642-533 IPS. Uno menos

Llevo tiempo sin actualizar el blog porque el tiempo no me da pero no he olvidado el objetivo que me marque hace tiempo. El jueves pasado hice el examen de IPS y lo pase.

En mi opinion, el examen, si se ha trabajo con los IPS de Cisco es bastante asequible. En mi caso llevo trabajando varios años tanto los appliance como los modulos IPS de los ASA.

De las cosas que no conocia, estaban la parte de Bloqueo de Dispositivos, que no habia usado nunca y la Deteccion de Anomalias que no conocia mas que por encima.

El examen esta basado en la version 6 aunque ya han sacado hace unos meses la version 7.

Cisco Security Manager - Mi error preferido

Desde hace varios años llevo trabajando con el Cisco Security Manager y en mas de una ocasión me he encontrado con que a pesar de que los servicios están arrancados y que todo parece estar perfectamente sale el siguiente mensaje de error:

"you do not have permission to access /cwhp/LiaisonServlet "

La solución para esto es poner unicamente el servicio "Cisco Security Manager Daemon Manager" en modo automático y el resto de los servicios en "Manual". El daemon del CiscoWorks se encarga de arrancar los otros servicios y debe de hacerlo de forma ordenada.

Cuando hablo de Cisco Security Manager y Cisco Works es porque el CSM lleva por debajo un CiscoWorks.

En este link se puede encontrar información para solucionar errores del CSM:

http://www.cisco.com/en/US/docs/security/security_management/cisco_security_manager/security_manager/3.0/troubleshooting/guide/scts.html

Cisco IPS - ¿Que version instalo?

Si te introduces, de primeras, en el mundo de los IPS de Cisco la verdad es que te puede dar vueltas la cabeza. En muy poco tiempo han salido nuevas versiones, engines,...

Actualmente conviven las siguientes versiones: 6.0(6), 6.1(3), 6.2(1) y 7.0(1)

Ademas de eso hay que tener instalada la que termina en E3 si se quiere actualizar con los nuevos ficheros de firmas que van apareciendo.

Por si esto no fuera poco, Cisco ha anunciado que a mediados de diciembre la version 6.1 queda descatalogada. En cambio la 6.0 parece que aguanta.

Y ya de remate en la 6.2 tienes que saber que la proteccion IPv6 solo se soporta en los Cisco IPS 4240, 4255, 4260, 4270.
Si alguien que esta aun en la verison 6.0, esta pensando en migrar para aprovechar las mejoras de las nuevas versiones, pensará ¿que hago? A la 6.1 no voy a ir ¿y por cual me decanto ? ¿la 6.2 0 la 7.0? Algunos diran la 7.0 esta un poco verde pero si tengo muchas sondas que actualizar no quiero hacer dos veces el trabajo (pasar a la 6.2 y dentro de un tiempo a la 7.0) Entonces queda la tercera opcion: me quedo en la 6.0 y espero a que esto se aclare (pero me quedo sin las mejoras).

Release Notes 6.0(6)E3: ttp://www.cisco.com/en/US/docs/security/ips/6.0/release/notes/20113_01.html

Release Notes 6.1(3)E3: http://www.cisco.com/en/US/docs/security/ips/6.1/release/notes/20114_01.html

Release Notes 6.2(1)E3: http://www.cisco.com/en/US/docs/security/ips/6.2/release/notes/15642_01.html

Release Notes 7.0.1(1)E3: http://www.cisco.com/en/US/docs/security/ips/7.0/release/notes/18483_01.html

Informacion con los boletines de actualizacion de Cisco se puede encontrar aqui:

http://tools.cisco.com/security/center/bulletin.x?i=57

Security Intelligence Operations

Cisco tiene una nueva seccion, dentro de su web, dedicada a la seguridad. En ella aparecen alertas de seguridad, activdad de amenazas (spam, virus, ...)




Esta es la direccion: http://tools.cisco.com/security/center/home.x

Mas informacion: http://www.cisco.com/en/US/solutions/collateral/ns340/ns394/ns171/ns441/at_a_glance_c45-532090.pdf

Nueva version Wireshark 1.2.0

Wireshark (antes conocido como Ethereal) el famoso software para capturar/analizar paquetes de red, ha sacado una nueva version con bastantes mejoras.
Wireshark te permite ver a un nivel muy bajo y detallado, que esta pasando en tu red, lo cual la hace imprescindible sobre todo para la resolucion de problemas . Además es gratuito, open source y multiplataforma.

