Archive for October, 2009

Cisco my love – take 2

Posted: October 31, 2009 in technical
Tags: ,

And the solution was: folosesc porturile modulului de criptare hardware in mod trunk. Asociind mai multe vlan-uri per port de modul ipsec, pot folosi mai multe crypto-map-uri, fiecare pe cate un vlan. Binenteles, in felul asta va trebui sa folosesc mai multe porturi fizice pentru a face aceasta topologie, care pe Juniper se facea pe o singura interfata fizica. Dar macar am gasit workaround pentru limitarea de un crypto-map per interfata.

Configul este mai jos. Inca nu l-am convins pe Cisco sa faca site-to-site cu device-ul cu care testez eu, dar asta ar trebui sa fie o chestie pura de IPsec pe Cisco, nu de modalitati de a ocoli limitarile acestui minunat vendor.

1. am scos din config liniile de configurare a CA-ului si alte chestii irelevante pentru situatia de fata

2. dupa cum se vede, una din mape face remote-access cu certificate si xauth user+group, iar cealalta ar trebui ( 😛 ) sa faca site-to-site cu certificate

aaa new-model
!
!
aaa authentication login default local
aaa authentication login ra_xauth local
aaa authentication eou default group radius
aaa authorization network ragroup local
aaa authorization network IxVPN local
aaa authorization auth-proxy default group radius
aaa accounting network default start-stop group radius

aaa new-model

!
aaa authentication login default local
aaa authentication login ra_xauth local
aaa authorization network ragroup local
aaa accounting network default start-stop group radius
!
crypto pki trustpoint VPN
enrollment retry period 5
enrollment mode ra
usage ike
serial-number
subject-name CN=231-6500IPSec
revocation-check none
rsakeypair ra_key
auto-enroll regenerate
!
crypto pki certificate map cert_map 10
subject-name co cn = peer
!
crypto pki certificate map cert_map_s2s 10
subject-name co cn = peer
!
crypto pki certificate chain VPN
…………..
crypto isakmp policy 4
encr 3des
hash md5
group 2
lifetime 300
!
crypto isakmp policy 5
encr aes
group 5
lifetime 300
crypto isakmp keepalive 60 30
crypto isakmp client configuration address-pool local ra_ipsecpool
!
crypto isakmp client configuration group ragroup_test
key ra_key
pool ra_ipsecpool
group-lock
max-users 5000
netmask 255.255.0.0
!
crypto isakmp peer address 0.0.0.0
!
crypto isakmp profile test
keyring default
ca trust-point VPN
match certificate cert_map
client authentication list ra_xauth
client configuration address respond
client configuration group ragroup_test
crypto isakmp profile s2s
keyring default
ca trust-point VPN
match identity address 0.0.0.0
match certificate cert_map_s2s
!
crypto ipsec security-association lifetime seconds 43200
!
crypto ipsec transform-set general_transform esp-3des esp-md5-hmac
!
crypto ipsec profile RA
set transform-set general_transform
set isakmp-profile test
!
crypto ipsec profile ipsec_s2s
set transform-set general_transform
set isakmp-profile s2s
!
crypto dynamic-map ra_dynamic_map 10
set transform-set general_transform
!
crypto dynamic-map s2s 10
set transform-set general_transform
crypto dynamic-map s2s 12
set isakmp-profile s2s
!
crypto map general_map client authentication list ra_xauth
crypto map general_map isakmp authorization list ragroup
crypto map general_map isakmp-profile test
crypto map general_map client configuration address respond
crypto map general_map 30 ipsec-isakmp dynamic ra_dynamic_map
!
crypto map test_s2s isakmp-profile s2s
crypto map test_s2s 30 ipsec-isakmp dynamic s2s
!
interface GigabitEthernet3/3
switchport
switchport access vlan 111
switchport mode access
!
interface GigabitEthernet3/4
ip address 171.253.253.4 255.255.255.0
!
interface GigabitEthernet3/5
switchport
switchport access vlan 121
switchport mode access
!
interface GigabitEthernet8/1/1
switchport
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 1,110,120
switchport mode trunk
mtu 9216
flowcontrol receive on
flowcontrol send off
spanning-tree portfast edge trunk
!
interface GigabitEthernet8/1/2
switchport
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 1
switchport mode trunk
mtu 9216
flowcontrol receive on
flowcontrol send off
spanning-tree portfast edge trunk
!
interface Vlan110
ip address 170.2.0.6 255.255.0.0
no mop enabled
crypto map general_map
crypto engine slot 8/1
!
interface Vlan111
no ip address
crypto connect vlan 110
!
interface Vlan120
ip address 170.3.0.6 255.255.255.0
no mop enabled
crypto map test_s2s
crypto engine slot 8/1
!
interface Vlan121
no ip address
crypto connect vlan 120
!
ip local pool ra_ipsecpool 94.94.0.1 94.94.0.254
!
ip route 61.211.0.0 255.255.0.0 171.253.253.2
ip route 94.0.0.0 255.0.0.0 170.2.0.2
ip route 120.0.0.0 255.255.255.0 173.2.0.1
ip route 149.1.0.0 255.255.0.0 170.2.0.2
ip route 157.11.0.0 255.255.0.0 149.1.0.13
ip route 157.12.0.0 255.255.0.0 149.1.0.13
!
!
radius-server attribute 8 include-in-access-req
radius-server host 60.60.60.1 auth-port 1645 acct-port 1646 key VAA
radius-server host 60.60.60.1 auth-port 1812 acct-port 1813 key VAA
radius-server retry method reorder
radius-server timeout 1000
radius-server key VAA
radius-server vsa send accounting
radius-server vsa send authentication

