RFC 791

WiFi Rogue-Access Point

Christian Book — Tue, 25 Oct 2011 18:15:26 +0000

Ein einfach zu realisierender Angriff auf WLAN-Infrastrukturen ist der Einsatz von eigenen WLAN Access Points, die sich als legitimer Zugangspunkt ausgeben und damit das Vertrauen der Anwender erschleichen. Um einen Access Point zu simulieren, wird beispielsweise ein Notebook so konfiguriert, dass es sich als ein WLAN Access Point ausgibt. Dabei wird entweder ein bestehender Service Set Identifier (SSID) in der Umgebung benutzt, oder der Angreifer wählt eine beliebige SSID, die das Vertrauen potentieller Opfer erlangt und diese zur Einwahl bewegt. Ein solcher Access Point wird als Rogue Hotspot bezeichnet.

Sofern eine bestehende SSID kopiert wird, entscheidet die Signalstärke über den Erfolg des Angriffs. Ist die Signalstärke des Rogue Access Point stärker, so wird jeglicher Datenverkehr über ihn geleitet werden, da das Betriebssystem des sich einwählenden Computers automatisch den signalstärkeren Access Point mit gleicher SSID ausgewählt. Alle IP-Pakete werden nun über den Roque Access Point geleitet; der Angreifer wird dadurch zum Man-in-the-Middle und kann aus einer unverschlüsselten Datenkommunikation Informationen auslesen und Inhalte manipulieren.
Besonders häufig werden Rogue Access Points in Hotels, auf Flughäfen und an anderen öffentlichen Orten eingesetzt, an denen WLAN-basierte Internetverbindungen angeboten werden. Dabei ist die Auswahl der Opfer jedoch eher zufällig, sodass diese Lokalitäten im Wesentlichen für finanziell motivierte Angreife verwendet werden. Insbesondere bei Diensten, bei den zunächst lediglich die Startseite des Anbieters aufgerufen werden kann und der Anwender sich durch Eingabe von Kreditkartendaten den Zugriff auf das Internet freischalten muss, wird als lukratives Ziel angesehen: der Angreifer kopiert die Portal-Seite des Anbieters und fordert den Anwender auf, die Kreditkartendaten einzugeben…

Insbesondere für die Industriespionage werden Rogue Access Points in Unternehmen verwendet. Sehr leistungsstarke Access Points werden dabei mit der SSID des firmeneigenen Access Points versehen. Damit werden die mittels WLAN angebundenen Endgeräte dazu gebracht, den Roque Hotspot zu verwenden und alle Daten über das System des Angreifers zu leiten.

Es ist insbesondere für nicht sensibilisierte Anwender kaum möglich, einen Rogue Access Point von einem legitimen Access Point zu unterscheiden. Ab 2012 sollen nach den Vorgaben der WiFi Alliance alle Hotspots über erweiterte Sicherheitsfunktionen verfügen, die den Einsatz von Roque Access Points erschweren sollen. Als Anwender kann zudem die Verwendung eines VPN-Tunnels helfen, sensiblen Datenverkehr durch potentiell unsichere Netzwerke zu übertragen. Durch den VPN-Tunnel sind alle übertragenden Daten verschlüsselt und auch am Access Point nicht einsehbar.

ICMP – Types & Codes

Christian Book — Mon, 07 Jun 2010 09:04:54 +0000

Das RFC 792 aus dem Jahr 1981 definiert unter der Bezeichnung Internet Control Message Protocol – kurz ICMP - ein Protokoll spezifiziert, das dem Austausch von Informations- und Fehlermeldungen über das Internet-Protokoll dient. ICMP ist nach Definition vorgeschriebener Bestandteil von IPv4-Implementationen, wird aber als eigenständiges Protokoll behandelt.

ICMP ist spezifiziert für die Version 4 des Internet Protocols (IPv4). Das Protokoll Internet Control Message Protocol for the Internet Protocol Version 6 (ICMPv6) ist als Gegenstück in IPv6-Umgebungen.

ICMP-Nachrichten werden als Nutzlast in IP-Datagramme eingekapselt. Dabei sind im IP-Header der Servicetyp 0 und die Protokollnummer 1 gesetzt. Im Fall von ICMPv6 lautet die Protokollnummer 58. Um verschiedene Aufgaben und Zustände übermitteln zu können, bietet ICMP verschiedene Typen und Codes. Zu jedem Typ kann es mehrere Codes geben, die den Typ genauer spezifizieren.

Die nachfolgende Tabelle zeigt die wichtigsten Typen und Codes von ICMP (in Version 4).

