Author:


Cisco WSA – interdire spécifiquement un site web et changer la page de notification

Posted by – May 6, 2014

De temps en temps, il m’arrive de me perdre dans les méandres d’Internet et il me faut un petit coup de pouce pour me remettre dans le droit chemin.

Avec Cisco WSA (Web Security Appliance), un proxy web, nous avons une solution interessante:

More

Copie en SCP depuis et vers un Cisco

Posted by – November 16, 2013

Recuperer des fichiers, IOS, conf, crashdump ou autre depuis un equipement Cisco peut se faire de plusieurs manieres: tftp, ftp, http… ma prefere etant SCP.

Dans un article precedent, j’expliquais comment configurer SSH.

Ici, je me suis butte a une erreur embetante mais assez simple a resoudre.

More

Botnet & 100% CPU

Posted by – November 15, 2013

Il y a quelques jours, je recois un appel d’un client. Plus d’internet, plus de partage reseaux, plus de telephone vers l’externe : La panique!

Hop, je lance putty, j’arrive a me connecter a l’equipement. Premier check que je fais, le CPU et on dirait que j’ai bien fait

 

Il semblerait que le probleme soit la depuis un petit bout de temps. Mais pas de bol, je perds ma session ssh au bout de quelques minutes. A peine eu le temps de regarder ce qui pouvait causer ce probleme:

En affichant la liste des processus, je vois:

Le point interessant ici a voir est la valeur a gauche du slash. Cette valeur indique le % d’utilisation du CPU cause par les interrupts. Il existe plusieurs raisons pour lesquelles un routeur peut etre surcharge par des interrupts.

CEF etant active, pas d’interface ATM, je pars du principe qu’il n’y a pas de bug dans l’IOS et je ne vois aucune erreur d’alignements, il reste donc un choix possible: le routeur est surcharge de trafic.

Le seul probleme dans ce cas, c’est que je perds la main assez souvent du coup il me faut un autre moyen pour recuperer les infos. Avec de l’EEM, je vais pouvoir recuperer un tas d’infos

Le script suivant va me permettre de monitorer l’utilisation CPU toutes les 0.5 sec et lorsque la valeur atteint 70% on declenche les actions qui suivent:

Un event syslog, et la recuperation d’infos qui vont directement dans un fichier sur la flash.

Pour info, l’EEM est actif a partir du moment ou l’event est cree, pas besoin de commandes supplementaires.

Une fois que j’ai recupere le fichier, je peux l’analyser et je m’apercois plusieurs choses. La premiere chose est que l’event a ete declenche de nombreuses fois, ensuite j’ai pu voir les infos suivante sur une des interfaces et les memes valeurs mais en output sur une autre interface.

Du coup, je me decide de concentrer mes recherches sur l’interface qui recoit le trafic, pour aller jusque la source. Cette interface se trouve etre une interface de mon reseau local. Il y a donc un flood provenant de l’interieur.

Apres 2/3 analyses rapides, il existe 3 machines sur ce sous-reseau, qui sont des serveurs. En utilisant de l’EPC, Embedded Packet Capture, je peux effectuer une capture de packet directement sur mon interface et analyser le trafic qui est forward. En mettant en place un buffer lineaire d’une taille suffisante et en filtrant la source je vais pouvoir capturer un echantillon. J’utilise donc encore de l’EEM pour activer la capture car lors d’un burst CPU je perds la main

 

On recupere le fichier par scp, premierement on active la fonctionnalite sur le routeur:

Et avec un client scp classique j’ouvre le fichier et la je vois des choses interessantes:

La premiere choses est qu’il y a un nombre impressionant de requetes/sec provenant d’un seul serveur.

cap1

 

La deuxieme chose est que ce sont exactement les meme paquets. De l’UDP sur le port 6733 avec un payload de 1 octet.
cap2

 

Apres avoir vu cela, je me dis qu’il serait sage de deconnecter cette machine du reseau et de lui faire passer un scan anti-viral avant de la rebrancher.

Le temps que cette operation se fasse, une ACL classique permet de proteger le control-plane contre une sur-utilisation du CPU.

La chose comique dans cette histoire est que la cible de cette attaque est:

De quoi les mettre a l’epreuve!

 

 

 

Accessing CLI from Mac OS X using minicom

Posted by – May 25, 2010

It’s been a long time I’ve made this video. Don’t know why I did not post it.

Since a friend told me he was using putty from a (windows)VM with his Mac to get access to a CLI, I gave his this video and by the way I’m posting it.

ASA 8.3 released!

Posted by – March 12, 2010

ASA 8.3.1 has been release on March, 8th 🙂 Great news 🙂

I’m going here to show some of the new features that comes with!
Some are good… and others not ^^

Let’s start with the bad news

Memory Upgrade

To upgrade your ASA with 8.3 release, you will need to upgrade your hardware.
Memory requirement is more than the double default memory. 512 Mb for a 5505, 1GB for 5510 …

You will still be able to install the new release, but you’ll get some error message in CLI and in ASDM. The full features set will be not supported until you’ll get some memory.

Licencing Features

With the ASA ( and IOS 15.0 ) comes the new licensing feature. Time-based licences are required
now to unblock features.

The good news is that time-based licenses are stackable.
let’s say you purchased a licence for 1 one year, you won’t have to wait the last day to renew your licence. The count will be just incremented using your new licence.

You can also use multiples licenses at the same time and if you do not require a feature anymore, you can deactivate it and reactivate later.

Master Passphrase

The Master Passphrase is not new for IOS. This feature is the same as the IOS command service password-encryption. But instead of type 7, you will
get with ASA an encryption using AES.

Monitoring

High Performance Monitoring for ASDM is the ability to check the inside hosts connections ( who and how much )

to set it up :

Firewall features

New interface is coming! the global one! You can configure access-list and others things in a global way, not only in an interface-specific way

NAT can be configured directly in the network object

And to finish, the NAT configuration is… quite simple as how we did earlier!

Others new features here:

http://www.cisco.com/en/US/docs/security/asa/asa83/release/notes/asarn83.html

IOS 802.1x + VLAN Assignment using ACS RADIUS VSA

Posted by – January 26, 2010

Podcast explaining how to authenticate users and adding them in a specific VLAN with Vendor Specific Attributes of RADIUS.

More

IPsec VTI

Posted by – December 15, 2009

IPsec Virtual Tunnel Interface creation : the video is linked to the picture More

Remote VPN Configuration

Posted by – November 14, 2009

Besoin de configurer un VPN à distance? Vous avez un  c800 series avec un IOS qui porte un petit k9 en son nom, ou alors vous avez besoin tout simplement de laisser vos employés itinérants accéder à votre réseau d’entreprise… Voyons voir ce que l’on peut faire avec un petit Remote VPN.

Cliquer sur l’image pour avoir un résumé des commandes à entrer.

Easy VPN Remote

Et ici pour voir la vidéo de configuration d’un Remote VPN.

Picture 15

[CotD] to be Auto-MDIX or not to be!

Posted by – November 3, 2009

If you wanna know whether your interface is capable of Auto-MDIX, you will find this command useful :