28 de febrero de 2007

Cisco actualiza su examen de certificación CCDA

Cisco ha anunciado un nuevo examen para obtener la certificación CCDA: Designing for Cisco Internetwork Solutions exam (640-863 DSGN), que reemplaza el actual examen 640-861.

Esta nueva versión del examen, siguiendo la tendencia establecida ya por la renovación de CCNP hecha el año pasado, enfatiza el modelo de redes empresariales convergentes e incluye los servicios de virtualización basados en el modelo Cisco Service-Oriented Network Architecture (SONA).

Estas modificaciones extienden la visión de la red de una red puramente orientada al transporte de tráfico, a una visión de la red orientada a los servicios y aplicaciones. En los nuevos contenidos se incluyen estudios de casos extensivos que permiten trabajar las habilidades requeridas por estos modelos de red.

El examen 640-861 (el viejo examen) permanecerá disponible hasta el 13 de julio próximo (ver).

Contenidos
Los objetivos del nuevo examen son los siguientes:

* Describa la metodología utilizada para diseñar una red:

  • Describa la Cisco Service-Oriented Network Architecture.
  • Identifique los requerimientos de red para dar soporte a la organización.
  • Caracterice la red existente.
  • Describa el Top Down Aproach para el diseño de redes.
  • Describa los protocolos de management de red y sus características.

* Diseño de la estructura y modularidad de la red:

  • Describa la Network Architecture.
  • Describa el Modular Approach para diseño de redes.
  • Describa la Cisco Enterprise Architecture.

* Diseño el módulo básico de una Enterprise Campus Network

  • Describa las consideración básicas de Campus Design.
  • Diseñe una Enterprise Campus Network.
  • Diseñe el Data Center corporativo.

* Diseño de los módulos Enterprise Edge y Remote Network.

  • Describa los módulos Enterprise Edge, de Sucursales y de Teletrabajadores.
  • Describa los componentes funcionales del Enterprise Edge del sitio central.
  • Describa la conectividad WAN entre 2 compus.
  • Diseñe la solución WAN para una Sucursal.
  • Describa soluciones de acceso a red para teletrabajadores.
  • Diseñe la WAN para soportar metodologías de redundancia selectas.
  • Identifique las consideraciones de diseño para un Data Center remoto.

* Diseño de direccionamiento IP y protocolos de enrutamiento.

  • Describa el direccionamiento IPv4 e IPv6.
  • Identifique los requerimiento en una red corporativa respecto de los protocolos de enrutamiento.
  • Diseñe un desarrollo de protocolo de enrutamiento.

* Diseño de servicios de seguridad

  • Describa el ciclo de vida de la seguridad.
  • Identifique tecnologías Cisco para mitigar vulnerabilidades de seguridad.
  • Selecciones la solución de seguridad Cisco apropiada y desarróllela.

* Identifique requerimientos de redes de voz.

  • Describa una arquitectura de voz traduciones y sus características.
  • Describa en qué consiste la telefonía IP de Cisco.
  • Identifique las condiseraciones de diseño necesarias para servicios de voz.

* Identifique requerimientos de redes wireless.

  • Describa el modelo Cisco Unified Wireless Network Architecture.
  • Diseñe una red wireless utilizando controladores.
  • Diseñe una red wirelees utilizando roaming.

Esto implica cambios de importancia en los contenidos de la certificación, sobre todo de la perspectiva de los nuevos modelos de arquitectura de redes y servicios que está proponiendo Cisco.

Prerequisitos y características del examen
Este nuevo examen alínea perfectamente con el nuevo CCNP, y consecuentemente con las nuevas propuestas de arquitectura y dispositivos de Cisco: redes inteligentes, proactivas, con capacidad de respuesta automática y utilizando dispositivos de servicios integrados.

El examen no tiene como pre-requisito ninguna certificación. Sin embargo se recomienda encarecidamente contar con conocimientos de CCNA y de switching avanzado (BCMSN de CCNP). En este punto debemos reconocer que buena parte de sus contenidos son el desarrollo del capítulo inicial (diseño de redes de campus corporativas) de switching avanzado.

Por lo demás, el examen mantienen algunas de las características de su predecesor:

  • Tiempo para el examen: 90 minutos.
  • Cantidad de preguntas: 55 a 65 preguntas.
  • Trainning oficial en Cisco Learning Partners: Designing for Cisco Internetwork Solutions (DESGN) versión 2.0

El nuevo examen ya está disponible, aunque por el momento no hay bibliografía disponible.

