Mis Libros de Networking: Security

Mostrando las entradas con la etiqueta Security. Mostrar todas las entradas

13 de mayo de 2024

Root Guard

Contenido del temario CCNA 200-301 v1.1
Este material ya se encuentra agregado al curso Network Associate (CCNA 200-301)

STP es el responsable de calcular la topología activa de la red conmutada a nivel de enlaces capa 2. Ese cálculo se basa en la posición del bridge raíz, entre otros parámetros. Cualquier switch puede, en principio, ser el bridge raíz en la red.

Una topología activa óptima es la que selecciona como bridge raíz el switch que ocupa una ubicación específica determinada por diseño de la red para optimizar los flujos de tráfico. Con el STP estándar, cualquier switch con un Bridge ID más bajo puede tomar el rol de bridge raíz. El Bridge ID es la única herramienta con la que cuenta el Administrador para plasmar ese diseño a través de la selección del bridge raíz.

La función Root Guard nos proporciona una manera de forzar la elección del bridge raíz en la red para que responda siempre al diseño inicial.

Root Guard garantiza que el puerto en el que está habilitado sea el puerto designado del switch no raíz. Si un switch no raíz recibe BPDUs STP con un ID de bridge raíz mejor (más bajo) en un puerto en el que se ha habilitado Root Guard, ese puerto transiciona a un estado STP denominado “root-inconsistent”. Este estado es efectivamente equivalente a un estado de listening. No se reenvía tráfico a través de este puerto. De esta manera, Root Guard obliga a respetar la posición original del bridge raíz.

De esta forma, si se agrega un switch intruso cuya prioridad es cero (o cualquier valor inferior a la prioridad del bridge raíz) para forzar presentarse como el nuevo Bridge Root, los enlaces que conectan con ese dispositivo se bloquearán automáticamente.

Root Guard no permite que el puerto en que se ha configurado se convierta en un puerto raíz STP. Si una BPDU con un ID de bridge raíz más bajo llega a ese puerto, Root Guard no tiene en cuenta esa BPDU y coloca el puerto en estado STP root-inconsistent.

Root Guard debería activarse en todos los puertos donde que de acuerdo al diseño de la red no deben convertirse en puertos raíz. El puerto recupera su estado forwarding cuando cesa la llegada de BPDUs maliciosas.

Este mensaje aparece cuando Root Guard bloquea un puerto:

%SPANTREE-2-ROOTGUARDBLOCK: Port 1/1 tried to become non-designated in VLAN 77. Moved to root-inconsistent state.

Root Guard se implementa mejor en puertos que se conectan a switches que no deberían ser el switch raíz de la topología. El feature se habilita mediante el comando spanning-tree guard root en el modo de configuración de la interfaz.

Configuración de Root Guard

La configuración de Root Guard se realiza por puerto.

Switch#configure terminal

Enter configuration commands, one per line. End with CNTL/Z.

Switch(config)# interface GigabitEthernet 0/8

Switch(config-if)#spanning-tree rootguard

Switch(config-if)#^Z

*Mar 15 20:15:16: %SPANTREE-2-ROOTGUARD_CONFIG_CHANGE: Rootguard enabled on port GigabitEthernet0/8 VLAN 1.

Switch#

Diferencia entre STP BPDU Guard y STP Root Guard

BPDU Guard y Root Guard son similares pero su impacto es diferente. BPDU Guard opera sobre puertos en los que se implementa PorftFast y desactiva el puerto si recibe una BPDU. A partir de esta desactivación niega efectivamente a los dispositivos detrás de dichos puertos la participación en el cálculo STP de la topología. Para que el puerto sea activo nuevamente deberá ser habilitado manualmente

BPDU Guard colocará el puerto en estado de error. Se deberá reactivar manualmente o configurar errdisable-timeout .

Root Guard, en cambio, permite que un dispositivo agregado a la red participe en STP siempre que ese dispositivo no intente convertirse en el bridge root. Si Root Guard bloquea el puerto, la recuperación posterior es automática; ocurrirá tan pronto como el dispositivo que origina el problema deje de enviar BPDUs con un mejor ID de bridge root.

Los manuales que publico podés adquirirlos en el sitio web de EduBooks: https://www.edubooks.com.ar/

Los cursos on line que desarrollo se pueden adquirir a través del sitio web de Educática: https://www.educatica.com.ar/

Estás invitado a seguirme en Instagram:
https://www.instagram.com/libros.networking/

También podés participar de nuestro grupo en Facebook:
https://www.facebook.com/groups/librosnetworking/

O si preferís redes sociales con mayor respeto de tu privacidad,
podés participar de nuestro grupo en VKontakte
https://vk.com/libros.networking

O también puedes seguir las principales novedades en el grupo de Telegram:
https://t.me/LibrosNetworking

Las abreviaturas y siglas utilizadas en este post puede encontrarlas desarrolladas en

el Glosario de Siglas y Términos de Networking

que está disponible en la Librería en Línea de EduBooks.

Este post ha sido desarrollado con la asistencia de inteligencia artificial.

