Neuer Qualitätsrekord von Cisco
Mein diesjähriger Networkers-Rucksack ist jetzt beim ersten Gebrauch nach der Networkers kaputt gegangen. Damit hat er auf jeden Fall länger gehalten als die Rucksäcke etlicher Kollegen, die schon in der Woche der Networkers zerfetzt auseinander gefallen sind.
Tja, “qualitativ hochwertig” war dieser Rucksack wirklich nur auf den ersten Eindruck. 
Bye, Bye Cisco Security Agent
Den CSA (Cisco Security Agent) habe ich eigentlich recht gut gefunden. 2003 hat Cisco ihr HIPS-Produktportfolio mit dem Aufkauf der Firma Okena abgerundet. Aufgrund des hohen Preises hatte ich zwar keine Kunden für dieses Produkt, aber auf etlichen eigenen Windows-PCs lief er früher bei mir und hat den einen oder anderen Angriff abgehalten.
Nun ist er abgekündigt, es gibt keinen direkten Cisco-Nachfolger:
EOL for the Cisco Security Agent
Tagebuch eines DRM-Opfers
Cisco hat sich schon vor einiger Zeit entschieden, die von den Trainern benötigten Kursunterlagen, als DRM-geschützte PDFs an seine CCSIs (Cisco Certified Systems Instructors) herauszugeben. Das hat mich mit meinen Kursen (hauptsächlich CCSP und CCIP) bisher nicht gestört, da die noch alle als PPT vorlagen. Aber für die neuen Kursversionen musste ich mich jetzt auch damit befassen:
Tag 0: Eine E-Mail erreicht mich, in der mir beschrieben wird, wie ich den Locklizard PDF-Viewer herunter laden kann. Sowohl Windows, als auch MacOS sind die unterstützten Plattformen. Erste Ernüchterung, die Mac-Version kann nicht drucken. Die Software ist trotzdem schnell installiert.
Tag 1: Ich verbringe ca. zwei Stunden auf der Cisco-Seite, auf der Suche nach den Downloads der Trainer-Materialien. An der Stelle, an der man den Download starten möchte, lädt der Browser immer automatisch eine .exe herunter. Einen Mac-User bringt das aber nur bedingt weiter.
Tag 2: Auf der Seite kann man per Chat Hilfe anfordern. Dies mache ich und werde in freundlicher deutscher Sprache im Chat begrüßt: “Guten Tag Karsten Iwen, mein Name ist Harish, wie kann ich Ihnen helfen?” Auf Deutsch formuliere ich mein Problem, erste Antwort, “please send your question in english”.
Alles noch einmal auf Englisch formuliert. Bekomme dann die Antwort, dass es zwar einen Viewer für den Mac gibt, aber der Download zwingend unter Windows erfolgen muss.
Ich starte meine VM-Session, da kommt von Harish der Nachsatz “weder der Downloader, noch der Viewer funktionieren in einer VM”. Klasse.
Tag 3: Ich stelle fest, dass ich keinen PC mit Windows mehr habe. Auch alle PCs in meinem Lab laufen mit Linux und mein Arbeits-Rechner ist halt der MAC. Windows ist zwar in mehreren Version vorhanden, aber immer virtualisiert. Ich mache ein Notebook platt und installiere ein XP, zu welchem ich noch eine CD gefunden habe.
Tag 4: Von dem Win-Notebook (komplett installiert und durchgepatched) lade ich die Download-Anwendung erneut herunter. “Die Anwendung konnte nicht richtig initialisiert werden (0xc0000135). Klicken Sie auf OK, um die Anwendung zu beenden”. Im Chat ist wieder Harish.
Harish: “ich solle nur ein oder zwei Dateien zur Zeit herunterladen”
Ich: “Aber die Software läuft noch nicht einmal, sie stürzt beim Starten ab”
Harish , einige Minuten später: “ist es eine nicht-Win-Umgebung?”
Ich: “WinXP SP3″
Harish will meine CCO-ID haben, ich frage ob eventuell .NET benötigt wird, den Hinweis habe ich bei Google gefunden.
Harish , einige Minuten später: “ich müsse sicherstellen, dass zum Download die Ports 80, 443 und 21 offen sind”
Ich: “so weit bin ich noch nicht, die Anwendung startet nicht”
Harish, einige Minuten später: “Ob ich das .NET-Framework 2.0 installiert hätte, das würde nämlich benötigt”
Ich: sprachlos …
Tag 5: .NET ist installiert, jetzt kann der Download endlich losgehen. Oder doch nicht? Nach ca. 50 MB stoppt das Download-Programm einfach und lädt nicht mehr weiter … Neustart hilft nicht. Irgendwie habe ich jetzt schon keine Lust mehr!
