Posts com a tag: IOS

Carregando o IOS de um servidor TFTP

comments Seja o primeiro a comentar
Por , 23/08/2011 15:43

Normalmente o software (IOS) dos roteadores Cisco ficam armazenados na memória flash. Mas em alguns casos pode ser necessário ou recomendado, deixar o IOS em um TFTP Server.

Armazenando o software em um servidor TFTP você ganha espaço na flash, e garante que em caso de falha desta memória, o equipamento ainda consiga iniciar normalmente. Quando você tem vários equipamentos, também pode garantir que todos vão utilizar o mesmo software.

Por outro lado, uma desvantagem de armazenar o IOS no TFTP, é o tempo que o equipamento levará para inicializar. Como ele terá que fazer o download, o tempo será maior.

Para não ter problemas,  você precisa garantir que o TFTP vai estar funcionando e acessível a partir dos roteadores, quando eles forem inicializar.

O processo o boot

Antes de vermos a configuração para utilizar um IOS a partir do servidor TFTP, vamos entender o processo de boot do roteador.

1) Imediatamente após ser ligado o roteador verifica como o hardware está. Para isso ele realiza o POST – Power On Self Test, que fica armazenado na ROM;

2) Depois roda o bootstrap, software também armazenado na ROM. O bootstrap é o responsável por procurar e carregar o IOS, que pode estar na própria ROM (pode ser uma versão limitada), na flash ou em um TFTP Server. Para isso ele verifica o “Configuration Register Value”, na NVRAM;

3) O IOS é carregado e procura por um arquivo de configuração válido, armazenado na NVRAM (startup-config), ou também no TFTP. Se encontrar, o arquivo é carregado para a DRAM como running-config. Se não encontrar o roteador inicia “zerado”.

Configurando o roteador para usar o TFTP Server

Considerando que o roteador não possui um IOS na flash, vamos entrar em modo rommon e configurar as variáveis para que ele possa encontrar o IOS no TFTP.

IOS_TFTP

Ligue o roteador e quando ele começar a bootar pressione ctrl+break, para entrar no modo rommon

! Definina o IP do roteador (interface F0/0, por padrão)

rommon 1 > IP_ADDRESS=192.168.1.1

! Máscara da interface

rommon 2> IP_SUBNET_MASK=255.255.255.0

! Default-gateway para o roteador

rommon 3 > DEFAULT_GATEWAY=192.168.1.30

! Informe o IP do TFTP Server

rommon 4 > TFTP_SERVER=192.168.1.30

! Coloque o nome do IOS

rommon 5 > TFTP_FILE=c2801-advsecurityk9-mz.124-21.bin

! Reinicie o roteador 

rommon 6> tftpdnld –r

Observações sobre o ROMMON:

  • O –r faz com que o roteador carregue o IOS, mas não salve ele na flash;
  • É possível mudar a interface padrão com o comando FE_PORT=1;
  • O gateway só será usado se o TFTP Server estiver em outra rede, mas é obrigatória sua configuração (DEFAULT_GATEWAY), mesmo se estiver se estiver na mesma rede;
  • Para verificar se a configuração está correta correta basta digitar o comando set.

Depois que o roteador inicializar, no modo de configuração global, utilize o comando boot system para especificar o local onde está o IOS.

Definindo de onde o IOS deve ser carregado

boot system tftp://192.168.1.30/c2801-advsecurityk9-mz.124-21.bin

Até a próxima.

categories Cisco, IOS, Routers | tags , , , ,

Verificando erros nas interfaces

comments (4) Comentários
Por , 03/02/2011 15:45

Encontrei essa boa dica no tekcert.com.

Para verificar a quantidade de erros nas interfaces de um switch Cisco utilize o comando show interfaces | include FastEthernet|error.

Com este comando temos um resumo, com todas as interfaces, quantidade e tipo de erro.

