Cisco ASA Factory reset & firmware per tftp

Eigentlich sollte die ASA bei auslieferung in einem default Zustand sein, so das man z.B. über einen dhcp auf dem Management port eine Verbindung bekommen sollte – sagt Cisco.
So scheint es zumindest bei den hier geliferten 5550 nicht zu sein. aber man kann diesen Zustand durcht ein
conf t
configure factory-default

schnell wieder herstellen.

mittels
ciscoasa(config)# copy tftp flash
Address or name of remote host [192.168.1.12]? 192.168.1.2
Source filename [asdm-621.bin]?
Destination filename [asdm-621.bin]?
Accessing tftp://192.168.1.2/asdm-621.bin...!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

bzw.
ciscoasa(config)# copy tftp flash
Address or name of remote host [192.168.1.2]?
Source filename [asdm-621.bin]? asa821-k8.bin
Destination filename [asa821-k8.bin]?
Accessing tftp://192.168.1.2/asa821-k8.bin...!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

kann man über einen geeigneten tftp schnell eine aktuelle Firmware einspielen

Cisco ASA – ASDM error: Unconnected sockets not implemented

Ähnlich wie dem anderen asdm Problem gibt es noch andere schöne Fehler die beim starten des ASDMs auftreten können. In diesem Fall ASA 8.04 und ASDM 6.13, welche auf einer ASA 5550 vorinstalliert waren.
Laut diesem Blog kann man das Problem mit einer älteren Java Version oder einem neueren ASDM lösen ich habe letzteres gemacht und per tftp die asa-821 und asdm-621 installiert.

Und: die ASA 5550 kopiert deutlich fixer als z.B. eine 5520 😉 16 MB in gefühlten 5 Sekunden.. endlich mal Geschwindigkeit bei Cisco.

LUKS, dmcrypt debian lenny neuen Schlüssel hinzufügen

Mein Server hat ein Standard Lenny und ich habe bei der Partitionierung/Installation ein voll verschlüsseltes System gewählt.
Das Passwort kenne nur ich, aber nach einem Stromausfall ist meist nur meine Holde daheim, die kennt aber das Passwort nicht. Ich vertraue Ihr, keine Frage, aber mein Passwort bekommt sie nicht.. aber man kann ja bei LUKS verschiedene Passwörter einrichten.

Als erstes sucht schaut man welches Hardware Device wirklich ein LUKS device ist:
for I in /dev/[h,s]d*; do cryptsetup isLuks $I; if [ $? -eq "0" ]; then echo "$I ist LUKS"; fi; done
/dev/sda2 ist LUKS

Also /dev/sda2

Das gucken wir uns mal an:
# cryptsetup luksDump /dev/sda2
LUKS header information for /dev/sda2
Version: 1
Cipher name: aes
Cipher mode: cbc-essiv:sha256
Hash spec: sha1
Payload offset: 2056
MK bits: 256
MK digest: a2 82 c2 fa 2a a2 ff eb 72 65 23 6b a0 2b 58 16 0f 4d 7c 02
MK salt: 4e 5c be 61 94 2a c3 bd 06 dd ce 01 a2 7e 9f 1e
3c 29 0d 49 58 b0 bc f5 9d 27 b2 b6 a3 4b 5f 32
MK iterations: 10
UUID: 83c19b6b-eb63-4515-a63d-04bf33142126
Key Slot 0: ENABLED
Iterations: 213596
Salt: 22 33 44 55 66 77 88 99 aa bb cc dd ee ff ee dd
cc bb aa 99 88 77 66 55 44 33 22 11 00 11 22 33
Key material offset: 8
AF stripes: 4000
Key Slot 1: DISABLED
Key Slot 2: DISABLED
Key Slot 3: DISABLED
Key Slot 4: DISABLED
Key Slot 5: DISABLED
Key Slot 6: DISABLED
Key Slot 7: DISABLED

Dann kann man einen key dazu hinzufügen z.B. in Slot 7:
# cryptsetup luksAddKey /dev/sda2 --key-slot 7
Enter any LUKS passphrase:
key slot 0 unlocked.
Enter new passphrase for key slot:
Verify passphrase:
Command successful.

Und auch wieder löschen
# cryptsetup luksDelKey /dev/sda2 7
luksDelKey is a deprecated action name.
Please use luksKillSlot.
Enter any remaining LUKS passphrase:
key slot 7 verified.
Command successful.

(Das nächste mal also mit LuksKillSlot)

Schon hat man mehr als ein Passwort zum entschlüsseln.

Fotografix – 400kB Bildbearbeiter mit Ebenen

Er kann nicht alles, aber zum schnellen editieren von Bildern reicht es..
Fotografix besticht durch geringe größe und eine Nutzung ohne Installation, es läßt sich vom USB Stick aus starten und gehört dafür für mich ebenso zum portablen Tool-Repertoire, wie z.B. irfanview, keepass, Putty und Truecrypt
Hersteller Site

Cisco Accesslisten einfügen und neu nummerieren

Wer kennt das nicht: man hat seine access-list geordnet, gruppiert und mit remarks konfiguriert und stellt dann fest in der Mitte ist eine Zeile falsch, bzw. da muß noch eine Zeile hin. Die ganze ACL löschen mag man auch nicht, wer weiß ob man sich nicht selber aussperrt.

Man kann bei Cisco auch Zeilen an bestimmter Stelle einfügen/ löschen.

Wie fragt Ihr euch? Kein Problem, der Jan wird es euch schon sagen:

# sh ip access-lists
extended IP access-list 115
10 access-list 115 deny ip host 222.222.222.222 any
20 access-list 115 permit ip any any

Man beachte die schicken Zeilennummern.

#conf terminal
(config)#ip access-list extended 115
(config-ext-nacl)#15 deny ip host 111.111.111.111 any
(config-ext-nacl)#end
(config)#

Kurz kontrollieren:
#sh ip access-lists

extended IP access-list 115
10 access-list 115 deny ip host 222.222.222.222 any
15 access-list 115 deny ip host 111.111.111.111 any
20 access-list 115 permit ip any any

Woohooo es ist da..
Aber die Zeilennummerierung ist doof und was mache ich wenn ich 10 Hosts einfügen will?

Auch dafür junger Padawan gibt es eine Lösung:

(config)#ip access-list resequence 115 10 10

Dabei ist 115 die ACL, die erste 10 der Startwert und die zweite 10 die Schrittweite

HILFE ICH HAB KEINE ZEILENNUMMERN!

Hmm neuere IOS 12.4 aufwärts sollten das können, ansonsten kontrollieren ob service linenumber aktiv ist.