miércoles, 2 de julio de 2008

Configuración desde consola Access Point Cisco 1200

Hoy postearé algo que me resulta en extremo útil cuando llega un nuevo Access Point para configurar. Lo bueno de esto es que en menos de cinco minutos, tenés un Access Point configurado, segurizado con clave WEP y filtrado de MAC Address y con disponibilidad de monitoreo... ¡Una joyita!

Primero, deberemos conseguir un cable de consola. Si laburan para el departamento de sistemas de cualquier empresa, busquen donde guardan los cables que seguro-seguro hay uno.

Yo tengo exactamente este cable, hasta es igual en el color. De todas maneras, si quieren investigar y armarse su propio cable, en este link tienen una muy linda imagen con el esquema del cable. Los materiales son muy fáciles de conseguir, el único requerimiento son las ganas y la buena mano a la hora de soldar.

La conexión es sencilla: la ficha RJ45 (la que parece de teléfono pero más grande, je) la conectamos al conector de consola de Access Point que obviamente si no lo trae, no tiene sentido que leas todo este paso a paso. Y la ficha serial DB-9 (la que es como la de los viejos mouses) va a la PC.

El programa que utilizaremos será el que provee Windows, el famoso y antiguo HyperTerminal. Vamos a usar este porque desde Windows 98 hasta acá, se encuentra en cualquier versión. Si no lo tienen instalado, lo pueden hacer desde Agregar o quitar componentes de Windows en Agregar o quitar programas.

Crearemos una conexión nueva que se llama Cisco AP 1200 y cuando le damos Aceptar, en la otra ventana en la opción Conectar Usando seleccionaremos COM1. Nuevamente click en Aceptar y en esa ventana deberemos configurar las siguientes opciones:

Bits por segundo: 2400
Bits de datos: 8
Paridad: Ninguno
Bits de parada: 1
Control de flujo: Hardware

Al darle en Aceptar, debería intentar conectarnos. Si lo hace exitosamente, aparecerá el siguiente mensaje:

ap con0 is now available

Press RETURN to get started.

Al presionar Enter, nos pedirá los datos de logueo. En Username ingresaremos Cisco, y lo mismo en Password. Por defecto, ingresará con un perfil mínimo de configuración, ingresando el comando Enable, ingresaremos al modo privilegiado. Nos pedirá de nuevo una contraseña, ingresaremos nuevamente la palabra Cisco.

A continuación, ya estamos listos para copiar y pegar la configuración. Lo que está marcado con negrita son atributos opcionales que pueden cambiar por lo que deseen:
service password-encryption
hostname CiscoAP
aaa new-model
aaa authentication login default local
aaa authentication login mac_methods local
aaa authorization exec default local
aaa session-id common
resource policy
ip subnet-zero
ip domain name dns.site.com
ip name-server 192.168.0.18
ip name-server 192.168.10.18
dot11 ssid CiscoAP
authentication open mac-address mac_methods
exit
no username Cisco
username CiscoAdmin privilege 15 password 0 Admin123qwe
enable secret level 15 0 Admin123qwe
bridge irb
interface Dot11Radio0
no ip address
no ip route-cache
encryption key 1 size 128bit 0 clavewep transmit-key
encryption mode wep mandatory
ssid CiscoAP
speed range
station-role root
bridge-group 1
bridge-group 1 subscriber-loop-control
bridge-group 1 block-unknown-source
bridge-group 1 spanning-disabled
exit
interface BVI1
ip address 192.168.0.1 255.255.255.0
no ip route-cache
exit
ip default-gateway 192.168.0.254
ip http server
ip http authentication aaa
no ip http secure-server
snmp-server view dot11view ieee802dot11 included
snmp-server view ieee802dot11 ieee802dot11 included
snmp-server community public RO
snmp-server location Home
snmp-server contact Plater
snmp-server chassis-id Cisco AP
bridge 1 route ip
interface Dot11Radio0
no shutdown
exit
end
copy running-config startup-config
exit
Algunas aclaraciones:
- Nótese que la configuraciones ip domain name, ip name-server, ip address e ip default-gateway deberán corresponderse a la configuración actual de la red adonde vamos a conectar el Access Point
- El SSID configurado es CiscoAP
- La clave del usuario CiscoAdmin (configuramos la Admin123qwe) no necesariamente tiene que coincidar con la declarada en el comando enable secret. Esta última corresponde a la clave que nos pide al ingresar a modo privilegiado cuando nos conectamos por consola.
- La clave WEP configurada es clavewep

Espero que les sea de utilidad, tanto como lo es para mi.

