CCNP Security

A finales de 2010 Cisco anuncio un cambio en los cursos incluidos en su certificacin profesional orientada a seguridad, yade paso tambien cambio el nombre, Cisco Certified Security Profesional (CCSP) es ahora conocido como Cisco Certified Network Profesional for Security (CCNP Security)

Regreso con nuevos brios

Llevaba mucho tiempo sin escribir, ya que el asunto de las certificacion se habia parado en seco. Como dije anteriormente, el presupuesto para todo el CCSP era de cero euros ( y asi sigue siendo), toda la preparacion para los examenes ha sido buscando informacion y equipamiento donde realizar las prácticas, por mi cuenta

Mi empresa se encargaba unicamente de costear el examen pero como llego un momento que no estaban dispuestos ni a pagar eso pues decidi parar. Me parecia que si tambien se iban a beneficiar de mi esfuerzo, al menos debian sufragar el examen.

Un año y medio despues parece que tienen intencion de volver a hacerlo, asi que por eso he decidido continuar y de paso, volver a escribir en el blog.

En todo este tiempo han cambiado muchas cosas en el mundo Cisco y como consecuencia en las certificaciones, el CCSP desaparece y se crea el CCNP Security, por tanto hacia ahi es donde me encamino ahora.

642-533 IPS. Uno menos

Llevo tiempo sin actualizar el blog porque el tiempo no me da pero no he olvidado el objetivo que me marque hace tiempo. El jueves pasado hice el examen de IPS y lo pase.

En mi opinion, el examen, si se ha trabajo con los IPS de Cisco es bastante asequible. En mi caso llevo trabajando varios años tanto los appliance como los modulos IPS de los ASA.

De las cosas que no conocia, estaban la parte de Bloqueo de Dispositivos, que no habia usado nunca y la Deteccion de Anomalias que no conocia mas que por encima.

El examen esta basado en la version 6 aunque ya han sacado hace unos meses la version 7.

Cisco Security Manager - Mi error preferido

Desde hace varios años llevo trabajando con el Cisco Security Manager y en mas de una ocasión me he encontrado con que a pesar de que los servicios están arrancados y que todo parece estar perfectamente sale el siguiente mensaje de error:

"you do not have permission to access /cwhp/LiaisonServlet "

La solución para esto es poner unicamente el servicio "Cisco Security Manager Daemon Manager" en modo automático y el resto de los servicios en "Manual". El daemon del CiscoWorks se encarga de arrancar los otros servicios y debe de hacerlo de forma ordenada.

Cuando hablo de Cisco Security Manager y Cisco Works es porque el CSM lleva por debajo un CiscoWorks.

En este link se puede encontrar información para solucionar errores del CSM:

http://www.cisco.com/en/US/docs/security/security_management/cisco_security_manager/security_manager/3.0/troubleshooting/guide/scts.html

Cisco IPS - ¿Que version instalo?

Si te introduces, de primeras, en el mundo de los IPS de Cisco la verdad es que te puede dar vueltas la cabeza. En muy poco tiempo han salido nuevas versiones, engines,...

Actualmente conviven las siguientes versiones: 6.0(6), 6.1(3), 6.2(1) y 7.0(1)

Ademas de eso hay que tener instalada la que termina en E3 si se quiere actualizar con los nuevos ficheros de firmas que van apareciendo.

Por si esto no fuera poco, Cisco ha anunciado que a mediados de diciembre la version 6.1 queda descatalogada. En cambio la 6.0 parece que aguanta.

Y ya de remate en la 6.2 tienes que saber que la proteccion IPv6 solo se soporta en los Cisco IPS 4240, 4255, 4260, 4270.
Si alguien que esta aun en la verison 6.0, esta pensando en migrar para aprovechar las mejoras de las nuevas versiones, pensará ¿que hago? A la 6.1 no voy a ir ¿y por cual me decanto ? ¿la 6.2 0 la 7.0? Algunos diran la 7.0 esta un poco verde pero si tengo muchas sondas que actualizar no quiero hacer dos veces el trabajo (pasar a la 6.2 y dentro de un tiempo a la 7.0) Entonces queda la tercera opcion: me quedo en la 6.0 y espero a que esto se aclare (pero me quedo sin las mejoras).

Release Notes 6.0(6)E3: ttp://www.cisco.com/en/US/docs/security/ips/6.0/release/notes/20113_01.html

Release Notes 6.1(3)E3: http://www.cisco.com/en/US/docs/security/ips/6.1/release/notes/20114_01.html

Release Notes 6.2(1)E3: http://www.cisco.com/en/US/docs/security/ips/6.2/release/notes/15642_01.html

Release Notes 7.0.1(1)E3: http://www.cisco.com/en/US/docs/security/ips/7.0/release/notes/18483_01.html

Informacion con los boletines de actualizacion de Cisco se puede encontrar aqui:

http://tools.cisco.com/security/center/bulletin.x?i=57

Security Intelligence Operations

Cisco tiene una nueva seccion, dentro de su web, dedicada a la seguridad. En ella aparecen alertas de seguridad, activdad de amenazas (spam, virus, ...)




Esta es la direccion: http://tools.cisco.com/security/center/home.x

Mas informacion: http://www.cisco.com/en/US/solutions/collateral/ns340/ns394/ns171/ns441/at_a_glance_c45-532090.pdf

Nueva version Wireshark 1.2.0

Wireshark (antes conocido como Ethereal) el famoso software para capturar/analizar paquetes de red, ha sacado una nueva version con bastantes mejoras.
Wireshark te permite ver a un nivel muy bajo y detallado, que esta pasando en tu red, lo cual la hace imprescindible sobre todo para la resolucion de problemas . Además es gratuito, open source y multiplataforma.

Se puede descargar en este enlace:

http://www.wireshark.org/download.html

Si quieres aprender a utilizarla aqui tienes dos enlaces con todo lo que hay que saber:

http://seguridadyredes.nireblog.com/post/2008/02/14/analisis-de-red-con-wireshark-interpretando-los-datos

http://casidiablo.net/wireshark/