31 de diciembre de 2007

Las "líneas" de los routers Cisco

Quienes trabajamos con routers y switches Cisco estamos familiarizados con las llamadas "líneas" de acceso al dispositivo ("line" en inglés). Su conocimiento y configuración es un aspecto fundamental de la tarea del Adminstrador de dispositivos Cisco.

¿Qué líneas tiene mi dispositivo?

Las líneas del dispositivo son de dos tipos:

  • puertos seriales.
  • conexiones de red virtuales.

Para verificar cuáles son las líneas de acceso disponibles en su dispositivo puede utilizar el comando show line.

Router#show line
.Tty Typ...Tx/Rx .A Modem.Roty AccO AccI Uses Noise Overruns Int
*.0..CTY.......... - ..- ... - .. - .. - .. 0 ....0 .. 0/0 .. -
..1..AUX 9600/9600 - ..- ....- ...- .. - .. 0 ....0 .. 0/0 .. -
..2..VTY ..........- ..- ....- .. - .. - .. 0 ....0 .. 0/0 .. -
..3..VTY ..........- ..- ....- .. - .. - .. 0 ....0 .. 0/0 .. -
..4..VTY ..........- ..- ....- .. - .. - .. 0 ....0 .. 0/0 .. -
..5..VTY ..........- ..- ....- .. - .. - .. 0 ....0 .. 0/0 .. -
..6..VTY ..........- ..- ....- .. - .. - .. 0 ....0 .. 0/0 .. -

De acuerdo a lo que se muestra en esta presentación, el dispositivo cuenta con un puerto consola (CTY) actualmente en uso (lo marca el asterisco), un puerto auxiliar (AUX) y 5 puertos virtuales (VTY).

El puerto CTY

Es el que conocemos habitualmente como puerto consola. Es el que nos permite realizar la configuración del dispositivo aún cuando no exista archivo de configuración y no haya ninguna información previa.
Se trata de un puerto serie que requiere la utilización de una terminal con puerto serie conectada al puerto consola mediante un cable consola (rollover) con un adaptador DB9 o RJ45.
Este acceso debe ser adecuadamente asegurado utilizando una clave, que puede ser clave única o clave de acceso de un usuario local. Recuerde que esta clave se guarda en el archivo de configuración en texto plano, por lo que si se desea encriptar esta clave debe utilizarse el servicio de encriptación de claves de Cisco IOS.

Un ejemplo de configuración de este puerto:

Router(config)#username usuario password clave
Router(config)#line console 0
Router(config-line)#login local
Router(config-line)#loggin synchronous
Router(config-line)#exec-timeout 5 0
Router(config-line)#_

El puerto auxiliar

No todos los dispositivos están equipados con un puerto auxiliar, identificado como AUX. Este puerto puede actuar como un puerto de respaldo al puerto consola.

Originalmente esta línea ha sido integrada con el objetivo de posibilitar la conexión de un módem telefónico a través del cual es posible conectarse al dispositivo utilizando una conexión dial-up. Es un puerto serial que debe ser segurizado como tal:

Router(config)#line aux 0
Router(config-line)#password clave
Router(config-line)#login
Router(config-line)#logging synchronous
Router(config-line)#exec-timeout 5 0
Router(config-line)#_

Los puertos VTY

Se trata de un conjunto de puertos virtuales utilizados para la conexión vía telnet, SSH, http o https al dispositivo para realizar administración in band.
La mayoría de los dispositivos tienen al menos 5 puertos virtuales identificados como vty 0 a 4. Sin embargo, en la medida en que resulte necesario, se pueden general más puertos virtuales hasta completar un total de 21 líneas vty.

Un ejemplo de configuración:

Router(config)#line vty 0 4
Router(config-line)#password clave
Router(config-line)#login
Router(config-line)#logging synchronous
Router(config-line)#exec-timeout 5 0
Router(config-line)#transport input ssh
Router(config-line)#exit

Router(config)#line vty 5 20
Router(config-line)#password clave
Router(config-line)#login
Router(config-line)#logging synchronous
Router(config-line)#exec-timeout 5 0
Router(config-line)#transport input ssh
Router(config-line)#_

Conclusión

Una mala configuración de las líneas de acceso es un riesgo de seguridad importante. Estas líneas siempre deben ser configuradas adecuadamente, de acuerdo a las políticas de acceso definidas.

