27 de enero de 2024

Claves de autenticación seguras o claves fuertes

La seguridad se ha convertido en un punto de referencia obligatorio en la actualidad, y la seguridad en el acceso de los usuarios un tema de suma importancia.

No solo las redes inalámbricas debieran requerir autenticación de usuarios, sino todo acceso a la red (incluyendo las terminales de escritorio con conexión cableada y los teléfonos) y toda aplicación. La seguridad de los datos personales o de la información personal (IP en algunos documentos) es un tema que incluso puede tener implicaciones legales.

Con lo que la autenticación del usuario es un tema de singular importancia hoy.

Mecanismos de autenticación

Al momento de acreditar la identidad en un acceso a la red o a un recurso, hay 3 mecanismos posibles a utilizar:

  • Usar algo que se conoce
    Es el mecanismo quizás más habitualmente utilizado.
    Es por ejemplo el uso de una clave o un PIN para acreditar identidad.

  • Presentar algo que se tiene
    Se trata de un elemento físico o lógico que identifica.
    Es el caso de los tokens USB o un certificado digital que sirven para acreditar identidad.
    Suele implementarse en sistemas que requieren un mayor nivel de seguridad.

  • Utilizar algo que quien desea ingresar es
    El ejemplo más habitual es el uso de biometría: reconocimiento facial, de huella digital, etc.

Al momento de buscar sistemas más seguros o robustos se suele utilizar la autenticación de factor múltiple (MFA) o de factor dual. En ese caso la verificación de identidad se realiza utilizando al menos 2 elementos de diferente tipo.

Por ejemplo, hay autenticación de factor dual cuando se utiliza la verificación de una clave de acceso o PIN (algo que se sabe o conoce) y huella digital (algo que se es). No es autenticación de múltiple factor cuando se requiere usuario y clave, usuario y PIN, clave y PIN o semejantes.


Creo que el mecanismo más habitualmente utilizado para la acreditación de identidad tanto en los sistemas de acceso a recursos como en aplicaciones es la clave. Incluso los sistemas que requieren autenticación de factor múltiple suelen requerir una clave o PIN como elemento conocido.

Las claves se han convertido en un elemento recurrente en la cultura del siglo XXI. Tenemos una clave para acceder a nuestro teléfono, pero también una para el acceso al sistema bancario; una clave para nuestro correo electrónico personal y también una para el acceso a recursos en nuestra área de trabajo. Las claves están presentes en todas circunstancia y situaciones, tanto personales como laborales.

Esto hace que se constituyan en un elemento fundamental para asegurar el acceso a datos reservados y/o personales, y por lo tanto un elemento central en todo intento de violar la privacidad o confidencialidad de esos datos.

Seguramente todos nosotros hemos escuchado una serie de recomendaciones respecto de estas claves:

  • Las claves son de uso personal y no deben ser compartidas con nadie.
  • Deben utilizarse diferentes claves para diferentes sistemas.
  • Las claves no deben documentarse de cualquier forma, si se lo hace, hacerlo de modo igualmente seguro.
  • Las claves deben ser utilizadas de modo seguro, de modo tal de evitar que alguien acceda a ellas al momento de ingresarlas en un sistema.
  • Debe ser ingresadas exclusivamente en sistemas seguros.
  • En caso de duda, no debe ingresarse la clave.
  • Se deben utilizar "claves seguras"

¿Qué es una clave segura?

Para comprender el concepto de clave segura debemos conocer antes los mecanismos de ataque que se suelen utilizar para violar la privacidad o confidencialidad de los datos.

Hay en este punto múltiples mecanismos desplegados por posibles atacantes como son la ingeniería social o la captura de claves, mecanismos que pueden ser contrarrestados a partir de reglas de comportamiento seguras como las que mencioné antes (no compartir las claves, etc.). Pero cuando estos mecanismos de ataque se agotan hay uno que es siempre posible y que es conocido como "ataque de fuerza bruta".

Un ataque de fuerza bruta es un método de prueba y error utilizado para obtener contraseñas, claves de cifrado u otra información de acceso a sistemas. El atacante prueba todas las combinaciones posibles de caracteres hasta encontrar la correcta.

