sábado, 8 de marzo de 2014

Conoce tu IOS

En el mundo de cisco, no siempre es fácil encontrar documentación precisa y concisa, lo cual tiende a complicarse si no se sabe interpretar adecuadamente las convenciones y nomenclaturas utilizadas.

En lo personal, la forma en que el sotfware de los routers y switches es nombrada y versionada siempre la he considerada un tanto engorrosa y lo unico que podemos hacer contra ello es aprender a diferenciar una versión de la otra.

Para el caso, la imagen del IOS puede ser categorizada en cualquiera de estos grupos:


Cada grupo incluye cierto número de características que a medida van incrementando demandan mas recursos físicos del equipo; que para el caso, la expresión "mejor que sobre, a que no falte" no es lo mas recomendable.

Base Nivel Básico
Services Incluye servicios como MPLS, VoIP, VoFR, y ATM
Advanced Se incluye servicios VPN, Cisco IOS Firewall, Encriptación 3DES Encryption, SSH, IPSec y IDS.
Enterprise Se añaden multi-protocolos como: IBM, IPX, AppleTalk.

¡La historia no acaba ahi! Cada numero letra que acompaña el numero de versión; no solo es un adorno, también significa algo.



Train / Release
Descripción
Ejemplos
Mainline Consolida entregas y correcciones. Hereda las características T de la generación anterior, y no añade características adicionales. 12.2, 12.3, 12.4.
T (Tecnología) Incorpora nuevas características y corrección de errores. Proporciona soporte para nuevo hardware. 12.2T, 12.3T.
S Soporta enrutamiento backbone de alta gama, y ​​corrige defectos. 12.0S, 12.2S.
SB Creado para redes de proveedores. Soporta banda ancha y agregación de líneas dedicadas y MPLS Provider Edge (PE). 12.2SB.
SE, SG. Soporte de gama media y baja para las capas de acceso y distribución de las empresas, así como para Metro-Ethernet del lado del proveedor. 12.2SE, 12.2SG.
SR Planeado para la gama alta de proveedores Ethernet, soporta agregación de banda ancha y los servicios del subscriptores, Metro Ethernet y MPLS Provider Edge (PE). 12.2SR.
SX Diseñado para redes de núcleo y centro de datos, campus y redes de última generación que requieren de servicios IP y MPLS de clase mundial. Soporta servicios de alta gama para las capas de acceso, la distribución y núcleo; incluyendo las redes de los centros de datos. 12.2SX.
E Soporta QoS avanzado, voz, seguridad y correcciones de defectos. 12.1E.
B Soporta funciones de banda ancha y correcciones. 12.2B, 12.3b.


Fuentes:
IOS Packaging
http://tools.cisco.com/ITDIT/CFN/jsp/index.jsp
http://nettipps.de/2010/06/09/ciscos-ios-image/
http://mccltd.net/blog/?p=611

sábado, 22 de febrero de 2014

Punto Ciego

Creo que sigo asombrado y a la vez alegre por una falla ocurrida ayer en el trabajo.

 photo 80caf155-6e99-4dde-9237-ea1bbcdec86a.jpg

Debido a que nuestro call center brinda soporte a varias unidades de negocio ubicadas en todo el mundo, nuestro Cisco Unified Contact Center ha sido configurado con zona horaria GMT para simplificar el dar soporte a lugares como Brasil (-3) o Australia (+11).

En mas de 6 meses no se ha tenido ningún tipo de problemas respecto a las diferentes zonas horarias, ¡hasta ayer!; recientemente una nueva unidad de negocios fue agregada la cual trabaja con zona horaria PST (-8), no se tomaron medidas adicionales para esta nueva sección, pues todo ha funcionado sin problemas por largo tiempo.

Lo particular de esta nueva división es que sus horarios de operación son de Lunes a Viernes, ¿Pero cual es el problema?, el problema es como Contact Center utilizando los parámetros por defecto calcula el día y/o hora; debido a que el servidor como tal utiliza GMT el cambio de día, respecto a PST para el caso es ANTES, afectando en este caso el correcto funcionamiento de nuestro IVR.

 photo Time.png

Realmente me alegro que ocurriera, pues pudimos aprender que si no tomamos todos los elementos en cuenta, nuestros proyectos podrían no ser "a prueba de todo".

jueves, 2 de enero de 2014

CUCM Dial Plan

 photo Calling.gif

Uno de los componentes mas importantes de cualquier PBX es el enrutamiento adecuado de las llamadas, el cual debe de ser configurado adecuadamente.

