Vor kurzem ist mir eine 256GB SSD in einem Rechner ausgefallen. Da ich auf diesem aber auch sensitive Daten habe (nicht nur meine Mails, sondern auch Kunden-Konfigurationen mit Passwörtern, VPN-PSKs etc.) kann ich die SSD jetzt natürlich nicht zum Austausch einschicken da ich nicht wüsste, was mit den Daten auf dem Gerät passiert. Wenn die Daten richtig verschlüsselt gewesen wären, dann wäre das natürlich kein Problem gewesen.

Was bleibt ist ein Lehrgeld von ca. EUR 400,-, eine noch zu zerstörende SSD (will it blend?) und eine gelernte Lektion!

Related Posts

No related posts.

Nebenbei geht es auf der Cisco-Seite übrigens auch um das neue ASA 8.4(2)-Feature, das man FQDNs in Access-Listen verwenden kann. Auch nicht schlecht …

Related Posts

1. Keine GD-Releases fürs IOS mehr
2. Cisco IOS: Content-Filtering

Der Aufruf ist recht simpel:

Karstens-MacBook-Air:sslyze karsten$ python ./sslyze.py --regular www.example.com

Die Ausgaben beziehen sich dann auf die verschiedenen Checks, die das Script ausführen kann. Diese sind auf der Wiki-Seite des Projekts beschrieben.

Bei meinem ersten Scan ist mir dann auch gleich ein Fehler auf einem meiner eigenen Server aufgefallen:

  * SSLV3 Cipher Suites :
      Cipher Suite:                             SSL Handshake:           HTTP GET:
      AES256-SHA  256bits                          Preferred               200 OK
      RC4-SHA  128bits                             Accepted                200 OK
      RC4-MD5  128bits                             Accepted                200 OK
      DES-CBC3-SHA  168bits                        Accepted                200 OK
      DES-CBC-SHA  56bits                          Accepted                200 OK
      AES128-SHA  128bits                          Accepted                200 OK

Ich habe vergessen, unsichere Verschlüsselungen in der Webserver-Konfig auszuschalten. Bei einem Lighttpd unter Debian ist das folgende Einstellung unter /etc/lighttpd/conf-enabled/10-ssl.conf:

        ssl.cipher-list = "AES256-SHA RC4-SHA AES128-SHA"

Beim nächsten Aufruf sieht das dann schon besser aus:

  * SSLV3 Cipher Suites :
      Cipher Suite:                             SSL Handshake:           HTTP GET:
      AES256-SHA  256bits                          Preferred               200 OK
      RC4-SHA  128bits                             Accepted                200 OK
      AES128-SHA  128bits                          Accepted                200 OK

Related Posts

No related posts.

1. Admins, die diese Funktion bewusst genutzt haben.

Die haben diese Listen entweder selbst auf ihren Routern eingerichtet oder aber eine Bogon-Liste von z.B.

Aber es gibt halt auch die

2. Admins, die diese Funktion nicht bewusst nutzen.

Das sind z.B. die, die auf älteren IOS-Versionen mit Auto-Secure gearbeitet und dabei mehr oder weniger automatisch einen Bogon-Filter in das System bekommen haben.

Und für diese gilt dann wohl hauptsächlich die Empfehlung:
Werft den alten Filter weg und ersetzt ihn gegen etwas Neues, z.B. mit den Netzen, die ich unter RFC 3330 ist obsolet” beschrieben habe.

Passend dazu ist auch die Cisco Field-Notice von 2005: AutoSecure Bogon Filter Potentially Causes Blackholing of Internet Traffic

Related Posts

No related posts.

Related Posts

1. Der Cisco VPN-Client im MacOS X 10.6 Snow Leopard
2. Cisco IOS: Uniform Fragmentation bei IPSec
3. Cisco AnyConnect für das iPhone

Related Posts

No related posts.

Damit war diese Veranstaltung dann leider schon vorbei. Aber im nächsten Jahr gibt es ja wieder einen Termin:

Auch dort wird es wieder heißen:

Related Posts

1. Cisco Networkers 2011, Tag 1
2. Cisco Networkers 2011, Tag 3
3. Cisco Networkers 2011, Tag 0

Weiterhin steht am Mittwoch abend immer der Customer Appreciation Event an. Nach einer gut 10minütigen Fahrt mit dem Shuttle-Bus kamen wir im M-Resort an, wo schon die Bühne für die Live-Musik und diverse Stände für Essen und Getränke aufgebaut waren:

Natürlich hat jeder Teilnehmer wieder einen Hut bekommen:

Diese blinkenden Hüte und die Leuchtstäbe haben an diesem äußerst angenehmen Abend für eine schummerige Stimmung gesorgt. Insgesamt ein sehr gelungener Abend:

Related Posts

1. Cisco Networkers 2011, Tag 3
2. Cisco Networkers 2011, Tag 2
3. Cisco Networkers 2011, Tag 0

Vormittags war dann auch die Keynote von John Chambers. Dort hat man z.B. erfahren, das dieses Jahr über 15000 Teilnehmer in Las Vegas dabei sind. Das erklärt ein wenig die manchmal leicht chaotischen Zustände. Ansonten hat John Chambers geschickt die aktuellen Firmen-Probleme übergangen.

