Seguridad

Contenidos Destacados

Lo mas basico en seguridad para la PC de tu hogar  ||  Leer archivos de texto desde Bash  ||   Convertir .wav a .mp3 con un solo click  ||  Port Based Authentication Cisco-Microsoft  || ASCII Code Table  ||  TCP-UDP Port List  ||  Configuracion Basica ASA 5505  ||  Comandos Basicos Linux  ||  Simuladores Cisco

Seguridad Basica para tu PC

Spanish

Escribo esto como si se lo estubiera explicando a mi santa madre, que apenas si sabe de manera automatizada como enviar un mail, con la intención de que sea bien básico y para el usuario mas novato. Asi que iré a lo más común y de uso cotidiano de acuerdo a como me lo vaya acordando y tratando de usar el mismo lengüaje que usaría con ella.

Siempre hay que tener en cuenta que lo primero es ser cuidadosos y criteriosos. Cuando digo cuidadosos es no hacer click por que sin leer bien antes y no aceptar NADA sin leer bien antes. 
No hay sistema suficientemente seguro como para proteger a un usuario descuidado o desinteresado.
Por supuesto que hay sitios con contenidos para adultos, violencia, piratería, etc en los cuales podemos presuponer que corremos algún riesgo al visitarlos. Lo mejor es no hacerlo o, de hacerlo igual, tomar todas las precausiones necesarias.
Si un mail te llega con de un remitente desconocido (O hasta conocido) con un asunto en otro idioma es motivo de prestar atención. O te llega con un asunto "HACETE MILLONARIO DESDE TU CASA EN 15 MINUTOS Y SIN TRABAJAR", bueno...
Si te llega con un adjunto de alguien que no conocés, por supuesto que no lo tenés que abrir.
Estas son solo observaciones comunes que apuntan a señalar que mas importante que un antivirus y contraseñas de 24 caracteres es ser cuidadosos y atentos.

 

Comenzando:
Asumo para esta guía que estan usando Windows y en eso me enfoco. De todas maneras, mi recomendación siempre es usar Linux si les es posible y si les sirve para el uso que le dan a su PC.

 

Software / Sistema Operativo
Lo primero... Un buen antivirus. Enfaticamente recomiendo Kaspersky por sobre cualquier otro. Los free son un problema. Con la configuración básica de Kaspersky es suficiente para comenzar de manera segura.
No usen programas piratas, que generalmente son descargados de páginas que vaya a saber quien los pirateó y como lo hizo y NO son confiables. Lo mejor es comprarlos originales (sin contar en este caso que es lo que corresponde). Si así y todo los usan, bueno, tengan cuidado y pregunten a alguien al que le tengan confianza como hacerlo. NO bajarlo de sitios de descarga. SOLAMENTE descargarlos del sitio oficial de cada programa asi pueden estar seguros que no han sufrido modificación alguna.
Lo mismo con series, películas, música, etc que descarguen. Si lo pueden ver online mejor.

Es importantísimo mantener su sistema operativo y su antivirus y todos sus programas instalados actualizados lo más a menudo posible, evitando al menos las vulnerabilidades más conocidas.
Un programa que le tengo... casi cariño, y puede ser un buen complemento, es el Spybot Search& Destroy, aunque no es imprescindible teniendo Kaspersky. Yo lo usé por muchos años (hasta que me pase a Linux definitivamente) y siempre funcionó bien y además no consume nada de recursos. Con solo dejarlo funcionando y cada tanto actualizarlo y limpiar es suficiente. También se puede automatizar funciones si te ponés a leer un poco. 
Por supuesto, el sistema operativo que usen tiene que tener configurado un usuario con una contraseña también segura y que explicitamente tenga configurado que te pida esa contraseña al iniciar tu PC.

 

 

Emails
Lo mejor es usar cuentas de email proveedores conocidos (preferiblemente gmail) para estar tranquilos con respecto a los virus. Siempre es mejor que usar un servidor de mail de un hosting contratado en caso que lo uses para tu negocio. Gmail ofrece por precios muy baratos la opcion de tener emails @tudominio usando sus servidores. Esa es la mejor opción. Te ofrece ademas la opción de usar tanto webmail como un cliente de email, aunque lo más recomendable es usar solamente el webmail. De todas maneras si por algún motivo necesitan usar un cliente creo que lo mejor para eso es el Thunderbird, al menos de los que yo he probado, en velocidad y prestaciones me pareció el mejor y la configuración de gmail en thunderbird es automática, con solo poner usuario y contraseña te lo configura todo solo.
Thunderbird además tiene la opción de poner filtros a los mails por distintos criterios de filtrado. Si el asunto/remitente/etc son igual a, o contiene x texto, los borra o toma la accion que se desee. Acá les dejo una guía de como hacerlo https://support.mozilla.org/es/kb/organizar-tus-mensajes-utilizando-filtros

Con respecto a los mails es importante, y aunque parezca una pavada, no abrir ningún adjunto de nadie desconocido a menos que estes totalmente seguro.

NUNCA HACER CLICK en un link de un mail desconocido. Al menos, si lo tenés que hacer, pones el mouse sobre el link y te fijás abajo a la izquierda de tu cliente o browser que estés usando, a donde te manda realmente. Por ejemplo si el link dice "Banco Galicia" y pones el mouse arriba y en la barra inferior de tu cliente te muestra "asdasdasd.co.kk" obviamente te esta mandando a cualquier lado al que NO tenés que entrar. También puede pasar que en lugar de "asdasdasd.co.kk" te muestre una dirección IP "123.123.123.123/asdasd/track" o cualquier otra cosa, con eso es exactamente lo mismo. Se borra el email directamente sin más y listo.
Tengan en cuenta que puede llegar algun email de remitente conocido que podria tener infectada su PC. Si notan un mail con contenido sospechoso, con links raros o textos en otro idioma, borrenlo y avisenle al remitente para que pueda escanear su maquina.
Ademas una persona con mas conocimiento podria mandar un mail y que el remitente figure como uno que en realidad no es, asi que aunque vean un mail de un contacto no abran todo indiscriminadamente.

A tener en cuenta si operas tu banco por internet: NUNCA JAMAS NUNCA ni el banco ni tu tarjeta de credito, sean cuales sean, te van a pedir un solo dato de tu cuenta por mail (Ni por teléfono), jamás te van a pedir que actualices ningún dato y nunca te van a cerrar ninguna cuenta por eso. Llegan miles de esos mails y si siguen llegando es por que más de uno cae en la trampa. Lo mejor es reportar esos mails al banco que estos fingen ser y borrarlos una vez reenviados.
Ojo por que los mails esos llegan con la misma imagen institucional del banco o tarjeta en cuestión.
De hecho si se fijan mas de una vez les habran llegado esos mails con cuentas de banco con el que ustedes no operan. Eso es una muestra más que suficiente de que es un fraude.

 

 

Contraseñas
Eviten los locutorios y computadoras en lugares no confiables. Poner la contraseña de tu cuenta de email, con la cual operas cuentas bancarias, en un locutorio es casi suicida. Si es estrictamente necesario hacerlo, usen la ventana incognito/privada de su browser. En Firefox se abre por menu o con Ctrl+Shift+P y en Google Chrome se abre también por menu o con Ctrl+Shift+N. Asi el navegador que uses no guardará ninguna información de lo que navegues. Si bien esto no es demasiada garantia, es algo más.
NUNCA le den su contraseña a nadie, es como la llave de su casa con sus hijos adentro. Ojo cuando la tipeen que no los estén mirando/espiando (Shoulder surfing).+

Una contraseña tiene que ser lo más segura posible. Si bien es incomodo poner contraseñas como "Pk3590asn9SKJ_" no es admisible poner contraseñas como "12345678" "password" etc, así como tampoco nada que tenga que ver directamente con vos, como tu nombre, apellido, fecha de nacimiento tuya o de un famiiliar, nombre de tu mascota o cualquier cosa que alguien que te conozca pueda deducir. Y por supuesto NO pegar un papelito con la contraseña en el monitor, bueh...
Aunque sea molesto también es importante, aunque sea cada tanto, cambiar las contraseñas, al menos las importantes.  Si la contraseña actual es "peperino1" no pongas "peperino2" de más esta decir.
Tambien pueden usar frases (Passphrases) ya que son más fáciles de recordar y con los parametros de siempre a tener en cuenta son muy seguras además por su longitud.

 

 

Red / WiFi
Evitar que la PC este conectada directamente al modem que te da tu proveedor de internet. Estaría demasiado expuesta. Es importante poner un router en el medio de esa conexión. Hay opciones muy economicas que andan medianamente bien y ni siqueira necesitan administración avanzada, andan practicamente solos. Así la PC estaría en una red interna y no directamente conectada a internet con lo cual no sería tan accesible desde afuera, al menos no para el común de los usuarios.
Recordar revisarle la configuración de seguridad al router que pongan. Al igual que a una PC hay que ponerle contraseñas seguras, revisar que no permita la conexión a administración desde afuera (Solo desde la red interna).
La configuración Wireless deberia en lo posible ser en WPA2 con una contraseña segura que mantenga la misma lógica que siempre usamos para las contraseñas. Nunca la red wireless debe estar abierta sin seguridad configurada. Si es necesario llamen a un tecnico para que lo haga y les enseñe a usarlo.

Una imagen de ejemplo:
wpa2.gif

 

Niños
Tengan mucho cuidado si hay niños en la casa y pongan filtros de control parental. Todos los navegadores los tienen y son muy sencillos de instalar. Si no saben como, le preguntan al mismo que les bajo los programas que describí más arriba :) 
Una opción para los más chicos es instalarles Firefox como web browser. Tiene muchos addons para seguridad. Probablemtente los tres más importantes o al menos conocidos con:
1- FoxFilter Es un filtro de control parental que entre otras cosas te da la opción de proteger con contraseña para que el adulto decida que pagina habilitar y cual no (White List)
2- Ad Block Plus Bloquea anuncios y banners en los sitios web evitando imágenes exlicitas por ejemplo.
3- No Script Evita que complementos no deseados se corran en su PC. (Para usuarios más avanzados - Requiere atención y más conocimientos) 
SOBRETODO ESTAR ATENTOS.  Saber con quien hablan o quien les escribe y en que sitios navegan o en que juegos online participan. Para eso es más importante ser padres que saber usar una computadora.
Ideal también es tener una cuenta de Facebook o la red social que ellos usen para poder estar en contacto con los chicos y saber que información intercambian y con quien lo hacen.
Recomiendo asesorarse sobre este tema en Argentina Cibersegura 

 

 

A medida que me vaya acordando ire agregando/acutalizando este post.

