Thoughts on Cybersecurity, Wi-Fi and some other stuff
Ein großer Vorteil der Cisco Remote-Access VPN-Lösung war bisher, dass die Lizenzierung recht einfach war und nicht pro PC bezahhlt werden musste, auf dem der AnyConnect Client installiert war. Natürlich gab es auch Ärgernisse, z.B. dass AnyConnect Essentials und AnyConnect Premium nicht gemischt werden konnte. Mit den aktuellen Änderungen für
Beim letzten Beitrag zur SSH-Konfiguration unter Cisco IOS und Cisco ASA fiel mir noch ein, dass man über sinnvolle Anpassungen der Client-Konfiguration auch mal schreiben sollte. Zumindest unter MacOS (und mindestens auch unter Debian und älterem Ubuntu Linux) wird standardmäßig nicht immer die optimale Kryptographie verwendet. Die SSH-Parameter können an
Ab und zu erschrecke ich doch was Cisco-Mitarbeiter so verzapfen. Jetzt hat gerade einer in der Cisco Support-Community ein Dokument zur Konfiguration von SSH auf der ASA veröffentlicht. Und da liest man z.B., dass die Keysize von 1024 Bit benutzen werden soll. Und nichts weiter zu heutigen “Best Practices” der
Es hat recht lange gedauert, aber im Patch 3 unterstützt der Cisco Context Directory Agent (CDA) endlich auch Windows Server 2012R2. Der neue Patch ist im Download-Bereich der ASA zu finden. Download Release-Notes
Bei dieser Version gibt es mal wieder eine Reihe sehr interessanter Neuerungen. Produktiv würde ich so eine frische Software zwar meist nicht einsetzen, aber wenn die ersten Bugs erstmal raus sind, dann wird es sehr interessant. Für welche ASAs gibt es die neue Software: Alle Nutzer der “Legacy”-ASAs (das sind
Jeder Router, der mit dem Internet verbunden ist, sollte mit einer eingehenden Access-Liste (ACL) auf dem externen Interface konfiguriert sein, der den Zugriff auf den Router einschränkt. In diesem Beitrag zeige ich, wie so eine ACL aussehen kann. Anmerkung1: Die gezeigte Konfig gilt nur für IOS-Versionen 12.4+. Bei älteren IOS-Releases
In dem Cisco Support-Forum kommt regelmäßig die Frage, wie man per VPN Spoke-zu-Spoke Kommunikation über den Hub leiten kann. Diese Konfiguration wird hier gezeigt. Vorweg aber der Hinweis, dass bei Vorhaben wie diesen, IOS-Router oftmals die bessere Wahl sind, da sie dabei um ein vielfaches flexibler sind als die ASA.
Der Untergang von MD5 ist nicht aufzuhalten. Zwar sehe ich auch heute noch immer wieder neue VPN-Konfigs, die mit MD5 arbeiten, aber nach und nach wird auch im Cisco IOS die Verwendung von MD5 reduziert. Während früher lokale Passwörter mit MD5 gehashed wurden, wird in aktuellen IOS-Versionen dafür SHA256 verwendet,
Die Router bieten schon längere Zeit (ab IOS 15.0) die Möglichkeit, sich per Public-Key-Authentifizierung anzumelden. Inzwischen besteht auch auf der ASA ab Version 8.4(4.1) diese Möglichkeit: asa(config)# username test attributes asa(config-username)# ssh authentication publickey ? username mode commands/options: WORD Raw SSH-RSA public key asa(config-username)# ssh authentication publickey Nachdem man hier
Vor kurzem ist mir das erste Mal aufgefallen, dass auch beim ASA-Zugriff per Safari unter Mac OS der ASDM-Launcher angeboten wird: Der ASDM-Launcher war bisher eine Win-only-Software und für den Mac nicht verfügbar. Ein Klick auf “Install ASDM Launcher” aber lädt eine .DMG-Datei herunter, die auch auf dem Mac den