2009 July | brainwork´s blog

Teclas de atalho no IOS

Por André Ortega, 31/07/2009 06:42

Quando fiz a prova do CCNA, há alguns anos atrás, era parte do conteúdo a ser estudado as teclas de atalho do IOS. Até caiu na minha prova uma questão do tipo:

“Você conectou-se em um roteador e no modo de configuração global digitou um determinado comando. No entanto não era o que você precisava, e agora você tem que remover este comando. Como você faz isso com o menor esforço possível?

a) seta para cima, depois ctrl+a e digite no antes do comando
b) seta para cima, depois ctrl+e e digite no antes do comando
b) seta para cima, depois seta esquerda até o início da linha e digite no antes do comando”

Independente de fazer parte do conteúdo da prova ou não, as teclas de atalho facilitam o dia-a-dia de quem trabalha com equipamentos rodando o IOS (alias acabam sendo utilizadas instintivamente…), assim, segue abaixo uma tabela com os atalhos e funções.

Tecla / Combinação	Função
ctrl+a	Move o cursor para o início da linha (beginning of line??)
ctrl+b ou seta esquerda	Move o cursor um caractere para trás (back character)
ctrl+c	Interrompe comando ou “prompt de diálogo”
ctrl+d	Deleta o caractere onde está o cursor (delete character)
ctrl+e	Move o cursor para o fim da linha (end of line)
ctrl+f ou seta direita	Move o cursor um caractere para frente (forward character)
ctrl+k	Deleta a partir de onde está o cursor até o fim da linha
ctrl+l ou ctrl+r	Repete a linha de comando em uma nova linha (redisplay currente command)
ctrl+n ou seta para baixo	Apresenta a próxima comando armazenado no “history buffer”
ctrl+p ou seta para cima	Apresenta o comando anterior, armazenado no “history buffer”
ctrl+u ou ctrl+x	Deleta a partir do cursor até o início da linha
ctrl+t	Transporta o caractere uma casa para a trás (transport character)
ctrl+w	Deleta a última palavra digitada (delete word)
esc, b	Faz o cursor voltar um palavra (back word)
esc, d	Deleta a partir do cursor até o fim da palavra
esc, f	Faz o cursor avançar uma palavra na linha (forward word)
backspace	Apaga um caractere
tab	Completa o comando

* O “+” representa que as teclas devem ser pressionadas em conjunto, e a “,” indica que que deve ser pressionadas na seqüência.

Acho que essas são a principais, e se alguém conhecer outras teclas de atalhos compartilhe através dos comentários.

Até a próxima.

Leia também:

Compartilhe:

Dicas, IOS, Routers, Switches, Uteis, Wireless | atalhos, Keystrokes, Teclas de atalho IOS

ACL Reflexiva

Seja o primeiro a comentar

Por Rafael Leão, 28/07/2009 12:00

Feature do Cisco IOS introduzida na versão 11.3, tem a capacidade de filtrar o tráfego baseada nas informações da camada de sessão do modelo OSI, e não somente portas TCP/UDP e endereço IP; ou seja, se os comunicantes alterarem as portas de comunicação durante a conexão, as informações da sessão permitem o tráfego, e associam dinamicamente as portas a esta access-list.

O administrador a nomeia e a destina a inspecionar o tráfego definido em uma lista de acesso de para tráfego outbound (tráfego de resposta, seja TCP, UDP, ICMP, etc.), suplementar a lista em sentido inbound aplicada a uma interface. Então, a lista reflexiva é indicada nesta lista inbound, para que as informações de sessão/conexão sejam consideradas, e o fluxo de dados não pare.

Pré-Requisitos de seu funcionamento:
- As ACLs devem ser IP;
- Deve ser do tipo extendida e nomeada.

No exemplo seguinte, implementaremos uma regra que limita o tráfego entre dois hosts somente via TFTP/UDP. A sessão poderá ser iniciada somente pelo host BrainRT01 (200.20.20.1), e a lista de accesso será aplicada na interface 200.20.20.2 de BrainRT02.