Salu2

 

Tags: 

Simuladores Cisco

VPN Conceptos Basicos

Spanish

(Virtual Private Network - Red Privada Virtual) Es una extension de dos o mas redes locales y remotas de manera segura a travez de un medio inseguro como internet.
Existen dos Formas de establecer una VPN:
Site to Site o Remote Acces.

Site to Site: Conecta dos redes locales entre dos o mas puntos fijos, por ejemplo dos routers o dos firewalls. Cada uno de estos tendra una IP fija y publica y sera el extremo que configure el dispositivo remoto como su peer a la hora de establecer la conexion VPN.

Remote Access (VPN Server): Permite conectar una terminal remota, atravez de un medio inseguro a una red, de manera segura. Esto se hace con un cliente VPN por software (Por ejemplo Cisco VPN Client).
En este caso el unico que necesita una IP fija y publica es el server ya que el cliente puede conectarse desde cualquier lugar del mundo siendo su IP distinta en cada conexion. Siendo siempre el cliente el que inicie la negociacion.

De las dos maneras, una vez establecida la conexion estamos en las mismas condiciones. Dos redes privada remotas, con rango privado, como si estuvieran fisicamente en la misma red, siempre de manera segura.

Para establecer la conexion los extremos deben autenticarse entre si en el caso de una VPN Site to Site y la terminal remota en el caso de una VPN Remote Access contra el VPN Server.
La autenticacion puede ser con una contraseña (Pre Shared Key) o se pueden usar firmas digitales guardadas localmente en la terminal o equipo a conectar.

Para mantener la integridad de la informacion en transito se usa un algoritmo de Hash (Por ejemplo MD5 o SHA) asi la informacion no puede ser alterada en transito. Y para la confidencialidad de la informacion se usan algoritmos de cifrado como DES, 3DES, AES.

Bueno lo escribi de memoria asi que si me olvido de algo avisen.

Tags: 

NMAP Port Scanner

Spanish
NMAP - Herramienta de exploracion de red y Escaner de seguridad.

SINOPSIS

nmap [Tipos(s)de escaneo] [Opciones]... [#N]>

DESCRIPCION
Nmap ha sido disenado para permitir a administradores de sistemas y gente curiosa en general el escaneo de grandes redes para determinar que servidores se encuentran activos y que servicios ofrecen. nmap es compatible con un gran numero de tecnicas de escaneo como: UDP, TCP connect(), TCP SYN (half open), ftp proxy (bounce attack), Reverse-ident, ICMP (ping sweep), FIN, ACK sweep, Xmas Tree, SYN sweep, and Null scan. Vease la seccion Tipos de Escaneo para mas detalles. nmap proporciona tambien caracteristicas avanzadas como la deteccion remota del sistema operativo por medio de huellas TCP/IP , escaneo tipo stealth
(oculto), retraso dinamico y calculos de retransmision, escaneo paralelo, deteccion de servidores inactivos por medio de pings paralelos, escaneo con senuelos, deteccion de filtrado de puertos, escaneo por fragmentacion y especificacion flexible de destino y puerto.

Se han hecho grandes esfuerzos encaminados a proporcionar un rendimiento decente para usuarios normales (no root). Por desgracia, muchos de los interfaces criticos del kernel ( tales como los raw sockets) requieren privilegios de root. Deberia ejecutarse nmap como root siempre que sea
posible.

OPCIONES
En general, pueden combinarse aquellas opciones que tengan sentido en conjunto. Algunas de ellas son especificas para ciertos modos de escaneo. nmap trata de detectar y advertir al usuario sobre el uso de combinaciones de opciones sicoticas o no permitidas.

Si usted es una persona impaciente, puede pasar directamente a la seccion ejemplos al final de este documento, donde encontrara ejemplos de los usos mas corrientes. Tambien puede ejecutar el comando nmap -h para una pagina de referencia rapida con un listado de todas las opciones.

Tipos de Escaneo:

-sT Escaneo TCP connect(): Es la forma mas basica de escaneo TCP. La llamada de sistema connect() proporcionada por nuestro sistema operativo se usa para establecer una conexion con todos los puertos interesantes de la maquina. Si el puerto esta a la escucha, connect() tendra exito, de otro modo, el puerto resulta inalcanzable. Una ventaja importante de esta tecnica es que no resulta necesario tener privilegios especiales. Cualquier usuario en la mayoria de los sistemas UNIX tiene permiso para usar esta llamada.

Este tipo de escaneo resulta facilmente detectable dado que los registros del servidor de destino muestran un monton de conexiones y mensajes de error para aquellos servicios que accept() (aceptan) la conexion para luego cerrarla inmediatamente.

-sS Escaneo TCP SYN: A menudo se denomina a esta tecnica escaneo "half open" (medio abierto), porque no se abre una conexion TCP completa. Se envia un paquete SYN, como si se fuese a abrir una conexion real y se espera que llegue una respuesta. Un SYN|ACK indica que el puerto esta a la escucha. Un RST es indicativo de que el puerto no esta a la escucha. Si se recibe un SYN|ACK, se envia un RST inmediatamente para cortar la conexion (en realidad es el kernel de nuestro sistema operativo el que hace esto por nosotros). La ventaja principal de esta tecnica de escaneo es que sera registrada por muchos menos servidores que la anterior. Por desgracia se necesitan privilegios de root para construir estos paquetes SYN modificados.

-sF -sX -sN
Modos Stealth FIN, Xmas Tree o Nul scan: A veces ni siquiera el escaneo SYN resulta lo suficientemente clandestino. Algunas firewalls y filtros de paquetes vigilan el envio de paquetes SYN a puertos restringidos, y programas disponibles como Synlogger y Courtney detectan este tipo de escaneo. Estos tipos de escaneo avanzado, sin embargo, pueden cruzar estas barreras sin ser detectados.

La idea es que se requiere que los puertos cerrados respondan a nuestro paquete de prueba con un RST, mientras que los puertos abiertos deben ignorar los paquetes en cuestion (vease RFC 794 pp 64). El escaneo FIN utiliza un paquete FIN vacio (sorpresa) como prueba, mientras que el escaneo Xmas tree activa las flags FIN, URG y PUSH. El escaneo NULL desactiva todas las flags. Por desgracia Microsoft (como de costumbre) decidio ignorar el estandar completamente y hacer las cosas a su manera. Debido a esto, este tipo de escaneo no funcionara con sistemas basados en Windows95/NT. En el lado positivo, esta es una buena manera de distinguir entre las dos plataformas. Si el escaneo encuentra puertos cerrados, probablemente se trate de una maquina UNIX, mientras que todos los puertos abiertos es indicativo de Windows. Excepcionalmente, Cisco, BSDI, HP/UX, MVS, y IRIX tambien envian RSTs en vez de desechar el paquete.

-sP Escaneo ping: A veces unicamente se necesita saber que servidores en una red se encuentran activos. Nmap puede hacer esto enviando peticiones de respuesta ICMP a cada direccion IP de la red que se especifica. Aquellos servidores que responden se encuentran activos. Desafortunadamente, algunos sitios web como microsoft.com bloquean este tipo de
paquetes. Nmap puede enviar tambien un paquete TCP ack al puerto 80 (por defecto). Si se obtiene por respuesta un RST, esa maquina esta activa. Una tercera tecnica implica el envio de un paquete SYN y la espera de de un RST o un SYN/ACK. Para usuarios no root se usa un metodo connect().

Por defecto (para usuarios no root), nmap usa las tecnicas ICMP y ACK en paralelo. Se puede cambiar la opcion -p descrita mas adelante.

Notese que el envio de pings se realiza por defecto de todas maneras y que solamente se escanean aquel los servidores de los que se obtiene respuesta. Use esta opcion solamente en el caso de que desee un ping sweep (barrido ping) sin hacer ningun tipo de escaneo de puertos.

-sU Escaneo Udp: Este metodo se usa para saber que puertos UDP (Protocolo de Datagrama de Usuario, RFC 768) estan abiertos en un servidor. La tecnica consiste en enviar paquetes UCP de 0 bytes a cada puerto de la maquina objetivo. Si se recibe un mensaje ICMP de puerto no alcanzable, entonces el puerto esta cerrado. De lo contrario, asumimos que esta abierto.

Alguna gente piensa que el escaneo UDP no tiene sentido. Normalmente les recuerdo el reciente agujero Solaris rcpbind. Puede encontrarse a rcpbind escondido en un puerto UDP no documentado en algun lugar por encima del 32770. Por lo tanto, no importa que el 111 este bloqueado por la firewall. Pero, cquien puede decir en cual de los mas de 30000 puertos altos se encuentra a la escucha el programa? iCon un escaner UDP se puede! Tenemos tambien el programa de puerta trasera cDc Back Orifice que se oculta en un puerto UDP configurable en las maquinas Windows, por no mencionar los muchos servicios frecuentemente vulnerables que usan UDP como snmp, tftp, NFS, etc.

Por desgracia, el escaneo UDP resulta a veces tremendamente lento debido a que la mayoria de los servidores implementan una sugerencia recogida en el RFC 1812 (seccion 4.3.2.8) acerca de la limitacion de la frecuencia de mensajes de error ICMP. Por ejemplo, el kernel de Linux (en /ipv4/icmp.h) limita la generacion de mensajes de destino inalcanzable a 80 cada cuatro segundos, con una penalizacion de 1/4 de segundo si se rebasa dicha cantidad. Solaris tiene unos limites mucho mas estrictos (mas o menos 2 mensajes por segundo) y por lo tanto lleva mas tiempo hacerle un escaneo. nmap detecta este limite de frecuencia y se ralentiza en consecuencia, en vez de desbordar la red con paquetes inutiles que la maquina destino ignorara.

Como de costumbre, Microsoft ignoro esta sugerencia del RFC y no parece que haya previsto ningun tipo de limite de frecuencia para las maquinas Windows. Debido a esto resulta posible escanear los 65K puertos de una maquina Windows muy rapidamente.

