28 de marzo de 2006

Índice de artículos referidos a certificaciones


Los siguientes son artículos publicados hasta el momento sobre las certificaciones Cisco en el weblog:



Ir A la información sobre la Guía

25 de marzo de 2006

El Examen de Certificación CCNA

CCNA es quizás la certificación más popular de la industria de la comunicaciones en el momento. Fue introducida por Cisco Systems en abril de 1998 y es al día de hoy la puerta de ingreso al Programa Cisco Carrer Certification.
La certificación CCNA acredita la posesión de sólidos fundamentos en el área de networking y es requisito para quienes aspiran a las certificaciones CCNP, CCDP y CCSP.

¿Qué es una certificación?

Una certificación o cualificación es una designación obtenida por una persona, producto de un determinado proceso.
La certificación puede ser utilizada como sinónimo de licencia, pero la licencia aplica solamente a personas y es exigida por la ley para desempeñar algunas tareas, mientras que la certificación es en términos generales voluntaria.
La certificación de una persona indica que ese individuo tiene determinados conocimientos, destrezas o habilidades específicas de acuerdo al cuerpo de certificaciones que se trate.


¿Cómo se obtiene la certificación CCNA?

La certificación CCNA puede obtenerse siguiendo 2 trayectos diferentes pero de igual validez:
  1. Aprobando un único examen de certificación 640-801 CCNA
  2. Aprobando 2 exámenes independientes: 640-821 INTRO y 640-811 ICND

La elección de uno u otro camino para obtener la certificación es absolutamente libre. En términos generales se recomienda que quienes tienen poca experiencia en el área de networking, adopten el camino de los 2 exámenes. Tenga en cuenta que es condición tomar los dos exámenes en un período menor de los 3 años; y que al aprobar un solo examen no se accede a ninguna certificación.

¿Cuál es el examen versión 3.1?

Lo lamento, no existe un examen versión 3.1. El código del examen CCNA es 640-801. Lo que tiene diferentes versiones es el currículum de estudio de las academias de Cisco Networking Academy.

El currículum CCNA versión 1, correspondía al examen de certificación CCNA 640-507 (discontinuado); el currículum CCNA versión 2 correspondió al examen de certificación CCNA 640-607 (también discontinuado), y el actual currículum CCNA versión 3 corresponde al examen CCNA 640-801.

El currículum actual de las academias ha presentado la versión 3.0, la 3.1 y la actual 3.11. Estos cambios de versión son internos del currículum de estudio y no tienen nada que ver con el examen de certificación. El examen CCNA siempre es el mismo, en la medida en que los objetivos de evaluación del examen no cambia.

¿En qué consiste el examen CCNA 640-801?

  • Duración: 90 minutos.
    Si toma este examen en inglés en países de lengua hispana, se acreditan 20 minutos adicionales para compensar el hecho de de realizarlo en lengua no materna.
  • Cantidad de pregunta: 55 a 65.
    Por lo general 55. Las preguntas son seleccionadas al azar a partir de una base de datos organizada según las áreas definidas en los objetivos. La base de datos se renueva periódicamente.
    Tenga en cuenta que en el sistema del examen no se puede volver atrás, es decir, no hay revisión de las preguntas ya respondidas.
  • Idiomas en que se encuentra disponible: inglés, español y japonés.
  • Puntaje de aprobación: 849/1000.
    El puntaje final y el asignado a cada pregunta pueden variar en cada examen individual. El sistema de puntuación se basa en una escala que va de 300 a 1000.
  • El listado oficial y no exhaustivo de los objetivos que debe alcanzar un técnico que desea la certificación CCNA, puede ser consultado en la página oficial de Cisco Systems: www.cisco.com/go/ccna

¿Qué es la recertificación?

La certificación CCNA obtenida por cualquiera de los 2 caminos antes descriptos, tiene una validés de 3 años. Transcurrido ese tiempo es necesario recertificar.

