Asa

o ile wielokrotnie wspominałem już, że routing dynamiczny na firewallu jest proszeniem się o kłopoty, czasami nie ma innego wyjścia. w Cisco nie rekomendujemy używania ASA czy FTD do routing BGP z pełną tablicą. nie dlatego, że się do tego nie nadają, a dlatego, że nie jest to po prostu dobra praktyka w budowaniu, wymiarowaniu i prawidłowej inżynierii sieciowej. poniżej przykłada z testowania w domowym labie klastra składającego się z pary ASA 5516-X, pracujących z oprogramowaniem. klaster dwóch takich ASA otrzymuje sesje BGP z pełnym widokiem światowym z mojego routera brzegowego - ASRa 1001X: ...

gdzieś w okolicach 2013 roku (a konkretnie, na ‘małego’ Mikołaja) do OpenSSH dodano obsługę nowego formatu przechowywania kluczy. jest to istotne o tyle, że nowy format pozwala zmienić używany do tej pory hash MD5 (baaaaaardzo szybko i efektywnie przeszukiwany przez dzisiejsze GPU) na inny. w tym konkretnym przypadku używamy modyfikacji algorytmu bcrypt, która w popularnym ‘łamaczu’ hashy hashcat zwalnia wielbiciela naszego hasła do klucza prywatnego z wydajności gigahashy na co najwyżej kilohashe. ...

OpenSSH 7 przyniósł między innymi wycofanie dla wsparcia mechanizmu wymiany kluczy za pomocą grupy 1 Diffie-Hellmana diffie-hellman-group1-sha1 (można ją zaatakować za pomocą Logjam). wszystko dobrze, do czasu próby dostania się potem do urządzeń, które domyślnie (lub w ogóle) obsługują tylko wymianę grupy 1. w drugim wypadku czeka nas uaktualnienie oprogramowania, w pierwszym - rekonfiguracja. na urządzeniach Cisco ASA należy dopisać do konfiguracji: ssh key-exchange group dh-group14-sha1 na urządzeniach z Cisco IOS/IOS-XE należy ustawić minimalną długość kluczy - IOS domyślnie iteruje z listy dostępnych mechanizmów i pominie (jako serwer) te, które nie spełniają tego wymogu: ...

temat stary jak świat, ale właśnie musiałem zrobić trochę porządków i trafiłem na problem z kluczami… 4096 bitowymi. bardziej dla własnej informacji, ale być może komuś to zebrane w jednym miejscu się przyda. klucze do Cisco IOS importuje się bez specjalnego problemu: router#conf t Enter configuration commands, one per line. End with CNTL/Z. router(config)#ip ssh pubkey-chain router(conf-ssh-pubkey)#username TEST router(conf-ssh-pubkey-user)#key-string router(conf-ssh-pubkey-data)#AAAAB3NzaC1yc2EAAAADAQABAAACAQDCiLBaopUwsFb9YJNhGqVYqBajlrH S/zwD6/yR6N8VcRzrpqMMNCFXe1q5GMGM[...]ANWInd9GHBjTzbJWVwavxy1ooQewii8ErofZuv1l/SXSdXLzfL p0zMoZ0L+BNPS0j4XBS0N3t8Vl8oVixqIeG2BNTCNaDDt6hx2Q== lukasz@bromirski.net router(conf-ssh-pubkey-user)#exit router(conf-ssh-pubkey)#exit dla Cisco ASA klucze powyżej 2048 bitów trzeba zaimportować używając formatu pkf - ponieważ linia poleceń ma ograniczenie do 512 bajtów. żeby przygotować klucz publiczny w formacie używanym przez OpenSSH takim jak ten: ...

…wspiera BGP. właśnie wyszła. lubicie BGP na swoich firewallach? ja nie. czy warto mieć takie narzędzie w ręce? przyznaje, czasem warto. ale wracając do pierwotnego pytania - lubicie BGP na swoich firewallach?