10 de mayo de 2024

BPDU Filter

Contenido del temario CCNA 200-301 v1.1
Este material ya se encuentra agregado al curso Network Associate (CCNA 200-301)

Mecanismo que previene el ingreso o envío de BPDUs en una interfaz específica sin remover su condición operativa de PortFast cuando en ese puerto se recibe una BPDU.

Es una herramienta importante para la seguridad de la red, un atacante podría enviar BPDUs maliciosos para intentar interrumpir el tráfico de red o tomar el control de la topología activa de la red. BPDU Filter puede ayudar a proteger la red de este tipo de ataques al filtrar los BPDUs en puertos que no debieran enviarlos o recibirlos por su rol en la red.

NOTA: BPDU Filter es un mecanismo que debe ser utilizado con cuidado ya que operativamente equivale a desactivar STP en el puerto y por lo tanto puede derivar en la generación de bucles.

Puede decirse que en cierta forma BPDU Filter funciona de manera similar a BPDU Guard ya que bloquea la recepción de BPDUs maliciosas. La diferencia entre ambos es que BPDU Guard colocará la interfaz en modo err-disable cuando recibe una BPDU mientras que BPDU Filter solo filtra. No genera un estado de error.

BPDU Filter se puede configurar globalmente o a nivel de la interfaz:

Configuración global:
Si se activa BPDU Filter globalmente, cualquier interfaz con PortFast habilitado no enviará ni recibirá ninguna BPDU.
Configuración en la interfaz:
Si se activa BPDU Filter a nivel de la interfaz, esa interfaz ignorará las BPDUs entrantes, y no enviará BPDUs. Es el equivalente a desactivar STP en esa interfaz.
Debiera utilizarse en interfaces de acceso destinadas a dar conectividad a dispositivos terminales; nunca en interfaces que conectan a otros switches.
En este caso el filtrado se efectúa siempre, independientemente del estado de PortFast.

Configuración

Para activar BPDU Filter en la interfaz:

Switch(config)#interface GigabitEthernet0/1
Switch(config-if)#spanning-tree bpdufilter enable

La configuración global es más compleja. Cuando se configura a nivel global se aplica solo en las interfaces que están operando en modo PortFast, y filtra los BPDU que se reciben sin desactivar la operación de PortFast en ese puerto (sin BPDU Filter, si un puerto PortFast recibe una BPDU desactiva PortFast y pasa a operar como puerto STP regular y se bloquea).

Para configurar globalmente BPDU Filter:

Switch(config)#spanning-tree portfast bpdufilter default

Sintetizando

PortFast coloca inmediatamente el puerto en estado forwarding, pasando por alto los estados listening y learning.
Un puerto con PortFast habilitado continua enviando BPDUs.
Si se recibe un BPDU, PortFast se deshabilita y la interfaz pasa a comportarse como una interfaz STP regular.
El switch nunca genera un TCN cuando un puerto habilitado con PortFast cambia entre up o down.
Hay una diferencia importante entre estado administrativo (o lo configurado) y estado operacional. No debemos olvidarlo.
BPDU Guard y BPDU Filter en modo global son dependientes del estado operacional de PortFast.
BPDU Guard y BPDU Filter en modo interfaz es incondicional.
Un BPDU Filter mal configurado es mas peligroso que un PortFast mal configurado, aun así IOS no genera un mensaje de advertencia acerca de esto.
PortFast puede crear un loop temporal de máximo 2 segundos (intervalo por defecto del BPDU) hasta que el siguiente BPDU se recibe y el PortFast queda deshabilitado.

Los manuales que publico podés adquirirlos en el sitio web de EduBooks: https://www.edubooks.com.ar/

Los cursos on line que desarrollo se pueden adquirir a través del sitio web de Educática: https://www.educatica.com.ar/

Estás invitado a seguirme en Instagram:
https://www.instagram.com/libros.networking/

También podés participar de nuestro grupo en Facebook:
https://www.facebook.com/groups/librosnetworking/

Las abreviaturas y siglas utilizadas en este post puede encontrarlas desarrolladas en

el Glosario de Siglas y Términos de Networking

que está disponible en la Librería en Línea de EduBooks.

Este post ha sido desarrollado con la asistencia de inteligencia artificial.

Loop Guard

Contenido del temario CCNA 200-301 v1.1
Este material ya se encuentra agregado al curso Network Associate (CCNA 200-301)

Mecanismo de protección de STP destinado a mejorar la estabilidad de las redes de capa 2.

Loop Guard proporciona protección adicional para prevenir la formación de bucles de capa 2. Esta posibilidad surge, aún con STP implementado, cuando un puerto STP bloqueado en una topología redundante pasa erróneamente al estado forwarding. Esto generalmente sucede cuando uno de los puertos de una topología físicamente redundante (no necesariamente el puerto STP bloqueado) ya no recibe BPDUs. En su funcionamiento, STP se basa en la recepción o transmisión continua de BPDUs según cual sea el estado del puerto. Los puertos designados transmiten BPDUs, y los puertos no designados reciben BPDUs.

Cuando uno de los puertos de la topología deja de recibir BPDUs, STP interpreta que la topología está libre de bucles y consecuentemente el puerto bloqueado o de backup transiciona al estado de forwarding. Esta situación crea un bucle.

