24 de enero de 2013

Eran muchas y ahora... CCNA video

Cisco acaba de anunciar una nueva certificación de nivel asociado: CCNA video.
La nueva certificación tiene las siguientes características:

  • No tiene pre-requisitos (no requiere previamente CCNA Routing y Switching).
  • La certificación se obtiene aprobando 2 exámenes:
    200-001 VIVND (Implementing Cisco Video Network Devices).
    640-461 ICOMM (Introducing Cisco Voice and Unified Communications Administration).
  • Entrenamiento para esta certificación:
    Implementing Cisco Video Network Devices Part 1 (VIVND1)
    Implementing Cisco Video Network Devices Part 2 (VIVND2)
    Introducing Cisco Voice and Unified Communications Administration (ICOMM).
El entrenamiento VIVND1 es un entrenamiento de 3 días en formato e-learning.
Por el momento no hay un nivel profesional correspondiente a esta certificación.

Enlaces de referencia




14 de enero de 2013

VTP versión 3

Vinculado a la operación de los switches LAN y la configuración de VLANs hay un protocolo que estudiamos pero aplicamos con muchas prevenciones: VTP (VLAN trunk protocol).
Es que en sus versiones 1 y 2 aparecen diversas vulnerabilidades que hacen complicada su adopción. En primer lugar, la posibilidad de que la introducción de un dispositivo con un número de revisión más bajo fuerce la sobre escritura de la base de datos de VLANs de los switches; pero también, el hecho de que la configuración por  defecto del protocolo haga que el nombre de dominio se aprenda dinámicamente.
Desde esta perspectiva, un protocolo diseñado para simplificar y facilitar la administración de VLANs en entornos de redes conmutadas extensas, es evitado para prevenir potenciales problemas operativos que significarían potencialmente la salida de operación de la red.
Una respuesta a estas dificultades es la versión 3 de VTP, la versión quizás menos conocida de este protocolo.

La versión 3 de VTP
Se encuentra disponible a partir de IOS 12.2(33)SXI en Catalyst 6500; IOS 12.2.50SG2 en Catalyst 4500.
Es compatible con VTP versión 2, pero no con versión 1.
Entre las novedades que introduce, se destacan:
  • Fuerza la configuración manual, no hay más configuración automática.
  • VTP versiones 1 y 2 se pueden configurar desde el modo privilegiado. VTP versión 3 requiere ser configurado desde el modo de configuración global.
  • Además, requiere que antes de la activación se defina el nombre de dominio y se habilite el uso del sistema de ID extendido para STP.

    Switch(config)#vtp version 3
    Cannot set the version to 3 because domain name is not configured.

    Switch(config)#vtp domain Cisco
    Changing VTP domain name from NULL to Cisco
    *Jul 8 11:18:33.215: %SW_VLAN-SP-6-VTP_DOMAIN_NAME_CHG: VTP domain name changed to Cisco.

    Switch(config)#vtp version 3
    Cannot set the version to 3 because spanning-tree extend system-id is disabled.

    Switch(config)#spanning-tree extend system-id
    Switch(config)#vtp version 3
    *Jul 8 11:25:23.203: %SW_VLAN-SP-6-OLD_CONFIG_FILE_READ: Old version 2 VLAN configuration file detected and read OK. Version 3 files will be written in the future.
  • Con excepción de los IDs comprendidos entre el 1000 y el 1017, VTP puede propagar todos los números de VLAN.
  • Soporte para PVLANs.
  • Se ha asegurado la clave de autenticación del dominio VTP en la base de datos, con 2 opciones: hidden y secret.
  • Sólo el servidor primario del dominio VTP puede actualizar la base de datos de los demás dispositivos. Adicionalmente, sólo puede haber un servidor VTP primario por dominio y por defecto todos los dispositivos son servidores secundarios.
    No es posible modificar la configuración de VLANs en los servidores secundarios y su base de datos se actualiza desde el servidor primario.
  • La base de datos que utiliza VTPv3 es extensible, pudiendo incluir información adicional para ser intercambiada. En su estado actual, incluye la configuración de MSTP.
  • Es posible desactivar aVTP globalmente o a nivel de puertos.
Enlace de referencia


7 de enero de 2013

Los caminos de certificación de Cisco

Durante el año 2012 Cisco realizó múltiples anuncios respecto de novedades en su estructura de certificaciones. Estos anuncios no sólo han estado referidos a actualizaciones en los temarios  de diferentes exámenes, sino también a importantes modificaciones en la estructura de todo el sistema.
Así, se introdujeron como novedades, el path de certificación de Service Providers (CCNA SP, CCNP SP y CCIE SP), y el de Data Center (CCNA DC, CCNP DC, CCIE CD).
De esta forma, al día de hoy se cuentan 9 caminos de certificación, al mismo tiempo que la certificación tradicional de "entrada" en el sistema, CCNA (o más específicamente CCNA Routing & Switching), es el incio para 6 de esos caminos: Routing & Switching, Security, Wireless, Voice, SP Operations y Storage.

