CCNA Security, Examen, Preparación y La pequeña Historia
Publicado 26 enero, 2011 | Bien señores, les comento que me anime a realizar un Curso de acuerdo a los requerimientos de la certificación CCNA Security exclusivamente para toda la comunidad RedesCisco.NET. Esta certificación la obtuve en el año 2009, el septiembre aun me acuerdo cuando solo estaba en idioma Ingles obtuve 988/1000, bueno antes que nada quisiera comentarles que actualmente esta certificación esta disponible en los siguientes idiomas:
Ingles, Japonés, Chino, Ruso, Portugués, Coreano, Francés, Español
El código del examen es el 640-553 IINS (Implementing Cisco IOS Network Security), la duración es 90 minutos, si lo dan en ingles tienen una extensión de tiempo a 120 minutos..
Ahora un poco acerca de la historia de las concentraciones como ustedes saben Cisco genero las llamadas concentraciones en base a una demanda de especializaciones no era suficiente tener la CCNA, aparte hay un gran salto por decirlo así de CCNA a CCNP, en el medio ahora tenemos las concentraciones CCNA Voice, CCNA Wireless, CCNA Security, CCNA Service Provider Operations todas están se clasifican a nivel Asociado. Todo esto llevo a las empresas a exigir una alta demanda de requisitos en especial lo que era Seguridad al menos aquí en Chile, un profesional de seguridad tiene diferentes caminos, lo fuerte son las redes enfocado a la seguridad, pero no solo significa que tengamos todo el conocimiento acerca de lo que es Seguridad, si bien el CCNA Security mide en diferentes secciones la habilidad de securizar, diseñar e implementar la seguridad dentro de las redes Cisco, existen otras certificaciones y estándares, que no hablare en realidad de estos ya que es bastante extenso, lo hare en otro momento, veamos si se genera bastante interés de esto, al menos todo lo que sea TI para mi es mi pasión y se que para Uds. mas que un trabajo es en verdad ser profesional.
Pero hablando de estándares y enfocándonos en el mundo Cisco, cuando se obtiene el CCNA Security recibes el reconocimiento bajo el estándar y un muy riguroso entrenamiento como Profesional en Sistemas de Seguridad de la Información (INFOSEC), aparte un reconocimiento por el Comité de Sistemas de Seguridad Nacional de los EUA (CNSS) y otro reconocimiento por la Agencia de Seguridad Nacional (NSA) y el NSTISSI No. 4011.
Bueno haciendo una reflexión y conclusión de este articulo
La certificación CCNA Security valida el conocimiento requerido para instalar, resolver problemas y monitorear los equipos de seguridad de redes de Cisco. Además, CCNA Security confirma las habilidades de un individuo para roles de trabajo como Especialista en Seguridad de redes | Administrador de Seguridad | Ingeniero de soporte en seguridad (Si tal como lo leen Ing. en soporte en Seguridad CISCO), alta demanda en nuestro país es cosa de que miren un poco hacia atrás y veamos cuantas veces empresas, industrias y hasta el propio gobierno a sido blanco de los ciber ataques a sus redes, ataques de denegación de servicio extendidos, explotación de sistemas y mas.
Ahora en base a que estará diseñado este curso, bueno les digo que existen muchos libros oficiales para esta certificación, son bastante buenos pero enfoquémonos en la certificación si se desea obtenerla, recomiendo ampliamente leer todo lo conceptual y apoyarse en la curricula que de por cierto es la versión 1.0 el otro camino o the other way es estudiar de acuerdo a lo que Cisco denomina Guías de Auto-Estudio autorizadas (Self-Study Guide) yo al menos todas las certificaciones que he obtenido nunca tome un curso, pero hace poco tuve la experiencia de hacerlo el CCNP Route y Switch y la verdad es que compartir con otros Instructores experiencias y anécdotas es algo único fuera de la amistad que también se forma.
Bueno les dejo copia de los certificados y que es lo que reciben el llamado Kit CCNA Security, aver si se motivan mas de lo que están ahora, obviamente para que la información sea solida debemos tener siempre el argumento como decia mi abuelito mucho ruido y pocas nueces, eso no va chico. Nos vemos en el proximo articulo donde se da inicio al primer topico para esta gran certificacion en lo que respecta seguridad a nivel asociado, a sacarle provecho muchachos!
Use Facebook to Comment on this Post
Monitoreando Equipamiento Cisco con SNMP y Cacti
Publicado 27 noviembre, 2010 |
El objetivo de este manual es poder obtener información acerca del comportamiento de nuestros equipos ya sea en este caso para graficar la cpu en el tiempo, como para ver el nivel tráfico que transita por las diferentes interfaces de este.
