25 de diciembre de 2013

Autosecure

Un punto fundamental al diseñar y analizar la seguridad de una red de comunicaciones es el hardening o aseguramiento de de los dispositivos que componen su infraestructura. Este proceso de hardening supone asegurar el acceso de gestión al dispositivo y desactivar o asegurar todo protocolo o feature que suponga una potencial puerta de acceso al dispositivo en sí mismo.
Para esta tarea hay colecciones de best practices y checklists a completar: aplicar procesos de autenticación, autorización y registro sólidos para los accesos de gestión, utilizar protocolos de gestión seguros (SSH o HTTPS), suprimir servicios que no se utilizan y asegurar aquellos que son necesarios, asegurar vulnerabilidades, etc.
Un recurso de IOS diseñado para facilitar esta tarea es Autosecure.
Se trata de un feature que permite asegurar un router utilizando un único comando. Algunos de los efectos de la ejecución del comando son los siguientes:
Deshabilita los siguientes servicios globales sin necesidad de intervención del operador:
  • Finger.
  • PAD.
  • Small Servers.
  • BOOTP Server.
  • HTTP Server.
  • Identification Service (RFC 1413).
  • CDP.
  • NTP.
  • Source Routing.
Deshabilita servicios en las interfaces sin intervención del operador:
  • ICMP redirects
  • ICMP unreachables.
  • ICMP mask reply messages.
  • Proxy ARP.
  • Directed Broadcast.
  • MOP (Maintenance Operations Protocol).
Paralelamente se habilitan de modo automático algunos servicios globales:
  • Service passowrd-encryption
  • Service tcp-keepalives-in
  • Service tcp-keepalives-out
También se asegura el acceso al router:
  • Si no hay un banner, se solicita al operador que redacte uno.
  • Se configura secret password en los acceso por consola, auxiliar y vty.
  • Se implementa transport input y transport output.
  • En puerto consola y auxiliar se configura un exec-timeout de 10 minutos.
  • Siempre que sea posible se implementa SSH y SCP.
  • Si el operador indica que no utiliza SNMP se deshabilita el protocolo si las comunidades están definidas como "public" y "private".
  • Configura AAA local y pregunta para que el operador defina un usuario y una clave.
Respecto del servicio de registro de incidentes (logging):
  • Implementa número de secuencia y regristo de tiempo para todos los mensajes.
  • Se generan  registros en cada intento de acceso.
  • Se envían mensajes de syslog de severidad crítica a todas las líneas de acceso.
  • Se habilita un buffer de memoria RAM para almacenar localmente mensajes de syslog.
  • Envía todos los mensajes de syslog de severidad mayor a debugging a un servidor.
En lo que se refiere a asegurar el plano de datos del router:
  • Habilita CEF (Cisco Express Forwarding).
  • Habilita TCP intercept.
  • Habilita uRPF (unicast Reverse Path Forwarding).
  • Habilita la configuración del firewall CBAC (Context-Based Access Control).
Para revisar el significado y consecuencias de cada uno de los mecanismos de seguridad mencionados hasta aquí, sugiero revisar el white paper de AutoSecure, y los documentos complementarios correspondientes en el sitio de Cisco.com.

Configuración
Router>enable
Router#auto secure
De esta manera se inicia un diálogo semi-interactivo que permite asegurar los planos de management y de datos (o forwarding).

Si no se desea utilizar el díálogo interactivo (hay que utilizarlo con mucho cuidado), el comando es entonces:
Router#auto secure no-interact

Si en cambio se desea que el sistema solicite confirmación antes de realizar cada uno de los cambios, el comando es:
Router#auto secure full

Es posible asegurar solamente el plano de management:
Router#auto secure management

O solamente el plano de datos:
Router#auto secure forwarding

Para verificar los comandos de configuración que se ejecutaron eon este macro:
Router#show auto secure config

Este feature está disponible a partir de IOS 12.3(1)S.


24 de diciembre de 2013

Bibligrafía para CCNA SP

Hace ya casi 2 años que Cisco publicó su nueva ruta de certificación para técnicos que desean trabajar en el ámbito de Service Providers.
El inicio de este camino de certificación no es la tradicional certificación CCNA, sino una certificación específica denominada CCNA Service Provider (CCNA SP).
Esta certificación se obtiene aprobando 2 exámenes de certificación: SPNGN1 y SPNGN2. Para la preparación del primero de estos exámenes desarrolé un manual sintético que incluye el temario completo requerido por el examen SPNGN1 640-875.
La siguiente demo en línea incluye la introducción del manual, el índice de temas y parte del primer capítulo.


