SNMP Sicherheitslücke in Cisco IOS und IOS XE

Veröffentlicht am von bho

Das für Router und Swichtes eingesetzte Betriebssystem IOS und IOS XE hat laut aktuellem Cisco Security Advisory eine kritische Sicherheitslücke in der Simple Network Management Protocol (SNMP) Implementierung. Betroffen sind alle IOS- und SNMP-Versionen.

Zum Ausnützen der Lücke muss ein Angreifer Zugriff auf den SNMP-Port (161/UDP) des Gerätes haben und im Besitz der SNMP-Community (bei SNMP Version 1 und 2) bzw. der Anmeldedaten (bei SNMP Version 3) sein. Ein erfolgreicher Angriff kann das Gerät komplett kompromittieren oder zum Absturz bringen.

Auf der Cisco Advisory Seite findet man eine Anleitung zum Abrufen der IOS Version und ein Tool zum Überprüfen, ob diese verwundbar ist oder nicht. Ein Update der Software wird dringend empfohlen!

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170629-snmp

Cisco Firepower Release 6.2.1 WTF!?

Veröffentlicht am von bho

Mit der aktuellsten Veröffentlichung der Firepower-Software hat Cisco sein Versprechen gehalten und bringt endlich AnyConnect für das Firepower Threat Defense Betriebssystem.

Leider unterstützt der Software-Release 6.2.1 nur die Hardware-Plattform der Firepower 2100 Serie. Die Software kann also nicht für die ASA oder andere Firepower Threat Defense Devices verwendet werden. Eine sehr interessante Strategie von Cisco.

Es bleibt also wieder abzuwarten ob demnächst noch 6.2.1 für alle anderen Geräte veröffentlicht wird oder ob es hier gleich zur 6.2.2 geht.

Es ist sehr schade das Cisco hier noch mehr Verwirrung stiftet als es ohnehin schon mit unterschiedlichsten Plattformen, Software und Features gibt. Ich freue mich schon auf ein einheitliches FTD-System aber bis dahin wird es wohl noch ein holpriger Weg.

Release Notes:
http://www.cisco.com/c/en/us/td/docs/security/firepower/621/relnotes/Firepower_Release_Notes_Version_621/supported_platforms_and_environments.html

MAC-Filter auf HP Switches konfigurieren mit Port Security

Veröffentlicht am von bho

Gerade dann wenn Netzwerkdosen im Außenbereich des Firmengebäudes verwendet werden, um zum Beispiel Kameras, AccessPoints oder Zutrittssysteme in das Firmennetzwerk einzubinden, ist man gut beraten diese entsprechend abzusichern. Angreifer könnten ansonsten ohne viel Aufwand auf das interne Netzwerk zugreifen.

Mit dem Port-Security Feature lässt sich ein MAC-Filter auf Netzwerk-Switches implementieren, das bietet zusätzlichen Schutz auf Layer-2 Ebene. Somit wird nur mit der erlaubten MAC-Adresse eine Kommunikation mit dem Netzwerk zugelassen.

In den Konfigurations-Modus des Switches wechseln
HP-SWTICH-01# config
Port-Security aktivieren
Syntax:
HP-SWTICH-01(config)# port-security [PORT] learn-mode configured address-limit 1 mac-address [MAC-ADDRESS] action send-disable

Beispiel:
HP-SWTICH-01(config)# port-security 1 learn-mode configured address-limit 1 mac-address a08cfd-7b03ce action send-disable
Port-Security deaktivieren
HP-SWTICH-01(config)# no port-security 1
Port-Security Status zurücksetzen
HP-SWTICH-01(config)# interface 1
HP-SWTICH-01(config-eth)# disable
HP-SWTICH-01(config-eth)# enable
SNMP-Traps einrichten
HP-SWTICH-01(config)# snmp-server HOST "public" not-info
Port-Security Status anzeigen (gesamt)
HP-SWTICH-01# show port-security
Port-Security Status anzeigen (Port Details)
HP-SWTICH-01# show port-security 1
Port-Security Log
HP-SWTICH-01# show log

Weitere Informationen unter:
http://whp-hou9.cold.extweb.hp.com/pub/networking/software/Security-Oct2005-59906024-Chap09-Port_Security.pdf

Denial-of-Service Lücken in Cisco-Firewalls

Veröffentlicht am von bho

Cisco veröffentlichte mehrere Security-Advisories die Sicherheitslücken im Code der Cisco ASA beschreiben. Nach aktuellen Erkenntnissen handelt es sich hierbei „nur“ um DOS-Schwachstellen bei dem die Firewall neu startet wenn ein Angreifer die Schwachstelle ausnutzt.

