El el post anterior ya adelantamos la ventaja de usar ssh con PKI en dispostivos Cisco con IOS versión 15:
Buscar
El el post anterior ya adelantamos la ventaja de usar ssh con PKI en dispostivos Cisco con IOS versión 15:
Una de las funcionalidades de Cisco IOS versión 15 es el acceso SSH con certificados. Esto es, el acceso ssh usando la infraestructura de clave pública o PKI.
En este post vamos a ver cómo se configura, pero antes hablaré brevemente de la gestión automatizada de la red. read more
En este post vamos a configurar SSH en un switch Cisco. El método también sirve para cualquier dispositivo basado en IOS, esto es routers etc.
Aunque en los switches Cisco, si tenemos activo el acceso https, algo que no recomiendo y que viene por defecto activado en las IOS gestionables por web, ya dispondremos de los certificados y requisitos para directamente habilitar ssh versión 2, prefiero definir paso por paso el procedimiento que considero más recomendable y seguro.
Además aplicaremos configuraciones que permitiran asegurar la configuración y el acceso al dispositivo.
El error “%% Low on memory; try again later” se muestra en consola cuando un dispositivo Cisco con IOS se queda sin memoria RAM.
Cuando se ha agotado la memoria, ni siquiera es posible acceder remotamente mediante ssh o telnet y para recuperar el control del dispositivo es necesario reiniciarlo.
Yo he podido comprobarlo, o mejor dicho, sufrirlo con unos switches Cisco Catalyst 2960 y la versión de IOS 15.0(2)SE2. El problema es debido a un memory leak o fuga de memoria que todavía no está solucionado.
Para reiniciar completamente un stack de switches Cisco Catalyst 3750 o 3750-X ejecutaremos el comando reload.
Si deseamos reiniciar únicamente un miembro del stack, verificaremos el nº de miembro y reiniciaremos el slot.
Veamos un ejemplo con un stack de 3750’s. Reiniciaremos sólo el miembro 2: read more
Iperf es una herramienta que nos permite realizar un test de velocidad de red.
Para ser mas exactos, iperf permite medir el ancho de banda entre dos hosts usándolo en modo cliente-servidor y con tcp o udp como protocolos de conexión.
Muchas veces a los administradores e ingenieros de red nos llegan tests de velocidad de clientes “expertos” que pretenden medir el ancho de banda entre dos hosts usando una c0pia de ficheros por scp…
Continuamos el post anterior de configuración de bonding con trunk y lacp pero esta vez, configurando el lado del switch ( un stack de dos switches en este ejemplo ).
El modo 4 del bonding ( 802.3ad ) requiere configuración sobre el switch, en el caso de los Cisco Catalyst, configurando un Portchannel en LACP.
La configuración del portchannel se basa en agregar diferentes puertos físicos, sobre uno lógico dotando de alta disponibilidad de red e incremento del ancho de banda disponible. Añadiremos el tipo de balanceo que más nos interese según el tráfico que esperemos.
Es decir, si esperamos tráfico simultáneo de muchas ip’s diferentes hacia múltiples destinos, el algoritmo que mejor nos conviene es el balanceo “ip origen XOR ip destino”. Los modelos de switch superiores a la gama Catalyst 3750 admiten un par más de algoritmos basados en puerto origen y puerto destino.
Dynamic ARP Inspection es una funcionalidad de seguridad en la red y como su nombre indica, se basa en la inspección dinámica de las resoluciones de direcciones de capa de enlace que se reciben en un puerto de un switch o router.
Su funcionamiento consiste en verificar que las peticiones y respuestas ARP son válidas.
Por tanto, el binding entre direcciones IP y MAC en un determinado puerto es verificado, evitando así un envenenamiento de ARP o ARP Poisoning y en consecuéncia, un MiTM ( Man in the middle ).
Existen diferentes técnicas para obtener éxito en un ataque MiTM. Hasta ahora hemos visto DHCP Snooping o cómo evitar que en un puerto no autorizado se erija un servidor DHCP o se envíen paquetes DHCP de servidor. En este post vamos a analizar la contramedida a un ataque MiTM basado en envenenamiento ARP.
DHCP snooping es una funcionalidad de seguridad disponible en los switches.
Su principal cometido es prevenir que un servidor dhcp no autorizado entre en nuestra red.
¿ Que sucedería si alguien introduce un servidor dhcp no autorizado en nuestra vlan ?
Podría realizar un ataque Man in The Middle ( MiTM ) y por tanto, interceptar el tráfico, capturar credenciales, escuchar conversaciones no cifradas, intentar suplantar la identidad de terceros …
DCHP snooping permite además, en combinación con otras funcionalidades de seguridad que ya veremos más adelante 🙂 , evitar ARP spoofing, Envenenamiento ARP e IP spoofing en nuestra red.
¿ Cómo funciona ?
read more
En este post analizaremos bpduguard como contramedida a un loop o bucle en un switch.
Esta contramedida nos permite también evitar que alguien conecte un switch que hable Spanning Tree Protocol a nuestra red.
Un loop en un switch puede provocar una tormenta de broadcast en la red.
Spanning-Tree Protocol, STP, permite tener una topología redundada en una red de capa2 libre de bucles lógicos.
Vamos a provocar un loop entre dos puertos para verificar que el switch está protegiendo a la red de loops.
Vamos a analizar diferentes configuraciones para comparar el efecto del loop sobre nuestra red.