Ejemplificare de manera rápida un plan de marcado (Dial plan) para un PBX en Estados Unidos, pues considero que es el ejemplo mas común pues su sistema de marcado es popularmente conocido.

Partiremos de las siguientes asunciones.
  • El codigo para llamada saliente es 9.
  • Se permiten tanto marcación de 7 como de 10 dígitos.
  • Existen al menos siete particiones.
    • Emergencia.
    • Interna.
    • Numeros Especiales.
    • Local.
    • Larga Distancia.
    • Internacional.
    • Restringida.
Como punto inicial debemos de reconocer la importancia y función de cada una de las particiones:

911 - Numero de emergencias.
9.911 - Numero de emergencias anteponiendo el código de salida (9).
9.[2-8]11 - Números de servicios de tres dígitos.
9.[2-9]XXXXXX - Llamada local de 7 dígitos.
9.[2-9]XX[2-9]XXXXXX - Llamada local de 10 dígitos.
9.1[2-9]XX[2-9]XXXXXX - Llamada de larga distancia (11 dígitos).
9.011! - Llamada internacional.
9.011!# - Llamada internacional sin tiempo de espera entre dígitos.

Para evitar un fraude y evitar facturas de servicio millonarias, siempre y cuando la empresa no tenga relación de negocio con las siguientes ubicaciones es recomendable bloquear los siguientes códigos de área, que a pesar de ser números de 10 dígitos, estos pueden llegar a ser facturados como marcación internacional.

9.124[2,6]XXXXXXX - Bahamas y Barbados.
9.126[4,8]XXXXXXX - Anguilla, Antigua y Barbuda.
9.1284XXXXXXX - Islas Vírgenes Británicas.
9.134[0,5]XXXXXXX - Islas Vírgenes (USA) e Islas Caimán.
9.1441XXXXXXX - Bermudas.
9.1473XXXXXXX - Grenada.
9.1649XXXXXXX - Islas Turcas y Caicos.
9.1664XXXXXXX - Montserrat.
9.167[0,1]XXXXXXX - Islas Marianas del Norte y Guam.
9.1758XXXXXXX - St. Lucia.
9.1767XXXXXXX - Dominica.
9.1784XXXXXXX - St. Vincent y Granadinas.
9.1787XXXXXXX - Puerto Rico.
9.1809XXXXXXX - Caribe, Bermudas, Puerto Rico e Islas Vírgenes.
9.186[8,9]XXXXXXX - Trinidad y Tobago y St. Kittis y Nevis.
9.1900XXXXXXX - Servicios de paga.
9.1939XXXXXXX - Puerto Rico.
9.1[8,9]76XXXXXXX - Jamaica y Servicios de paga.


 photo question-phone.jpg

viernes, 6 de diciembre de 2013

Browser mode en IE11

Ahora que tenemos a la vuelta de la esquina IE11, poco a poco se va completando la lista de sus pro y contras. Sin mencionar el gran numero de problemas de compatibilidad que se avecinan.

Microsoft ha desarrollado la mas reciente versión de su navegador utilizando Metro que en lo personal me gusta, pero en ocasiones no es tan fácil saber donde están ciertas características de versiones anterior, como hoy que al entrar al modo de desarrollador (F12) pues es muy diferente al de sus predecesores.

 photo BrowserModeIE11v2.png
Developer Tools en IE10


 photo BrowserModeIE112.png
Developer Tools en IE11

Lo cual hizo un poco trabajoso que supiera donde se encuentra la opción de "Browser mode" dentro de IE. Luego de una pequeña búsqueda encontré que esta en la ultima pestaña que es el de Emulación (si se le puede llamar asi) y la palabra "Browser mode" fue cambiada por "Document mode".

 photo BrowserModeIE113.png

He de mencionar que en algunas ocasiones es necesario configurar la opción "User Agent String" para que el modo de compatibilidad este completo.

domingo, 1 de diciembre de 2013

Batman - Silencio (Hush)

 photo 12099_900x1350.jpg

Silencio (originalmente en inglés Hush) es sin duda uno de mis arcos favoritos de Batman. Fue escrito por Jeph Loeb y dibujado por Jim Lee (mi artistas favorito).