Hier die Advisories:

Cisco ASA Software IPsec Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170419-asa-ipsec

Fixed Releases
cisco-sa-20170419-asa-ipsec_fixed_releases

Cisco ASA Software Internet Key Exchange Version 1 XAUTH Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170419-asa-xauth

Fixed Releases
cisco-sa-20170419-asa-xauth_fixed_releases

Cisco ASA Software SSL/TLS Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170419-asa-tls

Fixed Releases
cisco-sa-20170419-asa-tls_fixed_releases

Cisco ASA Software DNS Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170419-asa-dns

Fixed Releases
cisco-sa-20170419-asa-dns_fixed_releases

Bug: Cisco ASA Firewalls stürzen nach 213 Tagen Laufzeit ab

Veröffentlicht am von bho

Eine aktuelle Meldung von Cisco beschreibt einen Software-Fehler bei dem die Firewall nach 213 Tagen Uptime seinen Dienst einstellt.

Laut Angaben verarbeitet die Firewall dann keinen Traffic mehr wodurch es zum Totalausfall kommt. Grund dafür soll ein Fehler beim Verarbeiten der ARP (Address Resolution Protocol) Pakete sein. Ein weiteres Symptom beim Auftreten des Bugs wäre ein leerer ARP-Table auf der ASA, dies lässt sich mit dem Befehl „show arp“ überprüfen.

Als Workaround empfiehlt der Hersteller die Firewall neu zu starten und ein Software-Update durchzuführen, wenn dieses dann zur Verfügung steht.

Die Nachricht wurden vom Hersteller am 30.03.2017 veröffentlicht und betrifft die Cisco ASA und FTD Software.

Quelle: http://www.cisco.com/c/en/us/support/docs/field-notices/642/fn64291.html

Cisco ASA Firewall Lizenzierung erklärt

Veröffentlicht am von bho

Für jemanden der sich nicht professionell mit Cisco Produkten beschäftigt ist das Lizenzmodell der Firewalls auf den ersten Blick oft schwer verständlich. Ich möchte mit diesem Beitrag Klarheit verschaffen.

Die Erklärung gilt für alle Cisco ASA Modelle von 5506-X bis zu 5585-X. Jede ASA stellt die volle Power (Durchsatz) ohne zusätzlicher Lizenz bereit. Zusätzlich wird AnyConnect und FirePOWER lizenziert. Die einzige Ausnahme ist die ASA 5506-X die auch eine „Security Plus“-Lizenz anbietet, diese wird aber selten benötigt weil man bei Mehrbedarf an Leistung in der Regel auf eine stärkere Box wechselt.

Die Security-Plus Lizenz der ASA 5506-X erweitert folgende Funktionen:
Maximum concurrent sessions: 20000 => 50000
IPsec site-to-site VPN peers: 10 => 50
VLANs: 5 => 30
High Availability: Active/Standby Failover

Smartnet
Ist die Erweiterung zur Standardgarantie der Firewall. Ohne Smartnet hat die Appliance nur 90 Tage Garantie ab Kaufdatum, deshalb ist ein Smartnet sehr zu empfehlen. Sie beinhaltet Support (Cisco TAC), Software-Updates und den Austausch bei Defekt.

AnyConnet
Um sich aus der Ferne (WAN) über die Firewall in das Firmennetzwerk sicher verbinden zu können benötigt man das Cisco SSL-basierte Client-VPN. Die Lizenz wird pro User und als Subscription bezahlt. Zwei SSL-VPN Lizenzen sind bei jeder Firewall kostenlos dabei. Ab ASA OS Version 8.3 benötigt man für einen Firewall-Cluster KEINE extra Lizenz.

Firepower Services
Beinhaltet die erweiterten Firewallingfunktionen (AVC, IPS, URL-Filter, Malware-Protection) und ist in 4 Lizenzmodule unterteilt. Die Firewall kann mit den Modulen je nach Bedarf bestückt werden.

Protect = Intrusion Prevention System (IPS)
Control = Application Visability & Control (AVC)
URL = URL-Filter
AMP = Malware-Protection (Virenscanner)

Protect und Control sind bei jeder Firewall im Lieferumfang enthalten. URL und AMP sind extra und als Subscription geführt.

Um es noch komplizierter zu machen hat Cisco für die Subscriptions eigene Bezeichnungen:

firepower_license

TAMC = Protect, Control, URL und AMP
TAM = Protect, Control und AMP
TAC = Protect, Control und URL-Filter
TA = Protect und Control (im Lieferumfang enthalten)
URL = URL-Filter

Üblich sind in den meisten Fällen TAMC oder TAC.

Weiter Informationen:
http://www.cisco.com/c/en/us/products/collateral/security/asa-5500-series-next-generation-firewalls/datasheet-c78-733916.html

Kritische Sicherheitslücke in Cisco Switches

Veröffentlicht am von bho

Cisco hat eine Sicherheitswarnung veröffentlicht die eine Sicherheitslücke in über 300 Switch-Modellen des Herstellers beschreibt, die Veröffentlichung steht vermutlich in Zusammenhang mit den Vault-7-Leaks.

