2014-10-22 14_28_34-fd-wv-fw02

Common Palo Alto Application Groups

There are a few application groups that I am almost always using at the customer’s site. These are groups for Microsoft Active Directory, file transfer, and print. Furthermore, I am using a group for all of the Palo Alto Networks management applications itself, a general management group, and two different groups for VPNs (GlobalProtect and site-to-site). Finally, I tested a group for the AVAYA VoIP systems.

Following are the set commands for these groups so that anyone can easily configure them through the CLI.

Continue reading

fd-wv-fw01.cfg-_172.16.1.1_IPv4IPv6-ds-l2-r1

IPv4 vs. IPv6 Traffic Statistics on Routers

I am very interested in statistics about the usage of IPv6 on Internet routers and firewalls. The problem is, that most routers/firewalls do not have unique SNMP OIDs for IPv4 and IPv6 traffic, but only the normal incoming/outgoing packet counters per interface. Therefore I am using two independent ethernet ports and cables between my outer router and my first firewall, one for IPv4-only and the other one for IPv6-only traffic. Now I have independent statistics for each protocol and can combine them in one summary graph. (Though I know that this will never be a “best practice” solution…)

Continue reading

Apache SSL Cipher Suites

Apache SSL Cipher Suites: Perfect Forward Secrecy

I was interested to tune my https sites with Apache to support only cipher suites that use the ephemeral Diffie-Hellman key exchange = perfect forward secrecy. But after searching a while through the Internet, only SSLCipherSuite with a few concrete algorithms were presented, while I wanted to use a more generic option such as known from “!MD5″. Here it is:

Continue reading

strom.cfg-strom-fdorf-ds-l2

Stromzähler mit S0-Schnittstelle vom Raspberry Pi auswerten

Endlich ist es soweit: Ich lese den Stromverbrauch von unserer Wohnung mit einem Raspberry Pi aus und lasse mir von meinem Monitoring Server (MRTG + Routers2) schöne Graphen malen. Hierfür verwende ich einen Stromzähler mit einer S0-Schnittstelle, welchen ich direkt in der Unterverteilung eingebaut habe. Die Impulse des “Smart Meters” wertet eine Interruptroutine am Pi aus. Der Monitoring Server wiederum fragt den Pi per SNMP ab. Viele kleine Schritte also, die ich in diesem Blogpost ausführlich erläutern möchte. Viel Spaß damit!

Continue reading

Sicheres WLAN

Sicheres WLAN: Was wirklich etwas bringt

Vor ein paar Tagen wurde ich über Twitter auf einen Artikel aufmerksam, der sich “Fünf Tipps für ein sicheres WLAN” nennt. Cool, so dachte ich, denn schließlich ist das eine oft gestellte Frage, wie man denn sein heimisches WLAN so absichern soll. Leider musste ich schnell feststellen, dass drei von den Tipps einfach falsch sind, da sie keine Relevanz für ein “sicheres WLAN” haben. Einer davon hat obendrein einen gegenteiligen Effekt, indem er sogar mehr über das eigene WLAN preis gibt, als ohne. Oh man! Ich verstehe nicht, wieso auch heute noch falsche Tipps fürs WLAN gegeben werden, wobei die Profis, die solche Artikel schreiben, es eigentlich besser wissen müssten.

Hier daher eine Auflistung der Tipps, die wirklich etwas bringen. Ergänzend natürlich auch die Begründung, wieso die anderen nichts bringen.

Continue reading

Advanced Tracerouting Featured Image

Advanced Tracerouting

A commonly misunderstanding of traceroute is that it fully relies on ping. “If I block ping at my firewall, no one can use traceroute to reveal my internal routing path”. Unfortunately this is not true. If traceroute is used with TCP SYN packets on permitted ports, all intermediary firewalls will handle the IP packets with TTL = 0 corresponding to the RFCs and will reply with an ICMP time exceeded packet to the origin.

Continue reading

Ping

Why Ping is no Security Flaw! (But your Friend)

One core topic when designing firewall policies is the following question: Is ping a security attack? Should ICMP echo-request messages be blocked in almost any directions?

My short answer: Ping is your friend. :) You won’t block hackers if you block ping. Instead, ping is quite useful for network administrators checking basic network connectivity. That is: I suggest to allow ping anywhere around, accept incoming connections from the Internet to the trusted networks.

Here comes a discussion:

Continue reading

P1270279 Saiten neu aufgezogen Featured Image

Akustikgitarrenbrücke nachverschraubt

Vor ein paar Wochen hat sich leider meine seit vielen Jahren genutzte 12-saitige Akustikgitarre von Höfner verabschiedet, da sich der Leim von der Brücke angefangen hat abzulösen. Ich war noch zum Kostenvoranschlag beim Gitarrenbauer, aber unter 300,- € wäre da nichts zu machen. Okay, der Preis geht in Ordnung, aber nicht für eine Gitarre, die das im Leben nicht mehr wert ist.

Also hieß es, selber Hand anlegen, denn gleich eine neue kaufen wollte ich nicht. Aber anstatt einen auf Gitarrenbauer/Schreiner zu machen indem ich die Brücke hätte lösen und neu verleimen müssen (was mir definitiv nicht gelungen wäre!), habe ich kurzerhand vier Schrauben durch die Brücke gejagt und unter der Decke mit zwei Verbindungsblechen gekontert. Jetzt hält die Schose wieder und ich habe nicht nur meine 12-Saiter wieder, sondern auch ordentlich Geld gespart. ;) Ok, zugegeben, jeder Gitarrenprofi oder -bauer würde mich dafür grün und blau schlagen, aber egal. Hören tu ich auf jeden Fall keinen Unterschied.

Hier kommen ein paar vorher/nachher Fotos:

Continue reading

PA Antivirus Profile Featured Image

Palo Alto blocks SMTP Virus with 541 Response

While preparing for some Palo Alto Networks certifications I read something about the antivirus capabilities of blocking viruses via email by sending an SMTP response code of 541 to the sender (link). This was new for me since I thought the Palo Alto would only block IP connections (TCP RST) but not send layer 7 messages (SMTP codes). But actually, it does so by spoofing the IP address of the destination SMTP host. Cool stuff. Of course, I needed to test this. Here we go. ;)

Continue reading

OSPF Lab Featured Image

OSPF for IPv4 Test Lab: Cisco Router & ASA, Juniper SSG & Palo Alto

I tested OSPF for IPv4 in my lab: I configured OSPF inside a single broadcast domain with five devices: 2x Cisco Router, Cisco ASA, Juniper SSG, and Palo Alto PA. It works perfectly though these are a few different vendors.

I will show my lab and will list all the configuration commands/screenshots I used on the devices. I won’t go into detail but maybe these listings help for a basic understanding of the OSPF processes on these devices.

Continue reading