Cisco ASA und Policy-based Routing (PBR)

Dieses Feature ist vermutlich eines, auf das sehr viele Admins gewartet haben. Endlich ist es (in Version 9.4(1)) implementiert:

Policy Based Routing

Policy Based Routing (PBR) is a mechanism by which traffic is routed through specific paths with a specified QoS using ACLs. ACLs let traffic be classified based on the content of the packet’s Layer 3 and Layer 4 headers. This solution lets administrators provide QoS to differentiated traffic, distribute interactive and batch traffic among low-bandwidth, low-cost permanent paths and high-bandwidth, high-cost switched paths, and allows Internet service providers and other organizations to route traffic originating from various sets of users through well-defined Internet connections.
We introduced the following commands: set ip next-hop verify-availability, set ip next-hop, set ip next-hop recursive, set interface, set ip default next-hop, set default interface, set ip df, set ip dscp, policy-route route-map, show policy-route, debug policy-route

Cisco ASA und Policy-based Routing (PBR)

Cisco ASA: Public-Key-basierte SSH-Logins

Die Router bieten schon längere Zeit (ab IOS 15.0) die Möglichkeit, sich per Public-Key-Authentifizierung anzumelden. Inzwischen besteht auch auf der ASA ab Version 8.4(4.1) diese Möglichkeit:

asa(config)# username test attributes
asa(config-username)# ssh authentication publickey ?

username mode commands/options:
  WORD  Raw SSH-RSA public key
asa(config-username)# ssh authentication publickey 

Nachdem man hier seinen Public-Key eingefügt hat, kann man sich per SSH ohne Angabe eines Passwortes mit der ASA verbinden.

Cisco ASA: Public-Key-basierte SSH-Logins

Der ASDM-Launcher für Mac OS

Vor kurzem ist mir das erste Mal aufgefallen, dass auch beim ASA-Zugriff per Safari unter Mac OS der ASDM-Launcher angeboten wird:

Der ASDM-Launcher war bisher eine Win-only-Software und für den Mac nicht verfügbar. Ein Klick auf “Install ASDM Launcher” aber lädt eine .DMG-Datei herunter, die auch auf dem Mac den ASDM-IDM-Launcher installiert:

Auch diese Software basiert natürlich auf Java und den Punkt “Run in Demo-Mode” sollte man nicht überbewerten:

Die Demo-Software ist weiterhin nur als .MSI für Windows verfügbar.

Der ASDM-Launcher für Mac OS

Überprüfen von ASA-Konfigurationen

Bisher galt Nipper als Werkzeug der Wahl, um Router-Konfigurationen zu überprüfen. Für die Cisco ASA kommt mit Flint ein neuer Kandidat ins Spiel, der recht zuversichtlich aussieht.
Flint kann als fertige VM heruntergeladen oder aber aus den Sourcen installiert werden. Über ein Web-Interface übergibt man die ASA-Konfiguration, die dann auf Konfigurations-Probleme untersucht wird.
Noch merkt man Flint den frühen Versions-Stand (aktuell 1.0.4) an. Ein paar Bugs sind noch drin, Probleme werden angeprangert, die nicht wirklich Probleme sind und manche Konfigurationszeilen kann Flint überhaupt nicht analysieren. Trotzdem sollte Flint in keiner Werkzeugkiste eines ASA-Admins fehlen. Und auch Benutzer anderer Firewalls sollen Flint später benutzen können. Laut Readme ist die Unterstützung von Cisco IOS, BSD PF und Linux IP-Tables geplant.

Den Hinweis auf Flint habe ich auf darknet.org.uk gefunden.

Überprüfen von ASA-Konfigurationen

Cisco ASA Software 8.2

Dem Cisco Security Monthly Newsletter nach ist die neue Version 8.2 jetzt verfügbar. Eben konnte ich sie im Download-Center zwar noch nicht herunterladen, aber jetzt kann es nicht mehr lange dauern.

