sábado, 30 de abril de 2011

Una mirada al mundo WLAN

Por Oscar Gerometta

Durante el año pasado fui invitado a participar del CISAISI 2010 en la ciudad de Oruro, Bolivia, para dictar un tutorado sobre redes inalámbricas 802.11.
Pongo ahora a disposición las presentaciones utilizadas para el dictado de ese tutorado.

Para completar o profundizar el desarrollo de algunos de estos temas, sugiero consultar mi libro: Introducción a las redes WLAN, Edubooks, 2009.


.1. Introducción a las redes WLAN
Contenido:
  • El medio inalámbrico.
  • Frecuencias utilizadas.
  • Estándares IEEE 802.11
  • Principios de seguridad en redes inalámbricas.
  • Para ver la presentación, seleccione aquí.
.2. Presente de las redes WLAN
Contenido:
  • IEEE 802.11n.
  • Seguridad extendida: wIPS, IEEE 802.11w.
  • Arquitecturas centralizadas: CAPWAP.
  • Mallas inalámbricas IEEE 802.11s.
  • Para ver la presentación, seleccione aquí.
.3. WLAN, el futuro inmediato.
Contenido:
  • Wi-Fi Alliance: Secure Setup, Wi-Fi Direct.
  • Tracking.
  • Redes inalámbricas de Gigabit: IEEE 802.11ac, IEEE 802.11ad.
  • Para ver la presención, seleccione aquí.
Cualquier comentario o consulta que consideres importante respecto a este tema,
procuraré responderlo rápidamente.
Por favor, incorporalo a continuación en forma de comentario.
Muchas gracias.
Oscar Gerometta

Si el blog te ha resultado de utilidad y querés contribuir con su sostenimiento,
no hagas una donación, comprá un libro.

miércoles, 27 de abril de 2011

Cisco e Intel optimizan los centros de datos

  [ 25/04/2011 - 07:57 CET ]

La plataforma UCS combinada con los procesadores de la familia Intel Xeon E7 alcanzan nuevos récords para responder a las necesidades empresariales críticas.



 

Diario Ti: Cisco e Intel han reforzado su colaboración tecnológica para responder a las demandas de los modernos centros de datos: mayor rendimiento y escalabilidad, menor consumo energético y costes operativos y un rápido retorno de la inversión.


En este sentido, Cisco ha incorporado en su plataforma Unified Computing System (UCS) los nuevos procesadores multi-núcleo Intel Xeon E7, incrementando la capacidad de los departamentos de TI para procesar aplicaciones empresariales críticas a la par que optimizan la gestión y reducen el consumo energético.

Según indica Jorge Córdova, director de canal en Intel Iberia, “los nuevos procesadores de la familia Xeon E7 ofrecen un rendimiento récord, así como mejoras en seguridad, fiabilidad y eficiencia energética, ayudando a los responsables de TI a gestionar tareas intensivas en procesamiento de datos".

Basados en la tecnología de 32 nanómetros, los procesadores Intel Xeon E7-8800/4800/2800 incluyen hasta 10 núcleos de proceso y la tecnología Hyper-Threading, ofreciendo mejoras de rendimiento de hasta el 40 por ciento frente a los Intel Xeon 7500, además de optimizar la virtualización un 25 por ciento y reducir los costes operativos hasta en un 95 por ciento.

“Al aprovechar la potencia de los nuevos procesadores de Intel, los servidores UCS responden a las mayores demandas de proceso generadas por la virtualización y el cloud computing", destaca Alfonso de Andrés, director de Canal en Cisco España. “Pero además, los centros de datos deben reducir significativamente su consumo energético, eliminar duplicidades y simplificar su gestión".

La plataforma UCS incide en la reducción del consumo energético. Al tratarse de un sistema convergente que utiliza la mitad de componentes, reduce el cableado e integra el acceso a las redes y el almacenamiento mediante un fabric unificado, UCS mejora la eficiencia energética del data center hasta en un 30 por ciento.

Fuente: Cisco / Intel.

