Cisco IOS Security: VRF Aware IPSec

Cisco IOS Security: VRF Aware IPSec

Hola a todos!!  de forma atrasada pero cumpliendo les traigo este post de más VPN :D esta vez aplicada a VRF, entonces partamos con la primera pregunta que se deben estar haciendo.

¿WTF es una VRF?

Primero que todo VRF es el acrónimo de ‘Virtual Routing Forwarding’ entonces cuando pensamos en VRF,  pensemos en virtualización, una VRF es una instancia de ruteo dentro de un Router,  sería como tener varios mini-routers dentro del mismo equipo físico, por ende en un equipo físico podríamos tener la misma IP o el mismo segmento de red en diferentes interfaces o en la misma interface subdividida. Ahora porque sería necesario usar VRF? Imaginemos una ISP con varios clientes cada uno de ellos teniendo sus propias redes privadas y su propio protocolo de enrutamiento (EIGRP, OSPF, IS-IS, BGP), habría que pensar en poder separar cada uno de estos para que las tablas de rutas de los clientes no se ‘aplastaran’ entre ellas :D. Bien ya que tenemos la idea de que es una VRF y donde o cuando se puede usar pasemos a la parte de VPN  :D

En el siguiente escenario podemos observar 3 routers, 2 clientes y 1 proveedor, por el lado del proveedor crearemos las VRF para los 2 clientes y así poder separar el tráfico de cada uno de ellos. Luego pasaremos a encriptar las redes de ambos clientes en forma separada con IPSec.

VRF-aware-2

Routing Router Proveedor

Generamos las VRF con el simple comando ‘IP VRF <nombre-VRF>’

VRF-aware-3

La interface hacia la nube la dividimos y las encapsulamos con las VLAN 20 y 30 respectivamente (las vlan pueden cambiar es decisión de ustedes), asignando las VRF creadas y la primera IP disponible en el segmento mostrado, hay que tener en cuenta que primero se aplica la VRF y luego la IP, ya que si se realiza de forma inversa la IP será borrada :D

VRF-aware-4

Creamos 2 loopbacks, asignamos una VRF para cada una de estas y asignamos las IP correspondientes, el resultado a continuación

VRF-aware-5

Ahora nos faltaría generar el enrutamiento para las VRF, para esto usaremos rutas estáticas solo para ver cómo se harían

VRF-aware-6

Con esto estaríamos listos por la parte de enrutamiento con las VRF por el lado del proveedor, los Router de cliente no van a usar VRF por ende con una configuración básica de interfaces y una ruta por defecto hacia el proveedor bastaría.

VRF-aware-7

VRF-aware-8

IPSEC Router

Configuramos el perfil de ISAKMP también conocido como fase 1 como también el perfil IPSec o de fase 2 en los 3 routers

VRF-aware-9

En el Router de proveedor generamos la ACL para hacer match del tráfico interesante el cual será encriptado, en este caso solo generaré una ACL para ser usada con ambos clientes.

VRF-aware-10

Para el cliente A la ACL no varía mucho ya que solo se debería cambiar la posición de las redes origen por destino y destino por origen;  las claves pre compartidas PSK, usaremos un nuevo comando que es  el keyring esto para hacer encajar las VRF con la PSK cisco

VRF-aware-12

Para las PSK de los clientes lo realizaremos de la forma tradicional

VRF-aware-13

Solo faltaría crear el crypto map y aplicarlo a las interfaces en los 3 routers

VRF-aware-14

VRF-aware-15

Realicemos las pruebas, con el siempre usado ping, en este caso debido a que usamos VRF al ping se le debe decir por cual VRF debe ser ejecutado

VRF-aware-16

Verifiquemos el estado de fase 1 y si nuestro tráfico se está encriptando bajo la VRF del cliente A

VRF-aware-19

VRF-aware-17

Success!!! , podemos ver que la VRF protegida es la VRF del cliente A, cuando se realiza una VPN S2S de la forma tradicional  este campo se presenta como ‘none’

Una ves más, con esto concluimos la parte de ‘Cisco IOS Security: VRF Aware IPSec‘, espero que  sido de su agrado  8-) , favor si les gusto o tienen preguntas al respecto no duden en consultar :mrgreen:

Estudio CCNP Route: Lab 2 – IPv6

Siguiendo con nuestra serie de laboratorios de estudio para CCNP Route, dejo a continuación el Lab 2 sobre IP versión 6. En este Lab podrán practicar direccionamiento IPv6, implementación de OSPF versión 3, implementación de EIGRP para versión 6 (Depende del IOS que utilicen), BGP-Multiprotocol para IPv6 y túneles automáticos 6to4.

topology

Descargar Lab: LAB_IPv6
Descargar Solución: Running-configs-solucion-Lab-IPv6

 

Estudio CCNP Route: Lab 1: EIGRP

Hoy he decidido comenzar a compartir material y ejercicios de laboratorios para practicar para el exámen de certificación 642-902 (CCNP Route). A continuación les dejo el Lab N°1 de esta serie que trata sobre EIGRP. Pronto subiré un video con la solución del ejercicio. Por ahora intenten resolverlo solos :) (está hecho bajo GNS3, el cual pueden descargar en http://www.gns3.net/download/ (el IOS no se los puedo pasar, pero una búsqueda rápida los ayudará).

