22 de noviembre de 2017

Conmutación de tramas unicast Ethernet - Gráfica

Los switches LAN o capa 2 son un componente sumamente importante de nuestras redes LAN Ethernet actuales. Es por esto que creo importante refrescar algunos conceptos entre los cuales destaca el modo de operación de estos dispositivos cuando reciben una trama de unicast.

Las acciones posibles son 3:
  • Filtering
    La trama no se reenvía (no es lo mismo que bloquear el puerto).
  • Forwarding
    La trama se reenvía exclusivamente al puerto vinculado a la MAC de destino.
  • Flooding
    La trama se copia a todos los puertos salvo aquel en el que se recibió.


Las abreviaturas y siglas utilizadas en este post puede encontrarlas desarrolladas en
que está disponible en la Librería en Línea de EduBooks.


20 de noviembre de 2017

Enrutamiento IPv4/IPv6 - Gráfica

La implementación de IPv6 requiere la consiguiente implementación de protocolos de enrutamiento adecuados.
En este sentido se cuenta con protocolos de enrutamiento que operan exclusivamente sobre IPv6 (RIPng y OSPFv3) como de protocolos que pueden transportar indistintamente rutas IPv4 o IPv6 (EIGRP, IS-IS, BGP).
Este gráfico pretende darnos una visión general y amplia de los protocolos de enrutamiento interior disponibles tanto para IPv4 como para IPv6.




Las abreviaturas y siglas utilizadas en este post puede encontrarlas desarrolladas en
que está disponible en la Librería en Línea de EduBooks.


15 de noviembre de 2017

Arquitectura PoE - Gráfica

Nuestras redes están conectando progresivamente una mayor variedad de dispositivos terminales (cámaras, teléfonos, CPUs, etc.), muchos de los cuales requieren de alimentación eléctrica a través de su conexión de red cableada. Es por esto que me ha parecido importante retomar algunos conceptos básicos de las arquitecturas PoE.


En la arquitectura PoE hay 2 elementos básicos:
  • El PSE (Power Sourcing Equipment)
    Responsable directo del suministros de energía eléctrica al terminal e idealmente conectado a una fuente de alimentación ininterrumpida.
  • El PD (Powered Device)
    Dispositivo que recibe alimentación eléctrica a través de su cable de conexión Ethernet (UTP cat. 5 o superior).
A su vez hay 2 tipos diferentes de PSE:
  • Midspan
    Más comunmente llamados power inyectors.
    Dispositivos que permiten aprovechar dispositivos de red que no soportan PoE para alimentar con PoE a los PDs.
  • Endspan
    Dispositivo de red (generalmente switch) con capacidad de PoE incluida en sus puertos.

Las abreviaturas y siglas utilizadas en este post puede encontrarlas desarrolladas en
que está disponible en la Librería en Línea de EduBooks.


12 de noviembre de 2017

Terminología WLAN 802.11 - Gráfica

En la implementación de redes inalámbricas 802.11 (genéricamente llamadas también WiFi) se aplica una terminología específica que es conveniente conocer para aplicarla adecuadamente.
El presente gráfico nos permite hacer referencia a algunos de estos términos.



Las redes inalámbricas se despliegan a partir de la implementación de dispositivos denominados
  • Access Point (AP)
    Dispositivo que permite la conexión de terminales inalámbricas con la red cableada o entre sí generando un área de cobertura con servicios de conexión.
  • Estaciones
    Denominación que se da genéricamente a dispositivos inalámbricos dotados de un cliente inalámbrico que pueden conectase a un AP.
  • Distribution System (DS)
    Sector de la red que se encuentra más allá del AP y a través del cual se envía la información hacia el destino deseado.
Cada AP genera un espacio a radio de cobertura dentro del cual proporciona servicios de conectividad en condiciones específicas. Este espacio recibe una denominación específica:
  • Basic Service Area (BSA)
    Área de cobertura del AP dentro de la cual es posible conectarse con él y generalmente denominada "celda".
  • Service Set (SS)
    Conjunto de servicios ofrecidos por la red inalámbrica e identificados por un SSID. Este SS puede ser ofrecido por uno o varios APs.
  • Service Set IDentifier (SSID)
    Identificador de 32 caracteres ASCII que identifica un conjunto de servicios que ofrece la red. Un AP puede publicar múltiples SSID, y cada AP identifica cada SSID con una dirección MAC propia.
  • Basic Service Set IDentifier (BSSID)
    Dirección MAC que identifica las tramas que tienen como destino u origen un SSID específico.
  • Multiple Basic Service Set IDentifier (MBSSID)
    Virtual AP que ofrece un conjunto de SS específico.

Las abreviaturas y siglas utilizadas en este post puede encontrarlas desarrolladas en
que está disponible en la Librería en Línea de EduBooks.


2 de noviembre de 2017

Distancia Administrativa en diferentes fabricantes

Al considerar el algoritmo de selección de la mejor ruta utilizado en dispositivos Cisco IOS, el primer criterio para definir la mejor ruta a un destino cuando se presentan varias rutas diferentes es la confiabilidad de la información de enrutamiento que, en IOS, es representada a través del parámetro denominado Distancia Administrativa.
Sin embargo, un punto que olvidamos considera siempre es que la Distancia Administrativa es un parámetro propietario de Cisco. IOS asigna un valor de DA por defecto a cada protocolo de enrutamiento que es modificable luego por configuración.
Otros fabricantes siguen el mismo criterio utilizando un parámetro al que denominan Preferencia y que tiene el mismo valor: califica la confiabilidad de la información obtenida. El valor asignado por defecto a cada protocolo cambia en diferentes fabricantes aunque, en términos generales, la graduación de confianza que merece cada protocolo es semejante.
El siguiente gráfico presenta los valores que se asigna a cada fuente en diferentes fabricantes.



Las abreviaturas y siglas utilizadas en este post puede encontrarlas desarrolladas en
que está disponible en la Librería en Línea de EduBooks.


1 de noviembre de 2017

OSPF Router ID - Gráfica

Ya en otras publicaciones abordé lo referente a la importancia y determinación del Router ID en el proceso de OSPF sea versión 2 o 3.
Quiero ahora explicitar de forma gráfica el proceso de definición de ese Router ID en sistemas Cisco IOS.




Las abreviaturas y siglas utilizadas en este post puede encontrarlas desarrolladas en
que está disponible en la Librería en Línea de EduBooks.


27 de octubre de 2017

Selección de ruta para un paquete - Gráfica

Una vez conformada la tabla de enrutamiento con el proceso de selección de la mejor ruta se obtiene la base de datos que se utiliza para definir hacia dónde se reenvían los paquetes IP que ingresan al dispositivo de enrutamiento.
Un proceso que se relaciona con el anterior es la definición de qué ruta se utiliza para reenviar cada paquete específico. Para esto el dispositivo, al ingresar un paquete, verifica la dirección IP de destino y a partir de esta información inicia la consulta a la tabla de enrutamiento. 
Este es proceso de consulta respecto de la ruta que se utilizará para el reenvío de tráfico es el que se grafica a continuación.


Este mecanismo no responde la pregunta de si todos los paquetes al mismo destino se envían por la misma o diferentes rutas. Eso depende del mecanismo de reenvío utilizado que ya he tratado en posts aparte: process switching, fast switching, CEF.



Las abreviaturas y siglas utilizadas en este post puede encontrarlas desarrolladas en
que está disponible en la Librería en Línea de EduBooks.


24 de octubre de 2017

Comandos de configuración de interfaces en dispositivos Cisco - Actualización

Continuando con la revisión de las publicaciones más visitadas en estos años la siguiente es esta. Escrita también durante el primer año de este blog, es la segunda más visitada, con lo que también supongo que su información es útil para muchos y por lo tanto también decidí revisarla y actualizarla.
Este es el resultado.

Durante el proceso de configuración de dispositivos de infraestructura llega siempre el momento de realizar o modificar la configuración de una interfaz o varias interfaces. En este sentido es fundamental que tengamos en cuenta algunos comandos Cisco IOS claves, que son comunes a todas las interfaces de los dispositivos Cisco IOS.

Ante todo, todos los comandos relacionados con la configuración de las interfaces de dispositivos IOS se ejecutan en el modo configuración de interfaz:

Router#configure terminal
Router(config)#interface [tipo] [módulo/interfaz.subinterfaz]

Un ejemplo:
Router(config)#interface GigabitEthernet 0/0

De esta forma se ingresa al modo de configuración de la interfaz tanto de routers como switches o firewalls Cisco.
Es necesario indicar la interfaz que se desea configurar o crear, según sea el caso.

Alternativamente, cuando debemos realizar la configuración de un grupo de interfaces de igual tipo y con los mismos parámetros (algo habitual en el caso de los switches) se puede utilizar el comando interface range:

Switch(config)#interface range FastEthernet 0/1 - 10
Switch(config-if-range)#_

Una vez en el modo configuración de interfaz se puede consultar el listado de comandos disponibles utilizando el comando de ayuda habitual: ? debemos tener presente que la lista de comandos que se genera varía de acuerdo al tipo de interfaz, la plataforma y la versión de IOS de que se trate.
En esta lista de comandos, algunos de los básicos son:


Router(config-if)#no shutdown
Las interfaces de los routers Cisco IOS tienen sus interfaces inactivas por defecto por lo que requieren ser activadas por configuración para que sean operativas.
Los switches Cisco Catalyst, en cambio, tienen todas sus bocas activas por defecto, motivo por el cual se sugiere que aquellas que no sean utilizadas sean desactivadas por configuración.
Para que una interfaz sea activa debe encontrarse en estado up/up, para lo cual en el caso de los routers es necesario que los puertos sean habilitados manualmente por el administrador utilizando el comando:

Router(config-if)#no shutdown

Al hacer copias de respaldo de los archivos de configuración es preciso recordar que este comando no se guarda en el archivo de configuración por lo que es conveniente editar esos archivos para agregar este comando en cada interfaz para facilitar que los puertos sean inmediatamente operativos cuando se haga una restauración de esa configuración.


Router(config-if)#ip address x.x.x.x x.x.x.x
Este comando que permite asignar una dirección IPv4 a una interfaz. El comando requiere que se ingrese tanto una dirección IPv4 como una máscara de subred, de lo contrario devolverá un mensaje de comando incompleto.

Router(config-if)#ip address 172.16.15.1 255.255.255.0

Una variante posible es activar el cliente DHCP de IOS en la interfaz de modo que obtenga una dirección IPv4 utilizando el protocolo DHCP:

Router(config-if)#ip address dhcp


Router(config-if)#ipv6 enable
Cuando se trata de implementar redes IPv6 este comando activa el protocolo enrutado en la interfaz.
Consecuencia inmediata de la activación del protocolo es la generación automática en la misma interfaz de la dirección IPv6 link-local (FE80::/10) correspondiente, utilizando EUI-64 para derivar la porción de nodo.
Cuando se ha de configurar una dirección IPv6 unicast global o unique-local este comando es opcional ya que al configurar la dirección se activa automáticamente el protocolo en la interfaz.


Router(config-if)#ipv6 address xxxx::/XX
Comando que permite asignar una dirección IPv6 a una interfaz.
Con diferentes variantes permite definir una dirección completamente estática o asignar solamente un prefijo de red y requerir que el ID de nodo se asigne automáticamente utilizando EUI-64. Requiere la identificación de la longitud del prefijo que identifica el segmento de red al que pertenece la interfaz.

Router(config-if)#ipv6 address 2001:db8:1:1::1/64
Router(config-if)#ipv6 address 2001:db8:1::/64 eui-64
Router(config-if)#ipv6 address FE80::1 link-local
En este caso también es posible activar el cliente dhcpv6 a la asignación de IPv6 utilizando la autoconfiguración stateless propia del protocolo.

Router(config-if)#ipv6 address autoconfig
Router(config-if)#ipv6 address dhcp



Router(config-if)#description
Si bien la incorporación de una descripción a la interfaz es un feature opcional es un recurso importante a tener en cuenta para facilitar la identificación de interfaces y las tareas de diagnóstico y resolución de fallos. La inclusión de una descripción clara y precisa ahorra tiempo y simplifica tareas futuras.
La forma de agregar una descripción en la configuración es la siguiente:
Router(config-if)#descriptioin LAN de ventas
También se puede agregar información de referencia tal como:

Router(config-if)#description enlace Eth con Acme soporte 0800-444-4444

Este tipo de anotaciones o referencias es de utilidad para facilitar tareas de resolución de problemas.


Router(config-if)#bandwitdh
Este es también un comando opcional pero necesario ya que es utilizado por diferentes algoritmos de cálculo que utiliza el sistema operativo. Entre ellos el algoritmo de aquellos protocolos de enrutamiento que utilizan el ancho de banda para sus cálculos de métrica, los algoritmos de asignación de recursos (QoS), los cálculos de nivel de utilización de las interfaces.
Es importante tener en cuenta que este comando declara el ancho de banda en Kbits. Los valores por defecto son diferentes en interfaces LAN o WAN.
En interfaces Ethernet se toma como valor BW la velocidad a la que ha negociado la interfaz cuando está habilitada la autonegociación, o la velocidad definida en el puerto cuando se ha optado por una configuración estática. 
En interfaces seriales el valor por defecto es el correspondiente a una interfaz E1: 1544 Kb.

Router(config-if)#bandwidth 1024

El valor efectivamente en uso en cada interfaz puede ser consultado utilizando el comando show interfaces.


Router(config-if)#duplex auto
Router(config-if)#speed auto
Se trata de comandos relacionados con las interfaces de la familia Ethernet de routers y switches.
Estos son dos comandos de suma importancia, ya que los valores de operación de ambos extremos de un enlace deben coincidir y en definitiva determinan la operación y performance de un segmento de red.
Por ejemplo, para configurar una interface como Fastethernet en modo full dúplex:

Router(config-if)#speed 100
Router(config-if)#duplex full

Los valores de velocidad (speed) posibles dependen del hardware del dispositivo.  En general, por defecto, las interfaces están en modo autosensitivo:

Router(config-if)#speed auto
Router(config-if)#duplex auto


Switch(config-if)#switchport xxxxx
Se trata de un comando propio de switches (no en routers), que permite colocar definir características de operación de puertos que operan en capa 2. De este comando dependen diferentes prestaciones: enlace troncal o de acceso, port-security, etc.
Por ejemplo, para configurar una interfaz en modo acceso o troncal:

Switch(config-if)#switchport mode access
Switch(config-if)#switchport access vlan 14

Switch(config-if)#switchport mode trunk

También se utiliza este comando en switches capa 3 para definir un puerto específico como puerto capa 2 o capa 3. Por ejemplo, para que un puerto comience a operar como interfaz ruteada:

Switch(config-if)#no switchport




Las abreviaturas y siglas utilizadas en este post puede encontrarlas desarrolladas en
que está disponible en la Librería en Línea de EduBooks.


21 de octubre de 2017

Elección de la mejor ruta - Gráfica

Cuando un dispositivo de capa 3 recibe información de enrutamiento de diferentes fuentes el algoritmo de selección de la mejor ruta de Cisco IOS se ocupa de definir cuáles son las rutas que se incorporarán en la tabla de enrutamiento para luego ser utilizadas.
Este algoritmo de selección de la mejor ruta considera en primer lugar la distancia administrativa, a continuación la métrica, y finalmente, a igual métrica se incorporan múltiples rutas al mismo destino en la tabla de enrutamiento.

Este gráfico procura describir ese proceso:




que está disponible en la Librería en Línea de EduBooks.


18 de octubre de 2017

Protocolos de enrutamiento dinámico - Gráfica

La implementación de enrutamiento dinámico requiere de la elección de un protocolo de enrutamiento.
De acuerdo a las características de la red y los requerimientos del servicio hay diferentes opciones disponibles: enrutamiento interno o externo, por vector distancia o estado de enlace. Hay una diversidad que debemos tener presente en el momento de la elección.



Las abreviaturas y siglas utilizadas en este post puede encontrarlas desarrolladas en
que está disponible en la Librería en Línea de EduBooks.


11 de octubre de 2017

10 comandos Cisco IOS que debemos conocer en detalle - Actualización

Con ocasión de alcanzar los primeros 500 posts en el blog, estoy revisando aquellas publicaciones que son las más populares o consultadas.
La primera en la lista es esta, escrita en el primer año de desarrollo del blog. Evidentemente, si sigue siendo visitada, es porque brinda información útil.
Por eso me he propuesto revisarla y actualizarla en lo que me parece conveniente. 
Este es el resultado.


Aún cuando Cisco IOS provee miles de comandos algunos de ellos son claves para la tarea diaria y siempre volvemos a ellos: han sido nuestros primeros pasos al acercarnos a IOS, y son los básicos en las tareas de resolución más complejas:

1. El signo de interrogación "?"
El primer comando que aprendemos generalmente, el más obvio y simple, y sin embargo quizás uno de los más ignorados es el signo de interrogación.
Cisco IOS ofrece un sistema de ayuda contextual que se despliega a partir del signo de interrogación.
Este es el mecanismo que habilita el menú de ayuda en el sistema de línea de comando.
Este comando presenta variantes de aplicación:

Cuando se lo aplica inmediatamente despues de una cadena de caracteres (sin espacio) permite verificar los comandos que, en ese modo, inician con las letras a continuación de las cuales se ingresó el carácter “?”.
Router#cl?
  clear  clock

Ingresando el signo “?” luego de un comando seguido de un espacio, muestra los argumentos requeridos y una breve explicación de cada uno.
Router#clock ?
  set  Set the time and date

2. Mensajes de error del sistema
No se trata propiamente de un comando, pero es una herramienta de suma importancia vinculada a los comandos y a la que desafortunadamente prestamos poca atención en muchos casos.
Los mensajes de error de Cisco IOS se identifican fácilmente por estar precedidos por el signo porcentual ( % ).

Router#cl
% Ambiguous command:  "cl"
Indica que no se han ingresado suficientes caracteres para que el sistema operativo identifique el comando deseado. Puede repetir el comando seguido del signo de interrogación para ver los comandos disponibles con ese inicio.

Router#clock
% Incomplete command.
Indica que se requiere algún argumento o parámetro adicional. Deje un espacio e ingrese el signo de interrogación para ver los subcomandos o parámetros requeridos.

Router#clock sot
              ^
% Invalid input detected at '^' marker.
Denota que se ha cometido un error en el ingreso del comando y se marca el punto en el que está la información inválida con el signo “^”.

Router#clack
Translating "clack"...domain server (255.255.255.255)
Translating "clack"...domain server (255.255.255.255)
(255.255.255.255)% Unknown command or computer name, or unable to find computer address
Cuando se ingresa una cadena de caracteres en el prompt el sistema operativo analiza si se trata de una dirección IP, si no es una dirección IP revisa los comandos disponibles en el modo y si hay una coincidencia lo ejecuta como comando, si no corresponde con un comando, entonces lo interpreta como un “nombre” e intenta una traducción de ese nombre utilizando un servicio DNS.

3. show runnin-config
Nos permite verificar la configuración activa de routers, switches, access points, firewalls. 
La configuración activa es la que se encuentra almacenada en la RAM del dispositivo y sobre la que se realizan los cambios en el modo configuración.
Para quienes no están familiarizados con Cisco IOS, es importante que tengan en cuenta que los cambios realizados -la inmensa mayoría- en esta configuración tienen efecto inmediato en la operación del dispositivo. Pero por estar almacenados en la memoria RAM, son volátiles y se pierden durante el reinicio del dispositivo.
Por lo tanto es importante tener presentes también los comandos que nos permiten almacenar estos cambios en la memoria NVRAM sobreescribiendo el archivo de configuración de respaldo: copy system:running-config nvram:startup-config; o su versión breve: copy running-config startup-config; o la aún activa write memory (wr en su forma abreviada).
Este comando presenta solamente las modificaciones que se han realizado a la configuración por defecto del dispositivo y está dividido en secciones que facilitan su lectura.
Los signos de cierre de admiración (!) indican al sistema operativo líneas del archivo que no deben ser ejecutadas como comandos.
Se puede identificar el resultado de este comando por el texto “Current configuración…” que la encabeza, y que va acompañado por la medida del archivo expresada en bytes.

4. copy running-config startup-config
Este es el comando que guarda los cambios realizados en la configuración activa (RAM) a un archivo de configuración de respaldo (NVRAM ) que es el que será utilizado en caso de que por cualquier motivo el dispositivo sea reiniciado.
Con las variaciones debidas este mismo comando copy nos permiten crear copias de respaldo del archivo de configuración en servidores ftp, tftp o en la misma memoria flash del dispositivo, copias de respaldo de la imagen de IOS o de cualquier otro archivo.

5. show interfaces
Permite visualizar el estado y las estadísticas de operación de las interfaces del dispositivo. Entre otras cosas permite verificar:
Estado de las interfaces (up/dow).
Estado del protocolo implementado en la interfaz.
Nivel de utilización del enlace asociado a esa interfaz incluyendo volumen de tráfico, cantidad de paquetes, tasas de errores, paquetes descartados, etc.
MTU de la interfaz y ancho de banda declarado.
Es un comando esencial para el diagnóstico de fallos.

6. show ip interface
Tan importantes como show interfaces son show ip interface y show ip interface brief.
Este comando provee permite verificar la configuración completa de la interfaz incluyendo los valores por defecto, al mismo tiempo que el estado del protocolo IP y sus servicios asociados. Es el comando que nos permite verificar si hay ACLs asociadas a la interfaz
Show ip interface brief permite tener una mirada rápida del estado de cada interfaz del dispositivo incluyendo las direcciones IP, el estado de capa 2 y el estado de capa 3.

7. no shutdown
Este es el comando que activa una interfaz sea física o lógica.
Es importante tener presente que todas las interfaces de los routers Cisco están desactivadas por defecto mientras que las de los switches están activas por defecto.
Por este motivo, en los routers, se requiere la habilitación manual de cada una de las interfaces. 
Paralelamente no hay que olvidar que este comando NO aparece en el archivo de configuración.
En los switches Cisco, dada la opción por defecto de las interfaces, se sugiere desactivar manualmente aquellos puertos que no serán utilizados.

8. show ip route
Es el comando que nos permite visualizar la tabla de enrutamiento de los dispositivos que operan en capa 3.
La tabla de enrutamiento es la lista de todas las rutas a las redes destino que el dispositivo puede alcanzar, incluyendo su métrica, y la forma en que accede a ellas. 
Si todo funciona adecuadadamente cada dispositivo debiera tener al menos una ruta a cada red que es destino potencial de tráfico.
El comando tiene algunas variantes de importancia:

show ip route rip
    Muestra todas las rutas aprendidas a través del protocolo especificado.
show ip route 172.16.0.0
    Muestra todas las rutas disponibles a la red de destino especificada.
clear ip route *
    Limpia todas las rutas presentes en la tabla de enrutamiento.
clear ip route 172.16.0.0    Elimina todas las rutas a una red destino específica.

9. show version
Este comando permite verificar la configuración y estado del hardware y software del dispositivo, incluyendo entre otros:
Nombre, versión y lugar de almacenamiento de la imagen del sistema operativo que se está corriendo.
Cantidad de memoria RAM y flash (total y disponible) del dispositivo.
Tiempo transcurrido desde el último arranque del dispositivo.
Cantidad y tipo de interfaces disponibles.
Licencias.
Valores del registro de configuración.

10. debug
Este comando provee mensajes de eventos detallados relacionados con aplicaciones, protocolos o servicios que se encuentran activos en el dispositivo.
Estos mensajes se envian por defecto a la terminal de consola, pero pueden re-dirigirse a una terminal virtual (sesión Telnet o SSH) o a un servidor de Syslog. 
Es importante tener presente esta tarea tiene máxima prioridad de procesamiento por lo que la activación de estas funciones puede provocar una sobrecarga de procesamiento en el dispositivo que puede poner en riesgo la operación normal de la red. A la vez, si la salida está redirigida a sesiones de Telnet o SSH esto generará una sobrecarga de tráfico en los enlaces involucrados lo que puede provocar pérdida de paquetes o que se bloquee la conexión.
Esta funcionalidad se desactiva con los comandos undebug all o no debug.



Las abreviaturas y siglas utilizadas en este post puede encontrarlas desarrolladas en
que está disponible en la Librería en Línea de EduBooks.


10 de octubre de 2017

500 publicaciones

Y finalmente, 11 años después, este esfuerzo que inició en febrero del año 2006 llegó a completar las 500 publicaciones.
Cuando inicié con aquel primer post nunca pensé que esto continuaría por tanto tiempo, ni que llegaría a tantas publicaciones.
Muchas gracias a quienes me han seguido durante estos años, a quienes me siguen en los diferentes grupos en las redes sociales (ya son más de 20.000 en total), a quienes aportan con sus comentarios. Este blog es hoy mucho más que el complemento de mis manuales, es el fruto de nuestra interacción, de sus sugerencias, de sus aportes.
De nuevo, muchas gracias.




9 de octubre de 2017

Cisco NGFW

Las amenazas a la seguridad de las redes de datos evolucionan, la seguridad evoluciona para darles respuesta y consiguientemente las herramientas que se despliegan para cumplir con las demandas de seguridad también.
En este contexto, la propuesta de seguridad de Cisco ha estado evolucionando permanentemente en los últimos años hasta convertirse en un laberinto de novedades en el que permanentemente quedamos desactualizados. Un punto en esto es el de los firewalls, que ahora se han convertido en firewalls de próxima generación o "Next Generation FireWalls" (NGFW).
Hay varios elementos que Cisco ha presentado en este sentido:
  • La serie ASA 5500-X fue el primer paso en ese sentido.
  • A continuación la serie ASA 5500-X introdujo el módulo Firepower, un NGIPS con prestaciones muy avanzadas.
  • Inmediatamente aparecieron los appliances Firepower.
  • Ahora esto ha tenido un paso más con al introducción de Firepower Threat Defense (FTD).


Esto fue acompañado por la evolución del software de gestión, aunque en el caso de Firepower es mucho más que un simple software de gestión:
  • ASDM es la GUI tradicional para Cisco ASA.
  • FireSIGHT ha sido el primer software de gestión para Firepower.
  • FireSIGHT evolucionó a Firepower Management Center con la introducción de la versión 6.0.
  • Ahora contamos con Firepower Device Manager para la gestión de FTD.
Este gráfico intenta representar esta evolución:


¿Qué es un NGFW?
Un NGFW se diferencia de un firewall tradicional (dispositivo que permite implementar políticas de control de acceso entre dos dominios de confianza) en al menos 5 características:
  • Integra mecanismos de defensa ante amenazas tales como un NGIPS, protección anti-malware, posibilidad de AVC, etc.
  • Elaboración de indicadores de compromiso que permitan definir acciones.
  • Visión integradora de la red.
  • Reduce la complejidad de la gestión al mismo tiempo que los costos de implementación y mantenimiento.
  • Brinda la posibilidad de integrarlo con soluciones de terceras partes.
¿Qué es FTD?
Cisco Firepower Threat Defense es una imagen de software unificado que apunta a incluir las prestaciones de Cisco ASA con los servicios incorporador por Firepower, todo sobre una única plataforma de hardware.
En la redacción de la frase anterior tuve el cuidado de incluir el término "apunta" dado que no todas las prestaciones que conocemos y utilizamos frecuentemente de ASA están integradas en FTD.
Esta imagen de software unificada puede implementarse en diferentes plataformas de hardware:
  • ASA 5506-X
  • ASA 5508-X
  • ASA 5512-X
  • ASA 5515-X
  • ASA 5516-X
  • ASA  5525-X
  • ASA 5545-X
  • ASA 5555-X
  • Firepower 2100
  • Firepower 4100
  • Firepower 9000
  • También hay disponible un FTD virtual
No están soportados los appliances ASA 5585-X
A este momento hay 3 versiones disponibles de FTD: 6.0, 6.1 y 6.2

Prestaciones de FTP
En su versión 6.2 FTP incluye:
  • Firewall stateful
  • Enrutamiento estático y dinámico. Soporta RIP, OSPF y BGP.
  • Next-Generation Intrusion Prevention Systems (NGIPS)
  • Fitrado de URLs
  • Application Visibility and Control (AVC)
  • Advance Malware Protection (AMP)
  • Integración con Cisco Identity Service Engine (Cisco ISE)
  • Descifrado de SSL
  • Portal web cautivo
  • Gestión Multi-Domain
  • Rate Limiting
  • Políticas para tráfico tunelizado
  • Soporte para VPNs Site-to-Site solamente entre dispositivos FTD y FTD a ASA
Sin embargo, la mayoría de los analistas destacan algunas limitaciones muy relevantes:
  • No incluye soporte para enrutamiento EIGRP o multicast.
  • No se soporta configuración en modo transparente.
  • El soporte para VPNs es aún muy limitado. No hay soporte para VPNs de acceso remoto y el de VPNs site-to-site es acotado.
  • No hay soporte para interfaces EtherChannel.
  • No soporta múltiples contextos.
  • Sólo se soporta alta disponibilidad en modo activo / standby.
  • En algunos casos de migración de ASA a FTD se ha reportado que ha sido necesario abrir casos en el TAC de Cisco para lograr transferir las licencias.
  • Algunos analistas reportan cierta inestabilidad de estas imágenes cuando se implementan sobre dispositivos ASA.
  • La migración de configuraciones de ASA a FTD no es transparente y suelen presentarse diferentes inconvenientes que obligan a repasar la integridad de las políticas.
La pregunta de muchos ¿Qué va a pasar con ASA?
Pues, ASA está camino a ser retirado y esta imagen unificada (o su evolución) pasará a ser la solución NGFW de Cisco.


Las abreviaturas y siglas utilizadas en este post puede encontrarlas desarrolladas en
que está disponible en la Librería en Línea de EduBooks.


8 de octubre de 2017

Interfaces en Errdisable

Desde que hacemos nuestras primeras armas en redes que utilizan switches Cisco Catalyst aparece un concepto específico: los puertos en estado "err-disabled".
¿Qué significa eso?

El estado errdisable
El estado errdisable aparece cuando un puerto de un switch se encuentra habilitado por configuración (no shutdown) pero el sistema operativo detecta una situación de error y por lo tanto evalúa que se la debe desactivar.
Un puerto en estado error disabled operativamente está fuera de operación (shutdown) y no envía o recibe tráfico de ningún tipo. El LED del puerto se fija en color ámbar y cuando se lo verifica utilizando el comando show interfaces aparece como err-disabled.

Switch#show interfaces fastethernet 0/1 status 

Port   Name    Status       Vlan     Duplex  Speed Type
Fa0/1          err-disabled 100        auto   auto 10/100BaseTX

Este estado de errdisable tiene 2 propósitos:
  • Indica al administrador cuándo y dónde un puerto ha detectado problemas.
  • Elimina la posibilidad de que este puerto cause fallos en otros puertos o el módulo en el que se encuentra.
    Un puerto con fallas puede ocupar la totalidad de los buffers de memoria disponibles o sus mensajes pueden causar errores en la red. Esto es evitado al colocar el puerto en error.
Causas del estado errdisable
Este estado se introdujo inicialmente en los puertos de los switches para manejar situaciones especiales provocadas por exceso de colisiones en al red generadas por diferentes causas:
  • Un cable Ethernet fuera de especificaciones (p.e. muy largo).
  • Una interfaz de red en malas condiciones (p.e. problemas físicos).
  • Un error de configuración de dúplex en los puertos.
Más allá de esa implementación inicial hoy el estado errdisable está asociado a múltiples implementaciones comunes en redes conmutadas:
  • No coincidencia de dúplex
  • Mala configuración del port channel
  • Violación de BPDU Guard
  • Condición UniDirectional Link Detection (UDLD)
  • Detección de colisiones tardías
  • Detección de link-flap 
  • Violación de seguridad (port-security)
  • Flapeo de Port Aggregation Protocol (PAgP) 
  • Layer 2 Tunneling Protocol (L2TP) guard
  • DHCP snooping rate-limit
  • GBIC / Small Form-Factor Pluggable (SFP) módulo o cable incorrecto
  • Address Resolution Protocol (ARP) Inspection
  • Inline Power
La colocación del puerto en este estado está definida como acción por defecto ante la detección de cualquiera de estas situaciones. El comando show errdisable detect permite verificar cuáles son las acciones que están asociadas a este estado.

Documentación de referencia
Las abreviaturas y siglas utilizadas en este post puede encontrarlas desarrolladas en
que está disponible en la Librería en Línea de EduBooks.