30/04/2009
Dos casos de recuperación con Cisco ASA
En ésta práctica veremos dos tipos de recuperación:
- Recuperación de la contraseña Enable.
- Recuperación de una imagen borrada.
Si por algún motivo olvidamos la contraseña Enable, todavía tenemos la posibilidad de reescribirla siguiendo el proceso que explicamos a continuación.
La serie 5500 de dispositivos ASA de Cisco utilizan un registro de configuración para definir la configuración de arranque del dispositivo.
Por defecto, el arranque normal utiliza un registro de configuración con valor 0x1. Si queremos arrancar el dispositivo y que no cargue en RAM el fichero de configuración almacenado en la NVRAM y que contiene la contraseña olvidada, debemos modificar el registro de configuración al valor 0x41.
El primer problema lo encontramos cuando intentamos modificar este registro de configuración. Para poder modificarlo tenemos que entrar en modo privilegiado y es imposible entrar sin introducir la contraseña Enable.
Por lo tanto, tenemos que modificar el registro de configuración de otra forma, por ejemplo desde el modo ROMMON.
Para entrar en modo ROMMON, reiniciamos el ASA y presionamos la tecla ESC. Una vez dentro:
rommon #0> confreg 0x41 rommon #1> boot
Cuando aparece el prompt, entramos en modo privilegiado, después en modo configuración, copiamos el fichero de configuración de la NVRAM a la RAM, cambiamos la contraseña de Enable, reestablecemos el registro de configuración a 0x1, copiamos la configuración activa a la NVRAM y reiniciamos el dispositivo.
ciscoasa> enable ciscoasa# configure terminal ciscoasa(config)# copy startup-config running-config ciscoasa(config)# enable password nueva_contraseña ciscoasa(config)# config-register 0x1 ciscoasa(config)# copy running-config startup-config ciscoasa# reloadRecuperación de imagen borrada.
Si por algún motivo borramos la imagen de la flash o la misma se corrompe, el ASA no puede arrancar.
Una forma de copiar una nueva imagen consiste en entrar en modo ROMMON y obtenerla desde un servidor TFTP.
Para ello seguiremos los siguientes pasos:
- Utilizamos un PC para conectarnos por consola al ASA.
- En nuestro caso, conectaremos el ASA y el servidor TFTP a un router.
- Configuramos la información de red del router y del servidor TFTP
- Verificamos que el servidor TFTP contiene la imagen que necesita el ASA.
- Arrancamos el servicio TFTP.
- Arrancamos el ASA y entramos en modo ROMMON presionando la tecla ESC.
- Configuramos las variables de red necesarias para transferir la imagen,
que se cargará en la RAM del ASA, del servidor TFTP.
rommon #0> ADDRESS=192.168.1.1 rommon #1> SERVER=192.168.2.1 rommon #2> GATEWAY=192.168.1.2 rommon #3> IMAGE=asa.bin rommon #4> PORT=Ethernet0/0 rommon #5> tftp
- Cuando aparece el prompt, iniciamos una sesión de forma habitual.
- Tenemos que tener en cuenta que todavía no hemos copiado la imagen del TFTP a la memoria FLASH, sólo hemos arrancando el ASA desde la red.
- Finalmente, configuramos la información de red y copiamos la imagen a la
memoria FLASH del ASA.
ciscoasa# configure terminal ciscoasa(config)# interface Ethernet0/0 ciscoasa(config-if)# ip address 192.168.1.1 255.255.255.0 ciscoasa(config-if)# no shutdown ciscoasa(config-if)# nameif inside ciscoasa(config-if)# security-level 100 ciscoasa# copy tftp:asa.bin flash:asa.bin
08/04/2009
Policy-based routing (PBR)
Habitualmente estamos acostumbrados a que las decisiones de enrutamiento se basen en la dirección de destino de los paquetes. PBR permite sobreescribir la tabla de enrutamiento para cambiar la ruta que el tráfico sigue. PBR es de las más versátiles y potentes opciones de configuración en los routers Cisco. Tiene un gran parecido a las sentencias "Si condición Entonces acción" de los lenguajes de programación. La lógica de los mapas de rutas es la siguiente:
route-map MiRuta permit 10 match MiCondicion_1 set MiAcción_1 route-map MiRuta permit 20 match MiCondicion_2 set MiAccion_2 set MiAccion_3 route-map MiRuta permit 30 match MiCondicion_3 Micondicion_4 set MiAccion_1 set MiAccion_2 set MiAccion_4 route-map MiRuta deny 65536 match MiCondicion_5
El orden de comprobación de secuencias es 10, 20, 30 y finalmente 65536. Cuando la condición de una secuencia concuerda se ejecuta la acción asociada y no se comprueban más secuencias.