En este ejercicio practicarán:

1.- Configuración básica de EIGRP
2.- Conectividad de EIGRP bajo entornos Frame Relay Hub and Spoke
3.- Sumarización manual
4.- Autenticación de EIGRP
5.- EIGRP stub
6. Administración de ancho de banda WAN de EIGRP.
7. Interfaces pasivas.

Descargar Lab: LAB_EIGRP

Solución: running-configs-solucion-LAB_EIGRP

Cisco IOS Security: GETVPN

Cisco IOS Security: GETVPN

Hace algunos días un ex compañero tenia algunas dudas sobre GETVPN una tecnología de VPN muy poco vista … y es por eso que a continuación veremos de que trata y como configurarlo.

GETVPN o Group Encrypted Transport VPN es una tecnología VPN túnel inferior o sea que no utiliza túneles la cual proporciona seguridad de extremo a extremo para el tráfico de red en un modo nativo y mantenimiento la inteligencia de la red como conexiones full-mesh, routing, QOS. GETVPN Utiliza la capacidad de la red de núcleo para poder enrutar y replicar los paquetes entre diferentes sitios dentro de la empresa. Por lo tanto, es en gran medida adecuado para una empresa que se encuentre corriendo sobre una MPLS. También es adecuado para encriptar tráfico multicast. Una implementación de  GETVPN tiene esencialmente tres componentes que son los siguientes:

  • Key Server (KS)
  • Group Member (GM)
  • Group Domain of Interpretation (GDOI)

Los GM realizan las tareas de encriptación y desencriptación del tráfico y el KS distribuye la llave de encriptación hacia todos los miembros del grupo. Debido a que todos los GM usan la misma llave, cualquier GM puede desencriptar el tráfico encriptado por otro GM. GDOI es un protocolo usado entre el KS y los GM.GDOI no depende de nadie más que de IKE o la fase1 para proteger la distribución de claves,, al igual que con las VPN IPSec tradicionales es posible utilizar métodos como claves pre compartidas o también PKI para la autenticación de IKE. GDOI implementa dos llaves de encriptación diferentes; Key Encryption key (KEK) es utilizada para asegurar el plano de control, mientras que la llave utilizada para la encriptación de datos es la Traffic Encryption Key (TEK).

Ahora a revisar la configuración con el siguiente escenario, en donde tenemos un KS con IP 10.0.1.2, dos GM (R1 y R2) y enrutamiento OSPF en toda la red. Los host poseen la IP 192.168.1.10 y 192.168.2.10 respectivamente.

getvpn-diag

Configuración del KEY Server

Configuración de la fase 1 o perfil de ISAKMP o IKEv1 con la clave pre compartida

ks1

Sigue leyendo

Vulnerabilidad de manipulación de LSAs encontrada en múltiples productos Cisco corriendo OSPF

Alert

Se ha encontrado una vulnerabilidad en algunas versiones de dispositivos Cisco que ejecutan OSPF que permitiría a un atacante no autenticado enviar paquetes LSAs de tipo 1 a una red y causar que algún router borre o modifique completamente la tabla de enrutamiento y tomar control completo de todo el sistema autónomo (AS) que ejecuta OSPF, permitiendo crear agujeros negros o interceptar tráfico de usuarios.

El atacante podría lanzar esta vulnerabilidad inyectando paquetes OSPF modificados. Un ataque exitoso puede causar el borrado completo de las rutas en el router vulnerable, así como también hacer que esos LSA de tipo 1 modificados se propaguen por todo el dominio del AS. Hasta ahora se ha determinado que solamente ciertos LSA1 son vulnerables solamente y no afectan a otros tipos de LSA.

Vale destacar que OSPFv3 no es vulnerable a este ataque ni tampoco FSPF (Fabric Shortest Path First).
Cisco ha lanzado actualizaciones de seguridad que solucionan este problema. Las versiones de IOS vulnerables y las soluciones al problema pueden encontrarlas acá:

http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20130801-lsaospf

Video Clase Introducción a las listas de control de acceso

Cisco ASA: Configurando Interfaces.

Cisco ASA: Configurando Interfaces.

Muy bien estimados, es la hora de ver configuraciones sobre interfaces, veamos que cosas interesantes podemos realizar.

