Blog

Firepower 6.3 und ASA 9.10 Release

Hier die wichtigsten Neuerung der Firewall-Software Releases von Cisco, für euch zusammengefasst:

Firepower Release 6.3

  • Multi-instance capability für Firepower 4100 und 9300 mit FTD
  • SSL hardware acceleration für Firepower 2100 series, Firepower 4100 und 9300
  • Remote Access VPN Two-Factor Authentication mit Duo
  • ASA 5506-X, 5506W-X, 5506H-X, and 5512-X wird von FTD 6.3 nicht mehr unterstützt!
    „You cannot install Firepower Threat Defense 6.3 or subsequent releases on the ASA 5506-X, 5506W-X, 5506H-X, and 5512-X. The final supported FTD release for these platforms is 6.2.3.“

ASA OS Release 9.10

  • FirePOWER Services für ASA 5506-X und 5512-X werden nicht mehr unterstützt.
  • Cisco Umbrella Support

Die größte Neuerung ist mit Sicherheit die Multi-Instanz Fähigkeit von FTD 6.3, was aber sehr interessant auffällt ist, dass die kleineren ASA Hardware-Plattformen immer weniger Unterstützung erhalten. Folgen also bald neue Geräte der Firepower Serie?

https://www.cisco.com/c/en/us/td/docs/security/firepower/630/relnotes/firepower-release-notes-630/new_features.html

https://www.cisco.com/c/en/us/td/docs/security/asa/asa910/release/notes/asarn910.html

Neue Cisco Catalyst 9000 Serie

cat9k_series_hardware
Quelle Cisco.com

Einleitung

Die Weiterentwicklung der IT in den Bereichen IoT, allgegenwärtige Mobiliät, Cloud Adaptierung und fortschreitender Sicherheitsbedrohungen bringt auch neue Anforderungen an das klassische Netzwerk. Ciscos Antwort auf diese Herausforderungen ist die neue Catalyst 9k Series. Das neue Netzwerk mit dieser Plattform soll intuitiver werden, mehr Einsicht bieten, schützen und sich stets weiterentwickeln.

Hardware

Hardwareseitig bietet die Catalyst 9000 Serie ein breites Spektrum, vom Access bis zum Core, in allen Größen und Formen. Das neueste Modell aus der Serie ist der Catalyst 9200, welcher den beliebten 2960-X/XR ersetzen soll. Es muss gesagt sein, dass es sich nicht mehr nur um reinen Switches handelt, da diese neue Serie (ab 9300) auch Wireless Controller Funktionen bietet und somit LAN und WLAN vereinen soll.

cat9k_upgrade_path
Quelle Cisco.com

Software

Die Software für diese Geräte heißt IOS XE, welche viel mehr Flexibilität und Modularität bietet. Dank Containervirtualisierung lassen sich auch Anwendungen wie Wireshark direkt am Switch ausführen. Als Management Oberfläche gibt es lokalen Web- und CLI-Zugriff oder das neue zentrale Managment-Tool DNA-Center. SD-Access ist das neue Schlagwort um Switch-Fabric, ISE (TrustSec) und DNA-Center zu vereinen.

dna_center_1528350810430
Quelle Cisco.com

Lizenzierung

Es gibt zwei unbefristet Basis-Lizenzen „Essentials“ und „Advantage“ die auf die Hardware gebunden sind und drei unterschiedliche Add-On Lizenz als Subscription für DNA. Mehr dazu im Data Sheet.

Weitere Informationen

Produkt Homepage

At-a-Glance

Data Sheet

E-Book

 

Cisco ASA Passwort zurücksetzen

  1. Konsolen-Verbindung mit der ASA herstellen.
    – Entweder über das typische blaue „Cisco Console Cable“ (RJ-45) oder bei neueren Modellen mit USB (Mini USB Type B).
    – Als Software kann zum Beispiel Putty verwendet werden.
    – Den richtigen COM-Port findet man unter Windows im Gerätemanager.
  2. ASA neu starten (Stromkabel ausstecken und wieder einstecken).
  3. Kurz nach dem Start ESCAPE drücken um in den ROMMON Modus zu wechseln:

    Use BREAK or ESC to interrupt boot.
    Use SPACE to begin boot immediately.
  4. Configuration Register bearbeiten:
     rommon #1> confreg 0x41
    Update Config Register (0x41) in NVRAM...
  5. ASA neu starten:
     rommon #2> boot
    Launching BootLoader...
    Boot configuration file contains 1 entry.
    Loading disk0:/asa...-k8.bin... Booting...Loading...

