R33NET BLOG Rotating Header Image

Netzwerk

CheckPoint Security Gateway Backup/Restore

cp1Hier möchte ich kurz die unterschiedlichen Backup/Restore Möglichkeiten auf einem Check Point Security Gateway beschreiben. Die Backups zu erstellen über WebGui oder CLI ist relativ einfach und gut beschrieben: CP_R77_Gaia_Installation_and_Upgrade_Guide – Backing Up

upgrade_export (restore)
-Es werden keine OS (SPLAT) Einstellungen gesichert. Es werden nur die Check Point Einstellungen gesichert.
Da hier keine OS Daten gesichert werden kann es z.B auf einen anderen OS importierte werden.
Ein upgrade_import auf einer anderen Hardware ist möglich, sowie der Import auf eine neue OS Version (Achtung der upgrade_export muss mit der neueren Version ausgeführt werden.)

backup (restore)
-Ein SPLAT Backup sichert sowohl die SPLAT OS Einstellungen als auch die Check Point Einstellungen. Kurz gesagt ein upgrade_export mit OS Einstellungen.
Der Restore setzt die gleiche Softwareversion und Hardware voraus.

snapshot (revert)
-Ein Snapshot ist meistens die besser Wahl als ein Backup. Es enthält neben den OS und CP Einstellungen zusätzlich auch die binary-files. Kurz gesagt es wird ein Image erstellt. Hier ist eine Wiederherstellung zwischen unterschiedlichen Versionen möglich.
Z.B. kann ich einen Snapshot auf R77.10 machen, dann das Upgrade auf R77.30 durchführen. Auf R77.30 kann ich ebenfalls ein Snapshot machen. Dies erlaubt mir jederzeit zwischen den Versionen zu wechseln.
Ein Revert ist nur auf derselben Hardware möglich. Versucht man ein Snapshot auf einer anderen Hardware wieder her zu stellen muss man die /etc/sysconfig/hwconf und /etc/modules.conf löschen (Werden automatisch bei Reboot erstellt) sowie die „hwaddr“ Zeilen aus der /etc/sysconfig/netconf.C
Achtung: Ihr benötigt genug freien Plattenplatz auf der Backup Partition, mein letzter Snapshot war 5,4 Gb groß. (Root Partition * 1,15)

Juniper Netscreen Sessions analysieren

juniper_logoHier beschreibe ich kurz wie man genauere Informationen zu aktuellen Sessions auf der Juniper bekommt. Auf der SSG-550 ist es möglich 256064 Sessions zu halten. Je nachdem wie viele VPNs bzw Daten über die Juniper gehen kann es mal vorkommen das man an das Limit der Sessions kommt. Auch z.B. durch Fehlerhaften Traffic der immer neue Sessions aufbaut aber die alten nicht beendet und diese erst in einen Timeout laufen müssen.

Hier die wichtigsten Befehle:

get session info Zeigt aktuelle Sessions an
get session id Zeigt eine bestimmte Session an
get session policy-id Zeigt Sessions einer bestimmten Policy
get session dst-ip / dst-mac / dst-port) Zeigt Sessions bestimmter Ziele  IP / MAC / Port
get session src-ip / src-mac / src-port Zeigt Sessions bestimmter Quellen IP / MAC / Port
get session service „dns“ Zeigt Sessions eines bestimmten Service an

 

Sessions per Policy Anzeigen
vpn8:vpn8-1(M)-> get session policy-id 3844
id 35/s**,vsys 0,flag 00000040/0000/0001/0000,policy 3844,time 12, dip 0 module 0
if 0(nspflag 800801):10.x.x.61/58022->10.x.x.41/389,17,000000000d0,sess token 3,vlan 0,tun 0,vsd 0,route 20
if 6(nspflag 2002800):10.x.x.61/58022<-10.x.x.41/389,17,000000000000,sess token 4,vlan 0,tun 40000a53,vsd 0,route 0