En la siguiente práctica veremos cómo podemos controlar totalmente la ruta que sigue un paquete desde el origen al destino sin utilizar protocolos de enrutamiento, rutas estáticas o rutas por defecto en los routers. Utilizaremos la siguiente topología:
Si no utilizáramos PBR la ruta que seguirían los paquetes ICMP desde pc a router5 sería la siguiente:
Pero utilizando PBR podemos modificar la ruta de la siguiente forma:
Configuración de router1:
hostname router1 ! interface FastEthernet0 ip address 192.168.0.2 255.255.255.0 ip policy route-map RutaIda ! interface Serial0 ip address 192.168.1.1 255.255.255.0 clock rate 56000 ! interface Serial1 ip address 192.168.5.1 255.255.255.0 clock rate 56000 ip policy route-map RutaVuelta ! interface Serial2 ip address 192.168.4.2 255.255.255.0 clock rate 56000 ! access-list 1 permit ip 192.168.0.1 access-list 2 permit ip 192.168.5.2 ! route-map RutaIda permit 10 match ip address 1 set ip next-hop 192.168.1.2 ! route-map RutaVuelta permit 10 match ip address 2 set ip next-hop 192.168.4.1 ! end
Configuración de router2:
hostname router2 ! interface Serial0 ip address 192.168.1.2 255.255.255.0 ip policy route-map RutaIda ! interface Serial1 ip address 192.168.2.1 255.255.255.0 clock rate 56000 ip policy route-map RutaVuelta ! access-list 1 permit ip 192.168.0.1 access-list 2 permit ip 192.168.5.2 ! route-map RutaIda permit 10 match ip address 1 set ip next-hop 192.168.2.2 ! route-map RutaVuelta permit 10 match ip address 2 set ip next-hop 192.168.1.1 ! end
Configuración de router3:
hostname router3 ! interface Serial0 ip address 192.168.2.2 255.255.255.0 ip policy route-map RutaIda ! interface Serial1 ip address 192.168.3.1 255.255.255.0 clock rate 56000 ip policy route-map RutaVuelta ! access-list 1 permit ip 192.168.0.1 access-list 2 permit ip 192.168.5.2 ! route-map RutaIda permit 10 match ip address 1 set ip next-hop 192.168.3.2 ! route-map RutaVuelta permit 10 match ip address 2 set ip next-hop 192.168.2.1 ! end
Configuración de router4:
hostname router4 ! interface Serial0 ip address 192.168.3.2 255.255.255.0 ip policy route-map RutaIda ! interface Serial1 ip address 192.168.4.1 255.255.255.0 ip policy route-map RutaVuelta ! access-list 1 permit ip 192.168.0.1 access-list 2 permit ip 192.168.5.2 ! route-map RutaIda permit 10 match ip address 1 set ip next-hop 192.168.4.2 ! route-map RutaVuelta permit 10 match ip address 2 set ip next-hop 192.168.3.1 ! end
Configuración de router5:
hostname router5 ! interface Serial0 ip address 192.168.5.2 255.255.255.0 ip policy route-map RutaVuelta ! access-list 2 permit ip 192.168.5.2 ! route-map RutaVuelta permit 10 match ip address 2 set ip next-hop 192.168.5.1 ! end
Es un ejemplo un tanto retorcido pero la finalidad del mismo es la visualización de la potencia que otorga PBR para dirigir el tráfico arbitrariamente. Otros casos más prácticos serían:
- Filtrar el tráfico utilizando un cortafuegos que sólo tuviera una interfaz de red:
- En el caso de tener dos líneas a Internet, configurar cada red interna con una línea de salida diferente:
Referencias
03/04/2009
Visualizar fotografías privadas en Facebook
Facebook es un sitio web de redes sociales que permite localizar amigos con quienes se perdió el contacto o agregar otros nuevos con quienes intercambiar fotografías o mensajes.
Hay gente que permite que todo el mundo visualice su perfil y sus fotografías. También los hay que sólo comparten esta información privada con sus amigos y no con todo el mundo.
Ahora detallaremos los pasos para poder visualizar las fotografías de la gente que no comparte su información privada con todo el mundo:- Creamos una cuenta en Facebook. Si tenemos una, no es necesario crear una nueva.
- Una vez dentro, buscamos la persona objetivo. Podemos observar que el perfil no es público.
- Situamos el puntero del ratón sobre "Ver amigos".
- De esta forma, visualizamos en la parte inferior izquierda del navegador una dirección. Tenemos que copiar el número identificador.
- Ahora hacemos click en el enlace "Desarrolladores" situado en la parte inferior derecha del navegador.
- Luego en "Tools".
- Ahora en "Formato de respuesta" seleccionamos "Facebook PHP Cliente", en "Método" seleccionamos "photos.getAlbums" y en "uid" el identificador que copiamos anteriormente, "1234684030". Pulsamos "Método de llamada".
- A la derecha recibiremos el resultado de nuestra consulta. Podemos observar los enlaces de unos álbumes. Copiamos los enlaces en la barra del navegador y ya podemos visualizar las fotos privadas del usuario.
01/04/2009
Entendiendo las VMnet
VMware Workstation proporciona el uso de redes virtuales (VMnets) para que el usuario pueda agrupar máquinas virtuales en redes independientes (dominios de difusión).
Por defecto, proporciona tres tipos de VMnets preconfiguradas: VMnet0 (bridged), VMnet1 (host-only) y VMnet8 (NAT). No obstante, también es posible utilizar las VMnet2, VMnet3, VMnet4, VMnet5, VMnet6 y VMnet7.
VMnet0 (bridged)
Esta red virtual proporciona conectividad entre las máquinas virtuales, la máquina real y la red externa real. Los máquinas situadas en la red externa real pueden comunicarse directamente con las máquinas virtuales.
VMnet1 (host-only)
Esta red virtual proporciona conectividad entre las máquinas virtuales y la máquina real.
VMnet2-7
Todas estas redes virtuales proporcionan conectividad únicamente entre las máquinas virtuales de la misma VMnet.
VMnet8 (NAT)
Esta red virtual proporciona conectividad entre las máquinas virtuales, la máquina real y la red externa real. En este tipo de red se realiza un traducción (PAT) de direcciones de red privadas a la dirección IP de la máquina real. Las direcciones privadas que utilizan las máquinas virtuales las proporciona un servidor DHCP.
Las máquinas situadas en la red externa real no pueden comunicarse directamente con las máquinas virtuales debido al ocultamiento (PAT) de la direcciones IP privadas con la dirección IP de la máquina real.
Referencias