Schlagwort: Cisco

Cisco Firepower Release 6.7

Veröffentlicht am von bho

Wichtige Neuerung aus meiner Sicht

  • Manage FTD on a data interface
    • Ein sehr nützliches Feature für Remote Deployments
    • Das Outside-Interface (Data) kann jetzt auch als Management-Interface für die Verbindung zum Firepower Management Center verwendet werden
  • Update the FMC IP address on the FTD
  • AnyConnect module support for RA VPN
  • AnyConnect management VPN tunnels for RA VPN
  • Single sign-on for RA VPN
    • SAML 2.0
    • Super für Azure AD Implementierungen
  • FTD RA VPN now supports LDAP authorization using LDAP attribute maps.
  • Virtual Tunnel Interface (VTI) and route-based site-to-site VPN
  • URL filtering and application control on traffic encrypted with TLS 1.3 (TLS Server Identity Discovery)
  • Configuration rollback
  • Deploy intrusion and file policies independently of access control policies
  • FMC single sign-on for external users

Vor dem Upgrade gilt es zu beachten, dass der Firepower User Agent ab diesem Release nicht mehr unterstützt wird, und auch einige Hashing- und Verschlüsselungsmethoden, die als nicht mehr sicher gelten, müssen vor dem Update migriert werden.

Deprecated Features in Version 6.7

  • Cisco Firepower User Agent software and identity source
  • Less secure Diffie-Hellman groups, and encryption and hash algorithms

Alle Neuerung im Detail findet man unter:

https://www.cisco.com/c/en/us/td/docs/security/firepower/670/relnotes/firepower-release-notes-670/features.html

Private-VLAN Trunk-Port Typen

Veröffentlicht am von bho

Standard Trunk Ports

  • Zwischen PVLAN-Switches
  • Überträgt alle VLAN Typen: reguläre VLANs, Primary-VLANs und Secondary-VLANs (Isolated oder Commuity)
  • Beide Switches müssen Private-VLANs unterstützen und gleich konfiguriert sein
int gi0/24
    switchport mode trunk

Isolated PVLAN Trunk Ports

  • Zu Non-PVLAN Switches
  • Pakete werden nicht mit dem Primary-VLAN getagged sondern mit dem Secondary-VLAN
  • Auf Non-PVLAN Switches kann dann das Secondary-VLAN, zum Beispiel, als ein gewöhnliches Access-VLAN verwendet werden
  • Um weiterhin eine Trennung der Ports auf einem Non-PVLAN Switch zu ermöglichen könnte „Switchport Portected“ verwendet werden
int gi0/24
    switchport mode private-vlan trunk
    !switchport private-vlan trunk native vlan 100
    switchport private-vlan allowed vlan 20,30
    switchport private-vlan association trunk 10 20,30
  • If there is no native VLAN configured, all untagged packets are dropped

Promiscuous PVLAN Trunk Ports

  • Zu Non-PVLAN Router
  • Pakete werden mit dem Primary-VLAN getagged
  • Zu Routern oder Firewalls die keine Private-VLANs unterstützen, kann dann das Primary-VLAN ganz normal als L3 Routing-Interface konfiguriert werden
int gi0/24
    switchport mode private-vlan trunk promiscuous
    switchport private-vlan mapping trunk 10 20,30
    switchport private-vlan trunk allowed 10,40
  • Alle gewünschten primary (VLAN-ID 10) und regular VLANs (VLAN-ID 40) mit „allowed“-Befehl angeben

Verfiy

show vlan
show interface gi0/24 switchport

Quellen:

https://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst4500/12-2/54sg/configuration/guide/config/pvlans.html

https://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst9200/software/release/16-12/configuration_guide/vlan/b_1612_vlan_9200_cg/configuring_private_vlans.html

Cisco Firepower Release 6.6.1

Veröffentlicht am von bho

Hier die wichtigsten Neuerung der aktuellen FTD Firewall-Software von Cisco, für euch zusammengefasst:

  • FMCv benötigt Minimum 28GB RAM: 32GB empfohlen
  • 6.6 ist der letzte Major Release der den Cisco Firepower User Agent unterstützt
  • Multi-instance Clustering
  • VRF Support
  • DTLS 1.2 Unterstützung für Remote Access VPNs (AnyConnect)
  • Site-to-site VPN IKEv2 support for multiple peers
  • Time-based access rules
  • Schnellere Datenbank für Connection and Security Intelligence Events
    • Darum wird mehr RAM benötigt
  • Neues Webinterface („Light theme“) wird zum Standard
  • Firepower Device Manager: PPPoE Support

Alle neuen Features im Detail:

https://www.cisco.com/c/en/us/td/docs/security/firepower/660/relnotes/firepower-release-notes-660/features.html

https://www.cisco.com/c/en/us/td/docs/security/firepower/660/66x/relnotes/firepower-release-notes-66x/features.html

AnyConnect Auto Connect Script

Veröffentlicht am von bho

AnyConnect Verbindung herstellen über Script unter Windows.

ACHTUNG! Bei dieser Methode wird der VPN-Benutzer und das Passwort im Klartext auf der lokalen Festplatte gespeichert. Aus Sicherheitsgründen würde ich eine zertifikatbasierte Authentifizierung empfehlen.

1. Textdatei mit Verbindungsdaten

connect MYVPNGW
Username
Password

2. Batch-Script

@echo off
set "host=192.168.1.1"

REM Check if internal host is available.
ping -n 1 "%host%" | findstr /r /c:"[0-9] *ms"

if %errorlevel% == 0 (
    REM echo Success.
    REM echo CONNECTED - %time% %date%>> %TEMP%\anyconnect_script_log.txt
) else (
    REM echo FAILURE.
    taskkill /f /im vpnui.exe
    "%ProgramFiles(x86)%\Cisco\Cisco AnyConnect Secure Mobility Client\vpncli.exe" -s < %USERPROFILE%\myvpn.txt
    REM echo RECONNECT- Script executed at %time% %date%>> %TEMP%\anyconnect_script_log.txt
    start "" "%ProgramFiles(x86)%\Cisco\Cisco AnyConnect Secure Mobility Client\vpnui.exe"
)

WebVPN Sicherheitslücke in ASA und FTD Firewalls

Veröffentlicht am von bho

Eine Sicherheitslücke in den Firewalls von Cisco ermöglicht einem Angreifer aus der Ferne Dateien aus AnyConnect und WebVPN (Clientless SSL VPN Portal) auszulesen.

Bei dem Angriff gibt es keinen Zugriff auf Systemdateien des zugrundeliegenden Firewall-Betriebssystems. Laut Cisco hat ein Angreifer aber Lesezugriff auf „WebVPN configuration, bookmarks, web cookies, partial web content, and HTTP URLs.“

Cisco hat die Sicherheitslücke als „High“ eingestuft (Critical wäre die höchste Warnstufe). Für jemanden der nur AnyConnect im Einsatz hat sollte es nicht zu schlimm sein, wenn Standard-Konfigurationsdateien aus dem WebVPN ausgelesen werden können, da dadurch keine sensitiven Informationen abgegriffen werden können.

Ein Update auf eine gepatchte Firewall-OS Version würde ich trotzdem empfehlen. Wie sich oft zeigt können vermeintlich harmlose Sicherheitslücken für weitere kritische Attacken ausgenutzt werden. Auch bei dieser Sicherheitslücke hat der Hersteller weitere Informationen veröffenltich, die jetzt viel bedrohlicher klingen: „As an example, this could allow an attacker to impersonate another VPN user and establish a Clientless SSL VPN or AnyConnect VPN session to the device as that user.“

Ich bin gespannt ob die ursprüngliche Einstufung des CVSS Scores bald auf „kritisch“ geändert wird und noch weitere Details bekannt werden, ob Angreifer das genannte Beispiel bereits ausnutzen.

Link zum Security Advisory und einer Übersicht der gepatchten Firewall Betriebssystemversionen:
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asaftd-ro-path-KJuQhB86

Firepower Remote IP Change

Veröffentlicht am von bho

Wechsel der ISP Public-IPs für das Management- und Outside-Interface für Cisco Firepower Appliances mit FTD.

