Port Aggregation (EtherChannel) @ CISCO

La escalabilidad en la capacidad de las redes LAN es un elemento crítico para la evolución de las mismas. En un área dominada por Ethernet se escala básicamente de 10 en 10: 10 Mbps, 100 Mbps, 1 Gbps…
Escalar en la capacidad de los enlaces Ethernet requiere actualización de hardware y esto es un costo significativo. Este es el lugar para el desarrollo e implementación de recursos como Port Aggregation, también conocido como EtherChannel.

EtherChannel es la tecnología propietaria de Cisco derivada de un desarrollo inicial de Kalpana (empresa de switching adquirida por Cisco) para dar respuesta a esta necesidad de escalabilidad y puesta de operación en los años ‘90.
Con el paso del tiempo dio lugar a la publicación por parte de la IEEE del estándar 802.3ad denominado Link o Port Aggregation.

Ambos protocolos no son compatibles entre sí,
uno es claramente estándar mientras el otro no,
sin embargo, muchas veces los términos EtherChannel, Port Aggregation y Link Aggregation se utilizan como sinónimos lo que puede dar lugar a confusiones.

Mecanismos de negociación
Hay 2 mecanismos básicos para la definición de un port-channel:

• Configuración estática.
• Negociación dinámica.
  Independientemente del protocolo elegido introduce carga de tráfico y demora en la inicialización de los puertos.
  - PAgP
    Es el protocolo propietario de Cisco.
  - LACP
    Es el protocolo estándar definido por la IEEE.

Link Aggregation Control Protocol

• Corresponde a la especificación IEEE 802.3ad.
• Permite agrupar varios puertos físicos en un único canal lógico.
• Permite la negociación automática del canal.
• Al ser estándar permite interoperabilidad entre fabricantes.
• Verifica la consistencia de configuración de los puertos y gestiona el agregado de enlaces los posibles fallos entre los 2 switches.
• Si se modifica la configuración de un puerto físico ese cambio se traslada automáticamente a los demás puertos físicos que forman el canal.
• Ambos dispositivos intercambian paquetes LACP sobre los puertos del canal.
• El switch con menos prioridad define cuáles son los puertos físicos que participan del canal.
• Los puertos son miembros activos del canal de acuerdo a su prioridad; menor valor de prioridad indica una prioridad más alta.
• Se pueden asociar hasta 16 enlaces físicos a un canal lógico, solamente 8 de esos enlaces serán activos de modo simultáneo.
• LACP permite 2 modos de operación:
  - Activo
    Se activa LACP incondicionalmente.
  - Pasivo
    Sólo se activa LACP si detecta otro dispositivo LACP.

Port Aggregation Protocol

• Proporciona servicios semejantes a los de LACP.
• Es un protocolo propietario de Cisco por lo que no permite interoperabilidad con otras marcas.
• Los paquetes se intercambian a través de los puertos que componen el canal.
• Se comparan las capacidades de los puertos y se establece el canal con aquellos puertos que tienen iguales características.
• Sólo se integran en el canal puertos con idéntica configuración de VLANs o troncales.
• Cuando se modifica uno de los puertos que componen el canal, se modifican automáticamente esos parámetros en todos los puertos del canal.
• No es compatible con LACP.
• PAgP presente 2 modos de operación:
  - Desirable
    Activa PAgP sin condiciones.
  - Auto
    Activa PAgP solamente si detecta en el otro extremo un dispositivo PAgP.