Typ	Typ-Name	Code	Interpretation
0	Echo Antwort	0	Echo-Antwort
3	Ziel nicht erreichbar	0	Netzwerk nicht erreichbar
		1	Host nicht erreichbar
		2	Protokoll nicht erreichbar
		3	Port nicht erreichbar
		4	Fragmentierung nötig, Don’t Fragment aber gesetzt
		5	Route nicht möglich (die Richtung in IP-Header-Feld Option falsch angegeben)
		6	Ziel-Netzwerk unbekannt
		8	Quell-Host isoliert
		9	Kommunikation mit Ziel-Netzwerk administrativ verboten
		10	Kommunikation mit Ziel-Host administrativ verboten
		11	Ziel-Netzwerk für Service-Typ nicht erreichbar
		12	Ziel-Host für Service-Typ nicht erreichbar
		13	Kommunikation administrativ verboten (Ursache: Packet wird von der Firewall des Empfängers geblockt)
4	Entlasten der Quelle	0	Datagramm verworfen, da Warteschlange voll
5	Umleitung	0	Datagramm umleiten
8	Echo Anfrage	0	Echo-Anfrage („Ping“)
11	Zeitlimit überschritten	0	Lebensdauer (TTL) abgelaufen
		1	Zeitlimit während der Defragmentierung überschritten
13	Zeitstempel Anfrage	0	Anforderungen der aktuellen Systemzeit
14	Zeitstempel Antwort	0	Meldung der aktuellen Systemzeit
17	Subnetz Anfrage	0	Anforderungen der aktuellen Subnetz-Maske
18	Subnetz Antwort	0	Meldung der aktuellen Systemzeit
30	Traceroute	0	Traceroute

Die bekannteste Anwendung von ICMP ist die Applikation “Ping”. Dabei wird ein ICMP-Paket vom Typ 8 Code 0 (Echo Anfrage) an ein entferntes Gerät verschickt. Erhält der Absender ein ICMP-Paket vom Typ 0 Code 0 zurück, ist das entsprechende Gerät auf Netzwerk-Ebene (Layer 3) erreichbar. Bleibt dieses Paket aus, gibt es Probleme in der IP-Kommunikation. Ping wird daher häufig als erstes Hilfsmittel im Debugging von IP-Netzwerken eingesetzt.

RFC 5735 gibt IPv4-Adressen frei

Christian Book — Mon, 18 Jan 2010 20:25:26 +0000

Mit dem Request for Comments: 5735 werden bisher blockierte Adressbereich des IPv4-Adressraums nutzbar. Das im Januar 2010 verfasste RFC 5735 hebt Reservierungen der Adressbereiche 14.0.0.0/8, 128.0.0.0/16, 191.255.0.0/16 und 223.255.255.0./24 auf. Auch die Adressblöcke 24.0.0.0/8 und 39.0.0.0/8 können nun von den regionalen Registrierungsstellen wie RIPE oder ARIN vergeben werden.

Weiterhin stehen unter der Bezeichnung TEST-NET-1/2/3 die Adressbereiche 192.0.2.0/24, 198.51.100.0/24 sowie 203.0.113.0/24 nun für Dokumentationszwecke zur Verfügung. Durch die Freigabe der Adressbereiche erhoffen sich die verwaltenden Stellen eine Verfügbarkeit von IPv4-Adressen bis Mitte 2011. Spätestens dann werden alle verfügbaren Adressen vergeben sein und die Umstellung auf IPv6 erfolgen müssen.

Eine aktuelle Übersicht über die IP-Adressräume von IPv4 und IPv6 gibt es hier.

Switch Forwarding Modes

Christian Book — Wed, 30 Sep 2009 19:14:39 +0000

Ethernet-Switching kann auf drei unterschiedliche Methoden durchgeführt: Store-and-Forward, Cut-Through und Fragment-Free. Diese Verfahren unterscheiden sich in der Arbeitsweise ihrer Fehlererkennung, was deutliche Varianzen in den Latenzzeiten (Latency) zur Folge hat.

Die folgende Tabelle stellt die drei Modi gegenüber.

