© 2014 - Crystal Mind Academy - CCNA4 – Connecting Networks

Monitoring the network

–--------------------------------------------
1. Logging/Syslog
–--------------------------------------------

Generalitati
–-----------------------

Syslog este un protocol standard, implementat in genere de orice sistem de operare.

Mesajele syslog sunt transmise via UDP (desi pt Cisco pot fi transmise si via TCP).
Un server syslog asculta de regula pe portul UDP 514.

Mesajele syslog contin:

− facility code - indica sursa/sistemul/software care a generat mesajul
− severity code - specifica importanta mesajului in cadrul sistemului care l-a generat
− timestamp – data/ora atasata mesajului pentru corelare/analiza ulterioara a evenimentelor
− hostname – identifica echipamentul care a generat log-ul
− mesaj – continutul efectiv de log

Exemple:

− facility code: auth, authpriv, daemon, cron, ftp, lpr, kern, mail, news, syslog, user, uucp,
local0 ... local7
◦ *routerele/switch-urile Cisco genereaza syslog cu facility code – local7
◦ *Cisco ASA (Firewall) genereaza syslog cu facility code – local4

− severity level/code:

© 2014 - Informatiile continute in acest document reprezinta proprietatea intelectuala a Academiei Crystal Mind.
© 2014 - Crystal Mind Academy - CCNA4 – Connecting Networks

Routerele Cisco pt trimite mesaje de log catre:

– Consola – logarea catre consola este implict activata...

– Linii viruale - liniile virtuale (telnet/SSH) pot fi configurate sa primeasca loguri insa ca si
cele trimite catre consola nu sunt stocate de echipament;

– Buffered logging – logurile sunt stocate in bufferul echipamentului (RAM) pentru o anumita
perioada de timp limitata, si se sterg fara ca routerul sa fie restartat;

– SNMP traps – in momentul in care este depasit un anumit threshold, routerul trimite SNMP
traps catre un server SNMP;

– Syslog – echipamentele Cisco pot fi configurate sa trimita logurile catre un server extern de
Syslog (Cisco MARS/Splunk/KIWI Syslog, tftpd32, WinSyslog, syslogd, etc)

Configuratie
–-----------------------

//CONSOLE logging (implicit activa)

(config)#logging console [0-7]
!!0-7 = severity level; pot fi inlocuite cu numele severitatii: 7 = debugging, 6 = informational, etc)

//configurare logging prin syslog server

(config)#logging IP_SYSLOG_SERVER
(config)#logging trap LEVEL
nr)
(config)#logging source-interface
(config)#logging on*
//specifica adresa IP a serverului de syslog
//specifica tipul de log care va fi trimis (dupa nume sau
//specifica adresa IP pentru mesajele syslog
//activare logging (implicit activat)

//setari optionale
(config)#service timestamps debug datetime msec //setare implicita pe IOS-urile noi
(config)#service timestamps log datetime msec [localtime | show-timezone]
(config)#service sequence-numbers //numerotare/ordonare loguri
(config)#logging source INTERFATA //specificare IP sursa pentru mesaje

(config)#service timestamps log uptime //adauga timestamp pentru debug

Daca nu se foloseste argumentul localtime, logurile vor avea timestamp timpul UTC, nu cel
modificat in functie de fusul orar (timezone), chiar daca la show clock echipamentul va afisa ora
locala!

//configurare buffered logging

(config)#logging buffered <4096-2147483647> [severity_LEVEL]

//configurare local logging

(config)#logging persistent ?
filesize Set size of individual log files
size Set disk space for writing log messages
url URL to store logging messages

© 2014 - Informatiile continute in acest document reprezinta proprietatea intelectuala a Academiei Crystal Mind.
© 2014 - Crystal Mind Academy - CCNA4 – Connecting Networks

//logging pentru VTY (sesiunea curenta)

#terminal monitor !!pentru dezactivare se da comanda terminal no monitor!

//verificare loguri
#show logging

//logging syslog pentru comenzi date pe echipament

(config)#archive
log config
logging enable //activeaza config logging
notify syslog //trimite comenzile date catre syslog server
hidekeys //ascunde parolele

//verificare logging comenzi

#show archive log config all

//setari optionale
(config)#logging userinfo //logheaza userul logat pe router(+comanda)!

//resurse logging

//logging to ATA Disk

http://www.cisco.com/en/US/docs/ios/12_2sb/feature/guide/cs_sysls.html

//logging pentru NAT

http://blog.ioshints.info/2008/12/nat-translation-logging.html

//logg terminal access to your router

http://blog.ioshints.info/2006/12/log-terminal-access-to-your-router.html

//command logging without TACACS using EEM and syslog

http://blog.ioshints.info/2006/11/cli-command-logging-without-tacacs.html

–--------------------------------------------
2. SNMP
–--------------------------------------------

Generalitati
–-----------------------

SNMP este un protocol Layer7 prin intermediul caruia administratorul de retea urmareste
performanta retelei, descopera si rezolva eventualele probleme aparute.