    Durch das Setzen des Konfigurationsregisters auf 0x41 wird die Default Configuration anstelle der Startup Configuration geladen.

  6. Privileged EXEC Modus starten:
    ciscoasa# enable
  7. Bei der Passwortabfrage ENTER drücken. Das Passwort ist leer.
  8. Die Startup Configuration laden:
    ciscoasa# copy startup-config running-config
  9. In den Konfigurationsmodus wechseln:
    ciscoasa# configure terminal
  10. Passwort ändern:
    ciscoasa(config)# password PASSWORT
    ciscoasa(config)# enable password PASSWORT
    ciscoasa(config)# username name password PASSWORT
  11. Standard Konfigurationsregister laden:
    ciscoasa(config)# no config-register
    ciscoasa(config)# end

    Das Standard Konfigurationsregister ist 0x1 und kann mit dem Befehl „show version“ überprüft werden.

  12. Konfiguration mit dem neuen Passwort speichern:
    ciscoasa# copy running-config startup-config
  13. ASA neustarten:
    ciscoasa# reload

ASA Sicherheitslücke CVE-2018-0296

Eine erst kürzlich veröffentlichte Sicherheitslücke kann dazu verwendet werden eine Cisco ASA Firewall zum Absturz zu bringen oder sensible Information zu extrahieren. Betroffen sind vor allem AnyConnect Kunde mit offenem SSL-Port.

Neue Informationen von Cisco bestätigen, dass die Lücke bereits aktiv von Angreifern  ausgenutzt wird.

Es kursieren bereits fertige Tools im Internet die es zum Beispiel ermöglichen alle angelegten Benutzer (und auch VPN-Benutzer) der Firewall anzuzeigen. Diese Informationen könnten dann für weitere Angriffe ausgenutzt werden.

Fixed Software ReleasesCVE-2018-0296_fixed_software

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180606-asaftd
https://blogs.cisco.com/security/cve-2018-0296
https://github.com/milo2012/CVE-2018-0296

 

Cisco Firepower Release 6.2.3

Das aktuellste Update 6.2.3 ist für alle Cisco Firepower System verfügbar, neue Features findet man aber vor allem für das Firepower Threat Defense System.

  • Verbesserungen von High Availability Clustern und der Handhabung von VPN Zertifikaten für FTD Systeme.
  • „Upgrade Package Push“ erlaubt das Software-Update Paket vor der Installation an alle Devices zu verteilen.
  • SSL Hardware Acceleration für Cisco Firepower 9300 und 4100 Series.
  • VMware ESXi 6.5 Support.
  • „Traffic Drop on Policy Apply“ ist zum Anpassen des Verbindungsverhaltens wenn der Snort-Prozess stoppt.

Hier die komplette Liste an Neuerungen:
https://www.cisco.com/c/en/us/td/docs/security/firepower/623/relnotes/Firepower_Release_Notes_623/new_features_and_changed_behavior.html

 

März 2018 Patchday bei Cisco

Mit einer gesammelten Veröffentlichung von Updates patcht Cisco gleich mehrere Sicherheitslücken in Cisco IOS und IOS XE (beides Betriebssysteme für Router und Switches). Es sind über 20 Advisories, 3 davon wurden als kritisch eingestuft.

Im Cisco Security Advisory Portal findet man eine Übersicht und weitere Informationen zu den Updates. Hier die Zusammenfassung:

Kritische Remote Code Execution Sicherheitslücke in den Cisco ASA Firewalls

Mit einem CVSS Score von 10, der höchstmöglichen Einstufung, ist am 29.01.2018 ein Advisory zu einer kritischen Sicherheitslücke in den Cisco ASA und FTD Firewalls veröffentlicht worden.

Betroffen sind alle Cisco Firewalls mit aktiviertem AnyConnect (WebVPN). Ein Angreifer kann den Exploit ohne Anmeldung am VPN ausführen und die Firewall von der Ferne aus vollständig übernehmen oder herunterfahren.