Topologia

Configuração:

! criando a access-list que define o tráfego entre os dois hosts
ip access-list extended TFTP_Only
permit udp host 200.20.20.1 host 172.30.1.10 eq tftp
! definindo a lista de acesso reflexiva que esta lista consultará para inspecionar a sessão
evaluate TFTP_Reflect
! tornando explícito o “deny all”
deny ip any any
! criando a access-list em que será definido o tipo tráfego, neste caso UDP, entre os dois hosts
! no sentido outbound, e que será lida pela access-list reflexiva “TFTP_Reflect”
ip access-list extended TFTP_Return
permit udp host 172.30.1.10 host 200.20.20.1 reflect TFTP_Reflect
! estabelecendo o timeout das conexões inspecionadas
ip reflexive-list timeout 120
interface Serial0
ip access-group TFTP_Only in
ip access-group TFTP_Return out

Após ser implementada, BrainRT01 não poderá acessar de nenhuma forma, a não ser via TFTP o servidor 172.30.1.10. Para analisarmos seu funcionamento, tentamos dar um ping no servidor TFTP por BrainRT01, e BrainRT02 responde com “Destination Unreachable” (U). Porém o tráfego TFTP ocorre normalmente. Observe os counters das ACL e o log do servidor com atenção.

Access-list com os contadores zerados

BrainRT02#show access-list
Extended IP access list TFTP_Only
10 permit udp host 200.20.20.1 host 172.30.1.10 eq tftp
20 evaluate TFTP_Reflect
30 deny ip any any
Reflexive IP access list TFTP_Reflect
Extended IP access list TFTP_Return
10 permit udp host 172.30.1.10 host 200.20.20.1 reflect TFTP_Reflect
BrainRT02#

Teste de ping de BrainRT01 ao servidor TFTP

BrainRT01#ping 172.30.1.10

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.30.1.10, timeout is 2 seconds:
U.U.U
Success rate is 0 percent (0/5)
BrainRT01#

Contadores da access-list após o ping

BrainRT02#show access-list
Extended IP access list TFTP_Only
10 permit udp host 200.20.20.1 host 172.30.1.10 eq tftp
20 evaluate TFTP_Reflect
30 deny ip any any (11 matches)
Reflexive IP access list TFTP_Reflect
Extended IP access list TFTP_Return
10 permit udp host 172.30.1.10 host 200.20.20.1 reflect TFTP_Reflect
BrainRT02#

Acesso de BrainRT01 ao servidor TFTP

BrainRT01#copy running-config tftp:
Address or name of remote host []? 172.30.1.10
Destination filename [brainrt01-confg]?
!!
737 bytes copied in 4.240 secs (174 bytes/sec)
BrainRT01#

Contadores da access-list após o acesso TFTP

BrainRT02#show access-list
Extended IP access list TFTP_Only
10 permit udp host 200.20.20.1 host 172.30.1.10 eq tftp (5 matches)
20 evaluate TFTP_Reflect
30 deny ip any any (11 matches)
Reflexive IP access list TFTP_Reflect
permit udp host 200.20.20.1 eq 64158 host 172.30.1.10 eq 2275 (5 matches) (time left 85)
permit udp host 200.20.20.1 eq 63651 host 172.30.1.10 eq 2273 (5 matches) (time left 55)
Extended IP access list TFTP_Return
10 permit udp host 172.30.1.10 host 200.20.20.1 reflect TFTP_Reflect (9 matches)
BrainRT02#

Observe que acima aparecem duas regras na ACL TFTP_Reflect, que indicam as portas que os hosts usaram para se comunicar, e o time left, que representa o tempo que o router considera para manter a conexão. Após este tempo se exceder, as regras dinâmicas são removidas da ACL, e seus contadores são zerados.

Agora compare os logs acima com os do servidor TFTP e observe a correlação com a ACL reflexiva.

Log do Servidor TFTP

Espero que tenha ajudado. Até breve!

