Blog

Mit dieser Blog-Seite möchte ich meine kleinen Konfigurationsschnipsel gern mit allen interessierten teilen. Denn in manchen Momenten stand ich vor der Frage, wie war das doch noch gleich. Welcher Befehl hat dich am schnellsten zum Ergebnis geführt oder was musste ich beachten, um die Anforderungen der Informationssicherheitsexperten zu erfüllen.

Am häufigsten war ich auf der Konsole von Cisco Switches, Routern und der ASA unterwegs. Daher sind die meisten Schnipsel mit einem Tag Cisco versehen. Der ein oder andere Schnipsel für die Firewall von Palo Alto networks hat sich aber auch reingeschlichen.

Die Schnipsel sind meist sehr kompakt gehalten. Bestimmt gibt es auch den ein oder anderen besseren Weg zum Ziel zu kommen. Mir hat es damals sehr geholfen und kann zu mindestens als Idee bestimmt nachgenutzt werden.
Cisco ASA VPN

Tunnel Default Gateway tunen

Wie bekomme ich die Anforderung umgesetzt, dass IPSec VPN Clients auch im Internet surfen können, aber über eine dedizierte Internet-Firewall geführt werden.
Cisco ASA Lizenzen

Welche ASAv Lizenzen sind aktiv?

Mit dem folgenden Befehl show license feature kann ganz schnell überprüft werden, welche Lizenzen der ASAv aktiviert sind. Das Ergebnis sollte ungefähr so aus sehen.
Cisco ASA VPN ICMP

ICMP durch einen VPN Tunnel erlauben

Warum kann ich nicht durch einen Remote-Access IPSec-Tunnel der auf einer ASA terminiert einen PING absetzen?
Cisco ASA Cluster Update

Firmware ASDM Update für einen Active/Standby Cluster

Dieser Artikel beschreibt, wie bei einem aktiven Cisco ASA-Firewall-Cluster ein Softwareupdate der Firmware und des ASDM durchgeführt werden kann. Bei dieser Methode wird keine Unterbrechung des eigentlichen Betriebes der Firewall benötigt.
Cisco ASA Cluster

Konfigurationsrecovery der Standby-Cluster-Unit

In vier einfachen Schritten kann die Konfiguration der Standby-Cluster-Unit via der Primary-Unit wieder hergestellt werden. Welche dies sind zeigt der folgende Artikel.
Cisco ASA Cluster

Active/Standby Firewall Cluster erstellen

Die hier beschriebene Methode umfasst nur die unbedingt benötigte Basiskonfiguration des Firewall-Clusters. Denn alle weiterführenden Konfigurationen von Policies, Firewall-Regeln erfolgen im Anschluss nur noch über die aktive Cluster-Unit. Für die Initialisierung eines Firewall-Clusters im Active/Standby Modus können die benötigten Schritte in die folgenden Kapitel gruppiert werden.
Cisco ASA Angriffe

Schutz gegen TCP-SYNC-Attacken einrichten

Der TCP-SYNC-Angriff auch als „halboffener Angriff“ bekannt, ist ein Angriff gegen TCP-Netzwerkverbindung. Der Angreifer missbraucht dabei den Drei-Wege-Handshake des TCP. Bei dieser Art von Angriff werden auf dem Server viele halboffene TCP-Verbindungen angelegt. Dies bindet Ressourcen auf dem Server, die für die eigentliche Nutzung nicht mehr zu Verfügung stehen.
Cisco ASA Angriffe

Schutz gegen IP-Spoofing-Attacken

IP-Spoofing wird insbesondere dann eingesetzt, wenn ein Antwortpaket nicht notwendig ist. Am effektivsten ist der Angriff, wenn zwischen den Systemen in einem Netzwerk eine Vertrauensbeziehung besteht.
Cisco ASA VPN

VPN Tunnel-group und group-policy schnell löschen

Das Löschen einer nicht mehr benötigten VPN-Konfiguration kann via Command line interface (CLI) mit nur zwei Befehlen einfach, schnell und effektiv erfolgen.
Cisco ASA

Firewall sendet anstelle eines Drop ein Reset

Wenn eine Firewall-Rule durch ein DENY den Aufbau der Verbindung nicht erlaubt, sendet die ASA normalerweise ein silent Drop Paket. Dieses Verhalten ist aus Sicht der Benutzbarkeit für die Clients im LAN und deren Anwendungen nicht immer passend.
Cisco ASA AAA

Blockiere die Anzahl von fehlerhaften Authentisierungen

Standardmäßig ist keine Begrenzung der maximal erlaubten Fehlversuche bei der Authentisierung von lokalen Benutzern aktiv. Dies bedeutet, ein Angreifer kann solange ein lokalen Benutzer und sein Passwort mittels Brute-Force ausprobieren, wie dieser möchte. Um dieses zu verhindern, muss die Anzahl der Passwort-Wiederholungsversuche für einen lokal verwalteten Benutzer eingeschränkt werden.

Cisco ASA AAA

AAA mit redundanter Radius-Anbindung

Die Authentisierung der VPN-Benutzer mit redundanten Radius ist sehr einfach für die ASA zu konfigurieren. Hierfür werden nur ca. 10 Konfigurationszeilenparameter benötigt.
Cisco ASA Bandbreite

Via Policy-map die nutzbare Bandbreiten begrenzen

Für einzelne Bereiche meines Netzwerkes wollte ich die zur Verfügung stehende Bandbreite reduzieren. Hierdurch wollte ich sicherstellen, dass der Internet-Uplink nicht durch Traffic von Innen nach Außen überbucht werden kann. Also stellte ich mir die Frage, wie kann ich die eigentlich verfügbare Bandbreite von 1000 Mbit/s auf 100Mbit/s limitieren?

Cisco ASA DNS Angriffe

DNS-Attacken abwehren

DNS ist heute einer der wichtigsten Services, um Anwendungen im Internet zu adressieren oder eine Verbindung zu einem Server bspw. zu Wartungszwecken aufzurufen. Hieraus ableitend ist es um so wichtiger die zur Verfügung stehenden Härtungsmaßnahmen auch zu nutzen.
Cisco ASA SSH

Cisco ASA ssh-Konfiguration

Nicht immer ist per default die optimale Konfiguration für ssh hinterlegt. Dieser Beitrag zeigt am Beispiel der Cisco ASA die Konfigurationsmöglichkeiten auf.