Seguridad y Redes

Configuración de NAT en Core Linux con iptables

2020-08-30T19:23:00.016-05:00

Config de NAT con iptables

stop client dhcp

/etc/init.d/services/dhcp stop

Configure Eth0 (WAN)

$ sudo ifconfig eth0 10.1.100.33 netmask 255.255.255.0 up

Configure Eth1 (LAN)

$ sudo ifconfig eth1 192.168.11.1 netmask 255.255.255.0 up

Ruta de default

$ sudo route add default gw 10.1.100.253

Archivo resolv.conf

$ echo "nameserver 8.8.8.8" >> /etc/resolv.conf

Internet verification

$ nslookup cisco.com

Route verification

$ ip route get 8.8.8.8

Check if IP-Forwarding is enabled in the OS

$ sudo sysctl net.ipv4.ip_forward

0 = disabled

1 = enabled

Enable IP-Forwarding

$ sudo sysctl -w net.ipv4.ip_forward=1

Config NAT (PAT)

$ sudo iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

Cisco SW

Switch(config-if)#ip add 192.168.11.2 255.255.255.0
Switch(config-if)#no sh
Switch(config-if)#exit
Switch(config)#ip dhcp excluded-address 192.168.11.1
Switch(config)#ip dhcp pool test
Switch(dhcp-config)#network 192.168.11.0 255.255.255.0
Switch(dhcp-config)#default-router 192.168.11.1
Switch(dhcp-config)#dns-server 8.8.8.8

Cambiar el cliente telnet predeterminado en Windows

2020-08-20T17:39:00.002-05:00

Con esta función, ahora puede configurar PuTTY o SecureCRT como el controlador predeterminado para las URL de Telnet.

Si ejecuta el editor del registro (Inicio-> Ejecutar-> regedit.exe) y establece el valor en: HKEY_CLASSES_ROOT\telnet\shell\open\command

Para putty establecer la ruta:

"C:\ruta\de\putty.exe" %1

O para SecureCRT:

"C:\Program Files\VanDyke Software\SecureCRT\SecureCRT.exe" %1

Con esto debería encontrar que al hacer clic en los enlaces telnet en su navegador web ahora se ejecute el cliente telnet establecido.

Se confirma que esto funciona para Chrome en Windows 7.

Nagios Core en Ubuntu 18.04

2020-03-10T11:09:00.003-06:00

Nagios es un sistema de monitoreo de equipos y servicios de red ampliamente utilizado, creado para facilitar y ayudar a los administradores a tener siempre el control de la red, alertando sobre cualquier problema que ocurra en la infraestructura antes de que los usuarios de la misma los perciban. Instalación de Nagios.

Pre requisitos

$ sudo apt-get update
$ sudo apt-get dist-upgrade

$ sudo apt-get install wget build-essential unzip openssl libssl-dev
$ sudo apt-get install apache2 php libapache2-mod-php php-gd libgd-dev

Creación de usuario Nagios

$ sudo adduser nagios
$ sudo groupadd nagcmd
$ sudo usermod -a -G nagcmd nagios
$ sudo usermod -a -G nagcmd www-data

Instalación del Servicio Nagios Core

$ cd /opt/
$ sudo wget https://github.com/NagiosEnterprises/nagioscore/archive/nagios-4.4.5.tar.gz
$ sudo tar xzf nagios-4.4.5.tar.gz

Después extraer al directorio fuente de nagios e instalar usando el comando make.

$ cd nagios-4.4.5
$ sudo ./configure --with-command-group=nagcmd
$ sudo make all
$ sudo make install
$ sudo make install-init
$ sudo make install-daemoninit
$ sudo make install-config
$ sudo make install-commandmode
$ sudo make install-exfoliation

Controladores de eventos en el directorio libexec, estos archivos binarios proporcionan múltiples eventos para la interfaz web de Nagios.

$ sudo cp -R contrib/eventhandlers/ /usr/local/nagios/libexec/
$ sudo chown -R nagios:nagios /usr/local/nagios/libexec/eventhandlers

Configuración de Apache con Autenticación

sudo vi /etc/apache2/conf-available/nagios.conf

 
ScriptAlias /nagios/cgi-bin "/usr/local/nagios/sbin"


   Options ExecCGI
   AllowOverride None
   Order allow,deny
   Allow from all
   AuthName "Restricted Area"
   AuthType Basic
   AuthUserFile /usr/local/nagios/etc/htpasswd.users
   Require valid-user


Alias /nagios "/usr/local/nagios/share"


   Options None
   AllowOverride None
   Order allow,deny
   Allow from all
   AuthName "Restricted Area"
   AuthType Basic
   AuthUserFile /usr/local/nagios/etc/htpasswd.users
   Require valid-user

$ sudo htpasswd -c /usr/local/nagios/etc/htpasswd.users nagiosadmin

Ahora habilite la configuración de Apache y reinicie el servicio de Apache para que la nueva configuración surta efecto.

$ sudo a2enconf nagios
$ sudo a2enmod cgi rewrite
$ sudo service apache2 restart

Instalacion de Plugins de Nagios

$ cd /opt
$ sudo wget http://www.nagios-plugins.org/download/nagios-plugins-2.2.1.tar.gz
$ sudo tar xzf nagios-plugins-2.2.1.tar.gz
$ cd nagios-plugins-2.2.1

Compilacion e instalacion de los complementos

$ sudo ./configure --with-nagios-user=nagios --with-nagios-group=nagios --with-openssl
$ sudo make
$ sudo make install

Verificación de la configuración

$ /usr/local/nagios/bin/nagios -v /usr/local/nagios/etc/nagios.cfg
$ sudo service nagios start
$ sudo systemctl enable nagios

Acceso a la interfaz web de Nagios Acceda a la configuracion de nagios utilizando el nombre de host o la direccion IP seguido de /nagios.

https://direccionIP_o_dominio/nagios

Configuración de OSPF en un Cisco 3725 (IOS) y Nexus 7000 (NX-OS)

2015-12-17T03:06:00.000-06:00

A continuación, se muestra un ejemplo de configuración básica de OSPF entre un Switch Nexus y un Router 3725. Para habilitar OSPF en el Cisco Nexus se realiza desde la configuración de la interfaz.

Topologia en GNS3.

Habilitamos OSPF

N7K-2(config)# feature ospf

Habilitamos el proceso de OSPF

N7K-2(config)# router ospf 10
N7K-2(config-router)# router-id 10.10.10.1

Habilitamos OSPF en la interface en particular

N7K-2(config)# int ethernet 2/2
N7K-2(config-if)# ip address 10.10.10.1 255.255.255.0
N7K-2(config-if)# no shutdown
N7K-2(config-if)# ip router ospf 10 area 0
N7K-2(config-if)# end
N7K-2#

Configuración de OSPF en el Cisco 3725.

ESW1(config)#interface fastEthernet0/1
ESW1(config-if)#ip add 10.10.10.2 255.255.255.0
ESW1(config-if)#no shutdown

ESW1(config)#interface fastEthernet0/0
ESW1(config-if)#ip add 10.4.4.4 255.255.255.0
ESW1(config-if)#no shutdown
ESW1(config-if)#exit

ESW1(config)#interface loopback2
ESW1(config-if)#ip address 10.3.3.3 255.255.255.0
ESW1(config-if)#end

ESW1#show ip int brief
Interface                  IP-Address      OK? Method Status                Protocol
FastEthernet0/0            10.4.4.4        YES manual up                    up      
FastEthernet0/1            10.10.10.2      YES manual up                    up      
FastEthernet1/0            unassigned      YES unset  up                    down    
FastEthernet1/14           unassigned      YES unset  up                    down    
FastEthernet1/15           unassigned      YES unset  up                    down    
Vlan1                      unassigned      YES unset  up                    down    
Loopback1                  10.2.2.2        YES manual up                    up      
Loopback2                  10.3.3.3        YES manual up                    up      

ESW1(config)#router ospf 10
ESW1(config-router)#network 10.10.10.0 0.0.0.255 area 0
*Mar  1 00:06:10.307: %OSPF-5-ADJCHG: Process 10, Nbr 10.10.10.1 on FastEthernet0/1 from LOADING to FULL, Loading Done
ESW1(config-router)#networ 10.4.4.0 0.0.0.255 area 0
ESW1(config-router)#

Verificación

ESW1#show ip ospf neighbor 

Neighbor ID     Pri   State           Dead Time   Address         Interface
10.10.10.1        1   FULL/BDR        00:00:33    10.10.10.1      FastEthernet0/1
ESW1


ESW1#show cdp neighbors detail 
-------------------------
Device ID: N7K-2(Nexus-Switch)
Entry address(es): 
  IP address: 10.10.10.1
Platform: Nexus-Switch,  Capabilities: Router Switch IGMP 
Interface: FastEthernet0/1,  Port ID (outgoing port): Ethernet2/2
Holdtime : 165 sec

Version :
Cisco Nexus Operating System (NX-OS) Software, Version 5.1(2)

advertisement version: 2
Duplex: full

ESW1#

Verificación en el Cisco Nexus

N7K-2# show ip route
IP Route Table for VRF "default"
'*' denotes best ucast next-hop
'**' denotes best mcast next-hop
'[x/y]' denotes [preference/metric]

10.4.4.0/24, ubest/mbest: 1/0
    *via 10.10.10.2, Eth2/2, [110/50], 00:00:11, ospf-10, intra
10.10.10.0/24, ubest/mbest: 1/0, attached
    *via 10.10.10.1, Eth2/2, [0/0], 00:01:52, direct
10.10.10.1/32, ubest/mbest: 1/0, attached
    *via 10.10.10.1, Eth2/2, [0/0], 00:01:52, local
N7K-2#

N7K-2# show ip ospf neighbors
 OSPF Process ID 10 VRF default
 Total number of neighbors: 1
 Neighbor ID     Pri State            Up Time  Address         Interface
 10.3.3.3          1 FULL/DR          00:00:09 10.10.10.2      Eth2/2


