Cisco IPS Manager Express (IME)

El Cisco IPS Manager Express es una aplicaron para la gestión de IPS. Desde ella se puede monitorizar, gestionar y crear informes dispositivos IDS, IPS, o IOS IPS. Teniendo un máximo de cinco dispositivos.

IME esta especialmente pensaba para sondas que ya están actualizadas a la versión 6.1 o posterior, ya que algunas de sus características no funcionan con versiones anteriores a estas.

Cisco Security Manager 3.2.1 y el Hit Count

Con la salida del CSM 3.2.1, la herramienta Hit Count, que te da el numero de veces que un paquete ha pasado por una regla concreta, se queda ‘colgada’ siempre en el 44% del proceso total. Ademas, cuando se lanza esta herramienta, la CPU del servidor se pone por las nubes.

Aquí tenéis el pantallazo famoso:

Esperemos que con la salida de la version 3.2.2 el asunto se haya solucionado.

Cisco MARS 6.0.2

Cisco ha sacado una nueva release para Cisco MARS. Se trata de la version 6.0.2.

Esta version ha salido fundamentalmente para dar soporte a las nuevas versiones que han salido recientemente de ASA e IPS.:
• Cisco ASA 8.0.4
• Cisco ASA 8.1.2
• Cisco IPS 6.1

Mas informacion se puede encontrar en:

http://www.cisco.com/en/US/docs/security/security_management/cs-mars/6.0/release/notes/rnote602.pdf

Emulando MARS con vmware

Llevaba tiempo pensando en escribir sobre como hacer correr productos de Cisco, en un ordenador, mediante emuladores pero no había visto como hacerlo con MARS. Hoy me ha llegado un enlace en el que se explica como hacerlo. Aquí lo tenéis:

http://www.linickx.com/archives/476/cs-mars-v-6-0-in-vmware-franken-mars

Si queréis aprender todo lo que se puede hacer con Vmware, en el siguiente enlace se pueden encontrar gran cantidad de videotutoriales y manuales.

http://www.biblio-web.org/aprendervmware/

IPS vs IDS

Cuando se habla de si las sondas de red están en modo IDS haciendo span de determinadas VLANs o en modo IPS (de forma inline) ¿que significa esto? ¿Cuales son las diferencias entre uno y otro modo? En el cuadro adjunto viene una muy buena explicacion.

Examenes retirados - CCSP

Ayer fue el último día para realizar dos examenes que podían ser utilizados para conseguir la certificacion CCSP. Estos examenes son:
642-552 SND - Securing Cisco Network Devices (SND)
642-513 HIPS - Securing Hosts Using Cisco Security Agent (HIPS)

Con esto se empiezan a aclarar un poco los requerimientos para el CCSP, aunque habrá que esperar un par de meses mas (hasta el día 18 de enero del 2009) a que queden únicamente los nuevos examenes como única alternativa para lograr el CCSP. En esta fecha desaparecerán los siguientes examenes :
642-503 SNRS - Securing Networks with Cisco Routers and Switches (SNRS)
642-523 SNPA - Securing Networks with PIX and ASA (SNPA)
642-544 MARS - Implementing Cisco Security Monitoring, Analysis and Response System (MARS)

Actualizacion CS-MARS 6.0.1 (3070)

Esta es una actualizacion real de un Cisco MARS con el parche 6.01 (3070)