Tag 6 (genauer eine Woche später): Der Download hat geklappt! Ich kopiere die Dateien auf meinen Mac, auf dem ich die Lizenz installiert habe. Leider lassen sich die meisten Dateien nicht öffnen: “Invalid server response”.
Tag 7: Harish ist wieder im Chat, ich schildere mein Problem. Ich deinstalliere die Lizenz, installiere sie erneut und muss mehrmals erklären, dass ich die Dateien nicht öffnen kann. Harishs Antwort, dass das Problem beim Drucken auftaucht, bringt mich irgendwie nicht weiter, denn dass das nicht auf dem MAC geht, ist ja dokumentiert. Nach einer halben Stunde kommt Harish auf die Idee, meine Lizenz neu zu erzeugen. Nach der erneuten Installation ist das Problem aber immer noch da. Harish muss erstmal das “concern department” kontaktieren und will sich dann wieder melden.
Später: Per e-Mail erfahre ich, dass die Probleme gelöst seien und jetzt alles funktionieren soll. Öffnen lassen sich die Dokumente leider immer noch nicht.
Noch einmal später: Bei weiteren Tests merke ich, dass man es nur mehrmals hintereinander probieren muss. Eine Datei öffnete nach fünf Fehlversuchen, eine andere nach 17 Fehlversuchen (alle mitgezählt, nachdem mir das aufgefallen ist).
Tag 8: Shan vom Cisco Marketplace Support Team mailt mir, dass ich für drm.mediuscorp.com einen statischen Host-Eintrag anlegen müsse. Ich entgegne, das DNS funktioniert (inklusive DIG-Ausgabe), füge den Eintrag aber trotzdem hinzu, um bei der Problemlösung mitzuarbeiten. Der Fehler ist erwartungsgemäß trotzdem nicht weg.
Später: Shan schlägt vor, die Lizenzdatei zu bearbeiten und die URL zum DRM-Server von https auf http zu ändern. Schlechte Idee, denn danach lässt sich die Lizenz überhaupt nicht mehr installieren.
Tag 9: Harish schlägt vor, die Software zu deinstallieren und neu von vorne anzufangen. Schon bevor ich das gemacht habe, wusste ich eigentlich, wie viel das bringen würde …
Um das Problem weiter zu ergründen, wollte ich die Lizenz auf einem Windows-Rechner installieren, nachdem ich die Lizenz auf dem MAC deaktiviert habe. Geht leider auch nicht, da ich “keine Lizenz zur Verfügung habe …”. Ich will überhaupt nicht die Stunden zählen, die ich mit diesem Kram schon verbracht habe.
Tag 10 (wieder eine gute Woche später): Ich habe eine Lösung gefunden. Mein Plan, diese Arbeit unter MacOS zu machen, war von vornherein zum Scheitern verurteilt. Der Mac-Viewer mag zwar zum Lesen von Dokumenten geeignet sein, aber nicht, um Präsentationen zu zeigen. So hat er z.B. keinen Vollbildmodus und auch keine sinnvolle Tastatur-Steuerung zum Wechseln der Seiten. Von der fehlenden Unterstützung einer Fernbedienung mal ganz abgesehen. Auf meine diesbezügliche Anfrage beim Support habe ich dann auch überhaupt keine Antwort bekommen.
Ich habe jetzt Bootcamp installiert und dort eine neue Lizenz aktiviert, was dann auch funktioniert hat. Jetzt muss ich für Trainings zwar immer neu booten und habe auch keinen Zugriff auf meine normale Arbeits-Umgebung, um mal etwas aus der Reihe zu zeigen, wie z.B. aus GNS3. Aber zumindest komme ich mehr oder weniger an die Dokumente. Wie ich mich damit auf neue Kurse oder Kurs-Versionen vorbereiten kann, weiß ich aber noch nicht. Denn um mal nebenbei in den Unterlagen zu lesen, müsste ich ja auch neu booten (die Benutzung einer VM widerspricht den Lizenzbedingungen). Und das Ausdrucken ist nur auf lokale Drucker erlaubt (und das auch nur zweimal), aber alles, was ich für diese eher umfangreichen Druckjobs an Druckern zur Verfügung habe, sind Netzwerk-Drucker.
Bleiben mir nur die folgenden Gedanken:
- Derjenige, der sich das ausgedacht hat, der hat noch nie vor einer Klasse gestanden! Denn vor dem Training hat man anderes zu tun, als darüber zu grübeln, ob man überhaupt seine Unterlagen öffnen kann.
- Warum nur hasst Cisco seine Trainer so abgrundtief, dass die so etwas machen???
- XKCD und Brad Colbow haben halt doch Recht.
