Cisco Press: SSL Remote Access VPNs

SSL-VPNs erlangen immer mehr Bedeutung. Kein Wunder, daß vor ein paar Monaten ein Buch erschien, dass sich diesem Thema angenommen hat.

Titel: SSL Remote Access VPNs
Verlag: Cisco Press
Autoren: Jazib Frahim, CCIE No. 5459 und Qiang Huang, CCIE No. 4937
Seiten: knapp 350

Um es vorweg zu nehmen: Ich halte dieses Buch für ein relativ gutes, aber nicht hervorragendes Werk. In früheren Jahren habe ich von Cisco Press deutlich bessere Bücher gelesen. Gemessen an anderen aktuellen Büchern ist es aber noch voll akzeptabel.
Der Grund für diese Einschränkung hat nicht einmal mit häufiger Selbstbeweihräucherung á la “The SSL VPN functionality on Cisco ASA is the most robust in the industry” oder Weisheiten wie “DfltGrpPolicy is a special group name, used solely for the default group-policy” zu tun.
Vielmehr ist es ein Trend, den Ivan Pepelnjak in seinem Blogeintrag “Knowledge or recipes” sehr gut beschrieben hat. Immer mehr Lehrmittel (egal ob Bücher oder offizielle Trainings) setzen nicht mehr darauf, Wissen über die Technologie zu vermitteln. Anstelle dessen bieten sie nur “Kochrezepte” nach dem Motto: Klicke auf diesen Button, um das zu erreichen.
Und genau das trifft auch teilweise auf dieses Buch zu. Statt Hintergründe zu erklären, geht es in manchen Kapiteln nur darum, was in der GUI angeklickt werden muss, um bestimmte Sachen zu konfigurieren.

Aber der Reihe nach:
Im ersten Kapitel werden Remote-Access VPNs allgemein vorgestellt.

Im zweiten Kapitel wird auf die SSL VPN Technologie eingegangen. Dieses Kapitel ist relativ gut, wenn auch eingestreute “Code-Schnipsel” zur Implementierung in einer Programmiersprache eher deplaziert wirken, da sie nicht genauer erläutert werden. Wer so eine Technik zu implementieren hat, der wird auch auf andere Referenzen zugreifen.

Kapitel drei behandelt “Design Considerations”, die in unter 20 Seiten eher knapp und allgemein gehalten sind.

Kapitel vier ist das “Marketing-Kapitel”. Die “Family of Products” wird vorgestellt.

Kapitel fünf und sechs befassen sich mit den Themen, die dieses Buch ausmachen. Die Beschreibung, wie SSL-VPNs in der SW-Version 8 der ASA und im Cisco IOS konfiguriert werden.
Die Beschreibung der ASA-Konfiguration verzichtet fast vollständig auf CLI-Beispiele und zeigt nur Screenshots aus dem ASDM. Im IOS-Kapitel ist zu etlichen SDM-Screenshots auch die zugehörige CLI-Konfiguration zu sehen, was ich sehr gut finde.

Im letzten Kapitel “Management of SSL VPNs” wird hauptsächlich auf den Cisco Security Manager eingegangen und dargestellt, wie damit ein Multi-Device-Management durchgeführt werden kann.

Kann man mit dem Buch arbeiten? Ja! Um die ersten Gehversuche mit SSL-VPNs zu wagen, ist dieses Buch sicher gut geeignet. Mit diesen Anleitungen wird man zügig zu einem lauffähigen SSL-VPN kommen, egal ob clientless oder mit dem AnyConnect-Client, Port-Forwarding, Plug-Ins oder Cisco Secure Desktop. Und das sowohl auf der ASA, als auch auf einem Router.
Wer aber bei der Einrichtung oder dem Betrieb seiner SSL-VPNs Probleme bekommt, dem hilft das Buch nicht besonders gut weiter, denn dafür hat es nicht genügend tiefgehende Informationen.

Für wen ist das Buch also geeignet?

  • Admins, die SSL-VPNs einrichten wollen.
  • Designer, die abschätzen wollen, was mit Cisco SSL VPNs möglich ist und was nicht.
  • Besucher des Cisco Trainings SNAA (Securing Networks with ASA Advanced), die anstelle des völlig unorganisierten Student-Guides eine lesbare Anleitung haben möchten oder aber die SSL-VPN-Kapitel nachbereiten möchten.

Diejenigen, die schon einige SSL-VPNs eingerichtet haben und eine Vertiefung der Materie suchen, sollten allerdings die Finger von diesem Buch lassen.

