Objetivo CCSP (Cisco Certified Security Professional)

CCNP Security

2011-05-01T22:15:00.000+02:00

A finales de 2010 Cisco anuncio un cambio en los cursos incluidos en su certificacin profesional orientada a seguridad, yade paso tambien cambio el nombre, Cisco Certified Security Profesional (CCSP) es ahora conocido como Cisco Certified Network Profesional for Security (CCNP Security)

Regreso con nuevos brios

2011-04-30T20:51:00.001+02:00

Llevaba mucho tiempo sin escribir, ya que el asunto de las certificacion se habia parado en seco. Como dije anteriormente, el presupuesto para todo el CCSP era de cero euros ( y asi sigue siendo), toda la preparacion para los examenes ha sido buscando informacion y equipamiento donde realizar las prácticas, por mi cuenta

Mi empresa se encargaba unicamente de costear el examen pero como llego un momento que no estaban dispuestos ni a pagar eso pues decidi parar. Me parecia que si tambien se iban a beneficiar de mi esfuerzo, al menos debian sufragar el examen.

Un año y medio despues parece que tienen intencion de volver a hacerlo, asi que por eso he decidido continuar y de paso, volver a escribir en el blog.

En todo este tiempo han cambiado muchas cosas en el mundo Cisco y como consecuencia en las certificaciones, el CCSP desaparece y se crea el CCNP Security, por tanto hacia ahi es donde me encamino ahora.

642-533 IPS. Uno menos

2009-11-30T14:51:00.003+01:00

Llevo tiempo sin actualizar el blog porque el tiempo no me da pero no he olvidado el objetivo que me marque hace tiempo. El jueves pasado hice el examen de IPS y lo pase.

En mi opinion, el examen, si se ha trabajo con los IPS de Cisco es bastante asequible. En mi caso llevo trabajando varios años tanto los appliance como los modulos IPS de los ASA.

De las cosas que no conocia, estaban la parte de Bloqueo de Dispositivos, que no habia usado nunca y la Deteccion de Anomalias que no conocia mas que por encima.

El examen esta basado en la version 6 aunque ya han sacado hace unos meses la version 7.

Cisco Security Manager - Mi error preferido

2009-09-16T12:27:00.004+02:00

Desde hace varios años llevo trabajando con el Cisco Security Manager y en mas de una ocasión me he encontrado con que a pesar de que los servicios están arrancados y que todo parece estar perfectamente sale el siguiente mensaje de error:

"you do not have permission to access /cwhp/LiaisonServlet "

La solución para esto es poner unicamente el servicio "Cisco Security Manager Daemon Manager" en modo automático y el resto de los servicios en "Manual". El daemon del CiscoWorks se encarga de arrancar los otros servicios y debe de hacerlo de forma ordenada.

Cuando hablo de Cisco Security Manager y Cisco Works es porque el CSM lleva por debajo un CiscoWorks.

En este link se puede encontrar información para solucionar errores del CSM:

http://www.cisco.com/en/US/docs/security/security_management/cisco_security_manager/security_manager/3.0/troubleshooting/guide/scts.html

Cisco IPS - ¿Que version instalo?

2009-09-15T08:05:00.000+02:00

Si te introduces, de primeras, en el mundo de los IPS de Cisco la verdad es que te puede dar vueltas la cabeza. En muy poco tiempo han salido nuevas versiones, engines,...

Actualmente conviven las siguientes versiones: 6.0(6), 6.1(3), 6.2(1) y 7.0(1)

Ademas de eso hay que tener instalada la que termina en E3 si se quiere actualizar con los nuevos ficheros de firmas que van apareciendo.

Por si esto no fuera poco, Cisco ha anunciado que a mediados de diciembre la version 6.1 queda descatalogada. En cambio la 6.0 parece que aguanta.

Y ya de remate en la 6.2 tienes que saber que la proteccion IPv6 solo se soporta en los Cisco IPS 4240, 4255, 4260, 4270.
Si alguien que esta aun en la verison 6.0, esta pensando en migrar para aprovechar las mejoras de las nuevas versiones, pensará ¿que hago? A la 6.1 no voy a ir ¿y por cual me decanto ? ¿la 6.2 0 la 7.0? Algunos diran la 7.0 esta un poco verde pero si tengo muchas sondas que actualizar no quiero hacer dos veces el trabajo (pasar a la 6.2 y dentro de un tiempo a la 7.0) Entonces queda la tercera opcion: me quedo en la 6.0 y espero a que esto se aclare (pero me quedo sin las mejoras).

Release Notes 6.0(6)E3: ttp://www.cisco.com/en/US/docs/security/ips/6.0/release/notes/20113_01.html

Release Notes 6.1(3)E3: http://www.cisco.com/en/US/docs/security/ips/6.1/release/notes/20114_01.html

Release Notes 6.2(1)E3: http://www.cisco.com/en/US/docs/security/ips/6.2/release/notes/15642_01.html

Release Notes 7.0.1(1)E3: http://www.cisco.com/en/US/docs/security/ips/7.0/release/notes/18483_01.html

Informacion con los boletines de actualizacion de Cisco se puede encontrar aqui:

http://tools.cisco.com/security/center/bulletin.x?i=57

Security Intelligence Operations

2009-08-16T12:58:00.003+02:00

Cisco tiene una nueva seccion, dentro de su web, dedicada a la seguridad. En ella aparecen alertas de seguridad, activdad de amenazas (spam, virus, ...)

Esta es la direccion: http://tools.cisco.com/security/center/home.x

Mas informacion: http://www.cisco.com/en/US/solutions/collateral/ns340/ns394/ns171/ns441/at_a_glance_c45-532090.pdf

Nueva version Wireshark 1.2.0

2009-06-17T22:02:00.007+02:00

Wireshark (antes conocido como Ethereal) el famoso software para capturar/analizar paquetes de red, ha sacado una nueva version con bastantes mejoras.
Wireshark te permite ver a un nivel muy bajo y detallado, que esta pasando en tu red, lo cual la hace imprescindible sobre todo para la resolucion de problemas . Además es gratuito, open source y multiplataforma.

Se puede descargar en este enlace:

http://www.wireshark.org/download.html

Si quieres aprender a utilizarla aqui tienes dos enlaces con todo lo que hay que saber:

http://seguridadyredes.nireblog.com/post/2008/02/14/analisis-de-red-con-wireshark-interpretando-los-datos

http://casidiablo.net/wireshark/

Alta disponibilidad en MC CSA 6.0.1

2009-04-21T10:32:00.006+02:00

Con la aparición de la versión 6.0.1 del MC CSA ha surgido una nueva solución de alta disponibilidad para el gestor de Cisco Security Agents.
Hasta ahora, cuando se caía un MC CSA había que tener preparado otro MC CSA offline, con el mismo nombre e IP que el primario, copiar los certificados SSL, parar el primario y arrancar el secundario. En otras palabras sustituir uno por otro y de forma manual.
Ahora existe una solución de alta disponibilidad de verdad. Las dos maquinas están funcionando y cuando la primaria cae la otra automaticamente coge el control.
Aquí tenéis un documento que lo explica detalladamente:

http://www.cisco.com/en/US/docs/security/csa/csa601/white_papers/Management_Center_for_Cisco_Security_Agent_High_Availability_White_Paper.pdf

CCNA Security

2009-04-17T07:01:00.000+02:00

Bueno, pues parece que poco a poco va saliendo material para preparar el examen de CCNA Security. Hasta hace nada, excepto el CCNA Security Official Exam Certification Guide no habia mucho que rascar. El mes pasado ya aparecio otro CCNA Security Exam Cram (Exam IINS 640-553) y hoy me he entrado que tambien han sacado CCNA Concentration Flash Cards.

CCNA Concentration Flash Cards

Cert Flash Cards Online, es un nuevo servicio online para preparar examenes. El servicio te permite revisar los temas del examen tomar e imprimir notas y marcar tarjetas para posteriormente revisar. Tu puedes incluso revisar tarjetas en tu dispositivo móvil.

¿Como se calcula el Risk rating en IOS IPS?

2009-04-16T07:43:00.001+02:00

Starting in Cisco IOS Software Release 12.4(11)T, the Cisco IOS Intrusion Prevention System (IPS) feature supports 5.x signature-format-based signatures. It also supports the unique Cisco Risk-Rating-based signature event action processor. Risk ratings are assigned to alerts generated from IPS sensors. The intent of this risk rating is to provide the user with an indication of the relative risk of the traffic or offending host continuing to access the user's network. This rating can be used to provide a means for developing risk-oriented event action policies for Cisco IOS IPS.
The risk rating is realized as an integer value in the range from 0 to 100. The higher the value, the greater the security risk of the trigger event for the associated alert. The risk rating is a calculated number that has three primary components: Alert Severity Rating (ASR), Signature Fidelity Rating (SFR), and Target Value Rating (TVR).
The risk rating is calculated using the following formula:

The Risk Rating value is rounded to 100 if the calculated value is greater than 100.

