IPv6 bei O2/Telefonica

Die Antwort auf meine letzte Anfrage, wann bei meinem Geschäftskunden-Anschluss IPv6 verfügbar sein wird gibt doch schon mal Hoffnung:

Telefónica Deutschland weiß um die zukünftige Bedeutung von IPV6 für künftige digitale Dienste.

Ok, hilft nicht weiter, aber irgendjemand hat den Begriff dort vermutlich schon einmal gehört …

CiscoLive 2015 in San Diego – Tag 3

clus




Tag 3

Der dritte Tag startete mit einer Meraki MX Session:

  • Resilient WAN and Security for Distributed Networks with Cisco Meraki MX

Obwohl ich dem gesamten Cloud-Hype skeptisch gegenüber stehe, ist es doch schon faszinierend, wie einfach der Aufbau eines Netzes mit diesen Geräten ist. Mit den Meraki Access-Points habe ich schon länger zu tun, aber auch die Security-Appliances werde ich mal genauer anschauen. Auch wenn sich Meraki mit Roadmaps sehr bedeckt hält kam die Info, dass ein paar interessante Erweiterungen kommen werden:

  • IWAN
  • AnyConnect VPN
  • FirePOWER AMP
  • Direkte Unterstützung der ASA als Headend für Branch-VPNs

Dann kam die „Luminary Keynote – Dr. Peter Diamandis – Technology Futurist“

Das war der Einleitungstext zu dieser Keynote:

Dr. Peter Diamandis is a visionary, innovator, author, physician, engineer and entrepreneur. He is Chairman and CEO of the X Prize Foundation, the co-Founder and Executive Chairman of Singularity University and the co-founder and Vice-Chairman of Human Longevity Inc. He’s released two books, Abundance: The Future Is Better Than You Think in 2012 and Bold: How to Go Big, Create Wealth and Impact the World in 2015. In all of his work, Peter aims to encourage and enable radical breakthroughs for the benefit of humanity. He believes “the best way to predict the future is to create it yourself.”

Diese Keynote war einerseits sehr interessant, andererseits habe ich mich immer wieder gefragt in welcher Realität Peter Diamandis lebt. Seine These, dass eine Zukunft voller Reichtum ohne weiteres möglich ist, lässt sich aus der Sichtweise eines Multimillionärs sicher schlüssig begründen. Aber an manchen Stellen denkt man schon, er ist hier noch nicht durch die Straßen gelaufen wo nicht wenige Obdachlose unterwegs sind. Und ob die alle selbst schuld sind, weil sie halt ihre Chancen nicht genutzt haben?

Nach dem Mittag kam die nächste Session:

  • Tips and Tricks for Successful Migration From ASA CX and Cisco Classic IPS to FirePOWER Solutions

Wieder eine interessante Session mit ein paar Übersichten zu den Unterschieden zwischen den legacy Systemen (IPS und CX) und FirePOWER. Was ich gelernt habe war, dass es ein Tool gibt, das einen bei der Migration der IPS-Config zur FirePOWER unterstützt. Für die Migration von CX zu FirePOWER? Naja, anschauen was unter CX konfiguriert ist und etwas analoges im FirePOWER machen … Aber die Speaker waren auch der Meinung, dass dort Tools auf den Markt gebracht werden sollten. Zum Glück ist CX noch eine gute Zeit lang supported. Aber sobald die CX-Lizenz bei Kunden abläuft steht der Wechsel halt an.

Die letzte Session des Tages war bei mir dann

  • Emerging Threats – The State of Cyber Security

Auch sehr interessant, ein Mitarbeiter der Cisco TALOS Group (die regelmäßig sehr gute Beiträge unter blogs.cisco.com/security schreiben) berichtet über seine Arbeit und die Bedrohungen, die in der näheren Vergangenheit beobachtet wurden.

Nach den Sessions stand dann noch ein Besuch am Stand des Cisco Support-Forums an. Die „Cisco Designated VIP“-Geschenke wurden dieses Mal nicht auf der VIP-Party verteilt, sondern lagen zur Abholung am Stand bereit. So gab es wieder das Jahres-Poloshirt, Kofferanhänger (oder so), Touchpad-Stifte und USB-Adapter. Der kleine Kasten oben im Bild ist ein USB-Ladegerät für (amerikanische) Steckdosen und den 12-Volt Anschluss im Auto. Und es gab noch ein extra Ribbon zum pimpen des Badge. Irgendwann wird das unpraktisch, weil das Teil dann beim Händewaschen immer ins Waschbecken hängt … Am Cisco Sourcefire-Stand musste ich dann doch noch etwas abgreifen; das Snort Pig musste einfach mit!

