EN - What a week!

First week with a new customer is done and it was quite nice. Quite good documented and nice topics I´m working on. Bad luck most stuff is once again CheckPoint but well I´ve got to face it, they won´t go away, so I got to deal with them.

Anyway since I was figuring out processes and stuff I wasn´t able to update my posts here but I think next week I´ll have a little more time for blogging.

DE - Was für eine Woche!

Quasi die erste Woche beim Kunden ist um und ich muss sagen ich bin positiv überrascht. Die meisten Sachen sind gut dokumentiert und / oder selbsterklärend und auch das Bereitstellen der Arbeitsmittel hat fast reibungslos funktioniert. Leider ist der Fokus auch dieses Mal wieder auf CheckPoint, aber da CheckPoint vermutlich nicht so schnell verschwindet, werde ich mich damit arrangieren (müssen).

Auf jeden Fall blieb mir nicht so viel Zeit zum bloggen, da die meiste Zeit zum einlesen und durcharbeiten drauf gegangen ist. Nächste Woche dürfte es besser werden und dann gibt es auch wieder neue Posts.

EN - Go Go Go!

Well that’s life, traveling around and doing various projects you end up doing more Checkpoint than Cisco stuff. Actually I´m fine with both but I like Cisco a little more. So what can I do to get back on the Cisco track? Yes aim for the CCIE security. (You have to have big goals). 

I was hoping that I would have finished my CCIE before I hit the age of 31 but well I really had no time (insert other lame excuse here!) .

Anyway to really start with the CCIE preparations you need what (except from time and books) yes equipment! Here we go!

That’s 3x ASA 5510 Sec bun + 3x 2940 + 1x 1841. In theory I just need the ASAs and the switch the rest will be done using VMware, GNS3 and IOU.

When the lab is finished wiring it will hopefully look somewhat like this:

The top left router is a 2509 for TS that I bought today but that is not jet shipped.

That’s all for now more on Sunday (hopefully)

DE – Go Go Go!

So schön kann die Welt sein. Da treibt man sich eine Weile in den unterschiedlichsten Projekten herum und plötzlich hat man mehr mit Checkpoint zu tun als mit Cisco. Grundsätzlich kann ich mit beiden Systemen leben aber mir liegt eigentlich eher die Cisco Variante.  Daher heißt es für mich in nächster Zeit Cisco wieder stärker forcieren.

Und wie lässt sich Cisco stärker forcieren genau mit einem CCIE. JAHA! Genau CCIE! Eigentlich wollte ich das Thema noch vor meinem 31 erledigt haben aber irgendwie war der Rest der Welt gegen mich. (Bitte hier beliebige andere Ausrede einsetzen)

Sei es wie es sei, ich mach nun ernst. Was braucht man wenn man es ernst meint? Richtig Equipment!

Das hab ich ja nun wie man hier hübsch sieht (3x ASA 5510 Sec bun + 3x 2940 + 1x 1841)

Brauchen tu ich eigentlich nur die drei ASAs und den 2940 24 Port Switch eventuell fällt mir noch etwas Sinnvolles für den 1841 ein aber eigentlich wollte ich alles was Router und Switch heißt ins IOU bzw. Dynamips verbannen.

Das ganze sieht dann nach aktuellem Netzwerkplan auf Layer 2 etwa so au:

Ach ja der Router oben links ist ein 2509 als TermServer der heute günstig für mich abfiel, aber sich noch ein paar Tage auf Reisen befindet.

So, am Sonntag gibt es mehr!

DE - Change Blog Roll

Zum neuen Jahr hab ich mal die Blogroll etwas ausgemistet und Blogs rausgeworfen die seit mehr als einem Jahr kein Update mehr gemacht haben – Asche auf mein Haupt. Ich habe dafür die Blogs von GNSVault und Darby Weaver neu reingenommen, beide sind sehr lesenswert. Wer noch andere lesenswerte Blogs empfehlen kann nur her damit.

Cheers NWG

EN - Change Blog Roll

I just cleaned our blog roll since we had some blogs in it that were dead for more than one year (BTW: does someone know what happened to Joe Harris 6200networks.com). I ´ve added the blogs of GNSvault and Darby Weaver to the blog roll they are both worth reading a lot. Any other recommendations please post into the comments.

