Gliffy.com

Gliffy is a really cool alternative to Visio when it comes to creating network topology diagrams. I guess there are already plenty of reviews of this app, I just want to make sure that everyone knows of Gliffys existance.

It’s online, its good and it is (kindof) free! Try it…

CBAC is a simple way to turn a Cisco-router from being a stupid packet-filter into an stateful firewall with protocol inspection.

The following example explains how to configure CBAC to allow return-traffic back when an inside web-client http to an external web-server.

Topology:

First I have my inside acl specifying what outbound traffic to allow (http and dns).

ip access-list extended acl_inside_in
permit tcp any any eq www
permit udp any any eq domain
deny ip any any log ACL_INSIDE_IN_DENYING


Then an acl on outside defining inbound traffic. Look, not allowing any http here…

ip access-list extended acl_outside_in
permit icmp any any echo-reply
permit icmp any any unreachable
permit icmp any any traceroute
permit icmp any any time-exceeded
deny ip any any log ACL_OUTSIDE_IN_DENYING


This is the heart of the CBAC-config. If I wanna inspect multiple protocols I just add more lines with the same inspect name…

ip inspect name INSP_OUTBOUND http alert on audit-trail on


So, this is my outside interface, fronting internet
I have my inspect applied here in an outbound direction. This kinda confused me first but I guess you could think about is as where to make the exceptions to allow return traffic.

interface FastEthernet0
description Outside
ip address 10.0.11.2 255.255.255.0
ip access-group acl_outside_in in
ip inspect INSP_OUTBOUND out
duplex auto
speed auto
end
!

This is my inside

interface FastEthernet1
description Inside
ip address 10.0.12.1 255.255.255.0
ip access-group acl_inside_in in
duplex auto
speed auto
end


And this is what is being logged (because of the “alert on audit-trail on”):


Jan 18 20:14:07.910: %FW-6-SESS_AUDIT_TRAIL_START: Start http session: initiator (10.0.20.100:2350) -- responder (192.168.1.50:80)
Jan 18 20:14:24.423: %FW-6-SESS_AUDIT_TRAIL: Stop http session: initiator (10.0.20.100:2350) sent 224 bytes -- responder (192.168.1.50:80) sent 283 bytes


This is first in a serie of posts in english dealing with technical configurations and solutions. The reason for this is me studying for CCIE Security certification and along the road I will probably find interresting stuff to share with others in the same situation as I am. (I´ve already found that more good configuration examples can be found at blogs than in technical references as CCO. Another purpose for me posting about stuff like this is that I learn alot when trying to explain and write about it. )

I have been bangning my head a couple of ours now trying to understand the modularity of Cisco ASA MPF. There are Class-maps, policy-maps and service-policies. There are a lot of different types of each of them and different combinations are invalid. Deeper information can be found att CCO.

MPF is built with 3 different types of modules:

1. class-maps. Defining what to look for
2. policy-maps. What shall we do with it?
3. service-policy. where do we do it?

I made up an hypothetical example. Lets say that I want to prevent my users from downloading mp3-files with ftp. This is a good example of when MPF comes handy (yes I know that some users know how to rename files, do encrypted file-transfers or use other protocols than ftp.)

Ok. On my LAN I have this PC with IP 192.168.1.215 which should not be able to GET files whose name contains “.mp3″. Where do I start?

First I create a regexp defining the string to search for:

regex mp3 ".*.mp3.*"

Next I create a class-map type regex that uses the regex defined:


class-map type regex match-any class-map-TEST-mp3-regex
match regex mp3


Next thing to do is to create a class-map type inspect which is going to look into the ftp application-data sent and have a look for filenames with the regexp-string matched:

class-map type inspect ftp match-all class-map-TEST-ftpfilter
match filename regex class class-map-TEST-mp3-regex


After that I create a policy-map that defines the action (reset tcp connection and log the event) to be taken when the class-map above is triggered:

policy-map type inspect ftp policy-map-TEST-dropftp
parameters
class class-map-TEST-ftpfilter
reset log


Now I need to define which traffic to look into. Remember the host

-IP above? I create an acl:

access-list acl_TEST_mytraffic extended permit tcp host 192.168.1.215 any eq ftp


Before putting everything together you need to decide where to apply this. It can be done either globally or inbound to a specific interface. The most logical thing to do in this case is to apply it on my inside-interface where my ftp-clients are. If you have already a policy-map bound to that interface you need to reuse that policy-map in the next step. Otherwise, just create a new policy-map.

asa# sh run service-policy
service-policy policy-inside interface inside
asa#


So I reuse this policy and add a new class:
policy-map policy-inside
class class-map-TEST-mytraffic
inspect ftp strict policy-map-TEST-dropftp

Let´s see if it works…
ftp> (connected to FTP-server from my host)

ftp> ls

200 PORT command successful

150 Connecting to port 40538

Connection closed by remote host.

Finally, a bleeding rocket-science flow-chart with home-made arrows and sugar on top…

Många tvingas då och då att byta lösenord i system då och då. Det är främst i företagsnätverken (hos din/min arbetsgivare) som det händer. Man säger att det är av säkerhetsskäl man tvingar användare till detta. Men det skapar bara irritation och extra administration samtidigt som det knappt tillför någon säkerhet alls.

Min vädjan: Sluta tvinga användare att byta lösenord utan anledning!

Vad händer om användare tvingas byta lösenord då och då?

• Användaren kommer att ha svårare att komma ihåg sitt aktuella lösenord vilket innebär att samtalen till helpdesk/IT-avdelningen blir fler. “Hej jag kommer inte in. Jag bytte mitt lösenord i fredags men det verkar inte funka nu…”

• Användaren tenderar att välja lösenord som han/hon har lättare att komma ihåg. “Jag hade Fiddeli2 som lösenord innan. Då blir det Fiddeli3 nu” (Gissa om hackern som visste att användaren hade Fiddeli2 som lösenord men plötsligt inte kommer in med detta istället testar Fiddeli3 det första han gör?)

