Wir brauchen mehr Katzen-Content!
Das wurde ja schon mehr oder weniger wissenschaftlich bewiesen.
Gut, dass sich ein Cisco-Mitarbeiter der Sache angenommen hat und mich auf die Seite Cats in Sinks aufmerksam gemacht hat.
Nebenbei geht es auf der Cisco-Seite übrigens auch um das neue ASA 8.4(2)-Feature, das man FQDNs in Access-Listen verwenden kann. Auch nicht schlecht …
Testen von SSL-Servern
Im Blog des Darknet habe ich von dem Tool SSLyze gelesen. Mit diesem ist es möglich, SSL/TLS-Server zu testen und Konfigurationsproblemen auf die Spur zu kommen.
Das Tool ist in Python geschrieben und damit recht plattformunabhängig. MacOS ist zwar nicht offiziell supported, es funktioniert bei mir aber ohne Probleme unter Lion 10.7.
Der Aufruf ist recht simpel:
Karstens-MacBook-Air:sslyze karsten$ python ./sslyze.py --regular www.example.com
Die Ausgaben beziehen sich dann auf die verschiedenen Checks, die das Script ausführen kann. Diese sind auf der Wiki-Seite des Projekts beschrieben.
Bei meinem ersten Scan ist mir dann auch gleich ein Fehler auf einem meiner eigenen Server aufgefallen:
* SSLV3 Cipher Suites :
Cipher Suite: SSL Handshake: HTTP GET:
AES256-SHA 256bits Preferred 200 OK
RC4-SHA 128bits Accepted 200 OK
RC4-MD5 128bits Accepted 200 OK
DES-CBC3-SHA 168bits Accepted 200 OK
DES-CBC-SHA 56bits Accepted 200 OK
AES128-SHA 128bits Accepted 200 OK
Ich habe vergessen, unsichere Verschlüsselungen in der Webserver-Konfig auszuschalten. Bei einem Lighttpd unter Debian ist das folgende Einstellung unter /etc/lighttpd/conf-enabled/10-ssl.conf:
ssl.cipher-list = "AES256-SHA RC4-SHA AES128-SHA"
Beim nächsten Aufruf sieht das dann schon besser aus:
* SSLV3 Cipher Suites :
Cipher Suite: SSL Handshake: HTTP GET:
AES256-SHA 256bits Preferred 200 OK
RC4-SHA 128bits Accepted 200 OK
AES128-SHA 128bits Accepted 200 OK
Die IETF empfiehlt: Bogon-Filter entfernen
Früher gab es mal Empfehlungen, auf seinen Internet-Routern alle IP-Netze rauszufiltern, die offiziell nicht vergeben waren. Zusammen mit dem Ausfiltern nicht erlaubter Adressen hat man damit einen gewissen IP-Spoofing-Schutz erreicht. Diese Empfehlung ist heute, wo die letzten IP-Netze schon länger an die Registries verteilt wurden, natürlich nicht mehr brauchbar.
Passend dazu ist letzten Monat der RFC 6441 “Time to Remove Filters for Previously Unallocated IPv4 /8s” erschienen.
Jetzt kann man die Admins, die diese Bogon-Filter einsetzen bzw. eingesetzt haben wohl in zwei Gruppen einteilen:
- Admins, die diese Funktion bewusst genutzt haben.
- Admins, die diese Funktion nicht bewusst nutzen.
Die haben diese Listen entweder selbst auf ihren Routern eingerichtet oder aber eine Bogon-Liste von z.B.
Aber es gibt halt auch die Das sind z.B. die, die auf älteren IOS-Versionen mit Auto-Secure gearbeitet und dabei mehr oder weniger automatisch einen Bogon-Filter in das System bekommen haben. Und für diese gilt dann wohl hauptsächlich die Empfehlung:
Werft den alten Filter weg und ersetzt ihn gegen etwas Neues, z.B. mit den Netzen, die ich unter RFC 3330 ist obsolet” beschrieben habe.
