Neues in der Kategorie Cisco

Einige Router von Linksys, Netgear, Cisco und eventuell anderen Anbietern haben an Port 32764 eine Schnittstelle, die genutzt werden kann um sogar zum Teil die Passwörter im Klartext auszulesen. Eine Liste mit bereits getesten Modellen findet sich hier: https://github.com/elvanderb/TCP-32764/blob/master/README.md

Ausführliche Artikel von Heise.de zum Thema, auch wie man testen kann ob man selbst betroffen ist und ein funktionierender Exploit, gibt es hier:
http://www.heise.de/newsticker/meldung/Router-auf-Backdoor-testen-2074844.html
http://www.heise.de/newsticker/meldung/Mysterioese-Backdoor-in-diversen-Router-Modellen-2074394.html

Natürlich kann man auch selbst einen kurzen Test machen und versuchen eine Telnet-Verbindung zu diesem Port am eigenen Router aufzubauen.

Wer einen Mail-Client wie Thunderbird nutzt und seine Mails an den Mailserver über SMTP an den Port 587 verschickt, der kann in Kombination mit den falschen Firewall-Einstellungen am Cisco EPC3208G Probleme bekommen.

Der EPC3208G-Router lässt sich nämlich unter "Security -> Firewall" mit der Option "SPI Firewall Protection" auf vier verschiedene Einstellungen setzen: Off, Low, Medium und High. Aktiviert man dabei "Medium" oder "High", so lässt der Router vom internen Netz her kommend, nur ganz spezielle Ports durch. Leider ist in diesen beiden Einstellungen der Port 587, welcher mittlerweile häufifg für verschlüsselte SMTP-Verbindungen eingesetzt wird, nicht dabei. Dadurch werden alle Verbindungen zu diesem Port nach außen hin blockiert und nur die Verbindungen in der Liste der "Allowed Services" sind noch nutzbar.

Die einzige Möglichkeit das Problem zu Umgehen, ist den Router auf die "Low"-Einstellung zu setzen, was eine leere "Allowed Services"-Liste zur Folge hat und so problemlos alle Verbindungen nach außen aufgebaut werden können.

Ein Versuch die "Allowed Services"-Liste zu manipulieren scheiterte, da ein Zugriff auf den Router per Telnet oder SSH nicht möglich ist und man so auch nur sehr schlecht an die internen Einstellungen kommt. Höchstwahrscheinlich ist diese Liste direkt in der Firmware integriert, so dass nur eine modifizierte Firmware Abhilfe schaffen könnte.

Wer mit dem Cisco oder NCP-Client als VPN und/oder IPSEC-Clients nicht zurecht kommt, der sollte sich mal folgende beiden Alternativen anschauen:

Shrew Soft VPN Client:

Dies ist ein Freeware-Client der in einer Version für Windows und in einer Version für Unix existiert. Ausführliche Anleitungen beschreiben die möglichen Konfigurationseinstellungen.

Link: http://www.shrew.net

TheGreenBow IPSEC VPN Client:

Dieser Client gibt es nur in einer Version für Windows 2000/XP/2003/Vista und ist auch nicht kostenfrei. Der Preis liegt zwischen 70 und 100 Euro, je nachdem ob man eine Update-Funktionalität möchte oder nicht.

Link: http://www.thegreenbow.de


Beide Clients sind unter Windows sehr leicht zu bedienen. Der TheGreenBow-Client sogar noch leichter als der Shrew-Client. Im Test wurde eine Verbindung mit virtuellen IPs zu einem Bintec-Router hergestellt. Mit dem Shrew-Client war keine saubere Verbindung möglich, da irgendwelche Einstellungen nicht gepasst haben. Mit dem TheGreenBow-Client war innerhalb von 10 Minuten eine funktionierende Verbindung hergestellt. Ahnung zu haben von IPSEC und den Einstellungen der Gegenseite ist trotzdem bei beiden Clients ratsam.

Wer, wie in einem früheren Artikel beschrieben, nach wie vor Probleme mit den ASUS-W-Lan-Treiber (AR5007EG) und dem FEC / Bintec IPSEC Client hat, sollte auf den Client von TheGreenBow ausweichen.

Hier der alte Artikel: http://www.undertec.de/blog/2008/09/lanemulationstreiber-von-binte.html

Die Installation des CISCO-VPN-Clients unter Linux ist hier für ein Debian System beschrieben, läuft aber in ähnlicher Weise unter allen anderen Distributionen ab.

1. Zuerst muss man sich den Client besorgen. Das ist meist eine gepackte tar.gz-Datei. In dieser Anleitung wird eine Datei namens vpnclient-linux-x86_64-4.8.01.0640-k9.tar.gz verwendet, welche die Cisco-Client Version 4.8.01-0640 enthält. Hier in unserem Beispiel werden außerdem vorgefertigte Profile und Zertifikate verwendet. Bei den Links unten findet man aber eine Anleitung, wie man die Profile selber anlegen kann.

