Kommentar verfassen

Unboxing Cisco Firepower 1010 – Mixed feelings

Hello everyone. Today we have the honor to be the witness of the unboxing of my new Cisco Firepower 1010. I have big expectations and I will spend some time to cover all the needed basic information about this device.

At the time I am writing this post there is already a newer version of the software released (6.6). The devices are being delivered with version 6.4 and this will be the version we will see in this post. Once I’ve played around, the device will be upgraded and for sure a new post will be written regarding the new features.

Allgemein CIsco Firepower Firewall Hardware Home Network Security Security
1 Kommentar

Device administration via RADIUS and Active-Directory

Hello everyone. Today we will have a closer look at how to control the access to our network switches for operational purpose by using Cisco ISE and Active Directory.

We will assume that your Windows Server with AD services is already configured and fully functional.

For our short example we will use a very small topology where the Cisco ISE and the Windows Server with Active directory services are located in the same subnet. It is true that for such a small IT-enviroment you could manage the credentials directly on the switch or on your ISE, but the example should demonstrate how we can deal with a big enterprise where there should be a certain level of transparency and security in the enviroment, avoiding unauthorized access to our infrastructure.

Within the AD we have placed three users in different security groups. Alice (IT), Bob (HR) and Robert (Marketing). Alice as an IT employee should be the only one entitled to access the switch.

Therefore we will create a policy-set on the ISE to grant acces to the switches only to people within the security group „Network-Operations“.

Let’s have a look at the topology…

Allgemein CIsco Home ISE Security Switching
Kommentar verfassen

VLAN-Hopping, Gefahr in non-routable Netzwerke

Schauen wir uns ein Beispiel an, welches Anfangs vielleicht ein wenig verrückt und unrealistisch klingt, aber dann noch beängstigend wird.

Wir gehen weg von den Access-Layer und bewegen wir uns zwischen Core oder im Distribution Bereich.

Um die Dramatik in meinem Beispiel zu erhöhen, stellen wir uns eine Umgebung in der Forschung vor. Wie wir denken, arbeiten diese mit hochmoderne Computers, die oft mittels GPUs schwierige Simulationen Tage- oder Wochenlang berechnen. Aber es gibt auch andere Geräte, wie Mikroskope, die weiterhin über einen Serial RS-232 Kabel angeschlossen sind, oder Software die nur unter Windows XP laufen, oder sogar eine Datenbank in Microsoft Access 2000… vielleicht auch Microsoft Access 1998… Ja, eine Datenbank aus dem letzten Jahrhundert. Viele schütteln jetzt den Kopf und behaupten laut: „Wie kann das denn sein?“. Dennoch werden mir viele bestätigen können, das solche Systeme noch im Umlauf sind, und es ist auch nicht vorgesehen, diese zu aktualisieren, oder zu ersetzen! Es werden sogar alte Geräte gekauft, um diese als Backup zu haben, um ein Windows 2000 fähiges Gerät zu haben, damit man die Datenbank innerhalb ein paar Stunden oder Tagen wiederherstellen kann.

Systeme die seit mehr als 10 Jahre keine Patch mehr erhalten haben und tausende von offenen Systemlücken enthalten.

Solche Geräte gehen an der Abteilung IT-Security nicht vorbei. Die wissen davon Bescheid, und können in vielen Situationen nichts anderes entscheiden als solche Systeme, die in einem so genantes „non-routable“ Netzwerk platzieren.

Auf dem ersten Blick klingt das nach einem Plan… Aber…

Allgemein CCIE Journey CIsco Home Network Security Routing & Switching Security Switching
Kommentar verfassen

Cisco – SSH-Server konfigurieren und absichern

Hallo Allerseits. In diesem Post geht es um Einstellungen, welche wir an unseren Routern/Switches vornehmen können, um die Sicherheit unseres SSH-Server zu erhöhen.

Bemerkung: Man kann nie von 100% Sicherheit sprechen. Dennoch kann man die Arbeit für den Angreifer erschweren.

SSH besser als Telnet

Ich will hier nicht all so tief ins Detail gehen, denn in einem separaten Beitrag werde ich einige Sachen im Vergleich Telnet vs. SSH schreiben.