Später war dann die CCIE-Party im/am Hotel „Del Coronado“. Sehr schöner Strand, das Essen war mal wieder super, aber keine weiteren Attraktionen wie häufig bei den vergangenen CCIE-Partys. Also einfach zum Chillen und es sich gut gehen lassen.

CiscoLive 2015 in San Diego – Tag 2

clus




Und weiter geht der Bericht zur CiscoLive 2015 in San Diego …

Tag 2

Am Montag, dem zweiten Tag, standen drei Sessions auf dem Plan:

  • QoS Design and Deployment for Wireless Networks
  • Eine sehr gute Session, die gezeigt hat wie QoS im WLAN implementiert ist und was es dabei so alles zu beachten gibt. Die Infos aus dieser Session sind besonders wichtig, sobald Voice oder Video im WLAN übertragen wird.

  • Internet Behavioral Analysis (IBA) using Self Learning Networks
  • Diese Session war sehr anstrengend. Rein theoretisch, da es dazu noch kein echtes Produkt gibt, aber die Idee ist, im Network Edge (auf bestehenden Komponenten wie Router und Switches) eine Anomalie Detection durchzuführen und auf Angriffe zu reagieren. Nach dem Paradigmen-Wechsel „Es ist keine Frage ob oder wann Du angegriffen wirst, sondern wo“ wird der Traffic gemonitort und auf Änderungen in diesem Verhalten wird reagiert. Der Versuch IDS per Anomalie-Detection durchzuführen ist ja nicht neu, aber durchgesetzt hat es sich nicht. Und auch Cisco hat sich mit dem „Self Defending Network“ schon versucht. Leider finde ich die zugehörige Werbung von Cisco nicht mehr. Muss ca. 10 Jahre her gewesen sein („Das Netzwerk hat den Virus zerstört“).
    Hier in der Session ging es darum, was Cisco anders machen will und nach der Aussage des Speakers soll das schon in Testumgebungen funktionieren.

  • Network as a Sensor and Enforcer
  • In dieser Session war wieder viel bekanntes dabei, es ging darum wie man mit Hilfe der ISE, Netflow und Lancope das Netz analysiert und durch die ISE gesteuert Aktionen ausführt.

Am Nachmittag war dann auch die Keynote mit John Chambers. Als „Vorgruppe“ haben One Direction Musik gemacht. In seiner letzten Keynote als CEO hat John Chambers über den digitalen Wandel geredet, und auch „Fast IT“ kam immer wieder drin vor. Beim Thema Internet of Things (IoT) wurde sehr stark herausgestellt wie wichtig die Security bei dem Thema ist.
Ich gehe trotzdem davon aus, dass bei jeder zweiten Firma, die den digitalen Wandel oder das Thema IoT angeht, Security erst am Ende der Entwicklungsphase berücksichtigt wird. Und Firmwareupdates bei IoT-Devices um auf Security-Neuerungen zu reagieren? Ich bin sehr gespannt …
Am Ende der Keynote wurde dann auch der neue CEO Chuck Robbins vorgestellt. Mal sehen was der alles neu, anders oder vielleicht sogar besser machen wird.

Nach der Keynote wurde die World of Solutions (WoS) eröffnet. Wie immer wurde als erstes das Badge „gepimpt“, das Konferenz T-Shirt und das ein oder andere Gimmik abgegriffen.
So gab es bei Cisco einen CCIE-Hut und einen Selfie-Stick. Und das wo ich diese Teile so unendlich albern finde. Aber die ersten Test-Aufnahmen habe ich dann trotzdem damit gemacht.
Bei Veeam gab es einen 8GB USB-Stick und an den ganzen weiteren Giveaways bin ich einfach vorbei gelaufen. Nein, nicht noch mehr T-Shirts!

Abends gab es dann noch einen weiteren Punkt auf der Tagesordnung, das Cisco Designated VIP-Dinner. Von 20:30 bis knapp nach Mitternacht hatte wir viel Spaß mit den VIP-Kollegen, die man ansonsten halt auch nur aus der Cisco Support Community kennt. Und das Essen war mal wieder grandios.