Modus	Beschreibung	Latenz
Store-and-Forward	Der gesamte Ethernet-Frame wird zwischengespeichert, die Checksumme (CRC) wird untersucht und der gesamte Frame wird auf korrekte Größe untersucht (Ethernet: 64 – 1518 Byte).	relativ hoch, variiert je nach Größe des Frames
Cut-Through	Der Frame wird weitergeleitet, sobald die MAC-Adresse des Ziels (die ersten 6 Byte) eingetroffen und gegen die MAC Address Table geprüft wurde. Zwischengespeichert werden nur die ersten sechs Byte.	geringst, feste Latenz durch Pufferung der ersten sechs Byte jedes Frames
Fragment-Free	Sobald die ersten 64 Byte es Frames eingetroffen sind, wird der Frame weitergeleitet. Lediglich die ersten 64 Byte werden zwischengespeichert, da Ethernet-Kollisionen meist in den ersten 64 Byte auftreten.	gering, feste Latenz durch Pufferung der ersten 64 Byte jedes Frames

Cisco Debugging – Paketanalyse auf der CLI

Christian Book — Fri, 19 Jun 2009 09:39:37 +0000

Das Debugging, also das Auffinden und Beheben von Problemen und Störungen gehört zu den wichtigsten Aufgaben jedes Administrators. Systeme von Cisco Systems bieten eine sehr schöne Möglichkeit zum Debugging auf dem Command Line Interface (CLI).

Terminal Monitor

Sofern die Verbindung zwischen dem PC und dem Gerät über den seriellen Anschluss (Console) hergestellt wird, werden alle Debugging-Ausgaben auf dem PC ausgegeben. Erfolgt die Kommunikation jedoch über Telnet oder SSH, werden die Ausgaben des Debuggings nicht direkt ausgegeben. Um die Ausgabe der Meldungen auf den Terminal-Sitzung umzuleiten, wird der Befehl terminal monitor verwendet.

Router#terminal monitor

Dabei ist zu beachten, dass jeweils nur eine Sitzung die Ausgaben empfangen kann. Mehrere parallel arbeitende Administratoren können sich demnach gegenseitig behindern.

Debugging aktivieren

Um das Debugging zu starten, wie der Befehl debug im globalen Modus verwendet. Mittels debug ? kann die Liste der verfügbaren Debuggings aufgerufen werden.

Router#debug ?

Durch die umfangreiche Hierachie kann das Debugging zielführend konfiguriert werden. Die Hierachie entspricht im Wesentlichen dem zur Konfiguration eingesetzten Aufbau.

Debugging von IP-Datenverkehr

Beispielhaft wird hier der gesamte IP-Datenverkehr des Routers analysiert. Dazu sollen ale IP-Pakete analysiert und detailliert dargestellt werden.

Router#debug ip packet detail

Debugging von IP-Datenverkehr mittels ALCs

Mit dem oben vorgestellten Debugging erhält der Administrator eine Vielzahl von Informationen über den IP-Datenverkehr, der auf dem Gerät stattfindet. In der Regel führt dies jedoch nicht zum Ziel, da die Informationen ungefiltert ausgegeben werden. Um das Debugging besser steuern zu können, lassen sich Access Controll Lists (ACLs) definieren. Diese werden zunächst in die Konfiguration geschrieben, ehe sie für das Debugging verwendet werden können. Der grundsätzliche Aufbau einer ACL sieht folgenden Aufbau vor:

access-list

Um beispielsweise den Datenverkehr von Netz 10.0.0.0/24 zum Host 10.1.1.4 zu analysieren, wird die folgende ACL in die Konfiguration des Routers geschrieben:

Router(config)#access-list 101 permit ip 10.0.0.0 0.0.0.255 host 10.1.1.4

Nach dem ACL angelegt ist, kann das Debug-Kommando um die ID der ACL ergänzt werden:

Router#debug ip packet detail 101

Nun werden lediglich die IP-Pakete analysiert, die der ACL entsprechen. So kann durch den Einsatz geeigneter Access Controll Lists die Anzahl der Pakete im Debugging drastisch reduziert werden. Dies erleichert dem Adminstrator die Analyse und vermindert die Auslastung des Systems. Die Access Controll Lists können auch über einen ACL-Generator erzeugt werden.

Debugging deaktivieren

Um das Debugging einer einzelnen Funktion zu beenden, wird der zu Aktivierung verwendet Ausdruck verwendet. Jedoch wird debug durch undebug ersetzt. Sollen alle Debugging-Vorgänge beendet werden, kann der Befehl undebug all genutzt werden.

Router#undebug ip packet detail 101

Anonymes surfen: HTTP-Verkehr durch SSH tunneln

Christian Book — Fri, 24 Apr 2009 20:28:51 +0000

Immer mehr Unternehmen bekommen negative Presse, weil sie ihre Mitarbeiter ausspionieren. Insbesondere das Auswerten von Internet-Zugriffen ist dabei technisch problemlos möglich und schwer nachweisbar. Wer sich also ungern ausspionieren lässt oder häufig in Netzen arbeitet, denen er im Bezug auf die Netzwerksicherheit nicht vertraut, der sollte die folgende Lösungen anschauen. Es wird beschrieben, wie mit einem einfachen (virtuellen) Server und etwas Freeware der gesamte HTTP-Datenverkehr das lokale Netzwerk verschlüsselt durchquert.