Estado de las interfaces de switches Cisco IOS @ CISCO

Una herramienta de diagnóstico esencial para quienes operan switches Cisco Catalyst son los comandos show que permiten verificar el estado operacional de las interfaces.
En este punto hay 2 comandos principales:

• show interfaces
  Este comando permite verificar el estado, configuración y estadísticas de operación de cada una de las interfaces físicas o lógicas del dispositivo.La primera línea del resultado que arroja para cada interfaz presenta el estado de operación de capa 1 y capa 2 de la interfaz. En el caso de interfaces Ethernet señala a continuación entre paréntesis una indicación adicional del estado de la interfaz.
• show interfaces status
• Comando que permite verificar de modo sintético y simple el estado operativo de cada interfaz. Es un comando propio de switches Catalyst, no está presente en routers.
• 
  

Otros comandos a utilizar en esta tarea:

• show ip interfaces brief
• show interfaces accounting
• show ipv6 interfaces
• show ipv6 interfaces brief
• show controllers

WiFi 6 @ Wireless

WiFi 6

Las redes inalámbricas avanzan en prestaciones a un ritmo acelerado. Ahora acaba de lanzarse un nuevo estándar que introduce nuevas mejoras y prestaciones: 802.11ax.
En consonancia con la aparición de dispositivos que soportan 802.11ax la Alianza WiFi ha lanzado la certificación correspondiente en correspondencia con su objetivo de asegurar la interoperabilidad y el acceso a las tecnologías disponibles.

Esta certificación está ahora también alineada con la nueva denominación que la Alianza WiFi ha adoptado para identificar las diferentes tecnologías inalámbricas disponibles. Esta es la calificación de "generaciones".

La calificación de generaciones
La propuesta de definir generaciones de tecnologías de acceso LAN inalámbrico tiene como propósito simplificar la forma en que aparece identificada cada tecnología en los dispositivos, sobre todo aquellos destinados al mercado hogareño.
Esta nueva convención se alinea con el modelo utilizado en la industria celular, que es de uso masivo, lo que simplifica su adopción.

Se espera que la nueva convención de nombres ayude a los usuarios a identificar fácilmente las tecnologías compatibles con su dispositivo o conexión.

¿Cuál es la correspondencia entre tecnología y generación?

• Wi-Fi 1 - IEEE 802.11b
• Wi-Fi 2 - IEEE 802.11g
• Wi-Fi 3 - IEEE 802.11a
• Wi-Fi 4 - IEEE 802.11n
• Wi-Fi 5 - IEEE 802.11ac
• Wi-Fi 6 - IEEE 802.11ax

Wi-Fi Generación 6
La tecnología asociada con la Generación 6 es la correspondiente al estándar IEEE 802.11ax recientemente aprobado.
Un análisis de 802.11ax merece un post aparte pero, sintetizando, entre sus características clave se puede mencionar:

• Tanto en el uplink como en el downlink se implementa OFDMA lo que mejora la eficiencia y reduce la latencia de la conexión en entornos de alta demanda.
• La implementación de MU-MIMO permite transmitir mayor cantidad de datos de modo simultáneo a múltiples dispositivos terminales.
• Con la mejora de beamforming se logran mayores tasas de transferencia a una misma distancia del AP, lo que mejora la capacidad de la red.
• La incorporación de 1024-QAM mejora el throughput lo que es importante en casos de requerimiento intensivo de ancho de banda.
• La incorporación de TWT mejora significativamente la duración de las baterías de los dispositivos.

Programas de certificación de última generación de la Alianza Wi-Fi

• Wi-Fi 6
  Última generación de conectividad inalámbrica.
  Wi-Fi 6 se basa en IEEE 802.11ax y ofrece velocidades más altas que las tecnologías anteriores en las bandas de 2.4 GHz y 5 GHz.
  El mayor rango, el mejor rendimiento en entornos donde muchos dispositivos compiten por el ancho de banda y la eficiencia energética mejorada de los dispositivos son características de Wi-Fi 6.
• Wi-Fi Certified WiGig
  Proporciona velocidades de varios Gbps para escenarios de línea de vista en la banda de 60 GHz.
  Permite una gran cantidad de usos para implementaciones que requieren gran ancho de banda.
  Tiene gran potencial para aplicaciones como la realidad aumentada y virtual (AR / VR) y servicios como la transmisión de HD.
• Wi-Fi Certified Vantage
  Conectividad inalámbrica optimizada para redes en centros de transporte, estadios, centros comerciales, etc.
  Permite a los usuarios mantenerse conectados y productivos mientras viajan.
  Las redes Wi-Fi Vantage ™ combinan conectividad de alto rendimiento, inteligencia de red y transiciones más suaves a medida que los usuarios atraviesan la red más amplia.
• Wi-Fi Certified WPA3
  Última generación de seguridad inalámbrica.
   WPA3 ™ proporciona protocolos de seguridad de vanguardia. Simplifica la seguridad, permite una autenticación más robusta, ofrece una mayor capacidad criptográfica y mantiene la fortalece de las redes de misión crítica.
• Wi-Fi HaLow
  Proporciona el largo alcance y la poca potencia necesaria para soportar aplicaciones de IoT como sistemas domésticos inteligentes que monitorean, protegen y controlan entornos domésticos, y dispositivos portátiles conectados para ayudar a monitorear la salud.

Verificación de enlaces troncales en switches Catalyst @ CISCO

La operación y mantenimiento de enlaces troncales en switches Cisco Catalyst, respecto de su operación específica como troncal, requiere también de herramientas a nivel del sistema operativo que permiten verificar y monitorear la operación de los enlaces troncales que operamos.
En este sentido Cisco IOS y Cisco IOS XE proporcionan una serie de comando show que aplican a este propósito:

• show interfaces status
• show interfaces trunk
• show interfaces switchport

show interfaces status
Se trata de un comando poco utilizado en el monitoreo de enlaces troncales que proporciona una rápida visibilidad de cuáles son los puertos que se encuentran operando en modo troncal.
No da mayor información sobre la operación.

Switch> show interfaces status

 Port   Name     Status     Vlan      Duplex Speed Type
 Fa0/1           disabled   routed      auto  auto 10/100BaseTX
 Fa0/2           disabled   routed      auto  auto 10/100BaseTX
 Fa0/3           disabled   routed      auto  auto 10/100BaseTX
 Fa0/4           disabled   routed      auto  auto 10/100BaseTX
 Fa0/5           disabled   routed      auto  auto 10/100BaseTX
 Fa0/6           connected  10        a-full a-100 10/100BaseTX
 Fa0/7           connected  10        a-full a-100 10/100BaseTX
 Fa0/8           connected  200       a-half a-100 10/100BaseTX
 Fa0/9           connected  trunk     a-full a-100 10/100BaseTX
 Fa0/10          disabled   routed      auto  auto 10/100BaseTX
 Fa0/11          disabled   routed      auto  auto 10/100BaseTX
 Fa0/12          disabled   routed      auto  auto 10/100BaseTX
 [se omiten líneas]

show interfaces trunk
Este comando permite verificar múltiples elementos de la operación de los enlaces troncales:

• Modo en que el puerto se establece como troncal.
  El puerto puede establecerse como troncal a través de una negociación de DTP o por configuración manual.
  En este caso se indica modo "on", esto es configuración manual en modo troncal.
• Protocolo de etiquetado de VLANs utilizado.
  En el ejemplo de abajo es 802.1Q
• Estado operativo del puerto.
  En el ejemplo el estado es "trunking".
• VLAN nativa definida en el puerto.
  En nuestro ejemplo, la VLAN 99.
• VLANs permitidas en ese puerto troncal.
  En el ejemplo son las VLANs 10 y 99.
• VLANs permitidas y activas en ese troncal. Puede ocurrir que en un enlace troncal una VLAN esté permitida pero no se encuentre creada en el switch, con lo que estará permitida pero no activa. Es el caso habitual de puertos con configuración por defecto que tienen todas las VLANs posibles permitidas, pero activas solamente las que están creadas en el switch.
  En el ejemplo son las VLANs 10 y 99.
• VLANs que en este enlace troncal están en modo forwarding (el troncal es parte de la topología activa de STP) y por lo tanto están permitiendo el tráfico de esa VLAN.
  En este ejemplo ambas VLANs utilizan este enlace troncal para el reenvío de tráfico. No hay VLANs bloqueadas.

Switch# show interfaces trunk
Port        Mode    Encapsulation    Status    Native vlan
Gi0/1       on      802.1q           trunking  99

Port        Vlans allowed on trunk
Gi0/1       10,99

Port        Vlans allowed and active in management domain
Gi0/1       10,99

Port        Vlans in spanning tree forwarding state and not pruned

Gi0/1       10,99

Si se indica un puerto específico muestra solamente la información correspondiente a ese puerto. Si no se indica un puerto, muestra todos los puertos troncales del dispositivo.
En el caso del ejemplo el switch tiene un solo puerto troncal.

show interfaces switchport
El comando nos permite verificar el estado operativo del puerto en cuanto a su operación en capa 2.

• Modo administrativo: Muestra la configuración realizada en el puerto.
  En este caso se ha configurado como troncal estáticamente utilizando el comando switchport mode trunk.
• Modo operativo: Muestra el modo en que el puerto está operando. Cuando se utiliza DTP muestra el resultado de la negociación del protocolo.
  En este caso el modo en que está operando es troncal.
• Encapsulación administrativa: Refiere a la configuración de encapsulación del puerto.
  En el ejemplo, está configurado para operar utilizando IEEE 802.1Q que es el protocolo por defecto y el único disponible en este caso.
• Encapsulación operativa: Es la encapsulación que de hecho se está utilizando en el enlace.
  En este caso es 802.1Q.
• Negociación: Indica si está operativa la negociación de DTP en el puerto.
  En el ejemplo muestra que la negociación está activa.
• VLAN en modo acceso: Es la VLAN en la cual se colocará el puerto en caso de estar operando en modo acceso si no se indica otra cosa.
• VLAN nativa en modo troncal: Es la VLAN que se asume como VLAN nativa en caso de que el puerto esté operando en modo troncal, si no se indica otra cosa.
• Voice VLAN: Indica si se ha definido una VLAN de voz en ese puerto, y en caso de que se haya definida cuál es el ID de VLAN.
  En el caso del ejemplo no hay VLAN de voz definida.
• A continuación se presenta la información correspondiente a la definición de private VLANs.

Switch# show interfaces GigabitEthernet1/0/1 switchport
 Name: Gig0/1
 Switchport: Enabled
 Administrative Mode: trunk
 Operational Mode: trunk
 Administrative Trunking Encapsulation: dot1q
 Operational Trunking Encapsulation: dot1q
 Negotiation of Trunking: On
 Access Mode VLAN: 1 (default)
 Trunking Native Mode VLAN: 1 (default)
 Voice VLAN: none
 Administrative private-vlan host-association: none
 Administrative private-vlan mapping: none
 Administrative private-vlan trunk native VLAN: none
 Administrative private-vlan trunk encapsulation: dot1q
 Administrative private-vlan trunk normal VLANs: none
 Administrative private-vlan trunk private VLANs: none
 Operational private-vlan: none
 Trunking VLANs Enabled: ALL
 Pruning VLANs Enabled: 2-1001
 Capture Mode Disabled
 Capture VLANs Allowed: ALL

 Protected: false
 Appliance trust: none

Mensaje CDP
Cuando hay diferencia en la definición de la VLAN nativa entre los 2 puertos que componen un enlace troncal, no hay un mensaje de error directo del puerto; sin embargo en los switches Catalyst que tienen activo CDP, la diferencia de configuración entre ambos extremos del troncal genera un mensaje de evento CDP que indica esa falta de coincidencia.

*Mar 1 06:45:26.232: %CDP-4-NATIVE_VLAN_MISMATCH: Native VLAN mismatch discovered on GigabitEthernet0/1 (2), with S2 GigabitEthernet0/1 (99).

El mensaje indica que:

• El puerto GigabitEthernet0/1 de este switch utiliza la VLAN 2 como VLAN nativa.
• El puerto GigabitEthernet0/1 del switch vecino (S2) utiliza la VLAN 99 como VLAN nativa.

Esta diferencia de configuración genera el mensaje "NATIVE VLAN MISMATCH"

Configuración de enlaces troncales en switches Catalyst @ CISCO

Respecto de la implementación de VLANs y enlaces troncales, los switches Cisco Catalyst presentan varias definiciones por defecto que debemos tener presentes:

• Por defecto está creada la VLAN 1, y todos los puertos del switch están asignados a esa VLAN 1.
• La VLAN 1 es la VLAN de gestión (management) por defecto, y la VLAN nativa por defecto en los enlaces troncales.
• En la mayoría de los switches en la actualidad no es necesario definir un protocolo de etiquetado de tramas ya que se asume por defecto IEEE 802.1Q. Sin embargo, si el dispositivo soportara ISL, no hay encapsulación por defecto y se debe especificar.
• Cuando se define un enlace como troncal, por defecto, en ese enlace están permitidas todas las VLANs que se encuentran creadas en el switch.
• Todos los puertos del switch implementan por defecto DTP para definir dinámicamente si operan en modo acceso o modo troncal.

Configuración básica del troncal
En primer lugar debemos tener presente que un troncal es un enlace que conecta 2 puertos de 2 switches diferentes, que son independientes entre sí. Por lo tanto es esencial que la configuración de ambos puertos sea compatible ya que se configuran de modo independiente.

Switch(config)#interface fastethernet 0/1
Switch(config-if)#shutdown

• En los manuales de procedimiento se aconseja desactivar la interfaz antes de iniciar propiamente la configuración del puerto para evitar que los procesos de autonegociación estén negociando permanentemente mientras cambiamos la configuración.

Switch(config-if)#switchport trunk encapsulation dot1q

• El comando define el protocolo de etiquetado de etiquetas que utilizará al operar en modo troncal.
• No todas las plataformas permiten variar la encapsulación por defecto que se utiliza en los enlaces troncales. En aquellos dispositivos que solamente soportan IEEE 802.1Q este comando no está disponible.

Switch(config-if)#switchport mode trunk

• Coloca el puerto en modo troncal.
• Utilizará el protocolo de etiquetado de trama especificado con el comando anterior. Si el comando no está disponible, utilizará por defecto IEEE 802.1Q
• Todas las VLANs creadas en el switch están permitidas en el enlace.
• Al utilizar 802.1Q hay siempre una VLAN nativa, y en este caso la VLAN nativa por defecto es la VLAN 1.

Switch(config-if)#no shutdown

• Terminada la configuración es necesario activar nuevamente el puerto.

Buenas prácticas sugeridas
En este caso se trata de prácticas de configuración sugeridas, no obligatorias, que apuntan a mejorar la seguridad o performance de la red.

.1. Desactivar DTP

DTP es el protocolo que negocia, en los swtiches Catalyst, el modo de operación del puerto (troncal o acceso). Esto permite que, por ejemplo, un enlace entre 2 switches negocie automáticamente como troncal sin necesidad de intervención del Administrador.
DTP está activo por defecto en todos los puertos de los switches Catalyst.
Dado que este protocolo permite que un enlace podría negociar sin intervención alguna como troncal, y que ese troncal permitiría por defecto el tráfico de todas las VLANs existentes, DTP es un potencial riesgo de seguridad. De alli que se recomienda desactivarlo.

Switch(config-if)#switchport nonegotiate

• El comando suprime toda negociación de DTP en el puerto.
• Este comando es necesario aún cuando el puerto sea colocado manualmente en modo acceso o troncal, ya que el protocolo sigue activo.
• Esto hace necesario que el otro extremo del enlace también sea configurado manualmente como troncal.

.2. Cambiar la VLAN nativa

Todo enlace troncal 802,1Q tiene una VLAN nativa o untagged.
En los switches Catalyst la VLAN nativa en los puertos troncales 802.1Q es por defecto la VLAN 1.
Dado que la VLAN nativa puede ser aprovechada por un potencial atacante para "saltar" la división de VLANs en la red, se sugiere cambiar la VLAN nativa a otra VLAN en la que no se coloquen puertos de acceso, preferentemente una VLAN que esté en desuso.

Switch(config-if)#switchport trunk native vlan 999

• Tenga presente que la VLAN nativa debe coincidir en ambos extremos del enlace.
• Una disparidad en la definición de la VLAN nativa en ambos extremos no genera mensajes de error.
  En el caso de switches Catalyst CDP generará un mensaje de evento CDP-4-NATIVE_VLAN_MISMATCH: Native VLAN mismatch discovered on... que puede visualizarse en el puerto consola o en el registro de eventos.

.3. Restricción de las VLANs transportadas en el enlace troncal

Al activar un enlace troncal, por defecto se permite el transporte de todas las VLANs existentes a través de ese enlace troncal.
En algunos casos el diseño de la red requiere restringir las VLANs que se transportan en algunos troncales. Cuando no es así se sugiere, como buena práctica, que se limite las VLANs permitidas a solamente las necesarias.
Esto se hace permitiendo solamente las VLANs deseadas con lo que automáticamente quedan excluidas todas las VLANs que no son explíticamente permitidas.

Switch(config-if)#switchport trunk allowed vlan 2-10,20,30

• De este modo se restringe el troncal exclusivamente a las VLANs que se declaran en el comando. En este caso es el rango de VLANs que va desde la 2 hasta la 10, y además las VLANs 20 y 30.
• Todas las demás VLANs están excluidas de este enlace troncal.

Switch(config-if)#switchport trunk allowed vlan remove 5

• Este comando remueve de las VLANs permitidas en el enlace, exclusivamente aquellas que se especifican en el comando. En este caso remueve la VLAN 5 del grupo de VLANs permitidas.
• Si se aplica en un troncal que está operando con valores por defecto, el resultado será que siguen estando permitidas todas las VLANs salvo aquellas que se indiquen específicamente.

Switch(config-if)#switchport trunk allowed vlan add 40

• Este comando agrega a las VLANs permitidas en el troncal aquella que se indica específicamente en el comando.
• ATENCIÓN. Si se intenta agregar una VLAN sin el keyword "add" el resultado será que se sobrescribirán las VLANs permitidas y quedarán como permitidas solamente aquellas que se están especificando en el comando.

Procedimiento de configuración de troncales

.1. Ingrese al modo de configuración de la interfaz.
.2. Desactive la interfaz.
.3. Selecciona la encapsulación a utilizar (si corresponde).
.4. Coloque la interfaz en modo troncal.
.5. Desactive DTP
.6. Modifique la VLAN nativa.
.7. Restrinja las VLANs permitidas en el enlace troncal.
.8. Reactive la interfaz.

WPA3 @ WIRELESS

Ahora... WPA3

Cuando se publicó inicialmente el protocolo IEEE 802.11 para la implementación de redes inalámbricas se incluyó un método de aseguramiento de estas redes llamado WEP. Sin embargo este mecanismo previsto inicialmente fue rápidamente roto generando de esta manera la necesidad de nuevos mecanismos de seguridad que permitan el desarrollo de sistemas inalámbricos con un marco de seguridad aceptable para los requerimientos de la industria.

En este contexto la Alianza WiFi (que no es un organismo de estandarización sino una organización orientada a la promoción de tecnologías 802.11) presentó en el año 2003 su propuesta, WPA. De esta manera dio inicio a una familia de soluciones de seguridad para redes 802.11 que ahora presenta su tercera revisión: WPA3.

WPA considera 2 soluciones básicas que se han conservado a través de todas sus versiones:

• WPA Personal
  Tambien conocido como WPA-PSK.
  Diseñado para pequeños despliegues (hogar y pequeñas oficinas) ya que al no requerir la presencia de un servidor de autenticación su implementación es más simple.
  Es considerado más débil como método de seguridad y consiguientemente inadecuado para despliegues de tipo corporativo o industrial.
• WPA Enterprise
  En algunos casos denominado WPA 802.1X ya que implementa como método de autenticación de usuarios en el acceso IEEE 802.1X con la implementación de servidores RADIUS. Esto hace la implementación un poco más compleja pero asegura métodos más robustos de protección para la red inalámbrica.

La historia de WPA

Una vez violada la propuesta de seguridad inicial de IEEE 802.11 diversos fabricantes desarrollaron alternativas propietarias que buscaban dar una respuesta a los requerimientos de las redes corporativas. Sin embargo las soluciones propietarias no cubrían los requerimientos de interoperabilidad o compatibilidad que son indispensables para el despliegue de estas redes.

De allí que la Alianza WiFi asumiera el desafío de elaborar mecanismos de seguridad más robustos que dieran respuesta a la demanda de la industria.

No solo se trató de generar una propuesta de seguridad sino también de asegurar y certificar la compatibilidad de la implementación de diferentes fabricantes, superando así la limitación de las propuestas propietarias presentadas hasta ese momento.

• 2003 - WPA
  La Alianza WiFi presenta WPA.
  Desde su nacimiento con 2 modalidades básicas: Personal y Enterprise.
  Basado en los borradores de IEEE 802.11i que estaba en desarrollo en ese momento, incorporó nuevos mecanismos de autenticación, mejoró el cifrado incorporando TKIP e incorporó herramientas de control de integridad de la información. Su implementación se pudo hacer con una actualización de software sobre el hardware ya existente.
• 2004 - WPA2
  Una vez publicado IEEE 802.11i en el mes de junio de ese año la Alianza WiFi presentó WPA2, que algunos consideran como la versión certificada o comercial del estándar.
  Implementa las tecnologías especificadas en el estándar 802.11i con lo que hace que el cifrado de datos utilice AES.
  Desde el año 2006 WPA2 ha sido obligatorio para todos los dispositivos que cubren los requerimientos de certificación de la Alianza WiFi.
• 2018 - WPA3
  Ya en enero de este año la Alianza WiFi anunció el lanzamiento de una nueva versión de su propuesta de seguridad, con importantes mejoras tanto en su solución personal como enterprise.

WPA3

Está desarrollado sobre la base de 2 ideas rectoras: brindar un mecanismo de seguridad más robusto que sostenga el crecimiento de las redes inalámbricas; facilitar para el usuario la implementación de políticas de seguridad robusta para asegurar su utilización.

• WPA3 Personal
  Se mejora particularmente la protección en la clave de autenticación.
  Para esto implementa SAE en reemplazo de PSK. Este algoritmo es más resistente a ataques de diccionario lo que hace más difícil los intentos de "adivinar" la clave de autenticación del sistema.
  Esto permite que los usuarios domiciliarios puedan seleccionar claves que sean más simples de recordar con una protección más robusta y sin complicaciones adicionales.
• WPA3 Enterprise
  Incorpora algoritmos de seguridad más robustos para alinearse con los estándares de seguridad requeridos por la industria.
  Manteniendo los mecanismos ya conocidos de autenticación y cifrado de WPA2 se incorporan nuevos algoritmos para robustecer la protección:
  GCMP-256 como protocolo de autenticación.
  HMAC-SHA384 para la derivación y confirmación de llaves.
  Intercambio ECDH y ECDSA de 384 bits para el establecimiento de llaves y la autenticación.
  BIP-GMAC-256 para una protección robusta de las tramas de gestión de la red 802.11.

¿Cuáles son las novedades entonces?

• Se mejora la autenticación de la implementación WPA-Personal con la introducción de SAE.
• Se fortalecen los procedimientos de intercambio de autenticación en WPA-Enterprise.
• Se fortalece el cifrado de datos con una serie de mecanismos de última generación que dan un marco de cifrado equivalente a 192 bits.
• Se introduce como obligatoria la protección de las tramas de gestión de las redes 802.11 (PMF) que hasta el momento no estaba contemplada en los esquemas WPA.

Respecto de su implementación:

• WPA2 continúa siendo obligatorio para todos los dispositivos certificados por la Alianza WiFi.
• Los nuevos dispositivos que busquen certificación de la Alianza WiFi a partir de diciembre de 2018 deberán soportar también WPA3 obligatoriamente.
• Se asegura la compatibilidad de WPA3 con WPA2 con un modo de transición, por lo que los dispositivos certificados WPA3 podrán trabajar con dispositivos WPA2.
• La implementación de WPA3 no exige por sí misma nuevo hardware, por lo que se puede incorporar con una actualización de software.
  Sin embargo, dado que se utilizan algoritmos de cifrado avanzados, los requerimientos de procesamiento son mayores por lo que diferentes fabricantes desplegarán diferentes estrategias. Es posible que en algunos casos WPA3 sólo sea soportado en dispositivos nuevos.
• La implementación de PMF es obligatoria en los nuevos dispositivos que se certifiquen.

Tengamos presente que para poder implementar WPA3 es necesario que tanto la infraestructura inalámbrica (access points, controladores) como los clientes inalámbricos de nuestras laptops, smartphones, tablets o cámaras soporten la nueva implementación. Por este motivo también es muy importante la introducción del modo de transición para asegurar que los terminales que sólo soportan WPA2 puedan operar en entornos que implementan WPA3.

comandos: show ip rip database @ CISCO

comandos: show ip rip database

Los protocolos de enrutamiento son una pieza clave en la operación de los dispositivos capa 3. En este punto Cisco IOS soporta múltiples protocolos de enrutamiento y proporciona múltiples herramientas de monitoreo de su operación.
La primera y más básica herramienta de monitoreo es la tabla de enrutamiento, y en ese punto ya hemos revisado el comando show ip route. Es por esto que ahora comienzo a revisar los comandos de monitoreo específicos de cada protocolo. 

Elijo comenzar por RIP y en particular por show ip rip database. 

Este comando ha sido introducido en IOS 12.0 y a partir de ese punto se ha introducido progresivamente en diferentes releases. Muestra el contenido de la base de datos de información de enrutamiento recogida a través de RIP.

Consideremos en primer lugar un ejemplo tomando como base el resultado de la ejecución en un router Cisco IOS para luego revisarlo con mayor detalle.

Router# show ip rip database
  10.0.0.0/8       auto-summary
  10.11.0.0/16     int-summary
  10.11.10.0/24    directly connected, Ethernet3
  10.11.11.0/24    directly connected, Ethernet4
  10.11.12.0/24    directly connected, Ethernet5

Lectura del comando
Revisemos ahora el resultado de la ejecución del comando:

Router# show ip rip database
  10.0.0.0/8       auto-summary
  10.11.0.0/16     int-summary
  10.11.10.0/24    directly connected, Ethernet3
  10.11.11.0/24    directly connected, Ethernet4
  10.11.12.0/24    directly connected, Ethernet5   

• 10.0.0.0/8 auto-summary
  Muestra una entrada sumarizada que se genera automáticamente a partir de la operación del proceso de sumarización automática de rutas, cuando se encuentra activo, al límite de la clase.
• 10.11.0.0/16 int-summary
  Entrada sumarizada generada manualmente con el comando ip summary-address ip.
• 10.11.11.0/24 directly connected, Ethernet3
  Entrada generada a partir de la red directamente conectada a una interfaz que se encuentra incluida en el proceso de RIP y completamente operativa.

El comando tiene una variante que permite requerir la información aprendida de un prefijo IP específico. Para esto al comando básico se agrega la dirección IP y máscara de subred correspondiente.

Router# show ip rip database 172.19.86.0 255.255.255.0

 172.19.86.0/24

     [1] via 172.19.67.38, 00:00:25, Serial0

     [2] via 172.19.70.36, 00:00:14, Serial1 

• La red de destino 172.19.86.0/24 está siendo descubierta a través de la operación de RIP.
• Para ese destino se están aprendiendo 2 caminos posibles.
• El primero se aprende a partir de 172.19.67.38 a través de la interfaz Serial 0. Esta información ha sido actualizada hace 25 segundos.
• La ruta alternativa se aprende a partir de 172.19.70.36 a través de la interfaz Serial 1 y ha sido actualizada por última vez hace 14 segundos.