Was gab es dann zu bemerken: Ich wurde in den Pausen zwar zwei mal gefragt wie das WLAN funktioniert, aber bei mir lief alles rund. Die Kaffeemaschine in der NetVet Lounge war wieder in Betrieb, aber was ich nicht erwartet habe, war dass Lavazza auch auf den Kapsel-Zug aufspringt. Ab und an ist mal eine gute/lustige Werbung zusehen. Diese hat mich dann an etwas erinnert … 😉. Und in San Diego fahren jede Menge dieser Rikschas rum. Erst dachte ich, „Oha, die müssen aber fit sein“. Aber ab und an sah man dann doch, wie sie (zumindest ohne Passagiere) ohne zu Treten die Hügel hochfuhren.

CiscoLive 2015 in San Diego

clus

Es ist mal wieder soweit, die CiscoLive steht an, was für mich das beste und wichtigste Fortbildungs-Event des Jahres ist. Am Donnerstag bin ich schon angereist um mich etwas vom JetLag zu erholen, und dann frisch in die erste Session am Sonntag zu starten. Hat nicht ganz geklappt, da ich mir eine dicke Erkältung aufgesackt habe. Naja, Hauptsache ich bin ab Montag abend zu den Abendveranstaltungen wieder fit … Tagsüber schleppe ich mich so durch!
Besonders hat mich natürlich wieder gefreut, dass ich als Cisco Designated VIP 2015 in Security die Konferenzgebühr erlassen bekommen habe.
Wie so oft habe ich nicht eines der Konferenz-Hotels gebucht, sondern ein günstigeres in der Nähe. Das Horton Grand im Gaslamb Discrict war eine sehr gute Wahl und in 10 Minuten zu Fuß vom Konferenz-Center aus erreichbar.

Tag 0

Samstag war als offizieller Termin wieder der Check-In angesetzt. Das WLAN im Konferenz-Center hat schon wunderbar funktioniert, aber da waren auch noch nicht so viele Leute da. Neu ist, dass das Badge jetzt mit RFID ausgestattet ist, anstelle mit einem einfachen Barcode. Mehr zu diesem Fortschritt am Tag 1 …
Nach dem Check-In war dann noch das Besuchen des Company Stores angesagt. Letztes Jahr habe ich zu lange gewartet und auf einmal waren die ganzen Rad-Trikots ausverkauft. Heute habe ich mir gleich zwei Stück für meine Frau und mich gesichert. Damit war der offizielle Part des ersten Tages abgeschlossen. Wer schon meine älteren CiscoLive-Berichte gelesen hat, weiß aber, dass ein enorm wichtiger inoffizieller Teil nicht fehlen darf, der Besuch im Outback Stakehouse wo wir mit Kollegen abends hin sind.

Tag 1

Um 8:00 ging mein vier-stündiges Techtorial „Practical Knowledge for Enterprise IPv6 Deployments“ los. Unter den Cisco Designated VIPs wurden zwei dieser Techtorials verlost, ich war einer der glücklichen Gewinner. Leider musste ich ohne richtiges Frühstück starten, dafür hat die Zeit nicht mehr gereicht. Zum Glück gab es etwas Obst in der NetVet-Lounge. Eine „richtige“ Kaffemaschine war aufgebaut, abrer leider noch nicht in Betrieb. Naja, dann halt später der erste gute Kaffee …
Der Zutritt zum Techtorial erwies sich etwas schwierig, der RFID-Reader brauchte gut fünf Anläufe bis er mich erkannt hat. Aber ist halt viel moderner als diese Barcodes … 😉 Das Techtorial selbst hat etwas gemischte Gefühle hinterlassen. Als Level 3 Session sollten die Basics nur kurz aufgefrischt werden, aber deutlich über zwei Stunden ging es dann doch nur um Basics wie IPv6 Header, Neighbor Discovery und ähnliches. Zwischendurch ging es aber auch immer wieder um neuere Standards, was sehr gut war. Die Speaker (die beide sehr gut waren), sind aber der Meinung gewesen, dass es absolut „advanced“ sei, wenn man die Felder im IP-Header kennt. Da frage ich mich schon, ob ich oder die beiden die richtige Einstellung haben. Der für mich deutlich interessantere zweite Teil ist dann leider zu kurz gekommen und wurde nur im Eiltempo abgehandelt. Dort ging es darum, wie sich die verschiedenen Betriebssysteme (Windows, OS X, Linux, iOS und Android) mit IPv6 verhalten, welche Standards wo supported sind und was man alles benötigt wenn man keine heterogene Umgebung hat.
Die Unterlagen werde ich also noch einmal genauer durcharbeiten. So war das Techtorial aber hauptsächlich ein sehr willkommener Refresher, mit ein paar neuen Infos.

