Networking
Planet WGWS-50040 Switch und Port Security
by admin on Oct.16, 2015, under Knowledgebase, Networking, Planet, Switches
Die Port-Security eines WGWS-50040 Switches ist ein bisschen eine eigene Sache…..
#interface Ethernet 1/1
#switchport port security
Enable port security function on port1, for more detail information
Connect device to port 1 which you want, make sure port 1 learn MAC address successful, Switch#show mac-address-table.
#interface Ethernet 1/1
#switchport port security lock
Stop MAC address learning function on port1, for more detail information
#switchport port-security convert
Conveters dynamic secure MAC address learned by the port to static MAC address, for more detail information
Sonicwall NAT Loopback Policy
by admin on Mar.30, 2015, under Firewalls, Knowledgebase, Kommunikation, Networking
Original Source: LAN Subnets
Translated Source: WAN Primary IP
Original Destination: (WAN server object)
Translated Destination: (LAN server object)
Original Service: Any
Translated Service: Original
Inbound Interface: LAN Interface
Outbound Interface: Any
Sophos UTM – 9.2xx to 9.304 up2date fails
by admin on Mar.30, 2015, under Firewalls, Knowledgebase, Networking, Security
gefunden auf:
http://www.sophos.com/en-us/support/knowledgebase/121765.aspx
Issue
Updating between minor UTM version releases is failing
First seen in
Sophos UTM
Cause
All updates on the UTM are applied sequentially, for example 9.200 updates to 9.201 before updating to 9.202. Upgrading issues can arise when an upgrade path between two minor versions is offered for example 9.2 to 9.3. Dependant on the speed in which the updates are installed to your UTM, you may be left with two upgrade routes, one of which will be invalid. An example of this would be if your UTM has downloaded the upgrade file between 9.209 and 9.300 but never applied this update, the files would remain on your system. After a few weeks 9.209 to 9.210 may have been released creating a second path based on revision version rather than minor version. If you install this update the scripts will also try to install 9.209 – 9.300 which is no longer valid because you are already running on a more recent version.
(note – Since 9.211 was released, the upgrade package from 9.210 to 9.304 was removed. You now need to upgrade from 9.210 to 9.211, and then to 9.304)
What To Do
- Log into the WebAdmin of your UTM and temporarily disable automatic updating
- Log into the UTM shell of the UTM and escalate your user rights to root
- Using the following commands remove the redundant packages from these locations.
# rm -rf /var/up2date/sys-install/*
# rm /var/up2date/sys/*
# rm /var/up2date/.queue/*
- Change your location to the /var/up2date/sys location
# cd /var/up2date/sys
- Download the correct update file available from the download server. The example below works for 9.211 to 9.304
# wget http://download.astaro.com/UTM/v9/up2date/u2d-sys-9.211003-304009.tgz.gpg
- Run the installation using the command:
# auisys.plx
- Re-enable automatic updating on the UTM
If your UTM is using High Availability, you may also need to remove these same files from the slave node as well. When remotely accessing an HA cluster you can move to the slave node through the command # ha_utils ssh
and when prompted enter the passwords. The same procedure as above can then be used to resolve the updating issues but with the difference that the update files need to be downloaded on the master, and then copied to the slave using SCP. From the master, after you have run a wget of the up2date files, run the command ‘hs’ to identify the ‘cluster IP’ of the Slave node which will either end with a 1 or 2 depending on which node is the Master. The output will look similar to this:
<M> fw1:/root # hs
Current mode: CLUSTER MASTER with id 1 in state ACTIVE
— Nodes ———————————————————————–
MASTER: 1 node1 198.19.250.1 9.210020 ACTIVE since Sat Jan 24 17:40:43 2015
SLAVE: 2 Node2 198.19.250.2 9.210020 UP2DATE since Thu Jan 29 13:03:58 2015
Taking the slave’s IP run the SCP command below from the directory in which the up2date files you wish to copy to the slave are located.
scp u2d-sys-9.210020-304009.tgz.gpg loginuser@198.19.250.2:/home/login
Then enter the password for ‘Loginuser’ – Note that whilst the slave is in status ‘up2date’ no config changes are sync’d across, so if the shell passwords were changed after the problem happened, the slave will still be using the old password.