N7K-2# ping 10.10.10.2
PING 10.10.10.2 (10.10.10.2): 56 data bytes
64 bytes from 10.10.10.2: icmp_seq=0 ttl=254 time=10 ms
64 bytes from 10.10.10.2: icmp_seq=1 ttl=254 time=10 ms
64 bytes from 10.10.10.2: icmp_seq=2 ttl=254 time=10 ms
64 bytes from 10.10.10.2: icmp_seq=3 ttl=254 time=10 ms
64 bytes from 10.10.10.2: icmp_seq=4 ttl=254 time=10 ms

--- 10.10.10.2 ping statistics ---
5 packets transmitted, 5 packets received, 0.00% packet loss
round-trip min/avg/max = 10/10/10 ms
N7K-2#

N7K-2# ping 10.4.4.4
PING 10.4.4.4 (10.4.4.4): 56 data bytes
64 bytes from 10.4.4.4: icmp_seq=0 ttl=254 time=10 ms
64 bytes from 10.4.4.4: icmp_seq=1 ttl=254 time=10 ms
64 bytes from 10.4.4.4: icmp_seq=2 ttl=254 time=0 ms
64 bytes from 10.4.4.4: icmp_seq=3 ttl=254 time=0 ms
64 bytes from 10.4.4.4: icmp_seq=4 ttl=254 time=10 ms

--- 10.4.4.4 ping statistics ---
5 packets transmitted, 5 packets received, 0.00% packet loss
round-trip min/avg/max = 0/6/10 ms
N7K-2#

Configuración de DHCP Server en FortiGate

2015-12-04T01:04:00.000-06:00

El FortiGate puede actuar como un servidor DHCP para distribuir dirección IP a los hosts finales que ejecutan servicios de un cliente DHCP. Esta característica es importante si se tiene una pequeña sucursal que no posee un servidor DHCP dedicado.

Para habilitar el servicio de DHCP en el FortiGate se puede realizar desde la interfaz web en las opciones de System > Network > Interface. Para configurar este servicio desde el CLI.

Datos del servidor DHCP.

Interface: port3 (INSIDE)
Rango de direcciones IP: 192.168.23.50 - 192.168.23.100
Subnet: 255.255.255.0
Default Gateway: 192.168.23.1
DNS: Servicio de DNS por default
Nombre de Dominio: delfirosales.com

Configuracion de la interface Inside.

edit "port3"
    set vdom "root"
    set ip 192.168.23.1 255.255.255.0
    set allowaccess ping
    set type physical
    set alias "INSIDE"
    set snmp-index 3
next

Configuracion del DNS.

FortiGate-VM # show system dns 
config system dns
    set primary 8.8.8.8
    set secondary 8.8.4.4
    set domain "delfirosales.com"
    set source-ip 192.168.1.102
end

Configuración de DHCP Server desde CLI

FortiGate-VM # config system dhcp server 
FortiGate-VM (server) # edit 1
new entry '1' added
FortiGate-VM (1) # set auto-configuration disable 
FortiGate-VM (1) # set default-gateway 192.168.23.1
FortiGate-VM (1) # set dns-service default 
FortiGate-VM (1) # set interface port3
FortiGate-VM (1) # config ip-range 
FortiGate-VM (ip-range) # edit 1
new entry '1' added
FortiGate-VM (1) # set start-ip 192.168.23.50
FortiGate-VM (1) # set end-ip 192.168.23.100
FortiGate-VM (1) # next 
FortiGate-VM (ip-range) # end
FortiGate-VM (1) # set netmask 255.255.255.0
FortiGate-VM (1) # next 
FortiGate-VM (server) # end

FortiGate-VM # 
FortiGate-VM # show sys dhcp server 
config system dhcp server
    edit 1
        set auto-configuration disable
        set default-gateway 192.168.23.1
        set dns-service default
        set interface "port3"
            config ip-range
                edit 1
                    set end-ip 192.168.23.100
                    set start-ip 192.168.23.50
                next
            end
        set netmask 255.255.255.0
    next
end
FortiGate-VM #

Verificacion del Servicio

root@labs:/home/delfi# ifconfig eth0
eth0      Link encap:Ethernet  HWaddr 00:00:AB:5C:A9:00  
          inet addr:192.168.23.50  Bcast:192.168.23.255  Mask:255.255.255.0
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:179 errors:0 dropped:0 overruns:0 frame:0
          TX packets:158 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000 
          RX bytes:26721 (26.0 KiB)  TX bytes:50476 (49.2 KiB)

root@labs:/home/delfi# 

root@labs:/home/delfi# route -e
Kernel IP routing table
Destination     Gateway         Genmask         Flags   MSS Window  irtt Iface
default         192.168.23.1    0.0.0.0         UG        0 0          0 eth0
127.0.0.1       *               255.255.255.255 UH        0 0          0 lo
192.168.23.0    *               255.255.255.0   U         0 0          0 eth0

root@labs:/home/delfi# ping www.google.com
PING www.google.com (173.194.115.176): 56 data bytes
64 bytes from 173.194.115.176: seq=0 ttl=57 time=134.307 ms
64 bytes from 173.194.115.176: seq=1 ttl=57 time=248.415 ms
64 bytes from 173.194.115.176: seq=2 ttl=57 time=166.495 ms
64 bytes from 173.194.115.176: seq=3 ttl=57 time=50.341 ms
64 bytes from 173.194.115.176: seq=4 ttl=57 time=283.354 ms
64 bytes from 173.194.115.176: seq=5 ttl=57 time=187.280 ms
64 bytes from 173.194.115.176: seq=6 ttl=57 time=69.864 ms
64 bytes from 173.194.115.176: seq=7 ttl=57 time=102.955 ms
64 bytes from 173.194.115.176: seq=8 ttl=57 time=107.317 ms
64 bytes from 173.194.115.176: seq=9 ttl=57 time=84.637 ms
64 bytes from 173.194.115.176: seq=10 ttl=57 time=142.454 ms

Configuración de SVIs en un Switch de Capa 3

2015-11-15T21:47:00.000-06:00

Las VLAN dividen dominios de transmisión en un entorno LAN. Siempre que los host de una VLAN necesitan comunicarse con algun otro host en otra VLAN, debe enrutarse el tráfico entre ellos. Esto se denomina ruteo interVLAN. En los switches Catalyst, se logra al crear interfaces de Capa 3 (Switch Virtual Interface - SVI).

Host1
IP: 10.1.1.5
Default Gateway: 10.1.1.1
Subnet: 255.255.255.0

Host2
IP: 10.1.2.2
Default Gateway: 10.1.2.1
Subnet: 255.255.255.0

Topologia en GNS3 utilizando la imagen vIOS-L2 y Core Linux.

Configuracion en Core Linux 1.

labs login: delfi
Password:
                                   /\_/\
                                  ( o.o )
                                   > ^ <
                              delfirosales.com
delfi@labs:~$ 
delfi@labs:~$ sudo su
root@labs:/home/delfi# ifconfig eth0 10.1.1.5 netmask 255.255.255.0 up
root@labs:/home/delfi# route add default gw 10.1.1.1

Core Linux 2.

delfi@labs:~$ 
delfi@labs:~$ sudo su
root@labs:/home/delfi# ifconfig eth0 10.1.2.2 netmask 255.255.255.0 up
root@labs:/home/delfi# route add default gw 10.1.2.1
root@labs:/home/delfi#

Habilitar ruteo en el Switch

vIOS-L2#configure terminal
vIOS-L2(config)#ip routing

Configuracion y creacion de VLANs

vIOS-L2(config)#interface gigabitEthernet0/1
vIOS-L2(config-if)#switchport access vlan 2
% Access VLAN does not exist. Creating vlan 2
vIOS-L2(config-if)#switchport mode access 
vIOS-L2(config-if)#exit

vIOS-L2(config)#interface gigabitEthernet0/2
vIOS-L2(config-if)#switchport access vlan 3
% Access VLAN does not exist. Creating vlan 3
vIOS-L2(config-if)#switchport mode access 
vIOS-L2(config-if)#exit

Verificacion de las VLANs creadas anterior.

vIOS-L2#show vlan   

VLAN Name                             Status    Ports
---- -------------------------------- --------- -------------------------------
1    default                          active    Gi0/0, Gi0/3
2    VLAN0002                         active    Gi0/1
3    VLAN0003                         active    Gi0/2
100  VLAN100                          active    
200  VLAN0200                         active    
300  VLAN0300                         active    
1002 fddi-default                     act/unsup 
1003 trcrf-default                    act/unsup 
1004 fddinet-default                  act/unsup 
1005 trbrf-default                    act/unsup 

VLAN Type  SAID       MTU   Parent RingNo BridgeNo Stp  BrdgMode Trans1 Trans2
---- ----- ---------- ----- ------ ------ -------- ---- -------- ------ ------
1    enet  100001     1500  -      -      -        -    -        0      0   
2    enet  100002     1500  -      -      -        -    -        0      0   
3    enet  100003     1500  -      -      -        -    -        0      0   
100  enet  100100     1500  -      -      -        -    -        0      0   
200  enet  100200     1500  -      -      -        -    -        0      0   
300  enet  100300     1500  -      -      -        -    -        0      0   
1002 fddi  101002     1500  -      -      -        -    -        0      0   
          
VLAN Type  SAID       MTU   Parent RingNo BridgeNo Stp  BrdgMode Trans1 Trans2
---- ----- ---------- ----- ------ ------ -------- ---- -------- ------ ------
1003 trcrf 101003     4472  1005   3276   -        -    srb      0      0   
1004 fdnet 101004     1500  -      -      -        ieee -        0      0   
1005 trbrf 101005     4472  -      -      15       ibm  -        0      0   


VLAN AREHops STEHops Backup CRF
---- ------- ------- ----------
1003 7       7       off

Primary Secondary Type              Ports
------- --------- ----------------- ------------------------------------------

Creacion de la SVI 2.

vIOS-L2(config)#interface vlan 2
vIOS-L2(config-if)#ip address 10.1.1.1 255.255.255.0
vIOS-L2(config-if)#no shutdown 
vIOS-L2(config-if)#exit