Leia também:

Compartilhe:

Configuração, Geral, Routers, Segurança | ip access-list ; reflexive acl ;

Configurando usuário e senha para o roteador

Só um comentário

Por André Ortega, 27/07/2009 06:50

O básico para autenticação do acesso remoto a um roteador é a senha de enable, e a senha especificada para o método de acesso (console, auxiliar, Telnet, SSH,…). Assim normalmente é configurado o seguinte:

Exemplo: configuração sem a verificação de usuário para acesso Telnet:

! Entre no modo de configuração global
BrainRT01#conf t
! Crie a senha de enable
BrainRT01(config)#enable secret cisco
! Entre na line (onde é configurado o acesso Telnet)
BrainRT01(config)#line vty 0 4
! Cadastre a senha que será usada para telnet
BrainRT01(config-line)#password 123cisco
BrainRT01(config-line)#end
BrainRT01#

No entanto, com a configuração acima o usuário seria indagado apenas sobre a senha de acesso (que foi configurada na line) e a senha de enable, que é utilizada para entrar no modo de configuração privilegiado. Observe que o roteador não perguntou o nome do usuário para o acesso.

Acesso apenas com a senha

Para configurar o equipamento para pedir o usuário e senha, além do enable, precisamos primeiro criar no roteador um usuário (neste exemplo será configurada autenticação local). Depois basta ativar o AAA (authentication, authorization e accounting), e especificar o método de autenticação. Com estas configurações o roteador passará a solicitar usuário a quem estiver realizando o acesso.

Exemplo: Configurando usuário e senha para o roteador

! Entre no modo de configuração global
BrainRT01#conf t
! Crie um usuário e sua respectiva senha (neste exemplo o usário tem privilégio total – 15)
BrainRT01(config)#username brainwork privilege 15 password cisco123
! Habilite o aaa
BrainRT01(config)#aaa new-model
! Especifique que para o login deve ser usada a base de autenticação local
BrainRT01(config)#aaa authentication login default local
BrainRT01(config)#end
BrainRT01#

Com esta configuração o equipamento passará a pedir usuário e senha, quando o acesso remoto for realizado e ter um usuário e senha para cada usuário que acessa o equipamento.

Acesso com usuário e senha

Com a diferenciação entre os usuários podemos ter níveis de acesso diferenciado (authorization) e monitorar quem logou no equipamento, quando e o que fez (accounting). E além da base de usuário local, também podemos usar um servidor externo Radius ou TACACS para o AAA.

Até a próxima.

Leia também:

Compartilhe:

IOS, Routers, Uteis | AAA, autenticação, authentication, Login, senha, usuário

ASA k8 ou k9?

(2) Comentários

Por André Ortega, 23/07/2009 09:34

Existe apenas um hardware e um software para cada modelo de ASA. Ou seja, para todo ASA 5510 é o mesmo hardware e software (claro que existem as versões, mas toda versão 8.0 é igual…), assim como para o ASA5505, ASA5520 e demais modelos. Podemos dizer que todo ASA é “k8” por padrão.

O "k9" no nome do equipamento, indica especificamente o uso de uma licença adicional e GRATUITA que habilita, unicamente, o algoritmo de criptografia 3DES (mais seguro, já que utiliza 168 bit, ao invés dos 56 do DES) normalmente utilizado para configuração de VPN.

Podemos confirmar isso conectando em um equipamento ASA "k9" e dar o comando dir. Observe que vai aparecer o nome do software por ele utilizado com a indicação “k8” (algo do tipo asa821-k8.bin).

Qual a diferença de comprar o ASA “k9” e o ASA “k8”?

Quando você adquiri o ASA “k9” ele já vem da Cisco com a licença para criptografia 3DES inclusa. Já o “k8” vem apenas com o DES habilitado, e você, se quiser, tem que adicionar o licença. Para isso, com o equipamento em mãos basta entrar no site da Cisco (www.cisco.com/go/license) e baixar a licença, transformando o ASA “k8” em “k9” (leia-se habilitar a criptografia 3DES).

Já que é gratuito e mais seguro, por que não usar apenas o “k9” direto?

O governo americano controla rigidamente a exportação de produtos que utilizam criptografia avançada, como é o caso do 3DES, para o nosso país (parece que não somos vistos com bons olhos… ).

Uma das normas desse controle impede que os distribuidores/revendas armazenem produtos com este protocolo de criptografia, já que eles só podem sair do EUA quando o cliente final é conhecido.

Assim só existe em estoque o produto “k8” e quando é vendido, o próprio cliente ou a revenda realiza o cadastro do cliente no site do fabricante e baixa a licença, transformando o equipamento em “k9”.

