SDN - Software Defined Network

Del Temario CCNA R&S 200-125

Por Oscar Gerometta

Hace ya tiempo hice referencia a los diferentes planos que componen un dispositivo de red: control, gestión y datos. El plano de control define cómo se debe realizar el reenvío de tráfico mientras que el plano de datos se ocupa de ejecutar ese reenvío.

Este es un concepto básico para poder comprender a qué nos referimos cuando hablamos de SDN.

En el modelo tradicional la red es concebida como un conjunto de dispositivos independientes en el que cada unidad toma las decisiones de reenvío de tráfico de acuerdo a la información interna que posee. 

Hablamos de la red como una unidad, pero en la realidad no es más que un conjunto de dispositivos individuales trabajando de modo coordinado. 

En el modelo tradicional el plano de control de cada dispositivo individualmente interactúa con el plano de datos de ese dispositivo para indicarle cómo debe reenviar los datos.

SDN cambia completamente ese paradigma ya que la propuesta es ahora operar la red como una unidad, como un todo. 

En este modelo el plano de control de desacopla del plano de datos y opera de modo centralizado en un dispositivo (controlador) que tiene la visión íntegra de la red; el controlador es el que interactúa con los dispositivos individuales para indicarles cómo realizar el reenvío de tráfico. Controlador y conmutadores (los dispositivos que se ocupan del reenvío de tráfico) se comunican entre sí utilizando un protocolo estándar.

La comunicación entre controlador y conmutadores es bidireccional: el controlador envía instrucciones a los dispositivos al mismo tiempo que recoge información generada por ellos. Este esquema también recibe la denominación de "plano de control centralizado" (centralized control plane).
 
Esa operación requiere una interfaz a través de la cual el controlador se comunica con los dispositivos, esta interfaz recibe la denominación genérica de API (Application Programming Interface) y en este caso en que comunica el controlador con los dispositivos es una southbound API o SBI (SouthBound Interface).
 
Cisco Systems tiene su propio desarrollo SDN que recibe el nombre de Cisco ACI (Application Centric Infrastructure). ACI es el nombre comercial de la propuesta de arquitectura SDN de Cisco.
 
Esta arquitectura se basa en la implementación de APIC (Application Policy Infrastructure Controller) que es el controlador SDN de Cisco. APIC implementa una API denominada OpFlex para la comunicación con los dispositivos de la red. Por ser OpFlex un estándar abierto APIC opera tanto con dispositivos Cisco como de terceras partes.
 
También es posible desarrollar aplicaciones que interactúen con el controlador para posibilitar y facilitar las tareas de configuración, monitoreo, etc. Para esto el controlador cuenta con interfaces API específicas que reciben el nombre de northbound APIs o NBIs (NorthBound Interfaces).
 
Si bien no hay un estándar definido para la comunicación entre el controlador y las aplicaciones, típicamente se utilizan REST APIs (REpresentational State Transfer API). La forma más común recibe la denominación RESTful API que implementa mensajes GET y PUT de HTTP. Los mensajes GET permiten obtener información del controlador mientras los mensajes PUT permiten enviar instrucciones la controlador.
 
Los 2 formatos más frecuentes para estas APIs es JSON (JavaScript Object Notation) Y XML (eXtensible Markup Language). 

Tomado de: http://librosnetworking.blogspot.com/2016/09/sdn-software-defined-network.html 

Cisco IOS: ¿Que significado tiene el nombre?

Por Oscar Gerometta

Temario CCNA R&S 200-125

El nombre de las imágenes de IOS

Cisco utiliza una convención específica de nombres para la denominación de las imágenes de IOS en sus dispositivo. 

Esta convención nos permite, a partir del nombre por defecto (porque siempre es posible renombrar las imágenes), conocer algunas de sus características.

Un ejemplo:

C2900-universalk9-mz.SPA-152-4.M1.bin

Donde:

• C2900
  Plataforma de hardware.
  Ej: Router Cisco 2900.
• universalk9
  Conjunto de prestaciones.
  Ej: imagen única y universal
• mz
  Formato del archivo.
  m = Se corre desde la RAM.
  z = Comprimido.
• SPA
  Imagen de software firmada digitalmente.
• 152-4.M1
  Versión.
  Ej: 15.2 (4)M1
• bin
  Extensión del archivo.
  Ej: Archivo binario, ejecutable.

Recursos adicionales:

• Sitio de Cisco dedicado a sus sistemas operativos.
• Para conocer algo más sobre la convención de nombres de IOS:
  Understanding Cisco IOS Naming Convention

Tomado de: http://librosnetworking.blogspot.com/2016/08/el-nombre-de-las-imagenes-de-ios_72.html

Vulnerabilidad SNMP en Cisco ASA

Dispositivos Cisco afectados por el arsenal de Equation Group

Ya hemos comentado la publicación de un grupo de exploits empleado por Equation Group como una muestra de algo que se supone mucho más grande. Pero esa simple muestra incluía un exploit 0day que permitía la ejecución de código en dispositivos Cisco y que ha obligado a la compañía a actuar con carácter de urgencia.

Realmente entre el material filtrado se incluía código que explotaba dos vulnerabilidades en dispositivos Cisco ASA y firewalls Cisco PIX. Si bien una de ellas ya había sido corregida en 2011, aunque la compañía de San Francisco ha publicado un nuevo aviso para incrementar su visibilidad y asegurar que todos los usuarios con versiones de software afectadas puedan protegerse contra este grupo de exploits.

