tag:blogger.com,1999:blog-74908175706521803122024-03-06T03:00:22.062-03:00Security HackSitio personal de Ariel M. Liguori De GottigAriel M. Liguori de Gottighttp://www.blogger.com/profile/02714929794781699420noreply@blogger.comBlogger19125tag:blogger.com,1999:blog-7490817570652180312.post-5442564249857180712009-06-25T14:41:00.000-03:002009-06-25T14:41:15.195-03:00CFN: Cisco Feature NavigatorPues que buena idea que ha tenido Cisco, si bien no se desde hace cuanto tiempo que me vengo perdiendo esta maravilla, hoy he encontrado el link a <a href="http://tools.cisco.com/ITDIT/CFN/">CFN</a>, una página de mucha utilidad que nos permite buscar als características de diversos IOS, memoria requerida, y features disponibles. Al margen de esto también nos da la posibilidad de hacer una comparación entre IOS distintas detallando las características que posee una respecto de otra y las comunes. Muy recomendable, y sobre todo, muy útil en algunos casos.<br />
<br />
Link a CFN: <a href="http://tools.cisco.com/ITDIT/CFN/">http://tools.cisco.com/ITDIT/CFN/</a><br />
<br />
SaludosAriel M. Liguori de Gottighttp://www.blogger.com/profile/02714929794781699420noreply@blogger.com1tag:blogger.com,1999:blog-7490817570652180312.post-85957028521098226552009-06-11T18:34:00.001-03:002009-06-11T18:34:25.928-03:00Regular Expressions on Cisco IOS.-Cuantas veces hemos querido buscar "algo" en la config de un router o switch cisco... miles. Cuantas de ellas hemos querido hacer una busqueda en base a más de un patrón, siendo N búsquedas seguramente habremos deseado hacer esto unas N-1 veces , jejeje. Bueno, realmente es sencillo si nos percatamos de que SE PUEDEN USAR REGULAR EXPRESSIONS en las búsquedas :)<br />
<br />
Supongamos que queremos buscar una mac address... termina en acb8 y empieza con 000F .... bueno podemos hacer:<br />
<br />
<i>sh mac add dyn | i acb8</i><br />
<br />
Sin embargo es más confiable: <b><i>sh mac add dyn | i 000f.*acb8</i></b><br />
<br />
Ok, hasta ahora no es grande el cambio. Supongamos que queremos ver todas las MAC de un equipo, pero no la de los troncales.. la solución sería:<br />
<br />
<i>sh mac add dyn | ex (Gi|Po|Fa0/23|Fa0/24|Fa0/17)</i><br />
<br />
Ahí obtuvimos todas las mac menos las que estan en los troncales (Los port Giga, los port-channel y los Fa0/23-24 y 17)<br />
<br />
Más info en la web de cisco: <a href="http://www.cisco.com/en/US/docs/ios/12_2/termserv/configuration/guide/tcfaapre_ps1835_TSD_Products_Configuration_Guide_Chapter.html">Regular Expressions</a><br />
<br />
Saludos,Ariel M. Liguori de Gottighttp://www.blogger.com/profile/02714929794781699420noreply@blogger.com1tag:blogger.com,1999:blog-7490817570652180312.post-55403126489711981072009-05-19T10:57:00.000-03:002009-05-19T10:57:23.517-03:00$%&!!## ?? Understandig Trace & Ping OutputsNo, nuestro equipo no nos esta insultado al mostrarnos mensajes raros como !A ó !U al realizar un ping o un traceroute, todo lo contrario, nos esta dando información vital para comprender que es lo que esta sucediendo. Para los que estan acostumbrados sabrán que entre los ams comunes encontramos:<br />
<br />
<b>U -- Destination Host Unreachable</b> (<i>en ping solamente, con traceroute significa </i><span class="content"><b><i>Port unreachable</i></b>)</span><br />
<b>A -- </b><span class="content"><b>Administratively prohibited</b> (<i>Solo en traceroute</i>)<br />
</span><br />
<span class="content"><b>H -- Host Unreachable</b> (<i>Solo en traceroute</i>) <br />
</span><br />
<span class="content"><b>M -- Could Not Fragment</b> (<i>Solo en ping</i>)</span><br />
<span class="content"><br />
</span><br />
<span class="content">Bueno, hay muchos más, pero no es la intención de este post detallar cada uno, para ello tomamos <a href="http://www.cisco.com/en/US/products/sw/iosswrel/ps1831/products_tech_note09186a00800a6057.shtml">el papper de cisco que pueden ver aqui</a> y que posee los detalles completos.</span><br />
<span class="content"><br />
</span><br />
<span class="content">Saludos,<br />
</span>Ariel M. Liguori de Gottighttp://www.blogger.com/profile/02714929794781699420noreply@blogger.com0tag:blogger.com,1999:blog-7490817570652180312.post-54678304430856674422009-03-24T16:16:00.004-03:002009-03-24T16:27:38.253-03:00GNS3, lo que un CCNA, CCNP, CCIE siempre quizo.-Así es, charlas con amigos de la vida me han demostrado la facilidad que poseemos nosotros, "los jovenes", los mucachos que podemos disponer de maravillosas herramientas como <a href="http://7200emu.hacki.at/">Dynamips</a>, <a href="http://dynagen.org/">Dynagen</a>, <a href="http://7200emu.hacki.at/">Pemu</a> y el valiosisimo <a href="http://www.gns3.net">GNS3</a>.<br />¿Por que?<br />Bueno, es que ellos no tenian emuladores de Pix, ASA (ni siquiera existia!), routers de core, no podian hacer escenarios de prueba de BGP, MPLS y demás. Pero nosotros SI, y para eso hoy les presento una muy buena herramienta que ha surgido y que ha evolucionado (ahora hasta viene integrada con el PEMU, lo cual hace unos años cuando apenas este se habia desarrollado nos hubiese venido barbaro). Esa herramienta es el <a href="http://www.gns3.net">GNS3</a>,"a free powerful network simulator based on Cisco IOS", algo que vale la pena probar y que sin duda si nuestra meta es lograr la cerificacion CCN* o CCIE deberemos apreciarla!