jueves, 28 de abril de 2016

Cisco: Últimas actualizaciones para varios productos

Actualizaciones para diversos dispositivos Cisco

 

Cisco ha anunciado un total de cinco vulnerabilidades en múltiples dispositivos que podrían permitir a un atacante provocar condiciones de denegación de servicio o ejecutar código arbitrario. Los problemas afectan a sistemas Cisco Wireless LAN Controller, Cisco ASA y a la librería libSRTP incluida en múltiples productos.

El primero de los problemas (con CVE-2016-1362) afecta a dispositivos con Cisco LC con Software Cisco AireOS con versiones 4.1 a 7.4.120.0, todas las versiones 8.5 y a la versión 7.6.100.0. Reside en una vulnerabilidad en la interfaz de administración web que podría permitir a un atacante remoto sin autenticar provocar el reinicio del sistema. Esto podría llevar a permitir condiciones de denegación de servicio.

Un segundo problema, con CVE-2016-1364, reside en un tratamiento inadecuado del tráfico del administrador de tareas Bonjour del software Cisco Wireless LAN Controller (WLC) que podría permitir a un atacante remoto sin autenticar provocar condiciones de denegación de servicio mediante el envío de tráfico Bonjour específicamente construido. Se ven afectados los dispositivos Cisco Wireless LAN Controller con versiones 7.4 anteriores a la 7.4.130.0(MD), todas las versiones 7.5, todas las versiones 7.6 y todas las versiones 8.0 anteriores a la 8.0.110.0(ED).

También en sistemas con software Cisco Wireless LAN Controller (WLC) una vulnerabilidad en la funcionalidad de redirección de URL HHTP que podría permitir a un atacante remoto sin autenticar provocar un desbordamiento de búfer en los dispositivos afectados que cause condiciones de denegación de servicio o incluso la ejecución de código arbitrario en el dispositivo. Se ven afectadas las siguientes versiones del Software Cisco WLC: todas las versiones 7.2, 7.3, 7.4 anteriores a 7.4.140.0(MD), 7.5, 7.6 y 8.0 anteriores a 8.0.115.0(ED).

Se ha anunciado otra vulnerabilidad, con CVE-2016-1367, en la característica de relay DHCPv6 del software de los Cisco Adaptive Security Appliance (ASA) 9.4.1 que podría permitir a un atacante remoto sin autenticar provocar condiciones de denegación de servicio. Afecta a sistemas Cisco ASA 5500-X Series Next-Generation Firewalls, Cisco ASA Services Module para Cisco Catalyst 6500 Series Switches y Cisco 7600 Series Routers y Cisco Adaptive Security Virtual Appliance (ASAv).

Por último, Cinco anuncia la publicación de la versión 1.5.3 de la librería libSRTP (Secure Real-Time Transport Protocol library), que corrige una vulnerabilidad de denegación de servicio en el subsistema de tratamiento de cifrado de esta librería por la validación inadecuada de ciertos campos de paquetes SRTP. Son múltiples los productos Cisco que incluyen una versión vulnerable de la librería libSRTP.
En este caso los productos afectados son:
  • Cisco WebEx Meetings Server versions 1.x
  • Cisco WebEx Meetings Server versions 2.x
  • Cisco Jabber
  • Cisco Adaptive Security Appliance (ASA) Software1
  • Cisco IOS XE Software2
  • Cisco IP Phone 88x1 Series
  • Cisco DX Series IP Phones
  • Cisco IP Phone 88x5 Series
  • Cisco Unified 7800 Series IP Phones
  • Cisco Unified 8831 Series IP Conference Phone
  • Cisco Unified 8961 IP Phone
  • Cisco Unified 9951 IP Phone
  • Cisco Unified 9971 IP Phone
  • Cisco Unified Communications Manager (UCM)
  • Cisco Unified Communications Manager Session Management Edition (SME)
  • Cisco Unified IP Phone 7900 Series
  • Cisco Unified IP Phone 8941 and 8945 (SIP)
  • Cisco Unified Wireless IP Phone
  • Cisco Unity Connection (UC)

Cisco ha publicado actualizaciones para todos los dispositivos afectados, en cualquier caso recomendamos revisar los avisos publicados para determinar la exposición y la versión a la que actualizar.