Para evitar esta situación Loop Guard realiza comprobaciones adicionales. Si las BPDUs dejan de recibirse en un puerto no designado, y Loop Guard está habilitado, ese puerto pasa a un estado específico: “loop guard blocking”, en lugar de pasar a listening/learning/forwarding. Sin Loop Guard, el puerto asumiría la función de puerto designado. El puerto se hubiera movido al estado de STP forwarding y podría crear un bucle.

Cuando Loop Guard bloquea un puerto inconsistente, se genera este mensaje:

%SPANTREE-2-LOOPGUARD_BLOCK: Loop guard blocking port FastEthernet0/24 on VLAN0050.

Una vez que la BPDU se recibe nuevamente en un puerto en estado STP inconsistente el puerto cambia a otro estado STP. Cuando se recibe la BPDU la recuperación del puerto es automática y no es necesaria intervención del Administrador. Después de la recuperación, se genera el siguiente mensaje:

%SPANTREE-2-LOOPGUARD_UNBLOCK: Loop guard unblocking port FastEthernet0/24 on VLAN0050.

Configuración

Loop Guard es un feature que se habilita por puerto. Sin embargo, siempre y cuando bloquee el puerto a causa de un fallo de STP, Loop Guard coloca las interfaces en estado inconsistente por VLAN (cuando opera PVST), no la interfaz completa. Es decir, si una BPDU no se reciben en el puerto troncal en una sola VLAN en particular, solo esa VLAN se bloquea (cambia al estado STP inconsistente). Por la misma razón, si está habilitado en una interfaz EtherChannel, todo el canal será bloqueado para esa VLAN específica, no sólo un enlace (porque EtherChannel es considerado como una interfaz lógica desde la perspectiva de STP).

¿En qué puertos se habilitaría Loop Guard?

Se sugiere que se habilite Loop Guard en los puertos no designados más precisamente, en los puertos raíz y puertos alternativos para todas las combinaciones posibles de topologías activas (considerando las múltiples VLANs en una implementación de PVST.

No se encuentra habilitado por defecto. Para habilitar lo es necesario ingresar la siguiente configuración:

Router(config)#interface gigabitEthernet 1/1

Router(config-if)#spanning-tree guard loop

Loop Guard también puede ser activado globalmente para cambiar la operación por defecto de modo que todos los enlaces punto a punto tengan Loop Guard operativo. Se utiliza el estado de negociación de dúplex para determinar que se trata de un enlace punto a punto; si el enlace está en full dúplex se considera un enlace punto a punto.

Router(config)#spanning-tree loopguard default

Activa la operación de Loop Guard como opción por defecto para todos los enlaces punto a punto.

Activada esta forma de operación, es posible anularla por interfaz:

Router(config)#interface gigabitEthernet 1/1

Router(config-if)#no spanning-tree guard loop

Desactiva Loop Guard en la interfaz específica en la que se ejecuta.

Verificación

Router#show spanning-tree summary

Switch is in pvst mode

Root bridge for: none

EtherChannel misconfig guard is enabled

Extended system ID is disabled

Portfast Default is disabled

PortFast BPDU Guard Default is disabled

Portfast BPDU Filter Default is disabled

Loopguard Default is enabled

UplinkFast is disabled

BackboneFast is disabled

Pathcost method used is short

Name Blocking Listening Learning Forwar STP Active

--------- -------- --------- -------- ------ ----------

Total 0 0 0 0 0

Los manuales que publico podés adquirirlos en el sitio web de EduBooks: https://www.edubooks.com.ar/

Los cursos on line que desarrollo se pueden adquirir a través del sitio web de Educática: https://www.educatica.com.ar/

Estás invitado a seguirme en Instagram:
https://www.instagram.com/libros.networking/

También podés participar de nuestro grupo en Facebook:
https://www.facebook.com/groups/librosnetworking/

Las abreviaturas y siglas utilizadas en este post puede encontrarlas desarrolladas en

el Glosario de Siglas y Términos de Networking

que está disponible en la Librería en Línea de EduBooks.

Este post ha sido desarrollado con la asistencia de inteligencia artificial.

8 de mayo de 2024

BPDU Guard

Contenido del temario CCNA 200-301 v1.1
Este material ya se encuentra agregado al curso Network Associate (CCNA 200-301)

En redes capa 2 con diseño redundante la implementación de STP es clave para asegurar la estabilidad de la red. STP gestiona la redundancia previendo inconvenientes no deseados por un diseño deficiente.

Sin embargo, aún después de la implementación de STP, pueden generarse rutas subóptimas si el protocolo no cuenta con la protección adecuada contra varios formatos de ataque posibles en entornos STP. La falta de protección adecuada puede dejar la red expuesta a posibles ataques de man-in-the-middle así como a posibles bucles incluso con STP ejecutándose en los switches.

Hay que tener en cuenta que Spanning Tree no considera ningún mecanismo de autenticación o verificación del origen de los BPDUs que se emplean para el intercambio de información, como tampoco mecanismos de cifrado que protejan la información que se transporte. De ahí que, aprovechando las vulnerabilidades de STP, un atacante puede cambiar la topología activa de la red de modo tal que el tráfico circule por donde el atacante lo requiera de acuerdo a sus objetivos. Para esto no es necesario más que generar BPDUs con un bridge ID mejor para cambiar el switch raíz y con ello modificar toda la topología activa.