Tomado de: http://www.diarioti.com/gate/n.php?id=29661


 

miércoles, 20 de abril de 2011

Oferta durante Abril 2011

Prepárate para certificar con el mejor material desarrollado en español:

Guía de Preparación para el CCNA versión 4.1 --- NUEVA

Revisión 4.1 de la Guía de Preparación del CCNA

La nueva revisión agrega a las herramientas de estudio anteriores (mapas conceptuales, notas de trabajo, desarrollos temáticos, síntesis y cuestionarios de repaso) ejercicios de práctica que permiten ejercitar los comandos de configuración en los capítulos correspondientes.
  • Se incorporaron al desarrollo temático, en total, 12 ejercicios de práctica (configuración básica de router y switch, ruteo, VLANs, VTP, ACLs, NAT, PPP y Frame Relay).
  • Cada ejercicio de configuración tiene una topología propuesta, pautas de trabajo, y las correspondientes configuraciones resueltas.
  • Los ejercicios pueden ser desarrollados sobre dispositivos reales, GNS3, o simuladores.
También se revisó completo el capítulo 1, en el que se desarrolla todo el tema de certificación de Cisco y la metodología del examen de certificación, para incorporar las nuevas certificaciones y los cambios que tuvieron lugar en la interfaz del examen.
Por lo demás, la Guía permanece igual:
  • Tiene las mismas 3 secciones principales:
    Una dedicada a brindar información sobre el examen mismo y su metodología.
    Otra orientada a brindar sugerencias para abordar la preparación y el estudio personal.
    Una tercera sección para desarrollar específicamente el estudio de los temas técnicos considerados en el examen de certificación.
  • Corresponde al examen de certificación CCNA 640-802.
  • Mantiene la misma estructura de contenidos:
    1. Principios de networking.
    2. Redes Wireless LAN.
    3. Protocolo IP.
    4. Implementación de subredes.
    5. El sistema operativo Cisco IOS.
    6. Enrutamiento IP.
    7. Administración de redes Cisco IOS.
    8. Conmutación LAN, VLANs y trunking.
    9. Listas de control de acceso.
    10. Conectividad WAN.
    A. Guía de Comandos.
    B. Ejercicios de Simulación.
    C. Respuestas de los Cuestionarios.
  • Como su predecesora, está dividida en 2 tomos para facilitar el estudio.

******************************************************************************
Guías básicas disponibles:

Enrutamiento BGP Básico


¡¡Un nuevo título se suma a la colección!!

Cada día son más las empresas y organizaciones que optan por administrar sus propias políticas de enrutamiento hacia y desde Internet implementando BGP en el borde de su conexión con sus proveedores de servicio. También son cada vez más las redes corporativas que están implementando MPLS sobre BGP. Esto genera la necesidad de que los Administradores de estas redes estén adecuadamente capacitados en la administración de un protocolo de enrutamiento fascinante y complejo.
Este manual ha sido pensando específicamente para el entrenamiento del personal técnico de organizaciones o empresas que requieren implementar BGP versión 4 para su conexión a Internet a fin de administrar las políticas de enrutamiento con sus proveedores de servicios. Está desarrollado considerando específicamente las características y funcionalidades que ofrece CiscoIOS para la implementación de redes BGP4, dado que es la plataforma dominante en Internet en este momento.

Autor: Oscar A. Gerometta

Texto:

Se trata de un manual de estudio introductorio que permite una iniciación gradual en la complejidad y características del protocolo.

Supone conocimientos suficientes de los modelos teóricos de redes (modelos OSI y TCP/IP), de direccionamiento IP (subredes, VLSM, CIDR) del funcionamiento y características de Cisco IOS, y de la lógica y operatoria del enrutamiento IP. En términos generales es recomendable que quién desee abordar este tema antes haya cubierto los conocimientos comprendidos en el examen de certificación CCNA.
Contenidos:
  • Conceptos generales de enrutamiento IP
  • Implementación de Cisco IOS routing features
  • Introducción a BGP
  • EBGP e IBGP
  • Configuración de las operaciones básicas de BGP
  • Selección de una ruta BGP
  • Utilización de route-maps para manipular rutas BGP
  • Anexo: Comandos de configuración
  • Anexo: Ejemplos de configuración BGP
  • Anexo: Glosario de siglas y términos.
Cantidad de páginas: 186
Fe de Erratas

Baje los índice y la introducción del Manual.