Exemplo: Usando o comando show interfaces | include FastEthernet|error

BrainSW01#show interfaces | include FastEthernet|error
     0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored
     0 output errors, 3 interface resets
     0 input errors, 0 CRC, 0 frame, 0 overrun, 144 ignored
     0 output errors, 2 interface resets
FastEthernet0/1 is up, line protocol is up (connected)
     0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored
     0 output errors, 0 collisions, 2 interface resets
FastEthernet0/2 is down, line protocol is down (notconnect)
     0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored
     0 output errors, 0 collisions, 2 interface resets
FastEthernet0/3 is down, line protocol is down (notconnect)
     0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored
     0 output errors, 0 collisions, 2 interface resets
FastEthernet0/4 is down, line protocol is down (notconnect)
     0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored
     0 output errors, 0 collisions, 2 interface resets
FastEthernet0/5 is up, line protocol is up (connected)
     0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored
     0 output errors, 0 collisions, 2 interface resets
FastEthernet0/6 is down, line protocol is down (notconnect)
     0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored
     0 output errors, 0 collisions, 2 interface resets
FastEthernet0/7 is down, line protocol is down (notconnect)
     0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored
     0 output errors, 0 collisions, 2 interface resets
FastEthernet0/8 is up, line protocol is up (connected)
     0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored
     0 output errors, 0 collisions, 2 interface resets
FastEthernet0/9 is up, line protocol is up (connected)
     0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored
     0 output errors, 0 collisions, 2 interface resets
FastEthernet0/10 is down, line protocol is down (notconnect)
     0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored 
–More–

Além de trazer exclusivamente as informações buscadas, fica fácil fazer um comparativo entre as interfaces e identificar se alguma está fugindo do padrão.

Até a próxima.

categories Cisco, Dicas, IOS, Switches, Uteis | tags , , ,

Restaurando o access-point

comments Seja o primeiro a comentar
Por , 28/09/2010 11:50

Nos access-points Cisco, das séries 1100 e 1200, quando ocorre uma falha no IOS (ou quando você deleta a imagem sem querer) podemos restaurar a imagem usando o botão MODE ou via linha de comando, através do “ap mode”.

Na primeira opção, via botão MODE, podemos fazer o upload através da rede, sendo necessário apenas um servidor TFTP com o novo IOS e conexão de rede entre o PC e o AP.

Recuperando o access-point através do botão MODE:

 AP e PC com TFTP

Antes de continuar cuidado: Este procedimento fará todas as configurações voltarem aos padrões de fábrica, resetando inclusive chaves WEP/WPA, senhas e SSIDs.

1°) Configure um IP do range 10.0.0.2 a 10.0.0.30 no PC com o TFTP Server.

2°) Conecte o cabo de rede entre o PC e o AP.

3°) Desligue o access-point, segure a botão MODE e ligue o AP. Mantenha o botão MODE pressionado por cerca de 30 segundos, então solte-o.

4°) Espere o access-point bootar, observando os leds. Todos devem ficar verdes e em seguida o led status piscará verde.

5°) Pronto, você já pode acessar o access-point, via linha de comando ou Web-browser (usando o IP padrão de fabrica).

Se este processo não funcionar, você pode tentar via “ap mode”. Este modo é representado pelo prompt ap:, e é semelhante ao “switch mode” (switch:).

Recuperando o access-point através do AP MODE:

AP e PC com TFPT

1°) Acesse a console do access-point, desligue e ligue o AP. Quando começar a descomprimir a imagem, pressione ESC.

2°) Você verá o prompt ap:, onde será possível configurar um IP, máscara e gateway no AP.

  • ap: set IP_ADDR 192.168.0.5
    ap: set NETMASK 255.255.255.0
    ap: set DEFAULT_ROUTER 192.168.0.1

ÉOBRIGATÓRIO o uso de letras maiúsculas, como indicado acima.

3°) Prepare o access-point para usar o TFTP.

  • ap: tftp_init

4°) Agora entre com o comando para fazer o download da imagem (.tar) do TFTP server e descompactá-la na flash.

  • ap: tar -xtract tftp://192.168.0.1/c1240-rcvk9w8-tar.123-7.JX9.tar flash:

5°) Começará a ser exibida a descompactação dos arquivos. Quando o terminal ficar cheio e aparecer a mensage —More—, pressione a barra de espaço. Isto é muito importante, pois o processo para e aguarda você pressionar a barra de espaço para continuar. Se a barra de espaço não for pressionada pode dar timeout no processo.