Session Details anzeigen
vpn8:vpn8-1(M)-> get session id 35
id 35(00000023), flag 00000040/0000/0001/0000, vsys id 0(Root)
policy id 3844, application id 0, dip id 0, state 0
current timeout 70, max timeout 7200 (second)
status normal, start time 45054980, duration 0
session id mask 0, app value 0
ethernet0/0(vsd 0): 10.x.x.61/58022->10.x.x.41/389, protocol 17 session token 3 route 20
gtwy 192.x.x.254, mac 0000000000d0, nsptn info 0, pmtu 1500
flag 800801, diff 0/0
port seq 0, subif 0, cookie 0, fin seq 0, fin state 0
ethernet0/2(vsd 0): 10.x.x.61/58022<-10.x.x.41/389, protocol 17 session token 4 route 0
gtwy 0.0.0.0, mac 000000000000, nsptn info 40000a53, pmtu 1446
flag 2002800, diff 0/0
port seq 0, subif 0, cookie 0, fin seq 0, fin stat

Juniper Firewall Session Analyzer

Von Juniper gibt es noch das Tool FSA „Firewall Session Analyzer“. Hiermit können Reports erstellt werden. Dazu exportiert man alle Sessions von dem VPN Gateway und kann die dann über die Juniper Webseite analysieren lassen. https://tools.juniper.net/fsa/

Die Sessions könnt Ihr auf einen TFTP Server exportieren:
get session > tftp 10.x.x.107 name.txt

Folgende Reports werden erstellt:
Rank based on destination IP address
Rank based on source port
Rank based on source IP address
Rank based on protocol
Rank based on VSD (Virtual System Device)
Rank based on source IP with protocol and destination port information

Wer seine Session nicht zu Juniper hochladen will, kann das auch offline über das Tool „Netscreen Session Analyzer“ NSSA von Tim Eberhard machen. [Download V2.5 beta WIN] nssa

Juniper Netscreen reset (back to factory default)

juniper_logoUm eine Netscreen auf „factory default“ zurück zu setzen benötigt man einen Konsolen Zugriff denn es gehen alle IP Verbindungen verloren. Es wird die Seriennummer des Gerätes benötigt.  Diese steht unten auf dem Gerät oder kann über die CLI abgerufen werden. Die SN dient als login nutzen Sie diese sowohl für den Username als auch für das Passwort. Nach Login folgt die Frage ob Sie das Gerät wirklich zurücksetzen wollen. Nach dem Reset lauten die Logindaten netscreen/netscreen.


ns5xt-> get system | i serial
Serial Number: 0022114340534198, Control Number: 00000000

ns5xt-> exit
login: 0022114340534198
password:
!!! Lost Password Reset !!! You have initiated a command to reset the device to factory defaults, clearing all current configuration and settings. Would you like to continue? y/[n]

Kali Linux 2.0 Released

kali-linux-2-0-releasedDas Kali-Team hat die neue Version 2.0 veröffentlicht. Die Version steht ab sofort zum Download bereit. Die angepassten Versionen für VMWare, VirtualBox, ARM (RaspberryPi etc) findet ihr hier.

Was ist neu?
Kali läuft zukünftig als „Rolling Release“ und wir fortlaufend mit neuen Updates versorgt. Der neue Kernel 4.0 basiert auf Debian Jessie. Es wurden eine Vielzahl von neuen Treibern aufgenommen sowie die Oberflächen (gnome, kde, xfce, mate, e17, lxde, i3wm) stehen jetzt bereit. Weiter schreibt das Kali Team:

„But these bulletpoint items are essentially a side effect of the real changes that have taken place in our development backend. Ready to hear the real news? Take a deep breath, it’s a long list.“

Wer Kali bisher schon im Einsatz hat kann auch ein update durchführen.