<br /><br /><a onblur="try {parent.deselectBloggerImageGracefully();} catch(e) {}" href="http://www.gns3.net/themes/drupify/logo.png"><img style="display:block; margin:0px auto 10px; text-align:center;cursor:pointer; cursor:hand;width: 469px; height: 138px;" src="http://www.gns3.net/themes/drupify/logo.png" border="0" alt="" /></a><br /><br />Saludos y a probarla!<br /><br />PD: No insistan, no les dare imagenes de Routers/Switchs/Firewalls ó IDS (<a href="http://sechack.blogspot.com/2009/03/jugando-con-un-ips-4215-cisco-en-casa.html">Para los colgados de otros posts</a>)Ariel M. Liguori de Gottighttp://www.blogger.com/profile/02714929794781699420noreply@blogger.com1tag:blogger.com,1999:blog-7490817570652180312.post-30494251165400137022009-03-13T15:31:00.003-02:002009-03-13T15:35:21.652-02:00Más Emulación - Links InteresantesPara que este fin de semana puedan practicar hasta el cansancio les dejo varios de los links que me asesoran a la hora de incursionar en esta área:<br /><br /><a href="http://www.andersonalves.net/">Anderson Alves WebPage</a><br /><a href="http://www.netemu.cn/">NetEMU</a><br /><a href="http://7200emu.hacki.at/">Hacki's</a><br /><br />Infaltables a la hora de querer emular algo ;-)Ariel M. Liguori de Gottighttp://www.blogger.com/profile/02714929794781699420noreply@blogger.com0tag:blogger.com,1999:blog-7490817570652180312.post-26843093297979532222009-03-13T13:29:00.002-02:002009-03-13T14:51:07.484-02:00Jugando con un IPS-4215 Cisco [En Casa]Como ya les había adelantado <a href="http://sechack.blogspot.com/2009/03/emula-emulador.html">en un post pasado</a> hoy en día la "emulación" como fuente de potencial conocimiento y expertise esta siendo aprovechada. Un claro ejemplo es la posibilidad de emular(en este caso) un IPS de Cisco, en particular un IPS-4215 v5 (Luego haremos el upgrade correspondiente).<br /><br />Les dejo a continuación una breve explicación dada por einval de como funciona ésto y también como ponerlo en práctica, yo ya lo he probado y exitosamente he incorporado este dispositivo a mi laboratorio de pruebas (del cual hablaremos más adelante).<br /><br /><a href="http://www.zengl.net/Cisco_IPS/">Running IPSv5 on VMware by Einval</a><br /><br />Si no lo pueden hacer funcionar avísenme porque tengo la imagen de la vm lista para subir a la red.<br /><br />Saludos,<br />ALAriel M. Liguori de Gottighttp://www.blogger.com/profile/02714929794781699420noreply@blogger.com0tag:blogger.com,1999:blog-7490817570652180312.post-13564159660442182252009-03-11T08:56:00.002-02:002009-03-11T09:11:14.111-02:00Emula, Emulador.Hoy en día es factible emular infinidad de aplicaciones/dispositivos sin la necesidad de poseerlos realmente, un claro ejemplo de ésto es el despliegue de las VM o Virtual Machines que están copando el mercado y prometen soluciones eficaces y económicas.<br />Al margen de los beneficios que podamos obtener a nivel corporativo un enfoque práctico que se puede depositar sobre este tipo de tecnología (llamémoslo de éste modo por ahora) es aquel que pone frente a nuestras manos dispositivos que solo en sueños podríamos conocer.<br /><br />¿A que me refiero?<br />Para los que no están avispados o para aquellos que simplemente desconocen hago referencia a la emulación de dispositivos tales como IDS/IPS, Firewalls, Routers de Core, DSLAM's/MGW, etc.<br /><br />¿Es posible esto?<br />Sí, no estoy loco y un simple vistazo a google puede comprobarlo. De ahora en adelante podremos empezar a preocuparnos en "¿Que queremos emular?" y ver si hay una respuesta viable a todo esto.<br /><br />En breve vendrá una serie de posts introductorios a la emulación de equipos Cisco (IDS/IPS, Firewalls (PIX & ASA), Routers/Switches) , Equipos Juniper y si todo marcha bien y los resultados en mi laboratorio salen como lo creo la emulacion de equipos Huawei (en particular estoy tratando de emular en una VM un SoftSwich SX3000).<br /><br />Saludos y considerense alertados.Ariel M. Liguori de Gottighttp://www.blogger.com/profile/02714929794781699420noreply@blogger.com0tag:blogger.com,1999:blog-7490817570652180312.post-73757683366938811642009-02-26T08:34:00.002-02:002009-02-26T09:01:18.466-02:00Construction and Use of a Passive Ethernet TapNo me digan que no habían buscado esto antes y mucho menos que no lo habían pensado hacer:<br /><br /><span style="font-style:italic;">Construction and Use of a Passive Ethernet Tap<br />by Michael Peters</span><br /><br />This Tech Tip provides straightforward instructions on how to construct and use a passive Ethernet tap. The end product may be used with any hub or switch and any operating system. A passive Ethernet tap is useful when installing an intrusion detection system (IDS) sensor or when snooping Ethernet traffic.