Con ayuda de Cacti podemos realizar gráficos de comportamiento históricos de múltiples equipamiento y plataformas como por ejemplo: Linux, Windows, Checkpoint, Cisco, HP-UX, Tru64 entre otros.
En el caso del equipamiento podemos graficar espacio de discos, tráfico en interfaces de red, porcentaje de uso cpu, cantidad de usuarios conectados, números de procesos, carga promedio, latencia, etc.
En el manual, adjunto la forma en la cual se debe instalar esta herramienta de monitoreo, espero que les sea de utilidad.
Use Facebook to Comment on this Post
Mitigando ataques de DHCP Spoofing utilizando Snooping en Switches Cisco
Publicado 16 noviembre, 2010 | 
Como muchos de ustedes saben, una de las formas que tienen los administradores de red, de entregar direccionamiento ip es mediante un servidor DHCP. El servidor DHCP escucha los broadcast generados por los host e inicia un ciclo de conversación hasta que finalmente entrega la dirección ip. Hasta aquí todo bien. Quizás muchas de las personas que lean este artículo les habrá pasado que en la red local aparece un segundo DHCP causando estragos en nuestra red LAN. Esto se conoce como el DHCP SPOOFING, en palabras simples un servidor DHCP que suplanta o interfiere con el verdadero DHCP corporativo. Si nuestra red local no cuenta con la protección adecuada es bastante dificil contener este tipo de ataques, donde tendremos constantes caídas de la red local.
En los Switches Cisco se cuenta con una solución que se llama Snooping, que es una función del equipo que sirve para repeler este tipo de ataques. Es muy simple el funcionamiento. Sólo hay que declarar el puerto al cual está conectado el DHCP corporativo(Trust) y ya está funcionando. Veamos como se hace:
Primero se activa Snooping en el Switch
Switch(config)#ip dhcp snooping
Luego se entra a la interfaz o interfaces(que es donde va estar nuestro DHCP corporativo) y se aplica el comando que declara el puerto como trust. Por defecto cuando se activa snooping todos los puertos pasan a ser puertos untrust.
Switch(config-if)#ip dhcp snooping trust
También hay que considerar si nuestro switch tiene VLANS asociadas a estos puertos, en ese caso se aplica:
Switch(config)#ip dhcp snooping vlan 10,20 ….etc. según necesitemos.
Con esto, nuestro Switch nos ayudará a contener el ataque o en caso que alguien levante un segundo servidor DHCP en nuestra red lan. Verán que este servidor DHCP Malicioso no afectará nuestra red.
Espero que les sea de mucha utilidad.
Saludos
Juan Carlos Spichiger
Use Facebook to Comment on this Post
Clase Práctica de ACL
Publicado 25 octubre, 2010 | Hemos preparado una clase práctica sobre lista de control de acceso para el día 6 de Noviembre a las 15:00 hora local de Chile.
Los tópicos a considerar serán:
- Funcionamiento de las lista de control de acceso
- Listas de acceso estandar y lista de acceso extendida
- Comprensión del funcionamiento de las wildcards
- Aplicación de listas de control de acceso.
- Laboratorio práctico de listas de control de acceso.
Los cupos serán limitados así que no demoren en inscribirse
cordialmente
Juan Carlos Spichiger
Use Facebook to Comment on this Post
Interconectando sucursales mediante una VPN IPsec Site-to-Site
Publicado 7 octubre, 2010 | En este artículo mostraré como levantar una conexión VPN de tipo site-to-site que permite interconectar dos redes LAN geográficamente distantes a través de Internet de manera segura. Este tipo de configuración es ideal para interconectar sucursales de una compañía que tienen distintos ISPs para salir a Internet.
El caso de interconexiones de sucursales es bastante recurrente y se debe emplear una solución que permita tener a todos los empleados sincronizados en la red remota y además que la conexión cuando pase por Internet desde A hacia B se haga mediante un túnel seguro (cifrado) para prevenir problemas de interceptación de las transacciones.
Algunas cosas que hay que saber antes de configurar son, por ejemplo, que IPsec es un estándar de la industria, por lo que no solamente funciona bien en routers Cisco, si no que también en Huawei, Juniper, Routers Linux, Windows, entre varios. Uno de los componentes principales de IPsec es IKE (Internet Key Exchange) el cual tiene como objetivo intercambiar información entre los peers involucrados. La información que intercambia Router_A con Router_B va desde las claves precompartidas (Preshared Key) hasta el tipo de algoritmos de hash y cifrado que se utilizarán (AES, DES, 3DES, MD5, SHA, etc).
Además existe ISAKMP (Internet Security Association and Key Management Protocol) que se encarga de establecer el túnel entre las dos LAN remotas.