Creacion de la SVI 3.

vIOS-L2(config)#interface vlan 3
vIOS-L2(config-if)#ip address 10.1.2.1 255.255.255.0
vIOS-L2(config-if)#no shutdown 
vIOS-L2(config-if)#end
vIOS-L2#

Si ingresamos el siguiente comando podremos observar que las interfaces se encuentran arriba.

vIOS-L2#show ip interface brief
Interface              IP-Address      OK? Method Status                Protocol
GigabitEthernet0/0     unassigned      YES unset  up                    up      
GigabitEthernet0/1     unassigned      YES unset  up                    up      
GigabitEthernet0/2     unassigned      YES unset  up                    up      
GigabitEthernet0/3     unassigned      YES unset  up                    up      
Vlan2                  10.1.1.1        YES manual up                    up      
Vlan3                  10.1.2.1        YES manual up                    up      
vIOS-L2#

Tambien podremos observar la tabla de ruteo con el comando show ip route.

vIOS-L2#show ip route
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area 
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2
       i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
       ia - IS-IS inter area, * - candidate default, U - per-user static route
       o - ODR, P - periodic downloaded static route, H - NHRP, l - LISP
       a - application route
       + - replicated route, % - next hop override

Gateway of last resort is not set

      10.0.0.0/8 is variably subnetted, 4 subnets, 2 masks
C        10.1.1.0/24 is directly connected, Vlan2
L        10.1.1.1/32 is directly connected, Vlan2
C        10.1.2.0/24 is directly connected, Vlan3
L        10.1.2.1/32 is directly connected, Vlan3
vIOS-L2#

vIOS-L2#show interfaces vlan 2
Vlan2 is up, line protocol is up 
  Hardware is Ethernet SVI, address is 0000.ab5a.8002 (bia 0000.ab5a.8002)
  Internet address is 10.1.1.1/24
  MTU 1500 bytes, BW 1000000 Kbit/sec, DLY 10 usec, 
     reliability 255/255, txload 1/255, rxload 1/255
  Encapsulation ARPA, loopback not set
  Keepalive not supported 
  ARP type: ARPA, ARP Timeout 04:00:00
  Last input 00:00:10, output never, output hang never
  Last clearing of "show interface" counters never
  Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0
  Queueing strategy: fifo
  Output queue: 0/40 (size/max)
  5 minute input rate 0 bits/sec, 0 packets/sec
  5 minute output rate 0 bits/sec, 0 packets/sec
     652 packets input, 98538 bytes, 0 no buffer
     Received 0 broadcasts (0 IP multicasts)
     0 runts, 0 giants, 0 throttles 
     0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored
     17 packets output, 1054 bytes, 0 underruns
     0 output errors, 0 interface resets
     0 unknown protocol drops
     0 output buffer failures, 0 output buffers swapped out
vIOS-L2#

Verificacion de Core Linux 1 a Core Linux 2.

Otros comandos de verificacion.

vIOS-L2#show interfaces vlan 3
vIOS-L2#show interface gigabitEthernet0/0
vIOS-L2#show interfaces gigabitEthernet0/0 switchport
vIOS-L2#show vlan brief

Descargar Core Linux: LinuxCore-6.4.1.img

Linux Core en Qemu

2015-11-10T20:38:00.000-06:00

Imágenes ISO de Linux Core Live x86 o x86-64 se pueden descargar de su pagina la versión mas reciente es el Core 6.4.1.

Creación de la imagen Qemu

$ qemu-img.exe create -f qcow2 LinuxCore.img 300M

Iniciar Qemu con la imagen ISO Live de Core Linux

$ qemu-system-i386w.exe -boot d -cdrom Core-6.4.1.iso -hda LinuxCore.img

Instalacion de Syslinux Extensions

$ tce-load -wi syslinux

Creación de una nueva Particion Ext4

$ sudo fdisk /dev/sda

n - Agregar particion
p - Particion primaria
Partition number (1-4): 1
First cylinder (1-25, default 1): ENTER
Last cylinder (1-25, default 25): ENTER
a - bootable flag
Partition number (1-4): 1
w - guardar la tabla de particion y salir

$ mkfs.ext4 /dev/sda1

Instalar el Boot Sector

$ dd if=/usr/local/share/syslinux/mbr.bin of=/dev/sda

Reconstruir /etc/fstab y Montar la Particion /dev/sda1

$ sudo rebuildfstab
$ mount /mnt/sda1

Montar el CDROM y copiar los archivos core.gz y vmlinuz a /mnt/sda1/boot

$ sudo mkdir -p /mnt/sda1/boot/extlinux
$ mount /mnt/sr0
$ sudo cp -p /mnt/sr0/boot/* /mnt/sda1/boot

Instalar el Boot Loader

$ sudo extlinux --install /mnt/sda1/boot/extlinux

Creación del Archivo extlinux.conf

$ sudo vi /mnt/sda1/boot/extlinux/extlinux.conf

DEFAULT core
LABEL core
KERNEL /boot/vmlinuz
APPEND initrd=/boot/core.gz quiet

Creación de directorios

$ sudo mkdir /mnt/sda1/tce
$ sudo chown tc:staff /mnt/sda1/tce
$ touch /mnt/sda1/tce/mydata.tgz

Apagar Linux Core

Despues de apagar Linux Core ingresar desde consola

$ qemu-system-i386w.exe -boot c -hda LinuxCore.img

Habilitar en Linux Core la redirección al Puerto Serial

default core
label core
kernel /boot/vmlinuz console=ttyS0,38400n8
        append initrd=/boot/core.gz quiet

Extaer el archivo core.gz

$ mkdir -p /home/tc/temp/extract
$ sudo cp /mnt/sda1/boot/core.gz /home/tc/temp/
$ cd /home/tc/temp/extract/

$ zcat ../core.gz | sudo cpio -i -H newc -d

Desabilitar Autologin para tty1 y agregar ttyS0

$ sudo vi /etc/inittab

#tty1::respawn:/sbin/getty -nl /sbin/autologin 38400 tty1
tty1::respawn:/sbin/getty 38400 tty1
ttyS0::respawn:/sbin/getty 38400 ttyS0

Personalizar entrada al sistema

$ sudo vi /etc/issue

Bienvenido a Core Linux

Username "tc", password no establecido

Editar /etc/securetty y permitir acceso al Puerto Serial ttyS0
Descomentar la linea #ttyS0

$ sudo vi ./etc/securetty

ttyS0

Pack File core.gz

$ sudo su
$ cd /home/tc/temp/extract/

$ find | cpio -o -H newc | gzip -2 > /mnt/sda1/boot/core.gz

$ cd /home/tc
$ rm -rf /home/tc/temp

Guardar cambios de configuración de Linux Core

Por default al reiniciar Linux Core no se guardan los cambios realizados, para guardar los cambios que se realicen se debe editar el scrpt /opt/bootlocal.sh el cual se ejecuta en cada inicio de la maquina virtual. El único editor que viene instalado en Linux Core es el editor vi, para editar el script bootlocal.sh ingresar el siguiente comando.

$ sudo vi /opt/bootlocal.sh

Por ejemplo si desea mantener la dirección IP para la interface eth0 con la direccion 10.1.1.1/24 y el nombre de host sea labs, añadir las siguientes líneas a este archivo.

sudo hostname labs
sudo ifconfig eth0 10.1.1.1 netmask 255.255.255.0 up

Ejemplo de guardar cambios en los directorios.
sudo vi /opt/.filetool.lst

/etc/inittab
/etc/issue
/etc/securetty

Una vez guardado los cambios en vi, se tendrá que guardar esta configuración mediante otro script llamado filetool.sh, para guardar cambios ejecutar el siguiente comando:

$ filetool.sh -b

Otros comandos utiles para utilizar.

sudo reboot
sudo poweroff

Apagar Core Linux Qemu y verificar.

$ sudo poweroff

Una vez apagado Core Linux Ingresar el siguiente comando para verificar

$ qemu-system-i386w.exe -boot c -hda LinuxCore.img -serial telnet:0.0.0.0:3000,server,nowait

Una vez iniciado Core Linux ejecutar el siguiente comando desde consola.

$ telnet localhost 3000

NetFlow - Monitorea los equipos de tu red

2015-10-30T22:51:00.001-06:00

NetFlow es un protocolo de red desarrollado por Cisco Systems para recolectar información sobre tráfico IP. Netflow se ha convertido en un estándar de la industria para monitorización de tráfico de red, y actualmente está soportado para varias plataformas además de Cisco IOS y NXOS, como por ejemplo en dispositivos de fabricantes como Juniper, Enterasys Switches, y en sistemas operativos como Linux, FreeBSD, NetBSD y OpenBSD.

Existen varias diferencias entre la versión de implementación del Netflow original, por lo que algunas versiones incorporan algunos datos más, pero en líneas generales el Netflow básico envía al menos la siguiente información.

Dirección IP de origen.
Dirección IP de destino.
Puerto UDP o TCP de origen.
Puerto UDP o TCP de destino.
Protocolo IP.
Interfaz (SNMP ifIndex).
Tipo de servicio IP.

R1#configure terminal
R1(config)#interface fastethernet0/0
R1(config-if)#ip address 10.10.10.1 255.255.255.0
R1(config-if)#no shutdown
R1(config-if)#end
R1#

Configuración de SNMP y NetFlow

R1(config)#ip access-list standard ACL
R1(config-std-nacl)#permit host 10.10.10.10
R1(config-std-nacl)#exit

R1(config)#hostname RouterLocal

RouterLocal(config)#snmp-server community secreto rw ACL
RouterLocal(config)#snmp-server location Mexico
RouterLocal(config)#snmp-server contact delfirosales

RouterLocal(config)#interface fastEthernet0/0
RouterLocal(config-if)#ip flow egress 
RouterLocal(config-if)#ip flow ingress 
RouterLocal(config-if)#exit

RouterLocal(config)#ip flow-export version 9
RouterLocal(config)#ip flow-export destination 10.10.10.10 99
RouterLocal(config)#ip flow-export source fastEthernet0/0

RouterLocal(config)#service timestamps 
RouterLocal(config)#logging 10.10.10.10
RouterLocal(config)#ip domain name delfirosales.com

Comandos shows

RouterLocal#show ip cache flow
RouterLocal#show ip flow export
RouterLocal#show ip flow interface
RouterLocal#debug ip flow export

Configuración del NetFlow Collector

Hay varios colectores disponibles, algunos licenciados y otros libres, dependiendo de lo que necesites, con cualquier collector te será muy fácil generar el reporte de los top 10 terminales que consumen ancho de banda. Para esta practica se utilizo Real-Time NetFlow Analyzer de SolarisWinds para concentrar la información, analizarla y generar resportes.