1. Voraussetzungen

Für das folgende Szenario wird ein Linux-Server benötigt, auf dem admistrative Berechtigungen bestehen. Weiterhin müssen in der Firewall die Ports 3128 (Squid-Proxy) und 22 (SSH) freigegeben werden.

2. Installation des Proxy-Servers

Zunächst wird der Proxy-Server Squid, einer der meistverbreitesten seiner Art, installiert. In der Regel kann Squid über den Paketverwaltungsdienst installiert werden (bspw. apt-get install squid). Unbedingt beachtet werden sollten die Hinweise des BSI zur Sicherheitsuntersuchung der Squid Proxy-Servers. Hier werden wichtige Hinweise zur Absicherung des Servers gegeben. Weitere Konfigurationen sind nicht notwendig.

3. Konfiguration von PuTTY

Das Programm PuTTY ist ein freier SSH/Telnet-Client, der kostenfrei bezogen werden kann. Es steht für alle gängigen Betriebssysteme zur Verfügung.
Nach dem Ausführen erscheint zunächst eine Eingabemaske, in der die IP-Adresse und der SSH-Port des Servers eingegeben werden muss. Über das Menü Connection > SSH > Tunnels kann die Tunnel-Konfiguration erreicht werden. Der lokale Source-Port kann entsprechend der Richtlinien zur Portvergabe frei gewählt werden. Jeder Datenverkehr, der das lokale System auf diesem Port erreicht, wird von nun an über den SSH-Tunnel an den Server übertragen. Als Destination-Adress dient die Kombination der Server-Adresse und des Squid-Ports, in der Regel Port 3128. Nachdem diese Einstellungen gespeichert wurden, kann die Verbindung zum Server nun aufgebaut werden.

Konfiguration eines SSH-Tunnels mittels PuTTY - 1

Konfiguration eines SSH-Tunnels mittels PuTTY - 2

Wichtig: PuTTY bzw. die Verbindung zum Server darf keinesfalls beendet werden, sonst ist ein verschlüsselter Internet-Zugriff nicht möglich!

4. Konfiguration der Internetverbindung

Nachdem der Server nun als Proxy-Server arbeitet und ein SSH-Tunnel zwischen dem lokalen System und der Server aufgebaut ist, muss nun der Internet-Datenverkehr in diesen SSH-Tunnel geleitet werden. Dazu muss in den Internetoptionen lediglich die Option Proxy-Server aktiviert werden. Als Server-Adresse wird localhost verwendet, als Port der im Abschnitt 3 definierte lokale Source-Port.

Konfiguration der Internet-Einstellungen zur Nutzung eines Proxy-Servers – 1

Konfiguration der Internet-Einstellungen zur Nutzung eines Proxy-Servers – 2

5. Funktionstest

Um zu prüfen, ob auch wirklich der gesamte HTTP-Datenverkehr verschlüsselt über den SSH-Tunnel bis zum Proxy-Server transportiert wird, kann mit Hilfe eines Sniffers (bspw. Wireshark) der Paketfluss analysiert werden. Während der Sniffer analysiert, können beliebige Internetseiten aufgerufen werden. Dabei sollten keine HTTP-Verbindungen im Sniffer erkennbar sein. Sofern lediglich SSH- und TCP-Pakete sichtbar sind, ist die Kommunikation korrekt verschlüsselt.

Überprüfung des SSH-Tunnels mittels Wireshark

Befehlsreferenz: Cisco IOS und Juniper JunOS

Christian Book — Tue, 21 Apr 2009 16:21:49 +0000

Der ständige Wechsel zwischen Cisco IOS und Juniper JunOS sorgt hin und wieder für Schwierigkeiten, da die Befehle beider Systeme vielfach ähnlich, aber nicht identisch sind.

Die folgende Tabelle stellt wichtige Befehle beider Systeme gegenüber.

