Cisco ASA und Policy-based Routing (PBR)

Dieses Feature ist vermutlich eines, auf das sehr viele Admins gewartet haben. Endlich ist es (in Version 9.4(1)) implementiert:

Policy Based Routing

Policy Based Routing (PBR) is a mechanism by which traffic is routed through specific paths with a specified QoS using ACLs. ACLs let traffic be classified based on the content of the packet’s Layer 3 and Layer 4 headers. This solution lets administrators provide QoS to differentiated traffic, distribute interactive and batch traffic among low-bandwidth, low-cost permanent paths and high-bandwidth, high-cost switched paths, and allows Internet service providers and other organizations to route traffic originating from various sets of users through well-defined Internet connections.
We introduced the following commands: set ip next-hop verify-availability, set ip next-hop, set ip next-hop recursive, set interface, set ip default next-hop, set default interface, set ip df, set ip dscp, policy-route route-map, show policy-route, debug policy-route

RIP RC4

Der RFC 7465 verbietet die Verwndung von RC4 in TLS, was eine längst überfällige Entscheidung ist. Ich bin aber wirklich gespannt, wie schnell dieser RFC umgesetzt wird und RC4 aus dem Internet verschwindet. Vor allem wenn man bedenkt, dass selbst Firmen wie Google immer noch RC4 verwenden (und sogar auch SSLv3).

Für ASA-Admins ist (spätestens) jetzt der Zeitpunkt, die SSL-Einstellungen anzupassen. Die könnten so aussehen:

ssl server-version tlsv1-only
ssl encryption dhe-aes128-sha1 dhe-aes256-sha1 aes128-sha1 aes256-sha1

Und für alle anderen Crypto-Einstellungen sind natürlich immernoch die Empfehlungen von bettercrypto.org zu empfehlen.

Als nächstes könnte jetzt bitte PPTP sterben!

pfSense, OPNsense

pfSense ist neben der Cisco ASA meine zweite bevorzugte Firewall. Sie funktioniert einfach problemlos, ist open Source und unterstützt in der neuesten Version (endlich) auch IKEv2.
Eine manchmal zu hörende Kritik an pfSense ist, dass die Software auch von einer amerikanischen Firma kommt.
Als zahlender Nutzer hat man noch ein paar „Premium“-Feature bekommen. Z.B. ein Cloud-Konfiguratiuons-Backup. Das hat mir dann hauptsächlich nicht gefallen. (Und bevor sich jemand wundert; Ja, Meraki gegenüber bin ich auch noch etwas voreingenommen, wenngleich ich die Geräte selbst klasse finde).

Seit kurzem gibt es OPNsense, ein Fork von pfSense. Dieses System wird unter der Leitung einer niederländischen Firma entwickelt und wirkt auf den ersten Blick wie pfSense mit einer moderneren GUI. OPNsense soll einen festen Release-Cycle mit zwei neuen Versionen pro Jahr bekommen. Auch wenn mir die Weiterentwicklung von pfSense teilweise doch zu langsam war, bin ich mir trotzdem nicht sicher ob feste Release-Zyklen wirklich sinnvoll für ein Security-Device sind. 

Aber insgesamt ist OPNsense sehr interessant und ich werde mir das System mal genauer anschauen, vielleicht ist es ja (jetzt schon oder später) eine pfSense-Alternative.

Safer Internet Day (SID)

Heute ist Safer Internet Day. Dabei geht es hauptsächlich darum, Kinder und Jugendliche den verantwortungsbewussten und sicheren Umgang mit Online-Technologien näherzubringen. Dazu passt auch gut der Heise-Beitrag „Datenschutzbeauftragter: Schülern fehlt Medienkompetenz“ von vorgestern.