La nueva vulnerabilidad anunciada, considerada 0day, reside en un desbordamiento de búfer en el código del protocolo SNMP (Simple Network Management Protocol) del software Cisco Adaptive Security Appliance (ASA) que podría permitir a atacantes remotos sin autenticar ejecutar código arbitrario en el sistema. Se le ha asignado el CVE-2016-6366.

Afecta a los siguientes productos:

• Cisco ASA 5500 Series Adaptive Security Appliances
• Cisco ASA 5500-X Series Next-Generation Firewalls
• Cisco ASA Services Module para Cisco Catalyst 6500 Series Switches y Cisco 7600 Series Routers
• Cisco ASA 1000V Cloud Firewall
• Cisco Adaptive Security Virtual Appliance (ASAv)
• Cisco Firepower 4100 Series
• Cisco Firepower 9300 ASA Security Module
• Cisco Firepower Threat Defense Software
• Cisco Firewall Services Module (FWSM)*
• Cisco Industrial Security Appliance 3000
• Cisco PIX Firewalls

Funcionamiento del exploit
http://blogs.cisco.com/security/shadow-brokers

Se ven afectadas todas las versiones de SNMP. El atacante deberá conocer el nombre de comunidad SNMP para explotar la vulnerabilidad.

En la actualidad Cisco confirma que está trabajando en actualizaciones para las versiones afectadas.

 Se recomienda a los administradores que solo usuarios de confianza tengan acceso a SNMP y monitorizar los sistemas afectados mediante el comando "snmp-server".

Se debe seguir el capítulo SNMP de la Guía de configuración de Cisco ASA para configurar adecuadamente este protocolo en los dispositivos:

http://www.cisco.com/c/en/us/td/docs/security/asa/asa96/configuration/general/asa-96-general-config/monitor-snmp.html

Los nombres de comunidad SNMP son como contraseñas, y deben recibir el mismo tratamiento que cualquier otra contraseña.

Por otra parte, una segunda vulnerabilidad que aunque ya fue corregida en 2011, por su gravedad y repercusión ha merecido su tratamiento como si fuera nueva. El problema, con CVE-2016-6367, reside en una vulnerabilidad en la interfaz de línea de comandos del software Cisco Adaptive Security Appliance (ASA) que a través de determinados comandos no válidos podría permitir a atacantes locales autenticados ejecutar código arbitrario en los sistemas afectados.

Se ven afectadas las versiones de software Cisco Adaptive Security Appliance (ASA) anteriores a la 8.4(3) en los siguientes productos:

• Cisco ASA 5500 Series Adaptive Security Appliances
• Cisco ASA 5500-X Series Next-Generation Firewalls
• Cisco PIX Firewalls
• Cisco Firewall Services Module (FWSM)

Cisco ha publicado las versiones 8.4(3) y 9.0(1) que corrigen este problema.

Más información:

una-al-dia (19/08/2016) A la venta el arsenal del Equation Group

http://unaaldia.hispasec.com/2016/08/a-la-venta-el-arsenal-del-equation-group.html

The Shadow Brokers EPICBANANAS and EXTRABACON Exploits

http://blogs.cisco.com/security/shadow-brokers

Cisco Adaptive Security Appliance SNMP Remote Code Execution Vulnerability

http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160817-asa-snmp

Cisco Adaptive Security Appliance CLI Remote Code Execution Vulnerability

http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160817-asa-cli

Antonio Ropero

antonior@hispasec.com

Twitter: @aropero

Tomado de: http://unaaldia.hispasec.com/2016/08/dispositivos-cisco-afectados-por-el.html

Solucionado: Denegación de servicio en Cisco IOS XR

Cisco ha confirmado una vulnerabilidad en routers Cisco ASR 9001 Aggregation Services con Cisco IOS XR que podría permitir a un atacante remoto sin autenticar provocar condiciones de denegación de servicio.

El problema, con CVE-2016-6355, reside en el tratamiento inadecuado de paquetes fragmentados específicamente creados dirigidos al dispositivo afectado. 

Un ataque exitoso podría provocar una fuga de memoria en el procesador de rutas del dispositivo que provocaría la caída de los paneles de control de protocolo y la consiguiente condición de denegación de servicio.

El problema afecta a Cisco IOS XR versions 5.1.x, 5.2.x y 5.3.x, en routers Cisco ASR 9001 Aggregation Services.

Se ha solucionado en la versión de Cisco IOS XR 5.3.3, con las siguientes Software Maintenance Updates (SMUs):

• asr9k-px-5.3.2.CSCux26791.pie para versiones 5.3.x
• asr9k-px-5.2.4.CSCux26791.pie para versiones 5.2.x
• asr9k-px-5.1.3.CSCux26791.pie para versiones 5.1.x

Más información:

Cisco IOS XR Software for Cisco ASR 9001 Aggregation Services Routers Fragmented Packet Denial of Service Vulnerability
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160810-iosxr


Antonio Ropero -  antonior@hispasec.com - Twitter: @aropero

Tomado de: http://unaaldia.hispasec.com/2016/08/denegacion-de-servicio-en-cisco-ios-xr.html

Oferta Apunte rápido CCNP Route - 150 Bolivianos

* Oferta vádida para Bolivia, hasta agotar stock

El Apunte Rápido desarrolla de modo sintético la totalidad del temario del examen de certificación. 