Componente:
- SNMP Server platform/Manager (Network Management System)
- SNMP Agents
- MIB (Management Information Base)

SNMP Agents si MIB rezida pe echipamentele ce sunt monitorizate prin SNMP

(switch-uri/routere/AP-uri, FW, etc).

© 2014 - Informatiile continute in acest document reprezinta proprietatea intelectuala a Academiei Crystal Mind.
© 2014 - Crystal Mind Academy - CCNA4 – Connecting Networks

Mod de functionare:
–-----------------------

NMS-ul primeste informatii de la echipamente prin intermediul agentilor SNMP care la randul lor
faciliteaza accesul la MIBs pentru utilizatorii autentificati.

MIB este o structura de date care contine toate obiectele care pot fi monitorizate/configurate prin
SNMP. Obiectele dintr-un MIB sunt identificate printr-un string de numere separate prin punct, numit
OID. (Object Identifier)

NMS comunica prin SNMP cu echipamentele prin intermediul mesajelor GET, SET sau TRAP.

GET se refera la interogarea unui anumit obiect din MIB (OID) identificat unic pe echipament si
parsarea continutului. Cu alte cuvinte, mesajele tip GET se refera la un acces strict read-only. (RO)

SET sunt folosite de NMS pentru a modifica valorile OID-urilor, astfel incat sa poata fi modificate
setarile echipamentului. Din acest punct de vedere SET echivaleaza cu un acces read-write (RW) pe
echipament.

TRAP reprezinta un mesaj nesolicitat trimis de echipament catre NMS in cazul declansarii unui
eveniment (linkdown/linkup/high CPU, low memory, etc).

Mesajele SET sau GET trimise de NMS sunt acceptate de echipamente pe baza unor “community
strings” care functioneaza ca si parole de acces si care (pentru SNMP v1 si SNMP v2) sunt transmise
in clar!

Pentru ca NMS poate trimite ori SET, ori GET, se obisnuieste ca pe echipamente sa se configureze
doua tipuri de community strings:

– read-only (RO), prin care se acceseaza obiectele MIBs read-only (comanda GET)
– red-write (RW), prin care echipamentul poate fi configurat (comenzile GET si SET)

De regula, echipamentele sunt configurate cu un community string care sa nu fie cunoscut, strict
read-only, astfel incat oricine are acces la retea sa nu poata schimba configuratia echipamentului
(set = read-write).

A cunoaste comunitatea RW este acelasi lucru cu a avea parola de enable!

Pentru SNMP v1 si v2 stringul este transmis in clar!

Solutii:
- atasare ACL configuratiei de SNMP pentru limitarea accesului la echipament via SNMP
- configurare SNMPv3

SNMP v3 adreseaza aceasta vulnerabilitate prin 3 servicii oferite:

Autentificare/Confidentialitate/Controlul accesului

Cisco suporta toate cele 3 versiuni de SNMP insa atunci cand se activeaza ca protocol, trebuie avut
in vedere modelul de securitate:
– noAuthNoPriv – autentificarea mesajelor se face pe baza trimiterii unui username;
– AuthNoPriv – autentificarea se face pe baza unui HMAC (MD5 sau SHA1) username +
pass;
– authPriv - autentificarea se face prin HMAC (user+pass) insa continutul mesajului este
criptat prin DES, 3DES sau AESs;

© 2014 - Informatiile continute in acest document reprezinta proprietatea intelectuala a Academiei Crystal Mind.
© 2014 - Crystal Mind Academy - CCNA4 – Connecting Networks

Configuratie
–-----------------------

//setare community-string (ro/rw)

(config)#snmp-server community NUME [RO | RW] NR_ACL

Pentru ca SNMP v1 si v2 comunica in clar, se recomanda asocierea unui ACL comunitatilor

configurate, astfel incat echipamentul sa permita accesul SNMP doar din clasa IP a NMS-urilor.

De asemenea, in cazul in care o comunitate trebuie sa ofere acces limitat la MIB, se recomanda
crearea unui SNMP View (vezi referinte)

//alte comenzi
(config)#snmp-server contact Popescu Ion //persoana de contact pt device
(config)#snmp-server location CMA //locatie device
(config)#snmp-server chassis-id 1841_Baneasa //ID unic pentru diferentiere echipament

Echipamentele SNMP enabled suporta si trimiterea de mesaje SNMP nesolicitate/triggered, numite

SNMP Traps. Aceste mesaje sunt foarte importante din prisma faptului ca trimiterea lor este
conditionata de producerea uni eveniment pe echipament (stabilirea/'ruperea' adiacentelor
protocoalelor de rutare, interfete down, SLA, depasirea unui anumit prag de CPU load, etc)

SNMP GET si SET sunt trimise catre UDP port 161 iar SNMP Traps catre UDP port 162!