Estos cambios creo que serán positivos para dar un nuevo posicionamiento a la certificación CCDA. En su definición CCDA no es sólo una certificación sino un rol profesional fundamental tanto para las grandes empresas que necesitan rediseñar y replantear permanentemente sus redes; como para los proveedores e integradores de servicios que necesitan del diseñador como un jugador fundamental en la preventa.

Sin embargo, hasta el momento estas tareas están mayormente cubiertas por profesionales del área de management como CCNA y CCNP. Este giro hacia los nuevos conceptos, y los perfiles que están adoptando CCNA y CCNP, hacen prever que los técnicos CCDA comenzarán a tener un perfil más claro y diferente de sus compañeros del área de management.

Recertificación
La certificación CCDA es válida por 3 años.

Para recertificar es preciso rendir nuevamente el examen de certificación vigente en ese momento o aprobar cualquiera de los exámenes de la serie 642 (sea de nivel profesional o de alguna especialidad), o aprobar el examen escrito de CCIE.

Tu opinión sobre estos temas es importante.
Podés incorporarla en forma de comentario. Gracias.
Oscar A, Gerometta
.

20 de febrero de 2007

Wireless: Tips de seguridad para pequeñas instalaciones

Las proyecciones indican que se espera en la Argentina la instalación de un millón de nuevos accesos de banda ancha. Esto no sólo implica un crecimiento en la cantidad de líneas de acceso a Internet, sino que paralelamente también significa la multiplicación de la instalación de dispositivos para administrar y distribuir esos accesos de banda ancha.
En los últimos años se han hecho muy populares una amplia serie de dispositivos para la administración de este tipo de accesos, en términos generales diseñados para la utilización en accesos de usuario final (mercado hogareño) y de pequeña y mediana oficina: los célebres routers de banda ancha.
Y esta es una primera observación de gran importancia: este tipo de dispositivos está diseñado para dar respuesta a requerimientos puntuales de un mercado específico. Sus limitaciones en lo que se refiere a prestaciones y posibilidad de configuración hacen que no sean la opción más adecuada para el ámbito corporativo.
Sin embargo, estos dispositivos tienen una variedad importante de prestaciones que los hacen más que convenientes y aptos para instalaciones pequeñas: firewall incorporado, NAT, servidor DHCP, cliente DHCP (Easy IP), switch incorporado, access-point wireless incorporado, terminador de VPNs, etc.
Un punto que merece particular consideración entre los que acabo de mencionar, es la incorporación de servicios wireless.

Cada día hay más instalaciones wireless (wi-fi). Y esto obedece a diferentes motivos: la existencia de un estándar sólido, la incorporación de placas wireless en la mayoría de los dispositivos portátiles en venta, la posibilidad de acceder a access-points de bajo costo, la existencia en el mercado de productos comerciales de configuración e instalación muy sencillas.

Este último punto es un problema: la instalación sencilla. La mayoría de estos dispositivos wireless pueden comenzar a funcionar rápidametne con sólo ser conectados a la red eléctrica sin exigir ninguna configuración adicional para ser utilizados inmediatamente. Esto es una gran ventaja comercial y para el usuario final. Pero paralelamente es una fuente enorme de problemas.

Los sistemas wireless son sistemas realmente complejos y sofisticados que pueden dar servicios áltamente deseables... pero que requieren conocimientos y atención. Es frecuente que escuchemos decir que las redes wireless no son seguras, y es cierto... en la medida en que las cosas no se hacen bien. Es por esto que me parece de suma importancia tener en cuenta las siguientes consideraciones para asegurar un access-point wi-fi en un entorno de redes hogareñas o de pequeñas oficinas:

  • Cambiar la clave de administración.
    Estos dispositivos en general suelen contar con una interfaz de administración de acceso web a la que se ingresa con un usuario y clave que tienen valores por defecto establecidos por el fabricante. Pero también incluyen una opción para cambiar la clave (change password).
    Es fundamental cambiar esa clave por defecto y configurar una nueva clave de acceso que sea una clave "fuerte" (al menos 7 u 8 caracteres que incluyan letra, números y en lo posible símbolos).
    Cualquier implementación de seguridad, si se mantiene la clave por defecto, es ociosa.
  • Cambiar el SSID.
    El SSID es el identificador del conjunto de dispositivos que integran una clave wireless y que los diferencia de cualquier otro conjunto que comparta el mismo espacio físico.
    Los dispositivos suelen también tener un SSID configurado por defecto. En los dispositivos Linksys este ID por defecto es... "Linksys". Es preciso cambiarlo y configurar el propio identificador.
    Este ID es sensible a mayúsculas y minúsculas y puede tener una longitud máxima de 32 caracteres. Se puede incluir cualquiera de los caracteres del teclado.
  • Desabilitar el broadcasting de SSID.
    Una de las prestaciones que prevé el estándar 802.11 para los access-point es la posibilidad de publicar el SSID a los clientes wireless de su área de cobertura de modo que los clientes pueden aprender el SSID del access-point.
    Desabilite esta función. De este modo sólo podrán integrarse a la red wireless aquellos clientes en los que se configure manualmente el SSID elegido (obviamente, diferente del SSID por defecto).
  • Habilitar alguna forma de encripción.
    La gran mayoría de los routers de banda ancha y acces-point para pequeñas instalaciones cuentan con alguna forma de encripción (este es un punto a tener en cuenta al definir la compra). Para prevenir cualquier intento de acceso no autorizado a la red, active alguno de los protocolos de encripción disponibles: WEP (en lo posible en su versión de 128 bits) o mejor WPA-PSK. Estos algoritmos de encripción requieren el ingreso de una frase clave. Esta frase puede ser una frase clave configurada por el Adminsitrador o una generada al azar y suministrada por el sistema.
  • Mantener el firmware actualizado.
    Las empresas fabricantes suelen poner a disposición de sus clientes versiones actualizadas del sistema operativo de los dispostivos, que no sólo incorporan nuevas prestaciones, sino que también solucionan en muchos casos problemas operativos o de seguridad.
    Es de suma importancia mantener actualizada la versión del firmware. Para eso es preciso ingresar periódicamente al sitio web del fabricante y verificar cuál es la última versión disponible.
    Si el suyo es un dispositivo Linksys, el sitio para bajar imágenes de firmware es este.
  • Habilitar el filtrado de direcciones MAC.
    Es recomendable activar esta función (Wireless Network Access MAC Filter) de modo de habilitar el acceso sólo de un conjunto específico de direcciones MAC.
    Si no conoce la dirección MAC de sus terminales, puede obtenerla (en sistemas Windows) ejecutand en una ventana DOS el comando ipconfig/all.
    La dirección MAC aparece como Physical Address y es un valor como 00-0D-9D-88-6C-8C. Atención, si la terminal cuenta con otras interfaces de red es preciso asegurarse que se trata de la dirección física de la placa wireless.
  • Limitar DHCP.
    Estos dispositivos incluyen generalmente un servidor DHCP. Algunos expertos de seguridad aconsejan desabilitar este servicio y configurar las direcciones IP manualmente.
    Para no perder los beneficios de la configuración dinámica es recomendable limitar el conjunto de direcciones IP a las estrictamente necesarias para el funcionamiento de la red: si tiene sólo 5 terminales, se requiere un pool de sólo 5 direcciones, no 50.
  • Bloquear la respuesta a solicitudes desde Internet.
    Algunos dispositivos permiten bloquear las solicitudes que se reciben a través de la interfaz WAN. Activar esta interfaz permite ocultar la dirección IP pública (ante posibles escaneos de direcciones IP), y prevenir intentos de intrusión desde el exterior.
  • Implementar firewalls en las terminales como protección adicional.
    Estos dispositivos incluyen en general un firewall para brindar una seguridad adicional a la red interna. Es conveniente no descansar exclusivamente en esta defensa.
    Para esto, además de un buen anti-virus y anti-spyware, es importate la instalación de un firewall en las terminales de nuestra pequeña red.
    Hay varios productos de distribución libre. Por supesto que es necesario que todos estos productos instalados en la terminal (anti-virus, anti-spyware, firewall) se mantengan actualizados.
  • Monitorear la red wireless propia con la mirada de un intruso.
    Hay productos que instalados en una laptop o pocket PC permiten examinar la red wireless y verificar cómo se está publicando. Un producto de distribución libre con este propósito es NetStumbler.
    Una práctica recomendable es activar el producto en un dispositivo portatil y recorrer no sólo el ámbito de la casa u oficina, sino también las adyacencias para poder determinar cuál es el área de cobertura de nuestro access-point y cómo se está publicando. Por supuesto que esto también le posibilitará detectar la presencia de otros access-point y su situación.