Más información:

Cisco Wireless LAN Controller Management Interface Denial of Service Vulnerability

Cisco Wireless LAN Controller Denial of Service Vulnerability

Cisco Wireless LAN Controller HTTP Parsing Denial of Service Vulnerability

Cisco Adaptive Security Appliance Software DHCPv6 Relay Denial of Service Vulnerability

Multiple Cisco Products libSRTP Denial of Service Vulnerability



Antonio Ropero
Twitter: @aropero

Tomado de: http://unaaldia.hispasec.com/2016/04/actualizaciones-para-diversos.html

viernes, 22 de abril de 2016

Wireless LAN Controller: Interfaces


Por Oscar Gerometta

Las interfaces del wireless LAN controller


Cuando intentamos comprender cómo opera un WLC (Wireless LAN Controller), uno de los puntos complejos a resolver es la relación entre WLANs, VLANs, Interfaces y Puertos. Una serie de elementos que aparecen en la configuración del controlador y cuya relación no siempre nos queda del todo clara.

Por eso me pareció interesante dedicar algo de atención al tema de las interfaces del controlador, un elemento central de su operación y que no siempre conocemos con precisión.

En primer lugar debemos considerar que en los controladores AireOS de Cisco Systems hay 2 tipos diferentes de interfaces: interfaces estáticas e interfaces dinámicas.


Interfaces estáticas


Se trata de interfaces de red lógicas que permiten recibir y enviar diferente tipo de tráfico (según su función) desde y hacia la red cableada. 

Estas interfaces pueden o no estar directamente vinculadas a un puerto físico del controlador y se encuentran definidas en la misma estructura lógica del dispositivo. No son definibles por el Administrador.

Las interfaces estáticas del controlador AireOS son las siguientes:

  • Interfaz de Management

    Es la utilizada por defecto para la gestión in-band del controlador.
    Es el origen y destino del tráfico del controlador hacia y desde diferentes servicios de la red tales como RADIUS y otros.
    También es la interfaz utilizada para la comunicación entre controladores que conforman un mismo grupo de movilidad o de RF.
    Es la interfaz que utiliza el controlador para la comunicación hacia y desde los access points y la que opera como origen y destino de los túneles CAPWAP que genera con cada access point asociado.
    Generalmente se le asigna una dirección IP de una subred dedicada a la operación del controlador y access points. Por defecto está asociada a la VLAN 0 que es la VLAN nativa en el caso del controlador.
  • Interfaz Virtual

    Interfaz para uso interno de la operación del controlador que interviene en procesos específicos. Se utiliza específicamente como dirección de DHCP relay para el servicio DHCP; también es la dirección del portal web de autenticación cuando se activa autenticación web con el portal interno del controlador; y es la dirección utilizada para la gestión de movilidad (roaming) de un cliente entre múltiples controladores.
    Se sugiere asignarle una dirección IP no ruteable, en muchos casos se utiliza para ella la IP 1.1.1.1. Por defecto está asociada a la VLAN 0 (nativa) del controlador.
  • Interfaz de Servicio

    Es la interfaz lógica asociada al puerto de servicio que se utiliza para la gestión out-of-band del controlador.
    Esta interfaz no soporta tráfico IEEE 802.1Q.
    Se sugiere que se utilice una subred diferente de la utilizada en la interfaz de management. Habitualmente se utiliza una dirección IP de la subred de gestión.
    Esta interfaz no soporta la configuración de default-gateway, por lo que si se desea hacer gestión remota del dispositivo es necesario asociar a la interfaz una ruta default estática hacia el gateway.