Por este motivo, el esquema posible de los 9 caminos mencionados es el siguiente:


2 de enero de 2013

Wi-Fi Protected Setup

Wi-Fi Protected Setup (WPS) es una prestación propuesta por la Alianza Wi-Fi con el objetivo de facilitar la implementación de sistemas de seguridad inalámbrica robustos en entornos de redes hogareñas. No es un estándar ya que no se encuentra definido por un organismo de estandarización; a lo sumo podría ser considerado un estándar de hecho como ocurre con WPA.
Se trata de un protocolo introducido en el año 2007 con el propósito de que usuarios con mínimos conocimientos de las redes inalámbricas puedan implementar WPA2 y agregar nuevos dispositivos a la red existente sin necesidad de utilizar contraseñas extensas o complejas.
La arquitectura
WSP define 3 componentes del sistema:
  • Registrador.
    Dispositivo en el que descansa la autoridad de mantener o revocar las credenciales que dan acceso a la red. Generalmente está integrado en el access point, aunque podría estar separado.
  • Solicitante.
    Dispositivo que desea conectarse a la red inalámbrica.
  • Access Point.
    Actúa como un proxy entre el solicitante y el registrador.
El modelo que habitualmente encontramos en redes hogareñas (aunque hay otros posibles) consta de un access point con capacidades de registrador que configura y enrola una terminal solicitante. De esta manera, la sesión corre sobre un enlace inalámbrico como una intercambio de EAP.
El protocolo
WSP requiere el intercambio de una serie de mensajes EAP que son disparador por una acción del usuario y que posibilitan brindar información descriptiva que el solicitante necesita para conectarse a la red.
Esta información descriptiva es transportada en information element (IE) específicos que se incorporan en los beacons y los mensajes de solicitud y respuesta de asociación. En estos bloques de información se incluyen los métodos de configuración de los dispositivos.
Para iniciar el proceso se requiere alguna intervención de parte del usuario. A partir de allí se intercambian 8 mensajes que, cuando el reconocimiento es exitoso, culminan con un mensaje que termina el proceso.
Procedimientos
Hay por el momento 4 métodos de operación posibles para que un dispositivo terminal se asocie a una red inalámbrica que implementa WSP:
  • Utilizando un PIN.
    (PIN - Personal Identification Number)
    Se trata de un identificador de 8 cifras que se puede obtener de una etiqueta adherida al dispositivo o a través de la interfaz gráfica, y que debe ser ingresado en el access point al que intenta conectarse; o alternativamente, se ingresa el PIN del access point en la terminal que está intentando conectarse.
    Este método debe ser soportado en todo dispositivo certificado como Wi-Fi Protected Setup.
  • Presionando un botón.
    (PBC - Push Button Configuration)
    En este caso el usuario simplemente presiona simultáneamente un botón que puede ser físico (en el hardware) o virtual (en la interfaz gráfica) tanto en el access point como en el dispositivo que desea conectarse a la red inalámbrica.
    Este método es obligatorio también en todos los access points certificados, y opcional en las terminales.
  • Comunicación por proximidad.
    (NFC - Near Field Communications)
    El usuario simplemente coloca el nuevo dispositivo a conectar cerca (hasta aproximadamente 20 cm.) del access point para permitir que ambos dispositivos se comuniquen utilizando tags RFID.
    El soporte de este modo es opcional.
  • Utilizando un USB.
    En este caso el usuario debe utilizar una memoria USB flash para copiar en el cliente nuevo la información necesaria.
    Este método está contemplado en las definiciones pero ya está obsoleto.
WPS permite desarrollar SSIDs que implemetan seguridad WPA2-Personal (o PSK) que utilizan claves WPA pre compartidas de 14 caracteres de longitud, definidos al azar, con un método de configuración simple que no exige al usuario estar recordando e ingresando claves complejas.

En diciembre de 2011 se notificó (Stefan Viehböck y Craig Heffnet) que el método de PIN es vulnerable a ataques de fuerza bruta, por lo que algunos fabricantes han optado por incluir la posibilidad de deshabilitar WPS luego de un número limitado de intentos de ingreso de un PIN válido.
Los productos certificados como WPS por la Alianza Wi-Fi están identificador con un logo específico:

Enlaces de referencia