30 de junio de 2022

Implementación y diagnóstico de sistemas Cisco Secure Firewall v2.0

Hace solo dos años presenté la primera versión de este manual que se llamó entonces "Implementación y diagnóstico de sistemas Cisco Firepower". 

En aquel momento “Firepower” era la denominación del firewall de última generación (NGFW) de Cisco, y me centré entonces en la versión 6.4 para el desarrollo de los textos y procedimientos. 

En estos dos años es mucho el avance que se ha dado en estas tecnologías de seguridad: Cisco liberó la versión 7 y modificó la denominación de estos dispositivos que se denominan ahora “Secure Firewall”.

Todos esos cambios y actualizaciones son los que me llevaron a realizar esta actualización de aquel manual. Esta nueva versión está centrada, ahora, en la implementación de Cisco Secure Firewall Management Center versión 7.1.

Como aquella primera versión, esta ha sido redactada como material didáctico de apoyo para quienes participan de los cursos que dicto sobre este mismo tema; pero considero que también puede ser de utilidad para quienes desean recorrer este camino por la vía del autoestudio y buscan un material redactado en castellano.

Obviamente, lo que hay en este manual es solamente una selección y síntesis de lo que es posible realizar con una herramienta de seguridad muy poderosa y versátil; mucho más de lo que pueden entrar en estas pocas páginas. De ningún modo puedo agotar en tan poco espacio lo que se desarrolla en un manual de configuración oficial de más de dos mil páginas. Para el desarrollo de este manual, como dije antes, he tomado como referencia los sistemas Secure Firewall versión 7.1, pero ciertamente gran parte del mismo es completamente aplicable a las versiones 6.5 y siguientes.

Con la expectativa de que el manual que ahora tiene en sus manos le resulte de real utilidad, lo dejo a su consideración.

Nota importante:
Si se encuentra trabajando con un sistema versión 6.2 a 6.5, sugiero acuda a la versión anterior del manual (que por esto sigue estando disponible) para obtener un texto que esté alineado con la herramienta que está administrando.

Contenidos:

1. Introducción
    Firewall y NGFW
    Plataformas
    Opciones de gestión
    Licenciamiento
2. Registro de dispositivos en FMC
    Introducción
    Configuración inicial del sensor (FTD)
    Configuración inicial del FMC
    Registro del FTD en el FMC
3. Configuración inicial
    Propiedades generales del sensor
    Implementación de cambios en la configuración
4. Modelos de redundancia
    Modelos de redundancia disponibles
    Implementación del par de alta disponibilidad
    Implementación del clúster
    Modelo de tráfico a través del clúster
5. Enrutamiento
    Enrutamiento estático
    Enruamiento dinámico
    Redistribución y filtrado de rutas
6. NAT
    Formas de NAT soportadas en FTD
    NAT manual y Auto NAT
    Configuración de políticas NAT
7. Políticas de control de acceso
    Objetos
    Zonas de seguridad
    Políticas de control de acceso
    Configuración de políticas de control de acceso
8. Políticas avanzadas
    Políticas de intrusión de tráfico
    Políticas de filtrado de archivos y malware
    Security Intelligence
    Filtrado de URLs
    Orden de ejecución de procesos y políticas
    Políticas de prefiltrado
9. Monitoreo y diagnóstico de problemas
    Registro de eventos del sistema
    Reportería
    Packet Tracer
    Packet Capture
    Visualización de eventos
    Herramientas de diagnóstico del FMC
10. Administración del sistema
    Generación de copias de respaldo
    Restauración de copias de respaldo
    Actualización de software

Páginas: 168
Fecha de publicación: 1 de julio de 2022

Autor: 
Oscar A. Gerometta
CCSI / CCNA / CCDA / CCNA wir / CCNA sec / CCNP sec / CCNP Enterpr / CCBF
Docente y consultor con una trayectoria de más de 20 años en el área de networking. Autor de los primeros manuales en castellano para la preparación del examen de certificación CCNA que ha mantenido a lo largo de estos años.

Texto:
Manual que recoge introducciones teóricas sobre el funcionamiento y la arquitectura del sistema, junto con procedimientos de configuración y diagnóstico de problemas.

Para la compra:
"Implementación y diagnóstico de sistemas Cisco Secure Firewall versión 2.0" está disponible en formato e-book e impreso en papel, y se puede adquirir en línea ingresando al sitio de Ediciones Edubooks.

Para revisar las características de los ebooks de EduBooks ingresar aquí.
Para revisar las características de los impresos adquiridos en línea ingresar aquí.

Para alternativas de pago u otras consultas diríjase directamente a Ediciones EduBooks por correo electrónico escribiendo  a libros.networking@gmail.com

Para facilitar la compra de ebooks desdeBolivia
contactar a: libros.networking.bolivia@gmail.com


Como siempre, cualquier sugerencia que puedas hacer, será muy bien venida.