Agregar un Adaptador Loopback en GNS3 con Windows 10

2015-10-29T21:37:00.000-06:00

Se recomienda no utilizar el asistente de windows (hdwwiz.exe) para crear el adapatador de bluce invertido (loopback) ya que al querer utilizarlo en el GNS3 envia el siguiente error.

Error en GNS3.

GNS3 management console.
Running GNS3 version 1.3.11 on Windows (64-bit) with Python 3.4.2 Qt 4.8.6.
Copyright (c) 2006-2015 GNS3 Technologies.

== > Server error from 127.0.0.1:8000: R1: unable to create generic ethernet NIO

Para solucionar esto debemos utilizar la herramienta llamada Loopback Manager de GNS3, desde el cual podemos eliminar o agregar algun adaptador loopback. En el siguiente video se muestra la solución a este error.

Dynamic PAT en el Cisco ASA

2015-10-26T16:53:00.000-06:00

El Cisco ASA soporta los siguientes tipos mas comunes de NAT.

Dynamic NAT: Traducción de muchos a muchos. Traduce las direcciones de origen en las interfaces de seguridad más altos en un rango de direcciones o pool a una interface menos segura para las conexiones salientes.
Dynamic PAT: Traducción de muchos a uno. Usualmente un pool de direcciones internas a una interface externa.
Static NAT: Traducción de uno a uno, entre una dirección IP en una interface más segura y otra interface menos segura (ejemplo internet) para así poder acceder a los host de una interface de mayor seguridad (ejemplo servidores web en la DMZ) sin exponer la dirección IP real del host en la interface de mayor seguridad.
Twice NAT: Permite definir origen y destino desde una sola regla. Son procesadas de acuerdo a la secuencia que fueron insertadas (sin diferenciar estáticos de dinámicos). Puede Referenciar objetos de tipo “network” y “service”.

Configuración Básica de NAT - ASA versión 8.4

Practica en GNS3

Topologia de red Dynamic PAT.

Lo primero es configurar las tres interfaces en el ASA. El segmento de la red ISP está conectada a la interface gigabitEthernet3 con la etiqueta de outside y nivel de seguridad 0. La red interna está conectada a la interface gigabitEthernet1 con etiqueta de nombre inside y con nivel de seguridad 100. El segmento DMZ, donde reside el WebServer está conectado a la interface gigabitEthernet2 del ASA y etiquetado con el nombre de dmz con nivel de seguridad 50.

Datos adicionales:

Interface inside: 192.168.0.1 y es default gateway para los host internos.

Interface dmz: 192.168.1.1 y es el default gateway para los host internos.

Interface outside: 198.51.100.100

Ruta de default: Next-Hop 198.50.100.101

Configuración de la Topología de Red

Configuración PC

Configuración WebServer

!
interface FastEthernet0/0
 ip address 192.168.1.100 255.255.255.0
!         
ip route 0.0.0.0 0.0.0.0 192.168.1.1
!

Configuración ISP

!
interface FastEthernet0/0
 ip address 198.51.100.101 255.255.255.0
 duplex auto
 speed auto
!
interface Serial1/1
 ip address 100.1.1.2 255.255.255.252
 serial restart-delay 0
!
ip route 50.50.50.0 255.255.255.0 100.1.1.1
ip route 89.89.89.0 255.255.255.248 198.51.100.100
ip route 192.168.0.0 255.255.255.0 198.51.100.100
!

Configuración R4

!
interface FastEthernet0/0
 ip address 50.50.50.1 255.255.255.0
 duplex auto
 speed auto
!
interface Serial1/1
 ip address 100.1.1.1 255.255.255.252
 serial restart-delay 0
!
ip route 89.89.89.0 255.255.255.248 Serial1/1
ip route 198.51.100.0 255.255.255.0 Serial1/1
!

Configuración R5

!
interface FastEthernet0/0
 ip address 50.50.50.17 255.255.255.0
 duplex auto
 speed auto
!         
ip route 0.0.0.0 0.0.0.0 50.50.50.1
!
line vty 0 5
 password cisco
 login
!

Configuración del ASA

!
interface GigabitEthernet1
 nameif inside
 security-level 100
 ip address 192.168.0.1 255.255.255.0 
!
interface GigabitEthernet2
 nameif dmz
 security-level 50
 ip address 192.168.1.1 255.255.255.0 
!
interface GigabitEthernet3
 nameif outside
 security-level 0
 ip address 198.51.100.100 255.255.255.0 
!
route outside 0.0.0.0 0.0.0.0 198.51.100.101 1
!

Configuración de Dynamic PAT en el ASA

CiscoASA# configure terminal
CiscoASA(config)# object network red-interna
CiscoASA(config-network-object)# subnet 192.168.0.0 255.255.255.0
CiscoASA(config-network-object)# nat (inside,outside) dynamic interface
CiscoASA(config-network-object)# exit

CiscoASA(config)# object network red-dmz
CiscoASA(config-network-object)# subnet 192.168.1.0 255.255.255.0
CiscoASA(config-network-object)# nat (dmz,outside) dynamic interface
CiscoASA(config-network-object)# end
CiscoASA#

Verificación.
Para verificar que está funcionando, volvemos a intentar realizando un telnet a la ip 50.50.50.17.

Habilitando el debug ip icmp para verificar el comportamiento y algunos comandos shows.

R5#debug ip icmp

CiscoASA# show xlate

CiscoASA# show nat detail
CiscoASA# show nat translated interface outside
CiscoASA# sh  local-host

Como crear un LiveUSB de Wifislax 4.11.1

2015-10-19T22:57:00.000-05:00

WifiSlax es una distro GNU/Linux que se ejecuta en modo Live, es decir; no se instala físicamente en el disco duro, sino que se bootea desde un CD/DVD. Está pensada y diseñada para la auditoria de seguridad y relacionada con la seguridad informática en general e incluye una gran variedad de herramientas listas para ser utilizar. Hoy vamos a ver cómo crear un LiveUSB a partir de la imagen ISO.

Herramientas a Utilizar.

Imagen ISO de Wifislax.
Memoria USB de al menos 2 Gigas.

El primero paso que tenemos que hacer es descargar la ISO de WifiSlax desde su página oficial.

Nombre archivo: wifislax-4-11-1-final.iso 1.09 GB

Hash MD5: dd00c7cca12ab7bb7de76aeb73fd2565

Opciones de descarga:

El paso siguiente es preparar la memoria USB que vamos a utilizar, debemos de formatear con formato FAT32. Una vez descargado el Wifislax descomprimir el archivo de imagen ISO con algún descompresor (ejemplo Winrar) o el que utilicen habitualmente. Al terminar de descomprimir creara dos carpetas, una llamada Boot y la otra Wifislax. El siguiente paso será copiar estas dos carpetas a la memoria USB.

Una vez copiados las dos carpetas en la memoria usb, iremos a la carpeta Boot de la memoria usb y ejecutaremos el archivo llamado Wifislax Boot Installer.

Wifislax Boot Installer.

Ejecutado el archivo nos aparecerá un mensaje de consola que nos pedirá la confirmación, ingresamos la tecla "s" para confirmar.

Con esto ya podremos arrancar Wifislax desde el USB. Por si tienen activado la UEFI es necesario desactivarlo desde la Bios para poder iniciar desde la USB y también deben asegurarse iniciar desde la USB como primera opción de arranque.

Al iniciar con el LiveUSB nos aparecerá un menú donde podremos elegir varios modos de arranque, si tenemos menos de 4 GB de RAM seleccionamos “Arrancar con kernel NORMAL” y si cuenta con más memoria de la mencionada sería la opción de “Arrancar con kernel PAE”.

A continuación, podemos elegir entre KDE y Xfce como entorno gráfico.

Esperamos un poco y listo ya podremos utilizar el Wifislax desde la memoria USB.

Usuario: root
Pass: toor

Configuración de NTP con Autenticacion en un Router Cisco

2015-10-19T03:17:00.000-05:00

NTP son las siglas de Network Time Protocol el cual nos permite sincronizar los dispositivos que funcionan en una red. Esto es muy importante ya que hay una gran variedad de servicios de red que se basan en la correcta sincronización de horarios de los servidores.

Para esto, el equipo realiza una referencia a un servidor de horario, que puede comparar y ajustar su fecha y la hora con otro servidor NTP publico en internet. El protocolo NTP utiliza el puerto UDP 123 para establecer la conexión con los servidores de horario. Es recomendable e importante configurar primero el protocolo NTP en los equipos de la nuestra red antes de implementar el protocolo estándar Syslog centralizado.

NTP en GNS3.

Configuración de un router Cisco para que sincronice la fecha y hora con un servidor de NTP público en internet.

Primero verificamos conectividad con el servidor NTP público en internet.

R1#ping pool.ntp.org
Translating "pool.ntp.org"...domain server (192.168.137.1) [OK]
 
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 132.248.30.3, timeout is 2 seconds:
!!!.!
Success rate is 80 percent (4/5), round-trip min/avg/max = 76/98/120 ms
R1#

Verificando conexión.

Configuración del Cliente NTP en R1.

R1#configure terminal
R1(config)#ntp server pool.ntp.org
Translating "pool.ntp.org"...domain server (192.168.137.1) [OK]
R1(config)#

Verificación.

R1#show clock detail
07:17:15.480 UTC Sun Mar 29 2015
Time source is NTP
 
R1#show ntp status
R1#show ntp associations

Verificación de NTP y comandos adicionales del estado de NTP.