-b
Ataque de rebote FTP: Una caracteristica "interesante" del protocolo FTP (FRC 959) es la posibilidad de realizar conexiones ftp tipo "proxy". En otras palabras, ime resultaria posible conectarme desde malvado.com al servidor ftp de destino.com y pedirle a ese servidor que enviase un archivo a CUALQUIER PARTE de Internet! Aun asi, esto podria haber funcionado bien en 1985 cuando se escribio el RFC, pero en la Internet actual, no podemos permitir que la gente vaya por ahi asaltando servidores ftp y pidiendoles que escupan sus datos a puntos
arbitrarios de Internet. Tal y como escribio *Hobbit* en 1985, este defecto del protocolo "puede usarse para enviar mensajes de correo y noticias cuyo rastro sera virtualmente imposible de seguir, machacar servidores en varios sitios web, llenar discos, tratar de saltarse firewalls y , en general, resultar molesto y dificil de detectar al mismo tiempo." Nosotros explotaremos este defecto para (sorpresa, sorpresa) escanear puertos TCP desde un servidor ftp "proxy". De este modo nos podriamos conectar a un servidor ftp tras una firewall, y luego escanear aquellos puertos que con mas probabilidad se encuentren loqueados (el 139 es uno bueno). Si el servidor ftp permite la lectura y escritura en algun directorio (como por ejemplo incoming), se pueden enviar datos arbitrarios a puertos que se encuentren abiertos (aunque nmap no realiza esta funcion por si mismo).

El argumento que se pasa a la opcion 'b' es el host que se pretende usar como proxy, en notacion URL estandar. El formato es: nombre_de_usuarioassword@servidoruerto. Todo excepto servidor es opcional. Para determinar que servidores son vulnerables a este ataque, vease mi articulo en Phrack 51. Se encuentra disponible una version actualizada en la URL de nmap (http://www.insecure.org/nmap).

Opciones Generales
No se requiere ninguna pero algunas de ellas pueden resultar de gran utilidad.

-p0 No intenta hacer ping a un servidor antes de escanearlo. Esto permite el escaneo de redes que no permiten que pasen peticiones (o respuestas)de ecos ICMP a traves de su firewall. microsoft.com es un ejemplo de una red de este tipo, y, por lo tanto, deberia usarse siempre -p0 o -PT80 al escanear microsoft.com.

-PT Usa el ping TCP para determinar que servidores estan activos. En vez de enviar paquetes de peticion de ecos ICMP y esperar una respuesta, se lanzan paquetes TCP ACK a traves de la red de destino (o a una sola maquina) y luego se espera a que lleguen las respuestas. Los servidores activos responden con un RST. Esta opcion mantiene la eficiencia de escanear unicamente aquellos servidores que se encuentran activos y la combina con la posibilidad de escanear redes/servidores que bloquean los paquetes ping. Para los usuarios no root se usa connect(). Para establecer el puerto de destino de los paquetes de prueba use -PT El puerto por defecto es el 80, dado que normalmente este puerto no es un puerto filtrado.

-PS Esta opcion usa paquetes SYN (peticion de conexion) en vez de los paquetes ACK para usuarios root. Los servidores activos deberian responder con un RST (o, en raras ocasiones, un SYN|ACK).

-PI Esta opcion usa un paquete ping (peticion de eco ICMP) verdadero. Encuentra servidores que estan activos y tambien busca direcciones de broadcast dirigidas a subredes en una red. Se trata de direcciones IP alcanzables desde el exterior que envian los paquetes IP entrantes a una subred de servidores. Estas direcciones deberian eliminarse, si se encontrase alguna, dado que suponen un riesgo elevado ante numerosos ataques de denegacion de servicio (el mas corriente es Smurf).

-PB Este es el tipo de ping por defecto. Usa los barridos ACK ( -PT ) e ICMP ( -PI ) en paralelo. De este modo se pueden alcanzar firewalls que filtren uno de los dos (pero no ambos).

-O Esta opcion activa la deteccion remota del sistema operativo por medio de la huella TCP/IP. En otras palabras, usa un punado de tecnicas para detectar sutilezas en la pila de red subyacente del sistema operativo de los servidores que se escanean. Usa esta informacion para crear una 'huella' que luego compara con una base de datos de huellas de sistemas operativos conocidas (el archivo nmap-os-fingerprints) para decidir que tipo de sistema se esta escaneando.

Si encuentra una maquina diagnosticada erroneamente que tenga por lo menos un puerto abierto, me seria de gran utilidad que me enviase los detalles en un email (es decir, se encontro la version xxx de tal cosa y se detecto este u otro sistema operativo..). Si encuentra una maquina con al menos un puerto abierto de la cual nmap le informe "sistema operativo desconocido", le estaria agradecido si me enviase la direccion IP junto con el nombre del sistema operativo y el numero de su version. Si no me puede enviar la direccion IP, una alternativa seria ejecutar nmap con la opcion -d y enviarme las tres huellas que obtendria como resultado junto con el nombre del sistema operativo y el numero de version. Al hacer esto, esta contribuyendo a aumentar el numero importante de sistemas operativos conocidos por namp y de este modo el programa resultara mas exacto para todo el mundo.

-I Esta opcion activa el escaneo TCP de identificacion contraria. Tal y como comenta Dave Goldsmith en un correo Bugtrat de 1996, el protocolo ident (rfc 1413) permite la revelacion del nombre del usuario propietario de cualquier proceso conectado via TCP, incluso aunque ese proceso no haya iniciado la conexion. De este modo se puede, por ejemplo, conectar con el puerto http y luego usar identd para descubrir si el servidor esta ejecutandose como root. Esto solo se puede hacer con una conexion TCP completa con el puerto de destino (o sea, la opcion de escaneo -sT). Cuando se usa -I, se consulta al identd del servidor remoto sobre cada uno de los puertos abiertos encontrados en el sistema. Por supuesto, esto no funcionara si el servidor en cuestion no esta ejecutando identd.

-f Esta opcion hace que el escaneo solicitado de tipo SYN, FIN, XMAS, o NULL use pequenos paquetes IP fragmentados. La idea consiste en dividir la cabecera TCP en varios paquetes para ponerselo mas dificil a los filtros de paquetes, sistemas de deteccion de intrusion y otras inconveniencias por el estilo que tratan de saber lo uno esta haciendo. iTenga cuidado con esto! Algunos programas tienen problemas a la hora de manejar estos paquetes tan pequenos. Mi sniffer favorito produjo un error de segmentacion inmediatamente despues de recibir el primer fragmento de 36 bytes. iDespues de este viene uno de 24 bytes! Mientras que este metodo no podra con filtros de paquetes y firewalls que ponen en cola todos los fragmentos IP (como en el caso de la opcion CONFIG_IP_ALWAYS_DEFRAG en la configuracion del kernel de Linux), tambien es verdad que algunas redes no pueden permitirse el efecto negativo que esta opcion causa sobre su rendimiento y por lo tanto la dejan desactivada.

Notese que no he coseguido que esta opcion funcione con todos los sistemas. Funciona bien con mis sistemas Linux, FreeBSD y OpenBSD y algunas personas han informado de exitos con otras variantes *NIX.

-v Modo de informacion ampliada. Esta opcion resulta muy recomendable y proporciona gran cantidad de informacion sobre lo que esta sucediendo. Puede usarla dos veces para un efecto mayor. iUse -d un par veces si lo que quiere es volverse loco haciendo scroll en su pantalla!

-h Esta opcion tan practica muestra una pantalla de referencia rapida sobre las opciones de uso de nmap. Quizas haya notado que esta pagina de manual no es precisamente una "referencia rapida"

-o
Esta opcion guarda los resultados de sus escaneos en forma humanamente inteligible en el archivo especificado como argumento.

-m
Esta opcion guarda los resultados de sus escaneos en un formato comprensible para una maquina en el archivo especificado como argumento.

-i
Lee especificaciones de servidores o redes de destino a partir del archivo especificado en vez de hacerlo de la linea de comandos. El archivo debe contener una lista de expresiones de servidores o redes separadas por espacios, tabuladores o nuevas lineas. Use un guion (-) como nombre_de_archivo_de_entrada si desea que nmap tome las expresiones de servidores de stdin. Vease la seccion Especificacion de Objetivo para mas informacion sobre expresiones con las que poder completar este archivo.

-p
Esta opcion determina los puertos que se quieren especificar. Por ejemplo, '-p 23' probara solo el puerto 23 del servidor(es) objetivo. '-p 20-30,139,60000-' escanea los puertos del 20 al 30, el puerto 139 y todos los puertos por encima de 60000. Por defecto se escanean todos los puertos entre el 1 y el 1024 asi como los que figuran en el archivo /etc/services.

-F Modo de escaneo rapido.
Implica que solo se desean escanear aquellos puertos que figuran en /etc/services. Obviamente esto resulta mucho mas rapido que escanear cada uno de los 65535 puertos de un servidor.

-D
Especifica que se desea efectuar un escaneo con senuelos, el cual hace que el servidor escaneado piense que la red destino del escaneo esta siendo escaneada tambien por el servidor(es) especificados como senuelos. Asi, sus IDs pueden informar de entre 5 y 10 escaneos procedentes de direcciones IP unicas, pero no sabran que direccion IP les estaba escaneando realmente y cuales eran senuelos inocentes.

Separe cada servidor senuel o con comas, y puede usar opcionalmente 'ME' como senuelo que representa la posicion que quiere que ocupe su direccion IP. Si coloca 'ME' en la sexta posicion o superior, es muy poco probable que algunos escaneres de puertos comunes (como el excelente scanlogd de Solar Designer) lleguen incluso a mostrar su direccion IP. Si no se usa 'ME', nmap le colocara a usted en una posicion aleatoria.

Notese que aquellos servidores usados como senuelos deben escontrarse activos, o, de lo contrario podria provocar un desbordamiento (flood) SYN en su objetivo. Por otra parte, resultara bastante facil saber que servidor esta escaneando si unicamente hay uno activo en la red.