Entre sus paginas se narra como un misterioso personaje llamado Silencio (Hush), esta detrás de un muy elaborado plan para acabar con Batman desde las sombras, utilizando a un gran número de villanos de Batman, pues es capaz de manipular al Joker, Harley Quinn, Dos Caras, Hiedra Venenosa, el Espantapájaros, Killer Croc y Clayface y Acertijo; entre toda la acción se ve involucrados Superman, Catwoman e incluso el difunto Jason Todd.

 photo H-Villains.jpg


¡Considero que el gran trabajo de Lee y la variedad de personajes involucrados hacen de esta una gran historia!, es interesante como un meticuloso plan es llevado a cabo con el único objetivo de acabar con Batman.

Batman - Silencio (Hush)
  
Una bonita pagina con muestras del gran trabajo de Jim Lee: http://heckyeahjimlee.tumblr.com/

miércoles, 30 de octubre de 2013

Mejorando PuTTY

 photo Putty.png


Desde ya hace MUCHO tiempo PuTTY es sin duda mi herramienta preferida para emular terminales.

Si bien es una excelente herramienta en ocasiones las funcionalidades que presenta de manera nativa se quedan cortas; solo por mencionar algunas: Agrupación de dispositivos, facilidad para abrir múltiples ventanas, y mi preferida poseer sesiones organizadas en pestañas.

Hay una infinidad de utilidades que ayudan a corregir algunas de estas limitantes e incluso otros diversidad clientes por los cuales podemos optar, pero hablare unicamente de dos plugins para PuTTY y dos clientes diferentes a PuTTY, pues "para gusto, los colores".

Plugins para PuTTY

MTPuTTY (Multi-Tabbed PuTTY)

 photo d1cb80c4-fcee-476c-b4b9-fffed275e305.jpg
Si bien su interfaz gráfica no es la mas "moderna" sin duda cumple con su propósito, permite guardar contraseñas y una de las características que mas me agrado fue el hecho de poder automatizar ciertos comandos luego de haber iniciado la sesión, ¡lo cual es muy útil!
También permite importar o exportar las preferencias y lista de nodos, lo cual hace muy amigable su uso.

Debo mencionar que tuve ciertos problemas con MTPuTTY pues en ocasiones la sesión que abría no siempre era la elegida; si bien todo apunta a que fue un problema mas de mi PC (configuración por defecto dañada de PuTTY y/o archivo de preferencias corrupto), para mí no fue tan fácil de identificar/solucionar.

SuperPutty

 photo SuperPutty2.png

Muy similar a MTPuTTY pero con una interfaz gráfica muy superior, es capaz de manejar múltiples pestañas, las cuales pueden ser desmontadas y utilizadas como ventanas individuales o incluso ordenas de forma tal que puedes comparar dos o varias sesiones a la vez. Las configuraciones pueden ser igualmente importadas y/o exportadas.

Un punto a favor de SupperPuTTY es la amplia documentación disponible de la herramienta.
Posee un nivel de personalización bastante aceptable.

Clientes diferentes a PuTTY

SecureCRT

 photo crt.png

Sin duda una de las mejores herramientas pagadas del mercado, hay quienes consideran que tiene un costo elevado, pero si pasas el 95% de tu tiempo en una terminal y gracias a su alto nivel de personalización creo que es precio justo.
Sin duda una de las caracteristicas que mas me gusta, son las notificaciones que genera por cada sesión/pestaña, muy útil al momento de trabajar con una gran cantidad de dispositivos.

Bitvise SSH Client
Si bien se logra el objetivo de conectarse a los diferentes equipos, considero que Bitvise enreda un poco las cosas agregando "opciones" que considero completamente innecesarias, volviendo un poco mas engorroso todo el proceso.  
Posee también una versión pagada con mas funcionalidades.

