El orden de operaciones en entornos Cisco IOS

Comprender adecuadamente el orden en que se ejecutan diferentes operaciones sobre el flujo de tramas que atraviesa un dispositivo Cisco IOS es de vital importancia para implementar políticas de control del tráfico.

La información de este artículo es aplicable a entornos que
implementan NAT y/o QoS. Para su acabada comprensión
se requieren al menos conocimientos de ACL, routing, NAT y QoS.

El orden de operaciones es el que indica al dispositivo cómo debe procesar el tráfico de acuerdo a la configuración activa. De modo que este orden se vuelve crítico cuando se han configuraco opciones tales como NAT, QoS o encripción de datos.
La operación de Cisco IOS utiliza 2 tablas de orden de operaciones: el orden de operaciones de NAT y el orden de operaciones de QoS.
Orden de operaciones NAT
Cuando un dispositivo implementa esta tabla de orden de operaciones, el dispositivo toma el paquete entrante y ejecuta cada uno de los procesos descriptos en la table en orden descendente, del primero al último.
Si el paquete ingresa a través de la interfaz configurada como inside, utiliza la lista denominada inside-to-outside; si ingresa a través de la interfaz configurada como outside, utiliza entonces la lista outside-to-inside.
Lista inside-to-outside

• Si implementa IPSec, verifica la lista de acceso de ingreso.
• Desencripción (para CET o IPSec).
• Verifica lista de acceso de tráfico entrante.
• Verifica límites de tasa de ingreso.
• Estadísticas de ingreso.
• Policy routing.
• Routing.
• Redireccionamiento a web cache.
• Traducción a dirección global (NAT).
• Crypto (verifica mapeo y marca para encripción).
• Verifica lista de accesso de tráfico saliente.
• Verifica CBAC (context-based access control).
• Encripción.

Lista outside-to-inside

• Si implementa IPSec, verifica la lista de acceso de ingreso.
• Desencripción (para CET o IPSec).
• Verifica lista de acceso de tráfico entrante.
• Verifica límites de tasa de ingreso.
• Estadísticas de ingreso.
• Traducción a dirección local (NAT)
• Policy routing.
• Routing.
• Redireccionamiento a web cache.
• Crypto (verifica mapeo y marca para encripción)
• Verifica lista de accesso de tráfico saliente.
• Verifica CBAC (context-based access control).
• Encripción.

¿Cómo influye este orden de operaciones?
Supongamos que un paquete atraviesa el dispositivo desde la interfaz NAT ouside a la interfaz NAT inside, y se desea entrablecer una lista de acceso (ACL) que bloquee el tráfico proveniente de ciertas direcciones IP. ¿Cuál es la dirección IP que debe filtrarse? ¿La IP pública de origen o la IP privada a la que será traducida esa IP pública?
Al verificar el orden de operaciones correspondiente al tráfico outside-to-inside, se constata que la traducción de la IP pública a la IP privada (NAT) se realiza después de verificar las ACL para tráfico entrante. En consecuencia, para bloquear este tráfico se debe utilizar la dirección IP pública ya que realizará esta operación antes de la traducción.
Analicemos otra posibilidad. Se requiere la creación de una ruta estática para direccionar tráfico que es somentido al proceso de NAT. Una vez más, ¿qué debemos considerar, la red de destino pública o la privada?
En este caso se debe utilizar la dirección de destino privada, porque el tráfico será traducido antes de ser procesado para su ruteo.
Orden de operaciones QoS
Esta lista es de suma importancia en aquellos casos en los que se implementa QoS.
En este caso, el orden de operaciones para tráfico entrante al dispositivo es:

• QoS Policy Propagation a través de BGP
• Clasificación común de ingreso.
• Lista de acceso de tráfico entrante.
• Marcación de tráfico entrante (CAR).
• Política de ingreso (CAR).
• IPSec.
• Cisco Express Forwarding o Fast Switching.