[pnadmin]$ pnupgrade -u alex:alex ftp://192.168.8.1/csmars-6.0.1.3070-customerpatch.pkg
CSMARS Upgrade...........[12487]
Loading..................[csmars-6.0.1.3070-customerpatch.pkg]
User.................[alex]
Protocol.............[ftp] Host.................[192.268.8.1]
Path.................[csmars-6.0.1.3070-customerpatch.pkg]
Modified.............[Wed, 12 Nov 2008 07:37:24 GMT] Size.................[148784440]######################################################### 100.0%
[Alert][get_pkg_info/273]: no csmars-6.0.1.3070-customerpatch.pkg in catalog.
[Alert][main/265]: fail to find csmars-6.0.1.3070-customerpatch.pkg version info.S
trip Meta Data..........[csmars-6.0.1.3070-customerpatch.pkg]
Decrypt Package..........[csmars-6.0.1.3070-customerpatch.pkg]
Self-Extract Archive.....[csmars-6.0.1.3070-customerpatch.pkg]
Verify MD5 Checksum......[md5sum.txt]
Package Loader...........[13172]
Sanity Check.............[PRE_UPGRADE]
----------------------------------------------------------------
Test Data Result
----------------------------------------------------------------
Disk Space /tmp (17878888KB) [PASS]
Disk Space /pnarchive (83154876KB) [PASS]
Jboss State up [PASS]
Oracle Status up [PASS]
----------------------------------------------------------------
Start Upgrade Manager....[Mon Nov 17 09:55:02 2008]
Package Version..........[6.0.1.3070]
Read Daemon Output.......[5]
Greeting From Daemon.....[Mon Nov 17 09:55:04 2008]
--
--
-- CS-MARS UPGRADE MANAGER -- [Mon Nov 17 09:55:04 2008]
--
--
Current Version..........[6.0.1.3066.30]
Package Version..........[6.0.1.3070]
Stop Monitor.............[09:55:04:329238000]
Stop JBoss...............[09:55:04:566230000]
Stop Daemons.............[09:55:19:209879000]
Load CS-MARS Archive.....[09:55:19:391609000]
Extract..............[csmars_6_0_1_3070.tar.gz@/opt/janus]
Verification.........[0]
Janus Name...........csmars@janus.conf]
Link Log.............[/log]
Load Scripts Archive.....[09:55:31:677898000]
Extract..............[scripts.tgz@/opt/janus]
Verification.........[0]
Update Version...........[09:55:31:730850000]
Binary Version.......[6.0.1 3070]
Deploy Contents..........[09:55:32:134358000]
Export...............[pnsh+showserialno]
Execute..............[post-unpack-deployment]
Start JBoss..............[09:56:04:213392000]
Start Daemons............[09:56:15:214019000]
Start Monitor............[09:56:15:995898000]
Final Version............[6.0.1 (3070) 30]
Daemon Status............[0]
Upgrade Completed...
Sanity Check.............[POST_UPGRADE]
----------------------------------------------------------------
Test Data Result
----------------------------------------------------------------
File Md5sum pnparser (8b9049cddd4f936ce1e4ec12c13ea2c2) [PASS]
File Md5sum pnarchiver (479b4f14f0cf3c3a492c05da4d077ed8)[PASS]
File Md5sum pnupgrade (dcb6efe07f54be2f7a881801fffc0fbe) [PASS]
File Md5sum pnmonitor (599ff7d7f6912a2814e6cd77183902e5) [PASS]
File Perm pnupgrade (-rwsr-sr-x) [PASS]
Jboss State up [PASS]
Schema Version 6.0.13 [PASS]
Oracle Status up [PASS] Data Version 30 [PASS]
----------------------------------------------------------------
Upgrade Successful...

[pnadmin]$ version
6.0.1 (3070) 30

[pnadmin]$ script ips_data_fix.sh
Update IPS Signature Data
Started at Mon Nov 17 09:59:55 CET 2008
This may take several minutes to complete.
Completed at Mon Nov 17 09:59:56 CET 2008

Seminarios Online de Actualización Técnica

Cisco esta realizando, desde primeros de octubre, unos seminarios online de actualizacion técnica. Ayer toco el turno al de "Novedades en Seguridad y Plataforma ASA" y me apunte.

Al final, como en casi todos, se trata de vender así que hubo una parte comparativa con otros firewalls y lo que se ahorraba uno si ponía un ASA. La otra parte donde se hablaba de la parte técnica estuvo interesante.

El formato de las seminarios consta principalmente de dos bloques: el primero de ellos se centra en noticias concretas y novedades de la tecnología á tratar, y el segundo se centra en un tema específico a desarrollar en más profundidad.
Los seminarios se celebran cada viernes a las 11:00h a través de herramientas de colaboración (Cisco WEBEX). La duración estimada de cada una de estas seminarios es de 60 a 90 minutos.

Si no puedes conectarte on-line el día de la presentación, te puedes descargar la documentación en la web de Cisco.

Toda la información esta aquí:

http://www.cisco.com/web/ES/events/actualizacion-tecnica-partner/2008-calendario.html

Herramienta migracion PIX a ASA

En un post anterior hable sobre la herramienta de conversión de configuraciones de Check Point a Cisco ASA. Debido a que en la actualidad los únicos firewalls que ofrece Cisco son ASA y FWSM, si quieres cambiar un PIX por un ASA existe una utilidad que transforma la configuración sin necesidad de crearla de nuevo en los ASA.

Esta herramienta se puede descargar de:

http://www.cisco.com/cgi-bin/tablebuild.pl/asa

Cisco MARS 6.0.1 Parche Disponible

Cisco ha sacado un parche, CS-MARS 6.0.1 3070, para usuarios de MARS 6.0.1 release (3066).

¿Quien deberia aplicar este parche?:

1) Usuarios que tienen los siguientes dispositivos reportando a MARS: Cisco Switch IOS, Cisco IPS

- Usuarios que tienen un Cisco Switch-IOS configurado para enviar syslogs al MARS (CSCsu94548)

- Usuarios que han descargado e instalado los paquetes IPS de MARSs S333, S351 o S354 desde http://www.cisco.com/cgi-bin/tablebuild.pl/mars-ips-sigup, o tienen configurada la utilidad de autoactualizacion dinamica para descargar estos paquetes (CSCsu96311)

2) Usuarios que intentan desscargar mensajes raw desde la base de datos en la zona horaria GMT+ (CSCsv01999)

3) Usuarios que relizan consultas de tipo ranking por puerto origen/destino (CSCsq48971)

Cisco IPS E3 Engine

Cisco ha anunciado la disponibilidad de Cisco IPS E3 Engine (viene con el fichero de firmas S365). Esto obliga a actualizar las sondas, para poder actualizar los ficheros de firmas, ya que, para poder actualizarlos es necesario tener el engine E3 instalado. El engine E3 existe para las versiones: 5.1(8)E3, 6.0(5)E3, 6.1(1)E3, y 6.2(1)E3.