Cisco IOS Juniper JunOS Aufgabe

clear counters clear interface statistics Löschen der Interface Counter

clear arp-cache clear arp Löschen des ARP-Caches

clear ip bgp clear bgp neighbor Löschen aller BGP-Sessions

clear ip bgp neighbor clear bgp neighbor peer Löschen der BGP-Session zu einem bestimmten BGP-Nachbarn

clock set set date Setzen der Systemzeit

ping dest ping dest rapid Ping

ping (source int) ping dest bypass-routing Ping, ausgehend vom angegeben Interface

reload request system reboot Neustart

send request message Senden von Nachrichten an andere Nutzer

show arp show arp Anzeigen des ARP-Cache

show clns interface show isis interface Anzeigen von IS-IS-Information der angegebenen Schnittstelle

show clns neighbors show isis adjacency Anzeigen der ES-IS und IS-IS Nachbarn

show clock show system uptime Anzeige der aktuellen Zeit

show controller interface show interfaces interface extensive Informationen über physikalische Schnittstellen

show diags show chassis hardware Anzeige von Hardware-Informationen und Debuggings

show environment all show chassis environment Informationen über Temperatur etc.

show history show cli history Anzeigen der zuletzt abgesetzten Kommandos

show interface interface show interfaces interface detail Anzeige der Schnittstellenkonfigurationen, Counter und des aktuellen Status

show interface description (newer IOS) show interfaces description Shows description, status and interface name

show ip bgp peer-group show bgp group Anzeigen von BGP-Informations aller Peer-Groups

show ip bgp peer-group group show bgp group group Anzeigen von BGP-Informations einer speziellen Peer-Group

show ip bgp network mask show route protocol bgp prefix Anzeigen von BGP-Informations eines Prefixes

show ip bgp network mask longer-prefixes show route range prefix Anzeigen von BGP-Informations eines Prefixes oder eines Prefix-Bereichs

show ip bgp regexp regex show route aspath-regexp “regex” Anzeigen von Routen, die durch einen regulären Ausdruck gefiltert wurden

show ip bgp summary show bgp summary Anzeigen aller BGP-Nachbarn

show ip interface brief show interface terse Anzeigen aller IPv4-Adressen (unter JunOS auch Ipv6 und ISO)

show ip ospf database show ospf database Anzeigen der OSPF-Datenbank

show ip ospf neighbor show ospf neighbor Anzeigen aller OSPF-Nachbarn

show ip ospf interface show ospf interface Anzeigen von OSPF-Informationen eines Interfaces

show ip route show route Anzeigen der globalen Routing-Tabelle

show ip route isis show isis routes / show route protocol isis Anzeigen aller IS-IS-generierten Routen

show ip route ospf show ospf route / show route protocol ospf Anteigen aller OSPF-generierten Routen

show ipv6 neighbors show ipv6 neighbors Anzeigen aller IPv6-Nachbarn

show ipv6 route show route table inet6.0 Anzeigen der IPv6-Routing-Tabelle

sh bgp ipv6 summary / show bgp ipv6 unicast show bgp summary Anzeigen aller IPv6-BGP-Nachbarn

show tcp brief show system connection Anzeigen aller TCP-Verbindungen vom/zum Router

show ip traffic show system statistic Anzeigen von IP-bezogenen Datenverkehr (BGP, EIGRP, PIM, ARP, ICMP)

show logging show log messages Anzeigen der Logging-Einstellungen

show processes cpu show system process Anzeigen der CPU-Auslastung

show route-map show policy Anzeige der Route-Maps

show route-map mapname show policy name mapname Anzeige der Route-Map Mapnames

show running-config show configuration Anzeigen der derzeit aktiven Konfiguration

show users show system users Anzeigen aller angemeldeten Nutzer

show tech-support request support info Anzeigen aller wichtigen Informationen (sehr umfangreich)

show version show version Anzeigen der aktuellen Software-Version

terminal length 0 set cli screen-length 0 Durchgängige Ausgabe ohne Unterbrechungen

terminal monitor monitor start messages Ausgabe des Loggings (bei Remote-Einwahl)

terminal no monitor monitor stop Ausgabe des Loggings beenden (bei Remote-Einwahl)

Juniper JunOS Routing-Tabellen

Christian Book — Mon, 06 Apr 2009 18:13:57 +0000

Auf Routern von Juniper Networks werden verschieden Routing-Tabellen vorgehalten. Jede dieser Tabellen besitzt eine eigene Aufgabe, die hier in tabellarischer Form dargestellt werden.

