Mis Libros de Networking: noviembre 2023

30 de noviembre de 2023

Cisco Talos Intelligence Group

Cisco Talos Intelligence Group es la división de inteligencia de seguridad centralizada de Cisco Systems.

La inteligencia de amenazas producida por Talos es la base de información que utilizan diferentes productos y servicios Cisco Secure, incluidos los sistemas de prevención y detección de malware (antes AMP), la detección de intrusiones en los firewalls de última generación (Secure Firewall), la detección de sitios maliciosos en múltiples productos (Secure Email, Secure Web), etc.

Talos fue fundado en el año 2007 como la división de inteligencia de amenazas de la empresa Sourcefire. Cuando en 2013 Cisco adquirió Sourcefire, Talos se convirtió en su servicio de inteligencia de amenazas y se integró como parte de Cisco.

Hoy Talos cuenta con una red global de cientos de investigadores de amenazas especializados en diferentes áreas que recopilan y analizan datos de amenazas de todo el mundo. Estos datos incluyen información sobre malware, vulnerabilidades, formatos de ataque y otras actividades maliciosas que surgen diariamente. Talos utiliza estos datos, además, para producir información de inteligencia de amenazas que se incorpora en diferentes productos y que ayuda a las organizaciones a protegerse de diferentes amenazas de ciberseguridad.

Para generar esta información Talos cuenta con una infraestructura tecnológica propia dedicada a esta tarea, de alcance global, que incluye múltiples data centers y robots de escaneo de Internet que le permiten detectar, analizar y catalogar cualquier servicio nuevo que aparece en la red global en cuestión de horas.

A esta infraestructura hay que sumar múltiples productos de seguridad implementados por los clientes de Cisco que operan en tiempo real conectados a la nube de Talos y que aportan información sobre ataques en desarrollo, infecciones de malware, ataques de día cero, ataques de phishing, DOS, etc. Entre los productos que operan con la nube de Talos se encuentran Secure Firewall Management Center (FMC), Secure Email, Secure Web, Secure Network Analytics, Umbrella, Cognitive Threat Analytics (CTA) y Advance Malware Protection (AMP).

Hoy es una de los equipos de inteligencia de amenazas comerciales más grandes del mundo.

Talos mantiene además varias comunidades open source y diferentes bibliotecas de reglas utilizadas en múltiples herramientas de seguridad: las reglas Snort (para la inspección de tráfico), ClamAV (algoritmo de análisis de malware local) y SpamCop (detección de spam en el correo electrónico).

La inteligencia de amenazas de Talos se proporciona a través de una variedad de canales, incluidos:

Talos Threat Intelligence Feed
Un servicio de suscripción que proporciona información de sitios maliciosos en tiempo real.
Talos Intelligence Portal
El portal web que ofrece acceso a múltiples recursos de inteligencia de amenazas, incluidos informes, análisis y herramientas.
Talos Incident Response
Servicio que ayuda a las organizaciones a responder a las amenazas de ciberseguridad.

En particular, Cisco Talos ofrece los siguientes servicios:

Inteligencia de amenazas
Talos recopila y analiza datos de amenazas de todo el mundo para proporcionar a las organizaciones información sobre las últimas amenazas cibernéticas.
Investigación de vulnerabilidades
Talos investiga vulnerabilidades en software y hardware para ayudar a las organizaciones a mitigar los riesgos de seguridad. El resultado de estas investigaciones es publicado directamente por Talos e informado a la base común de vulnerabilidades global.
Respuesta a incidentes:
Talos brinda ayuda a las organizaciones para responder a amenazas y ataques incluidas intrusiones, infecciones de malware y ataques DDoS.

Para consultar la información producida por Talos:

Cisco Talos es el grupo de investigación líder en inteligencia de amenazas y ciberseguridad. Sus servicios ayudan a las organizaciones de todos los tamaños a protegerse de estas amenazas.

Los manuales que publico los podés adquirir en el sitio web de EduBooks: https://www.edubooks.com.ar/

Los cursos on line que desarrollo se pueden adquirir a través del sitio web de Educática: https://www.educatica.com.ar/

Estás invitado a seguirme en Instagram:
https://www.instagram.com/libros.networking/

También podés participar de nuestro grupo en Facebook:
https://www.facebook.com/groups/librosnetworking/

O si preferís redes sociales con mayor respeto de tu privacidad,
podés participar de nuestro grupo en VKontakte
https://vk.com/libros.networking

O también puedes seguir las principales novedades en el grupo de Telegram:
https://t.me/LibrosNetworking

Las abreviaturas y siglas utilizadas en este post puede encontrarlas desarrolladas en

el Glosario de Siglas y Términos de Networking

que está disponible en la Librería en Línea de EduBooks.

