Gliffy.com

Gliffy is a really cool alternative to Visio when it comes to creating network topology diagrams. I guess there are already plenty of reviews of this app, I just want to make sure that everyone knows of Gliffys existance.

It’s online, its good and it is (kindof) free! Try it…

CBAC is a simple way to turn a Cisco-router from being a stupid packet-filter into an stateful firewall with protocol inspection.

The following example explains how to configure CBAC to allow return-traffic back when an inside web-client http to an external web-server.

Topology:

First I have my inside acl specifying what outbound traffic to allow (http and dns).

ip access-list extended acl_inside_in
permit tcp any any eq www
permit udp any any eq domain
deny ip any any log ACL_INSIDE_IN_DENYING


Then an acl on outside defining inbound traffic. Look, not allowing any http here…

ip access-list extended acl_outside_in
permit icmp any any echo-reply
permit icmp any any unreachable
permit icmp any any traceroute
permit icmp any any time-exceeded
deny ip any any log ACL_OUTSIDE_IN_DENYING


This is the heart of the CBAC-config. If I wanna inspect multiple protocols I just add more lines with the same inspect name…

ip inspect name INSP_OUTBOUND http alert on audit-trail on


So, this is my outside interface, fronting internet
I have my inspect applied here in an outbound direction. This kinda confused me first but I guess you could think about is as where to make the exceptions to allow return traffic.

interface FastEthernet0
description Outside
ip address 10.0.11.2 255.255.255.0
ip access-group acl_outside_in in
ip inspect INSP_OUTBOUND out
duplex auto
speed auto
end
!

This is my inside

interface FastEthernet1
description Inside
ip address 10.0.12.1 255.255.255.0
ip access-group acl_inside_in in
duplex auto
speed auto
end


And this is what is being logged (because of the “alert on audit-trail on”):


Jan 18 20:14:07.910: %FW-6-SESS_AUDIT_TRAIL_START: Start http session: initiator (10.0.20.100:2350) -- responder (192.168.1.50:80)
Jan 18 20:14:24.423: %FW-6-SESS_AUDIT_TRAIL: Stop http session: initiator (10.0.20.100:2350) sent 224 bytes -- responder (192.168.1.50:80) sent 283 bytes


This is first in a serie of posts in english dealing with technical configurations and solutions. The reason for this is me studying for CCIE Security certification and along the road I will probably find interresting stuff to share with others in the same situation as I am. (I´ve already found that more good configuration examples can be found at blogs than in technical references as CCO. Another purpose for me posting about stuff like this is that I learn alot when trying to explain and write about it. )

I have been bangning my head a couple of ours now trying to understand the modularity of Cisco ASA MPF. There are Class-maps, policy-maps and service-policies. There are a lot of different types of each of them and different combinations are invalid. Deeper information can be found att CCO.

MPF is built with 3 different types of modules:

1. class-maps. Defining what to look for
2. policy-maps. What shall we do with it?
3. service-policy. where do we do it?

I made up an hypothetical example. Lets say that I want to prevent my users from downloading mp3-files with ftp. This is a good example of when MPF comes handy (yes I know that some users know how to rename files, do encrypted file-transfers or use other protocols than ftp.)

Ok. On my LAN I have this PC with IP 192.168.1.215 which should not be able to GET files whose name contains “.mp3″. Where do I start?

First I create a regexp defining the string to search for:

regex mp3 ".*\.mp3.*"

Next I create a class-map type regex that uses the regex defined:


class-map type regex match-any class-map-TEST-mp3-regex
match regex mp3


Next thing to do is to create a class-map type inspect which is going to look into the ftp application-data sent and have a look for filenames with the regexp-string matched:

class-map type inspect ftp match-all class-map-TEST-ftpfilter
match filename regex class class-map-TEST-mp3-regex


After that I create a policy-map that defines the action (reset tcp connection and log the event) to be taken when the class-map above is triggered:

policy-map type inspect ftp policy-map-TEST-dropftp
parameters
class class-map-TEST-ftpfilter
reset log


Now I need to define which traffic to look into. Remember the host

-IP above? I create an acl:

access-list acl_TEST_mytraffic extended permit tcp host 192.168.1.215 any eq ftp


Before putting everything together you need to decide where to apply this. It can be done either globally or inbound to a specific interface. The most logical thing to do in this case is to apply it on my inside-interface where my ftp-clients are. If you have already a policy-map bound to that interface you need to reuse that policy-map in the next step. Otherwise, just create a new policy-map.

asa# sh run service-policy
service-policy policy-inside interface inside
asa#


So I reuse this policy and add a new class:
policy-map policy-inside
class class-map-TEST-mytraffic
inspect ftp strict policy-map-TEST-dropftp

Let´s see if it works…
ftp> (connected to FTP-server from my host)

ftp> ls

200 PORT command successful

150 Connecting to port 40538

Connection closed by remote host.