Se incluiye un anexo aparte un breve desarrollo sobre el protocolo IS-IS. Si bien IS-IS no es parte del temario del examen de certificación es un protocolo de enrutamiento que tiene importancia creciente en algunos entornos específicos.

En este manual se encuentran todos los contenidos necesarios para completar la preparación del examen de certificación.

Si eres un alumno de Academia o de Learning Partner, es posible que este manual te sea suficiente y al momento de estudiar utilices los materiales oficiales que recibiste durante tu cursada para aclarar dudas o buscar referencias necesarias.

Para quienes estudian por sí mismo (auto-estudio), este manual les sirve como referencia de base y deberán complementarlo con investigación personal.

No incluye herramientas pedagógicas tales como mapas conceptuales, resúmenes, notas, cuestionarios, anexos de ejercicios, etc.

Fecha de publicación: 21 de septiembre de 2015
Autor: Oscar A. Gerometta
CCSI / CCNA R&S / CCDA / CCNAwir / CCNA sec. / CCBF.
Creador –en el año 2000- del primer curso de apoyo para alumnos de Cisco Networking 
Academy program que se preparan a rendir su examen de certificación CCNA, logrando entre sus alumnos un nivel de aprobación superior al 95%.

Texto:
Se trata de una síntesis de los contenidos de estudio comprendidos en el nuevo examen de certificación ROUTE 300-101.

Está alineado al examen CCNP ROUTE 300-101. 

Para ver una demo de este manual, ingrese aquí.

Contenidos:

• El examen de certificación ROUTE.
• Conceptos básicos de enrutamiento IP.
• Implementación de RIPng.
• Implementación de EIGRP.
• Implementación de OSPF.
• Redistribución de rutas.
• Implementación de control de rutas.
• BGP - Conexión corporativa a Internet.
• Protección de routers y protocolos de enrutamiento.
• Anexo 1: Glosario de siglas.
• Anexo 2: Protocolo IS-IS.

Cantidad de páginas: 265

Algunas notas sobre esta versión:

• Cubre la totalidad del temario.
• Incluye enrutamiento IPv6.
• Se incluye tanto la configuración de OSPFv3 como Named EIGRP.
• IS-IS no es parte del temario del examen, ha sido incluido solo como información complementaria.
• Por tratarse de un Apunte Rápido no incluye laboratorios.

Mas información: libros.networking.bolivia@gmail.com - El costo incluye despacho por flota.

Cisco anuncia vulnerabilidad en Wireless LAN Controller

 

Denegación de servicio en Cisco Wireless LAN Controller

Cisco ha anunciado el descubrimiento de un problema en sus dispositivos Wireless LAN Controller (WLC) que podría permitir a usuarios sin autenticar provocar condiciones de denegación de servicio.

El problema se debe a un tratamiento insuficiente del tráfico de paquetes "wireless management frames". Un atacante remoto no autenticado podrá enviar tráfico manipulado que provoque la caída del dispositivo afectado.

La vulnerabilidad, con la referencia CVE-2016-1460, afecta a los dispositivos con versiones de software 7.4(121.0) y 8.0(0.30220.385). Cisco no ofrece actualizaciones para corregir este problema.

Más información:

Cisco Wireless LAN Controller Denial of Service Vulnerability

http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160727-wlc

Tomado de: http://unaaldia.hispasec.com/2016/07/denegacion-de-servicio-en-cisco.html

Cisco invita a preparar las redes para la transformación digital

Diario TI 14/07/16 9:54:44

Cisco ha anunciado novedades para ayudar a la industria (ingenieros, desarrolladores, partners y clientes) a preparar las redes para la transformación digital.

En marzo, la compañía presentó Digital Network Architecture (DNA), definiéndola como “una innovadora aproximación al networking construida desde cero para la era digital que constituye un cambio fundamental en la forma de construir y gestionar las redes”.

A medida que las organizaciones adoptan la movilidad, el Cloud, el Internet of Things (IoT) y la analítica de Big Data para digitalizar su negocio, los equipos de TI tienen más dificultades para lidiar con la creciente complejidad de la red, la sofisticación de las amenazas de seguridad y las mayores demandas de servicios de sus clientes.

Las redes tradicionales no pueden escalar lo necesario para responder a estos mayores retos del mundo digital. Se requiere así una nueva red para la era digital, diseñada desde el principio para ser flexible, programable y abierta; algo que Cisco ofrece con la plataforma DNA, basada en una aproximación centrada en el software (en lugar del hardware), automatizada (en lugar de manual) y adaptativa (en lugar de reactiva).

El viaje hacia la red digital

Cisco ofrece apoyar a las organizaciones en su viaje hacia las redes para la era digital mediante un nuevo modelo que identifica los cinco elementos clave de la preparación de red: automatización, analítica, seguridad y cumplimiento con las políticas, Cloud e IoT.

La empresa indica que este modelo define la evolución de los clientes a través de esas cinco fases, apoyándose en una herramienta que permite evaluar su estado actual y ofrecer recomendaciones para optimizar su transformación de red.

