Seguridad y Redes

Tips & Video Tutoriales, Wifislax, VMware, GNS3, VirtualBox, CCNA, Cisco Routers & Switches, [ Programming ]

NetFlow - Monitorea los equipos de tu red

NetFlow es un protocolo de red desarrollado por Cisco Systems para recolectar información sobre tráfico IP. Netflow se ha convertido en un estándar de la industria para monitorización de tráfico de red, y actualmente está soportado para varias plataformas además de Cisco IOS y NXOS, como por ejemplo en dispositivos de fabricantes como Juniper, Enterasys Switches, y en sistemas operativos como Linux, FreeBSD, NetBSD y OpenBSD.

Existen varias diferencias entre la versión de implementación del Netflow original, por lo que algunas versiones incorporan algunos datos más, pero en líneas generales el Netflow básico envía al menos la siguiente información.
  • Dirección IP de origen.
  • Dirección IP de destino.
  • Puerto UDP o TCP de origen.
  • Puerto UDP o TCP de destino.
  • Protocolo IP.
  • Interfaz (SNMP ifIndex).
  • Tipo de servicio IP.

R1#configure terminal
R1(config)#interface fastethernet0/0
R1(config-if)#ip address 10.10.10.1 255.255.255.0
R1(config-if)#no shutdown
R1(config-if)#end
R1#

Configuración de SNMP y NetFlow
R1(config)#ip access-list standard ACL
R1(config-std-nacl)#permit host 10.10.10.10
R1(config-std-nacl)#exit

R1(config)#hostname RouterLocal

RouterLocal(config)#snmp-server community secreto rw ACL
RouterLocal(config)#snmp-server location Mexico
RouterLocal(config)#snmp-server contact delfirosales

RouterLocal(config)#interface fastEthernet0/0
RouterLocal(config-if)#ip flow egress 
RouterLocal(config-if)#ip flow ingress 
RouterLocal(config-if)#exit

RouterLocal(config)#ip flow-export version 9
RouterLocal(config)#ip flow-export destination 10.10.10.10 99
RouterLocal(config)#ip flow-export source fastEthernet0/0

RouterLocal(config)#service timestamps 
RouterLocal(config)#logging 10.10.10.10
RouterLocal(config)#ip domain name delfirosales.com
Comandos shows
RouterLocal#show ip cache flow
RouterLocal#show ip flow export
RouterLocal#show ip flow interface
RouterLocal#debug ip flow export


Configuración del NetFlow Collector

Hay varios colectores disponibles, algunos licenciados y otros libres, dependiendo de lo que necesites, con cualquier collector te será muy fácil generar el reporte de los top 10 terminales que consumen ancho de banda. Para esta practica se utilizo Real-Time NetFlow Analyzer de SolarisWinds para concentrar la información, analizarla y generar resportes.




Dynamic PAT en el Cisco ASA

El Cisco ASA soporta los siguientes tipos mas comunes de NAT.
  • Dynamic NAT: Traducción de muchos a muchos. Traduce las direcciones de origen en las interfaces de seguridad más altos en un rango de direcciones o pool a una interface menos segura para las conexiones salientes.
  • Dynamic PAT: Traducción de muchos a uno. Usualmente un pool de direcciones internas a una interface externa.
  • Static NAT: Traducción de uno a uno, entre una dirección IP en una interface más segura y otra interface menos segura (ejemplo internet) para así poder acceder a los host de una interface de mayor seguridad (ejemplo servidores web en la DMZ) sin exponer la dirección IP real del host en la interface de mayor seguridad.
  • Twice NAT: Permite definir origen y destino desde una sola regla. Son procesadas de acuerdo a la secuencia que fueron insertadas (sin diferenciar estáticos de dinámicos). Puede Referenciar objetos de tipo “network” y “service”.
Configuración Básica de NAT - ASA versión 8.4

Practica en GNS3
Topologia de red Dynamic PAT.

Lo primero es configurar las tres interfaces en el ASA. El segmento de la red ISP está conectada a la interface gigabitEthernet3 con la etiqueta de outside y nivel de seguridad 0. La red interna está conectada a la interface gigabitEthernet1 con etiqueta de nombre inside y con nivel de seguridad 100. El segmento DMZ, donde reside el WebServer está conectado a la interface gigabitEthernet2 del ASA y etiquetado con el nombre de dmz con nivel de seguridad 50.

Datos adicionales:

Interface inside: 192.168.0.1 y es default gateway para los host internos.
Interface dmz: 192.168.1.1 y es el default gateway para los host internos.
Interface outside: 198.51.100.100
Ruta de default: Next-Hop 198.50.100.101

Configuración de la Topología de Red

Configuración PC
Configuración WebServer
!
interface FastEthernet0/0
 ip address 192.168.1.100 255.255.255.0
!         
ip route 0.0.0.0 0.0.0.0 192.168.1.1
!

Configuración ISP
!
interface FastEthernet0/0
 ip address 198.51.100.101 255.255.255.0
 duplex auto
 speed auto
!
interface Serial1/1
 ip address 100.1.1.2 255.255.255.252
 serial restart-delay 0
!
ip route 50.50.50.0 255.255.255.0 100.1.1.1
ip route 89.89.89.0 255.255.255.248 198.51.100.100
ip route 192.168.0.0 255.255.255.0 198.51.100.100
!
Configuración R4
!
interface FastEthernet0/0
 ip address 50.50.50.1 255.255.255.0
 duplex auto
 speed auto
!
interface Serial1/1
 ip address 100.1.1.1 255.255.255.252
 serial restart-delay 0
!
ip route 89.89.89.0 255.255.255.248 Serial1/1
ip route 198.51.100.0 255.255.255.0 Serial1/1
!
Configuración R5
!
interface FastEthernet0/0
 ip address 50.50.50.17 255.255.255.0
 duplex auto
 speed auto
!         
ip route 0.0.0.0 0.0.0.0 50.50.50.1
!
line vty 0 5
 password cisco
 login
!
Configuración del ASA
!
interface GigabitEthernet1
 nameif inside
 security-level 100
 ip address 192.168.0.1 255.255.255.0 
!
interface GigabitEthernet2
 nameif dmz
 security-level 50
 ip address 192.168.1.1 255.255.255.0 
!
interface GigabitEthernet3
 nameif outside
 security-level 0
 ip address 198.51.100.100 255.255.255.0 
!
route outside 0.0.0.0 0.0.0.0 198.51.100.101 1
!

Configuración de Dynamic PAT en el ASA
CiscoASA# configure terminal
CiscoASA(config)# object network red-interna
CiscoASA(config-network-object)# subnet 192.168.0.0 255.255.255.0
CiscoASA(config-network-object)# nat (inside,outside) dynamic interface
CiscoASA(config-network-object)# exit

CiscoASA(config)# object network red-dmz
CiscoASA(config-network-object)# subnet 192.168.1.0 255.255.255.0
CiscoASA(config-network-object)# nat (dmz,outside) dynamic interface
CiscoASA(config-network-object)# end
CiscoASA#

Verificación.
Para verificar que está funcionando, volvemos a intentar realizando un telnet a la ip 50.50.50.17.



