Con el lanzamiento de IOS 15 Cisco introdujo una nueva modalidad de distribución de su sistema operativo que es el denominado "universal image", con lo que abandonó el uso del sistema de "packages" que había puesto en funcionamiento en el año 2006 con IOS 12.3 (ver el post "Los nuevos Cisco IOS packages".
Es esta nueva modalidad, para una misma versión de IOS y una misma plataforma de hardware hay una única imagen del sistema operativo que contiene todos los features disponibles. Ahora bien, el acceso a todos esos features está limitado por un sistema de licencias que considera 4 modalidades básicas:
- IP Base
Es la licencia por defecto que Cisco entrega con todos los dispositivos.
- Security
Firewall IOS, IPS, IPSec, 3DES, VPN.
- Unified Communications
VoIP, telefonía IP.
- Data
MPLS, ATM, soporte multi-protocolo.
Con este nuevo sistema una de las cuestiones que se presenta es... tengo un router Cisco 2900 con una licencia IP Base y deseo probar el firewall de IOS para analizar la conveniencia de implementar el firewall de IOS o comprar en un appliance aparte ¿necesito comprar una licencia de Security?.
La respuesta es no.
En primer lugar, hay que tener claro que la imagen de IOS 15 es una única imagen universal que solo está limitada por licencia. En consecuencia, no es necesario descargar una nueva imagen de sistema operativo sino activar los features correspondientes utilizando la clave de activación que habilita la licencia correspondiente.
En segundo lugar, Cisco provee licencias de evaluación por un período de 60 días que permiten activar los features en cuestión. Estas licencias permiten acceder a las funciones deseadas con solamente una limitación de tiempo y se pueden aplicar por única vez para cada uno de los 3 paquetes de funciones avanzadas.
¿Cómo se accede a las licencias de evaluación?
El procedimiento es relativamente simple:
- Se requiere contar con una clave CCO activa para poder generar licencias de evaluación.
- Ingrese a
https://tools.cisco.com/SWIFT/LicensingUI/demoPage
- Seleccione el producto para el cual desea generar la licencia de evaluación.
- A continuación se le requerirá que indique el tipo de licencia que desea (data, security, UC), el ID de producto y número de serie para el dispositivo que se solicita la licencia.
Tenga presente que se puede generar únicamente una licencia de cada tipo para cada dispositivo y que esa licencia tiene una validez de 60 días a partir de la fecha de su activación.
Enlaces relacionados:
He dedicado varios posts a tratar el tema de subredes, incluyendo alguna metodología de cálculo:
Sin embargo, a partir de las consultas recibidas, creo que hace falta un elemento más: cómo calcular una subred específica.
Como hice siempre en este tema, avancemos con un ejemplo:
Se nos pide que calculemos específicamente la subred #46 de la red 105.0.0.0 con una máscara de subred 255.255.192.0.0
Un cálculo de este tipo tiene su propia complejidad ya que el número de subredes posibles es muy grande, y por lo tanto es útil tener una metodología de trabajo más directa que la de calcular todas las subredes posible.
Comencemos:
- En el ejemplo se trata de una red clase A.
Por lo tanto la máscara de subred cuando no hay subredes es:
255.0.0.0
11111111.00000000.00000000.00000000
- La máscara de subred que se está aplicando es:
255.255.192.0
11111111.11111111.11000000.00000000
- En consecuencia se están utilizando 10 bits para identificar las subredes:
xxxxxxxx.11111111.11xxxxxx.xxxxxxxx
- En este caso se nos pide calcular la subred 46.
El primer paso entonces es convertir 46 a notación binaria:
101110
- La dirección IP original que se asignó es 105.0.0.0 esto en notación binaria es:
01101001.00000000.00000000.00000000
- Si reemplazo los primeros 10 ceros binarios, que corresponden al ID de subred, por x (para mayor claridad), nos queda:
01101001.xxxxxxxx.xx000000.00000000
- Ahora en esas 10 posiciones en x ubicamos el 46 binario que ya tenemos, completando los 10 bits con ceros hacia la izquierda:
01101001.00001011.10000000.00000000
Esta es la dirección reservada de subred de la subred #46: 105.11.128.0
- Siguiendo con el razonamiento, completando los últimos 14 bits en 1 obtenemos la dirección reservada de broadcast:
01101001.00001011.10111111.11111111
105.11.191.255
- En consecuencia las direcciones útiles o de host son desde 105.11.128.1 a 105.11.191.254
- Resumiendo:
Reservada de la subred #46: 105.11.128.0
Primera IP de host: 105.11.128.1
Última IP de host: 105.11.191.254
Reservada de broadcast: 105.11.191.255
Bibliografía sugerida:
Cuadernillo: Subredes IPv4 - Oscar Gerometta
Un término muy utilizado en el ámbito de las redes de datos y no siempre bien precisado es el de "firewall" o "cortafuegos" en su versión española.
Con este vocablo nos referimos indistintamente a hardwares, sofware, implementaciones... Es por eso que me pareció importante recoger algunos elementos para clarificar los diferentes significados que puede tener el término.
