Check Point con MARS

Esta semana he estado configurando un MARS para que recoja eventos de diferentes sistemas. Una de la mas liosas quizas sea la de Check Point. Aqui os dejo como es la configuracion.

En el SmartCenter de Check Point hay que modificar el fichero fwopsec.conf para habilitar el LEA Server y el CPMI Server (importante parar y arrancar el firewall para que active los cambios).

# sam_server auth_port 18183
# sam_server port 0
#
lea_server auth_port 18184
# lea_server port 0
#
# ela_server auth_port 18187
# ela_server port 0
#
cpmi_server auth_port 18190
#
# uaa_server auth_port 19191
# uaa_server port 0

En el Check Point hay que crear un objeto OPSEC con la informacion del MARS.
En el MARS hay que dar de alta el Check Point Managment Console de este modo: Conceptos importantes:

1. Tipo de acceso: lea_server auth_port 18184 (SSLCA)
2. Client Entity SIC name: El del objeto MARS
3. Server Entity SIC Name: El del objeto SmartCenter

URL con mas informacion: http://ciscomars.blogspot.com/2007/05/troubleshooting-checkpoint-reporting.html

CCIE Security Lab Examen Actualizado

Aunque se escapa del objetivo, en uno de esos e-mails que envía Cisco informan que han actualizado el examen de laboratorio del CCIE en Seguridad, requiriendo conocimientos del ultimo equipamiento de seguridad de Cisco. Este examen estará disponible a partir de Abril de 2009.

Ahora ya no hay PIX ni Concentradores de VPN, en cambio si aparecen los ASA. En este enlace están los detalles:

https://cisco.hosted.jivesoftware.com/docs/DOC-3240

X Jornada de Seguridad - Jueves, 16 de Octubre

Nextel S.A. celebrará el próximo 16 de octubre en el Parque Tecnológico de Bizkaia la décima edición de sus anuales Jornadas de Seguridad, que se han convertido en una cita imprescindible para el sector.
Bajo el lema “¿Está preparado para los nuevos retos?” se analizarán las principales tendencias y soluciones prácticas para sus proyectos de seguridad de la mano de relevantes personalidades del sector.

Agenda
Fecha: Jueves, 16 de Octubre
Hora: De 09:15 a 13:00hs
Recinto: Parque Tecnológico de Bizkaia, Edif. 101, Sala Auditorium, Zamudio.
Moderación: Carlos Laraudogoitia, Diario Información
Asistencia: Gratuita

Programación
9:15 - 09:30 - Recepción

Escenario Actual de Normativas
9:30 - 10:00: "Innovación en el tratamiento de los Sistemas de Gestión", José Ramón Concha, Consultor Senior, Nextel S.A..
10:00 - 10:30: "La solución a la Gestión de las TIC's: Certificación de los Sistemas de Gestión", Carlos Manuel Fernández, Gerente de TI, Aenor.
10:30 - 11:00 - Pausa Café

Soluciones de Seguridad
11:00 - 11:30: "Ironport serie S: seguridad en navegación web", Álvaro García, Systems Engineer, Ironport Systems.
11:30 - 12:00: Caso Práctico "Optimizando la explotación del correo electrónico", Francisco Javier Contreras, Responsable de Sistemas de Información - Internet, Euskaltel S.A..
12:00 - 12:30: "Redes inteligentes de nueva generación con tecnología DPI", Tomás Gómez de Acuña, Territory Manager, Allot Communications Iberia.
12:00 - 12:30: "Seguridad perimetral por puerto y protocolo: Nueva generación de firewalls 2.0", Francisco Irala, Director Técnico Exclusive España, Palo Alto Networks.

Las inscripciones pueden realizarse en: http://www.nextel.es/aNXW/web/es/jornadas/fjornada.jsp

Cisco Security Convertion Tool

Ultimamente me he encontrado con algunos clientes que tenían instalados firewall Check Point y querían pasar a Cisco ASA. El motivo no deja de ser otro que el económico, ya que y aunque alguno le pueda sorprender por la temática del blog, pienso que Check Point esta por encima de los firewalls de Cisco y a mi entender del resto de fabricantes tambien (Juniper, Fortinet,... ).

Si te encuentras en la situación de tener que pasar Check Point a algunos de los firewalls de Cisco (ASA, FWSM o PIX) es posible convertir los objetos y reglas que ya tenias al formato de los firewalls de Cisco con la herramienta Cisco Security Convertion Tool.

Aqui estan un par de pantallas. En esta primera se le indican los ficheros de objetos y reglas de Check Point.

En esta otra se seleccionan opciones del firewall Cisco al que será importado.

