El comando network

En el mundo Cisco, la configuración básica de un protocolo de enrutamiento IPv4 es relativamente simple:
Router#configure terminal
Router(config)#router [protocolo]
Router(config-router)#network [ID de red]
Router(config-router)#end
El proceso del protocolo de enrutamiento se activa en el momento en el que se ingresa el primer comando network. Si no hay comandos network, no se activa el protocolo de enrutamiento.
Pero esta configuración básica tiene algunas limitaciones primarias que deben ser tenidas en cuenta:

• Aplica exclusivamente a protocolos de enrutamiento interior (RIP, EIGRP, OSPF). No aplica de la misma forma a la configuración de BGP.
• No aplica a la configuración de enrutamiento IPv6.

Con estas salvedades, los protocolos de enrutamiento interior IPv4 se configuran esencialmente de igual manera. Pero en esa configuración el comando network tiene un rol particular que debemos comprender, y que no es exactamente idéntico en todos los protocolos.
El comando network es el que se utiliza para definir en todos los casos qué interfaces del dispositivo participan del proceso de enrutamiento. Los efectos prácticos del comando son 3:

• Identifica las interfaces a través de las cuáles se publica información del protocolo de enrutamiento hacia los dispositivos vecinos.
• Identifica las interfaces a través de las cuáles se recibe información del protocolo de enrutamiento publicada por los dispositivos vecinos.
• La red o subred a la que está asociada la interfaz va a ser incluida en el proceso del protocolo de enrutamiento.

Tengamos presente entonces: el comando network define las interfaces del dispositivo que participan del proceso del protocolo de enrutamiento.
Dado que hay particularidades respecto del uso de este comando en cada uno de los protocolos de enrutamiento interior, voy a tomar como base la configuración de un dispositivo (un router 2911), y luego revisaremos la utilización del comando en un entorno de enrutamiento RIP, en uno EIGRP y en uno OSPF.
Las interfaces de nuestro dispositivo de pruebas:
Router#show ip interface brief
Interface             IP-Address       OK? Method Status Protocol
GigabitEthernet0/0    192.168.1.1      YES manual  up       up
GigabitEthernet0/1    192.168.1.129    YES manual  up       up
GigabitEthernet0/2    172.16.1.1       YES manual  up       up
Serial0/0/0           192.168.100.1    YES manual  up       up
Serial0/0/1           192.168.100.5    YES manual  up       up

Uso de network en RIP
En el caso de RIP no es posible identificar subredes (en nuestro ejemplo tenemos varias), pudiéndose declarar únicamente las redes completas según clase.
En nuestro caso, la configuración es:
Router#configure terminal
Router(config)#router rip
Router(config-router)#network 192.168.1.0
Router(config-router)#network 192.168.100.0
Router(config-router)#network 172.16.0.0
Router(config-router)#end
No hay límite respecto de la cantidad de networks que se pueden declarar. Si una interfaz no está incluida en esta configuración, la red asociada a ese interfaz no será publicada por el protocolo.

Uso de network en EIGRP
En el caso de EIGRP es posible utilizar, opcionalmente, una máscara de wildcard para definir con mayor precisión cuáles son las interfaces que participan del proceso de este protocolo de enrutamiento.
En el caso de nuestro ejemplo, supondré que no deseamos incluir en el proceso de EIGRP la interfaz Serial 0/0/1 que utiliza una subred de la misma red que la interfaz Serial 0/0/0; por lo que utilizaré máscara de wildcard para incluir solamente la interfaz Serial 0/0/0.
Router(config)#router eigrp 1
Router(config-router)#network 192.168.1.0
Router(config-router)#network 172.16.0.0
Router(config-router)#network 192.168.100.1 0.0.0.3
Router(config-router)#end
En este caso, es posible utilizar el comando para incluir una o varias interfaces según se prefiera. El router sólo establecerá relación de vecindad con dispositivos que sean accesibles a través de las interfaces incluidas en el proceso del protocolo.
Dado que podemos utilizar máscaras de wildcard, en EIGRP un comando network puede incluir un host en particular, una subred o conjunto de subredes, o incluso un conjunto de redes. Cuando no se aplica la máscara de wildcard el comando se comporta de modo similar a como lo hace en RIP.