Configuración en R2.

R2#configure terminal
R2(config)#ntp server 10.10.10.1
R2(config)#end
R2#
*Mar  1 00:14:15.523: %SYS-5-CONFIG_I: Configured from console by console
 
R2#show clock detail
.07:22:29.536 UTC Sun Mar 29 2015
Time source is NTP
R2#

NTP con Autenticación

R1#configure terminal
R1(config)#ntp authentication-key 1 md5 cisco
R1(config)#ntp authenticate
R1(config)#ntp trusted-key 1

Configuración de R2 como cliente NTP con autenticación.

R2#configure terminal
R2(config)#ntp authenticate
R2(config)#ntp authentication-key 1 md5 cisco
R2(config)#ntp trusted-key 1
R2(config)#ntp server 10.10.10.1 key 1

Syslog Server: Kiwi Syslog - Configuracion de un router Cisco

2015-10-17T21:32:00.002-05:00

Si queremos enviar los mensajes de log a un servidor de Syslog (Syslog server) para poder administrar los logs del dispositivo de la red de una forma mas centralizada, podemos enviar los logs que se generan y para que los mensajes se envíen a un servidor.

Es importante que antes de implementar el almacenamiento del log en un Syslog Server, todos los dispositivos de la red estén sincronizados con la misma hora, día y fecha. Para esto debemos de configurar el protocolo Network Time Protocol (NTP) en los switches y routers. Si no sabes realizar esta configuración podras consultar la siguiente publicación sobre NTP Server.

Syslog Server en GNS3.

Para configurar a que el router envíe los logs al Syslog Server debemos ingresar el siguiente comando, loggin host ip_servidor o el comando loggin ip_servidor, indicando la dirección IP del Servidor de Syslog.

Router(config)#logging host 10.10.20.10

10.10.20.10 es el servidor de log.

Podemos limitar la cantidad de mensajes enviados al servidor syslog, según la gravedad con el comando logging trap para establecer el nivel de detalle de la información que será registrada en el log. En este caso es de nivel 7 (debugging) que es el nivel más alto. Niveles de mensajes de Syslog.

R1(config)# logging trap 7

Otro comando importante es el service timestamps, esta configuración es muy importante cuando estemos configurando el loggin porque con esto vamos habilitar que aparezcan los logs con la fecha y la hora en que se genera el log, por default no está habilitado y básicamente lo que hace es que si te pone el log pero no te dice a qué hora fue generado el log, entonces este comando es importante configurarlo en el router.

Router(config)#service timestamps

La segunda parte del procedimiento es efectivamente instalar un software servidor de Syslog en una PC Windows o Linux. Kiwi Syslog Server para Windows es una excelente opción, fácil de instalar y configurar.

Verificacion

R1#debug ip icmp 
ICMP packet debugging is on
R1#

R1#ping 10.10.20.10
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.10.20.10, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 4/50/148 ms
R1#

00:09:28: ICMP: echo reply rcvd, src 10.10.20.10, dst 10.10.20.1
00:09:28: ICMP: echo reply rcvd, src 10.10.20.10, dst 10.10.20.1
00:09:28: ICMP: echo reply rcvd, src 10.10.20.10, dst 10.10.20.1
00:09:28: ICMP: echo reply rcvd, src 10.10.20.10, dst 10.10.20.1
00:09:28: ICMP: echo reply rcvd, src 10.10.20.10, dst 10.10.20.1

R1#conf t
R1(config)#exit
R1#
*Mar  1 00:09:35.999: %SYS-5-CONFIG_I: Configured from console by console
R1#

Kiwi Syslog en Windows.

Así de simple podemos centralizar la administración del log en nuestra red y mejorar significativamente la respuesta a un posible incidente o ataque de seguridad que tengamos que enfrentar.

Syslog

2015-10-17T02:30:00.001-05:00

El Syslog es enviar mensajes de información que puede ser a un router o a un servidor externo.

¿Para que nos va servir el Syslog?

El Syslog nos puede servir para sabes cual es la naturaleza de alguna ataque o amenaza de seguridad. También nos sirve de bastante para Troubleshooting y podemos correlacionar cualquier tipo de eventos, como por ejemplo.

Un intento de acceso con contraseña equivocada
Un acceso correcto al sistema
Anomalías: variaciones en el funcionamiento normal del sistema
Alertas cuando ocurre alguna condición especial
Información sobre las actividades del sistema operativo
Errores del hardware o el software

Por lo tanto, es vital la administración adecuada de esta información para mantener corriendo de manera estable una red y principalmente para poder mitigar las amenazas de seguridad a las que nos podamos ver expuestos.

Los logs también se pueden enviar a la consola (por default)

Al Logging Buffer del Router (por default)
A las Líneas VTY (Ingresando el comando terminal monitor)
A un Servidor de SNMP como puede ser un Cisco Works
A un servidor de Syslog.

Existe un Cliente y Servidor de Syslog.

El Syslog Client es el que envía los logs, es decir un router puede ser un cliente de Syslog.
Servidor Syslog es un aquel servidor que guarda todos los logs.

Syslog Levels.

La figura anterior muestra los niveles de Syslog que se tienen.

Nivel 0 son las Emergencias: Es cuando hay un error severo que hace que el sistema no sea usable
Nivel 1 son Alertas: Significa que requieren atención inmediata.
Nivel 2 Critica: Requiere atención para prevenir que haya interrupción en el servicio.
Nivel 3 Errores: Condiciones de errores en el Sistema.
Nivel 4 Warnings: Es cuando algo en específico falla.
Nivel 5 Notificaciones: Alerta sobre los cambios de estados.
Nivel 6 Información: Información detallada acerca de la operación normal.
Nivel 7 Debugging: Información detallada, comandos de debug, usualmente puede servir simplemente para troubleshooting.

Es importante saber que existen estos 8 niveles, que significa cada uno y como se llaman.

Iniciando un router se presentan varios log, ejemplo.

Press RETURN to get started!
*Mar  1 00:00:07.059: %LINEPROTO-5-UPDOWN: Line protocol on Interface VoIP-Null0, changed state to up

5 = Nivel 5

*Mar  1 00:00:07.059: %LINK-3-UPDOWN: Interface FastEthernet0/0, changed state to up
*Mar  1 00:00:07.063: %LINK-3-UPDOWN: Interface FastEthernet0/1, changed state to up

3 = Nivel 3

*Mar  1 00:00:07.287: %SYS-5-CONFIG_I: Configured from memory by console
*Mar  1 00:00:07.875: %SYS-5-RESTART: System restarted --
Cisco IOS Software, 3600 Software (C3660-IK9O3S-M), Version 12.4(13b), RELEASE SOFTWARE (fc3)
Technical Support: https://www.cisco.com/techsupport
Copyright (c) 1986-2007 by Cisco Systems, Inc.
Compiled Tue 24-Apr-07 21:18 by prod_rel_team
*Mar  1 00:00:07.887: %SNMP-5-COLDSTART: SNMP agent on host Router is undergoing a cold start
*Mar  1 00:00:08.059: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0, changed state to down
*Mar  1 00:00:09.299: %LINK-5-CHANGED: Interface FastEthernet0/1, changed state to administratively down

En el IOS de Cisco por default está configurado el log en la consola.

DHCP Relay en el Cisco ASA

2015-03-03T13:34:00.000-06:00

Las comunicaciones DHCP se realizan por broadcast y los mensajes broadcast no pasan a través de los routers. Por consiguiente, tanto las peticiones DHCP como las respuestas de los servidores no producen ninguna acción fuera de la red local. La solución mas fácil consiste evidentemente en poner un servidor DHCP en cada segmento de la red donde sean necesarios. Sin embargo, si se desea utilizar solo un servidor para varias redes, existe una solución , los agentes DHCP relay.

Un DHCP relay recibe las solicitudes de los clientes en formato de broadcast y las reenvía como unicast a la dirección del servidor DHCP.

Los mensajes unicast pueden pasar por los routers, llegando la información a buen puerto. En seguida, el servidor DHCP responderá con un mensaje en modo unicast con el agente relay como destino y este, a su vez enviara un mensaje broadcast que recibirá el equipo cliente. El cliente DHCP no sabrá que esta tratando con un agente relay, si no que piensa que hay un servidor DHCP real en su segmento.

Habilitar la función DHCP relay en el Cisco ASA.

Identificar el servidor DHCP

ciscoasa(config)# dhcprelay server ip-address interface

Si se tiene más de un servidor DHCP, puede repetir este comando para definir hasta cuatro servidores diferentes. En este caso, las solicitudes DHCP se transmiten a cada uno de los servidores de forma simultánea.

Identificar los clientes DHCP

ciscoasa(config)# dhcprelay enable interface

La palabra clave setroute instala automáticamente una ruta por defecto en el dispositivo.

ciscoasa(config)# dhcprelay setroute interface

CiscoASA(config)# dhcprelay server 20.1.1.2 DMZ
CiscoASA(config)# dhcprelay enable inside
CiscoASA(config)# dhcprelay setroute inside

Configurar la interface inside de los host para obtener la dirección IP por DHCP.