Hier geht es eigentlich darum, dass mit uns Telnet ein Protokoll zur Verfügung steht, welches komplett in Klartext kommuniziert. SSH bietet uns da eine Reihe an Sicherheitseinstellungen, um die Integrität der Verbindung zu schützen. Aber wie richten wir das ein?

Allgemein CIsco Home Network Security Routing & Switching Security Switching
Kommentar verfassen

switchport protected – Host Isolation

Hallo allerseits! In diesem „kurzen“ Beitrag werden wir eine Variante sehen, wie man Host auf einem Switch voneinander isolieren kann.

Hier geht es nur darum, dass protected Ports nur mit unprotected Ports kommunizieren können. Das heisst konkret, dass wir alle unsere Host-Ports als protected definieren werden und die Uplinks oder den Port wo unsere Gateway sind als unprotected lassen.

Cisco stellt für diese Aufgabe unter dem Switchport Befehl die option „protected“ zur Verfügung.

Als Beispiel dient folgende Topologie

Wir sehen, dass auf dem Switch die Ports wie folgt definiert worden sind:

CIsco Home Routing & Switching Switching
Kommentar verfassen

802.1Q, Q-in-Q und Layer-2 Tunneling Protocol

Hallo Allerseits, lange ist es her seit meinem letzen Eintrag. Ich melde mich zurück mit einem besonderen Thema.

Wer hat das nicht erlebt? Ein neuer Kunde kommt ins Datacenter mit einem Layer-2 Link und benutzt genau die gleiche VLAN-ID wie einen weiteren Kunde. Ärger schon vorprogrammiert!

Passiert das selten bis nie, und handelt es sich hier um eine oder zwei VLAN-IDs, dann könnte man (Ich sage nicht, dass es Best Practice ist) die VLAN-ID zu einer neuen, nicht zuvor genutzten ID, mittels „vlan mapping“ übersetzen. Ja, das könnten wir. Wir könnten aber auch auf unseren kompletten Infrastruktur VxLAN implementieren, auch das würde funktionieren.

Aber Q-in-Q ist ebenfalls eine Lösung.

Worum geht es hier? Vielleicht ein Bild hilft mehr als 1000 Wörter.

Wir, Layer-2 ISP, haben zwei Kunden, A und B. Diese verwenden nicht nur die gleiche VLAN-ID sondern auch die gleichen IP-Adressen und als wäre das nicht alles… die landen beide auf unserer Infrastruktur und benutzen gemeinsame Links. Es klingt alles nach einem schlechten Scherz, passiert aber öfters als man denkt.

Allgemein CCIE Journey CIsco Home Routing & Switching Switching
Kommentar verfassen

Cisco, 802.1x und WoL

Netzwerke… immer Probleme… nur Probleme.

Nach einer Migration konnte unser Windows Administrator, übers Wochenende, keine Maschine mittels WoL hochfahren.

WoL (Wake-on-LAN) ist ein Standard, um ausgeschalteten Computer über die Netzwerkkarte mittels ein «Magic Packet» wieder einzuschalten. Dies kann in grösseren Unternehmen von Nutzen sein, wenn sie über Weekend oder über Nacht, Updates installieren wollen. Das Paket ist speziell «gecrafted» und, soweit ich weiss, besteht das Payload aus 6 x FF in Folge und anschliessend 16 mal in Folge die MAC-Adresse der Destination.

Egal was in deiner Infrastruktur passiert, wenn etwas nicht mehr geht, dann liegt es definitiv am Netzwerk. Und dies mal hatten die Recht…

Allgemein CIsco Home Routing & Switching Switching
Kommentar verfassen

DHCP – IP-Address conflict with IP 0.0.0.0 & Cisco Switch

Hello everyone. Let me explain you in this short post the issues I had last week…

After a „successfully“ implementation of the new Cisco switches the customer started having issues while starting the notebook or comming back from a meeting and inserting the notebook back in to the docking station.

The client received an error message telling him there should be an IP-Address conflict with the IP 0.0.0.0. The message only offered an Okay button. If you click on it, the client got a new IP-Address and everything was fine.

Since all users were affected by this issue, a secondary effect emerged. All since all the clients were getting a new IP-Address the DHCP-Pool was empty of available addresses to assign.

So… what is the issue?

Allgemein CIsco Home Switching