Passend dazu ist auch die Cisco Field-Notice von 2005: AutoSecure Bogon Filter Potentially Causes Blackholing of Internet Traffic
RIP Cisco IPSec Client
Klar war es schon lange, aber jetzt wurde das “End of Life” offiziell verkündet. Und auch die letzte kleine Hoffnung schwindet, noch einen 64-bit Client für MacOS zu bekommen (hat ja für Windows auch geklappt):
EOL/EOS for the Cisco VPN Client
Sehr ärgerlich für alle, die aus irgendwelchen Gründen noch nicht auf den AnyConnect-Client umsteigen können oder wollen.
Die Vereinigten Königreiche von Germany
Wenn es doch um eine wohltätige Arbeit geht, dann lässt man sich doch auch von solchen Kleinigkeiten nicht verwirren …
Cisco Networkers 2011, Tag 5
Meine Sessions dieses letzten Tages waren “Securely Managing Your Network with SNMPv3″, “Advanced IEEE 802.1X for Wired Networks” und “LAN Design and Deployment using Cisco Smart Business Architecture”.
Die SNMP-Session war die beste der ganzen Networkers. Selten habe ich eine so gute Beschreibung von SNMPv3 gesehen. Das war mal nötig, da das SNMP-Kapitel in den Cisco Security-Schulungen abgrundtief schlecht ist.
Das Highlight des Tages war die Closing Keynote. William Shatner wurde eingeladen und hat in einer Interview-Form eine Stunde lang erzählt. Das war war gut, wenngleich nicht ganz so gut wie in einigen der letzten Jahren.
Damit war diese Veranstaltung dann leider schon vorbei. Aber im nächsten Jahr gibt es ja wieder einen Termin:
Auch dort wird es wieder heißen:
Cisco Networkers 2011, Tag 4
Auch heute standen wieder drei Sessions auf dem Programm. In “You Spent Millions on Network Security But Still Got Hacked !!!!” wurden Case-Studies präsentiert, in denen trotz umfangreicher Sicherheitsmechanismen doch Security-Probleme auftauchen konnten. “Deploying and Troubleshooting WCCP for WAN Acceleration, Security and Content Delivery” war sehr interessant, da die verschiedenen WCCP-Implementierungs-Modelle sehr umfangreich beleuchtet wurden. Nicht so gut war “Cisco Trustsec and Security Group Tagging”. Das Thema ist zwar sehr interessant, aber leider sehr schlecht vorgetragen.
Weiterhin steht am Mittwoch abend immer der Customer Appreciation Event an. Nach einer gut 10minütigen Fahrt mit dem Shuttle-Bus kamen wir im M-Resort an, wo schon die Bühne für die Live-Musik und diverse Stände für Essen und Getränke aufgebaut waren:
Natürlich hat jeder Teilnehmer wieder einen Hut bekommen:
Diese blinkenden Hüte und die Leuchtstäbe haben an diesem äußerst angenehmen Abend für eine schummerige Stimmung gesorgt. Insgesamt ein sehr gelungener Abend:
Cisco Networkers 2011, Tag 3
Am dritten Tag hatte ich die Sessions Smart Operations, Cisco Anyconnect Secure Mobility und Overlay Transport Virtualization gebucht. Während die erste und dritte Session richtig gut war, überzeugte die AnyConnect-Session überhaupt nicht. Die war ein wenig wie Marketing …
Vormittags war dann auch die Keynote von John Chambers. Dort hat man z.B. erfahren, das dieses Jahr über 15000 Teilnehmer in Las Vegas dabei sind. Das erklärt ein wenig die manchmal leicht chaotischen Zustände. Ansonten hat John Chambers geschickt die aktuellen Firmen-Probleme übergangen.
Zwischen den Sessions war dann auch noch Zeit, meine eigentlich für Donnerstag geplante Prüfung vorzuziehen. Mit der CCDE-Written habe ich den CCIE und alle Professional- und Associate-Level rezertifiziert. Und wie schon vermutet und auch von anderen Leuten gehört, war diese Prüfung richtig eklig mit vielen völlig unklaren Fragestellungen, fehlerhaften Darstellunen etc.