Introducción a Quality of Services

Este manual es el inicio de una nueva colección denominada "Manuales CCNP".
Es un primer manual de calidad de servicio que está pensado para brindar el marco teórico necesario para comprender la complejidad de los modelos teóricos y los procesos de calidad de servicio, y deberá ser seguido luego por otro que aborde la temática de la implementación, monitoreo y administración de las herramientas que desarrollo en este manual. No pretendo en pocas páginas agotar la problemática de calidad de servicio, sino generar una herramienta que sirva como primera aproximación al tema para lo que en sus páginas reviso un conjunto de modelos y protocolos que están hoy vinculados a este tipo de implementaciones.

Autor: Oscar Antonio Gerometta
CCSI/CCAI/CCNA/CCNASec/CCDA.

Contenidos:


  • Qué es y por qué QoS
  • El desafío de las redes convergentes
  • La respuesta: QoS
  • Modelos de implementación de QoS
  • Modelo de Servicios Integrados
  • Modelo de servicios diferenciados
  • DSCP
  • Per-Hop Behaviors
  • Mecanismos de Calidad de Servicio
  • Clasificación de tráfico
  • Marcado del tráfico
  • Administración de la congestión
  • Prevención de la congestion
  • Condicionadores de tráfico: Policing y Shaping
  • Eficiencia de los enlaces
  • Anexo 1 Orden de operaciones de QoS en dispositivos de capa 3
  • Anexo 2 RFCs referenciadas en el texto
  • Anexo 3 Delay de serialización de diferentes tamaños de trama
  • Anexo 4 Diccionario de Siglas

Total: 88 páginas


Introducción a las Redes Wireless LAN

Este manual de Introducción a las Redes Wireless LAN es un nuevo miembro de la colección de Manuales Introductorios que iniciara el año pasado. Está orientado a quienes deben trabajar en pequeñas redes LAN con acceso WiFi y que necesitan un recurso sintético, con abundante información, que les permita tener una visión clara respecto de los principales estándares y features implementados en la actualidad.

Los Manuales Introductorios son
una colección de textos centrados en las tecnologías que se implementan en la actualidad en redes LAN y que procuran hacer accesibles las tareas de configuración básica y monitoreo de todo tipo de dispositivos. Por esto mismo, se centran en dispositivos diseñados para pequeñas redes, y la configuración y administración utilizando interfaces gráficas.

Autor: Oscar Antonio Gerometta
CCNA/CCAI/CCSI.


Texto:
Es un manual introductorio, consecuentemente, los temas se desarrollan como una primera aproximación y las configuraciones descriptas son las básicas.

En todos los casos he utilizado siempre que resulta posible configuración por interfaces gráficas, reservando el conocimiento de la línea de comando para los manuales más avanzados. Las secciones de configuración están desarrolladas sobre la base del AP de los routers Linksys WRTG54G y los access point Cisco Aironet 1130 y sus interfaces gráficas.
Este manual contempla una completa introducción a las tecnologías y estándares
actualmente en uso, incluyendo los estándares IEEE 802.11a/b/g/n y 802.11i.

Contenidos:


  • Fundamentos de redes wireless LAN.
  • Componentes de la red WLAN.
  • Power over Ethernet (PoE).
  • Seguridad en redes wireless LAN.
  • Principios de diseño de redes WLAN.
  • Configuración básica de access points.
  • Anexo1 - Asignación de canales.
  • Anexo 2 - Conversión de unidades de potencia.
  • Anexo 3 - Reglas de cálculo de potencia irradiada.
En el desarrollo se considera el access point incorporado en el router Linksys WRT54G y el access point Cisco Aironet 1130. La normativa considerada es la correspondiente a USA (FCC) y Argentina (Secretaría de Comunicaciones).
Total: 102 páginas
Baje los índices completos del manual aquí.


Consulta sobre descuentos por la compra de 2 o más libros - Aprovecha las ofertas !!!!!

libros.networking.bolivia@gmail.com

martes, 19 de abril de 2011

Tips para certificarse

 

 




Tips para certificarse

22-may-2009 23:38

Raul Angel Velazquez Rodriguez
69 artículos desde
28-may-2008
Tip numero uno.
Crean que si pueden. Sin esto es imposible pasar cualquier examen. Recuerdo cuando estaba estudiando para el CCNA mis compañeros de trabajo decian que no podria. Eso fue en el 2002. El dia de hoy cuento con 17 certificaciones de Cisco (incluyendo dos CCIEs).