Por favor, tenga presente que esta no es una guía de seguridad wireless para redes corporativas, sino sencillamente para instalaciones hogareñas o en pequeñas oficinas. La seguridad wireless en redes corporativas requiere de un conjunto de instancias más complejas, aunque por supuesto que estas mismas también deben ser tenidas en cuenta.

Quizás usted ya instaló un access-point o router de banda ancha y ha tenido su propia experiencia. Sería muy importante compartir esa experiencia si la agrega en forma de comentario.
¿Tenés alguna información o referencia adicional para aportar en este tema....?
Perfecto!!!! agregá un comentario con el detalle.
Muchas gracias.
Oscar Gerometta

.

17 de febrero de 2007

¿Cuál es el switch más conveniente?

Al momento de seleccionar un switch Ethernet para implementar en nuestra red LAN, hay diversos criterios que pesan en la elección.
En muchos casos el criterio dominante es el precio. La pregunta cassi excluyente en este punto es casi siempre la misma ¿Porqué pagar 10 o 20 veces más por un dispositivo que tiene la misma cantidad de puertos? Pero no es la pregunta correcta ya que generalmetne se olvida que en términos generales precio, prestaciones, tiempo de operación libre de fallos son parámetros que están directamente relacionados.
Veamos entonces cuáles son los criterios que a mi juicio deben tenerse presente ante todo:


  • ¿De qué tipo de implementación se trata?
    Hoy podemos diferenciar al menos 3 categorías de implementaciones: redes hogareñas o de pequeñas oficinas; redes pequeñas o medianas (en esto pesa más la complejidad de la operación que la cantidad de dispositivos); redes corporativas con mayor nivel de complejidad.
    Tengamos presente que para cada una de esta categoría existen diferentes líneas de dispositivos comerciales. Implementar un dispositivo para uso corporativo en una red pequeña tiene como consecuencia un costo innecesario. Instalar dispositivos para redes hogareños o pequeñas en entornos corporativos tendrá como consecuencia pérdidas de performance, falta de prestaciones y limitaciones en las posibilidades de uso de la red.
  • La red, ¿implementará ahora o a futuro redundancia en los enlaces?
    Si se prevé la implementación de redundancia en los enlaces, entonces es preciso que el dispositivo a adquirir soporte STP (Spanning Tree).
    No todos los switches soportan STP. Algunos fabricantes tienen líneas de dispositivos para el ámbito corporativo que no brindan esta prestación. Si no se dispone de Spanning Tree no podrán habilitarse enlaces redundantes.
  • ¿Se implementará ahora, o se requerirá a futuro la implementación de VLANs?
    Otra vez, no todos los dispositivos presentes en el mercado soportan VLANs. Generalmente los de gama baja no.
    Las VLANs son una herramienta fundamental para mejorar la performance y seguridad de las redes conmutadas. Si no cuenta con esta prestación estamos asumiendo una limitación importante a futuro.
  • Si se implementarán VLANs, este dispostivo ¿Se integrará en el backbone?
    Si es así, es importante que el switch permita configurar enlaces troncales. Adicionalmente un punto a considerar en la selección del dispositivo es el protocolo de marcación de tramas que utiliza. Tenga presente que en redes con dispositivos de diferentes fabricantes se debe soportar el protocolo estándar IEEE 802.1Q.
  • Si se implementarán VLANs y redundancia en los enlaces, es conveniente tener en cuenta que los dispositivos soporten MVST (Multiple VLANs Spanning Tree). Esto permitirá equilibrar el tráfico en el backbone y aprovechar mejor el ancho de banda disponible.
  • ¿Cuál será la ubicación del dispositivo en la estructura de la red? ¿Será un switch de acceso o de backbone?
    No todos dispositivos ofrecen la misma estructura de hardware y están diseñados considerando funciones específicas. Es importante entonces analizar la estructura de la "switch fabric" del dispositivo y por supuesto su performance en cantidad de paquetes que forwardea por minuto.
  • ¿Qué cantidad de puertos se requiere?
    Considere para esto la cantidad de nodos o terminales que se deben conectar, los enlaces para el backbone (al menos un enlace redundante hacia el backbone) y multiplique al menos por 2 ó 2,5 según las condiciones de uso de la red.
    Esto permite asegurar capacidad suficiente para dar acceso a nuevos usuarios o accesos adicionales a los usuarios existentes (para laptops, teléfonos ip, etc.).
  • ¿Cuáles son las perspectivas de crecimiento o nuevas implementaciones de la red en los próximos 3 años?
    Si se está pensando en una expansión importante de la cantidad de terminales conectadas o del uso que esas terminales hacen de la red, es conveniente prever prestaciones de agregación de enlaces en el backbone como EtherChannel en Cisco, o slot disponibles para insertar módulos de Gigabit Ethernet.
    Si se piensa en la implementación de wireless o voz sobre IP, se importante considerar la conveniencia de implementar un dispositivo que soporte PoE (Power over Ethernet).
  • ¿Hay requerimientos especiales de management que se deben tener en cuenta?
    En este caso, ¿cuáles son?
    Prácticamente todos los dispositivos actuales cuentan con una interfaz de administración web. En este punto hay que tener en cuenta que no es un uso recomendable desde la perspectiva de seguridad. Adicionalmente verifique si requiere algún plug-in o software adicional instalado en las termiales.
    Pero si no se hace adminsitración web, es importante verificar si se hará de modo manual, si se requieren prestaciones de acceso vía telnet o ssl, y con qué condiciones de acceso (autenticación de usuarios, etc.).
    Si se implementa software de management, qué protocolos se utilizan: ¿CDP cuando es un Cisco Work? ¿SNMP? ¿qué versión de SNMP?

