Verificación de la imagen de IOS

Contenido incluido
en el temario de
CCNA 200-301

Es prudente tomar precauciones de seguridad durante todo el ciclo de vida de las imágenes de Cisco IOS dado que son el corazón de la operación de la infraestructura de la red corporativa. Un primer paso en esta dirección es verificar que la imagen de IOS no se haya dañado o haya sido alterada de ninguna manera durante el tránsito desde el centro de descargas de Cisco. Para esto Cisco proporciona un hash de verificación de integridad de la imagen de sistema operativo o de otro software proporcionado, hash que es generado utilizando MD5 o SHA y que se puede obtener en el centro de descarga de software de Cisco.

Los checksums proporcionan un mecanismo de verificación de la integridad de la imagen de IOS o el software descargado. Si la imagen está dañada, la comprobación MD5 o SHA fallará.

Para esto, entonces:

1. Conéctese al sitio oficial de Cisco y verifique la conexión SSL para asegurar que está conectado al sitio real.
2. Ingrese al sistema de descargas de software y busque el software que desea descargar.
3. Abra la ventana de detalles correspondientes a la imagen a descargar (posicione el cursor sobre el nombre de la imagen).
4. Copie el checksum MD5 o SHA (puede utilizar el ícono de la derecha para copiarlo al portapapeles).
5. Descargue la imagen a un dispositivo local.
6. Concluida la descarga, utilice una calculadora de hash para calcular el checksum de la imagen que acaba de guardar.
7. Verifique que el checksum calculado coincida con el publicado en el sitio de Cisco.

En la actualidad se sugiere utilizar el checksum de SHA por ser considerado más seguro.

Si desea verificar una imagen de IOS que ya está siendo utilizada en un dispositivo, puede hacerlo utilizando el comando verify:

Router#verify /md5 flash:/c2900-universalk9-mz.SPA.154-2.T1.bin

...............................................................................<…Output Omitted…>.......................Done!
verify /md5 (flash:/c2900-universalk9-mz.SPA.154-2.T1.bin) = c1cb5a732753825baf9cs68d329a7be

• El comando calcula el checksum correspondiente a la imagen guardada en la memoria flash, no la que está corriendo en ese momento en la memoria RAM.
• De este modo puede verificarse también una imagen descargada pero aún no en uso.

Estás invitado a participar de nuestro grupo en Facebook:
https://www.facebook.com/groups/librosnetworking/

O si preferís redes sociales con mayor control de tu privacidad,
podés participar de nuestro grupo en VKontakte
https://vk.com/libros.networking

o seguir las principales novedades en el grupo de Telegram:
https://t.me/LibrosNetworking

Las abreviaturas y siglas utilizadas en este post puede encontrarlas desarrolladas en

 el Glosario de Siglas y Términos de Networking

que está disponible en la Librería en Línea de EduBooks.

Diseño de iACL

Contenido incluido
en el temario de
CCNA 200-301

Las iACLs deben ser pensadas como la primera línea de defensa contra amenazas externas, por este motivo deben implementarse en los puntos de entrada de la red para proteger la infraestructura de diferentes riesgos potenciales, tanto accidentales como maliciosos. 

Las iACLs son listas de acceso extendidas que restringen el acceso externo al espacio de direcciones de la infraestructura corporativa. Permiten que solo los dispositivos autorizados se comuniquen con elementos que integran la infraestructura como son los routers y switches, al mismo tiempo que permiten que el tráfico de tránsito fluya libremente.

Por ejemplo, las iACLs implementadas en un punto de entrada a la red desde Internet deben considerar implementar las recomendaciones de los RFCs 1918 y 3330, y la inclusión del filtrado anti-spoofing.

