Kommentar verfassen

Dynamic ARP Inspection gegen ARP-Poisoning

Das Adress Resolution Protocol (Kurz ARP) hat die Aufgabe Adressen aus der Internetschicht einer Hardware-Adresse zu zuordnen. Anhand dieser Zuordnung führen Clients, unabhängig voneinander, eine eigene ARP-Tabelle auf. Diese Tabelle wird später für Verbindungen innerhalb des eigenen Subnet gebraucht. Man kann sich lange darüber unterhalten, ob ARP jetzt auf Layer-2 oder Layer-3 agiert. Für meine Begriffe ist es ein reiner Layer-2 Protokoll.

Wie funktioniert die Kommunikation von ARP im Netzwerk?

Wir gehen davon aus, dass unser Client mit der IP 192.168.1.104 eine Verbindung zum 192.168.1.32 aufbauen möchte. Für Verbindungen innerhalb des Subnet verwedent der Client sein eigenes ARP-Cache. Ist die Ziel IP-Adresse nicht zu finden, dann sendet er einen ARP-Broadcast (ARP-Request) an die Adresse FF:FF:FF:FF:FF:FF mit der Frage „Welche MAC-Adresse hat die IP-Adresse 192.168.1.32?“. Da die Zielmaschine innerhalb des selben Subnet ist, sieht sie den Broadcast und fühlt sich angesprochen, darauf antwortet sie mit einem ARP-Unicast (ARP-Reply): „Die IP-Adresse 192.168.1.32 is at AB:BB:3D:F3:C6:07“. Im selben Zug speichert die Zielmaschine die Daten aus dem ARP-Request in seiner Tabelle, um zukünftige ARP-Broadcast zu vermeiden. Die Maschine mit der IP-Adresse 192.168.1.104 erhält die Antwort und ergänzt seine ARP-Tabelle.

Allgemein CCIE Journey Home Network Security Routing & Switching Switching
Kommentar verfassen

Netzwerkzugriff über MAC-Adresse verwalten (MAB) und via MAC-Spoofing umgehen.

Zwar gehören in dieser Sektion nur Beiträge über 802.1x, aber… irgendwo muss man ja auch anfangen, wenn man über die Verwaltung der Netzwerkzugriffe spricht.

Wir werden versuchen der Zugang zum Netz zu erhärten, und gleichzeitig werden wir probieren dieses umzugehen.

Regelt man die Zugriffe über ein Authentifizierungsmechanismus wie 802.1x (Dot1x), dann lassen die Zugangspunkte, in diesem Fall Ports, standardmässig nur bestimmte Pakete (EAPoL) durch. Andere Pakete werden ignoriert/verworfen, bis der Port autorisiert ist oder auf einem anderen Mechanismus gewechselt wird.

Wie das funktioniert erkläre ich Anhand meinem einfachen LAB:

Verwirrung zwischen Authentisierung, Authentifizierung und Autorisierung

802.1x Allgemein CCIE Journey Home ISE Network Security Security Switching
Kommentar verfassen

WLAN Authentifizierung via 802.1x (EAP-MSCHAPv2)

Hallo Allerseits. Wir werden in einer kleinen Schritt-für-Schritt Anleitung erfahren, wie wir die Authentifizierung für Wireless Client ein wenig härten können.

Bemerkung: Ein paar Voraussetzung (Oder auch nicht) für diesen Post.

  • Wir haben bereits einen funktionierenden Cisco Wireless-Controller mit angebunden Access-Points.
  • Wir verfügen bereits über ein Wireless LAN welches via PSK gesichert ist.
  • Cisco ISE ist installiert und funktionsfähig.
  • Man solle sich mit dem Admin Portal der ISE zurecht finden.

Und nun ran an dem Beispiel…

Bei der Anmeldung des Clients am Netz, schickt der Wireless Controller eine Reihe an Informationen, für die Authentifizierung der des Clients, an die Cisco ISE weiter.

