Entradas populares

  • ¿Dos fabricantes para doble barrera perimetral o solo uno?
    Llevo un par de semanas con este debate: ¿Un doble barrera de firewalls con tecnología de firewalls diferente en las dos coronas, es más s...
  • QoS en Paloalto for dummies
    Hola de nuevo, gracias a todos por los comentarios y/o correos. Os dejo un resumen para configurar calidad de servicio en un Paloalto.  Como...
  • CISCO IOS 15.0
    Hace tiempo me preguntaba porque CISCO salto de la versión de IOS 12.4T, hacia la versión 15 directamente. Y estos días he encontrado la res...

martes, 24 de mayo de 2011

Out of Topic: Colgado el cartel de completo los siguientes tres meses




Kub Solutions tiene colgado el cartel de completo durante los siguientes tres meses. Pero estamos intentando seguir incorporando nuevos freelance. 
Debido a esto, estamos buscando freelance séniors en Barcelona en redes, seguridad, linux o HP UIX. Tenemos varios proyectos pendientes de aceptar en función de si podemos garantizar el éxito y el plazo de entrega. Por otra parte, mi socio, tiene previsto algunos proyectos en sudamérica para después del verano. Después de una conversación con un colega del sector, creo que le vamos a perder el miedo a esto de coger el avión. Así que si alguien necesita soporte avanzado en alguna de nuestras áreas, poneos en contacto con nosotros para poder planificar las agendas.
Cheers,
RobClav
0 comentarios

Primeros pasos con Aerohive

Robclav: Flujo configuración hives
Gents(And ladies?), he recibido un correo de E.Q comentándome que no encuentra documentación aceptable de Aerohive, y veo que es verdad. Os dejo un pequeño diagrama de flujo de configuración recomendada de estos equipos, y la primera página del capítulo de configuración de los hives. Os recomiendo que pidáis esta documentación vía la web de soporte del fabricante o mayorista.

Conceptos importantes:
  1. Los equipos llevan dos radios, se pueden utilizar para acceso o para wifi mesh. Otra opción es dedicar una radio a mesh y otra a acceso.
  2. La configuración es en árbol invertido, salen pocas opciones que se van ampliando conforme vamos creando ssids, perfiles, Qos o reglas de firewall.
  3. La configuración via el hivemanager, ahora es más sencilla gracias al nuevo asistente.



Chapter 11 Basic Configuration Examples
This chapter introduces the HiveManager GUI in Enterprise mode through a series of examples showing how to create a basic configuration of an SSID, hive, and WLAN policy. It then explains how to connect several HiveAPs to HiveManager, accept them for management, and push the configuration to them over the network.
Note: Although maps provide a convenient method for organizing and managing your HiveAP deployment, they are not strictly required and are not covered in this chapter. For information about using maps, see "Example 1: Mapping Locations and Installing HiveAPs" on page 142.
You can look at any of the following examples individually to study how to configure a specific feature or view all of them sequentially to understand the basic workflow for configuring and managing HiveAPs through HiveManager. The examples are as follows:
"Example 1: Defining an SSID" on page 124 Define the security and network settings that wireless clients and HiveAPs use to communicate.
"Example 2: Creating a Hive" on page 127 Create a hive so that the HiveAPs can exchange information with each other to coordinate client access,
provide best-path forwarding, and enforce QoS policy. • "Example 3: Creating a WLAN Policy" on page 128
Define a WLAN policy, which contains the SSID and hive defined in the first two examples. • "Example 4: Connecting HiveAPs to HiveManager" on page 129
Cable two HiveAPs to the network to act as portals and set up a third one as a mesh point. Put the HiveAPs on the same subnet as HiveManager and allow them to make a CAPWAP connection to HiveManager.
"Example 5: Assigning the Configuration to HiveAPs" on page 136 Assign the WLAN policy to the HiveAPs. Also, change HiveAP login settings and—if necessary—country codes.

0 comentarios

jueves, 12 de mayo de 2011

Migración a IPv6: Si vis pacem, para bellum






"Si deseas la paz, prepárate para la guerra". O dicho de otra manera, aunque creas que ipv6 no llegará pronto ,ves creando un roadmap de migración de tu red. El camino es largo pero con bonitas vistas.

IPv4 se acaba, y los BRICS(Brasil, Rusia, India, China y Sudafrica) no perdonan. Cuándo nuestros amigos emergentes, no tengan nuevas IPv4s migrarán a IPv6, y dudo que nuestras empresas no quieran seguir en contacto.

Bien hasta aquí la bofetada de realidad, así que ¿ahora que hacemos? 

Aplicar una Estrategia de Migración a IPv6
De forma global al dept de IT:
  1. Instauración de una política para el departamento de desarrollo que tenga como prioridad substituir las llamadas a dirección IP por nombre de host para facilitar la migración o la convivencia de ambas comunicaciones.
  2. Auditar las comunicaciones locales de los servidores para detectar las llamadas por IP entre sistemas. Por ejemplo entre frontales y servidores de soporte como bases de datos o ficheros.
  3. Comprobar que los servidores, aplicaciones y  appliance que tenemos soportan IPv6.
  4. Crear un entorno de laboratorio aislado para poder poner a prueba una maqueta de nuestra red y sistemas.
  5. Empecemos migrando entornos simples, homogéneos y controlados por nosotros, para ir implicando otros departamentos que tengan entornos de laboratorios para estudiar el impacto sobre sus sistemas.

De forma específica referente a comunicaciones:

  1. Solicitamos a RIPE un pool IPv6 suficiente para cubrir nuestras necesidades para los siguientes 5 años.
  2. Sino disponemos de DNS internos, solicitamos a nuestro proveedor de este servicio que habilite la resolución dual, en función del tipo de versión IP de la petición.
  3. Si tenemos DNS internos comprobamos que funcione con IPv6. Si queréis un consejo poner un Infoblox y simplificar vuestra vida.  
  4. Habilitamos en IPv6 en nuestras conexiones externas existentes, y las nuevas las solicitamos duales.
    1. Provisionamos 1,5G de Ram para cada ruta con IPv4 e IPv6 con todas las rutas de internet. O filtramos rutas simplificando.
    2. Si disponemos de un AS, privado o no. Publicamos nuestros prefijos IPv6 bajo el mismo.
    3. Habilitamos la familia IPv6 en los peers actuales. Pedimos a nuestras operadores que lo hagan también. 
    4. Las nuevas ADSL las solicitamos IPv6 directamente.
  5. Habilitamos nuevas DMZ con IPv6, heredando la config de la misma zona ipv4. Varios firewalls soportan crear políticas por zonas, esto nos puede simplificar mucho la vida. De todos modos si pueden estar en Tablas de enrutamiento separado, mitigaremos problemas de tráfico asimétrico con sistemas microsoft, por ejemplo.
  6. Migramos nuestras redes aisladas como DMZ, transporte, invitados, wifi o laboratorio.
    1. Esto nos permite empezar a tener un entorno en IPv6 puro. Pero en un chasis con ipv4 funcionando. Migramos los servidores de la dmz.
  7. Migramos el resto de infraestrutura por VLANS. 
    1. Utilizamos el método de duplicar vlans ipv6 y ipv4 para estructurarlo.
    2. Migración de impresoras y servicios auxiliares centralizados en servidores de colas.
    3. Migración de servidores y clientes con direcciones estáticas.
    4. Activación de DHCPv6, desactivación por política de autoconfiguración.
Hth,
Robclav





0 comentarios

viernes, 6 de mayo de 2011

Comparativa de firewalls 2011. Mi cuadrante mágico

Me ha llegado un correo de José Luís que me comenta que esta pensando en actualizar sus firewall Stonesoft y cual sería mi recomendación. En tu caso concreto la clave sería que no estuvieses utilizando el multipoint entry para vpn basada en certificados. Según el escenario que me describes, puedes aprovechar el módulo de WAF que viene con los PAN que te protege contra las vulnerabilidades de esos servicios y en concreto contra cualquier tipo de ataques de vulnerabilidad del servidor cross-site scripting, injección de SQL, pero no de la programación de la web como los intentos de escalado de privilegios. Hay muy pocos WAF que te protejan de esto. Revisa el producto de WAF de IMPERVA que es el mejor.






Fabricante
SC
ST
SD
I
RU
FC
AA
ME
IPv6
FD
IDP
VPN
SSL
GC
OP
R
D
E
H
RobClavTotal
Paloalto
4
5
5
5
4
4
4
5
4
5
5
4
2
2
4
5
5
5
4
81
Cisco ASA
3
4
2
2
3
2
3
4!
4
3
2
5
5
2
3
4
5
5
4
61+4= 65
Juniper
3
4
2
2
4
3
3
5
4
5
3
4
1
3
3
4
5
5
5
68
Checkpoint
1
3
3
5*
3
D
2
1
2
4
2
3
1
5
1
4
5
5
D
45+5+D+D= 56
Stonesoft
3
3
3
4
3
D
2
1
2
4
2
5
1
5
3
4
5
4
D
54+D+D= 60
Fortinet(UTM)
4
2
4
4*
3
4
3
1
3
2
4
4
3
4
3
1
2
2
D
49+4+D= 56
Otros UTM
5
1
3
1
3
3
4
1
1
2
4
3
4
1
3
1
1
1
1
43



Notas en la puntuación:
* Algunos de sus últimos productos, no toda la gama.
! MTE, mediante firewalls virtuales, no sobre el chasis principal
D Lo desconozco si lo permite auque sea integrando un tercer producto. Los valoro como 3, para no adulterar el resultado.


Puntuación de 1 a 5, atribuíble al producto no a la implantación de la solución.
1.     muy insatisfecho, con esta información hubiese elegido otro firewall.
2.     Insatisfecho. No cumple los objetivos marcados.
3.     Satisfecho. Cumple la mayoría de objetivos.
4.     Muy satisfecho. Cumple todos los objetivos marcados.
5.     Por encima de sus expectativas. Lo recomienda como caso de éxito.


Leyenda:
SC.-Satisfacción departamento compras
ST.-Satisfacción departamento técnico
SD.-Satisfacción dirección
I.-Inteligencia en la detección de aplicaciones, métodos de evasion/ofuscación y tunnelling.
RU.- Reglas de seguridad, nat, qos, ipsec o url filtering por usuario.
QoS.- Gestión de la utilización del ancho de banda disponible.
FC.- Capacidad de creación de reglas complejas de filtrado de contenido. (Control parental de navegación)
AA.- Antivirus, detección de ataques de dia 0, keyloggers, troyanos y virus de red.
IPv6.- Preparado para afrontar los nuevos retos de IPv6.
MT.-Múltiples tablas de enrutamiento, para implementar doble pila IPv4-ipv6 sin problemas de asimétrias por vlan. De esto puede depender el éxito de la migración a IPv6.
FD.-Funcionalidades diferenciales. En el cuadrante mágico de Gartner lo que se denomina visionarios, que viene dado por la inversion en I+D+I.
IDP.- Detección y protección ante ataques basados en firmas o comportamiento.
VPN.-VPN convencionales del tipo LAN-2-LAN o mediante  cliente,  IPSEC o SSL
SSL.-Con cliente o navegador  con presentación de portal de aplicaciones, tipo citrix.
GC.- Gestión centralizada para multiples firewalls. Reglas multifirewall, reglas expecíficas, Actualización del software desde el servidor central, centralización de logs.
OP.- Costes operacionales de licencias de mantenimiento del firewall y facilidad de encontrar personal cualificado o formarlo.
R.-Rendimiento de los equipos con todas las funcionalidades en marcha.
D.-Cumplimiento de todas las funcionalidades que anuncia el datasheet.
E.-SLA de HA, Estabilidad del producto una vez configurado.
T.-Total de puntos por firewall
H.-Seguridad desde el host que se conecta. NAC




José Luís, mi recomendación es que pidas una demo(Gratuita y sin compromiso) de Paloalto y dejarás de tener dudas. Sino tienes una integradora de confianza, envíame un correo y se lo reenvío al mayorista que te ayudará a elegir una integradora que se ajuste a tus criterios.


Me comenta JL, que StoneGate esta a punto de sacar un nuevo firewall de nueva generación, veremos  que tal.

Crear un comentario o un correo si hay alguna puntuación que no estéis de acuerdo o si conocéis algo que yo no.
HTH
RobClav

13 comentarios
Suscribirse a: Entradas (Atom)