Estas situaciones pueden prevenirse utilizando mecanismos de protección como Root Guard. Este feature evita que un switch se convierta en switch raíz; para esto controla la posibilidad de que se adopten puertos raíz en los switches, diferentes de los que han sido planificados en el diseño.

La función Root Guard es un mecanismo que permite controlar la ubicación del switch raíz en la red. Lo hace limitando los puertos de los switches no raíz que se pueden negociar como puerto raíz. .

BPDU Guard

Se trata de una función que se aplica asociada a Port Fast en las interfaces.

BPDU Guard permite preservar la topología activa de la red evitando que dispositivos intrusos conectados a puertos de un switch puedan impactar en la misma. Para esto, cuando el puerto del switch configurado con PortFast y asegurado con BPDU Guard recibe un BPDU, inmediatamente se bloquea pasando a estado de error.

Al colocarse el puerto que recibe la BPDU en error se genera un mensaje de evento:

2020 May 21 15:13:32 %SPANTREE-2-RX_PORTFAST:Received BPDU on PortFast enable port. Disabling 0/1

2020 May 21 15:13:32 %PAGP-5-PORTFROMSTP:Port 0/1 left bridge port 0/1

Los manuales que publico podés adquirirlos en el sitio web de EduBooks: https://www.edubooks.com.ar/

Los cursos on line que desarrollo se pueden adquirir a través del sitio web de Educática: https://www.educatica.com.ar/

Estás invitado a seguirme en Instagram:
https://www.instagram.com/libros.networking/

También podés participar de nuestro grupo en Facebook:
https://www.facebook.com/groups/librosnetworking/

Las abreviaturas y siglas utilizadas en este post puede encontrarlas desarrolladas en

el Glosario de Siglas y Términos de Networking

que está disponible en la Librería en Línea de EduBooks.

Este post ha sido desarrollado con la asistencia de inteligencia artificial.

23 de abril de 2024

Implementación y diagnóstico de sistemas Cisco Secure Firewall v2.1

Es una alegría anunciar la publicación de la versión 2.1

del manual Implementación y Diagnóstico de Sistemas Cisco Secure Firewall, una guía para quienes trabajan con dispositivos Cisco Secure Firewall. Esta nueva versión ha sido completamente revisada y actualizada para incluir la información más reciente sobre la implementación y el diagnóstico de estos dispositivos de seguridad.

¿Qué hay de nuevo en la versión 2.1?

Contenido completamente revisado y actualizado:
He revisado todos los textos, procedimientos e imágenes del manual para asegurar que estén al día con las últimas versiones de Cisco Secure Firewall.
Abundante material nuevo:
He incorporado una gran cantidad de material nuevo sobre features que no se encontraban en la versión anterior, como la inspección profunda de paquetes (DPI), la prevención de intrusiones (IPS) y la gestión de amenazas avanzadas (ATM).
Información específica para la versión 7.2 y superiores:
El manual se centra específicamente en la implementación y el diagnóstico de Cisco Secure Firewall versión 7.2 y siguientes, lo que lo convierte en un recurso invaluable para quienes trabajan con estas versiones.

¿Por qué elegir este manual?

Es el único manual en castellano:
Este es el único manual completo sobre Implementación y Diagnóstico de Sistemas Cisco Secure Firewall disponible en castellano.
Información detallada y práctica:
El manual proporciona información detallada y práctica sobre todos los aspectos de la implementación y el diagnóstico de Cisco Secure Firewall.

Este manual está dirigido a:

Profesionales de la seguridad de redes:
Administradores de redes, ingenieros de seguridad e integradores de sistemas que trabajan con Cisco Secure Firewall.
Estudiantes de seguridad de redes:
Estudiantes que estén cursando entrenamientos sobre seguridad de redes y deseen aprender más sobre Cisco Secure Firewall.
Cualquier persona interesada en aprender sobre Cisco Secure Firewall:
Cualquier persona que desee aprender más sobre cómo implementar y diagnosticar estos dispositivos de seguridad.

¡Adquiere tu copia hoy mismo!

El manual Implementación y Diagnóstico de Sistemas Cisco Secure Firewall versión 2.1 está disponible para su compra en formato electrónico. Para obtener más información sobre cómo adquirir tu copia, visitá el sitio web de Ediciones EduBooks.

Aprovecha esta oportunidad para aprender todo lo que necesitas saber sobre Cisco Secure Firewall y proteger tu red de forma eficaz.

Nota importante:
Si se encuentra trabajando con un sistema versión 6.2 a 6.7, sugiero acuda a la versión anterior del manual (versión 1.0) para obtener un texto que esté alineado con la herramienta que está administrando.