Cisco my love

Posted: October 30, 2009 in technical
Tags: , ,

Sa va spun o poveste. Frumoasa.

Era odata un NetScreen. Ca orice NetScreen cumintel si dragalas, acest NetScreen accepta, pe o interfata fizica, o caruta de configuratii de IPsec, care mai de care mai sucite, dupa cum imi veneau mie in cap. Si asa eu il iubeam pe NetScreen.

Din pacate, NetScreen-ul nu stie sa faca un alt config sucit de-ale mele, si anume cel de Multiple Phase 2 over Phase 1. Si, la indemnul binevoitor al colegilor, ma apuc eu cu drag si spor sa fac configul asta pe un Cisco 6500 SPA, care se pare ca se intelege mai bine cu ideea de MP2oP1.

Numai ca, in 6500 mai aveam un config de Remote-Access pe interfata de VLAN care-mi arunca pachetele  mele de IPsec in engine-ul care se ocupa cu criptarea/decriptarea hardware. Si de asta se ocupa un profile de remote-access existent asociat unui crypto map. Toate bune si frumoase: fac eu un nou profile, care sa povesteasca routerashului cum sta treaba cu acel MP2oP1. Si creez si o noua cripto-mapa, ca, deh, nu pot baga mai  mult profile in acelasi crypto-map. Dar, Stupoare! (sic!): pe o aceeasi interfata de VLAN nu pot pune mai multe crypto-mape, ca, deh, asa zice Cisco, in felul lui mirobolant.

Asa se face ca acum Cristina are o dilema: sa scot tot configul de NetScreen si sa-l adaptez intr-o maniera foarte muncitoreasca la MP2oP1, sau sa raman pe Cisco? Iar daca raman pe Cisco, sa pastrez crypto-map-ul de remote-access sau pe cel de MP2oP1. Am uitat sa mentionez ca TOATE astea in trebuie in ACELASI TIMP. Adica si NetScreen-ul cu configul lui, si Cisco-ul cu ce le 2 confige care se resping reciproc.

Varianta ideala: Sa stie si crap-ul mergator de Cisco sa identifice intern “mapele” de IPsec, sa nu ii mai dai ca la copiii mici cu lingurita mapa pe interfata. Ca poate are nevoie omul de mai multe chestii in paralel de la ditai engine-ul de criptare hardware. Si cum engine-ul vrea numa’ o interfata de vlan…si cum numai un crypto-map poate fi aplicat pe o interfata…you do the math. I am stuck with a very powerful engine, pentru ca boii de la Cisco sunt incapabili sa faca un config inteligent de IPsec.

cercelooshee

Posted: October 28, 2009 in personal
Tags:

Ca s-o citez pe Ancutza14.