Se puede recertificar a través de 2 procesos:

  • Rindiendo el examen ICND (640-811)
  • Aprobando cualquiera de los exámenes que se identifican con el prefijo 642-xxx (los exámenes de CCNP o del nivel Cisco Qualified specialist).

¿Qué materiales de estudio hay disponibles?

Manuales de estudio y preparación:

Cuestionarios

Recursos en línea

Hay muchas más opciones disponibles, estas son las opciones que personalmente considero valiosas y máximamente útiles.

Guía de Preparación para el Examen de Certificación CCNA
Consejos útiles para la preparación del examen de certificación
Artículo: Certificaciones. Habilidades con valor agregado

¿Tenés alguna información adicional para aportar en este tema....?
Perfecto!!!! agregá un comentario con el detalle.
Muchas gracias.
Oscar Gerometta

24 de marzo de 2006

10 pasos para segurizar un dispositivo Cisco IOS

.1. Desactive aquellos servicios o protocolos que son innecesarios.
Por defecto los dispositivos Cisco activan diversos servicios que son opcionales. Estos servicios son potenciales puntos de ataques de seguridad ya que permitien acceder a información del dispositivo.
Si no son utilizados, estos servicios pueden ser fácilmente desactivados:

Protocolo CDP:
Router(config)#no cdp run

Configuración remota:
Router(config)#no service config

Servicio finger:
Router(config)#no service finger

Servicio web:
Router(config)#no ip http server

Protocolo SNMP:
Router(config)#no snmp-server

Protocolo BOOTP:
Router(config)#no ip bootp server

Servicios TCP:
Router(config)#no service tcp-small-servers

Servicios UDP:
Router(config)#no service udp-small-servers


.2. Deshabilite las interfaces que no están en uso.
Las interfaces que no se utilizan deben estar administrativamente deshabilitadas utilizando el comando shutdown. En los routers Cisco este es el estado por defecto; por el contrario, en los switches Catalyst todos los puertos están habilitados por defecto.
En las interfaces en uso, si no son necesarios, conviene desactivar los siguientes servicios:

Router(config-if)#no ip proxy-arp
Router(config-if)#no ip directed-broadcast
Router(config-if)#no ip mask-reply

.3. Mantenga control del tráfico que atraviesa el router.
Básicamente se debiera bloquear todo tráfico innecesario. Sin embargo, muchas veces es difícil determinar el tráfico necesario.
Pero hay tráfico que ciertamente no debiera ingresar o circular. Por ejemplo, cuando la red tiene un router a través del cual se conecta a Internet; este dispositivo no debiera recibir desde Internet tráfico que se origine en una dirección IP privada. Para esto, se puede implementar la siguiente lista de acceso, suponiendo que la interfaz a través de la cual el router se conecta a Internet es la interfaz serial 0/0:

Router(config)#access-list 101 deny ip 10.0.0.0 0.255.255.255 any log
Router(config)#access-list 101 deny ip 172.16.0.0 0.15.255.255 any log
Router(config)#access-list 101 deny ip 192.168.0.0 0.0.255.255 any log
Router(config)#interface serial 0/0
Router(config-if)#description acceso a Internet
Router(config-if)#ip access-group 101 in

.4. Mantenga los archivos log y utilice una fuente de hora confiable.
Para mantener un control del tráfico que es bloqueado por las listas de acceso, es conveniente utilizar los archivos log. Estos archivos también pueden mantener registro de los cambios de configuración y errores.
Para mantener estos archivos almacenados en el dispositivo, el procedimiento es el siguiente:

Router(config)#logging on
Router(config)#logging buffered 16384

De este modo se reserva un espacio de 16 MB en la memoria RAM del dispositivo.
El problema de guardar estos archivos en el router es que en caso de un reinicio del dispositivo se pierden estos archivos. Por eso conviene almacenarlos en un servidor que puede incluso ser un servidor común a todos los dispositivos de la red.
El comando para identificar este servidor es:

Router(config)#logging [ip]

Un elemento muy importante de información en los archivos log, es la marca horaria de los sucesos.
Esta marca horaria puede tomarse a partir del reloj interno del dispositivo. Sin embargo, si hay varios dispositivos es muy importante que todos tomen su marca horaria de un único servidor para poder hacer las comparaciones que puedan ser necesarias. Para activar este servicio utilice el siguiente comando:

Router(config)#service timestamps log datetime msec
Router(config)#ntp server server.ntp.address

.5. Implemente claves de acceso y clave de acceso al modo privilegiado.
Asegúrese de aplicar claves de acceso a cada uno de los puertos.