Contenidos:

1. Introducción

Firewall y NGFW

Plataformas

Modos de operación

Interfaces del sensor

Opciones de gestión

Licenciamiento

2. Registro de dispositivos en FMC

Introducción

Configuración inicial del sensor (FTD)

Configuración inicial del FMC

Registro del FTD en el FMC

3. Configuración inicial

Uso de políticas en FMC

Conceptos preliminares

Definición de propiedades generales del sensor

Uso de políticas para gestionar la configuración de la plataforma

Política de estado

Implementación de cambios en la configuración

4. Modelos de redundancia

Modelos de redundancia disponibles

Implementación del par de alta disponibilidad

Implementación del clúster

Alta disponibilidad de Firewall Management Center

5. Enrutamiento

Enrutamiento estático

Enrutamiento dinámico

Redistribución y filtrado de rutas

6. NAT

Formas de NAT soportadas en FTD

NAT manual y Auto NAT

Configuración de políticas NAT

7. Políticas de control de acceso

Objetos

Zonas de seguridad

Políticas de control de acceso

Políticas que define FMC

Políticas de control de acceso

Políticas de intrusión de tráfico

Políticas de filtrado de archivos y malware

Security Intelligence

Filtrado de URLs

Orden de ejecución de procesos y políticas

Políticas de prefiltrado

8. Monitoreo y diagnóstico de problemas

Registro de eventos del sistema

Reportería

Packet Tracer

Packet Capture

Visualización de eventos

Herramientas de diagnóstico del FMC

9. Administración del sistema

Generación de copias de respaldo

Restauración de copias de respaldo

Actualización de software

Los ítems destacados en color representan secciones completas
que se han añadido respecto de la versión 2.0.

Páginas: 250

Fecha de publicación: 24 de abril de 2024

Autor:

Oscar A. Gerometta

CCSI / CCNA / CCDA / CCNA wir / CCNA sec / CCNP sec / CCNP Enterpr / CCBF

Docente y consultor con una trayectoria de 25 años en el área de networking. Autor de los primeros manuales en castellano para la preparación del examen de certificación CCNA que ha mantenido a lo largo de estos años.

Texto:

Manual que recoge introducciones teóricas sobre el funcionamiento y la arquitectura del sistema, junto con procedimientos de configuración y diagnóstico de problemas.

Para la compra:
"Implementación y diagnóstico de sistemas Cisco Secure Firewall versión 2.1" está disponible solamente en formato e-book, y se puede adquirir en línea ingresando al sitio de Ediciones Edubooks.

Para revisar las características de los ebooks de EduBooks ingresar aquí.

Para alternativas de pago u otras consultas diríjase directamente a Ediciones EduBooks por correo electrónico escribiendo a libros.networking@gmail.com

Para facilitar la compra de ebooks desde Bolivia contactar a: libros.networking.bolivia@gmail.com

Como siempre, cualquier sugerencia que puedas hacer, será muy bien venida.

Los manuales que publico los podés adquirir en el sitio web de EduBooks: https://www.edubooks.com.ar/

Los cursos on line que desarrollo se pueden adquirir a través del sitio web de Educática: https://www.educatica.com.ar/

Estás invitado a seguirme en Instagram:
https://www.instagram.com/libros.networking/

También podés participar de nuestro grupo en Facebook:
https://www.facebook.com/groups/librosnetworking/

Las abreviaturas y siglas utilizadas en este post puede encontrarlas desarrolladas en

el Glosario de Siglas y Términos de Networking

que está disponible en la Librería en Línea de EduBooks.

Este post ha sido desarrollado con la asistencia de inteligencia artificial.

27 de enero de 2024

Claves de autenticación seguras o claves fuertes

La seguridad se ha convertido en un punto de referencia obligatorio en la actualidad, y la seguridad en el acceso de los usuarios un tema de suma importancia.

No solo las redes inalámbricas debieran requerir autenticación de usuarios, sino todo acceso a la red (incluyendo las terminales de escritorio con conexión cableada y los teléfonos) y toda aplicación. La seguridad de los datos personales o de la información personal (IP en algunos documentos) es un tema que incluso puede tener implicaciones legales.

Con lo que la autenticación del usuario es un tema de singular importancia hoy.

Mecanismos de autenticación

Al momento de acreditar la identidad en un acceso a la red o a un recurso, hay 3 mecanismos posibles a utilizar:

Usar algo que se conoce
Es el mecanismo quizás más habitualmente utilizado.
Es por ejemplo el uso de una clave o un PIN para acreditar identidad.
Presentar algo que se tiene
Se trata de un elemento físico o lógico que identifica.
Es el caso de los tokens USB o un certificado digital que sirven para acreditar identidad.
Suele implementarse en sistemas que requieren un mayor nivel de seguridad.
Utilizar algo que quien desea ingresar es
El ejemplo más habitual es el uso de biometría: reconocimiento facial, de huella digital, etc.

Al momento de buscar sistemas más seguros o robustos se suele utilizar la autenticación de factor múltiple (MFA) o de factor dual. En ese caso la verificación de identidad se realiza utilizando al menos 2 elementos de diferente tipo.

Por ejemplo, hay autenticación de factor dual cuando se utiliza la verificación de una clave de acceso o PIN (algo que se sabe o conoce) y huella digital (algo que se es). No es autenticación de múltiple factor cuando se requiere usuario y clave, usuario y PIN, clave y PIN o semejantes.

Creo que el mecanismo más habitualmente utilizado para la acreditación de identidad tanto en los sistemas de acceso a recursos como en aplicaciones es la clave. Incluso los sistemas que requieren autenticación de factor múltiple suelen requerir una clave o PIN como elemento conocido.

