RIP Cisco IPS

Schon lange hat man auf diesen Tag gewartet, jetzt ist er gekommen. Cisco schickt das „legacy IPS“ aufs Altenteil. Und das komplett:

Product Migration Options
This end-of-life announcement covers the entire Cisco IPS Family, including all hardware, software, and licenses, with no exceptions. The IPS software also includes management applications: IPS Device Manager (IDM) and IPS Manager Express (IME).
Cisco IPS Appliance 4xxx customers are encouraged to migrate to the Cisco FirePOWER Appliance.
Cisco ASA IPS Module 5xxx customers are encouraged to migrate to Cisco ASA with FirePOWER Services.

In dem EOS/EOL-Anouncement wird das IOS-IPS nicht erwähnt. Da das im IOS integriert ist, wäre es vermutlich ein zu großer Aufwand, das gegen eine FirePOWER-Implementierung zu ersetzen.
Update: Es ist aktuell geplant, das EOS/EOL des IOS-IPS in ca. einem Jahr bekanntzugeben.

Das komplette Anouncement ist hier zu finden:
http://www.cisco.com/c/en/us/products/collateral/security/ips-4200-series-sensors/eos-eol-notice-c51-733186.html

RIP Cisco IPS

OS X Yosemite

Die neue OS X Version läuft jetzt seit über einer Woche auf einem meiner Macs und ich bin nicht nur positiv angetan, sondern auch wirklich überrascht. Es funktioniert einfach (fast) alles … Während man bei älteren Major Upgrades doch besser auf die .2 oder .3 Version gewartet hat, kann man diese Version meiner Meinung nach gleich installieren.
Was gibt es zu dieser Version zu erwähnen:

  • Java muss nach dem Update neu installiert werden, für OS X 10.10 steht nur Java 8 zur Verfügung. Meine wichtigste Java-Anwendung, der ASDM (zumindest in recht neuen Versionen) funktioniert anstandslos. Probleme macht leider aus irgend einem Grund die JRE, wenn man aber das JDK installiert läuft alles wie es soll.
  • Der Cisco AnyConnect Client funktioniert (Version 3.1.05187 unterstützt OS X 10.10 offiziell). Das hat mich wirklich gewundert. Bei den letzten OS X Updates kam es mir vor, als wenn Cisco regelmäßig von den neuen Versionen überrascht wurde …
  • Shimo (mein VPN Session-Manager, den ich für EasyVPN und openVPN verwende) funktioniert ohne Probleme. Genau so läuft der Fortinet VPN-Client.
  • Die Mail-Plugins von Chungasoft (ich habe Face2face und ForgetMeNot) laufen problemlos, genau so Letter Opener Pro von Creative in Austria.
  • VMware Fusion läuft auch in der 6er Version gut. Das Update auf die 7er ist also nicht zwingend notwendig.
  • Zwei wichtige Productivity-Tools sind für mich der TotalFinder und Default Folder X  Auch diese beiden System-Tools laufen ohne Probleme.
  • Bisher kommt es mir nicht so vor, dass Yosemite langsamer als Mavericks in der Bedienung wäre. (Fast) alles läuft recht flüssig.
  • Gefühlt schlechter wurde der Zugriff auf Volumes mit sehr vielen Ordnern und Dateien. Unter Mountain Lion war z.B. der Zugriff auf externe Platten mit tausenden von Ordnern und Dateien noch recht flüssig, mit dem Wechsel auf Mavericks wurde das deutlich langsamer. Jetzt mit Yosemite gibt es noch einmal längere Wartezeiten. Das ist aber auch der bisher einzige Negativ-Punkt, der mir auffällt.
  • Weitere kleine Enttäuschung: Die unter Yosemite verwendete OpenSSH-Version ist wie unter Mavericks auch schon die 6.2p2. Interessante Crypto-Erweiterungen der neueren OpenSSH-Version sind daher nicht verfügbar.
  • Das GPGMail-Plugin ist leider auch noch nicht für Yosemite verfügbar. Für Maverics war dieses Plugin sehr schnell angepasst, für Yosmite wird die neue Version in ein paar Wochen erwartet. Diese wird dann nicht mehr frei verfügbar sein, sondern kostenpflichtig sein. Schade, dass Apple das nicht direkt in die Mail-Anwendung integriert. Auch, wenn PGP nicht mehr ganz state-of-the-art ist.
  • Endlich hat Apple einen Security-Bug geschlossen, den ich (und anscheinend einige andere) vor längerer Zeit schon gemeldet habe. Dafür wurde ich sogar im Security-Advisory erwähnt. Damit könnte ich mir doch jetzt auch „Security-Researcher“ auf die Visitenkarte drucken …