18 de noviembre de 2023

EtherChannel: Distribución de la carga de tráfico

Cuando configuramos un EtherChannel o Link Aggregation se constituye una interfaz de canal lógica en la que termina un enlace lógico en el que se asocian varios enlaces físicos para transportar paquetes a través de la infraestructura. Esos paquetes se distribuirán entre los enlaces físicos en función de lo que establece el mecanismo de distribución de la carga de tráfico intrínseco al link aggregation e independiente de otras implementaciones.

La distribución de la carga se realiza entre los enlaces físicos activos que forman parte del mismo canal lógico. Según la plataforma de hardware en la que estemos trabajando se pueden implementar uno o más métodos de distribución de carga. Estos métodos incluyen el balanceo de tráfico en función de la MAC de origen o de destino, o la dirección IP de origen o de destino, a través de los enlaces físicos. Algunos métodos pueden incluir también los puertos de capa de transporte de origen y destino.

El objetivo de equilibrar la carga no es solo utilizar todos los enlaces disponibles sino también garantizar que los paquetes con la misma información de encabezados (y que por lo tanto pertenecen a la misma sesión o flujo) se reenvíen a través del mismo enlace físico para evitar una posible entrega de paquetes desordenada.

El equilibrio de carga se realiza a nivel del hardware y está habilitado de forma predeterminada.

Los canales virtuales incorporan esta función de distribución del tráfico basada en los encabezados de los paquetes. Para esta tarea se genera un hash que brinda un patrón binario a partir de información específica de alguno de los encabezados de cada paquete. Todos los paquetes que tengan igual hash serán enviados a través del mismo enlace físico; por este motivo la distribución de carga no es exactamente igual entre todos los enlaces físicos.

La combinación posible de campos utilizados para generar el hash que define el enlace que se utiliza para hacer el envío varía de acuerdo a la plataforma. En switches Cisco, las opciones posibles son:

La selección del modo de balanceo de carga es una opción de configuración global, por lo tanto, afecta a todos los canales virtuales configurados en un mismo dispositivo. No es posible utilizar diferentes métodos para diferentes canales.

En caso de duda se pueden verificar las opciones disponibles en un dispositivo utilizando el siguiente comando:

Switch#configure terminal

Switch(config)#port-channel load-balance ?

El algoritmo de hash (una operación XOR) da un producto que brinda un patrón binario de unos y ceros. Se utiliza ese patrón binario para definir a través de qué enlace se envía la trama. Con este propósito el sistema también identifica cada uno de los puertos físicos del canal con un patrón binario.

Por ejemplo, si consideramos un canal virtual integrado por 4 enlaces físicos, cada enlace será identificado consecutivamente con uno de los siguientes patrones: 00, 01, 10 y 11.

Un canal virtual compuesto por 2 enlaces físicos, utiliza 1 bit para identificar a cada uno de esos enlaces; un canal virtual de 4 enlaces, utiliza 2 bits para identificar a cada uno; y un canal virtual de 8 enlaces utiliza 3 bits para identificar a cada uno.

De allí que la sugerencia de diseño es que los enlaces link aggregation estén conformados para 2, 4 u 8 enlaces físicos (siempre potencias de 2).

Este mecanismo de distribución de la carga asegura que todas las tramas y/o paquetes de las comunicaciones entre 2 dispositivos sean reenviados utilizando el mismo enlace físico mientras esté disponible.
Si se opta por distribuir la carga en función de direcciones IP, cuando el canal virtual recibe tráfico no IP lo distribuirá en función de las direcciones MAC.
Cuando la cantidad de enlaces físicos no es una potencia de 2 la distribución de carga no se hará de modo uniforme ya que deberá utilizar algunos enlaces físicos más que otros.
No es posible controlar qué comunicación se envía a través de qué puerto.

Los manuales que publico los podés adquirir en el sitio web de EduBooks: https://www.edubooks.com.ar/

Los cursos on line que desarrollo se pueden adquirir a través del sitio web de Educática: https://www.educatica.com.ar/

Estás invitado a seguirme en Instagram:
https://www.instagram.com/libros.networking/

También podés participar de nuestro grupo en Facebook:
https://www.facebook.com/groups/librosnetworking/

Las abreviaturas y siglas utilizadas en este post puede encontrarlas desarrolladas en

el Glosario de Siglas y Términos de Networking

que está disponible en la Librería en Línea de EduBooks.

El Autor

Oscar Gerometta es Instructor desde 1999 y ha certificado como CCAI, CCSI y CCBF.
Ha capacitado a miles de técnicos y preparado para obtener sus certificaciones a cientos de ellos incluyendo CCNA R&S, CCNP R&S, CCDA, CCNAsec, CCNAwi, CCNPsec, CCNPwi. Es consultor, redactor y docente en diferentes áreas vinculadas a las TICs. Sus publicaciones incluyen la primer Guía de Preparación para el Examen de Certificación CCNA en español.

Se autoriza la reproducción de los materiales de este blog citando la fuente e incluyendo un enlace al mismo.

http://about.me/ogerometta