cancelar
Mostrando los resultados de 
Buscar en lugar de 
Quiere decir: 
Avisos
¡Bienvenido a la nueva Comunidad de Soporte de Cisco! Nos encantaría conocer su opinión

UCS - mejores prácticas en la configuración de aspectos de red, almacenamiento y computo - Pregunte al Experto

Botón para participar

Durante este evento se discutirán las mejores prácticas de configuración dentro de los servidores UCS (Unified Computing Systems),  tanto de la familia B como la familia C. Dentro de los temas a abordar se hablará de la red, el almacenamiento y computo que engloban a todo el ambiente, y la solución UCS a detalle. 

Haga sus preguntas del 12 de Septiembre al 16 de Septiembre del 2016.



Detalles del especialista 


Luis Fernando Ramos es un ingeniero de soporte de Cisco, pertenece al  grupo de Data Center del TAC LATAM en donde brinda soporte en Inglés, Español y Portugués. Trabaja en Cisco desde Diciembre del 2014, inició su carrera como becario en Rochester (MN, USA) y en el Salto (Jalisco, México) como programador para IBM Iseries Servers. Posteriormente trabajo en Micronet como Ingeniero de Redes y  especialista en Centros de Datos en donde implementaba y operaba una diversa gama de equipos entre 2 Centros de Datos a nivel Nacional e Internacional (+500 equipos de red administrados y +6000 servidores físicos y virtuales). Luis cuenta con la certificación CCNP( DataCenter, R&S y Seguridad), así como especializaciones complementarias, (VMware vSphere: Install, Configure, Manage V6.0, ITILv3, etc).

Luis puede no ser capaz de responder a todas las preguntas, debido al volumen esperado durante este evento. Recuerde que también puede hacer sus preguntas en nuestra sub-comunidad de Data Center https://supportforums.cisco.com/es/community/5801/data-center 

 

** ¡Las calificaciones fomentan la participación! **
Por favor asegúrese de calificar special-programs.png las respuestas a sus preguntas.

1 SOLUCIÓN ACEPTADA

Soluciones aceptadas

Hola Luis 

Hola Luis 

Te compartimos la pregunta de un usuario relacionada al tema: 

 

 

Alguien de la comunidad que me pueda ayudar para poder correguir las siguientes vulnerabilidades de servidores UCS C460 M4

 

1.- The SSH server is configured to support Cipher Block Chaining (CBC)
encryption.  This may allow an attacker to recover the plaintext message
from the ciphertext.

2.- The SSH server is configured to allow either MD5 or 96-bit MAC
algorithms, both of which are considered weak.

 

Estas vulnerabilidades son de la CIMC mas no del OS

 

En espera de sus comentarios

 

Saludos

 

6 RESPUESTAS

Hola Luis 

Hola Luis 

Te compartimos la pregunta de un usuario relacionada al tema: 

 

 

Alguien de la comunidad que me pueda ayudar para poder correguir las siguientes vulnerabilidades de servidores UCS C460 M4

 

1.- The SSH server is configured to support Cipher Block Chaining (CBC)
encryption.  This may allow an attacker to recover the plaintext message
from the ciphertext.

2.- The SSH server is configured to allow either MD5 or 96-bit MAC
algorithms, both of which are considered weak.

 

Estas vulnerabilidades son de la CIMC mas no del OS

 

En espera de sus comentarios

 

Saludos

 

Cisco Employee

Cual es la configuración

Cual es la configuración minima que necesito en los Fabric para poder usar FCOE y FC hacia mis Nexus 5000 y mi MDS? Gracias
Cisco Employee

Buenas Tares Carlos

Buenas Tares Carlos

Principalmente son 3

  1. Configurar la(s) Virtual Storage Area Network (VSAN).
  2. Configurar interfaces en modo Uplinks. (Modo FC o Unified)
  3. Configurar Port-channels  (optional).

En los Nexus y MDS se tienen que hacer cambios respectivos.

Para mas detalle consultar las siguientes guias:

http://www.cisco.com/c/en/us/support/docs/servers-unified-computing/ucs-manager/116188-configure-fcoe-00.html#anc9

http://www.cisco.com/c/en/us/td/docs/unified_computing/ucs/sw/gui/config/guide/2-0/b_UCSM_GUI_Configuration_Guide_2_0/b_UCSM_GUI_Configuration_Guide_2_0_chapter_0101.pdf/index.html

Si aun tuvieras dudas, te invito a abrir un caso al TAC con la duda especifica para poder revisarlo y guiarte al respecto.

Cisco Employee

Buenas Tardes Estimado Oscar

Buenas Tardes Estimado Oscar Ruiz.