Aber Safer Internet kann so viel mehr sein. Ein paar Anregungen:

  • Überzeuge jemanden endlich sein Windows XP auf eine supportete Windows-Version upzudaten.
  • Aktiviere auf einer Webseite HTTPS.
  • Nutze Threema als Messenger. (Ja, auch mit closed-source kann man die Sicherheit erhöhen).
  • Verschlüssele E-Mail. Wie das geht kann man gerade in einem Online-Kurs des HPI lernen.
  • Deinstalliere Adobe Flash wenigstens im Haupt-Browser.

Und dann gäbe es da bestimmt nch vieles, vieles mehr …
Ein Vorschlag noch für die IT-Admins in den Firmen:

  • Sorge dafür, dass auch die Firewalls ab und an mal upgedated werden und die Configs überprüft werden. Denn was ich da typischerweise sehe ist immer wieder abenteuerlich.

TLS kränkelt

Dass TLS (Transport-Layer-Security) diverse Schwächen hat, ist lange bekannt. Die meisten davon sind in dem Standard TLSv1.2 ausgeräumt, leider wird diese Version noch nicht überall unterstützt.
Der RFC 7457 fasst die wichtigsten bekanten Angriffe auf TLS zusammen:
Summarizing Known Attacks on Transport Layer Security (TLS) and Datagram TLS (DTLS)
Interessant zu lesen sind in dem Zusammenhang auch der Draft 
Recommendations for Secure Use of TLS and DTLS – draft-ietf-uta-tls-bcp-08
und natürlich das Applied Crypto Hardening PDF von bettercrypto.org.

CiscoLive EU 2016

Gerade sehe ich, dass die europäische CiscoLive im nächsten Jahr vom 15.-19. Februar in Berlin stattfinden wird:
http://www.ciscolive.com/emea/details/

Das würde ja die Option eröffnen in 2016 zwei Mal hinzufahren. Im Frühjahr zur europäischen und im Sommer dann wieder zur US CiscoLive. Mal sehen …

ASA Software 9.3.2

Sehr lange hat es gedauert, aber mit der gerade veröffentlichten Version hält ein Feature in die ASA Einzug, dass ich schon lange vermisst habe:

Transport Layer Security (TLS) version 1.2 support

We now support TLS version 1.2 for secure message transmission for ASDM, Clientless SSVPN, and AnyConnect VPN.

Das wurde auch Zeit, vor allem wegen der in letzten Zeit vermehrt gefundenen Angriffe gegen ältere TLS-Versionen.

Auch sehr interessant:

ASA 5506-X

We introduced the ASA 5506-X.

Das Ende der ASA 5505 war schon lange erwartet. Aber jetzt ist es wohl endlich soweit und ein Nachfolger ist vorhanden.

Wickr hat “Military Grade Encryption”

Heise berichtet heute von dem neuen Messenger Wickr. Und auf dem Screenshot springt einem gleich ein “Military Grade Encryption” in die Augen. Da muss ich immer an einen Satz von Andrew Fernandes denken (ähnliche Aussagen kommen auch von anderen Security-Leuten):

It’s sort of like saying the phrase “military grade encryption.” Whenever you´re dealing with a security product and somebody says it´s military grade encryption your bullshit detector should really go off.

RIP Cisco IPS

Schon lange hat man auf diesen Tag gewartet, jetzt ist er gekommen. Cisco schickt das „legacy IPS“ aufs Altenteil. Und das komplett:

Product Migration Options
This end-of-life announcement covers the entire Cisco IPS Family, including all hardware, software, and licenses, with no exceptions. The IPS software also includes management applications: IPS Device Manager (IDM) and IPS Manager Express (IME).
Cisco IPS Appliance 4xxx customers are encouraged to migrate to the Cisco FirePOWER Appliance.
Cisco ASA IPS Module 5xxx customers are encouraged to migrate to Cisco ASA with FirePOWER Services.

In dem EOS/EOL-Anouncement wird das IOS-IPS nicht erwähnt. Da das im IOS integriert ist, wäre es vermutlich ein zu großer Aufwand, das gegen eine FirePOWER-Implementierung zu ersetzen.
Update: Es ist aktuell geplant, das EOS/EOL des IOS-IPS in ca. einem Jahr bekanntzugeben.