Habilitando el debug ip icmp para verificar el comportamiento y algunos comandos shows.
R5#debug ip icmp

CiscoASA# show xlate


CiscoASA# show nat detail
CiscoASA# show nat translated interface outside
CiscoASA# sh  local-host

Configuración de NTP con Autenticacion en un Router Cisco

NTP son las siglas de Network Time Protocol el cual nos permite sincronizar los dispositivos que funcionan en una red. Esto es muy importante ya que hay una gran variedad de servicios de red que se basan en la correcta sincronización de horarios de los servidores.

Para esto, el equipo realiza una referencia a un servidor de horario, que puede comparar y ajustar su fecha y la hora con otro servidor NTP publico en internet. El protocolo NTP utiliza el puerto UDP 123 para establecer la conexión con los servidores de horario. Es recomendable e importante configurar primero el protocolo NTP en los equipos de la nuestra red antes de implementar el protocolo estándar Syslog centralizado.

NTP en GNS3.

Configuración de un router Cisco para que sincronice la fecha y hora con un servidor de NTP público en internet.

Primero verificamos conectividad con el servidor NTP público en internet.
R1#ping pool.ntp.org
Translating "pool.ntp.org"...domain server (192.168.137.1) [OK]
 
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 132.248.30.3, timeout is 2 seconds:
!!!.!
Success rate is 80 percent (4/5), round-trip min/avg/max = 76/98/120 ms
R1#

Verificando conexión.
Configuración del Cliente NTP en R1.
R1#configure terminal
R1(config)#ntp server pool.ntp.org
Translating "pool.ntp.org"...domain server (192.168.137.1) [OK]
R1(config)#

Verificación.
R1#show clock detail
07:17:15.480 UTC Sun Mar 29 2015
Time source is NTP
 
R1#show ntp status
R1#show ntp associations


Verificación de NTP y comandos adicionales del estado de NTP.

Configuración en R2.
R2#configure terminal
R2(config)#ntp server 10.10.10.1
R2(config)#end
R2#
*Mar  1 00:14:15.523: %SYS-5-CONFIG_I: Configured from console by console
 
R2#show clock detail
.07:22:29.536 UTC Sun Mar 29 2015
Time source is NTP
R2#

NTP con Autenticación
R1#configure terminal
R1(config)#ntp authentication-key 1 md5 cisco
R1(config)#ntp authenticate
R1(config)#ntp trusted-key 1

Configuración de R2 como cliente NTP con autenticación.
R2#configure terminal
R2(config)#ntp authenticate
R2(config)#ntp authentication-key 1 md5 cisco
R2(config)#ntp trusted-key 1
R2(config)#ntp server 10.10.10.1 key 1

Syslog Server: Kiwi Syslog - Configuracion de un router Cisco

Si queremos enviar los mensajes de log a un servidor de Syslog (Syslog server) para poder administrar los logs del dispositivo de la red de una forma mas centralizada, podemos enviar los logs que se generan y para que los mensajes se envíen a un servidor.

Es importante que antes de implementar el almacenamiento del log en un Syslog Server, todos los dispositivos de la red estén sincronizados con la misma hora, día y fecha. Para esto debemos de configurar el protocolo Network Time Protocol (NTP) en los switches y routers. Si no sabes realizar esta configuración podras consultar la siguiente publicación sobre NTP Server.

Syslog Server en GNS3.

Para configurar a que el router envíe los logs al Syslog Server debemos ingresar el siguiente comando, loggin host ip_servidor o el comando loggin ip_servidor, indicando la dirección IP del Servidor de Syslog.

Router(config)#logging host 10.10.20.10

10.10.20.10 es el servidor de log.

Podemos limitar la cantidad de mensajes enviados al servidor syslog, según la gravedad con el comando logging trap para establecer el nivel de detalle de la información que será registrada en el log. En este caso es de nivel 7 (debugging) que es el nivel más alto. Niveles de mensajes de Syslog.

R1(config)# logging trap 7

Otro comando importante es el service timestamps, esta configuración es muy importante cuando estemos configurando el loggin porque con esto vamos habilitar que aparezcan los logs con la fecha y la hora en que se genera el log, por default no está habilitado y básicamente lo que hace es que si te pone el log pero no te dice a qué hora fue generado el log, entonces este comando es importante configurarlo en el router.

Router(config)#service timestamps

La segunda parte del procedimiento es efectivamente instalar un software servidor de Syslog en una PC Windows o Linux. Kiwi Syslog Server para Windows es una excelente opción, fácil de instalar y configurar.

Verificacion

R1#debug ip icmp 
ICMP packet debugging is on
R1#

R1#ping 10.10.20.10
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.10.20.10, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 4/50/148 ms
R1#

00:09:28: ICMP: echo reply rcvd, src 10.10.20.10, dst 10.10.20.1
00:09:28: ICMP: echo reply rcvd, src 10.10.20.10, dst 10.10.20.1
00:09:28: ICMP: echo reply rcvd, src 10.10.20.10, dst 10.10.20.1
00:09:28: ICMP: echo reply rcvd, src 10.10.20.10, dst 10.10.20.1
00:09:28: ICMP: echo reply rcvd, src 10.10.20.10, dst 10.10.20.1

R1#conf t
R1(config)#exit
R1#
*Mar  1 00:09:35.999: %SYS-5-CONFIG_I: Configured from console by console
R1#


Kiwi Syslog en Windows.

Así de simple podemos centralizar la administración del log en nuestra red y mejorar significativamente la respuesta a un posible incidente o ataque de seguridad que tengamos que enfrentar.

Syslog

El Syslog es enviar mensajes de información que puede ser a un router o a un servidor externo.

¿Para que nos va servir el Syslog?

El Syslog nos puede servir para sabes cual es la naturaleza de alguna ataque o amenaza de seguridad. También nos sirve de bastante para Troubleshooting y podemos correlacionar cualquier tipo de eventos, como por ejemplo.
  • Un intento de acceso con contraseña equivocada
  • Un acceso correcto al sistema
  • Anomalías: variaciones en el funcionamiento normal del sistema
  • Alertas cuando ocurre alguna condición especial
  • Información sobre las actividades del sistema operativo
  • Errores del hardware o el software
Por lo tanto, es vital la administración adecuada de esta información para mantener corriendo de manera estable una red y principalmente para poder mitigar las amenazas de seguridad a las que nos podamos ver expuestos.

Los logs también se pueden enviar a la consola (por default)
  • Al Logging Buffer del Router (por default)
  • A las Líneas VTY (Ingresando el comando terminal monitor)
  • A un Servidor de SNMP como puede ser un Cisco Works
  • A un servidor de Syslog.
Existe un Cliente y Servidor de Syslog.
  • El Syslog Client es el que envía los logs, es decir un router puede ser un cliente de Syslog.
  • Servidor Syslog es un aquel servidor que guarda todos los logs.
Syslog Levels.

La figura anterior muestra los niveles de Syslog que se tienen.
  • Nivel 0 son las Emergencias: Es cuando hay un error severo que hace que el sistema no sea usable
  • Nivel 1 son Alertas: Significa que requieren atención inmediata.
  • Nivel 2 Critica: Requiere atención para prevenir que haya interrupción en el servicio.
  • Nivel 3 Errores: Condiciones de errores en el Sistema.
  • Nivel 4 Warnings: Es cuando algo en específico falla.
  • Nivel 5 Notificaciones: Alerta sobre los cambios de estados.
  • Nivel 6 Información: Información detallada acerca de la operación normal.
  • Nivel 7 Debugging: Información detallada, comandos de debug, usualmente puede servir simplemente para troubleshooting.
Es importante saber que existen estos 8 niveles, que significa cada uno y como se llaman.

Iniciando un router se presentan varios log, ejemplo.
Press RETURN to get started!
*Mar  1 00:00:07.059: %LINEPROTO-5-UPDOWN: Line protocol on Interface VoIP-Null0, changed state to up
5 = Nivel 5
*Mar  1 00:00:07.059: %LINK-3-UPDOWN: Interface FastEthernet0/0, changed state to up
*Mar  1 00:00:07.063: %LINK-3-UPDOWN: Interface FastEthernet0/1, changed state to up
3 = Nivel 3
*Mar  1 00:00:07.287: %SYS-5-CONFIG_I: Configured from memory by console
*Mar  1 00:00:07.875: %SYS-5-RESTART: System restarted --
Cisco IOS Software, 3600 Software (C3660-IK9O3S-M), Version 12.4(13b), RELEASE SOFTWARE (fc3)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2007 by Cisco Systems, Inc.
Compiled Tue 24-Apr-07 21:18 by prod_rel_team
*Mar  1 00:00:07.887: %SNMP-5-COLDSTART: SNMP agent on host Router is undergoing a cold start
*Mar  1 00:00:08.059: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0, changed state to down
*Mar  1 00:00:09.299: %LINK-5-CHANGED: Interface FastEthernet0/1, changed state to administratively down

En el IOS de Cisco por default está configurado el log en la consola.

Servidor DHCP en el Cisco ASA

El Cisco ASA puede actuar como un servidor DHCP para distribuir dirección IP a los hosts finales que ejecutan servicios de un cliente DHCP. Esta característica es importante si usted tiene una pequeña sucursal que no posee un servidor DHCP dedicado. 


Para configurar el servidor DHCP a través de ASDM, ir a Configuración > Device Management > DHCP > DHCP server y seleccione la interface en la que desea habilitar los servicios DHCP.



Para configurar un ASA como un servidor DHCP, desde la línea de comandos.

Configuramos la interface inside.
CiscoASA# configure terminal
CiscoASA(config)# interface gigabitEthernet0 
CiscoASA(config-if)# nameif inside
INFO: Security level for "inside" set to 100 by default.
CiscoASA(config-if)# ip address 192.168.1.1 255.255.255.0
CiscoASA(config-if)# no shutdown 

Definir el conjunto de direcciones IP y asignar el pool a los usuarios internos.
CiscoASA(config)# dhcpd address 192.168.1.10-192.168.1.30 inside

Habilitar el servicio de servidor DHCP en la interface
CiscoASA(config)# dhcpd enable inside

Definir el nombre de dominio para los clientes DHCP.
CiscoASA(config)# dhcpd domain delfirosales

Definir un servidor de nombres de dominio (DNS.
CiscoASA(config)# dhcpd dns 192.168.1.50

Tiempo de concesión en segundos. El valor predeterminado es de 3600 segundos (1 hora).
CiscoASA(config)# dhcpd lease 7200



Para comprobar la configuración de DHCP, podemos utilizar el comando show dhcpd state para mostrar el estado actual de DHCP en  las interfaces internas y externas. El comando show dhcpd binding para visualizar los enlaces actuales de los usuarios internos y el comando show dhcpd statistics para mostrar las estadísticas de DHCP.

CiscoASA# show dhcpd state    
Context  Configured as DHCP Server
Interface inside, Configured for DHCP SERVER

CiscoASA# show dhcpd binding
IP address       Client Identifier        Lease expiration        Type
   192.168.1.10  0063.6973.636f.2d63.           7020 seconds    Automatic
                 3830.302e.3037.3734.
                 2e30.3030.302d.4661.
                 302f.30


Para borrar los enlaces de DHCP o estadísticas, utilice el comando clear dhcpd binding o clear dhcpd statistics.

CiscoASA# clear dhcpd binding
CiscoASA# clear dhcpd statistics

Cisco ASA & ASDM en GNS3

Herramientas:
Configuración de ASA en GNS3

Abrimos GNS3, nos vamos al menu
Edit > Preference > QEMU > ASA

RAM: 1024 MiB
Number de Nics: 6
Quemu Options: -vnc none -vga none -m 1024 -icount auto -hdachs 980,16,32

Initrd: C:\Program Files\GNS3\ios\IOS_ASA\asa842-initrd.gz
Kernel: C:\Program Files\GNS3\ios\IOS_ASA\asa842-vmlinuz

Kernel cmd line: -append ide_generic.probe_mask=0x01 ide_core.chs=0.0:980,16,32 auto nousb console=ttyS0,9600 bigphysarea=65536

Configuración de ASA en GNS3.

Topologia.
Iniciamos ASA
Loading hardware drivers...
Intel(R) PRO/1000 Network Driver - version 7.3.21-k3-NAPI
Copyright (c) 1999-2006 Intel Corporation.
e1000 0000:00:02.0: found PCI INT A -> IRQ 9
e1000 0000:00:02.0: sharing IRQ 9 with 0000:00:06.0
e1000: 0000:00:02.0: e1000_probe: (PCI:33MHz:32-bit) 00:ab:cd:92:52:00
e1000: eth0: e1000_probe: Intel(R) PRO/1000 Network Connection
e1000 0000:00:03.0: found PCI INT A -> IRQ 11
e1000: 0000:00:03.0: e1000_probe: (PCI:33MHz:32-bit) 00:00:ab:b1:0b:01
e1000: eth1: e1000_probe: Intel(R) PRO/1000 Network Connection
e1000 0000:00:04.0: found PCI INT A -> IRQ 9

e1000: 0000:00:04.0: e1000_probe: (PCI:33MHz:32-bit) 00:00:ab:d6:5c:02
e1000: eth2: e1000_probe: Intel(R) PRO/1000 Network Connection
e1000 0000:00:05.0: found PCI INT A -> IRQ 11
pci 0000:00:01.3: IRQ routing conflict: have IRQ 9, want IRQ 11
e1000: 0000:00:05.0: e1000_probe: (PCI:33MHz:32-bit) 00:00:ab:d1:82:03
e1000: eth3: e1000_probe: Intel(R) PRO/1000 Network Connection
e1000 0000:00:06.0: found PCI INT A -> IRQ 9
e1000 0000:00:06.0: sharing IRQ 9 with 0000:00:02.0
e1000: 0000:00:06.0: e1000_probe: (PCI:33MHz:32-bit) 00:00:ab:52:cb:04
e1000: eth4: e1000_probe: Intel(R) PRO/1000 Network Connection
e1000: 0000:00:07.0: e1000_probe: (PCI:33MHz:32-bit) 00:00:ab:b5:3f:05
e1000: eth5: e1000_probe: Intel(R) PRO/1000 Network Connection
e100: Intel(R) PRO/100 Network Driver, 3.5.23-k6-NAPI
e100: Copyright(c) 1999-2006 Intel Corporation
loaded.
Initializing random number generator... done.
Starting network...
e1000: eth0 NIC Link is Up 1000 Mbps Full Duplex, Flow Control: RX
device eth0 entered promiscuous mode
e1000: eth1 NIC Link is Up 1000 Mbps Full Duplex, Flow Control: RX
device eth1 entered promiscuous mode
e1000: eth2 NIC Link is Up 1000 Mbps Full Duplex, Flow Control: RX
device eth2 entered promiscuous mode
e1000: eth3 NIC Link is Up 1000 Mbps Full Duplex, Flow Control: RX
device eth3 entered promiscuous mode
e1000: eth4 NIC Link is Up 1000 Mbps Full Duplex, Flow Control: RX
device eth4 entered promiscuous mode
e1000: eth5 NIC Link is Up 1000 Mbps Full Duplex, Flow Control: RX
device eth5 entered promiscuous mode
Initializing partition -  hda: hda1
done!
mkdosfs 2.11 (12 Mar 2005)

System tables written to disk
dosfsck 2.11, 12 Mar 2005, FAT32, LFN
Starting check/repair pass.
Starting verification pass.
/dev/hda1: 0 files, 0/65463 clusters
dosfsck(/dev/hda1) returned 0
FAT: "posix" option is obsolete, not supported now
TIPC: Started in network mode
TIPC: Own node address <1 data-blogger-escaped-.1.1=".1.1">, network identity 1234
TIPC: Enabled bearer , discovery domain <1 data-blogger-escaped-.1.0=".1.0">, priority 10
msrif: module license 'Cisco Systems, Inc' taints kernel.
msrif module loaded.
Clocksource tsc unstable (delta = 117925313 ns)
grep: /mnt/disk0/.private/startup-config: No such file or directory
Starting Likewise Service Manager
Processor memory 650117120, Reserved memory: 62914560
WARNING: LINA Monitor notification queue not created
No such file or directory
IMAGE ERROR: An error occurred when reading the controller type

Total NICs found: 6
secstore_buf_fill: Error reading secure store -  buffer 0xddfffb08, size 0x14
key_nv_init: read returned error 1, len 129
L4TM: Unknown ASA Model

INFO: Unable to read firewall mode from flash
       Writing default firewall mode (single) to flash
Verify the activation-key, it might take a while...
Failed to retrieve permanent activation key.
Running Permanent Activation Key: 0x00000000 0x00000000 0x00000000 0x00000000 0x00000000
The Running Activation Key is not valid, using default settings:

Licensed features for this platform:
Maximum Physical Interfaces       : Unlimited      perpetual
Maximum VLANs                     : 100            perpetual
Inside Hosts                      : Unlimited      perpetual
Failover                          : Disabled       perpetual
VPN-DES                           : Disabled       perpetual
VPN-3DES-AES                      : Disabled       perpetual
Security Contexts                 : 0              perpetual
GTP/GPRS                          : Disabled       perpetual
AnyConnect Premium Peers          : 5000           perpetual
AnyConnect Essentials             : Disabled       perpetual
Other VPN Peers                   : 5000           perpetual
Total VPN Peers                   : 0              perpetual
Shared License                    : Disabled       perpetual
AnyConnect for Mobile             : Disabled       perpetual
AnyConnect for Cisco VPN Phone    : Disabled       perpetual
Advanced Endpoint Assessment      : Disabled       perpetual
UC Phone Proxy Sessions           : 2              perpetual
Total UC Proxy Sessions           : 2              perpetual
Botnet Traffic Filter             : Disabled       perpetual
Intercompany Media Engine         : Disabled       perpetual

This platform has an ASA 5520 VPN Plus license.

Cisco Adaptive Security Appliance Software Version 8.4(2)
_le_open: fd:4, name:eth0 ---Device eth0 (fd: 4) opened succesful!
_le_open: fd:8, name:eth1 ---Device eth1 (fd: 8) opened succesful!
_le_open: fd:9, name:eth2 ---Device eth2 (fd: 9) opened succesful!
_le_open: fd:10, name:eth3 ---Device eth3 (fd: 10) opened succesful!
_le_open: fd:11, name:eth4 ---Device eth4 (fd: 11) opened succesful!
_le_open: fd:12, name:eth5 ---Device eth5 (fd: 12) opened succesful!

  ****************************** Warning *******************************
  This product contains cryptographic features and is
  subject to United States and local country laws
  governing, import, export, transfer, and use.
  Delivery of Cisco cryptographic products does not
  imply third-party authority to import, export,
  distribute, or use encryption. Importers, exporters,
  distributors and users are responsible for compliance
  with U.S. and local country laws. By using this
  product you agree to comply with applicable laws and
  regulations. If you are unable to comply with U.S.
  and local laws, return the enclosed items immediately.

  A summary of U.S. laws governing Cisco cryptographic
  products may be found at:
  http://www.cisco.com/wwl/export/crypto/tool/stqrg.html

  If you require further assistance please contact us by
  sending email to export@cisco.com.
  ******************************* Warning *******************************

Copyright (c) 1996-2011 by Cisco Systems, Inc.

                Restricted Rights Legend

Use, duplication, or disclosure by the Government is
subject to restrictions as set forth in subparagraph
(c) of the Commercial Computer Software - Restricted
Rights clause at FAR sec. 52.227-19 and subparagraph
(c) (1) (ii) of the Rights in Technical Data and Computer
Software clause at DFARS sec. 252.227-7013.

                Cisco Systems, Inc.
                170 West Tasman Drive
                San Jose, California 95134-1706

config_fetcher: channel open failed
ERROR: MIGRATION - Could not get the startup configuration.
COREDUMP UPDATE: open message queue fail: No such file or directory/2

INFO: MIGRATION - Saving the startup errors to file 'flash:upgrade_startup_errors_201210220208.log'
Type help or '?' for a list of available commands.
ciscoasa>

Inicialización de ASA.

Configuración para utilizar ASDM

Para utilizar ASDM debemos configurar algunos parametros minimos como el habilitar la conexion HTTP y crear un usuario.
ciscoasa> enable
Password:
ciscoasa#
ciscoasa# show int ip brief
Interface                  IP-Address      OK? Method Status                Protocol
GigabitEthernet0           unassigned      YES unset  administratively down up
GigabitEthernet1           unassigned      YES unset  administratively down up
GigabitEthernet2           unassigned      YES unset  administratively down up
GigabitEthernet3           unassigned      YES unset  administratively down up
GigabitEthernet4           unassigned      YES unset  administratively down up
GigabitEthernet5           unassigned      YES unset  administratively down up
ciscoasa#
ciscoasa# configure terminal
ciscoasa(config)#

***************************** NOTICE *****************************

Help to improve the ASA platform by enabling anonymous reporting,
which allows Cisco to securely receive minimal error and health
information from the device. To learn more about this feature,
please visit: http://www.cisco.com/go/smartcall

Would you like to enable anonymous error reporting to help improve
the product? [Y]es, [N]o, [A]sk later:
ciscoasa(config)#
ciscoasa(config)# interface gigabitEthernet0
ciscoasa(config-if)# ip address 192.168.2.1 255.255.255.0
ciscoasa(config-if)# no shutdown
ciscoasa(config-if)# nameif management
INFO: Security level for "management" set to 0 by default.
ciscoasa(config-if)# http server enable
ciscoasa(config)#
ciscoasa(config)# http 192.168.2.2 255.255.255.255 management
ciscoasa(config)# username delfirosales password cisco privilege 15
ciscoasa(config)# end
ciscoasa#

Configuración básica para utilizar ASDM.

Realizamos una prueba de conectividad con la interface Loopback de nuestra PC que tiene la direccion IP 192.168.2.2
ciscoasa# ping 192.168.2.2
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.2.2, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/10 ms

Tenemos conexion ahora configuramos el TFTP, en mi caso Solarwins que tiene una carpeta por default llamada TFTP-Root donde copiaremos el archivo ASDM asdm-645.bin

Copiar ASDM desde el Servidor TFTP

ciscoasa# copy tftp: flash:
Address or name of remote host []? 192.168.2.2
Source filename []? asdm-645.bin
Destination filename [asdm-645.bin]?
Accessing tftp://192.168.2.2/asdm-645.bin...!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Writing current ASDM file disk0:/asdm-645.bin
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

Comienza el proceso de copiado de ASDM.

!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
16280544 bytes copied in 100.60 secs (162805 bytes/sec)
ciscoasa# conf t
ciscoasa(config)# dir

Directory of disk0:/

2      drwx  4096         02:08:09 Oct 22 2012  log
9      drwx  4096         02:08:14 Oct 22 2012  coredumpinfo
11     -rwx  196          02:08:14 Oct 22 2012  upgrade_startup_errors_201210220208.log
12     -rwx  16280544     02:17:56 Oct 22 2012  asdm-645.bin

268136448 bytes total (251813888 bytes free)



Al finalizar el copiado verificamos.

Especificamos el archivo imagen de ASDM. Una vez que hemos especificado el archivo de imagen ASDM, puede utilizar el comando show asdm image para ver la ubicación y nombre del archivo.
ciscoasa(config)#
ciscoasa(config)# asdm image flash:asdm-645.bin
ciscoasa(config)# end
ciscoasa# wr
Building configuration...
Cryptochecksum: 83e572a4 edd8be50 3a7df498 7eef42ca

2376 bytes copied in 1.50 secs (2376 bytes/sec)
[OK]
ciscoasa#

Acceso al ASDM

Despues habrimos un navegador web para acceder al ASDM por primera vez. En la siguiente imagen se muestra accesando al ASDM.

Accesando al ASDM

La pagina nos muestra tres opciones.

Install ASDM Launcher and Run ASDM: El launcher y ASDM se ejecutaran como aplicaciones nativas desde la PC sin necesidad de un navegador web.

Run ASDM: Ejecutara ASDM desde el navegador web como una aplicación Java.

Run Startup Wizard: ASDM iniciará un asistente que nos guiará a través de la configuracion inicial de ASA,
si aún no se ha hecho.

La primera opcion es la mas comun y se debe realizar solo una vez. Ya que tengamos instalado Cisco ASDM-IDM Launcher en nuestra PC ya podremos ejecutar la aplicacion directamente para iniciar una sesion ASDM. La primera opción es la opción más común y se debe hacer sólo una vez. Después de la aplicación Launcher está instalado, puede ejecutarlo directamente para iniciar una sesión de ASDM.

Para iniciar una sesion ejecutamos esta aplicacion el cual nos pedirá la direccion IP, nombre de usuario y contraseña. La dirección IP será almacenada en memoria caché para que la proxima vez que queramos iniciar sesion podamos elegirla de nuevo.

Aplicacion ASDM Launcher

Una vez que lanzamos esta aplicación se conecta al ASA correctamente y con esto ya tenemos ASDM listo para trabajar.

Usando Cisco Discovery Protocol (CDP)

El Cisco Discovery Protocol (CDP) es muy útil cuando se configura una amplia variedad de equipos cisco. Nos permite ver los protocolos configurados en los routers, las direcciones que tienen, así como las versiones de IOS corriendo en los routers o switches y todo esto sin necesidad de conocer las contraseñas de los dispositivos conectados. En resumen, la información que descubre CDP es la siguiente.
  • Nombre del Dispositivo
  • El Puerto o interface en la que esta recibiendo el paquete CDP
  • Tipo de Puerto
  • El modelo del dispositivo Cisco
  • Versión del IOS
  • Lista de direcciones
  • Información sobre VLANs
CDP esta habilitado por defecto en la mayoría de las interfaces, hay algunas excepciones como en las interfaces ATM. Este protocolo detecta automáticamente los dispositivos Cisco vecinos que están conectados directamente. El siguiente comando se utiliza para habilitar CDP a nivel global.
Router1(config)#cdp run
Ejemplo de la utilización de CDP en una red pequeña.

Red Pequeña.
Ejemplo de comandos CDP en el SW2.
SW2#show cdp ?
entry      Information for specific neighbor entry
interface  CDP interface status and configuration
neighbors  CDP neighbor entries
traffic    CDP statistics
|          Output modifiers
Con el comando show cdp neighbors podemos obtener un resumen de la información sobre los dispositivos vecinos que están ejecutando CDP.
SW2#show cdp neighbors
Capability Codes: R - Router, T - Trans Bridge, B - Source Route Bridge
S - Switch, H - Host, I - IGMP, r - Repeater

Device ID        Local Intrfce     Holdtme    Capability  Platform  Port ID
Router1          Fas 1/1            167           R       7206VXR   Fas 0/0
SW1              Fas 1/0            153         R S I     3725      Fas 1/1
Como podemos ver este comando nos muestra el nombre y el tipo de dispositivo de los equipos conectados, incluyendo el modelo. También muestra que puertos por las cuales estamos recibiendo los paquetes CDP y los puertos de los dispositivos vecinos por los cuales se envían los paquetes.

Para obtener información mas datallada de los dispositivos conectados.
SW2#show cdp neighbors detail
-------------------------
Device ID: Router1
Entry address(es):
IP address: 192.168.1.3
Platform: Cisco 7206VXR,  Capabilities: Router
Interface: FastEthernet1/1,  Port ID (outgoing port): FastEthernet0/0
Holdtime : 130 sec

Version :
Cisco IOS Software, 7200 Software (C7200-JK9O3S-M), Version 12.4(17), RELEASE SOFTWARE (fc1)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2007 by Cisco Systems, Inc.
Compiled Sat 08-Sep-07 01:37 by prod_rel_team

advertisement version: 2
Duplex: full

-------------------------
Device ID: SW1
Entry address(es):
IP address: 192.168.1.1
Platform: Cisco 3725,  Capabilities: Router Switch IGMP
Interface: FastEthernet1/0,  Port ID (outgoing port): FastEthernet1/1
Holdtime : 175 sec

Version :
Cisco IOS Software, 3700 Software (C3725-ADVENTERPRISEK9-M), Version 12.4(15)T5, RELEASE SOFTWARE (fc4)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2008 by Cisco Systems, Inc.
Compiled Wed 30-Apr-08 18:27 by prod_rel_team

advertisement version: 2
VTP Management Domain: ''
Native VLAN: 1
Duplex: full
Obtener información especifica del R1.
SW2#show cdp entry Router1
-------------------------
Device ID: Router1
Entry address(es):
IP address: 192.168.1.3
Platform: Cisco 7206VXR,  Capabilities: Router
Interface: FastEthernet1/1,  Port ID (outgoing port): FastEthernet0/0
Holdtime : 139 sec

Version :
Cisco IOS Software, 7200 Software (C7200-JK9O3S-M), Version 12.4(17), RELEASE SOFTWARE (fc1)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2007 by Cisco Systems, Inc.
Compiled Sat 08-Sep-07 01:37 by prod_rel_team

advertisement version: 2
Duplex: full
El comando show cdp interface nos muestra el estado de las interfaces del Router o los puertos del Switch.
SW2#show cdp interface
FastEthernet0/0 is up, line protocol is up
Encapsulation ARPA
Sending CDP packets every 60 seconds
Holdtime is 180 seconds
FastEthernet0/1 is up, line protocol is up
Encapsulation ARPA
Sending CDP packets every 60 seconds
Holdtime is 180 seconds
FastEthernet1/0 is up, line protocol is up
Encapsulation ARPA
Sending CDP packets every 60 seconds
Holdtime is 180 seconds
FastEthernet1/1 is up, line protocol is up
Encapsulation ARPA
Sending CDP packets every 60 seconds
Holdtime is 180 seconds
FastEthernet1/2 is up, line protocol is down
Encapsulation ARPA
Sending CDP packets every 60 seconds
Holdtime is 180 seconds
FastEthernet1/3 is up, line protocol is down
Encapsulation ARPA
Sending CDP packets every 60 seconds
Holdtime is 180 seconds
FastEthernet1/4 is up, line protocol is down
Encapsulation ARPA
Sending CDP packets every 60 seconds
Holdtime is 180 seconds
FastEthernet1/5 is up, line protocol is down
Encapsulation ARPA
Sending CDP packets every 60 seconds
Holdtime is 180 seconds
FastEthernet1/6 is up, line protocol is down
Encapsulation ARPA
Sending CDP packets every 60 seconds
Holdtime is 180 seconds
FastEthernet1/7 is up, line protocol is down
Encapsulation ARPA
Sending CDP packets every 60 seconds
Holdtime is 180 seconds
FastEthernet1/8 is up, line protocol is down
Encapsulation ARPA
Sending CDP packets every 60 seconds
Holdtime is 180 seconds
FastEthernet1/9 is up, line protocol is down
Encapsulation ARPA
Sending CDP packets every 60 seconds
Holdtime is 180 seconds
FastEthernet1/10 is up, line protocol is down
Encapsulation ARPA
Sending CDP packets every 60 seconds
Holdtime is 180 seconds
FastEthernet1/11 is up, line protocol is down
Encapsulation ARPA
Sending CDP packets every 60 seconds
Holdtime is 180 seconds
FastEthernet1/12 is up, line protocol is down
Encapsulation ARPA
Sending CDP packets every 60 seconds
Holdtime is 180 seconds
FastEthernet1/13 is up, line protocol is down
Encapsulation ARPA
Sending CDP packets every 60 seconds
Holdtime is 180 seconds
FastEthernet1/14 is up, line protocol is down
Encapsulation ARPA
Sending CDP packets every 60 seconds
Holdtime is 180 seconds
FastEthernet1/15 is up, line protocol is down
Encapsulation ARPA
Sending CDP packets every 60 seconds
Holdtime is 180 seconds
Para obtener el trafico que esta generando CDP, como los paquetes CDP enviados y recibos.
SW2#show cdp traffic
CDP counters :
      Total packets output: 84, Input: 38
      Hdr syntax: 0, Chksum error: 0, Encaps failed: 0
      No memory: 0, Invalid packet: 0, Fragmented: 0
      CDP version 1 advertisements output: 0, Input: 0
      CDP version 2 advertisements output: 84, Input: 38
Mediante el uso de CDP podemos recopilar toda esta información para solucionar problemas en la red pero también lo recomendable es deshabilitar CDP en aquellas interfaces donde están conectados otros dispositivos que no sean de nuestra confianza ya que algún usuario malintencionado podría extraer toda esta información y podría causar problemas en la red. Para deshabilitar CDP utilizar el siguiente comando.
Router1(config)#no cdp run
También podemos deshabilitar CDP en las interfaces mediante el comando "no cdp enable".
SW2(config)#interface FastEthernet0/1
SW2(config-if)#no cdp enable
Para ver la configuración global de CDP se utiliza el siguiente comando.
SW2#show cdp
Global CDP information:
       Sending CDP packets every 30 seconds
       Sending a holdtime value of 240 seconds
       Sending CDPv2 advertisements is not enabled
Como se puede ver aqui el router tiene la configuracion por defecto para enviar paquetes CDP cada 60 segundos y el holdtime cada 180 segundos. Para ajustar estos parametros en el router se realiza con los siguientes comandos.
SW2(config)#cdp timer 30
SW2(config)#cdp holdtime 240
Como he mencionado antes, lo recomendable es deshabilitar CDP en aquellas interfaces en las cuales están conectadas directamente a internet o cualquier otro sitio en la cual no confiamos. En otro post veremos mas temas sobre configuraciones en los equipos cisco.

Configuraciones Básicas de un Router o Switch Cisco

En este post se mostrara como realizar las siguientes configuraciones básicas de un Router Cisco.
  • Configurar un Nombre al Router
  • Configurar los Passwords
  • Proteger los Puertos de Consola y el Auxiliar
  • Configurar un Banner
  • Encriptar Passwords
  • Como guardar la Configuración
También quiero mencionar que los comandos que se utilizaran para configurar el Router son los mismos para un Switch Cisco.

Configurarle un Nombre al Router

Para configurarle un nombre al router se utiliza el comando hostname.

Escribimos enable para entrar a Modo Privilegiado (Privilege Exec Mode)
Router> enable
Escribimos Configure Terminal para entrar a Modo de Configuración Global (Global Configuration Mode)
Router# configure terminal
Una vez en configuración global escribimos el comando hostname y el nombre del router.
Router(config)# hostname nombredelrouter
Ejemplo
Router>
Router> enable
Router# configure terminal
Enter configuration commands, one per line.  End with CNTL/Z.
Router(config)# hostname delfirosales
delfirosales(config)#

Configuración de las Contraseñas

Son cinco las contraseñas que se utilizan para asegurar nuestros router Cisco.
  1. Consola
  2. Auxiliar
  3. Telnet (vty)
  4. Enable Password
  5. Enable Secret
El enable secret y enable password se utilizan para asegurar con una contraseña al modo privilegiado. Esto hará que un usuario escriba el comando enable le pida una contraseña y así entrar a modo privilegiado. Los otros tres se utilizan para configurar una contraseña cuando el modo de usuario (User Exec Mode) se accede a través del puerto de consola, a través del puerto auxiliar o a través de Telnet.

Enable Password y Enable Secret

Para habilitar el enable password y el enable secret tenemos que estar en modo de configuración global, como se muestra a continuación.
delfirosales# configure terminal
Enter configuration commands, one per line.  End with CNTL/Z.
delfirosales(config)# enable ?
last-resort Define enable action if no TACACS servers respond
password    Assign the privileged level password
secret      Assign the privileged level secret
use-tacacs  Use TACACS to check enable passwords

delfirosales(config)# enable password delfirosales
delfirosales(config)# enable secret delfirosales
The enable secret you have chosen is the same as your enable password.
This is not recommended.  Re-enter the enable secret.
Hemos configurado los el enable password y enable secret, pero hemos recibido un mensaje en consola de que la contraseña utilizada para el enable password y enable secret es la misma, asi que lo recomendable es cambiarla, utilizar contraseñas diferentes.
delfirosales(config)# enable secret delfi
delfirosales(config)#
Configurar una contraseña al Puerto Auxiliar

Para configurar una contraseña al puerto auxiliar tenemos que estar en modo de configuración global.
delfirosales# configure terminal
Enter configuration commands, one per line.  End with CNTL/Z.
delfirosales(config)# line aux 0
delfirosales(config-line)# password passaux
delfirosales(config-line)# login
delfirosales(config-line)#
Configuara un Password para la Consola
delfirosales(config)# line console 0
delfirosales(config-line)# password passconsole
delfirosales(config-line)# login
delfirosales(config-line)#
Configurar un Password a Telnet

Para configurar un password a telnet necesitamos estar en modo de configuración global y utilizar el comando line vty. Todos los router que no estén ejecutando la edición Enterprise del IOS por defecto solo tienen cinco líneas vty, de la 0 a la 4. Pero si nuestro router esta ejecutando un IOS de la edición Enterprise, tendremos mas líneas vty. La mejor manera de averiguar el numero que tiene el router utilizaremos el signo de interrogación como se muestra a continuación.
delfirosales(config)# line vty ?
<0-1276>  First Line number

delfirosales(config)# line vty 0 1276
delfirosales(config-line)# password passtelnet
delfirosales(config-line)# login
delfirosales(config-line)#
Banners

Los banners son mensajes de advertencia que se muestran cuando alguien quiera establecer una sesión de telnet. Para configurar el banner mas utilizado, el banner MOTD (Message of the day) escribimos en consola el siguiente comando.

(config)# banner motd x Aquí el mensaje del Banner motd x
Por ejemplo
delfirosales(config)# banner motd x Prohibido el Acceso no Autorizado! x
Cerramos sesión y al tratar de iniciar una sesión nueva nos saldrá el mensaje motd como se muestra a continuación.
delfirosales(config)#
delfirosales(config)# ^Z
*Mar  1 00:45:21.963: %SYS-5-CONFIG_I: Configured from console by console
delfirosales# exit
Después de todo podemos comprobar con el comando show running-config que todo esté bien

Con el comando show running-config podremos ver todo lo que hemos configurado en el router, pero como se muestra la imagen las contraseñas del puerto auxiliar, la de consola y las de telnet se pueden ver claramente asi que tenemos que encriptarlas.

Encriptar los Passwords

Debido a que solo la contraseña de enable secret se encripta de forma predeterminada, tendremos que encriptar las contraseñas manualmente utilizando el comando service password-encryption desde configuración global.
delfirosales# config t
Enter configuration commands, one per line.  End with CNTL/Z.
delfirosales(config)# service password-encryption
Con este comando todas las contraseñas se encriptaran, tal como se muestra en la siguiente imagen.

Guardar la Configuración

Finalmente después de configurar nuestro router ahora toca guardar la configuración de la running-config a la startup-config.
delfirosales# copy running-config startup-config
Destination filename [startup-config]?
Building configuration...
[OK]
delfirosales#
En otro post veremos otras configuraciones de los equipos cisco. Saludos!

Interface Loopback + Cisco SDM (Security Device Manager) en GNS3

Este vídeo muestra como instalar una interface Loopback en Windows 7 y después realizar una conexión con un router simulado en GNS3. Tambien se muestra como configurar el router para poder acceder desde el Security Device Manager (SDM).

SDM (Security Device Manager) es una herramienta de configuración basada en el explorador web que simplifica la configuración y las funciones de seguridad de un router a través de asistentes de forma facil y rápida sin conocimientos de la interfaz de linea de comandos (CLI).

Comandos

Configurar una IP al Router y verifica el estado.
R1# configure terminal
R1(config)# interface FastEthernet0/0
R1(config-if)# ip address 192.168.1.6 255.255.255.0
R1(config-if)# no shutdown
R1(config-if)# exit
R1(config)# exit
R1# show ip interface brief
Habilitamos el HTTP en el Router y creamos un usuario con sus respectivos privilegios
R1# configure terminal
R1(config)# ip http server
R1(config)# ip http secure-server
R1(config)# username delfirosales password cisco123
R1(config)# username delfirosales privilege 15
R1(config)# ip http authentication local
R1(config)# exit
R1# wr
Probando la Conectividad.
R1# ping 192.168.1.5

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.1.5, timeout is 2 seconds:
.!!!!
Success rate is 80 percent (4/5), round-trip min/avg/max = 4/15/48 ms
Una vez probada la conectividad, podremos acceder al SDM desde el navegador.

Video Online
http://www.youtube.com/watch?v=8skBKbZzXP0

En este vídeo se muestra como instalar GNS3 en Windows 7, es el segundo vídeo de varios que quiero realizar para ayudar a los demás que tienen problemas con GNS3, después realizare algunos vídeos básicos sobre esta misma herramienta.

En resumen lo que se muestra en el video son los siguientes temas.
Video Online
http://www.youtube.com/watch?v=jdesSM5upAY

En este vídeo muestro cómo solucionar un defecto de GNS3 cuando se crean proyectos y éste no guarda el archivo de configuración inicial o startup_config de un router Cisco.

Video On-line:
http://www.youtube.com/watch?v=LQ0W0oOLKhk

Commandos
R1#show run
R1#show ip interface brief
R1#configure terminal
R1(config)#hostname delfirosales
delfirosales(config)#interface f0/0
delfirosales(config-if)#no shutdown
delfirosales(config-if)#ip address 192.168.1.1 255.255.255.0
delfirosales(config-if)#end
delfirosales#show ip int brief
delfirosales#wr

Este tutorial muestra cómo instalar GNS3 en linux, en la distribución de ubuntu en su versión 9.10, como se muestra en el post anterior. Tal como se describe en el vídeo, solo tenemos que seguir algunos pasos sencillos para poder instalar GNS3.
  • Descargar GNS3
  • Descargar el binario de Dynamips para Linux
  • Cambiar el permiso del binario de Dynamips para que se ejecute.
  • Iniciar GNS3 haciendo doble clic al archivo gsn3
  • Establecer la ubicación del binario de Dynamips en las preferencias de GNS3.
  • Añadir una imagen IOS
  • Crear un LAB
  • Entrar en el modo de emulación.
Espero les sirva.

Cisco Firewall Video Mentor

Acabo de ver una parte del vídeo de Cisco Firewall Video Mentor de la muy conocida editorial Cisco Press y lo veo muy interesante compartirlo.
Es un video que se refiere a los conceptos del firewall ASA y conceptos sobre FWSM en un Cisco 6500, es un video completo del laboratorio 7 gratis publicado en informIT donde el señor David Hucaby ( CCIE # 4594 ) te guía a través de los diferentes opciones de configuracion de las interfaces, incluido la seguridad, redundancia y vlans.

Pueden descargar el vídeo del siguiente enlace.
Lab 7: Failover in Action

Impresionante Lab.

No es mio jaja, es el laboratorio personal de Scott Morris, esta persona ha tenido 4 certificaciones CCIE y ademas de otras certificaciones como son.
  • Cisco Certified Internetwork Expert -- CCIE #4713 (R&S)
  • Cisco Certified Internetwork Expert -- CCIE #4713 (ISP-Dial)
  • Cisco Certified Internetwork Expert -- CCIE #4713 (Security)
  • Cisco Certified Internetwork Expert -- CCIE #4713 (Service Provider)
- Specialization in Cable/RF
  • Cisco Certified Design Professional -- CCDP (R&S)
  • Cisco Certified Security Professional -- CCSP
  • Cisco Cable Communications Specialist
  • Cisco IP Telephony Support Specialist
  • Cisco IP Telephony Design Specialist
  • Cisco Certified Network Associate -- WAN Switching
  • Cisco Certified Systems Instructor -- CCSI #21903
  • Microsoft Certified Systems Engineer (NT 4.0) #474812
  • Ortronics Certified Systems Installer +
  • Cisco Sales Expert - Enterprise
  • AVVID Certified SE/FE - IP Telephony
  • AVVID Certified SE/FE - Voice Access
  • Juniper Networks Certified Internet Specialist (JNCIS) #462
  • Juniper Networks Certified Internet Professional (JNCIP) #172
  • Juniper Networks Certified Internet Expert (JNCIE) #153
  • Juniper Networks Certified Internet Associate (JNCIA-J)
  • Juniper Networks Certified Instructor (JNCI) for M-Series and J-Series
  • NSA/CNSS INFOSEC Professional
  • TIA Convergence Technology Professional (CTP)
  • Certified Information Systems Security Professional -- CISSP #37445
  • CCIE Candidate - Design (passed written exam)
  • CCIE Candidate - Voice (passed written exam)
  • Will finish up CCVP requirements (two exams left)
El laboratorio le ha costado arriba de los 2 millones de dolares.

Todo lo que puedo decir es: Impresionante!!!!!! ;)

otro laboratorio famoso es el de Shane Z. Edelman.

Pequeño extracto del blog:
This site is dedicated to helping you in your pursuit of becoming a Cisco Certified Internetwork Expert in Routing & Switching, Voice, Security, Service Provider, and Storage. Through this blog you can submit questions to our expert instructors, Brian Dennis - Quintuple CCIE #2210, Scott Morris - Quad CCIE #4713, Brian McGahan – Triple CCIE #8593, Petr Lapukhov - Quad CCIE #16379, Anthony Sequeira - CCIE #15626, and Marvin Greenlee - Triple CCIE #12237. Check back daily as this blog will be updated frequently.

Instalación y Configuración de Dynamips/Dynagen

Dynamips es un emulador de equipos cisco que fue escrito por Christophe Fillot, que emula routers 1700, 2600, 3600, 3700, y 7200. Esto nos permitirá familiarizarnos mas con los comandos de los dispositivos cisco, y claro esta que este emulador no podra igualar a un router real, pero nos sera de mucha ayuda porque es una herramienta muy buena para las personas que quieran practicar y lograr las certificaciones como el CCNA/CCNP/CCIE o también para los administradores de redes cisco.

Dynamips esta escrito en Python y es compatible con cualquier plataforma como Linux, Mac OS X o Windows y lo mejor de todo es de código abierto y gratuito para descargar!!

Para poder ejecutar Dinamips primero debemos instalar las WinPcap, descargamos las librerias de su sitio web http://www.winpcap.org/ y también descargamos el Dynamips/Dynagen http://dynagen.org/.
Instalacion de WinPcap

Ejecutamos WinPcap, y nos saldrá la siguiente pantalla.
Una vez hecho lo anterior, nos aparecerá la siguiente imagen, solo damos clic en Next
Damos clic en I Agree.
Y comenzara a copiar los archivos necesarios para terminar la instalación.
Al final solo hacemos clic en Finish para terminar la instalación de WinPcap.

Instalación y configuración de Dynamips/Dynagen.

Ejecutamos Dynagen para comenzar la instalación, nos aparecerá la siguiente imagen de bienvenida, solo damos clic en Next.
En el siguiente paso nos aparecerá lo siguiente, y solo damos clic en I gree para seguir con la instalación.
En el siguiente paso hacemos clic en Install.
Una vez hecho lo anterior, automáticamente comenzara a copiar los archivos al disco duro.
Al terminar nos aparecerá lo siguiente, y solo damos clic en Finish para terminar la instalación de Dynagen.

Al terminar la instalación nos aparecerán en el escritorio las siguientes accesos directos.

Imágenes IOS(Internetwork Operating System)

Ahora toca copiar las imágenes IOS en la ruta de instalación de Dynagen/Dynamips y en la subcarpeta images, como se muestra en la siguiente imagen.
imagen IOS c7200-ik9s-mz.124-17a.bin copiada en la carpeta images de la instalacion de dynagen.
Ahora abrimos la carpeta del escritorio Dynagen Sample Labs y nos vamos a la carpeta simple1, en la carpeta nos encontraremos un archivo con el nombre de simple1.net, este archivo debemos modificarlo, y para eso damos clic derecho al archivo y seleccionamos Abrir con... y Seleccionamos el Blog de notas o cualquier editor de texto.
En el archivo simple1.net nos encontraremos lo siguiente. y en la parte seleccionada \Program Files\Dynamips\images\c7200-jk9o3s-mz.124-7a.image cambiamos la ruta por la imagen de nuestra imagen IOS, por ejemplo en mi caso, la imagen IOS lo tengo direccion, C:\Archivos de programa\Dynamips\images\c7200-ik9s-mz.124-17a.bin, esta direccion la agrego como se muestra en las siguientes dos imagenes.


Ruta de la imagen IOS

Iniciar el Laboratorio Virtual.

Para iniciar el laboratorio necesitamos ejecutar el archivo Dynamips Server, en nuestro escritorio podremos encontrar un acceso directo con el nombre de Dynamips Server, este acceso directo si lo ejecutamos lo que hara es iniciar el servidor, (Por defecto escucha en el puerto 7200) como se muestra en la siguiente imagen.
Ejecutando Dynamips Server.

Ahora nos dirigimos a la dirección C:\Archivos de programa\Dynamips\sample_labs\simple1 y hacemos doble clic en el archivo simple1.net, al hacer esto nos aparecerá lo siguiente.


Podemos ejecutar el comando List y veremos hay dos routers, R1 y R2. Ambos routers se está ejecutando en nuestra máquina local. R1 ligado al puerto TCP 2000, y R2 al puerto 2001.
Para iniciar la consola del R1 solo tecleamos telnet R1 o si queremos que sean todos tecleamos console /all, y se abrirán todas las ventanas de cada enrutador.


También notaremos como el procesamiento del CPU sube a casi el 100%, y para evitar esto es necesario generar un valor de idlepc el cual permite que los enrutadores virtuales no consuman recursos de nuestra maquina cuando no están ejecutando tareas. Para generar el valor de idlepc para el enrutador R1, debemos ejecutar lo siguiente.

=> idlepc get R1

Al ejecutar este comando bajara el procesamiento del CPU muy considerablemente.

Sin duda Dynagen tiene muchas ventajas ya que es un emulador, no un simulador como el packet tracer.

Espero que les sirva esta pequeña guía.

Referencias.

Using Dynamips for CCIE Lab Preparation on a PC
http://classroom.internetworkexpert.com/p27794135/

Dynamips / Dynagen Tutorial
http://dynagen.org/tutorial.htm