R1(config)#interface fastEthernet0/0
R1(config-if)#ip address dhcp 
R1(config-if)#no shutdown 
R1(config-if)#end
Interface FastEthernet0/0 assigned DHCP address 192.168.1.2, mask 255.255.255.0
R1#
R1#show ip int brief
Interface                  IP-Address      OK? Method Status                Protocol
FastEthernet0/0            192.168.1.2     YES DHCP   up                    up      
FastEthernet0/1            unassigned      YES unset  administratively down down

JunOS - Comandos Basicos

2015-02-21T16:24:00.000-06:00

Ingresar al modo de “Operational Mode”.

root@% cli

Es este modo (Operational Mode) no vas a poder realizar ningún tipo de configuración en particular, se usa solo para ver configuraciones y monitorear el estado del equipo. Para ingresar a “Configuration Mode”.

root> configure
Entering configuration mode
root#

Ahora el prompt se muestra con un # al final, arriba podes ver entre corchetes tu ubicación (sumamente útil). Para ejecutar el equivalente a “show run” de CISCO existen dos opciones, desde “Operational mode”.

root> show configuration

Y desde “Configuration Mode”.
root# run show configuration

Establecer una password para el usuario root:

root# set system root-authentication plain-text-password

Configurar Hostname
root# set system host-name Juniper

Mostrar interfaces o similar a show ip interfaces brief de Cisco.
root@Juniper# run show interfaces terse

Asignar una dirección IP a la interface em0
root@Juniper# set interfaces em0 unit 0 family inet address 192.168.10.1/30

Mostrar configuracion
root@Juniper# show

Borrar alguna linea de configuracion
root@Juniper# delete interfaces em0 unit 0 family inet address 192.168.10/30

Guardar configuración
root@Juniper# commit

Prueba de conectividad con un Ping
root@Juniper# run ping 192.168.10.2

Habilitar Telnet
root@Juniper# set system services telnet

Crear un Usuario y contraseña con class “super-user”:
root@Juniper# set system login user delfirosales class super-user authentication plain-text-password

Guardar cambios con commit

Dejar todo a los valores de fábrica
root@Juniper# load factory-default
root@Juniper# set system root-authentication plain-text-password
root@Juniper# commit

Servidor DHCP en el Cisco ASA

2015-02-21T15:58:00.000-06:00

El Cisco ASA puede actuar como un servidor DHCP para distribuir dirección IP a los hosts finales que ejecutan servicios de un cliente DHCP. Esta característica es importante si usted tiene una pequeña sucursal que no posee un servidor DHCP dedicado.

Para configurar el servidor DHCP a través de ASDM, ir a Configuración > Device Management > DHCP > DHCP server y seleccione la interface en la que desea habilitar los servicios DHCP.

Para configurar un ASA como un servidor DHCP, desde la línea de comandos.

Configuramos la interface inside.

CiscoASA# configure terminal
CiscoASA(config)# interface gigabitEthernet0 
CiscoASA(config-if)# nameif inside
INFO: Security level for "inside" set to 100 by default.
CiscoASA(config-if)# ip address 192.168.1.1 255.255.255.0
CiscoASA(config-if)# no shutdown

Definir el conjunto de direcciones IP y asignar el pool a los usuarios internos.
CiscoASA(config)# dhcpd address 192.168.1.10-192.168.1.30 inside

Habilitar el servicio de servidor DHCP en la interface
CiscoASA(config)# dhcpd enable inside

Definir el nombre de dominio para los clientes DHCP.
CiscoASA(config)# dhcpd domain delfirosales

Definir un servidor de nombres de dominio (DNS.
CiscoASA(config)# dhcpd dns 192.168.1.50

Tiempo de concesión en segundos. El valor predeterminado es de 3600 segundos (1 hora).
CiscoASA(config)# dhcpd lease 7200

Para comprobar la configuración de DHCP, podemos utilizar el comando show dhcpd state para mostrar el estado actual de DHCP en las interfaces internas y externas. El comando show dhcpd binding para visualizar los enlaces actuales de los usuarios internos y el comando show dhcpd statistics para mostrar las estadísticas de DHCP.

CiscoASA# show dhcpd state    
Context  Configured as DHCP Server
Interface inside, Configured for DHCP SERVER

CiscoASA# show dhcpd binding
IP address       Client Identifier        Lease expiration        Type
   192.168.1.10  0063.6973.636f.2d63.           7020 seconds    Automatic
                 3830.302e.3037.3734.
                 2e30.3030.302d.4661.
                 302f.30

Para borrar los enlaces de DHCP o estadísticas, utilice el comando clear dhcpd binding o clear dhcpd statistics.

CiscoASA# clear dhcpd binding

CiscoASA# clear dhcpd statistics

Passive Interface

2015-02-08T15:59:00.002-06:00

Otro caracteristica que le podemos configurar a EIGRP es lo que se llama interface pasiva (passive interface).

Una interface pasiva lo que hace es que no envía ningún tipo de paquete, ni hellos ni cualquier otro tipos de paquetes. Es decir que por esa interfaces no podremos tener neighbors o vecinos pero si anunciara las redes de dichas interfaces.

¿Cuándo se utiliza este tipo de interfaces?

Para suprimir tráfico de actualización innecesario, por ejemplo, cuando una interfaz es una interfaz LAN, sin otros routers conectados.
Para aumentar los controles de seguridad, por ejemplo, para evitar que dispositivos desconocidos de routing no autorizados reciban actualizaciones de EIGRP.

Observando la topología sería buena idea configurar como interfaces pasivas las áreas en color rojo, porque en esas interfaces no tendremos ningún neighbor pero si vamos anunciar las redes de dichas interfaces.

Configuración de Passive Interface.

R5#configure terminal
R5(config)#router eigrp 10
R5(config-router)#passive-interface ethernet 0/1

R2#configure terminal 
R2(config)#router eigrp 10
R2(config-router)#passive-interface fastEthernet 1/0

Hemos configurado las interfaces pasivas, desde R3 podremos seguir viendo las redes y seguiremos teniendo conectividad.

Configuración de EIGRP

2015-02-08T15:15:00.000-06:00

Las mínimas opciones que podemos configurar para habilitar EIGRP son las siguientes.

Proceso de EIGRP
Sistema Autonomo
Habilitar EIGRP en las interfaces

Topologia a configurar.

Configurar la parte del direccionamiento.

Configuración de R2

R2#configure terminal
R2(config)#interface fastEthernet1/0
R2(config-if)#ip address 192.168.2.2 255.255.255.0
R2(config-if)#no shutdown
R2(config-if)#exit

R2(config)#interface serial2/1
R2(config-if)#ip address 192.168.0.2 255.255.255.252
R2(config-if)#no shutdown
R2(config-if)#end
R2#

Cofiguración de R3

R3#configure terminal 
R3(config)#interface serial1/3
R3(config-if)#ip address 192.168.0.1 255.255.255.252
R3(config-if)#no shutdown
R3(config-if)#exit

R3(config)#interface ethernet0/0
R3(config-if)#ip address 192.168.35.3 255.255.255.0
R3(config-if)#no shutdown
R3(config-if)#end
R3#

Configuracón de R5

R5#configure terminal 
R5(config)#interface ethernet0/0
R5(config-if)#ip address 192.168.35.5 255.255.255.0
R5(config-if)#no shutdown
R5(config-if)#exit

R5(config)#interface ethernet0/1
R5(config-if)#ip address 192.168.5.5 255.255.255.0
R5(config-if)#no shutdown
R5(config-if)#end
R5#

Si ingresamos el comando show ip route en R2, podremos ver lo siguiente.

Si realizamos un ping a 192.168.35.3 no va responder ya que no tenemos una ruta hacia él. Podemos configurar rutas estáticas, pero en este caso vamos a configurar EIGRP.

R2#ping 192.168.35.3

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 192.168.35.3, timeout is 2 seconds:

.....

Success rate is 0 percent (0/5)

Pasos para configurar EIGRP

Entrar a configuración global.

R2#configure terminal

Ingresar el comando router eigrp sistema_autonomo. Podemos asignarle un número de AS que va del 1 al 65535.

R2(config)#router eigrp ?

<1-65535> Autonomous system number

R2(config)# router eigrp 10

R2(config-router)# no auto-summary

El siguiente paso es indicar en que interfaces va estar corriendo EIGRP. Esto se realiza con el comando network.

R2(config-router)# network 192.168.2.0 0.0.0.255

R2(config-router)# network 192.168.0.0 0.0.0.3

Con este estamos indicando que estamos corriendo EIGRP en ambas interfaces.

Configuración de EIGRP en las interfaces de R3.

R3#configure terminal
R3(config)#router eigrp 10
R3(config-router)#no auto-summary
R3(config-router)#network 192.168.0.0 0.0.0.3
R3(config-router)#network 192.168.35.0 0.0.0.255

*Mar 1 00:01:59.599: %DUAL-5-NBRCHANGE: IP-EIGRP(0) 10: Neighbor 192.168.0.2 (Serial1/3) is up: new adjacency

Podemos observar que se ha creado una adyacencia.

Como ya tenemos corriendo EIGRP en R3 con R2 podemos ingresar el siguiente comando, el cual nos va listar los vecinos o neighbors que tenemos.

R3# show ip eigrp neighbors

R3# show ip route eigrp

Configuración de EIGRP en R5.

Si primero hacemos un show ip route en R5, veremos las redes que están solamente conectadas.

R5#configure terminal 
R5(config)#router eigrp 10
R3(config-router)#no auto-summary
R5(config-router)#network 192.168.35.0 0.0.0.255 
R5(config-router)#network 192.168.5.5 0.0.0.0

AAA en Routers & Switches Cisco

2014-04-07T22:05:00.000-05:00

Las principales funciones de AAA son.

Autenticación: comprueba que los usuarios y administradores sean quienes dicen ser.
Autorización: después de la autenticar al usuario o al administrador, decide a qué recursos puede acceder o qué operaciones puede realizar.
Registro (Accounting and Auditing): guarda el instante temporal en el que se efectúan las operaciones y acceden a los recursos.

Los Routers y Switches Cisco manejan AAA, de hecho también los Firewalls de Cisco pueden manejar AAA, los concentradores de VPN pueden manejar AAA, los Access Point pueden manejar AAA pero para este examen estamos viendo nada más los Routers y Switches.

Lo hay de tres maneras:

Cisco Secure ACS Solution Engine: Este es un equipo que contiene CSA, este casi no se usa en la vida real.

Cisco Secure Access Control Server (ACS): Se le conoce como ACS y este es el que se usa bastante en la vida real y es el que vamos a ver como se configura pero nada más la parte del router no la parte en si del servidor. El Router o el NAS es el que tiene contacto con el ACS en este caso el NAS puede ser un Router, puede ser un Switch, un Firewall, un concentrador de VPN. Entonces el router o NAS contacta a la base de datos externa el Cisco Secure ACS.