Routing-Tabellen

(Quelle: Juniper)

Routing-Tabelle Aufgabe

bgp.isovpn.0 Border Gateway Protocol (BGP) reachability information for ISO virtual private networks (VPNs).

bgp.l2vpn.0 BGP Layer 2 VPN routes.

bgp.l3vpn.0 BGP Layer 3 VPN routes.

bgp.rtarget.0 BGP route target information.

inet.0 Internet Protocol version 4 (IPv4) unicast routes (–> main IP routing table)

inet.1 IP multicast routes. Each (S,G) pair in the network is placed into this table.

inet.2 IPv4 unicast routes. Used by IP multicast-enabled routing protocols to perform Reverse Path Forwarding (RPF).

inet.3 Accessed by BGP to use Multiprotocol Label Switching (MPLS) paths for forwarding traffic (e.g. when using MPLS with traffic-engineering)

inet.4 Routes learned by the Multicast Source Discovery Protocol (MSDP).

inet6.0 Internet Protocol version 6 (IPv6) unicast routes.

inet6.3 Populated when the resolve-vpn statement is enabled.

inetflow.0 Border Gateway Protocol (BGP) flow destination (firewall match criteria) information.

invpnflow.0 BGP flow destination (firewall match criteria) information within an RFC 2547 Layer 3 VPN.

iso.0 Intermediate System-to-Intermediate System (IS-IS) and End System-to-Intermediate System (ES-IS) routes.

l2circuit.0 Layer 2 circuit routes.

mpls.0 MPLS LSPs. Contains a list of the next LSR in each LSP. Used by transit routers to route packets to the next router along an LSP.

instance-name.inet.0 Table that JUNOS software creates each time you configure an IPv4 unicast routing instance.

instance-name.inet.3 Table that JUNOS software creates for each BGP instance that is configured to use MPLS paths for forwarding traffic.

instance-name.inet6.0 Table that JUNOS software creates each time you configure an IPv6 unicast routing instance.

instance-name.inetflow.0 Table that JUNOS software creates each time you configure a routing instance. This table stores dynamic filtering information for BGP.

instance-name.iso.0 Table that JUNOS software creates each time you configure an IS-IS or ES-IS instance.

instance-name.mpls.0 Table that JUNOS software creates each time you configure MPLS LSPs.

Administrative Distanzen bei Cisco und Juniper

Christian Book — Wed, 01 Apr 2009 12:02:41 +0000

Viele Netze verwenden mehrere Routing-Protokolle um Routing-Informationen auszutauschen. Um die verschiedenen Protokolle zu gewichten, wird die administrative Distanz (administrative distance) eingesetzt. Dieser Wert wird verwendet, um in Netzwerken den optimalen Weg zu einem Ziel zu bestimmen, wenn mehrere Routen über verschiedene Routing-Protokolle möglich sind. Dabei sind den Routing-Protokollen Werte auf Basis ihrer Ausfallwahrscheinlichkeit zugeordnet. Ein niedriger Wert zeigt eine geringere Ausfallwahrscheinlichkeit an.

Jeder Hersteller definiert die Standardwerte selbstständig, sodass es Abweichungen geben kann. Aus diesem Grunde können die administrativen Distanzen manuell editiert werden.

Im Folgenden sind die administrative Distanzen der Hersteller Cisco und Juniper dargestellt.

Cisco

(Quelle: Cisco)

Route Source Default Distance Values

direkt angeschlossenes Netzwerk 0

statische Route 1

Enhanced Interior Gateway Routing Protocol (EIGRP) summary route 5

Border Gateway Protocol (BGP) AS-interne Route 20

Enhances Gateway Routing Protocol (EIGRP) AS-interne Route 90

Interior Gateway Routing Protocol (IGRP) 100

Open Shortest Path First (OSPF) 110

Intermediate System-to-Intermediate System (IS-IS) 115

Routing Information Protocol (RIP) 120

Exterior Gateway Protocol (EGP) 140

On Demand Routing (ODR) 160

Enhanced Interior Gateway Routing Protocol (EIGRP) AS-externe Route 170

Border Gateway Protocol (BGP) AS-externe Route 200

Unknown 255

Juniper

(Quelle: Juniper)

Route Source Default Distance Values

direkt angeschlossenes Netzwerk 0

System-Route 4

statische Route 5

Multiprotocol Label Switching (MPLS) 7

LDF 8

Label Distribution Protocol (LDP) 9

Open Shortest Path First (OSPF) AS-interne Route 10

IS-IS Level 1 internal route 15

IS-IS Level 2 internal route 18

Default 20

Redirects 30

Kernel 40

Simple Network Management Protocol (SNMP) 50

Router Discovery 55

Routing Information Protocol (RIP) 100

RIP Next Generation (RIPng) 100

Protocol Independent Mulitcast (PIM) 105

Distance Vector Multicast Routing Protocol (DVMRP) 110

Routen zu Interfaces mit Status “down” 120

Aggregate 130

Open Shortest Path First (OSPF) AS-externe Routes 150

Intermediate System-to-Intermediate System (IS-IS) Level 1 interne Route 160

Intermediate System-to-Intermediate System (IS-IS) Level 2 externe Route 165

Border Gateway Protocol (BGP) 170

Multicast Source Discovery Protocol (MSDP) 175

Cisco ACL Generator

Christian Book — Tue, 24 Mar 2009 21:57:53 +0000

Nachdem es einige Tools gibt, mit denen man Access Controll Lists (ACL) für Router und Switche von Cisco gibt, habe ich nun eine Online-Variante entwickelt.

