Category Archives: Firewall

Firewall linux loadbalancer seguridad

Clúster de Balanceadores HAProxy con SSL Offloading y Keepalived

En este post vamos a configurar dos balanceadores HAProxy con SSL Offloading sobre CentOS 7.
Dichos balanceadores trabajarán en modo master-slave.

Además usaremos Keepalived como daemon responsable de la alta disponibilidad, que nos permitirá levantar las IP’s flotantes del clúster ( VRRP ) y responder con un failover en caso de necesidad.

Iptables será el responsable del firewalling y del nat de salida y de servicios no balanceados.

Topología de red:

read more »

Cisco Firewall PKI seguridad

Firewall Cisco ASA auto enable y SSH con PKI

Auto Enable, como su nombre indica, es una funcionalidad de los firewalls Cisco ASA que evita tener que poner el “enable password” si el usuario que accede tiene suficiente “privilege level”.

read more »

BGP enrutamiento dinámico Firewall linux VyOS

VyOS – sistema operativo de red

VyOS es un sistema operativo de red basado en linux, fork de Vyatta ( ahora de Brocade ), que provee enrutamiento, firewalling, vpn, vxlan … entre muchos otros.


Cuando uno empieza a toquetear VyOS le podrá recordar mucho en usabilidad a Juniper JunOS.
En el fondo VyOS es un excelente wrapper de los servicios de red más conocidos que corren sobre el Debian linux que hay debajo, a saber:

iptables, quagga, strongswan, lldpd, keepalived, etc.

A continuación, vamos a ver los modos de operación y algunos comandos básicos para empezar con VyOS.

read more »

ancho de banda Cisco Firewall linux Pix

Multipath TCP – Introducción y prueba en laboratorio

El año pasado vi un vídeo de una Google Tech Talk de Costin Raiciu (University Politehnica of Bucharest) y Christoph Paasch (Universite Catholique de Louvain) sobre Multipath TCP y me interesó mucho. Por cuestiones de tiempo y proyectos no me animé a probarlo, pero ha llegado el momento!

En este post veremos dos ejemplos prácticos que he realizado en laboratorio.

Multipath TCP o mptcp, es una extensión del protocolo tcp que permite multiplexar varias conexiones tcp sobre diferentes rutas.
Para concretar un poco y no extenderme demasiado, sobre un segmento tcp estándar observaríamos una nueva opción en la cabecera tcp.
Esta opción es la tipo 30 y está reservada por la IANA. Lo veremos en una captura en este post. read more »

Cisco Firewall linux OTP radius seguridad windows

Doble Factor de Autenticación – Cisco VPN SSL con MultiOTP y Freeradius

En el post anterior vimos concepto de Doble Factor de Autenticación. En este post, vamos a realizar una prueba de concepto para usar doble factor de autenticación en un escenario de VPN.

  • 1 – Dispositivos hardware y software usados en este PoC:
Cliente Cisco VPN AnyConnect
Firewall Cisco ASA ( servidor VPN SSL )
Radius IAS o NPS integrado en Active Directory
Freeradius sobre Ubuntu Server + MultiOTP ( clase PHP )
Token compatible con OATH ( algoritmos TOTP - rfc6238 y HTOP - rfc4226 )
  • 2 – Topología:

2-factor-authentication-multiotp-freeradius-cisco-asa read more »

Firewall Juniper seguridad syslog

Juniper Junos – Enviar syslog a otro puerto

Es posible cambiar el puerto de destino de los mensajes de syslog desde un dispositivo Juniper con junos.

Por defecto el puerto de syslog es el udp/514
En la configuración del servidor syslog que recibirá los mensajes del firewall, ya sea rsyslog, syslog-ng etc, puede estar configurado un “listener” dedicado en otra ip o puerto para poder distinguir dónde agrupar estos mensajes en un fichero diferente al resto.

Veamos el ejemplo: read more »

adsl y FTTH Cisco enrutamiento dinámico Firewall Pix

Cisco ASA/Pix – Enrutamiento OSPF sobre VPN’s redundadas

Estos firewalls están conectados entre sí, a través de dos enlaces:
Veamos la topología ( haz click sobre la imagen para verla mayor ):

cisco asa pix - enrutamiento ospf sobre vpn's redundadas read more »

Firewall linux port-channel

tcpdump: capturar tráfico simultáneamente en todas las interfaces

tcpdump permite capturar tráfico simultáneamente en todas las interfaces de red.

Los escenarios posibles donde resulta  útil esta funcionalidad son aquellos en los que el tráfico de red es balanceado, asimétrico… Esto es, balanceadores de carga, firewalls, routers con múltiples wan’s, agregación de puertos como portchannels o LACP’s y un largo etcétera.

read more »

Cisco Firewall seguridad

Solución al alto consumo de CPU en Cisco Asa y Cisco PIX

 

A veces es difícil identificar por qué un firewall Cisco Pix o Cisco ASA está a niveles altos de CPU.

cisco-asdm-cpu-grafica

 

read more »

Cisco Firewall linux port-channel switches

configurar bonding con trunk y lacp – II – ( switch )

Continuamos el post anterior de configuración de bonding con trunk y lacp pero esta vez, configurando el lado del switch ( un stack de dos switches en este ejemplo ).

El modo 4 del bonding ( 802.3ad ) requiere configuración sobre el switch, en el caso de los Cisco Catalyst, configurando un Portchannel en LACP.

La configuración del portchannel se basa en agregar diferentes puertos físicos, sobre uno lógico dotando de alta disponibilidad de red e incremento del ancho de banda disponible. Añadiremos el tipo de balanceo que más nos interese según el tráfico que esperemos.

Es decir, si esperamos tráfico simultáneo de muchas ip’s diferentes hacia múltiples destinos, el algoritmo que mejor nos conviene es el balanceo “ip origen XOR ip destino”. Los modelos de switch superiores a la gama Catalyst 3750 admiten un par más de algoritmos basados en puerto origen y puerto destino.

read more »