El orden de operaciones para el tráfico saliente desde el dispositivo es:

• CEF o Fast Switching.
• Clasificación común de salida.
• Lista de acceso de tráfico saliente.
• Marcación de tráfico saliente.
• Política de salida (CAR).
• Queueing (CBWFQ y LLQ) y WRED

Estas tablas permite comprender cómo se es el flujo de tráfico a través de los dispositivos y cómo se controla ese tráfico.

Es particularmente importante el orden de operaciones de NAT, ya que si no se lo considera adecuadamente es muy difícil superar algunas dificultades que surgen al configurar de como concurrente NAT y ACLs.

Oscar Antonio Gerometta
Todo comentario o aprte que desee hacer,
por favor, incorporalo en forma de comentario
a este artículo. Muchas gracias.

PandaLabs advierte sobre Sixem.A

From: Oxygen3 24h-365d <oxygen@pandasoftware.com>
Date: 21-jun-2006 7:42
Subject: Oxygen3 24h-365d [PandaLabs advierte sobre Sixem.A - 21/06/06]
To: OXYGEN3ES@oxygen3.pandasoftware.com

"Una clara señal del verano es que la silla
se levanta cuando tú lo haces"
Walter Winchell (1897-1972), columnista estadounidense.
(Hoy se produce el solsticio de verano a las 12:26 UTC)

PandaLabs advierte sobre Sixem.A -

Oxygen3 24h-365d, por Panda Software (http://www.pandasoftware.es)
Madrid, 21 de junio de 2006 -

PandaLabs, laboratorio de Panda Software, advierte sobre la aparición de Sixem.A, un gusano de correo electrónico que utiliza la ingeniería social para engañar a los usuarios, ya que llega con asuntos relacionados con el Mundial de Fútbol, como "Encuentro de la Copa del Mundo al desnudo". En el contenido del correo se ofrece la posibilidad de presenciar un supuesto "mundial nudista".

Sixem.A también utiliza otros reclamos, como el ir a una dirección web para que el usuario pueda ver imágenes de aficionados en actitudes violentas.Tras estos reclamos se adjunta un fichero ejecutable que aparenta ser una imagen, pero con doble extensión. De esta forma, la verdadera naturaleza del fichero queda oculta para usuarios que tengan activada la opción "ocultar extensiones de fichero para tipos de fichero conocidos". Una vez es ejecutado, el gusano se conecta a una página web para intentar descargar el troyano, Downloader.JGP.

Además, este nuevo gusano recopila direcciones de correo electrónico del usuario que luego utiliza para enviar copias de sí mismo y así aumentar su distribución. Además, Sixem.A finaliza una serie de procesos relacionados con software antivirus para impedir su detección y neutralización, lo que reduce la seguridad del equipo infectado y lo hace más vulnerable a otros ataques.

Para ayudar al mayor número de usuarios a analizar y/o desinfectar puntualmente sus equipos, Panda Software ofrece gratuitamente -en http://www.pandasoftware.es/home/default.asp - la solución antimalware online Panda ActiveScan, que ahora también detecta spyware. Además, los webmasters pueden ofrecer este mismo servicio a los visitantes de sus páginas web mediante la inclusión de un código HTML que pueden obtener gratuitamente en http://www.pandasoftware.es/partners/webmasters/

Cross-site scripting en Cisco Secure ACS para UNIX

From: Oxygen3 24h-365d <oxygen@pandasoftware.com>
Date: 20-jun-2006 10:27
Subject: Oxygen3 24h-365d [Cross-site scripting en Cisco Secure ACS para UNIX - 20/06/06]
To: OXYGEN3ES@oxygen3.pandasoftware.com

"Todo cuanto sé con mayor certeza sobre la moral y las
obligaciones de los hombres, se lo debo al fútbol".
Albert Camus, (1913-1960), escritor y filósofo francés
(El 20 de junio de 1963 se establece el "teléfono rojo" entre URSS y EEUU)

- Cross-site scripting en Cisco Secure ACS para UNIX -

Oxygen3 24h-365d, por Panda Software (http://www.pandasoftware.es)
Madrid, 20 de junio de 2006 - Cisco ha confirmado la existencia de una vulnerabilidad en Cisco Secure Access Control Server para UNIX, por la que un usuario remoto podrá crear ataques de cross-site scripting.