Según un estudio de IDC encargado por Cisco, un gran número de clientes están ya realizando la transición hacia las redes preparadas para la era digital. Así, aunque cuatro de cada cinco organizaciones consultadas aún no han alineado sus estrategias de negocio y de networking, aquellas que sí lo han hecho están duplicando sus ingresos, mientras el porcentaje de clientes que planean implementar redes basadas en software y con capacidades de automatización se multiplicará por más de tres en los próximos dos años (del 13 al 44 por ciento).

Más allá de la innovación tecnológica

Para que la propuesta de Cisco DNA sea una realidad, Cisco está ayudando a todo su ecosistema -desde clientes y partners hasta ingenieros y desarrolladores- a construir las habilidades necesarias para escalar, proteger y evolucionar estas redes preparadas para la era digital.

Ingenieros de red. 

A medida que la red se vuelve más automatizada y basada en software, los ingenieros deben ampliar sus habilidades de programación. Cisco está actualizando su porfolio de certificaciones para responder a esta necesidad, incluyendo la nueva modalidad Cisco Certified Internetwork Expert (CCIE) que afectará a todas las certificaciones a nivel de experto, junto a un nuevo examen Cisco Network Programmability Engineer Specialist.

Desarrolladores de aplicaciones. 

A medida que la red se convierte en más abierta y programable, la comunidad de desarrolladores es cada vez más esencial para construir una nueva generación de aplicaciones ‘conscientes’ de la red. DNA es un elemento clave de DevNet, la comunidad de desarrolladores de Cisco compuesta por 300.000 profesionales, a la que Cisco está ayudando en esta transición con formación y eventos específicos (más información en este blog).

Partners de canal. 

Los 70.000 partners de canal de Cisco están ya evolucionando hacia redes más flexibles basadas en software, integrando nuevas habilidades y generando nuevas oportunidades de negocio a través de la automatización, la analítica y la seguridad. Para ello, Cisco sigue ofreciendo a sus partners programas de incentivos y ha diseñado nuevos roles en su actual Ecosistema de Partners para contribuir a acelerar dicha transición (más detalles en este blog).

Seguridad integrada en la red

Cisco también ha anunciado nuevas soluciones de seguridad integradas en la red y diseñadas para optimizar y simplificar la seguridad de las empresas distribuidas. Utilizar la red para mejorar la visibilidad frente a las amenazas y reforzar las políticas es uno de los pilares de Cisco DNA, comenta la empresa, anunciando que protegerá la infraestructura de las sucursales mediante innovadoras soluciones como Umbrella Branch, Stealthwatch Learning Networks License y Meraki MX Security Appliances con AMP y Threat Grid.

Jeff Reed, vicepresidente senior de Infraestructura y Soluciones de Red en Cisco: “Con DNA, Cisco está reinventando las redes para la era digital, simplificando la adopción del Cloud y la movilidad e integrando avanzadas funcionalidades de seguridad. Pero como la tecnología no es suficiente, también estamos contribuyendo a ampliar las habilidades de los profesionales de TI, formando a los desarrolladores de aplicaciones y ayudando a los clientes a evaluar la preparación de sus redes para la nueva era digital”.

Vea el video: 

Tomado de: http://diarioti.com/cisco-invita-a-preparar-las-redes-para-la-transformacion-digital/99121

Cisco lanza becas de ciberseguridad

Cisco anuncia programa global de becas de ciberseguridad

Diario TI 17/06/16 10:17:58

Para ayudar a cubrir esta demanda, Cisco ha presentado un Programa Global de Becas de Ciber-Seguridad financiado con 10 millones de dólares, además de anunciar mejoras en su porfolio de certificaciones de seguridad.

El Programa Global de Becas de Ciber-Seguridad  tendrá una duración de dos años y busca incrementar el número de profesionales formados en técnicas avanzadas de ciber-seguridad.

Cisco ofrecerá formación, mentoring y certificaciones alineadas con las necesidades del rol Security Operations Center Analyst, proporcionando la preparación necesaria para responder a los actuales y futuros retos de seguridad de red.

El programa se ofrecerá en colaboración con Partners de Formación Autorizados de Cisco (Cisco Authorized Learning Partners), y comenzará en agosto de 2016.

Actualización del porfolio de certificaciones

Cisco ha añadido a su porfolio de certificaciones de seguridad la nueva Cyber Ops Certification, además de renovar su Certificación CCIE Security.

CCNA Cyber Ops se enfoca en el puesto de analista de seguridad que trabaja en un Centro de Operaciones de Seguridad (SOC, Security Operations Center) monitorizando sistemas y detectando ataques. La certificación enseña a los profesionales de TI algunas de las habilidades clave necesarias en un SOC, aportándoles conocimiento sobre cómo coordinar las respuestas.

CCNA Cyber Ops amplía la actual oferta de certificaciones associate-level de Cisco, entre las que se incluyen CCNA Security, enfocada en el rol de administrador de seguridad de red.

La actualización de la certificación CCIE Security comprende nuevas habilidades a nivel de experto y la formación necesaria para preparar al personal de seguridad en materia de nuevas tecnologías y amenazas de seguridad, incluyendo evaluación de las últimas tecnologías de seguridad como Advanced Threat Protection, Advanced Malware Protection, Next-Generation IPS, Virtualization, Automation e Information Exchange. También incluye una nueva evaluación destinada a garantizar que los candidatos demuestren su conocimiento y habilidades en tecnologías de última generación como Network Programmability, Cloud e IoT.

