jueves, 25 de febrero de 2010

IOS y configuraciones resistentes a errores

Un cortito mientras estudio el ISCW...

Siempre que tenemos equipos que se acceden desde muchos lugares o bien son usados para hacer laboratorios nos encontramos con que nos modifican las configuraciones o nos borran los sistemas operativos por lo que nuestro trabajo pasa de optimizar la red e inventar nuevos servicios a restaurar funcionalidad básica.

Cisco nos propone un feature llamado IOS Resilient Configuration que el equipo asegure una copia de la imagen de IOS que está corriendo así como también de la configuración actual.

Para esto, guarda una copia de cada uno de esos elementos en la flash en un directorio oculto que no puede ser accedido por los usuarios.

Algunos datos interesantes acerca de este feature son:

  • La configuración que se guarda es una copia de la running-config al momento en que el feature fue habilitado por primera vez.
  • Puede detectar diferencias en la imágen y en la config.
  • Solamente puede usar storage local, por lo que no puede guardar esto en servidores ftp o tftp remotos.
  • La única forma de deshabilitar el feature es mediante acceso por la consola.
 Se activa muy fácil:

Router(config)#
Router(config)# secure ?
  boot-config  Archive the startup configuration
  boot-image   Secure the running image
Router(config)# secure boot-config 
Router(config)# secure boot-image
Feb 25 2010 18:38:19.298 ART: %IOS_RESILIENCE-5-CONFIG_RESIL_ACTIVE: Successfully secured config archive [disk2:.runcfg-20100225-213818.ar]
Feb 25 2010 18:38:35.202 ART: %IOS_RESILIENCE-5-IMAGE_RESIL_ACTIVE: Successfully secured running image

Ahora podemos probar de hacer un listado de los directorios del disco:

Router# dir /all
Directory of disk2:/

    2  -rw-    39399484  Jan 21 2009 10:35:12 -03:00  c7200-advipservicesk9-mz.124-15.T8.bin

255774720 bytes total (176951296 bytes free)

Epa... no aparecen... probemos otra cosa...

Router# show secure bootset
IOS resilience router id 23672497

IOS image resilience version 12.4 activated at 18:38:34 ART Thu Feb 25 2010
Secure archive disk2:cisco2-C7200 type is image (elf) []
  file size is 39399460 bytes, run size is 39565104 bytes
  Runnable image, entry point 0x80008000, run from ram

IOS configuration resilience version 12.4 activated at 18:38:19 ART Thu Feb 25 2010
Secure archive disk2:.runcfg-20100225-213818.ar type is config
configuration archive size 8467 bytes

¿Cómo recupero los archivos se me los borran?

Tento que entrar al rom monitor (el ramón para los amigos) ejecutando la secuencia de control+break durante el arranque del equipo. Desde ahí sí se puede ver el bootset con los archivos.

rommon 1> dir disk2:

Ahi vas a ver la imagen de IOS asegurada que luego vas a poder bootear:

rommon 2> boot disk2:cisco2-C7200

El equipo va a arrancar, pero la configuración inicial no está, por lo que intentará arrancar el modo setup, le ponemos que no y ejecutamos:

Router(config)# secure boot-config restore disk2:.runcfg-20100225-213818.ar
Router(config)# copy disk2:.runcfg-20100225-213818.ar running-config

Voalá y hasta la próxima.

2 comentarios:

fede dijo...

Hola,
estoy haciendo el curso de CCNA Security y tengo una pequeña duda sobre el tema de este post:
¿¿al hacer el "show secure bootset" me aparece el nombe de la copia de seguridad de la IOS(disk2:cisco2-C7200)??

si es asi no entiendo por que al hacer el "dir/all" no lo muestra sin embargo al hacer el "show secure bootset" si aparece, ¿no es un "fallo" del show que muestre el nombre, cuando el dir no lo muestra?

Gracias Ariel:D

Tincho dijo...

Buenas
Los archivos asegurados, donde los guarda, tengo entendido que debemos tener instalado una flash ATA PCMCIA en nuestro router, sino la funcion secure no va

Publicar un comentario