Archive forCisco stuff

IOS ZBF DNS Translation

People who have worked with Cisco ASA probably know about an interesting feature – “DNS doctoring”. Basically, if you have static NAT configured on an ASA, and the device sees a DNS query/reply going between the NAT inside and outside interfaces, it will actually look inside the packet, and change its contents. Which is actually a useful feature in cases where one cannot (or doesn’t want to) configure split DNS on the name server.

For example, let’s say you have an internal mail server (172.16.1.10), statically translated to a public IP address (5.5.5.10). When the internal clients try to access “mail.example.com”, the (internal) nameserver will give them the correct (internal) IP – 172.16.10.10. When external clients try the same query, the reply will go through the ASA, and the external clients will receive the correct (external) IP – 5.5.5.10. And everything works.

The problem starts when Cisco IOS starts to do the same thing. It appears that if you’re running ZBF (Zone-Based Firewall) on Cisco IOS, it will automatically have the same behavior – translating DNS A and PTR queries as they go across the NAT.

However, there are two issues with the implementation:

1) Something is wrong with the translation. It seems to change the query, but not the answer. Using the same example as above, I try a reverse query for the external IP of the mail server:
root@thermite:~# host -vv  5.5.5.10
Trying “10.5.5.5.in-addr.arpa”
;; Question section mismatch: got 10.1.16.172.in-addr.arpa/PTR/IN

Notice the issue? I ask about the public address. My query gets translated by ZBF, and the server receives a query about the private address. However, when the reply comes back to me, the “question” section in the reply is not translated back. My client asked about 10.5.5.5.in-addr.arpa, and received a reply about 10.1.16.172.in-addr.arpa – which is ignored. Hence, my DNS resolution doesn’t work…

Not a problem – I’ll just disable DNS deep packet inspection! After all, it used to be quite easy on the ASA (just remove DNS from the list of deep-inspected protocols). Well… there’s the second problem!

2) Disabling the feature isn’t easy. After spending a long time looking through Cisco’s documentation (with no results), I managed to find the answer on the support forums:

no ip nat service alg tcp dns

no ip nat service alg udp dns

And yes, I have to agree with the person asking the question – “Very funny, Cisco! Now whose bright idea was that????!!”

 

Comments

Cisco, RDS si IPv6

Dacă tot se termină adresele IPv4 și RDS a început să ofere adrese IPv6, mi-am luat inima în dinți și am zis „hai să încerc și eu, măcar să văd dacă merge”.

Setup-ul folosit? Foarte simplu – una bucată router Cisco 881W, plus una conexiune RDS fiber-link.

Etapa 1 – citirea documentației.

Aflu că trebuie să activez serviciul online la RDS – nu-i problemă, 2 click-uri și se rezolvă.

După ce îl activez, aflu că „tot ce trebuie să faceţi în acest moment pentru a începe testele este să adăugaţi cuvântul “ipv6test” (case sensitive) în câmpul “Service Name” al clientului PPPoE”.

Pare simplu, numai că… oricât sap prin documentația Cisco, nu reușesc deloc să găsesc cum se setează „Service Name”. Sau, mai exact, găsesc doar cum se folosește el pe partea server-side, nu și cum (sau dacă) l-aș putea seta eu ca și client.

Noroc că dau pe net peste techtorials.ro . Unde Liviu listează exact configurațiile necesare. Profit de ocazie pentru a-i mulțumi încă o dată! :)

Etapa 2 – configurația propriu-zisă.

În cazul meu, interfața externă (PPPoE) este Dialer1 (peste interfața fizică FastEthernet4), iar interfața internă (spre LAN) este VLAN1. Configurația de adăugat arată cam așa:

ipv6 unicast-routing
ipv6 cef

ipv6 route ::/0 Dialer1 FE80::1

interface FastEthernet4
pppoe enable
pppoe-client dial-pool-number 1 service-name “ipv6test”

interface Dialer1
ipv6 enable
ipv6 address dhcp
ipv6 dhcp client pd PD_PREFIX

interface Vlan1
ipv6 address PD_PREFIX ::C:15C0/64
ipv6 enable

Pare simplu… n-ar trebui să îmi ia mai mult de 10 minute să îl configurez…

Etapa 3 – versiuni și licențe.

Începe distracția – constat că sunt comenzi care nu sunt acceptate. De exemplu “ipv6 address dhcp”, sau “ipv6 client dhcp pd”.

