MWC Barcelona 2013: Viaje al futuro de las redes

La semana pasada estuve en el futuro. Había fabricantes de móviles, uno de los sectores que menos ha notado la crisis. Pero esos dispositivos se pueden comunicar con otros gracias a unas antenas, routers, switches, software de gestión de los mismos y el resto de infraestructura necesaria. Pero que tendencias están estaban representadas con mayor número de start-ups?

• Tecnología NFC y otros métodos para realizar pagos con un teléfono.
• NFC para identificación portador móvil en seguridad patrimonial y lógica: Acceso a edificios, tornos, identificación del usuario en redes y sistemas operativos(sustitución de smartcards y tokens.)
• Sistemas de alimentación externa para móviles, inalámbricas.
• Gestión integral del ciclo de vida de los dispositivos móviles. Distribución, reparación hardware, backup información y reciclaje.
• Accesorios de moda para dispositivos(incluso en madera).
• Multimedia en el terminal. Básicamente televisión Pay per View.
• Software Defined Networks. Abstracción de la parte física de las redes, para centrarse en un software de provisión que homogeaniza  el transporte. Esta técnica, viene de la mano de los servicios/infraestructura en la nube.ESTO ES EL FUTURO.
• Todo tipo de servicios alrededor del concepto "Cloud". Desde almacenamiento, virtualización, infraestructura, operación... ESTO ES EL FUTURO.

• MDM. Gestión de la plataforma de dispositivos móviles. Yo estuve viendo la plataforma de Sophos que me gustó al simplificar al vida a los administradores. Por otra parte, la licencia viene incluida en caso de disponer de endpoint. No sigue la tendencia de otros mdms orientados a BYOD como la "containerización" de la información corporativa. Esto se explica por el análisis de resultados de esta práctica, que se anula en el momento que el usuario se ve limitado. ESTO ES PRESENTE

Hth,
Robclav 

SourceFire NGIPS: Inteligencia colectiva

SourceFire es un IPS de nueva generación que trabaja a nivel de usuario, aplicación, flujos...pero que realiza un inventario de los activos de la red. Este inventario se compone de direccionamiento, sistema operativo, nivel de parcheado y versión de aplicaciones instaladas.
A esta primera fase de profiling es la que se conoce como discover dentro del producto.
En función de esta información y del tráfico que ha visto pasar, realiza sugerencias de las políticas de protección a aplicar. Según fuentes del fabricante, del 70%-85% de las políticas necesarias para proteger la infraestructura nace de las recomendaciones automatizadas. Esta fase se conoce como "Determine".
Finalmente, aplicamos las políticas reduciendo la superficie de ataque, y activando unicamente las firmas y las inspecciones que se ajusten a los dispositivos-aplicaciones a proteger. 
Hasta aquí, os puede recordar bastante a un NGFW con la diferencia del inventariado de los activos. 
Si bien es cierto que hay clientes que están contentos con firewalls de primera generación, o quieren abordar proyectos de DLP, que esta tecnología puede ir como anillo al dedo.

¿Qué es extraordinario y diferencial en comparación con el resto de productos? La forma de realizar seguimiento de los ficheros que se intercambian entre los dispositivos de movilidad, como smartphones, tablets, o pc fuera de la oficina. En este caso, realiza el seguimiento de todos los ficheros identificado con una firma hash. Y también, registra que se hace con el mismo, por ejemplo ejecutarlo, copiarlo, reenviarlo, o si el mismo crea otros ficheros(virus). Esto a diferencia de la tecnología de SANDBOXING, puede rastrear las infecciones y ataques, tiempo después de que se haya producido. 
En el momento que se identifica una amenaza el cuadro de mandos de SourceFire cambia el icono, y se puede rastrear el origen de la infección, la posible expansión y las variaciones del mismo.
Es una herramienta forense que minimiza el impacto de los posibles problemas, realizando una vista retrospectiva gracias a la inteligencia colectiva.
Hth,
Robclav

OT: No solo de tecnología se alimenta el networker

A todos nos gusta comer en esos restaurantes escondidos, de precios razonables e inolvidables platos. Sobretodo estando lejos de casa, y después de muchas horas de solucionar problemas contra reloj.

Pero, quitando las recomendaciones online tipo 2.0 para ciudades exóticas,  las mejores recomendaciones vienen de algún compañero de morro fino y con rodaje en el mundo gastronómico. Vamos alguien que empiece desayune "callos" pero que a la vez sepa apreciar una buena paella en el puerto.

