Kommentar verfassen

Cisco EVPN – VxLAN using unicast

Hello there! It has been a long time since my last post. Currently I am dealing with EVPN VxLAN and managed it to run a demonstration on my small modest virtual lab environment.

One of my first posts in this blog was about how to run VxLAN over an IPSEC Tunnel using a Fortigate firewall. This setup has some limitations when it comes to scalability or performance. In this case we are gonna see a very simple design and implementation using a spine & leaf architecture and unicast to replicate our data across the network.

There are still a lot of legacy DC running spanning-tree out there. It is not a crime doing it, since the network should meet customer requirements without adding unnecessary complexity. But… imagine you are running a financial network and your network flow relies on STP. You will face two challenges:

  1. The convergence time between failure and recovery are possibly to high.
  2. You will have some interfaces in the blocking state, which will impede you to use all the BW available in the network. More precisely you will end up with a lot of unused ports.
Allgemein CCIE Journey CIsco Design Home Routing & Switching Switching
Kommentar verfassen

Installing Cisco ISE 2.6 in 5 minutes

In this shortly post we will have a closer look how we can install ISE 2.6 on a virtual machine. I made a short video (My first one) how to go through this easy process of installation. The video has been speeded up, so it may take definetly longer on your machine.

For the adquisition of the image you must be entitle by having a valid contract for this product.

Remark I: I could observed that the VM works better with 16 GB RAM rather than 12. In case you assign less, the only effect is, that the ISE Application wont work fluid. This means, you will ned patience when you click on a link/menu.

Remark II: Keep in mind while choosing a password with special characters that the keyboard layout for the installation is EN-US.

Cisco ISE 2.6 Installation
Background music: Johann Sebastian Bach, Cello Suite No. 1 in G Major Prélude

Once all the services are up and running, you will be able to access to the admin portal by opening the https://IP_ADDRESS on your browser. This will take a while depending of the performance of your machine. In my case it always take about 15 minutes… so be patient.

Thanks and hope to see you on my next post!

802.1x Allgemein CCIE Journey Home ISE Security
Kommentar verfassen

VLAN-Hopping, Gefahr in non-routable Netzwerke

Schauen wir uns ein Beispiel an, welches Anfangs vielleicht ein wenig verrückt und unrealistisch klingt, aber dann noch beängstigend wird.

Wir gehen weg von den Access-Layer und bewegen wir uns zwischen Core oder im Distribution Bereich.

Um die Dramatik in meinem Beispiel zu erhöhen, stellen wir uns eine Umgebung in der Forschung vor. Wie wir denken, arbeiten diese mit hochmoderne Computers, die oft mittels GPUs schwierige Simulationen Tage- oder Wochenlang berechnen. Aber es gibt auch andere Geräte, wie Mikroskope, die weiterhin über einen Serial RS-232 Kabel angeschlossen sind, oder Software die nur unter Windows XP laufen, oder sogar eine Datenbank in Microsoft Access 2000… vielleicht auch Microsoft Access 1998… Ja, eine Datenbank aus dem letzten Jahrhundert. Viele schütteln jetzt den Kopf und behaupten laut: „Wie kann das denn sein?“. Dennoch werden mir viele bestätigen können, das solche Systeme noch im Umlauf sind, und es ist auch nicht vorgesehen, diese zu aktualisieren, oder zu ersetzen! Es werden sogar alte Geräte gekauft, um diese als Backup zu haben, um ein Windows 2000 fähiges Gerät zu haben, damit man die Datenbank innerhalb ein paar Stunden oder Tagen wiederherstellen kann.

Systeme die seit mehr als 10 Jahre keine Patch mehr erhalten haben und tausende von offenen Systemlücken enthalten.

Solche Geräte gehen an der Abteilung IT-Security nicht vorbei. Die wissen davon Bescheid, und können in vielen Situationen nichts anderes entscheiden als solche Systeme, die in einem so genantes „non-routable“ Netzwerk platzieren.

Auf dem ersten Blick klingt das nach einem Plan… Aber…

Allgemein CCIE Journey CIsco Home Network Security Routing & Switching Security Switching
Kommentar verfassen

Dynamic ARP Inspection gegen ARP-Poisoning

Das Adress Resolution Protocol (Kurz ARP) hat die Aufgabe Adressen aus der Internetschicht einer Hardware-Adresse zu zuordnen. Anhand dieser Zuordnung führen Clients, unabhängig voneinander, eine eigene ARP-Tabelle auf. Diese Tabelle wird später für Verbindungen innerhalb des eigenen Subnet gebraucht. Man kann sich lange darüber unterhalten, ob ARP jetzt auf Layer-2 oder Layer-3 agiert. Für meine Begriffe ist es ein reiner Layer-2 Protokoll.

Wie funktioniert die Kommunikation von ARP im Netzwerk?