Jeanne Beliveau-Dunn, vicepresidenta y directora general de Servicios en Cisco, comentó: “La ciber-seguridad es esencial para tener éxito en la transformación digital. Muchos CEOs de todo el mundo creen que su capacidad para innovar está limitada por sus preocupaciones de seguridad en la nueva era digital. 

El programa de becas está diseñado como un primer paso para cubrir el creciente déficit de profesionales en ciber-seguridad inspirando y facilitando la formación de nuevos talentos de cualquier índole, incluyendo veteranos, mujeres y jóvenes”.

Para obtener más información sobre el Programa Global de Becas de Ciber-Seguridad y solicitar la inscripción, visite https://mkto.cisco.com/Security-Scholarship.html.
—
Fotografía © Wavebreakmedia vía Shutterstock

Fuente: http://diarioti.com/cisco-anuncia-programa-global-de-becas-de-ciberseguridad/98493

Cambios en el examen CCNA 200-125

El nuevo examen de certificación CCNA 200-125

Por Oscar Gerometta

El 16 de mayo pasado Cisco anunció su actualización de la certificación CCNA Routing & Switching. 

Esta actualización incluye la renovación de los temarios de los exámenes de certificación que son requisitos para alcanzar la certificación: ICND1, ICND2 y CCNA.

De esta manera, si bien hasta el próximo 20 de agosto estará disponible el anterior examen de certificación (CCNA 200-120), ya tenemos la posibilidad de obtener la certificación presentando el nuevo examen CCNA 200-125. 

Es por eso que me pareció conveniente dedicar un post a revisar explícitamente este examen.

Las características del examen

• Código del examen: 200-125 CCNA
• Certificación Asociada: CCNA Routing & Switching
• Duración: 90 minutos.
  Cuando el examen se presenta en inglés en países de habla hispana, se asignan 30 minutos adicionales para compensar la dificultad de presentar un examen en una lengua que no es la materna.
• Cantidad de preguntas: 50 a 60.
• Idiomas: Inglés y japonés (por el momento solo está disponible en inglés).
• Entidad registrante para presentar el examen: Pearson VUE
• Precio: USD 295,00
• Recertificación: A los 3 años de aprobado el examen.
• Entrenamiento oficiales disponibles:
  En los Cisco Learning Partner.
  Interconnecting Cisco Networking Devices 1 versión 3.0 (ICND1 v3.0 - 40 hs.)
  Interconnecting Cisco Networking Devices 2 versión 3.0 (ICND2 v3.0 - 40 hs.)
  Interconnecting Cisco Networking Devices: Accelerated versión 3.0 (CCNAX v3.0 - 40 hs.)
• Tutorial del examen de certificación aquí.

Objetivos del examen según área temática

Marco en color azul las novedades que introduce esta versión.

1. Fundamentos de redes - 15% de la carga del examen.

• Comparar y contrastar los modelos OSI y TCP/IP.
• Comparar y contrastar los protocolos TCP y UDP.
• Describir el impacto de los componentes de la infraestructura de una red corporativa
  (Incluye firewalls, access points y controladores).
• Describir el efecto de los recursos de nube en una arquitectura de red corporativa.
• Comparar y contrastar las arquitecturas de core colapsado y las de 3 capas.
• Comparar y contrastar las diferentes topologías de red.
• Seleccionar el tipo de cableado apropiado de acuerdo a los requerimientos de implementación.
• Aplicar metodologías de resolución de fallos para resolver problemas.
• Configurar, verificar y resolver fallos de direccionamiento IPv4 y subredes.
• Comparar y contrastar los tipos de direcciones IPv4.
• Describir la necesidad de direccionamiento IPv4 privado.
• Identificar el esquema de direccionamiento IPv6 apropiado para satisfacer los requerimientos de un entorno LAN/WAN.
• Configurar, verificar y resolver fallos de direccionamiento IPv6.
• Configurar y verificar IPv6 Stateless Address Auto Configuration.
• Comparar y contrastar tipos de direcciones IPv6.

2. Tecnologías de conmutación LAN - 21% de la carga del examen.

• Describir y verificar conceptos de conmutación.
• Interpretar el formato de la trama Ethernet.
• Resolver fallos en interfaces y cables (colisiones, errores, dúplex, speed).
• Configurar, verificar y resolver fallos en VLANs (rango normal/extendido) extendidas a varios switches.
• Configurar, verificar y resolver fallos de conectividad entre switches.
• Configurar, verificar y resolver fallos del protocolo STP.
• Configurar, verificar y resolver fallos relacionados con puntos operacionales de STP.
• Configurar y verificar protocolos de capa 2
  (Incluye LLDP).
• Configurar, verificar y resolver fallos en EtherChannel.
• Describir los beneficios del stack de switches y la consolidación de chasis.