*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-

Por se gratis el vencedor: SuperPuTTy.

jueves, 19 de septiembre de 2013

Cisco Hardening - Fortalece la seguridad de tus equipos.

 photo networksecurity.jpg


Desde ya hace bastante tiempo que deseo publicar esto... se trata de algunas de las practicas más comunes utilizadas para hacer de tu equipo de redes Cisco un dispositivo más seguro.
Esta claro que las necesidades de seguridad de persona a persona, pero como un muy buen amigo me dijo una vez "la seguridad nunca esta de más".

NOTA: No todos los comandos funcionaran en todos los dispositivos (router o switch). Es altamente recomendable probar estos comandos previamente en un entorno de pruebas antes de ser implementados a producción.

Si bien hay demasiados aspectos que se pueden cubrir, solo me enfocare en cuatro elementos que considero críticos, estos elementos son:
  1. Acceso al equipo
  2. Tipos de acceso
  3. Servicios fundamentales
  4. Servicios adicionales

1- Acceso al equipo
Comúnmente existen tres maneras de acceder al equipo, estos son: puerto consola, puerto auxiliar, conexión remota. Proteger el acceso a consola es "sencillo" si se tiene un acceso restringido a los equipos, en cambio los otros dos métodos por defecto conllevan ciertos riesgos de seguridad.

El uso del puerto auxiliar ya no es muy común y si no se encuentra en uso lo más recomendable es deshabilitar el servicio.
line aux 0
no exec
exec-timeout 0 10
transport input none
exit

Para proteger las conexiones remotas yo sugiero utilizar la versión 2 del protocolo ssh, con algunos parámetros adicionales.
En modo de configuración global:
hostname TrasguitoINC
ip domain-name trasguitoinc.com
crypto ket generate rsa modulus 2048
ip ssh version 2
ip ssh timeout 60
ip ssh authentication-retries 3

Dentro de las lineas VTY:
transport input ssh
exec-timeout 3 0


2- Tipos de acceso
Ya sea que se utilicen usuarios locales o usuarios remotos (Radius, LDAP, TACACS+) estos métodos de acceso deben estar protegidos.

Usuarios locales:
username Rolando privilege 15 secret M1C0nt@$3ña
Siempre utiliza el nivel de permiso adecuado para el usuario.

Usuarios remotos:
Para este ejemplo utilizare Radius, como primer elección para autenticar - tomar en cuenta que la configuración siguiente intentar autenticar localmente si el servidor Radius no es accesible -
aaa new-model
aaa authentication attempts login 3
aaa authentication login default group radius local
aaa session-id common
radius-server host 10.10.10.1
radius-server key 7 SeCUr3_R@d1uS-k3y
No entrare en detalles para esta dos ultimas secciones pues solo me limitare a listar servicios que deben estar activados y otros que si no se utilizan es recomendable desactivar.

3- Servicios fundamentales
Siempre activar:
no service password-recovery
service password-encryption

logging on
logging buffered 16000
logging console critical

interface <interface-id>
switchport port-security
switchport port-security violation shutdown
switchport port-security maximum 1
switchport port-security mac-address sticky
exit

Si no se utilizan deshabilitar:
cdp run
no ip http server
no snmp-serverno
no ip domain-lookup
no snmp-server community private
no snmp-server community public
4- Servicios Adicionales
no identd
no ip finger
no service pad
no service tcp-small-servers
no service udp-small-servers
no ip gratuitous-arps

Deshabilitar IP Proxy ARP
interface <interface-id>
no ip proxy-arp
exit

Deshabilitar MOP (Maintenance Operations Protocol)
interface <interface-id>
no mop enabled
exit

Existen una infinidad de formas para poder fortalecer la seguridad de nuestros equipos, algunos utilizan ACLS, otros diferentes puertos para ciertos servicios, utilizan o dejan de utilizar ciertos protocolos, definen interfaces origen/destino, entre otros.

Simplemente espero que este articulo sea de utilidad para muchos y haya podido ser lo explicativo posible.

También te invito a visitar todas mis publicaciones relacionadas con Cisco
Si desean indagar en este tema, les recomiendo en libro Hardening Cisco Routers de Thomas Akin