Archivo de la etiqueta: Cisco

Error de autenticación 802.1x mediante certificado en ISE

Deja un comentario

En un cliente hemos encontrado el siguiente problema, la autenticación de usuarios 802.1x mediante certificado falla y aparece el siguiente error en el live log de ISE:

OpenSSLErrorMessage SSL alert: code=0x22E=558 ; source=local ; type=fatal ; message=»certificate unknown.ssl/statem/statem_srvr.c:3800 error:1417C086:SSL routines:tls_process_client_certificate:certificate verify failed [error=337100934 lib=20 func=380 reason=134]»

Hay poca documentación al respecto, en este hilo de free radius se apunta a las EKU del certificado como motivo. Dado que la autenticación de máquina sí que funcionaba tras comparar los certificados y realizar varias pruebas con las propiedades de EKU, llegamos a la conclusión de que el error derivaba de que el certificado tenía marcada como crítica la clave EKU. Una vez no configurada como crítica la clave EKU la autenticación funciona perfectamente, este error también se extendía a equipos IPHONE, softphone AVAYA y posiblemente a otros dispositivos que usen las librerías de OPENSSL para la comprobación del certificado.

Wake On Lan on Firepower Thread Device (FTD)

Deja un comentario

In ASA you configure a NAT like this (for more detail on that go here):

nat (outside,inside) source static any interface destination static interface Broadcast service WakeOnLan WakeOnLan unidirectional no-proxy-arp

Unfortunately this kind of NAT doesn’t work on FTD (version 6.2.1), if you do a packet tracer it seems to work, but it doesn’t.

Sigue leyendo

Cosas que deben mejorar en: / Thinks that must be improved in: Cisco Firepower Management Center

Deja un comentario

En este post voy a ir incluyendo cosas que deben mejorar en Cisco Firepower, que hay…

1-Incluir un checkbox para marcar/desmarcar todas las opciones en system>Tools>import/export / Add a checkbox to check/uncheck all options in system>Tools>Import/export page

2-Ampliar el espacio para ver las ACEs en Access Conprol Policy / Improve space to see ACEs in Access Control Policy.

El espacio utilizado por: 1 es contenido estático, 3 es contenido estático vacío y 2 es el utilizado por el contenido que nos interesa. La suma de 1 y 3 equivale al 40,5% del total, que se utiliza con contenido inútil para la tarea de editar políticas. Sin embargo el contenido útil es de 30,2 % que según los objetos que tengas en la regla tan solo permite ver una o dos reglas, esto es bastante engorroso a la hora de moverte por la ACL. La propuesta sería añadir un botón para maximizar/minimizar la capa que muestra las ACE, permitiendo de esta manera utilizar todo el espacio del contenido estático pasando del 30% al 70% del espacio útil.

The space used by: 1 is static content, 3 is empty static content and 2 is the useful space. The sum of 1 and 3 is the 40,3 percent of the total space, and it’s used to show static useless content. Instead the useful content is only the 30,2 %, depending on the number of object of the rule it allows you to see only 1 or 2 rules, this is very annoing when you need to navigate through the ACL. A possible solution is to add a button to allow you to maximize/minimize the ACE layer, that will increase the useful space from 30% to 70%.

3-Mejorar la búsqueda de reglas (ACE) en la pantalla de edición de una ACL / Improve the search of rules (ACE) in the ACL edition screen

Parece mentira que en pleno siglo 21 se desarrolle una función de búsqueda tan limitada y engorrosa, las funciones de búsqueda en general son bastante pobres, siguiendo filosofías de los 90 principios de los 2000. En este caso en concreto observo las siguientes limitaciones:

 

4 -Ordenar el menú de secciones de System>Configuration de forma alfabética / Sort alphabetically the sections’ menu in System>Configurations:

5-Access-list:

5.0- Agregar el número de veces que se ha utilizado una regla. / Add hit count to the rules.

5.1- Búsquedas/Search:

Al realizar una búsqueda, no es necesario ver todas las reglas, me gusta más (y esto es una preferencia personal) filtrar las reglas y mostrar solo las que coinciden con la búsqueda / Show only rules that match search criteria (this a personal choice).

5.2- Usar los tooltips de forma más útil / Use tooltips in a more useful way:

Al situar el puntero sobre un grupo, mostrar los objetos que contiene el grupo, en lugar del número total de objetos, que de poco sirve cuando estás estudiando una regla. De hecho debería ser una capa con scrollbar para poder mostrar grupos grandes Esto es especialmente importante ya que la única manera de ver el contenido de un grupo es abrir el objeto en sí, y es muy engorroso. / At mouse over a group object, show the elements of the group, instead of the number of elements, which gives you non relevant information when you are trying to figure the sense of a rule. In fact it should be a layer with ability to scroll the content, being able to show large groups. This is an important feature, because the only way to know the elements of a group is opening the object itself and that’s annoying.