El problema reside en que el script 'LogonProxy.cgi' no filtra adecuadamente el código html introducido por el usuario en peticiones HTTP GET y HTTP POST antes de mostrar la entrada. Un usuario remoto podrá provocar la ejecución de código script arbitrario en el navegador del usuario atacado. El código se generará desde el sitio con el software Cisco Secure ACS para UNIX y se ejecutará en el contexto de seguridad de dicho sitio. Como resultado, el código tendrá acceso a las cookies del usuario atacado asociadas con el dispositivo (incluidas las cookies de autenticación), a datos de accesos recientemente introducidos por el usuario al dispositivo a través de formularios web, o podrá realizar acciones sobre el dispositivo actuando como el propio usuario atacado.

Sólo se ve afectada la versión Cisco Secure ACS for UNIX, otras versiones de Cisco Secure Access Control Server no se ven afectadas.
Cisco ha publicado una actualización disponible en: http://www.cisco.com/pcgi-bin/tablebuild.pl/cspatchunix-3des

El aviso de seguridad de Cisco está disponible en: http://www.cisco.com/warp/public/707/cisco-sr-20060615-acs.shtml

Los nuevos Cisco IOS packages

Si usted no ha comprado un dispositivo Cisco nuevo en los últimos tiempos, o si no ha realizado una actualización de sistema operativo, puede que aún no sepa que Cisco ha implementado una nueva formulación de las presentaciones de Cisco IOS (lo que denominábamos "feature sets") junto con una nueva convención de nombres. Esto ha sido a partir de Cisco IOS versión 12.3.
Este cambio ha permitido reducir los posibles feature sets de una versión de Cisco IOS para un hardware determinado, que eran en algunos casos más de 40, a solamente 8 combinaciones que ahora se denominan "packages".
Es importante conocer esta presentación de Cisco IOS con detalle, para poder tomar una decisión adecuada al momento de seleccionar la próxima versión de sistema operativo a instalar en los dispositivos.

Sobre el procedimiento para actualizar Cisco IOS

Legacy Naming
Para las versiones de IOS anteriores a la 12.3, Cisco utiliza una combinación de letras y números para identificar cada versión del sistema operativo. Es un sistema árido y de difícil memorización, que permite muchísimas combinaciones. En algunos casos había hasta 44 feature sets diferentes para una misma plataforma.
Esta convención de nombres recibe en la actualidad la denominación de "legacy naming", y es importante que hagamos una revisión de ella ya que la encontraremos en la mayoría de nuestros dispositivos todavía en operación.
Analicemos un ejemplo: en un router Cisco 2611 que corre un Cisco IOS 12.2, podemos encontrar una imagen de IOS cuyo nombre estándar es:

• c2600-ik9o3s3-mz.122-15.T9.bin

Esto significa:

• c2600 nos indica que es para la serie de routers 2600.
• i en ik9o3s3 indica que es el feature set IP routing.
• k9 indica que contiene la versión IOS del protocolo de encripción 3DES.
• o3 indica que es la versión IOS que incluye firewall/IDS.
• s3 indica que es la versión IOS para los routers serie 2600/3600 denominada "Basic limited routing/limited memory".
• mz significa que esta versión de IOS corre desde la RAM y se encuentra comprimida.
• 122-15.T9 indica que es un IOS versión 12.2 release 15, y que es una imagen tipo T versión 9.