Por ejemplo, si tenemos una caja fuerte con una combinación de 4 dígitos, el atacante de fuerza bruta probaría todas las combinaciones posibles desde 0000 a 9999, una por una, hasta encontrar la que abre la caja fuerte. Con 4 dígitos hay 10.000 combinaciones posibles a probar.

¿Qué es una clave segura o fuerte, entonces?

Una clave segura es una cadena de caracteres lo suficientemente larga y compleja para que un ataque de fuerza bruta se vuelva difícil o ineficaz.

Características de una clave segura

Hay que considerar en este punto algunos principios básicos:

  • Los caracteres de la contraseña deben ser lo más aleatorios posible. 
    Es necesario evitar correlaciones lógicas entre caracteres como pueden ser palabras del diccionario (el ataque de diccionario suele ser la primera etapa de un ataque de fuerza bruta) o patrones lógicos o físicos de caracteres. Por ejemplo, elegir caracteres por su posición en el teclado como puede ser "QWErty123".

  • Evitar caracteres en combinaciones frecuentes.
    Por ejemplo, en los idiomas occidentales es poco frecuente una secuencia de consonantes y cuando son 3 consonantes consecutivas se incluye generalmente una "h", una "l" o una "r". Hay letras que son utilizadas más frecuentemente según el idioma, como la "e" en el inglés o la "a" en el castellano.
    En un ataque de fuerza bruta se tiene estos puntos en cuenta para iniciar por allí la búsqueda.

  • Cuidado con los generadores de claves.
    Muchos generadores de claves (servicios en línea o aplicaciones) son cazabobos desarrollados para capturar credenciales.
    Otros son legítimos y ofrecen generar claves "al azar". Pero esta generación se hace utilizado variables pseudorandom, es decir, no son realmente al azar sino que simulan serlo. La consecuencia de esto es que las claves que se generan presentan patrones comunes o incluso se repiten. Esto también facilita la tarea de los atacantes.

  • Utilice la mayor variedad de caracteres posibles.
    Cuando se utilizan contraseñas de una determinada cantidad de caracteres, si esos caracteres son simplemente letras, la cantidad de contraseñas diferentes posibles es 26 elevado a la N, donde N es la cantidad de caracteres de la contraseña.

    Si la contraseña es de 8 caracteres la cantidad de variantes es 26 a la 8 = 208.827.064.576 claves posibles.
    Si la contraseña es de 10 caracteres la cantidad de variantes es 26 a la 10 = 141.167.095.653.376 claves posibles.
    Consecuencia: cuando mayor es la cantidad de caracteres, más difícil será el ataque de fuerza bruta.

El otro elemento sobre el que se puede trabajar, es sobre cada uno de los diferentes caracteres. Si son simplemente letras hay 26 caracteres posibles en cada posición, pero si se utilizan letras mayúsculas y minúsculas combinadas hay 56 caracteres posibles, y si se suman caracteres especiales (-_%$#!) pueden ser 60, 62 o más.

Así, en nuestro ejemplo, una contraseña de 10 caracteres la cantidad de variantes será 62 a la 10 = 839.299.365.868.340.224 claves posibles.

Y si llevamos la longitud a 12 caracteres, la cantidad de claves posibles será 62 a la 12 = 3.226.266.762.397.899.816.960


De ahí que en la actualidad la sugerencia para tener una clave segura es:

  • Longitud mínima, 12 caracteres
  • Que no incluya palabras, nombres o fechas, sea al derecho o al revés
  • Que incluya letras (mayúsculas y minúsculas), números y caracteres especiales
  • Seleccionados aleatoriamente

¿Cuál es el problema?

El problema está en los sistemas de autenticación que utilizamos en los mecanismos de control de acceso y en la autenticación de aplicaciones y otros sistemas.

Aún el día de hoy:

  • Encontramos sistemas de autenticación que no admiten claves de más de 8 caracteres (incluso, a veces, menos).
  • Muchos sistemas no discriminan mayúsculas y minúsculas, o no admiten números.
  • Muchos sistemas no admiten caracteres especiales, y cuando se admiten no siempre son los mismos.

Esto hace que muchas veces sea complicado definir políticas de claves clara y consistente ya que no todos los sistemas admiten las mismas características.