cat << EOF > /etc/apt/sources.list
deb http://http.kali.org/kali sana main non-free contrib
deb http://security.kali.org/kali-security/ sana/updates main contrib non-free
EOF

apt-get update
apt-get dist-upgrade
reboot

Weitere Informationen findet Ihr unter: https://www.kali.org/blog/

Cisco IOS Clock Sync (NTP) Sommer/Winter Uhrzeit

Als erstes braucht ihr einen NTP-Server. In meinem Beispiel habe ich meine Firewall genommen. Ihr könnt aber auch einen NTP Server aus dem Internet nehmen z.B. http://www.pool.ntp.org/de/

sw-dmz01(config)#ntp server 192.168.66.254

Das Cisco Gerät benötigt jetzt ein bisschen um den NTP Status zu synchronisieren. Als nächsten überprüfen wir den NTP Status

sw-dmz01#sh ntp statu
Clock is synchronized, stratum 4, reference is 192.168.66.254
nominal freq is 250.0000 Hz, actual freq is 249.9989 Hz, precision is 2**18
reference time is D610CB76.FEF1C771 (11:01:26.995 CET Tue Oct 22 2013)
clock offset is 23.3481 msec, root delay is 87.62 msec
root dispersion is 98.45 msec, peer dispersion is 0.66 msec

Jetzt haben wir die richtige Uhrzeit auf unserem Cisco Gerät. Als nächstes sollten wir die richtige Zeitzone einstellen. Folgend können wir uns Datum, Uhrzeit und die Zeitzone anzeigen lassen.

sw-dmz01#sh clock
12:21:50.010 CET Tue Oct 22 2013

In welcher Zeitzone ihr auch genau befindet könnt ihr über Google suchen für Deutschland gilt CET

Central European Time
Central European Standard Time = GMT+1 (CET)
Central European Summer Time = GMT+2 (CEST)

Am letzten Sonntag im März wird die Uhr von 02:00 auf 03:00 gestellt das ist dann die Sommerzeit(CEST) Die Sommerzeit endet am letzten Sonntag im Oktober, hier stellen wir die Uhr eine Stunde zurück von 03:00 auf 02:00 (CET)

sw-dmz01(config)#clock timezone ?
WORD name of time zone

sw-dmz01(config)#clock timezone CET ?
<-23 - 23> Hours offset from UTC

sw-dmz01(config)#clock timezone CET 2

So weit so gut, jetzt haben wir die Uhr synchronisiert und die richtige Zeitzone gesetzt. Jetzt müssen wir noch die Sommer und Winterzeit konfigurieren.

sw-dmz01(config)#clock summer-time CEST recurring last Sun Mar 02:00 last Sun Oct 03:00

Jetzt wollen wir noch das die Zeitzone in unseren Logs und Debugs angezeigt wird.

sw-dmz01(config)#service timestamps debug datetime msec localtime show-timezone
sw-dmz01(config)#service timestamps log datetime msec localtime show-timezone

Das Log sieht dann wie folgt aus:

Oct 22 13:37:00.590 CEST: ICMP: echo reply sent, src 192.168.66.121, dst 192.168.66.126
Oct 22 13:36:26.184 CEST: %SYS-5-CONFIG_I: Configured from console by vty0 (192.168.66.126)

Liste der RAS-Fehlercodes

Liste der RAS-Fehlercodes
 (mehr …)

Dateien im flash mit TCL bearbeiten/erstellen

Mal angenommen ihr habt einen Router und wollt eine neue startup-config erstellen/kopieren habt aber keine Möglichkeit das via TFTP oder so zu machen. Es gibt eine einfache Möglichkeit eine Datei im flash über die Kommandozeile [CLI] zu erstellen.  Das machen wir mit Tcl (Tool command language) eine Open Source-Skriptsprache.  In diesen Beispiel schreibe ich nur zwei Zeilen in eine Datei. Es kann aber auch eine komplette Konfiguration in die Datei geschrieben werden.

Als erstes öffnen wir tclsh:

Router#tclsh

Wir öffnen eine Datei mit den Namen „conf.txt“ Das W+ bedeutete überschreibe die Datei.