Al diseñar una iACL se debe analizar cuáles son los protocolos cuyo funcionamiento es requerido por la infraestructura. Aunque cada red tiene requisitos diferentesy específicos ciertos protocolos son de implementación habitual y por lo tanto deben ser considerados. Por ejemplo, las conexiones BGP externas a dispositivos externos (del proveedor de servicio, por ejemplo) deben permitirse explícitamente. También se debe permitir explícitamente cualquier otro protocolo que requiera acceso directo a los routers de infraestructura. Por ejemplo, si finaliza un túnel GRE en un router de infraestructura central, entonces el protocolo 47 (GRE) debe permitirse explícitamente. 
Además de los protocolos requeridos para la operación de la infraestructura es necesario identificar también el espacio de direcciones que se utilizan en la infraestructura, ya que este es el espacio de direcciones que debe proteger la iACL. El espacio de direcciones de la infraestructura incluye todas las direcciones que se utilizan para la red interna y a las que rara vez acceden fuentes externas, como es el caso de las interfaces de los routers, el direccionamiento de los enlaces punto a punto y de servicios de infraestructura crítica. Dado que estas direcciones se utilizan para identificar el destino del tráfico en las iACL, la sumarización es fundamental. Siempre que sea posible, estas direcciones deben agruparse, de ser posible, en bloques CIDR.
Dado que muchos ataques se basan en inundar los routers con paquetes fragmentados, el filtrado de fragmentos entrantes a la infraestructura es otro elemento que se debe considerar y que proporciona una medida adicional de protección al mismo tiempo que ayuda a garantizar que un atacante no pueda inyectar fragmentos simplemente haciendo coincidir las reglas de Capa 3 en la iACL. Para esto las sentencias correspondientes que se incorporan en la iACL deben utilizar la keyword fragments que obliga a la sentencia a denegar o permitir fragmentos no iniciales con mayor granularidad.

El uso de una sentencia de denegación (deny) para los fragmentos no iniciales al inicio de la iACL bloquea todos los fragmentos no iniciales evitando que accedan al router. Son raras las circunstancias en las que una sesión válida puede requerir fragmentación.

En consecuencia. Las iACLs deben incluir 3 tipos de sentencias:

• Sentencias que bloquean los paquetes IP fragmentados.
• Sentencias que filtran el ingreso desde la red externa (Internet) de tráfico con una dirección IP privada como dirección de origen.
• Sentencias que filtran tráfico de protocolos requeridos por la infraestructura de la red, según dirección IP de origen.

Un ejemplo de estas iACL podría ser el siguiente:

Rtr(config)#access-list 101 deny tcp any 209.165.200.224 0.0.0.31 fragments

Rtr(config)#access-list 101 deny udp any 209.165.200.224 0.0.0.31 fragments

Rtr(config)#access-list 101 deny icmp any 209.165.200.224 0.0.0.31 fragments

• Filtrado de fragmentos de tráfico IP que tiene como destino el espacio de direccionamiento IP público que implementa la red corporativa (209.165.200.224/27 en este ejemplo).
• Se genera una sentencia para cada protocolo (TCP, UDP, ICMP) para tener contadores del tráfico que coincidan con cada sentencia por separado.

Rtr(config)#access-list 101 deny ip 10.0.0.0 0.255.255.255 any

Rtr(config)#access-list 101 deny ip 172.16.0.0 0.15.255.255 any

Rtr(config)#access-list 101 deny ip 192.168.0.0 0.0.255.255 any

• Bloquea todo el tráfico que tiene como dirección de origen los bloques de direcciones IP privadas definidas en el RFC 1918.

Rtr(config)#access-list 101 deny ip host 0.0.0.0 any

Rtr(config)#access-list 101 deny ip 127.0.0.0 0.255.255.255 any

Rtr(config)#Rtr(config)#access-list 101 deny ip 192.0.2.0 0.0.0.255 any

Rtr(config)#access-list 101 deny ip 224.0.0.0 31.255.255.255 any

• Bloquea tráfico que tiene como dirección de origen direcciones IPv4 especiales que no debieran aparecen como origen de tráfico.
• Son las direcciones incluidas en el RFC 3330.