Hay muchos puntos más a considerar, algunos en orden a la implementación de prestaciones como calidad de servicio, otros en función de la performance y estabilidad de la red como es el tiempo libre de fallos que declara el fabricante. Esta es solamente una guía inicial, con consideraciones mínimas, que debe servir para que cada Adminsitrador de acuerdo a la realidad de la red y la organización en la que trabaja genere su propio algoritmo para la toma de decisiones.

Lo importante es que por sobre todo tengamos presente que el precio no puede ni debe ser el primer criterio. Es nuestro límite, no nuestro criterio de selección.

¿En tu empresa tienen algún esquema de toma de decisiones semejante o diferente?
¿En tu experiencia agregas otros puntos a considerar?
Por favor, compartilo con todos nosotros agregándolo en forma de comentario.

Finalmente, retomando la distinción inicial en 3 tipos básicos de redes y siempre moviéndonos dentro de dispositivos Cisco, podemos tomar como primera aproximación:

  • En redes hogareñas o de pequeñas oficinas.
    Cuando no se requiere de múltiples dispositivos, y lo que se busca es variedad de prestaciones integradas en una única caja con facilidad de administración, la opción frecuente serán los dispositivos de la línea Linksys.
  • En redes pequeñas o medianas.
    Que requieren por sobre todo cantidad de bocas, ancho de banda disponible y facilidad en la adminsitración con bajo costo, la opción más viable es la línea Cisco Express.
  • En redes corporativas.
    Donde la red es crítica para el desarrollo del negocio, a la vez que se requieren prestaciones, flexibilidad, escalabilidad, resistencia a fallos, es preciso buscar en la familia de switches Cisco Catalyst.

Algunos recursos adicionales a tener en cuenta:

¿Tenés alguna información o referencia adicional para aportar en este tema....?
Perfecto!!!! agregá un comentario con el detalle.
Muchas gracias.
Oscar Gerometta

9 de febrero de 2007

10 causas frecuentes de baja performance de la red

Una red "lenta" o de baja performance es un verdadero problema, no sólo para el Administrador, sino también para la empresa: mal humor en los usuarios, pérdidas de productividad, sobrecarga de trabajo para el personal de soporte...

Como Administradores suele ocurrirnos que cuando esto ocurre (sobre todo si estamos en medio de un proyecto nuevo o una implementación) pensemos inmediatamente que se trata de un problema de alto nivel. Pero no siempre es así y muchas veces se puede obtener una mejora importante son sólo resolver (y si es posible prevenir) algunos de los elementos que suelen contribuir más frecuentemente a generar problemas o congestión en la red.