AIP-SSM (Advanced Inspection and Prevention Security Service Module)

Cuando se habla de AIP-SSM (Adaptative Inspection and Prevention Security Service Module) realmente se esta haciendo referencia al modulo IPS que puede ir incorporado en los ASA (Adaptive Security Appliances).
Este modulo tiene un interface para administrarlo independientemente del ASA y el rendimiento teórico máximo de monitorización varía dependiendo de la plataforma:
• 300 Mbps con Cisco ASA 5510
• 375 Mbps con Cisco ASA 5520
• 450 Mbps con Cisco ASA 5540

Aqui hay un ejemplo sacado de un AIP-SSM:

aipssm# sh ver
Application Partition:
Cisco Intrusion Prevention System, Version 6.0(5)E2

Host:
Realm Keys key1.0
Signature Definition:
Signature Update S339.0 2008-06-11
Virus Update V1.4 2007-03-02
OS Version: 2.4.30-IDS-smp-bigphys
Platform: ASA-SSM-20
Serial Number: JAFxxx904RM
Licensed, expires: 29-Oct-2008 UTC
Sensor up-time is 3 days.
Using 1023840256 out of 2093600768 bytes of available memory (48% usage)
system is using 17.7M out of 29.0M bytes of available disk space (61% usage)
application-data is using 48.3M out of 166.8M bytes of available disk space (31% usage)
boot is using 38.6M out of 68.6M bytes of available disk space (59% usage)

MainApp N-2008_JUN_06_02_35 (Release) 2008-06-06T03:23:18-0500 Running
AnalysisEngine N-2008_JUN_06_02_35 (Release) 2008-06-06T03:23:18-0500 Running
CLI N-2008_JUN_06_02_35 (Release) 2008-06-06T03:23:18-0500

Upgrade History:
IPS-K9-6.0-5-E2 06:15:14 UTC Tue Jun 24 2008

Recovery Partition Version 1.1 - 6.0(5)E2

Material para el SNRS

Entre los materiales que estoy utilizando para la preparacion del examen SNRS esta el siguiente:

-Manuales oficiales: Securing Networks with Cisco Routers and Switches (SNRS) Student Guide v2.0 y CCSP SNRS Quick Reference Sheets.

- Libros: Lan Switch Security: What Hackers Know About Your Switches, The Complete Cisco VPN Configuration Guide , SSL Remote Access VPNs, Router Security Strategies, Cisco Network Security Troubleshooting y End-to-End Network Security: Defense-in-Depth

Aqui se puede encontrar practicamente todo el material: Cisco Press eBooks

Estos son los temas que cubre el examen:
- Layer 2 Security - Attack methods and techniques to mitigate the attacks
- Trust and Identity - Authentication, Authorization, and Accounting using TACACS+ and RADIUS
- 802.1x - Identity-based network access control, including dynamic VLAN assignment for end users
- Network Foundation Protection - Secure an IOS router's control plane, management plane, and data plane, and use Flexible Packet Matching
- VPN Connectivity:
- IPSec Overview
- Site-to-Site IPSec VPN using Pre-Shared Keys for Authentication
- Site-to-Site IPSec VPN using Public Key Infrastructure and Digital Certificates for Authentication
- Dynamic Multipoint VPN
- Cisco IOS SSL VPN (WebVPN)
- Easy VPN Server for Remote Access IPSec VPN
- Protect your network with Cisco IOS Classic Firewall and Cisco IOS Zone-Based Policy Firewall
- Provide identity-based access control through an IOS router using Authentication Proxy
- Defend against threats on your network using IOS Intrusion Prevention Systems

Packet Tracer 5

En esta ocasión quiero hablar del Packet Tracer. Este software es un simulador para la enseñanza y el aprendizaje de tecnología de redes de Cisco. Yo lo he usado, cuando preparaba el CCNA y con las nuevas mejoras incluso se pueden practicar temas del CCNP.

Entre las nuevas funcionalidades están:

- Soporte de muchas más plataformas: Windows (Windows XP, Windows 2000, Vista Home Basic, Vista Home Premium) y Linux (Ubuntu y Fedora).
- Soporte de muchos más protocolos: IP version 6, OSPF multi-area, redistribución de rutas, Rapid Spanning Tree Protocol, Secure Shell y switching con capas multiples.

- Funcionalidad multiusuario: Es una aplicación par a par capaz de trabajar con redes que habilita un aprendizaje social. La funcionalidad multiusuario soporta la colaboración, competencia, interacción remota entre instructores y estudiantes, redes sociales y juegos.

Esta versión la podéis descargar aquí:

http://rapidshare.com/files/135847627/PT5-esp.rar

Si quereis aprender a utilizarla, descargar: Tutorial Online Packet Tracer