Za nicest ever: cu snort :d, de la monsieur, ofc. De la Andreea.

http://www.flickr.com/photos/andreeab/4013745478/

4013745478_4785e73bda

People laugh at me and make fun of me. But I don’t care. I am HAPPY 8->

vremuri bune si frumoase

Posted: October 23, 2009 in technical
Tags: ,

DMVPN si Am Universum

cu de la Dale Carnegie zicere

Posted: October 22, 2009 in thoughts
Tags:

Dale Carnegie se pare ca este un guru in personal development. Si, la recomandarea unei colege, am inceput sa ma interesez si eu de lucrarile lui.

Asa am ajuns la un audio book de Mastering Leadership.

Dale incepe cu povestea de success a Levi Strauss:

“..managers at Levi Strauss know that they are evaluated in many other ways besides financial performance. As much as 40% of management bonuses  are based on measures of leadership in ETHICS, HUMAN RELATIONS and EFFECTIVE COMMUNICATION

Continua cu Whatson, de la IBM si cu decaderea a companiei americane in momentul pensionarii acestuia. Si acesta credea in principiile de mai sus in leadership; cat timp a lucrat la IBM, a sustinut mereu ca o companie de dimensiunile IBM trebuie sa investeasca in leadership de calitate, pentru a putea face fata schimbarilor rapide in tehnologie.

Voi incerca sa urmaresc cursul pana la capat. Cei care au propus cursul au demonstrat cum judecatile si concluziile la care a ajuns Carnegie acum cateva zeci de ani isi gasesc utilitatea acum, in era tehnologica, chiar mai mult decat in momentul in care ele au fost realizate.

s-a terminat cu joaca

Posted: October 21, 2009 in technical
Tags:

Pentru ca a trecut entuziasmul cu doctoratul, iar acum trebuie sa ma apuc de facut lucrari si publicat stuff la conferinte.

Ce conferinta listata nush unde de organisme destepte in IT ar putea sa accepte sa-mi publice mie jucarelele…nu stiu.

Pana una-alta insa, am examene de dat, iar ele suna cam asa:

Semestrul 1 Semestrul 2
Teoreme ZF Securitatea in sisteme multi-party
QoS in retelele IP (RSVP, MPLS, DPI) – Aplicatie in sisteme LTE Arhitectura MBMS – LTE
Autentificare versus Diameter pe sisteme LTE Tehnici de securizare a retelelor Ad-Hoc
n/a Practici recomandate in auditul securitatii informatice
n/a Rolul atacurilor de tip social engineering in CyberCrime
Metode recomandate de analiza a riscului in sistemele informatice n/a
n/a

short note to myself

Posted: October 13, 2009 in technical
Tags: , ,

Perl is like Java gone wild.

Cel putin in privinta mostenirii de/intre clase si instantierii de obiecte.

dileme existentiale

Posted: October 8, 2009 in technical
Tags: , ,

Am si eu o dilema. Da, inca una.

Situatia sta asa: am una bucata USIM, cu IMSI atasat, una bucata arie geografica in care s-a atasat acest USIM la reteaua identificata de VLRa. Am, ca urmare, un TMSI care identifica unic subscriberul pe acest VLRa si un CK cheie care cripteaza sesiunea curenta. Daca VLRa vrea sa-i schimbe TMSI-ul userului meu, atunci o face in mod securizat. Totul e ok, userul meu e fericit.

Apoi userul meu naravas schimba aria geografica, si se duce la VLRb. Cum userul meu e preocupat de securitate informatica, el nu vrea sa-si puna USIM-ul sa trimita IMSI-ul lui in clar, pe noua retea, catre VLRb. Atunci el se gandeste ca ar fi foarte cool ca VLRb sa poata vorbi securizat cu VLRa. In acest fel, USIM-ul userului ar trimite catre VLRb numai TMSI-ul anterior, inutil in noul context, si pe care nu e nevoit sa-l protejeze. El se asteapta ca VLRb sa ii ceara lui VLRa IMSI-ul corespunzator TMSI-ului trimis de USIM. Cum plecam de la premisa ca VLRa si VLRb au o relatie de “prietenie” si au incredere unul in celalalt, asta ar rezolva problema.