Por eso es importante que antes de apuntar a problemas de configuración o implementación más serios revisemos la la siguiente lista de problemas que afectan con mayor frecuencia la performance de la red:

  • Placas de red defectuosas.
    Un problema frecuente es la presencia de nodos con placas de red defectuosas. Cuando se detectan errores intermitentes, sobre todo cuando están relacionados con una estación de trabajo o servidor en particular, suelen deberse generalmente a este problema.
    En este caso el primer paso es verificar el LED de la placa de red. Un LED que está fijo en verde indica en general una placa de red con una conexión física en buen estado. Un LED que parpadea suele indicar que la conexión está activa y procesando tráfico de la red.
    Si el LED no se ilumina en verde, nos está indicando que la placa está deshabilitada en Windows o que no tiene una conexión activa con la red. Puede ser que el cable de conexión esté defectuoso, no sea el correcto, o está conectado a una boca de switch que está deshabilitada.
    Si la conexión a la red es correcta (se puede verificar fácilmente conectando en el mismo cable una terminal que sabemos funciona correctamente), y la placa está adecuadamente habilitada y configurada en Windows, el paso siguiente es reemplazar la placa de red.
  • Fallas en switches o routers.
    En algunos casos los problemas de la red pueden parecer inconsistentes. Por ejemplo, mientras no perdemos navegación web en la red, el servicio de correo electrónico "se pierde", o falla otro tipo de servicios como el de https. En otros casos, aún cuando mantenemos una buena conexión de red el acceso a Internet es imposible.
    Si tenemos conectividad local pero se ha perdido parcial o totalmente el acceso a recursos de Internet, el problema puede solucionarse frecuentemente reiniciando el equipo de acceso a Internet.
    Cuando los problemas son de conectividad local, o simplemente se trata de una red switcheada pero excesivamente lenta, el problema puede solucionarse reiniciando el switch de acceso.
    Si estos problemas son consistentes y frecuentes, es necesario revisar ante todo la calidad del suministro eléctrico, las fluctuaciones en el suministro de energía puede provocar errores e incluso daños en el hardware de routers y switches. Si no se trata de un problema de suministro eléctrico, la solución más cierta será el reemplazo del dispositivo defectuoso.
  • Conexión de dispositivos en "daisy chaining".
    Aún en redes corporativas importantes, el crecimiento de los requisitos de conectividad suele ser "causa de problemas": para dar lugar a una nueva conexión la solución más simple para el usuario suele ser conectar un hub o pequeño switch a una boca de red ya existente.
    Cuando esto ocurre, las tramas de datos deben recorrer cada vez mayor cantidad de saltos para alcanzar su destino. Cada salto que se agrega puede ser un problema potencial. No sólo porque agrega uno o varios puntos de fallos nuevos, sino también porque introduce mayor delay en la transacción. En muchos casos el agregado de uno o dos saltos en una comunicación es una diferencia notable en la performance.
    Hay que resistirse a "cascadear" o "encadenar" switches o hubs. Hay que reemplazar esta mala práctica por una adecuada planificación de los recursos en función del crecimiento. Y si el crecimiento explosivo produce este efecto no querido, reorganizar la red procurando consolidar lo que está disperso en varios dispositivos pequeños en un único dispositivo más potente y escalable.
  • Conflictos de NetBIOS.
    NetBIOS es aún un protocolo implementado en muchas redes para administrar algunos recursos. Sin embargo frecuentemente no trabaja adecuadamente provocando que algunos recursos como los archivos compartidos se vuelvan inaccesibles provocando congestión en la red y a veces cortes de servicio.
    Comportamientos extraños en los recursos de red se pueden producir cuando dos sistemas tienen el mismo nombre o cuando cumplen el mismo rol. Deshabilitar el servicio de resolución de nombres WINS/NetBT (cuando no es necesario) puede solucionar este problema.
    Si no es posible deshabilitar el servicio, se deberá entonces identificar cuáles son los dispositivos en conflicto para poder renombrar a uno de ellos.
  • Conflictos de IP.