Notese tambien que algunos (estupidos) "detectores de escaneres de puertos" opondran una firewall o bien denegaran el rutaje a aquellos servidores que intenten escanear sus puertos. De este modo se podria provocar inadvertidamente que la maquina que se esta intentando escanear perdiese contacto con los servidores usados como senuelos. Esto podria causarles a los servidores escaneados verdaderos problemas si los servidores senuelo fuesen, por ejemplo, su gateway a internet o incluso "localhost". Deberia usarse esta opcion con extremo cuidado. La verdadera moraleja de este asunto es que un detector de escaneos de puertos que
aparenten tener inten ciones poco amistosas no deberia llevar a cabo accion alguna contra la maquina que aparentemente le esta escaneando. iPodria no ser mas que un senuelo!

Los senuelos se usan tanto en el escaneo ping inicial (usando ICMP, SYN, ACK, o lo que sea) como en la fase de escaneo de puertos propiamente dicha. Tambien se usan los senuelos en la fase de deteccion remota del si stema operativo ( -O ).

Vale la pena destacar que el uso de demasiados senuelos puede ralentizar el proceso de escaneo y, potencialmente, hacer que sea menos exacto. Por otra parte, algunos ISPs filtraran los paquetes manipulados y los desecharan, aunque muchos (actualmente la mayoria) no ponen restricciones a este tipo de paquetes.

-S
En determinadas circunstancias, es posible que nmap no sea capaz de determinar su (de usted) direccion IP de origen (nmap se lo hara saber si este es el caso). En este caso, use -S con su direccion IP (del interfaz a traves del cual desea enviar los paquetes).

Otro posible uso de esta opcion es el de manipular el escaneo para hacer creer a los servidores de destino que alguien mas les esta escaneando. iImaginese a una compania escaneada repetidamente por una compania rival! Esta no es la funcion para la que se ha disenado esta opcion (ni su proposito principal). Simplemente pienso que revela una posibilidad que la gente deberia tener en cuenta antes de acusar a los demas de escanear sus puertos. La opcion -e sera necesaria en general para este tipo de uso.

-e
Le dice a nmap que interfaz ha de usar para enviar y recibir paquetes. El programa deberia detectar esto por si mismo, pero le informara si no es asi.

-g
Establece el numero de puerto de origen a usar en los escaneos. Muchas instalaciones de firewalls y filtros de paquetes inocentes hacen una excepcion en sus reglas para permitir que las atraviesen y establezcan una conexion paquetes DNS (53) o FTPDATA (20). Evidentemente esto contraviene completamente las ventajas en materia de seguridad que comporta una firewall dado que los intrusos pueden enmascararse como DNS o FTP con una simple modificacion de su puerto de origen. Por supuesto, deberia probarse primero con el puerto 53 para un escaneo UDP y los escaneos TCP deberian probar el 20 antes del 53.

Notese que el uso de esta opcion penaliza levemente el rendimiento del escaneo, porque a veces se almacena informacion util en el numero de puerto de origen.

-M
Establece el numero maximo de sockets que se usaran en paralelo para un escaneo TCP connect() (escaneo por defecto). Resulta util a la hora de ralentizar ligeramente el proceso de escaneo con el fin de evitar que la maquina de destino se cuelgue. Otra manera de hacerlo es usar -sS, que normalmente les resulta mas facil de asumir a las maquinas de destino.

Especificacion de Objetivo
Cualquier cosa que no es una opcion (o el argumento de una opcion) en namp se trata como una especificacion de servidor de destino. El caso mas simple consiste en especificar servidores aislados o direcciones IP en la linea de comandos. Si pretendeescanear una subred de direcciones IP, entonces se puede anadir '/mask' a la direccion IP o al nombre del servidor. mask debe estar entre 0 (escanea toda Internet) y 32 (escanea unicamente el servidor especificado). Use /24 para escanear una direccion de clase 'C' y /16 para la clase 'B'.

Nmap dispone tambien de una notacion mucho mas potente que permite la especificacion de direcciones IP usando listas/rangos para cada elemento. De este modo, se puede escanear la red de clase 'B' completa 128.210.*.* especificando '128.210.*.*' o '128.210.0-255.0-255' o incluso notacion de mascara: '128.210.0.0/16'. Todas ellas son equivalentes. Si se usan asteriscos ('*'), h a de tenerse en cuenta que la mayoria de los shells requieren que se salga de ellos con caracteres / o que se les proteja con comillas.

Otra posibilidad interesante consiste en dividir Internet en el otro sentido. En vez de escanear todos los servidores en una clase 'B', se puede escanear '*.*.5.6-7' para escanear todas las direcciones IP terminadas en .5.6 o .5.7 Escoja sus propios numeros.

EJEMPLOS
A continuacion se muestran algunos ejemplos del uso de nmap que abarcan desde los usos mas normales y frecuentes a los mas complejos o incluso esotericos. Notese que se han incluido direciones IP y nombres de dominio reales para hacer las cosas mas concretas. Usted deberia su stituirlos por numeros y direcciones de su propia red. No creo que escanear otras redes sea ilegal; ni se deberian considerar los escaneos de puertos como ataques. He escaneado cientos de miles de maquinas y tan solo he recibido una queja. Pero no soy abogado y es posible que los intentos de nmap lleguen a molestar a alguna gente.
Obtenga primero el permiso para hacerlo o hagalo bajo su propia responsabilidad.

nmap -v objetivo.ejemplo.com

Esta opcion escanea todos los puertos TCP reservados en la maquina objetivo.ejemplo.com. La -v implica la activacion del modo de informacion ampliada.

nmap -sS -O objetivo.ejemplo.com/24

Lanza un escaneo SYN oculto contra cada una de las maquinas activas de las 255 maquinas de la classe 'C' donde se aloja objetivo.ejemplo.com. Tambien trata de determinar el sistema operativo usado en cada una de las maquinas activas. Este escaneo requiere privilegios de root a causa del escaneo SYN y la deteccion del sistema operativo.

nmap -sX -p 22,53,110,143 128.210.*.1-127

Envia un escaneo Xmas tree a la primera mitad de cada una de las 255 posibles subredes de 8 bits en el espacio de direcciones clase 'B' 128.210 . Se trata de comprobar si
los sistemas ejecutan sshd, DNS, pop3d, imapd o el puerto 4564. Notese que el escaneo Xmas no funciona contra servidores ejecutando cualquier sistema operativo de Microsoft
debido a una pila TCP deficiente. Lo mismo se aplica a los sistemas CISCO, IRIX, HP/UX, y BSDI.

nmap -v -p 80 '*.*.2.3-5'

En vez de centrarse en un rango especifico de direcciones IP, resulta a veces interesante dividir Internet en porciones y escanear una pequena muestra de cada porcion.0
Este comando encuentra todos los servidores web en maquinas cuyas direcciones IP terminen en .2.3, .2.4, o .2.5 . Si usted es root podria anadir tambien -sS. Tambien encontrara maquinas mucho mas interesantes si empieza en 127. asi que es posible que desee usar '127-222' en vez de el primer asterisco dado que esa seccion tiene una densidad mucho mayor de maquinas interesantes (IMHO).

host -l compania.com | cut '-d ' -f 4 | ./nmap -v - i -

Hace una transferencia de DNS de zona para descubrir los servidores en compania.com y luego pasar las direcciones IP a nmap. Los comandos arriba indicados son para mi sistema Linux. Es posible que se necesiten comandos/opciones diferentes para otros sistemas operativos.

Tags: 

Proteger Perfiles de Firefox con Contraseña

Spanish

Para proteger de verdad un perfil de firefox con contraseña existe un plugin llamado ProfilePassword.
La ventaja concreta es que directamente no abre el perfil seleccionado si no se ingresa la contraseña correcta.

Crear Perfiles de Firefox en windows:
Agregamos el -p al final del campo destino en las propiedades del acceso directo
Por ejemplo: "C:\Program Files (x86)\Mozilla Firefox\firefox.exe" -p

En linux simplemente escribis en consola:
firefox --p

Una vez instalado el PlugIn vamos al menu Herramientas/ProfilePassword

Ahi hacemos click en el botón Establecer/Cambiar contraseña e ingresamos la contraseña nueva.

Y listo... Cuando abramos el firefox e intentemos abrir nuestro perfil protegido nos aparecera esto:

Pueden descargar el plugin desde aqui o desde aqui

Tags: 

Denunciar delitos informaticos

Spanish

Como denunciar cuando por ejemplo nos llega un mail Phishing (Suplantacion de identidad)?
Bueno, si bien no soy experto en esto les tiro algunas puntas por lo menos para empezar. 

Primero que nada hay que entender que NUNCA NADIE de ningun banco, JAMAS, nos va a pedir que cambiemos nuestra contraseña ni ingresemos ningun dato. A lo sumo cuando quieras entrar el banco te rebota la contraseña por antigua, dependiendo sus politicas de privacidad supermolestas, y nos pedira cambiarla por otra distinta a la que tengamos. PERO NUNCA nos va a avisar de esto a menos que entremos por nuestra propia voluntad a la pagina del banco y tratemos de ingresar.
Asi que JAMAS se entra al banco o entidad alguna linkeando desde un mail o similar. Lo mejor es tener un favorito o poner la direccion a mano en el navegador. TAMPOCO POR TELEFONO LO PIDEN!

Es muy importante hacerlo, aunque sean IPs temporales las que envian estos mails, hay que denunciar y tomarnos el tiempo que sea necesario para hacerlo. De esta manera colaboramos para ir disminuyendo estas actividades en la medida de nuestras posibilidades.

Una primera opcion seria denunciarla en google, si bien no tiene demasiado efecto ya que estos son mails que nos llegan spam, no estaria de mas. https://www.google.com/safebrowsing/...ish/?hl=es-419

Tambien en la pagina de ESET podemos hacerlo.
http://kb.eset-la.com/esetkb/index?p...s&locale=es_ES

En caso de que nos llegara un correo de un supuesto banco, tambien hay que denunciarlo al mismo banco. Todos tienen un area de delitos informaticos donde denunciarlo. 