Tip numero dos.
No es necesario un curso para aprobar el examen. Un curso te ayuda a que el proceso sea mas rápido, pero un buen libro (o varios buenos libros dependiendo de la certificación) son mas que suficientes.[*]

Tip numero tres.
Busquen alguna motivacion. Para muchos (me puedo incluir) la motivacion numero uno es el dinero, el saber cuanto te pagaran si logras el CCNA, el CCNP (o cualquier certificacion a nivel profesional) y el CCIE. Pero ademas de dinero hay otros tipos de motivaciones, como lo es el reconocimiento o la superacion personal.

Tip numero cuatro.
Practicar, practicar y practicar. No hay magia, no es solo leer, es tambien practicar!

Tip numero cinco.
Sean constantes. Hay quienes dicen que no se pueden certificar porque no tienen tiempo para estudiar. Si se proponen el tener el habito de estudiar al menos 1 hora diaria, y realmente todos los dias lo hacen, tarde que temprano estaran listos para el examen.

Si quieren leer mi historia detras de mis 17 certificaciones, aqui se las dejo:
https://learningnetwork.cisco.com/message/22848#22848

Tomado de: https://learningnetwork.cisco.com/community/connections/espanol?view=all

[*] Comentario del editor del BLOG. En el TIP 2 el autor del artículo recomienda un buen libro. En idioma español una excelente guía es la Guía de Preparación para el Examen de Certificación CCNA de Oscar Gerometta, publicado por EDUBOOKS (Argentina). Para mayor información sobre esta guía en Bolivia solo haz clic aquí.

viernes, 15 de abril de 2011

Disponible en Bolivia - Revisión 4.1 de la Guía de Preparación del CCNA


He terminado una nueva revisión de la Guía de Preparación para el Examen de Certificación CCNA, identificada ahora como versión 4.1.
Esta es (como el título lo indica) una revisión de la versión 4.0, que incorpora algunos cambios que se dieron en la metodología del examen de certificación a lo largo de estos 2 años, corrige errores que habían sido detectados en aquella versión e incorpora una nueva herramienta de trabajo: ejercicios de configuración.

