11 de octubre de 2008

Tecnologías a considerar en los próximos años

El ámbito del networking y de la tarea propia del Administrador de Redes es una realidad que cambia de modo permanente. Permanentemente se incorporan nuevas tecnologías, los servicios que operan sobre la red evolucionan, y con ello los requerimientos de capacitación que debemos tener en cuenta.
Cuando hablamos de networking, de gente de networking, hablamos de técnicos cuya capacitación no puede darse por terminada nunca. Siempre aparece un nuevo feature, siempre un nuevo requerimiento, por lo tanto siempre es preciso incorporar nuevos conocimientos y habilidades.

Nadie duda hoy que un Administrador de redes debe manejar adecuadamente al menos direccionamiento IP, subneteo, enrutamiento IP, switching capa 2, STP, VLANS. Pero en nuestro trabajo debemos siempre mirar lo que va a pasar en los próximos 4 o 5 años. Y este futuro inmediato comienza a demandar que planifiquemos nuestra capacitación personal y corporativa en función de la incorporación de nuevas tecnologías, muchas de las cuales están ya presentes.
¿Cuáles son entonces las tecnologías que todo permite suponer que estarán cada vez más presentes en los próximos años?

Voz sobre IP
Casi nadie duda hoy que el transporte de voz sobre redes IP es una realidad que llegó para quedarse por bastante tiempo.
No sólo las empresas comienzan a implementar de modo creciente sistemas corporativos de telefonía IP. Las telefónicas utilizan redes IP para el transporte de nuestras comunicaciones telefónicas, y ya es una realidad masiva la presencia de empresas que se dedican explíticamente a ofrecer servicios de comunicaciones de larga distancia basadas en tecnología IP.
Las estadísticas muestran que las ventas de equipamiento de voz sobre IP puros crece en cada semestre, y progresivamentes están reemplazando los sistemas de telefonía tradicional.
La voz ya corre sobre la infraestructura de redes IP. Esto significa que se espera que el Administrador de la red tenga las competencias necesarias para implementar y administrar redes con soporte de VoIP.
Consecuentemente, cada día mása se requiere que el Administrador de la red conozca los principios de la digitalización y transporte de voz, y tenga la capacidad de instalar y administrar la infraestructura necesaria. Un curso de VoIP debe estar en la perspectiva de todo Administrador actual.

QoS
Pero adquirir los conocimientos referentes a VoIP no es suficiente.
Nuestra infraestructura de red actual es una red convergente. Nuestra red IP transporta flujos de datos que tienen diferentes requerimientos (tráfico transaccional, aplicaciones sobre UDP, tráfico de Internet, tráfico de voz e incluso cada vez más tráfico de video), y por lo tanto ya no puede considerar de la misma forma a los diferentes flujos de tráfico.
Por lo tanto, los conocimientos referidos a la implementación de calidad de servicio en redes IP son una herramienta necesaria en la valija de herramientas de cualquier Administrador de redes.
Otro ítem a incorporar entonces en nuestra agenda de capacitación: calidad de serivicio.

Comunicaciones unificadas
La introducción del transporte de voz sobre IP posibilitó el desarrollo de las tecnologías de telefonía IP y su evolución actual: las comunicaciones unificadas.
La implementación unificada, no sólo sobre una única red, sino sobre un único sistema de comunicaciones, de todas las herramientas comunicacionales en uso: correo electrónico, fax, mensajería de voz y video, comunicaciones de voz y video, mensajería instantánea. La base del concepto es acceder a todas las formas de comunicación disponibles a partir de una única interfaz que puede accederse desde diversas plataformas (PC, smart phone, PDA, ip phones, etc.).
La implementación de comunicaciones unificadas exige el desarrollo de infraestructuras de red claramente orientadas a servicios, con calidad de servicio y altos índices de integración.
El Administrador de estas redes, no sólo debe conocer de enrutamiento, switching, QoS y seguridad. También debe conocer y poder integrar en la red el desempeño de las diferentes aplicaciones y lenguajes de desarrollo actualmente en uso.