Vilka argument finns det FÖR periodiska lösenordsbyten?

• “Genom att tvinga våra användare att byta lösenord så hindrar vi dom från att använda samma lösenord här och över allt annars”

Ok. Hindrar? Om jag på jobbet blivit tvingad att byta lösenord så finns det inget som hindrar mig att byta till det lösenordet även på facebook.

• “Om en hacker kommit över användarens lösenord kommer han att förlora inloggningsmöjligheten efter 90 dagar då användaren byter lösenord”

Hur skulle hackern ha kommit över lösenordet? Keylogger? Ja det är teoretiskt möjligt men knappast särskilt troligt. Titta över axeln när användaren loggar in? Ja om användaren låter en okänd människa titta på när han sakta skriver in lösenordet “123456″ med vänster pekfinger så är det möjligt. Men när användaren skriver lösenordet “dkjJ4khssi!” snabbt (eftersom att han använt det lösenordet länge så det sitter i ryggmärgen/fingrarna) så lovar jag att ingen kommer att kunna uppfatta den exakta kombinationen. Dessutom skulle jag reagera om någon avsiktligt stod och tittade på tangentbordet när jag loggade in. Det tillhör normal hyfs ungefär som att man snabbt stänger toadörren igen (utifrån!) när man råkat på att toan var upptagen men olåst.

Dessutom. Det första en inbrottstjuv gör när han tagit sig in i en villa är att skapa en flyktväg. Han öppnar ett fönster eller en dörr i motsatt ände från där han tog sig in, innan han börjar rota. Det första en hacker gör är att bereda sig tillgång till systemet även utan det lösenordet som han nyss använde. Det kan vara att skapa ett nytt konto, det kan vara att omedelbart kopiera all data som nånsin kan vara intressant och sen aldrig nånsin komma tillbaka, men det troligaste är att han installerar ett root-kit vilket ger honom full tillgång till systemet även utan det konto han nyss använde. Sen kan användaren byta till Fiddeli3 så mycket han/hon vill.

• “Vi förhindrar brute-force-attacker genom att byta lösenord då och då”

De system jag känner till låser ofta kontot efter 3-5 misslyckade inloggningsförsök.

• “Vet inte. Så har vi alltid gjort”

Den absolut vanligaste anledningen. Kommentarer överflödiga.

Vad händer när användaren får behålla sitt lösenord så länge han/hon vill?

• Han/hon kommer aldrig att glömma lösenordet.
• Han/hon kommer att kunna välja ett mer komplext lösenord eftersom att han/hon vet att hon kommer att få behålla det.
• Password reset-samtalen till Helpdesk kommer garanterat att närma sig noll.

Hur ska man då göra som organisation?

• Ställ krav på att användaren ska använda komplexa lösenord (minst 10 tecken gärna 12, både versaler och gemener och minst ett specialtecken). Tipsa om hur man väljer ett säkert lösenord som inte glöms bort.
• Ställ krav på att användaren inte använder samma lösenord i något annat system.
• Gör allt som är möjligt för att ni (företaget) har en central katalogtjänst så att användaren slipper ha en inloggning till fil/print, en till vpn-anslutning, en till webbmail, en till tidredovisningssystemet och en till ekonomisystemet.
• Ställ krav på användaren att aldrig dela med sig lösenordet till någon annan.
• Ställ krav på användaren om att omedelbart byta lösenord om han/hon misstänker att någon kommit över det.

(Andra bloggposter i samma ärende)

För ett par år sedan pratade alla om “Web 2.0″.

När folk runtomkring sig pratar om ett begrepp som om det vore självklart att alla vet exakt vad det betyder och man själv inte fattar (trots att man ägnat ungefär halva sitt liv åt att ta betalt för sin kompetens i IT-branschen), då räcker man inte upp handen och frågar “öh du, vad är det du pratar om egentligen”. Istället sneglar man på bordsgrannarna som verkar förstå och tänker “äh, det är nog bara jag som inte fattat”.

Nu har det gått ganska lång tid. Och det slog mig idag att jag fortfarande inte fattar vad “Web 2.0” är. Och då hade jag ändå lyssnat på presentationer där höga chefer stod och sa att Web 2.0, det är framtiden!

Jag är en tekniker. Jag vill förstå.

Idag kan man inte öppna en tidning/nyhetssida/blogg utan att läsa om nåt som kallas för “molnet” eller “The Cloud“. Alla pratar om det. Det nämns i ledningsbrev på intranät. Löpsedlar. you name it!

Men vad är the cloud? Vad är det som är nytt? Outsoucade tjänster har funnits i många år. Redundans och high availiability är ju inget nytt. Webb-baserad tjänster är ju inte heller nåt som nån kom på under påskhelgen 2009.

Jag erkänner. Jag fattar inte!

Uppdatering: Det är tydligt att fler än jag ifrågasätter eller inte förstår. Det känns skönt.

Jag gillar den här definitionen. Och härmed lovar jag mig själv att rätta alla som använder moln-begreppet på ett sätt som inte stämmer med denna definition (cred: IDG):

Du äger varken hård- eller mjukvaran, och till skillnad från vid vanlig outsourcing, finns ingen särskild utrustning dedikerad enbart till ditt företags system. Du kommer åt leverantörens system över Internet på ett – på något vis – säkert sätt. Och för denna åtkomst betalar du ett abonnemangspris, som ökar eller sjunker beroende på hur ofta du drar nytta av leverantörens system.