La nueva revisión agrega a las herramientas de estudio anteriores (mapas conceptuales, notas de trabajo, desarrollos temáticos, síntesis y cuestionarios de repaso) ejercicios de práctica que permiten ejercitar los comandos de configuración en los capítulos correspondientes.
  • Se incorporaron al desarrollo temático, en total, 12 ejercicios de práctica (configuración básica de router y switch, ruteo, VLANs, VTP, ACLs, NAT, PPP y Frame Relay).
  • Cada ejercicio de configuración tiene una topología propuesta, pautas de trabajo, y las correspondientes configuraciones resueltas.
  • Los ejercicios pueden ser desarrollados sobre dispositivos reales, GNS3, o simuladores.
También se revisó completo el capítulo 1, en el que se desarrolla todo el tema de certificación de Cisco y la metodología del examen de certificación, para incorporar las nuevas certificaciones y los cambios que tuvieron lugar en la interfaz del examen.
Por lo demás, la Guía permanece igual:
  • Tiene las mismas 3 secciones principales:
    Una dedicada a brindar información sobre el examen mismo y su metodología.
    Otra orientada a brindar sugerencias para abordar la preparación y el estudio personal.
    Una tercera sección para desarrollar específicamente el estudio de los temas técnicos considerados en el examen de certificación.
  • Corresponde al examen de certificación CCNA 640-802.
  • Mantiene la misma estructura de contenidos:
    1. Principios de networking.
    2. Redes Wireless LAN.
    3. Protocolo IP.
    4. Implementación de subredes.
    5. El sistema operativo Cisco IOS.
    6. Enrutamiento IP.
    7. Administración de redes Cisco IOS.
    8. Conmutación LAN, VLANs y trunking.
    9. Listas de control de acceso.
    10. Conectividad WAN.
    A. Guía de Comandos.
    B. Ejercicios de Simulación.
    C. Respuestas de los Cuestionarios.
  • Como su predecesora, está dividida en 2 tomos para facilitar el estudio.
Preguntas frecuentes:
¿Cambió el examen de certificación?
  • No. No ha habido cambios en el examen de certificación que sigue siendo CCNA 640-802. Es simplemente una revisión del manual anterior.
    Cuando haya una nueva versión del examen, entonces presentaré una Guía versión 5.
¿A qué versión del examen de certificación corresponde esta Guía de Preparación?
  • A CCNA 640-802. No he escrito una Guía específica para los exámenes ICND1 e ICND2. Sin embargo, el contenido de estos dos exámenes está completamente cubierto en esta Guía que entonces puede ser perfectamente utilizada para preparar esos exámenes.
Si cambia la versión del currículum de la Academia, ¿esta versión de la Guía me sirve igual?
  • Esta Guía no está concebida como un complemento para quienes cursan Cisco Networking Academy. Es una Guía para la preparación del examen de certificación, no un manual de estudio para las Academias. No está vinculada a ninguna versión del currículum CNA.
    Independientemente de los cambios o actualizaciones que pueda realizar Cisco Networking Academy a sus materiales de estudio, esto no tiene impacto en la Guía. Por supuesto que por abordar los mismos temas, la Guía ha sido y es muy útil para estudiantes e instructores de CNA que buscan un material de estudio en español para sus exámenes. Pero no está concebida con ese propósito.
¿Habrá Guía para CCNP?
  • En este momento tengo en proceso de redacción 3 Apuntes Rápidos, uno para cada uno de los exámenes que corresponden a la nueva certificación CCNP.Sin embargo, por el momento no tengo fecha prevista para terminar estos nuevos manuales.
¿A partir de cuándo estará disponible para la compra?
  • Estimamos que los ejemplares impresos de esta nueva revisión estarán disponibles a partir del lunes 28 de marzo. (Argentina)
¿Se pueden conseguir ejemplares de la versión 4.0?
  • No. La versión 4.0 de la Guía se encuentra agotada y no habrá reimpresión de la misma.
¿Hay versión e-book de esta revisión?
  • No. Por el momento sólo está disponible en versión impresa.
Para la compra:

Cualquier comentario o consulta que consideres importante respecto a este tema,
procuraré responderlo rápidamente.
Por favor, incorpóralo a continuación en forma de comentario.
Muchas gracias.
Oscar Gerometta


Si el blog te ha resultado de utilidad y querés contribuir con su sostenimiento,
no hagas una donación, comprá un libro.


Tomado de: http://librosnetworking.blogspot.com/


miércoles, 13 de abril de 2011

Internet mantiene su incesante crecimiento y llega a los 205 millones de dominios


[ 12/04/2011 - 07:59 CET ]

La base total de Dominios de Primer Nivel refleja un aumento del 6% con respecto al año pasado.

Diario Ti: La base mundial de nombres de dominio en Internet creció cerca de 3,5 millones en el cuarto trimestre de 2010, de acuerdo con el más reciente Resumen de la Industria de Nombres de Dominio, publicado por Verisign.





El cuarto trimestre de 2010 finalizó con una base de 205,3 millones de nombres de dominio registrados entre todos los Dominios de Primer Nivel (TLD), lo que representa un aumento de 1,7 por ciento en relación al tercer trimestre. Los registros crecieron 12,1 millones, o 6,3% año tras año.

La base combinada de nombres de dominio .com y.net de Verisign terminó el trimestre con aproximadamente 105,2 millones. Los nuevos registros de dominio .com y .net totalizaron 7,6 millones durante el cuarto trimestre, un aumento de 4% en relación al año pasado. La tasa de renovación .com/.net en el cuarto trimestre fue de 72,7%, lo que representa una leve disminución en comparación con los 72,8% en el tercer trimestre.1

La base de Dominios de Primer Nivel con Códigos de Países (ccTLD) fue de 80,1 millones, un incremento de 0,3% con respecto al año anterior.

El promedio de consultas diarias al Sistema de Nombres de Dominio (DNS) de Verisign durante el cuarto trimestre de 2010 fue de 61 mil millones, con picos de hasta 72 mil millones. En comparación con el mismo período en 2009, el promedio diario de consultas y el pico crecieron ambos 17%.