In der World of Solutions musste ich dann noch dringend ein Citrix-Shirt mit einem sehr guten Dilbert-Comic ergattern:
Abends gab es noch die CCIE-NetVet-Reception, in der sich John Chambers wieder einem kleineren Kreis stellte um Fragen zu beantworten. Da kamen dann auch Sachen wie die kürzlich angekündigten Entlassungen zur Sprache und die Restrukturierungen wurden weiter begründet. Und das Essen (u.a. Roast-Beef) war einfach nur fantastisch.
Der letzte Tagespunkt war die CCIE-Party. Cisco hat Madame Tussauds Wachsfiguren-Kabinet im Venetian-Hotel gemietet und dort viele Leckereien und Getränke serviert. Als nach schon zwei Stunden kein gekühltes Bier mehr verfügbar war, leerte es sich doch schneller. Diese Party war ganz nett, aber kein Vergleich zum letzten Jahr.
Cisco Networkers 2011, Tag 2
Nach dem typischen Networkers-Frühstück standen heute drei Sessions an. In “IPv6 Planning, Deployment and Operation Considerations” und “IPv6 Security Threats and Mitigations” habe ich mir mein jährliches IPv6-Update abgeholt. In “IOS Strategy and Evolution” ging es um den Übergang vom Cisco IOS zum IOS XE. Das ist im großen und ganzen das, was schon vor längerer Zeit unter der Bezeichnung “Cisco IOS Software Modularity” angefangen hat. In einer Demo wurde ein ASR1000 präsentiert, auf dem neben dem IOS noch eine Eliza-Implementierung lief und beim Troubleshooting half. Sehr unterhaltsam.
Das Mittag war ok, es wird besondere Rücksicht darauf genommen, das die meisten Teilnehmer keine Vegetarier sind (und für die Tage vor der Networkers ist das Outback-Steakhaus auch nicht weit):
Am NOC gab es eine Schaubild des Konferenz-Netwerks.
Auch wenn es hier ab und an Probleme mit dem Netzwerk gibt und gab, sollte sich EC-Council für ihre Konferenzen daran mal ein Beispiel nehmen.
Und wo es ein Netzwerk und ein paar Tausend Geeks gibt, können natürlich Angreifer nicht weit sein. Die roten Totenköpfe sind Rogue-Access-Points:
Weiterhin war das WLAN IPv6-enabled:
Nach den Sessions war dann die “Welcome-Reception”. Die “World of Solutions”, auf der Cisco-Partner ihre Lösungen präsentieren, wurde mit leckerem Essen und Freibier eröffnet. In der Certification-Lounge gab es wieder “Pimp my Badge” und für CCIEs gab es wie vor drei Jahren schon ein sehr schönes Geschenk: Ein Glas mit eingeätztem CCIE-Logo:
Wie jedes Jahr habe ich auch dieses Jahr versucht, mir von den Ausstellern keine T-Shirts andrehen zu lassen. Leider erfolglos:
Von links oben nach rechts unten: New Horizons, Splunk, Solarwinds, IPSwitch, Visual Network Systems, Global Knowledge, ManageEngine.
Weiterhin gab es das offizielle CiscoLive2011-Shirt und ein weiteres von Cisco wenn man ein Video-Blog macht:
Auf der Rückseite es ersten Cisco-Shirts waren auch die Termine der nächsten Networkers vermerkt. Die muss ich mir gleich in den Kalender eintragen:
- 10.-14. Juni 2012 – San Diego, CA
- 23.-27. Juni 2013 – Orlando, FL
- 18.-22. Mai 2014 – San Francisco, CA
- 7.-11. Juni 2015 – San Diego, CA
Was gab es weiter auf der World of Solutions:
Wie schon in den Jahren zuvor versuchte ccboobcamp ccbootcamp mit Booth-Bunnies Teilnehmer anzulocken. Ist bei denen wohl notwendig. Ca. 2003/2004 habe ich mir deren CCIE-Security-Unterlagen gekauft und die hatten eine unterirdische Qualität.