Otra opcion es hacer la denuncia en NIC.ar en caso de que sea un .com.ar o bien en el NIC que corresponda.
http://punto.ar/atencion/contacto/

Tambien el el la opcion Help/Ayuda de Menu del nuestro browser esta la opcion de reportar. Todos los navegadores los tienen (Internet Explorer, Firefox, Chrome, etc)

En caso que sea algo grave se puede ir denunciar a la "División Delitos Tecnológicos de la Policía 
Federal Argentina"
 directamente a delitostecnologicos@policiafederal.gov.ar

Links de interes:
Argentina Cybersegura - Contiene mucha informacion util para descargar en español, como por ejemplo:Como denunciar un delito informatico
APWG (Anti Phishing Group)
Stop Badware
Que es el Phishing (Google)
Que es el Phishing (Wikipedia)

Voy a ir agregando cosas, esto lo arme asi nomas por que me llego un mail y me dio la inquietud de compartirlo.
Salu2

Tags: 

Configuracion Basica VPN Router Cisco

Spanish

Esta es una configuracion basica, que obviamente hay que replicar en el otro extremo con sus valores opuestos.
Es una referencia rapida nomas.

 

Código:
crypto isakmp policy 10
 hash md5
 authentication pre-share
crypto isakmp key CLAVE address x.x.x.x

crypto ipsec transform-set MYSET esp-des esp-md5-hmac

crypto map VPN_NAME 10 ipsec-isakmp
 set peer x.x.x.x
 set transform-set MYSET
 match address 101

access-list 101 permit ip 192.168.1.0 0.0.0.255 192.168.3.0 0.0.0.255
access-list 101 permit ip 192.168.2.0 0.0.0.255 192.168.3.0 0.0.0.255

interface FastEthernet0/0
 description WAN PUBLICA
 ip address x.x.x.x 255.255.255.0
 ip nat outside
 crypto map VPN_NAME
 

Tags: 

IPSec

Spanish

IPSec (RFC2401)

Compuesta de dos protocolos principales:

* Cabecera de Autenticación(AH)(IP51): Protocolo de seguridad que proporciona servicios opcionales de autenticación y detección de la reproduccion.
Actua como firma digital para garantizar que la totalidad del paquete ip no ha sido manipulado.
AH proporciona autenticación a la totalidad del paquete.
No proporciona servicios de cifrado y puede ser usado por si solo o con ESP.

* Sobrecarga de Seguridad del Encapsulado (ESP)(IP50):
Proporciona confidencialidad y protección de los datos, así como servicios de autenticaciñon y detección de la reproducción opcionales.

IKE(UDP 500): Protocolo híbrido compuesto por estandares ISAKMP y OAKLEY, proporciona servicios a IPSec:
1- Atenticación de iguales IPSec.
2- Negociación de Asociaciones de Seguridad IKE e IPSec.
3- Establecimiento de claves para los algoritmos de cifrado que utiliza IPSec.

SA:Asociación de seguridad.
Es una conexión entreiguales IPSec que determina los servicios IPSec disponibles entre iguales, similares a un puertoTCP o UDP.
Las SA se identifican por la dirección del igual IPSec, el protocolo de seguridad, y el índice de parametro de seguridad (SPI).

DES: Es utilizado por IPSec e IKE para Cifrado de datos. Utiliza una clave de 56bits (Alto rendimiento - Cifrado debil).
3DES: Varian te de DES que se repite 3 veces con claves separadas, doblando la capacidad de DES.
Es Utilizado por IPSEC y utiliza una clave de 168 bits.

D-H: Diffie-Hellman es un protocolo de cifrado de calve públicaque permite que las dos partes establezcan una clave secreta compartida sobre un canal de comunicaciones inseguro.
Se usa en IKE para establecer las claves de sesión.
Elintercambio DH puede ser autenticado con RSA (o con claves precompartidas).

MD5: Message Digest Version 5 es un algoritmo Hash que autentica los datos de los paquetes. Es un algoritmo de cifrado de sentido único que toma un mensaje de entrada y genera un mensaje de salida de longitud fija.
IKE, AH y ESP pueden usar MD5 para la autenticación.
MD procesa su entrada en bloques de 512 bits y genera un conjunto de mensajes de 128 bits.

SHA-1: Sebure Hash Algorithm es un algoritmo Hash que firma y autentica los datos de los paquetes. (Utilizado por IKE, AH y ESP).

Firmas RSA: Sistema de cifrado de clave pública que sirve para la autenticación.
Cada usuario posee una clave pública y una privada. El cifrado se lleva a cabo con la clave pùblica mientras que el descifrado con la clave privada.

CA: (Autoridad de Certificados) Cuando dos iguales IPSec desean comunicarse intercambian certificados digitales para probar sus identidades (con lo que se elimina la necesidad de intercambiar una clave pública). Estos certificados digitales se obtienen de una CA.
El PIX utilizsa firmas RSA para autenticar el intercambio CA.

Tags: 

Certificacion CISSP

Spanish
CISSP

CISSP (Certified Information Systems Security Professional) es una certificacion de alto nivel profesional otorgada por la (ISC)2 (International Information Systems Security Certification Consortium, Inc), con el objetivo de ayudar a las empresas a reconocer a los profesionales con formación en el área de seguridad de la información.

CISSP es considerada como una de las credenciales de mayor representatividad en el ámbito de la seguridad informática a nivel mundial. Para mayo del 2006, había registrados 38384 CISSPs en el mundo.

Requisitos
Los aspirantes a obtener la certificación CISSP deben cumplir con los siguientes requerimientos:
 

  • Aprobar el examen para CISSP: Este examen consta de 250 preguntas de selección simple y 6 horas de duración, en el cual se evalúa el manejo que tiene el candidato sobre cada uno de los 10 dominios de conocimiento que conforman el Common Body of Knowledge (CBK).
  • Demostrar experiencia mínima de 5 años en al menos dos de los 10 dominios del CBK.
  • Adherirse al Código de Ética de la ISC2.
  • En caso de ser seleccionado para tal fin, el aspirante debe someterse y pasar un proceso de auditoría.

Con el objetivo de mantener su estado de CISSP, aquellos profesionales certificados deben realizar cierta cantidad de actividades cuya finalidad primordial es asegurar que el profesional se ha mantenido activo en el área de la seguridad. Cada una de estas actividades reciben cierta cantidad de créditos (CPE) de los cuales el profesional debe reunir 120 cada 3 años. Si el CISSP no reúne los 120 CPEs en el tiempo definido, debe entonces volver a tomar y aprobar el examen si desea mantener su certificación.

Dominios

1. Seguridad de la información y Gestión de riesgos (Information Security and Risk Management)
2. Sistemas y metodología de control de acceso (Access Control Systems and Methodology)
3. Criptografía (Cryptography)
4. Seguridad física (Physical Security)
5. Arquitectura y diseño de seguridad (Security Architecture and Design)
6. Legislación, regulaciones, cumplimiento de las mismas e investigación (Legal, Regulations, Compliance, and Investigation)
7. Seguridad de la red y las telecomunicaciones (Telecommunications and Network Security)
8. Continuidad de actividad y Planificación de recuperación de desastres (Business Continuity and Disaster Recovery Planning)
9. Seguridad de aplicaciones (Applications Security)
10. Seguridad de operaciones (Operations Security)

__________________

Tags: 

Configuracion Basica PIX 6x

Spanish

Aca pongo los comandos basicos para configurar un PIX501 (6.x) con lo basico para que funcione.
Si me olvido de algo me avisan.

 

Definir el nombre de host y password

Código:
pixfw(config)# hostname pix
pix(config)# enable password enable-password
pix(config)# passwd telnet-password

Configurar DSL PPPoE DHCP

Código:
pix(config)# ip address outside pppoe setroute
pix(config)# ip address inside 192.168.1.1 255.255.255.0
pix(config)# vpdn group ISP request dialout pppoe
pix(config)# vpdn group ISP localname dsl-username
pix(config)# vpdn group ISP ppp authentication pap
pix(config)# vpdn username dsl-username password dsl-password

 

Configurar con DHCP

Código:
ip address outside dhcp setroute
ip address inside 192.168.1.1 255.255.255.0

 

Configurar con IP Estática

Código:
ip address outside IP Netmask
ip address inside 192.168.1.1 255.255.255.0
route outside 0.0.0.0 0.0.0.0 x.x.x.x

 

Configuración NAT con DHCP

Código:
global (outside) 1 interface
nat (inside) 1 0 0
o
nat (inside) 1 192.168.1.0 255.255.255.0 0 0

( el 0 0 del nat reemplaza al any)

 

Publicar un servidor web

Código:
access-list inbound permit tcp any IP-servidor-web eq www
access-group inbound in interface outside
static (inside,outside) tcp interface www IP-servidor-web www netmask 255.255.255.255

 

Configurar Telnet

Código:
telnet IP Netmask Interface
(ej: telnet 192.168.1.150 255.255.255.0 inside)
telnet timeout 15

 

Servidor DHCP

Código:
dhcpd enable inside
dhcpd address IP_Inicial-IP_Final inside
dhcpd dns x.x.x.x
__________________

Tags: 

Guía Configurar Syslog en PIX

Spanish
El PIX envía mensajes Syslog para documentar los siguientes eventos:
* Seguridad => Paquetes UDP y Conexiones TCP Denegadas.
* Recursos.
* Sistema => Inicios y cierres de sesión en consola, telnet y reinicios del pix.
* Contabilidad => Bytes transferidos.

Niveles de Registro:

0 Emergencies Mensajes de utilización del sistema.
1 Alerts Actuar de inmediato.
2 Critical Condición Crítica.
3 Errors Mensaje de error.
4 Warnings Mensaje de aviso.
5 Notifications Condición normal pero importante.
6 Informational Mensaje Informativo.
7 Debugging Depuración y registro de comandos.

Cuando se establece un numero de nivel de registro se suprimen los de nivel superior. Osea que si se establece en nivel 4 no se verán mensaje de nivel 5, 6 y 7.