    Los servicios de DHCP en general, implemetan sistemas que les permiten prevenir que 2 nodos utilicen la misma dirección IP (en el caso de Cisco IOS, antes de asignar una dirección IP verifica que no se encuentra activa en la red utilizando ping). Sin embargo, ocasionalmente puede ocurrir que 2 dispositivos tengan asignada la misma dirección IP, por ejemplo porque uno de ellos ha sido configurado estáticamente. Este conflicto provoca una caída de performance de la red.
    Para solucionar este problema ante todo es conveniente asegurarse de que no se haya conectado un servidor DHCP clandestinamente en la red. A continuación es necesario verificar la configuración de DHCP para asegurarse de que no haya superposición de rangos de direcciones IP con aquellas direcciones IP que se asignan estáticamente a servidores y demás dispositivos.
  • Exceso de aplicaciones que operan sobre la red.
    En muchos casos se corren aplicaciones que requieren recursos superiores a los que puede proporcionar la red y que no han sido adecuadamente previstos.
    Por ejemplo, es frecuente que en empresas que utilizan sistemas de información que realizan consultas frecuentes sobre bases de datos, no se haya previsto adecuadamente el modo en que opera la aplicación, y que las consultas a la base de datos generen congestión sobre la red en los horarios pico.
    Adicionalmente hay que tener presente que en la actualidad hay múltiples aplicaciones (desde los sistemas de VoIP hasta aplicaciones de audio y video sobre Internet) que generan tráfico de cadenas de paquetes sobre UDP que tienden a ocupar todo el ancho de banda disponible. Una combinación de estos elementos puede volver excesivamente lenta aún una red FastEthernet de 100Mbps.
    En estos casos la definición de políticas, y en algunos casos la implementación de filtros basados en hardware, son necesarios para preservar la performance de la red y reservar los recursos necesarios para las aplicaciones que son críticas para el desenvolvimiento de la empresa. Cuando se trabaja con sistemas de Telefonía IP es preciso asegurarse antes que se cuenta con los recursos necesarios para manejar el tráfico de voz y el de datos.
  • Infecciones con spyware.
    El spyware es ciertamente un problema creciente en aquellas redes que tienen algún tipo de acceso a los servicios de Intenet.
    La implementación de políticas de uso en la empresa, a la par que la implementación de herramientas anti-spyware son necesarios para reducir el impacto de este tipo de ataque sobre el desenvolvimiento de la red.
  • Infecciones de virus.
    No por conocido está suficiente previsto este riesgo.
    Hay múltiples posibilidades de infección con virus, sobre todo en redes que operan conectadas a Internet (lo que hoy es casi regla).
    En este punto la insistencia sobre el respecto estricto de las políticas de uso, y la permanente actualización de la infraestructura de seguridad de la red son elementos necesarios.
    Ante un problema de performance que irrumpe de un momento a otro, nunca está de más un escaneo de virus en las temrinales de la red. Una sola terminal infectada accidentalmente puede estar generando miles de correos electrónicos que congestinan todos nuestros recursos.
  • Insuficiente ancho de banda.
    A veces, ciertamente se trata sólo de que el comportamiento actual de la red requiere mayor ancho de banda. Sobre todo cuando se han revisado las aplicaciones de red en uso, y se acuerda en que es necesario mantenerlas en su uso actual, entonces es evidente que el ancho de banda actual es insuficiente.
    Dependiendo de la estructura y uso de la red, en este caso suele ser recomendable un rediseño que considere tanto los accesos WAN o a Internet, como la expansión de ancho de banda en distintos puntos del backbone y el reemplazo de hubs y switches genéricos. Muchas veces un rediseño con una mejor asignación de subredes y VLANs permite un mejor aprovechamiento de los recursos de ancho de banda existentes.
  • Errores de configuración de DNS.
    Los errores en la configuración de DNS pueden provocar numerosos herreres y una baja de performance generalizada.
    Cuando no hay un servidor DNS local, o cuando el servidor está ubicada a varios saltos dentro de la red, las estaciones de trabajo pueden experimentar un delay importante en el acceso a algunos recursos por la demora que se introduce en el proceso de resolución de nombres.
    Lo ideal es que el servidor DNS esté ubicado tan próximo como sea posible a los recursos de red.
    Es importante verificar periódicametne que las terminales cuentan con la configuración adecuada y que se servidor DNS primario es el que puede alcanzar con mayor facilidad y rapidez.