5.3- Situar el foco del teclado al editar una regla / Set the keboard focus when edit a rule:

Al abrir una regla en edición, situar el foco del teclado en el primer campo de búsqueda de elementos que pertoque, según la pestaña abierta, de forma que si solo hay un elemento, se puede proceder a buscar directamente y si hay más de uno, se puede mover con el tabulador rápidamente. / Set the keyboard focus to the first search field of the opened section, whe opening a rule in edit mode. If there is only one type of element to search you can search directly, and if more than one, you can move easily with tab key.

5.4- Capturar la combinación de teclas control+F para situar el teclado en el campo de búsqueda, en lugar de abrir la búsqueda del navegador. / Capture control+F shortcut to put the keyboard focus on the search field, instead of opening the browser’s search.

6 Objetos / Objects:

6.1- Permitir eliminar objetos mediante la tecla supr. / Allow to remove objects by key supr.

6.2- Permitir la búsquda de objetos no utilizados. / Allow to search unused objects.

Configurar la interfaz de gestión en un Cisco CSS

Deja un comentario

Los CSS de Cisco difieren bastante del resto de dispositivos en cuanto a comandos y configuración se refiere, mientras que en la mayoría de los dispositivos para configurar una intefaz hay que entrar en la consola de configuración y, acto seguido, entrar en la interfaz deseada para introducir los comandos que la configuran (ip address, description, vlan etc..) en los CSS no tiene absolutamente nada que ver y configuras las ipés de forma totalmente diferente. El caso que ocupa este post es configurar la interfaz de gestión. Una vez iniciada la sesión en el dispositivo hay que introducir:

CSS# config
CSS (config)# boot
CSS (config-boot)# ip address 10.54.9.8

%% System must be rebooted for IP address to take effect

CSS (config-boot)# subnet mask 255.255.255.0

%% System must be rebooted for subnet mask change to take effect

CSS (config-boot)# gateway address 10.54.9.1

Tal y como nos indica el propio CSS para que estos cambios surjan efecto es necesario reiniciar el dispositivo, así que si está en producción se debe realizar fuera del horario laboral o programar un reinicio teniendo en cuenta llegar al trabajo antes que el resto para comprobar que todo funcione como debe 🙁 gajes del oficio…

La verdad que estas divergencias en la administración de los dispositivos Cisco es algo que no acabo de asimilar y no deja de sorprenderme, se puede interpretar como una derivación de adquirir otras empresas y no acabar de pulir las cosas o quizás busque promover de esta forma la necesidad de certificarse con ellos… sea cual sea el motivo, el resultado es que dificulta la administración de una red compuesta por sus productos y da la impresión de no ser capaz de seguir una linea clara en el desarrollo de sus IOS, aunque supongo que se lo puede permitir por su posición en el mercado.

¿Como saber el CSS qué está activo?

Deja un comentario

Una de las primeras preguntas que me surgió al tratar con estos dispositivos es ¿Como qué CSS está activo? Para poder realizar esta pregunta hay que encontrarse en un escenario con dos CSS configurados para alta disponivilidad compartiendo una IP mediante HSRP claro está. Tras intentar usar el comando de los Cisco ASA «show failover» y ver que fallaba tuve que charlar sobre el tema con mi amigo Google quien, naturalmente, me mostró el camino. Una vez iniciada la sesión tan solo hay que ejecutar el comando «show virtual-routers» que produce está salida en el terminal:

CSS1# show virtual-routers

Virtual-Routers:

Interface Address: 10.30.4.5       VRID: 10
Priority:      253                     Config. Priority:  253
State:         Master                  Master IP:         10.30.4.5
State Changes: 23                      Last Change:       01/29/2009 04:59:01
Preempt:       True                    Last Fail Reason:  IF Down
Last Clearing of Stat Counters:  01/07/2009 19:04:10

Critical-Services:
CRITICAL                    State: Alive       Type: Scripted

Interface Address: 10.30.4.5       VRID: 100
Priority:      253                     Config. Priority:  253
State:         Master Master IP:         10.30.4.5
State Changes: 23                      Last Change:       01/29/2009 04:59:01
Preempt:       True                    Last Fail Reason:  IF Down
Last Clearing of Stat Counters:  01/07/2009 19:04:10

Critical-Services:
CRITICAL                    State: Alive       Type: Scripted

Interface Address: 17.16.4.13          VRID: 200
Priority:      253                     Config. Priority:  253
State:         Master Master IP:         17.16.4.13
State Changes: 2                       Last Change:       01/07/2009 19:04:15
Preempt:       True                    Last Fail Reason:  Critical Svc Down
Last Clearing of Stat Counters:  01/07/2009 19:04:10

Critical-Services:
CRITICAL                    State: Alive       Type: Scripted

La salida no será exactamente así ya que además de haber cambiado las ips se ha realizado con un solo CSS encendido, lo importante es ver que interfaz (en realidad qué IP) tiene el State en modo Master