Betroffen ist dabei das Cluster Management Protocol (CMP) in IOS und IOS XE, welches über Telnet kommuniziert. Ein Angreifer kann durch das senden spezieller Kommandos Vollzugriff auf den Switch erlangen. Die Lücke ist bereits in der Standardkonfiguration der Switches offen.

Aktuell gibt es keinen Workaround und auch kein Software-Update. Als Abhilfe wird lediglich genannt, auf SSH statt Telnet für den Switchzugriff umzustellen um den Angriffsvektor zu beseitigen.

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170317-cmp

 

 

Windows Eventlog Monitoring mit Nagios NCPA

Veröffentlicht am von bho

In diesem Artikel möchte ich euch zeigen wie man die EventLogs eines Windows-Rechners mit Nagios überwacht.

Es gibt viele Möglichkeiten eine EventLog Überwachung zu realisieren. Nach langem suchen und testen mit NSClient++, WMI, NagEventLog oder sogar SNMP-Traps ist mein erste Wahl der Nagios Cross-Platform Agent, kurz NCPA.

NCPA ist ein moderner Agent für alle gängigen Betriebssysteme. Er unterstützt aktive und passive Checks, Custom Scripts, hat eine einheitliche API und eine sehr ansehnliche Web-GUI.

In meinem Beispiel versuche ich den Eintrag mit der Event-ID 10016 aus den System Logs abzufragen. Das hat keinen speziellen Grund, ihr könnt das ganz nach Bedarf anpassen.

Nagios_NCPA_EventLog

Windows Client Installation

  1. Download des NCPA Clients für Windows:
    https://www.nagios.org/ncpa/#downloads
  2. Nach Aufruf des Setups können die Einstellungen auf Default gelassen werden, nur bei dem Token muss ein sicheres Passwort für die Agent-Kommunikation gewählt werden:
    NCPA_Setup_Token
  3. Ob die Installation erfolgreich war kann über die Web-GUI des Agents überprüft werden, indem man mit dem Browser auf https://localhost:5693/ navigiert. Hier hat man auch die Möglichkeit die gewünschte Abfrage vorab zu testen:
    NCPA_WebGUI

Check Installation am Nagios Server

  1. Installation des Nagios Plugins check_ncpa.py:
    wget https://assets.nagios.com/downloads/ncpa/check_ncpa.tar.gz
    tar xzvf check_ncpa.tar.gz
  2. Test der Agent-Kommunikation: 
    python check_ncpa.py -H 192.168.1.161 -t 2XI3ADFIMlaRlpC3 -P 5693 -M system/agent_version
OK: Agent_version was ['2.0.3']
  3. Command-Definition in der commands.cfg anlegen: 
    define command {
 command_name check_ncpa
 command_line python $USER1$/check_ncpa.py -H $HOSTADDRESS$ $ARG1$
}
  4. Service-Definition des Hosts konfigurieren: 
    define service{
 use generic-service
 host_name Windows Test Machine
 service_description EventID 10016
 check_command check_ncpa!-t '2XI3ADFIMlaRlpC3' -P 5693 -M logs -q name=System,severity=ERROR,logged_after=1h,event_id=10016 -c 0
}
  5. Nagios Konfiguration neu laden
  6. Fertig! Hier die Ansicht im Dashboard:
    Nagios_EventLog_Monitoring

 

Cisco veröffentlicht die neue Firepower 2100 Hardware

Veröffentlicht am von bho

Vor kurzem wurde von Cisco eine neue Firewall-Hardwareplattform vorgestellt, die Firepower 2100 Serie!

Die neue Firewall der Firepower-Klasse ist für den Enterprise-Sektor gedacht und  soll die bisherigen ASAs von 5525-5555 ablösen.

Die Geräte haben eine komplett neue Hardware-Architektur, die einen Performance-Verlust von nur mehr 1% bei maximaler Threat Inspection (IPS, SSL-Decryption,…) aufweisen sollen. Aktuell typische Werte sind ein Verlust von über 50%!

Zusätzlich anzumerken ist, dass die neuen Boxen nur mehr mit dem Firepower Threat Defense Betriebssystem ausgeliefert werden.

 

Firepower Threat Defense, was ist das?

Veröffentlicht am von bho

Für die Cisco ASA Firewall werden aktuell zwei Betriebssysteme angeboten. Das klassische Image ASA OS und das neue FTD.

cisco asa download options.png

Ausgeliefert wird die ASA Hardware aktuell mit dem klassischen Image. So wie wir es kennen mit der alt bekannten CLI. Das grafische Management Werkzeug ist der ASDM. Die Next-Gen Firewall Funktionen erhält man in dem man die zusätzliche Komponente FirePOWER Services Software for ASA installiert.

Firepower Threat Defense ist die aktuellste Entwicklung und wird in Zukunft das klassische ASA Image ablösen.

Der Vorteil liegt darin, dass mit FTD alles aus einem Guss ist. Bei Cisco wird daher auch von einem Unified Image gesprochen. Grundsystem + Next-Gen Firewalling + Web basiertes Management.