El surgimiento de la era IPv6
El Resumen de la Industria de Nombres de Dominio también destacó dos importantes cambios en el sistema de direccionamiento de Internet - la introducción de nuevos dominios genéricos de primer nivel y el surgimiento de IPv6.

El lanzamiento del proceso que introducirá potencialmente cientos de nuevos dominios genéricos de primer nivel (gTLD) en el sistema de nombres de dominio es increíblemente importante. Aunque la fecha exacta del lanzamiento siga siendo incierta, la Internet Corporation for Assigned Names and Numbers (ICANN) está a punto de concluir su plan de lanzamiento de gTLD y debe empezar a revisar las aplicaciones en tercer trimestre del 2011. Después de algunos meses del lanzamiento – tal vez en el principio de 2012 –, los usuarios de Internet deberán tener disponible un conjunto de dominios de primer nivel sin precedentes, de dominios de consumo, como .shop y .bank, hasta geográficos, como .nyc y .london.

El segundo cambio será menos visible para los usuarios comunes de Internet, pero tiene el potencial para ser de igual profundidad. Por toda Internet, proveedores de acceso y de infraestructura, operadores de servicios y proveedores de contenido están preparándose para la implementación del Internet Protocol versión 6 (IPv6). El IPv6 está diseñado para reemplazar el antiguo Internet Protocol versión 4 (IPv4). Los que actúan en Internet deben dejar claro el camino del proceso mediante la preparación de la coexistencia transaccional de ambos protocolos en sus redes y sistemas.

Tecnólogos han estado trabajando en el protocolo que se convertiría en IPv6 durante casi dos décadas. Mucho antes de la publicación del estándar IPv6 en 1998, los operadores de la infraestructura sabían que el plazo de IPv4 se estaba terminando, ya que la tecnología de direcciones de 32 bits sería insuficiente para acomodar la continua y exponencial expansión de Internet.

Este año, sin embargo, el plazo finalmente terminó, con las últimas direcciones IPv4 disponibles en el grupo Internet Assigned Numbers Authority (IANA) siendo alocadas en febrero y efectivamente agotando el principal conjunto de “nuevas" direcciones IPv4. Aunque los Regional Internet Registries - RIR, que ofrecen direcciones IP a los proveedores, tengan direcciones IPv4 en su inventario (un inventario que, en algunos casos, podría durar más un par de años), no se podrán crear “nuevas" direcciones IPv4.

Fuente: Verisign

Tomado de: http://www.diarioti.com/gate/n.php?id=29537

lunes, 11 de abril de 2011

SLAAC attack: el "hombre en el medio" de IPv6



Por Sergio de los Santos

ssantos@hispasec.com

Investigadores de InfoSec Institute han descubierto una nueva forma de robar el tráfico de una red interna gracias a la configuración por defecto de IPv6 en Windows y MacOS X. Se trata de una especie de hombre en el medio, pero mucho más sencillo que las técnicas habituales en IPv4 (por ejemplo arp-spoofing). Al ataque se le ha llamado SLAAC, pero no se trata de un 0 day, como proclaman.

Obtener y redirigir el tráfico de una red interna hacia una máquina controlada por un atacante es una técnica conocida en el mundo de IPv4. Envenenar la caché ARP de los sistemas, es uno de los métodos más empleados. Ahora, el ataque SLAAC consigue el un efecto parecido pero de forma más "limpia".

En qué consiste

El atacante debe introducir un router (o algún dispositivo que actúe como tal, puede ser su propio ordenador) en la red interna con dos interfaces (virtuales o no): una de cara a la red interna, que soporte solamente IPv6 y otra con la conexión a Internet (solamente IPv4). En esos momentos existirá una red adicional IPv6, pero el atacante no controlará el tráfico. El intruso comenzará a enviar RA (router advertisements, anuncios de rutas), que es una especie de DHCP para IPv6. El objetivo es que el tráfico pase a través de la interfaz IPv6 sin que los clientes noten nada y esto se consigue gracias a una especificación obsoleta.