Die offizielle Aufzählung der Yosemite-Neuerungen ist bei Apple verfügabr:

http://help.apple.com/osx-yosemite/whats-new/from-mavericks

OS X Yosemite

Die neue Cisco AnyConnect Lizenzierung

Ein großer Vorteil der Cisco Remote-Access VPN-Lösung war bisher, dass die Lizenzierung recht einfach war und nicht pro  PC bezahhlt werden musste, auf dem der AnyConnect Client installiert war. Natürlich gab es auch Ärgernisse, z.B. dass AnyConnect Essentials und AnyConnect Premium nicht gemischt werden konnte.

Mit den aktuellen Änderungen für den neuen AnyConnect 4 wird zwar letzteres möglich sein, allerdings wird das gesamte Lizenzmodell deutlich aufwendiger. Was sich alles ändert:
Es gibt drei neue Lizenzstufen:

  • Plus Subscription
  • Plus Perpetual
  • Apex Subscription

Subscription heißt, dass man die Lizenz mit Laufzeiten von einem, drei und fünf Jahren erwerben kann. Die Lizenzierung des Headend Termination Devices (z.B. die ASA) ist unabhängig davon.
Im AnyConnect Plus sind die folgenden Features enthalten:

  • VPN
  • per App VPN (das ist neu in v4)
  • Web Security für CWS und WSA
  • Network Access Manager

Mit Ausnahme des neuen “per App VPNs” sieht das also ziemlich nach den bisherigen Features aus.
In der neuen AnyConnect Apex Lizenz kommen die folgenden Features dazu:

  • Posture
    Das gab es zwar vorher schon, neu ist aber, dass der AnyConnect Client jetzt auch für die ISE ab der kommenden Version 1.3 benutzt werden kann. Der alte NAC Posture Agent ist nicht mehr notwendig. Das ist eine Änderung, die schon lange überfällig ist. Erstaunlich, dass mir auf der diesjährigen Cisco Networkers von einem Cisco-Mitarbeiter noch gesagt wurde, dass dies auf absehbare Zeit nicht zu erwarten sei. 
  • Next Generation Crypto / Suite B
    Für Firmen, die für anständige Crypto extra Geld verlangen fallen mir viele Worte ein. Die könnte aber alle Einfluss auf potentielle Altersbeschränkungen dieser Seite haben …
  • Clientless VPN
    Was früher per AnyConnect Premium auf dem Headend Device lizenziert wurde, ist jetzt also von der Client-Lizenz abhängig.

Mit dem neuen AnyConnect benötigt jeder Client eine Lizens:

The number of Cisco AnyConnect licenses needed is based on all the possible unique users that may use any Cisco AnyConnect service. The exact number of Plus or Apex licenses should be based on the total number of unique users that require the specific services associated with each license type.

Die kleinste Lizenz-Stufe ist jetzt für 25 Clients. Für mein Setup mit zwei Macs und auf jedem Mac drei VMs mit XP/Win7/Win8 brauche ich also schon acht Lizenzen.

Was lange überfällig war, ist dass verschiede Versionen gemischt werden können:

Cisco AnyConnect Apex and Plus licenses can be mixed in the same environment.
The number of Plus licenses can be smaller or greater than the number of Apex licenses.

Das Lizens-Management bringt uns eventuell noch ein paar „Herausforderungen“ …

When a Cisco ASA is used Cisco AnyConnect, your production activation key (PAK) for Plus or Apex must be registered to the serial number of each individual Cisco ASA via the Cisco License Management portal.

Wie das genaue Handling sein wird, vor allem wenn man Szenarien hat, bei denen ein Client auf viele verschiedene ASAs zugreift, dass muss sich noch zeigen. Ich hoffe, dass es da keine Probleme geben wird.

Die genaue Beschreibung des neuen Lizenzmodells gibt es im Cisco AnyConnect Ordering Guide.

Die neue Cisco AnyConnect Lizenzierung