Finally, a bleeding rocket-science flow-chart with home-made arrows and sugar on top…

Gowalla är en blandning mellan Brightkite och Geocaching. Med hjälp av gps och kartor definierar man och checkar in på olika “spots”. På en del ställen hittar man virtuella skatter som man kan byta med nån av de virtuella skatterna man redan har i sin ryggsäck.

Jag saknar bara möjlighet att se var prylarna jag hittar har varit tidigare i sina liv.

Kul är det! Idag har ja checkat in på ett 15-tal platser i Malmö och bland annat lämnat en virtuell bratwurst på Apoteket Lejonet vid Stortorget. Undrar vem som plockar upp den…

När jag var liten spelade jag en del rollspel. Vi var ett gäng klasskamrater som satt runt ett bord och kastade 20-sidiga tärningar och låtsades vara trollkarlar och krigare i en magisk värld. Oftast bar det Drakar & Demoner vi spelade.

Långt senare var jag helt såld på Diablo, ett multiplayer adventurespel på pc.

De senaste 15 åren har jag knappt dödat en enda drake. Tills jag köpte min Iphone.

Nu är jag helt såld på Dungeon Hunter. Om du nån gång spelat D&D, eller nåt liknande spel så kommer du att älska detta. Spelet går ut på att lösa olika uppdrag (oftast ha död på monster) i olika miljöer. Från början är du en klen stackare med bomullsbyxor och en dolk i handen men du hittar bättre utrustning i ungefär samma takt som du stöter på starkare fienden. Givetvis kretsar det mesta kring experience points (xp), mana points (mp) och hit points (hp). Låter det avancerat? Det är det inte, man är igång på några minuter…

Mitt råd: testa Dungeon Hunter på Iphone!

Några bilder:

Min iPhone är fantastisk. Denna Bloggtext skriver jag till exempel på telefonen från en parkbänk medan barnen åker rutschkana. Iphonen är fantastisk på alla sätt och vis. Mer om det i en annan text då hyllningarna förtjänar eget utrymme.

Något som jag däremot stör mig otroligt mycket på är att inte alla applikationer hanterar att man vänder iPhonen mellan stående och liggande läge. Funktionen är underbar. Vissa användningsområden fungerar mycket bättre i liggande läge (t ex när man ska skriva längre texter på tangentbordet med mina rörmokar-tummar). Däremot verkar det vara upp till varje utvecklare att stödja rotation av enheten eller inte. Och riktigt trist tycker jag att det är att inte Apple själva har stöd för detta överallt. Några exempel:

Bloggande från parkbänk - WordPress-applikationen sköter detta eminent

Apples App Store - Det vore tjusigt om Apple själva kunde rotera innehållet på skärmen.

YouTube - inte här heller. Däremot visas videon rätt...

Aardvark

...och Brightkite. Listan kan göras lång men jag tror att du fattat poängen nu...

IDG skriver att Trend Micro har “utarbetat” några tips för Twitter-användare. Allt det där borde vara sunt förnuft, och inget av det där är på nåt sätt Twitter-relaterat.

Internet är ett publikt forum. Skriver du nåt så utgå från att vem som helst kan läsa det. För all framtid. Och det gäller inte specifikt Twitter utan även bloggar, Facebook, diskussionsforum m m…

Till och med privata meddelanden/mail ska man vara försiktig med. En länk är inte starkare än ens svagaste länk. Kan du inte lita på att mottagaren inte publicerar innehållet ska du inte skriva känsligare information än att du står ut med att alla kan läsa det.

Att förkortningstjänsterna (bit.ly t ex…) är ett säkerhetsproblem instämmer jag i.

Använd komplicerade lösenord, men byt dom inte stup i kvarten!

Längden på ett lösenord är avgörande för säkerheten. Ju längre lösenord desto säkrare, så klart. Främst beror det på att ett längre lösenord tar längre tid att gissa sig till (Brute Force) än ett kortare. Men hur lång tid tar det?

Ett litet räkneexempel. Om jag med en modern dator med L0phtcrack försöker hacka ett Windows-lösenord som innehåller en slumpmässig blandning av stora och små bokstäver samt siffror (inga andra tecken, för enkelhets skull)  så tar det ungefär så här lång tid att testa igenom alla möjliga kombinationer:

4 teckens längd – blixtsnabbt

5 teckens längd – nån minut

6 teckens längd – 2 timmar

7 teckens längd – 4 dagar

8 teckens längd – 8 månader

9 teckens längd – 45 år

10 teckens längd – 2800 år

Om man tänker sig att man tvingas att byta lösenord var 90:e dag och någon startar en brute force-attack direkt efter bytet, hur stor är sannolikheten att man lyckas få fram lösenordet innan det byts igen?

4 teckens längd – 100% sannolikhet

5 teckens längd – 100% sannolikhet

6 teckens längd – 100% sannolikhet

7 teckens längd – 100% sannolikhet

8 teckens längd – 34% sannolikhet

9 teckens längd -  0,5% sannolikhet

10 teckens längd – 0,009% chans

Nu finns det några  punkter på vilken den här kalkylen är orealistisk. Till exempel:

• att Brute Force-attacken lyckas starta i samma sekund som lösenordet är bytt är inte rimligt. I praktiken har man kortare tid på sig.
• Antalet tillåtna tecken i lösenord är betydligt fler än de som räknats med här. Räknar man med att blanda in även de vanligaste specialtecknena som finns på tangentbordet (!”#¤%;:,.<> osv…) så skulle ett 8-teckens lösenord istället för 8 månader ta 20 år att knäcka.

För att kunna göra en Brute Force-attack med den här prestandan krävs det att man kommit över det “krypterade” lösenord, t ex genom att kopiera lösenordsdatabasen från en dator. Har man inte det utan tvingas testa varje lösenord med en regelrätt inloggning spelar det in andra faktorer (svarstider i system, roundtrip-tider i nät osv…) vilket gör att man inte kan göra mer än några få försök per sekund. Det är alltså inte rimligt med Brute Force-attacker över internet så länge lösenorden är mer än 3-4 tecken långa.

Alla antagande ovan är alltså baserade på att lösenorden består av slumpmässiga strängar. Använder man lösenord som innehåller ord som finns i ordlistor t ex är man rökt med en gång.

Slutsats: Se till att dina/användarnas lösenord är:

1. långa, helst 10 tecken.
2. slumpmässiga. Inga ord. Se mina tidigare tips på hur man gör för att skapa och komma ihåg såna.
3. hemliga. Det är ett gravt tjänstefel att dela med sig, och att inte byta omedelbart om man tror att nån kommit över ens lösenord.
4. permanenta. Tvinga dom inte att byta.

Kom ihåg: Det är betydligt lättare att komma ihåg ett 10 tecken långt lösenord som man själv kommit på och som man vet att man får behålla, än ett 8 tecken långt lösenord som du tvingades hitta på förra månaden och som du vet att du inte får behålla mer än 2 månader till.

SecureCRT från Vandyke är ett av de program jag använder mest, och har gjort så i många år. När jag behöver köra teminalemulering (telnet, ssh, serieport) så är det SecureCRT som gäller. Men en funktion jag alltid saknat (och som t ex finns i den annars sämre konkurrenten Absolute Telnet) är möjligheten att söka efter text i realtid på skärmen.

Ofta sitter jag och tittar på en massa debug-output från en router/brandvägg eller liknande och väntar på att en viss text (t ex en ip-adress) ska dyka upp. Med en sökfunktion kan man i förhand definiera texter som ska markeras på skärmen.

Jag har jagat Vandyke i deras forum länge, och äntligen har jag fått en beta av SecureCRT med den funktionen jag efterlyser! Här är en liten videosnutt (tack, Jing!) jag gjort som demonstrerar när jag använder funktionen…

[kml_flashembed publishmethod="static" fversion="8.0.0" movie="http://blogg.kvistofta.nu/wp-content/uploads/2009/08/crt31.swf" width="600" height="500" targetclass="flashmovie" scale="noborder"]

[/kml_flashembed]

Fick nyss  ett mail från Payson. De varnar för bedragare som lockar mottagarna att klicka på länkar som vid första anblicken leder till Payson men som i själva verket leder nån annanstans.

En repetition av tidigare övningar. Vågar du klicka på denna länken?

http://www.aftonbladet.se