  1. FTD: SSH zur aktuellen Management-IP
    zum Beispiel mit Putty oder CLI "ssh admin@1.1.1.1"
  2. FTD: Aktuelle Netzwerkkonfiguration anzeigen
    show network
  3. FTD: Neue Management IP Einstellungen konfigurieren
    configure network ipv4 manual 2.2.2.1 255.255.255.248 2.2.2.6
  4. FMC: Die Management IP im Firepower Management Center ändern (1.1.1.1 => 2.2.2.1)
    Devices => Device Management => Edit
    Device => Management => Edit
  5. FTD: SSH zur neuen Management-IP
    zum Beispiel mit Putty oder CLI "ssh admin@1.1.1.1"
  6. FTD: Status überprüfen
    expert => sudo sftunnel_status.pl
  7. FMC: Neue Outside-IP konfigurieren
    Device => Outside-Interface: 2.2.2.2 => Deploy
  8. GEDULD! (Hat bei mir ca. 10min gedauert bis der Status im FMC und FTD wieder „grün“ war.)

Patchday für Cisco Firewalls – May 2020 Security Advisory Bundled Publication

Veröffentlicht am von bho

Mehrere Sicherheitslücken und Updates für Cisco ASA, FMC, and FTD wurden kürzlich veröffentlicht. Alle darin enthaltenen Schwachstellen wurden als „Hoch“ eingestuft. Die meisten Lücken sind Denial of Service Schwachstellen und Information Leaks.

Link zur Publikation:
https://tools.cisco.com/security/center/viewErp.x?alertId=ERP-73830

Übersicht der Software-Updates:

asa_updates_may_2020
Screenshot von Cisco.com

ftd_updates_may_2020
Screenshot von Cisco.com

Cisco FTD Software-Update über CLI

Veröffentlicht am von bho
  1. Patch mittels FTP auf die Firepower Threat Defense Firewall übertragen (LAN-Verbindung über das Inside-Interface, nicht das Management-Interface) 
    > copy ftp://USER:PASSWORD@HOST/Cisco_FTD_Patch-6.4.0.8-28.sh.REL.tar disk0:

Syntax error: Illegal parameter

    ACHTUNG! Bei meinem ersten Versuch den Patch zu übertragen, bekam ich eine Fehlermeldung. Ich glaube, es handelt sich dabei um einen Bug der FTD-CLI, da der Command zwar verfügbar ist, aber nicht funktioniert.

  2. Als Workaround in die ASA-CLI wechseln (LINA Engine) 
    > system support diagnostic-cli
MYFWL01# copy ftp://USER:PASSWORD@HOST/Cisco_FTD_Patch-6.4.0.8-28.sh.REL.tar disk0:
  3. In den Expert-Mode wechseln 
    MYFWL01# exit
> expert
admin@MYFWL01$
  4. Patch installieren 
    admin@MYFWL01$ sudo install_update.pl /mnt/disk0/Cisco_FTD_Patch-6.4.0.8-28.sh.REL.tar

    HINWEIS!  Ist die Firewall als HA bzw. Acitve/Standby Failover Cluster konfiguriert müssen beide Firewalls mit dem Failover-Link verbunden sein, da sonst die Patch-Installation fehlschlägt.

Cisco Firepower Release 6.5

Veröffentlicht am von bho

Hier ein paar meiner Highlights der neuen Firepower Software:

  • Neues User-Interface für FMC
  • Der Firepower User Agent wird bald nicht mehr unterstüzt. Es wird daher eine Migration zur ISE-PIC empfohlen.
  • Neuer URL Kategorie- und Reputations-Dienst von Cisco Talos (Brightcloud fällt weg)
  • Firepower 1010 Appliance Switch und PoE+ Support
  • Unterstützung für die neue Firepower 1150 Hardware
  • Die ASA 5515-X wird nicht mehr unter 6.5 unterstützt
  • EtherChannel Interfaces für Firepower 1000 und 2100 Serien

Alle Neuerungen im Detail findet ihr hier:

https://www.cisco.com/c/en/us/td/docs/security/firepower/650/relnotes/firepower-release-notes-650/features.html