Sin embargo, al día de hoy hay muchos sistemas de autenticación en el mercado que permiten definir (aún cuando se deja al usuario elegir la clave) parámetros tales como una longitud mínima admitida para la clave, qué caracteres son admitidos (incluidos qué caracteres especiales se incluyen), se pueden excluir cadenas de caracteres permitidas (por ejemplo no permito incluir la palabra "cisco" al derecho o al revés), definir períodos de renovación obligatorios y obligar a no repetir las claves.

Es decir, hay en el mercado mecanismos eficientes que permiten proteger los accesos. Solo es necesario tener esto presente al momento de definir las políticas de claves para las aplicaciones propietarias o los sistemas que se van a contratar para la autenticación de los usuarios.


Los manuales que publico los podés adquirir en el sitio web de EduBookshttps://www.edubooks.com.ar/

Los cursos on line que desarrollo se pueden adquirir a través del sitio web de Educáticahttps://www.educatica.com.ar/

Estás invitado a seguirme en Instagram:
https://www.instagram.com/libros.networking/

También podés participar de nuestro grupo en Facebook
https://www.facebook.com/groups/librosnetworking/

O si preferís redes sociales con mayor respeto de tu privacidad,
podés participar de nuestro grupo en VKontakte
https://vk.com/libros.networking

O también puedes seguir las principales novedades en el grupo de Telegram:
https://t.me/LibrosNetworking



Las abreviaturas y siglas utilizadas en este post puede encontrarlas desarrolladas en
que está disponible en la Librería en Línea de EduBooks.




 

16 de enero de 2024

Nueva interfaz gráfica de ACP en FMC versión 7.x (video)

Esta es una demostración realizada sobre una maqueta que implementa Cisco Secure Firewall versión 7.2.0, que implementa FMC y FTD de la interfaz gráfica (GUI) incorporada para configurar políticas de control de acceso

Durante la demo se revisan las diferentes opciones y posibilidades que ofrece esta nueva interfaz de uso opcional. 

Este Laboratorio no es parte de ningún curso, pero supone conocimientos que podés obtener en el curso "Cisco Secure Firewall versión 7.2" de Educática.

Como siempre, cualquier sugerencia que puedas hacer, será muy bien venida.



Los manuales que publico los podés adquirir en el sitio web de EduBookshttps://www.edubooks.com.ar/

Los cursos on line que desarrollo se pueden adquirir a través del sitio web de Educáticahttps://www.educatica.com.ar/

Estás invitado a seguirme en Instagram:
https://www.instagram.com/libros.networking/

También podés participar de nuestro grupo en Facebook
https://www.facebook.com/groups/librosnetworking/

O si preferís redes sociales con mayor respeto de tu privacidad,
podés participar de nuestro grupo en VKontakte
https://vk.com/libros.networking

O también puedes seguir las principales novedades en el grupo de Telegram:
https://t.me/LibrosNetworking



Las abreviaturas y siglas utilizadas en este post puede encontrarlas desarrolladas en
que está disponible en la Librería en Línea de EduBooks.


13 de enero de 2024

Configuración de VPNs IPsec site-to-site estáticas con IKEv2


Las VPNs IPsec son un recurso de conectividad cada vez más frecuente. La implementación de servicios de nuble (cloud) de diferente tipo no ha hecho más que aumentar su implementación en las redes corporativas.

Hay dos tipos principales de VPNs IPsec: site-to-site y acceso remoto.

Cisco introduce la posibilidad de implementar este recurso en diferentes dispositivos, básicamente en routers y firewalls (también pueden utilizarse otros dispositivos). Tanto Cisco IOS, como IOS-XE y ASA soportan su configuración. Pero aún dentro de estos sistemas operativos hay diferentes modos de configuración; el primero y quizás más conocido es la configuración utilizando crypto maps estáticos. Sin embargo, hoy Cisco sugiere, para configuraciones sobre IOS, IOS-XE o ASA la configuración utilizando SVTI (interfaces virtuales de túnel estáticas) con IKEv2.

Sobre este tipo de configuración voy a centrarme en este post.

Procedimiento de configuración

  1. Configurar la negociación IKE entre los puntos terminales de la VPN.
  2. Opcionalmente configurar el transform set y el perfil de IPsec
  3. Configurar la interfaz de túnel virtual (VTI).
  4. Configurar el enrutamiento necesario para publicar las redes que se desea sean accesibles a través de la interfaz de túnel.