Wir gehen davon aus, dass unser Client mit der IP 192.168.1.104 eine Verbindung zum 192.168.1.32 aufbauen möchte. Für Verbindungen innerhalb des Subnet verwedent der Client sein eigenes ARP-Cache. Ist die Ziel IP-Adresse nicht zu finden, dann sendet er einen ARP-Broadcast (ARP-Request) an die Adresse FF:FF:FF:FF:FF:FF mit der Frage „Welche MAC-Adresse hat die IP-Adresse 192.168.1.32?“. Da die Zielmaschine innerhalb des selben Subnet ist, sieht sie den Broadcast und fühlt sich angesprochen, darauf antwortet sie mit einem ARP-Unicast (ARP-Reply): „Die IP-Adresse 192.168.1.32 is at AB:BB:3D:F3:C6:07“. Im selben Zug speichert die Zielmaschine die Daten aus dem ARP-Request in seiner Tabelle, um zukünftige ARP-Broadcast zu vermeiden. Die Maschine mit der IP-Adresse 192.168.1.104 erhält die Antwort und ergänzt seine ARP-Tabelle.

Allgemein CCIE Journey Home Network Security Routing & Switching Switching
Kommentar verfassen

Netzwerkzugriff über MAC-Adresse verwalten (MAB) und via MAC-Spoofing umgehen.

Zwar gehören in dieser Sektion nur Beiträge über 802.1x, aber… irgendwo muss man ja auch anfangen, wenn man über die Verwaltung der Netzwerkzugriffe spricht.

Wir werden versuchen der Zugang zum Netz zu erhärten, und gleichzeitig werden wir probieren dieses umzugehen.

Regelt man die Zugriffe über ein Authentifizierungsmechanismus wie 802.1x (Dot1x), dann lassen die Zugangspunkte, in diesem Fall Ports, standardmässig nur bestimmte Pakete (EAPoL) durch. Andere Pakete werden ignoriert/verworfen, bis der Port autorisiert ist oder auf einem anderen Mechanismus gewechselt wird.

Wie das funktioniert erkläre ich Anhand meinem einfachen LAB:

Verwirrung zwischen Authentisierung, Authentifizierung und Autorisierung

802.1x Allgemein CCIE Journey Home ISE Network Security Security Switching
Kommentar verfassen

WLAN Authentifizierung via 802.1x (EAP-MSCHAPv2)

Hallo Allerseits. Wir werden in einer kleinen Schritt-für-Schritt Anleitung erfahren, wie wir die Authentifizierung für Wireless Client ein wenig härten können.

Bemerkung: Ein paar Voraussetzung (Oder auch nicht) für diesen Post.

  • Wir haben bereits einen funktionierenden Cisco Wireless-Controller mit angebunden Access-Points.
  • Wir verfügen bereits über ein Wireless LAN welches via PSK gesichert ist.
  • Cisco ISE ist installiert und funktionsfähig.
  • Man solle sich mit dem Admin Portal der ISE zurecht finden.

Und nun ran an dem Beispiel…

Bei der Anmeldung des Clients am Netz, schickt der Wireless Controller eine Reihe an Informationen, für die Authentifizierung der des Clients, an die Cisco ISE weiter.

Alle drei Geräte haben hier eine Rolle oder einen Name:

  • Client: Supplicant
  • Cisco Wireless-Controller: Authenticator
  • Cisco ISE: Authenticator Server

Der Client spricht nur den Wireless-Controller an, dieser baut anschliessend die Verbindung mit dem Authenticator Server auf, schickt die Daten und wartet auf eine Antwort.

802.1x Allgemein CCIE Journey Home ISE Security Wireless
Kommentar verfassen

802.1Q, Q-in-Q und Layer-2 Tunneling Protocol

Hallo Allerseits, lange ist es her seit meinem letzen Eintrag. Ich melde mich zurück mit einem besonderen Thema.

Wer hat das nicht erlebt? Ein neuer Kunde kommt ins Datacenter mit einem Layer-2 Link und benutzt genau die gleiche VLAN-ID wie einen weiteren Kunde. Ärger schon vorprogrammiert!

Passiert das selten bis nie, und handelt es sich hier um eine oder zwei VLAN-IDs, dann könnte man (Ich sage nicht, dass es Best Practice ist) die VLAN-ID zu einer neuen, nicht zuvor genutzten ID, mittels „vlan mapping“ übersetzen. Ja, das könnten wir. Wir könnten aber auch auf unseren kompletten Infrastruktur VxLAN implementieren, auch das würde funktionieren.

Aber Q-in-Q ist ebenfalls eine Lösung.

Worum geht es hier? Vielleicht ein Bild hilft mehr als 1000 Wörter.

Wir, Layer-2 ISP, haben zwei Kunden, A und B. Diese verwenden nicht nur die gleiche VLAN-ID sondern auch die gleichen IP-Adressen und als wäre das nicht alles… die landen beide auf unserer Infrastruktur und benutzen gemeinsame Links. Es klingt alles nach einem schlechten Scherz, passiert aber öfters als man denkt.

Allgemein CCIE Journey CIsco Home Routing & Switching Switching