Estás invitado a seguirnos en Instagram:
https://www.instagram.com/libros.networking/

También podés participar de nuestro grupo en Facebook
https://www.facebook.com/groups/librosnetworking/

O si preferís redes sociales con mayor respeto de tu privacidad,
podés participar de nuestro grupo en VKontakte
https://vk.com/libros.networking

O también puedes seguir las principales novedades en el grupo de Telegram:
https://t.me/LibrosNetworking



Las abreviaturas y siglas utilizadas en este post puede encontrarlas desarrolladas en
que está disponible en la Librería en Línea de EduBooks.



18 de junio de 2022

¿Y WiFi 6e?

El último estándar aprobado para redes LAN inalámbricas (WLAN) y actualmente en proceso de adopción y despliegue es IEEE 802.11ax. Esta tecnología (que se conoció inmediatamente como WiFi 6 o WiFi de sexta generación)  nos permite alcanzar tasas de transmisión del orden de los 9,6 Gbps. Pero para esto, entre otros elementos, es necesario implementar canales de 160 MHz. de ancho.
La expansión del ancho de los canales (denominado "channel bonding") requiere de suficiente espacio en el especto de radiofrecuencia, lo cual es una limitación importante.
Cuando se trata de redes corporativas, en la banda de 2,4 GHz. no es posible implementar channel bonding porque espacio para no más de un canal de 40 MHz. La consecuencia es que en 2,4 GHz. se sigue operando con canales de 20 MHz de ancho de banda.
En la banda de 5 GHz. se pueden implementar sin mayores dificultades canales de 40 y 80 MHz. de ancho de banda, pero la implementación de canales de 160 MHz. como propone el estándar es compleja y solo es posible contar con 2 canales de 160 MHz. 
Este es el punto que viene a resolver WiFi 6e.


¿Qué es WiFi 6e?
Se trata de una extensión de WiFi 6 (y del estándar IEEE 802.11ax) hacia la banda de 6 GHz.
Se basa en IEEE 802.11ax incorporando ahora la capacidad de operar en la banda de 6 GHz, y con esto la posibilidad de implementar canales de 160 MHz. Esto habilita la posibilidad de contar con una red de alta capacidad (mayor velocidad y menor latencia) para terminales con capacidad de operar en esas frecuencias.
Los niveles bajos de congestión e interferencia en esta nueva frecuencia ayudan a optimizar la performance de los dispositivos WiFi 6e.
  • La habilitación del uso de la banda de 6 GHz. depende, en primer lugar, de la aprobación de cada organismo regulatorio nacional o regional.
    El primero en aprobarlo fue la FCC en abril de 2020, y a partir de ese momento diferentes organismos regulatorios han avanzado en el mismo sentido: Brasil, Chile, México, Unión Europea, Reino Unido, etc.
  • Se incorporan hasta 1,2 GHz adicionales entre los 5,925 y los 7,125 GHz.
    Esto permite contar con 14 canales de 80 MHz adicionales, o 7 canales de 160 MHz. De esta forma es posible reducir notablemente la actual congestión de las bandas de 2,4 y 5 GHz.
  • Inevitamente, por tratarse de una frecuencia más alta que las utilizadas hasta ahora, la penetración o alcance de la señal de 6 GHz es menor que la de las otras bandas.
  • Su aprovechamiento requiere APs y terminales que cuenten con una radio adicional que permita la operación en 6 GHz. Esos dispositivos se identifican como certificados WiFi 6e.
  • La implementación requiere una actualización de la infraestructura, cambiando los access points por dispositivos que incorporen esta radio adicional.
    Sin embargo esto no afecta a las terminales actualmente en uso ya que los access points WiFi 6e operan en las tres bandas: 2,4, 5 y 6 GHz. Consecuentemente, las terminales WiFi 4 (IEEE 802.11n), WiFi 5 (IEEE 802.11ac) y WiFi 6 (IEEE 802.11ax) pueden operar sin inconvenientes con APs WiFi 6e.
Beneficios de WiFi 6e
  • Velocidad
    Los terminales WiFi 6e pueden operar a tasas de transmisión mucho más altas aprovechando canales de 160 MHz de ancho de banda en la banda de 6 GHz.
    Por otra parte, en esta frecuencia no hay terminales legacy que operen en estándares anteriores con los cuales mantener compatibilidad y que por lo tanto pudieran afectar la performance de las conexiones inalámbricas.
    Esto hace WiFi 6e ideal para la transmisión de video de alta resolución, teleconferencias, aplicaciones de realidad aumentada (AR) y realidad virtual (VR), transferencia de grandes archivos, etc.
  • Seguridad 
    Como el resto de las implementaciones de IEEE 802.11ax incorpora a instancias de la Alianza Wi-Fi de modo obligatorio WPA3. Todo dispositivo WiFi 6 o WiFi 6e incorpora el nuevo marco de seguridad que es más robusto y seguro que sus predecesores. En el caso de dispositivos WiFi 6e es obligatoria la implementación de WPA3 sin compatibilidad con WPA2.
    Adicionalmente incorpora opcionalmente compatibilidad con Enhanced Open que se basa en OWE (Opportunistic Wireless Encryption - RFC 8110) para el cifrado de datos en redes abiertas (sin autenticación).

