Private VLANs

Posted by Karsten on Februar 9, 2010 · 1 Kommentar 

Private VLANs sind ein Feature, mit dem sich Geräte innerhalb einer geswitchten Umgebung separieren lassen:

Private VLANs (PVLANs) – Promiscuous, Isolated, Community
Configuring Isolated Private VLANs on Catalyst Switches
Catalyst 3560 Software Configuration Guide, Release 12.2(52)SE – Configuring Private VLANs

Zu dieser bisher Cisco-proprietären Technik ist jetzt ein RFC erschienen:

RFC 5517 – Cisco Systems’ Private VLANs: Scalable Security in a Multi-Client Environment

Filed under Cisco, Cisco - Security · Tagged with , , ,

IPv6 TechWiseTV

Posted by Karsten on Januar 13, 2010 · 2 Kommentare 

Bei Cisco gibt es eine TechWiseTV-Episode zu IPv6:

Join Cisco expert Harold Ritter as he provides a technology update, shows best practices, and addresses how to deploy IPv6 in a service provider environment to cope with growing demand (59:18 min.).

Agenda
Is IPv4 Broken? Why Change a System That Works?
IPv6 for Dummies: Layer 2 Deep Exploration
Understanding IPv6 Routing and Security Challenges
Quality of Service and Transition Mechanisms
Planning and Deployment Considerations

Update: Eben sehe ich gerade, dass diese Folge schon über zwei Jahre alt ist. Bis Ende Januar ist sie noch anzuschauen.

Filed under Cisco, Networking · Tagged with ,

2009 Cisco Annual Security Report

Posted by Karsten on Dezember 9, 2009 · Kommentar schreiben 

Der neue Cisco Security Report ist da:

2009 Cisco Annual Security Report

Filed under Cisco, Cisco - Security · Tagged with ,

Müssen Router twittern können?

Posted by Karsten on November 19, 2009 · 3 Kommentare 

Embedded Event Manager (EEM) Scripting Community: Tweet from IOS

via http://etherealmind.com/

Filed under Cisco · Tagged with , ,

Cisco Live 2010 in Las Vegas

Posted by Karsten on November 10, 2009 · 3 Kommentare 

Die “Networkers” oder besser Cisco-Live findet nächstes Jahr vom 27.6.-1.7. in Las Vegas statt. Ab heute kann man sich dafür registrieren und bezahlt bis zum 22. Februar 2010 den sogenannten PreReg-Preis, der mit $1895 nochmals $100 unter dem Early-Bird-Preis liegt. Das ist bei dem aktuellen Dollar-Kurs dann auch ein recht guter Deal und ich freue mich schon wieder auf eine interessante und spaßige Networkers-Woche.

Filed under Cisco · Tagged with , , ,

Cisco IPv6 Feature Parity

Posted by Karsten on November 7, 2009 · Kommentar schreiben 

Was es bei einigen Cisco Catalysten schon länger gibt, ist jetzt endlich auch bei der neuen Generation der Integrated Services Router (ISR-G2: 1900, 2900, 3900) angekommen:

Cisco will support packaging parity for IPv6 with IPv4, for Cisco Integrated Services Routers Generation 2, starting with Cisco IOS Software Release 15.0(1)M, as well as in future 15 M and 15 T releases. IPv6 feature support for a technology will now be packaged in the same feature set as IPv4.

Filed under Cisco · Tagged with , , ,

Cisco IOS: Vorbereitung einer DAI (Dynamic ARP Inspection) Implementierung

Posted by Karsten on Oktober 13, 2009 · Kommentar schreiben 

switchDynamic ARP Inspection (DAI) ist ein Mechanismus in Cisco-Switchen (ab Catalyst 2960), der ARP-Pakete auf Fälschungen untersucht. Dadurch sollen beispielsweise ARP-Spoofing-Attacken verhindert werden, bei denen ein Angreifer ARP-Antworten sendet, in denen er eine fremde IP mit der eigenen MAC-Adresse verbindet, um sich in die Kommunikation einzuklinken.

Wenn DAI auf einem Cisco-Switch aktiviert wird, vergleicht der Switch bei den ARP-Paketen, ob die MAC-Adresse auch zu der IP-Adresse passt. Für diesen Vergleich muss der Switch natürlich die korrekte Zuordnung kennen. Diese lernt er normalerweise über DHCP-Snooping, bei dem die DHCP-Kommunikation beobachtet wird und der Switch “sieht”, welche IP einem Gerät mit einer bestimmten MAC-Adresse zugeordnet wurde.