Alle wichtigen Parameter können eingegeben werden, natürlich bietet die ACL-Syntax wesentlich mehr Funktionen, jedoch werden die meistgebrauchten Regeln bereits abgedeckt.

Gerne nehme ich Kritik und Anregungen auf, was noch verbessert bzw. ergänzt werden sollte.

Cisco ACL-Generator

Cisco IOS	Juniper JunOS	Aufgabe
clear counters	clear interface statistics	Löschen der Interface Counter
clear arp-cache	clear arp	Löschen des ARP-Caches
clear ip bgp	clear bgp neighbor	Löschen aller BGP-Sessions
clear ip bgp neighbor	clear bgp neighbor peer	Löschen der BGP-Session zu einem bestimmten BGP-Nachbarn
clock set	set date	Setzen der Systemzeit
ping dest	ping dest rapid	Ping
ping (source int)	ping dest bypass-routing	Ping, ausgehend vom angegeben Interface
reload	request system reboot	Neustart
send	request message	Senden von Nachrichten an andere Nutzer
show arp	show arp	Anzeigen des ARP-Cache
show clns interface	show isis interface	Anzeigen von IS-IS-Information der angegebenen Schnittstelle
show clns neighbors	show isis adjacency	Anzeigen der ES-IS und IS-IS Nachbarn
show clock	show system uptime	Anzeige der aktuellen Zeit
show controller interface	show interfaces interface extensive	Informationen über physikalische Schnittstellen
show diags	show chassis hardware	Anzeige von Hardware-Informationen und Debuggings
show environment all	show chassis environment	Informationen über Temperatur etc.
show history	show cli history	Anzeigen der zuletzt abgesetzten Kommandos
show interface interface	show interfaces interface detail	Anzeige der Schnittstellenkonfigurationen, Counter und des aktuellen Status
show interface description (newer IOS)	show interfaces description	Shows description, status and interface name
show ip bgp peer-group	show bgp group	Anzeigen von BGP-Informations aller Peer-Groups
show ip bgp peer-group group	show bgp group group	Anzeigen von BGP-Informations einer speziellen Peer-Group
show ip bgp network mask	show route protocol bgp prefix	Anzeigen von BGP-Informations eines Prefixes
show ip bgp network mask longer-prefixes	show route range prefix	Anzeigen von BGP-Informations eines Prefixes oder eines Prefix-Bereichs
show ip bgp regexp regex	show route aspath-regexp “regex”	Anzeigen von Routen, die durch einen regulären Ausdruck gefiltert wurden
show ip bgp summary	show bgp summary	Anzeigen aller BGP-Nachbarn
show ip interface brief	show interface terse	Anzeigen aller IPv4-Adressen (unter JunOS auch Ipv6 und ISO)
show ip ospf database	show ospf database	Anzeigen der OSPF-Datenbank
show ip ospf neighbor	show ospf neighbor	Anzeigen aller OSPF-Nachbarn
show ip ospf interface	show ospf interface	Anzeigen von OSPF-Informationen eines Interfaces
show ip route	show route	Anzeigen der globalen Routing-Tabelle
show ip route isis	show isis routes / show route protocol isis	Anzeigen aller IS-IS-generierten Routen
show ip route ospf	show ospf route / show route protocol ospf	Anteigen aller OSPF-generierten Routen
show ipv6 neighbors	show ipv6 neighbors	Anzeigen aller IPv6-Nachbarn
show ipv6 route	show route table inet6.0	Anzeigen der IPv6-Routing-Tabelle
sh bgp ipv6 summary / show bgp ipv6 unicast	show bgp summary	Anzeigen aller IPv6-BGP-Nachbarn
show tcp brief	show system connection	Anzeigen aller TCP-Verbindungen vom/zum Router
show ip traffic	show system statistic	Anzeigen von IP-bezogenen Datenverkehr (BGP, EIGRP, PIM, ARP, ICMP)
show logging	show log messages	Anzeigen der Logging-Einstellungen
show processes cpu	show system process	Anzeigen der CPU-Auslastung
show route-map	show policy	Anzeige der Route-Maps
show route-map mapname	show policy name mapname	Anzeige der Route-Map Mapnames
show running-config	show configuration	Anzeigen der derzeit aktiven Konfiguration
show users	show system users	Anzeigen aller angemeldeten Nutzer
show tech-support	request support info	Anzeigen aller wichtigen Informationen (sehr umfangreich)
show version	show version	Anzeigen der aktuellen Software-Version
terminal length 0	set cli screen-length 0	Durchgängige Ausgabe ohne Unterbrechungen
terminal monitor	monitor start messages	Ausgabe des Loggings (bei Remote-Einwahl)
terminal no monitor	monitor stop	Ausgabe des Loggings beenden (bei Remote-Einwahl)

