0

Configuración básica SNMPv3 en Vyos

SNMPv3 en Vyos

He estado realizando modificaciones a la red, los cuales equipos monitoreados por SNMPv2 cambiarlos a SNMPv3 principalmente a los routers de borde que están más allá del firewall. Una de las debilidades de Vyos es que existe poca documentación al respecto, suerte que es un fork de Vyatta y podemos referenciarnos por la documentación de este último, pero no todos los comandos usados en Vyatta aplican para Vyos. En este post aprenderemos a configurar SNMPv3 en Vyos.

SNMPv3 es una mejora de SNMPv2 donde se realza el enfoque de seguridad, a diferencia de la versión 2 SNMP versión 3 agrega autenticación y encriptación de los datos que se transmite por este protocolo muy importante para equipos que quieren ser monitoreados y están al “Interperie” en lo que a la red se refiere.

.

¡Vamos a la obra! Para la configuración de Vyos debemos seguir los pasos:

  1. Crear un SNMP View
  2. Crear un Grupo SNMP
  3. Crear un Usuario y la Autenticación
  4. Agregar Usuario al Grupo SNMP

 

Crear SNMP view

El SNMP View indica cuales OID es permitido ver dentro del grupo SNMP, el comando para lograrlo es el siguiente:

set service snmp v3 view <Nombre view> oid <#oid>

ejemplos

set service snmp v3 view rootmib oid 1.3.6.1.2.1

Con este comando estoy agregando un View con el oid raíz del MIB-2 SNMP, lo quise hacer de esta manera por sencillez, se puede ser más granular dependiendo de tus necesidades. Para saber que oid quieres puedes buscar una aplicación y realizar un snmpwalk, o puedes visitar páginas que brindan información de mibs como alvestrand u oid-info.

Crear un Grupo SNMP

set service snmp v3 group <Nombre-grupo> seclevel <tipo-autenticación>

Ejemplo

set service snmp v3 group Grupo1 seclevel auth

Con este comando se crea el grupo llamado Grupo1 y con un el security level Authentication.

Necesitamos ahora agregar el view al grupo

set service snmp v3 group <Nombre-grupo> view <nombre-view>

ejemplo

set service snmp v3 group Grupo1 view rootmib

Este ejemplo agregamos el view rootmib al Grupo1

Crear un Usuario y la Autenticación

set service snmp v3 user <nombre-usr> auth plaintext-key <mi-key>

ejemplo

set service snmp v3 user fulano auth plaintext-key AuthP@ss

Creamos un usuario llamado fulano y establecemos autenticacion, notese que luego del commit Vyos encripta automáticamente el password. Por defecto Vyos utiliza MD5 para la autenticación.

Agregar Usuario al Grupo SNMP

set service snmp v3 user <nombre-usuario> group <nombre-grupo>

Ejemplo

set service snmp v3 user fulano group Grupo1

Finalmente agregamos el usuario fulano al Grupo1

Nunca olvides realizar tu respectivo “commit” para que se establezcan los cambios y “save

Nota: Nótese que después de realizar el commit todos los password en plaintext quedaj encriptados y genera automáticamente el “EngineId” necesario para el funcionamiento SNMPv3.

Algunos comando para verificación son

show snmp v3

show snmp group

Resumen

set service snmp v3 view rootmib oid 1.3.6.1.2.1

set service snmp v3 group Grupo1 seclevel auth

set service snmp v3 group Grupo1 view rootmib

set service snmp v3 user fulano auth plaintext-key AuthP@ss

set service snmp v3 user fulano group Grupo1

commit

Save

Más detalles configuración SNMPv3 lo puedes buscar en la documentación de Vyatta en la página de Brocade:

http://www1.brocade.com/downloads/documents/html_product_manuals/vyatta/vyatta_5400_manual/Remote%20Management/SNMP.5.18.html#1905657>

0

Cisco SPAN Y RSPAN

Muchas veces necesitamos monitorear el tráfico de un puerto especifico ya se para verificar que está pasando por ese puerto o para hacer un diagnóstico de un problema dado en la red de alguna aplicación específica, también como requerimiento de algunos appliances de monitoreo de red o proxy.

Que es SPAN Session

Por sus siglas en ingles Switched Port Analizer (SPAN), es una tecnología de los swiches Cisco cual permite que paquetes en un puerto origen (source port); ya sea paquetes entrantes o salientes, sean duplicados a un puerto destino (Destination Port) donde estará conectado un computador con el sniffer o aplicación de captura de paquetes como Wirelshark.

Por la naturaleza del swich, la comunicación entre dos nodos es única y ningún otro puerto en el switch recibe tráfico de la comunicación entre esos dos nodos, así como observamos en la figura 1

 

Figura 1

 

 

Con la funcionalidad de SPAN de los switches Cisco, es posible duplicar este tráfico a un puerto deseado como observamos en la figura 2, el tráfico que el computador A envía a al computador B es duplicado a un Puerto “C” el cual está conectado nuestro sniffer.

 

Figura 2

 

 

 

Terminología Básica

Antes de empezar para la configuración del SPAN sesión y RSPAN, debemos saber la terminología básica:

 

Ingress Traffic: Es el tráfico que  entra “ingresa” en una interfaz

Eggress Traffic: es el tráfico que sale ëgresa” de la interfaz

Source Span ports: son los puertos a ser monitoreados con la característica de SPAN

Source Span VLAN: Es la Vlan para ser monitoreada con la característica de SPAN

Destination Span Port: es el puerto que monitorea los Source Ports (puertos de origen), a este puerto es que se copiaran los datos que circulan en los puertos de origen.

Remote span VLAN: Es una vlan special utilizada para la session RSPAN esta transporta el trafico duplicado a través de varios Switches.

Figura 3

Como has podido notar también una Vlan puede ser monitoreada por la característica de SPAN J

 

Remote SPAN (RSPAN)

Remote SPAN nos permite monitorear uno o varios puertos o  vlans sin necesidad de que el puerto destino se encuentre en el mismo switch, esto es un alivio para los administradores de redes y seguridad que no tienen que trasladarse al edificio para realizar dicho procedimiento o instalar el equipo de monitoreo en dicha área.

Como podemos observar en la imagen, se utiliza una vlan especial llamada (remote SPAN Vlan) el cual transportara el trafico duplicado de los puertos seleccionados hacia el switch con el puerto destino


Figura 4

Después de la introducción vamos a nuestra receta. Para la configuración de SPAN necesitaremos lo siguiente en nuestro LAB

2 Switches Catalyst 2960 con vesion IOS 12.3 o superior

2 computadores

1 Wireshark o Software captura de paquetes de su preferencia que hará la función de Sniffer.

Debe tomar en consideración que las sintaxis de los comandos pueden variar según el modelo del switch y versión de IOS.

 

Configuración SPAN básica

En este primer ambiente configuraremos SPAN de manera local seleccionando 1 o varios puertos origen y el puerto destino.

Figura 5

  1. Primer lugar nos aseguramos que no exista ninguna sesión de monitoreo con el siguiente comando en el modo de configuración Global.

    no monitor sesion all

     

  2. Configuramos el puerto origen.

    monitor session 10 source interface fa0/10 both

    Con el comando establecimos el número de sesión 10 y que el origen será la interfaz fa0/10 y con la opcion “both” se selecciona el tráfico tanto de ingreso como egreso, si queremos agregar múltiples interfaces solo tenemos agregarlas en el mismo comando separados por coma.

  3. Configuramos el puerto destino

    monitor session 10 destination interface fa0/11

 

La configuración de tu Switch debe lucir más o menos así

monitor session 10 source interface fa0/10 both

monitor session 10 destination interface fa0/11

Con esto ya tenemos configurado el Puerto y deberíamos ver los paquetes que se está emitiendo en el puerto fa0/10. Con el comando show monitor session all deberás ver los puertos en monitor que configuraste en tu Switch.

La Función SPAN además que te permite monitorear puertos también te permite monitorear VLANs. Para lograr solo debes cambiar el comando el cual el source en vez de una interfaz sea una vlan.

monitor session 10 source vlan 30
both

monitor session 10 destination interface fa0/11

 

Configuración RSPAN

La configuración de RSPAN es muy sencilla, como explicamos anteriormente el trafico monitoreado utiliza una vlan especial para su funcionamiento. Tomando esto en cuenta procedemos a la configuración:

Figura 6

  1. Lo primero de que debemos hacer es crear una VLAN especial para el propósito de SPAN y designarla como RSPAN-VLAN,  debemos configurarla en ambos switches y deben tener el mismo número de VLAN

        Vlan 5

 RSPAN-VLAN

 

  1. procederemos a configurar nuestro puerto origen en el switch 1 que posee el puerto origen

                   monitor session 10 source interface fa0/10

 

  1. Nuestro destino del tráfico en el switch 1 será la vlan 5 especificado en el comando más abajo.

                  monitor session 10 destination remote vlan 5

 

  1. En el switch destino Switch2 configuramos el origen como la vlan designada a RSPAN, recuerde que debe de existir una vlan configurada como RSPAN VLAN en este Switch.

                  monitor session 10 source vlan 5

 

  1. Finalizamos Configurando el destination port en el puerto donde se encuentra nuestro sniffer.

                  monitor session 10 destination interface Fa0/11

Voila ya tenemos el ambiente listo para monitorear paquetes 😉

Existe mucha más información de esta funcionalidad puedes indagar más en la página de Cisco

Fuentes information:

 

Cisco. (n.d.). Catalyst 2940 Switch Software Configuration Guide. Retrieved from Cisco: http://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst2940/software/release/12-1_19_ea1/configuration/guide/2940scg_1/swspan.html

Singh, S. (2014, April 21). Catalyst Switched Port Analyzer (SPAN) Configuration Example. Retrieved 9 3, 2014, from Cisco: http://www.cisco.com/c/en/us/support/docs/switches/catalyst-6500-series-switches/10570-41.html

0

XPENOLOGY convierte Tu computador en un NAS

Desde hace varios meses andaba buscando una solución de NAS que pueda ser instalable en mi computador y que pueda ser gratuita para poder crear mi media server, Existen varios sistemas como son FreeNAS, OpenFiler, Unraid. Pero uno que me llamo la atención fue una solución recomendada por un amigo, XPEnology.

XPEnology simplemente es Synology (DMS) modificado para ser instalado en una máquina virtual o en un computador con hardware soportado, está en constante desarrollo y mantenimiento por la comunidad, lo Instale y realmente me encanto.

Synology (de ahora en adelante me referiré como Synology), posee muchas características, como son soporte ISCI, LUN interface, buena integración con soluciones de VMware, SHR (Synology Hibrid Raid), y una gran gama de plugins que extiende grandemente la funcionalidad de tu NAS.

Una de los principales características de Synology que me llamo la atención es SHR. Así como lo definen en su página web “Synology Hybrid RAID (SHR) es un sistema automatizado de gestión de RAID, diseñado para satisfacer las necesidades de una implementación sencilla de un volumen de almacenamiento. SHR permite uno o dos discos de redundancia, lo que significa que el volumen SHR puede sufrir la pérdida de hasta dos discos, y el volumen de datos estará disponible para su uso.” (Synology, 2014).

SHR a diferencia de un arreglo de Raid Común permite arreglos de discos de diferentes tamaños con el menor desperdicio de espacio. También si quieres actualizar los discos por otros de mayor tamaño solo necesitas actualizar 2 para que se refleje el crecimiento a diferencia de otros métodos de raid como Raid 5 que necesita actualizar todos los discos para reflejar el crecimiento. Las siguientes imágenes explican o:

Figura 1: Como SHR Maximiza el Rendimiento

Figura 2: Expansion del Volume HSR con disco mayores

Otra de las características que me llamo la atención es la cantidad de canales “Plugins” que soporta, puedes conseguir desde un Media server, hasta tu propio sistema de almacenamiento al igual que dropbox.

Con esta introducción vamos a proceder con la instalación de XPEnology.

  1. Primero que necesitas en un computador con procesador de arquitectura x86, yo utilicé los HP Microserver N40L. Esto servidores son económicos, de bajo consumo eléctrico, poseen 4 bahías para discos y son muy buenos para construir un NAS, perfecto para XPEnology.
  2. Una memoria USB.
  3. El programa Win32diskimager desde SourceForge.
  4. Archivos de Instalacion de XPEnology. La que instale fue la 4.3 de Trantor, existen la versión DMS 5 de Gnoboot, y la versión de Nanoboot.
  5. Synology Asistant desde Synology.

     

 

Figura 3: HP Microserver N40L

Las instrucciones más abajo es una traducción de la guía de instalación del foro XPEnology .

1.Descarga XPEnology desde foro XPEnolgy: viewforum.php?f=14 , la que utilize fue la version 4.3 build 3810.
2.Descomprime los archivos: synobot-xxx.img y XPEnology-xxxx.pat
3.Ejecuta Win32diskImager, y selecciona synobot-xxx.img y la memoria USB a escribir y presiona “Write” y espera a que finalice el proceso.

 

4.Conecta la memoria a tu computador que será el NAS Configura el BIOS para que el computador bootee siempre desde el USB como primer dispositivo.
5.Despues de instalar y abrir el Synology Assistant haz clic en “Search”, luego click derecho a tu servidor que encontrara y hacer click en “Install.”

6.Selecciona el archivo XPEnology-xxx.pat y haces click a next.

7.Conéctate a tu nuevo NAS

8.Disfruta de tu Nuevo NAS

Reinicia el DMS Y recuerda que debes dejar conectada la memoria USB debido a que XPEnolgy usa la memoria para bootear.

Ya tienes tu NAS listo e instalado para sacarle el jugo, puedes tener tus archivos accesibles desde la red e inclusive desde el internet y puedes montan tu propio media server o utilizarlo como Data Storage si tienes un servidor ESXi de Vmware,  yo estoy exprimiendo el mio J.