Stumble Upon Toolbar
Documentado por plater a la/s 11:43 a. m. 1 comentarios
Tags: , , , ,

martes, 1 de julio de 2008

Instalación base Debian 4 (Etch) - Primera parte

Hoy documentaremos la instalación de cero de un GNU/Linux. En este caso la distribución elegida es Debian debido a su simpleza (tanto de uso como libre de pavadas) y excelente performance como plataforma de servidor.

Si jamás implementaron un GNU/Linux, les recomiendo primero utilizar una máquina virtual al estilo VMWare, ya sabrán uds. donde conseguir la aplicación. Esto es aplicable obviamente si planean realizar la implementación en la misma PC que están utilizando por ejemplo, para leer esto... No creo que quieran perder la instalación de su preciado Windows.

La opción que descargaremos es la net-inst por lo mismos motivos que antes expuse (la simpleza y las no pavadas). La instalación es realmente sencilla a pesar de no tener entorno gráfico, ya que son menus en modo texto.

Una vez que terminamos de instalar todo y haber reiniciado el equipo y haber booteado el sistema, nos aparecerá la ventana de login. Suele ser recomendable iniciar sesión con un usuario normal antes que con root, por lo cual seguiremos esta recomendación iniciando sesión con el usuario que creamos al momento de la instalación.

Pero como deberemos configurar aspectos básicos del sistema, pasaremos a entorno root con el siguiente comando:

  1. su

Luego, editaremos la lista de repositorios de software que utilizaremos:

  1. vi /etc/apt/sources.list

Se abrirá el editor de texto Vi, y deberemos dejar el archivo de la siguiente manera:

  1. #deb cdrom:[Debian GNU/Linux 4.0 r1 _Etch_ - Official i386 NETINST Binary-1 20070820-20:21]/ etch contrib main



  3. #deb cdrom:[Debian GNU/Linux 4.0 r1 _Etch_ - Official i386 NETINST Binary-1 20070820-20:21]/ etch contrib main



  5. #deb http://security.debian.org/ etch/updates main contrib

  6. #deb-src http://security.debian.org/ etch/updates main contrib



  8. deb http://mirrors.kernel.org/debian/ stable main

  9. deb-src http://mirrors.kernel.org/debian/ stable main



  11. deb http://security.debian.org stable/updates main

  12. deb http://ftp.cl.debian.org/debian etch main

Una vez hechos los cambios, deberemos actualizar la información de los nuevos repositorios y, de paso, descargaremos los paquetes actualizados del software que está instalado en el equipo:

  1. apt-get update
  2. apt-get upgrade

Esto seguramente demore un rato, te recomendaría preparate un café o mate. Cuando termine, como primer programa instalaremos un servidor SSH. Esto es debido principalmente a que si el equipo se encuentra en un Datacenter por ejemplo, llega un punto en el que el ruido y/o el frío nos enloquece y es preferible la comodidad de la PC que usamos todos los días, no?:

  1. apt-get install openssh-server

    Una vez instalado, deberemos verificar en la configuración que podamos conectarnos:

    1. vi /etc/ssh/sshd_config

      La siguiente configuración es bastante estándar, y como verán permite cierta personalización. Esta configuración es sugerencia, no es necesariamente válida para todos los casos (más que nada si pretendemos segurizar al máximo el servidor)

      1. # Package generated configuration file

      2. # See the sshd(8) manpage for details



      4. # What ports, IPs and protocols we listen for

      5. Port 22

      6. # Use these options to restrict which interfaces/protocols sshd will bind to

      7. #ListenAddress ::

      8. #ListenAddress 192.168.0.9 # Aqui podriamos poner la IP de nuestra PC, para que sólo nosotros podamos acceder

      9. Protocol 2

      10. # HostKeys for protocol version 2

      11. HostKey /etc/ssh/ssh_host_rsa_key

      12. HostKey /etc/ssh/ssh_host_dsa_key

      13. #Privilege Separation is turned on for security

      14. UsePrivilegeSeparation yes



      16. # Lifetime and size of ephemeral version 1 server key

      17. KeyRegenerationInterval 3600

      18. ServerKeyBits 768



      20. # Logging

      21. SyslogFacility AUTH

      22. LogLevel ERROR



      24. # Authentication:

      25. LoginGraceTime 120

      26. PermitRootLogin yes # Algunos prefieren configurar esto como no

      27. StrictModes yes

      28. AllowUsers * # Permite el logueo de cualquier usuario desde cualquier terminal

      29. #AllowUsers *@127.0.0.1



      31. RSAAuthentication yes

      32. PubkeyAuthentication yes

      33. #AuthorizedKeysFile %h/.ssh/authorized_keys



      35. # Don't read the user's ~/.rhosts and ~/.shosts files

      36. IgnoreRhosts yes

      37. # For this to work you will also need host keys in /etc/ssh_known_hosts

      38. RhostsRSAAuthentication no

      39. # similar for protocol version 2

      40. HostbasedAuthentication no

      41. # Uncomment if you don't trust ~/.ssh/known_hosts for RhostsRSAAuthentication

