Small Servers PCAP

2022-10-27Networkchargen, daytime, discard, echo, netcat, pcap, small servers, Telnet, time, WiresharkJohannes Weber

For some reason, I came across a blog post by Gian Paolo called Small servers. This reminded me of some fairly old network protocols (that no one uses as far as I know) that are not in my Ultimate PCAP yet. Hence I took some minutes, captured them, and took some Wireshark screenshots. They are: echo, discard, daytime, chargen, and time. Mostly via TCP and UDP, and, as you would have expected, IPv6 and legacy IP.

I’m aware that this is not of interest to most of you. :) But for the sake of completeness, and because I love adding new protocols to the Ultimate PCAP, I added them though.

Continue reading Small Servers PCAP →

Zehn Vorteile von IPv6!

2022-08-18Design/Policy, IPv6, Memorandumc't Artikel, IP Address, IPv6, Legacy IP, NAT, Site-to-Site VPN, VorteileJohannes Weber

Das moderne Internetprotokoll IPv6 gilt als so komplex und umständlich, dass manche Administratoren beharrlich beim vertrauten, aber veralteten IPv4 bleiben. Zehn Praxisbeispiele belegen, warum viele Netzwerkanwendungen besser und kostengünstiger auf IPv6 laufen und wie Admins davon profitieren.

Continue reading Zehn Vorteile von IPv6! →

Netzwerkprotokolle: Nachschlagewerk für Wireshark

2022-07-29Memorandum, NetworkBGP, c't Artikel, Coloring Rules, DNS, Dynamic Routing, HTTP, ICMP, IPv6, Legacy IP, Network Protocol, OSPF, Proxy, SLAAC, WiresharkJohannes Weber

Wenn es im Netzwerk knirscht, versuchen Admins den Fehler in Analyse-Tools wie Wireshark anhand von Paketmitschnitten einzukreisen. Jedoch hat der Herr viel mehr Netzwerkprotokolle gegeben, als sich ein Admin-Hirn in allen Details merken kann. Eine Referenzdatei, die zahlreiche korrekte Protokollabläufe enthält, gibt Orientierung.

Continue reading Netzwerkprotokolle: Nachschlagewerk für Wireshark →

Netzwerkmitschnitte mit tshark analysieren

2022-06-30Memorandum, Networkc't Artikel, DNS, FRITZ!Box, HTTP, HTTPS, IPv6, SNI, sort, tshark, uniq, WiresharkJohannes Weber

Haben Sie mal Netzwerkmitschnitte untersucht, ohne zu wissen, was genau Sie suchen? Mit Wireshark wird das leicht zu einer Odyssee: Das Analysewerkzeug filtert zwar fabelhaft, reagiert bei großen Datenmengen aber schnell zäh.

Was bei solchen Problemstellungen hilft ist: tshark! Ein Tool, mit welchem Sie auch große Packet Captures einfach anhand gängiger Kriterien durchforsten können.

Continue reading Netzwerkmitschnitte mit tshark analysieren →

Server-Verfügbarkeit: Monitoring-Werkzeuge

2022-05-25DNS/DNSSEC, Mail, Memorandum, Monitoring, Ping/Traceroutec't Artikel, DNS, DNSDiag, dnsping, HTTP, httping, HTTPS, Layer 4 Traceroute, Man-in-the-Middle, MITM, Ping, SMTP, smtpping, three-way handshake, TracerouteJohannes Weber

Angreifer verwenden gern Ping und Traceroute, um Server im Internet ausfindig zu machen. Das bringt viele Security-Admins in Versuchung, den Ping- und Traceroute-Verkehr mittels ihrer Firewall in ihrem Netz zu unterbinden. Doch damit behindern sie nur die Arbeit von Server-Administratoren, denn es gibt noch viel mehr Möglichkeiten, Server aufzuspüren.