Weitere Erklärungen zu DAI:

Cisco.com: Configuring Dynamic ARP Inspection
LAN Switch Security: What Hackers Know About Your Switches

Am einfachsten ist DAI zu implementieren, wenn alle Geräte in einem VLAN ihre IP per DHCP bekommen. In diesem Fall kann der Switch die IP-zu-MAC-Datenbank alleine aufbauen und benötigt keine statischen Einträge. Bei meinen letzten Implementierungen hat sich aber gezeigt, dass die Aussage der PC-Admins, dass in diesem Netz nur DHCP-Clients seien, nicht unbedingt heißen muss, dass nicht manche Geräte doch eine statische Konfiguration haben … ;-)
Deshalb ist es sinnvoll, vorher ein paar Checks durchzuführen, um diese Geräte aufzuspüren. Eine Möglichkeit ist, die Einträge in der ARP-Tabelle des L3-Switches mit den Einträgen in der DHCP-Snooping-Tabelle zu vergleichen. Wenn in der ARP-Tabelle ein Eintrag vorhanden ist (und dies ist nicht das Gateway), es aber zu dieser IP keinen Eintrag in der DHCP-Tabelle gibt, dann besteht die Chance, dass dieser PC doch eine statische IP-Konfiguration hat.
Um diesen Vergleich zu erleichern, habe ich das folgende –sehr simpel gehaltene– Python-Script geschrieben.

dai-check.py

Ein Beispiel zur Benutzung des Scriptes. Für das Vlan63 soll die ARP-Tabelle mit der DHCP-Snooping-Tabelle verglichen werden:

  1. Sicherstellen, dass die ARP-Tabelle des L3-Switches aktuell ist

    2. Wenn Geräte dabei sind, die häufiger für ein paar Stunden inaktiv sind, dann könnte es sein, dass für diese kein Eintrag in der ARP-Tabelle enthalten sind. Deshalb pinge ich alle Geräte in dem Vlan einmal an:

    karstens-macbook-pro:~ karsten$ nmap -sP 192.168.63.0/24

Starting Nmap 4.76 ( http://nmap.org ) at 2009-08-28 18:09 CEST
...
Host 192.168.63.201 appears to be up.
Host 192.168.63.254 appears to be up.
Nmap done: 256 IP addresses (174 hosts up) scanned in 48.12 seconds
karstens-macbook-pro:~ karsten$
  2. Ausgeben der ARP-Tabelle des Cisco-L3-Switches:
    3. L3-Switch>term len 0
L3-Switch>sh arp | i Vlan63
Internet  192.168.63.254           -   001a.b1f3.9ab2  ARPA   Vlan63
Internet  192.168.63.201         137   001c.79a5.ad41  ARPA   Vlan63
Internet  192.168.63.79          213   0022.63a9.6384  ARPA   Vlan63
...

    Diese Liste wird abgespeichert; z.B. als dai-arp.txt

  3. Ausgeben der DHCP-Snooping-Tabelle des Cisco-Access-Switches, auf dem DAI konfiguriert werden soll:
    4. Access-Switch>term len 0
Access-Switch>sh ip dhcp snooping binding vlan 63 | i dhcp-snooping
00:0F:FE:5C:E0:CF   192.168.63.83     223101      dhcp-snooping  63    FastEthernet2/0/28
00:1C:79:A5:AD:41   192.168.63.201    233322      dhcp-snooping  63    FastEthernet1/0/28
...

    Auch diese Liste wird abgespeichert; z.B. als dai-dhcp.txt. Das “| i dhcp-snooping” ist deshalb wichtig, weil das Script nur die reine Tabelle ohne Header erwartet. Das könnte/sollte ich sicher einmal verbessern. Wenn das Vlan sich über mehrere Switche erstreckt, werden diese show-Ausgaben einfach in einer Datei gesammelt.

  4. Auswerten der beiden Dateien mit dai-check.py:
    5. karstens-macbook-pro:~ karsten$ ./dai-check.py dai-arp.txt dai-dhcp.txt
['Internet', '192.168.63.254', '-', '001a.b1f3.9ab2', 'ARPA', 'Vlan63']
['Internet', '192.168.63.206', '137', '001c.79a4.af26', 'ARPA', 'Vlan63']

    Das Script dai-check.py sucht jetzt zu jeder IP aus der ARP-Tabelle, ob es diese IP auch in der DHCP-Tabelle gibt. Am Ende wird eine Liste der Einträge aus der ARP-Tabelle ausgegeben, zu denen es keine Entsprechung in der DHCP-Tabelle gibt. Im obigen Beispiel war das die 192.168.63.254 (das Default-Gateway) und die 192.168.63.206, die tatsächlich eine statische Konfiguration hat.

