IPSec (IP Security)

Publicado el febrero 7, 2014 por telecosistem

IPSec es un conjunto de protocolos desarrollado por la IETF para el intercambio seguro de paquetes en capa IP.Ha sido especialmente diseñado para ser usado con Virtual Private networks (VPNs).

IPSec soporta dos modos de encriptación:

– Transporte: Sólo encripta los datos de usuario o «payload».
– Tunel: Encriptación completa; «payload» más la «header».

El establecimiento de un túnel IPSec se realiza en dos fases:

-Fase 1

Se comparte una clave pública entre en el dispositivo que envía y el que recibe. Esto se realiza mediante el protocolo ISAKMP que envía unos paquetes especiales con dicha clave. De este modo el túnel ya estaría establecido.

-Fase 2
Una vez se establece actúa IPSec para enviar los paquetes.

Protocolos adicionales:

– Authentication Header (AH): proporciona la integridad de los datos, autenticación del origen de los datos y protección contra ataques como anti-replay.

– Encapsulating Securaty Payloads (ESP): Proporciona confidencialidad de los datos, integridad de los datos, autenticación del origen y opcionalmente anti-replay.

– Security Association (SA): son un conjunto de algoritmos y datos que aportan los parámetros necesarios para usar en AH y/o ESP.

Publicado en IPSec | Deja un comentario

JunOS OSPF

Publicado el enero 18, 2014 por telecosistem

OVERVIEW
Antes de empezar con el laboratorio os vamos a hacer una pequeña introducción sobre el protocolo OSPF. Para la gente que posee certificaciones de Cisco verá como la teoría es la misma y sólo cambia la configuración de dicho protocolo.
OSPF (Open Shortes Path First) es un protocolo de enlace que tiene como métrica el coste. Trabaja en dos fases:
1) Creación de adyacencias mediante el intercambio de paquetes hello.
2) Una vez se crea la adyacencia se intercambia el estado de los enlaces mediante los paquetes LSA(Link State Advertisment)
Los paquetes LSA son inundados por toda la red. Por ello para permitir una alta escalabilidad de la red se realiza un filtrado de paquetes LSA según el tipo de routers o de áreas.
A continuación presentamos una topología en la que podemos apreciar como se intercambian los paquetes LSA.

LSA

Types:
(Type1)- Router LSA: Public todas las rutas internas del área en la que estamos.
(Type2) – Network LSA: Muestra la presencia del DR/BDR.
(Type3) – Network Summary: Envia información de las redes de otras áreas.
(Type4) – ABR Summary: Indica el camino hacia el ASBR y lo publican sólo los ABR que estén en áreas distintas a la BACKBONE.
(Type5) – External LSA: Son las rutas externas insertadas por un ASBR.

Después de refrescar los conceptos relacionados con OSPF presentamos nuestro laboratorio JUNOS OSPF.

Topology_Junos_OSPF

Goals: Configurar protocolo OSPF en Routers Juniper basándose en la topología de arriba.  Además asegurar que las siguientes rutas son presentadas en las tablas OSPF.

Shiraz

Cabernet

20.20.20.0/24
20.20.19.0/24
20.20.18.0/24

10.10.18.0/24
10.10.19.0/24
10.10.20.0/24

*Recordad que en primer lugar debemos crear una root-password para poder guardar los cambios mediante el comando commit.

Set system root-authentication plain-text <password>

Además nosotros también hemos asignado nombre a los distintos routers:

Set system host-name <name>

Ya pueden descargar la solución don todos los pasos detallados.

descripcion

Publicado en Juniper | 6 comentarios

Applying Policies to RIP Routes – Juniper

Publicado el enero 6, 2014 por telecosistem

A continuación os presente una nuevo post para que aprendais a configurar las routing-policies, muy útil en los equipos de Juniper.

Introducción

¿Por qué?
las routing Policies son muy útiles en Juniper ya que nos permiten alterar la conducta por defecto (Default-Policy) de cada uno de los protocolos de enrutamiento. Y como buenos Técnicos de Networking debemos de publicar/importar lo deseado.