Interfaces dinámicas

Las interfaces dinámicas reciben también, en algunos casos, el nombre de interfaces VLAN. Son las interfaces definidas por el Administrador.

Son las interfaces en las que se mapean las redes inalámbricas (WLAN) a las diferentes redes en la infraestructura cableada (VLAN).

Su definición responde a ciertas reglas:

  • Múltiples WLANs pueden ser mapeadas a una única interfaz dinámica, y en consecuencia a una misma VLAN.
  • Múltiples interfaces dinámicas pueden ser asociadas a un mismo puerto físico (es el puerto a través del cual ingresará y saldrá el tráfico perteneciente a esa interfaz).
  • Cada interfaz dinámica puede ser asociada a un único puerto físico.
Estas interfaces dinámicas pueden actuar también como relay DHCP para los clientes inalámbricos asociados a los respectivos SSIDs.

Tomado de: http://librosnetworking.blogspot.com/2016/04/las-interfaces-del-wireless-lan.html

lunes, 11 de abril de 2016

Cisco SecureX: El futuro de la seguridad

Nuevas tendencias

Existen tres grandes tendencias principales actuando en las empresas:

  • El rápido aumento diferentes tipos de terminales personales
  • El auge de la virtualización y el cloud computing
  • El creciente uso de la videoconferencia de alta definición
Cada una de estas tecnologías están transformando los negocios y obligan a un cambio fundamental en cómo se despliega la seguridad en la red.

Las soluciones de seguridad actuales se centran principalmente en la protección de la infraestructura física.

Las políticas de seguridad tradicionales se expresan en términos de un dispositivo en particular, como "el PC corporativo", una dirección IP, un puerto de red, o un protocolo de aplicación.

En un mundo sin fronteras, cada vez más móvil, esta concepción se está haciendo cada vez menos pertinente.

Las estructuras de seguridad tienen que ser más sofisticadas.

Necesitamos un lenguaje de políticas de seguridad que se exprese en términos como: quién, qué, dónde, cuándo, y cómo. La seguridad debe estar separada de la infraestructura física que existe por debajo de ella.

Además, las nuevas estructuras de seguridad de red tienen que ser fácilmente distribuibles, de modo que se pueda implementar a nivel mundial y esté disponible donde y cuando la empresa toca la internet pública.

Cisco SecureX

 
Cisco ha desarrollado una arquitectura nueva y audaz para satisfacer las necesidades de las redes sin fronteras



Cisco SecureX permite a las organizaciones grandes y a las pequeñas empresas colaborar fácilmente, y capacita a su nueva fuerza de trabajo a desplazarse libremente, con confianza.

Al utilizar una amplia gama de parámetros en su aplicación de las políticas proporciona una seguridad más eficaz y sensible al contexto de la situación en que se produce el acceso a la red.

Además generaliza el lenguaje de políticas de seguridad en toda la red pudiendo así ser desplegadas a nivel mundial y estar disponibles donde y cuando los usuarios lo necesiten.

Con su aplicación de políticas de seguridad sensibles al contexto Cisco® SecureX proporciona:


  • Seguridad de red a un nivel superior.
    Basada en un lenguaje de políticas de seguridad que comprenden la totalidad del contexto del acceso a la red: el qué, quién, dónde, cuándo y cómo se accede a la red.
  • Un acceso a la red de alta seguridad en los diferentes entornos.
    En entornos virtuales, físicos, en las instalaciones y en entornos de nube para permitir y garantizar una aplicación coherente de las políticas de seguridad de red.
  • Simplicar las políticas de seguridad de red.
    Para corresponderse directamente con las necesidades de TI y de las normas de negocio.
  • Protección contra las amenazas a medida que van siendo identificadas.
    Mediante el uso del conocimiento global de Cisco Security Intelligence Operations (SIO), para proporcionar correlación y protección en tiempo real.
  • Soportar todo tipo de terminales.
    Incluyendo todos los nuevos terminales que son utilizados en el acceso a la red, desde PCs portátiles a dispositivos móviles de siguiente generación como Cisco Cius, iPads, iPhones y otros teléfonos inteligentes.
La arquitectura de seguridad de red Cisco SecureX, sofisticada y de gran distribución, proporciona un lenguaje de políticas de seguridad generalizado en toda la red. Puede ser desplegado a nivel mundial para estar disponible donde y cuando los usuarios lo necesiten.