Estos son algunos puntos, quizás los más recurrentes. Si de tu experiencia se desprenden otras recomendaciones o ítems a tener encuenta, agregalos en forma de comentario en el presente post.

Muchas gracias.

Oscar Gerometta

2 de febrero de 2007

Cisco PIX - Cisco ASA

Una definición bastante arraigada en el ámbito del networking es que el PIX es el firewall de Cisco. Esto no es tan así desde hace unos años; en el mes de mayo de 2005 Cisco Systems introdujo una nueva línea de firewalls: ASA (Adaptive Security Appliance).

¿Cuáles son las diferencias entre un dispositivos Cisco PIX y un Cisco ASA?

La línea Cisco PIX
Un dispositivo Cisco PIX es un firewall de hardware totalmente dedicado a este tipo de funciones de seguridad.

Todas las versiones de Cisco PIX tienen un número de modelo 5xx. Uno de sus modelos más populares es el PIX 501, diseñado para oficinas hogareñas y pequeñas redes. Otro de los muy conocidos es el PIX 515, para redes de tamaño medio.

El sistema operativo de estos dispositivos es el PIX Operating System (PIX OS), el cual si bien es similar a Cisco IOS, es lo suficientemente diferente como para frustrar a todo operador que no esté interiorizado en su línea de comando. Para facilitar la tarea de configuración y administración, el PIX ofrece una interface gráfica denominada PIX Device Manager (PDM). Esta interfaz es una aplicación desarrollada en Java que se ejecuta desde un navegador.

Típicamente un PIX posee una interfaz outside que se suele conectar a la interfaz inside del router de acceso a Internet; y una interfaz inside que se suele conectar al switch LAN para enlazar con la red privada interna.

La línea Cisco ASA
La línea Cisco ASA es una nueva línea de dispositivos de Cisco Systems que conjuga un firewall de hardware con una implementación anti-malware.

En el caso de Cisco ASA los modelos existentes corresponden a la serie 55xx. Hay cuatro versiones enterprise: Firewall, IPS, Anti-x y VPNs; y una versión business para empresas medianas y pequeñas. Un total de 5 modelos.

Todos los ASA operan con el software ASA versión 7.2.2 con una interfaz más cercana al Cisco IOS que PIX OS.

Estos dispositivos incluyen servicios de prevención de intrusiones (IPS) y concentrado de VPNs. Es por esto que Cisco Systems indica que un ASA realizar por sí solo las tareas que hasta ahora requerían 3 dispositivos separados: un firewall PIX, un VPN Concentrator (como el VPN 3000) y un IPS como el Cisco IPS 4000.

Comparación PIX / ASA
Cisco PIX es y ha sido un excelente firewall, pero en los últimos años los requerimientos de prestaciones de seguridad de las redes ha variado sensiblemente.

Ya no resulta suficiente proteger a la red con un firewall en capacidad de realizar un filtrado de paquetes stateful. Han aparecido nuevos riesgos que incluyen virus, gusanos, phishing, ataques de capa de aplicación, la ejecución de aplicaciones no deseadas como mensajería instantánea, programas P2P, juegos, etc. El dispositivo que protege de este tipo o variedad de riesgos de seguridad es lo que denomina un Anti-X, o sea un dispositivo que brinda protección contra múltiples riesgos.

Un PIX no puede brindar este nivel de protección. Sin embargo muchas organizaciones buscan concentrar su implementación de seguridad en un único dispositivo, o lo que se suele denominar un dispositivo UTM (Unified Threat Management). O sea un dispositivo que brinde los servicios "todo en uno".

Cisco ASA es una respuesta a esta necesidad ya que ofrece protección a estos diferentes tipos de ataques. Los ASA soportan la posibilidad de inclusión de un módulo CSC-SSM (Content Security and Control Security Service Module). Este módulo es el que realiza las tareas de Anti-X constituyendo a los ASA en verdaderos dispositivos UTM. Sin el módulo CSC-SSM un ASA es muy semejantes en sus capacidades a un PIX, aunque siempre con mayor performance.

¿Cuáles son las razones por optar por un ASA en lugar de un PIX hoy?

En primer lugar, porque a similares funcionalidades del dispositivo el costo de un ASA tiende a ser menor que el de un PIX. Esto sin ignorar que en cuestiones de tecnología siempre la primer opción es por la tecnología más nueva y más rápida.

Pero cual es la razón más importante a mi juicio. Hoy no es suficiente descansar en un firewall para proteger la red corporativa de la variedad de potenciales riesgos de seguridad que existen. Se requiere una política que contemple los múltiples frentes existentes, y en la implementación de esa política siempre es útil un dispositivo que brinde servicios múltiples de modo integral y unificado. Pero con cuidado, un Cisco ASA no soluciona todo. En primer lugar se requieren políticas adecuadas claramente enunciadas e implementadas de un modo consistente, y esas políticas van mucho más allá de la configuración de un ASA.

Por el momento no hay anuncio de parte de Cisco Systems respecto de un End Of Sale de los Cisco PIX, pero no sería de extrañar que progresivamente la línea PIX comience a ser discontinuada. Para aquellos que implementan en la actualidad Cisco PIX se ha publicado una Guía de Migración.

¿Tenés alguna información o referencia adicional para aportar en este tema....?
Perfecto!!!! agregá un comentario con el detalle.
Muchas gracias.
Oscar Gerometta.