La implementación y despliegue de WiFi 6e permite a las empresas y organizaciones contar con una red inalámbrica de muy alta velocidad para tráfico crítico en la banda de 6 GHz, al mismo tiempo que cuenta con redes en las bandas de 2,4 y 5 GHz tradicionales para dispositivos y aplicaciones no críticos e invitados.
Entre las ventajas que introduce WiFi 6e se pueden enumerar:
  • Aprovechamiento de un espectro de radiofrecuencia ampliado hasta 2,5 veces.
  • Menos congestión, menos latencia, mejor performance.
  • Mejor seguridad.


Estás invitado a seguirnos en Instagram:
https://www.instagram.com/libros.networking/

También podés participar de nuestro grupo en Facebook
https://www.facebook.com/groups/librosnetworking/

O si preferís redes sociales con mayor respeto de tu privacidad,
podés participar de nuestro grupo en VKontakte
https://vk.com/libros.networking

O también puedes seguir las principales novedades en el grupo de Telegram:
https://t.me/LibrosNetworking



Las abreviaturas y siglas utilizadas en este post puede encontrarlas desarrolladas en
que está disponible en la Librería en Línea de EduBooks.


13 de junio de 2022

¿Qué pasa con WiFi 7?

En el ámbito de las tecnologías inalámbricas ha comenzado a hablarse de WiFi 7.
¿De qué se trata?

Lo primero que debo aclarar es que no estamos hablando de una tecnología que esté disponible comercialmente sino que está aún en desarrollo. Por lo tanto, no es momento de ir a comprar dispositivos de séptima generación.
Los dispositivos actualmente en despliegue a nivel global son los de sexta generación (WiFi 6 u 802.11ax). Los que se están incorporando a medida que los diferentes países aprueban las regulaciones necesarias con los denominados WiFi 6e que son dispositivos 802.11ax que extienden su operación a la banda de 6 GHz. Este es nuestro foco actualmente en lo que se refiere a tecnologías disponibles.

WiFi 7 es la próxima generación que obedece al desarrollo de los borradores del estándar IEEE 802.11be (aún en borrador). El calendario previsto supone que su aprobación debiera darse hacia mediados del año 2024.

Principales características
Sin embargo, siempre es importante tener una perspectiva de hacia dónde se mueve la tecnología, por lo que vale la pena revisar las principales caracterísiticas de este estándar en desarrollo:

  • Se presenta como una extensión de las novedades introducidas con IEEE 802.11ax.
  • Fecha estimada para la aprobación definitiva: mayo de 2024.
    A partir de esta fecha podemos esperar encontrar dispositivos comerciales WiFi 7.
  • Se propone como una red de alto throughput y baja latencia identificada con la denominación de EHT (Extremely High Throughput).
  • Opera en las bandas de 2,4, 5 y 6 GHz (llegaría hasta los 7,250 GHz.).
  • Introduciría MLO (Multi-Link Operation) lo que permitiría utilizar diferentes canales de diferentes bandas de modo dinámico para garantizar transmisiones de baja latencia.
  • También considera Multi-AP Operation que permite que un único cliente inalámbrico pueda conectarse a múltiples access-points simultaneamente.
  • Utiliza canales de hasta 320 MHz (esto explica la necesidad de incluir la banda de 6 GHz.).
  • Admite la utilización de hasta 16 cadenas de transmisión simultáneas (MIMO).
  • Incluye modulación OFDMA (como 802.11ax) utilizando 4096 QAM.
  • Tasa de transferencia (data rate) de hasta 48 Gbps, con un throughput aproximado de hasta 30 Gbps.
    Estos valores de throughput son todavía estimaciones preliminares y se deberemos esperar a contar con el estándar definitivo y los productos que lo implementen para poder hacer las necesarias pruebas de laboratorio.
  • Se prevé compatibilidad con las versiones anteriores del estándar.



En este momento hay en el mercado algunos dispositivos que si bien no se identifican como WiFi 7 (no existe en este momento una certificación WiFi 7 que permita presentarse con esa denominación), permiten testear estas características de operación. También algunos fabricantes han anunciado desarrollo de hardware que van en este sentido.
Pero claro, habrá que esperar hasta la aprobación del estándar definitivo para plantearnos su implementación en redes corporativas.


Estás invitado a participar de nuestro grupo en Facebook
https://www.facebook.com/groups/librosnetworking/

O si preferís redes sociales con mayor control de tu privacidad,
podés participar de nuestro grupo en VKontakte
https://vk.com/libros.networking

O también puedes seguir las principales novedades en el grupo de Telegram:
https://t.me/LibrosNetworking



Las abreviaturas y siglas utilizadas en este post puede encontrarlas desarrolladas en
que está disponible en la Librería en Línea de EduBooks.