Uso de network en OSPF
En OSPF, el comando network no sólo define las interfaces que participan del proceso del protocolo, sino que también se utiliza para asignar la interfaz a un área OSPF específica. En este caso, el uso de la máscara de wildcard es obligatorio; pero el conjunto ID de red + wildcard puede identificar un host, una interfaz o un conjunto de ellas, mientras que las interfaces comprendidas pertenezcan a la misma área.
En el caso de nuestro ejemplo, incluiré las interfaces Serial 0/0/0 y 0/0/1 como pertenecientes al área 0 utilizando una única sentencia.
Router(config)#router ospf 1
Router(config-router)#network 192.168.1.0 0.0.0.127 area 1
Router(config-router)#network 192.168.1.128 0.0.0.127 area 1
Router(config-router)#network 172.16.1.0 0.0.0.255 area 1
Router(config-router)#network 192.168.100.0 0.0.0.7 area 0
Router(config-router)#end
No hay límite respecto de la cantidad de comandos network que se pueden declarar. Se debe tener presente que cada interfaz puede estar asociada a una única área OSPF.

Enlaces con documentación de referencia

• Command Reference para Cisco IOS 15.0
• Comando network para RIP en IOS 15.0
• Comando network para EIGRP en IOS 15.0
• Comando network para OSPF en IOS 15.0

Hay un nuevo CCNP Security

Esta semana Cisco ha hecho público el rediseño de su certificación CCNP Security, lo que ha significado una reformulación completa tanto de los exámenes de certificación como de los entrenamientos oficiales orientados a los mismos.
En la visión de Cisco, la evolución del mercado, la demanda creciente de soluciones de seguridad embebidas en la infraestructura, y la demanda creciente de profesionales en el área de seguridad con una visión holística del tema, requerían una revisión del path de certificaciones de seguridad de Cisco.

Con las transiciones del mercado signadas por la introducción de cloud, movilidad y la Internet of Thing que remueven los límites de la red al mismo tiempo que crean y expanden nuevas áreas de ataque e incrementan el impacto y costo de las intrusiones en la red, hay una demanda creciente de profesionales de seguridad con una comprensión amplia de esta visión holística y end-to-end de la seguridad de la red.

En función de esto, la estrategia de Cisco ha sido:

• Rediseñar por completo el programa de certificación CCNP Security.
• Lanzar una nueva certificación de especialista: Cisco Cybersecurity Specialist Certification.
• Retirar las certificaciones de especialistas en seguridad de Cisco existentes.
• Lanzar nuevos cursos de entrenamiento en productos.

Los nuevos exámenes y entrenamientos.
La nueva certificación CCNP Security obedece a una visión completamente diferente de la propuesta de seguridad en infraestructura. De una propuesta centrada en producto se ha pasado a una propuesta basada en arquitectura, lo que proporciona una visión holística e integral de la problemática de seguridad.
Un reflejo importante de esta nueva visión del perfil del técnico en seguridad de infraestructura propuesta por Cisco está en el hecho de que los nuevos entrenamientos, todos ellos, utilizan la misma maqueta de laboratorio.
Los exámenes que componen esta nueva certificación CCNA Security son:

• 300-206 SENSS - Implementing Cisco Edge Network Security Solutions.
• 300-207 SITCS - Implementing Cisco Threat Control Solutions.
• 300-208 SISAS - Implementing Cisco Secure Access Solutions.
• 300-209 SIMOS - Implementing Cisco Secure Mobility Solutions.

El pre-requisito de contar con una certificación CCNA Security válida, y que los 4 exámenes se aprueben en un período de 3 años, permanece sin cambios.
Todos estos nuevos exámenes ya se encuentran disponibles.
Una síntesis de lo abarcado por cada uno de estos nuevos entrenamiento (y exámenes), podría ser la siguiente:

• SENSS
  Configuración de soluciones de seguridad perimetral en el borde de la red utilizando switches y routers Cisco y firewalls ASA.
  Estará disponible a partir del 7 de febrero de 2014 en los Cisco Learning Partners.
• SITCS
  Implementación de Cisco's Next Generation Firewall (NGFW) para seguridad en correo electrónico, web y cloud.
  Estará disponible a partir del 24 de febrero de 2014.
• SISAS
  Implementación de acceso seguro a la red utilizando ISE (Identity Services Engine).
  Ya se encuentra disponible en Cisco Learning Partners.
• SIMOS
  Protección de datos que atraviesan la infraestructura de red pública o compartida implementando soluciones VPN.
  Estará disponible a partir del 19 de febrero de 2014.

La nueva certificación de Cisco Cybersecurity Specialist se obtiene rindiendo un solo examen:

• 600-199 SCYBER - Securing Cisco Networks with Threat Detection and Analysis.