Alle drei Geräte haben hier eine Rolle oder einen Name:

  • Client: Supplicant
  • Cisco Wireless-Controller: Authenticator
  • Cisco ISE: Authenticator Server

Der Client spricht nur den Wireless-Controller an, dieser baut anschliessend die Verbindung mit dem Authenticator Server auf, schickt die Daten und wartet auf eine Antwort.

802.1x Allgemein CCIE Journey Home ISE Security Wireless
Kommentar verfassen

Cisco Wireless-LAN-Controller 2504 factory reset

Hello everyone. A friend of me gave me this Cisco WLC in order to perform some tests at home. Since I couldn’t find out the current configuration of the device. I’ve decided to perform a factory reset.

What do we need?

  • Console cable
  • PuTTy a similiar terminal

First we will connect the console cable to the port intended for this purpose. While starting up, we will see during the boot sequence a message telling us to press <ESC> in order to access to the boot menu.

Press <ESC> now to access the Boot Menu…
Allgemein Home Snippets Wireless
Kommentar verfassen

Cisco – SSH-Server konfigurieren und absichern

Hallo Allerseits. In diesem Post geht es um Einstellungen, welche wir an unseren Routern/Switches vornehmen können, um die Sicherheit unseres SSH-Server zu erhöhen.

Bemerkung: Man kann nie von 100% Sicherheit sprechen. Dennoch kann man die Arbeit für den Angreifer erschweren.

SSH besser als Telnet

Ich will hier nicht all so tief ins Detail gehen, denn in einem separaten Beitrag werde ich einige Sachen im Vergleich Telnet vs. SSH schreiben.

Hier geht es eigentlich darum, dass mit uns Telnet ein Protokoll zur Verfügung steht, welches komplett in Klartext kommuniziert. SSH bietet uns da eine Reihe an Sicherheitseinstellungen, um die Integrität der Verbindung zu schützen. Aber wie richten wir das ein?

Allgemein CIsco Home Network Security Routing & Switching Security Switching
Kommentar verfassen

802.1Q, Q-in-Q und Layer-2 Tunneling Protocol

Hallo Allerseits, lange ist es her seit meinem letzen Eintrag. Ich melde mich zurück mit einem besonderen Thema.

Wer hat das nicht erlebt? Ein neuer Kunde kommt ins Datacenter mit einem Layer-2 Link und benutzt genau die gleiche VLAN-ID wie einen weiteren Kunde. Ärger schon vorprogrammiert!

Passiert das selten bis nie, und handelt es sich hier um eine oder zwei VLAN-IDs, dann könnte man (Ich sage nicht, dass es Best Practice ist) die VLAN-ID zu einer neuen, nicht zuvor genutzten ID, mittels „vlan mapping“ übersetzen. Ja, das könnten wir. Wir könnten aber auch auf unseren kompletten Infrastruktur VxLAN implementieren, auch das würde funktionieren.

Aber Q-in-Q ist ebenfalls eine Lösung.

Worum geht es hier? Vielleicht ein Bild hilft mehr als 1000 Wörter.

Wir, Layer-2 ISP, haben zwei Kunden, A und B. Diese verwenden nicht nur die gleiche VLAN-ID sondern auch die gleichen IP-Adressen und als wäre das nicht alles… die landen beide auf unserer Infrastruktur und benutzen gemeinsame Links. Es klingt alles nach einem schlechten Scherz, passiert aber öfters als man denkt.

Allgemein CCIE Journey CIsco Home Routing & Switching Switching
Kommentar verfassen

Quality of Service (QoS) – Kurze Einführung

Es muss bereits im Voraus klar gestellt werden, dass ganze Bücher über Quality-of-Service gibt. Es ist also nicht möglich alles in einem kurzen Artikel zu erfassen. Dennoch möchte ich trotzdem die Gelegenheit nutzen mein Wissen und Erfahrungen mit euch zu teilen. Vieles musste ich recherchieren, denn von der Theorie auf die Praxis liegen Welten. Wenn ich Traffic zuordne und klassifiziere, dann denke ich selten, welche Bits welchen Wert haben.