Router(config)#line console 0
Router(config-line)#login
Router(config-line)#password [clave]
Router(config-line)#exec-timeout 0 0

Router(config)#line aux 0
Router(config-line)#login
Router(config-line)#password [clave]
Router(config-line)#exec-timeout 0 0

Router(config)#line vty 0 4
Router(config-line)#login
Router(config-line)#password [clave]


Para bloquear el acceso al modo privilegiado utilice siempre la enable secret que se encripta utilizando MD5.

Router(config)#enable secret [clave]

.6. Use claves complejas (robustas) y encripte las claves en texto plano.
Asegúrese de utilizar claves largas y con caracteres alfanuméricos, lo que reduce la posibilidad de que sean violadas por un ataque de fuerza bruta. Este comando Cisco IOS le permite asegurar una longitud de caracteres mínima para cada clave:

Router(config)#security password min-length 6

Asegúrese de que todas las claves estén encriptadas, al menos con un algoritmo de encripción básico:

Router(config)#service password encryption

Se pueden prevenir intentos de acceso por fuerza bruta estableciendo parámetros de tiempo para el ingreso de claves en el dispositivo. En este ejemplo se define que el acceso se bloquee por 180 segundos cuando se realizan 3 intentos fallidos en un intervalo de 30 segundos.

Router(config)#login block-for 180 attempts 3 within 30

.7. Controle quiénes pueden acceder remotamente al router.
Es conveniente limitar las posibilidades de acceso remoto a la administración de los dispositivos.

Una posibilidad es limitar las direcciones IP y protocolos que se utilizan para acceder a las terminales virtuales. Por ejemplo, para permitir el acceso exclusivamente desde la red local:

Router(config)#access-list 10 permit 192.168.2.0 0.0.0.255
Router(config)#line vty 0 4
Router(config-line)#access-class 10 in

.8. Utilice SSH para el acceso remoto.
No es recomendable el uso de telnet o http para la administración de los dispositivos, dado los riesgos de seguridad que esto entraña.

Es altamente recomendable utilizar SSH (Secure Shell) para la administración remota de los dispositivos ya que SSH viaja encriptado. Para habilitar SSH en un dispositivo siga los siguientes pasos:

Router(config)#hostname [nombre]
Router(config)#ip domain-name [nombre]
Router(config)#crypto key generate rsa
Router(config)#ip ssh timeout 60
Router(config)#line vty 0 4

Router(config-line)#transport input ssh

Nota: Antes de intentar esta implementación, verifique que su versión y package de Cisco IOS soportan SSH.

.9. Segurice los protocolos de enrutamiento y otros servicios opcionales.
A fin de evitar ataques que signifiquen modificaciones no autorizadas de las tablas de enrutamiento es recomendable utilizar protocolos que soporten una autenticación con claves encriptadas.

Por ejemplo, se puede configurar OSPF para que utilice claves encriptadas:

Router(config-if)#ip ospf message-digest key [1-255] md5 [1-7] [clave]
Router(config)#router ospf 1
Router(config-router)#area 0 authentication message-digest

.10. Prevenga los ataques de denegación de servicio.
Un modo simple de prevenir ataques DoS comunes, es limitar el ancho de banda utilizado por los paquetes ICMP. El protocolo ICMP suele ser utilizado para inundar la red causando una denegación de servicio.