La principal característica que ofrece el E3 Engine es la capacidad de inspección de plataformas Cisco IPS con IPv6 nativo mediante la introducción del "atomic-ip-advanced" engine.

En junio de este año Cisco ya saco el engine E2 que trajo como consecuencia una gran actividad en la creación y molificación de nuevas firmas.

Con el engine E3 parece que la historia se repite, ya que hoy mismo ha salido la versión de firmas S367 con un elevado número de firmas nuevas y modificadas.

Mas informacion:

http://tools.cisco.com/security/center/viewBulletin.x?bId=181&year=2008

Aplicarán la pena de muerte a hackers en Pakistán

Estos de Pakistan no paran, si en febrero se hiceron famosos por bloquear youtube ahora el presidente de este pais, Asif Ali Zardari promulgó el jueves una ley que castiga con la muerte los delitos de "ciberterrorismo". La normativa para la prevención de crímenes electrónicos será aplicable a cualquiera que cometa una falta en detrimento de la seguridad nacional utilizando un ordenador o cualquier otro dispositivo electrónico, dijo el gobierno en una ordenanza.
"El que cometa un acto de ciberterrorismo y cause la muerte de una persona será castigado con la muerte o la cadena perpetua", según una copia del decreto publicado por la agencia de noticias estatal APP.
La ley puede ser aplicada a los ciudadanos paquistaníes y a los extranjeros residentes en el país o fuera de las fronteras.
La ordenanza describe el ciberterrorismo como acceder a una red o a un sistema electrónico con la motivación de "intentar efectuar actos terroristas".
El gobierno enumera una lista de "actos terroristas" incluyendo el robo o la copia, el intento de robo o copia, información clasificada necesaria para fabricar cualquier forma de arma nuclear, biológica o química.
La normativa establece además otros castigos para faltas menores como el fraude electrónico, la falsificación, el daño de sistemas y el acceso sin autorización a sistemas.

Check Point con MARS

Esta semana he estado configurando un MARS para que recoja eventos de diferentes sistemas. Una de la mas liosas quizas sea la de Check Point. Aqui os dejo como es la configuracion.

En el SmartCenter de Check Point hay que modificar el fichero fwopsec.conf para habilitar el LEA Server y el CPMI Server (importante parar y arrancar el firewall para que active los cambios).

# sam_server auth_port 18183
# sam_server port 0
#
lea_server auth_port 18184
# lea_server port 0
#
# ela_server auth_port 18187
# ela_server port 0
#
cpmi_server auth_port 18190
#
# uaa_server auth_port 19191
# uaa_server port 0

En el Check Point hay que crear un objeto OPSEC con la informacion del MARS.
En el MARS hay que dar de alta el Check Point Managment Console de este modo: Conceptos importantes:

1. Tipo de acceso: lea_server auth_port 18184 (SSLCA)
2. Client Entity SIC name: El del objeto MARS
3. Server Entity SIC Name: El del objeto SmartCenter

URL con mas informacion: http://ciscomars.blogspot.com/2007/05/troubleshooting-checkpoint-reporting.html

CCIE Security Lab Examen Actualizado

Aunque se escapa del objetivo, en uno de esos e-mails que envía Cisco informan que han actualizado el examen de laboratorio del CCIE en Seguridad, requiriendo conocimientos del ultimo equipamiento de seguridad de Cisco. Este examen estará disponible a partir de Abril de 2009.

Ahora ya no hay PIX ni Concentradores de VPN, en cambio si aparecen los ASA. En este enlace están los detalles:

https://cisco.hosted.jivesoftware.com/docs/DOC-3240

X Jornada de Seguridad - Jueves, 16 de Octubre

Nextel S.A. celebrará el próximo 16 de octubre en el Parque Tecnológico de Bizkaia la décima edición de sus anuales Jornadas de Seguridad, que se han convertido en una cita imprescindible para el sector.
Bajo el lema “¿Está preparado para los nuevos retos?” se analizarán las principales tendencias y soluciones prácticas para sus proyectos de seguridad de la mano de relevantes personalidades del sector.