Zwischen den Sessions war dann auch noch Zeit, meine eigentlich für Donnerstag geplante Prüfung vorzuziehen. Mit der CCDE-Written habe ich den CCIE und alle Professional- und Associate-Level rezertifiziert. Und wie schon vermutet und auch von anderen Leuten gehört, war diese Prüfung richtig eklig mit vielen völlig unklaren Fragestellungen, fehlerhaften Darstellunen etc.

In der World of Solutions musste ich dann noch dringend ein Citrix-Shirt mit einem sehr guten Dilbert-Comic ergattern:

Abends gab es noch die CCIE-NetVet-Reception, in der sich John Chambers wieder einem kleineren Kreis stellte um Fragen zu beantworten. Da kamen dann auch Sachen wie die kürzlich angekündigten Entlassungen zur Sprache und die Restrukturierungen wurden weiter begründet. Und das Essen (u.a. Roast-Beef) war einfach nur fantastisch.

Der letzte Tagespunkt war die CCIE-Party. Cisco hat Madame Tussauds Wachsfiguren-Kabinet im Venetian-Hotel gemietet und dort viele Leckereien und Getränke serviert. Als nach schon zwei Stunden kein gekühltes Bier mehr verfügbar war, leerte es sich doch schneller. Diese Party war ganz nett, aber kein Vergleich zum letzten Jahr.

Related Posts

1. Cisco Networkers 2011, Tag 0
2. Cisco Networkers 2011, Tag 1
3. Cisco Networkers 2009 – Tag 3

Am NOC gab es eine Schaubild des Konferenz-Netwerks.

Auch wenn es hier ab und an Probleme mit dem Netzwerk gibt und gab, sollte sich EC-Council für ihre Konferenzen daran mal ein Beispiel nehmen.
Und wo es ein Netzwerk und ein paar Tausend Geeks gibt, können natürlich Angreifer nicht weit sein. Die roten Totenköpfe sind Rogue-Access-Points:

Weiterhin war das WLAN IPv6-enabled:

Nach den Sessions war dann die “Welcome-Reception”. Die “World of Solutions”, auf der Cisco-Partner ihre Lösungen präsentieren, wurde mit leckerem Essen und Freibier eröffnet. In der Certification-Lounge gab es wieder “Pimp my Badge” und für CCIEs gab es wie vor drei Jahren schon ein sehr schönes Geschenk: Ein Glas mit eingeätztem CCIE-Logo:

Wie jedes Jahr habe ich auch dieses Jahr versucht, mir von den Ausstellern keine T-Shirts andrehen zu lassen. Leider erfolglos:

Von links oben nach rechts unten: New Horizons, Splunk, Solarwinds, IPSwitch, Visual Network Systems, Global Knowledge, ManageEngine.
Weiterhin gab es das offizielle CiscoLive2011-Shirt und ein weiteres von Cisco wenn man ein Video-Blog macht:

Auf der Rückseite es ersten Cisco-Shirts waren auch die Termine der nächsten Networkers vermerkt. Die muss ich mir gleich in den Kalender eintragen:

• 10.-14. Juni 2012 – San Diego, CA
• 23.-27. Juni 2013 – Orlando, FL
• 18.-22. Mai 2014 – San Francisco, CA
• 7.-11. Juni 2015 – San Diego, CA

Was gab es weiter auf der World of Solutions:
Wie schon in den Jahren zuvor versuchte ccboobcamp ccbootcamp mit Booth-Bunnies Teilnehmer anzulocken. Ist bei denen wohl notwendig. Ca. 2003/2004 habe ich mir deren CCIE-Security-Unterlagen gekauft und die hatten eine unterirdische Qualität.
Und habe ich vorgestern nicht über über USB-Sticks geschrieben? Bei FastLane gab es auch einen 2GB-Stick, den man sich ums Handgelenk binden konnte. Der Cisco-Stick verblüffte mit einer Kapazität von sage und schreibe 1GB:

Bei Solarwinds gab es nicht nur T-Shirts, sondern auch mal wieder nette Aufkleber und Buttons:

Morgen geht es weiter …

Related Posts

1. Cisco Networkers 2011, Tag 0
2. Cisco Networkers 2011, Tag 5
3. Cisco Networkers 2011, Tag -1