Para prevenir este tipo de ataque se pueden utilizar los comandos que se indican a continuación en cada interfaz, de modo de limitar el ancho de banda que será ocupado por el protocolo.
En este caso, limitaré a 20 Kbps la disponibilidad para tráfico de ping en la interfaz serial 0/0 que tiene un ancho de banda total de 64 Kbps. Esto en la realidad depende en cada caso del ancho de banda de cada enlace y la proporción de ese ancho de banda que se desea asignar como máximo a estos protocolos.

Router(config)#access-list 101 permit icmp any any echo-reply
Router(config)#access-list 101 permit icmp any any echo
Router(config)#interface serial 0/0
Router(config-if)#rate-limit input access-group 101 20000 8000 8000 conform-action transmit exceed-action drop

Tenga en cuenta que la prevención de ataques de DoS es una tarea más compleja que debe enmarcarse en el contexto de políticas e implementaciones de seguridad. Este es solamente un tip para lograr una prevención básica.

Oscar Gerometta

19 de marzo de 2006

¿Cómo llegamos a obtener la certificación CCSP?

Tradicionalmente se suele considerar a CCIE como la certificación de más alto nivel, y CCNA como la puerta de ingreso de mayor reconocimiento en la industria. Al menos en nuestro medio.
Sin embargo, según lo publicado por CertCities.com el 14 de diciembre pasado, las 10 certificaciones top son:
  1. Red Hat Certified Engineer (RHCE)
  2. Microsoft Certified Tecnical Specialist: SQL & .NET
  3. Microsoft Certified Architect
  4. Cisco Certified Security Professional (CCSP)
  5. Project Management Professional (PMP)
  6. Cisco Certifies Internetwork Expert (CCIE)
  7. Cisco Certified Network Professional (CCNP)
  8. MCSE: Security
  9. Systems Security Certified Practitioner (SSCP)
  10. Linus Professional Institute Certification, level 2 (LPIC 2)

Esta lista tiene al menos 2 sorpresas (o no tan sorpresa): hay una participación muy importante de las certificaciones en el ámbito de la seguridad; y no es CCIE la certificación más apreciada de Cisco (en el 2005 fue la ceritifación #1 de esta lista) sino CCSP.

Por lo tanto cabe la pregunta.... ¿Qué se requiere para ser CCSP?

En primer lugar hay que tener en claro los 3 niveles de certificación que presenta el Cisco Carrer Certification:

  • Nivel Associate - que es el nivel de entrada e incluye básicamente a CCNA y CCDA.
  • Nivel Professional - que es la certificación de nivel medio que incluye CCNP, CCDP, CCIP, CCVP... y CCSP!!
  • Nivel Expert - el nivel más alto de certificación que presenta 5 variantes: Routing y switching, seguridad, service provider, redes de almacenamiento y voz.

Y esto llama la atención, en este momento una certificación de nivel medio es más valorada que cualquiera de las certificaciones de alto nivel, incluido un CCIE Security. Quizás el motivo de esto se encuentre a que en la actualidad las redes son una herramienta de trabajo crítica para la mayoría de las empresas, y las áreas de mayor crecimiento son el área de seguridad y la de voz sobre IP.

Ahora bien, ¿cuál es el camino para alcanzar el CCSP?

El prerequisito necesario es una certificación válida CCNA.

Para obtener esta certificación se requiere la aprobación de 5 exámenes:

Según entiende Cisco, la aprobación de estas certificaciones acredita que un técnico CCSP:

  • tiene los conocimientos necesarios para segurizar una red;
  • puede configurar los features de seguridad más comunes tales como logueo, IDS/IPS, listas de control de acceso y AAA;
  • puede configurar seguridad en routers y switches Cisco;
  • puede configurar firewalls Cisco PIX y Cisco ASA;
  • puede configurar sistemas de prevención de intrusiones Cisco;
  • puede configurar ya sea Cisco Security Agents o concentradores VPN Cisco.