Agenda
Fecha: Jueves, 16 de Octubre
Hora: De 09:15 a 13:00hs
Recinto: Parque Tecnológico de Bizkaia, Edif. 101, Sala Auditorium, Zamudio.
Moderación: Carlos Laraudogoitia, Diario Información
Asistencia: Gratuita

Programación
9:15 - 09:30 - Recepción

Escenario Actual de Normativas
9:30 - 10:00: "Innovación en el tratamiento de los Sistemas de Gestión", José Ramón Concha, Consultor Senior, Nextel S.A..
10:00 - 10:30: "La solución a la Gestión de las TIC's: Certificación de los Sistemas de Gestión", Carlos Manuel Fernández, Gerente de TI, Aenor.
10:30 - 11:00 - Pausa Café

Soluciones de Seguridad
11:00 - 11:30: "Ironport serie S: seguridad en navegación web", Álvaro García, Systems Engineer, Ironport Systems.
11:30 - 12:00: Caso Práctico "Optimizando la explotación del correo electrónico", Francisco Javier Contreras, Responsable de Sistemas de Información - Internet, Euskaltel S.A..
12:00 - 12:30: "Redes inteligentes de nueva generación con tecnología DPI", Tomás Gómez de Acuña, Territory Manager, Allot Communications Iberia.
12:00 - 12:30: "Seguridad perimetral por puerto y protocolo: Nueva generación de firewalls 2.0", Francisco Irala, Director Técnico Exclusive España, Palo Alto Networks.

Las inscripciones pueden realizarse en: http://www.nextel.es/aNXW/web/es/jornadas/fjornada.jsp

Cisco Security Convertion Tool

Ultimamente me he encontrado con algunos clientes que tenían instalados firewall Check Point y querían pasar a Cisco ASA. El motivo no deja de ser otro que el económico, ya que y aunque alguno le pueda sorprender por la temática del blog, pienso que Check Point esta por encima de los firewalls de Cisco y a mi entender del resto de fabricantes tambien (Juniper, Fortinet,... ).

Si te encuentras en la situación de tener que pasar Check Point a algunos de los firewalls de Cisco (ASA, FWSM o PIX) es posible convertir los objetos y reglas que ya tenias al formato de los firewalls de Cisco con la herramienta Cisco Security Convertion Tool.

Aqui estan un par de pantallas. En esta primera se le indican los ficheros de objetos y reglas de Check Point.

En esta otra se seleccionan opciones del firewall Cisco al que será importado.

AIP-SSM (Advanced Inspection and Prevention Security Service Module)

Cuando se habla de AIP-SSM (Adaptative Inspection and Prevention Security Service Module) realmente se esta haciendo referencia al modulo IPS que puede ir incorporado en los ASA (Adaptive Security Appliances).
Este modulo tiene un interface para administrarlo independientemente del ASA y el rendimiento teórico máximo de monitorización varía dependiendo de la plataforma:
• 300 Mbps con Cisco ASA 5510
• 375 Mbps con Cisco ASA 5520
• 450 Mbps con Cisco ASA 5540

Aqui hay un ejemplo sacado de un AIP-SSM:

aipssm# sh ver
Application Partition:
Cisco Intrusion Prevention System, Version 6.0(5)E2

Host:
Realm Keys key1.0
Signature Definition:
Signature Update S339.0 2008-06-11
Virus Update V1.4 2007-03-02
OS Version: 2.4.30-IDS-smp-bigphys
Platform: ASA-SSM-20
Serial Number: JAFxxx904RM
Licensed, expires: 29-Oct-2008 UTC
Sensor up-time is 3 days.
Using 1023840256 out of 2093600768 bytes of available memory (48% usage)
system is using 17.7M out of 29.0M bytes of available disk space (61% usage)
application-data is using 48.3M out of 166.8M bytes of available disk space (31% usage)
boot is using 38.6M out of 68.6M bytes of available disk space (59% usage)

MainApp N-2008_JUN_06_02_35 (Release) 2008-06-06T03:23:18-0500 Running
AnalysisEngine N-2008_JUN_06_02_35 (Release) 2008-06-06T03:23:18-0500 Running
CLI N-2008_JUN_06_02_35 (Release) 2008-06-06T03:23:18-0500

Upgrade History:
IPS-K9-6.0-5-E2 06:15:14 UTC Tue Jun 24 2008

Recovery Partition Version 1.1 - 6.0(5)E2

Material para el SNRS

Entre los materiales que estoy utilizando para la preparacion del examen SNRS esta el siguiente:

-Manuales oficiales: Securing Networks with Cisco Routers and Switches (SNRS) Student Guide v2.0 y CCSP SNRS Quick Reference Sheets.

- Libros: Lan Switch Security: What Hackers Know About Your Switches, The Complete Cisco VPN Configuration Guide , SSL Remote Access VPNs, Router Security Strategies, Cisco Network Security Troubleshooting y End-to-End Network Security: Defense-in-Depth

Aqui se puede encontrar practicamente todo el material: Cisco Press eBooks

Estos son los temas que cubre el examen:
- Layer 2 Security - Attack methods and techniques to mitigate the attacks
- Trust and Identity - Authentication, Authorization, and Accounting using TACACS+ and RADIUS
- 802.1x - Identity-based network access control, including dynamic VLAN assignment for end users
- Network Foundation Protection - Secure an IOS router's control plane, management plane, and data plane, and use Flexible Packet Matching
- VPN Connectivity:
- IPSec Overview
- Site-to-Site IPSec VPN using Pre-Shared Keys for Authentication
- Site-to-Site IPSec VPN using Public Key Infrastructure and Digital Certificates for Authentication
- Dynamic Multipoint VPN
- Cisco IOS SSL VPN (WebVPN)
- Easy VPN Server for Remote Access IPSec VPN
- Protect your network with Cisco IOS Classic Firewall and Cisco IOS Zone-Based Policy Firewall
- Provide identity-based access control through an IOS router using Authentication Proxy
- Defend against threats on your network using IOS Intrusion Prevention Systems

Packet Tracer 5

En esta ocasión quiero hablar del Packet Tracer. Este software es un simulador para la enseñanza y el aprendizaje de tecnología de redes de Cisco. Yo lo he usado, cuando preparaba el CCNA y con las nuevas mejoras incluso se pueden practicar temas del CCNP.