Und habe ich vorgestern nicht über über USB-Sticks geschrieben? Bei FastLane gab es auch einen 2GB-Stick, den man sich ums Handgelenk binden konnte. Der Cisco-Stick verblüffte mit einer Kapazität von sage und schreibe 1GB:
Bei Solarwinds gab es nicht nur T-Shirts, sondern auch mal wieder nette Aufkleber und Buttons:
Morgen geht es weiter …
Cisco Networkers 2011, Tag 1
Der erste Tag ging um 7:00 mit dem Networkers-Frühstück los. Über den Kaffee redet man besser nicht, süße Gebäck-Sachen gibt es jede Menge, die Bagel sind ok, von denen sollte man aber immer nur einen nehmen, da es immer viel zu wenig Toaster gibt. Ein Highlight ist aber, das jeden Tag frische Früchte zum Frühstück vorhanden sind:
Danach folgte ein acht-stündiges Techtorial, dieses Jahr habe ich das Thema “The CCDE” gebucht. Die Program-Manager (u.a. Russ White) berichten über die Zertifizierung zum Cisco Certified Design Expert. Ich bin mir zwar nicht sicher, ob ich jemals den CCDE Practial-Test machen werde, aber den CCDE-Written wollte ich auf jeden Fall angehen, u.a., um den CCIE zu rezertifizieren.
Am Vormittag wurde sehr viel erzählt was der CCDE ist und was nicht. Der Teil hatte viel von Politiker-Reden oder John Chambers-Keynotes. Viel reden, aber wenig sagen. Am Nachmittag gab es dann Beispiele des CCDE-Written und der CCDE-Practical. Bei den CCDE-Written-Beispielen war ich dann doch etwas erstaunt, denn alle Beispiele bewegten sich maximal auf Professional-Level. Auf Nachfrage bestätigte Russ White allerdings das die echte Prüfung deutlich anspruchsvoller sei. Der Sinn dieser Beispiele wurde mir daher nicht wirklich klar.
Bei den Beispielen zum CCDE-Practical verschwand dann endgültig der Wunsch, diese Zertifizierung zu machen. In dem Beispiel-Design gab es eine Firma, bei der Kunden ihre IPSec- und SSL-VPNs auf einem Router terminieren. Die Design-Dokumente zeigten u.a., das die Firewall keine SSL-Beschleunigung beherrscht. Im Zuge eines Redesign wurde gefragt, ob eine Verschiebung des IPSec-Endpoints von dem Router zur Firewall die Komplexität erhöht. Da man damit aber nur eine Änderung für IPSec-Kunden erreicht hätte, und nicht für die per SSL angebundenen Kunden, würde diese Lösung in meinen Augen die Komplexität erhöhen, da für die SSL-Kunden eine zusätzliche Lösung implementiert werden muss. Die richtige Lösung wäre aber, das es keine Auswirkungen auf die Komplexität hat, da der SSL-Bereich überhaupt nicht betrachtet wurde. Das neue Design bringt einen zwar nicht zum Ziel, ist aber trotzdem richtig. “Do not overthink the solution” …
In einem anderen Beispiel ging es darum, ob man per GRE-Tunnel Ethernet transportieren kann. Richtige Antwort ist “nein”, denn O-Ton Russ White: “Ethernet over GRE? Never in my Network”.
Ein Kollege, der diese Session im letzten Jahr besucht hat meinte zwar, das ich lieber eine andere buchen sollte, aber ich wollte ja wieder nicht hören. Im Gegensatz zu einem anderen Teilnehmer in der ersten Reihe habe ich aber trotzdem der Session zugehört. Warum der eine Session für $800 bucht und dann auf seinem PC Youtube-Videos schaut und Testkings o.ä. macht, hat sich mir nicht wirklich erschlossen.
Nach den Sessions gab es dann auch wieder einen kleinen Netzwerk-Zusammenbruch. Die meisten Thin-Clients hatten keine Verbindung zu ihren Servern, von einigen, die eine Verbindung hatten konnte man sich nicht anmelden, und als ich dann einen gefunden hatte an dem man sich anmelden konnte, ging es auf dem nur bis zur Hauptseite, aber nicht irgendwie weiter. So eine IT-Umgebung ad hoc zur Verfügung zu stellen ist sicher nicht ganz einfach, aber irgend etwas bricht jedes Jahr zusammen …