 

Parámetros Explicación
on  Comienza a enviar mensajes syslog
buffered  Los mensajes syslog se envían a un buffer interno que puede ser visto con el comando show logging.
Nivel  Nivel de mensaje de 0 a 7.
console  Determina que los mensajes aparezcan en consola. Afecta al rendimiento del equipo.
Facility  Servicio syslog. Por default 20.
Servicio  Default LOCAL4(20), Los host almacenan los mensajes en base al nº de servicio.
history  Nivel de mensaje SNMP para enviar interrupciones syslog.
host  Servidor que recibirá los mensajes syslog.
nombre_if Interfaz en la que reside el servidor syslog.
dir_ip
IP del server syslog que recibe los mensajes.
puerto  Puerto desde el cual el PIX envia los mensajes, TCP o UDP. Default: UDP 514
Message  Mensaje que se va a autorizar. Con clear logging disabled restablece los mensajes no perminitidos.
id_syslog Especifica el Nº de mensaje a autorizar o denegar. Ej: % PIX-a-101001
disabled  Borra o muestra los mensajes suprimidos. (no logging message).
monitor  Especifica que aparezcan los mensajes de las sesiones telnet en la consola del PIX.
queue  Especifica el tamaño de cola para almacenar mensajes.
standby  Permite que la unidad de reserva de recuperación ante fallos envíe tambien mensajes syslog.
timestamp  Envia los mensajes con mara horaria.
trap  Nivel de registro para los mensajes syslog.
clear  Despeja el buffer.
show
Enumera las opciones de registro que estan activas.

Comando logging hostEspecifica la dirección IP del server y de ser necesario el protocolo y puerto.
logggin host [nombre_if] IP [protcolo/puerto]

Comando loggging trap
Determina el nivel de los mensajes syslog.
logging trap nivel

Comando logging buffered
Envia mensajes syslog a un buffer interno de memoria del PIX para verse con el comando show logging, o borrarlo con clear logging.
logging buffered nivel

Comando logging console (Afetca al rendimiento del PIX)
Envía los mensajes syslog al puerto de consola.
logging console nivel

Comando logging facility
Establece el número de servicio de los mensajes syslog.
logging facility servicio

Comando logging monitor
Envia los mensajes syslog a las sesiones telnet.
logging monitor nivel

Comando logging standby
La unidad de reserva tambien envía mensajes syslog.

Comando logging timestamps
Coloca uan marca horaria en los mensajes syslog.

Comando logging message
Indica los mensajes de syslog a suprimir.
logging message id_syslog

Comando show logging
Enumera las opciones de registro activadas.

Comando clear logging
Borra el buffer que utiliza el comando logging buffered.

Customizar los mensajes de Syslog y filtrar items:

Filtra mensajes del syslog:
firewall(config)#no logging message syslog_id

Código:
firewall(config)# no logging message 710005

Cambiar el nivel de mensajes del syslog:
firewall(config)#logging message syslog_id level level

Código:
firewall(config)# logging trap warnings
firewall(config)# logging message 302013 level 4
firewall(config)# logging message 302014 level 4
__________________

Tags: 

Comandos PIX

Spanish

Estos son los comandos básicos como para salir andando con un PIX 501 V6.3, para V7.x etc, los comandos son lo mismo pero en modo subinterface.
osea: 

si en V6.3 es:

Código:
# ip address inside 192.168.1.1 255.255.255.0

en versiones mas nuevas seria:

Código:
# int eth0
if)# ip address 192.168.1.1 255.255.255.0

Los comandos son:

nameif => Asigna un nombre y un nivel de seguridad a cada interface. (nameif ID_hardware nombre_interface Nivel_de_Seguridad)

Código:
    # nameif ethernet2 perimetro1 sec50
    # nameif ethernet1 DMZ security50

interface => Configura el tipo y la capacidad de cada interface. (interface ID_hardware velocidad)

Código:
    # interface ethernet1 auto
    # interface ethernet0 100full

ip address => Asigna un direccion IP a cada interface.

Código:
    # ip address outside dhcp setroute
    # ip add outside 192.168.1.1 255.255.255.0

nat => (Network Address Translation) Se utiliza para intercambiar paquetes entre dos redes que se asignan mutuamente direcciones incompatibles. Consiste en convertir en tiempo real las direcciones utilizadas en los paquetes transportados. (nat [(nombre_interface)] ID_nat IP_local [netmask [max_con [limite_emb]]] [norandomseq] )

Código:
    # nat (inside) 1 0 0 
    # nat (inside) 1 10.0.0.0 255.0.0.0 0 0

global => Crea entradas para un grupo de direcciones globales. Define el pool de direcciones IP traducidas.

Código:
    # global (outside) 1 interface
    # global (outside) 1 172.16.1.3-172.16.1.62

route => Defina un ruta estatica o por defecto para una interface. (route nombre_interface dir_IP netmask IP_gateway [metrica] )

Código:
    # route outside 0 0 192.150.50.1 1

Espero les sirva para arrancar.
Salu2

Tags: 

Listas de acceso basadas en horarios

Spanish

Listas de acceso basadas en horario (PIX/ASA)

El comando time-range se usa para definir un rango de tiempo. De esta manera se pueden denegar trafico o aplicar reglas al trafico segun el horario indicado.
Para implementar una ACL basada en horario se utiliza el comando time-range especificando periodicidad (semanal, diaria, etc) o de manera absoluta y se usan listas de acceso extendidas para aplicar el rango horario a dicha ACL.
(Se recomienda sincronizar el appliance a un servidor NTP para un mejor funcionamiento del time-range)

Absoluto: Fecha y hora de inicio/fin
Periódico: Día y hora de la semana

Este ejemplo crea un rango horario llamado "my_range" y lo aplica a la lista de acceso "acl_horario"

Código:
firewall(config)#time-range my_range
firewall(config-time-range)#periodic weekdays 07:00 to 19:00
firewall(config)#access-list acl_horario deny ip any any time-range my_range
firewall(config)#access-group acl_horario in interface inside
__________________

Tags: 

Comando ICMP

Spanish

Comando ICMP PIX

Configura reglas de acceso para paquetes icmp que tienen como destino una interface del firewall.
Por default el firewall de Cisco deniega todos los paquetes ICMP en la interface outside.

[no] icmp {permit | deny} ip_address net_mask [icmp_type] if_name
clear icmp
show icmp 

Sintaxis

deny
Denegar acceso
icmp_type
Tipo de mensaje icmp
if_name
Nombre de la interface
ip_address
Direccion IP del host que envia el paquete icmp a una interface.
net_mask
Mascarad e subred
permit
Permitir acceso

Ejemplos:
Denegar todos los paquetes icmp y permitir los mensajes de destino inalcanzable a la interface outside.

Código:
icmp permit any unreachable outside

Permitir ping desde el host 172.16.2.15 y a la red 172.22.1.0/16 a la interface outside

Código:
 icmp permit host 172.16.2.15 echo-reply outside 
icmp permit 172.22.1.0 255.255.0.0 echo-reply outside

Tipos de mensaje ICMP
 

Tipo
Mensaje
0
echo-reply
3
unreachable
4
source-quench
5
redirect
6
alternate-address
8
echo
9
router-advertisement
10
router-solicitation
11
time-exceeded
12
parameter-problem
13
timestamp-request
14
timestamp-reply
15
information-request
16
information-reply
17
mask-request
18
mask-reply
31
conversion-error
32
mobile-redirect
__________________

Tags: 

Configurar VPN Server PIX/ASA

Spanish
Configurar un Server VPN
 
Orden
 
Tarea
 
Detalle
 
Comando
 
Ejemplo
                   
1: Crear la politica ISAKMP para los VPN Client.
  firewall(config)# isakmp enable outside
  firewall(config)# isakmp policy 20 authentication pre-share
  firewall(config)# isakmp policy 20 encryption des
  firewall(config)# isakmp policy 20 hash sha
  firewall(config)# isakmp policy 20 group 2;
      Nota: Con DH Group 5 el Cisco VPN Client suele traer problemas para conectar.
                   
2: Definir un pool de direcciones IP.
  *Estas seran asignadas a los clientes que utilicen direccionamiento por DHCP
      firewall(config)# ip local pool my_pool 192.168.11.1-192.168.11.254
 
3: Definir la politica de grupo.
Configurar el tipo de tunnel group.
  *Nombrar el tunnel-group y definir el tipo de conexion VPN que sera establecida
    tunnel-group name type type
      firewall(config)# tunnel-group my_tunnel type ipsec-ra
 
Configurar la clave pre-shared.
  *Definir una pre-shared key
      firewall(config)# tunnel-group my_tunnel ipsec-attributes
      firewall(config-ipsec)# pre-shared-key my_password
 
Especifiquar el pool de direcciones locales.
  *Asociar un rango de direcciones IP
    address-pool [interface name] address_pool1 [...address_pool6]
      firewall(config)# tunnel-group my_tunnel general-attributes
      firewall(config-general)# address-pool my_pool
 
Configurar el tipo de group policy.
    group-policy {name internal [from group-policy name]}
      firewall(config)# group-policy my_tunnel internal
 
Ingresar al submodo group-policy attributes.
    group-policy {name} attributes
      firewall(config)# group-policy my_tunnel attributes
      firewall(config-group-policy)#
 
Definir el servidor DNS.
    dns-server {value ip_address [ip_address] | none}
      firewall(config-group-policy)# dns-server value 192.168.0.15
 
Definir el servidor WINS.
    wins-server value {ip_address} [ip_address] | none
      firewall(config-group-policy)# wins-server value 192.168.0.15
 
Definir el nombre de dominio DNS.
    default-domain {value domain-name | none}
      firewall(config-group-policy)# default-domain value mi_dominio
 
Definir el idle timeout.
    vpn-idle-timeout {minutes | none}
      firewall(config-group-policy)# vpn-idle-timeout 600
 
4: Crear el transform set.
    crypto ipsec transform-set transform_name transform1 [transform2]]
      firewall(config)# crypto ipsec transform-set remoteuser1 esp-des esp-sha-hmac
 
5: Crear el crypto map dinamico.
    crypto dynamic-map my_dynmap dynamic-seq-num set transform-set transform_name1 [...9]
      firewall(config)# crypto dynamic-map dyna-map 10 set transform-set remoteuser1
 
6: Asignar el crypto map dinamico a un crypto map estatico.
    crypto map map-name seq-num ipsec-isakmp dynamic my_dynmap
      firewall(config)# crypto map user-map 10 ipsec-isakmp dynamic dyna-map
 
7: Apliquar el crypto map a una interfaz.
    crypto map map-name interface nombre_interface
      firewall(config)# crypto map user-map interface outside
 
8: Configurar Xauth.
Habilitar la autenticacion AAA.
    aaa-server server-tag protocol server-protocol
      firewall(config)# aaa-server mytacacs protocol tacacs+
      firewall(config-aaa-server-group)#
 