Por otro lado, cuando alguna de estas líneas de acceso es utilizada es posible simplemente bloquearla habilitando el requerimiento de clave pero negando la clave en esa línea. Un ejemplo, para bloquear el acceso por puerto auxiliar:

Router#config t
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#line aux 0
Router(config-line)#login
Router(config-line)#no password
Router(config-line)#^Z
Router#_

También, el acceso a las líneas de terminal virtual puede ser asegurado utilizando listas de acceso estándar, limitando de esta forma las direcciones IP que podrán acceder por telnet o ssh al dispositivo:

Router#config t
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#access-list 1 permit 205.7.5.0 0.0.0.7
Router(config)#line vty 0 4
Router(config-line)#access-class 1 in
Router(config-line)#^Z
Router#_

La configuración completa de todas las líneas de acceso puede verificarse al final del archivo de configuración:

Router#show running-config
Building configuration...

Current configuration : 1056 bytes
!
version 12.4
!
[se omite parcialmente información]
!
line con 0
.exec-timeout 5 0
.logging synchronous
.login local
.stopbits 1
line aux 0
.exec-timeout 5 0
.password clave
.logging synchronous
.login
.stopbits 1
line vty 0 4
.exec-timeout 5 0
.password clave
.logging synchronous
.login
line vty 5 20
.exec-timeout 5 0
.password clave
.logging synchronous
.login
!
!
end

Ir A la información sobre la Guía

¿Tenés algún tip para aportar en este tema....?
Perfecto!!!! agregá un comentario con el detalle.
Muchas gracias.
Oscar Gerometta

27 de diciembre de 2007

Apunte Rápido CCNA versión 4

Hace varios años generé un recurso de estudio para preparar el examen de certificación llamado Fast Note CCNA. También el Fast Track CCNA. Luego publiqué una versión más avanzada en formato de libro que llamé Apunte Rápido CCNA.

Ahora ya está listo el nuevo Apunte Rápido CCNA versión 4.0
Si querés la última versión actualizada de aquel Fast Note. O si estás preparando tu examen de certificación y estás buscando un complemento de estudio que te ayude en el repaso y consulta de información puntual. Por sobre todo, si necesitás material de estudio actualizado para preparar el examen CCNA 640-802. Lo que estás necesitando es la versión actualizada del Apunte Rápido CCNA.


Fecha de publicación: 15 de enero de 2008
Autor: Oscar A. Gerometta
CCAI/CCNA - Regional Instructor CCNA/CCNP - SuperInstructor SC - IT Essentials.
Primer CCAI/CCNA de la Región.
Miembro del Instructional Review Board de Cisco Networking Academy.
Creador –en el año 2000- del primer curso de apoyo para alumnos de Cisco Networking Academy program que se preparan a rendir su examen de certificación CCNA, logrando entre sus alumnos un nivel de aprobación superior al 90%.

Texto:
Se trata de una síntesis de los contenidos de estudio comprendidos en el nuevo examen de certificación CCNA 640-802.

Está concebido como un complemento de la Guía de Preparación para el Examen de Certificación CCNA, como una ayuda para el proceso de estudio de quienes se encuentran estudiando para presentar su examen de certificación.
Está orientado al examen CCNA 640-802.


Contenidos:
  • El Examen de certificación CCNA 640-802.
  • Los contenidos del examen de certificación.
    • Principios de networking.
    • Redes wireless LAN.
    • El stack de protocolos TCP/IP.
    • Implementación de subredes
    • El sistema operativo Cisco IOS
    • Enrutamiento IP
    • Administración de redes Cisco IOS
    • Conmutación LAN, VLANs y trunking
    • Listas de control de acceso
    • Tecnologías WAN
    • Anexo: Guía de Comandos
Cantidad de páginas: 158

Novedades respecto de la versión anterior:
  • Reordenamiento del temario.
  • Revisión completa de todos los materiales.
  • Revisión del temario en función del examen CCNA 640-802.
  • Incorporación de nuevo material gráfico.
  • Incorporación de nuevos contenidos:
    • Redes wireless LAN.
    • Protocolos RSTP, PVSTP+, PVRSTP+, IPv6.
    • Introducción a VPN.
    • Interfaz SDM.
Para ver una demo de este manual, ingrese aquí.
Para la adquisición:
  • Apunte Rápido CCNA versión 4.0 en formato e-book está disponible desde el 3 de abril de 2012. Para consultas de precios o adquisiciones visite el blog de Ediciones EduBooks.
Como siempre, cualquier sugerencia que puedas hacer, será muy bien venida.
Saludos.