//setare trap receiver si comunitate (server SNMP)

(config)#snmp-server host IP_SERVER COMUNITATE traps

//activare snmp traps

(config)#snmp-server enable traps //activeaza aprox. toate tipurile de traps

Comunitatea de SNMP traps poate fi folosita de NMS pentru filtrarea mesajelor de la echipamente
diferite. Implicit, SNMP Traps community nu conditioneaza acceptarea mesajului de catre NMS.

//configurare trimitere SNMP traps pt. CPU load

(config)#snmp-server enable traps cpu threshold
(config)#process cpu threshold type total rising NR_PROCENT interval SECUNDE falling
NR_PROCENT interval SECUNDE

//referinte

//securing SNMP
http://www.cisco.com/en/US/tech/tk648/tk362/technologies_tech_note09186a0080094489.shtml

//configuring SNMP support

http://www.cisco.com/en/US/docs/ios/12_2/configfun/configuration/guide/fcf014.html

//SNMP v3
http://www.cisco.com/en/US/docs/ios/12_0t/12_0t3/feature/guide/Snmp3.html

//SNMPv3 configurations
http://docwiki-rcdn-prd.cisco.com/wiki/Snmp_v3_configurations

© 2014 - Informatiile continute in acest document reprezinta proprietatea intelectuala a Academiei Crystal Mind.
© 2014 - Crystal Mind Academy - CCNA4 – Connecting Networks

–--------------------------------------------
3. Network Time Protocol
–--------------------------------------------

Generalitati
–-----------------------

– NTP este protocolul standard in ceea ce priveste sincronizarea timpului (data/ora) a

dispozitivelor de retea. Acest lucru este foarte important din mai multe puncte de vedere:
logare, security (certificate digitale, VPNs), troubleshooting.

– NTP foloseste portul UDP 123 si este definit in RFC 1305.

– Este folosit pentru sincronizarea tuturor echipamentelor din retea cu un private master NTP
server sau cu un server NTP din internet.

Moduri NTP

– client – echipament care isi sincronizeaza timpul de la unul sau mai multe servere NTP, care
pot fi prioritizate; clientul nu reprezinta o sursa de sincronizare;

– server – echipament configurat sa updateze clientii; serverele pot fi configurate sa updateze

anumiti clienti sau orice client; serverul NTP nu va accepta ca un client sa ii sincronizeze
timpul;

– peer – With NTP peers, one NTP-enabled device does not have authority over the other. With
the peering model, each device shares its time information with the other, and each device
can also provide time synchronization to the other.

Configuratie
–-----------------------

//R1 - server
R1#clock set 00:00:00 1 Jan 2000
!!cu cat ora/data sunt mai apropiate, cu atat sincronizarea e mai rapida!
R1#conf t
Enter configuration commands, one per line. End with CNTL/Z.
R1(config)#ntp master 1
R1(config)#ntp authentication-key 1 md5 CISCO

//R2 - client
R2#clock set 00:00:00 1 Jan 2000
!!cu cat ora/data sunt mai apropiate, cu atat sincronizarea e mai rapida!
R2#conf t
Enter configuration commands, one per line. End with CNTL/Z.
R2(config)#ntp authenticate
R2(config)#ntp authentication-key 1 md5 CISCO
R2(config)#ntp trusted-key 1
R2(config)#ntp server 12.0.0.1 key 1

In configurarea unui server NTP se specifica si un “stratum” , intelegand nr-ul de hopuri pana la
serverul NTP cu stratum 1 care este direct atasat unui ceas atomic. Un server cu stratum mai mic va
fi preferat unui sever cu stratum mai mare.

© 2014 - Informatiile continute in acest document reprezinta proprietatea intelectuala a Academiei Crystal Mind.
© 2014 - Crystal Mind Academy - CCNA4 – Connecting Networks

Atentie! Autentificarea mesajelor NTP nu se refera la verificarea clientilor de catre server,

ci la faptul ca orice client poate autentifica serverul ca si sursa de timp! In continuare,
serverul va raspunde clientilor care nu au configurata autentificarea mesajelor.

NTP servers don’t care about the authenticity of their clients, as they never accept any
information from them.

//setare fus orar astfel incat ora primita prin NTP sa reflecte ora locala
(config)#clock timezone RO 2

//configurare ora de vara (daylight savings)

(config)#clock summer-time EEST recurring last Sun Mar 3:00 last Sun Oct 4:00

//resurse NTP

//NTP Best Practices

http://www.cisco.com/en/US/tech/tk869/tk769/technologies_white_paper09186a0080117070.sht
ml

//NTP Commands
http://www.cisco.com/en/US/docs/ios/12_2/configfun/command/reference/frf012.html#wp112295
5

//secure NTP
http://stack.nil.com/ipcorner/SecTimeManagement/

//NTP - BeOnTime
http://stack.nil.com/ipcorner/BeOnTime/

//NTP Common Issues and troubleshooting

https://supportforums.cisco.com/docs/DOC-1263

© 2014 - Informatiile continute in acest document reprezinta proprietatea intelectuala a Academiei Crystal Mind.