Aus der Unmenge an Neuigkeiten, wobei vieles auch Voice betrifft, finde ich die folgenden neuen Funktionen am interessantesten:

  • Ein Botnet-Filter, der infizierte Clients erkennen soll.
  • IPv6 Support für das AIP SSM Modul.
  • Eine Security Services Card (SSC) für die 5505. Jetzt kann auch auf der kleinen ASA Intrusion Prevention betrieben werden, auch wenn die Funktionalität dieses Moduls gegenüber der AIP-SSMs oder der 4200er Sensoren eingeschränkt ist. Mal sehen, wie teuer das Modul wird.
  • Der AnyConnect-Client ist jetzt in einer “Essentials”- und in einer “Premium”-Version vorhanden.
  • Ein Lizenz-Server, um SSL-Lizenzen auf eine größere Anzahl von ASAs aufzuteilen. Wie es aussieht, hilft es aber nicht gegen die Lizenz-Verschwendung beim Active/Standby Failover.
  • SNMPv3
  • Cisco NetFlow Secure Event Logging
  • TCP state bypass
Cisco ASA Software 8.2

Cisco ASA 8.0 Layer7 Inspections

Die Layer7-Protokoll-Inspizierungen lassen sich auf der ASA per ASDM recht komfortabel konfigurieren. Manchmal kommt man aber an der Kommandozeile nicht vorbei. Um die Verwendung der Komponenten innerhalb der L7-Policy etwas besser zu verstehen, habe ich ein Diagramm angefertigt, das die Verbindungen der Komponenten untereinander darstellt.

Download: asa-policy-thumb

Cisco ASA 8.0 Layer7 Inspections

ASA v8.0(4)

Cisco ASA 5505Für die Cisco ASA gibt es die neue Software-Version 8.0(4). Ein Neuerung, die Anfang April schon in die Version 7.24 Einzug gehalten hat, finde ich besonders wichtig: Die ASA 5505 unterstützt jetzt auch das native VLAN auf einem 802.1q-Trunk, was bisher nicht ging (ok, im Interims-Release 8.0.3(6) war es auch schon drin). Jetzt kann man endlich auf einen Autonomous Access-Point mit mehreren VLans zugreifen, dessen Management-BVI im native VLan ist.

Die restlichen Neuerungen sind aber auch nicht schlecht:
Cisco ASA 5500 Series Release Notes Version 8.0(4)

ASA v8.0(4)

ASA 5580 Hardware und Software

Die letzte Zeit habe ich versucht, mehr über die neue ASA 5580 zu erfahren. Leider sind die öffentlich zugänglichen Informationen noch recht spärlich. Eine sehr gute Übersicht gibt es im Video Data Sheet.
Was hört und sieht man dort:

  • Die ASA 5580-20 kann einfach auf die ASA 5580-40 aufgerüstet werden
  • Keine Festplatten, aber Slots für zukünftige Erweiterungen
  • Das Gerät kommt mit einer Solid-State-Disk
  • Die zwei USB-Slots sind — wie schon bei der PIX — auch für zukünftige Erweiterungen
  • Netflow v9-Support

Weiterhin ist zu finden, daß die ASA 5580 ein Multi-Core, Multiprozessor-Gerät ist. Das lässt vermuten, daß das Upgrade von der 5580-20 auf die 5580-40 mit einem Prozessor- und Speicher-Upgrade gemacht werden kann. Die Software wurde so erweitert, daß sie jetzt multithreadingfähig ist. Vermutlich war das auch ein Grund für den Schwenk von dem alten Betriebssystem Finesse auf Linux, was ab der ASA v8 zum Einsatz kommt.

ASA 5580 Hardware und Software

EOS/EOL für die Cisco PIX angekündigt

Die Spatzen haben es schon länger von den Dächern gepfiffen. Jetzt hat Cisco den längst überfälligen Schritt getan und die EOS/EOL Daten der PIX angekündigt:

pixeol.png

Für neue Geräte gibt es IMO schon länger keinen Grund mehr für die PIX. Aber die alten Geräte wegzuwerfen ist natürlich auch nicht nötig, der Support läuft ja noch bis 2013. Wie es mit neuen Features weitergeht ist natürlich fraglich, vor allem seit mit der Version 8 keine gemeinsame Code-Basis mit der ASA mehr besteht.

EOS/EOL für die Cisco PIX angekündigt