Hola Edgarsoto,

Gracias por tu pregunta.

Para realizar el análisis, aquí te comento varias recomendaciones. Entre ellas, iniciar con realizar un levantamiento sobre los equipos y políticas aplicadas, a nivel de seguridad, es bueno utilizar un "framework" de referencia para utilizar pasos ya estandarizados. ITIL, COBIT, ISO27001, se pueden utilizar como referencia.

Luego de esto, para mitigar ataques, puedes utilizar agentes instalados en los dispositivos finales, estos monitorizan la actividad de los equipos y pueden evitar y/o reducir este tipo de evasión. Cisco como parte de su portafolio tiene multiples soluciones, como referencia, https://www.cisco.com/c/en_uk/products/security/security-reports.html?ccid=cc000739&oid=anrsc005679&dtid=odicdc001152#~more-reports.

También, y MUY importante tener en cuenta son los Cisco Validated Design, estos los considero clave para diseñar una infraestructura de seguridad resiliente. A continuación el enlace:

https://www.cisco.com/c/en/us/solutions/enterprise/design-zone-security/index.html

Luego de hacer las verificaciones correspondientes de los enlaces, favor de dejarnos saber si tienes pregunta adicional.

Elvin

Gracias por responder, otra prengunta, cualés son las causas por la cual ustedes hacen un análisis de red tanto interno como externo(Internet) y cuáles son los efectos de ese análisis, todo esto en un ambiente real o de producción, ya que, no puedo darmen una idea de que tan grande sea un proceso como ese o los problemas más comunes que muchos ingenieros de IT tienen...

Es una pregunta muy abierta. Puede ser que quieras optimizar la infrastructura de enrutamiento, y por ello necesites tener en cuenta multiples elementos. La red como entidad total incluye (entre muchos más) dispositivos finales, dispositivos intermediarios, servicios, etc. Por lo que dar una respuesta definitiva es complejo.

 

Ahora bien, tomemos como ejemplo OSPF, si en tu red existe este procolo y requirieras optimizar y asegurar tu infraestructura, deberás tomar en cuenta:

 

.Seguridad del ambiente de enrutamiento (autenticación)
.Tamaño de la base de datos (LSDB)
.Tiempo de ejecución de SPF
.Agrupación de LSA previo a correr SPF
.Tiempo de detección de fallas de vecinos

 

Como ves, hacer un análisis conlleva una cantidad de elementos considerable, dependiendo de los protocolos que existan en la red en cuestión. Existen diversas herramientas para esto, pero lo importante es que se tenga conocimiento de lo que se está analizando.

 

Saludos,

 

Elvin

Hola Jonathan Maldonado,

 

El comando passive-interface default tiene como función deshabilitar el procesamiento de mensajes (Hello, Update, Query, Reply, ACK) recibidos por todas las interfaces que estén habilitados con el proceso de enrutamiento. Esta función es clave cuando se requiere que EIGRP (o algún otro protocolo de enrutamiento, ya que passive-interface tiene similar función en casi todos los IGPs) no procese ningún mensaje de su plano de control (control plane) y y por consiguiente no forme adyacencias con otros vecinos.

 

Cabe resaltar que este comando no evita que el protocolo publique las rutas a vecinos si este tiene adyacencias formadas. Para visualizar un uso común de este comando, usemos el escenario donde existe un router que tiene 100 subinterfaces conectadas a una LAN, siendo las redes de estas interfaces publicadas,

 

R1--EIGRP (Adj)---R2 ---- (Gig1.[1-100]) ---- SWITCH ---- (VLANS).

 

Basados en esta topología, si hacemos passive-interface default, EIGRP suprimirá el procesamiento de los mensajes recibidos en las interfaces Gig1.1 - Gig1.100, por lo tanto un atacante conectado en una de las VLANs no podrá formar adyacencias con R2 y así lanzar un ataque de control-plane a EIGRP en esta red. La adyacencia de R1 y R2 estará sujeta a que el enlace que los conecta sí pueda procesar mensajes de EIGRP (adicionando no passive-interface <INT> en la interfaz que conecta R2 con R1). 

 

Como nota final, si lo que necesitas es evitar publicar rutas en EIGRP, mientras tienes adyacencias formadas con vecinos, puedes utilizar una especie de "pseudo passive-interface" de la siguiente manera:

 

R1--EIGRP (Adj)---R2 ---- (Gig1.[1-100]) ---- SWITCH ---- (VLANS).

 

R1

 

router eigrp 100

 network <LINK TO R2>

 

 

R2

 

access-list 1 deny

!

router eigrp 100

 network <LINK TO R1>

 passive-interface default

 no passive-interface <LINK TO R1>

 distribute-list 1 out

!

end

 

/

 

Con estos comandos, podrás tener el mismo efecto que al inicio, pero con la adición de poder filtrar las rutas hacia R2 mediante el uso de un distribute-list, esto es llamado pseudo passive-interface.

 

Saludos,

 

Elvin

Hola Jonathan Maldonado,

En OSPF(v2), este comando (area <AREA ID> authentication message-digest) habilita la autenticación tipo 2 (MD5) para una área en particular.

Una vez este comando esté habilitado, debes de agregar los key/passwords a las interfaces que corresponden al área, la secuencia es la siguiente:

1. Habilitar autenticación de OSPF en el área

router ospf 1
area <AREA ID> authentication message-digest

2. Indicar el key/password en la interfaz

interface gig1.100
ip ospf message-digest-key 1 md5 cisco

/

Elvin

Hola rodrigo.fuenzalida.rojas,

 

Hast intentado verificar el manual de password recovery?

 

Tal vez el equipo tenga una contraseña preconfigurada. Puedes hacer referencia a este manual, https://www.cisco.com/c/en/us/td/docs/switches/lan/cisco_ie3010/software/release/12-2_53_ez/configuration/guide/ie3010scg/swtrbl.html#wp1021182.

 

Elvin

Hola @Jeqy-37 

Gracias por extender tu duda, esta sesión se enfoca a protocolos de enrutamiento dinámico.

Sin embargo, hemos colocado la duda en la categoría de “Seguridad” de la comunidad para que expertos en el área puedan asistirte: https://community.cisco.com/t5/discusiones-seguridad/bd-p/5626-discusiones-seguridad

**¿Cómo calcula EIGRP la distancia cuando se redistribuye una ruta BGP?

-La métrica desde cualquier origen de enrutamiento (excluyendo EIGRP e IGRP) hacia EIGRP es infinita, por lo que EIGRP no tiene manera de interpretar y configurar la métrica de una ruta redistribuida de otros protocolos.

Para esto, se necesita una métrica base (seed metric) que se configura en:

.Route-map:

route-map EIGRP_SEED permit 10
set metric 100000 1 255 1 1500
!

.Punto de redistribución:

router eigrp 1
redistribute bgp 1 metric 100000 1 255 1 1500
!

.Global en el protocolo:

router eigrp 1
default-metric 100000 1 255 1 1500
!

(En modo nombrado, la configuración se ingresa dentro de "topology base").

Ten en cuenta que el panorama de redistribución en EIGRP cambia un poco en entornos MPLS (L3VPN) ;).

¿Qué atributos de BGP podrían afectar una ruta seccionada en EIGRP cuando una ruta BGP es redistribuida en EGRIP?

En su estado puro, ningún atributo afecta la redistribución de BGP a EIGRP, a menos de que haya una política mediante un route-map que indique que la ruta no se redistribuya. Como la redistribución sucede desde la tabla de enrutamiento (RIB), la ruta deberá estar instalada en la RIB y exista un seed metric en EIGRP, la ruta se inyecta en la base de datos de EIGRP.

Nota que en EIGRP nombrado, existe un caso en el cual una ruta, debido a que tiene un seed metric muy alto, no podría ser instalada en la tabla de enrutamiento, esto es debido a una discrepancia que existe en los valores que soporta EIGRP nombrado en su métrica (64-bits) vs. la RIB (32-bits).

El problema se manifiesta de la siguiente manera:

R1 y R2 están directamente conectados, EIGRP está habilitado. R1 redistribuye una ruta conectada (puede ser de BGP también, el problema sería exactamente el mismo).

R1#show ip route 11.11.11.11
Routing entry for 11.11.11.11/32 <<<
Known via "connected", distance 0, metric 0 (connected, via interface)
Redistributing via eigrp 100, bgp 1
Advertised by eigrp 100 metric 1 1 1 1 1
bgp 1 route-map X
Routing Descriptor Blocks:
* directly connected, via Loopback11
Route metric is 0, traffic share count is 1

2. R1 redistribuye la ruta conectada hacia EIGRP.

router eigrp X
!
address-family ipv4 unicast autonomous-system 100
!
topology base
redistribute connected metric 1 1 1 1 1 <<<
exit-af-topology
network 12.0.0.1 0.0.0.0
exit-address-family

3. La ruta es ingresada en la tabla topológica de R1 y R2:

R1#show ip eigrp topology 11.11.11.11/32
EIGRP-IPv4 VR(X) Topology Entry for AS(100)/ID(150.1.1.1) for 11.11.11.11/32
State is Passive, Query origin flag is 1, 1 Successor(s), FD is 655360655360
Descriptor Blocks:
0.0.0.0, from Rconnected, Send flag is 0x0
Composite metric is (655360655360/0), route is External
Vector metric:
Minimum bandwidth is 1 Kbit
Total delay is 10000000 picoseconds
Reliability is 1/255
Load is 1/255
Minimum MTU is 1
Hop count is 0
Originating router is 150.1.1.1
External data:
AS number of route is 0
External protocol is Connected, external metric is 0
Administrator tag is 0 (0x00000000)

R2#show ip eigrp topology 11.11.11.11/32
EIGRP-IPv4 VR(X) Topology Entry for AS(100)/ID(150.1.2.2) for 11.11.11.11/32
State is Passive, Query origin flag is 1, 0 Successor(s), FD is Infinity, RIB is 4294967295
Descriptor Blocks:
12.0.0.1 (Ethernet0/1.12), from 12.0.0.1, Send flag is 0x0
Composite metric is (655426191360/655360655360), route is External
Vector metric:
Minimum bandwidth is 1 Kbit
Total delay is 1010000000 picoseconds
Reliability is 1/255
Load is 1/255
Minimum MTU is 1
Hop count is 1
Originating router is 150.1.1.1
External data:
AS number of route is 0
External protocol is Connected, external metric is 0
Administrator tag is 0 (0x00000000)

/

4. Cuando verificamos la tabla de enrutamiento de R2, no veremos la ruta.

R2#show ip route 11.11.11.11
% Network not in table

¿Por qué?

La razón de esto es debido a la FD, si observas, esta en "Infinity", aunque le hayamos puesto la seed metric en R1, R2 la ve como infinita, porque la seed metric es de valor muy bajo, y el valor de la métrica resultante es muy alto, excediendo 2^32 de la RIB, por lo que no se podrá instalar. Para arreglar este problema podríamos:

1. Configurar valores con mayor preferencia en la seed metric en R1.
2. Ajustar el metric rib-scale en R2.

Procedamos con el paso 2.

R2:

router eigrp X
!
address-family ipv4 unicast autonomous-system 100
!
metric rib-scale 255

.

R2#show ip eigrp topology 11.11.11.11/32
EIGRP-IPv4 VR(X) Topology Entry for AS(100)/ID(150.1.2.2) for 11.11.11.11/32
State is Passive, Query origin flag is 1, 1 Successor(s), FD is 655426191360, RIB is 2570298789
Descriptor Blocks:
12.0.0.1 (Ethernet0/1.12), from 12.0.0.1, Send flag is 0x0
Composite metric is (655426191360/655360655360), route is External
Vector metric:
Minimum bandwidth is 1 Kbit
Total delay is 1010000000 picoseconds
Reliability is 1/255
Load is 1/255
Minimum MTU is 1
Hop count is 1
Originating router is 150.1.1.1
External data:
AS number of route is 0
External protocol is Connected, external metric is 0
Administrator tag is 0 (0x00000000)

.

R2#show ip route 11.11.11.11
Routing entry for 11.11.11.11/32
Known via "eigrp 100", distance 170, metric 2570298789, type external
Redistributing via eigrp 100
Last update from 12.0.0.1 on Ethernet0/1.12, 00:03:58 ago
Routing Descriptor Blocks:
* 12.0.0.1, from 12.0.0.1, 00:03:58 ago, via Ethernet0/1.12
Route metric is 2570298789, traffic share count is 1
Total delay is 1010 microseconds, minimum bandwidth is 1 Kbit
Reliability 1/255, minimum MTU 1 bytes
Loading 1/255, Hops 1

/End.

Saludos,

Elvin

Le agradecemos ingeniero Arias, nos ha ayudado mucho y se nos ha adelantado en dudas