Una vez obtenida la certificación, el paso siguiente es la obtención del certificado CCIE Security; si bien hay que tener en cuenta que ninguna certificación es prerequisito necesario para rendir cualquier CCIE.

Sin embargo y después de esto, retomando nuestra afirmanción inicial, más allá de cualquier ranking, CCNA es el prerequisito para acceder a CCSP y por lo tanto, sigue siendo la certificación que es puerta de acceso para todo el universo de certificaciones Cisco.

Oscar Gerometta

12 de marzo de 2006

Road Map para rendir un examen de certificación

El siguiente es un "mapa" que establece una "ruta" o proceso posible para obtener cualquier información en el área de tecnología:

1. Seleccione la certificación que desea obtener.
No se quede con definiciones difusas, defina claramente cuál es la certificación, el número del examen, los objetivos, etc.
Para completar este objetivo es importante revisar principalmente el sitio oficial de la organización certificante (
Cisco, Microsoft, Oracle, CompTia, etc.).
Por ejemplo: CCNA 640-801.

2. Obtenga una guía de estudio o guía de preparación que mapee a la certificación que desea obtener.

Hay una abundante bibliografía (tanto oficial como no oficial) específicamente desarrollada para preparar cada examen de certificación. Con el consejo de alguien ya certificado seleccione su guía de estudio.
Por ejemplo: Guía de Preparación para el Examen de Certificación CCNA.

3. Estudie concienzúdamente en primer lugar la guía de estudio y si es posible regístrese para hacer el entrenamiento que recomienda la organización certificante para esa certificación.
Si va a realizar un trainning intensiva (por ejemplo 5 días de 8 horas) es áltamente recomendable que primero estudie la guía. Esto le permitirá aprovechar mejor las prácticas que haya durante el trainning y la experiencia del instructor.
Por ejemplo: Introducción to Cisco Networking Technologies y Interconnecting Cisco Networking Devices.


4. Asista y atienda al entrenamiento que seleccionó.
Es muy importante que lo aproveche a fondo el entrenamiento: realice prácticas, despeje dudas, sistematice conocimientos, profundice temas críticos. Procure durante esos días centrarse solamente en el entrenamiento.
Por ejemplo: en una Academia Cisco, en un Learning Partner, u otro centro de entrenamiento.


5. Tome una simulación del examen.
Existen diferentes opciones. En algunos casos los entrenamientos incluyen una simulación del examen de certificación al cierre.
También es posible encontrar cuestionarios, o simuladores en líneas que permiten cubrir este paso de la preparación.
Es muy importante porque le dará una idea no sólo de cómo es el examen, sino de cuál es su verdadero grado de preparación.
Por ejemplo: Los materiales del CCNA Prep Center.

6. Agende su examen en un testing center.
Para esto póngase en contacto con un testing center de la empresa que corresponda (en general son Thompson Prometric, y Pearson VUE).
La página web de las empresas proporciona la información de contacto necesaria.



7. Realice una revisión final y realice el examen de certificación.
La guía de estudio, sus notas de clases y algún cuestionario de repaso son sus mejores herramientas en este momento.


Oscar Gerometta
CCNA / CCAI

4 de marzo de 2006

Seis puntos a tener en cuenta para el éxito

Todo aquel que desea afrontar con éxito un examen de certificación antes de iniciar su preparación debe tener en cuenta 6 puntos básicos, necesarios para el éxito.
Estos puntos son aplicables a cualquier examen de certificación, si bien en esta nota los aplico específicamente a la preparación del examen CCNA. Estos son los mejores consejos que se me ocurren:

1. Debés prepararte mental y anímicamente.
Lo primero y fundamental es que estés dispuesto a rendir el examen. El examen de certificación es una situación de tensión en la que es tan importante tu estado anímico como tu preparación intelectual.
Debés estar convencido de que aprobar el examen es posible. Se puede. Muchos ya lo han aprobado y muchos más lo aprobarán. Es posible aprobar el examen y no es tan difícil como a veces se comenta. Sólo se requiere estudiar con seriedad y analizar con tranquilidad lo que se pregunta.
Planificá con tiempo tu preparación. Dedicá un par de horas diarias durante 3 a 6 meses. Si realmente te preparás, no debés tener inconveniente para aprobar.