Policy-Default
Default_Policy

Aplicar Routing-Policy
Una vez sabemos como trabajan los protcolos más importantes, vamos a indicar dónde podremos aplicar las routing-policy creadas para que tengan efecto.

Loaction
*Según la ubicación de la routing-policy configurada será más restrictiva. Cuanto más restrictiva sobreescribe las anteriores. En caso de tener aplicada una routing-policy BGP en neighbor level, está sobreescrivirá las anteriores.
 

 Laboratorio:

Basándose en la topología mostrada debereis de crear las routing-policies necesarias así como aplicar de forma correcta basándose en la breve introducción presentada.

Topology

Goals: Device R1 has an import policy that accepts the 10/8 and 192.168/16 RIP routes and reject all other RIP routes. This mean that the 172.16/16 RIP routes are excluded from device R1 routing table.

Para cualquier duda les dejamos la solución con todos los pasos seguidos.

 

descripcion

Publicado en Uncategorized | Deja un comentario

Default login/password

Publicado el diciembre 25, 2013 por telecosistem

Como técnicos o administradores de Networking, a diario necesitamos acceder a varios disposistivos de redes de distintos fabricantes para revisar o modificar su configuración, de este modo, ir adaptándolos a las posibilidades de nuestra red.

Con el fin de facilitar el acceso a los equipos de Networking (switches, routers, access-points, firewall) más usados, adjuntamos una tabla con los «default login/password» para acceder mediante consola o de forma remota.

Publicado en Helpful | Deja un comentario

Certificaciones

Publicado el diciembre 15, 2013 por telecosistem

Certificaciones.

Publicado en Uncategorized | Deja un comentario

Lab Basic JUNOS

Publicado el diciembre 8, 2013 por telecosistem

Para esta semana os presento un nuevo reto en el que practicareis los conceptos básicos de la certificación JNCIA de JunOS. Para ello debereis implementar static routes y verificar full connectivity en la topología que os traemos.

Labs_JUNOS

 

Os dejamos una muestra para que sepais como asignar direcciones a las interfaces de los routers:

AssignmentIP

Una vez hayais finalizado dicho laboratorio habreis aprendido:

  • Static Routes
  • Aggregate Routes
  • Generated Routes
  • Route-Policing
  • Preference values

El viernes 13/12/2013 subiré la solución. Cualquier duda que tengais me la podeis enviar via twitter: @networkingcontrol o por correo: networkingcontrol@gmail.com.

 

 

Publicado en Labs | Deja un comentario

Syslog Firewall

Publicado el noviembre 22, 2013 por telecosistem

A continuación vamos a describir los pasos necesarios para realizar una completa monitorización de todos los eventos que sucedan en nuestro Firewall. Como bien sabemos la clave de los firewalls es mantener en zonas extremadamente segura y aisladas de posibles ataques información confidencial como pueden ser claves, user names, cambios de configuración…

Para ello vamos a necesitar:

-Firewall (NetScreen-25, Netscreen-50, ASA, PICS…)

-Kiwy Syslog Server

Steps:

1)      Descargar Kiwy Syslog Server:

http://www.kiwisyslog.com/downloads

2)      Configurar el “Syslog-server” en el Firewall. En nuestro caso usaremos el de Juniper Netscreen-25.

La configuración puede ser cambiada desde CLI o bien via Web. Nosotros mostraremos la hecha via CLI.

ss

*Aclaración: La IP 192.168.0.5 se corresponde con la del HOST donde estemos ejecutando el “Kiwy Syslog Server”. La interface ethernet1 pertnece a la “trust zone”

3) Ejecutar el archivo llamado: “kiwi-syslog-server-9.4.1” e iniciar el server con la configuración por defecto.

app

Una vez hayamos seguido los pasos indicados obtendremos una captura de eventos como vemos en la siguiente imagen:

Capture

Por último les voy a mostrar como automatizar el envio de la información recabada con por el “Kiwi-server-log” a nuestro mail. De este modo siempre estaremos informados ante posibles ataques, descartes de paquetes…

Configuración:

mail

 

 

Publicado en Juniper | Deja un comentario

Junos VRRP

Publicado el noviembre 20, 2013 por telecosistem

Hoy vamos a empezar una nueva categoría dónde subiremos las nuevas configuraciones en equipos del fabricante Juniper.

