Category Archives: switches

Cisco linux PKI seguridad switches

Cisco IOS – Gestión Automatizada con ssh y PKI

El el post anterior ya adelantamos la ventaja de usar ssh con PKI en dispostivos Cisco con IOS versión 15:

La gestión automatizada.

Veremos un ejemplo de acceso ssh sin contraseña a dispostivos Cisco para lanzarles comandos y configuraciones. Usando este método, configuraremos de golpe una community snmp, una access-list y obtendremos el Serial Number dos switches.

read more »

Cisco PKI seguridad switches

Cisco IOS – Configuración de acceso SSH con PKI

Una de las funcionalidades de Cisco IOS versión 15 es el acceso SSH con certificados. Esto es, el acceso ssh usando la infraestructura de clave pública o PKI.

En este post vamos a ver cómo se configura, pero antes hablaré brevemente de la gestión automatizada de la red. read more »

Cisco seguridad switches

Configurar ssh en dispositivos Cisco

En este post vamos a configurar SSH en un switch Cisco. El método también sirve para cualquier dispositivo basado en IOS, esto es routers etc.

Aunque en los switches Cisco, si tenemos activo el acceso https, algo que no recomiendo y que viene por defecto activado en las IOS gestionables por web, ya dispondremos de los certificados y requisitos para directamente habilitar ssh versión 2, prefiero definir paso por paso el procedimiento que considero más recomendable y seguro.

Además aplicaremos configuraciones que permitiran asegurar la configuración y el acceso al dispositivo.

read more »

Cisco switches

Solución a error Low on memory en Cisco IOS

El error “%% Low on memory; try again later” se muestra en consola cuando un dispositivo Cisco con IOS se queda sin memoria RAM.
Cuando se ha agotado la memoria, ni siquiera es posible acceder remotamente mediante ssh o telnet y para recuperar el control del dispositivo es necesario reiniciarlo.

Yo he podido comprobarlo, o mejor dicho, sufrirlo con unos switches Cisco Catalyst 2960 y la versión de IOS 15.0(2)SE2. El problema es debido a un memory leak o fuga de memoria que todavía no está solucionado.

read more »

Cisco switches

reiniciar sólo un nodo de un stack Cisco Catalyst

Para reiniciar completamente un stack de switches Cisco Catalyst 3750 o 3750-X ejecutaremos el comando reload.

Si deseamos reiniciar únicamente un miembro del stack, verificaremos el nº de miembro y reiniciaremos el slot.
Veamos un ejemplo con un stack de 3750’s. Reiniciaremos sólo el miembro 2: read more »

ancho de banda linux switches windows

Medir el ancho de banda de la red con iperf o jperf

Iperf es una herramienta que nos permite realizar un test de velocidad de red.

Para ser mas exactos, iperf permite medir el ancho de banda entre dos hosts usándolo en modo cliente-servidor y con tcp o udp como protocolos de conexión.

Muchas veces a los administradores e ingenieros de red nos llegan tests de velocidad de clientes “expertos” que pretenden medir el ancho de banda entre dos hosts usando una c0pia de ficheros por scp…

read more »

Cisco Firewall linux port-channel switches

configurar bonding con trunk y lacp – II – ( switch )

Continuamos el post anterior de configuración de bonding con trunk y lacp pero esta vez, configurando el lado del switch ( un stack de dos switches en este ejemplo ).

El modo 4 del bonding ( 802.3ad ) requiere configuración sobre el switch, en el caso de los Cisco Catalyst, configurando un Portchannel en LACP.

La configuración del portchannel se basa en agregar diferentes puertos físicos, sobre uno lógico dotando de alta disponibilidad de red e incremento del ancho de banda disponible. Añadiremos el tipo de balanceo que más nos interese según el tráfico que esperemos.

Es decir, si esperamos tráfico simultáneo de muchas ip’s diferentes hacia múltiples destinos, el algoritmo que mejor nos conviene es el balanceo “ip origen XOR ip destino”. Los modelos de switch superiores a la gama Catalyst 3750 admiten un par más de algoritmos basados en puerto origen y puerto destino.

read more »

Cisco seguridad switches

Dynamic Arp Inspection – Prevención de ataques MiTM

Dynamic ARP Inspection es una funcionalidad de seguridad en la red y como su nombre indica, se basa en la inspección dinámica de las resoluciones de direcciones de capa de enlace que se reciben en un puerto de un switch o router.

Su funcionamiento consiste en verificar que las peticiones y respuestas ARP son válidas.

Por tanto, el binding entre direcciones IP y MAC en un determinado puerto es verificado, evitando así un envenenamiento de ARP o ARP Poisoning y en consecuéncia, un MiTM ( Man in the middle ).

Existen diferentes técnicas para obtener éxito en un ataque MiTM. Hasta ahora hemos visto DHCP Snooping o cómo evitar que en un puerto no autorizado se erija un servidor DHCP o se envíen paquetes DHCP de servidor. En este post vamos a analizar la contramedida a un ataque MiTM basado en envenenamiento ARP.

read more »

Cisco seguridad switches

dhcp snooping – prevención de ataques DHCP

DHCP snooping es una funcionalidad de seguridad disponible en los switches.

Su principal cometido es prevenir que un servidor dhcp no autorizado entre en nuestra red.

¿ Que sucedería si alguien introduce un servidor dhcp no autorizado en nuestra vlan ?
Podría realizar un ataque Man in The Middle ( MiTM ) y por tanto, interceptar el tráfico, capturar credenciales, escuchar conversaciones no cifradas, intentar suplantar la identidad de terceros

DCHP snooping permite además, en combinación con otras funcionalidades de seguridad que ya veremos más adelante 🙂 , evitar ARP spoofing, Envenenamiento ARP e IP spoofing en nuestra red.

¿ Cómo funciona ?
read more »

Cisco switches

Bpduguard y STP como contramedida a un loop en un switch

En este post analizaremos bpduguard como contramedida a un loop o bucle en un switch.

Esta contramedida nos permite también evitar que alguien conecte un switch que hable Spanning Tree Protocol a nuestra red.

Un loop en un switch puede provocar una tormenta de broadcast en la red.

Spanning-Tree Protocol, STP, permite tener una topología redundada en una red de capa2 libre de bucles lógicos.

Vamos a provocar un loop entre dos puertos para verificar que el switch está protegiendo a la red de loops.

Vamos a analizar diferentes configuraciones para comparar el efecto del loop sobre nuestra red.

read more »