Pues ahora esa información del siguiente restaurante que habitualmente, te llevabas en un post-it de la oficina o en una servilleta disfrutando del cafe. Pues este blog, lo ha lanzado Juan Miguel Farreras,  y está publicando sus reseñas de restaurante preferidos. Además, las recomendaciones no son solo por localidades sino también, por tipo de comida o por plato recomendado. Como se llama el blog, pues muy sencillo, "la servilleta". http://la-servilleta.blogspot.com.es/
Hth,
Robclav

El gancho de los Nexus

Según algunos analistas, las claves de de los Nexus son tres pilares de Nexus son los Virtual Port Channel, Fabric Ethernet, y los Fabric Extenders. Y como es evidente todo esto va asociado a la unión del almacenamiento a la virtualización,  pero que le ha ido muy bien a los defensores de las redes planas ¿Pero entonces quien parece que son los grandes perdedores? MPLS y la extensión de nivel 3 para sustituir el Spanning tree.

 Evidentemente esto que estuvo promulgando Cisco como la gran solución(En los últimos networkers que ahora se llama Cisco Live), al supuesto problema de crecimiento de la redes grandes (que era un problema de diseño solo de Europa), presuponía un entendimiento de la importancia de las comunicaciones en el negocio. Pero los clientes, muchas veces tienen gente formada en sistemas, desarrollo o incluso simplemente en gestión, por lo que buscan simplemente redes "plug and play".
Este concepto de las comunicaciones es de fácil identificaciones, con redes planas, redes grandes y multiservicio. En ese caso, es imposible promover una evolución hacia un nivel tres dinámico.

El otro gran problema que hizo fracasar esta tendencia fue el elevado coste de hardware de switching, y que muchas aplicaciones están diseñadas para buscar recursos en la propia lan.

Lo que estoy deseando ver, es como funciona los mecanismos antibucles basados de nuevo en el algoritmo de Dikstra. Si, si como suena, funciona igual que la parte de chasis virtual de los Juniper.
Hth,
Robclav

Los viejos Catalyst aguantan el embate de los Nexus

Es como esos viejos polis de las películas que se resisten a retirarse cuando más experiencia tienen. Quizás no corren, tienen achaques pero su know-how los hace los mejores. Los viejos rockeros Catalyst, están presentando batalla a los jóvenes y orgullosos líderes del Datacenter, los ultra rápidos Nexus. Pero como dice el responsable de desarrollo de los mismos, "si no los necesitas no los compres" en referencia de los Nexus. La verdad es que todo el mundo tiene hoy en día almacenamiento y virtualización, por lo que los Nexus suelen ser la renovación tecnológica de los Core's actuales. Sin perder de vista el rendimiento, las opciones de conectividad a nivel de velocidades pero también de protocolo. Por otra parte, aquella navaja suiza en la que convirtieron los Catalyst, se ha vuelto en contra de la cúpula más economicista de Cisco. De forma que para "domar" una red con múltiples problemas, desordenada y gestionada de forma informal, lo mejor siguen siendo los viejos polis. Sin embargo, en un datacenter administrado por expertos, donde el negocio sea los suficientemente dependiente de los datos, existen prestaciones para entornos extremos de rendimiento que esconden los Nexus.
Hth,
Robclav

Gartner: ¿Cadena de confianza o cadena de influencias?

Todo el mundo pregunta por alternativas tecnológicas, pero pocos conocen las consultoras líderes de evaluación y otros simplemente desconfían. Creo que esto define el nivel de confianza y percepción de los departamentos de IT sobre el sector de las consultoras. Por si fuese poco, agencias de cualificación como S&P, Fitch y demás entidades político-especulativas, han restado cualquier ápice de credibilidad a las consultoras. No nos engañemos, ¿Cuántos fabricantes "influyen" en consultoras y agencias de homologación para salir bien posicionados?¿ Cuántos informes son tan parciales que solo comparan aquellos aspectos que favorecen a alguien?

Una vez contestadas estas preguntas, la última pero decisiva pregunta, ¿confías en Gartner?

Yo sí, aunque en ocasiones he detectado que faltan fabricantes importantes, porque no han pagado para ser evaluados. La verdad es que nunca he encontrado un quadrante mágico que la relación entre productos no se ajustase bastante a mí propio criterio y pruebas. 

Me gustaría conocer vuestra opinión, pero me sorprende que los informes de Gartner, no sean como mínimo el punto de inicio de evaluación de cualquier solución. Que conste que no tengo ninguna relación con ellos y no saco nada, pero es que no lo entiendo...

hth,

Robclav

Hacker Nation: Mercado negro busca hacker local

"Buscamos gente joven con conocimientos de internet, para hacer trabajar desde casa. Sueldo 3.000 euros. "
De aquí a unos años podemos ver anuncios con este contenido, recrutando jovenes hackers. Formando parte del ejercito de soldaditos que algunas organizaciones necesitan, para las tareas menos técnicas, borrar huellas, ganar potencia de fuego o simplemente para utilizarlos de carne de cañón.
Pero entre esto y la sobreproducción de excelentes técnicos e ingenieros, la deriva del problema de oferta de trabajo, puede conducir a gente con un futuro brillante a cometer estupideces. Entre ellas escribir código para robar información, capturar tarjetas o generar ingresos directos mediante compras fraudulentas desde dispositivos de usuarios lícitos o visitas a publicidad robotizadas.

 Por otra parte, empezaremos a ver más y más ataques originados "cerca", y "muleros" que mueven dinero de cuentas robadas a MoneyGram o WesternUnion. El método es sencillo, y la utilización de estas personas también. Además con todos los negocios online, es muy fácil blanquear dinero, sea mediante descargas de un software de pago en una web, servicios de hosting, consultoria, casinos, o juegos. Todos esos juegos online, con funcionalidades freemium. Y es curioso que la gente, compre y venda avatares, funcionalidades o pantallas. Pero, y la gente que gana dinero jugando online?

http://www.lavoz.com.ar/noticias/sucesos/como-los-narcos-los-hackers-de-bancos-usan-mulas

Esto es solo para aquellos rezagados de la clase de delitos online. Pero y aquellos que han dado otros pasos extras, como participar de extorsión a empresas con negocio online, o ddos por encargo de otras empresas que en épocas criticas quieren deshacerse de su competencia?

http://www.techweekeurope.co.uk/news/ddos-market-84390

Como siempre hay negocios permanentes, contraseñas de redes sociales, acceso a contenido privado de smartphones, keyloggers...http://www.shodanhq.com/
La única buena noticia es que la seguridad es algo que se va a demandar cada vez más, e incluso se va a convertir en algo necesario a nivel doméstico.

Hth,

Robclav

El cazador oculto: Arbor networks protección antiDDOS

 El cazador oculto(el guardian entre el centeno), es una obra de J. D. Salinger , que hace una metáfora de alguien que se carga a sus espaldas la responsabilidad de proteger a los niños, pero que a la vez se mantiene oculto.
Proteger y permanecer oculto, es lo que hace Arbor Networks, y sus equipos de protección ante ataques de denegación de servicio. Actualmente, existe una gran variedad de motivaciones por las cuales una organización se puede ver atacada:
Hacktivismo, protestas online, manipulación del mercado, cyberguerras, extornsion, cyberterrorismo, etc.

Pero cuantas formas hay de combatir estos ataques? Es seguro desviar todo nuestro tráfico a un centro de limpieza online? Son todos los mismo tipos de ataques? Esto lo puede hacer mi operadora por mí? Que diferencias hay entre un IPs y Arbor networks?
Las respuestas, evidentemente conducen a que es necesario contar con un equipo de contramedidas ante un ataque de denegación de servicio. El primer asunto, es dividir el problema para maximizar la protección. Esto se traduce en un equipo que se encarga de los ataques volumétricos (Peakflow) y otro que se encargan de los ataques más complejos orientados a explotar vulnerabilidades de aplicación o de spoofing(Pravail).
Esta división se da, pese que a todos los ataques quieren explotar un vector de ataque que deje a los recursos a proteger sin cpu, sin sockets o simplemente sin memoria. Con recursos, nos referimos a servidores, pero también a routers, firewalls, balanceadores, switches...etc. Todos pueden verse afectados, y con cualquiera de ellos, el o los ataques conseguirían el objetivo.
Bien, podríamos pensar que con un IPS podríamos parar estos ataques, pero alguien conoce algún IPS capaz de inspeccionar y proteger 1,5 Teras de tráfico en tiempo real? Básicamente, por como trabaja un IPS, y la latencia que puede añadir lo hace inviable. De ahí, es de donde nace la necesidad de crear un equipo donde haya diferentes capas de inteligencia, desde las medidas de comprobación más básicas a las más complejas. Cualquiera de las cuales puede descartar un tráfico, y además en aquellas que se tiene que comparar patrones se hace de una forma muy simple, permitiendo un gran rendimiento.
Añadir que estos equipos están pensados para no ser detectados, ser robustos y además no trabajan basándose en estados. Básicamente, buscan eliminar el máximo número de posibles vectores de ataque. Y aunque casi nadie los conoce, son los encargados de proteger de forma ANONYMA, de la mayoría de organizaciones importantes. Tanto directamente como indirectamente mediante los servicios de las operadoras.
Hth,
Robclav

Citrix va de compras, Zenprise es comprada

Es una historia que se repite, Mikonos software, solución que expliqué en Julio de 2011, posteriormente fue comprada por Juniper(http://robclavbcn.blogspot.com.es/search?q=mykonos). Ahora es el turno de la solución de MDM Zenprise. Esta semana y por sorpresa, Citrix ha anunciado la compra de esta Start-Up excelente de tan solo 7 años de vida. 
http://bits.blogs.nytimes.com/2012/12/05/citrix-acquires-mobile-security-start-up-zenprise/

MDM: El reto de estar entre los VIPS y el Infojobs

http://www.mobco.be/wordpress/2012/05/20/mobileiron-leads-the-gartner-magic-quadrant/

Mobile Device Management es la tecnología más activa en las necesidades de los departamentos de IT. La democratización de dispositivos smartphones y tablets, ha disparado los requerimientos en las redes wifi, en la seguridad y la gestión de plataformas externas. Todo esto podría ser lo que leemos en las webs de ciertos fabricantes o incluso, aquellas revistas especializadas en tecnología. 

El problema es sencillo, los VIPS tienen nuevos "juguetes": ágiles, agradables, pequeños y multimedia. Para colmo son un entretenimiento para toda la familia, y para esos pocos momentos de ocio. Y aquí empiezan los problemas. ¿Cómo le dices al dueño de la empresa, que su ipad no lo puede conectar al wifi? ¿Cómo le dices al jefe, del jefe de tu jefe que sus hijos no pueden instalarse juegos en el iphone que el mismo se ha comprado? o ¿Cómo le digo al financiero y responsable de recursos humanos que no puede acceder a su propia información con su tablet, mientras esta de supuestas vacaciones con la familia? Si estas buscando un despido procedente, puedes hacer estas preguntas mientras miras el infojobs, sino, necesitas un MDM.(Aquí tenéis un extracto del conocimiento e interés de los CEOs de la mayoría de empresas)

Las principales claves de MDM, permiten decidir que aplicaciones se pueden instalar, hacer borrados parciales o totales de la información, cifrar el contenido, cerrar túneles, compartir información en la nube o crear comparticiones seguras de aplicaciones e información corporativa.
Tal y como muestra Gartner, hay 5 soluciones de gestión de plataformas móviles recomendadas. Como ya he comentado con anterioridad, el eje de las ordenadas (Y) se corresponde con el músculo financiero, tiempo de vida de la empresa, volumen de ventas, soporte técnico o canal.  Y el eje de las abscisas(x) se corresponde con la tecnología. Y a mí particularmente que un producto se venda mucho, o que tenga mucho dinero invertido, no me dice nada. Pero que sea el que me ofrezca la mejor solución, sí.
Evidentemente, el producto denominado visionario, es Zenprise.
Así que, mi recomendación para extender el perímetro de seguridad y control de la red, a los dispositivos móviles es utilizar este MDM, porque aunque hagas esas preguntas a tu jefe, en la nueva empresa también habrán los malditos BYOD.
Hth,
RobClav

Cazadores de Mitos: Paloalto finalmente no esta en venta

No se si habéis visto algún capítulo de estos dos científicos locos, pero se dedican a la demostración o refutación de mitos. Yo vi un capítulo, donde demostraban que era cierto que un ejercito había demolido un puente, al caminar la tropas a un ritmo que provocaba una vibración concreta. Con dicha vibración el puente empezó a vibrar hasta su demolición.

Pues algo así me ha pasado con la noticia del post pasado, que ha generado tanta expectación como comentarios. Al final me ha llegado la refutación de la noticia, Palaolto no está en venta. Y tampoco ha mantenido negociaciones con Cisco. Pues vaya chasco, porque entonces no entiendo que pasa con el departamento de seguridad de Cisco. Ya que las mejoras prometidas como reconocimiento de aplicaciones, reglas por usuario y demás, están por llegar. Los equipos no han avanzado nada en años, y para colmo la persecución de los NGN la tienen muy lejos. 

Hth,

Robclav

Paloalto se deja querer...por Cisco

(Antes de leer este Post, revisar el siguiente. Parece que es la noticia es un mito...)
Paloalto Networks es la presa para abatir. Es un caramelito que cotiza en bolsa, que tiene varios pretendientes. En concreto esta confirmado que Cisco ofreció este verano 2,4 Billones de dólares por su compra, la gente de PAN dijo que no. PERO, porque les han pedido 4 Billones de dólares.

Fuent :http://www.bradreese.com/blog/panw-7-24-2012.htm

Todo esto podrian ser rumores intencionados de los competidores, de Cisco o incluso internos, pero hay un hecho que es clave. Desde la salida a bolsa, se llego a un acuerdo que durante 6 meses no se podían vender acciones. No obstante, se pueden "cambiar" en el mercado secundario. Y la gran pregunta es, ¿quién lo esta haciendo? 

"The largest fraction of the shares on offer is 1.5 million being offered by Globespan Capital Partners. Tenaya Capital is selling 566,000 shares and Nir Zuk, the company’s CTO, is selling 200,000 shares."
Imporante tener en cuenta que cuando Nir Zuk vende las acciones, debe ser porque se prepara para montar su siguiente start-up. http://247wallst.com/2012/10/18/palo-alto-networks-slides-on-secondary-offering/

Mientras las negociaciones de compra, se suceden, a nivel tecnológico los competidores han puesto sus motores de I+D+i , a toda máquina. Y a nivel de discurso todos han conseguido atrapar a Palaolto,

Cisco con su tecnología ASA-X ya permite trabajar con usuarios y aplicaciones. Fortinet, hace tiempo que lo permitía y el rival más fuerte en ponerse las pilas es Checkpoint. 

Con independencia del look and feel, las opciones integradas de estas funcionalidades que centran el foco en el usuario y aplicacioón, los otros fabricantes ofrecen otras cosas. 

En el caso de Fortinet, tiene un portfolio dentro de la seguridad perimetral muy extenso y que cubre casi todas las necesidades que se pueden ocurrir. Incluyendo la revisión de código, cache, anti-spam..etc Aunque a nivel de firewall sea sensiblemente inferior que los PAN.

Checkpoint, dispone de facilidades claramente expuestas anteriormente en la gestión de bases grandes instaladas. Por otra parte, el producto de DLP, la parte de antispam o la solución de endpoint, hacen de una solución orientada a gran cuenta con pocos competidores.

Finalmente, Cisco ASA tiene un nicho de negocio muy claro. Donde esta apostando firmemente y que cobra mucho sentido si cierra la compra de Palaolto: VPNSSL

Históricamente Juniper SA ahora MAG, era claramente lider natural. Pero tal y como refleja el último Gartner, Cisco esta muy, muy, pero que muy cerca de Juniper. Además hay que contar con el TAC y la fuerza de ventas de Cisco, que lo hacen un claro depredador de otras empresas con menos cuerpo.

http://www.computing.es/comunicaciones/tendencias/1037001000301/gartner-cuadrante-magico-ssl-vpn.1.html

Conclusión: Con todo esto, Paloalto queda claro que es diferencial en el campo de NGN, que el resto de competidores están cada vez más cerca y además tiene funcionalidades diferenciales fuera del alcance clásico de firewall y que el escenario cambiará mucho en el supuesto que sea comprado finalmente por Cisco.

hth,

Robclav

Todos los caminos, llevan a roma: Cisco ISE

Cisco parece que ha caído en la cuenta que, tener 7 appliance para hacer lo que otros fabricantes como Juniper hacia con uno, no era bienvenido por los clientes.  Cisco Identity Services Engine es de nuevo, una compactación de los appliances de NAC, el ACS y otro posible nuevo appliance de reconomiento de usuarios. Por mucho que otros fabricantes, puedan licenciar por separado, solo a nivel de mantenimientos, ahorro de espacio y energético cualquier otra opción era más económica.

Eso significa que igual que el resto de fabricantes de seguridad,  todos los caminos de cisco llevan a roma. O dicho de otra forma, han centrado sus desarrollo en el usuario. El framework SecureX alberga las líneas claves de las tendencias del mercado, como MDM integrado con ISE. Claro que para terminar de simplificar las cosas, a la integración de ISE con el resto de Borderless networks le llaman arquitectura TrustSec.
Hay que recordar que CISCO hizo lo mismo con la integración de los concentradores VPN 3000 y los Pixes. Y fué un éxito, pese a reducir las capacidades del concentrador VPN, maximizó la parte de VPN SSL. 
Cisco ha reiniciado su programa de inversiones y desarrollo de seguridad. Podemos decir que vuelven a estar "on the road again".
Hth,
RobClav

NGFirewall Evolution: Políticas reputacionales por usuario

Hoy he estado en un evento de uno de esos gigantes de la informática que arrastran tanta historia como portfolio. El asunto es que entre sus filas cuentan con gente muy orientada a la innovación en los sistemas integrados.
Desde el principio los sistemas informáticos pertenecían a las empresas y los trabajadores hacían un uso más o menos personal, para acceder a información corporativa básicamente.  El ocio se realizaba con el teléfono, el salas, en el bar....
Ahora todo esto se desarrolla dentro de nuestros sistemas de información y bajo nuestra responsabilidad, pero además tenemos muchos más sistemas exógenos. Por ejemplo los móviles, las "tablet" o los portátiles personales. Sin contar las legiones de consultores externos conectados en salas adhoc vía wifi o con NAC de lógica "boleana".

De forma que parte de la infraestructura no es de la organización, parte de la información almacenada y transportada tampoco y se presupone la utilización de los recursos de la empresa para ocio y networking empresarial.
Por si faltase algo a esta mezcla explosiva, tenemos que añadir que los usuarios son móviles, tenemos oficinas distribuidas en diferentes países y aplicaciones publicadas en la nube.

Con todo este escenario he proyectado una nueva innovación en IPs a los firewalls, políticas de usuario por reputación:

1. Asignar una cuota en una SAN, en función del contenido y antiguedad de los ficheros de forma automática.
2. Penalizar o proteger el uso de ancho de banda en función de la categorización de las recursos visitados.
3. Aplicar inspecciones, auditorías y capturas de tráfico en función del histórico de un usuario.
4. Restringir el acceso a redes o servidores en función de comportamientos de modificación de usuarios con comportamiento similar en la red. 
5. Aplicar policy based routing hacia líneas de bajo coste para aquellos usuarios con categorización histórica no productiva.
6. Desencriptar el tráfico de aquellos usuarios que tengan incidentes de fuga de información.

Como os podéis imaginar este producto no existe, pero sería increíblemente fácil gestionar una dispositivo con cierta inteligencia para evolucionar la configuración inicial.

hth,

Robclav

Servicios profesionales Carrier Class: SCC

No hay nada como volver de vacaciones en la playa con nuevos proyectos, nuevos compañeros y nueva empresa. Ahora formo parte de Specialist Computer Centres(SCC), una multinacional con presencia en seis paises y siete oficinas en España. Muchos de vosotros os sonará más familiar, si os digo que es el resultado de la compra por parte de SCC, de la división IT de General Electric (España).

Áreas de negocio principales son redes, seguridad, sistemas, virtualización, expert leasing y servicios gestionados.
Todo esto son solo números y palabras frías, al final lo que importa es que cada día desayuno rodeado de ccie's con proyectos internacionales, que parecen el exámen práctico del Bruselas. Evidentemente, los proyectos, los clientes, y las tecnologías involucradas son Carrier Class. Así que estoy poniendome para coger ritmo ASAP.

Las oficinas en Barcelona están en Sant Cugat donde también se ubica el centro de Servicios Gestionados y vigilancia tecnológica. 
Eso sí, tengo ganas de ver en vivo y en directo un despliegue de la gente de Profesional Services para un proyecto. He visto la preparación previa, logística, coordinación y el foco en el éxito que esperaba en SCC.
"Si tiene algún problema  en su redno dude en contactar con…EL EQUIPO SCC"
RobClav

El hombre y el ratón: Migrando a IPv6

Tiempo estamos teniendo de migrar las redes a IPv6. Luego cuando lleguen las prisas y los presupuestos extraordinarios, algunos gestores comentarán que no entienden como una cosa tan importante no se tuvo previsión.

Y sí, Europa y su crisis ,es una parte pequeña de Internet y de la economía global pero los otros países siguen imparables su expansión, donde la materia prima es la IP. No obstante, estos países emergentes y organizaciones tienen una ventaja respecto a nosotros. Contruyen una nueva infraestructura en lugar de "hacer reformas" en sus viejos palacios. Y esto último siempre supone mayor riesgo y coste.
Pero no todo son malas noticias, porque ya contamos con un par de fabricantes como Infoblox y Men&Mice que se dedican a la gestión de direccionamiento que están preparados para IPV6.
Del primer fabricante, ya he hablado en anteriores posts, ya que está construído sobre estándares los diferentes módulos que conforman su solución(DHCP, NTP, DNS e IPAM), y tienen una presencia importante en Iberia.

Los segundos, son otros locos helados de Islandia que me imagino que durante su pequeño invierno de 11 meses, han tenido tiempo de desarrollar y perfeccionar soluciones "ad hoc" para migrar a IPv6.
Con su herramienta IPAM permiten automatizar las fases de discovery de los activos de la red, así como realizar un inventariado de sus caracteristicas, y personalizar campos de los objetos así como lanzar scritps externos.
El resultado es el que véis en la captura, una base de datos de los rangos de IPv4 e IPv6 gestionados por la organización, donde se pude realizar una ordenación por estado de compatibilidad respecto a IPv6. A partir de esta información se pueden lanzar scripts que realicen tareas auxiliares, aparte de las herramientas integradas en la suite de comprobación de connectividad ICMP.
Para mí esta herramienta ha sido un descubrimiento, pero no la he podido probar a diferencia de Infoblox y su servicio técnico que es excelente.

hth,
RobClav

Reivindicación 2.0: Applets Java en Juniper SA/MAG

Hola,
para lograr funcionalidades que hacen otros fabricantes podemos encapsular applets java en los Juniper SA y ahora en los MAG. 
Estos Applets pueden ser lanzados automáticamente o esperar que el usuario pulse sobre un icono que dejamos en la web de acceso. Esto puede ser interesante para utilizar aplicaciones cliente servidor propias, o aplicaciones propietarias que realicen cambios más profundos en el usuario. Es la forma de evitar llamar a un script en la estación remota, que no sabes si encontrarás. Lo bueno es que esta opción funciona con Webificación, WSAM, JSAM y network connect. En mi caso, he creado este applet para emular el comportamiento de un viejo Nortel VPN SSL que utilizaba PORT Forwading. El usuario, después elegía la aplicación que iba a ser tunelizada. Así que para emular este comportamiento, combinamos el JSAM(No pide derechos de administrador como si hace WSAM o NetworkConnect) y el applet como recurso WEB. El applet ejecuta una aplicación en el cliente.
El código JAVA que lo tenéis que dejar como .jar y a disfrutar.
Os dejo un video de the class después de haber visto a la gente de http://www.iaioflautas.org

Robclav
#Codigo#

import java.applet.*;
import java.awt.*;
import java.io.IOException;
import javax.swing.JOptionPane;
//rclavero Juny 2012
public class APPLauncher extends Applet {
//Applet per obrir programes al costat del client
public void init () {
//Es com si fos el constructor de la Clase
}
public void start(){
//Es com si fos el main
Runtime aplication = Runtime.getRuntime();
try{
aplication.exec("mstsc.exe -v:127.0.10.52");
//Iniciar una aplicació amb parametres


} catch (IOException e) {
// TODO Auto-generated catch block
JOptionPane.showMessageDialog(this,"No se ha podido iniciar la aplicación en el sistema cliente...");
}
}
public void stop(){
}
public void destroy(){
//alliberar recursos del sistema
}
}

Boligrafo Fisher vs Lapiz Ruso: Swivel security

Todo el mundo ha escuchado el mito(Falso)  de la lucha por la carrera espacial entre EEUU y Rusia. El mito consiste en que EEUU desarrollo un bolígrafo capaz de escribir en ausencia de gravedad con una inversión de varios millones de dólares, mientras los rusos simplemente utilizaban un lápiz. Tengo que aclarar que es falso, porqué la NASA no hizó el desarrollo sinó una empresa americana. Además el CCCP utilizó lápices pero también bolígrafos convecionales, ya que el problema no era de gravedad sinó de presión atmosférica.

En este sentido, la gente de Swivelwww.swivelsecure.com  tiene un producto de autenticación robusta multifactor(PinSafe) que sería el lápiz ruso versus a los tokens físicos de RSA y VASCO.
La solución es simple, memoriza una pin que realmente son posiciones. Recibes un string nuevo y solo seleccionas del string las posiciones de tu pin.  YA TIENES TU OTP. Este String lo recibes por sms, por email, lo generas con una app...etc
Esto es solo una opción, puedes utilizar otros métodos como memorizar una forma. Sí, como se desbloquean los móviles con Android. Imagina una "V" o una "N", y ahora sobre una imagen ya tienes tu OTP!
Claro, solo en coste de despliege, mantenimiento y comodidad para el usuario la mejora es enorme.
hth,
robclav

Anonymous: Proximo objetivo Banca

Anonymous ha colgado sus nuevos objetivos en la nueva "isla pirata", Pastebin

http://pastebin.com/PqtNxeY3

Esto es un copy-paste desde la web donde a día de hoy se planean la mayoría de acciones de cyberTerrorismo, hacktivismo y todo tipo de robo de información bajo pago.

"http://www.sgae.es

 http://www.maec.es

http://www.mjusticia.gob.es

http://www.defensa.gob.es

http://www.mpt.gob.es

http://www.mir.es

http://www.fomento.gob.es

http://www.educacion.gob.es

http://www.mtin.es

http://www.minetur.gob.es

http://www.marm.es

http://www.meh.es

http://www.msps.es 

http://www.casareal.es

 https://www.bancosantander.es

https://www.bbva.es

http://www.bankia.com

http://www.lacaixa.es

http://www.bancopopular.es

https://www.bancsabadell.com

http://www.catalunyacaixa.com

http://www.novagaliciabanco.es

http://www.caixanova.es

http://www.bancacivica.es

https://www.cam.es

https://www.bankinter.com

http://www.espiga.com

http://www.ibercaja.es

https://www.unicaja.es

https://portal.bbk.es

http://www.bancamarch.es

hth,
Robclav

Diez conceptos básicos para configurar JUNIPER SA o MAG SSL VPN

Formalmente hablamos de Juniper Secure Access y Junos Pulse Server.

Sin duda el producto más flexible, potente y maduro del mercado. Es el rey de las VPN SSL, siendo un appliance dedicado donde hay que tener en cuenta el precio de la licencia y mantenimiento y no del hardware.
Bueno sin más rollo, os dejo el resumen de los diez términos clave para configurar y entender estas maravillas:


-Recursos.  Los recursos son aquellas aplicaciones, ficheros o sistemas a los cuales se va a dar permiso de acceso.  La definición de estos recursos deben ir acompañados de una política de seguridad de acceso a ellos. Y posteriormente para ser utilizado se debe asociar a un rol como mínimo.

-Role. Es una agrupación lógica de  acceso a recursos a los que se van a dar acceso así como de los mecanismos para hacerlo. S
Resource-Policy(Utilizar mejor la autopolicy). Es las reglas de seguridad que se aplican a los roles para poder acceder a los recuros. Las mismas pueden ser modificadas en tiempo real por comprobaciones del host-checker.
-Role-Mapping. Es una serie de reglas consecutivas, de más específico a más genérico, que asignan finalmente unos roles. Estas reglas se pueden hacer por:
-Nombre de usuario
-Nombre de grupo del directorio activo
-Nombre de atributos de LDAP/certificados de usuario.
-Dia y/o hora de conexión.
-Ubicación.
El resultado es la asignación de los roles a los Realms o perfiles de conexión.Comprueba todos los roles, siempre y cuando no se especifique lo contrario.

-REALM. Conjunto de usurios o escenario de autenticación, que es lo que más se parece a un perfil de conexión que engloba desde sign-in page, a la forma de autenticación, los roles, los recursos, las reglas de host-checker o la personalización de la web.
Dentro se configura:
-Las Authentication Policies.
-Host checker
-Evaluar las condiciones.
-Requerirlo y aplicarlo.

-Sing-in Pages (Puntos de entrada). Agrupados en Sing-in Policies de los cuales por defecto existen dos:
-Path de administración "http://x.x.x.x/admin"
-Path de entrada de los usuarios "http://x.x.x.x"
Pero pueden ser tan variados como queramos, permitiendo una asociación de realm por puntos de entradas. Eso implica separación por idioma, recursos publicados, países, o servidor de validación.
Un usuario solo puede entrar a un solo REALM.
-Tipos de tunelización disponibles.
-Client-less(Webification). Portal Web donde se publican las aplicaciones disponibles para ese realm. Acceso vía navegador.
-Network Connect. Modo tunel SSL emulando un cliente IPSEC clásico.
-JSAM-.Port forwarding por puerto. Queremos solo las conexiones a Citrix, de forma que localmente se escucha al localhost:3389, se encapsula y se envía. Javascript multiplataforma.
-WSAM. Port forwarding muy fléxible. Se puede interceptar puertos pero sobretodo útil a nivel de aplicación. Por ejemplo, se puede monitorizar el proceso iexplorer.exe, y todos los puertos que abra, se encapsulan y se envía. Es un active-X, limitado a Windows.
-Aplicaciones cliente-servidor integradas. Se puede inyectar texto en la aplicación cliente para emular un single-Sign-ON. Muy potente.
-End-point-Security(Host checker). Javascript para la pre/post-comprobaciones del cliente. Puedes comprobar el idioma del cliente, el navegador, si tiene un fichero abierto, los parches del sistema actualizados. Se suele utilizar para seleccionar el REALM adecuado para el usuario.

El log, con un simple click, vas haciendo queries. Muy práctico y potente.