Nota: Si no conoce el nombre de la imagen del sistema operativo
que está corriendo el dispositivo, utilice el comando show version.
Para ver la imagen almacenada en la memoria flash
puede utilizar los comandos show flash o dir flash:

Es decir, una denominación compleja y difícil de interpretar, que requiere un alto nivel de conocimiento sobre la nomenclatura para poder comprender el contenido. Es por esto que se requiere un documento específico, denominado "Guide to Cisco IOS Release Naming" para poder interpretar correctamente este complejo conjunto de letras y números.

Nuevo IOS Packaging
Cisco ha adoptado a partir del Cisco IOS 12.3 un nuevo método de ordenamiento y nomenclatura para las imágenes del IOS denominado "IOS Packaging". El objetivo principal es reducir la cantidad y variedad de versiones de IOS disponibles para cada dispositivo a solamente 8.

Esos 8 "packages" son:

• IP Base
• IP Voice
• Enterprise Base
• Advanced Security
• SP Services
• Advances IP Services
• Enterprise Services
• Advanced Enterprise Services

Cada uno de estos packages reúne un conjunto de características. Por ejemplo, el package Advanced Security contiene el Cisco IOS Firewall, IPSEC, 3DES, VPN y SSH. Este sería el package que reemplaza la versión que revisamos más arriba: c2600-ik9o3s3-mz. En este caso, la denominación de la imagen es mucho más clara:

• c2600-advsecurityk9-mz

Para conocer los detalles respecto de esta nomenclatura,
consulte al respecto el Boletín de Producto 2160

El nivel más básico de imagen de Cisco IOS es la denominadaIP Base. Esta imagen contiene los features de ruteo IP estándar de mayor uso. El nuevo sistema relaciona los diferentes package, de modo tal que los más complejos incluyen todas las funciones de los más simples. Esta figura muestra como Cisco explicita la relación existente entre los diferentes packages disponibles:

Información adicional sobre esta nueva presentación, puede encontrarla en:

• Cisco IOS Packaging
• Boletín de Producto 2160
• Boletín de Productos 2855

Oscar A. Gerometta
Todo comentario o aporte que desees hacer,
por favor, incorporalo en forma de comentario
a este artículo.Muchas gracias.

Cross-Site Scripting en Cisco WebVPN

From: Oxygen3 24h-365d <oxygen@pandasoftware.com>
Date: 12-jun-2006 7:41
Subject: Oxygen3 24h-365d [Cross-Site Scripting en Cisco WebVPN - 12/06/06]
To: OXYGEN3ES@oxygen3.pandasoftware.com

"El problema con los árbitros es que conocen las reglas,
pero no conocen el juego"
Bill Shankly (1913-1981), manager de fútbol
(El 12 de junio de 1942, Anne Frank recibe un diario por su cumpleaños)

Cross-Site Scripting en Cisco WebVPN
- Oxygen3 24h-365d, por Panda Software (http://www.pandasoftware.es)
Según la empresa Security Tracker, se ha encontrado una vulnerabilidad en Cisco WebVPN por la que un atacante remoto podrá realizar ataques de cross-site scripting. El script 'dnserror.html' de WebVPN no filtra adecuadamente el código html introducido por el usuario en el parámetro 'domain' antes de mostrar la entrada. Por ello, un atacante remoto podrá crear una URL especialmente modificada de forma que cuando la visite el usuario atacado provocará la ejecución de código script arbitrario en el navegador del usuario. El código se originará desde el dispositivo WebVPN y se ejecutará en el contexto de seguridad de dicho dispositivo.
Como resultado, el código tendrá acceso a las cookies del usuario atacado asociadas con el dispositivo (incluidas las cookies de autenticación), a datos de accesos recientemente introducidos por el usuario al dispositivo a través de formularios web, o podrá realizar acciones sobre el dispositivo actuando como el propio usuario atacado.
El aviso puede ser consultado en http://securitytracker.com/alerts/2006/Jun/1016252.html.