3. Tecnologías de enrutamiento - 23% de la carga del examen.

• Describir el concepto de enrutamiento.
• Interpretar los componentes de una tabla de enrutamiento.
• Describir cómo una tabla de enrutamiento es integrada por múltiples fuentes de información.
• Configurar, verificar y resolver fallos del enrutamiento entre VLANs
  (Se incluye SVI).
• Comparar y contrastar enrutamiento estático y enrutamiento dinámico.
• Comparar y contrastar protocolos de enrutamiento de vector distancia y de estado de enlace.
• Comparar y contrastar protocolos de enrutamiento interior y exterior.
• Configurar, verificar y resolver fallos en enrutamiento estático IPv4 e IPv6.
• Configurar, verificar y resolver fallos en enrutamiento OSPFv2 en IPv4 en área única y múltiples áreas (se ha excluido autenticación, filtrado, sumarización manual, redistribución, áreas stub, virtual-link y LSAs).
• Configurar, verificar y resolver fallos en enrutamiento OSPFv3 en IPv6 (se ha excluido autenticación, filtrado, sumarización manual, redistribución, áreas stub, virtual-link y LSAs).
• Configurar, verificar y resolver fallos en enrutamiento EIGRP en IPv4 (se ha excluido autenticación, filtrado, sumarización manual, redistribución y redes stub).
• Configurar, verificar y resolver fallos en enrutamiento EIGRP en IPv6 (se ha excluido autenticación, filtrado, sumarización manual, redistribución y redes stub).
• Configurar, verificar y resolver fallos en RIPv2 en IPv4 (se ha excluido autenticación, filtrado, sumarización manual y redistribución).
• Resolver fallos básicos en la conectividad capa 3 extremo a extremo.

4. Tecnologías WAN - 10% de la carga del examen.

• Configurar y verificar PPP y MLPPP en interfaces WAN utilizando autenticación local.
• Configurar, verificar y resolver fallos en la interfaz del lado del cliente PPPoE utilizando autenticación local.
• Configurar, verificar y resolver fallos de conectividad en túneles GRE.
• Describir las opciones de topologías WAN.
• Describir opciones de acceso a conectividad WAN
  (se incluye MPLS, MetroEthernet, PPPoE en banda ancha y VPNs sobre Internet (DMVPN, VPN site-to-site, cliente VPN)).
• Configurar y verificar conectividad single-homed en sucursales utilizando eBGP IPv4 (solo considerar dispositivos peer y publicación de redes).
• Describir conceptos básicos de QoS.

5. Servicios de infraestructura - 10% de la carga del examen.

• Describir la operación del DNS lookup.
• Resolver fallos en la conectividad de un cliente que involucran DNS.
• Configurar y verificar DHCP en un router (no incluye reservas estáticas).
• Resolver vallos de conectividad basada en DHCP.
• Configurar, verificar y resolver fallos básicos de HSRP.
• Configurar, verificar y resolver fallos de NAT.
• Configurar y verificar la operación de NTP en modo cliente/servidor.

6. Seguridad de la infraestructura - 11% de la carga del examen.

• Configurar, verificar y resolver fallos de port security.
• Describir técnicas de mitigación de amenazas comunes en la capa de acceso
  (incluye 802.1X y DHCP snooping).
• Configurar, verificar y resolver fallos en listas de acceso IPv4 e IPv6 para filtrado de tráfico.
• Verificar ACLs utilizando la herramienta de análisis APIC-EM Path Trace ACL.
• Configurar, verificar y resolver fallos básicos en el hardening básico de dispositivos
  (incluye autenticación local).
• Describir la seguridad en el acceso a dispositivos utilizando AAA con TACACS+ y RADIUS.

7. Gestión de la infraestructura - 10% de la carga del examen.

• Configurar y verificar  protocolos de monitoreo de dispositivos
  (incluye SNPv2, SNMPv3 y Syslog).
• Resolver fallos de conectividad de red utilizando IP SLA basado en ICMP echo.
• Configurar y verificar gestión de dispositivos
  (incluye licenciamiento y timezone).
• Configurar y verificar la configuración inicial de los dispositivos.
• Mantenimiento del rendimiento de los dispositivos.
• Utilizar herramientas de Cisco IOS para diagnosticar y resolver problemas
  (incluye SPAN local).
• Describir la programabilidad de redes en arquitecturas de red corporativas.

Temas que se han retirado:

• Configuración dual-stack de IPv6.
• CEF.
• Frame Relay.
• Conexión WAN seriales.
• VRRP.
• GLBP.

Versión oficial de esta lista de objetivos en la página de Cisco.

Tomado de: http://librosnetworking.blogspot.com/2016/05/el-nuevo-examen-de-certificacion-ccna.html

Nuevo CCNA 200-125

Por Oscar Gerometta

Cisco acaba de publicar una nueva actualización de la certificación CCNA R&S

Cisco Systems ha anunciado una nueva actualización de la certificación más extendida en el mercado de las redes de datos: CCNA Routing & Switching.

Según expresa el mismo Cisco, esta actualización busca alinear la certificación con la expansión que ha experimentado en los últimos años el perfil y conocimientos requeridos por un técnico de redes que busca operar redes de última generación.

Los nuevos exámenes
En este caso se trata de una actualización de la certificación, no de una reforma completa de la misma, por lo que tanto la forma de obtener la certificación como los exámenes necesarios para la misma mantienen la misma estructura y la misma denominación, con solamente un cambio en los códigos de identificación de los exámenes.