Ich hoffe, falls jemand dieses Artikel liest, dass es hilfreich ist und falls ich Fehler gemacht habe, dann freue ich mich über ein kurzes Feedback.

Artikel in dieser Reihe:
Quality of Service (QoS) – Kurze Einführung
Quality of Service (QoS) – Congestion Management

Woher kommt QoS und wie funktioniert das?

1981 wurde das ToS-Byte innerhalb des IP-Headers durch das RFC-791 definiert.

Schauen wir uns ein IP-Header ein bisschen mehr detailliert an

Ver | IHL | TOS | Packet Length
Identification | Flags | Fragment Offset
Time to live | Protocol | Header Checksum
Source address
Destination address
Options | Padding
Data

Am Anfang war das ToS-Byte wie folgt definiert:

0 ¦ 1 ¦ 2 ¦ 3 ¦ 4 ¦ 5 ¦ 6 ¦ 7
Precedence¦ Type of Service

Allgemein Home QoS
Kommentar verfassen

Quality of Service (QoS) – Congestion Management

Es muss bereits im Voraus klar gestellt werden, dass ganze Bücher über Quality-of-Service gibt. Es ist also nicht möglich alles in einem kurzen Artikel zu erfassen. Dennoch möchte ich trotzdem die Gelegenheit nutzen mein Wissen und Erfahrungen mit euch zu teilen. Vieles musste ich recherchieren, denn von der Theorie auf die Praxis liegen Welten. Wenn ich Traffic zuordne und klassifiziere, dann denke ich selten, welche Bits welchen Wert haben.

Ich hoffe, falls jemand dieses Artikel liest, dass es hilfreich ist und falls ich Fehler gemacht habe, dann freue ich mich über ein kurzes Feedback.

Artikel in dieser Reihe:
Quality of Service (QoS) – Kurze Einführung
Quality of Service (QoS) – Congestion Management

Congestion Management

Queuing

Erreicht einen Link sein maximales Durchsatz, dann müssen Pakete in den Queues verschoben, um das weiterleiten des Verkehrs zu kontrollieren. Pakete die markiert sind, können in verschiedene Queues platziert werden. Hingegen Pakete, die nicht zugeordnet werden konnten, landen in der Default Klasse (CS0) und werden nach Best Effort (BE) verarbeitet.

Allgemein Home QoS Routing & Switching
Kommentar verfassen

Cisco, 802.1x und WoL

Netzwerke… immer Probleme… nur Probleme.

Nach einer Migration konnte unser Windows Administrator, übers Wochenende, keine Maschine mittels WoL hochfahren.

WoL (Wake-on-LAN) ist ein Standard, um ausgeschalteten Computer über die Netzwerkkarte mittels ein «Magic Packet» wieder einzuschalten. Dies kann in grösseren Unternehmen von Nutzen sein, wenn sie über Weekend oder über Nacht, Updates installieren wollen. Das Paket ist speziell «gecrafted» und, soweit ich weiss, besteht das Payload aus 6 x FF in Folge und anschliessend 16 mal in Folge die MAC-Adresse der Destination.

Egal was in deiner Infrastruktur passiert, wenn etwas nicht mehr geht, dann liegt es definitiv am Netzwerk. Und dies mal hatten die Recht…

Allgemein CIsco Home Routing & Switching Switching
Kommentar verfassen

DHCP – IP-Address conflict with IP 0.0.0.0 & Cisco Switch

Hello everyone. Let me explain you in this short post the issues I had last week…

After a „successfully“ implementation of the new Cisco switches the customer started having issues while starting the notebook or comming back from a meeting and inserting the notebook back in to the docking station.

The client received an error message telling him there should be an IP-Address conflict with the IP 0.0.0.0. The message only offered an Okay button. If you click on it, the client got a new IP-Address and everything was fine.

Since all users were affected by this issue, a secondary effect emerged. All since all the clients were getting a new IP-Address the DHCP-Pool was empty of available addresses to assign.

So… what is the issue?

Allgemein CIsco Home Switching