Self-contained AAA: Se le conoce también como Autenticacion Local y esto quiere decir que el Router no necesita de un equipo externo como el ACS para que pueda funcionar como AAA y simplemente usa la base de datos local de usuarios con contraseña para tener los servicios de AAA.

¿Cuáles son los servicios más comunes de AAA?

Puerto de Consola
Puerto Auxiliar
Telnet
SSH
HTTP
HTTPS
VPNs
Wireless

Podemos proteger todo el acceso al Router, es decir si por ejemplo queremos accesar al router por CCP ya sea por HTTP o HTTPS podemos usar AAA, si queremos entrar al router por Telnet y SSH se puede proteger con AAA, o de hecho si queremos conectarnos directamente a los puertos de consola y auxiliar podemos protegerlos con AAA.

También para los usuarios que entran por medio de VPN a nuestra red, puede ser controlado ese acceso por AAA, nuestros usuarios de Wireless se les puede pedir nombre de usuario y password para entrar a la red Wireless y este también puede estar con AAA. Entonces como podemos ver hay muchas opciones en los que AAA puede entrar en juego.

Configuración de AAA, Autenticacion Local

Vamos a configurar AAA en el Router usando Autenticacion Local, es decir sin un Servidor ACS o ningún servidor externo. Para configurar AAA vamos a realizarlo paso a paso.

La primera es entrar en Modo Privilegiado
La segunda es habilitar en modo global AAA
Configurar las Listas de Autenticación que se les conoce como Method List
Después configurar Autorización
Configurar el Accounting
Por ultimo verificar nuestra configuración

El primero paso para configurar AAA es habilitarlo de manera global e indicarle que la Autenticación sea Local.

Router#configure terminal
Router(config)#aaa new-model
Router(config)#aaa authentication ?
  arap             Set authentication lists for arap.
  attempts         Set the maximum number of authentication attempts
  banner           Message to use when starting login/authentication.
  dot1x            Set authentication lists for IEEE 802.1x.
  enable           Set authentication list for enable.
  eou              Set authentication lists for EAPoUDP
  fail-message     Message to use for failed login/authentication.
  login            Set authentication lists for logins.
  password-prompt  Text to use when prompting for a password
  ppp              Set authentication lists for ppp.
  sgbp             Set authentication lists for sgbp.
  username-prompt  Text to use when prompting for a username

Con el signo de interrogacion podemos ver todo lo que podemos configurar con AAA.

attempts: Cuantas veces o numero maximo de autentications queremos preguntarle a un usuario y password.
banner: Podemos configurarle un Banner.
enable: Podemos autenticar el enable
fail-message: Cual es el mensaje que se debe mostrar si la autenticación falla
Login:
password-prompt: Lo mismo para el password, cual es el texto que quiero que diga cuando salga el password.
ppp: Autenticar ppp, en el caso de que si queremos autenticar a alguien que se conecte por ppp, esto se usaba mucho cuando eran por modem.
username-prompt: Si queremos cambiar en lugar de preguntar un username y password cambiarle a que diga usuario y contraseña por ejemplo.

Por ejemplo nosotros queremos autenticar el login, entonces le vamos a indicar que la Autenticación va hacer login, Luego le indicaremos que sea desde la Base de datos Local. Para esto ingremos el siguiente comando.

Router(config)#aaa authentication login default local

Con esto estamos indicando que la autenticación por default es la base de datos local. Ahora si verificamos Accediendo por telnet al Router.

User Access Verification
Username: delfi
Password: cisco
Router>enable
% Error in authentication.
Router>

Si le tratamos de ingresar enable, envía un mensaje de error en la Autenticación porque el enable no está dado de alta. Así que lo damos de alta el enable desde configuracion global.

Router(config)#enable secret cisco

Volvemos verificar ingresando nuevamente el comando enable.

Router>en
Password:
Router#

No service password recovery

2014-04-06T12:40:00.000-05:00

Este comando puede ser muy muy peligroso, de hecho en los Routers está escondido, si ponemos en consola “no service password-recove ?” vamos a ver que no aparece pero si se puede configurar. Lo que hace es que no podemos hacerle un password recovery al router, si intentamos hacer un password recovery va borrar la configuración y puede que borre el IOS. Es un hecho de que va borrar la configuración y dependiendo de la plataforma puede que perdamos más cosas.

Tener en mente de que ROMMON no podrá ser accesible si tenemos habilitado el “no service password-recovery”. Hay que usarlo con mucho cuidado.

Configurar no service password-recovery

Router(config)#no service password-recovery

WARNING:

Executing this command will disable password recovery mechanism.

Do not execute this command without another plan for

password recovery.

Are you sure you want to continue? [yes/no]: yes

Router(config)#

Si revisamos la configuracion podremos ver que si aparece el no service password-recovery

Router#show running-config

Building configuration...

version 12.4

service timestamps debug datetime msec

service timestamps log datetime msec

no service password-encryption

no service password-recovery

Habilitar el service password-recovery

Router(config)#service password-recovery

Autenticación, utilizando la Base de Datos Local

2014-04-06T03:49:00.000-05:00

Autenticar en el Router mediante un Username y Password
Lo que vamos a ver ahora es que a la hora de Autenticarnos en el Router nos pida el ingreso de nombre de usuario y contraseña.

El primer paso es definir desde configuración global el username y el password.

Router#configure terminal
Router(config)#username delfirosales password cisco

Con esto ya hemos creado un nombre de usuario con su respectiva contraseña. Ahora tenemos que indicarle al router que autentique con un username y un password. Esto se hace con el commando login local. En lugar de usar el commando login, vamos usar el login local.

Habilitar Login local para la Linea de Consola

Router(config)#line console 0
Router(config-line)#login local

Con esto estamos indicándole al router que ya no le haga caso al password configurado en consola, si no que busque la base de datos local de usuario y password.

Verificamos
User Access Verification

Username: delfirosales
Password:
Router>

Vemos que ahora nos pide un usuario y password desde consola.

Habilitar Login local en las Lineas VTY

Router#configure terminal
Router(config)#line vty 0 4
Router(config-line)#login local
Router(config-line)#exit
Router(config)#

Verificamos Telnet

Passwords en los Routers Cisco

2014-04-05T18:21:00.001-06:00

¿Que tipo de Passwords se pueden configurar en los Routers Cisco?

Console
AUX
VTY
HTTP/HTTPS
Enable secret
Enable password

¿Cuales son las mejores practicas para un password que si sea fuerte, que si sea seguro?

Por lo menos debe de tener 10 caracteres
Usar minúsculas, mayúsculas, números y caracteres especiales
Que no sea una palabra común, es decir que no esté en un diccionario
Debemos de cambiar el password de manera periódica. Seria una muy buena idea es de que si tenemos una política de seguridad por escrito que ahí se mencione que tan seguido se debe de cambiar el password y que realmente se haga.

Configurando Password en los Routers Cisco

Confiurar Password de Consola

Router#configure terminal
Router(config)#line console 0
Router(config-line)#password console
Router(config-line)#login
Router(config-line)#exit

Configurar Password de AUX

Router#configure terminal
Router(config)#line aux 0
Router(config-line)#password passaux
Router(config-line)#login
Router(config-line)#exit

Configurar Password en las Lineas VTY

Router#configure terminal
Router(config)#line vty 0 4
Router(config-line)#password vty
Router(config-line)#login

Si en estos momentos vemos la configuración con el comando show running-config.

Router#show running-config
Building configuration...
!
line con 0
exec-timeout 0 0
password console
logging synchronous
login
line aux 0
exec-timeout 0 0
privilege level 15
password passaux
logging synchronous
login
line vty 0 4
password vty
login
!

Vemos los passwords tal cual. Esta manera de guardar las contraseñas es muy insegura ya que se pueden ver. Para esto Cisco tiene una manera de encriptar los passwords, que por cierto no es muy segura, el comando se llama service password-encryption.

Configurar el service password-encryption

Router#configure terminal
Router(config)#service password-encryption
Router(config)#exit

Si ahora le revisamos con un show running-config, veremos los passwords encriptados, pero tal como se ha mencionado esta encriptacion no es muy segura.

Router#show running-config
Building configuration...
!
line con 0
exec-timeout 0 0
password 7 02050B5518090324
logging synchronous
login
line aux 0
exec-timeout 0 0
privilege level 15
password 7 140713181F053F33
logging synchronous
login
line vty 0 4
password 7 08375857
login
!

Cuando veamos en la configuración password 7 lo que sigue significa que esta encriptado y tal como se menciona, esta encriptacion no es segura. Podemos descifrar el password con cualquier herramienta que podamos encontrar en google, como de la pagina Packetlife.net.

Algo importante que debemos de saber es si quitamos el service password-encryption (no service password-encryption).

Router(config)#no service password-encryption

Y le ponemos de nuevo un show running-config

Router#show running-config
Building configuration...
!
line con 0
exec-timeout 0 0
password 7 02050B5518090324
logging synchronous
login
line aux 0
exec-timeout 0 0
privilege level 15
password 7 140713181F053F33
logging synchronous
login
line vty 0 4
password 7 08375857
login
!

Vamos a ver que los deja encriptados. Es bien imporante el entender que si vemos que dice password 7y lo que sigue esta encriptado. Si nosotros copiamos password 7 08375857 y lo pegamos en otro Router el password que le estamos poniendo no es 08375857, es el que esta encriptado porque le estamos poniendo un 7. Si le pusieramos password 0 (el 0 significa que lo que sigue no esta encriptado).

Habilitar enable password

Router#configure terminal
Router(config)#enable password passenable

Habilitar enable secret

Router#configure terminal
Router(config)#enable secret cisco2

Veamos la configuracion

Router#show running-config
Building configuration...
!
enable secret 5 $1$SfXz$VTQcZ6eOOVgZCBfvtmMBC0
enable password passenable
!

Podemos ver que el enable password tiene como contraseña passenable y el enable secret tiene un Hash de MD5. Cuando configuramos el enable secret ingrasamos cisco2 y automaticamente puso un 5 y un hash de MD5. Cualquier password que se ingrese automaticamente lo va convertir en un hasd de MD5 con valor de 128 bits aunque no tengamos habilitado el service password-encryption. Si en alguna configuracion ven enable secret 5 lo que sigue no es el password, es el hash de MD5.