Zum Mittag gab es dann wie fast immer am ersten Tag Sandwiches. Die Terasse des Konvention-Center wurde hergerichtet, was eine perfekte Umgebung zum Ausspannen ist. Hier schreibe ich auch gerade diesen Beitrag.

Guten Kaffee gab es leider auch jetzt noch nicht in der NetVet-Lounge, die Kaffeemaschine war überhaupt nicht mehr da. Da sich im Center zwei Starbucks befinden kam dann daher mein Nachmittags-Käffchen. Morgen ab 8:00 soll die Kaffeemaschine wieder da sein. Die SLAs für dieses „Mission-Critical Device“ könnte man noch einmal überdenken.

Das WLAN auf der Terasse ist wieder etwas „schwierig“. Die Geräte, mit denen ich mich schon gestern verbunden habe, funktionieren im großen und ganzen, mit meinem Mac konnte ich mich nicht verbinden. Aber da weiß man nie so genau, ob das nicht doch an der nicht gerade berühmten Wireless-Implementierung von Apple liegt. Vermutlich eher doch nicht an Apple, denn gerade während ich das hier geschrieben habe, ist auch auf dem iPad und dem iPhone mehrfach und ungefähr gleichzeitig die Verbindung zum WLAN verloren gegangen. Irgendwann konnte ch mich dann verbinden, aber es war unendlich langsam … Ich bin auf morgen gespannt, wenn alle Teilnehmer da sind.

Am Nachmittag wollte ich dann schauen, ob ich mich zu einem Test anmelden kann. Für den Inklusiv-Test habe ich leider den Anmeldezeitpunkt verpasst, aber mit 50% Rabatt auf den normalen Exam-Preis wollte ich dann doch noch einen Test machen. Nach einer guten halben Stunde in der Schlange kam dann die Ansage, dass alle Plätze komplett ausgebucht seien und man höchtens einen Platz bekommen kann, wenn jemand nicht zum Test erscheint. Ab morgen darf man es gerne probieren. So wenig Plätze vorzuhalten finde ich dann schon etwas schwach, vor allem wenn extra mit dem 50% Rabatt geworben wird. Später allerdings habe ich vom Kollegen Jens erfahren, dass er gerade einen Test buchen konnte. Also bin ich auch schnell hin habe den Test „Securing Cisco Networks with Threat Detection and Analysis (SCYBER)“ gebucht. Die Schulungsunterlagen dazu hatte ich zwar nicht, aber die Themen aus dem Blueprint waren mir recht gut bekannt. Nach etwas über einer Stunde Test in einem komischerweise nur halb gefüllten Test-Center habe ich nun den „Cisco Cybersecurity Specialist“ meiner Sammlung hinzugefügt.

Eine echte Innovation ist mir dann hier im Center aufgefallen. Portable Akkus um Smartphones und ähnliches auch über einen langen Tag zu bringen gibt es ja schon länger. Aber Automaten, an denen man diese immer wieder gegen gefüllte austauschen kann, die sind mir neu. Sehr gute Idee!

Das nenne ich Innovation!

Das nenne ich Innovation!

Cisco ASA und Policy-based Routing (PBR)

Dieses Feature ist vermutlich eines, auf das sehr viele Admins gewartet haben. Endlich ist es (in Version 9.4(1)) implementiert:

Policy Based Routing

Policy Based Routing (PBR) is a mechanism by which traffic is routed through specific paths with a specified QoS using ACLs. ACLs let traffic be classified based on the content of the packet’s Layer 3 and Layer 4 headers. This solution lets administrators provide QoS to differentiated traffic, distribute interactive and batch traffic among low-bandwidth, low-cost permanent paths and high-bandwidth, high-cost switched paths, and allows Internet service providers and other organizations to route traffic originating from various sets of users through well-defined Internet connections.
We introduced the following commands: set ip next-hop verify-availability, set ip next-hop, set ip next-hop recursive, set interface, set ip default next-hop, set default interface, set ip df, set ip dscp, policy-route route-map, show policy-route, debug policy-route

RIP RC4

Der RFC 7465 verbietet die Verwndung von RC4 in TLS, was eine längst überfällige Entscheidung ist. Ich bin aber wirklich gespannt, wie schnell dieser RFC umgesetzt wird und RC4 aus dem Internet verschwindet. Vor allem wenn man bedenkt, dass selbst Firmen wie Google immer noch RC4 verwenden (und sogar auch SSLv3).