Los paquetes cifrados con IPsec pueden utilizar AH (Authentication Header) o ESP (Encryption Security Payload). Con AH, solamente se protege el encabezado del paquete IP y utiliza el protocolo IP 51 (no puerto TCP ni UDP), mientras que ESP cifra el paquete completo incluyendo la carga útil de las capas superiores (payload), utilizando el protocolo IP 50.
Pasos para configurar la VPN IPsec de tipo site-to-site
1. Se define la fase 1 de IKE (ISAKMP Policy)
2. Se define la fase 2 de IKE (Transform Set)
3. Definir una ACL para seleccionar el tráfico que se irá por la VPN
4. Crear un Crypto Map para asociar los pasos 1, 2 y 3 a una interface de salida
Configuración Router_A
!Fase IKE 1
Router_A(config)# crypto isakmp policy 10
Router_A(config-isakmp)# authentication pre-share
Router_A(config-isakmp)# hash sha
Router_A(config-isakmp)# encryption aes 256
Router_A(config-isakmp)# group 2
Router_A(config-isakmp)# lifetime 86400
Router_A(config-isakmp)# exit
Router_A(config)# crypto isakmp key PASSWORD address 200.2.2.2
!Fase IKE 2
Router_A(config)# crypto ipsec transform-set MyTS esp-aes esp-sha-hmac
!Definir ACL de tráfico interesante
Router_A(config)# access-list 102 permit ip 192.168.1.0 255.255.255.0 192.168.2.0 255.255.255.0
!crear Crypto MAP y aplicarlo a la interfaz de salida del router hacia Internet
Router_A(config)# crypto map CMAP1 10 ipsec-isakmp
Router_A(config-crypto-map)# set peer 200.2.2.2
Router_A(config-crypto-map)# match address 102
Router_A(config-crypto-map)# set transform-set MyTS
Router_A(config-crypto-map)# exit
Router_A(config)# interface f0/0
Router_A(config-if)# crypto map CMAP1
Configuración Router_B
!Fase IKE 1
Router_B(config)# crypto isakmp policy 10
Router_B(config-isakmp)# authentication pre-share
Router_B(config-isakmp)# hash sha
Router_B(config-isakmp)# encryption aes 256
Router_B(config-isakmp)# group 2
Router_B(config-isakmp)# lifetime 86400
Router_B(config-isakmp)# exit
Router_B(config)# crypto isakmp key PASSWORD address 200.2.2.1
!Fase IKE 2
Router_B(config)# crypto ipsec transform-set MyTS esp-aes esp-sha-hmac
!Definir ACL de tráfico interesante
Router_B(config)# access-list 102 permit ip 192.168.2.0 255.255.255.0 192.168.1.0 255.255.255.0
!crear Crypto MAP y aplicarlo a la interfaz de salida del router hacia Internet
Router_B(config)# crypto map CMAP1 10 ipsec-isakmp
Router_B(config-crypto-map)# set peer 200.2.2.1
Router_B(config-crypto-map)# match address 102
Router_B(config-crypto-map)# set transform-set MyTS
Router_B(config-crypto-map)# exit
Router_B(config)# interface f0/0
Router_B(config-if)# crypto map CMAP1
Con eso ya se tiene un túnel entre sucursales funcionando. Para verificar que los paquetes generados desde una LAN a la otra efectivamente se estén cifrando con IPsec (pkts encaps, pkts decaps, pkts encrypt, pkts decrypt)
Router_A# show crypto ipsec sa
interface: FastEthernet0/0
Crypto map tag: CMAP1, local addr 200.1.1.1
protected vrf: (none)
local ident (addr/mask/prot/port): (192.168.1.0/255.255.255.0)
remote ident (addr/mask/prot/port): (192.168.2.0/255.255.255.0)
current_peer 200.2.2.2 port 500
PERMIT, flags={origin_is_acl,}
#pkts encaps: 13, #pkts encrypt: 13, #pkts digest: 13
#pkts decaps: 13, #pkts decrypt: 13, #pkts verify: 13
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts compr. failed: 0
#pkts not decompressed: 0, #pkts decompress failed: 0
#send errors 2, #recv errors 0
local crypto endpt.: 200.1.1.1, remote crypto endpt.: 200.2.2.2
path mtu 1500, ip mtu 1500, ip mtu idb FastEthernet0/0
current outbound spi: 0x8590D11F(2240860447)
Las VPN son simples de configurar pero requieren de harta documentación y lectura previa. Un buen lugar para comenzar a investigar sobre las VPN IPsec pueden encontrar aquí 
Use Facebook to Comment on this Post
Tips de Comandos útiles para la configuración
Publicado 3 octubre, 2010 | Esta sección está pensada para colaborar con los tips de configuración que nos darán atajos y mejoran nuestra capacidad de configuración de dispositivos Cisco (Acortando los tiempos y haciéndonos mas veloces).