Se puede descargar en este enlace:

http://www.wireshark.org/download.html

Si quieres aprender a utilizarla aqui tienes dos enlaces con todo lo que hay que saber:

http://seguridadyredes.nireblog.com/post/2008/02/14/analisis-de-red-con-wireshark-interpretando-los-datos

http://casidiablo.net/wireshark/

Alta disponibilidad en MC CSA 6.0.1

Con la aparición de la versión 6.0.1 del MC CSA ha surgido una nueva solución de alta disponibilidad para el gestor de Cisco Security Agents.
Hasta ahora, cuando se caía un MC CSA había que tener preparado otro MC CSA offline, con el mismo nombre e IP que el primario, copiar los certificados SSL, parar el primario y arrancar el secundario. En otras palabras sustituir uno por otro y de forma manual.
Ahora existe una solución de alta disponibilidad de verdad. Las dos maquinas están funcionando y cuando la primaria cae la otra automaticamente coge el control.
Aquí tenéis un documento que lo explica detalladamente:

http://www.cisco.com/en/US/docs/security/csa/csa601/white_papers/Management_Center_for_Cisco_Security_Agent_High_Availability_White_Paper.pdf

CCNA Security

Bueno, pues parece que poco a poco va saliendo material para preparar el examen de CCNA Security. Hasta hace nada, excepto el CCNA Security Official Exam Certification Guide no habia mucho que rascar. El mes pasado ya aparecio otro CCNA Security Exam Cram (Exam IINS 640-553) y hoy me he entrado que tambien han sacado CCNA Concentration Flash Cards.

CCNA Concentration Flash Cards

Cert Flash Cards Online, es un nuevo servicio online para preparar examenes. El servicio te permite revisar los temas del examen tomar e imprimir notas y marcar tarjetas para posteriormente revisar. Tu puedes incluso revisar tarjetas en tu dispositivo móvil.

¿Como se calcula el Risk rating en IOS IPS?

Starting in Cisco IOS Software Release 12.4(11)T, the Cisco IOS Intrusion Prevention System (IPS) feature supports 5.x signature-format-based signatures. It also supports the unique Cisco Risk-Rating-based signature event action processor. Risk ratings are assigned to alerts generated from IPS sensors. The intent of this risk rating is to provide the user with an indication of the relative risk of the traffic or offending host continuing to access the user's network. This rating can be used to provide a means for developing risk-oriented event action policies for Cisco IOS IPS.
The risk rating is realized as an integer value in the range from 0 to 100. The higher the value, the greater the security risk of the trigger event for the associated alert. The risk rating is a calculated number that has three primary components: Alert Severity Rating (ASR), Signature Fidelity Rating (SFR), and Target Value Rating (TVR).
The risk rating is calculated using the following formula:

The Risk Rating value is rounded to 100 if the calculated value is greater than 100.

Signature Fidelity Rating (SFR)
The SFR is a user-modifiable weighted value that characterizes the fidelity of the signature that has detected the suspect activity. It represents a relative measure of the accuracy of the signature. It has a value of 0 to 100 set by Cisco by default. Under normal circumstances, the user will not change this value.
Several factors affect the fidelity of a signature. First, many vulnerabilities are only relevant for a particular OS, service, application, or even patch level. Without this information, particularly in the classic intrusion detection system (IDS) mode, the sensor may identify attempts that will ultimately fail as actual attacks, leading to wasted effort on the part of the security administrator investigating the alleged attack. Another issue that can cloud the fidelity of a signature is a legitimate application that produces traffic that mimics the behavior of an exploitation of network vulnerability. The signature developer takes these factors into consideration when assigning the SFR for a particular signature.

Alert Severity Rating (ASR)
It has a value of one of the following: 25 (Information), 50 (Low), 75 (Medium), or 100 (High).
The ASR is a user-modifiable weighted value that characterizes the damage potential of the suspect traffic. It is presented to the user in familiar, descriptive text tags: informational, low, medium, and high. Under normal circumstances, the user will not change this value.
• An informational alert is based on commonly seen network traffic and has no particular security relevance when seen on most networks. It may be a violation of a policy on some networks, but it generally poses no immediate threat to network security. Information alert has a value of 25.
• A low alert is also based on relatively benign network traffic, but is somewhat unusual on most networks. Also categorized as low would be overt scans, such as those commonly seen by network management devices. Although this type of scan could be a precursor to an attack, it is uncommon for an overt scan to be used for this purpose. Low alert has a value of 50.
• A medium alert is based on traffic that generally should not be seen on the network. It is usually assigned to midlevel reconnaissance traffic, denial of service (DoS) attacks on self-healing services, and remote access of unexpected information or programs. This type of behavior warrants investigation or preventive actions, sometimes requiring policy decisions from the user. Medium alert has a value of 75.
• A high alert is based on traffic that is indicative of an active attack or an obvious precursor to an attack. This traffic should never be seen in a normal network. This rating is reserved for attacks that could result in serious compromise of the target, or for specific network traffic that is only seen in covert reconnaissance traffic. High alert has a value of 100.