Entre las nuevas funcionalidades están:

- Soporte de muchas más plataformas: Windows (Windows XP, Windows 2000, Vista Home Basic, Vista Home Premium) y Linux (Ubuntu y Fedora).
- Soporte de muchos más protocolos: IP version 6, OSPF multi-area, redistribución de rutas, Rapid Spanning Tree Protocol, Secure Shell y switching con capas multiples.

- Funcionalidad multiusuario: Es una aplicación par a par capaz de trabajar con redes que habilita un aprendizaje social. La funcionalidad multiusuario soporta la colaboración, competencia, interacción remota entre instructores y estudiantes, redes sociales y juegos.

Esta versión la podéis descargar aquí:

http://rapidshare.com/files/135847627/PT5-esp.rar

Si quereis aprender a utilizarla, descargar: Tutorial Online Packet Tracer

Cisco IPS y la cuenta de servicio

La cuenta de servicio es una herramienta para dar soporte y solucionar problemas que permite conectarte al sistema operativo nativo de las sondas (un Linux).

Estas cuentas no existen por defecto en los IDS y no tienen acceso directo al CLI sino que se conectan directamente a un bash shell. Unicamente se puede crear una cuenta con este role.

Veamos un ejemplo:

Una vez conectado al IDS. Entrar en el modo configure terminal:

ciscoids# configure terminal

Posteriormente se crea la cuenta de servicio:

ciscoids(config)#username alex privilege service password alex1969

ciscoids# show users all

CLI ID User Privilege

* 488 cisco administrator

alex service

operador viewer

Una vez creada vemos que se ve al conectarnos con la cuenta de servicio:

login as: alex
Password: alex1969
***NOTICE***This product contains cryptographic features and is subject to United Statesand local country laws governing import, export, transfer and use. Deliveryof Cisco cryptographic products does not imply third-party authority to import,export, distribute or use encryption. Importers, exporters, distributors andusers are responsible for compliance with U.S. and local country laws. By usingthis product you agree to comply with applicable laws and regulations. If youare unable to comply with U.S. and local laws, return this product immediately.
A summary of U.S. laws governing Cisco cryptographic products may be found at:http://www.cisco.com/wwl/export/crypto/tool/stqrg.html
If you require further assistance please contact us by sending email toexport@cisco.com.Press Enter to continue
************************ WARNING ************************UNAUTHORIZED ACCESS TO THIS NETWORK DEVICE IS PROHIBITED.This account is intended to be used for support andtroubleshooting purposes only. Unauthorized modificationsare not supported and will require this device to bere-imaged to guarantee proper operation.************************************

Ahora vamos a conectarnos como superusuario tecleando:

-bash-2.05b$ su -

Password: alex1969 (la de cuenta "alex")

Personalmente yo lo he utilizado cuando he tenido problemas actualizando el fichero de firmas. Se ha solucionado reiniciando el proceso del CIDS.

-bash-2.05b# /etc/init.d/cids stop

Shutting down CIDS:

Remove cidmodcap:

Remove cidmodcap node:

-bash-2.05b# cd /usr/cids/idsRoot/var/virtualSensor

-bash-2.05b# /etc/init.d/cids start

startChecking kernel allocated memory: [ OK ]

Load cidmodcap:Create node:

Starting CIDS:

Firewall Service Module (FWSM)

Dentro de los firewalls que Cisco tiene entre sus productos esta el Firewall Service Module (FWSM) que es un modulo que se puede instalar en los Catalyst 6500 series switches o en los Cisco 7600 series routers.
En el caso de los Catalyst 6500 series switches, se requieren los siguientes componentes:
- Supervisor engine con software Cisco IOS .
- Multilayer Switch Feature Card (MSFC) 2 con Cisco IOS software.