Continue reading Server-Verfügbarkeit: Monitoring-Werkzeuge →

Palo Packet Capture: Choosing the Right Filter

2022-05-12Memorandum, Palo Alto NetworksDNAT, Legacy IP, NAT, Packet Capture, Palo Alto Networks, RFC1918, SNAT, WiresharkJohannes Weber

Palo Alto firewalls have a nice packet capture feature. It enables you to capture packets as they traverse the firewall. While you might be familiar with the four stages that the Palo can capture (firewall, drop, transmit, receive), it’s sometimes hard to set the correct filter – especially when it comes to NAT scenarios. (At least it was hard for me…)

I am using the packet capture feature very often for scenarios in which the IP connections are in fact working (hence no problems at the tx/rx level nor on the security policy/profile) but where I want to verify certain details of the connection itself. I’m simply using the Palo as a capturing device here, similar to a SPAN port on a switch. (Yes, I’m aware of all disadvantages of not using a real TAP and a real capture device.) In the end, I want a single pcap which shows all relevant packets for a client-server connection, even if NAT is in place. Wireshark should be able to correlate the incoming/outgoing packets into a single TCP stream. Furthermore, I definitely want to use a filter to limit the amount of captured packets. This is how I’m doing it:

Continue reading Palo Packet Capture: Choosing the Right Filter →

PAN: Logging of Packet-Based Attack Protection Events e.g. Spoofed IP

2022-04-29Palo Alto NetworksIP Spoof, logs, Palo Alto Networks, uRPFJohannes Weber

I just had a hard time figuring out that a network routing setup was not working due to a correctly enforced IP Spoofing protection on a Palo Alto Networks firewall. Why was it a hard time? Because I did not catch that the IP spoofing protection kicked in since there were no logs. And since we do log *everything*, a non-existent log means nothing happened, right? Uhm, not in this case. Luckily you can (SHOULD!) enable an additional thread log on the Palo.

Continue reading PAN: Logging of Packet-Based Attack Protection Events e.g. Spoofed IP →

Partial NTP Pool: The leap second that wasn’t

2022-04-19NTPBug, fail, Guest Post, leap second, LeoNTP, NTP, NTP Pool ProjectSteven Sommars

An analysis of some falsified leap second warnings that appeared in November 2021 on public NTP servers out of the NTP Pool Project.

Continue reading Partial NTP Pool: The leap second that wasn’t →

#heiseshow: IPv6 setzt sich langsam durch – die wichtigsten Fragen

2022-04-13Conference Talks, Internet Access, IPv6#heiseshow, FRITZ!Box, IPv6, IPv6 Dynamic Prefix, IPv6 Prefix, ISP, NATJohannes Weber

Ich durfte zu Gast bei der #heiseshow zum Thema IPv6 sein. In Anlehnung an die Artikelserie über IPv6 in der c’t 7/2022, in der auch mein Artikel über die Vorteile von IPv6-Adressen erschienen ist, ging es bei diesem Video-Podcast um gängige Fragen zu IPv6 sowohl im Heimanwender- als auch im Enterprise-Segment. Ne knappe Stunde lief die Schose und ich empfand es als ziemlich kurzweilig. ;)

Continue reading #heiseshow: IPv6 setzt sich langsam durch – die wichtigsten Fragen →

Cisco APIC: New Certificate

2022-03-02Certificate, Cisco ACIAPI, Certificate, Cisco ACI, Cisco APIC, Postman, X.509Johannes Weber

This post is about adding an own (trusted) X.509 certificate for the HTTPS GUI of the Cisco Application Policy Infrastructure Controller aka APIC. You can do this via the GUI itself or via the API. Here are both ways:

Continue reading Cisco APIC: New Certificate →

DHCPv6 Relay Issue with Cisco ASA and Ubuntu

2022-02-17Cisco ASA, DHCP, IPv6, LinuxCisco ASA, DHCPv6, Guest Post, IPv6, UbuntuUlrich Hauser

Some months ago, my co-worker and I ran into an interesting issue: a notebook with a newly installed Ubuntu 20.04 does only work with IPv4, but this office network is dual-stacked (IPv4 and IPv6). Other Linux clients as well as Windows and Mac systems still work fine. They all get an IPv4 configuration by DHCPv4 and an IPv6 configuration by stateful DHCPv6 from the same DHCP server, relayed by a Cisco ASA 5500-X. What’s wrong with Ubuntu 20.04?