Rtr(config)#access-list 101 permit tcp host 209.165.201.2 host 209.165.201.1 eq bgp

Rtr(config)#access-list 101 permit tcp host 209.165.201.2 eq bgp host 209.165.201.1

• Se deben permitir los protocolos requeridos para la operación de la infraestructura y cuya dirección IP destino coincide con esa misma infraestructura. En estos casos la buena práctica sugiere que además la dirección IP de origen sea conocida para autorizar explícitamente esa dirección y hacer más granular el permiso.
• En este ejemplo se está permitiendo el tráfico BGP que se genera en el dispositivo peer con el que se intercambia información de ruteo con ese protocolo.

Rtr(config)#access-list 101 deny ip 209.165.200.224 0.0.0.31 any

• Bloquea el tráfico IP que tiene como dirección IP de origen el bloque de direcciones públicas asignado a la red corporativa. Esto previene ataques que hagan spoofing de IP utilizando ese bloque de direcciones.

Rtr(config)#access-list 101 permit ip any any

• Finalmente se permite todo otro tráfico IPv4.
• Esto permite todo tráfico IP que tiene un destino diferente que la infraestructura protegida y deja el filtrado de ese tráfico a otro dispositivo como puede ser un firewall.

Las iACLs se diseñan para proteger la infraestructura no para proteger otros objetivos de posibles ataques.

 

Estás invitado a participar de nuestro grupo en Facebook:
https://www.facebook.com/groups/librosnetworking/

O si preferís redes sociales con mayor control de tu privacidad,
podés participar de nuestro grupo en VKontakte
https://vk.com/libros.networking

o seguir las principales novedades en el grupo de Telegram:
https://t.me/LibrosNetworking

Las abreviaturas y siglas utilizadas en este post puede encontrarlas desarrolladas en

 el Glosario de Siglas y Términos de Networking

que está disponible en la Librería en Línea de EduBooks.

Nueva actualización del Glosario de Siglas (v1.7)

En la espera de la publicación del Bridge a CCNA 200-301 y mientras reviso textos y escribo otros manuales para las nuevas certificaciones, he actualizado el Glosario de Siglas y Términos de Networking que hace ya más de 5 años está disponible de manera completamente libre en la Biblioteca Virtual de EduBooks en Scribd.

Este texto fue publicado por primera vez en el año 2015 como un desprendimiento de los glosarios de las Guías de Preparación para el examen de certificación, con la intención de construir un complemento a todos los manuales que publico. Esta es ahora la séptima actualización del mismo.

Glosario de Siglas y Términ... by Edubooks Ediciones on Scribd

Como siempre, es mi deseo que esta nueva revisión del Glosario sea de ayuda para muchos y utilidad de todos, utilicen o no los manuales de mi autoría.



Para despejar dudas, compartir experiencia con otros, realizar consultas, las redes sociales nos dan una gran herramienta. Para eso están los diferentes grupos asociados a este blog.

Estás invitado a participar de nuestro grupo en Facebook:
https://www.facebook.com/groups/librosnetworking/

O si preferís redes sociales con mayor control de tu privacidad,
podés participar de nuestro grupo en VKontakte
https://vk.com/libros.networking

o seguir las principales novedades en el grupo de Telegram:
https://t.me/LibrosNetworking

Las abreviaturas y siglas utilizadas en este post puede encontrarlas desarrolladas en

 el Glosario de Siglas y Términos de Networking

que está disponible en la Librería en Línea de EduBooks.

Bridge a CCNA 200-301

El 24 de febrero de 2020 Cisco Systems activó un cambio mayor en su sistema de certificaciones. Ya he hablado bastante sobre este cambio, que fue una modificación mayor de todo el esquema, toca ahora anunciar la publicación del primer manual de mi autoría alineado con el nuevo sistema de certificaciones: el Bridge a CCNA 200-301.

Al momento del cambio muchos ya se encontraban preparando su certificación sea por auto estudio, en las Academias o en entrenamientos oficiales o no oficiales. Es por esto que inmediatamente surgió una serie de preguntas: ¿En qué cambia el examen? ¿Qué necesito estudiar para completar el temario del nuevo examen? ¿Me sirve para estudiar el manual que ya tengo, pero que corresponde al examen 200-125?