Para ver mayor información sobre este manual, revise este post.
Para adquirir ejemplares impresos, por favor escriba a libros.networking@gmail.com
Para adquirir ejemplares en formato ebook, ingrese aquí.


Bibliografía para CCNA R&S - versiones demo

Para quienes están preparando su examen de certificación CCNA R&S (200-120) he publicado 2 manuales. A continuación presenta las versiones demo, disponibles en línea, de cada uno de ellos.

Apunte Rápido CCENT (100-101) versión 5.0
Se trata de un manual sintético que incluye el temario completo requerido por el examen de certificación ICND1 100-101.
La siguiente demo en línea incluye el índice de temas, la introducción y parte del primer capítulo.


Para ver mayor información sobre este manual, revise este post.
Para adquirir ejemplares impresos, por favor escribir a libros.networking@gmail.com
Para adquirir ejemplares en formato ebook, ingrese aquí.

Apunte Rápido CCNA R&S (200-120) versión 5.0
Este otro manual sintético aborda el temario completo del examen de certificación CCNA Routing & Switching 200-120 (Composite).
Esta versión demo en línea incluye la introducción del manual, el índice de temas y parte del primer capítulo que desarrollo el temario del examen.


Para ver mayor información sobre este manual, revise este post.
Para adquirir ejemplares impresos, por favor escribir a libros.networking@gmail.com
Para adquirir ejemplares en formato ebook, ingrese aquí.


Para revisar la información sobre la bibliografía completa que he publicado referida a este examen de certificación, por favor, ingrese aquí.

1 de diciembre de 2013

Conectorizado RJ-45

Estándar para el conectorizado originalmente utilizado en el cableado telefónico que especifica las características físicas de los conectores macho y hembra, al mismo tiempo que la asignación de los diferentes cables que componen el UTP de 4 pares (naranja, verde, azul y marrón).
Utiliza conectores 8P8C que por extensión reciben el nombre genérico de RJ-45.
La asignación de los cables utilizados en sistemas Ethernet está definida por el estándar EIA/TIA-568-B que establece dos formatos básicos para el armado de fichas RJ-45: T568 A y T568 B.
Cuando se trata de redes Ethernet 10BaseT y 100BaseT, sólo se utilizan los pares verde y naranja para la transmisión de datos. En sistemas Ethernet de Gigabit, se utilizan los 4 pares.
A partir de estos 2 formatos básicos se pueden armar diferentes tipos de cable para distintos usos.
Los distintos tipos de cable se diferencian por el formato utilizado en cada uno de sus extremos:
  • Cable Derecho.
    Utiliza el mismo formato en ambos extremos del cable. Puede ser tanto 568 A como 568 B.
  • Cable Cruzado.
    Utiliza diferente formato en ambos extremos del cable.
    En sistemas Ethernet 10BaseT y 100BaseT  se cruzan los pines 1-2 en un extremo con los 3-6 en el otro; y los pines 3-6 del primer extremo con los 1-2 del otro.
    En sistemas GigabitEthernet, a lo anterior se requiere sumar que los pines 4-5 de un extremo se crucen con los 7-8 en el otro, y los pines 7-8 del primer extremo  con los 4-5 del otro.
  • Cable Consola.
    En este caso el orden de los alambres en un extremo del cable es el espejo exacto del otro extremo. El pinado en ambos extremos es inverso: 1-2-3-4-5-6-7-8 en un extremo, 8-7-6-5-4-3-2-1 en el otro.


Pregunta de la semana 18

El examen CCNA se renovó y ahora tenemos por delante una nueva versión, 200-120 CCNA R&S, y por esto parece oportuno retomar un ciclo de preguntas sobre los temas relacionados a este examen.
No son preguntas del examen, son preguntas referidas al temario que abarca el examen.
La idea es que cada uno aporte sus comentarios o información sobre el tema planteado. A la semana siguiente (en lo posible el lunes), cuando proponga una nueva pregunta publicaré la respuesta de la planteada la semana anterior. Espero la participación de todos para enriquecer el debate y que nos enriquezcamos recíprocamente. Saludos...

¿Cómo proporciona seguridad adicional la utilización del comando service password-encryption en un router?

A. Encriptando todas las claves que atraviesan el router.
B. Encriptando las claves que están en texto plano en el archivo de configuración.
C. Requiriendo el ingreso de una clave encriptada para acceder al dispositivo.
D. Sugiriendo automáticamente el empleo de claves encriptadas en la configuración del router.
E. Configurando una clave encriptada con MD5 para ser utilizada por los protocolos de enrutamiento para validar el intercambio de rutas.

Respuesta correcta: B
El comando service password-encryption cifra las claves que están almacenadas en el archivo de configuración en formato de texto plano, con un algoritmo de cifrado reversible.