Configurando parámetros de interfaces

La configuración de una interface en un Cisco ASA no es muy diferente a la de un Router, para esto necesitamos configurar lo siguiente:

  • Dirección IP
  • Nombre de interface
  • Nivel de seguridad
  • Velocidades y modos de operación (opcional)

asa-3-1

Al momento de configurar el nombre de la interface, el ASA propone niveles de seguridad según el nombre que hayamos otorgado, por ejemplo si configuramos la interface con el nombre ‘outside’, el ASA automáticamente le asignará un nivel de seguridad 0, lo cual hace referencia a la zona menos segura, sin embargo si configuramos la interface con el nombre ‘inside’, el ASA le asignará un nivel de seguridad 100, la cual hace referencia a la zona más segura. Por ´filosofía´ el ASA permite pasar tráfico desde una interface con un nivel mayor de seguridad hacia una interface con menor nivel de seguridad; deniega el tráfico si este proviene de un nivel de seguridad menor a uno mayor, como también deniega el tráfico si este proviene y se dirige a una interface con los mismos niveles de seguridad, esto se aplica solamente para el flujo inicial de datos, sin embargo podemos ‘romper las reglas’ agregando listas de acceso ACL.

asa-3-2

asa-3-3

Sigue leyendo

Excelente review de OSPF: Yo sé networking

A continuación les dejo un documento resumen de OSPF muy bueno realizado por Felipe Arellano, estudiante de la Universidad INACAP en Santiago Sur, Chile. Excelente para consultas rápidas sobre temáticas referentes a la currícula CCNA y CCNP acerca de este protocolo.

Para revisar o descargar en formato PDF hagan click en la imagen.

yosenet

 

Video Clase Online Introducción a  la listas de control de acceso

regístrate en:

 

Transición CCNA Antigua a la Nueva Certificación CCNA Routing and Switching

Cisco anuncio la nueva versión CCNA llamada CCNA Routing and Switching le cambiaron el nombre también hace ya algún tiempo, las buenas noticias es que para la gente que ya tenia la CCNA antigua pueden solicitar su certificado nuevo sin costo alguno (CCNA Routing and Switching), la otra buena noticia es que ya no cobran por obtener el certificado digitalmente (PDF).

Esto lo pueden realizar desde:

  1. Cisco certification tracking system
  2. En el área Certifications, Certification Fulfillment
  3. Luego seleccionar 1 Kit (por defecto esta en 0) en Kit de certificación electrónica (versión PDF)
  4. Le damos en continuar, nos aparecerá la confirmación de información le damos continuar.
  5. Finalmente nos debería de aparecer algo como lo siguiente y 0 Costo.

Luego a esperar generalmente el proceso toma de 1-2 días y tendrán el nuevo certificado de CCNA Routing and Switching, esto como premio para la gente que ya es CCNA, cabe destacar que la gente que logre la versión actual de la certificación (640-8XX) antes del 30 de Septiembre de este año 2013 también podrán pedir la nueva versión.

¿Cuales son los cambios?

  1. Los exámenes antiguos ICND1 (640-822), ICND2 (640-816) y CCNA (640-802) estarán disponibles solo hasta el 30 de Septiembre de este año 2013.
  2. La actualización de los nuevos exámenes a grandes rasgos incluye IOS v15, Soporte de IPv6, Licenciamiento del IOS e implementación de seguridad simplificada para 802.1x
  3. Con estos nuevos cambios Cisco también anuncio que la certificación CCENT será la única certificación como pre-requisito para CCNA Security, CCNA Voice, CCNA Wireless y CCDA.

Mapeo de Track Antiguo al nuevo:

Material de estudio para la nueva certificación CCNA Routing and Switching

Como era de esperarse lo mejor para prepararse son los libros oficiales de Cisco Press estos tienen 2 series, la primera serie Foundation Learning Guide los cuales son de 0, el problema con esto es que de momento solo esta disponible el Interconnecting Cisco Network Devices, Part 1 (ICND1 Cod. 100-101) Foundation Learning Guide, 4th Edition, escrito por Anthony Sequeira por el contrario ICND2 Cod. 200-101 aún no pero al parecer tiene fecha para este año 2013.

 

 

 

Por el contrario tenemos la serie Official Certification Guide y esta si viene con todo, esta disponible por libros separados o juntos en una sola Libreria recomiendo esta ultima opción incluye los DVD con los Test de practica, etc y escritos nuevamente por Wendell Odom.

 

Cisco CCNA Routing and Switching 200-120 Official Cert Guide Library

Cisco CCENT/CCNA ICND1 100-101 Official Cert Guide

Cisco CCNA Routing and Switching ICND2 200-101 Official Cert Guide

 

Sigue leyendo

Encuesta

Encuesta VideoClase
¿Que tema te gustaría?

Síguenos

Lista de correos

Grupos de Google
Suscribirte a Redes Cisco.NET
Correo electrónico:
Consultar este grupo

Puedes ayudarnos!

Síguenos!

Subscribe via RSS

Sitios Recomendados