Redundancy_VRRP_Junos

A continuación comenzamos con una configuración básica del estándar VRRP. Primero que nada y para ir familiarizándonos os aconsejaría dedicar unos minutos a ver las interfaces que salen por defecto en cualquier equipo juniper.

Interface

Descripción

 

em

 Interfaces Ethernet interas para la administración interna. El router configura automáticamente em0 y es usado cuando queremos conectar el router a a un puerto de administración.Mientras que em1 conecta el “Routing Engine” con “packet forwarding”.

dsc

 Interfaz descartada

gre

 Generada automáticamente y es usada para configurar túnel entre PE router y CE router en la red MPLS.

Ipip, lsi, mtun, pimd, pime, tap

 Interfaces creadas internamente NO configurables.

Lo0

 Interfaz loopback.

De todas las interfaces listadas, sólo podremos usar la em0 para este laboratorio.

Ahora ya podemos empezar a configurar VRRP en el router Juniper:

Juniper-Router#set interfaces em0 unit 0 family inet address 10.10.255.2/24 vrrp-group 1 priority 150 preempt

Una vez está configurado en Juniper, accederemos al router Cisco simulado y aplicaremos la configuración de forma habitual:

C1841(config)#interface fastEthernet 0/0C1841(config-if)#ip address 10.10.255.3 255.255.255.0C1841(config-if)#vrrp 1 priority 90

C1841(config-if)#vrrp 1 ip 10.10.255.1

C1841(config-if)#vrrp 1 preempt

A petición de algunos seguidores vamos a explicar brevemente las distintas opciones que nos permite configurar el protocolo VRRP.

  • VRRP Timers: Es el tiempo que espera el dispositivo de BACKUP para adquirir el rol de ACTIVE. Por defecto es 3 x advertise timer.
  • VRRP Virtual IP: IP a la que todos los equipos de la LAN deben de estar apuntando, para de este modo en caso de caida del dispositivo en modo ACTIVE los equipos no lleguen a detectar el microcorte.
  • VRRP Preempt: De este modo forzamos a que siempre va a estar en ACTIVE el dispositivo con mayor prioridad configurada. En VRRP esta opción está por defecto.
  • VRRP Priority: Configuración de la prioridad. En caso de no indicarla se tomará el valor por defecto que son 100.
  • VRRP Track: Se usa para tener monitorizada o en seguimiento una interfaz WAN y en caso de caída de la WAN del dispositivo ACTIVE se realizaría un decremento de prioridad para convertirlo en BACKUP y así no enviar tráfico por la WAN caída.
  • VRRP Authentication: Cuando se habilita, se envian los paquetes de autenticación a todos los componentes del grupo VRRP. En caso de no tener éxito la autenticación entre algún dispositivo, se descartará como integrante del grupo.

Cualquier duda con la configuración de VRRP, mandarnos vuestras consultas:

networkingcontrol@gmail.com

Publicado en Juniper | 2 comentarios

Firewall Juniper

Publicado el noviembre 10, 2013 por telecosistem

Con el aumento de la demanda, por parte de las empresas, de una mayor seguridad en sus redes cumplen un rol especial los firewalls.

Es por ello que he creído conveniente especializarme en Firewalls de Juniper para así poderos explicar el funcionamiento, ubicación y mejoras que suponen dentro de redes muy críticas.

Os dejo breve esquema:

Juniper_Firewall_NetScreen_25

Publicado en Firewall | Deja un comentario

Junos Genius

Publicado el octubre 23, 2013 por telecosistem

Hoy os acercamos la nueva app que ha lanzado Juniper conocida como Junos Genius, la cual  está diseñada para facilitar la preparación del examen correspondiente a la certificación JNCIA.

Es una excelente guía de estudio, ya que puedes probar tu habilidades antes de realizar el examen de certificación, lo cual es una ventaja porque a la hora del examen podrás identificar algunas de las formas en que las preguntas se van realizando.

La aplicación está disponible en el AppStore de Apple o Google Play como Junos Genius.

Publicado en Actualidad | Deja un comentario