2. Bei der Installation des Clients wird ein Kernelmodul kompiliert, weshalb man die Kernel-Header und die Sourcen des entsprechenden Kernels benötigt. Unter Debian kann man die Kernel-Header mit folgendem Befehl installieren:

apt-get install linux-headers-2.6.24-1-686 

3. Nun kopiert man die gepackte Datei in ein beliebiges Verzeichnis und entpackt sie dort:

tar -xzvf vpnclient-linux-x86_64-4.8.01.0640-k9.tar.gz

4. Bevor man nun fortfährt, sollte man sich noch einmal genau anschauen, welche Kernel-Version man benutzt. Mit dem oben verwendeten Kernel gibt es zum Beispiel beim Installieren Probleme, weshalb man vorher unbedingt erstmal einen Patch installieren muss. Dazu kann man den Patch bei untenstehendem Link herunterladen (oder man benutzt wget wie folgt). Zusätzlich muss unter Debian das Paket "patch" installiert sein:

apt-get install patch
cd /temp  
(Verzeichnis in das unsere gepackte Datei entpackt wurde)
wget -q http://projects.tuxx-home.at/ciscovpn/patches/vpnclient-linux-2.6.24-final.diff
cd /temp/vpnclient   (das ist das Verzeichnis in das die Installationsroutine entpackt wurde)
patch <../vpnclient-linux-2.6.24-final.diff

Nun sollten zwei Dateien gepacht worden sein.

5. Nun kann man den Client installieren mit

./vpn_install

Hier muss man nun ein paar Dinge angeben (die meistens aber schon richtig sind und man nur noch "Enter" drücken muss). So zum Beispiel den Pfad mit den Kernel-Sourcen, den Installationspfad und ob der Client beim Starten des Systems automatisch geladen werden soll.

6. Ist die Installation fertig, muss man Neustarten, so dass der Client automatisch gestartet wird. Hat man bei der Installation aber "No" eingegeben, so erfolgt kein automatischer Start. Der Client wird dann wie folgt aktiviert:

/etc/init.d/vpnclient_init start

7. Nun muss man die vorkonfigurierten Profile nur noch in das richtige Verzeichnis kopieren und die entsprechenden Rechte setzen. Die Profile enden mit der Dateiendung "pcf" und sollten sich in /etc/CiscoSystemsVPNClient/Profiles/ befinden. Das Verzeichnis "Profiles" und die Profile selbst sollte mit  RWX-Attributen für alle vergeben sein. Wenn nicht kann man dies mit folgendem Befehl tun:

chmod -R 777 /etc/CiscoSystemsVPNClient/Profiles

8. Wer Zertifikate benutzt, muss diese noch importieren. In unserem Fall wird ein Root-Zertifikat importiert und dann noch ein User-Zertifikat:

cisco_cert_mgr -R -op import   (für das Root-Zertifikat)
cisco_cert_mgr -U -op import   (für die oder das User-Zertifikat)

Bei beiden Importierungen wird man abgefragt an welchem Ort sich das Zertifikat befindet das man Importieren möchte. Außerdem muss man eventuell ein Einlesepasswort angeben (ansonsten einfach "Enter" drücken). Danach kann man noch ein Passwort für die Benutzung des Zertifikats selbst vergeben.

Tipp: Wenn man nur "cisco_cert_mgr" aufruft, so erhält man eine Übersicht über die Möglichkeiten die man mit diesem Tool hat.

9. Sind alle diese obigen Schritte erledigt, so kann man endlich eine VPN-Verbindung aufbauen:

vpnclient connect PROFILNAME user BENUTZERNAME eraseuserpwd

Danach muss man das Zertifikatpasswort angeben (oder nur "Enter" drücken) und dann seinen Benutzernamen mit "Enter" bestätigen und das Passwort des Benutzers eingeben.

10. Und hier noch ein paar gängige Fehlermeldungen die man beim Aufruf der Kommandozeile erhalten kann:

10.1. Wer folgenden Fehler erhält,...

Secure VPN Connection terminated locally by the Client
Reason: Failed to establish a VPN connection.
There are no new notification messages at this time.

...hat womöglich nicht das richtige Passwort bei "Enter Certificate password:" angegeben. Hier muss das Passwort angegeben, dass man beim Einspielen der Zertifikate gewählt hat. (Im Beispiel oben: test)

10.2. Wer folgenden Fehler erhält,...

The profile specified could not be read

...sollte überprüfen ob er die Dateiendung .pcf beim Aufrufen der Kommandozeile mitgeschrieben hat. Diese Dateiendung wird nämlich automatisch angehängt, so dass es nicht nötig ist, sie hinzuschreiben. Außerdem sollte man überprüfen ob das Verzeichnis "/etc/CiscoSystemsVPNClient/Profiles" und die Dateien darunter mit chmod 777 versehen wurden. Ansonsten einfach folgendes Kommando ausführen: chmod -R 777 /etc/CiscoSystemsVPNClient/Profiles

10.3. Wer folgenden Fehler beim Installieren erhält,...

Failed to make module "cisco_ipsec.ko".

Der muss wohl noch den richtigen Patch wie oben beschrieben einspielen. (Oft bekommt man bei diesem Problem auch einen Fehler der die Dateien linuxcniapi.o, linuxcniapi.h oder linuxcniapi.c betrifft)

 

Und hier noch die Original-Anleitung von Cisco:
http://www.cisco.com/en/US/docs/security/vpn_client/cisco_vpn_client/vpn_client46/linux_solaris/uglinsol.html

Und noch ein paar hilfreiche Links:
http://wiki.ubuntuusers.de/Cisco-VPN-Client
http://tuxx-home.at/archives/2008/01/25/T09_54_46/

Über dieses Archiv

Diese Seite enthält aktuelle Einträge der Kategorie Cisco.

ASN ist die vorherige Kategorie.

CMS ist die nächste Kategorie.

Aktuelle Einträge finden Sie auf der Startseite, alle Einträge in den Archiven.

Januar 2014

So Mo Di Mi Do Fr Sa
      1 2 3 4
5 6 7 8 9 10 11
12 13 14 15 16 17 18
19 20 21 22 23 24 25
26 27 28 29 30 31  
Etter EDV- und IT-Dienstleistungen
Powered by Movable Type 5.04

Google Werbung:

Google Werbung: