La red de Angel

 Todo el mundo conoce el programa nmap muy utilizado en el mundo del networking/seguridad informática para comprovar si ciertos puertos/protocolos están abiertos dado un cierto DNS/dirección IP. Ahora explicaré brevement el comando nmap target que básicamente sirve para hacer comprovaciones de puertos pero en base una lista de IP/DNS lo cuál podemos automatizar el procedimiento. Paso 1 - Creamos un archivo de texto con la lista de DNS/direcciones IP a realizar el scan de puertos (lo llamaremos "target") angel@angel-pc:~$ nano target 192.168.1.1 192.168.1.56 google.com Paso 2 - Ejecutamos comando nmap apuntando al archivo target y a los puertos especificos que deseemos escanear angel@angel-pc:~$ nmap -iL target -p 443 Starting Nmap 7.70 ( https://nmap.org ) at 2021-05-20 09:25 CEST Nmap scan report for 192.168.1.1 Host is up (0.030s latency). PORT STATE SERVICE 443/tcp open https Nmap scan report for 192.168.1.56 Host is up (0.036s latency). PORT STATE SERVICE 443/tcp...

Normalmente cuando configuramos una red wireless en entornos empresariales suele tener estas características: 1-  Wireless Security method -> WPA2 o WPA3 ->  basado en algoritmo de encriptado AES (CCMP) que, por supuesto, es mucho más segura y menos vulnerable que su predecesores (TKIP,WEP, WPA) 2- Network authentication method -> 802.1x / EAP ->  Puede ser alguno de estos tipos EAP-TLS PEAP-MSCHAPv2 EAP-TTLS etc   Sabiendo esto, a mi siempre me ha costado entender el concept de EAP. Las siglas significan Extensible Authentication Protocol y es el protocol encargado de enviar la información desde un Supplicant hacia un Authenticaton Server (normalmente un Cisco ISE o un Servidor RADIUS) de forma encriptada cuando un dispositivo (supplicant) solicita conectarse a una red (ya sea Wireless o LAN) configurada con el protocolo 802.1x Como he Como he nombrado arriba, hay varios tipos de EAP cada uno con una función distinta pero voy a comentar las dos dif...

Anteriormente, he mostrado varios playbooks sencillos con Ansible para realizar comandos del tipo show para mostrar configuración de los routers y switches.  Ahora os mostraré como ejecutar comandos CLI en multiples dispositivos Cisco IOS con la ayuda del módulo de Ansible llamado cisco.ios.ios_config. Básicamente con este módulo lo que conseguiremos es entrar en modo de configuración global dentro de un router o un switch (lo mismo a hacer un conf t ) y luego ejecutariamos los comandos de configuración de Cisco.   Para entenderlo mejoren el siguiente ejemplo, ejecutariamos los siguientes comandos CLI: Router#conf t Router(config)# snmp-server host 192.168.1.50 version 2c <communitystring> Router(config)# snmp-server host 192.168.1.50 version 2c <communitystring> Router(config)# snmp-server host 192.168.1.50 version 2c <communitystring> Router(config)# end Router#copy run start (enter) Para hacer lo mismo en Ansible y a su vez ejecutarlo en multiples dispo...

Como habéis podido observar, soy muy fan de Ansible ya que es una herramienta de network automation muy fácil de aprender y no requiere saber mucho de programación en Python para poder usarlo. Sin embargo, me he dado cuenta que Ansible tiene sus limitaciones ya que cuando ejecutamos un playbook como por ejemplo cuando queremos ejecutar show ip int brief en multiples routers y switches Cisco es un proceso un tanto lento ya que realiza cada conexión SSH secuencialmente y no a la vez con lo que imaginaros que si tenemos que gestionar cientos o miles de dispositivos de red la cantidad de segundos y minutos que tendriamos que esperar para obtener el output de nuestro playbook. Para ello, existe un nueva herramienta de automatización de redes llamada Nornir que se supone que es una especie de evolución de Ansible (hay que gente que le llama Ansible 2.0) pero que está creado puramente en Python y soluciona alguno de los problemas or limitaciones de Ansible. Algunas de estas mejoras son l...