Para responder esas preguntas es que desarrollé este manual.

En este "Bridge" no encontrarás una guía de preparación completa de la totalidad del temario del examen CCNA 200-301. Lo que encontrarás es un complemento para los manuales de estudio del examen 200-125 con los que ya cuentas y que venías estudiando. 

En este manual se desarrollan solamente los temas teóricos que se introdujeron en el nuevo temario.
Este manual es el complemento perfecto para los manuales que ya publiqué antes:

• Apunte Rápido CCNA R&S, versión 6.1
• CCNA R&S en 30 días, versión 6.2
• Guía de Preparación para el Examen de Certificación CCNA R&S 200-125, versión 6.3

Para los que buscan manuales completos para el nuevo examen de certificación en castellano, ya tengo en desarrollo los mismos y el orden de publicación será el siguiente:

• En primer lugar publicaré el Apunte Rápido CCNA 200-301 versión 7.1
• Finalmente publicaré la Guía de Preparación para el Examen de Certificación CCNA 200-301 versión 7.2

Fecha de publicación: 11 de enero de 2021
Autor: Oscar A. Gerometta
CCSI / CCNA / CCDA / CCNA wir / CCNA sec. / CCNP sec. / CBVP / CCBF.
Creador –en el año 2000- del primer curso de apoyo para alumnos de Cisco Networking 
Academy program que se preparan a rendir su examen de certificación CCNA. Más de 20 años de trayectoria en el área de entrenamiento de técnicos en comunicaciones

Texto:
Se trata de un manual complementario  de los manuales ya existente para el examen de certificación CCNA 200-125 que permite a quienes cuentan con esos materiales de estudio prepararse para presentar el examen de certificación actualizado: CCNA 200-301.

Para ver una demo de este manual, ingrese aquí.
(le permite revisar el índice completo)

Contenidos:

• 1. El examen de certificación CCNA
• 2. Los contenidos del examen de certificación.
• 2.A. Fundamentos de redes inalámbricas
• 2.B. Introducción a QoS
• 2.C. Arquitecturas y virtualización
• 2.D. Automatizacion de redes
• 2.E. Introducción a la seguridad
• 2.F. Introducción a las tecnologías WAN

Cantidad de páginas: 248

Algunas notas sobre esta versión:

• Cubre la totalidad de las novedades del temario del examen CCNA 200-301.
• Es complementario de cualquier manual de estudio para el examen de certificación CCNA 200-125.
• Todo el temario de este manual estará incluido en futuros manuales dedicados al examen CCNA 200-301.

Para la compra: 
Bridge a CCNA 200-301 versión 7.0 tanto en formato e-book como impreso ya se encuentra disponible, y se puede comprar en línea ingresando aquí.

Para consultas de precios u otros manuales diríjase directamente a Ediciones EduBooks por correo electrónico escribiendo  a libros.networking@gmail.com

Los manuales impresos se distribuyen a través de Amazon.

Como siempre, cualquier sugerencia que puedas hacer, será muy bienvenida.

Características de los ebooks

• Se trata de archivos pdf cifrados.
• Cuando Ud. compra un ebook recibe un enlace de descarga de un archivo personalizado (extensión .drmz) y una clave de activación.
• La clave de activación permite la lectura del ebook en hasta 2 dispositivos diferentes.
• El ebook sólo podrá leerse en los dispositivos en los que haya sido activado (un máximo de 2).
• Para leer los archivos .drmz es necesario instalar antes el lector Javelin desarrollado por Drumlin Secutity.
• Hay versiones de Javelin disponibles para sistemas operativos Microsoft, Apple , iOS y Android.
• Se puede descargar Javelin de modo libre y gratuito desde este sitio.
• El sistema solo admite PayPal como forma de pago.
• Consulte con nosotros por otras formas de pago escribiendo a libros.networking@gmail.com
• Una vez realizada la compra recibirá un correo electrónico con indicaciones detalladas para que pueda realizar la descarga y activación, en la casilla de correo asociada a su cuenta de PayPal.
• Los ebooks son completamente imprimibles.
• Por favor, tenga presente que los permisos de impresión se encuentran limitados a una cantidad de páginas igual al doble de las páginas del ebook.