2. Elegí el material de estudio adecuado.
Hay muchas opiniones circulando respecto de guías de estudio, cuestionarios, simuladores, etc.
En mi opinión personal, se debe comenzar por estudiar seriamente con una buena guía de estudio (obviamente que ni recomendación es la Guía de Preparación al Examen de Certificación CCNA). Un simulador de routers será una buena ayuda para ejercitarte en los aspectos más prácticos del examen. Obviamente que la página web de Cisco (
http://www.cisco.com) es un elemento de consulta más que necesario.
Los cuestionarios y simuladores de exámenes deben quedar para una segunda instancia, para la revisión y fijación de conocimientos luego de haber estudiado. NO comiences con los cuestionarios; empezá por estudiar seriamente.
Para consultar procurá el apoyo de alguna persona conocida que ya haya rendido el examen de certificación y merezca tu confianza.


3. Concretá una aproximación adecuada a los temas.
Iniciá tu preparación revisando en qué consiste y cómo es el examen de certificación. Para esto podés revisar
http://www.cisco.com/go/ccna).
Una vez que conocés el objetivo estudiá de modo ordenado: primero introducite en cada tema progresivamente, relevando primero los puntos más difíciles y los temas a tener en cuenta.
Una vez que conocés el alcance y características de cada uno de los temas, es tiempo de abocarte al estudio. Estudiá cada tema; no leas simplemente. Estudiá hasta estar seguro de haber comprendido cada aspecto de cada tema. No hay temas menores, una pregunta es la diferencia entre aprobar y no aprobar.
Finalmente recurrí a los cuestionarios. Los cuestionarios pondrán a prueba tu comprensión de cada tema y te permitirán tener una idea objetivo de la distancia existente entre tu comprensión del tema y los objetivos que debieras alcanzar.

Los cuestionarios son los que evalúan tu proceso de preparación, no el proceso mismo.
En estos aspectos, la Guía de Preparación al Examen de Certificación tiene una colección de herramientas que considero óptimas para tu preparación.

4. Fijá fecha para el examen.
Una vez que planificaste tu tiempo de preparación, seleccionaste tus materiales de estudio e hiciste tu primera aproximación al tema, poné una fecha de examen y registrate en un testing center.
No se puede estar permanentemente preparando el examen. Este examen exige precisión y claridad en las repuestas, lo cual requiere tener los conocimientos frescos.
Si excedes los 3 a 6 meses de preparación te vas a encontrar con que al momento de acercarse el examen necesitás repasar lo que empezaste a estudiar tiempo atrás.

5. Releé la Guía de Estudio.
No es obligatorio, pero creo muy conveniente que la preparación inmediata los días previos al examen los ocupes en una relectura rápida de tus materiales de estudio.
No es el momento para cuestionarios o lectura de foros. Esa etapa ya pasó. Ahora solamente repasá rápidamente todos los temas, deteniéndote en aquellos puntos que percibas como más complejos o difíciles. En este sentido, algunos ejercicios de subredes y de cálculo de máscara de wildcard debieran ayudarte no sólo a repasar sino también a ganar seguridad.


6. Estudiá, estudiá y estudiá.
Una vez que estás en carrera, esta debe ser la única preocupación. Pero con cuidado, no te distraigas de los contenidos del examen. Aquellos temas que despiertan tu curiosidad o interés serán tema de estudio futuro, ahora dedicate al examen.
Pero con tranquilidad. No es buena idea estudiar o leer cosas nuevas hasta último momento. La noche antes del examen es preciso descansar bien, y las horas previas del examen deben servir para llegar al examen tranquilo y relajado.Es muy importante la actitud con la que ingreses a rendir el examen. Tan importante como que hayas estudiado antes.


Oscar Gerometta
CCAI / CCNA