6°) Indique o novo IOS para ser usado no boot.

  • ap: set BOOT flash:/c1240-rcvk9w8-tar.123-7.JX9/c1240-rcvk9w8-tar.123-7.JX9

7°) Verifique as configurações de boot, com o comando set.

  • ap: set
    BOOT=flash:/c1240-rcvk9w8-tar.123-7.JX9/c1240-rcvk9w8-tar.123-7.JX9
    DEFAULT_ROUTER=192.168.133.1
    IP_ADDR=192.168.133.160
    NETMASK=255.255.255.0

8°) Se estiver tudo Ok basta dar o comando boot para o access-point inicializar com a nova imagem.

  • ap: boot

O documento original para este procedimento pode ser encontrado aqui.

Até a próxima.

categories Cisco, Configuração, Uteis, Wireless | tags , , , , ,

Cisco IOS free para estudo?

comments (4) Comentários
Por , 13/07/2010 10:18

O Marco Felippeti, do blog CiscoCertified, informou que o Ethereal Mind lançou uma petição online para arrecadar “assinaturas” e posteriormente enviar à Cisco, solicitando que seja liberada uma versão do IOS para estudo/prática.

A discução não é nova, mas até agora a Cisco não decidiu o que fazer. Ela sempre alegou que com a liberação de uma versão free o número de chamados em seu suporte aumentaria.

Imagino que outra preocupação seria a utilização desta versão em ambientes em produção.

Por outro lado, a concorrencia tem aumentado, e liberar uma versão para estudo seria uma forma de se fortalecer no mercado.

De qualquer maneira, já que somos parte interessada, devemos colaborar aderindo a petição. Basta acessar o link http://etherealmind.com/petition/ informar o nome e seu endereço de email.

Como diz parte do texto “Quer sejamos revendedores, consultores, estudantes ou simplesmente interessados em aprender, todos nós precisamos de um método prático para acessar o IOS e praticar”.

Até a próxima.

categories Cisco, Dicas, Uteis | tags , , ,

IOS no Black Hat

comments (2) Comentários
Por , 29/09/2009 07:35

No Black Hat 2009 EUA (evento com foco em vulnerabilidades), realizado em Las Vegas, uma das palestras foi Router Exploitation, apresentada por Felix FX Lindner. A apresentação foi focada no IOS, software que roda nos roteadores Cisco, mas também citou outros fabricantes.

Abaixo selecionei alguns pontos interessantes da palestra:

  • Apenas 14 vulnerabilidades, no IOS, foram publicadas em 2008; (good)
  • Poucas funcionalidades podem ser exploradas remotamente; (good)
  • A arquitetura do IOS torna a exploração de falhas mais difícil; (good)
  • Roteadores com sistema baseado em Unix são fáceis de serem atacados; (bad)
  • Exceções não são tratadas, e fazem o equipamento reiniciar; (bad)
  • Brechas de segurança em uma versão de IOS podem não existir para demais versões, assim ataque devem ser feitos especificamente para cada versão de IOS (e existem mais de 272.000 versões…);(good)

OS Architectures Comparison

Apesar da relativa segurança encontrada no IOS, muitos ataques podem ser realizados a aplicações específicas, que podem estar rodando no equipamento, como HTTP, FTP e TFTP.

A última parte da apresentação mostrou algumas dicas para proteger o roteador:

  • O tráfego destinado ao próprio equipamento deve ser bloqueado, liberando apenas o tráfego de gerência;
  • Os protocolos de roteamento devem ser utilizados com autenticação;
  • Os serviços não utilizados devem ser desabilitados;
  • Não utilizar VoIP em roteadores expostos (“de cara” para a Internet);
  • Monitorar os logs gerados pelos equipamentos;
  • Atualizar o software sempre que possível;

A apresentação pode ser vista neste link, e outras medidas para melhorar a segurança nos roteadores também podem ser encontradas aqui no brainwork, navegue a vontade ;) .

Até a próxima.

categories IOS, Routers, Segurança, Uteis | tags , , ,

Tema Brainwork 0.2(beta)