Las claves se han convertido en un elemento recurrente en la cultura del siglo XXI. Tenemos una clave para acceder a nuestro teléfono, pero también una para el acceso al sistema bancario; una clave para nuestro correo electrónico personal y también una para el acceso a recursos en nuestra área de trabajo. Las claves están presentes en todas circunstancia y situaciones, tanto personales como laborales.

Esto hace que se constituyan en un elemento fundamental para asegurar el acceso a datos reservados y/o personales, y por lo tanto un elemento central en todo intento de violar la privacidad o confidencialidad de esos datos.

Seguramente todos nosotros hemos escuchado una serie de recomendaciones respecto de estas claves:

Las claves son de uso personal y no deben ser compartidas con nadie.
Deben utilizarse diferentes claves para diferentes sistemas.
Las claves no deben documentarse de cualquier forma, si se lo hace, hacerlo de modo igualmente seguro.
Las claves deben ser utilizadas de modo seguro, de modo tal de evitar que alguien acceda a ellas al momento de ingresarlas en un sistema.
Debe ser ingresadas exclusivamente en sistemas seguros.
En caso de duda, no debe ingresarse la clave.
Se deben utilizar "claves seguras"

¿Qué es una clave segura?

Para comprender el concepto de clave segura debemos conocer antes los mecanismos de ataque que se suelen utilizar para violar la privacidad o confidencialidad de los datos.

Hay en este punto múltiples mecanismos desplegados por posibles atacantes como son la ingeniería social o la captura de claves, mecanismos que pueden ser contrarrestados a partir de reglas de comportamiento seguras como las que mencioné antes (no compartir las claves, etc.). Pero cuando estos mecanismos de ataque se agotan hay uno que es siempre posible y que es conocido como "ataque de fuerza bruta".

Un ataque de fuerza bruta es un método de prueba y error utilizado para obtener contraseñas, claves de cifrado u otra información de acceso a sistemas. El atacante prueba todas las combinaciones posibles de caracteres hasta encontrar la correcta.

Por ejemplo, si tenemos una caja fuerte con una combinación de 4 dígitos, el atacante de fuerza bruta probaría todas las combinaciones posibles desde 0000 a 9999, una por una, hasta encontrar la que abre la caja fuerte. Con 4 dígitos hay 10.000 combinaciones posibles a probar.

¿Qué es una clave segura o fuerte, entonces?

Una clave segura es una cadena de caracteres lo suficientemente larga y compleja para que un ataque de fuerza bruta se vuelva difícil o ineficaz.

Características de una clave segura

Hay que considerar en este punto algunos principios básicos:

Los caracteres de la contraseña deben ser lo más aleatorios posible.
Es necesario evitar correlaciones lógicas entre caracteres como pueden ser palabras del diccionario (el ataque de diccionario suele ser la primera etapa de un ataque de fuerza bruta) o patrones lógicos o físicos de caracteres. Por ejemplo, elegir caracteres por su posición en el teclado como puede ser "QWErty123".
Evitar caracteres en combinaciones frecuentes.
Por ejemplo, en los idiomas occidentales es poco frecuente una secuencia de consonantes y cuando son 3 consonantes consecutivas se incluye generalmente una "h", una "l" o una "r". Hay letras que son utilizadas más frecuentemente según el idioma, como la "e" en el inglés o la "a" en el castellano.
En un ataque de fuerza bruta se tiene estos puntos en cuenta para iniciar por allí la búsqueda.
Cuidado con los generadores de claves.
Muchos generadores de claves (servicios en línea o aplicaciones) son cazabobos desarrollados para capturar credenciales.
Otros son legítimos y ofrecen generar claves "al azar". Pero esta generación se hace utilizado variables pseudorandom, es decir, no son realmente al azar sino que simulan serlo. La consecuencia de esto es que las claves que se generan presentan patrones comunes o incluso se repiten. Esto también facilita la tarea de los atacantes.
Utilice la mayor variedad de caracteres posibles.
Cuando se utilizan contraseñas de una determinada cantidad de caracteres, si esos caracteres son simplemente letras, la cantidad de contraseñas diferentes posibles es 26 elevado a la N, donde N es la cantidad de caracteres de la contraseña.

Si la contraseña es de 8 caracteres la cantidad de variantes es 26 a la 8 = 208.827.064.576 claves posibles.
Si la contraseña es de 10 caracteres la cantidad de variantes es 26 a la 10 = 141.167.095.653.376 claves posibles.
Consecuencia: cuando mayor es la cantidad de caracteres, más difícil será el ataque de fuerza bruta.

El otro elemento sobre el que se puede trabajar, es sobre cada uno de los diferentes caracteres. Si son simplemente letras hay 26 caracteres posibles en cada posición, pero si se utilizan letras mayúsculas y minúsculas combinadas hay 56 caracteres posibles, y si se suman caracteres especiales (-_%$#!) pueden ser 60, 62 o más.

Así, en nuestro ejemplo, una contraseña de 10 caracteres la cantidad de variantes será 62 a la 10 = 839.299.365.868.340.224 claves posibles.