Router(tcl)#set x [open „flash:conf.txt“ w+]
file0

Gebt folgendes Kommando ein damit ihr in die Datei schreiben könnt Klammer“auf“

Router(tcl)#set lst {

Jetzt kopiert ihr den Inhalt den ihr in die Datei schreiben wollt

+>no access-list 101
+>access-list 101 per ip any host 10.0.0.1

Wenn ihr alles eingegeben habt schließt ihr das ganze mit der Klammer“zu“

+>}

Es wird nochmal alles Angezeit was in die Datei geschrieben wird

no access-list 101
access-list 101 per ip any host 10.0.0.1

Wir speichern und schließen die Datei

Router(tcl)#puts $x $lst
Router(tcl)#close $x

Wir beenden TCL

Router(tcl)#tclquit

Solltet ihr jetzt eine fertige Konfiguration in eine Datei geschrieben haben, könnt ihr das einfach mit „copy flash:conf.txt startup-config“ in die startup-config kopieren. Die vlan.dat nicht vergessen, also VLANs und VTP anlegen und durchstarten. Der Router/Switch läuft dann mit der neuen Konfiguration.

Weiter Informationen und Möglichkeiten mit TCL
Tcl (Tool command language)

Multicast / IGMP / IGMP Snooping

IGMP „Internet Group Message Protocol“ ist eine Erweiterung des Internet Protocols (IPv4). Mit IGMP ist IP-Multicasting (Gruppenkommunikation) möglich. IP-Multicasting ist die Verteilung von IP-Paketen mit einer Ziel-IP-Adresse an mehrere Stationen gleichzeitig. Das Gegenstück von IGMP von IPv4 ist bei IPv6 MLD (Multicast Listener Discovery).
Das Internet Group Message Protocol wird benutz um Hosts zu ermöglichen, die Teilnehmerliste für Multicast-Gruppentelegramme im Netz bekannt zu geben.
Router und Switches lernen beim Empfang von IGMP Membership Requests, welche der angeschlossenen Geräte zu einer Multicast-Gruppe gehören. Wird ein Multicast für eine Gruppe empfangen, wird die Nachricht nur an den entsprechenden Ports, die zu dieser Multicastgruppe gehören weitergeleitet, die anderen Ports sehen diese Nachrichten nicht.

Wenn keine Multicast-Filterung mit IGMP vorgenommen wird, werden die Multicast-Nachrichten auf allen Ports versendet. Dieses Multicast-Filtering ist umso wichtiger, je größer die Netzwerke sind. In großen Netzstrukturen mit kaskadierten Switches wird eine unnötig hohe Netzlast in der Domäne entstehen oder einige Geräte werden möglicherweise überfordert, wenn sie permanent auf Multicastverkehr reagieren müssen, der nicht für sie bestimmt ist.

Wird ein Gerät auf einen anderen Switchport gesteckt würde der Switch die Multicast-Nachrichten zum falschen Port senden und das Gerät würde keine Multicast-Nachrichten mehr erhalten. Um das zu verhindern, fordert beim IGMP Snooping (ein) zerntrales Gerät iterativ alle Endgeräte auf, ihre Multicast-Gruppenzugehörigkeit bekanntzugeben, der sogenannte IGMP Querier.  Die Antworten auf Querier-Anfragen (IGMP Reports) veranlassen die Switche ihre Membership-Listen entsprechen zu aktualisieren.

Es gibt 3 IGMP-Versionen:

Version 1 (RFC 1112) kannte nur zwei Nachrichtentypen: Host Membership Query und Host Membership Report. Der Router kann mit IGMPv1 periodisch alle Hosts fragen, welche Gruppen sie denn empfangen möchten, und Hosts können als Antwort oder spontan pro Gruppe einen Report abschicken.
Bei Version 1 kann ein Host eine Gruppe nicht verlassen, er kann nur warten, bis der Router das nächste Mal eine Anfrage stellt und dann keinen Report mehr abschicken.

Version 2 (RFC 2236) fügt eine Nachricht dazu, mit der man Groups verlassen kann, und spezifiziert eine Methode, wie mehr als ein Multicast-Router in einem Ethernet koexistieren können.
Dabei wird der Router mit der kleineren IP-Nummer als Querier ausgewählt, d.h. fortan wird nur noch dieser Host Reports anfordern. Der andere Router übernimmt wieder,
wenn der erste eine Anfrage nicht rechtzeitig gestellt hat (und damit ausgefallen zu sein scheint).