Wireless IEEE 802.11
Las tecnologíasa wireless o Wi-Fi son nuevas, muy nuevas. Pero ya están presentes en redes de todas dimensiones: desde el service provider hasta las redes hogareñas. Y aparentemente han llegado para quedarse.
Son una solución flexible, escalable, y segura (a pesar de que muchos tadavía piensen en Wi-Fi como sinónimo de brecha de seguridad). Pero una solución que requiere mucho conocimiento y expertisse de parte del administrador.
Como en el caso de las implementaciones de telefonía IP, cuando escuchamos decir que una red wireless es de poca calidad o insegura, lo más probable es que nos encontremos con una red mal diseñada, deficientemente implementada, o lo que es peor, mal administrada.
En la actualidad disponemos de la tecnología necesaria para implementar y administrar la red wireless con mayor control y precisión que el que acostumbramos tener sobre la red cableada. El problema es que no hay personal con las habilidades necesarias para su implementación y administración.
El futuro parece proponer redes wireless más rápidas, más seguras y con más servicios. Es imprescindible entonces que en nuestro perfil de Administrador de redes incorporemos los conocimientos referidos a redes 802.11, y para esto, es necesaria una capacitación seria y en profundidad.

Mobilidad
Wireless no es sinónimo de mobilidad. Sin embargo, la introducción de la conectividad inalámbrica lleva de modo casi inmediato a la implementación de servicios que tienen disponibilidad en el mismo lugar en el que se encuentra el usuario. El servicio va hacia el usuario, no más un usuario que deba desplazarse para acceder a un servicio.
La introducción de teléfonos celulares, blackberries, PDAs y micro-laptops hacen a los servicios ubicuos, con una capacidada de desplazamiento que crece cada día.
La implementación de estos servicios a nivel de la infraestructura requieren de parte del Administrador de la red una cantidad amplia de conocimientos que incluyen el manejo de IP Mobility y en un futuro próximo mobilidad sobre IPv6.

IPv6
Y ya que estamos hablando de mobilidad, no podemos descuidar el tema IPv6.
Los sistemas operativos de escritorio que estamos implementando tienen ya soporte para IPv6; la infraestructura de las redes corporativas y de Internet está siendo actualizada para dar soporte al nuevo protocolo; ya están disponibles servicios DNS y web versión 6 sobre Internet.
La actualización de IP no es una hipótesis de futuro, es una realidad de mediano plazo que veremos avanzar mes a mes. Y de su mano, el requerimiento de la actualización de nuestros servicios: direccionamiento IPv6, enrutamiento IPv6, tunelizado de transición IPv6 sobre IPv4, modificación de nuestras implementaciones IPSec para adecuarlas al nuevo protocolo, incremento de la implementación de recursos móviles, etc.
Consecuentemente, hay un trabajo arduo de capacitación que debemos hacer hoy. Si queremos seguir trabajando como Administradores de redes, en los próximos años se hará imprescindible que tengamos conocimiento de este nuevo protocolo.

Seguridad
La implementación de seguridad es un feature necesario en redes de todas dimensiones, aún las hogareñas.
Consecuentemente, aún hoy, un Administrador de redes no puede prescindir de manejar los conceptos básicos de seguridad en la infraestructura de la red.
Sin embargo, la tendencia hace pensar que estos requerimientos se incrementarán en los próximos años de la mano de nuevos desafíos y nuevos mecanismos de seguridad. La introducción de comunicaciones unificadas, el acceso inalámbrico y la adopción de IPv6 requerirán de renovadas habilidades en el ámbito de la seguridad.
No me estoy refiriendo a los especialista en el área (sin dudas que ellos tienen un desafío adicional), sino del Administrador de la red. IPSec, IEEE 802.1x, son protocolos casi estándar para la operación de cualquier red LAN corporativa en la actualidad.
Consecuentemente, sin buscar necesariamente un camino de especialización, la adquisición de conocimientos de seguridad son un ítem a tener presente en la carpeta de capacitación del Administrador.