Aquí va mi primer aporte:
Cuantas veces, cuando hemos estado configurando la interfaz de un router nos damos cuenta que nos hemos equivocado en los parámetros o incluso de interfaz. Algunos cortan por lo sano y reinician el routers, otros sobreescriben la interfaz, en fin. Existe un comando que puede volver la configuración de la interfaz a sus valores por defecto. Aquí va:
Router(config)#default interface fastEthernet 0/0
Building configuration…
Interface FastEthernet0/0 set to default configuration
Router(config)#
Listo! nuestra interfaz ha sido reiniciada!
Aporten con más tips!!!!!!!
Use Facebook to Comment on this Post
Monitoreando el tráfico de la LAN en un switch Cisco con SPAN
Publicado 14 septiembre, 2010 | Quizá es una de las funciones más necesarias pero menos utilizada en las redes donde se necesita analizar o monitorear el tráfico que por ella viaja. Tener un sistema de monitoreo en una red, por muy pequeña que sea, ayuda sin duda a tomar mejores decisiones respecto al funcionamiento, ampliación o modificación de la red ya que contando con información real, datos históricos e indicadores en tiempo real es posible precisar detalladamente lo que se necesita sin incurrir en gastos exagerados.
Cuando se quiere monitorear el tráfico de la red para, por ejemplo, generar estadísticas en un IDS (Intrusion Detection System) se hace necesario poner el dispositivo en un punto estratégico donde todo el tráfico pase através de él (idealmente en modo Bridge) para poder analizarlo como corresponde. Esto se conoce como implementación in-line.
En este modo, todo el tráfico que entra y sale de la LAN es interceptado por el IDS que analizará y generará las alertas pertinentes en caso de que exista un ataque. Este modo es efectivo pero tiene varias falencias. La primera es que inmediatamente propone un punto de falla en la red, ya que si falla una interfaz del IDS nadie podrá utilizar Internet ni conectarse hacia una LAN remota. Por esta razón, lo mejor es aprovechar las capacidades de replicación de puerto (port mirroring) que ofrecen los switches administrables de hoy. En los Catalyst esta función recibe el nombre de SPAN (Switch Port ANalyzer o Analizador de Puertos de Switch). La configuración es simple y funciona de tal modo que no influye en las operaciones normales de una red.
En este switch, el puerto Gi0/2 refleja todo el tráfico entrando y saliendo por las interfaces FastEthernet 0/1 y GigabitEthernet 0/1. Al conectar el IDS en el puerto Gi0/2 este recibe una copia exacta del tráfico que fluye por las otras interfaces permitiendo instalar cualquier dispositivo de monitoreo.
Configurar SPAN es una tarea simple:
S1(config)# monitor session 1 source interface FastEthetnet 0/1
S1(config)# monitor session 1 source interface GigabitEthernet /1
S1(config)# monitor session 1 destination interface Gigabitethernet 0/2
Aquí hemos definido que todo el tráfico que pase por las interfaces F0/1 y Gi0/1 se vea reflejado por la Gi0/2.
Verificamos el SPAN:
S1# show monitor session 1
Session 1
———
Type : Local Session
Source Ports : Fa0/1 – Gi0/1
Both :
Destination Ports : Gi0/2
Encapsulation : Native
Ingress : DisabledS1#
Aunque en este caso he mostrado un diagrama donde se muestra un IDS, éste se puede reemplazar por cualquier appliance de seguridad como Websense o incluso por una estación de trabajo con algún sniffer como Wireshark (Ex-Ethereal).
Existen varios tipos de SPAN, como RSPAN (Remote SPAN) donde el tráfico proviene de interfaces ubicadas en otros switches de la red o VSPAN (VLAN SPAN), donde el tráfico de una VLAN completa se puede replicar en una o varias interfaces o en otras VLANs.
En algunas versiones de Switches pueden cambiar los comandos, pero si necesitan más información al respecto pueden ver la documentación oficial de SPAN de Cisco
Use Facebook to Comment on this Post
Lista de correos
|
| Suscribirte a Redes Cisco.NET |
| Consultar este grupo |
Encuesta
Nuestra próxima videoclase debe ser de:
- IPV6 (35%, 54 Votes)
- MPLS (29%, 45 Votes)
- BGP (22%, 34 Votes)
- EIGRP (14%, 20 Votes)
Total Voters: 153
Loading ...Síguenos!
Últimos Comentarios