Configuración en el switch:

1) Asignar VLANs al Firewall Services Module
firewall vlan-group 1 10,15,20,25
firewall module 1 vlan-group 1

2) Añadir Switched Virtual Interfaces al MSFC
interface vlan 20
ip address 192.168.1.1 255.255.255.0

Configuración en el FWSM:
1) Configurar interfaces en FWSM
interface vlan 20
nameif outside
security-level 0
ip address 192.168.1.2 255.255.255.0
interface vlan 10
nameif inside
security-level 100
ip address 10.1.1.1 255.255.255.0
interface vlan 15
nameif dmz1
security-level 60
ip address 192.168.2.1 255.255.255.224
interface vlan 25
nameif dmz2
security-level 50
ip address 192.168.3.1 255.255.255.224

2) Configurar ruta por defecto (al MSFC):
route outside 0.0.0.0 0.0.0.0 192.168.1.1

SNRS será el siguiente

He estado revisando cual va a ser mi próximo examen y el elegido ha sido "Securing Networks with Cisco Routers and Switches (SNRS) ".
Con la salida de algunos nuevos examenes y la retirada de otros, he tenido que cambiar mi idea inicial.

Los módulos en los que se divide el temario son estos:
Modulo 1 - Layer 2 Security
Modulo 2 - Trust and Identity
Modulo 3 - Cisco Network Foundation Protection
Modulo 4 - Secured Connectivity
Modulo 5 - Adaptive Threat Defense

La información del examen se puede encontrar en:
https://cisco.hosted.jivesoftware.com/community/certifications/ccsp/snrs?view=overview

Cisco Security Manager 3.2

Los productos de seguridad de Cisco son como un puzzle. Existen diferentes equipos para VPNs (concentradores, routers, ASAs...), firewalls (PIX, ASA, FWSM, IOS Firewall), IPS-IDS, HIPS (MC CSA), correlación de eventos (MARS), control de acceso a la red (NAC), autenticacion (ACS),...

Entonces Cisco debió pensar que con tantos productos, si tuviese una herramienta que pudiese gestionar el mayor número de productos e integrarlos con el resto, seria mucho mas fácil para un administrador de seguridad y saco el Cisco Security Manager.

Personalmente la idea me parece muy buena aunque llevarla a buen puerto les esta costando. Las novedades mas importantes de la versión 3.2 es que han conseguido integrar el IPS (que hasta ahora estaba un poco descolgado) e integrarlo con MARS, del mismo modo que estaban los firewalls.

La información del producto se puede encontrar aquí:
http://www.cisco.com/en/US/prod/collateral/vpndevc/ps5739/ps6498/data_sheet_c78-458677-00_ps6498_Products_Data_Sheet.html

Aquí hay unos enlaces con demostraciones del Cisco Security Manager:

http://www.demolabs.co.uk/demos/marscsmips/mars_csm32.html

http://www.demolabs.co.uk/demos/ciscomarscsm/mars_csm.html

Otro escalon más. Pasado el HIPS (642-513)

Bueno pues hoy he realizado el examen "Securing Hosts Using Cisco Security Agent (HIPS)" . El examen no me ha parecido excesivamente complicado para todo lo que puede dar de si el CSA. Cisco podría complicarlo bastante más. Han sido 69 preguntas y se aprobaba con 825. Mi puntuación ha sido de 988.
Este ha sido mi segundo examen y ahora tengo que ver por cual continuo. Con tanto cambio de examenes me están haciendo cambiar continuamente la planificacion. Estos días he visto que han actualizado también los examenes "Securing Networks with Cisco Routers and Switches" e "Implementing Cisco Security Monitoring, Analysis and Response System" .

Proyecto 7 Cumbres

Hoy esperaba haberlo dedicado a repasar pero llevo todo el día llevando y trayendo a los niños al colegio, al txiki-txoko, a los columpios ... vamos que ni sentarme. Cuando he conseguido estar un poco tranquilo me he encontrado con este vídeo que me ha recordado un poco a mi objetivo. Veremos que sale mañana: Cumbre o caída por el barranco.

ACS SE y Cisco Secure Agent

Estos dias que estoy pegandome con un ACS Appliance resulta que me he encontrado con que tambien se le puede habilitar el CSA.

Ultimamente he visto que el CSA se integra con otros productos NAC, Cliente VPN, MARS y otras herramientas de correlacion de eventos,... pero no habia visto ninguna referencia al ACS.

Note: The Cisco Secure Agent section appears only if you are using appliance base image 3.3.1.3 or later or if you have applied the Cisco Secure Agent update to the appliance.

Use the "CSA Enabled" check box to stop and start the CSAgent service on the appliance. When you disable CSAgent, it remains disabled until you return to this page and reenable it or use the start command at the console to start CSAgent. Rebooting the appliance does not restart a disabled CSAgent service.
To start the CSAgent service, select the CSA Enabled check box and click Submit.
To stop the CSAgent service, clear the CSA Enabled check box and click Submit.

Asegúr@IT III en Bilbao

El próximo 25 de septiembre se celebra en Bilbao el evento gratuito Asegúr@IT III, en la sede de la Universidad de Deusto. Cuenta con la partición de ponentes de empresas como Panda Security, Microsoft, S21Sec e Informatica64.
Los ponentes serán Mikel Gastesi, Iñaki Etxeberría, Pablo Garaizar, Juan Luís Rambla y David Carmona. Tendrá lugar en Bilbao, Universidad de Deusto. El 25 de septiembre de 2008.