Descargue toda la información sobre Cisco SecureX

Documento completo
PDF The Future of Network Security: Cisco SecureX Architecture






Más información

Descubra cómo la nueva arquitectura SecureX de Cisco puede ayudarle a proteger su red:

Documentos:

PDF SecureX de un vistazo (PDF - 272 KB)

PDF Productos de Cisco SecureX - Brochure (PDF - 1.67 MB)

PDF The Future of Network Security: Cisco SecureX Architecture (PDF)

PDF ¿Porqué Cisco para la seguridad? (PDF - 239 KB)

PDF Nemertes White Paper: Dynamic, Flexible Security Architecture (PDF - 4.25 KB)

PDF Informe Lippis: Cisco Pulls All the Pieces of Its Network Security Program into One Architecture: SecureX (PDF - 1.74 MB)

Tomado de: http://www.cisco.com/web/ES/seguridad-redes/index.html

domingo, 10 de abril de 2016

¿Que es Cisco Meraki?


Por Oscar Gerometta

En diciembre del año 2012 Cisco adquirió una empresa declarando que su propósito era proveer una solución de redes escalable y fácil de implementar. 

Sobre la compra inicial Cisco incorporó recursos de investigación y desarrollo con el propósito de lograr un producto de nube de próxima generación.

Desde ese entonces Meraki es parte del portafolios de productos de Cisco, aunque una parte casi desconocida. Muchos creen que se trata de una propuesta de red inalámbrica alternativa a la red Aironet tradicional, pero en realidad es mucho más.

¿Qué es Meraki?




Meraki es una oferta de NaaS (Network as a Service) innovadora que desplaza el plano de gestión de los dispositivos de la red a un servicio de nube brindado desde los data centers de Meraki. Hardware y tráfico de datos en instalaciones de la empresa, gestión desde la nube.

¿Cuál es la oferta de Meraki?


Meraki cubre los requerimientos de una infraestructura de red completa a partir de 3 diferentes tipos e dispositivos:
  • Access Points
    Quizás el dispositivo más conocido. Se trata de una línea completa de dispositivos indoor y outdoor que permiten un despliegue rápido de una red inalámbrica de nivel enterprise.
  • Switches
    Switches tipo enterprise capa 2 y 3, de entre 8 y 48 puertos, para el despliegue de la red de acceso cableado con capacidad PoE.
  • Apliance de seguridad
    Dispositivo de acceso WAN que reúne en un único equipo las prestaciones de un router, un firewall statefull de próxima generación, terminador de VPNs IPsec, IPS de próxima generación, etc. Un gateway de la LAN hacia la WAN o hacia Internet con capacidad de inspección de aplicaciones e implementación de políticas de seguridad avanzadas.



A estos productos de hardware se suma el Systems Manager, que es una especie de cliente instalable en dispositivos terminales (Mac OSX, Microsoft, iOS o Android) que permite tener gestión y monitoreo remoto desde la nube de los terminales de la empresa. 

Incluye prestaciones como la de acceso de escritorio remoto, posibilidad de instalación remota de aplicaciones y borrado remoto de información almacenada en el dispositivo. Un gestor de terminales corporativas.

Estos dispositivos de hardware instalados en las facilidades de la empresa y las terminales que operan con Systems Manager, son administrados desde un sistema de gestión que opera en la nube de Meraki y que se accede con cualquier navegador web, desde cualquier ubicación.



