Tag Archives: Cisco

Cisco PKI seguridad switches

Cisco IOS – Configuración de acceso SSH con PKI

Una de las funcionalidades de Cisco IOS versión 15 es el acceso SSH con certificados. Esto es, el acceso ssh usando la infraestructura de clave pública o PKI.

En este post vamos a ver cómo se configura, pero antes hablaré brevemente de la gestión automatizada de la red. read more »

Cisco seguridad switches

Configurar ssh en dispositivos Cisco

En este post vamos a configurar SSH en un switch Cisco. El método también sirve para cualquier dispositivo basado en IOS, esto es routers etc.

Aunque en los switches Cisco, si tenemos activo el acceso https, algo que no recomiendo y que viene por defecto activado en las IOS gestionables por web, ya dispondremos de los certificados y requisitos para directamente habilitar ssh versión 2, prefiero definir paso por paso el procedimiento que considero más recomendable y seguro.

Además aplicaremos configuraciones que permitiran asegurar la configuración y el acceso al dispositivo.

read more »

Cisco Firewall linux OTP radius seguridad windows

Doble Factor de Autenticación – Cisco VPN SSL con MultiOTP y Freeradius

En el post anterior vimos concepto de Doble Factor de Autenticación. En este post, vamos a realizar una prueba de concepto para usar doble factor de autenticación en un escenario de VPN.

  • 1 – Dispositivos hardware y software usados en este PoC:
Cliente Cisco VPN AnyConnect
Firewall Cisco ASA ( servidor VPN SSL )
Radius IAS o NPS integrado en Active Directory
Freeradius sobre Ubuntu Server + MultiOTP ( clase PHP )
Token compatible con OATH ( algoritmos TOTP - rfc6238 y HTOP - rfc4226 )
  • 2 – Topología:

2-factor-authentication-multiotp-freeradius-cisco-asa read more »

Cisco switches

Solución a error Low on memory en Cisco IOS

El error “%% Low on memory; try again later” se muestra en consola cuando un dispositivo Cisco con IOS se queda sin memoria RAM.
Cuando se ha agotado la memoria, ni siquiera es posible acceder remotamente mediante ssh o telnet y para recuperar el control del dispositivo es necesario reiniciarlo.

Yo he podido comprobarlo, o mejor dicho, sufrirlo con unos switches Cisco Catalyst 2960 y la versión de IOS 15.0(2)SE2. El problema es debido a un memory leak o fuga de memoria que todavía no está solucionado.

read more »

BGP

bgp – ruta a null

Una condición para anunciar nuestros prefijos hacia los routers BGP con los que se tiene peering es tener estos prefijos previamente en nuestra tabla de enrutamiento.

Podemos partir de una topología básica en la que estos prefijos están directamente conectados. Por ejemplo anunciamos 10.188.0.0/24 a un peer de un ISP y tenemos configurado en una interfaz este mismo rango, con esa máscara /24.

bgp-single-homed

Cisco seguridad

Proteger la configuración de un dispositivo Cisco ante un password recovery

El proceso de recuperación de contraseña de un dispositivo de red es útil pero puede suponer un problema de seguridad física.

¿ Cómo podemos proteger la configuración de un dispositivo Cisco ? read more »

802.1X Cisco radius raspberry seguridad

802.1X – Configuración de Access Point Cisco

Después de la introducción a 802.1X y la configuración del servidor radius con EAP-TLS, configuraremos un punto de acceso inalámbrico Cisco con WPA2 Enterprise. Esto es, WPA2 con 802.1x

8021x-freeradius-raspberry-Cisco

En esta topología de red estamos usando:

Access Point Cisco AIR-AP1121G-E-K9:
 IOS c1100-k9w7-mx.123-8.JEE
Raspberry Pi como servidor Freeradius
Switch Cisco 3750 PoE

read more »

Cisco Firewall seguridad

Solución al alto consumo de CPU en Cisco Asa y Cisco PIX

 

A veces es difícil identificar por qué un firewall Cisco Pix o Cisco ASA está a niveles altos de CPU.

cisco-asdm-cpu-grafica

 

read more »

Cisco Firewall linux port-channel switches

configurar bonding con trunk y lacp – II – ( switch )

Continuamos el post anterior de configuración de bonding con trunk y lacp pero esta vez, configurando el lado del switch ( un stack de dos switches en este ejemplo ).

El modo 4 del bonding ( 802.3ad ) requiere configuración sobre el switch, en el caso de los Cisco Catalyst, configurando un Portchannel en LACP.

La configuración del portchannel se basa en agregar diferentes puertos físicos, sobre uno lógico dotando de alta disponibilidad de red e incremento del ancho de banda disponible. Añadiremos el tipo de balanceo que más nos interese según el tráfico que esperemos.

Es decir, si esperamos tráfico simultáneo de muchas ip’s diferentes hacia múltiples destinos, el algoritmo que mejor nos conviene es el balanceo “ip origen XOR ip destino”. Los modelos de switch superiores a la gama Catalyst 3750 admiten un par más de algoritmos basados en puerto origen y puerto destino.

read more »

Cisco

Actualizar Cisco IOS de forma segura

En este post veremos como actualizar el sistema operativo de un switch Cisco.

Podemos pensar que ya existe información en el site de Cisco para realizar este proceso, pero considero que no es completa.

Es muy importante verificar varias cosas que pueden pasarse por alto y considero que hay que tenerlas muy en cuenta: read more »