Skip to content

Space Invaders

... und zwar auf dem Switch. Dank einer Sicherheitslücke, die es angemeldeten Benutzern erlaubt eine System Shell zu erhalten, hat Harrison Shlong mal ein wirklich genialen Exploit gebaut.


via heise.de

Zwei CheckPoint Cluster auf einem Cisco Switch ...

... Das gibt Probleme. Genauer gesagt hat der Cisco Switch ein Problem:

238201: Sep  3 12:07:50.482: %SW_MATM-4-MACFLAP_NOTIF: Host 0000.0000.fe01 in vlan 284 is flapping between port Gi0/25 and port Gi0/14
238202: Sep  3 12:07:50.482: %SW_MATM-4-MACFLAP_NOTIF: Host 0000.0000.fe00 in vlan 284 is flapping between port Gi0/5 and port Gi0/15
238203: Sep  3 12:08:05.607: %SW_MATM-4-MACFLAP_NOTIF: Host 0000.0000.fe00 in vlan 284 is flapping between port Gi0/15 and port Gi0/5
238204: Sep  3 12:08:05.607: %SW_MATM-4-MACFLAP_NOTIF: Host 0000.0000.fe01 in vlan 284 is flapping between port Gi0/14 and port Gi0/25
238205: Sep  3 12:08:20.673: %SW_MATM-4-MACFLAP_NOTIF: Host 0000.0000.fe01 in vlan 284 is flapping between port Gi0/25 and port Gi0/14
238206: Sep  3 12:08:20.841: %SW_MATM-4-MACFLAP_NOTIF: Host 0000.0000.fe00 in vlan 284 is flapping between port Gi0/15 and port Gi0/5
238207: Sep  3 12:08:35.823: %SW_MATM-4-MACFLAP_NOTIF: Host 0000.0000.fe00 in vlan 284 is flapping between port Gi0/15 and port Gi0/5
238208: Sep  3 12:08:35.823: %SW_MATM-4-MACFLAP_NOTIF: Host 0000.0000.fe01 in vlan 284 is flapping between port Gi0/14 and port Gi0/25
238209: Sep  3 12:08:50.888: %SW_MATM-4-MACFLAP_NOTIF: Host 0000.0000.fe01 in vlan 284 is flapping between port Gi0/25 and port Gi0/14
238210: Sep  3 12:08:50.922: %SW_MATM-4-MACFLAP_NOTIF: Host 0000.0000.fe00 in vlan 284 is flapping between port Gi0/5 and port Gi0/15
Der Grund für dieses Flapping sind die virtuellen ClusterXL Adressen der Checkpoint Firewall. Hier hat sich Checkpoint nämlich etwas ganz tolles ausgedacht.

Die ersten vier Bytes der Source MAC Adresse sind alle Null, also 00.00.00.00. Der fünfte Byte ist nun quasi der entscheidende Punkt bei dem MAC Flapping. Per Default steht er auf 0xfe. Der sechste Byte ist dann die ID des jeweiligen Cluster Members. Soweit so gut. Problem ist nur wenn zwei Cluster am gleichen Switch mit der gleichen Default MAC Adressen senden wollen.

Die Lösung ist natürlich wie immer relativ simpel, aber das erst mal heraus zu bekommen ... Egal. Mit folgendem Kommando kann der fünfte Byte der MAC Adresse on-the-fly von 0xfe auf 0xee geändert werden:

fw ctl set int fwha_mac_magic 0xee
Allerdings überlebt diese Änderung keinen Reboot und so müssen für eine permanente Lösung noch folgende Schritte auf einen der beiden Cluster durchgeführt werden:

1. Anlegen und editieren der fwkern.conf Datei:
touch $FWDIR/boot/modules/fwkern.conf
vi $FWDIR/boot/modules/fwkern.conf
2. Folgende zwei Zeilen hinzufügen ...
fwha_mac_magic=0xee
fwha_mac_forward_magic=0xdd
3. Reboot der Cluster Member. Fertig.

IPv6 - Are You Ready?

OMG, wir haben keine IP Adressen mehr ... Ahhhhh. Don't panic, denn mit IPv6 wird alles besser und größer und schöner sowieso. Dabei hat der Beitrag von Cisco eine gewisse Ironie, denn einige Produkte vom besagten Unternehmen sind nach wie vor nicht IPv6 Ready. Aber das nur nebenbei.


YouTube DirektIPv6, via ende-der-vernunft.org

RANCID

Rancid (Really Awesome New Cisco confIg Differ) ist ein interessantes Tool mit dem man u.a. seine Cisco Router per SSH sichern kann. Je nach Konfiguration bietet Rancid auch die Möglichkeit diese Sicherung in ein CVS einchecken zu lassen, welches das Wiederherstellen alter Stände stark vereinfacht.

Die Grund Installation unter Ubuntu 8.04.1 ist relativ simpel und sollte mit folgenden Kommando "fast" abgeschlossen sein:

apt-get install rancid-core rancid-util

Im Anschluss müssen noch ein paar Konfigurationsfiles angepasst werden, aber je nach Vorhaben kann das ziemlich variieren. Allen Interessierten möchte ich noch zwei Seiten ans Herz legen, die mir bei der Installation sehr geholfen haben.

homepage.mac.com
www.linuxhomenetworking.com

Cisco Passwort Recovery

So hier wieder etwas aus der Reihe - kann man immer wieder gebrauchen! Okay, vielleicht nicht unbedingt der Schlosser von nebenan, aber die Admins dieser Welt können bestimmt etwas damit anfangen! Alle andere - ignorieren!

Einstellungen für Hyperterminal

  • 9600 baud rate

  • No parity

  • 8 data bits

  • 1 stop bit

  • No flow control
"Cisco Passwort Recovery" vollständig lesen

Cisco PPPoE mit statischer IP

Ach da sitzt man Stunden an der Konfiguration und eigentlich müsste es ohne Probleme funktionieren. Überlegt hin und her, Selbstzweifel kommen auf, erste Gedanken an ein Leben nach dem Tod und dann war einfach "nur" eine alte Route auf dem Core Router falsch gesetzt. Wie simple manchmal die Lösung doch sein kann. ;-)

Ach ja, hier noch mein Konfiguration (auf das wesentliche heruntergekürzt) - so für das Archiv:
vpdn enable
vpdn-group 1
 request-dialin
 protocol pppoe

interface FastEthernet0/0
 no ip address
 pppoe enable
 pppoe-client dial-pool-number 1

interface Dialer1
 description DSL
 ip address negotiated
 ip mtu 1492
 encapsulation ppp
 dialer pool 1
 dialer-group 1
 no cdp enable
 ppp authentication pap callin
 ppp pap sent-username <Benutzername> password <Passwort>

ip classless
ip route 0.0.0.0 0.0.0.0 Dialer1

Hoffe ich habe nichts vergessen. Wer mehr wissen will zu diesem Thema, sollte mal hier vorbei surfen!