Routing-Tabelle	Aufgabe
bgp.isovpn.0	Border Gateway Protocol (BGP) reachability information for ISO virtual private networks (VPNs).
bgp.l2vpn.0	BGP Layer 2 VPN routes.
bgp.l3vpn.0	BGP Layer 3 VPN routes.
bgp.rtarget.0	BGP route target information.
inet.0	Internet Protocol version 4 (IPv4) unicast routes (–> main IP routing table)
inet.1	IP multicast routes. Each (S,G) pair in the network is placed into this table.
inet.2	IPv4 unicast routes. Used by IP multicast-enabled routing protocols to perform Reverse Path Forwarding (RPF).
inet.3	Accessed by BGP to use Multiprotocol Label Switching (MPLS) paths for forwarding traffic (e.g. when using MPLS with traffic-engineering)
inet.4	Routes learned by the Multicast Source Discovery Protocol (MSDP).
inet6.0	Internet Protocol version 6 (IPv6) unicast routes.
inet6.3	Populated when the resolve-vpn statement is enabled.
inetflow.0	Border Gateway Protocol (BGP) flow destination (firewall match criteria) information.
invpnflow.0	BGP flow destination (firewall match criteria) information within an RFC 2547 Layer 3 VPN.
iso.0	Intermediate System-to-Intermediate System (IS-IS) and End System-to-Intermediate System (ES-IS) routes.
l2circuit.0	Layer 2 circuit routes.
mpls.0	MPLS LSPs. Contains a list of the next LSR in each LSP. Used by transit routers to route packets to the next router along an LSP.
instance-name.inet.0	Table that JUNOS software creates each time you configure an IPv4 unicast routing instance.
instance-name.inet.3	Table that JUNOS software creates for each BGP instance that is configured to use MPLS paths for forwarding traffic.
instance-name.inet6.0	Table that JUNOS software creates each time you configure an IPv6 unicast routing instance.
instance-name.inetflow.0	Table that JUNOS software creates each time you configure a routing instance. This table stores dynamic filtering information for BGP.
instance-name.iso.0	Table that JUNOS software creates each time you configure an IS-IS or ES-IS instance.
instance-name.mpls.0	Table that JUNOS software creates each time you configure MPLS LSPs.

Route Source	Default Distance Values
direkt angeschlossenes Netzwerk	0
statische Route	1
Enhanced Interior Gateway Routing Protocol (EIGRP) summary route	5
Border Gateway Protocol (BGP) AS-interne Route	20
Enhances Gateway Routing Protocol (EIGRP) AS-interne Route	90
Interior Gateway Routing Protocol (IGRP)	100
Open Shortest Path First (OSPF)	110
Intermediate System-to-Intermediate System (IS-IS)	115
Routing Information Protocol (RIP)	120
Exterior Gateway Protocol (EGP)	140
On Demand Routing (ODR)	160
Enhanced Interior Gateway Routing Protocol (EIGRP) AS-externe Route	170
Border Gateway Protocol (BGP) AS-externe Route	200
Unknown	255

Route Source	Default Distance Values
direkt angeschlossenes Netzwerk	0
System-Route	4
statische Route	5
Multiprotocol Label Switching (MPLS)	7
LDF	8
Label Distribution Protocol (LDP)	9
Open Shortest Path First (OSPF) AS-interne Route	10
IS-IS Level 1 internal route	15
IS-IS Level 2 internal route	18
Default	20
Redirects	30
Kernel	40
Simple Network Management Protocol (SNMP)	50
Router Discovery	55
Routing Information Protocol (RIP)	100
RIP Next Generation (RIPng)	100
Protocol Independent Mulitcast (PIM)	105
Distance Vector Multicast Routing Protocol (DVMRP)	110
Routen zu Interfaces mit Status “down”	120
Aggregate	130
Open Shortest Path First (OSPF) AS-externe Routes	150
Intermediate System-to-Intermediate System (IS-IS) Level 1 interne Route	160
Intermediate System-to-Intermediate System (IS-IS) Level 2 externe Route	165
Border Gateway Protocol (BGP)	170
Multicast Source Discovery Protocol (MSDP)	175