<br /><br /><span style="font-weight:bold;">Hardware Requirements</span><br /><br /> * A single 4-port Ethernet housing such as the Versatap AT44 Surface Jack Housing from Allen Tel Products<br /> * 4 Category 5e modular snap-in jacks such as the AT55 Category 5e Modular Snap-In Jacks from Allen Tel Products<br /> * A small section, about 6 inches, of Category 5e cable<br /><br /><span style="font-weight:bold;">Construction</span><br />Figure 1 represents the AT55 Category 5e jack. The wire termination pin positions and associated wire color codes are also shown.<br /><br /><span style="font-style:italic;">Figure 1: AT55 Category 5e Jack</span><br /><a onblur="try {parent.deselectBloggerImageGracefully();} catch(e) {}" href="http://www.snort.org/docs/tap/passive_fig_1.gif"><img style="display:block; margin:0px auto 10px; text-align:center;cursor:pointer; cursor:hand;width: 94px; height: 162px;" src="http://www.snort.org/docs/tap/passive_fig_1.gif" border="0" alt="" /></a><br /><br />This diagram is usually included with new Category 5e jacks from any other vendor.<br /><br />Disassemble the section of Category 5e wire that you have into eight separate wires. These wires should have the same color codes as in Figure 1.<br /><br />The next step should be to partially assemble the Ethernet housing with the four jacks. These should snap into position easily. Once mounted, begin wiring the first jack position using the solid orange wire. Use the next diagram as a guide. The wires can be inserted with a small screwdriver or some other small flat tool.<br /><br />Once you have terminated all eight wires, trim off any excess wire that remains. Snap the housing closed, and you should now have a completed passive Ethernet tap (see Figure 2).<br /><span style="font-style:italic;"><br />Figure 2: Passive Ethernet Tap</span><br /><a onblur="try {parent.deselectBloggerImageGracefully();} catch(e) {}" href="http://www.snort.org/docs/tap/passive_fig_2.gif"><img style="display:block; margin:0px auto 10px; text-align:center;cursor:pointer; cursor:hand;width: 363px; height: 327px;" src="http://www.snort.org/docs/tap/passive_fig_2.gif" border="0" alt="" /></a><br /><br /><span style="font-weight:bold;">Instructions for Use</span><br />Place the passive Ethernet tap inline between a host machine and the Ethernet switch using the two outside positions labeled "HOST". Verify that the link status indicators on your host Ethernet interface and the Ethernet switch are connected again. You may now connect the Ethernet port of your sniffer or IDS sensor into the Tap A and/or Tap B connectors of the passive Ethernet tap.<br /><br /><span style="font-weight:bold;">Note: Keep in mind that when you have a full-duplex Ethernet connection, Tap A will show half-duplex traffic and Tap B will show the remaining traffic. You will need to use two Ethernet interfaces to examine both halves of the full-duplex signal. If you use Sun Trunking software, the traffic can be reassembled.</span><br /><br />Fuente: <a href="http://www.snort.org/docs/tap/">http://www.snort.org/docs/tap/</a>Ariel M. Liguori de Gottighttp://www.blogger.com/profile/02714929794781699420noreply@blogger.com0tag:blogger.com,1999:blog-7490817570652180312.post-19203940839320657542009-02-25T14:46:00.003-02:002009-02-25T14:56:02.861-02:00Una mirada por Hyperic<a onblur="try {parent.deselectBloggerImageGracefully();} catch(e) {}" href="http://blogs.sun.com/theaquarium/resource/HypericLogo-230_48px.gif"><img style="display:block; margin:0px auto 10px; text-align:center;cursor:pointer; cursor:hand;width: 230px; height: 48px;" src="http://blogs.sun.com/theaquarium/resource/HypericLogo-230_48px.gif" border="0" alt="" /></a><br />Hyperic HQ es una herramienta uqe nos permite realizar el seguimiento, análisis y monitoreo de gran cantidad de componentes de nuestra red. Posee un amplio campo de trabajo soportando diversas bases de datos (tomcat, MySQL, PostgreSQL, etc), infinitésimos SO y otras aplicaciones generales no menos importantes (Apache, JBoss y demás).<br /><br />¿Cómo opera?<br />Simplemente podemos conseguir que nuestro Hyperic HQ Server recolecte la información de distintos dispositivos que contengan instalado el software Hyperic HQ Agent el cual es fácilmente configurable y se encarga de "conversar" con el server y brindarle toda la información que nosotros deseamos poseer.<br /><br />No hay que ver esto como lago muy lejano, Hyperic nos ofrece un servicio OpenSource y también una edición Enterprise; está disponible en varios sistemas operativos y realmente es una herramienta muy completa que nos permite sacar estadísticas, detectar fallas, y demás:<br /><br /><a onblur="try {parent.deselectBloggerImageGracefully();} catch(e) {}" href="http://confluence.atlassian.com/download/attachments/152044456/hyperic.jpg"><img style="display:block; margin:0px auto 10px; text-align:center;cursor:pointer; cursor:hand;width: 400px; height: 750px;" src="http://confluence.atlassian.com/download/attachments/152044456/hyperic.jpg" border="0" alt="" /></a><br /><br />Más información e inclusive la posibilidad de bajar el Hyperic HQ OpenSource en: <a href="http://www.hyperic.com">Sitio Oficial de Hyperic HQ</a>.