Version 3 erlaubt die Angabe von ACLs zur Sender-Auswahl. Ein Host kann beim Beitritt zu einer Gruppe erklären, daß er nur Traffic von einem bestimmten Sender empfangen möchte (oder einer Liste von Sendern), oder er kann Sender explizit ausschließen.

LINKS:

RFC 1112 – Host Extensions for IP Multicasting
RFC 2236 – Internet Group Management Protocol, Version 2
RFC 3376 – Internet Group Management Protocol, Version 3
RFC 2933 – Internet Group Management Protocol MIB

Wiki: Multicast

IPv4 Multicast Address Space Registry

Multicast-Routing-Protokolle
Distance Vector Multicast Routing Protocol (DVMRP)
Multicast Open Shortest Path First (MOSPF)
Protocol Independent Multicast (PIM)

Cisco IOS Software Packaging for Cisco Switches

Da wir ab sofot nurnoch die Catalys 3750-X Series nutzen wurde ich gefragbt welches IOS ich brauche.  IPBase, IPServices oder Advanced IPServices? Naja…..wo ist der Unterschied? Da ich bisher nur das IPServices genutzt habe, musste ich mich gleich mal bei Cisco schlau machen. Hier die Übersicht (Unterschiede) der IOS-Versionen von Cisco:

Layer 2 Base – IEEE 802.1D support, 802.1x point authentication, 802.3ad EtherChannel, 802.1s/w Rapid Spanning Tree, Port Security, SmartPorts, and SSHv2.
LAN Base – Includes Layer 2 Base plus Advanced 802.1x, Advanced Access Lists (Layer 2-4 filtering, Time Based ACLs, Port Based ACLs), and Advanced QoS.
IP Base – Includes all the features of LAN Base, plus Edge IP Routing (Static, RIP, EIGRP-STUB & Basic PIM), HSRP/ VRRP, and GRE Tunneling.
IP Services – Includes all the features of IP Base plus full IP routing (EIGRP, OSPF & PIM), BGP, Policy Based Routing, GLBP, High Availability, Redundant PR+, Multi-VRF, WAN Protocols1, enhanced QoS functionality (NBAR)1, and Catalyst 6500 Virtual Switching System.
Advanced IP Services – Includes all the features of IP Services plus additional features including ISIS, MPLS, Layer 2 VPNs, Layer 3 VPNs, and IPv6.
Enterprise Services – Includes IPv6, all the features of IP Services and additional features for Layer 3 multi-protocol environments, such as AppleTalk Routing, IPX Routing, and IBM Networking Services.
Advanced Enterprise Services – Includes all the features of IP Services and Enterprise Services.

Wer weitere Informationen über Cisco Software benötigt sollte sich das White Paper: Cisco IOS and NX-OS Software Reference Guide unbeding mal anschauen.

Anleitung: Installation Nagios 3.3.1 (Plugins 1.4.15) auf Ubuntu 11.10 “Step by Step” deutsch

clip_image002

Nagios ist der Name einer Software, die dem Monitoring komplexer IT-Infrastrukturen dient.Nagios bietet dazu eine Sammlung von Modulen zur Überwachung von Netzwerken, Hosts und speziellen Diensten sowie eine Web-Schnittstelle zum Abfragen der gesammelten Daten. Es steht unter der GNU GPL, ist also freie Software und läuft unter zahlreichen Unix-ähnlichen Betriebssystemen. Für eine einfache Grundinstallation von Nagios ist die Installation zumindest noch folgender Software-Komponenten erforderlich:
-Der Apache HTTP Server mit PHP-Modul
-Der GCC Compiler mit bzw. nur dessen Entwicklungs-Programmbibliotheken
Neben der Nagios Kern-Software benötigt man noch die Nagios Plugins: Das sind eine Reihe von Zusatzprogrammen (Modulen), die die eigentlichen Überwachungsabfragen durchführen und (gemäß ggf. vorzugebender Parameter) auswerten.

Download Nagios         Download Ubuntu

(mehr …)