Como saber se o ASA é “k8” ou “k9”?

Para saber se o dispositivo é "k8" ou "k9" digite show version e verifique se o 3DES está habilitado. Se tiver é "k9".

ASA "k9"

Se você comprar um ASA, mesmo que seja k8 pode pedir para o vendedor a licença 3DES, ou fazer a “transformação” sozinho.

Até a próxima.

Leia também:

Compartilhe:

Dicas, Informação, Segurança, Uteis, firewall | 3DES, ASA, DES, k8, k9, licença

Níveis de Acesso: CLI View – Role-Based Access

Só um comentário

Por Rafael Leão, 22/07/2009 11:55

A administração de rede das organizações pode ter diversos administradores, e cada um deles pode ter diferentes tipos de acesso. Para criá-los, podemos usar os niveis de privilégio ou a enable view; é de costume usar-se os níveis de privilégio. Mas por este meio não temos o controle tão detalhado como na enable view.

A view da CLI é uma feature do Cisco IOS, que permite ao administrador especificar exatamente quais comandos e interfaces um grupo de adminstradores têm acesso. O IOS permite 15 views diferentes em cada dispositivo.

Root-View: Equivale ao privilégio exec nível 15. Quando o usuário se loga com este nível, a permissão para criação e manipulação das views é adicionada.

Pré-requisitos para a criação das views:
    – Senha de "enable" (usada para logar na root view);
    – AAA habilitado no router/switch;
    – Logar-se na "root view", com a senha de enable

Configuração:
    ! habilitando o AAA
    aaa new-model
    ! configurando senha do enable
    enable secret brainwork
    end
    ! logando na root view. Aqui será pedida a senha de enable
    enable view
    configure terminal
    ! criando a view nomeada "guest"
    parser view guest
    ! antes de tudo, na view é necessária a configuração da senha
    secret cisco
    ! no modo de configuração global, a view dará acesso aos seguintes comandos:
    ! end
    commands configure include all end
    ! interface fastethernet0
    commands configure include interface
    commands configure include all interface fastethernet0
    ! no modo de configuração e acesso à interfaces, a view dará acesso aos seguintes comandos:
    ! fastethernet (acesso somente à esta interface)
    commands interface include all fastethernet
    ! e o número da interface (para ser reconhecido pela CLI)
    commands interface include all 0
    ! no modo exec, qualquer comando iniciado com:
    ! telnet
    commands exec include all telnet
    ! comando logout
    commands exec include all logout
    ! debug icmp, apenas nesta view. Parâmetro especificado pelo comando "include-exclusive"
    commands exec include-exclusive debug ip icmp
    ! entrada ao modo de configuração global
    commands exec include configure terminal
   ! undebug
    commands exec include all undebug
    ! e show ip interface brief
    commands exec include show ip interface brief
    end
    write memory

Para testarmos a view guest, devemos logar nela, usando o comando enable view guest. Será pedida a senha, e o login será efetuado com sucesso. A partir daí, estarão presentes somente os comandos acima especificados.

Feita a configuração, o output do show running-config exibirá o seguinte:

    BrainRT#show run | begin parser
    parser view guest
     secret 5 $1$yI7R$kSW4QghsnDJnFVWgVrbGY/
     commands configure include all end
     commands configure include interface
     commands exec include all telnet
     commands exec include configure terminal
     commands exec include configure
     commands exec include-exclusive undebug ip icmp
     commands exec include undebug ip
     commands exec include all undebug
     commands exec include show ip interface brief
     commands exec include show ip interface
     commands exec include show ip
     commands exec include show
     commands exec include all logout
     commands exec include-exclusive debug ip icmp
     commands exec include debug ip
     commands exec include debug
     commands configure include all interface FastEthernet0
    !
    !
    end

BrainRT#

Observe que no output, alguns comandos não colocados em nossa configuração aparecem; estes são inclusos automaticamente, como por exemplo, "show ip interface brief".

Obs.: neste laboratório foi usado um Cisco Router 1721.

Para mais informações: http://www.cisco.com/en/US/docs/ios/12_3t/12_3t7/feature/guide/gtclivws.html

Espero que ajude. Até breve!

Leia também:

Compartilhe: