ISE 3.1: Error al importar un certificado wildcard en un segundo nodo de gestión

En un despliegue de cluster con dos nodos actuando como PAN, MnT y PSN. La importación de un nodo de tipo wildcard para los portales falla, se importa correctamente en el primer nodo, pero no en el segundo. Al intentar volver a importarlo en el segundo nodo, falla con el siguiente mensaje:

“You are attempting to import/generate/update a certificate which exactly matches with existing certificate in the system having same subject and same public key. Please retry the operation with certificate having either a different subject or a different public key than existing certificate.”

Para solucionar este problema, intenta con estos pasos:

  1. Crea un certificado autofirmado y mueve los usos del certificado wildcard a este nuevo certificado.
  2. El certificado de tipo wildcard afectado, aparece como «not in use».
  3. Elimina el certificado de tipo wildcard afectado y vuelve a importarlo sin seleccionar un uso.
  4. El certificado debería importarse en ambos nodos en esta ocasión.
  5. Edita el certificado wildcard que se acaba de importar y asigna los usos deseados.
  6. Elimina los certificados que no estén en uso.

Espero que estos pasos ayuden a otros a solucionar este problema.

Reglas de firewall para Cisco ISE, puertos por usados por persona

La siguiente tabla muestra las reglas necesarias en un firewall para las comunicaciones de ISE. La información recogida en este post no es oficial, ha sido recogida del manual de Cisco en la URL: https://www.cisco.com/c/en/us/td/docs/security/ise/3-1/install_guide/b_ise_InstallationGuide31/b_ise_InstallationGuide31_chapter_7.html se presenta dicha información en formato tabla y agregando el orígen y el destino para cada regla, en aquellas en las que ha sido posible identificarlos.

Puedes descargar la tabla en formato excel desde este enlace.

Sigue leyendo

Error de autenticación 802.1x mediante certificado en ISE

En un cliente hemos encontrado el siguiente problema, la autenticación de usuarios 802.1x mediante certificado falla y aparece el siguiente error en el live log de ISE:

OpenSSLErrorMessage SSL alert: code=0x22E=558 ; source=local ; type=fatal ; message=»certificate unknown.ssl/statem/statem_srvr.c:3800 error:1417C086:SSL routines:tls_process_client_certificate:certificate verify failed [error=337100934 lib=20 func=380 reason=134]»

Hay poca documentación al respecto, en este hilo de free radius se apunta a las EKU del certificado como motivo. Dado que la autenticación de máquina sí que funcionaba tras comparar los certificados y realizar varias pruebas con las propiedades de EKU, llegamos a la conclusión de que el error derivaba de que el certificado tenía marcada como crítica la clave EKU. Una vez no configurada como crítica la clave EKU la autenticación funciona perfectamente, este error también se extendía a equipos IPHONE, softphone AVAYA y posiblemente a otros dispositivos que usen las librerías de OPENSSL para la comprobación del certificado.

Configurar túnel site to site FlexVPN con IP dinámica (DHCP) con routers Cisco

Esta configuración es muy sencilla cuando se encajan todas las piezas. Se debe utilizar FlexVPN en modo cliente/servidor, se puede elegir diferentes modos de autenticación: certificado, radius, tacacs+…En este artículo se utilizará la más sencilla, usuario y contraseñas locales.

Se utilizará un laboratorio ejecutado en el fantástico eve-ng :). El laboratorio utilizado es el siguiente:

Sigue leyendo

Comprobar actualizaciones de las firmas antimalware por cli en Checkpoint Endpoint Server

Si fallan las actualizaciones de las firmas antimalware, para ver un log de lo que sucede, iniciando dos sesiones ssh, en una de ellas se ejecuta:

cd $UEPMDIR/engine/conf/updates/bin/kav8
./keepup2date8.sh –download –simplelic –xmlfile confZLToProduction.xml –journal update.log

Y en la otra ejecuta se hace un tail del log:

tailf update.log

Por supuesto también se puede ejecutar en una sola sesión ssh y ver el log una vez finalizado el intento de actualización

Checkpoint: Los usuarios de VPN de acceso remoto, reciben direcciones IP reservadas en ipassignment.conf

Tras configurar la reserva de direcciones IP en el archivo $FWDIR/conf/ipassignment.conf, y aplicar la política, en los logs se observa que esas direcciones son asignadas a otros usuarios. Para solucionar este comportamiento, hay que utilizar distintas redes para Officemode y para ipassignment.conf. Esto se puede hacer mediante la segmentación de la red utilizada para Officemode, la pool VPN vamos o utilizando dos redes totalmente diferentes.

Una vez configurado con distintas redes, si está activado el Antispoofing para la interfaz de Internet, hay que añadir la red utilizada en $FWDIR/conf/ipassignment.conf a las excepciones de Antispoofing para dicha interfaz.