Target Value Rating (TVR)
TVR is a user-defined value that represents the user's perceived value of the target host. This allows the user to increase the risk of an event associated with a critical system and to de-emphasize the risk of an event on a low-value target. It has a value of one of the following: 75 (Low Asset Value), 100 (Medium Asset Value), 150 (High Asset Value), and 200 (Mission-Critical Asset Value). It would not be unusual for a user to raise or lower the TVR of assets to increase the visibility of alerts fired on critical assets, or to decrease the visibility of alerts fired on none critical assets. The default value of TVR is 100-Medium Asset Value.
In closing, risk rating provides the user with valuable insight into the overall risk of an event. This allows the user to develop policies for the prevention of network attacks or to better characterize events for prioritization of further investigation. Risk rating in conjunction with event action overrides makes it very easy for customers to configure Cisco IOS IPS to take action on alerts that exceed a certain risk rating threshold. For example, in most cases, a customer may find that a risk rating of 90 or greater represents a substantial threat on their network. Because all alerts use the same criteria to calculate risk rating, the customer can configure event action override to drop any packets that generate a risk rating of 90 or greater. Subsequently, a risk rating of 50 or less may be of no interest to a customer, so they can use event action override to ignore alerts with ease and lower risk rating calculations.

Cisco Expo 2009

En Cisco Expo obtendrá un conocimiento exclusivo de las últimas innovaciones de Cisco y sus principales partners. Conocerá nuestra visión del futuro de las redes de colaboración, y podrá participar en sesiones que analizan las principales oportunidades del mercado y los retos técnicos de este sector.

Estas son algunas de las razones para visitar Cisco Expo 2009:
- Sesiones que analizan en profundidad temas actuales y críticos del sector como Comunicaciones Unificadas, Telepresencia, vídeo, centros de datos, RFID, etc.
- Demostración en vivo y en directo de cómo la tecnología de Cisco cambia el modo en el que vivimos, trabajamos y nos divertimos.
- Sesiones enfocadas en soluciones adaptadas a diferentes sectores como banca, Administración Pública, sanidad, distribución y logísitica, operadores de servicios y PYMEs.
- Conferencia sobre cómo lograr la eficiencia energética en los edificios a través de las nuevas tecnologías.
- Exposición y demostraciones de partners sobre productos y servicios de vanguardia.
- La mejor oportunidad de relacionarse con los profesionales de este sector.

Cisco Expo 2009 se llevará a cabo en el Hotel Eurostars Madrid Tower, los días 20 y 21 de abril. Para inscribirse u obtener más información, visite www.cisco.es/expo.

Sondas Cisco IDS 4235 e IDS 4250

El servicio de actualizacion de firmas para las sondas Cisco IDS 4235 e IDS 4250 esta próximo a finalizar.

El último día de soporte para los modelos IDS 4250 SX e IDS 4250 XLes el 24 de Mayo de 2009 2009 y para los modelos IDS 4235 e IDS 4250 TX será el 31 de Mato de 2009.

Mas información incluyendo la migracion recomendada se puede encontrar en:

http://www.cisco.com/en/US/products/hw/vpndevc/ps4077/prod_eol_notices_list.html

VPN entre Juniper y Cisco ASA

Durantes estos dos ultimos meses he andado liado con bastantes temas y no he tenido tiempo para actualizar el blog. tanto como yo quisiera.

Entre las cosas que he andado metido y ya que no todo en la vida es Cisco me he sacado la certificacion del Juniper Networks Certified Internet Associate (JNCIA-FWV)

Entre lo que he encontrado por internet me ha gustado el blog de Peter Van Eeckhoutte. Como ejemplo aquí tenéis como crear una VPN entre un Juniper y un Cisco ASA.

http://www.corelan.be:8800/index.php/2007/11/17/juniper-setting-up-an-ipsec-vpn-tunnel-between-a-juniper-netscreen-firewallvpn-device-and-a-cisco-vpn-device/

Cisco IOS Firewall y Java Applets

Un applet esta formado por una clase java que esta insertada en una pagina web. Cuando un usuario carga la pagina en la que esta el applet, este se ejecuta localmente (en la maquina cliente) El hecho de que el applet se ejecute localmete implica que la seguridad sea crucial y aunque los applets ya estan sometidos a unas restricciones por defecto, es comun bloquearlos en los firewalls.