After the files are copied across, use the command ‘ha_utils ssh
‘ to switch to the slave, then move the files copied from the master, to the up2date location as follows:
mv /home/login/u2d-sys-9.210020-304009.tgz.gpg /var/up2date/sys
Now you can run auisys.plx on the slave.
Resetting Cisco Catalyst 29XX to factory settings
by admin on Feb.26, 2015, under Cisco, Knowledgebase, Kommunikation, Networking, Switches
Grundkonfig löschen:
Cat2950# delete flash:vlan.dat
Delete filename [vlan.dat]?
!— Press Enter.
Delete flash:vlan.dat? [confirm]y
Cat2950# reload
Proceed with reload? [confirm]y
4w5d: %SYS-5-RELOAD: Reload requested
VLAN DB löschen:
Cat2950# delete flash:vlan.dat
Delete filename [vlan.dat]?
!— Press Enter.
Delete flash:vlan.dat? [confirm]y
Cat2950# reload
Proceed with reload? [confirm]y
4w5d: %SYS-5-RELOAD: Reload requested
wo finde ich bei einer Sophos UTM das Proxy CA für Https inspection?
by admin on Oct.08, 2014, under Firewalls, Knowledgebase, Networking
wo finde ich bei einer Sophos UTM das Proxy CA für https inspection?
einfach
https://passthrough.fw-notify.net/cacert.pem
browsen und diese dann bei “vertrauenswürdige Herausgeber” importieren.
Test if you are behind a proxy
by admin on Jun.19, 2014, under Firewalls, Knowledgebase, Networking, Security
nützliche Site, um zu testen, ob man sich hinter einem Proxy befindet.
http://www.lagado.com/proxy-test
WPS vs Reaver – per Knopfdruck….
by admin on Oct.27, 2013, under Knowledgebase, Networking, Router, Security
mit WLAN verbinden, einfach und schnell…so preisen es die Provider an. Genau so schnell kann man sich dies auch zunutzen machen. Ein WPA-Key zu bruteforcen ist grundsätzlich keine grosse Sache. Der Erfolg hängt natürlich von einer ordentlichen Wordlist ab. Je komplizierter der Key ist, desto länger dauert es, den Key zu knacken. Wäre da nicht das Feature WPS, dass die einfache, faule Anbindung von Devices anbietet. Der hart auserkorene WPA2 Key kann relativ schnell umgangen werden. Der WPS Key ist meist eine 6stellige Zahl..und darum leicht zu bruteforcen.und so geht es.
1. Backtrack starten, WLAN-Adapter in den Monitor-Mode versetzen.
<Airmon-ng Start wlan0>
2. mit wash checken, welche WLAN Router anfällig sind.
<wash -i mon0>
Der WLAP muss auf “WPS Locked NO” stehen.
3. Mit Reaver den Key durchackern.
<reaver -i mon0 -b BSSID -vv -x 60>
Ich musste die Intervalle zwischen den Anfragen auf 60 Sekunden setzen, da das arme DLINK-Ding sonst schwer überfordert war und crashte.
Der Key war nach ca. 3h gefunden und der PSK wird gerade mitgegeben. Schnell und einfach per Knopfdruck mit den WLAN verbinden….:-)
Fazit zur Absicherung seines WLAN’s:
– KEIN WLAN betreiben:-) oder
– WPA Key bedacht wählen ( Sonderzeichen, keine ganzen im Duden findbare Wörter, möglichst viele Zeichen
– WPS Feature deaktivieren
– regelmässig die Firmware updaten
– MAC Access Liste ( eine Hürde mehr, aber meiner Meinung nach für die Füchse)
Inter-VLAN Trunking zwischen einem Cisco 3750 und HP ProCurve 2910al
by admin on May.16, 2013, under Cisco, H3c Switches, Hardware, Kommunikation, Networking, ProCurve, Router, Switches
Ich stand von der Aufgabe, einen Layer 3 HP ProCurve 2910al mit einem Cisco 3750 (ebenfalls Layer 3) Switch mittels VLAN-Trunking zu koppeln. Da der Cisco Switch nur noch als “ACCESS-Switch gebraucht wurde” musste ich ihn zuerst mit
<no ip Routing> zu einem Layer 2 Switch degradieren.