Y si llevamos la longitud a 12 caracteres, la cantidad de claves posibles será 62 a la 12 = 3.226.266.762.397.899.816.960

De ahí que en la actualidad la sugerencia para tener una clave segura es:

Longitud mínima, 12 caracteres
Que no incluya palabras, nombres o fechas, sea al derecho o al revés
Que incluya letras (mayúsculas y minúsculas), números y caracteres especiales
Seleccionados aleatoriamente

¿Cuál es el problema?

El problema está en los sistemas de autenticación que utilizamos en los mecanismos de control de acceso y en la autenticación de aplicaciones y otros sistemas.

Aún el día de hoy:

Encontramos sistemas de autenticación que no admiten claves de más de 8 caracteres (incluso, a veces, menos).
Muchos sistemas no discriminan mayúsculas y minúsculas, o no admiten números.
Muchos sistemas no admiten caracteres especiales, y cuando se admiten no siempre son los mismos.

Esto hace que muchas veces sea complicado definir políticas de claves clara y consistente ya que no todos los sistemas admiten las mismas características.

Sin embargo, al día de hoy hay muchos sistemas de autenticación en el mercado que permiten definir (aún cuando se deja al usuario elegir la clave) parámetros tales como una longitud mínima admitida para la clave, qué caracteres son admitidos (incluidos qué caracteres especiales se incluyen), se pueden excluir cadenas de caracteres permitidas (por ejemplo no permito incluir la palabra "cisco" al derecho o al revés), definir períodos de renovación obligatorios y obligar a no repetir las claves.

Es decir, hay en el mercado mecanismos eficientes que permiten proteger los accesos. Solo es necesario tener esto presente al momento de definir las políticas de claves para las aplicaciones propietarias o los sistemas que se van a contratar para la autenticación de los usuarios.

Los manuales que publico los podés adquirir en el sitio web de EduBooks: https://www.edubooks.com.ar/

Los cursos on line que desarrollo se pueden adquirir a través del sitio web de Educática: https://www.educatica.com.ar/

Estás invitado a seguirme en Instagram:
https://www.instagram.com/libros.networking/

También podés participar de nuestro grupo en Facebook:
https://www.facebook.com/groups/librosnetworking/

Las abreviaturas y siglas utilizadas en este post puede encontrarlas desarrolladas en

el Glosario de Siglas y Términos de Networking

que está disponible en la Librería en Línea de EduBooks.

16 de enero de 2024

Nueva interfaz gráfica de ACP en FMC versión 7.x (video)

Esta es una demostración realizada sobre una maqueta que implementa Cisco Secure Firewall versión 7.2.0, que implementa FMC y FTD de la interfaz gráfica (GUI) incorporada para configurar políticas de control de acceso

Durante la demo se revisan las diferentes opciones y posibilidades que ofrece esta nueva interfaz de uso opcional.

Este Laboratorio no es parte de ningún curso, pero supone conocimientos que podés obtener en el curso "Cisco Secure Firewall versión 7.2" de Educática.

Como siempre, cualquier sugerencia que puedas hacer, será muy bien venida.

Los manuales que publico los podés adquirir en el sitio web de EduBooks: https://www.edubooks.com.ar/

Los cursos on line que desarrollo se pueden adquirir a través del sitio web de Educática: https://www.educatica.com.ar/

Estás invitado a seguirme en Instagram:
https://www.instagram.com/libros.networking/

También podés participar de nuestro grupo en Facebook:
https://www.facebook.com/groups/librosnetworking/

Las abreviaturas y siglas utilizadas en este post puede encontrarlas desarrolladas en

el Glosario de Siglas y Términos de Networking

que está disponible en la Librería en Línea de EduBooks.

13 de enero de 2024

Configuración de VPNs IPsec site-to-site estáticas con IKEv2

Las VPNs IPsec son un recurso de conectividad cada vez más frecuente. La implementación de servicios de nuble (cloud) de diferente tipo no ha hecho más que aumentar su implementación en las redes corporativas.

Hay dos tipos principales de VPNs IPsec: site-to-site y acceso remoto.

Cisco introduce la posibilidad de implementar este recurso en diferentes dispositivos, básicamente en routers y firewalls (también pueden utilizarse otros dispositivos). Tanto Cisco IOS, como IOS-XE y ASA soportan su configuración. Pero aún dentro de estos sistemas operativos hay diferentes modos de configuración; el primero y quizás más conocido es la configuración utilizando crypto maps estáticos. Sin embargo, hoy Cisco sugiere, para configuraciones sobre IOS, IOS-XE o ASA la configuración utilizando SVTI (interfaces virtuales de túnel estáticas) con IKEv2.

Sobre este tipo de configuración voy a centrarme en este post.

Procedimiento de configuración

Configurar la negociación IKE entre los puntos terminales de la VPN.
Opcionalmente configurar el transform set y el perfil de IPsec
Configurar la interfaz de túnel virtual (VTI).
Configurar el enrutamiento necesario para publicar las redes que se desea sean accesibles a través de la interfaz de túnel.

