Cisco ASA und Policy-based Routing (PBR)

Dieses Feature ist vermutlich eines, auf das sehr viele Admins gewartet haben. Endlich ist es (in Version 9.4(1)) implementiert:

Policy Based Routing

Policy Based Routing (PBR) is a mechanism by which traffic is routed through specific paths with a specified QoS using ACLs. ACLs let traffic be classified based on the content of the packet’s Layer 3 and Layer 4 headers. This solution lets administrators provide QoS to differentiated traffic, distribute interactive and batch traffic among low-bandwidth, low-cost permanent paths and high-bandwidth, high-cost switched paths, and allows Internet service providers and other organizations to route traffic originating from various sets of users through well-defined Internet connections.
We introduced the following commands: set ip next-hop verify-availability, set ip next-hop, set ip next-hop recursive, set interface, set ip default next-hop, set default interface, set ip df, set ip dscp, policy-route route-map, show policy-route, debug policy-route

Advertisements
Cisco ASA und Policy-based Routing (PBR)

Cisco ASA: Public-Key-basierte SSH-Logins

Die Router bieten schon längere Zeit (ab IOS 15.0) die Möglichkeit, sich per Public-Key-Authentifizierung anzumelden. Inzwischen besteht auch auf der ASA ab Version 8.4(4.1) diese Möglichkeit:

asa(config)# username test attributes
asa(config-username)# ssh authentication publickey ?

username mode commands/options:
  WORD  Raw SSH-RSA public key
asa(config-username)# ssh authentication publickey 

Nachdem man hier seinen Public-Key eingefügt hat, kann man sich per SSH ohne Angabe eines Passwortes mit der ASA verbinden.

Cisco ASA: Public-Key-basierte SSH-Logins

Der ASDM-Launcher für Mac OS

Vor kurzem ist mir das erste Mal aufgefallen, dass auch beim ASA-Zugriff per Safari unter Mac OS der ASDM-Launcher angeboten wird:

Der ASDM-Launcher war bisher eine Win-only-Software und für den Mac nicht verfügbar. Ein Klick auf “Install ASDM Launcher” aber lädt eine .DMG-Datei herunter, die auch auf dem Mac den ASDM-IDM-Launcher installiert:

Auch diese Software basiert natürlich auf Java und den Punkt “Run in Demo-Mode” sollte man nicht überbewerten:

Die Demo-Software ist weiterhin nur als .MSI für Windows verfügbar.

Der ASDM-Launcher für Mac OS

Überprüfen von ASA-Konfigurationen

Bisher galt Nipper als Werkzeug der Wahl, um Router-Konfigurationen zu überprüfen. Für die Cisco ASA kommt mit Flint ein neuer Kandidat ins Spiel, der recht zuversichtlich aussieht.
Flint kann als fertige VM heruntergeladen oder aber aus den Sourcen installiert werden. Über ein Web-Interface übergibt man die ASA-Konfiguration, die dann auf Konfigurations-Probleme untersucht wird.
Noch merkt man Flint den frühen Versions-Stand (aktuell 1.0.4) an. Ein paar Bugs sind noch drin, Probleme werden angeprangert, die nicht wirklich Probleme sind und manche Konfigurationszeilen kann Flint überhaupt nicht analysieren. Trotzdem sollte Flint in keiner Werkzeugkiste eines ASA-Admins fehlen. Und auch Benutzer anderer Firewalls sollen Flint später benutzen können. Laut Readme ist die Unterstützung von Cisco IOS, BSD PF und Linux IP-Tables geplant.

Den Hinweis auf Flint habe ich auf darknet.org.uk gefunden.

Überprüfen von ASA-Konfigurationen

Cisco ASA Software 8.2

Dem Cisco Security Monthly Newsletter nach ist die neue Version 8.2 jetzt verfügbar. Eben konnte ich sie im Download-Center zwar noch nicht herunterladen, aber jetzt kann es nicht mehr lange dauern.

Aus der Unmenge an Neuigkeiten, wobei vieles auch Voice betrifft, finde ich die folgenden neuen Funktionen am interessantesten:

  • Ein Botnet-Filter, der infizierte Clients erkennen soll.
  • IPv6 Support für das AIP SSM Modul.
  • Eine Security Services Card (SSC) für die 5505. Jetzt kann auch auf der kleinen ASA Intrusion Prevention betrieben werden, auch wenn die Funktionalität dieses Moduls gegenüber der AIP-SSMs oder der 4200er Sensoren eingeschränkt ist. Mal sehen, wie teuer das Modul wird.
  • Der AnyConnect-Client ist jetzt in einer “Essentials”- und in einer “Premium”-Version vorhanden.
  • Ein Lizenz-Server, um SSL-Lizenzen auf eine größere Anzahl von ASAs aufzuteilen. Wie es aussieht, hilft es aber nicht gegen die Lizenz-Verschwendung beim Active/Standby Failover.
  • SNMPv3
  • Cisco NetFlow Secure Event Logging
  • TCP state bypass
Cisco ASA Software 8.2

Cisco ASA 8.0 Layer7 Inspections

Die Layer7-Protokoll-Inspizierungen lassen sich auf der ASA per ASDM recht komfortabel konfigurieren. Manchmal kommt man aber an der Kommandozeile nicht vorbei. Um die Verwendung der Komponenten innerhalb der L7-Policy etwas besser zu verstehen, habe ich ein Diagramm angefertigt, das die Verbindungen der Komponenten untereinander darstellt.

Download: asa-policy-thumb

Cisco ASA 8.0 Layer7 Inspections

ASA v8.0(4)

Cisco ASA 5505Für die Cisco ASA gibt es die neue Software-Version 8.0(4). Ein Neuerung, die Anfang April schon in die Version 7.24 Einzug gehalten hat, finde ich besonders wichtig: Die ASA 5505 unterstützt jetzt auch das native VLAN auf einem 802.1q-Trunk, was bisher nicht ging (ok, im Interims-Release 8.0.3(6) war es auch schon drin). Jetzt kann man endlich auf einen Autonomous Access-Point mit mehreren VLans zugreifen, dessen Management-BVI im native VLan ist.

Die restlichen Neuerungen sind aber auch nicht schlecht:
Cisco ASA 5500 Series Release Notes Version 8.0(4)

ASA v8.0(4)