Definir la IP del server AAA y la clave de encripcion.
    aaa-server server-tag [(interface-name)] host server-ip [key] [timeout seconds]
      firewall(config)# aaa-server mytacacs (inside) host 192.168.0.15 my_password timeout 5
      firewall(config-aaa-server-host)#
 
Habilitar IKE Xauth para el tunnel group.
    authentication-server-group [(interface name)] server group [LOCAL | NONE]
      firewall(config)# tunnel-group my_tunnel general-attributes
      firewall(config-general)# authentication-server-group mytacacs
 
9: Configurar NAT y NAT 0.
      firewall(config)# access-list 101 permit ip 192.168.0.0 255.255.255.0 172.16.11.0 255.255.255.0
      firewall(config)# nat (inside) 0 access-list 101
      firewall(config)# nat (inside) 1 0.0.0.0 0.0.0.0 0 0
      firewall(config)# global (outside) 1 interface
  *Los paquetes que mapeen con la access-list 101 viajaran encriptados con nat0
  *Los paquetes que no mapeen serán enviados en texto plano con NAT/Global
 
10: Habilitar IKE Keepalive
    isakmp keepalive [threshold seconds] [retry seconds] [disable]
      firewall(config)# tunnel-group my_tunnel ipsec-attributes
      firewall(config-ipsec)# isakmp keepalive threshold 30 retry 10
                   

Tags: 

Configurar IP SLA PIX/ASA

Spanish

Cisco SLA permite monitorear los niveles de servicio para aplicaciones y determinados indicadores de performance de la red.
Utiliza inyección de paquetes de prueba etiquetados con un time stamp para calcular las diferentes métricas de performance.
Recopila información de rendimiento en tiempo real: Ping, latencia, jitter, pérdida de paquetes, etc.
De esta manera se puede elegir el enlace para salir a internet por ejemplo en caso de caidas.

Definir las 2 interfaces:

Código:
interface Ethernet0/1
 nameif outside1
 security-level 0
 ip address IP_Publica 255.255.255.0 

interface Ethernet0/2
 nameif outside2
 security-level 10
 ip address Segunda_IP_Publica 255.255.255.248

Definir el GateWay y su metrica para dar prioridad:

Código:
route outside1 0.0.0.0 0.0.0.0 Gatweay_IP_Publica 1 track 1
route outside2 0.0.0.0 0.0.0.0 Gatweay_Segunda_IP_Publica 200

Defino el Track:

Código:
track 1 rtr 2 reachability
sla monitor 2
 type echo protocol ipIcmpEcho 8.8.8.8 interface outside1
 frequency 20
sla monitor schedule 1 life forever start-time now

//8.8.8.8 es la ip publica con la que pegara nuestro SLA ( google en este caso)

Comando:

track nro_objeto rtr nro_operacion {state | reachability}
nro_Objeto => Objeto a ser trackeado. Valor entre 1 y 500.
nro_Operacion => Number used for the identification of the IP SLAs operation you are tracking.
state => Seguimiento del código de retorno de la operación.
reachability => Define si la ruta es accesible.

Tags: 

Configurar SSH en PIX-ASA

Spanish

En modo de Configuracion Global

Código:
ASA# config t

Creamos una password para modo privilegiado y luego un usuario local con su nivel de privilegio (max 15)

Código:
ASA(config)# enable password ********
ASA(config)# username tecnologiayrredes password cisco123 privilege x

Matcheamos el acceso por SSH con la base de usuarios local (En este caso el usuario tecnologiayrredes). OJO! que tambien en ese caso el login por consola seria LOCAL. Es un ejemplo.

Código:
ASA(config)# aaa authentication ssh console LOCAL

Permitimos el acceso al ASA desde la interfaz inside y la red que le especifiquemos. el 0 0 es un comodin de any, osea que cualquier IP con cualquier Mask desde le inside en este ejemplo. Pero para mayor seguridad es mejor especificar las redes permitidas o los host o grupo de hosts. (Ver Objet-Groups)

Código:
ASA(config)# ssh 0 0 inside

Creamos el dominio debido. La llave RSA se genera a partir del nombre de dominio y el nombre del ASA.

Código:
ASA(config)# domain-name dominio.com

Si por alguna razon necesitamos primero borrar las claves RSA existentes escribimos:

Código:
ASA(config)#crypto key zeroize rsa

Generamos la llave RSA.

Código:
ASA(config)# crypto key generate rsa modulus 1024

Con eso deberia andar si no me olvide nada.
Salu2

Tags: 

Recuperacion de contraseña -Password Recovery Cisco

Spanish
Recuperacion de contraseña / Password Recovery Cisco

Catalyst

1- Conectarse al equipo por consola.
2- Apagar el equipo y prenderlo con el boton "Mode" (lado izquierdo del Switch) presionado
3- Aparecera algo similar a esto:
 

Código:
The system has been interrupted prior to initializing the
flash filesystem.  The following commands will initialize
the flash filesystem, and finish loading the operating
system software:
    flash_init
    load_helper
    boot
switch:

4- escribir:

Código:
flash_init

Apafrecera algo asi:
 

Código:
Initializing Flash...
flashfs[0]: 143 files, 4 directories
flashfs[0]: 0 orphaned files, 0 orphaned directories
flashfs[0]: Total bytes: 3612672
flashfs[0]: Bytes used: 2729472
flashfs[0]: Bytes available: 883200
flashfs[0]: flashfs fsck took 86 seconds
....done Initializing Flash.
Boot Sector Filesystem (bs:) installed, fsid: 3
Parameter Block Filesystem (pb:) installed, fsid: 4
switch:

5- Segun guias de cisco hay que escribir:

Código:
load_helper

Pero yo lo probe esto ayer en un 3560 y no funcionaba. Asi que hay que ver cada caso en particular.

6- Escribir: 

Código:
dir flash:

Verificar el nombre del archivo de config (config.text)

7- Renombrar el archivo de config:

Código:
rename flash:config.text flash:config.old

8- Reiniciar con el comando: boot
AL reiniciar y no enontrar un archivo de config valido, el switch preguntara si quieren entrar en el "configuration dialog"
Decirle que NO!

9- Traer la config a la RAM:

Código:
rename flash:config.old flash:config.text
copy flash:config.text system:running-config

10- Modificar las contraseñas necesarias y guardar la config actualmente en la RAM nuevamente en la startup-config.

Código:
copy run start

11- Reiniciar el Switch normalmente

Router

1- Conectado a consola, apagar y prender el equipo.
2- Apenas comienza el booteo presionar "Control+Break" o "Control+Break+F6"
3- Cuando sale el prompt

Código:
romon 1>

escribir

Código:
confreg 0x2142

4- reiniciar el equipo.
Al reiniciar preguntara si queremos entrar en configuration mode. Le decimos que NO!.
5- Traemos la config que esta guardada a la RAM.

Código:
copy start run

6- Modificamos la contraseña que sea necesario o agregamos un user, o lo que sea. (En modo configuracion global)
7- Modificamos el registro de inicio.

Código:
config-register 0x2102

8- Guardamos las modificaciones en la startup-config

Código:
copy run start

9- Reiniciamos el equipo.

Con

Código:
show version

verificamos quel el config register este correctamente configurado.

Espero que les sirva.
Salu2
Lo arme de memoria asi que si algo me olvide, avisen.

Tags: 

VPN Remote Access Cisco ASA

Spanish

Esta guia es para configurar una VPN Remote Access (Cisco VPN Client) en un Cisco ASA.
Este ejemplo lo arme en un 5505 pero es lo mismo para cualquier IOS 8 y calculo que en 7 funcionara tambien.

Definimos el nombre del Host

Código:
hostname CISCOASA

Definimos el nombre de domino

Código:
domain-name tecnologiayredes.com.ar

Añadimos un usuario que sera con el que nos leguearemos a nuestra VPN

Código:
username nombre_usuario password pass1234

La access-list nonat se usa en este caso no como control de acceso sino para definir el trafico que sera encriptado en el nat. Solo se encriptara lo que matchee con esta ACL

Código:
access-list nonat extended permit ip 192.168.1.0 255.255.255.0 10.0.10.0 255.255.255.0

IPs que seran asignadas a la PC que se conecte via VPN

Código:
ip local pool VPN-POOL 10.0.10.1-10.0.10.254 mask 255.255.255.0

Definimos los NAT y GLOBAL. Nat 0 es el que define el trafico que sera encriptado de acuerdo a la ACL nonat que definimos antes.

Código:
global (outside) 1 interface
nat (inside) 0 access-list nonat
nat (inside) 1 0 0

Definimos el default gateway del ASA

Código:
route outside 0 0 172.16.1.1 1

Creamos la politica de grupo

Código:
group-policy GP-TECNOLOGIAYREDES internal
group-policy GP-TECNOLOGIAYREDES attributes
 dns-server value 8.8.8.8
 vpn-idle-timeout 30
 default-domain value tecnologiayredes.com.ar

Creamos la politica ISAKMP para los clientes

Código:
crypto isakmp enable outside
crypto isakmp policy 10
 authentication pre-share
 encryption 3des
 hash sha
 group 2
 lifetime 43200

El Tunnel-group define el tipo de conexion VPN que sera establecida.

Código:
tunnel-group TN-TECNOLOGIAYREDES type ipsec-ra
tunnel-group TN-TECNOLOGIAYREDES general-attributes
 address-pool VPN-POOL
 default-group-policy GP-TECNOLOGIAYREDES
 authentication-server-group LOCAL
tunnel-group TN-TECNOLOGIAYREDES ipsec-attributes
 pre-shared-key cisco123

Crear el transform.set y los MAPs. La etiqueta AES-SHA y 3DES-SHA son nombres identificativos de la politica que conllevan.

Código:
crypto ipsec transform-set AES-SHA esp-aes esp-sha-hmac
crypto ipsec transform-set 3DES-SHA esp-3des esp-sha-hmac
crypto dynamic-map dinomap 10 set transform-set AES-SHA
crypto dynamic-map dinomap 20 set transform-set 3DES-SHA
crypto map mymap 90 ipsec-isakmp dynamic dinomap

Aplicamos el crypto-map a la interface outside.