Continue reading DHCPv6 Relay Issue with Cisco ASA and Ubuntu →

Publishing IPv6 NTP Servers with DHCPv6

2022-01-21DHCP, Fortinet, IPv6, Network, NTPDHCPv6, FortiGate, Fortinet, Guest Post, IPv6, IPv6-only, MikroTik, NTP, RFC, RouterOSUlrich Hauser

During the last weeks, I had an interesting request to publish NTP servers to client systems by using DHCPv6 in an IPv6 only network. Our Fortigate (or me?) had to learn how to publish the information. Hence this post is not only about NTP and IPv6, but a small guide on how to walk through RFCs and how to get out the relevant information. I’m very happy I got the possibility to share my experience here. Thank you, Johannes!

Continue reading Publishing IPv6 NTP Servers with DHCPv6 →

Top on Top: ForeverSpin Kreisel auf Gitarren

2021-12-29Gitarre, Off-TopicA-Gitarre, Bass, E-Gitarre, Effektgerät, ForeverSpin, Gitarre, Halbakustik, Hobby, Kreisel, Metall, Top, Ukulele, UnsplashJohannes Weber

Neben dem Gebastel mit technischen Geräten macht mir vor allem das Spielen von Saiteninstrumenten viel Spaß. So haben sich mit der Zeit ein paar Insturmente aller Couleur angesammelt: E-Gitarren, Akustik-Gitarren, Bässe, Ukulelen. Gleichermaßen begeistern mich schon seit Jahren die tollen Metall-Kreisel von ForeverSpin, einem kanadischen Unternehmen, welches aus massiven Blöcken per CNC-Drehmaschine sehr akurate Kreisel herstellt. Neben bekannten Metallen wie Stahl, Aluminium oder Messing kommen auch Exoten wie Magnesium, Zirconium, Titan oder Wolfram (!) zum Einsatz.

Nun, die Verbindung dieser beiden Interessen besteht wie folgt: In den letzten Jahre habe ich diese Kreisel (englisch: top) auf verschiedenen Gitarren Oberflächen (englisch ebenfalls: top) fotografiert. Die entstandenen Bilder sind allesamt auf Unsplash zu sehen. In diesem Blogpost geht es nun um die individuellen Zusammenstellungen der Kreisel zu den Gitarren und was sich der Künstler dabei gedacht hat. ;) Es bringt dem Otto Normalverbraucher also eigentlich nichts, hier weiterzulesen. Eher macht es vor allem mir einfach Spaß.

Continue reading Top on Top: ForeverSpin Kreisel auf Gitarren →

Pi-hole Installation Guide

2021-12-18DNS/DNSSEC, Internet Access, Raspberry Pi, Tutorial/HowtoDNS, DNSSEC, NTP, NUC, Pi-hole, Raspberry Pi, UnboundJohannes Weber

You probably know already the concept of the Pi-hole. If not: It’s a (forwarding) DNS server that you can install on your private network at home. All your clients, incl. every single smartphone, tablet, laptop, and IoT devices such as smart TVs or light bulb bridges, can use this Pi-hole service as their DNS server. Now here’s the point: it not only caches DNS entries, but blocks certain queries for hostnames that are used for ads, tracking, or even malware. That is: You don’t have to use an ad- or track-blocker on your devices (which is not feasible on smart TVs or smartphone apps, etc.), but you’re blocking this kind of sites entirely. Nice approach!

Yes, there are already some setup tutorials for the Pi-hole out there. However, it’s not only about installing the mere Pi-hole, but setting it up with your own recursive DNS server (since the default installation forwards to public DNS servers), using DNSSEC, and adding some more adlists. That’s why I am listing my installation procedure here as well. However, it’s not a complete beginners guide. You’ll need some basic Linux know-how.

Continue reading Pi-hole Installation Guide →

Das Webernetz dahoam

2021-10-30Network, Off-Topic19", Cat 7, DECT, Eigenheim, Ethernet, fail, FRITZ!Box, Glasfaser, Haus, IoT, LSA, Patchpanel, Philips Hue, PoE, Sonos, Ubiquiti, UniFi, USG, Verkabelung, VoIP, WLANJohannes Weber

Endlich war es soweit: Das eigene Haus stand vor der Tür und Johannes hat sich um die Netzwerkverkabelung und das Netzwerkdesign gekümmert. Hier eine Zusammenfassung meiner Gedanken und deren Umsetzung – offen für kritische Rückfragen, Verbesserungsvorschläge und Bewunderungsbekundungen. :)

Continue reading Das Webernetz dahoam →

Weberblog.net

IT-Security, Networks, IPv6, VPN, DNSSEC, NTP