Oscar A. Gerometta

16 de diciembre de 2007

Introduciendo el uso de NBAR

Network-Based Application Recorgnition (NBAR) es un feature incluido en Cisco IOS a partir de su versión 12.0, que agrega habilidades de clasificación de tráfico a la insfraestructura de la red.
Es un motor de clasificación de tráfico que reconoce una amplia variedad de aplicaciones, incluyendo aquellas que utilizan asignación dinámica de puertos TCP o UDP. Esto permite aplicar servicios específicos a las aplicaciones que se reconocen. Es como tener un analizador de tráfico incorporado en nuestra imagen de Cisco IOS. De esta manera nuestos dispositivos ya no sólo pueden operar sobre información de los encabezados de capa 3 y 4, sino que ahora pueden extender su poder de análisis hasta capa 7.
A partir de IOS 12.3, las habilidades de clasificación de tráfico de NBAR merced a la posibilidad de utilizar PDLM (Packet Description Language Module) para extender estas prestaciones. Cisco regularmente lanza nuevos módulos PDLM para nuevas aplicaciones. La lista de PDLM puede ser consultada en la página web de Cisco.
¿Cómo se utiliza NBAR?
NBAR ha sido diseñado como una aplicación para el reconocimiento de tráfico en la red con el propósito de implementar QoS, sin embargo, es posible darle un sinnúmero de aplicaciones adicionale con el propósito de controlar el tráfico con objetivos de seguridad o solamente remover el tráfico indeseable en un determinado enlace.
En este sentido una de las prestaciones más interesantes de NBAR es la posibilidad de identificar campos específicos en un paquete http, tales como una URL específica o ciertos clientes web.
En general, se puede utilizar NBAR para identificar cualquier tráfico decapa de aplicación para el que NBAR tenga una definición en sus módulos. La tabla de protocolos soportados por NBAR puede ser consultada aquí.
Hay algunas limitaciones para la implementación de NBAR: No se puede aplicar en túneles o interfaces encriptadas, tampoco puede operar con flujos de tráfico asimétricos o analizar tráfico https. Para su operación requiere habilitar previamente CEF.
¿Cómo se configura NBAR?
NBAR es simplemente una aplicación para identificación y marcado de tráfico. Para mostrar su implementación desarrollaré un ejemplo en el que se utiliza NBAR para filtrar tráfico http a una URL específica utilizando ACL, sin embargo, con las debidas variantes, este mismo procedimiento se puede aplicar a partir del paso 5 para implementar otro tipo de políticas:
  • Asegúrese de que en el dispositivo se encuentra habilitado CEF.

    Router(config)#ip cef
  • Cree una clase para identificar el tráfico que se desea clasificar y marcas. En este caso y a fines de ejemplo definiré una clase llamada "descarte" que clasifica toda URL de http que contenga un programa nombrado "readme.exe".

    Router(config)#class-map descarte
    Router(config-cmap)#match protocol http url "*readme.exe*"


    Los asteriscos indican que se desea detectar cualquier URL que contenga el texto "readme.exe" sin importar lo que lo precede o siga.

  • Genere una política para marcar el tráfico que se ha clasificado en el paso anterior. Para esto lo marcaremos con un valor de DSCP igual a 1:

    Router(config)#policy-map trafico_indeseable
    Router(config-pmap)#class descarte
    Router(config-pmap)#set ip dscp 1

  • Configure NBAR de modo que inicie el proceso de descubrimiento de tráfico para todos los protocolos conocidos en una interfaz en particular. En el caso del ejemplo, esta tarea se debe realizar en la interfaz a través de la cual ingresa al dispositivo el tráfico que se desea clasificar y marcar para luego filtrarlo.

    Router(config)#interface serial 0/0/0
    Router(config-if)#ip nbar protocol-discovery

    Si se desea realizar una tarea semejante sobre tráfico que ingresa a través de otra interfaz, NBAR deberá ser activado en esa interfaz.

  • Ahora es necesario aplicar la política que hemos definido antes, a la interfaz en la que ingresa el tráfico que se desea marcar.

    Router(config-if)#service-policy input trafico_indeseable

    De este modo se ha definido un procedimiento de monitoreo y marcación de tráfico indeseable. Este tipo de tráfico será marcado con un valor de DSCP igual a 1. Ahora procederemos a filtrarlo sobre el enlace que deseamos preservar, utilizando una ACL.
  • Cree una lista de control de acceso que deniegue el tráfico marcado:

    Router(config)#access-list 110 deny ip any any dscp 1
    Router(config)#access-list 110 permit ip any any

  • A continuación sólo resta aplicar esa lista de acceso a la interfaz elegida para filtrar el tráfico:

    Router(config)#interface fastethernet 0/0
    Router(config-if)#ip access-group 110 out
NBAR es una potente herramienta de monitoreo de tráfico que ya viene instalada en nuestros routers Cisco IOS desde la versión 12.0. Sólo es necesario familiarizarnos con ella y comenzar a implementarla para aprovechar todo su potencial.
Tengamos en cuenta que con procedimientos como este, al filtrado tradicional de ACLs utilizando criterios de capa 3 y 4, podemos ahora agregar la posibilidad de filtrar tráfico en función de información de capa 7.
Información adicional
¿Tenés algún tip para aportar en este tema....?
Perfecto!!!! agregá un comentario con el detalle.
Muchas gracias.
Oscar Gerometta