Kommentar verfassen

Cisco EVPN – VxLAN using unicast

Hello there! It has been a long time since my last post. Currently I am dealing with EVPN VxLAN and managed it to run a demonstration on my small modest virtual lab environment.

One of my first posts in this blog was about how to run VxLAN over an IPSEC Tunnel using a Fortigate firewall. This setup has some limitations when it comes to scalability or performance. In this case we are gonna see a very simple design and implementation using a spine & leaf architecture and unicast to replicate our data across the network.

There are still a lot of legacy DC running spanning-tree out there. It is not a crime doing it, since the network should meet customer requirements without adding unnecessary complexity. But… imagine you are running a financial network and your network flow relies on STP. You will face two challenges:

  1. The convergence time between failure and recovery are possibly to high.
  2. You will have some interfaces in the blocking state, which will impede you to use all the BW available in the network. More precisely you will end up with a lot of unused ports.
Allgemein CCIE Journey CIsco Design Home Routing & Switching Switching
Kommentar verfassen

Unboxing Cisco Firepower 1010 – Mixed feelings

Hello everyone. Today we have the honor to be the witness of the unboxing of my new Cisco Firepower 1010. I have big expectations and I will spend some time to cover all the needed basic information about this device.

At the time I am writing this post there is already a newer version of the software released (6.6). The devices are being delivered with version 6.4 and this will be the version we will see in this post. Once I’ve played around, the device will be upgraded and for sure a new post will be written regarding the new features.

Allgemein CIsco Firepower Firewall Hardware Home Network Security Security
Kommentar verfassen

EEM – Shutting down unstable links while using HSRP

Hello everyone!

Normally while using HSRP as an FHRP the device will be able to switch between active and standby router based on different situations.

  • The group interface is down.
  • Group priority has been lowered on the interface manually.
  • Group priority has been lowered on the interface by a tracking element.
  • The device stop receiving Hello-Packets from his neighbor.

So far so good… But what happens if the link of one router is so bad that has packetloss but all tracking objects and hello packets always arrive. This will cause a bad quality of the link. This could be slightly fixed by adding a script to our configuration.

Cisco Embedded Event Manager (EEM) offers us a sub-system that checks in real-time the status of some pre-defined parameters.

There are thousands of manners how to deal with it. I will post a small snippet how to check the input errors of an interface.

For this test, I will manipulate the settings of the links by configuring it with half-duplex on both sides to force the input errors to increment.

Allgemein Home Network Programmability Routing & Switching Snippets Switching
Kommentar verfassen

Point-to-Point links with /31 – RFC-3021

Hello everyone! Today something old… but anyway interesting.

We know since last century that we will not have enough IPv4 addresses to satisfiy all our needs. Therefore some guys proposed twenty years ago in RFC-3021 a way to conserve the amount of public addresses. Link to RFC-3021.

Lets see a comparison for better understanding and to realize the purpose of it.

Bit prefixesAmount of IP-AddressesAmount of hostAmount of subnet within /24
/304264
/3122128

We clearly see that using a /31 we will be able to double the amount of point-to-point links that we can create. This demonstrate the inefficiency of running PTP-Links using a /30-bit prefix. This is very important to consider if you have a limited amount of public IPv4 addresses.

Allgemein Design Home Routing Routing & Switching
1 Kommentar

Device administration via RADIUS and Active-Directory

Hello everyone. Today we will have a closer look at how to control the access to our network switches for operational purpose by using Cisco ISE and Active Directory.

We will assume that your Windows Server with AD services is already configured and fully functional.

For our short example we will use a very small topology where the Cisco ISE and the Windows Server with Active directory services are located in the same subnet. It is true that for such a small IT-enviroment you could manage the credentials directly on the switch or on your ISE, but the example should demonstrate how we can deal with a big enterprise where there should be a certain level of transparency and security in the enviroment, avoiding unauthorized access to our infrastructure.

Within the AD we have placed three users in different security groups. Alice (IT), Bob (HR) and Robert (Marketing). Alice as an IT employee should be the only one entitled to access the switch.

Therefore we will create a policy-set on the ISE to grant acces to the switches only to people within the security group „Network-Operations“.

Let’s have a look at the topology…

Allgemein CIsco Home ISE Security Switching
Kommentar verfassen

VLAN-Hopping, Gefahr in non-routable Netzwerke

Schauen wir uns ein Beispiel an, welches Anfangs vielleicht ein wenig verrückt und unrealistisch klingt, aber dann noch beängstigend wird.

Wir gehen weg von den Access-Layer und bewegen wir uns zwischen Core oder im Distribution Bereich.