Signature Fidelity Rating (SFR)
The SFR is a user-modifiable weighted value that characterizes the fidelity of the signature that has detected the suspect activity. It represents a relative measure of the accuracy of the signature. It has a value of 0 to 100 set by Cisco by default. Under normal circumstances, the user will not change this value.
Several factors affect the fidelity of a signature. First, many vulnerabilities are only relevant for a particular OS, service, application, or even patch level. Without this information, particularly in the classic intrusion detection system (IDS) mode, the sensor may identify attempts that will ultimately fail as actual attacks, leading to wasted effort on the part of the security administrator investigating the alleged attack. Another issue that can cloud the fidelity of a signature is a legitimate application that produces traffic that mimics the behavior of an exploitation of network vulnerability. The signature developer takes these factors into consideration when assigning the SFR for a particular signature.

Alert Severity Rating (ASR)
It has a value of one of the following: 25 (Information), 50 (Low), 75 (Medium), or 100 (High).
The ASR is a user-modifiable weighted value that characterizes the damage potential of the suspect traffic. It is presented to the user in familiar, descriptive text tags: informational, low, medium, and high. Under normal circumstances, the user will not change this value.
• An informational alert is based on commonly seen network traffic and has no particular security relevance when seen on most networks. It may be a violation of a policy on some networks, but it generally poses no immediate threat to network security. Information alert has a value of 25.
• A low alert is also based on relatively benign network traffic, but is somewhat unusual on most networks. Also categorized as low would be overt scans, such as those commonly seen by network management devices. Although this type of scan could be a precursor to an attack, it is uncommon for an overt scan to be used for this purpose. Low alert has a value of 50.
• A medium alert is based on traffic that generally should not be seen on the network. It is usually assigned to midlevel reconnaissance traffic, denial of service (DoS) attacks on self-healing services, and remote access of unexpected information or programs. This type of behavior warrants investigation or preventive actions, sometimes requiring policy decisions from the user. Medium alert has a value of 75.
• A high alert is based on traffic that is indicative of an active attack or an obvious precursor to an attack. This traffic should never be seen in a normal network. This rating is reserved for attacks that could result in serious compromise of the target, or for specific network traffic that is only seen in covert reconnaissance traffic. High alert has a value of 100.

Target Value Rating (TVR)
TVR is a user-defined value that represents the user's perceived value of the target host. This allows the user to increase the risk of an event associated with a critical system and to de-emphasize the risk of an event on a low-value target. It has a value of one of the following: 75 (Low Asset Value), 100 (Medium Asset Value), 150 (High Asset Value), and 200 (Mission-Critical Asset Value). It would not be unusual for a user to raise or lower the TVR of assets to increase the visibility of alerts fired on critical assets, or to decrease the visibility of alerts fired on none critical assets. The default value of TVR is 100-Medium Asset Value.
In closing, risk rating provides the user with valuable insight into the overall risk of an event. This allows the user to develop policies for the prevention of network attacks or to better characterize events for prioritization of further investigation. Risk rating in conjunction with event action overrides makes it very easy for customers to configure Cisco IOS IPS to take action on alerts that exceed a certain risk rating threshold. For example, in most cases, a customer may find that a risk rating of 90 or greater represents a substantial threat on their network. Because all alerts use the same criteria to calculate risk rating, the customer can configure event action override to drop any packets that generate a risk rating of 90 or greater. Subsequently, a risk rating of 50 or less may be of no interest to a customer, so they can use event action override to ignore alerts with ease and lower risk rating calculations.

Cisco Expo 2009

2009-04-15T08:32:00.002+02:00

En Cisco Expo obtendrá un conocimiento exclusivo de las últimas innovaciones de Cisco y sus principales partners. Conocerá nuestra visión del futuro de las redes de colaboración, y podrá participar en sesiones que analizan las principales oportunidades del mercado y los retos técnicos de este sector.

Estas son algunas de las razones para visitar Cisco Expo 2009:
- Sesiones que analizan en profundidad temas actuales y críticos del sector como Comunicaciones Unificadas, Telepresencia, vídeo, centros de datos, RFID, etc.
- Demostración en vivo y en directo de cómo la tecnología de Cisco cambia el modo en el que vivimos, trabajamos y nos divertimos.
- Sesiones enfocadas en soluciones adaptadas a diferentes sectores como banca, Administración Pública, sanidad, distribución y logísitica, operadores de servicios y PYMEs.
- Conferencia sobre cómo lograr la eficiencia energética en los edificios a través de las nuevas tecnologías.
- Exposición y demostraciones de partners sobre productos y servicios de vanguardia.
- La mejor oportunidad de relacionarse con los profesionales de este sector.

Cisco Expo 2009 se llevará a cabo en el Hotel Eurostars Madrid Tower, los días 20 y 21 de abril. Para inscribirse u obtener más información, visite www.cisco.es/expo.

Sondas Cisco IDS 4235 e IDS 4250

2009-04-15T08:12:00.004+02:00

El servicio de actualizacion de firmas para las sondas Cisco IDS 4235 e IDS 4250 esta próximo a finalizar.

El último día de soporte para los modelos IDS 4250 SX e IDS 4250 XLes el 24 de Mayo de 2009 2009 y para los modelos IDS 4235 e IDS 4250 TX será el 31 de Mato de 2009.

Mas información incluyendo la migracion recomendada se puede encontrar en:

http://www.cisco.com/en/US/products/hw/vpndevc/ps4077/prod_eol_notices_list.html

VPN entre Juniper y Cisco ASA

2009-04-14T08:57:00.000+02:00

Durantes estos dos ultimos meses he andado liado con bastantes temas y no he tenido tiempo para actualizar el blog. tanto como yo quisiera.

Entre las cosas que he andado metido y ya que no todo en la vida es Cisco me he sacado la certificacion del Juniper Networks Certified Internet Associate (JNCIA-FWV)

Entre lo que he encontrado por internet me ha gustado el blog de Peter Van Eeckhoutte. Como ejemplo aquí tenéis como crear una VPN entre un Juniper y un Cisco ASA.

http://www.corelan.be:8800/index.php/2007/11/17/juniper-setting-up-an-ipsec-vpn-tunnel-between-a-juniper-netscreen-firewallvpn-device-and-a-cisco-vpn-device/

Cisco IOS Firewall y Java Applets

2009-03-13T09:10:00.002+01:00

Un applet esta formado por una clase java que esta insertada en una pagina web. Cuando un usuario carga la pagina en la que esta el applet, este se ejecuta localmente (en la maquina cliente) El hecho de que el applet se ejecute localmete implica que la seguridad sea crucial y aunque los applets ya estan sometidos a unas restricciones por defecto, es comun bloquearlos en los firewalls.

Esta es la forma de denegar Java Applets desde Internet con Cisco IOS Firewall:

1. Crear una lista de control de acceso (ACLs).
ip inspect name firewall tcp
ip inspect name firewall udp
!−−− ACL usada para Java
access−list 3 permit 216.157.100.247

2. Añadir comando ip inspect http java a la configuracion.
ip inspect name firewall http java−list 3 audit−trail on

3. Aplicar comando ip inspect y access−list al interface outside.
interface FastEthernet0
ip address 10.64.10.18 255.255.255.224
!−−− ACL usada para bloquear el trafico de entrada
!−−− excepto el que se permite por el inspects
ip access−group 100 in
ip nat outside
ip inspect firewall out

Infoblox para routers Cisco ISR con modulo AXP

2009-03-12T22:57:00.006+01:00

Infoblox y Cisco se han aliado para ofrecer Infoblox DNS, DHCP y otros servicios de red claves vía blades diseñados para su instalación en los routers de servicios integrados de Cisco.
El producto, desarrollado conjuntamente por ambos fabricantes bajo la iniciativa Application eXtension Platform (AXP) de Cisco, brindará a las empresas la posibilidad de llevar los servicios de red más cerca del extremo de sus redes WAN y consolidar la infraestructura de sus oficinas remotas.