Es wird daher dringendst empfohlen Updates einzuspielen!

Zur Überprüfung ob AnyConnect aktiv ist kann folgender Befehl verwendet werden.

ciscoasa# show running-config webvpn
 webvpn

Weitere Informationen zur Lücke und Anweisung zum Patchen auf der Cisco Advisory Seite.

Vortrag und Analyse der Sicherheitslücke vom Entdecker Cedric Halbronn auf der REcon Security Konferenz.

 

 

Die Neuerungen von Graylog 2.4

NetFlow Plugin

Als neuen Input-Typ kommt jetzt auch standardmäßig Netflow mitgeliefert. Das ist vor allem spannend für die performante Auswertung von Traffic bei Firewalls und Routern.

graylog_netflow
(Quelle: https://github.com/Graylog2/graylog-plugin-netflow)

 

Erweiterungen für das QuickValue Widget

Neu ist auch die Funktion zum Gruppieren verschiedener Felder. Hiermit lassen sich zum Beispiel ganz einfach die Quell- und Ziel-IP-Adresse miteinander verknüpfen um somit den Top-Talker zu ermitteln.

graylog_quick_value1graylog_quick_value2

 

Threat Intelligence Plugin

Mit diesem Plugin lassen sich IP-Adressen und Domains aus den Logs extrahieren und gegen diverse Blacklist überprüfen.

https://github.com/Graylog2/graylog-plugin-threatintel

 

Mehr dazu:
https://www.graylog.org/blog/106-announcing-graylog-v2-4-0
https://bernhardhoerl.com/loesungen/monitoring/logs/

Informationen zur CPU Side-Channel Attacke Meltdown und Spectre

Überblick

Ein Sicherheitslücke im Design moderner Prozessoren hat vielleicht zur kritischsten Lücke in der Computergeschichte geführt.

Davon betroffen sind vor allem Intel CPUs aber auch AMD und ARM. Somit sind fast alle Geräte die wir tagtäglich benutzen verwundbar.

Die Sicherheitslücke kann dazu verwendet werden um Speicherbereiche auszulesen auf die man normalerweise keinen Zugriff hat. Die Lücke lässt sich zwar nur lokal ausführen, doch in Kombination mit anderen Exploits ergeben sich daraus dutzende Angriffsmöglichkeiten.

Zwei Beispiele

1) Eine Javascript-Sicherheitslücke in einem Browser die in der Vergangenheit von der Sandbox oder ASLR  verhindert wurde lassen sich jetzt mit Meltdown/Spectre umgehen und somit das gesamte System kompromittieren.

2) Bei einem Angriff auf einen virtuellen Server kann man durch die Side-Channel Attacken auf den gesamten Host zugreifen. Das ist vor allem bei Cloud-Anbietern die viel mit Shared-Virtual Environments arbeiten fatal.

Gegenmaßnahmen

Der beste Schutz wäre eine sichere CPU, doch diese bei allen Geräte zu tauschen wäre etwas mühsam. Deshalb gibt es von (fast) allen Herstellern bereits Patches die einen softwareseitigen Schutz aktivieren. Also: Alles muss gepatcht werden!

Sonstiges

Cisco stuft die Sicherheitslücke „Medium“ ein, da deren Geräte vor allem geschlossene System sind und das ausführen von eigenem Code nicht erlauben.

Meiner Meinung nach wird dadurch der Angriffsvektor kleiner, aber in Kombination mit anderen Lücken lässt sich auch hier ein Angriff ausführen. Deshalb glaube ich wird auch Cisco Patches für alle System mit betroffenen CPUs liefern.

Securityprodukte  wie AMP, Umbrella oder eine NGFW haben natürlich auch eigene Sicherheitsfeatures (Intrusion Prevention, Exploit Prevention, Blacklists, usw.) zur Abwehr und sollten deshalb Teil jeder Enterprise IT-Security sein.

Weitere Informationen

https://www.heise.de/newsticker/meldung/Meltdown-und-Spectre-Die-Sicherheitshinweise-und-Updates-von-Hardware-und-Software-Herstellern-3936141.html

http://blog.talosintelligence.com/2018/01/meltdown-and-spectre.html

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180104-cpusidechannel