Para dar soporte a este despliegue el servicio implementa:
  • 5 data centers distribuidos en diferentes regiones que operan en redundancia en caliente asegurando una disponibilidad mínima del 99,99% anual.
  • Los datos de cada cliente se encuentran replicados, en tiempo real, en al menos 3 de estos 5 data centers.
  • Acceso seguro con doble verificación incluyendo llaves RSA.
  • Toda la información del cliente (configuraciones, claves, etc., NO datos de los usuarios) se almacena encriptada.

Algunas características de la red Meraki

  • Solamente el tráfico de gestión de los dispositivos va a la nube de Meraki. El tráfico de datos de los usuarios se resuelve localmente y en ningún momento pasa por la nube.
  • Si se interrumpe el acceso a la red de Meraki por algún motivo, el tráfico local sigue sin complicaciones quedando limitada solamente la posibilidad de realizar cambios de configuración o monitorear la red.
  • En el caso de interrupciones en la conexión con la red, la información de estadísticas de tráfico y otras similares se almacena localmente hasta que se retome la conexión y se pueda descargar a la nube.
  • El hardware Meraki sólo puede ser operado desde la nube Meraki.
  • La nube Meraki solo opera hardware Meraki.
  • La asociación del hardware a la interfaz web del cliente se hace utilizando el número de serie del dispositivo.
  • Es posible el despliegue mixto de tecnologías, por ejemplo, switches Catalyst con access points Meraki. En este caso la nube Meraki solamente gestiona los access points.
  • Las prestaciones del sistema son de nivel enterprise avanzado. Incluye por ejemplo servicios de localización en tiempo real, reporting, filtrado y monitoreo a nivel de usuarios o aplicaciones, etc.


Para ampliar:
Tomado de: http://librosnetworking.blogspot.com/2016/04/que-es-meraki.html

viernes, 1 de abril de 2016

Conozca el Cisco Catalyst 6800 Series


El Switch Cisco Catalyst serie 6880-X es un Switch de agregación fijo que provee las mejores características de los switches Cisco 6500 en un equipo de factor de forma pequeño. Esta plataforma de primera clase ofrece escalabilidad y flexibilidad con el conjunto de características Cisco Catalyst 6500.

Esta plataforma, lista para 40G/100G es ideal para quienes desean introducir los servicios 10G en el Backbone de un campus pequeño o mediano.

Esta plataforma única ofrece densidad de puertos 10G, funcionalidad MPLS/VPLS con tamaños de tablas grandes (con entradas FIB de hasta 2M) y las mejores características en mas de 15 años.

 El Cisco Catalyst 6880-X - Foto: Cisco.com

Con una suite completa de L2/L3, virtualización, seguridad, multicast, IPv6, visibilidad de aplicaciones,operaciones inteligentes y servicios de medios enriquecidos, el Cisco Catalyst 6800-X proveen una cantidad de características sin precedentes desde el primer día.

Esta plataforma también funciona sobre la misma arquitectura que el Motor supervisor 2T del Cisco Catalyst 6500 y en consecuencia ofrece estabilidad con un software de sistema operativo garantizado.


El chasis del Cisco Catalyst 6800-X Series ofrece resiliencia integrada proporcionando ventiladores redundantes N+1, fuentes de poder redundantes 1+1 y soporte para Sistemas de Switching Virtual (VSS), en consecuencia se minimiza el tiempo de caídas de la red y asegura la productividad de los trabajadores, la satisfacción del cliente y la rentabilidad.