De esta manera, los nuevos exámenes disponibles son:

• Interconnecting Cisco Networking Devices part 1 (ICND1) 100-105
• Interconnecting Cisco Networking Devices part 2 (ICND2) 200-105
• Cisco Certified Networking Associate (CCNA) 200-125
   
• El actual examen ICND1 100-101 es reemplazado por el examen ICDN1 100-105
• Último día para presentar el examen ICND1 100-101: 20 de agosto de 2016
• El actual examen ICND2 200-101 es reemplazado por el examen ICND2 200-105
• Último día para presentar el examen ICND2 200-101: 24 de septiembre de 2016
• El actual examen CCNA 200-120 es reemplazado por el examen CCNA 200-125
• Último día para presentar el examen CCNA 200-120: 20 de agosto de 2016

Y la certificación puede obtenerse de 2 maneras diferentes:

• Presentando 2 exámenes
  ICND1 (otorga la certificación CCENT) 100-105 + ICND2 200-105 
• Presentando un único examen: CCNA 200-125

El examen ICND1 100-105

En el nuevo examen ICND1 se ha reducido el número de dominios que lo componen y se lo ha alineado con las certificaciones de niveles superiores: CCNP R&S y CCIE R&S.

• Network Fundamentals.
• LAN Switching Technologies.
• Routing Technologies.
• Infrastructure Services.
• Infrastructure Management.

Del temario del examen ICND1 100-101 se han retirado algunos temas: OSPF de área única (ha pasado a ICND2), se remueve dual stack y CEF.

Al mismo tiempo se han agregado varios tópicos: Presentación del diseño de core colapsado (como alternativa al tradicional de 3 capas), configuración de IPv6 SLAAC, anycast, LLDP, RIPv2, requerimientos de DNS y DHCP, backup y restauración de configuración de dispositivos, licenciamiento de IOS y configuración de zona horaria.

Para este examen ya está disponible la nueva versión del entrenamiento ICND1 (versión 3) en todos los Cisco Learning Partner.

Características del examen:

• 90 minutos de duración.
• 45 a 55 preguntas.
• Está asociado a la certificación CCENT.
• Disponible en inglés y japonés.

El examen ICND2 200-105

Es el nuevo examen ICND2. Los dominios que se han definido para este examen son los siguientes:

• LAN Switching Technologies.
• IPv4 and IPv6 Routing Technologies.
• WAN Technologies.
• Infrastructure Services.
• Infrastructure Maintenance.

Del temario de la versión anterior del exmane (ICND2 200-101) se han removido algunos temas: Frame Relay, tecnologías de conexión WAN seriales, VRRP y GLBP (se conserva solamente HSRP).

Pero también se han incorporado nuevos temas: topologías WAN dual-homed y single-homed, conocimientos básicos de eBGP, DMVPN, VPN site-to-site, introducción al uso de recursos en la nube, una introducción a SDN, las bases del uso de Path Trace y conceptos básicos para la implementación de QoS.

Para este examen también está disponible la nueva versión del entrenamiento de Cisco Learning Partner: ICND2 versión 3.

Características del examen:

• 90 minutos de duración.
• 45 a 55 preguntas.
• Está asociado a la certificación CCNA R&S.
  Para obtener la certificación es pre-requisito la certificación CCENT.
• Disponible en inglés y japonés.

El examen CCNA R&S 200-125

Su temario reúne los temarios de los exámenes ICND1 e ICND2, con las modificaciones que cada uno de ellos contiene.

Los dominios de conocimiento definidos para este examen son:

• Network Fundamentals.
• LAN Switching Technologies.
• IPv4 and IPv6 Routing Technologies.
• WAN Technologies.
• Infrastructure Services.
• Infrastructure Security.
• Infrastructure Management.

Características del examen:

• 90 minutos de duración.
• 50 a 60 preguntas.
• Asociado con la certificación CCNA R&S.
• Disponible en inglés y japonés.

¿Qué vamos a hacer con los manuales de EduBooks?

• En primer lugar, por supuesto, los manuales actuales (Apunte Rápido, CCNA en 30 días y la Guía de Preparación para el Examen de Certificación), en sus versiones actuales, siguen disponibles tanto impresos como ebook para quienes desean preparar la actual versión de los exámenes.
  http://www.edubooks.com.ar/#!biblioteca-ccna/c23ng 
• He acordado un plan de trabajo para la redacción de nuevas versiones de cada uno de los manuales que seguirá el siguiente orden:
  Primero el Apunte Rápido CCNA R&S versión 6.
  A continuación CCNA R&S en 30 días versión 6.
  Finalmente la Guía de Preparación para el Examen de Certificación CCNA R&S versión 6.
• Como siempre, no tengo fecha de entrega para los manuscritos de cada uno de ellos porque como ya saben, el desarrollo de los manuales lo hago en mi tiempo libre y eso depende de las exigencias del trabajo. Pero como siempre, avisaré a través de las redes sociales (Facebook y Google+) a medida que avance en la redacción, y cuando estén disponibles lo publicaré en el blog.
• De acuerdo a los convenios de impresión firmados, a medida que estén disponibles, los amigos de Bolivia y México podrán acceder a ejemplares impresos a través de los responsables de cada uno de esos países.

Algunas notas adicionales

• En este post me refiero al examen de certificación y a los entrenamientos oficiales en los Cisco Learning Partner. NO a las academias de Cisco Networking Academy.
  Quienes deseen información sobre lo que ocurrirá en las Networking Academy debe dirigirse a las respectivas academias.
• Para obtener la certificación CCNA R&S lo que se considera es el examen de certificación que se presenta, no el código del examen, ni la versión del currículum utilizado en la Academia, ni la versión de entrenamiento de CLP que se haya cursado en su momento.
• NO hay versiones del examen de certificación.
  Hay actualizaciones del mismo, y cada actualización se identifica por el código de examen correspondiente. En este caso, el nuevo examen CCNA R&S es el 200-125.