Der DOT1Q Trunk war schnell erstellt und die Kommunikation der VLANs untereinander funktionierte fast einwandfrei. Das einzige Problem war, dass die MGMT IPs im VLAN1 einander nicht pingen konnten.
Bei einem HP ProCurve Switch sieht ein Trunk Port normalerweise so aus:
In diesem Fall hängt am Port 3 und Port 6 ein weiterer HP ProCurve Switch. Die Kommunikation der nativen MGMT IPs funktioniert in diesem Fall, da der am anderen Ende des Trunk stehende Switch ebenfalls das native VLAN1 hat.
Wenn jedoch am anderen Ende des Schlauches ein Cisco Switch steht, der zwar ebenfalls das VLAN1 als natives VLAN hat, dann funktioniert zwar die Inter-VLAN Kommunikation, aber die MGMT IPs sehen einander nicht….komisch eigentlich…den
<sh cdp neighbors> auf dem HP Switch gibt folgenden Output:
Der gleiche Befehl auf dem Cisco Switch zeigt keinen Partner an.
Die Lösung lag wie immer in einem kleinen Detail. Der Uplink Port durfte auf dem MGMT VLAN nicht TAGGED sein, sondern UNTAGGED. 1 Klick und die Kommunikation war gewährleistet. Die restlichen VLANs, welche über den Port weitergegeben werden sollen müssen auf TAGGED belassen werden.
Sample Konfig HP ProCurve (Port 6 ist Trunk Port):
vlan 1
name “Netzwerk-Komponenten”
untagged 6 (uplink port)
ip address x.x.x.x x.x.x.x
exit
vlan XXX
name “TESTVLAN”
ip address x.x.x.x x.x.x.x
tagged 6
Sample Konfig Cisco (Port Gig1/0/2 ist Trunk Port):
interface GigabitEthernet1/0/2
switchport trunk encapsulation dot1q
switchport mode trunk
switchport nonegotiate
mls qos trust dscp
spanning-tree portfast trunk
interface Vlan1
description Netzwerk-Komponenten
ip address x.x.x.x x.x.x.x
no ip route-cache
!
und so klappts auch mit dem Nachbar!!
simpler ScriptBackp von ProCurve Switches
by admin on Apr.11, 2013, under Hardware, HP, Knowledgebase, Networking, ProCurve, Switches
Hier eine simple Variante um Backups von HP ProCurve Switches via Script zu erstellen. Dazu braucht es das Tool pscp von Putty.
http://www.chiark.greenend.org.uk/~sgtatham/putty/download.html
<pscp -scp -l USERNAME -pw PASSWORD -2 192.168.1.10:cfg/running-config d:\switch.cfg>
Allenfalls muss noch der ssh file Transfer auf dem Switch aktiviert werden.
<conf t>
<ip ssh filetransfer>
Firewall loopback policy (Astaro)
by admin on Dec.20, 2012, under Firewalls, Knowledgebase, Networking
Möchte man von einem internen Subnetz eine von der eigenen Firewall verwaltetet öffentliche IP Adresse erreichen, dann funktioniert das intern NAT nicht wie gewünscht. Bei einer Astaro Firewall schafft folgende NAT Rule Abhilfe. Das Beispiel erlaubt dem internen WLAN Subnetz, den https Ports des Mailservers für Exchange Active Sync zu benutzen.
Datenverkehrsquelle => Quelle Subnetze (z.B. WLAN SN)
Datenverkehrsdienst => HTTPs (z.B. für EAS)
Datenverkehrsziel => öffentliche IP des Zielservers
NAT Modus => volles NAT
Ziel => interne IP des Zielservers
Quelle => öffentliche IP des Zielservers