<br /><br />Saludos,Ariel M. Liguori de Gottighttp://www.blogger.com/profile/02714929794781699420noreply@blogger.com0tag:blogger.com,1999:blog-7490817570652180312.post-58897699713920351992009-02-01T01:21:00.000-02:002009-02-01T01:21:00.988-02:00IPv4 packet, una mirada en su interior.Buenas, les dejo <a href="http://www.ntut.edu.tw/~kwke/DC2006/ipo.pdf">un pdf</a> con una serie de diapositivas que contienen un detallado gráfico de un paquete IPv4 por dentro, con todas sus opciones y características. Es de gran utilidad y ayuda, espero les sirva.<br /><a href="http://www.ntut.edu.tw/~kwke/DC2006/ipo.pdf"><span style="font-weight:bold;"><br />http://www.ntut.edu.tw/~kwke/DC2006/ipo.pdf</span></a><br /><br />Saludos,Ariel M. Liguori de Gottighttp://www.blogger.com/profile/02714929794781699420noreply@blogger.com0tag:blogger.com,1999:blog-7490817570652180312.post-76747617681029374412009-01-26T14:35:00.000-02:002009-01-26T14:37:03.024-02:00Cisco incursiona en el mercadoSegún publicó recientemente el New York Times, Cisco presentará en marzo un servidor con software de virtualización para ayudar a sus clientes a administrar sus centros de datos. Esto puede resultar chocante, teniendo en cuenta las buenas relaciones que el vendor mantiene tradicionalmente con los fabricantes de servidores más conocidos pero, en realidad, no es demasiado sorprendente.<br /><br />En efecto, Cisco ha estado en los últimos años desarrollando tecnologías que complementan su negocio principal de routers y switches, incluyendo videoconferencia y un vasto abanico de ofertas relacionadas con la seguridad informática. La creación en Cisco del Grupo de Tecnologías Emergentes generó una incubadora de nuevas iniciativas con sólo dos prerrequisitos: que cada tecnología pudiera convertirse en un negocio de al menos mil millones de dólares, y que complementara el negocio de networking de la firma. Por lo tanto, si Cisco ya era dueña de los “caños” que redirigen los datos en las redes y estaba armando nuevas ofertas complementarias, los servidores que administrasen esos datos eran el componente faltante.<br /><br />Por otra parte, es un modo de devolver con la misma moneda ciertas estrategias de otros fabricantes de servidores que también quieren hacerse fuertes en el mercado de networking. Por ejemplo, aunque en la época de Carly Fiorina al frente de HP la decisión de dicho vendor fue hacer que su fuerza de ventas promoviese los productos Cisco por encima de su propia línea ProCurve, con Mark Hurd las cosas son diferentes y hoy ProCurve es una pieza crucial de la estrategia de HP.<br /><br />IBM, por su parte, tiene una relación de larga data con Brocade en relación con productos de almacenamiento en red, y sus laboratorios están trabajando en sus propios proyectos de este tipo de hardware. Pero IBM también ha sido uno de los principales resellers de equipos Cisco. Lo cual podría cambiar si Cisco incursiona en servidores.<br /><br />Por el momento, Cisco no se expresó oficialmente acerca de esta novedad pero, en su blog, la Chief Technology Officer de la compañía, Padmasree Warrior, dio algunos indicios: “Cisco está ingresando en nuevos mercados. Nosotros vemos los períodos de incertidumbre económica como el momento perfecto para desafiar al statu quo y hacer evolucionar nuestro negocio para brindar más valor a nuestros clientes y accionistas. El éxito de Cisco siempre fue impulsado por inversiones en adyacencias del mercado durante épocas que podrían hacer parpadear a otras compañías”.<br /><br />Sugestivamente, la ejecutiva señaló que dicha decisión puede llevar al vendor a competir con empresas con las que habitualmente estuvo aliada, pero enfatizó la necesidad de que los principales fabricantes trabajen cooperativamente.<br /><br />Warrior también detalló el foco de Cisco en lo que se ha dado en llamar “computación unificada”. Según la CTO, esto representa un enfoque arquitectónico que incluye plataformas de cómputo y almacenamiento en unidad con la red y la plataforma de virtualización.<br /><br />Con lo cual, se puede deducir que, si Cisco entra en el mercado de servidores, no será más que la continuación de la misma estrategia que vino llevando a cabo durante muchos años. Aunque sea una decisión que venga a quebrar la cómoda simbiosis que hay hasta el momento entre el vendor y los grandes fabricantes de PCs, servidores, sistemas de almacenamiento y software. Así que varios expertos han expresado que el ingreso de Cisco en el terreno de sus colegas puede una guerra entre los titanes tecnológicos para robarse mutuamente los clientes.<br /><br />Enigmas<br /><br />El anuncio es una decisión riesgosa. Porque el mercado de servidores lleva mucho tiempo comoditizado y bajo presión. Mientras los márgenes que gana Cisco vendiendo networking llegan al 65 por ciento, las compañías que venden servidores básicos apenas arañan un 25 por ciento. En su blog, Padmasree Warrior afirmó que, al integrar diversos componentes de hardware con software, Cisco podría ganar márgenes más altos que los típicos para servidores. Porque su intención no es competir en el mercado más comoditizado de hardware, sino en el de servidores con software de virtualización integrado, en alianza con VMware. Es más, algunos analistas han especulado con la posibilidad de que Cisco adquiera esta empresa, de la cual ya posee un 2 por ciento o, incluso, todo EMC, quien actualmente posee la mayor parte de las acciones de VMware. Lo cual, por supuesto, también plantea un desafío para Microsoft, que quiere posicionarse en el mismo mercado.