Virtualización
Hay toda una corriente creciente de virtualización de servicios para el usuario final. Pero también hay un incremento de la implementación de recursos virtuales en la infraestructura de la red.
Ingresamos con las VLANs que hoy son un recurso casi estándar de toda red conmutada (incluso algunos routers hogareños incluyen esta prestación). Pero a esto se han ido sumando múltiples recursos virtuales: múltiples SSID en la red wireless que dan lugar a VWLANs, la implementación de PVCs que ha evolucionado hacia las actuales redes MPLS y las VPN-MPLS, con la implementación de VRF. Y ciertamente la VPN-IPSec, que virtualizan enlaces punto a punto sobre redes públicas.
La virtualización está avanzando en nuestra infraestructura, y el Adminsitrador debe ya no sólo manejar el concepto, sino adecuar sus modelos conceptuales para comprender y administrar estas múltiples redes virtuales que operan simultáneamente sobre una única infraestructura.

* Caminos de capacitación disponibles
Todo esto nos lleva a un planteo importante.
¿Cómo debe ser entonces nuestra capacitación?
CCNA es el modelo de capacitación actual para cualquier Adminsitrador de infraestructura de red en la actualidad, y esta certificación ha sido recientemente actualizada para dar cabida a muchos de estos temas (ver aquí).
Sin dudas CCNA es la puerta de entrada y el camino imprescindible para tener una formación sistemática y abarcativa en el área.
Sin embargo, estos temas están tíbiamente insinuados en el temario actual, y si queremos prepararnos para los años por venir, luego de obtener nuestra certificación CCNA deberíamos proponernos capacitación en función de futuro. A mi modo de ver, las capacitaciones a tener en cuenta hoy serían:
  • Los nuevos CCNA Concentrations son un complemento necesario para los años por venir: CCNA Security da herramientas fundamentales para el área de seguridad, CCNA Voice permitirá pensar con mayor claridad las redes de comunicaciones unificadas, CCNA Wireless da las herramientas básicas necesarias para trabajar aen redes Wi-Fi.
  • En redes corporativas, en las que cada día convergen nuevos servicios, es necesario que el Administrador adquiera habilidades de de Qos. Para esto, ONT del trayecto CCNP es una buena introducción.
  • No contamos aún con una capacitación explítica en IPv6 de nivel inicial. Sin embargo, el módulo correspondiente de BSCI (tambien del track de CCNP) es una buena introducción que todos debiéramos hacer.




¿Tenés algún comentario que quieras aportar en este tema....?
Bienvenido! Tu comentario no sólo es conveniente, es necesario.
Muchas gracias.
Oscar Gerometta.

4 de octubre de 2008

Seguridad en el acceso a dispositivos Cisco

Cisco IOS brinda múltiples formas de asegurar el acceso a las posibilidades de administración de los dispostivos (básicamente routes, switches y AP). Reseño a continuación las principales formas , y los tips de configuración más frecuentes.

Niveles de acceso
La interfaz de línea de comando de Cisco IOS utiliza una lógica de niveles jerárquicos: modo EXEC usuario y modo EXEC privilegiado. Esta división de modos permite establecer 2 niveles básicos de permisos de acceso: acceso de nivel usuario y acceso de nivel privilegiado.
El acceso a modo privilegiado puede ser bloqueado utilizando una clave denominada "clave de modo enable" que puede ser encriptada o no:

Router(config)#enable password
[clave]
Router(config)#enable secret [clave]


Ambas claves son requeridas para acceder al modo privilegiado. Sin embargo, la enable password se guarda en formato de texto plano en el archivo de configuración, mientras la enable secret se guarda encriptada utilizando MD5.
Por su parte, el acceso a modo usuario se asegura utilizando claves de acceso en las diferentes "líneas": consola, auxiliar o terminal virtual.
En estas líneas de acceso hay diferentes formas de configurar claves de acceso.