Configuración de Cisco IOS Zone - Based Policy Firewall

2014-03-23T00:06:00.000-06:00

Una de las principales diferencias entre un firewall usando CBAC y ZBPFW (zone based Firewall) es el uso de zonas de seguridad. Estas zonas separan las áreas específicas de seguridad dentro de una red. Cada organización tiene sus propias divisiones específicas de seguridad que deben ser definidos antes de la implementación de un ZBPFW.

Topologia de ejemplo para la Configuracion del IOS Zone Firewall.

Lo primero es crear el Par de Zonas, desde configuración global.

Creamos el inside security zona con el nombre de inside
Creamos el otra zona con el nombre de Outside

Router#configure terminal 
Router(config)#zone security inside
Router(config-sec-zone)#exit
Router(config)#zone security outside
Router(config-sec-zone)#exit

Creamos un class map con el nombre de MI-CLASS-MAP, luego los Matchs de ICMP y telnet.

Router(config)#class-map type inspect match-any MI-CLASS-MAP
Router(config-cmap)#match protocol telnet
Router(config-cmap)#match protocol icmp  
Router(config-cmap)#exit

Creamos una politica de servicio con el nombre de MI-POLITICA, identificamos el class map MI-CLASS-MAP Inspeccionamos todo el trafico.

Router(config)#policy-map type inspect MI-POLITICA
Router(config-pmap)#class type inspect MI-CLASS-MAP
Router(config-pmap-c)#inspect 
Router(config-pmap-c)#exit
Router(config-pmap)#exit

Creamos una Par de Zona o Zone pair identicando la zona fuente (inside) y el destino (outside). Asignamos la política de servicio MI-POLITICA para todo el trafico que pasa del origen al destino.

Router(config)#zone-pair security IN-TO-OUT source inside destination outside
Router(config-sec-zone-pair)#service-policy type inspect MI-POLITICA
Router(config-sec-zone-pair)#exit
Router(config)#

Asignamos las interfaces a su respectivas zonas.

Router(config)#interface fastEthernet0/0 
Router(config-if)#description Es la Zona Inside
Router(config-if)#zone-member security inside
Router(config-if)#exit
Router(config)#interface fastEthernet0/1
Router(config-if)#description Es la Zona Outside
Router(config-if)#zone-member security outside
Router(config-if)#exit
Router(config)#

Verificación desde el Cliente o Inside.

Video - Implementación de Cisco IOS Zone-Based Firewall usando CCP

Usando CCP para Configurar Cisco IOS Zone - Based Firewall from delfirosales on Vimeo.

Qemu & GNS3 en Ubuntu 12.10

2012-10-26T02:50:00.000-05:00

Primero instalar algunas aplicaciones necesarias.

root@cisco:/home/delfi# apt-get update
root@cisco:/home/delfi# apt-get install libpcap-dev
root@cisco:/home/delfi# apt-get install build-essential libssl-dev uuid-dev zlib1g-dev libncurses5-dev libx11-dev

Segundo, creamos carpetas y asignamos permisos

root@cisco:/home/delfi# mkdir GNS3
root@cisco:/home/delfi# chmod 777 GNS3
root@cisco:/home/delfi# cd GNS3
root@cisco:/home/delfi/GNS3# mkdir Dynamips
root@cisco:/home/delfi/GNS3# mkdir IOS
root@cisco:/home/delfi/GNS3# mkdir Proyectos
root@cisco:/home/delfi/GNS3# mkdir Capturas
root@cisco:/home/delfi/GNS3# mkdir working
root@cisco:/home/delfi/GNS3# mkdir qemu
root@cisco:/home/delfi/GNS3# chmod 777 Dynamips
root@cisco:/home/delfi/GNS3# chmod 777 IOS
root@cisco:/home/delfi/GNS3# chmod 777 Proyectos
root@cisco:/home/delfi/GNS3# chmod 777 Capturas
root@cisco:/home/delfi/GNS3# chmod 777 working
root@cisco:/home/delfi/GNS3# chmod 777 qemu

Luego descargamos GNS3 v0.8.3.1 en su versión mas reciente, descomprimos y asignamos permisos.

root@cisco:/home/delfi/GNS3# wget https://voxel.dl.sourceforge.net/project/gns-3/GNS3/0.8.3.1/GNS3-0.8.3.1-src.tar.gz
root@cisco:/home/delfi/GNS3# tar -xvzf GNS3-0.8.3.1-src.tar.gz
root@cisco:/home/delfi/GNS3# chmod 777 GNS3-0.8.3.1-src
root@cisco:/home/delfi/GNS3# cd GNS3-0.8.3.1-src
root@cisco:/home/delfi/GNS3/GNS3-0.8.3.1-src# chmod 777 *.*
root@cisco:/home/delfi/GNS3/GNS3-0.8.3.1-src# cd ..
root@cisco:/home/delfi/GNS3# ls
Capturas  Dynamips  GNS3-0.8.3.1-src  GNS3-0.8.3.1-src.tar.gz  IOS  Proyectos  qemu

Realizamos lo mismo con Dynamips.

root@cisco:/home/delfi/GNS3# cd Dynamips/
root@cisco:/home/delfi/GNS3/Dynamips# wget https://voxel.dl.sourceforge.net/project/gns-3/Dynamips/0.2.8-RC3-community/dynamips-0.2.8-RC3-community-x86.bin
root@cisco:/home/delfi/GNS3/Dynamips# chmod 77 dynamips-0.2.8-RC3-community-x86.bin
root@cisco:/home/delfi/GNS3/Dynamips# cd ..
root@cisco:/home/delfi//GNS3# ./gns3

Configuración de Dynamips en GNS3.

Configuración de Qemu
Ahora toca configurar Qemu

root@cisco:/home/delfi/GNS3# cd qemu
root@cisco:/home/delfi/GNS3/qemu# wget https://download.savannah.gnu.org/releases/qemu/qemu-0.11.0.tar.gz
root@cisco:/home/delfi/GNS3/qemu# tar xvzf qemu-0.11.0.tar.gz
root@cisco:/home/delfi/GNS3/qemu# ls
qemu-0.11.0  qemu-0.11.0.tar.gz
root@cisco:/home/delfi/GNS3/qemu# cd qemu-0.11.0
root@cisco:/home/delfi/GNS3/qemu/qemu-0.11.0# wget https://voxel.dl.sourceforge.net/project/gns-3/Qemu/qemu-0.11.0-olive.patch
root@cisco:/home/delfi/GNS3/qemu/qemu-0.11.0# patch -p1 -i qemu-0.11.0-olive.patch
patching file Makefile.target
patching file configure
patching file hw/e1000.c
patching file hw/eepro100.c
patching file net.c
patching file qemu-options.hx
root@cisco:/home/delfi/GNS3/qemu/qemu-0.11.0# ./configure --target-list=i386-softmmu
root@cisco:/home/delfi/GNS3/qemu/qemu-0.11.0# make
root@cisco:/home/delfi/GNS3/qemu/qemu-0.11.0# make install

Averiguamos donde se encuentra qemu y qemu-img con el comando which.

root@cisco:/home/delfi/GNS3/qemu/qemu-0.11.0# which qemu
/usr/local/bin/qemu
root@cisco:/home/delfi/GNS3/qemu/qemu-0.11.0# which qemu-img
/usr/local/bin/qemu-img
root@cisco:/home/delfi/GNS3/qemu/qemu-0.11.0#

Finalmente la configuración de Qemu en GNS3 debe quedar como se muestra en la siguiente imagen.

Configuración de Qemu en GNS3.

Configuración de Linux Microcore en GNS3.

Descargamos Linux Microcore (linux-microcore-3.8.2.img) del siguiente enlace.
https://sourceforge.net/projects/gns-3/files/Qemu%20Appliances/
Una vez que hallamos descargado la imagen, el siguiente paso es abrir GNS3 y dirigirmos al Menú.
Edit > Preferences > Qemu > Qemu Guest

Finalmente quedaría como se muestra a continuación.

Configuración de Linux Microcore en GNS3.

Simple Lab

Arrastramos un Router y Quemu Guest al area de trabajo de GNS3, realizamos las conexiones y luego los inicializamos. Primero le configuramos al Router una dirección IP y habilitamos la interface.

R1#conf t
R1(config)#int f0/0      
R1(config-if)#ip add 192.168.10.1 255.255.255.0
R1(config-if)#no shut
R1(config-if)#end
R1#show ip int brief
Interface                  IP-Address      OK? Method Status                Protocol
FastEthernet0/0            192.168.10.1    YES manual up                    up    
FastEthernet0/1            unassigned      YES unset  administratively down down  
R1#

Realizamos lo mismo con Linux Microcore.

Micro Core Linux
box login: login[1451]: root login on 'tty1'

Micro Core Linux
box login: root
Password: root

tc@box:~$ sudo su
root@box:~# ifconfig eth0 192.168.10.2 netmask 255.255.255.0 up
root@box:~# ifconfig eth0
eth0      Link encap:Ethernet  HWaddr 00:AB:29:8C:3E:00
          inet addr:192.168.10.2  Bcast:192.168.10.255  Mask:255.255.255.0
          inet6 addr: fe80::2ab:29ff:fe8c:3e00/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:36 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:0 (0.0 B)  TX bytes:10278 (10.0 KiB)

Finalmente realizamos una prueba de conectividad.

R1#ping 192.168.10.2

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.10.2, timeout is 2 seconds:
.!!!!
Success rate is 80 percent (4/5), round-trip min/avg/max = 8/11/12 ms
R1#

root@box:~# ping 192.168.10.1
PING 192.168.10.1 (192.168.10.1): 56 data bytes
64 bytes from 192.168.10.1: seq=0 ttl=255 time=13.310 ms
64 bytes from 192.168.10.1: seq=1 ttl=255 time=11.636 ms
64 bytes from 192.168.10.1: seq=2 ttl=255 time=3.861 ms