Para brindar entrenamiento a quienes desean acceder a esta certificación de especialista, Cisco podrá a disposición, el curso SCYBER de 40 hs. de duración.
Para responder a la necesidad (sobre todo en los Cisco Partners) de técnicos especializados en determinados productos, se anunciaron nuevos entrenamientos en productos que no están mapeados a una certificación en particular:

• Implementing Advanced Cisco ASA Security - SASAA
• Implementing & Configuring Cisco Identity Services Engine for Wireless Engineers - SWISE
• Implementing Cisco Bring Your Own Device Solutions - SBYOD
• Implementing Core Cisco ASA Security - SASAC

El concepto básico de esta diversidad es que 3 roles diferentes requieren 3 niveles diferentes de entrenamiento y certificación:

• Network Security Engineers.
  Responsables de diseñar, implementar, mantener y gestionar soluciones de seguridad end-to-end: CCNP Security.
• Network Security Analist.
  Responsable del monitoreo de eventos, análisis de alarmas y tráfico, y respuesta a incidentes:
  Cybersecurity Specialist.
• Cisco Network Security product expert.
  Gestiona nuevos proyectos e instala o utiliza productos de seguridad de Cisco.
  Cisco Product Training.

Caducidad de los exámenes actuales.
La certificación CCNP Security actual, está compuesta también por 4 exámenes: SECURE, FIREWALL, VPN e IPS. Estos exámenes estarán disponibles hasta el próximo 21 de abril de 2014.
Quienes ya están en proceso de certificación y tienen algunos de estos exámenes rendidos, podrán obtener su certificación CCNP Security completando los exámenes que le falten antes del 21 de abril de 2014 o bien migrando a los nuevos exámenes, para lo cual se ha publicado un "migration path".
Sintetizándolo:

• A quienes tienen aprobado SECURE, se les da por aprobado 300-208 SISAS.
• A quienes tienen aprobado IPS, se les da por aprobado 300-207 SITCS.
• A quienes tienen aprobado FIREWALL, se les da por aprobado 300-206 SENSS.
• A quienes tienen aprobado VPN, se les da por aprobado 300-209 SIMOS.
• En cualquier caso, siempre es necesario aprobar 4 exámenes en cualquier combinación de las versiones que se retiran con los exámenes nuevos.

Como el sistema tiene detalles adicionales, sugiero que quienes están en esta transición consulten el Exam Migration Path publicado en la página de Cisco.
Esto no significa que haya una correspondencia exacta entre los contenidos de los exámenes, sino que Cisco reconoce los exámenes ya aprobados como válidos para la nueva certificación para no afectar a quienes están en el proceso de aprobar los 4 exámenes exigidos.
Es obvio que la recomendación para quién hoy inicia este trayecto de certificación es que inicie desde ya con los nuevos entrenamientos y exámenes.

La pregunta de muchos: ¿habrá más cambios?
No lo sé, pero personalmente, creo que sí. Este cambio desde una visión de producto a una de arquitectura está alineado (a mi modo de ver) con la estructura del trayecto de certificación de Service Provider, y si estamos atentos a la evolución de la propuesta de Cisco, esta es la línea de trabajo que se está afirmando con el paso del tiempo.
Pero por otra parte, hacer previsiones específicas sobre qué certificaciones cambiarán y cuándo, creo que no es posible y lo prudente es aguardar los anuncios de Cisco en cada caso. No es un proceso sencillo y difícilmente se pueda desarrollar de modo uniforme en toda la diversidad de certificaciones que hoy ofrece Cisco. 

Enlaces de importancia.

• Publicación del rediseño de la certificación.
• Página de CCNP Security.
• Página de Cisco Cybersecurity Specialist.
• CCNP Security Certification Exams Migration Path.
• Post: Apuntes para definir una carrera Cisco.

Autosecure

Un punto fundamental al diseñar y analizar la seguridad de una red de comunicaciones es el hardening o aseguramiento de de los dispositivos que componen su infraestructura. Este proceso de hardening supone asegurar el acceso de gestión al dispositivo y desactivar o asegurar todo protocolo o feature que suponga una potencial puerta de acceso al dispositivo en sí mismo.
Para esta tarea hay colecciones de best practices y checklists a completar: aplicar procesos de autenticación, autorización y registro sólidos para los accesos de gestión, utilizar protocolos de gestión seguros (SSH o HTTPS), suprimir servicios que no se utilizan y asegurar aquellos que son necesarios, asegurar vulnerabilidades, etc.
Un recurso de IOS diseñado para facilitar esta tarea es Autosecure.
Se trata de un feature que permite asegurar un router utilizando un único comando. Algunos de los efectos de la ejecución del comando son los siguientes:
Deshabilita los siguientes servicios globales sin necesidad de intervención del operador:

• Finger.
• PAD.
• Small Servers.
• BOOTP Server.
• HTTP Server.
• Identification Service (RFC 1413).
• CDP.
• NTP.
• Source Routing.

Deshabilita servicios en las interfaces sin intervención del operador:

• ICMP redirects
• ICMP unreachables.
• ICMP mask reply messages.
• Proxy ARP.
• Directed Broadcast.
• MOP (Maintenance Operations Protocol).