Numai ca pentru ca treaba asta sa mearga, ar trebui ca urmatoarele conditii sa fie indeplinite, _daca_ inteleg eu bine:

1. Relatia dintre “aria geografica” si VLR e de tipul 1-la-1. Da, nu, si daca da, pe ce release-uri? Oare e la fel si pe MSC-VLR din UMTS-Release 8 (LTE)?

2. CK e valabil numai pe o sesiune intre USIM/TMSI si VLR. –de bun simt, ca de-aia e cheie de sesiune

3. Care este marea utilitate a acestui TMSI? Doar sa “ascunda” IMSI-ul de transmiterea pe retea de prea multe ori? O data, initial, tot e trimis, deci de aici incolo am putea da mana libera CK-ului sa faca si identificare, si autentificare, si confidentialitate…sau nu?

4. Cum comunica intre ele doua VLR-uri, de la 2 provideri diferiti? Pe ce interfete? Cum stabilesc intre ei o relatie de incredere? PKI? PSK?…alt mecanism?

my favourite geek

Posted: October 6, 2009 in media-culture
Tags: ,

Imi place foarte tare serialul Criminal Minds, pe care monsieur il ia saptamanal. E unul dintre cele mai bune seriale de tip “profilers” pe care le-am vazut, ca sa nu mai zic ca sunt mare fan al serialelor politiste, mai ales cu detectivi. Am urmarit ani intregi fiecare episod din Columbo si din Murder, she wrote, incercand sa identific eu criminalul, alaturi de personajul principal.

Si, ca in orice film care se respecta, aveam idoli peste tot. Nu zic de marele Columbo sau de Jessica Fletcher, care nu mai au nevoie de nicio prezentare, ci vorbesc de Spencer Reid, geek-ul meu preferat din Criminal Minds.

Are intotdeauna cele mai tari replici, cele mai documentate pareri, e o enciclopedie ambulanta, are date exacte, o gandire clara si limpede si o intuitie extraordinare care-l fac indispensabil in orice investigatie.

Iar ca sa o citez pe o colega a lui, intr-unul din episoade, dupa ce Reid le-a dat niste date foarte exacte si detaliate despre un caz: “Hmmm…still he looks so human”.

Voi aveti un geek preferat?

moartea pasiunii

Posted: October 2, 2009 in thoughts
Tags: ,

Acum ceva ani, cand ma apucasem eu sa invat “retele” si “linux” credeam ca nu ma voi plictisi niciodata. Si inca ma straduiesc sa imi mentin entuziasmul, desi de multe ori sunt prea obosita pentru a mai avea orice fel de entuziasm si imi vine sa fac orice altceva mai putin retele sau linux.

Care e oare solutia pentru a mentine pasiunea si entuziasmul? Sa faci ce-ti place, sa te intorci acasa, si sa faci in continuare ce-ti place, sa nu te plictisesti, sa ai mereu energie pentru acele lucruri… Si, CE anume te face sa nu mai ai entuziasm. Vad pe cate un prieten mai mic cum ii stralucesc ochisorii cand ii arat nush ce comanda in bash sau pe colegii carora incep sa le arat chestii de IPsec. Trag tare si invata si, cel putin, o tipa a ajuns RAPID foarte tare pe ipsec, intr-un timp de cateva saptamani. Eu de ce nu mai sunt asa?

Poate pentru ca lucrez prea mult cu ele…poate ca am imbatranit…poate ca pur si simplu ma demotiveaza unii oameni sau chestii cu care sunt nevoita sa lucrez. Discutam cu un coleg despre o solutie acum cateva zile, faceam brainstorming pentru o solutie mai buna la niste dileme de-alea noastre si omul a zis o chestie care a marcat, in cateva cuvinte, ceea ce simteam de fiecare data cand ma loveam de situatia aia: “sa lucrezi cu <chestia asta>, frate, e de-a dreptul moartea pasiunii”