Un esquema completo y ordenado de los pasos de configuración necesarios es el siguiente:

  • Configuración de IKEv2
    • Definición de "IKEv2 proposal"
      • Cifrado (AES-CBC/AES-GCM/SEAL)
      • Integridad (SHA-2)
      • Intercambio de claves (DH14/DH16/DH19/DH20/DH24)
    • Configuración de la política IKEv2
    • Configuración del perfil IKEv2
      • Identidad remota
      • Identidad local
      • Autenticación remota (PSK/RSA/ECDSA)
      • Autenticación local
      • Llavero local

Un ejemplo:

crypto ikev2 proposal PROPUESTA1 

 encryption aes-cbc-128

 integrity sha256

 group 19

!

crypto ikev2 policy POLITICA

 proposal PROPUESTA1

!

crypto ikev2 keyring LLAVERO

 peer ROUTER_PEER

  address 198.51.100.123

  pre-shared-key local 7c2FKFgNNy

  pre-shared-key remote cpi9w43gYB

 !

crypto ikev2 profile PERFIL

 match identity remote address 198.51.100.123 255.255.255.255

 identity local address 192.0.2.123

 authentication remote pre-share

 authentication local pre-share

 keyring local LLAVERO

 

  • Configuración de IPsec
    • Definición del transform set
      • Encapsulación (ESP/AH)
      • Cifrado (AES/SEAL)
      • Integridad (SHA-2)
      • Modo (Transporte/Túnel)
    • Definición del perfil IPsec
      • Transform set
      • Perfil IKEv2

Continuemos con el ejemplo:

crypto ipsec transform-set VPN1 esp-aes esp-sha256-hmac mode tunnel

!

crypto ipsec profile PERFILIPsec

 set transform-set VPN1

 set ikev2-profile PERFIL


Cisco IOS incluye tanto para la configuración de IKEv2 como de IPsec perfiles por defecto llamados "Smart Defaults" que pueden ser invocados en la configuración sin necesidad de definir cada uno de los parámetros mencionados antes.

Por otro lado, los parámetros mencionados pueden variar de acuerdo a las definiciones operativas que se hagan para la VPN concreta. Por ejemplo, la autenticación de IKEv2 puede realizarse utilizando RSA en lugar de una clave pre-compartida (PSK) como en el ejemplo.

Lo que presento aquí es solamente un ejemplo que puede servir de referencia.

Finalmente, hay que configurar la interfaz túnel

  • Configuración de la interfaz de túnel virtual (VTI)
    • Direccionamiento IP
    • Interfaz física que que inicia el túnel
    • Encapsulación que utiliza el túnel
    • IP destino del túnel
    • Perfil IPsec que se aplica al túnel

Para completar el ejemplo:

interface Tunnel0

 ip address 192.168.1.1 255.255.255.0

 tunnel source GigabitEthernet0/1

 tunnel mode ipsec ipv4

 tunnel destination 198.51.100.123

 tunnel protection ipsec profile PERFILIPsec


Espero que este ejemplo sirva como introducción para aquellos que están intentando comprender la configuración de VPNs IPsec point-to-point  y para que profundicen en un tema realmente complejo y con múltiples opciones diferentes.



Los manuales que publico los podés adquirir en el sitio web de EduBookshttps://www.edubooks.com.ar/

Los cursos on line que desarrollo se pueden adquirir a través del sitio web de Educáticahttps://www.educatica.com.ar/

Estás invitado a seguirme en Instagram:
https://www.instagram.com/libros.networking/

También podés participar de nuestro grupo en Facebook
https://www.facebook.com/groups/librosnetworking/

O si preferís redes sociales con mayor respeto de tu privacidad,
podés participar de nuestro grupo en VKontakte
https://vk.com/libros.networking

O también puedes seguir las principales novedades en el grupo de Telegram:
https://t.me/LibrosNetworking



Las abreviaturas y siglas utilizadas en este post puede encontrarlas desarrolladas en
que está disponible en la Librería en Línea de EduBooks.




 

5 de enero de 2024

Configuración de Syslog en FMC (video)

Esta es una demostración realizada sobre una maqueta que implementa Cisco Secure Firewall versión 7.2.0, que implementa FMC y FTD.