<br /><br />Asimismo, habría que seguir de cerca los movimientos futuros de Cisco con respecto al mercado de almacenamiento. Porque, aunque Cisco tiene switches Fibre Channel, software de administración de almacenamiento y productos de encriptación de datos para almacenamiento, le faltan los dispositivos mismos que almacenan los datos que atraviesan la red. Por eso, también ciertos analistas vaticinan que Cisco podría comprar un vendor de este rubro, como NetApp, o incluso la unidad de almacenamiento de Sun.<br /><br />Y no hay que pensar que el escritorio del usuario quedará fuera del alcance de la estrategia de Cisco. Porque su renovada relación con VMware podría llevarlo a interesarse por el mercado de clientes delgados o en la provisión de aplicaciones para dispositivos móviles. Esto abriría nuevos frentes contra HP, Dell o Wyse Technology.<br /><br />Tampoco hay que suponer que Cisco ya tiene todo lo necesario en cuanto a tecnologías de seguridad. Ha adquirido compañías, como IronPort, que complementan su oferta existente en este tema. Y su estrecha alianza con Trend Micro es un reconocimiento tácito de que aún le falta un antivirus crítico, más seguridad para Web y software de seguridad. Así que se pueden esperar más compras de empresas de seguridad informática en el futuro.<br /><br />Por supuesto, el arma nada secreta de Cisco es su canal. El vendor tiene una probada experiencia en construir y administrar canales y, ya sea que decida expandir su portafolio tecnológico mediante adquisiciones o por desarrollo propio, necesitará de sus canales para ampliar el alcance de su imperio.<br /><br />La opinión del mercado<br /><br />“Este será el producto más importante y comentado del año. Habrá reacciones competitivas masivas tanto de IBM como de HP, y esperamos que esto llevará hacia una nueva ola de consolidación de la industria”. Brent Bracelin, analista de hardware de Pacific Crest Securities.<br />“Creo que ésta es una de las amenazas competitivas más directas que haya visto hacer a Cisco sobre un socio principal en mucho tiempo. Ciertamente, será un desafío para Cisco tener en los nuevos productos los mismos márgenes que en los actuales. Y no creo que Cisco tenga el mismo nivel de experiencia en el desarrollo de aplicaciones que competidores como IBM tienen en dar soporte a la administración de aplicaciones. Necesitará desarrollar mayor experiencia en esto para ganar la confianza de los clientes”. Erik Suppiger, analista del Signal Hill Group.<br /><br />“Todo el mundo está intentando alcanzar el mismo punto en el futuro. Es inevitable que a medida que vayan más lejos, comiencen a cruzar hacia el territorio de los otros más y más”. James Staten, analista de Forrester Research.<br />“Esto es parte del hecho de que Cisco se da cuenta de que su negocio principal es relativamente maduro y trata de capurar algo más del presupuesto global de TI”. Mark McKechnie, analista de Broadpoint AmTech.<br /><br />“Cisco no es una compañía de networking y no se ha dedicado puramente al networking por bastante tiempo. Es una compañía que abarca múltiples áreas, incluyendo VoIP, software de colaboración, y otras, así que no veo que este anuncio sea sorprendente. Sí representa una ligera ampliación del significado del término “servidor” y es un resultado natural de la transformación real que hemos visto en el centro de datos en los últimos cinco años”. Andreas Antonopoulos, vicepresidente seniorAriel M. Liguori de Gottighttp://www.blogger.com/profile/02714929794781699420noreply@blogger.com0tag:blogger.com,1999:blog-7490817570652180312.post-56097756153224049522009-01-14T15:31:00.003-02:002009-01-14T15:38:02.822-02:00Header DrawingsHe encontrado una página en donde se disponen de los gráficos de las cabeceras de paquetes IPv4, IPv6, TCP, UDP e ICMP ! Algo más que útil para tener a mano en la web, gracias a Sor_Zitroën por haberlo publicado <a href="http://www.wadalbertia.org/phpBB2/viewtopic.php?p=53327#53327">aquí</a>.<br /><a href="http://freebie.fatpipe.org/~mjb/Drawings/"><br />Ver Headers Drawings</a><br /><br />Saludos,Ariel M. Liguori de Gottighttp://www.blogger.com/profile/02714929794781699420noreply@blogger.com0tag:blogger.com,1999:blog-7490817570652180312.post-39504884367932398542009-01-06T09:08:00.003-02:002009-01-06T09:29:53.089-02:00IPv6 on Windows.-Hoy estaba leyendo el blog de <a href="http://taosecurity.blogspot.com/">Richard Bejtlich</a> y me descubrí que ya estaba disponible la opción de realizar conexiones IPv6 mediante el uso de un programa (<span style="font-style:italic;">Gateway 6 6.0-BETA4 Client</span>) de <a href="http://go6.net">go6</a>. Este soft nos introduce la posibilidad de establecer una conexión que nos asignará una dirección ipv6, nada del otro mundo, pero podremos entrar a ipv6.google.com :).