NAT-PT es un mecanismo que permite traducir de IPv4 a IPv6 y viceversa para que dispositivos que soporten una u otra versión puedan comunicarse. Un protocolo ideado para facilitar la migración entre redes que fue abandonado en 2007 porque resultaba demasiado complejo, contenía demasiados errores. El método es definir en el router un prefijo IPv6 e incrustar en los últimos 32 bits una dirección IP versión 4, que según el ataque previsto, debe coincidir con un servidor DNS del propio atacante, situado en la interfaz IPv4 del router (en Internet). Si se configura adecuadamente ese router del atacante para que se encargue de traducir (a través de NAT-PT) las direcciones IPv6 de las víctimas a IPv4, se consuma el ataque, engañando al usuario para que crea que su servidor DNS es el del atacante.

El siguiente paso es hacer que los sistemas operativos usen la red IPv6 (y sus DNS) creada paralelamente... y que lo hagan rápido (si no responde a tiempo, se usaría el DNS legítimo). Esto se consigue de forma muy sencilla por dos razones: La primera es el uso de Application Layer Gateways (ALGs), que es necesario en NAT-PT para hacer NAT en protocolos "especiales" como FTP. La segunda es que los sistemas operativos modernos prefieren siempre utilizar IPv6 (se han diseñado así para, presumiblemente, facilitar la migración tan deseada que parece que nunca llega).

En resumen, la víctima utiliza sin darse cuenta el DNS del atacante para resolver direcciones y, por tanto, puede ser redirigido a cualquier página (que no use certificados) de forma transparente.

Por qué ocurre

Gracias a Stateless address autoconfiguration (SLAAC) los sistemas operativos como Windows y Mac OS X, preferirán usar IPv6 en una red siempre que sea posible. IPv6 está ideado para autoconfigurarse al máximo. Por tanto, obtendrán automáticamente información del router fraudulento introducido por el atacante sin que se note, y comenzarán a usar su servidor DNS fraudulento. Además, es poco probable que en una red exista algún router IPv6, por tanto el atacante no tendrá "interferencias".

Aunque en InfoSec proclamen que se trata de un 0 day, está lejos de la definición formal de ese concepto. Según ellos, se han puesto en contacto con Microsoft y comentan que valorarán el problema.

Ventajas e inconvenientes del ataque

Estos problemas con routers "rogue" ya son más que conocidos en entornos IPv4, e incluso en entornos IPv6 existe software para simularlo. Pero hasta ahora se tomaban más como una molestia que como un ataque. Esta prueba de concepto confirma un escenario y un método de "aprovechamiento" viable.

El ataque SLAAC tiene además una serie de ventajas. Por ejemplo, no es necesario alterar la red IPv4 de la víctima (ni la caché ARP de los equipos...), ni siquiera utilizar una dirección IP de esa red. Se aprovecha de forma limpia una funcionalidad (no un fallo) de los sistemas modernos: preferir IPv6 sobre IPv4.

El ataque también tiende a ser silencioso: la red IPv4 y por tanto, sus sistemas de defensa y monitorización "tradicionales", no son alterados.

Recomendaciones

Simplemente, como siempre, deshabilitar lo que no se utilice. En este caso, el soporte IPv6 desde las propiedades de red.

Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/4548/comentar

Más Información:

SLAAC Attack :0day Windows Network Interception Configuration Vulnerability
http://resources.infosecinstitute.com/slaac-attack/


Tomado de: http://www.hispasec.com/unaaldia/4548


http://ccnabolivia.blogspot.com/

lunes, 4 de abril de 2011

Vulnerabilidades en Cisco Secure Access Control System (ACS) y NAC (Network Access Control)

Por José Ignacio Palacios

Cisco ha publicado dos alertas de seguridad que afectan a sus productos Cisco Secure Access Control System (ACS) y NAC (Network Access Control).

Cisco ACS opera como un servidor RADUIS y TACACS+ que combina la autenticación de usuarios, la administración de los dispositivos de control de acceso y las políticas de control de una red centralizada.

La vulnerabilidad, calificada con el CVE-2011-0951 permite a un atacante remoto no autenticado cambiar la contraseña de algunos usuarios sin la necesidad de saber la contraseña anterior. No todas las contraseñas podrían ser modificadas por un atacante. Están exentas del problema:

* Las cuentas de usuario definidas en un almacenamiento externo (como servidores LDAP o RADIUS externos).
* Cuentas de administrador si se han configuro a través de la interfaz web.
* Cuentas de usuario que hayan sido configuradas a través de comandos CLI.