Paralelamente se habilitan de modo automático algunos servicios globales:

• Service passowrd-encryption
• Service tcp-keepalives-in
• Service tcp-keepalives-out

También se asegura el acceso al router:

• Si no hay un banner, se solicita al operador que redacte uno.
• Se configura secret password en los acceso por consola, auxiliar y vty.
• Se implementa transport input y transport output.
• En puerto consola y auxiliar se configura un exec-timeout de 10 minutos.
• Siempre que sea posible se implementa SSH y SCP.
• Si el operador indica que no utiliza SNMP se deshabilita el protocolo si las comunidades están definidas como "public" y "private".
• Configura AAA local y pregunta para que el operador defina un usuario y una clave.

Respecto del servicio de registro de incidentes (logging):

• Implementa número de secuencia y regristo de tiempo para todos los mensajes.
• Se generan  registros en cada intento de acceso.
• Se envían mensajes de syslog de severidad crítica a todas las líneas de acceso.
• Se habilita un buffer de memoria RAM para almacenar localmente mensajes de syslog.
• Envía todos los mensajes de syslog de severidad mayor a debugging a un servidor.

En lo que se refiere a asegurar el plano de datos del router:

• Habilita CEF (Cisco Express Forwarding).
• Habilita TCP intercept.
• Habilita uRPF (unicast Reverse Path Forwarding).
• Habilita la configuración del firewall CBAC (Context-Based Access Control).

Para revisar el significado y consecuencias de cada uno de los mecanismos de seguridad mencionados hasta aquí, sugiero revisar el white paper de AutoSecure, y los documentos complementarios correspondientes en el sitio de Cisco.com.

Configuración

Router>enable

Router#auto secure

De esta manera se inicia un diálogo semi-interactivo que permite asegurar los planos de management y de datos (o forwarding).

Si no se desea utilizar el díálogo interactivo (hay que utilizarlo con mucho cuidado), el comando es entonces:

Router#auto secure no-interact

Si en cambio se desea que el sistema solicite confirmación antes de realizar cada uno de los cambios, el comando es:

Router#auto secure full

Es posible asegurar solamente el plano de management:

Router#auto secure management

O solamente el plano de datos:

Router#auto secure forwarding

Para verificar los comandos de configuración que se ejecutaron eon este macro:

Router#show auto secure config

Este feature está disponible a partir de IOS 12.3(1)S.

Autosecure en IOS 15.2

Bibligrafía para CCNA SP

Hace ya casi 2 años que Cisco publicó su nueva ruta de certificación para técnicos que desean trabajar en el ámbito de Service Providers.
El inicio de este camino de certificación no es la tradicional certificación CCNA, sino una certificación específica denominada CCNA Service Provider (CCNA SP).
Esta certificación se obtiene aprobando 2 exámenes de certificación: SPNGN1 y SPNGN2. Para la preparación del primero de estos exámenes desarrolé un manual sintético que incluye el temario completo requerido por el examen SPNGN1 640-875.
La siguiente demo en línea incluye la introducción del manual, el índice de temas y parte del primer capítulo.

AP Rapido CCNA Service Provider 1 1.0 Demo by Edubooks Ediciones

Para ver mayor información sobre este manual, revise este post.
Para adquirir ejemplares impresos, por favor escriba a libros.networking@gmail.com
Para adquirir ejemplares en formato ebook, ingrese aquí.

Bibliografía para CCNA R&S - versiones demo

Para quienes están preparando su examen de certificación CCNA R&S (200-120) he publicado 2 manuales. A continuación presenta las versiones demo, disponibles en línea, de cada uno de ellos.

Apunte Rápido CCENT (100-101) versión 5.0
Se trata de un manual sintético que incluye el temario completo requerido por el examen de certificación ICND1 100-101.
La siguiente demo en línea incluye el índice de temas, la introducción y parte del primer capítulo.

Apunte Rápido CCENT versión 5.0 Demo by Edubooks Ediciones

Para ver mayor información sobre este manual, revise este post.
Para adquirir ejemplares impresos, por favor escribir a libros.networking@gmail.com
Para adquirir ejemplares en formato ebook, ingrese aquí.

Apunte Rápido CCNA R&S (200-120) versión 5.0
Este otro manual sintético aborda el temario completo del examen de certificación CCNA Routing & Switching 200-120 (Composite).
Esta versión demo en línea incluye la introducción del manual, el índice de temas y parte del primer capítulo que desarrollo el temario del examen.

Apunte Rápido CCNA R&S versión 5.0 Demo by Edubooks Ediciones

Para ver mayor información sobre este manual, revise este post.
Para adquirir ejemplares impresos, por favor escribir a libros.networking@gmail.com
Para adquirir ejemplares en formato ebook, ingrese aquí.


Para revisar la información sobre la bibliografía completa que he publicado referida a este examen de certificación, por favor, ingrese aquí.