Cheers NWG

DE - Frohes Neues ...

Ein frohes neues Jahr
Ich hoffe ihr seid alle mindestens genauso gut in 2011 angekommen wie ich und habt ordentlich gefeiert. Wie der ein oder andere vielleicht via Twitter oder Facebook mitbekommen hat lerne ich z.Z. die Basics des CCNP Tracks um dort etwas sicherer zu werden. Also werde ich hier in der nächsten Zeit etwas mehr CCN Stuff posten.

Cheers NWG

EN- Happy New Year

Happy New Year ;)
Hey networking people – hope you got well into 2011. Speaking for myself I can acknowledge this. As some of you may have noticed I started learning some basic stuff for CCNP. I want to make sure to now the basic stuff before moving on. So expect some CCNP material here soon.

Cheers
NWG

DE - GNS3Vault

Vor ein paar Tagen ist mir ein Tweet oder Retweet über gns3vault aufgefallen und da ich gerade etwas Zeit hatte, habe ich mir die Seite angesehen. Es sind eine Menge guter und vor allem interessanter Labs zu finden und die Seite ist auf jeden Fall einen Blick wert. Wer sich für den CCNA oder NP vorbereitet sollte dir vorbeischauen.

http://gns3vault.com

Viel Spaß beim Lab nachbauen

EN - GNS3Vault

So a few days ago I noticed a tweet or retweet about gns3vault and I decided to have a look at this page. I was really surprised about the amounts of labs they had already in place. If you are learning Cisco (CCNA / NP) it is definitely worth having a look.

http://gns3vault.com

have fun / good luck :)

EN - Happy new year ...

Happy new year to all our readers.

I hope that everyone had a good start into 2010 and that everyone had the chance to achieve the aims they set for 2009. I'm proud to say that I did :D, I managed short before X-mas to pass the last CCSP exams and I'm now officially a CCSP. The exams where quite hard and I took a boot camp in India just for the CCSP preparation, that helped me a lot in the IPS topics.

Now we have 2010 and the next big aim is CCIE Security by the end of the year. I'll keep you updated on my progress.

Cheers NWG

DE - Frohes neues ...

Frohes neues Jahr und so, sei allen Lesern hier vorab gewünscht.
Ich hoffe ein jeder ist gut in das neue Jahr rein gekommen und konnte am Ende von 2009 sagen er hat alle selbst gesteckten Ziele für sich erfüllt. Ich zumindest konnte das behaupten. Kurz vor Weihnachten hab ich die letzten Tests abgelegt und darf mich nun ganz offiziell CCSP nennen. Ich hab dafür extra noch ein Bootcamp in Indien mitgemacht, was mir gerade im Bereich IPS sehr geholfen hat.

Jetzt kommt das nächste große Ziel bis zum Ende 2010 CCIE Security. Ich werde euch auf dem laufenden halten.

Cheers NWG

DE - IOS HTTP Server "hacking" Vorsorge

So nachdem ich heute 4 Firmen angerufen hab und denen mitgeteilt hab das die Konfiguration Murks ist, poste ich die ganze Geschichte auch noch in deutsch.

Vor kurzem bin ich über eine Suchmaschine gestolpert mit der man auch was finden kann. Dabei ging es aber nicht um den Inhalt der Webseite sondern mehr das drum herum. So war es möglich nach dem Webserver und deren Version zu suchen.

Gesagt getan auf meine suche nach Cisco IOS Webservern erhielt ich über 67.000 Treffer. Ouch,. mal ehrlich 67k wieso müssen die Webinterfaces haben und vor allem warum müssen die via Publik IP Verfügbar sein.

Als ich so durch die liste surfte stellt ich fest das einige nicht mit der 401 sondern mit einer 200 als HTTP Statuscode antworteten. Einen von den Routern angeklickt und schon hat sich gezeigt. Prima die Systeme arbeiten ganz ohne Authentifizierung.

Ich hab die Suchkriterien angepasst und von 67.000 Routern brauchen mehr als 1200 Kein Passwort sind also ungeschützt.

Da es über die Weboberfläche möglich ist ein show cdp neigbor abzusetzen zeigte sich das hinter den Routern noch andere Cisco Komponenten hängen. Ich hoffe das die nicht so lausig konfiguriert sind wie der Router.