Código:
crypto map mymap interface outside

Y con eso deberia estar.
Luego en el Cisco VPNClient configuran el grupo TN-TECNOLOGIAYREDES y la pass cisco123

Conceptos Basicos VPN

Suerte y espero que les funcione
Mariano

Tags: 

Configurar Cisco ASA como HA (cluster) - By Giovannid

Spanish

omo configurar cluster HA en dispositivos ASA.

Primero se deben configurar las interfaces.
 

Código:
interface Ethernet0/0
 nameif outside
 security-level 0
 ip address 172.22.1.252 255.255.255.0 standby 172.22.1.253
 no shut
 !
 interface Ethernet0/1
 nameif inside
 security-level 100
 ip address 10.10.10.10 255.255.255.0 standby 10.10.10.11
 no shut
 !
 interface Ethernet0/2
 nameif dmz
 security-level 50
 ip address 192.168.60.1 255.255.255.0 standby 192.168.60.2
 no shut

Standby IP que sera asignada al equipo secundario en esa misma interfaz.

 

Código:
 Equipo primario
 failover
 failover lan unit primary
 failover lan interface failover Ethernet0/3
 failover key *****
 failover link failover Ethernet0/3
 failover interface ip failover 192.168.55.1 255.255.255.0 standby 192.168.55.2

Donde 

Failover: habilita el failover
Failover lan unit primary: indica que este sera el equipo Primario
Failover lan interface failover xx: indica que interfaz se utilizara para la sincronizacion de los equipos.
Failover key xxx: se debe especificar una clave se encriptación para la sincronización.
Failover link failover xx: Se especifica que interfaz funcionara como stateful, cargando los datos de las sesiones activas al otro equipo en caso de que conmuten.
Failover interface ip failover xxx: especifica las IP que tendra la interfaz se sincronización.
 

Código:
Equipo secundario
 failover
 failover lan unit secondary
 failover lan interface failover Ethernet0/3
 failover key *****
 failover interface ip failover 192.168.55.1 255.255.255.0 standby 192.168.55.2

Es lo mismo que el primario excepto, failover lan unit secondary que especifica que este equipo sera el secundario.

Luego conectamos los equipos y se sincronizaran con la configuración que tenga el equipo primario. El secundario no necesita tener nada configurado excepto la lineas para el failover.

PD: Los equipos deben ser identicos y con el mismo IOS. Para evitar complicaciones de compatibilidad en la configuración.

saludos!

Tags: 

Configuracion de SSH - PIX 501 v6.3

Spanish

Configuracion de SSH para PIX 501 v6.3

 

Código:
pix# conf t
pix(config)# ssh 0.0.0.0 0.0.0.0 outside
pix(config)# ssh 0.0.0.0 0.0.0.0 inside
pix(config)# aaa authentication ssh console LOCAL
pix(config)# ssh timeout 20

En caso de que ya hubiera creadas las firmas RSA las borramos con:

Código:
pix#ca zeroize rsa

Y las creamos con:

Código:
pix(config)# ca generate rsa key 1024
pix(config)# ca save all
pix(config)# exit

Algunos comando show

Código:
pix#show ca certificate
pix#show ca crl
pix#show ca configure
pix#show ca identity
pix#show ca mypubkey rsa
pix#show ca subject-name
pix#show ca verifycertdn

Recuerden que el OS V6.3 del PIX 501 solo soporta SSH version 1. 
Para conectarse por SSH desde un linux seria:

Código:
ssh -1 usuario@host.com

Si usas Putty o Kitty es automatico
Salu2

_______

Tags: 

VPN Site to Site - Cisco PIX

Spanish
VPN Site to Site

Primera parte:

Fase1: Determinar la Politica IKE

 

Parametro Fuerte Mas Fuerte
Encripcion DES 3DES, AES
Hash MD5 SHA-1
Autentucacion Pre Shared Key RSA Sign
Intercambio de Claves Diffie Hellman Grupo 1 Diffie Hellman Grupos 2, 5, 7
Lifetime – SA (Security Association) 86400 segundos Menos de 86400 segundos

Fase2: Determinar la Politica IPSec

 

Politica Site 1 Site 2
Transform Set ESP – DES, Tunnel ESP – DES, Tunnel
Pares ASA A ASA B
Direccionamiento 192.168.2.2 192.168.1.2
Red Protegida 10.10.10.11 10.0.0.11
Paquetes a encriptar IP IP
Establicimieno SA IPSec-ISAKMP IPSec-ISAKMP

 

Paso 2: Configurar IKE

Habilitar IKE sobre las interfaces a utilizar:

Código:
firewall(config)# isakmp enable outside

Configurar la politica IKE Fase1:

Código:
firewall(config)# isakmp policy 10 encription des
 firewall(config)# isakmp policy 10 hash sha
 firewall(config)# isakmp policy 10 authentication pre-share
 firewall(config)# isakmp policy 10 group 1
 firewall(config)# isakmp policy 10 lifetime 86400

Los parametros de una politica deben ser creados segun el numero de prioridad.

Para crear un administrar una conexion VPN se necesita usar el comando tunnel-group 

tunnel-group nombre_tunnel type tipo
 

Código:
firewall(config)# tunnel-group my_tunnel type ipsec-l2l

Presenta los siguiente subcomandos:

  • tunnel-group general-attributes
  • tunnel-group ipsec-attributes

El submodo de configuracion general-attributes se usa para configurar parametros comunes a todos los protocolos de tunneling y presenta los siguientes subcomandos:

  • accounting-server-group
  • address-pool
  • authentication-server-group
  • authorization-server-group
  • default-group-policy
  • dhcp-server
  • strip-group
  • strip-realm

tunnel-group nombre_tunnel general-attributes
 

Código:
firewall(config)# tunnel-group my_tunnel general-attributes
 firewall(config-general)#

El submodo de configuracion ipsec-attributes se usa para configurar parametros que son especificos de IPSec y presenta los siguientes subcomandos:

  • authorization-dn-attributes
  • authorization-required
  • chain
  • client-update
  • isakmp keepalive
  • peer-id-validate
  • pre-shared-key
  • radius-with-expiry
  • trust-point

tunnel-group nombre_tunnel ipsec-attributes
 

Código:
firewall(config)# tunnel-group my_tunnel ipsec-attributes
 firewall(config-ipsec)#

Topologia:

Configurar un tunnel-group:
Definir el tipo de conexion a establecer:

Código:
firewallA(config)# tunnel-group 192.168.6.2 type ipse-l2l

Configurar los atributos:

Código:
firewallA(config)# tunnel-group 192.168.6.2 ipsec-attributes
 firewallA(config)# pre-shared-key password

Para verificar la coinfiguracion de la politica de utiliza el comando show

Código:
firewallA(config)# show run crypto isakmp
 isamp identity address
 isakmp enable outside
 isakmp policy 10 authentication pre-share
 isakmp policy 10 encryption 3des
 isakmp policy 10 hash sha
 isakmp policy 10 group 2
 isakmp policy 10 lifetime 86400
Paso 3: Configurar IPSec
 
Para configurar el trafico intresante se utilizan ACLs permitiendo el trafico entre redes internas en cada peer.
El trafico que aplique con el permit de la ACL sera el trafico encriptado.
(Permitir en el firewallA el trafico hacia el B y desde el firewaalB hacia el A)
 
Código:
firewallA(config)# access-list 101 permit ip 10.0.1.10 255.255.255.0 10.0.6.0 255.255.255.0
 
En el mismo NAT se matchea el trafico interesante con la ACL con NAT 0 jsutamente para que no se nateen los paquetes.
 
Código:
firewallA(config)#  nat (inside) 0 access-list 101
 
 
Configurar un Transform Set:
El modo por default es tunnel
 
crypto ipsec transform-set nombre_transform-set transform1 [transform2]
 
Código:
firewallA(config)# crypto ipsec transform-set firewallB esp-des es—md5-hmac
 
Los transform sets disponibles son:
esp-des DES 56bits
esp-3des 3DES 168bits
esp-aes AES-128
esp-aes-192 AES-192
esp-aes-256 AES-256
esp-md5-hmac HMAC-MD5 Auth
esp-sha-hmac HMAC-SHA Auth
esp-none Sin autenticacion
esp-null Sin encripcion
 
Configurar CryptoMap
 
Código:
firewallA(config)# crypto map my_map 10 match address 101
firewallA(config)# crypto map my_map 10 set peer 192.168.6.2 firewallA(config)# crypto map my_map 10 set transform-set firewallB firewallA(config)# crypto map my_map 10 set security-association lifetime seconds 86400

 

Aplicar el crypto a una interdace y activarlo:
Código:
firewallA(config)# crypto map my_map interface outside
 
 
Comandos de verificacion:
 
Código:
firewallA(config)# show run access-list
firewallA(config)# show run isakmp firewallA(config)# sh run tunnel-group firewallA(config)# show run ipsec firewallA(config)# show run crypto map firewallA(config)# debug crypto ipsec firewallA(config)# debug crypto isakmp

 

Borrar las SA
Código:
firewallA(config)# clear crypto ipsec sa
firewallA(config)# clear crypto isakmp sa

 

Conceptos Basicos VPN

Tags: 

Configuracion Basica ASA 5505

Spanish
Esto es lo basico para salir andando con un ASA5505

Configurar la Inside

Código:
ASA5505(config)# interface Vlan 1
ASA5505(config-if)# nameif inside
ASA5505(config-if)# security-level 100
ASA5505(config-if)# ip address 192.168.1.1 255.255.255.0
ASA5505(config-if)# no shut

Configurar la Outside

Código:
ASA5505(config)# interface Vlan 2
ASA5505(config-if)# nameif outside
ASA5505(config-if)# security-level 0
ASA5505(config-if)# ip address x.x.x.x 255.255.255.0
ASA5505(config-if)# no shut

Asignar la Ethernet 0/0 a una Vlan (ej: 10)

Código:
ASA5505(config)# interface Ethernet0/0
ASA5505(config-if)# switchport access vlan 10
ASA5505(config-if)# no shut

NAT y Global

Código:
ASA5505(config)# nat (inside) 1 0 0
ASA5505(config)# global (outside) 1 interface

Default Route

Código:
ASA5505(config)# route outside 0 0 xx.xx.xx.xx 1
(xx.xx.xx.xx = IP_Gateway)
Basic ASA5505 Config

Tags: 

News

Subscribe to RSS - Seguridad