Enlaces de interés:

• Información oficial sobre el examen de certificación.
• Post: No cambió CCNA... ¡Cambió todo!.
• Post: El nuevo CCNA 200-301.
• Demo en línea del manual.
• Biblioteca CCNA.

Estás invitado a participar de nuestro grupo en Facebook:

https://www.facebook.com/groups/librosnetworking/

O si preferís redes sociales con mayor control de tu privacidad,

podés participar de nuestro grupo en VKontakte

https://vk.com/libros.networking

o seguir las principales novedades en el grupo de Telegram:

https://t.me/LibrosNetworking

Las abreviaturas y siglas utilizadas en este post puede encontrarlas desarrolladas en

 el Glosario de Siglas y Términos de Networking

que está disponible en la Librería en Línea de EduBooks.

Listas de acceso de infraestructura

Contenido incluido
en el temario de
CCNA 200-301

Como parte de la seguridad general de la red es necesario proteger el tráfico que atraviesa la red (datos en tránsito) utilizando múltiples protocolos de aplicación como es el caso del correo electrónico, la navegación web, etc.; del mismo modo que hay que asegurar el tráfico que tiene como destino los propios dispositivos de infraestructura utilizando protocolos como SSH y SNMP para la administración, o BGP y EIGRP como protocolos de enrutamiento, etc.

Las listas de control de acceso son en este sentido un mecanismo poderoso para controlar el tráfico que ingresa, sale o atraviesa la red. Para proteger los dispositivos de infraestructura y minimizar el riesgo o posible impacto de posibles ataques directos a la infraestructura, se recomienda implementar listas de control de acceso para protección de la infraestructura (iACL). 

Las iACLs permiten explícitamente solo el tráfico autorizado hacia el equipo de infraestructura al mismo tiempo que permiten el tráfico que atraviesa la red (todo tráfico no destinado a la infraestructura).

La protección proporcionada por las iACL es relevante tanto para los planos de gestión como de control de los dispositivos. Las iACLs permiten implementar políticas sobre el tráfico enviado a los mismos dispositivos de infraestructura. Para esto, se debe construir una iACL permitiendo explícitamente solo el tráfico autorizado hacia los dispositivos de acuerdo con las políticas y configuraciones de seguridad existentes.

En comparación con otros tipos de ACLs, las iACLs tienen características específicas:

• Protegen el tráfico destinado a los equipos de infraestructura de red, para mitigar ataques dirigidos.
• Su diseño depende de los protocolos utilizados en los equipos de infraestructura de red para gestión, enrutamiento, etc.
• Por regla general deben implementarse en los puntos de entrada a la red como primera línea de defensa contra amenazas externas. Por ejemplo, las iACL pueden brindar primera línea de defensa contra ciertos tipos de tráfico no válido con origen en Internet.
• Se puede implementar en otras ubicaciones de la red, dependiendo del posicionamiento de los equipos de infraestructura de red críticos.

Una vez creadas, las iACLs deben aplicarse a todas las interfaces que enfrentan dispositivos que no son parte de la infraestructura. Esto incluye interfaces que se conectan a Internet o a otras organizaciones, segmentos de acceso remoto, segmentos de usuarios y segmentos en centros de datos.

 

Estás invitado a participar de nuestro grupo en Facebook:
https://www.facebook.com/groups/librosnetworking/

O si preferís redes sociales con mayor control de tu privacidad,
podés participar de nuestro grupo en VKontakte
https://vk.com/libros.networking

o seguir las principales novedades en el grupo de Telegram:
https://t.me/LibrosNetworking

Las abreviaturas y siglas utilizadas en este post puede encontrarlas desarrolladas en

 el Glosario de Siglas y Términos de Networking

que está disponible en la Librería en Línea de EduBooks.