Das komplette Anouncement ist hier zu finden:
http://www.cisco.com/c/en/us/products/collateral/security/ips-4200-series-sensors/eos-eol-notice-c51-733186.html

OS X Yosemite

Die neue OS X Version läuft jetzt seit über einer Woche auf einem meiner Macs und ich bin nicht nur positiv angetan, sondern auch wirklich überrascht. Es funktioniert einfach (fast) alles … Während man bei älteren Major Upgrades doch besser auf die .2 oder .3 Version gewartet hat, kann man diese Version meiner Meinung nach gleich installieren.
Was gibt es zu dieser Version zu erwähnen:

  • Java muss nach dem Update neu installiert werden, für OS X 10.10 steht nur Java 8 zur Verfügung. Meine wichtigste Java-Anwendung, der ASDM (zumindest in recht neuen Versionen) funktioniert anstandslos. Probleme macht leider aus irgend einem Grund die JRE, wenn man aber das JDK installiert läuft alles wie es soll.
  • Der Cisco AnyConnect Client funktioniert (Version 3.1.05187 unterstützt OS X 10.10 offiziell). Das hat mich wirklich gewundert. Bei den letzten OS X Updates kam es mir vor, als wenn Cisco regelmäßig von den neuen Versionen überrascht wurde …
  • Shimo (mein VPN Session-Manager, den ich für EasyVPN und openVPN verwende) funktioniert ohne Probleme. Genau so läuft der Fortinet VPN-Client.
  • Die Mail-Plugins von Chungasoft (ich habe Face2face und ForgetMeNot) laufen problemlos, genau so Letter Opener Pro von Creative in Austria.
  • VMware Fusion läuft auch in der 6er Version gut. Das Update auf die 7er ist also nicht zwingend notwendig.
  • Zwei wichtige Productivity-Tools sind für mich der TotalFinder und Default Folder X  Auch diese beiden System-Tools laufen ohne Probleme.
  • Bisher kommt es mir nicht so vor, dass Yosemite langsamer als Mavericks in der Bedienung wäre. (Fast) alles läuft recht flüssig.
  • Gefühlt schlechter wurde der Zugriff auf Volumes mit sehr vielen Ordnern und Dateien. Unter Mountain Lion war z.B. der Zugriff auf externe Platten mit tausenden von Ordnern und Dateien noch recht flüssig, mit dem Wechsel auf Mavericks wurde das deutlich langsamer. Jetzt mit Yosemite gibt es noch einmal längere Wartezeiten. Das ist aber auch der bisher einzige Negativ-Punkt, der mir auffällt.
  • Weitere kleine Enttäuschung: Die unter Yosemite verwendete OpenSSH-Version ist wie unter Mavericks auch schon die 6.2p2. Interessante Crypto-Erweiterungen der neueren OpenSSH-Version sind daher nicht verfügbar.
  • Das GPGMail-Plugin ist leider auch noch nicht für Yosemite verfügbar. Für Maverics war dieses Plugin sehr schnell angepasst, für Yosmite wird die neue Version in ein paar Wochen erwartet. Diese wird dann nicht mehr frei verfügbar sein, sondern kostenpflichtig sein. Schade, dass Apple das nicht direkt in die Mail-Anwendung integriert. Auch, wenn PGP nicht mehr ganz state-of-the-art ist.
  • Endlich hat Apple einen Security-Bug geschlossen, den ich (und anscheinend einige andere) vor längerer Zeit schon gemeldet habe. Dafür wurde ich sogar im Security-Advisory erwähnt. Damit könnte ich mir doch jetzt auch „Security-Researcher“ auf die Visitenkarte drucken …

Die offizielle Aufzählung der Yosemite-Neuerungen ist bei Apple verfügabr:

http://help.apple.com/osx-yosemite/whats-new/from-mavericks

Nächste Seite »