Mas informacion:
http://www.distributioncentral.co.nz/docs/note_infoblox_cisco.pdf

Informacion sobre AXP:
http://www.cisco.com/en/US/prod/collateral/routers/ps9701/data_sheet_c78_466714.pdf

Cisco IOS IPS

2009-02-28T15:48:00.013+01:00

Cisco tiene incorporadas funciones IPS al software IOS. Cisco IOS IPS utiliza tres técnicas de detección:

- Basadas en perfiles: generan una alarma cuando la actividad de la red no concuerda con el perfil definido.

- Basadas en firmas: es menos propensa a generar falsas alarmas. Inspecciona las cabeceras IP, TCP, UDP o ICMP. Estas firmas pueden eliminarse o configurarse para adaptarse mejor a nuestro entorno de red.

- Basadas en el análisis del protocolo: son similares a las basadas en firmas pero realizan un análisis más profundo ya que examinan el payload de los paquetes TCP/UDP (ej: análisis de DNS).

Los beneficios de utilizar el IOS IPS son:

- Utilizamos la infraestructura de enrutamiento existente para añadir una capa adicional de seguridad y se integra suavemente.

- El hecho de trabajar en línea proporciona la capacidad de detener en tiempo real los ataques.

- Proporciona una protección completa y unificada en un producto cuando se combina con Cisco IDS, Cisco IOS Firewall, servicios VPN y NAC.

- Se puede administrar fácilmente desde SDM o CiscoWorks VMS.

Algunas características del IOS IPS son:

- Permite la creación de expresiones regulares en busca de patrones.

- Permite configurar acciones cuando se encuentra un patrón.

- Permite agregar muchas alarmas similares en una única alarma.

- Permite configurar los parámetros de las firmas.

- Permite luchar contra las técnicas de evasión utilizadas por los atacantes

Mas informacion :

http://www.cisco.com/en/US/prod/collateral/iosswrel/ps6537/ps6586/ps6634/product_data_sheet0900aecd803137cf.html

https://cisco.hosted.jivesoftware.com/docs/DOC-4243

En este enlace se detalla como configurar IOS IPS utilizando SDM en GNS3:

http://www.brainbump.net/2008/07/how-to-configure-ios-ips-intrusion-prevention-system-using-sdm-in-gns3/

En el siguiente enlace se puede ver una demo de IOS IPS con MARS:
http://www.cisco.com/cdc_content_elements/flash/ios/ios_ipscsmars/index.html

Seminario de Seguridad Fuga de Datos‏

2009-02-11T13:45:00.003+01:00

A finales de mes, Cisco impartirá un seminario de seguridad sobre la Fuga de datos . Lo impartirá en sus oficinas de Madrid, el día 26 de Febrero, 2009.
En el se podrán conocer todas las novedades en torno a las soluciones de Seguridad de Cisco así cómo conocer un estudio sobre los errores humanos en la fuga de datos y aspectos legales a tener en cuenta.

Agenda
10.00 h. - Registro
10.30 h. - SDN 3.0. Los errores humanos en la fuga de datos - Cisco
11.00 h. - Aspectos legales a tener en cuenta para prevenir y mitigar fuga de datos - Ecija Abogados
11.30 h. - Café
12.00 h. - Seguridad Web y fuga de datos - Cisco Ironport
12.30 h. - Soluciones de seguridad Cisco para prevención de fuga de datos - Cisco

Si no puede asistir de forma presencial, Cisco pondrá a disposición de todos los registrados una sesión webex para poder seguir el evento en remoto.

Cisco IPS Manager Express (IME)

2008-12-17T10:07:00.006+01:00

El Cisco IPS Manager Express es una aplicaron para la gestión de IPS. Desde ella se puede monitorizar, gestionar y crear informes dispositivos IDS, IPS, o IOS IPS. Teniendo un máximo de cinco dispositivos.

IME esta especialmente pensaba para sondas que ya están actualizadas a la versión 6.1 o posterior, ya que algunas de sus características no funcionan con versiones anteriores a estas.

Cisco Security Manager 3.2.1 y el Hit Count

2008-12-16T22:48:00.008+01:00

Con la salida del CSM 3.2.1, la herramienta Hit Count, que te da el numero de veces que un paquete ha pasado por una regla concreta, se queda ‘colgada’ siempre en el 44% del proceso total. Ademas, cuando se lanza esta herramienta, la CPU del servidor se pone por las nubes.

Aquí tenéis el pantallazo famoso:

Esperemos que con la salida de la version 3.2.2 el asunto se haya solucionado.

Cisco MARS 6.0.2

2008-12-16T22:41:00.003+01:00

Cisco ha sacado una nueva release para Cisco MARS. Se trata de la version 6.0.2.

Esta version ha salido fundamentalmente para dar soporte a las nuevas versiones que han salido recientemente de ASA e IPS.:
• Cisco ASA 8.0.4
• Cisco ASA 8.1.2
• Cisco IPS 6.1

Mas informacion se puede encontrar en:

http://www.cisco.com/en/US/docs/security/security_management/cs-mars/6.0/release/notes/rnote602.pdf

Emulando MARS con vmware

2008-12-09T21:50:00.011+01:00

Llevaba tiempo pensando en escribir sobre como hacer correr productos de Cisco, en un ordenador, mediante emuladores pero no había visto como hacerlo con MARS. Hoy me ha llegado un enlace en el que se explica como hacerlo. Aquí lo tenéis:

http://www.linickx.com/archives/476/cs-mars-v-6-0-in-vmware-franken-mars

Si queréis aprender todo lo que se puede hacer con Vmware, en el siguiente enlace se pueden encontrar gran cantidad de videotutoriales y manuales.

http://www.biblio-web.org/aprendervmware/

IPS vs IDS

2008-11-28T22:40:00.004+01:00

Cuando se habla de si las sondas de red están en modo IDS haciendo span de determinadas VLANs o en modo IPS (de forma inline) ¿que significa esto? ¿Cuales son las diferencias entre uno y otro modo? En el cuadro adjunto viene una muy buena explicacion.

Examenes retirados - CCSP

2008-11-18T22:54:00.000+01:00

Ayer fue el último día para realizar dos examenes que podían ser utilizados para conseguir la certificacion CCSP. Estos examenes son:
642-552 SND - Securing Cisco Network Devices (SND)
642-513 HIPS - Securing Hosts Using Cisco Security Agent (HIPS)

Con esto se empiezan a aclarar un poco los requerimientos para el CCSP, aunque habrá que esperar un par de meses mas (hasta el día 18 de enero del 2009) a que queden únicamente los nuevos examenes como única alternativa para lograr el CCSP. En esta fecha desaparecerán los siguientes examenes :
642-503 SNRS - Securing Networks with Cisco Routers and Switches (SNRS)
642-523 SNPA - Securing Networks with PIX and ASA (SNPA)
642-544 MARS - Implementing Cisco Security Monitoring, Analysis and Response System (MARS)

Actualizacion CS-MARS 6.0.1 (3070)

2008-11-17T13:28:00.008+01:00

Esta es una actualizacion real de un Cisco MARS con el parche 6.01 (3070)

[pnadmin]$ pnupgrade -u alex:alex ftp://192.168.8.1/csmars-6.0.1.3070-customerpatch.pkg
CSMARS Upgrade...........[12487]
Loading..................[csmars-6.0.1.3070-customerpatch.pkg]
User.................[alex]
Protocol.............[ftp] Host.................[192.268.8.1]
Path.................[csmars-6.0.1.3070-customerpatch.pkg]
Modified.............[Wed, 12 Nov 2008 07:37:24 GMT] Size.................[148784440]######################################################### 100.0%
[Alert][get_pkg_info/273]: no csmars-6.0.1.3070-customerpatch.pkg in catalog.
[Alert][main/265]: fail to find csmars-6.0.1.3070-customerpatch.pkg version info.S
trip Meta Data..........[csmars-6.0.1.3070-customerpatch.pkg]
Decrypt Package..........[csmars-6.0.1.3070-customerpatch.pkg]
Self-Extract Archive.....[csmars-6.0.1.3070-customerpatch.pkg]
Verify MD5 Checksum......[md5sum.txt]
Package Loader...........[13172]
Sanity Check.............[PRE_UPGRADE]
----------------------------------------------------------------
Test Data Result
----------------------------------------------------------------
Disk Space /tmp (17878888KB) [PASS]
Disk Space /pnarchive (83154876KB) [PASS]
Jboss State up [PASS]
Oracle Status up [PASS]
----------------------------------------------------------------
Start Upgrade Manager....[Mon Nov 17 09:55:02 2008]
Package Version..........[6.0.1.3070]
Read Daemon Output.......[5]
Greeting From Daemon.....[Mon Nov 17 09:55:04 2008]
--
--
-- CS-MARS UPGRADE MANAGER -- [Mon Nov 17 09:55:04 2008]
--
--
Current Version..........[6.0.1.3066.30]
Package Version..........[6.0.1.3070]
Stop Monitor.............[09:55:04:329238000]
Stop JBoss...............[09:55:04:566230000]
Stop Daemons.............[09:55:19:209879000]
Load CS-MARS Archive.....[09:55:19:391609000]
Extract..............[csmars_6_0_1_3070.tar.gz@/opt/janus]
Verification.........[0]
Janus Name...........csmars@janus.conf]
Link Log.............[/log]
Load Scripts Archive.....[09:55:31:677898000]
Extract..............[scripts.tgz@/opt/janus]
Verification.........[0]
Update Version...........[09:55:31:730850000]
Binary Version.......[6.0.1 3070]
Deploy Contents..........[09:55:32:134358000]
Export...............[pnsh+showserialno]
Execute..............[post-unpack-deployment]
Start JBoss..............[09:56:04:213392000]
Start Daemons............[09:56:15:214019000]
Start Monitor............[09:56:15:995898000]
Final Version............[6.0.1 (3070) 30]
Daemon Status............[0]
Upgrade Completed...
Sanity Check.............[POST_UPGRADE]
----------------------------------------------------------------
Test Data Result
----------------------------------------------------------------
File Md5sum pnparser (8b9049cddd4f936ce1e4ec12c13ea2c2) [PASS]
File Md5sum pnarchiver (479b4f14f0cf3c3a492c05da4d077ed8)[PASS]
File Md5sum pnupgrade (dcb6efe07f54be2f7a881801fffc0fbe) [PASS]
File Md5sum pnmonitor (599ff7d7f6912a2814e6cd77183902e5) [PASS]
File Perm pnupgrade (-rwsr-sr-x) [PASS]
Jboss State up [PASS]
Schema Version 6.0.13 [PASS]
Oracle Status up [PASS] Data Version 30 [PASS]
----------------------------------------------------------------
Upgrade Successful...

[pnadmin]$ version
6.0.1 (3070) 30

[pnadmin]$ script ips_data_fix.sh
Update IPS Signature Data
Started at Mon Nov 17 09:59:55 CET 2008
This may take several minutes to complete.
Completed at Mon Nov 17 09:59:56 CET 2008

Seminarios Online de Actualización Técnica

2008-11-15T09:22:00.003+01:00

Cisco esta realizando, desde primeros de octubre, unos seminarios online de actualizacion técnica. Ayer toco el turno al de "Novedades en Seguridad y Plataforma ASA" y me apunte.

Al final, como en casi todos, se trata de vender así que hubo una parte comparativa con otros firewalls y lo que se ahorraba uno si ponía un ASA. La otra parte donde se hablaba de la parte técnica estuvo interesante.

El formato de las seminarios consta principalmente de dos bloques: el primero de ellos se centra en noticias concretas y novedades de la tecnología á tratar, y el segundo se centra en un tema específico a desarrollar en más profundidad.
Los seminarios se celebran cada viernes a las 11:00h a través de herramientas de colaboración (Cisco WEBEX). La duración estimada de cada una de estas seminarios es de 60 a 90 minutos.

Si no puedes conectarte on-line el día de la presentación, te puedes descargar la documentación en la web de Cisco.

Toda la información esta aquí:

http://www.cisco.com/web/ES/events/actualizacion-tecnica-partner/2008-calendario.html

Herramienta migracion PIX a ASA

2008-11-14T09:36:00.005+01:00

En un post anterior hable sobre la herramienta de conversión de configuraciones de Check Point a Cisco ASA. Debido a que en la actualidad los únicos firewalls que ofrece Cisco son ASA y FWSM, si quieres cambiar un PIX por un ASA existe una utilidad que transforma la configuración sin necesidad de crearla de nuevo en los ASA.

Esta herramienta se puede descargar de:

http://www.cisco.com/cgi-bin/tablebuild.pl/asa

Cisco MARS 6.0.1 Parche Disponible

2008-11-13T21:47:00.003+01:00

Cisco ha sacado un parche, CS-MARS 6.0.1 3070, para usuarios de MARS 6.0.1 release (3066).

¿Quien deberia aplicar este parche?:

1) Usuarios que tienen los siguientes dispositivos reportando a MARS: Cisco Switch IOS, Cisco IPS

- Usuarios que tienen un Cisco Switch-IOS configurado para enviar syslogs al MARS (CSCsu94548)

- Usuarios que han descargado e instalado los paquetes IPS de MARSs S333, S351 o S354 desde http://www.cisco.com/cgi-bin/tablebuild.pl/mars-ips-sigup, o tienen configurada la utilidad de autoactualizacion dinamica para descargar estos paquetes (CSCsu96311)

2) Usuarios que intentan desscargar mensajes raw desde la base de datos en la zona horaria GMT+ (CSCsv01999)

3) Usuarios que relizan consultas de tipo ranking por puerto origen/destino (CSCsq48971)

Cisco IPS E3 Engine

2008-11-11T22:11:00.002+01:00

Cisco ha anunciado la disponibilidad de Cisco IPS E3 Engine (viene con el fichero de firmas S365). Esto obliga a actualizar las sondas, para poder actualizar los ficheros de firmas, ya que, para poder actualizarlos es necesario tener el engine E3 instalado. El engine E3 existe para las versiones: 5.1(8)E3, 6.0(5)E3, 6.1(1)E3, y 6.2(1)E3.

La principal característica que ofrece el E3 Engine es la capacidad de inspección de plataformas Cisco IPS con IPv6 nativo mediante la introducción del "atomic-ip-advanced" engine.

En junio de este año Cisco ya saco el engine E2 que trajo como consecuencia una gran actividad en la creación y molificación de nuevas firmas.

Con el engine E3 parece que la historia se repite, ya que hoy mismo ha salido la versión de firmas S367 con un elevado número de firmas nuevas y modificadas.

Mas informacion:

http://tools.cisco.com/security/center/viewBulletin.x?bId=181&year=2008

Aplicarán la pena de muerte a hackers en Pakistán

2008-11-08T16:05:00.001+01:00

Estos de Pakistan no paran, si en febrero se hiceron famosos por bloquear youtube ahora el presidente de este pais, Asif Ali Zardari promulgó el jueves una ley que castiga con la muerte los delitos de "ciberterrorismo". La normativa para la prevención de crímenes electrónicos será aplicable a cualquiera que cometa una falta en detrimento de la seguridad nacional utilizando un ordenador o cualquier otro dispositivo electrónico, dijo el gobierno en una ordenanza.
"El que cometa un acto de ciberterrorismo y cause la muerte de una persona será castigado con la muerte o la cadena perpetua", según una copia del decreto publicado por la agencia de noticias estatal APP.
La ley puede ser aplicada a los ciudadanos paquistaníes y a los extranjeros residentes en el país o fuera de las fronteras.
La ordenanza describe el ciberterrorismo como acceder a una red o a un sistema electrónico con la motivación de "intentar efectuar actos terroristas".
El gobierno enumera una lista de "actos terroristas" incluyendo el robo o la copia, el intento de robo o copia, información clasificada necesaria para fabricar cualquier forma de arma nuclear, biológica o química.
La normativa establece además otros castigos para faltas menores como el fraude electrónico, la falsificación, el daño de sistemas y el acceso sin autorización a sistemas.

Check Point con MARS

2008-10-23T22:53:00.023+02:00

Esta semana he estado configurando un MARS para que recoja eventos de diferentes sistemas. Una de la mas liosas quizas sea la de Check Point. Aqui os dejo como es la configuracion.

En el SmartCenter de Check Point hay que modificar el fichero fwopsec.conf para habilitar el LEA Server y el CPMI Server (importante parar y arrancar el firewall para que active los cambios).

# sam_server auth_port 18183
# sam_server port 0
#
lea_server auth_port 18184
# lea_server port 0
#
# ela_server auth_port 18187
# ela_server port 0
#
cpmi_server auth_port 18190
#
# uaa_server auth_port 19191
# uaa_server port 0

En el Check Point hay que crear un objeto OPSEC con la informacion del MARS.
En el MARS hay que dar de alta el Check Point Managment Console de este modo: Conceptos importantes:

Tipo de acceso: lea_server auth_port 18184 (SSLCA)
Client Entity SIC name: El del objeto MARS
Server Entity SIC Name: El del objeto SmartCenter

URL con mas informacion: http://ciscomars.blogspot.com/2007/05/troubleshooting-checkpoint-reporting.html

CCIE Security Lab Examen Actualizado

2008-10-20T22:16:00.002+02:00

Aunque se escapa del objetivo, en uno de esos e-mails que envía Cisco informan que han actualizado el examen de laboratorio del CCIE en Seguridad, requiriendo conocimientos del ultimo equipamiento de seguridad de Cisco. Este examen estará disponible a partir de Abril de 2009.

Ahora ya no hay PIX ni Concentradores de VPN, en cambio si aparecen los ASA. En este enlace están los detalles:

https://cisco.hosted.jivesoftware.com/docs/DOC-3240

X Jornada de Seguridad - Jueves, 16 de Octubre

2008-10-12T15:22:00.003+02:00

Nextel S.A. celebrará el próximo 16 de octubre en el Parque Tecnológico de Bizkaia la décima edición de sus anuales Jornadas de Seguridad, que se han convertido en una cita imprescindible para el sector.
Bajo el lema “¿Está preparado para los nuevos retos?” se analizarán las principales tendencias y soluciones prácticas para sus proyectos de seguridad de la mano de relevantes personalidades del sector.

Agenda
Fecha: Jueves, 16 de Octubre
Hora: De 09:15 a 13:00hs
Recinto: Parque Tecnológico de Bizkaia, Edif. 101, Sala Auditorium, Zamudio.
Moderación: Carlos Laraudogoitia, Diario Información
Asistencia: Gratuita

Programación
9:15 - 09:30 - Recepción

Escenario Actual de Normativas
9:30 - 10:00: "Innovación en el tratamiento de los Sistemas de Gestión", José Ramón Concha, Consultor Senior, Nextel S.A..
10:00 - 10:30: "La solución a la Gestión de las TIC's: Certificación de los Sistemas de Gestión", Carlos Manuel Fernández, Gerente de TI, Aenor.
10:30 - 11:00 - Pausa Café

Soluciones de Seguridad
11:00 - 11:30: "Ironport serie S: seguridad en navegación web", Álvaro García, Systems Engineer, Ironport Systems.
11:30 - 12:00: Caso Práctico "Optimizando la explotación del correo electrónico", Francisco Javier Contreras, Responsable de Sistemas de Información - Internet, Euskaltel S.A..
12:00 - 12:30: "Redes inteligentes de nueva generación con tecnología DPI", Tomás Gómez de Acuña, Territory Manager, Allot Communications Iberia.
12:00 - 12:30: "Seguridad perimetral por puerto y protocolo: Nueva generación de firewalls 2.0", Francisco Irala, Director Técnico Exclusive España, Palo Alto Networks.

Las inscripciones pueden realizarse en: http://www.nextel.es/aNXW/web/es/jornadas/fjornada.jsp

Cisco Security Convertion Tool

2008-10-10T22:52:00.010+02:00

Ultimamente me he encontrado con algunos clientes que tenían instalados firewall Check Point y querían pasar a Cisco ASA. El motivo no deja de ser otro que el económico, ya que y aunque alguno le pueda sorprender por la temática del blog, pienso que Check Point esta por encima de los firewalls de Cisco y a mi entender del resto de fabricantes tambien (Juniper, Fortinet,... ).

Si te encuentras en la situación de tener que pasar Check Point a algunos de los firewalls de Cisco (ASA, FWSM o PIX) es posible convertir los objetos y reglas que ya tenias al formato de los firewalls de Cisco con la herramienta Cisco Security Convertion Tool.

Aqui estan un par de pantallas. En esta primera se le indican los ficheros de objetos y reglas de Check Point.

En esta otra se seleccionan opciones del firewall Cisco al que será importado.

AIP-SSM (Advanced Inspection and Prevention Security Service Module)

2008-10-09T22:57:00.014+02:00

Cuando se habla de AIP-SSM (Adaptative Inspection and Prevention Security Service Module) realmente se esta haciendo referencia al modulo IPS que puede ir incorporado en los ASA (Adaptive Security Appliances).
Este modulo tiene un interface para administrarlo independientemente del ASA y el rendimiento teórico máximo de monitorización varía dependiendo de la plataforma:
• 300 Mbps con Cisco ASA 5510
• 375 Mbps con Cisco ASA 5520
• 450 Mbps con Cisco ASA 5540

Aqui hay un ejemplo sacado de un AIP-SSM:

aipssm# sh ver
Application Partition:
Cisco Intrusion Prevention System, Version 6.0(5)E2

Host:
Realm Keys key1.0
Signature Definition:
Signature Update S339.0 2008-06-11
Virus Update V1.4 2007-03-02
OS Version: 2.4.30-IDS-smp-bigphys
Platform: ASA-SSM-20
Serial Number: JAFxxx904RM
Licensed, expires: 29-Oct-2008 UTC
Sensor up-time is 3 days.
Using 1023840256 out of 2093600768 bytes of available memory (48% usage)
system is using 17.7M out of 29.0M bytes of available disk space (61% usage)
application-data is using 48.3M out of 166.8M bytes of available disk space (31% usage)
boot is using 38.6M out of 68.6M bytes of available disk space (59% usage)

MainApp N-2008_JUN_06_02_35 (Release) 2008-06-06T03:23:18-0500 Running
AnalysisEngine N-2008_JUN_06_02_35 (Release) 2008-06-06T03:23:18-0500 Running
CLI N-2008_JUN_06_02_35 (Release) 2008-06-06T03:23:18-0500

Upgrade History:
IPS-K9-6.0-5-E2 06:15:14 UTC Tue Jun 24 2008

Recovery Partition Version 1.1 - 6.0(5)E2

Material para el SNRS

2008-10-05T00:24:00.014+02:00

Entre los materiales que estoy utilizando para la preparacion del examen SNRS esta el siguiente:

-Manuales oficiales: Securing Networks with Cisco Routers and Switches (SNRS) Student Guide v2.0 y CCSP SNRS Quick Reference Sheets.

- Libros: Lan Switch Security: What Hackers Know About Your Switches, The Complete Cisco VPN Configuration Guide , SSL Remote Access VPNs, Router Security Strategies, Cisco Network Security Troubleshooting y End-to-End Network Security: Defense-in-Depth

Aqui se puede encontrar practicamente todo el material: Cisco Press eBooks

Estos son los temas que cubre el examen:
- Layer 2 Security - Attack methods and techniques to mitigate the attacks
- Trust and Identity - Authentication, Authorization, and Accounting using TACACS+ and RADIUS
- 802.1x - Identity-based network access control, including dynamic VLAN assignment for end users
- Network Foundation Protection - Secure an IOS router's control plane, management plane, and data plane, and use Flexible Packet Matching
- VPN Connectivity:
- IPSec Overview
- Site-to-Site IPSec VPN using Pre-Shared Keys for Authentication
- Site-to-Site IPSec VPN using Public Key Infrastructure and Digital Certificates for Authentication
- Dynamic Multipoint VPN
- Cisco IOS SSL VPN (WebVPN)
- Easy VPN Server for Remote Access IPSec VPN
- Protect your network with Cisco IOS Classic Firewall and Cisco IOS Zone-Based Policy Firewall
- Provide identity-based access control through an IOS router using Authentication Proxy
- Defend against threats on your network using IOS Intrusion Prevention Systems

Packet Tracer 5

2008-10-04T22:03:00.006+02:00

En esta ocasión quiero hablar del Packet Tracer. Este software es un simulador para la enseñanza y el aprendizaje de tecnología de redes de Cisco. Yo lo he usado, cuando preparaba el CCNA y con las nuevas mejoras incluso se pueden practicar temas del CCNP.

Entre las nuevas funcionalidades están:

- Soporte de muchas más plataformas: Windows (Windows XP, Windows 2000, Vista Home Basic, Vista Home Premium) y Linux (Ubuntu y Fedora).
- Soporte de muchos más protocolos: IP version 6, OSPF multi-area, redistribución de rutas, Rapid Spanning Tree Protocol, Secure Shell y switching con capas multiples.

- Funcionalidad multiusuario: Es una aplicación par a par capaz de trabajar con redes que habilita un aprendizaje social. La funcionalidad multiusuario soporta la colaboración, competencia, interacción remota entre instructores y estudiantes, redes sociales y juegos.

Esta versión la podéis descargar aquí:

http://rapidshare.com/files/135847627/PT5-esp.rar

Si quereis aprender a utilizarla, descargar: Tutorial Online Packet Tracer

Cisco IPS y la cuenta de servicio

2008-09-24T22:56:00.016+02:00

La cuenta de servicio es una herramienta para dar soporte y solucionar problemas que permite conectarte al sistema operativo nativo de las sondas (un Linux).

Estas cuentas no existen por defecto en los IDS y no tienen acceso directo al CLI sino que se conectan directamente a un bash shell. Unicamente se puede crear una cuenta con este role.

Veamos un ejemplo:

Una vez conectado al IDS. Entrar en el modo configure terminal:

ciscoids# configure terminal

Posteriormente se crea la cuenta de servicio:

ciscoids(config)#username alex privilege service password alex1969

ciscoids# show users all

CLI ID User Privilege

* 488 cisco administrator

alex service

operador viewer

Una vez creada vemos que se ve al conectarnos con la cuenta de servicio:

login as: alex
Password: alex1969
***NOTICE***This product contains cryptographic features and is subject to United Statesand local country laws governing import, export, transfer and use. Deliveryof Cisco cryptographic products does not imply third-party authority to import,export, distribute or use encryption. Importers, exporters, distributors andusers are responsible for compliance with U.S. and local country laws. By usingthis product you agree to comply with applicable laws and regulations. If youare unable to comply with U.S. and local laws, return this product immediately.
A summary of U.S. laws governing Cisco cryptographic products may be found at:http://www.cisco.com/wwl/export/crypto/tool/stqrg.html
If you require further assistance please contact us by sending email toexport@cisco.com.Press Enter to continue
************************ WARNING ************************UNAUTHORIZED ACCESS TO THIS NETWORK DEVICE IS PROHIBITED.This account is intended to be used for support andtroubleshooting purposes only. Unauthorized modificationsare not supported and will require this device to bere-imaged to guarantee proper operation.************************************

Ahora vamos a conectarnos como superusuario tecleando:

-bash-2.05b$ su -

Password: alex1969 (la de cuenta "alex")

Personalmente yo lo he utilizado cuando he tenido problemas actualizando el fichero de firmas. Se ha solucionado reiniciando el proceso del CIDS.

-bash-2.05b# /etc/init.d/cids stop

Shutting down CIDS:

Remove cidmodcap:

Remove cidmodcap node:

-bash-2.05b# cd /usr/cids/idsRoot/var/virtualSensor

-bash-2.05b# /etc/init.d/cids start

startChecking kernel allocated memory: [ OK ]

Load cidmodcap:Create node:

Starting CIDS:

Firewall Service Module (FWSM)

2008-09-23T22:06:00.014+02:00

Dentro de los firewalls que Cisco tiene entre sus productos esta el Firewall Service Module (FWSM) que es un modulo que se puede instalar en los Catalyst 6500 series switches o en los Cisco 7600 series routers.
En el caso de los Catalyst 6500 series switches, se requieren los siguientes componentes:
- Supervisor engine con software Cisco IOS .
- Multilayer Switch Feature Card (MSFC) 2 con Cisco IOS software.

Configuración en el switch:

1) Asignar VLANs al Firewall Services Module
firewall vlan-group 1 10,15,20,25
firewall module 1 vlan-group 1

2) Añadir Switched Virtual Interfaces al MSFC
interface vlan 20
ip address 192.168.1.1 255.255.255.0

Configuración en el FWSM:
1) Configurar interfaces en FWSM
interface vlan 20
nameif outside
security-level 0
ip address 192.168.1.2 255.255.255.0
interface vlan 10
nameif inside
security-level 100
ip address 10.1.1.1 255.255.255.0
interface vlan 15
nameif dmz1
security-level 60
ip address 192.168.2.1 255.255.255.224
interface vlan 25
nameif dmz2
security-level 50
ip address 192.168.3.1 255.255.255.224

2) Configurar ruta por defecto (al MSFC):
route outside 0.0.0.0 0.0.0.0 192.168.1.1

SNRS será el siguiente

2008-09-23T16:29:00.004+02:00

He estado revisando cual va a ser mi próximo examen y el elegido ha sido "Securing Networks with Cisco Routers and Switches (SNRS) ".
Con la salida de algunos nuevos examenes y la retirada de otros, he tenido que cambiar mi idea inicial.

Los módulos en los que se divide el temario son estos:
Modulo 1 - Layer 2 Security
Modulo 2 - Trust and Identity
Modulo 3 - Cisco Network Foundation Protection
Modulo 4 - Secured Connectivity
Modulo 5 - Adaptive Threat Defense

La información del examen se puede encontrar en:
https://cisco.hosted.jivesoftware.com/community/certifications/ccsp/snrs?view=overview

Cisco Security Manager 3.2

2008-09-19T22:41:00.008+02:00

Los productos de seguridad de Cisco son como un puzzle. Existen diferentes equipos para VPNs (concentradores, routers, ASAs...), firewalls (PIX, ASA, FWSM, IOS Firewall), IPS-IDS, HIPS (MC CSA), correlación de eventos (MARS), control de acceso a la red (NAC), autenticacion (ACS),...

Entonces Cisco debió pensar que con tantos productos, si tuviese una herramienta que pudiese gestionar el mayor número de productos e integrarlos con el resto, seria mucho mas fácil para un administrador de seguridad y saco el Cisco Security Manager.

Personalmente la idea me parece muy buena aunque llevarla a buen puerto les esta costando. Las novedades mas importantes de la versión 3.2 es que han conseguido integrar el IPS (que hasta ahora estaba un poco descolgado) e integrarlo con MARS, del mismo modo que estaban los firewalls.

La información del producto se puede encontrar aquí:
http://www.cisco.com/en/US/prod/collateral/vpndevc/ps5739/ps6498/data_sheet_c78-458677-00_ps6498_Products_Data_Sheet.html

Aquí hay unos enlaces con demostraciones del Cisco Security Manager:

http://www.demolabs.co.uk/demos/marscsmips/mars_csm32.html

http://www.demolabs.co.uk/demos/ciscomarscsm/mars_csm.html

Otro escalon más. Pasado el HIPS (642-513)

2008-09-19T17:50:00.006+02:00

Bueno pues hoy he realizado el examen "Securing Hosts Using Cisco Security Agent (HIPS)" . El examen no me ha parecido excesivamente complicado para todo lo que puede dar de si el CSA. Cisco podría complicarlo bastante más. Han sido 69 preguntas y se aprobaba con 825. Mi puntuación ha sido de 988.
Este ha sido mi segundo examen y ahora tengo que ver por cual continuo. Con tanto cambio de examenes me están haciendo cambiar continuamente la planificacion. Estos días he visto que han actualizado también los examenes "Securing Networks with Cisco Routers and Switches" e "Implementing Cisco Security Monitoring, Analysis and Response System" .

Proyecto 7 Cumbres

2008-09-18T21:37:00.002+02:00

Hoy esperaba haberlo dedicado a repasar pero llevo todo el día llevando y trayendo a los niños al colegio, al txiki-txoko, a los columpios ... vamos que ni sentarme. Cuando he conseguido estar un poco tranquilo me he encontrado con este vídeo que me ha recordado un poco a mi objetivo. Veremos que sale mañana: Cumbre o caída por el barranco.

ACS SE y Cisco Secure Agent

2008-09-17T21:37:00.015+02:00

Estos dias que estoy pegandome con un ACS Appliance resulta que me he encontrado con que tambien se le puede habilitar el CSA.

Ultimamente he visto que el CSA se integra con otros productos NAC, Cliente VPN, MARS y otras herramientas de correlacion de eventos,... pero no habia visto ninguna referencia al ACS.

Note: The Cisco Secure Agent section appears only if you are using appliance base image 3.3.1.3 or later or if you have applied the Cisco Secure Agent update to the appliance.

Use the "CSA Enabled" check box to stop and start the CSAgent service on the appliance. When you disable CSAgent, it remains disabled until you return to this page and reenable it or use the start command at the console to start CSAgent. Rebooting the appliance does not restart a disabled CSAgent service.
To start the CSAgent service, select the CSA Enabled check box and click Submit.
To stop the CSAgent service, clear the CSA Enabled check box and click Submit.

Asegúr@IT III en Bilbao

2008-09-17T21:37:00.010+02:00

El próximo 25 de septiembre se celebra en Bilbao el evento gratuito Asegúr@IT III, en la sede de la Universidad de Deusto. Cuenta con la partición de ponentes de empresas como Panda Security, Microsoft, S21Sec e Informatica64.
Los ponentes serán Mikel Gastesi, Iñaki Etxeberría, Pablo Garaizar, Juan Luís Rambla y David Carmona. Tendrá lugar en Bilbao, Universidad de Deusto. El 25 de septiembre de 2008.

La agenda:
09:00 - 09:15 Registro

09:15 - 10:00 Cracking & protección de software
La disciplina de cracking software tiene mucho que ver con la protección de software. En esta sesión Mike Gastesi, de S21Sec, contará cuales son algunas de las técnicas utilizadas para la decompilación y crackeo de software y al final dará algunas recomendaciones para proteger el software contra este tipo de técnicas.

10:00 - 10:45 Rootkits in Action
La técnología rootkit llegó ya hace unos años para quedarse con nosotros. En esta sesión Iñaki Etxeberría, de Panda Security, contará cómo funcionan hoy en día los rootkits, cuáles son sus objetivos y cómo podemos protegernos de ellos.

10:45 - 11:15 Café

11:15 - 12:00 Tempest, mitos y realidades
La tecnología Tempest ha dado mucho que hablar. La posibilidad de interceptar la información generada en un equipo mediante la intercepción de las ondas radiadas por los dispositivos electrónicos ha sido utilizada en múltiples novelas y películas de ciencia ficción. No obstante, las técnicas tempest existen y funcionan con unas características. En esta sesión Pablo Garaizar, Txipi, de la Universidad de Deusto mostrará que es mito, que es realidad y hará algún ejemplo de estas técnicas.

12:00 - 12:45 Network Access Protecction
La protección de las redes en entornos en los que los trabajadores utilizan dispositivos móviles para conectarse (portátiles, PDA, teléfonos móviles) necesitan comprobar la salud de los equipos que se conectan a la red. Windows Server 2008 y Windows Vista incorporan NAP, una tecnología que permite controlar la salud de los equipos que se desean conectar a la red. Juan Luís Rambla, MVP de Microsoft en Windows Security de Informática 64 realizará una demostración de cómo implantar esta tecnología.

12:45 - 13:30 Protección contra Botnets desplegadas por Web
Las técnicas de expansión de las redes botnets van cambiando día a día buscando nuevos métodos de infectar máquinas. Actualmente una de las disciplinas utilizadas consiste en atacar máquinas través de sitios web legítimos vulnerados mediante fallos de programación. David Carmona, Evangelista de Microsoft desgranará cómo funcionan estas nuevas formas de despliegue y dará pautas para protegernos contra ellas.

13:30 - 14:00 Preguntas a los ponentes

Apúntate en esta URL: http://msevents.microsoft.com/CUI/EventDetail.aspx?EventID=1032382985&Culture=es-ES

Cisco MARS Version 6.0.1

2008-09-17T21:37:00.006+02:00

Cisco ha liberado oficialmente la nueva version de MARS Software Version 6.0.1. Algunos de los cambios incluidos en esta nueva version son:
- Consolidated Software Release
- Upgrade Management
- Device Support Framework
- Cisco IPS TR/RR Support
- Support for Internet Explorer 7.x
- New Cisco Device Support
- New 3rd-Party Device Support
- CSV Export Enhancements
- Rule Enhancements
- Performance Enhancement for Batch Queries and Reports
- Performance Enhancement for Inline Queries, Batch Queries and Reports

Para una completa lista de funciones, instrucciones de actualizacion y caveats ir al siguiente enlace: Cisco MARS 6.0.1 Release Notes.

El viernes a por el segundo examen

2008-09-16T22:52:00.018+02:00

Quedan tres días para el examen y ya estoy con ganas de que llegue el día. La verdad es que el MC CSA da para bastante mas de lo que pensaba. He estado probando bastantes cosas nuevas que no sabían que existían y me parece que tiene muchas funcionalidades.
Como comente en un post anterior, mi presupuesto para la certificacion es de 0 euros, así que internet es mi fuente de información. Aquí os dejo una lista del material que estoy utilizando y donde lo podéis encontrar.

Manuales de la versión 5.2 ( descargados de la web de Cisco):
- Installing Management Center for CSA 5.2
- Using Managment Center for Cisco Security Agent 5.2

Curso on-line:
http://www.cisco.com/E-Learning/bulk/public/celc/hipsv3.1/Course_Files/start.htm

CCSP HIPS 3.0 Presentation Files:
http://www.netap.net/2008/05/13/ccsp-hips-30-presentation-files

Securing Hosts Using Cisco Security Agent (HIPS) Student Guide v3.0:
http://www.netap.net/2008/04/19/securing-hosts-using-cisco-security-agent-hips-student-guide-v30-volume-1
http://www.netap.net/2008/04/19/securing-hosts-using-cisco-security-agent-hips-student-guide-v30-volume-2

Libros de ciscopress.com :
- Advanced Host Intrusion Prevention with CSA"

- Curiosamente en este otro libro "Cisco Network Admission Control,Volume II:NAC Network Deployment and Troubleshooting", hay un capitulo completo dedicado al CSA (el numero 9). Esta muy bien, ya que explica la integracion con NAC y en otro capitulo como integrarlo con CS-MARS.

Dos semanas para el examen HIPS

2008-09-06T21:41:00.003+02:00

El viernes 19 de septiembre es la fecha que he escogido para realizar el examen 642-513 HIPS. Esta semana que es cuando me he puesto serio a estudiar, ha coincidido con que he tenido que instalar la nueva versión 6.0, ya que se quiere confirmar que no da problemas con Windows Vista.
Aprovechando esto, he estado configurando la autenticación con LDAP y viendo la interacción con terceros (NAC, MARS, IPS, Cliente VPN y Arcsight).
A diferencia de otros examenes de Cisco, de este es complicado lograr material para estudiar. A pesar de esto he encontrado un site donde hay material interesante. Aquí esta el link: http://blog.priveonlabs.com/

MC CSA y el SQL Server "collision" string

2008-09-04T22:11:00.013+02:00

En junio estuve actualizando nuestro MC CSA que era una versión 5.1 a la versión 5.2. El asunto es que desde la versión 5.2 la base de datos que utiliza es SQL 2005 (anteriormente la teníamos con SQL Server 2000). Mis compas de BBDD querían aprovechan una máquina, en la que que tenían SQL Server 2005 instalado y crear una base de datos que seria la que conectaría con el MC CSA.

Bueno, pues esto que parece tan sencillo se convirtió en toda una odisea a cuenta de la collation de SQL Server. Mis compañeros tenían en el SQL Server una collation llamada xxxxx que al MC CSA no le gustaba y cuando estabas instalando aparecia un mensaje de error y te sacaba de la instalacion.

Después de muchas pruebas, mirar y remirar la documentación y preguntar en algun foro, Cisco nos envió un e-mail en el cual confirmaban (a pesar de que no aparecía como un requerimiento en la documentación) que si la collation de tu SQL Server y la de la base de datos no es Latin1_General no hay forma de instalar el SQL Server.

El caso es que ahora que han sacado la versión 6.0, en la documentaciónn ya advierten de ello, aunque de una forma muy particular....

"Make sure the default language is set to English. Note that you should not change the language default after CSA MC is installed. The SQL Server collision string must contain Latin1_General. "

642-513 HIPS - Securing Hosts Using Cisco Security Agent

2008-09-02T20:20:00.003+02:00

A alguno quizás les sorprenda que me haya decidido por este examen y mas cuando están a punto de retirarlo. El caso es que llevo trabajando varios años con el CSA y he trabajado con las versiones 4.5, 5.1 y 5.2. Ahora acaban de sacar la 6.0. y hoy mismo he estado descargando la versión para evaluar el CSA en máquinas con Windows Vista (que es una de las novedades de esta versión).

La instalación con la que trabajo actualmente es una versión 5.2 que utiliza una base de datos SQL 2005 externa y que tiene unos 2.700 agentes. Los logs además se envian a un CS-MARS y a Arcsight.

Lo que realmente me sorprende es que el examen (por lo que he mirado hasta ahora) se basa en la versión 5.0 que todavía utilizaba VMS. Desde la 5.1 eso ya no es necesario y han pasado mas de dos años de esto. ¿Que hace Cisco todavía con ese examen si además acaba de sacar a mediados de agosto la versión 6.0? ¿Por que lo retira en lugar de actualizarlo, si sigue sacando nuevas versiones del producto?

Nuevas versiones de Cisco MARS 4.3.6 y 5.3.6

2008-09-02T20:15:00.002+02:00

Hoy he estado actualizando nuestro CS-MARS con la versoin 5.3.6, ya que teniamos un monton de entradas del estilo "Unknown User (unknown) Database insert".
La informacion del bug que corrigen esta version es la siguiente:

Cisco have released MARS 4.3.6 and 5.3.6.
Theres no new features in this release, but a major fix.

The following changes and enhancements exist in 4.3.6 and 5.3.6:
•Resolution of issue introduced in x.3.4 release. The driver for the x.3.6 release is to correct CSCsr47032, a defect introduced in x.3.4 that results in the database gradually filling up with unneeded audit logs. This defect can lead to a file system overflow when archiving is enabled or exporting is used for migration purposes.
Customers should upgrade to the x.3.6 release soon as possible to avoid consuming all hard drive space on CS-MARS 20/20R, 25/25R, 50, and 55 models. High-end models are not in danger of disk overflow but may experience a malfunction of archiving and export depending on the quantity of accumulated audit logs.
To determine whether an appliance is affected by this defect, click ADMIN > System Maintenance >View the Audit Trail, and look for messages like "8/18/08 3:50:11 PM PDT Unknown User (unknown) Database insert: DbReportResult: DbReportResult:215178". If thousands of such messages appear from the previous hour, an upgrade to x.3.6 is strongly recommende

Ya estamos de vuelta

2008-08-28T13:00:00.002+02:00

Bueno pues despues de unas merecidas vacaciones, de vuelta a la dura realidad...
Entre las novedades que me he encontrado a mi vuelta esta la salida de la nueva version Cisco Security Agent Version 6.0 . Aqui esta el link con todo tipo de informacion:

http://www.cisco.com/en/US/products/ps9595/index.html

Esta version se puede descargar desde:

http://www.cisco.com/cgi-bin/tablebuild.pl/csa

Es interesante para mi ya que he cambiado el orden de los examenes a realizar. Me he decidido por el 642-513 HIPS - Securing Hosts Using Cisco Security Agent, que aunque lo van a retirar para mi es importante conocerlo en profundidad, ya que trabajo con ello desde hace varios años en una instalacion con mas de 2.700 agentes.

El primer paso esta dado

2008-07-17T11:57:00.002+02:00

Ayer dia 16 de julio y coincidiendo con el dia de la fiesta de mi pueblo (Virgen del Carmen) pase el CCNA.

El examen fueron 52 preguntas y se pasaba con 825. Habia varios laboratorios con los que me lie un poco hasta ver como funcionaba la cosa. Finalmente 947 fue la puntuacion que obtuve.

Ahora tengo que decidir si tiro por el CCNA(Security) o por el SND como siguiente paso de la certificacion.

Otra nueva firma para IPS- S344

2008-07-10T22:50:00.009+02:00

Estos de Cisco estan "desataos", en dos dias han sacado dos actualizaciones de firmas para sus IPS. Esta de hoy es la S344.

La verdad es que desde que han sacado el Engine E2 (en el que iba incluida la firma S339) ha habido algunas cosas raras, la mas gorda la de la firma "Windows DCOM Overflow" (5588-0,1 ) que generaba alertas a lo bestia.

Con la firma S342 han corregido esta "pifia" y la de otra firma que saltaba con "demasiada facilidad", esta es: "Netware LSASS CIFS.NLM Driver Overflow" (6769-0).

MARS - Actualizacion 5.3.5 (2934)

2008-07-10T22:43:00.003+02:00

Hoy he estado actualizando CS-MARS con la version 5.3.5. Aqui os dejo como hacerlo:

[pnadmin]$ pnupgrade ftp://192.168.8.195/csmars-5.3.5.2934.pkg alex alex
Downloading ...
######################################################################## 100.0%
Upgrading ... - Stopping CS-MARS applications : #
- Updating MARS applications : #
- Importing data : #
- Signature upgrade ...
- Signature upgrade success
- Rebooting ...
1
1
succeed!

Broadcast message from root (pts/0) (Wed Jun 25 09:16:44 2008):

The system is going down for reboot NOW!

[pnadmin]$
Broadcast message from root (pts/0) (Wed Jun 25 09:16:44 2008):

The system is going down for reboot NOW!

+----------------------------------------------------+
+ +
+ CS-MARS - Monitoring, Analysis and Response System +
+ version : 5.3.5 (2934) +
+----------------------------------------------------+
lbilara login: pnadmin
Password:
Last login: Wed Jun 25 09:09:53 on ttyS0

CS MARS - Mitigation and Response System

? for list of commands

[pnadmin]$ pnupgrade log
--------------------------------------
5.3.4 2901 --> 5.3.5 2934
--------------------------------------
1 Preparing upgrade start
1.1 Load the step table start
1.1 Load the step table end
1.2 Stop pnmonitor start
1.2 Stop pnmonitor end
1.3 Stop jboss start
1.3 Stop jboss end
1.4 Stop other applications start
1.4 Stop other applications end
1 Preparing upgrade end
3 Upgrade schema start
3.1 Run upgrade schema script start
3.1 Run upgrade schema script end
3.2 Backup schema script start
3.2 Backup schema script end
3 Upgrade schema end
4 Upgrade MARS applications start
4.1 Untar MARS executable binary start
4.2 Untar MARS executable binary end
4.3 Modify janus.conf start
4.3 Modify janus.conf end
4.4 Swap MARS executable binary start
4.4 Swap MARS executable binary end
4.5 Run post-unpack-deployment start
4.5 Run post-unpack-deployment end
4 Upgrade MARS applications end
5 Upgrade data start
5.1 Start jboss start
5.1 Start jboss end
5.2 Importing signature data start
5.2 Importing signature data end
5.3 regenerate xml start
5.3 regenerate xml end
5 Upgrade data end
6 reboot ...
Upgrade from 5.3.4 2901 to 5.3.5 2934 finished.[pnadmin]$

IPS - Nueva firma S343

2008-07-09T22:10:00.003+02:00

Cisco acaba de anunciar la actualizacion de firmas para IPS, S343.

Hay que recordar que Cisco requiere que las sondas tengan el Engine E2 para poder actualizarlas desde la firma S339.

Informacion CCSP

2008-07-09T21:16:00.005+02:00

Cisco ha actualizado los requerimientos para la obtencion de su certificacion CCSP

La novedad mas importante es que ahora hay un CCNA especifico de Seguridad.

El debut... la próxima semana

2008-07-09T18:57:00.011+02:00

Bueno pues después de un mes estamos a las puertas del debut. Es como los equipos de futbol que se preparan en pretemporada y estan ansiosos de que llegue el primer patido.
Una de las cosas que mas tiempo me ha llevado es el seleccionar el material con el que preparar el examen. Hay tanto en internet relacionado con el CCNA que llega un momento que hay que parar y decir con lo que tengo ya me vale, ahora hay que estudiarlo y aprenderlo.
Entre el material que he utilizado voy a destacar unos videotutoriales (en castellano) que encontre en esta direccion:
http://www.videoaprendizaje.com/online/redes.html

Otro site en el que hay mucho y buen material es este:
http://www.netap.net/category/ccna-ccent

De aqui he descargado el libro "CCNA Quick Reference Sheets (Digital Short Cut, CCNA Exam 640-802)" y presentaciones Power Point con los temas del CCNA.

Finalmente para practicar como un examen aqui se pueden descargar casi de cualquier examen Cisco:
http://newitechs.blogspot.com/2008/06/july-2008-all-cisco-exams-ccnaccnpccda.html

Comienza la carrera

2008-06-15T23:17:00.000+02:00

Después de un tiempo dándole vueltas he decidido intentar sacar el CCSP (Cisco Certified Security Professional). He estado mirando y hay que pasar 6 examenes, mucho bacalao para el poco tiempo de que dispongo pero vamos a ver que sale.

Lo que tengo claro es que no solamente quiero los diplomas. De nada sirven si luego no eres capaz de realizar el trabajo, así que me llevará mas tiempo pero es fundamental la utilidad.

No voy a ir a ningún curso a no ser que me lo pague la empresa (cosa que veo complicada) así que me tendré que buscar la vida e Internet tendrá que ser mi principal fuente de conocimiento. Tampoco me preocupa ya que en su día saque la certificacion de Microsoft (MCSE) y CheckPoint (CCSE) del mismo modo.

Por otro lado, estoy intentando hacerme un laboratorio en casa para poder realizar practicas y aunque en eso si he tenido suerte ya que me he echo con varios switches y router, tengo un problema de logística en casa. Mi hijo pequeño arrasa con todo lo que tiene a mano. :-) A ver como lo soluciono.

El primer examen que tengo que pasar es el CCNA, vamos a centrarnos en ello.