Cisco – ACS 5.4 erschienen

Posted: 24th Oktober 2012 by Helge in ACS, Cisco
Tags: , , , ,

Neue Version des ACS 5.4 steht zur Verfügung. Hier ein paar Informationen dazu:

What’s New in ACS 5.4 Release
ACS 5.4 software release has the following new features and enhancements:

  • TACACS+ based device admin over IPv6
  • HTTPS/SSH based ACS admin access over IPv6
  • Support ACS on VMware installations with any hard disk space from 60 GB to 750 GB.
  • Support up to 4 Ethernet interfaces for AAA requests
  • Capability to connect different nodes (instances) in an ACS cluster to a different (single) AD domain
  • Ability to perform the AD configuration, join, and leave operations separately.
  • Policy-based authentication (via internal DB, AD & LDAP) and authorization (roles & permissions) of ACS Admins
  • API for Create/Read/Update/Delete operations on Network Devices, Network Device Groups and Internal Hosts
  • Online Certificate Status Protocol (OCSP) used to check the validity status of x.509 digital certificates
  • Display Copyright Banner before and after Admin login via GUI and CLI (each banner can be edited independently)
  • Support for VMware Tools
  • Official support for up to 20 instances in a single ACS cluster
  • Monitor ACS adclient and NTP daemon processes; so that they are automatically restarted if they hang or crash
  • Session resumption support for stateless EAP-TLS session and ticket extension as described in RFC 5077
  • Support for crypto-binding TLV extension in MS PEAP
  • Support account expiry (disablement) date per individual user for users in ACS internal database
  • Support max # of concurrent user sessions per group and per user basis
  • Capability to add or update (rewrite) RADIUS attributes within AAA requests sent to RADIUS proxy server
  • Synchronization of MAR cache among all or a group of ACS instances in a cluster
  • Add Common Name (CN) as a new member attribute for LDAP users in addition to Distinguished Name (DN)
  • Support password change by users authenticated against LDAP server via TACACS+, ASCII/PAP and EAP-GTC
  • Certificate Issuer field in Certificate Dictionary available for use in all ACS policy rules
  • Authenticated NTP support in addition to existing non-authenticated NTP mode
  • Support certificate name constraint extensions with following field attributes: Directory Name, URL, Email, DNS
  • Allow Read Only Admins to run “show run”, “show app status acs”, and “show timezones” CLI commands
  • New CLI commands to support IPv6 addresses: “ping”, “traceroute”, “show ipv6 route” ipv6 route”, “ipv6 address”
  • New CLI commands to troubleshoot AD connectivity issues: “adinfo”, “adcheck”, “ldapsearch”
  • Support automated periodic database compression
  • Ability to adjust system clock rate and kernel flags for VMware optimization
  • Ability to generate reports based on events between “Start” and “End” timestamps
  • Link (Release Notes): Release Notes ACS 5.4
    Link (Data Sheet): Data Sheet ACS 5.4
    Link (FAQ): FAQ ACS 5.4
    Link (User Guide) User Guide ACS 5.4
    Link (Install & Upgrade): Install and Upgrade Guide ACS 5.4
    Link (CLI Guide): CLI Reference Guide ACS 5.4
    Link (Migration Guide): Migration Guide ACS 5.4
    Link (Software Developer Guide): Software Developer Guide ACS 5.4
    Link (SDT Guide): SDT Guide ACS 5.4

    CCIE Security Lab v4.0

    Posted: 5th September 2012 by Helge in CCIE, Cisco
    Tags: , , , , , , , , , , , , ,

    Links zu den Blueprint für das neue CCIE Security Lab.