Bei CiscoPress kann auch ein Beispiel-Kapitel heruntergeladen werden.

http://rcm-de.amazon.de/e/cm?t=lan2wan-21&o=3&p=8&l=as1&asins=1587052423&fc1=000000&IS2=1&lt1=_blank&lc1=0000FF&bc1=000000&bg1=FFFFFF&f=ifr

Advertisements
Cisco Press: SSL Remote Access VPNs

CCIE-Security Blueprint v3.0

Cisco hat mal wieder den Blueprint für das CCIE-Security Lab-Exam überarbeitet. Hier ein paar der Änderungen:

  • Das Wichtigste: Die IOS-Version der Router wird von 12.2T auf 12.4T aktualisiert. Schon mit diesen neuen Security-Funktionen könnte man einen kompletten Lab-Tag füllen.
  • PIX und VPN-Concentrator sind raus. Zumindest für letzteren wurde es auch Zeit.
  • Die Catalyst 3550 sind gegen 3560er ausgetauscht worden. Das könnte beim Thema “QoS as a Security-Feature” sehr interessant werden.
  • Die ASA wird in der Version 8.x und die IPS-Sensoren in der Version 6.1 getestet. Es wird Zeit, sich von den alten Versionen zu verabschieden.

Allerdings sind ein paar Änderungen ausgeblieben, mit denen ich schon gerechnet habe:

  • Kein AIP-SSM für IPS in der ASA. Spätestens mit der Abkündigung der 4215er Sensoren hatte ich das erwartet.
  • Das NAC-Framework befindet sich immer noch im Blueprint, die NAC-Appliance wurde nicht aufgenommen. Auch da hätte ich eine Änderung erwartet, die die interne Präferenz bei Cisco widerspiegelt.

Und wann muß man mit den Neuigkeiten im Lab rechnen?

This lab exam blueprint v3.0 is a detailed outline of the topics likely to appear on the lab exam effective mid-April 2009.

Keine sehr genaue Angabe … Ich vermute in der Zeitspanne “mid-April” werden viele Lab-Plätze frei bleiben, da sich die Vorbereitung auf die Version 3.0 doch von der Vorbereitung auf die Version 2.0 unterscheiden wird.

Weitere Informationen zum CCIE – Security-Track gibt es bei Cisco.

CCIE-Security Blueprint v3.0

Das neue MacBook Pro

Vor ca. einem Jahr bin ich mehr oder weniger auf Mac OS X umgestiegen. (Eine XP-VM habe ich natürlich und mein Büro-Rechner läuft auch weiterhin unter Linux.) Zu einem 15″ MacBook Pro hat sich Mitte des Jahres noch ein 17″ MBP gesellt, mit denen ich im Großen und Ganzen auch zufrieden bin.
Aber mit der gestrigen Vorstellung der neuen MacBooks bin ich mir nicht mehr sicher, längerfristig eine Plattform zu haben, mit der man wirklich arbeiten kann.

@Apple: Was sollen diese Spiegel-Displays auf einem “Pro”-Gerät? Warum benötigt man einen Adapter, um die DVI-Monitore anzuschließen, die sich jetzt endlich mal durchgesetzt haben? Und warum müssen die Kisten wie billiges Spielzeug aussehen, wo die letzten MBPs an Eleganz kaum zu überbieten waren? Und wenn die Tastatur wirklich von der Art “altes MacBook” (oder boshaft “Sinclair Spectrum”) ist, dann scheidet dieses Gerät von vornherein aus.
Naja, mal sehen, wie ich in einem Jahr darüber denke, wenn ich turnusmäßig über ein neues Arbeitsgerät nachdenken werde …

Das neue MacBook Pro

Cisco IOS 12.4(22)T

Und noch ein neues Release auf dem Weg zum IOS 12.5:
Im 12.4(22)T sind nicht so viele Neuerungen enthalten, wie in den letzten T-Releases. Ein paar dieser Neuerungen hören sich aber sehr interessant an. Da wären z.B.:

  • ACL Syslog Correlation: ACEs können Tags mitgegeben werden, die man auf dem Syslog-Server auswerten kann.
  • IOS SSL VPN Localization: Beim Login können verschiedene Sprachen ausgewählt werden.
  • Embedded Event Manager Version 3.0: So langsam kommt man an diesem mächtigen Werkzeug nicht mehr vorbei. Wird Zeit für einen TCL-Workshop …
  • NME-IPS-K9: Ich warte immer noch auf mein AIM-IPS …
  • Trusted Relay Point: Erweitert die FW-Funktionalität für Voice-Channel.
  • Per IPSec Tunnel QoS: War vorher mit Hilfe der QoS-Groups in gewisser Weise auch schon möglich, sieht jetzt aber deutlich leistungsfähiger aus.

Wie schon beim 12.4(20)T, steht auch dieses Release für unsere Dynamips/GNS3-Freunde nur für den 7200er zur Verfügung.

Tja, viel Spaß beim Testen kann man da nur wünschen; mein Internet-Router ist vermutlich am Wochenende dran!

Cisco IOS 12.4(22)T