Para consultar la información oficial sobre los nuevos entrenamientos y exámenes:

• Página oficial de la certificación CCNA R&S.
• Anuncio oficial de Cisco Systems.
• Data Sheet de los nuevos exámenes. (pdf)

Tomado de: http://librosnetworking.blogspot.com/2016/05/cisco-acaba-de-publicar-una-nueva.html

Cisco: Últimas actualizaciones para varios productos

Actualizaciones para diversos dispositivos Cisco

 

Cisco ha anunciado un total de cinco vulnerabilidades en múltiples dispositivos que podrían permitir a un atacante provocar condiciones de denegación de servicio o ejecutar código arbitrario. Los problemas afectan a sistemas Cisco Wireless LAN Controller, Cisco ASA y a la librería libSRTP incluida en múltiples productos.

El primero de los problemas (con CVE-2016-1362) afecta a dispositivos con Cisco LC con Software Cisco AireOS con versiones 4.1 a 7.4.120.0, todas las versiones 8.5 y a la versión 7.6.100.0. Reside en una vulnerabilidad en la interfaz de administración web que podría permitir a un atacante remoto sin autenticar provocar el reinicio del sistema. Esto podría llevar a permitir condiciones de denegación de servicio.

Un segundo problema, con CVE-2016-1364, reside en un tratamiento inadecuado del tráfico del administrador de tareas Bonjour del software Cisco Wireless LAN Controller (WLC) que podría permitir a un atacante remoto sin autenticar provocar condiciones de denegación de servicio mediante el envío de tráfico Bonjour específicamente construido. Se ven afectados los dispositivos Cisco Wireless LAN Controller con versiones 7.4 anteriores a la 7.4.130.0(MD), todas las versiones 7.5, todas las versiones 7.6 y todas las versiones 8.0 anteriores a la 8.0.110.0(ED).

También en sistemas con software Cisco Wireless LAN Controller (WLC) una vulnerabilidad en la funcionalidad de redirección de URL HHTP que podría permitir a un atacante remoto sin autenticar provocar un desbordamiento de búfer en los dispositivos afectados que cause condiciones de denegación de servicio o incluso la ejecución de código arbitrario en el dispositivo. Se ven afectadas las siguientes versiones del Software Cisco WLC: todas las versiones 7.2, 7.3, 7.4 anteriores a 7.4.140.0(MD), 7.5, 7.6 y 8.0 anteriores a 8.0.115.0(ED).

Se ha anunciado otra vulnerabilidad, con CVE-2016-1367, en la característica de relay DHCPv6 del software de los Cisco Adaptive Security Appliance (ASA) 9.4.1 que podría permitir a un atacante remoto sin autenticar provocar condiciones de denegación de servicio. Afecta a sistemas Cisco ASA 5500-X Series Next-Generation Firewalls, Cisco ASA Services Module para Cisco Catalyst 6500 Series Switches y Cisco 7600 Series Routers y Cisco Adaptive Security Virtual Appliance (ASAv).

Por último, Cinco anuncia la publicación de la versión 1.5.3 de la librería libSRTP (Secure Real-Time Transport Protocol library), que corrige una vulnerabilidad de denegación de servicio en el subsistema de tratamiento de cifrado de esta librería por la validación inadecuada de ciertos campos de paquetes SRTP. Son múltiples los productos Cisco que incluyen una versión vulnerable de la librería libSRTP.

En este caso los productos afectados son:

• Cisco WebEx Meetings Server versions 1.x
• Cisco WebEx Meetings Server versions 2.x
• Cisco Jabber
• Cisco Adaptive Security Appliance (ASA) Software1
• Cisco IOS XE Software2
• Cisco IP Phone 88x1 Series
• Cisco DX Series IP Phones
• Cisco IP Phone 88x5 Series
• Cisco Unified 7800 Series IP Phones
• Cisco Unified 8831 Series IP Conference Phone
• Cisco Unified 8961 IP Phone
• Cisco Unified 9951 IP Phone
• Cisco Unified 9971 IP Phone
• Cisco Unified Communications Manager (UCM)
• Cisco Unified Communications Manager Session Management Edition (SME)
• Cisco Unified IP Phone 7900 Series
• Cisco Unified IP Phone 8941 and 8945 (SIP)
• Cisco Unified Wireless IP Phone
• Cisco Unity Connection (UC)

Cisco ha publicado actualizaciones para todos los dispositivos afectados, en cualquier caso recomendamos revisar los avisos publicados para determinar la exposición y la versión a la que actualizar.

Más información:

Cisco Wireless LAN Controller Management Interface Denial of Service Vulnerability

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160420-wlc

Cisco Wireless LAN Controller Denial of Service Vulnerability

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160420-bdos

Cisco Wireless LAN Controller HTTP Parsing Denial of Service Vulnerability

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160420-htrd

Cisco Adaptive Security Appliance Software DHCPv6 Relay Denial of Service Vulnerability

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160420-asa-dhcpv6

Multiple Cisco Products libSRTP Denial of Service Vulnerability

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160420-libsrtp

Antonio Ropero

antonior@hispasec.com

Twitter: @aropero

Tomado de: http://unaaldia.hispasec.com/2016/04/actualizaciones-para-diversos.html