lukasz.bromirski.net

aviate, navigate, communicate

openssh i klucze - bezpieczne klucze

gdzieś w okolicach 2013 roku (a konkretnie, na ‘małego’ Mikołaja) do OpenSSH dodano obsługę nowego formatu przechowywania kluczy. jest to istotne o tyle, że nowy format pozwala zmienić używany do tej pory hash MD5 (baaaaaardzo szybko i efektywnie przeszukiwany przez dzisiejsze GPU) na inny. w tym konkretnym przypadku używamy modyfikacji algorytmu bcrypt, która w popularnym ‘łamaczu’ hashy hashcat zwalnia wielbiciela naszego hasła do klucza prywatnego z wydajności gigahashy na co najwyżej kilohashe. czytaj dalej →

kluczami, nie hasłami

temat stary jak świat, ale właśnie musiałem zrobić trochę porządków i trafiłem na problem z kluczami… 4096 bitowymi. bardziej dla własnej informacji, ale być może komuś to zebrane w jednym miejscu się przyda. klucze do Cisco IOS importuje się bez specjalnego problemu: router#conf t Enter configuration commands, one per line. End with CNTL/Z. router(config)#ip ssh pubkey-chain router(conf-ssh-pubkey)#username TEST router(conf-ssh-pubkey-user)#key-string router(conf-ssh-pubkey-data)#AAAAB3NzaC1yc2EAAAADAQABAAACAQDCiLBaopUwsFb9YJNhGqVYqBajlrH S/zwD6/yR6N8VcRzrpqMMNCFXe1q5GMGM[...]ANWInd9GHBjTzbJWVwavxy1ooQewii8ErofZuv1l/SXSdXLzfL p0zMoZ0L+BNPS0j4XBS0N3t8Vl8oVixqIeG2BNTCNaDDt6hx2Q== lukasz@bromirski.net router(conf-ssh-pubkey-user)#exit router(conf-ssh-pubkey)#exit dla Cisco ASA klucze powyżej 2048 bitów trzeba zaimportować używając formatu ‘pkf’ - ponieważ linia poleceń ma ograniczenie do 512 bajtów. czytaj dalej →

IOS shell

jeśli do tej pory nie mieliście okazji zauważyć, w linii 15M wprowadzony został shell IOS. uruchomienie tej funkcjonalności sprowadza się do banalnego: teraz dodatkowe polecenia i możliwości stoją przed Wami otworem. działają typowe dla systemów unixowych polecenia oraz rozszerzenia poleceń, w tym zagnieżdżony grep :) dla wszystkich, którzy przyzwyczaili się pod IOS-XR do obsługi dodatkowych poleceń, to zapewne miła wiadomość :) czytaj dalej →

15.2(3)T wyszedł, IOS-XE 3.6S również

…a w nim masa nowości dostępnych bądź po raz pierwszy w ogóle (MediaTrace 2.0, IPv6 dla danych w GETVPN, nowe rozszerzenia IPv6 dla IP SLA, dalsze rozszerzenia dla LISPa), bądź po raz pierwszy na platformach “programowych” Cisco - takich jak ISRy G2 (BGP PIC Edge i Core, BGP route-server, Multicast Live-Live). całość znajdziecie tutaj. w tym samym czasie pojawił się IOS-XE 3.6S, w którym również pojawia się wiele “wyrównań” funkcjonalności jeśli chodzi o IPv6, w tym funkcjonalność CGN - Carrier Grade NAT. czytaj dalej →

10GE pod strzechy

jak zapewne wiadomo, wygląda na to, że dopiero teraz dosyć dynamicznie udział portów 1GE wzrasta (głównie dzięki montowanym na płytach głównych tanim układom firm Realtek, Marvell a w serwerach Broadcom i Intel). z drugiej strony, przepustowości i apetyt na nie rośnie, w szczególności gdy robimy wiele rzeczy i to pasmożernych - np. oglądamy wideo FullHD z NASa, przy okazji kolejne takie lub nawet parę streamuje się do rozstawionych po domu odtwarzaczy (tego jeszcze nie robię, ale wygląda na to, że ostatnio robią to wszyscy). czytaj dalej →

bgp w labie

dawno dawno temu, zabawa z BGP (samo nieco ironiczne tłumaczenie tego akronimu jako Bardzo Groźny Protokół zdaje się zdradzać w którą stronę podąża ten akapit) była zdecydowanie zarezerwowana dla wtajemniczonych tego świata, którzy nieco jak Lemowski Trurl i Klapaucjusz naśmiewali się z niewiedzy, ale z drugiej strony sami tą wiedzą się nie dzielili. potem zmieniło się wiele, opary w jaskiniach wiedzy nieco się rozrzedziły, pojawiły się kursy, certyfikacje, elitarne a potem masowe kursy - i nagle BGP ma w domu każda gospodyni domowa, gdyż bez niego nie wrzuci sobie via bluetooth nowego kontaktu do komórki. czytaj dalej →

1941w i jego konfiguracja

…nie musi być banalna. z uwagi na wielokrotnie większą wydajność (300kpps, miało tyle stare NPE300 do 7200!) zmieniłem właśnie router 1803w na 1941w właśnie. niestety, CCO lekko zaniemogło z wyprodukowaniem przykładowej, sensownej konfiguracji, w związku z tym wziąłem sprawy w swoje ręce - ARTG czyli organizacja odpowiedzialna za te routery ma niebawem na CCO coś opublikować, a w międzyczasie można skorzystać z gotowca tutaj. czytaj dalej →

ip sla i shell scripting

miałem wczoraj problem - na szybko potrzebowałem wygenerować minimum paręnaście pakietów na sekundę pomiędzy dwoma urządzeniami (konkretnie - przełącznikiem 3550 i 4900M), a oba stały sobie daleko od różnych przyjaznych serwerów z hpingiem, pingiem z opcją milisekundowego zalewania ruchem, etc. zadanie nie było banalne, bo ten ruch miał trwać parę godzin, więc ping z linii poleceń nie jest szczególnie przydatny. rozwiązanie było w miarę oczywiste - ip sla. ponieważ to 4900M miał być testowany, na 3550 wygenerowałem dwa VRFy: czytaj dalej →

4B ASNy, RIPE i IOS

na poprzednim PLNOGu podyskutowaliśmy sobie dosyć szeroko w trakcie iście apokaliptycznych sesji o wyczerpywaniu się przestrzeni adresowej IPv4 o wyczerpywaniu się przestrzeni adresowej 2 bajtowych numerów systemów autonomicznych. jakiś czas temu pojawił się Cisco IOS w wersji 12.4(24)T, który wprowadza wcześniej niż to planowaliśmy wsparcie dla 4 bajtowej notacji ASN na platformy takie jak routery ISR (1800/2800/3800) oraz 7200. możliwe staje się zatem po otrzymaniu od RIPE 4-bajtowego numeru AS poprawne skonfigurowanie swojego systemu autonomicznego i jego poprawne rozgłaszanie (od 1ego stycznia 2009 RIPE domyślnie rozdaje ASNy 32-bitowe). czytaj dalej →