Durante la demo revisaremos como asociar un servidor Splunk utilizando protocolo Syslog al FMC y a continuación al FTD. 

Este Laboratorio no es parte de ningún curso, pero supone conocimientos que podés obtener en el curso "Cisco Secure Firewall versión 7.2" de Educática.

Como siempre, cualquier sugerencia que puedas hacer, será muy bien venida.



Los manuales que publico los podés adquirir en el sitio web de EduBookshttps://www.edubooks.com.ar/

Los cursos on line que desarrollo se pueden adquirir a través del sitio web de Educáticahttps://www.educatica.com.ar/

Estás invitado a seguirme en Instagram:
https://www.instagram.com/libros.networking/

También podés participar de nuestro grupo en Facebook
https://www.facebook.com/groups/librosnetworking/

O si preferís redes sociales con mayor respeto de tu privacidad,
podés participar de nuestro grupo en VKontakte
https://vk.com/libros.networking

O también puedes seguir las principales novedades en el grupo de Telegram:
https://t.me/LibrosNetworking



Las abreviaturas y siglas utilizadas en este post puede encontrarlas desarrolladas en
que está disponible en la Librería en Línea de EduBooks.


2 de enero de 2024

Modelos de servicios de nube públicos

En la actualidad, la evolución de las tecnologías de nube y su propuesta comercial ha llevado a una amplia variedad de propuestas de servicios, muchas de ellas no fácilmente clasificables.
Pero más allá de esta diversidad, hay un sistematización básica en 4 categorías que suele utilizarse regularmente: IaaS, PaaS, SaaS y XaaS.

IaaS
Modelo de cómputo en la nube donde los clientes pueden acceder y usar una infraestructura informática virtualizada. 
El proveedor de servicios administra el hardware subyacente, el data center y la infraestructura de red, mientras que los clientes mantienen el control sobre sus aplicaciones y sistemas operativos. 
IaaS ofrece flexibilidad, implementación rápida y la capacidad de que la organización cliente se centre en las funciones comerciales principales delegando en el proveedor la preocupación por la infraestructura técnica, lo que la convierte en una opción atractiva para muchas organizaciones.
Todo el proceso de provisionamiento de los recursos está automatizado, eliminando la necesidad de configuración manual de direcciones IP, etc. Como resultado, la implementación de los recursos de cómputo es un proceso rápido y eficiente.
Características:
  • Provisiona recursos de cómputo.
  • El cliente puede implementar y ejecutar software de su elección.
  • El cliente no administra ni controla la infraestructura subyacente.
  • El proveedor factura sus servicios según consumo, con una estructura de costos predecible y escalable.
El servicio generalmente se factura en base a la infraestructura virtual que se aplica y la cantidad de recursos que se consumen. IaaS es una evolución de las ofertas de servidores privados virtuales.
Ejemplos de servicios en el modelo IaaS:
- Amazon Web Services EC2
- Microsoft Azure
- IBM Cloud
- Google Compute Engine
- Oracle Cloud Infrastructure


PaaS
PaaS entrega como servicio una plataforma de cómputo y una conjunto de soluciones como servicio. Facilita la implementación de aplicaciones sin el costo y la complejidad de comprar y administrar el hardware y el software subyacentes a lo que se agrega el alojamiento. 
Proporciona toda la infraestructura de hardware y software necesaria para soportar el ciclo de vida completo de la creación y entrega de aplicaciones y servicios web desde Internet. Esto reduce los costos , simplifica las operaciones y agiliza el desarrollo e implementación de soluciones basadas en la web.
Por ejemplo, como desarrollador de código PHP, puede aprovechar PaaS para optimizar la configuración y el mantenimiento de su entorno de desarrollo. En lugar de dedicar tiempo a configurar y administrar la infraestructura, PaaS le permite elegir una configuración de entorno predefinida de una lista y especificar los requerimientos de CPU, memoria y recursos de almacenamiento necesarios para su aplicación. Esto reduce significativamente el tiempo y el esfuerzo necesarios para montar su entorno de desarrollo. 
Características:
  • Puede implementar aplicaciones que se crean utilizando lenguajes de programación, bibliotecas, servicios y herramientas que soporta el proveedor.
  • El cliente no administra ni controla la infraestructura subyacente.
Generalmente incluye un sistema operativo, un entorno de ejecución de lenguaje de programación, una base de datos y un servidor web.
Las aplicaciones pueden incluir mecanismos para el diseño, desarrollo, pruebas, implementación y alojamiento de aplicaciones. Las ofertas también pueden incluir servicios de aplicación como colaboración en equipo, integración y clasificación de servicios web, integración de bases de datos, seguridad, escalabilidad, almacenamiento, persistencia, versionado de aplicaciones, instrumentación de aplicaciones, etc.
Ejemplos de servicios PaaS:
  • AWS Elastic Beanstalk
  • Red Hat OpenShift
  • Microsoft Azure
  • Google App Engine

