BGP enrutamiento dinámico Firewall linux VyOS

VyOS – sistema operativo de red

VyOS es un sistema operativo de red basado en linux, fork de Vyatta ( ahora de Brocade ), que provee enrutamiento, firewalling, vpn, vxlan … entre muchos otros.


Cuando uno empieza a toquetear VyOS le podrá recordar mucho en usabilidad a Juniper JunOS.
En el fondo VyOS es un excelente wrapper de los servicios de red más conocidos que corren sobre el Debian linux que hay debajo, a saber:

iptables, quagga, strongswan, lldpd, keepalived, etc.

A continuación, vamos a ver los modos de operación y algunos comandos básicos para empezar con VyOS.

read more »

BGP enrutamiento dinámico huawei

Configuración BGP en routers Huawei

Recientemente he configurado un multihoming BGP con routers Huawei y creo que merece la pena compartirlo.

Los equipos Huawei en cuestión eran unos NE20E-S4:

http://e.huawei.com/en/products/enterprise-networking/routers/ne/ne20e-s

 

router-huawei

La topología es la clásica de un multihoming con dos ISP’s:
Estaba compuesta por dos routers NE20E-S4 cada uno conectado en su interface Wan a un ISP distinto e internamente conectados a un cluster de switches Huawei.

Ambos routers estaban además compartiendo entre sí su tabla de rutas BGP via iBGP.

read more »

DDoS seguridad

Tipos de ataques DDoS que he recibido – I

Recuerdo aún cuando en el 2012 ví el primer ataque DDoS de amplificación UDP, aquel fue de DNS…

No fuimos objetivo del ataque sinó que se usó un dns nuestro como amplificador.

Aunque en realidad dicho server no era un “open resolver“, simplemente se nos usó como vector para amplificar peticiones mediante queries tipo “ANY”.

El descubrimiento fue por casualidad ya que era de poco volumen, pero afectó a la cpu de un clúster de balanceadores Cisco CSS:

 

El problema de CPU del CSS lo solucionamos con un parche y modificación del tipo de balanceo:

flow-state 53 udp flow-disable nat-enable
  • Ataques de Amplificación UDP. Breve introducción:

Los ataques de amplificación UDP se basan en inundar al host atacado con tanto tráfico que no pueda responder correctamente a su propio tráfico legítimo ( degradación de red ).
Esto es, saturar el ancho de banda que disponga. A veces además, si se consigue traspasar los equipos perimetrales de red, se puede llegar a degradar a otros dispositivos.

La mayoría de ataques de amplificación UDP son reflejados. Los actores de este tipo de ataques son de 3 tipos:
– El verdadero atacante ( que usará spoofing haciéndose pasar por la ip del atacado ) o que usará una botnet que a su vez usará spoofing.
– Los amplificadores del ataque ( hosts vulnerables o mal configurados que amplificarán las peticiones spoofeadas )
– La víctima ( al que han suplantado su IP y recibirá el tráfico )

  • Veamos un ejemplo de ataque de amplificación dns:

read more »

Uncategorized

retomando el blog

Hace dos años que no posteo y tengo bastantes artículos en la recámara que iré subiendo:
SDN, Seguridad de Red, DDoS recibidos y contramedidas, balanceadores de carga …

He cambiado de servidor dedicado en OVH y he decidido activar SSL, http/2 y HSTS ( ya tocaba … ).

Me he encontrado que el Time to First Byte ha aumentado considerablemente con SSL.

Después de ”jugar” con nginx y diferentes cifrados he conseguido bajar ese TTFB un poco y mantener una calificación A+ en www.ssllabs.com.

Por otro lado, he activado Incapsula como WAF en el cloud. Logs de Incapsula:

Probaré NAXSI ( Nginx Anti XSS & SQL Injection ) https://github.com/nbs-system/naxs, a ver que tal …

 

read more »

Cisco linux PKI seguridad switches

Cisco IOS – Gestión Automatizada con ssh y PKI

El el post anterior ya adelantamos la ventaja de usar ssh con PKI en dispostivos Cisco con IOS versión 15:

La gestión automatizada.

Veremos un ejemplo de acceso ssh sin contraseña a dispostivos Cisco para lanzarles comandos y configuraciones. Usando este método, configuraremos de golpe una community snmp, una access-list y obtendremos el Serial Number dos switches.

read more »

Cisco PKI seguridad switches

Cisco IOS – Configuración de acceso SSH con PKI

Una de las funcionalidades de Cisco IOS versión 15 es el acceso SSH con certificados. Esto es, el acceso ssh usando la infraestructura de clave pública o PKI.

En este post vamos a ver cómo se configura, pero antes hablaré brevemente de la gestión automatizada de la red. read more »

Cisco seguridad switches

Configurar ssh en dispositivos Cisco

En este post vamos a configurar SSH en un switch Cisco. El método también sirve para cualquier dispositivo basado en IOS, esto es routers etc.

Aunque en los switches Cisco, si tenemos activo el acceso https, algo que no recomiendo y que viene por defecto activado en las IOS gestionables por web, ya dispondremos de los certificados y requisitos para directamente habilitar ssh versión 2, prefiero definir paso por paso el procedimiento que considero más recomendable y seguro.

Además aplicaremos configuraciones que permitiran asegurar la configuración y el acceso al dispositivo.

read more »

ancho de banda Cisco Firewall linux Pix

Multipath TCP – Introducción y prueba en laboratorio

El año pasado vi un vídeo de una Google Tech Talk de Costin Raiciu (University Politehnica of Bucharest) y Christoph Paasch (Universite Catholique de Louvain) sobre Multipath TCP y me interesó mucho. Por cuestiones de tiempo y proyectos no me animé a probarlo, pero ha llegado el momento!

En este post veremos dos ejemplos prácticos que he realizado en laboratorio.

Multipath TCP o mptcp, es una extensión del protocolo tcp que permite multiplexar varias conexiones tcp sobre diferentes rutas.
Para concretar un poco y no extenderme demasiado, sobre un segmento tcp estándar observaríamos una nueva opción en la cabecera tcp.
Esta opción es la tipo 30 y está reservada por la IANA. Lo veremos en una captura en este post. read more »

OTP radius raspberry seguridad

Nueva release de MultiOTP

En el post anterior vimos la configuración del doble factor de Autenticación con Cisco VPN SSL con MultiOTP y Freeradius.

MultiOTP ha sacado una nueva versión con muy interesantes mejoras. Además han sido reconocidos y certificados por la autoridad de OpenAuthentication.
Enhorabuena!

¿Qué novedades hay en MultiOTP 4.1.x ? read more »

Cisco Firewall linux OTP radius seguridad windows

Doble Factor de Autenticación – Cisco VPN SSL con MultiOTP y Freeradius

En el post anterior vimos concepto de Doble Factor de Autenticación. En este post, vamos a realizar una prueba de concepto para usar doble factor de autenticación en un escenario de VPN.

  • 1 – Dispositivos hardware y software usados en este PoC:
Cliente Cisco VPN AnyConnect
Firewall Cisco ASA ( servidor VPN SSL )
Radius IAS o NPS integrado en Active Directory
Freeradius sobre Ubuntu Server + MultiOTP ( clase PHP )
Token compatible con OATH ( algoritmos TOTP - rfc6238 y HTOP - rfc4226 )
  • 2 – Topología:

2-factor-authentication-multiotp-freeradius-cisco-asa read more »