Objetivo CCSP (Cisco Certified Security Professional): noviembre 2008

viernes, 28 de noviembre de 2008

IPS vs IDS

Cuando se habla de si las sondas de red están en modo IDS haciendo span de determinadas VLANs o en modo IPS (de forma inline) ¿que significa esto? ¿Cuales son las diferencias entre uno y otro modo? En el cuadro adjunto viene una muy buena explicacion.

martes, 18 de noviembre de 2008

Examenes retirados - CCSP

Ayer fue el último día para realizar dos examenes que podían ser utilizados para conseguir la certificacion CCSP. Estos examenes son:
642-552 SND - Securing Cisco Network Devices (SND)
642-513 HIPS - Securing Hosts Using Cisco Security Agent (HIPS)

Con esto se empiezan a aclarar un poco los requerimientos para el CCSP, aunque habrá que esperar un par de meses mas (hasta el día 18 de enero del 2009) a que queden únicamente los nuevos examenes como única alternativa para lograr el CCSP. En esta fecha desaparecerán los siguientes examenes :
642-503 SNRS - Securing Networks with Cisco Routers and Switches (SNRS)
642-523 SNPA - Securing Networks with PIX and ASA (SNPA)
642-544 MARS - Implementing Cisco Security Monitoring, Analysis and Response System (MARS)

lunes, 17 de noviembre de 2008

Actualizacion CS-MARS 6.0.1 (3070)

Esta es una actualizacion real de un Cisco MARS con el parche 6.01 (3070)

[pnadmin]$ pnupgrade -u alex:alex ftp://192.168.8.1/csmars-6.0.1.3070-customerpatch.pkg
CSMARS Upgrade...........[12487]
Loading..................[csmars-6.0.1.3070-customerpatch.pkg]
User.................[alex]
Protocol.............[ftp] Host.................[192.268.8.1]
Path.................[csmars-6.0.1.3070-customerpatch.pkg]
Modified.............[Wed, 12 Nov 2008 07:37:24 GMT] Size.................[148784440]######################################################### 100.0%
[Alert][get_pkg_info/273]: no csmars-6.0.1.3070-customerpatch.pkg in catalog.
[Alert][main/265]: fail to find csmars-6.0.1.3070-customerpatch.pkg version info.S
trip Meta Data..........[csmars-6.0.1.3070-customerpatch.pkg]
Decrypt Package..........[csmars-6.0.1.3070-customerpatch.pkg]
Self-Extract Archive.....[csmars-6.0.1.3070-customerpatch.pkg]
Verify MD5 Checksum......[md5sum.txt]
Package Loader...........[13172]
Sanity Check.............[PRE_UPGRADE]
----------------------------------------------------------------
Test Data Result
----------------------------------------------------------------
Disk Space /tmp (17878888KB) [PASS]
Disk Space /pnarchive (83154876KB) [PASS]
Jboss State up [PASS]
Oracle Status up [PASS]
----------------------------------------------------------------
Start Upgrade Manager....[Mon Nov 17 09:55:02 2008]
Package Version..........[6.0.1.3070]
Read Daemon Output.......[5]
Greeting From Daemon.....[Mon Nov 17 09:55:04 2008]
--
--
-- CS-MARS UPGRADE MANAGER -- [Mon Nov 17 09:55:04 2008]
--
--
Current Version..........[6.0.1.3066.30]
Package Version..........[6.0.1.3070]
Stop Monitor.............[09:55:04:329238000]
Stop JBoss...............[09:55:04:566230000]
Stop Daemons.............[09:55:19:209879000]
Load CS-MARS Archive.....[09:55:19:391609000]
Extract..............[csmars_6_0_1_3070.tar.gz@/opt/janus]
Verification.........[0]
Janus Name...........csmars@janus.conf]
Link Log.............[/log]
Load Scripts Archive.....[09:55:31:677898000]
Extract..............[scripts.tgz@/opt/janus]
Verification.........[0]
Update Version...........[09:55:31:730850000]
Binary Version.......[6.0.1 3070]
Deploy Contents..........[09:55:32:134358000]
Export...............[pnsh+showserialno]
Execute..............[post-unpack-deployment]
Start JBoss..............[09:56:04:213392000]
Start Daemons............[09:56:15:214019000]
Start Monitor............[09:56:15:995898000]
Final Version............[6.0.1 (3070) 30]
Daemon Status............[0]
Upgrade Completed...
Sanity Check.............[POST_UPGRADE]
----------------------------------------------------------------
Test Data Result
----------------------------------------------------------------
File Md5sum pnparser (8b9049cddd4f936ce1e4ec12c13ea2c2) [PASS]
File Md5sum pnarchiver (479b4f14f0cf3c3a492c05da4d077ed8)[PASS]
File Md5sum pnupgrade (dcb6efe07f54be2f7a881801fffc0fbe) [PASS]
File Md5sum pnmonitor (599ff7d7f6912a2814e6cd77183902e5) [PASS]
File Perm pnupgrade (-rwsr-sr-x) [PASS]
Jboss State up [PASS]
Schema Version 6.0.13 [PASS]
Oracle Status up [PASS] Data Version 30 [PASS]
----------------------------------------------------------------
Upgrade Successful...