 

Respondiendo tus dudas:

1.- The SSH server is configured to support Cipher Block Chaining (CBC)

encryption.  This may allow an attacker to recover the plaintext message

from the ciphertext.

 

Esta vulnerabilidad del tipo "low-risk" define que ciphers AES-CBC pueden teóricamente ser interceptados para extraer mensajes en texto plano del mensaje encriptado, y que los ciphers AES-CTR son más seguros y se recomiendan para remplazar AES-CBC.

El bug CSCux22875, documenta la vulnerabilidad:

https://bst.cloudapps.cisco.com/bugsearch/bug/CSCux22875/?reffering_site=dumpcr

 

A partir de la versión 2.0(9c), los ciphers AES-CTR están disponibles para establecer conectividad. Aun así, aunque los ciphers AES-CTR pueden ser utilizados, los ciphers anteriores NO están deshabilitados.

Como consecuencia, no hay forma de completamente remover el error en el reporte si se busca si están disponibles los ciphers AES-CBC.

Los desarrolladores consideran que los ciphers AES-CBC son actualmente necesarios para retro-compatibilidad con los dispositivos y sistemas que no son compatibles con AES-CTR. Los ciphers AES-CTR son siempre intentados de negociar primero, y los ciphers AES-CBC son usados solo si no se soportan CTR.

Actualmente el equipo de desarrollo NO tiene planes de modificar el código para deshabilitar selectivamente los ciphers AES-CBC en el futuro inmediato

 

2.- The SSH server is configured to allow either MD5 or 96-bit MAC

algorithms, both of which are considered weak.

Esta vulnerabilidad es similar a la anterior, el código mantiene algoritmos de hash como hmac-mds y hmac-sha1-96 para compatibilidad con anteriores dispositivos y clientes SSH.

Los UCS, y su código de OpenSSH, siempre prefiere los algoritmos robustos (el listado de conexión siempre están los algoritmos más seguros al principio, y los mas débiles al final) por lo que si se intenta

Conectar con un cliente reciente, se usara un algoritmo nuevo. Únicamente si el cliente es muy antiguo establecerá en estos algoritmos. El código de OpenSSH que usa Cisco para los UCS no hay forma actualmente de seleccionar y deshabilitar selectivamente dichos algoritmos.

 Por lo mismo, el equipo de desarrollo NO tiene planes de modificar el código para deshabilitarlos selectivamente esos algorimos, en el futuro inmediato.

 

Aun así, si es mandatorio deshabilitar los CBC ciphers o deshabilitar los algoritmos, existe la opción de deshabilitar completamente SSH a nivel de CIMC.

Anexo la guía de cómo realizarlo:

http://www.cisco.com/c/en/us/td/docs/unified_computing/ucs/c/sw/gui/config/guide/151/b_Cisco_UCS_C-series_GUI_Configuration_Guide-151/b_Cisco_UCS_C-series_GUI_Configuration_Guide-151_chapter_01010.html#task_10637AC91E1C4F55ABEC112C91AD29EA

New Member

Duda con Cisco UCS Manager,

Duda con Cisco UCS Manager, tengo un problema con java.io.IOEsception: Invalid Http response Login error for URL

Se ha realizado una actualización de Java a Versión 7Update –build 1.70_51_b13-, pero a nivel de cliente no es posible acceder a la gestión del Cisco UCS Manager desde el protocolo SSL.

¿Me puede ayudar a solucionar el problema?

Login Error: java.io.IOException: Invalid Http response
Login Error: java.io.IOException: Server returned HTTP response code: 400 for URL: http://[MANAGER_IP

Cisco Employee

Buenas tardes adolfo Suarez,

Buenas tardes adolfo Suarez,

El problema que tenemos es que la version Java 7 update 45 en adelante tiene unos cambios que hace que no pueda entender la respuesta de HTTP.

Esto se documenta en el bug:

https://bst.cloudapps.cisco.com/bugsearch/bug/CSCuj84421/?reffering_site=dumpcr

Workaround:
Usar Java version 7 update 40 o menor.

Versiones anteriores de Java estan en:
http://www.oracle.com/technetwork/java/javase/downloads/java-archive-downloads-javase7-521261.html

Workaround temporal si Java no puede ser modificado, ni UCS,
c:\Program Files (x86)\Java\jre7\bin\javaws.exe -J-Dsecure.mode=true "https://UCSM_IP/ucsm/ucsm.jnlp"

Alternativamente, hacer upgrade a una version con el fix de este bug o superior

Known Fixed Releases:
(5)
2.0(5f)
2.1(3b)
2.2(1b)
2.2(2c)
2.2(2c)T

Saludos

Luis Ramos

314
Visitas
25
ÚTIL
6
Respuestas