El Switch Cisco Catalyst 6880-X Series ofrece beneficios y características primarias que incluyen:

  • Escalabilidad de plataforma: La plataforma soporta una capacidad de slot de hasta 220Gbps por tarjeta de puertos. Soporta hasta 2Tbps de capacidad de conmutación la cual puede duplicarse hasta 4Tbps con tecnología VSS.
  • Seguridad: Soporte para Cisco TrustSec (CTS), soporte para proveer cifrado IEEE 802.1AE MACsec y ACLs basadas en roles, soporta CoPP para prevenir ataques de DoS y Cisco ISE para salvaguardar y administrar la seguridad de extremo a extremo para toda la empresa.
  • Virtualización: Un conjunto comprensivo de características de Virtualización, incluyendo L2/L3 VPN, MPLS completo, EVN, aplicaciones compatibles con VRF para NAT Netfrow, GRE para v4/v6, extensiones L2 para VPLS, etc. para segmentar diferentes grupos de usuarios y cumplir los requerimientos de QoS y seguridad en cada uno de estos grupos.
  • Visibilidad y Control de Aplicaciones (AVC): Soporta el monitoreo avanzado de aplicaciones como Netflow Muestreado y Flexible para monitoreo de aplicaciones escalable e inteligente.
  • Operaciones inteligentes: El Cisco Catalyst 6880-X soporta Catalyst Instant Access, el cual permite un acceso constante del cliente para actuar como una tarjeta de línea remota para el Cisco Catalyst 6880-X, como también el Smart Install Director el cual provee una instalación de Switches de acceso automatizado (Zero-touch).
  • Alta disponibilidad: Dos Switches Cisco Catalyst 6880-X Series pueden ser combinados en un VSS. Además de la alta disponibilidad VSS, provee facilidad de operación a través de un solo punto de administración eliminando la necesidad de usar un Protocolo de Enrutamiento de Primer Salto (FHRP) y eliminando la necesidad de que sea el STP el que restaure la falla en un enlace.

Escalable



Ayuda a garantizar que el campus esté listo para los servicios Ethernet de 10/40/100 Gigabit con la mayor capacidad de Slot y de Switching del Catalyst 6800. La serie 6800 ofrece la mayor densidad de puertos 10 Gigabit Ethernet que: 
  • Incluyen MPLS avanzado corporativo, Servicios de LAN virtual privada (VPLS) y funcionalidad Multicast.
  • Soporta interfaces de diferentes velocidades para una migración fácil desde 1 Gigabit Ethernet hacia servicios de mayor velocidad

El Cisco Catalyst 6807-XL puede  escalar hasta 880 Gb por slot y hasta una capacidad de conmutación de 11.4 Tbps (Full-duplex). Para un campus mediano los Switches Cisco Catalyst 6880-X proporcionan escalabilidad con ocho puertos 10 Gigabit o veinte puertos de 40 Gigabit ethernet.



Construido para programabilidad

Los Switches Catalyst 6800 soportan las herramientas SDN (Software-defined networking) gracias al Cisco One Platform Kit (onePK). Usted puede construir aplicaciones fácilmente para automatizar operaciones y crear servicios a través del Campus.

La Serie 6800 de Switches también soportan las interfaces industriales estandar OpenFlow. Usted puede programar estos switches para personalizar servicios como clasificar la red y direccionar el tráfico.


La serie Catalyst 6800 facilita:
  • Disponibilidad de "cinco nueves" (99.999 por ciento) con la tecnología VSS (Cisco Virtual Switching System) - (VSS Quad Supervisot SSO [VS4O])
  • Una sola política con Cisco Identity Services Engine
  • Administración centralizada con Cisco Prime Infraestructure
  • Una red con Cisco Wireless Services Module 2 (WiSM2)
  • Movilidad de dispositivos y roaming con el Cisco Campus Locator/ID Separation Protocol (LISP)

Para simplificar la red, Catalyst 6800:

  • Soporta el Catalyst Instant Access Solution, la cual extiende las características de Backbone a la capa de acceso con una configuración simplificada, administración y consistencia de características.
  • Soporta características de operación inteligente incluyendo CSS, Smart Install y EEM (Embedded Event Manager)
  • Está totalmente integrado con la infraestructura Cisco Prime

Modelos:


-----------------------------------------------------------------------

Tomado de: http://www.networksbaseline.in/2015/12/cisco-6800-catalyst-switch-introduction.html

Traducido por José R. Torrico Gumucio - Cisco Networking Academy Instructor