Um sicher zu sein, gilt daher entweder eine Access Liste auf den Webserver binden:

access-list 1 permit X.X.X.X ! x.x.x.x= your management network
ip http access-class 1

oder noch besser:

no ip http server


cheers
NWG

EN - IOS HTTP Server hacking prevention

OK I need to post this since this is really scary to me.

A few days ago I stumbled upon a quite cool search engine (no I will not post the URL) what was really interesting is that it did not search for the content of the website it was more interested in the server replies like Server Version HTTP status code.

Since Cisco routers and switches offer a web server for configuration I searched for Cisco IOS servers. The result was scary (it gets worse a bit later) more than 67.000 routers and switches operating the HTTP server are public available. Their may be reasons why routers should be available via HTTP from the Internet but 67000 router people you are kidding me.
I checked some of them and most look like real routers/ switches.

But while browsing the list I found a few routers responding with Cisco IOS Server AND HTTP 200 code. (most of the routers respond with 401 authorization required). I tried one of these and great I could log in and have a look at the configuration passwords etc.

I decided to redefine my search and the result was: from those 67.000 routers 1200 are not requiring authorization of any kind, great.

A quick show cdp neigh showed that most of them I've checked are connected to other Cisco devices. I hope that these devices aren't configured that poorly.

To get out of this list just bind an access list to you HTTP Server,


access-list 1 permit X.X.X.X ! x.x.x.x= your management network
ip http access-class 1


or even better do a

no ip http server


hope some of those guys owning these routers fix them (fast)


Cheers
NWG

DE - LAB Update

Ok es ist wieder eine Weile her, dass ich gepostet habe (passiert mir anscheinend öfter). Es gibt mehrere Grunde warum ich nicht gepostet hab. Zum einen habe ich mich seit August mit mehreren Trainings zum Thema CCNA und CCNA Security befasst. Mittlerweile habe ich den CCNA Test bestanden und bald kommt der CCNA Security dran. Danach geht es zum CCSP Training das ich hoffentlich auch irgendwann im Januar 2010 hinter mich gebracht hab.

Der zweite Grund ist, das ich mein Lab überarbeiten musste und zwar von Grund auf. Grund dafür ist das mein Lab bei weitem nicht den Anforderung entsprochen hat, die ich für meine Kunden brauchte und das ich damit keine CCNA Security Labs durchführen konnte.

Deshalb hier ein kurzer Überblick über mein jetziges LAB Setup:



Anbei eine Erklärung der wichtigsten Maschinen und Systeme:

Elysium:
- eine XP64 Arbeitsstation mit GNS3 und VMware Server 1.8
- die meisten kleinen Labs erarbeite ich hier (quick und dirty)
- bei großen Labs dient die Maschine auch als zusätzlicher Hypervisor
- beide Netzwerkkarten sind am Main und Lab Switch angebunden

Core01
- Win2k8 x64 (64 GB RAM 2x4 Core CPUs) – merkt man das ich stolz auf die Box bin
- alle VMs laufen via Hyper V
- beide Netzwerkkarten sind am Main und Lab Switch angebunden

VM Server:
Active Directory Server und AD Child Server
- um sich gegen AD Szenario zu authentifizieren
CA Server
- MS CA Server für PKI Szenarios zwischen den Routern
Nagios
- Nagios überwacht meine Labs und ein paar echte Maschinen
Radius
- Free Radius um Radius auth. zu simulieren
Tacacs
- TACACS+ um Tacacs auth. zu simulieren (noch nicht fertig eingerichtet)
SDM
- Die XP Maschine stellt den SMD für das CCNA Security Labs zur Verfügung
Workstation
- nur eine Testmaschine für VPN Clients et
MAIL
- Sendet Mails von Nagios
Cisco MARS
- eine virtuelle MARS Appliance (auch noch nicht ganz fertig)
Nicht aufgeführte Systeme:
Cisco ACS 4/5 (trial), CUCM 7/ 5

LAB-R001
- virtueller 7200 Router mit IOS 15.0.1.M
- komplett mit FE Anschlüssen ausgerüstet
- jeder FE Anschluss ist an ein LAB angebunden

LAB-SW01/SW02/SW03
- Cisco Lab Switches von Ebay
- Catalyst 2950 12.1.22-EA13

Home-SW02
- Netgear 8 Port Gigabit Switch

Router Labs
Jedes Router Lab läuft in einer eigenen Dynaslax VM die so viele Ressourcen wie nötig zugewiesen bekommen.