La agenda:
09:00 - 09:15 Registro

09:15 - 10:00 Cracking & protección de software
La disciplina de cracking software tiene mucho que ver con la protección de software. En esta sesión Mike Gastesi, de S21Sec, contará cuales son algunas de las técnicas utilizadas para la decompilación y crackeo de software y al final dará algunas recomendaciones para proteger el software contra este tipo de técnicas.

10:00 - 10:45 Rootkits in Action
La técnología rootkit llegó ya hace unos años para quedarse con nosotros. En esta sesión Iñaki Etxeberría, de Panda Security, contará cómo funcionan hoy en día los rootkits, cuáles son sus objetivos y cómo podemos protegernos de ellos.

10:45 - 11:15 Café

11:15 - 12:00 Tempest, mitos y realidades
La tecnología Tempest ha dado mucho que hablar. La posibilidad de interceptar la información generada en un equipo mediante la intercepción de las ondas radiadas por los dispositivos electrónicos ha sido utilizada en múltiples novelas y películas de ciencia ficción. No obstante, las técnicas tempest existen y funcionan con unas características. En esta sesión Pablo Garaizar, Txipi, de la Universidad de Deusto mostrará que es mito, que es realidad y hará algún ejemplo de estas técnicas.

12:00 - 12:45 Network Access Protecction
La protección de las redes en entornos en los que los trabajadores utilizan dispositivos móviles para conectarse (portátiles, PDA, teléfonos móviles) necesitan comprobar la salud de los equipos que se conectan a la red. Windows Server 2008 y Windows Vista incorporan NAP, una tecnología que permite controlar la salud de los equipos que se desean conectar a la red. Juan Luís Rambla, MVP de Microsoft en Windows Security de Informática 64 realizará una demostración de cómo implantar esta tecnología.

12:45 - 13:30 Protección contra Botnets desplegadas por Web
Las técnicas de expansión de las redes botnets van cambiando día a día buscando nuevos métodos de infectar máquinas. Actualmente una de las disciplinas utilizadas consiste en atacar máquinas través de sitios web legítimos vulnerados mediante fallos de programación. David Carmona, Evangelista de Microsoft desgranará cómo funcionan estas nuevas formas de despliegue y dará pautas para protegernos contra ellas.

13:30 - 14:00 Preguntas a los ponentes

Apúntate en esta URL: http://msevents.microsoft.com/CUI/EventDetail.aspx?EventID=1032382985&Culture=es-ES

Cisco MARS Version 6.0.1

Cisco ha liberado oficialmente la nueva version de MARS Software Version 6.0.1. Algunos de los cambios incluidos en esta nueva version son:
- Consolidated Software Release
- Upgrade Management
- Device Support Framework
- Cisco IPS TR/RR Support
- Support for Internet Explorer 7.x
- New Cisco Device Support
- New 3rd-Party Device Support
- CSV Export Enhancements
- Rule Enhancements
- Performance Enhancement for Batch Queries and Reports
- Performance Enhancement for Inline Queries, Batch Queries and Reports

Para una completa lista de funciones, instrucciones de actualizacion y caveats ir al siguiente enlace: Cisco MARS 6.0.1 Release Notes.

El viernes a por el segundo examen

Quedan tres días para el examen y ya estoy con ganas de que llegue el día. La verdad es que el MC CSA da para bastante mas de lo que pensaba. He estado probando bastantes cosas nuevas que no sabían que existían y me parece que tiene muchas funcionalidades.
Como comente en un post anterior, mi presupuesto para la certificacion es de 0 euros, así que internet es mi fuente de información. Aquí os dejo una lista del material que estoy utilizando y donde lo podéis encontrar.

Manuales de la versión 5.2 ( descargados de la web de Cisco):
- Installing Management Center for CSA 5.2
- Using Managment Center for Cisco Security Agent 5.2

Curso on-line:
http://www.cisco.com/E-Learning/bulk/public/celc/hipsv3.1/Course_Files/start.htm

CCSP HIPS 3.0 Presentation Files:
http://www.netap.net/2008/05/13/ccsp-hips-30-presentation-files

Securing Hosts Using Cisco Security Agent (HIPS) Student Guide v3.0:
http://www.netap.net/2008/04/19/securing-hosts-using-cisco-security-agent-hips-student-guide-v30-volume-1
http://www.netap.net/2008/04/19/securing-hosts-using-cisco-security-agent-hips-student-guide-v30-volume-2

Libros de ciscopress.com :
- Advanced Host Intrusion Prevention with CSA"

- Curiosamente en este otro libro "Cisco Network Admission Control,Volume II:NAC Network Deployment and Troubleshooting", hay un capitulo completo dedicado al CSA (el numero 9). Esta muy bien, ya que explica la integracion con NAC y en otro capitulo como integrarlo con CS-MARS.

Dos semanas para el examen HIPS

El viernes 19 de septiembre es la fecha que he escogido para realizar el examen 642-513 HIPS. Esta semana que es cuando me he puesto serio a estudiar, ha coincidido con que he tenido que instalar la nueva versión 6.0, ya que se quiere confirmar que no da problemas con Windows Vista.
Aprovechando esto, he estado configurando la autenticación con LDAP y viendo la interacción con terceros (NAC, MARS, IPS, Cliente VPN y Arcsight).
A diferencia de otros examenes de Cisco, de este es complicado lograr material para estudiar. A pesar de esto he encontrado un site donde hay material interesante. Aquí esta el link: http://blog.priveonlabs.com/

MC CSA y el SQL Server "collision" string

En junio estuve actualizando nuestro MC CSA que era una versión 5.1 a la versión 5.2. El asunto es que desde la versión 5.2 la base de datos que utiliza es SQL 2005 (anteriormente la teníamos con SQL Server 2000). Mis compas de BBDD querían aprovechan una máquina, en la que que tenían SQL Server 2005 instalado y crear una base de datos que seria la que conectaría con el MC CSA.

Bueno, pues esto que parece tan sencillo se convirtió en toda una odisea a cuenta de la collation de SQL Server. Mis compañeros tenían en el SQL Server una collation llamada xxxxx que al MC CSA no le gustaba y cuando estabas instalando aparecia un mensaje de error y te sacaba de la instalacion.

Después de muchas pruebas, mirar y remirar la documentación y preguntar en algun foro, Cisco nos envió un e-mail en el cual confirmaban (a pesar de que no aparecía como un requerimiento en la documentación) que si la collation de tu SQL Server y la de la base de datos no es Latin1_General no hay forma de instalar el SQL Server.

El caso es que ahora que han sacado la versión 6.0, en la documentaciónn ya advierten de ello, aunque de una forma muy particular....

"Make sure the default language is set to English. Note that you should not change the language default after CSA MC is installed. The SQL Server collision string must contain Latin1_General. "

642-513 HIPS - Securing Hosts Using Cisco Security Agent

A alguno quizás les sorprenda que me haya decidido por este examen y mas cuando están a punto de retirarlo. El caso es que llevo trabajando varios años con el CSA y he trabajado con las versiones 4.5, 5.1 y 5.2. Ahora acaban de sacar la 6.0. y hoy mismo he estado descargando la versión para evaluar el CSA en máquinas con Windows Vista (que es una de las novedades de esta versión).

La instalación con la que trabajo actualmente es una versión 5.2 que utiliza una base de datos SQL 2005 externa y que tiene unos 2.700 agentes. Los logs además se envian a un CS-MARS y a Arcsight.

Lo que realmente me sorprende es que el examen (por lo que he mirado hasta ahora) se basa en la versión 5.0 que todavía utilizaba VMS. Desde la 5.1 eso ya no es necesario y han pasado mas de dos años de esto. ¿Que hace Cisco todavía con ese examen si además acaba de sacar a mediados de agosto la versión 6.0? ¿Por que lo retira en lugar de actualizarlo, si sigue sacando nuevas versiones del producto?

Nuevas versiones de Cisco MARS 4.3.6 y 5.3.6

Hoy he estado actualizando nuestro CS-MARS con la versoin 5.3.6, ya que teniamos un monton de entradas del estilo "Unknown User (unknown) Database insert".
La informacion del bug que corrigen esta version es la siguiente:

Cisco have released MARS 4.3.6 and 5.3.6.
Theres no new features in this release, but a major fix.

The following changes and enhancements exist in 4.3.6 and 5.3.6:
•Resolution of issue introduced in x.3.4 release. The driver for the x.3.6 release is to correct CSCsr47032, a defect introduced in x.3.4 that results in the database gradually filling up with unneeded audit logs. This defect can lead to a file system overflow when archiving is enabled or exporting is used for migration purposes.
Customers should upgrade to the x.3.6 release soon as possible to avoid consuming all hard drive space on CS-MARS 20/20R, 25/25R, 50, and 55 models. High-end models are not in danger of disk overflow but may experience a malfunction of archiving and export depending on the quantity of accumulated audit logs.
To determine whether an appliance is affected by this defect, click ADMIN > System Maintenance >View the Audit Trail, and look for messages like "8/18/08 3:50:11 PM PDT Unknown User (unknown) Database insert: DbReportResult: DbReportResult:215178". If thousands of such messages appear from the previous hour, an upgrade to x.3.6 is strongly recommende

Ya estamos de vuelta

Bueno pues despues de unas merecidas vacaciones, de vuelta a la dura realidad...
Entre las novedades que me he encontrado a mi vuelta esta la salida de la nueva version Cisco Security Agent Version 6.0 . Aqui esta el link con todo tipo de informacion:

http://www.cisco.com/en/US/products/ps9595/index.html

Esta version se puede descargar desde:

http://www.cisco.com/cgi-bin/tablebuild.pl/csa

Es interesante para mi ya que he cambiado el orden de los examenes a realizar. Me he decidido por el 642-513 HIPS - Securing Hosts Using Cisco Security Agent, que aunque lo van a retirar para mi es importante conocerlo en profundidad, ya que trabajo con ello desde hace varios años en una instalacion con mas de 2.700 agentes.