    Das Script ist sehr rudimentär, so gibt es beispielsweise keinerlei Checks, ob die Tabellen auch wirklich die richtigen Daten beinhalten. Wer falsche Daten eingibt, wird vermutlich auch ein falsches Ergebnis erhalten! ;-)

    Filed under Cisco, Cisco - Security · Tagged with , , , , ,

Cisco IOS: Public-Key-basierte SSH-Logins

Posted by Karsten on Oktober 5, 2009 · Kommentar schreiben 

routerEin lang gehegter Wunsch ist mit IOS 15.0 in Erfüllung gegangen. SSH-Logins mit Public-Key-Authentifizierung:

http://www.cisco.com/en/US/docs/ios/sec_user_services/configuration/guide/sec_secure_shell_v2.html#wp1063190

Leider klappt es bei mir noch nicht … :-(

Update 06.10.09: Nach anfänglichen Schwierigkeiten läuft es jetzt. Es hat nicht funktioniert, solange ich den Befehl

aaa authorization exec default local

in der Konfiguration hatte, um beim Login direkt im Enable-Mode zu landen. Ohne Exec-Authorization hat man aber leider nicht die Möglichkeit, verschiedene User in unterschiedliche Level einloggen zu lassen. Der Wechsel in den Level15 klappt aber mit der direkten Konfiguration auf der vty-Line:

line vty 0 4
 privilege level 15

Filed under Cisco · Tagged with , ,

Cisco: Die neuen ISRs (Integrated Services Router)

Posted by Karsten on Oktober 5, 2009 · 1 Kommentar 

routerNach dem Erscheinen des IOS 15.0 kündigt sich auch langsam die zweite Generation der ISRs an. Die 1900/2900/3900er sind zwar noch nicht auf der Produkt-Seite aufgeführt, aber Images lassen sich schon herunterladen. Was bisher so herauszufinden ist:

  • Am Anfang wird es wohl die Modelle 1941, 1941W, 2901, 2911, 2921, 2951, 3925 und 3945 geben. Für diese sind schon Images verfügbar, bzw. sie sind in der Cisco-Dokumentation erwähnt.
  • Die Router haben Universal-Images, die Features werden also per Lizenz freigeschaltet.
  • Es wird von einer integrierten Harddisk für AXP geredet.
  • Weiterhin soll eine USB-Konsole unterstützt sein (wie auch immer das funktionieren soll).

Mal sehen, was sonst noch so neu sein wird.

Update: evilrouters.net hat weitere Infos.
Update2: Die neuen Geräte sind jetzt verfügbar: http://www.cisco.com/go/isrg2

Filed under Cisco · Tagged with , , , ,

Cisco IOS 15.0: Die nächste Runde ist eröffnet

Posted by Karsten on Oktober 3, 2009 · 7 Kommentare 

router
Bisher bin ich davon ausgeganggen, dass die nächste IOS-Version die 12.5 sein soll. Aber inzwischen ist die Version 15.0 verfügbar:

Cisco IOS Software, C180X Software (C180X-ADVIPSERVICESK9-M), Version 15.0(1)M, RELEASE SOFTWARE (fc2)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2009 by Cisco Systems, Inc.
Compiled Wed 30-Sep-09 03:28 by prod_rel_team

Aus den Release-Notes:

Cisco IOS Release 15.0(1)M integrates a portfolio of over 2,000 key capabilities spanning multiple technology areas, including Security, Voice, Multiprotocol Label Switching (MPLS), IP Services, and Embedded Management. Key highlights of Cisco IOS Release 15.0(1)M include the following:

• Feature inheritance from Cisco IOS Releases 12.4T and 12.4 Mainline.

• An extended maintenance release (44 months of support) that allows customers to qualify/deploy/remain on the release longer with active bug fix support.

• Rebuilds of Cisco IOS Release 15.0(1)M that contain bug fixes only.

• Cisco IOS Release 15.0M (extended maintenance) releases that delivers incremental new features and hardware support (in addition to supporting features and hardware previously delivered) every 20 months.

Beschreibung der neuen HW- und SW-Features:

http://www.cisco.com/en/US/docs/ios/15_0/release/notes/150MNEWF.html#wp1015067

Filed under Cisco · Tagged with ,

Nächste Seite »