<br /><br />fuente original y más detalles: <a href="http://taosecurity.blogspot.com/2009/01/ipv6-tunnel-on-windows-xp-using.html">IPv6 Tunnel on Windows XP Using Freenet6 (TaoSecurity)</a><br />Soft disponible en <a href="http://go6.net/">Go6</a>.Ariel M. Liguori de Gottighttp://www.blogger.com/profile/02714929794781699420noreply@blogger.com0tag:blogger.com,1999:blog-7490817570652180312.post-80919974690875969552008-07-01T11:51:00.001-03:002008-07-01T11:55:13.549-03:00WiMax Movil by IRTI: Too Fast!Alvarion presentó su solución WiMAX Móvil en 2,5GHz a los principales operadores y representantes del gobierno de Taiwán durante la Cumbre de Operadores WiMAX Forum - WiMAX Expo Taipei.<br /> <br /> Diario Ti: Alvarion ha anunciado el éxito de las pruebas de su solución extremo a extremo denominada 4Motion y de su plataforma BreezeMAX RAN (red de acceso vía radio) 802.16e conducida por el “Industrial Technology Research Institute Campus" (IRTI) en Hsinchu, Taiwán.<br /><br /> Después de extensas pruebas de laboratorio, el ITRI y Alvarion demostraron la transmisión de datos entre sectores en condiciones de movilidad de hasta 80 kilómetros/hora con escenarios de pruebas VoIP, video streaming, IPTV así como el intercambio de documentos en aplicaciones con velocidad de transmisión de datos superiores a 12 Mbps.<br /> El gobierno de Taiwán seleccionó la tecnología WiMAX para la ejecución de su programa nacional M-Taiwán. ITRI y WiMAX Forum eligieron a M-Taiwan Application Lab (MTWAL) como los laboratorios para ejecutar las pruebas de concepto (POC) ubicado en el campus del ITRI en Hsinchu – con el objeto de verificar y desarrollar aplicaciones de WiMAX Móviles innovadoras.<br /><span id="fullpost"><br /> Las pruebas incluyeron también la ampliación de cobertura de la red en el Parque de Ciencia Hsinchu, Universidad Nacional Chiao Tung, y Universidad Nacional Tsing Hua. El rendimiento obtenido ha sido elevado en más de 18 sectores desplegados a lo largo de 6 kilómetros de trayecto demostrando transmisión y hand over a velocidades de hasta 80 kilómetro/hora con una experiencia de usuario mejorada.<br /> Uzi Brier, Presidente de Movilidad de Banda Ancha de Alvarion, dice, "valoramos nuestra sólida y permanente relación con el centro de tecnología líder de Taiwán. El establecimiento de nuevos niveles para toda la industria con estos resultados excelentes, permite a ITRI allanar el camino para desplegar movilidad en Taiwán y convertir en realidad la visión de un país hacia la banda ancha ubicua".<br /><br /><br />Fuente: <a href="http://www.diarioti.com/gate/n.php?id=18224">Diario TI</a><br />Enlaces de Interés: <a href="http://www.alvarion.com/">Alvarion</a><br /></span>Ariel M. Liguori de Gottighttp://www.blogger.com/profile/02714929794781699420noreply@blogger.com0tag:blogger.com,1999:blog-7490817570652180312.post-61713275271656528872008-06-24T11:12:00.005-03:002008-06-24T11:24:01.474-03:00DoS en IPS Cisco.-Según informa Cisco Systems, el problema esta fundado en el manejo de los conocidos "Jumbo Frames" los cuales son tramas de un elevado tamaño cuyo MTU puede llegar a los 10Kb. El problema residiría en aquellos dispositivos que posean puertos gigabit en modo "inline", y el efecto que puede llegar a causar es el de un Kernel Panic ante el recebimiento de tramas Jumbos especialmente manipuladas lo cual finalizaría en un DoS.<br /><span id="fullpost"><br />Los productos afectados serían:<br /><pre><code>Cisco Intrusion Prevention System version 5.x <br />prior to 5.1(8)E2<br /><br />Cisco Intrusion Prevention System version 6.x <br />prior to 6.0(5)E2<br /><br />Y los siguientes equipos si poseen puertos de red <br />gigabit en modo "inline":<br /><br />4235<br />4240<br />4250<br />4250SX *<br />4250TX<br />4250XL *<br />4255<br />4260<br />4270</code></pre><br />La vulnerabilidad se ha documentado bajo el Cisco Bug ID CSCso64762.<br /><br />Más información:<br /><a href="http://www.cisco.com/en/US/products/products_security_advisory09186a00809b3842.shtml">Cisco Fixes and Countermeasures</a><br /><a href="http://www.cisco.com/warp/public/707/cisco-sa-20080618-ips.shtml">Cisco Security Advisory</a> <br /></span>Ariel M. Liguori de Gottighttp://www.blogger.com/profile/02714929794781699420noreply@blogger.com0tag:blogger.com,1999:blog-7490817570652180312.post-38855578888548891562008-06-24T10:16:00.003-03:002008-06-24T10:45:31.265-03:00Vulnerabilidad en Cisco & SNMPv3.-Bueno, recientemente he leido de una vulnerabilidad que ha sido detectada en la mayoria de los equipos Cisco, la misma afecta a aquellos que poseen SNMPv3 configurado y en uso. Según se informa por los fabricantes el problema se encontraria en los metodos de autenticacion ejercidos por el dispositivo.<br /><span id="fullpost"><br />Si un atacante podria aprovechar esta falencia en los procesos de autenticación HMAC-MD5-96 y HMAC-SHA-96 para revelar informacion sensible de la red y vulnerar los dispositivos alterando su configuración.