SaaS
Modelo de servicios en la nube en el que el proveedor de servicios en la nube ofrecen aplicaciones o software completamente funcionales para clientes finales. La definición NIST del modelo de servicio SaaS establece que permite al consumidor usar las aplicaciones del proveedor, que se ejecutan en la infraestructura en la nube. 
Se puede acceder a las aplicaciones desde varios dispositivos cliente a través de una interfaz de cliente simple, como un navegador web o una interfaz de software (aplicación). El cliente, en este caso, no administra ni controla la infraestructura de nube subyacente. La infraestructura incluye networking, servidores, sistemas operativos, almacenamiento e incluso capacidades de aplicaciones individuales.
Por ejemplo, una persona desea abrir una tienda en línea y carece de experiencia técnica o un presupuesto acorde. Al optar por una solución SaaS, ese cliente puede configurar rápidamente su tienda en línea con mínimo esfuerzo ya que la plataforma proporciona plantillas y funcionalidades prediseñadas. Evita la preocupación por el mantenimiento, las actualizaciones o la contratación de expertos, ya que estos aspectos son manejados por el proveedor de SaaS. La estructura de costos es predecible, pagando un monto mensual fijo por el servicio, lo que ayuda en la planificación presupuestaria y el control de costos. Características:
  • Los clientes pueden usar las aplicaciones de proveedores que se ejecutan en una infraestructura en la nube.
  • Se puede acceder a las aplicaciones desde varios dispositivos cliente.
  • El cliente no administra ni controla la infraestructura de nube subyacente.
  • Las aplicaciones pueden ejecutarse parcial o completamente en el entorno del proveedor.
Ejemplos de servicios SaaS:
  • Cisco Webex
  • Cisco Meraki
  • Microsoft 365
  • Shopify
  • Salesforce
  • Slack
  • Gmail

XaaS (Cualquier cosa como servicio)
Término que describe todo lo que se puede ofrecer como un servicio de IT basado en la nube. XaaS incluye una amplia gama de categorías de servicios con una larga lista de productos en cada categoría. 
Los servicios en la nube que se ofrecen todavía se clasifican en los tres modelos de servicio principales: IaaS, PaaS y SaaS. Sin embargo, la necesidad de dar una descripción más granular de los servicios específicos que ofrecen los diferentes proveedores de servicios de nube condujo a la adopción y el amplio uso de XaaS:
  • AaaS: Autenticación como servicio
  • DaaS: Escritorio como servicio
  • DRAaS: Recuperación de desastres como servicio
  • ITAAS: IT como servicio
  • STAaS: Almacenamiento como servicio
  • NaaS: Red como servicio
  • MaaS: Monitoreo o gestión como servicio.
  • UCaaS: Comunicaciones unificadas como servicio
  • CaaS: Contenedores como servicio
  • DBaaS: Base de datos como servicio




Los manuales que publico los podés adquirir en el sitio web de EduBookshttps://www.edubooks.com.ar/

Los cursos on line que desarrollo se pueden adquirir a través del sitio web de Educáticahttps://www.educatica.com.ar/

Estás invitado a seguirme en Instagram:
https://www.instagram.com/libros.networking/

También podés participar de nuestro grupo en Facebook
https://www.facebook.com/groups/librosnetworking/

O si preferís redes sociales con mayor respeto de tu privacidad,
podés participar de nuestro grupo en VKontakte
https://vk.com/libros.networking

O también puedes seguir las principales novedades en el grupo de Telegram:
https://t.me/LibrosNetworking



Las abreviaturas y siglas utilizadas en este post puede encontrarlas desarrolladas en
que está disponible en la Librería en Línea de EduBooks.