Um die Dramatik in meinem Beispiel zu erhöhen, stellen wir uns eine Umgebung in der Forschung vor. Wie wir denken, arbeiten diese mit hochmoderne Computers, die oft mittels GPUs schwierige Simulationen Tage- oder Wochenlang berechnen. Aber es gibt auch andere Geräte, wie Mikroskope, die weiterhin über einen Serial RS-232 Kabel angeschlossen sind, oder Software die nur unter Windows XP laufen, oder sogar eine Datenbank in Microsoft Access 2000… vielleicht auch Microsoft Access 1998… Ja, eine Datenbank aus dem letzten Jahrhundert. Viele schütteln jetzt den Kopf und behaupten laut: „Wie kann das denn sein?“. Dennoch werden mir viele bestätigen können, das solche Systeme noch im Umlauf sind, und es ist auch nicht vorgesehen, diese zu aktualisieren, oder zu ersetzen! Es werden sogar alte Geräte gekauft, um diese als Backup zu haben, um ein Windows 2000 fähiges Gerät zu haben, damit man die Datenbank innerhalb ein paar Stunden oder Tagen wiederherstellen kann.

Systeme die seit mehr als 10 Jahre keine Patch mehr erhalten haben und tausende von offenen Systemlücken enthalten.

Solche Geräte gehen an der Abteilung IT-Security nicht vorbei. Die wissen davon Bescheid, und können in vielen Situationen nichts anderes entscheiden als solche Systeme, die in einem so genantes „non-routable“ Netzwerk platzieren.

Auf dem ersten Blick klingt das nach einem Plan… Aber…

Allgemein CCIE Journey CIsco Home Network Security Routing & Switching Security Switching
Kommentar verfassen

Dynamic ARP Inspection gegen ARP-Poisoning

Das Adress Resolution Protocol (Kurz ARP) hat die Aufgabe Adressen aus der Internetschicht einer Hardware-Adresse zu zuordnen. Anhand dieser Zuordnung führen Clients, unabhängig voneinander, eine eigene ARP-Tabelle auf. Diese Tabelle wird später für Verbindungen innerhalb des eigenen Subnet gebraucht. Man kann sich lange darüber unterhalten, ob ARP jetzt auf Layer-2 oder Layer-3 agiert. Für meine Begriffe ist es ein reiner Layer-2 Protokoll.

Wie funktioniert die Kommunikation von ARP im Netzwerk?

Wir gehen davon aus, dass unser Client mit der IP 192.168.1.104 eine Verbindung zum 192.168.1.32 aufbauen möchte. Für Verbindungen innerhalb des Subnet verwedent der Client sein eigenes ARP-Cache. Ist die Ziel IP-Adresse nicht zu finden, dann sendet er einen ARP-Broadcast (ARP-Request) an die Adresse FF:FF:FF:FF:FF:FF mit der Frage „Welche MAC-Adresse hat die IP-Adresse 192.168.1.32?“. Da die Zielmaschine innerhalb des selben Subnet ist, sieht sie den Broadcast und fühlt sich angesprochen, darauf antwortet sie mit einem ARP-Unicast (ARP-Reply): „Die IP-Adresse 192.168.1.32 is at AB:BB:3D:F3:C6:07“. Im selben Zug speichert die Zielmaschine die Daten aus dem ARP-Request in seiner Tabelle, um zukünftige ARP-Broadcast zu vermeiden. Die Maschine mit der IP-Adresse 192.168.1.104 erhält die Antwort und ergänzt seine ARP-Tabelle.

Allgemein CCIE Journey Home Network Security Routing & Switching Switching
Kommentar verfassen

Netzwerkzugriff über MAC-Adresse verwalten (MAB) und via MAC-Spoofing umgehen.

Zwar gehören in dieser Sektion nur Beiträge über 802.1x, aber… irgendwo muss man ja auch anfangen, wenn man über die Verwaltung der Netzwerkzugriffe spricht.

Wir werden versuchen der Zugang zum Netz zu erhärten, und gleichzeitig werden wir probieren dieses umzugehen.

Regelt man die Zugriffe über ein Authentifizierungsmechanismus wie 802.1x (Dot1x), dann lassen die Zugangspunkte, in diesem Fall Ports, standardmässig nur bestimmte Pakete (EAPoL) durch. Andere Pakete werden ignoriert/verworfen, bis der Port autorisiert ist oder auf einem anderen Mechanismus gewechselt wird.

Wie das funktioniert erkläre ich Anhand meinem einfachen LAB:

Verwirrung zwischen Authentisierung, Authentifizierung und Autorisierung

802.1x Allgemein CCIE Journey Home ISE Network Security Security Switching
Kommentar verfassen

Cisco – SSH-Server konfigurieren und absichern

Hallo Allerseits. In diesem Post geht es um Einstellungen, welche wir an unseren Routern/Switches vornehmen können, um die Sicherheit unseres SSH-Server zu erhöhen.

Bemerkung: Man kann nie von 100% Sicherheit sprechen. Dennoch kann man die Arbeit für den Angreifer erschweren.

SSH besser als Telnet

Ich will hier nicht all so tief ins Detail gehen, denn in einem separaten Beitrag werde ich einige Sachen im Vergleich Telnet vs. SSH schreiben.

Hier geht es eigentlich darum, dass mit uns Telnet ein Protokoll zur Verfügung steht, welches komplett in Klartext kommuniziert. SSH bietet uns da eine Reihe an Sicherheitseinstellungen, um die Integrität der Verbindung zu schützen. Aber wie richten wir das ein?

Allgemein CIsco Home Network Security Routing & Switching Security Switching