<br /><br />Los equipos afectados serían:<br /><br /><pre><code>Cisco IOS<br />Cisco IOS-XR<br />Cisco Catalyst Operating System (CatOS)<br />Cisco NX-OS<br />Cisco Application Control Engine (ACE) Module<br />Cisco ACE Appliance<br />Cisco ACE XML Gateway<br />Cisco MDS 9000 Series Multilayer Fabric Switches<br />Cisco Wireless LAN Controller (WLC)</code></pre><br /><br />Para más información acerca de contramedidas y fixes para esta vulnerabilidad pueden consultar: <a href="http://www.cisco.com/en/US/products/products_security_advisory09186a00809ac83b.shtml"> Cisco fixes and Countermeasures</a><br /> <br /></span>Ariel M. Liguori de Gottighttp://www.blogger.com/profile/02714929794781699420noreply@blogger.com0tag:blogger.com,1999:blog-7490817570652180312.post-28434367489236960102008-05-27T09:38:00.004-03:002008-06-10T11:19:42.055-03:00Script & Telnet con PerlA la hora de trabajar con redes muchas tareas se vuelven repetitivas dia a dia. Entra a un switch cambiar una vlan, bajar una configuracion, sacar info de un puerto, etc. Es mas muchas veces estas tareas no se aplican a un solo equipo sino a N.<br />Como siempre la automatizaciond e estas tareas, siempre y cuando las mismas esten dentro de patrones controlados y conocidos por nosotros, se puede lograr mediante un script.<br /><span id="fullpost"><br />En particular con perl facilmente podemos establecer conexiones contra nodos mediante el protocolo telnet, para esto utilizamos el modulo "Net:Telnet".<br />Este modulo nos abre un camino muy amplio, y nos da herramientas sencillas y concisas, simplemente es muy facil utilizarlo!<br /><br />Por ejemplo:<br /><br /><pre><code><br />use Net::Telnet();<br /><br />$username = "pepe"; # user del equipo.<br />$password = "pepito"; # passw. del equipo.<br />$ip = "10.1.1.2"; # ip del equipo.<br />$localdir = "c:/log_del_script\.txt"; # archivo de logs.<br /><br />$session = Net::Telnet->new(timeout => 20, Errmode => 'return');<br />$session->open($ip); #Abro una conexion Telnet contra el dispostivo de ip $ip<br />$session->login($username,$password); #envio la info de login ($username / $password)<br /><br /># Nota: Aqui ya deberia estar dentro del dispositivo.<br /><br />$session->input_log($localdir); # Defino donde se van a alojar<br />$session->output_log($localdir); # los logs del script.<br /><br />#Aclaracion: Supongamos un switch en el cual entramos directamente en modo enable.<br /><br />$session->cmd('terminal length 0');<br />$session->cmd('show running');<br />$session->cmd('exit');<br />$session->close;<br /></code></pre><br /><br />Con este sencillo codigo podemos entrar a un switch (cisco por ejemplo) y guardar su configuracion en el log definido por nosotros.<br />Este script es muy sencillo igualemnte se puede mejorar mucho, por ejemplo con la utilizacion de argumentos, asi se evita modificar el fuente.<br /><br />Pero.. esto solo sirve para un equipo. SI!<br />No obstante es muy facil modificarlo.<br /><br /><pre><code><br />#Podemos sacar los datos de un CSV en el cual se encuentre el nombre del equipo ","<br /># la ip del mismo.<br /><br />open(DATOS, "<", "C:/IP.csv"); #Abro el archivo foreach $lines ( <datos> ) { # Leo el archivo linea a linea<br /><br />($name, $ip) = split(/,/,$lines); # separo los datos delimitados por el separador ","<br /><br />$localdir = "C:/$name-$ip\.txt"; #Defino el nombre del log.<br /><br />#... Desde aqui en adelante se utilizaria el mismo codigo que antes, siempre dentro<br /># dentro del foreach para que lo realize con cada IP.<br /><br />}<br /></code></pre><br /><br />Bueno espero que les sirva, como ven es muy util y muy sencillo. En particular para conexiones contra switches cisco se puede optar por el modulo Net:Telnet::Cisco que tiene muchas mas opciones de configuracion especificas de switches.<br /><br />Mas info aqui: http://search.cpan.org/~jrogers/Net-Telnet-3.03/lib/Net/Telnet.pm#COPYRIGHT<br /><br />Saludos,<br /><br /></span>Ariel M. Liguori de Gottighttp://www.blogger.com/profile/02714929794781699420noreply@blogger.com0tag:blogger.com,1999:blog-7490817570652180312.post-62530245267820627422008-05-22T16:37:00.006-03:002008-05-22T17:02:16.258-03:00IBM's Blade.Finalmente regrese y como siempre intentare traer a flote un poco de informacion util.<br />Ultimamente he trabajado con servidores IBM BladeCenter. Son equipos muy benos y poderosos realmente.<br />El problema que me surgio fue que, al querer conectar mis equipos a una red de backup (sin acceso desde la corporativa), no sabia que puerto de cada modulo se correspondia con los switches del blade.<br /><span id="fullpost"><br />Claro, cada Modulo del Blade posee dos interfaces de red (como se instalaron SO's Linux la eth0 y eth1 respectivamente) Asi mismo, el servidor posee dentro dos switches de distintos proveedores (este caso en particular fueron switches Nortel).<br /><br />El problema es que en ningun lado aparecia la documentacion que indicara como estaban mapeados los ports de los witchs con los modulos, y a pesar de querer trasladar el problema a la intuicion no se pudo hacer ya que el servidor estaba productivo.<br /><br />Haciendo prebas en una maqueta encontre que el switch 1 maneja todas las eth0 y el switch 2 todas las eth1, sí tiene logica, pero uno no se puede arriesgar a dejar sin conexión un servicio.