¿Qué es un firewall?
Un firewall es un sistema que fuerza la implementación de políticas de control de acceso entre 2 o más dominios de seguridad.
Es decir, un sistema (hardware, software, combinación de ambos o simplemente implementación en un dispositivo no dedicado) que facilita la aplicación de políticas de inspección y acceso entre 2 áreas de la red que tienen diferente política de seguridad.
Firewall puede ser entonces un appliance (hardware dedicado que corre un software especialmente diseñado para este propósito como es el caso de un ASA), un software implementado sobre un dispositivo no dedicado a ese propósito (el firewall de Cisco IOS que ofrecen los ISRs), o una implementación de recursos o herramientas que permiten realizar este tipo de tareas (un conjunto de ACLs en un router de acceso).
¿Qué tipos de firewall hay?
De acuerdo a las técnicas de filtrado de tráfico que se implementan, los firewalls pueden clasificarse en diferentes tipos:
- Filtrado de paquetes statelessEs la forma más básica de filtrado de tráfico.Usualmente se aplica en dispositivos de capa 3 e implementa conjuntos de reglas estáticas que examinan los encabezados de cada paquete para permitir o denegar el tráfico, sin ninguna relación con los flujos de tráfico precedentes.Trabajan bien cuando el objetivo filtrar aplicaciones basadas en TCP que no utilizan negociación dinámica de puertos.
- Filtrado de paquetes stateful
Es un método de filtrado de paquetes que trabaja a nivel de flujo o conexión, con ocasionales intervenciones a nivel de la aplicación.
Mantienen una tabla de estado que hace seguimiento de las sesiones que atraviesan el firewall y en función de ella hace inspección de cada paquete que atraviesa el dispositivo.
El mecanismo asume que si se permite el inicio de la conexión, cualquier conexión adicional que requiera esa aplicación será permitida.
Es un mecanismo confiable para filtrar tráfico de red entre dominios de seguridad.
- Filtrado de paquetes stateful con inspección y control de aplicacionesSe trata de firewalls stateful que incorporan motores de análisis de tráfico que suman servicios adicionales que reciben la denominación de Application Inspection and Control (AIC) o Deep Packet Inspection (DPI).Estos sistemas reensamblan en memoria las sesiones de capa de transporte para realizar inspección de protocolos de capa de aplicación y decodifican los protocolos de capa de aplicación para permitir filtrado de protocolos y contenidos.Pueden verificar los protocolos de capa de aplicación para eliminar paquetes que no se conformen con el funcionamiento estándar del protocolo.
- Sistemas de prevención de intrusos en la redNetwork Intrusion Prevention Systems (NIPS)
Sistema que analiza el tráfico de la red con el propósito de bloquear tráfico malicioso conocido. Se asienta en una base de datos de ataques que debe ser actualizada periódicamente.
Son mecanismos permisivos y usualmente no pueden detectar amenazas nuevas a menos que hayan sido incluidas en las actualizaciones.
- Gateways de aplicaciones (proxies)Es un sistema de software diseñado para actuar como intermediario y reenviar requerimientos de capa de aplicación y respuestas entre los clientes y los servidores.En términos de control de acceso, permite un filtrado y seguimiento muy granular tanto de las solicitudes como de las respuestas.Brindan opciones de control de acceso confiables para los protocolos soportados.Sin embargo, hay que tener presente que no hay proxies disponibles para todas las aplicaciones corporativas y no aplican a aplicaciones de tiempo real.
Continuando con la publicación de cuadernillos que iniciara hace un mes, a partir del día de hoy se encuentra disponible un nuevo título: Subredes IPv4.
Se trata de un cuaderno teórico-práctico específicamente destinado a desarrollar una temática que para muchos requiere particular atención: las subredes, su cálculo, el cálculo de la máscara variable y la sumarización de rutas.
Como en toda la serie de cuadernillos, no se trata de un manual que agote el tema, sino de un cuadernillo que brinda conceptos, metodología de cálculo y ejercicios de práctica.
Alguno de los puntos de su índice son:
- Direccionamiento IP.
- Implementación de subredes.
- Variable-Length Subnet Mask (VLSM)
- Sumarización de rutas.
- Herramientas de cálculo.
- Ejercicios.
Para ver una demo de este cuadernillo, ingrese aquí.
Para la compra:
Este cuadernillo también está publicado por EduBooks como el resto de mi bibliografía, y se presenta en 2 formatos diferentes:
- E-Book
Ya está disponible para su compra a través del blog de EduBooks.
En el blog encontrarán el índice completo y el enlace para la compra.
Si quieren ingresar directamente a la compra del ebook, seleccionen aquí.
- Impreso en papel
Estará disponible en el término de 2 semanas.
Quienes deseen obtenerlo, como siempre, deben dirigirse directamente a EduBooks por correo electrónico: libros.networking@gmail.com
Todas las consultas adicionales referidas a disponibilidad de ejemplares, precios, costos de envío de ejemplares impresos, etc., diríjanse directamente por correo electrónico a EduBooks: libros.networking@gmail.com