    Written Exam: CCIE Security Written Exam Topics v4.0
    Lab Blueprint: CCIE Security Lab Exam Topics v4.0
    Lab Equipment: CCIE Security Lab Equipment and Software v4.0

    Cisco ASA – Pre-Share-Key wieder lesbar machen

    Posted: 29th August 2012 by Helge in Cisco
    Tags: , , , ,

    Bei der Fehlersuche im IPSec VPN Umfeld, kommt gerne mal die Frage auf wie der Pre-Share-Key lautet. Versucht man diesen nun per “show running-config” auszulesen, wird einem nur der folgende Output angezeitgt:

    tunnel-group <Name> ipsec-attributes
    ikev1 pre-share-key *

    Um diesen nun in lesbaren Form zu bekommen, einfach den folgenden Befehl verwenden “more system:running-config | inlcude ikev1 pre-share-key”. Durch diesen Befehl wird einem der Pre-Share-Key wieder angezeigt.

    ikev1 pre-share-key cisco123

    Ein weiterer Weg wäre, die Config einfach auf einen TFTP/FTP/SCP Server zu kopieren “z.B. copy running-config tftp://<ip>/<config file>”. Dadurch wird ebenfalls der Pre-Share-Key wieder in der Config auf dem TFTP Server angezeigt.

    Manchmal braucht es einfach Zeit, bevor man das eine oder andere findet. Seit einiger Zeit habe ich einen Telekom Vertrag mit Hotspot Zugang.Aber zwei Dinge sind mir bis dato entgangen. Das eine ist, das man die Default Username / Passwort den man bei der Registrierung für den Hotspot bekommt ändern kann. Das andere ist das es eine Möglichekeit gibt, das man die Zugang über den Hotspot mit einem VPN zur Telekom sichern kann.

    1. Für das änderen das Zugangs zum Hotspot steht die folgende URL zur Verfügung:
    Welcome to My T-Mobile Hotspot Administration portal!

    2. Daten die für die Einrichtung der VPN Umgebung nötig sind. Diese funktioniert mit jedem Standard native IPSec Client.

    • Beschreibung:                             Telekom HotSpot VPN
    • Server / IPSec Gateway:             wlan-vpn.t-mobile.net
    • Accout / Benutzername:            <Name>@t-mobile.de
    • Password / Kennwort:               <Passwort>
    • Group / Gruppenname:               T-Mobile
    • Shared Secret / Passwort:          T-Mobile

    Bei dem Account / Username und Password/Kennwort handelt es sich um die Zugangsdaten, die auch für die Anmeldung an den Hotspot verwendet werden.

     

    Basic RIP troubleshooting

    Posted: 9th Mai 2012 by Helge in Troubleshooting, YouTube
    Tags: ,

    Schon blöd, wenn man sein Passwort vergisst. Aber manche Passworte braucht man so selten, das man dann die Passwort Reset Routine verwendet. So also habe ich diese auf der CiscoLive Web Seite genutzt, da ich mich meines besten willen nicht mehr an das Passwort erinnern kann. War wohl zu gut gewählt 😉
    Diese ging auch alles gut, bis ich zu der Stelle kam, wo ich das temporäre Passwort durch ein neues ersetzen sollte. Nach der Eingabe des neuen Passwortes gab es eine Fehlermeldung, das ich das aktuelle Passwort eingeben sollte. Nur wo ist das Eingabefeld für dieses?

    Aber seht selber auf dem Bild.

    Blog ist wieder Online

    Posted: 15th Juni 2011 by Helge in Allgemein

    Nach einigen kleine Problemen mit der Datenbank und dem Provider, ist nun der Blog auf einen virtuellen Server umgezogen. Durch viele kleiner Probleme war dieser einige Tage nicht erreichbar, dieses ist nun behoben. Muss nun noch einige Updates einspielen und dann werde ich mich wieder an neue Beiträge machen.

    End-Of-Life für das Cisco NAC Network Module

    Posted: 18th Mai 2011 by Helge in Cisco
    Tags: , , , ,

    Am 16.5.2011 wurde von Cisco bekannt gegeben das das NAC Module für die Router Plattform EOL/EOS ist. Bis zum 14.11.2011 ist das Modul bei Cisco noch zu kaufen und ab 30.11.2016 wird es dann endgültig auch nicht mehr mit neuer Software ausgestattet. Solange war das Modul gar nicht auf dem Markt. Man könnte vermuten das Cisco auch hier ein wenig Geld sparen will (Produktionskosten), da die NAC Lösung nicht wirklich weit verbreitet ist und ich persönlich noch nirgends ein NAC Modul im Einsatz gesehen habe.

    Link: EOL/EOS for the Cisco NAC Network Module