Un esquema completo y ordenado de los pasos de configuración necesarios es el siguiente:

Configuración de IKEv2

Definición de "IKEv2 proposal"

Cifrado (AES-CBC/AES-GCM/SEAL)
Integridad (SHA-2)
Intercambio de claves (DH14/DH16/DH19/DH20/DH24)

Configuración de la política IKEv2
Configuración del perfil IKEv2

Identidad remota
Identidad local
Autenticación remota (PSK/RSA/ECDSA)
Autenticación local
Llavero local

Un ejemplo:

crypto ikev2 proposal PROPUESTA1

encryption aes-cbc-128

integrity sha256
group 19
!
crypto ikev2 policy POLITICA
proposal PROPUESTA1
!
crypto ikev2 keyring LLAVERO
peer ROUTER_PEER
address 198.51.100.123
pre-shared-key local 7c2FKFgNNy
pre-shared-key remote cpi9w43gYB
!
crypto ikev2 profile PERFIL
match identity remote address 198.51.100.123 255.255.255.255
identity local address 192.0.2.123
authentication remote pre-share
authentication local pre-share
keyring local LLAVERO

Configuración de IPsec

Definición del transform set

Encapsulación (ESP/AH)
Cifrado (AES/SEAL)
Integridad (SHA-2)
Modo (Transporte/Túnel)

Definición del perfil IPsec

Transform set
Perfil IKEv2

Continuemos con el ejemplo:

crypto ipsec transform-set VPN1 esp-aes esp-sha256-hmac mode tunnel
!
crypto ipsec profile PERFILIPsec
set transform-set VPN1
set ikev2-profile PERFIL

Cisco IOS incluye tanto para la configuración de IKEv2 como de IPsec perfiles por defecto llamados "Smart Defaults" que pueden ser invocados en la configuración sin necesidad de definir cada uno de los parámetros mencionados antes.

Por otro lado, los parámetros mencionados pueden variar de acuerdo a las definiciones operativas que se hagan para la VPN concreta. Por ejemplo, la autenticación de IKEv2 puede realizarse utilizando RSA en lugar de una clave pre-compartida (PSK) como en el ejemplo.

Lo que presento aquí es solamente un ejemplo que puede servir de referencia.

Finalmente, hay que configurar la interfaz túnel

Configuración de la interfaz de túnel virtual (VTI)

Direccionamiento IP
Interfaz física que que inicia el túnel
Encapsulación que utiliza el túnel
IP destino del túnel
Perfil IPsec que se aplica al túnel

Para completar el ejemplo:

interface Tunnel0

ip address 192.168.1.1 255.255.255.0
tunnel source GigabitEthernet0/1
tunnel mode ipsec ipv4
tunnel destination 198.51.100.123
tunnel protection ipsec profile PERFILIPsec

Espero que este ejemplo sirva como introducción para aquellos que están intentando comprender la configuración de VPNs IPsec point-to-point y para que profundicen en un tema realmente complejo y con múltiples opciones diferentes.

Los manuales que publico los podés adquirir en el sitio web de EduBooks: https://www.edubooks.com.ar/

Los cursos on line que desarrollo se pueden adquirir a través del sitio web de Educática: https://www.educatica.com.ar/

Estás invitado a seguirme en Instagram:
https://www.instagram.com/libros.networking/

También podés participar de nuestro grupo en Facebook:
https://www.facebook.com/groups/librosnetworking/

Las abreviaturas y siglas utilizadas en este post puede encontrarlas desarrolladas en

el Glosario de Siglas y Términos de Networking

que está disponible en la Librería en Línea de EduBooks.

5 de enero de 2024

Configuración de Syslog en FMC (video)

Esta es una demostración realizada sobre una maqueta que implementa Cisco Secure Firewall versión 7.2.0, que implementa FMC y FTD.

Durante la demo revisaremos como asociar un servidor Splunk utilizando protocolo Syslog al FMC y a continuación al FTD.

Este Laboratorio no es parte de ningún curso, pero supone conocimientos que podés obtener en el curso "Cisco Secure Firewall versión 7.2" de Educática.

Como siempre, cualquier sugerencia que puedas hacer, será muy bien venida.

Los manuales que publico los podés adquirir en el sitio web de EduBooks: https://www.edubooks.com.ar/

Los cursos on line que desarrollo se pueden adquirir a través del sitio web de Educática: https://www.educatica.com.ar/

Estás invitado a seguirme en Instagram:
https://www.instagram.com/libros.networking/

También podés participar de nuestro grupo en Facebook:
https://www.facebook.com/groups/librosnetworking/

Las abreviaturas y siglas utilizadas en este post puede encontrarlas desarrolladas en

el Glosario de Siglas y Términos de Networking

que está disponible en la Librería en Línea de EduBooks.

El Autor

Oscar Gerometta es Instructor desde 1999 y ha certificado como CCAI, CCSI y CCBF.
Ha capacitado a miles de técnicos y preparado para obtener sus certificaciones a cientos de ellos incluyendo CCNA R&S, CCNP R&S, CCDA, CCNAsec, CCNAwi, CCNPsec, CCNPwi. Es consultor, redactor y docente en diferentes áreas vinculadas a las TICs. Sus publicaciones incluyen la primer Guía de Preparación para el Examen de Certificación CCNA en español.

Se autoriza la reproducción de los materiales de este blog citando la fuente e incluyendo un enlace al mismo.

http://about.me/ogerometta