Ich würde mich über Anregungen Kommentare und Ideen zu meinem Labaufbau freuen.
Das war's fürs erste.

cheers NWG

DE- NEWS: Neue Bloggerin bei Playingwithnetworks

Hallo liebe Leser,

ich hab eine gute Freundin von Zif und mir dazu überreden können, bei uns hier mitzuposten und ihre Erfahrung im Netzwerkbereich allen mitzuteilen. Sie hat vor kurzen ihr CCNA Training absolviert und übt sich jetzt langsam in die Ciscowelt ein.

Ich bin wirklich gespannt was sie hier als erstes postet.

Cheers NWG

EN - NEWS: New Author

Hi guys,

I was able to convince a good friend of us (Zif and me) to post here her experience on network stuff. She is pretty new and had her first CCNA trainings some weeks ago.

I'm quite excited what her first post will be.

Cheers NWG

EN - Lab update

It has been a while since I made my last post. This was due to several reasons.
First of all I was doing some training for my CCNA and CCNA Sec certification. I've already passed the CCNA stuff and now I'm up to do the CCNA Sec test.
Later on I've planed to do the CCSP tests, hopefully I'll have them finished in January 2010.

The second reason was that I've restructured my lab from the scratch. This was necessary since the old setup did not reflect the environments I've had to face at my customers location and it was not possible to train for the CCNA Sec stuff. :D

So here is a quick overview of my current lab setup


I'll go through the picture and explain the most important machines:

Elysium:
- Is a XP64 workstation running GNS3 and VMWare Server 1.8
- most small labs and tests are done here
- for larger labs this box is used as additional hypervisor
- 2xNICs connected to my main and my lab switch

Core01
- Win2k8 x64 (64 GB RAM 2x4 Core CPUs) – I'm happy with this box :D
- Hyper V is running all VMS
- 2xNICs connected to my main and my lab switch

VM Servers:
Active Directory Server and AD Child Server
- for authentication tests with Active Directory
CA Server
- MS CA Server to do the PKI stuff for router to router authentication
Nagios
- Nagios is monitoring my lab networks and some of my real workstations
Radius
- Free Radius implementation for authentication testing
Tacacs
- TACACS+ for Tacacs testing (still in deployment)
SDM
- Well this XP Machine provides the SDM that is required for CCNA Sec
Workstation
- This is just a testing machine (VPN client and so on)
MAIL
- Reporting from Nagios
Cisco MARS
- a virtual MARS appliance (not really deployed yet)
Machines not listed:
Cisco ACS 4/5 (trial), CUCM 7/ 5

LAB-R001
- virtual 7200 running IOS 15.0.1.M
- stuffed with lots of FE interfaces
- each FE connects to a router lab

LAB-SW01/SW02/SW03
- Cisco lab switches from Ebay
- Catalyst 2950 12.1.22-EA13

Home-SW02
- Netgear 8 Port Gigabit Switch

Router Labs
Each router lab is a own VM running Dynaslax with as much resources allocated as needed

I would be thank full for any comments and other ideas about the lab setup. Even for questions :D

Thats it for now :D
cheers NWG

DE - ASA 8.2 Release endlich herunterladbar

Hi,

Ich lade im Moment das ASA 8.2(1) Image herunter um es auf einer meiner Testboxen zu deployen. Der Download ist wie immer unter http://www.cisco.com/cgi-bin/tablebuild.pl/asa zu finden (CCO Account wird benötigt)
Ich halt euch auf dem laufenden wie das Upgrade lief.

Cheers NWG

EN - ASA 8.2 Release ready for download

Hi all,
I’m currently downloading ASA 8.2(1) Release to deploy it on one of my testing boxes. You can find the download from http://www.cisco.com/cgi-bin/tablebuild.pl/asa (CCO with Contract required)
I'll tell you how the upgrade went.

Cheers NWG