- Ich fühle mich darin bekräftigt, doch lieber eigene Workshops zu machen. Bei denen arbeite ich entweder am Whiteboard (für manche Sachen habe ich auch Slides) oder die Teilnehmer sitzen an der Konsole. Das macht einfach mehr Spaß.
- Bei der Suche nach einer Lösung bin ich auch auf den “LockLizard PDC Un Protector” gestoßen. Aber wer den benutzt, muss als “Raubkopierkinderschandmörder” bestimmt gleich mit einer Hausdurchsuchung rechnen. Weiterhin sind diese Crackprogramme sowieso nur “Trojanerschleudern” und schon deshalb nicht zu benutzen.
Überprüfen von ASA-Konfigurationen
Bisher galt Nipper als Werkzeug der Wahl, um Router-Konfigurationen zu überprüfen. Für die Cisco ASA kommt mit Flint ein neuer Kandidat ins Spiel, der recht zuversichtlich aussieht.
Flint kann als fertige VM heruntergeladen oder aber aus den Sourcen installiert werden. Über ein Web-Interface übergibt man die ASA-Konfiguration, die dann auf Konfigurations-Probleme untersucht wird.
Noch merkt man Flint den frühen Versions-Stand (aktuell 1.0.4) an. Ein paar Bugs sind noch drin, Probleme werden angeprangert, die nicht wirklich Probleme sind und manche Konfigurationszeilen kann Flint überhaupt nicht analysieren. Trotzdem sollte Flint in keiner Werkzeugkiste eines ASA-Admins fehlen. Und auch Benutzer anderer Firewalls sollen Flint später benutzen können. Laut Readme ist die Unterstützung von Cisco IOS, BSD PF und Linux IP-Tables geplant.
Den Hinweis auf Flint habe ich auf darknet.org.uk gefunden.
Tautologie
Ob es mit einem der letzten Comics von XKCD zu tun hat, das mir gerade heute in den Cisco-Schulungsunterlagen zum IAUWS (Implementing Advanced Cisco Unified Wireless Security) die folgenden Weisheiten bei der Erklärung der Bildschirmausgaben aufgefallen sind?
- Fake Attacks shows the number of fake attacks.
- AP Missing shows the number of missing access points.
- AP Impersonations shows the number of access point impersonations.
- AP Invalid SSID shows the number of invalid access point Service Set Identifiers (SSIDs).
- AP Invalid Preamble shows the number of invalid access point preambles.
- AP Invalid Encryption shows the number of invalid encryption events.
- AP Invalid Radio Policy shows the number of invalid access point radio policies.
- Denial of Service shows the number of DOS requests.
Nicht, dass ich die Qualität der Unterlagen in Frage stellen wollte, aber manchmal bin ich mir nicht sicher, welche Zielgruppe wirklich ins Auge gefasst wird.
SSH “in depth”
Im aktuellen IPJ (Internet Protocol Journal) gibt es einen guten und auch detailierten Artikel zu SSH, geschrieben von William Stallings:
Sehr lesenswert!
Private VLANs
Private VLANs sind ein Feature, mit dem sich Geräte innerhalb einer geswitchten Umgebung separieren lassen:
Private VLANs (PVLANs) – Promiscuous, Isolated, Community
Configuring Isolated Private VLANs on Catalyst Switches
Catalyst 3560 Software Configuration Guide, Release 12.2(52)SE – Configuring Private VLANs
Zu dieser bisher Cisco-proprietären Technik ist jetzt ein RFC erschienen:
RFC 5517 – Cisco Systems’ Private VLANs: Scalable Security in a Multi-Client Environment
IPv6 TechWiseTV
Bei Cisco gibt es eine TechWiseTV-Episode zu IPv6:
Join Cisco expert Harold Ritter as he provides a technology update, shows best practices, and addresses how to deploy IPv6 in a service provider environment to cope with growing demand (59:18 min.).
Agenda
Is IPv4 Broken? Why Change a System That Works?
IPv6 for Dummies: Layer 2 Deep Exploration
Understanding IPv6 Routing and Security Challenges
Quality of Service and Transition Mechanisms
Planning and Deployment Considerations
Update: Eben sehe ich gerade, dass diese Folge schon über zwei Jahre alt ist. Bis Ende Januar ist sie noch anzuschauen.
Cisco Live 2010 in Las Vegas
Die “Networkers” oder besser Cisco-Live findet nächstes Jahr vom 27.6.-1.7. in Las Vegas statt. Ab heute kann man sich dafür registrieren und bezahlt bis zum 22. Februar 2010 den sogenannten PreReg-Preis, der mit $1895 nochmals $100 unter dem Early-Bird-Preis liegt. Das ist bei dem aktuellen Dollar-Kurs dann auch ein recht guter Deal und ich freue mich schon wieder auf eine interessante und spaßige Networkers-Woche.