Configurar VPN con doble autenticación mediante certificados en Checkpoint R80.10

En este post resumo los pasos a seguir para configurar la autenticación de usuarios, mediante certificado y/o doble autenticacióm con certificado y usuario y contraseña para VPN de acceso remoto; ya sea para usuarios internos o de Active Directory (con pequeños cambios sirve para LDAP).

Sigue leyendo

Wake On Lan on Firepower Thread Device (FTD)

In ASA you configure a NAT like this (for more detail on that go here):

nat (outside,inside) source static any interface destination static interface Broadcast service WakeOnLan WakeOnLan unidirectional no-proxy-arp

Unfortunately this kind of NAT doesn’t work on FTD (version 6.2.1), if you do a packet tracer it seems to work, but it doesn’t.

Sigue leyendo

Cosas que deben mejorar en: / Thinks that must be improved in: Cisco Firepower Management Center

En este post voy a ir incluyendo cosas que deben mejorar en Cisco Firepower, que hay…

1-Incluir un checkbox para marcar/desmarcar todas las opciones en system>Tools>import/export / Add a checkbox to check/uncheck all options in system>Tools>Import/export page

2-Ampliar el espacio para ver las ACEs en Access Conprol Policy / Improve space to see ACEs in Access Control Policy.

El espacio utilizado por: 1 es contenido estático, 3 es contenido estático vacío y 2 es el utilizado por el contenido que nos interesa. La suma de 1 y 3 equivale al 40,5% del total, que se utiliza con contenido inútil para la tarea de editar políticas. Sin embargo el contenido útil es de 30,2 % que según los objetos que tengas en la regla tan solo permite ver una o dos reglas, esto es bastante engorroso a la hora de moverte por la ACL. La propuesta sería añadir un botón para maximizar/minimizar la capa que muestra las ACE, permitiendo de esta manera utilizar todo el espacio del contenido estático pasando del 30% al 70% del espacio útil.

The space used by: 1 is static content, 3 is empty static content and 2 is the useful space. The sum of 1 and 3 is the 40,3 percent of the total space, and it’s used to show static useless content. Instead the useful content is only the 30,2 %, depending on the number of object of the rule it allows you to see only 1 or 2 rules, this is very annoing when you need to navigate through the ACL. A possible solution is to add a button to allow you to maximize/minimize the ACE layer, that will increase the useful space from 30% to 70%.

3-Mejorar la búsqueda de reglas (ACE) en la pantalla de edición de una ACL / Improve the search of rules (ACE) in the ACL edition screen

Parece mentira que en pleno siglo 21 se desarrolle una función de búsqueda tan limitada y engorrosa, las funciones de búsqueda en general son bastante pobres, siguiendo filosofías de los 90 principios de los 2000. En este caso en concreto observo las siguientes limitaciones:

 

4 -Ordenar el menú de secciones de System>Configuration de forma alfabética / Sort alphabetically the sections’ menu in System>Configurations:

5-Access-list:

5.0- Agregar el número de veces que se ha utilizado una regla. / Add hit count to the rules.

5.1- Búsquedas/Search:

Al realizar una búsqueda, no es necesario ver todas las reglas, me gusta más (y esto es una preferencia personal) filtrar las reglas y mostrar solo las que coinciden con la búsqueda / Show only rules that match search criteria (this a personal choice).

5.2- Usar los tooltips de forma más útil / Use tooltips in a more useful way:

Al situar el puntero sobre un grupo, mostrar los objetos que contiene el grupo, en lugar del número total de objetos, que de poco sirve cuando estás estudiando una regla. De hecho debería ser una capa con scrollbar para poder mostrar grupos grandes Esto es especialmente importante ya que la única manera de ver el contenido de un grupo es abrir el objeto en sí, y es muy engorroso. / At mouse over a group object, show the elements of the group, instead of the number of elements, which gives you non relevant information when you are trying to figure the sense of a rule. In fact it should be a layer with ability to scroll the content, being able to show large groups. This is an important feature, because the only way to know the elements of a group is opening the object itself and that’s annoying.

5.3- Situar el foco del teclado al editar una regla / Set the keboard focus when edit a rule:

Al abrir una regla en edición, situar el foco del teclado en el primer campo de búsqueda de elementos que pertoque, según la pestaña abierta, de forma que si solo hay un elemento, se puede proceder a buscar directamente y si hay más de uno, se puede mover con el tabulador rápidamente. / Set the keyboard focus to the first search field of the opened section, whe opening a rule in edit mode. If there is only one type of element to search you can search directly, and if more than one, you can move easily with tab key.

5.4- Capturar la combinación de teclas control+F para situar el teclado en el campo de búsqueda, en lugar de abrir la búsqueda del navegador. / Capture control+F shortcut to put the keyboard focus on the search field, instead of opening the browser’s search.

6 Objetos / Objects:

6.1- Permitir eliminar objetos mediante la tecla supr. / Allow to remove objects by key supr.

6.2- Permitir la búsquda de objetos no utilizados. / Allow to search unused objects.