Für ASA-Admins ist (spätestens) jetzt der Zeitpunkt, die SSL-Einstellungen anzupassen. Die könnten so aussehen:

ssl server-version tlsv1-only
ssl encryption dhe-aes128-sha1 dhe-aes256-sha1 aes128-sha1 aes256-sha1

Und für alle anderen Crypto-Einstellungen sind natürlich immernoch die Empfehlungen von bettercrypto.org zu empfehlen.

Als nächstes könnte jetzt bitte PPTP sterben!

pfSense, OPNsense

pfSense ist neben der Cisco ASA meine zweite bevorzugte Firewall. Sie funktioniert einfach problemlos, ist open Source und unterstützt in der neuesten Version (endlich) auch IKEv2.
Eine manchmal zu hörende Kritik an pfSense ist, dass die Software auch von einer amerikanischen Firma kommt.
Als zahlender Nutzer hat man noch ein paar „Premium“-Feature bekommen. Z.B. ein Cloud-Konfiguratiuons-Backup. Das hat mir dann hauptsächlich nicht gefallen. (Und bevor sich jemand wundert; Ja, Meraki gegenüber bin ich auch noch etwas voreingenommen, wenngleich ich die Geräte selbst klasse finde).

Seit kurzem gibt es OPNsense, ein Fork von pfSense. Dieses System wird unter der Leitung einer niederländischen Firma entwickelt und wirkt auf den ersten Blick wie pfSense mit einer moderneren GUI. OPNsense soll einen festen Release-Cycle mit zwei neuen Versionen pro Jahr bekommen. Auch wenn mir die Weiterentwicklung von pfSense teilweise doch zu langsam war, bin ich mir trotzdem nicht sicher ob feste Release-Zyklen wirklich sinnvoll für ein Security-Device sind. 

Aber insgesamt ist OPNsense sehr interessant und ich werde mir das System mal genauer anschauen, vielleicht ist es ja (jetzt schon oder später) eine pfSense-Alternative.

Safer Internet Day (SID)

Heute ist Safer Internet Day. Dabei geht es hauptsächlich darum, Kinder und Jugendliche den verantwortungsbewussten und sicheren Umgang mit Online-Technologien näherzubringen. Dazu passt auch gut der Heise-Beitrag „Datenschutzbeauftragter: Schülern fehlt Medienkompetenz“ von vorgestern.

Aber Safer Internet kann so viel mehr sein. Ein paar Anregungen:

  • Überzeuge jemanden endlich sein Windows XP auf eine supportete Windows-Version upzudaten.
  • Aktiviere auf einer Webseite HTTPS.
  • Nutze Threema als Messenger. (Ja, auch mit closed-source kann man die Sicherheit erhöhen).
  • Verschlüssele E-Mail. Wie das geht kann man gerade in einem Online-Kurs des HPI lernen.
  • Deinstalliere Adobe Flash wenigstens im Haupt-Browser.

Und dann gäbe es da bestimmt nch vieles, vieles mehr …
Ein Vorschlag noch für die IT-Admins in den Firmen:

  • Sorge dafür, dass auch die Firewalls ab und an mal upgedated werden und die Configs überprüft werden. Denn was ich da typischerweise sehe ist immer wieder abenteuerlich.

TLS kränkelt

Dass TLS (Transport-Layer-Security) diverse Schwächen hat, ist lange bekannt. Die meisten davon sind in dem Standard TLSv1.2 ausgeräumt, leider wird diese Version noch nicht überall unterstützt.
Der RFC 7457 fasst die wichtigsten bekanten Angriffe auf TLS zusammen:
Summarizing Known Attacks on Transport Layer Security (TLS) and Datagram TLS (DTLS)
Interessant zu lesen sind in dem Zusammenhang auch der Draft 
Recommendations for Secure Use of TLS and DTLS – draft-ietf-uta-tls-bcp-08
und natürlich das Applied Crypto Hardening PDF von bettercrypto.org.

CiscoLive EU 2016

Gerade sehe ich, dass die europäische CiscoLive im nächsten Jahr vom 15.-19. Februar in Berlin stattfinden wird:
http://www.ciscolive.com/emea/details/

Das würde ja die Option eröffnen in 2016 zwei Mal hinzufahren. Im Frühjahr zur europäischen und im Sommer dann wieder zur US CiscoLive. Mal sehen …

Nächste Seite »