Clave simple de acceso al modo usuario
En cada uno de las líneas de acceso (consola, auxiliar, terminal virtual), se puede asegurar el acceso utilizando una clave simple.

Router(config)#line vty 0 4
Router(config-line)#password [clave]
Router(config-line)#login

El primer comando define una clave, y el comando login indica al dispositivo que debe mostrar el prompt requiriendo el ingreso de la clave cuando se intenta el acceso por terminal virutal (telnet).
La clave se guarda en el archivo de configuración en formato de texto plano.

Acceso utilizando usuario y clave
El acceso puede asegurarse también utilizando usuario y clave:

Router(config)#username [user] secret 0 [clave]
Router(config)#line vty 0 4
Router(config-line)#login local

Genera un usuario y una clave que se guarda encriptada utilizando MD5 en el archivo de configuración. Ese usuario y clave se aplican a la línea de acceso utilizando el comando login local.

Asignación de niveles de privilegio por usuario
Cisco IOS permite configurar 16 niveles de usuario diferente (0 a 15).
  • Usuario nivel 0 - Sólo accede a modo usuario.
  • Usuario nivel 1 a 14 - Se pueden asignar diferentes comandos para cada nivel.
  • Usuario nivel 15 - Acceso a modo privilegiado completo.
La configuración de diferentes niveles de acceso es particularmente útil en entornos en los que diferentes técnicos tienen asignadas diferentes tareas.
Para configurar un usuario con permiso de utilización de un conjunto limitado de comandos de nivel privilegiado, siga este procedimiento:

Router(config)#privilege exec level [nivel] [comando]

Router(config)#username [user] privilege [nivel] secret 0 [clave]
Router(config)#line vty 0 4
Router(config-line)#login local

También es posible generar niveles de privilegios diferentes y asociarlos directamente a una clave de acceso simple a modo privilegiado:


Router(config)#privilege exec level [nivel] [comando]

Router(config)#enable secret level [nivel] [clave]

Asignación de accesos basados en roles
Cisco IOS también permite definir plantillas o roles con conjuntos de comandos, cada uno asegurado con su clave de acceso.
Este feature de configuración requiere la habilitación previa de AAA (Authentication, Authorization, Accounting).

Router#enable view
Router#configure terminal
Router(config)#aaa new-model
Router(config)#parser view [nombre]
Router(config-view)#secret 0 [clave]
Router(config-view)#command exec include [comando]
Router(config-view)#command configure include [comando]

Una vez configurado el perfil deseado, el acceso a modo privilegiado es utilizando el siguiente procedimiento:
Router#enable view [nombre]
Password: [clave]
Router(config)#_

Al solicitar la ayuda contextual de IOS (?), el usuario solo visualizará los comandos habilitados para el perfil que utilizó para el login.

Comandos relacionados


  • Para encriptar las claves que se guardan en texto plano en el archivo de configuración:
    Router(config)#service password-encryption
  • Para establecer una longitud mínima en las claves:
    Router(config)#security password min-length [long]
  • Para establecer un límite de tiempo de inactividad al final de la cual se cerrará la seción:
    Router(config-line)#exec-timeout [min] [seg]
Prácticas sugeridas

  • Utilice claves robustas de al menos 10 caracteres alfanuméticos.
  • Es aconsejable incluir mayúsculas / minúsculas y símbolos.
  • Las claves no deben ser palabras de diccionario.
  • Para asegurar el acceso a modo privilegiado utilice siempre la enable secret.
  • Active el servicio de encriptación de claves para asegurarse que no queden claves en texto plano visibles en el archivo de configuración.
  • Cambie las claves periódicamente.
  • Incluya un mensaje de acceso (banner) advirtiendo que se monitoreará y perseguirá el acceso no autorizado.
Bibliografía recomendada:



¿Tenés algún tip para aportar en este tema....?
Perfecto!!!! agregá un comentario con el detalle.
Muchas gracias.