<br /><br />Finalmente realize una segmentacion en VLAN y logre la conexion con la añorada red de backup.<br />Les dejo un esquema de las conexiones finales:<br /><br /><a onblur="try {parent.deselectBloggerImageGracefully();} catch(e) {}" href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEg2EAY1hwoHXtL1kaj_148J__3SVT6XGFHCdVj9U8U4s5JiJbV7P4NwjyMU1pM_XCZPLaFQOQB4iVe6rvRJPVJhowHIvIRZyZ6mhjb0itLaSnRVx3ESvsqkhyphenhyphenRcWnj6tP0qM8O6xXmp42w/s1600-h/BladesIBM.jpg"><img style="display:block; margin:0px auto 10px; text-align:center;cursor:pointer; cursor:hand;" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEg2EAY1hwoHXtL1kaj_148J__3SVT6XGFHCdVj9U8U4s5JiJbV7P4NwjyMU1pM_XCZPLaFQOQB4iVe6rvRJPVJhowHIvIRZyZ6mhjb0itLaSnRVx3ESvsqkhyphenhyphenRcWnj6tP0qM8O6xXmp42w/s320/BladesIBM.jpg" border="0" alt=""id="BLOGGER_PHOTO_ID_5203291524470164706" /></a><br />Clickeá en la imagen para agrandarlo!<br /><br />Espero que les sea útil.<br />Saludos.<br /></span>Ariel M. Liguori de Gottighttp://www.blogger.com/profile/02714929794781699420noreply@blogger.com0tag:blogger.com,1999:blog-7490817570652180312.post-42126968290222017542008-04-15T16:45:00.006-03:002008-04-16T09:08:56.211-03:00CISCO: ACL vs ConduitsEs un gran problema pensar en la resolucion de la seguridad sin agregar a este pensamiento la utilidad y ventaja de poder limitar el acceso a ciertos recursos.<br />Un firewall por defecto solo permite el acceso desde la red interna haca internet y no al reves, esto se debe a que hay niveles de seguridad definidos a priori en todo sistema, cisco los ha denominado "security levels" y son estos los que permiten el acceso desde un sector de red a otro (El de mayor SecLev tendra acceso a los de menor y NO al reves).<br /><span id="fullpost"><br />Sin embargo este método de seguridad es muy limitado y no permite realizar controles especificos. Es para esto ultimo que han surgido las access-list y las conduits.<br />¿Cual es la diferencia entre ellas?<br />Bien, basicamente una acl es una lista de acceso y desarrolla su funcion como su nombre lo describe, si un host o un pool de addr se encuentra en una lista podra acceder a los recursos que esta lista tenga permitidos.<br />Las conduits son un poco distintas, tienen otra "mentalidad". Las conduits o "conductos" permiten que ciertos usuarios/pools tengan acceso a un recurso.<br />¿Que diferencia hay?<br />Basicamente las acl estan basadas en una lista del tipo (invitados)(permisos) y las conduits en una (recursos)(users habilitados)<br />La utilizacion de conduits genera una exepcion en el algoritmo de seguridad del PIX. Esta exepcion es global y aplica a todas las conexiones entrantes. La definicion de una "outbound" es identica a las de los conduits solo que en el camino reverso, es decir, con conexiones salientes.<br />La ventaja de las ACL es que pueden definirse grupos que contienen las distintas reglas, la utilizacion de las TACL (Turbo Access List). Con las ACL el manejo de las reglas se hace mucho mas sencillo y facil de analizar.<br /><br />Al configurar la diferencia se hace notar, sobre todo para aquellos que siguen con un solo tipo de vision de los hechos. Veamos como se hace, cortesia de Cisco<br /><br /><pre><code><br /><br />Use Conduits on PIX Versions 4.4.5 and Later<br /><br />Complete these steps for PIX software versions 4.4.5 and later using conduits.<br /><br /> 1.Define a static address translation for the inside web server to an outside/global address.<br /><br /> static (inside,outside) 175.1.1.254 10.200.1.254<br /><br /> 2.Define which hosts can connect on which ports to your web/FTP server.<br /><br /> conduit permit tcp host 175.1.1.254 eq www any<br /> conduit permit tcp host 175.1.1.254 eq ftp host 199.199.199.24<br /><br />In PIX software versions 5.0.1 and later, ACLs with access groups can be used instead<br />of conduits. Conduits are still available, but the decision should be made whether to<br />use conduits or ACLs. It is not advisable to combine ACLs and conduits on the same configuration. If both are configured, ACLs take preference over the conduits.<br /><br />Use ACLs on PIX Versions 5.0.1 and Later<br /><br />Complete these steps for PIX software versions 5.0.1 and later using ACLs.<br /><br /> 1.Define a static address translation for the inside web server to an outside/global address.<br /><br /> static (inside, outside) 175.1.1.254 10.200.1.254<br /><br /> 2.Define which hosts can connect on which ports to your web/FTP server.<br /><br /> access-list 101 permit tcp any host 175.1.1.254 eq www<br /> access-list 101 permit tcp host 199.199.199.24 host 175.1.1.254 eq ftp<br /><br /> 3.Apply the ACL to the outside interface.<br /><br /> access-group 101 in interface outside<br /><br />Note: Be careful when you implement these commands. If either the conduit permit ip<br /> any any or access-list 101 permit ip any any command is implemented, any host on the<br /> untrusted network can access any host on the trusted network using IP as long as <br />there is an active translation.<br /></code></pre><br /><br /><br /><br /></span>Ariel M. Liguori de Gottighttp://www.blogger.com/profile/02714929794781699420noreply@blogger.com2