Bănuiesc inițial o problemă de versiune IOS, așa că fac un upgrade. Din păcate, nu ajută – se pare că un simplu feature de CLIENT DHCP este considerat de Cisco „advanced IP feature”. Ceea ce înseamnă că am nevoie de licență separată (Advanced IP Services) pentru a realiza configurația. Mă văd nevoit să amân testul până când reușesc să instalez licența.

Etapa 4 – descoperirea bug-urilor…

Am licența, configurez router-ul, și… încep să găsesc bug-uri. Mai exact:

  • pe IOS 15.x ( testat pe 15.1(3)T1 și 15.2(1)T1 ) , Prefix Delegation nu funcționează deloc. Văd cum se primește prefixul prin DHCP pe interfața externă, variabila PD_PREFIX e populata corect, dar prefixul nu apare și pe interfața internă. Apar în schimb o serie de erori destul de urâte – %SYS-2-BADPOOL si %ALIGN-3-SPURIOUS (erori de alocare/acces la memorie)
  • pe IOS 12.4(22)T Prefix Delegation funcționează corect, dar nu este suportată comanda „ipv6 address dhcp” (da, suportă Prefix Delegation via DHCPv6, dar nu știe să ia și adresă prin DHCPv6! Nu mă întrebați cum…). Am reușit însă să îl conving să își ia adresă prin autoconfig ( „ipv6 address autoconfig default” pe interfața externă ).
  • IOS 12.4(24)T5 a fost singurul IOS dintre cele testate care a mers OK. Și pare să meargă în continuare.

Per total, mi se pare îngrijorător faptul că tocmai codul recent din 15.x este cel cu probleme. Lucru care mă face să îmi fie un pic teamă de momentul în care vom fi nevoiți să trecem la IPv6 în producție…

Comments (4)

Cisco Certified Architect

În urmă cu câteva zile, Cisco a anunțat o serie de noi certificări:

  • CCNP Wireless (disponibilă începând cu 24 iulie 2009). O certificare menită să astupe spațiul rămas liber între CCNA Wireless și CCIE Wireless
  • DC Unified Computing Design Specialist, DC Unified Computing Support Specialist (disponibile la sfârșitul lui 2009). Certificări de „data center specialist”.
  • Cisco Certified Architect (disponibilă începând cu ianuarie 2010).

Eu unul nu văd foarte clar scopul ultimei certificări. Este clar că este răspunsul Cisco la MCA, dar oare e o idee bună introducerea unei certificări care are ca prerequisite CCDE (!) în condițiile în care (până acum cel puțin) CCDE nu a fost tocmai… un succes răsunător?

Oricum, văd că noile certificări apar deja în lista oficială de la Cisco, deci „e pe bune” :-P . Așteptăm cu interes să vedem ce urmează :)

Comments (2)

CCIE Security OEQ

De ce mi-era frică n-am scăpat… Cisco va introduce OEQ (Open-Ended Questions) și în laboratorul de CCIE Security.

Și mai bine – anunțul a fost făcut foarte târziu, cu doar o lună înainte de lansarea efectivă a întrebărilor…

Detalii aici.

Comments (4)

Modificari CCIE RS

“The upcoming Version 4.0 of Cisco CCIE® Routing and Switching certification will test hands-on troubleshooting, Multiprotocol Label Switching (MPLS), and VPN networking.”

Textul complet al anunțului îl găsiți aici. Modificările au fost anunțate astăzi, iar noile examene vor fi folosite începând cu data de 18 octombrie 2009.

Comments (3)

CCIE Security

Am profitat de mini-vacanța de Paști pentru a îmi da scrisul de CCIE Security. Ocazie cu care am avut și o surpriză plăcută – la CCIE recertificarea se face de la data expirării, nu de la data în care ai dat recertificarea. Ca urmare, acum CCIE-ul meu e valid până prin 2012 :)

Ei bine, Cisco a profitat și el (ei?) de ocazie și au modificat documentația de security. Au „reorganizat-o”.

Ca urmare, vă propun o temă de casă. Porniți de aici (de la cele 4 documente din secțiunea de security), și încercați să găsiți „IP Source Tracker”. Vă garantez că atunci când îl găsiți, ori vă umflă râsul, ori rămâneți „WTF??”.

Încep să o dau în paranoia – prea se joacă Cisco cu nervii mei :-P (vezi și post-urile mele anterioare pe tema asta :) ).

[ Credits go to another Bogdan, care acum așteaptă cu nerăbdare rezultatele de la laboratorul lui (e nasol să dai laboratorul de CCIE vineri, că stai până luni să aștepți rezultatele :) ). Dacă treceți pe aici, urați-i succes! ;) ]

Comments (5)

Cisco.com as a Hack Site

Soluția de filtrare Websense (soluție de filtrare a traficului web, destinată companiilor) a marcat pentru scurt timp site-ul cisco.com ca fiind „hack site”. Drept urmare, utilizatorii soluției nu au mai putut accesa site-ul (e adevărat, doar pentru 15 minute :) ).

