Netzwerk – Whoami

Freeradius – FortiGate & „No Message-Authenticator attribute“

Fortinet, IT, Linux, Netzwerk, Security / maik.behley

Falls ihr auf der FortiGate einen Freeradius Server einbinden wollt, und diesen unter Debian betreibt, bekommt ihr vermutlich beim Radius Connect Test die Fehlermeldung "No Message-Authenticator attribute". Hintergrund dafür ist eine Sicherheitslücke im Radius Protokoll. Aus diesem Grund wurden zwei neue Konfigurationsoptionen in der /etc/freeradius/3.0/radiusd.conf hinzugefügt. Damit wären die meisten Systeme geschützt. Idealerweise macht man […]

Freeradius – FortiGate & „No Message-Authenticator attribute“ Weiterlesen »

Ansible in Jail mit Cisco Nexus und IOSXE Backup und SSH Authentication und Sicherung in Gitea

Allgemein, Ansible, Cisco, IT, Netzwerk, Netzwerke, Scripts, Security / webmaster

Möchte man mit Ansible seine Cisco Nexus Konfigurationsdaten sichern, sollte man den Gedanken Security nicht außer acht lassen. Welche Anforderungen haben wir also? Ansible Nutzer darf auf dem Wirtssystem keine Root Rechte haben Ansible Nutzer darf keine Login Shell haben, um Angriffe von Außen zu eliminieren Ansible Nutzer muss eine keybasierte Authentifizierung auf unseren Nexus

Ansible in Jail mit Cisco Nexus und IOSXE Backup und SSH Authentication und Sicherung in Gitea Weiterlesen »

Verschlüsselung auf OSI Schicht 2 – MACsec mit Cisco Nexus

Cisco, IT, Netzwerk, Security / webmaster

MACsec wird in Umgebungen kritischer Infrastruktur verwendet, um Daten auf Schicht 2 zwischen Ethernet Links zu verschlüsseln. Selbst wenn der Angreifer Daten mittels eines SPAN Ports abfängt, kann er diese nicht lesen. MACsec sorgt außerdem dafür das Daten während der Übertragung nicht unbemerkt verändert werden können. Wie funktioniert das genau? Konfiguration Switch 1 (Key Server):

Verschlüsselung auf OSI Schicht 2 – MACsec mit Cisco Nexus Weiterlesen »

VPN Tunnel Monitoring Fortinet FortiGate

Fortinet, Icinga, IT / webmaster

Du möchtest einen spezifischen Tunnel auf der FortiGate überwachen und weißt nicht wie. Diverse Icinga2 Plugins bieten dir lediglich die Funktion alle Tunnel zu überwachen. Das ist leider nicht immer zielführend. Wir verwenden für die Überwachung das SNMP Plugin check_snmp. Als Erstes ziehst du dir von deiner Fortigate das MIB File. Das findest du unter

VPN Tunnel Monitoring Fortinet FortiGate Weiterlesen »

Backup von Cisco Geräten via Ansible

Allgemein, Ansible, Cisco, IT / webmaster

Beschrieben wird wird das Netzwerkbackup unter Debian 12.11. Installation Ansible Installation Ansible Collection Verzeichnisstruktur anlegen backup-config/├── inventory.yml ├── files/├── backup_config.yml└── group_vars/└── all.yml inventory.yml group_vars/nexus_switches.yml backup_config.yml

Backup von Cisco Geräten via Ansible Weiterlesen »

FortiGate HA Cluster – Zugriff auf Secondary Device

Allgemein, Fortinet, IT / webmaster

Wenn man auf der sekundären FortiGate in einem HA Verbund Befehle ausführen möchte, macht man das wie folgt. Commandline auf dem primären System Sample:

FortiGate HA Cluster – Zugriff auf Secondary Device Weiterlesen »

SSL Performance in FortiGate

Fortinet, IT / webmaster

Da SSL VPN über TCP abgewickelt wird, wird TCP in TCP gekapselt. Die damit verbundene Flusskontrolle und das Retransmitting von Paketen, kann zu mehr Neuübertragungen und Paketverlusten führen und damit zu einer schlechteren SSL VPN Performance. Vermutlich ist damit TCP über TCP eine schlechte Idee. Wie wäre es wenn wir UDP für VPN-Tunneling in Verbindung

SSL Performance in FortiGate Weiterlesen »

ASA LAN-2-LAN VPN mit Source NAT

Cisco, IT / webmaster

ASA LAN-2-LAN VPN mit Source NAT Weiterlesen »

Cisco 9300 Fehlermeldung – Out of flash …

Cisco, IT / webmaster

Beim Bau eines neuen Stacks von zwei 9300'er Switches musst ich beide Switche auf die gleiche IOS Version bringen. Irgendwie funktionierte das alles nicht so wie vorgestellt. Ich bekam Sync Error's an der CMD und diverse andere Fehler. Nach einem sh logg sah ich dann folgenden Fehler: Um den Flash von unnötigem Ballast zu befreien,

Cisco 9300 Fehlermeldung – Out of flash … Weiterlesen »

OSPF Inkompatibilitäten zwischen Cisco ASA 9.9.x und Cisco 9300 mit IOS V. 17.X

Cisco, IT / webmaster

Effekt: Auf beiden Seiten ist OSPF korrekt konfiguriert. Die ASA bekommt jedoch keine Routen über OSPF übertragen. Workaround: Auf dem Interface des C9300, welches die OSPF Routing Updates zur ASA schickt, folgenden Eintrag konfigurieren. c9300(conf)#int gi1/0/1 c9300(conf-if)ip ospf lls disable Wenig später tadaa, die Routen sind da. Entweder lasst ihr das so, oder ihr bringt

OSPF Inkompatibilitäten zwischen Cisco ASA 9.9.x und Cisco 9300 mit IOS V. 17.X Weiterlesen »