Nei router cisco ci sono tre modi per accedere: CONSOLE,AUX, e VIRTUAL TERMINAL(da ora in poi VTY). Parliamo in particolare dei VTY. Le linee VTY vengono usate per accedere da remoto al router, e supportano svariati protolli tra i quali figurano telnet(per tutti i modelli) e ssh(solo per i modelli con funzioni di crypto).
Definiamo un utente e una password per l'accesso al router con il comando:

Codice:

username xxxxxxxx secret yyyyyyyy

Piccola nota: ho usato "secret" al posto di "password" perche il comando secret utilizza una cifatura con algoritmo NON REVERSIBILE mentre password(sempre che avete abilitato il service password-encyption) utilizza un'algoritmo che è facilmente reversibile(c'è ne sono un botto di programmini che lo fanno)

andiamo al caso pratico, e vonfiguriamo l'accesso VTY

Codice:

line vty 0 4
 exec-timeout x y
 login local

spieghiamo meglio:

line vty 0 4= entra in modalita di configurazione VTY(i numeri li spiego dopo)
exec-timeout x y=imposta il timeout("x" sono i minuti e "y" i secondi)
login local=fa in modo che al momento della connessione il router faccia comparire un prompt che chiede username e password.

Addentriamoci ancora di piu!Quanti di voi gradirebbero che il router accetta connessioni telnet dall'esterno? be penso pochi a meno che non si abbiano esigenze particolari. Per proseguire con l'argomento devo introdurre uno strumento potentissimo che mette a disposizione l'IOS. le Access Control List(da ora in poi ACL).
Le ACL esistono di tanti tipi ma per i nostri scopi ne useremo solo 2: standard e extended. le ACL standard vengono identificate da un numero che va da 1 a 99 mentre le extended con un numero che va da 100 a 199.
SINTASSI DI UNA ACL STANDARD

Codice:

access-list "numero" "condizione" "indirizzo/indirizzi/any"

numero= da 1 a 99
condizione=puo essere permit oppure deny
indirizzo/indirizzi/any=contiene:host x.y.z.j un host
un indirizzo di rete con subnet per tutta la rete
any per tutti gli host

Capisco che possa non essere chiaro vediam con un esempio se è meglio.

@ Hack3rAttack

mettiamo di voler fare in modo che solo il tuo computer(192.168.1.2) possa connettersi via telnet al router.

definiamo una ACL che PERMETTA solo il tuoi indirizzo ip e NEGHI tutto il resto

Codice:

access-list 10 permit 192.168.1.2
access-list 10 deny any

Impostiamola per l'accesso in VTY

Codice:

enable 
configure terminal
line vty 0 4
access-class 10 in
exit
exit

con la dicitura

Codice:

access-class 10 in

gli abbiamo detto di controllare se le connessioni avvengono dal 192.168.1.2. se si allora si avvera la condizione PERMIT a accetta la connessione altrimenti passa allla seconda riga e vede DENY any quindi non permettera di connettersi

[Hack3rAttack]

Ottima spiegazione eseguo subito

Per quanto concerne invece la versione dell'IOS, a quanto ho capito è la 12.2 , com'è in base alla tua esperienza? Stabile?

Inoltre volevo chiderti , se c'è un modo via terminale di dire al router di abilitare l'interfacci adi configurazione web , anche se devo dire che via ocnsole cmq è abbastanza funzionale.

[cisketto]

Quote:

Originariamente inviato da Hack3rAttack

Ottima spiegazione eseguo subito

Per quanto concerne invece la versione dell'IOS, a quanto ho capito è la 12.2 , com'è in base alla tua esperienza? Stabile?

Inoltre volevo chiderti , se c'è un modo via terminale di dire al router di abilitare l'interfacci adi configurazione web , anche se devo dire che via ocnsole cmq è abbastanza funzionale.

Te lo dico seza mezzi termini: è anteguerra!

Siamo arrivati alla 12.4 stabile, e sono stati risolti dei bug presenti nelle vecchie versioni!
dato che hai il soho 97 qusta è l'ultima disp per il tuo:

soho97-k9oy1-mz.12.3-11.YZ1.bin della 12.3(11)YZ1 che supporta anche il crypto
soho97-oy1-mz.12.4-4.T4.bin della 12.4(4)T4 senza funzioni di crypto

[Hack3rAttack]

OK.
Ti faccio 2 domande.

1) QUindi dicevo senza sicurezza etc, diciamo che se tu o qualcun altro conoscnedo il mio indirizzo IP esterno può accedere alla config del router?

2)La verison dell'IOS aggiornata considerando che ho preso il router sottobanco è possibile averla attraverso vie "alternative" ? (ti ho mandato in pvt i nomi dei bin che ho trovato io)

DImmi se potrebbero essere adatti, sono di circa 5-6 mb, ed eventualmente sono difficili da installare?

[cisketto]

se hai apportato le mod che ho fatt con l'ultimo post, il router accetta connessioni in terminale solo e soltanto dal tuo PC(l'abbiam scritto nell'access-list 10)
Per quanto riguarda come fare l'installazione dell'ios ti basta solo un TFTP server nel tuo computer ed il gioco è fatto!
Hai un msg PVT

[mazzy]

Quote:

Originariamente inviato da cisketto

Per quanto riguarda come fare l'installazione dell'ios ti basta solo un TFTP server nel tuo computer ed il gioco è fatto!

TFTP non un FTP, sono 2 cose diverse .
Posso consigliare Pumpkin, freeware : http://downloads.pcworld.com/pub/new...umpkin-2.5.zip

Ma se non riesci a farli dialogare prova a cercare con google altri, nel tempo il client TFTP delle cisco e' stato modificato, e un server tftp puo' andare su alcuni modelli ed avere problemi su altri.