[pnadmin]$ version
6.0.1 (3070) 30

[pnadmin]$ script ips_data_fix.sh
Update IPS Signature Data
Started at Mon Nov 17 09:59:55 CET 2008
This may take several minutes to complete.
Completed at Mon Nov 17 09:59:56 CET 2008

sábado, 15 de noviembre de 2008

Seminarios Online de Actualización Técnica

Cisco esta realizando, desde primeros de octubre, unos seminarios online de actualizacion técnica. Ayer toco el turno al de "Novedades en Seguridad y Plataforma ASA" y me apunte.

Al final, como en casi todos, se trata de vender así que hubo una parte comparativa con otros firewalls y lo que se ahorraba uno si ponía un ASA. La otra parte donde se hablaba de la parte técnica estuvo interesante.

El formato de las seminarios consta principalmente de dos bloques: el primero de ellos se centra en noticias concretas y novedades de la tecnología á tratar, y el segundo se centra en un tema específico a desarrollar en más profundidad.
Los seminarios se celebran cada viernes a las 11:00h a través de herramientas de colaboración (Cisco WEBEX). La duración estimada de cada una de estas seminarios es de 60 a 90 minutos.

Si no puedes conectarte on-line el día de la presentación, te puedes descargar la documentación en la web de Cisco.

Toda la información esta aquí:

http://www.cisco.com/web/ES/events/actualizacion-tecnica-partner/2008-calendario.html

viernes, 14 de noviembre de 2008

Herramienta migracion PIX a ASA

En un post anterior hable sobre la herramienta de conversión de configuraciones de Check Point a Cisco ASA. Debido a que en la actualidad los únicos firewalls que ofrece Cisco son ASA y FWSM, si quieres cambiar un PIX por un ASA existe una utilidad que transforma la configuración sin necesidad de crearla de nuevo en los ASA.

Esta herramienta se puede descargar de:

http://www.cisco.com/cgi-bin/tablebuild.pl/asa

jueves, 13 de noviembre de 2008

Cisco MARS 6.0.1 Parche Disponible

Cisco ha sacado un parche, CS-MARS 6.0.1 3070, para usuarios de MARS 6.0.1 release (3066).

¿Quien deberia aplicar este parche?:

1) Usuarios que tienen los siguientes dispositivos reportando a MARS: Cisco Switch IOS, Cisco IPS

- Usuarios que tienen un Cisco Switch-IOS configurado para enviar syslogs al MARS (CSCsu94548)

- Usuarios que han descargado e instalado los paquetes IPS de MARSs S333, S351 o S354 desde http://www.cisco.com/cgi-bin/tablebuild.pl/mars-ips-sigup, o tienen configurada la utilidad de autoactualizacion dinamica para descargar estos paquetes (CSCsu96311)

2) Usuarios que intentan desscargar mensajes raw desde la base de datos en la zona horaria GMT+ (CSCsv01999)

3) Usuarios que relizan consultas de tipo ranking por puerto origen/destino (CSCsq48971)

martes, 11 de noviembre de 2008

Cisco IPS E3 Engine

Cisco ha anunciado la disponibilidad de Cisco IPS E3 Engine (viene con el fichero de firmas S365). Esto obliga a actualizar las sondas, para poder actualizar los ficheros de firmas, ya que, para poder actualizarlos es necesario tener el engine E3 instalado. El engine E3 existe para las versiones: 5.1(8)E3, 6.0(5)E3, 6.1(1)E3, y 6.2(1)E3.

La principal característica que ofrece el E3 Engine es la capacidad de inspección de plataformas Cisco IPS con IPv6 nativo mediante la introducción del "atomic-ip-advanced" engine.

En junio de este año Cisco ya saco el engine E2 que trajo como consecuencia una gran actividad en la creación y molificación de nuevas firmas.

Con el engine E3 parece que la historia se repite, ya que hoy mismo ha salido la versión de firmas S367 con un elevado número de firmas nuevas y modificadas.

Mas informacion:

http://tools.cisco.com/security/center/viewBulletin.x?bId=181&year=2008

sábado, 8 de noviembre de 2008

Aplicarán la pena de muerte a hackers en Pakistán

Estos de Pakistan no paran, si en febrero se hiceron famosos por bloquear youtube ahora el presidente de este pais, Asif Ali Zardari promulgó el jueves una ley que castiga con la muerte los delitos de "ciberterrorismo". La normativa para la prevención de crímenes electrónicos será aplicable a cualquiera que cometa una falta en detrimento de la seguridad nacional utilizando un ordenador o cualquier otro dispositivo electrónico, dijo el gobierno en una ordenanza.
"El que cometa un acto de ciberterrorismo y cause la muerte de una persona será castigado con la muerte o la cadena perpetua", según una copia del decreto publicado por la agencia de noticias estatal APP.
La ley puede ser aplicada a los ciudadanos paquistaníes y a los extranjeros residentes en el país o fuera de las fronteras.
La ordenanza describe el ciberterrorismo como acceder a una red o a un sistema electrónico con la motivación de "intentar efectuar actos terroristas".
El gobierno enumera una lista de "actos terroristas" incluyendo el robo o la copia, el intento de robo o copia, información clasificada necesaria para fabricar cualquier forma de arma nuclear, biológica o química.
La normativa establece además otros castigos para faltas menores como el fraude electrónico, la falsificación, el daño de sistemas y el acceso sin autorización a sistemas.

Objetivo CCSP (Cisco Certified Security Professional)