Category Archives: Cisco

802.1X Cisco radius raspberry seguridad

802.1X – Configuración de Access Point Cisco

Después de la introducción a 802.1X y la configuración del servidor radius con EAP-TLS, configuraremos un punto de acceso inalámbrico Cisco con WPA2 Enterprise. Esto es, WPA2 con 802.1x

8021x-freeradius-raspberry-Cisco

En esta topología de red estamos usando:

Access Point Cisco AIR-AP1121G-E-K9:
 IOS c1100-k9w7-mx.123-8.JEE
Raspberry Pi como servidor Freeradius
Switch Cisco 3750 PoE

read more »

BGP Cisco seguridad

Asegurar SNMP

 

Breve Introducción :

SNMP es un protocolo de administración de red que permite realizar consultas a los dispositivos gestionados.
En la mayoría de dispositivos de red, por muy baja que sea la gama, si son gestionables, seguramente son consultables por snmp. Evidentemente, hoy en día es consultable por snmp prácticamente cualquier sistema operativo y hardware gestionable  :
snmp

read more »

Cisco Firewall seguridad

Solución al alto consumo de CPU en Cisco Asa y Cisco PIX

 

A veces es difícil identificar por qué un firewall Cisco Pix o Cisco ASA está a niveles altos de CPU.

cisco-asdm-cpu-grafica

 

read more »

Cisco Firewall linux port-channel switches

configurar bonding con trunk y lacp – II – ( switch )

Continuamos el post anterior de configuración de bonding con trunk y lacp pero esta vez, configurando el lado del switch ( un stack de dos switches en este ejemplo ).

El modo 4 del bonding ( 802.3ad ) requiere configuración sobre el switch, en el caso de los Cisco Catalyst, configurando un Portchannel en LACP.

La configuración del portchannel se basa en agregar diferentes puertos físicos, sobre uno lógico dotando de alta disponibilidad de red e incremento del ancho de banda disponible. Añadiremos el tipo de balanceo que más nos interese según el tráfico que esperemos.

Es decir, si esperamos tráfico simultáneo de muchas ip’s diferentes hacia múltiples destinos, el algoritmo que mejor nos conviene es el balanceo “ip origen XOR ip destino”. Los modelos de switch superiores a la gama Catalyst 3750 admiten un par más de algoritmos basados en puerto origen y puerto destino.

read more »

Cisco Firewall linux

configurar bonding con trunk y lacp – I – ( servidor linux )

Vamos a configurar las tarjetas de red de un servidor linux Centos con múltiples vlans sobre la misma interfaz lógica y alta disponibilidad de red.

Además añadiremos un balanceo del tráfico de las interfaces físicas para equilibrarlo ( ambas activas ) y aumentar el ancho de banda disponible. Resumiendo, un bonding con trunk 802.1Q y balanceo lacp ( modo 4 del bonding ).


read more »

Cisco seguridad switches

Dynamic Arp Inspection – Prevención de ataques MiTM

Dynamic ARP Inspection es una funcionalidad de seguridad en la red y como su nombre indica, se basa en la inspección dinámica de las resoluciones de direcciones de capa de enlace que se reciben en un puerto de un switch o router.

Su funcionamiento consiste en verificar que las peticiones y respuestas ARP son válidas.

Por tanto, el binding entre direcciones IP y MAC en un determinado puerto es verificado, evitando así un envenenamiento de ARP o ARP Poisoning y en consecuéncia, un MiTM ( Man in the middle ).

Existen diferentes técnicas para obtener éxito en un ataque MiTM. Hasta ahora hemos visto DHCP Snooping o cómo evitar que en un puerto no autorizado se erija un servidor DHCP o se envíen paquetes DHCP de servidor. En este post vamos a analizar la contramedida a un ataque MiTM basado en envenenamiento ARP.

read more »

Cisco seguridad switches

dhcp snooping – prevención de ataques DHCP

DHCP snooping es una funcionalidad de seguridad disponible en los switches.

Su principal cometido es prevenir que un servidor dhcp no autorizado entre en nuestra red.

¿ Que sucedería si alguien introduce un servidor dhcp no autorizado en nuestra vlan ?
Podría realizar un ataque Man in The Middle ( MiTM ) y por tanto, interceptar el tráfico, capturar credenciales, escuchar conversaciones no cifradas, intentar suplantar la identidad de terceros

DCHP snooping permite además, en combinación con otras funcionalidades de seguridad que ya veremos más adelante 🙂 , evitar ARP spoofing, Envenenamiento ARP e IP spoofing en nuestra red.

¿ Cómo funciona ?
read more »

Cisco switches

Bpduguard y STP como contramedida a un loop en un switch

En este post analizaremos bpduguard como contramedida a un loop o bucle en un switch.

Esta contramedida nos permite también evitar que alguien conecte un switch que hable Spanning Tree Protocol a nuestra red.

Un loop en un switch puede provocar una tormenta de broadcast en la red.

Spanning-Tree Protocol, STP, permite tener una topología redundada en una red de capa2 libre de bucles lógicos.

Vamos a provocar un loop entre dos puertos para verificar que el switch está protegiendo a la red de loops.

Vamos a analizar diferentes configuraciones para comparar el efecto del loop sobre nuestra red.

read more »

Cisco

Actualizar Cisco IOS de forma segura

En este post veremos como actualizar el sistema operativo de un switch Cisco.

Podemos pensar que ya existe información en el site de Cisco para realizar este proceso, pero considero que no es completa.

Es muy importante verificar varias cosas que pueden pasarse por alto y considero que hay que tenerlas muy en cuenta: read more »

adsl y FTTH Cisco Firewall Pix PPoE

Configurar Cisco PIX con PPoE

Si disponemos de una conexión Adsl o FTTH y queremos que nuestro Firewall Cisco Pix obtenga la ip pública, deberemos configurarle ppoe.

Gracias a PPoE podemos autenticarnos contra nuestro ISP y obtener un túnel punto a punto sobre Ethernet.

read more »