Esta es la forma de denegar Java Applets desde Internet con Cisco IOS Firewall:

1. Crear una lista de control de acceso (ACLs).
ip inspect name firewall tcp
ip inspect name firewall udp
!−−− ACL usada para Java
access−list 3 permit 216.157.100.247

2. Añadir comando ip inspect http java a la configuracion.
ip inspect name firewall http java−list 3 audit−trail on

3. Aplicar comando ip inspect y access−list al interface outside.
interface FastEthernet0
ip address 10.64.10.18 255.255.255.224
!−−− ACL usada para bloquear el trafico de entrada
!−−− excepto el que se permite por el inspects
ip access−group 100 in
ip nat outside
ip inspect firewall out

Infoblox para routers Cisco ISR con modulo AXP

Infoblox y Cisco se han aliado para ofrecer Infoblox DNS, DHCP y otros servicios de red claves vía blades diseñados para su instalación en los routers de servicios integrados de Cisco.
El producto, desarrollado conjuntamente por ambos fabricantes bajo la iniciativa Application eXtension Platform (AXP) de Cisco, brindará a las empresas la posibilidad de llevar los servicios de red más cerca del extremo de sus redes WAN y consolidar la infraestructura de sus oficinas remotas.

Mas informacion:
http://www.distributioncentral.co.nz/docs/note_infoblox_cisco.pdf

Informacion sobre AXP:
http://www.cisco.com/en/US/prod/collateral/routers/ps9701/data_sheet_c78_466714.pdf

Cisco IOS IPS

Cisco tiene incorporadas funciones IPS al software IOS. Cisco IOS IPS utiliza tres técnicas de detección:

- Basadas en perfiles: generan una alarma cuando la actividad de la red no concuerda con el perfil definido.

- Basadas en firmas: es menos propensa a generar falsas alarmas. Inspecciona las cabeceras IP, TCP, UDP o ICMP. Estas firmas pueden eliminarse o configurarse para adaptarse mejor a nuestro entorno de red.

- Basadas en el análisis del protocolo: son similares a las basadas en firmas pero realizan un análisis más profundo ya que examinan el payload de los paquetes TCP/UDP (ej: análisis de DNS).

Los beneficios de utilizar el IOS IPS son:

- Utilizamos la infraestructura de enrutamiento existente para añadir una capa adicional de seguridad y se integra suavemente.

- El hecho de trabajar en línea proporciona la capacidad de detener en tiempo real los ataques.

- Proporciona una protección completa y unificada en un producto cuando se combina con Cisco IDS, Cisco IOS Firewall, servicios VPN y NAC.

- Se puede administrar fácilmente desde SDM o CiscoWorks VMS.

Algunas características del IOS IPS son:

- Permite la creación de expresiones regulares en busca de patrones.

- Permite configurar acciones cuando se encuentra un patrón.

- Permite agregar muchas alarmas similares en una única alarma.

- Permite configurar los parámetros de las firmas.

- Permite luchar contra las técnicas de evasión utilizadas por los atacantes

Mas informacion :

http://www.cisco.com/en/US/prod/collateral/iosswrel/ps6537/ps6586/ps6634/product_data_sheet0900aecd803137cf.html

https://cisco.hosted.jivesoftware.com/docs/DOC-4243

En este enlace se detalla como configurar IOS IPS utilizando SDM en GNS3:

http://www.brainbump.net/2008/07/how-to-configure-ios-ips-intrusion-prevention-system-using-sdm-in-gns3/

En el siguiente enlace se puede ver una demo de IOS IPS con MARS:
http://www.cisco.com/cdc_content_elements/flash/ios/ios_ipscsmars/index.html

Seminario de Seguridad Fuga de Datos‏

A finales de mes, Cisco impartirá un seminario de seguridad sobre la Fuga de datos . Lo impartirá en sus oficinas de Madrid, el día 26 de Febrero, 2009.
En el se podrán conocer todas las novedades en torno a las soluciones de Seguridad de Cisco así cómo conocer un estudio sobre los errores humanos en la fuga de datos y aspectos legales a tener en cuenta.

Agenda
10.00 h. - Registro
10.30 h. - SDN 3.0. Los errores humanos en la fuga de datos - Cisco
11.00 h. - Aspectos legales a tener en cuenta para prevenir y mitigar fuga de datos - Ecija Abogados
11.30 h. - Café
12.00 h. - Seguridad Web y fuga de datos - Cisco Ironport
12.30 h. - Soluciones de seguridad Cisco para prevención de fuga de datos - Cisco

Si no puede asistir de forma presencial, Cisco pondrá a disposición de todos los registrados una sesión webex para poder seguir el evento en remoto.