      42. #IgnoreUserKnownHosts yes



      44. # To enable empty passwords, change to yes (NOT RECOMMENDED)

      45. PermitEmptyPasswords no



      47. # Change to yes to enable challenge-response passwords (beware issues with
        # some PAM modules and threads)

      48. #ChallengeResponseAuthentication yes



      50. # Change to no to disable tunnelled clear text passwords

      51. PasswordAuthentication yes



      53. # Kerberos options ### Aqui la configuracion varia si continuamos con mi implementación y planeamos adjuntar el equipo a un dominio Active Directory, de otra forma dejalo como está por default!!!

      54. KerberosAuthentication yes

      55. #KerberosGetAFSToken no

      56. KerberosOrLocalPasswd yes

      57. KerberosTicketCleanup yes



      59. # GSSAPI options

      60. #GSSAPIAuthentication no

      61. #GSSAPICleanupCredentials yes



      63. X11Forwarding no

      64. X11DisplayOffset 10

      65. X11UseLocalhost yes

      66. PrintMotd no

      67. PrintLastLog yes

      68. TCPKeepAlive yes

      69. #UseLogin no



      71. #MaxStartups 10:30:60

      72. #Banner /etc/issue.net



      74. # Allow client to pass locale environment variables

      75. AcceptEnv LANG LC_*



      77. Subsystem sftp /usr/lib/openssh/sftp-server



      79. #UsePAM yes

      Una vez hecho esto, podemos desloguearnos del equipo y dirigirnos a nuestra PC, con nuestro café y/o nuestro mate a descargar el PuTTY para poder conectarnos al equipo por protocolo SSH.

      Si no conocen la dirección IP del equipo, pueden consultar las interfaces con el siguiente comando:

      1. ifconfig

      El output del comando es el siguiente y marco con negrita la IP asignada:

      eth1 Link encap:Ethernet HWaddr 00:02:A5:E7:7E:DA
      inet addr:192.168.0.9 Bcast:192.168.0.255 Mask:255.255.255.0
      inet6 addr: fe80::202:a5ff:fee7:7eda/64 Scope:Link
      UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
      RX packets:4584266 errors:0 dropped:0 overruns:0 frame:0
      TX packets:3292339 errors:0 dropped:0 overruns:0 carrier:0
      collisions:0 txqueuelen:1000
      RX bytes:465401561 (443.8 MiB) TX bytes:393637497 (375.4 MiB)
      Interrupt:177

      En la próxima entrega cubriremos la instalación de Samba para poder compartir archivos con terminales Windows y luego nos meteremos a pleno con la configuración de un servidor GNU/Linux para monitoreo de redes, con las aplicaciones Nagios y Cacti.

      Stumble Upon Toolbar
      Documentado por plater a la/s 10:37 a. m. 0 comentarios
      Tags: , , , ,

      Misión de la empresa

      Documentarás toda tu vida... se compromete a, valga la redundancia, documentar todo desarrollo realizado por mi ya sea por requerimiento laboral o pura diversión -soy un jodón bárbaro-.
      Documentarás toda tu vida... se compromete a postear cada tanto, pero sin obligación de actualización diaria, semanal o mensual. Traduzco: si esto muere, no es mi culpa.
      Documentarás toda tu vida... se compromete a no sólo documentar, sinó postear cosas de dudosa hilaridad o que sólo entenderé yo y unos cuantos privilegiados. Ah, también capaz posteo noticias.

      Todo el material presentado en este blog se encuentra bajo licencia Creative Commons Atribución-No Comercial-Sin Obras Derivadas 2.5 Argentina.

      Esto significa que:

      - Usted es libre de:

      * copiar, distribuir, exhibir, y ejecutar la obra

      - Bajo las siguientes condiciones:

      * Atribución. Usted debe atribuir la obra en la forma especificada por el autor o el licenciante.
      * No Comercial. Usted no puede usar esta obra con fines comerciales.
      * Sin Obras Derivadas. Usted no puede alterar, transformar o crear sobre esta obra.

       * Ante cualquier reutilización o distribución, usted debe dejar claro a los otros los términos de la licencia de esta obra.
      * Cualquiera de estas condiciones puede dispensarse si usted obtiene permiso del titular de los derechos de autor.
      * Nada en esta licencia menoscaba o restringe los derechos morales del autor.

      Stumble Upon Toolbar
      Documentado por plater a la/s 9:52 a. m.
      Tags: , , , , , ,
      Suscribirse a: Comentarios (Atom)