Detalii aici.

Nu pot să zic că Meekuu nu are dreptate când spune:

adevaru e ca la cum arata site-ul ala…

>:)

Comments

Cisco Hack

Am dat peste un articol care spune:

“The bottom line is that before, all IOS exploits had to know the exact IOS image running on the target to get code execution. This is approximately a 1 to 100,000 chance, [and] a professional attacker doesn’t risk his 0-day exploit when the odds are stacked against him like that,” Linder says. “I [demonstrated] that at least on one group of Cisco routers, there is a way to execute code without knowing the IOS image version [they are] running.”

Din păcate, articolul (link aici) este foarte vag, și nu spune mai nimic despre vulnerabilitatea folosită (faptul că „putem ataca un router dacă există o vulnerabilitate IOS” mi se pare destul de LMC* ). În schimb, PDF-ul cu prezentarea (link aici ) explică mai multe – se pare că atacul se bazează pe versiunea de ROMMON, și nu pe versiunea de IOS. Iar dacă versiunea de IOS variază foarte mult de la router la router, versiunile de ROMMON sunt mult mai puține (și de multe ori nu se poate face update de ROMMON pe un router). În plus, se adaugă câteva „tricks” menite să facă atacul portabil pe mai multe versiuni de IOS.

Soluții? Well… just the basics:

  • filtrare agresivă a traficului care are ca destinație router-ul
  • update de IOS, pentru a elimina eventualele vulnerabilități descoperite. Din nou, pare LMC*, dar… dacă PC-ul de acasă îmi permit să îl rebootez de 10 ori în 2 zile din cauza update-urilor (vezi post-ul anterior :-P ), nu același lucru îl pot spune despre router-ul care îmi ține 1000 de clienți în spate. Și care de multe ori are uptime de ani de zile.

*La Mintea Cocoșului, in case you were wondering :-P

Comments

CCIE Security Updated Lab

Cisco a anunțat data oficială a lansării examenelor CCIE Security bazate pe noua versiune de blueprint: 20 aprilie 2009:

An updated version of the popular CCIE Security Lab Exam will be made available April 20, 2009. As previously announced, Cisco has refreshed the exam with the latest Cisco equipment and software to mirror the job knowledge and skills needed by security professionals. In addition, a continued emphasis has been placed on troubleshooting to recognize the operating challenges faced by IT departments. Candidates scheduling their lab exams April 20, 2009 or later should prepare using the CCIE Lab Exam v3.0 Overview, the CCIE Security Lab Exam Blueprint and the CCIE Security Lab Exam v3.0 Equipment and Software Overview. Candidates testing prior to mid- April 20, 2009 should continue using the v2.0 blueprints and the v2.0 CCIE Security Lab Equipment and Software Overview.

Comments (1)

CCIE RS – Modificări

A început în Beijing, acum se extinde la toate laboratoarele de CCIE RS. Informația este cât se poate de oficială, existând inclusiv pe site-ul Certifications Support de la Cisco.

Încă este neclar dacă vorbim de întrebări pe foaie/calculator, sau de un sistem de tip interviu. După experiența din Beijing, este foarte probabil ca sistemul să fie de genul „5 întrebări, 10 minute, înainte de începerea laboratorului propriu-zis”.

Effective February 1, 2009, Cisco will introduce a new type of question format to CCIE Routing and Switching lab exams. In addition to the live configuration scenarios, candidates will be asked a series of four or five open-ended questions, drawn from a pool of questions based on the material covered on the lab blueprint. No new topics are being added. The exams are not been increased in difficulty and the well-prepared candidate should have no trouble answering the questions. The length of the exam will remain eight hours. Candidates will need to achieve a passing score on both the open-ended questions and the lab portion in order to pass the lab and become certified.  Other CCIE tracks will change over the next year, with exact dates announced in advance.

Effective February 17th, 2009, candidates will also see two other changes in CCIE written exams. First, candidates will now be required to answer each question before moving on to the next question; candidates will no longer be allowed to skip a question and come back to it at a later time. Second, there will be an update to the score report. The overall exam score and the exam passing score will now be reported as a scaled score, on a scale from 300-1000. This change will not affect the difficulty of the current set of exams and will assure CCIE written exams will be consistent with Cisco’s other career certification exams.

Comments

« Previous entries