La segunda vulnerabilidad afecta a Cisco Network Access Control (NAC) Guest Server en su versión anterior a 2.0.3. Cisco NAC es un sistema que permite gestionar automáticamente los dispositivos que acceden a la red según ciertas características definidas.

El fallo se encuentra en el fichero de configuración de RADIUS. Un atacante remoto no autenticado que explote la vulnerabilidad podría tener acceso a una red protegida independientemente de las restricciones interpuestas y sin necesidad de usuario y contraseña. A esta vulnerabilidad se le ha asignado el CVE-2011-0963.

Cisco ha publicado actualizaciones para corregir los problemas. La última versión del software Cisco NAC Guest Access Server puede obtenerse desde:

http://www.cisco.com/cisco/software/release.html?mdfid=282450822&flowid=4363&softwareid=282562545.

Más Información:

Cisco Secure Access Control System Unauthorized Password Change Vulnerability
http://www.cisco.com/en/US/products/products_security_advisory09186a0080b74117.shtml

Cisco Network Access Control Guest Server System Software Authentication Bypass Vulnerability
http://www.cisco.com/en/US/products/products_security_advisory09186a0080b74114.shtml

José Ignacio Palacios
jipalacios@hispasec.com


Tomado de: http://www.hispasec.com/unaaldia/4543


sábado, 2 de abril de 2011

Introducción a SNMP

Por Oscar Gerometta

SNMP (Simple Network Management Protocol) es un protocolo de aplicación de la suite TCP/IP diseñado para el intercambio de información de administración de los dispositivos de la red, entre estos dispositivos y una consola de management.

  • Es el protocolo estándar para recuperar información que los dispositivos mantienen en bases de datos denominadas MIBs (Management Information Base).
  • Es este momento hay posibilidad de implementar 3 versiones del protocolo estándar: SNMPv1, SNMPv2 y SNMPv3.
  • Utiliza UDP como protocolo de capa de transporte: UDP 161 para mensajes get y set; UDP 162 para mensajes trap.
SNMP utiliza 5 tipos básicos de mensajes:
  • get-request.
    Solicitan al dispositivo información sobre una variable MIB.
    Son los mensajes que utilizan las consolas SNMP para monitorear el estado de los dispositivos.
  • get-next-request.
    Permite requerir información respecto de la próxima instancia de una variable MIB.
  • get-response.
    Mensaje generado por el agente SNMP que opera en un dispositivo, para responder a la solicitud enviada por la consola.
  • set-request.
    Comando que reinicia o cambia el valor de una variable MIB.
    Son los mensajes que utilizan las consolas SNMP para realizar cambios de configuración.
  • trap.
    Mensaje SNMP generado por el agente que opera en un dispositivo, sin necesidad de ser solicitado por la consola. Se produce cuando el agente SNMP detecta un cambio de parámetros.
    Son los mensajes que se utilizan para los sistemas de alerta.
SNMPv1
  • Definido en 1988.
  • Sólo utiliza mensajes get y set.
  • Los mensajes se intercambian en texto plano.
  • Los agentes y la consola de management se asocian utilizando una definición de grupo denominado "comunidad", e identificada por un nombre de comunidad.
  • Hay dos tipos de comunidades: read-only (sólo permiten monitorear), read-and-write (permiten monitorear y configurar).
SNMP v2
  • Definido en 1993 y revisado en 1995 (SNMPv2c).
  • Introdujo la utilización de mensajes get-bulk-request que permiten solicitar información de múltiples variables de modo simultáneo.
  • Sigue utilizando mensajes en texto plano y un sistema de identificación por comunidades.
SNMPv3
  • Desarrollado en 1998.
  • Introduce importantes mejoras de seguridad: incorpora mecanismos de autenticación, encriptación y control de integridad.
  • Mecanismos de autenticación: Username, HMAC-MD5 o HMAC-SHA.
  • Mecanismos de encriptación: DES, 3DES, AES128, AES192, AES256.
  • Hay 3 modelos de seguridad: noAuthNoPriv, authNoPriv, authPriv

Si el blog te ha resultado de utilidad y querés contribuir con su sostenimiento,
no hagas una donación, comprá un libro.




http://ccnabolivia.blogspot.com/