Auto Enable, como su nombre indica, es una funcionalidad de los firewalls Cisco ASA que evita tener que poner el “enable password” si el usuario que accede tiene suficiente “privilege level”.
Buscar
Auto Enable, como su nombre indica, es una funcionalidad de los firewalls Cisco ASA que evita tener que poner el “enable password” si el usuario que accede tiene suficiente “privilege level”.
El el post anterior ya adelantamos la ventaja de usar ssh con PKI en dispostivos Cisco con IOS versión 15:
Una de las funcionalidades de Cisco IOS versión 15 es el acceso SSH con certificados. Esto es, el acceso ssh usando la infraestructura de clave pública o PKI.
En este post vamos a ver cómo se configura, pero antes hablaré brevemente de la gestión automatizada de la red. read more
En este post vamos a configurar SSH en un switch Cisco. El método también sirve para cualquier dispositivo basado en IOS, esto es routers etc.
Aunque en los switches Cisco, si tenemos activo el acceso https, algo que no recomiendo y que viene por defecto activado en las IOS gestionables por web, ya dispondremos de los certificados y requisitos para directamente habilitar ssh versión 2, prefiero definir paso por paso el procedimiento que considero más recomendable y seguro.
Además aplicaremos configuraciones que permitiran asegurar la configuración y el acceso al dispositivo.
El año pasado vi un vídeo de una Google Tech Talk de Costin Raiciu (University Politehnica of Bucharest) y Christoph Paasch (Universite Catholique de Louvain) sobre Multipath TCP y me interesó mucho. Por cuestiones de tiempo y proyectos no me animé a probarlo, pero ha llegado el momento!
En este post veremos dos ejemplos prácticos que he realizado en laboratorio.
Multipath TCP o mptcp, es una extensión del protocolo tcp que permite multiplexar varias conexiones tcp sobre diferentes rutas.
Para concretar un poco y no extenderme demasiado, sobre un segmento tcp estándar observaríamos una nueva opción en la cabecera tcp.
Esta opción es la tipo 30 y está reservada por la IANA. Lo veremos en una captura en este post. read more
En el post anterior vimos concepto de Doble Factor de Autenticación. En este post, vamos a realizar una prueba de concepto para usar doble factor de autenticación en un escenario de VPN.
Cliente Cisco VPN AnyConnect Firewall Cisco ASA ( servidor VPN SSL ) Radius IAS o NPS integrado en Active Directory Freeradius sobre Ubuntu Server + MultiOTP ( clase PHP ) Token compatible con OATH ( algoritmos TOTP - rfc6238 y HTOP - rfc4226 )
El error “%% Low on memory; try again later” se muestra en consola cuando un dispositivo Cisco con IOS se queda sin memoria RAM.
Cuando se ha agotado la memoria, ni siquiera es posible acceder remotamente mediante ssh o telnet y para recuperar el control del dispositivo es necesario reiniciarlo.
Yo he podido comprobarlo, o mejor dicho, sufrirlo con unos switches Cisco Catalyst 2960 y la versión de IOS 15.0(2)SE2. El problema es debido a un memory leak o fuga de memoria que todavía no está solucionado.
Para reiniciar completamente un stack de switches Cisco Catalyst 3750 o 3750-X ejecutaremos el comando reload.
Si deseamos reiniciar únicamente un miembro del stack, verificaremos el nº de miembro y reiniciaremos el slot.
Veamos un ejemplo con un stack de 3750’s. Reiniciaremos sólo el miembro 2: read more
Estos firewalls están conectados entre sí, a través de dos enlaces:
Veamos la topología ( haz click sobre la imagen para verla mayor ):
El proceso de recuperación de contraseña de un dispositivo de red es útil pero puede suponer un problema de seguridad física.
¿ Cómo podemos proteger la configuración de un dispositivo Cisco ? read more