vlan-bridge på Palo Alto

Gjennom å benytte en såkalt VLAN-bridge, eller VLAN-bro som jeg også kaller det, kan man knytte sammen to eller flere VLAN slik at de oppfører seg som ett og samme VLAN, men man kan kontrollere og monitorere trafikk som går mellom de. Dette gjør at man også kan benytte samme IP-nett i alle VLANene som er med i broen.

Et eksempel er at om man i utgangspunktet har et flatt nettverk med et /23 IP-nett (192.168.0.0/23) som knytter sammen to områder i en bygning, f.eks OmrådeA og OmrådeB, hvor OmrådeA har enheter med IPer i rekken 192.168.0.2 til 192.168.0.255, og OmrådeB har enheter med IPer i rekken 192.168.1.1 til 192.168.1.254.

Om man da har behov og/eller ønske om å kunne begrense noe trafikk mellom disse enhetene, men fortsatt er avhengig av broadcast og multicast, kan dette gjøres gjennom en slik VLAN-bridge med sikkerhetsgrupper på paleon.

Sette opp broen

Man kan starte på paloen med å gå til Network -> VLANS og der trykke add for å legge til et nytt VLAN-interface. Det spiller ingen rolle hvilken subinterface-nummer du gir dette. Du kan navngi det noe som «vlan-bridge» om du skal ha bare en av de.

Deretter gå til Network -> Interfaces -> Ethernet.
Dersom man har en trunk inn mot paloen på en port som skal brukes til dette, kan man sette det interfacet som et layer 2 interface uten å definere noe annet så sant ikke at et av VLANene du skal bruke går som native trafikk over trunken.

Velg så linjen med dette interfacet, og velg add subinterface. Jeg pleier å bruke samme nummer både på tag og subinterface-ID for å ikke overkomplisere det mer enn nødvendig, men det er ikke nødt til å være slik.

Under listen ved VLAN setter du «vlan-bridge» som du opprettet tidligere.

Under Security Zone kan du velge new zone og navngi den noe som beskriver hva VLANet inneholder, som f.eks «L2-v100-klienter».

Trykk så OK for legge til dette subinterfacet. Ta så å opprett en nytt subinterface i tillegg, og gjennomfør samme som nevnt over for dette nye subinterfacet, men opprett en ny security zone for dette som heter noe som tilsvarer dette nye VLANet, som f.eks «L2-v101-servere».

Dersom du ønsker en gateway som svarer på lag 2 og lag 3 i hvert av VLANene, kan du gå til Network -> Interfaces -> VLAN.

Her kan du opprette et nytt VLAN-interface som du gir en IP i det samme IP-nettet som skal være gjeldene i broen, som f.eks 192.168.0.1/23 i vårt eksempel. Under VLAN i dialogen velger du elementet «vlan-bridge» som opprettet tidligere, så denne IPen vil da være tilgjengelig i alle de inkluderte VLANene uavhengig av sikkerhetsregler mellom de forskjellige lag 2 sikkerhetssonene du opprettet tidligere. Dette nye VLAN-interfacet knytter du til en lag 3 sikkerhetssone, så under security zone kan velge new zone og kalle den noe som definerer de to VLANene samlet som funksjon, adresse, etc, som f.eks «L3-area-X».

Trykk så OK for å opprette VLAN-interfacet.
En merknad her er at du også kan opprette en DHCP-server-profil til dette VLAN-interfacet på lik linje med andre lag 3 interfaces, slik at den svarer på DHCP innad for alle VLANene som ligger i broen.

Sikkerhetsregler

Når dette er gjort, har du anledning til å opprette sikkerhetregler mellom disse lag 2 sikkerhetssonene som du har laget. Merk at disse reglene tar for seg unicast-trafikk mellom sonene, siden broadcast og multicast er implisitt tillatt. Den støtter da filtrering av lag 4 med services (porter), filtrering av lag 7 med applications, eller en kompbinasjon av samtlige, på unicast trafikk.

I tillegg kan du lage sikkerhetsregler for å tillate lag 3 rutet trafikk ut og inn av denne nye sikkerhetssonen, L3-area-X som ble brukt som eksempel. Om du f.eks lager en regel som tillater trafikk fra L3-area-X mot alle RFC1918-nettene negated på destination og untrust (eller hva som brukt på utside-interfacet på paloen), så vil du gi alle enhetene som ligger i VLANene internett, men ikke tilgang til andre interne nett som ligger i rutingtabellen på paloen. Dette med forbehold om at enhetene peker mot 192.168.0.1 som default gateway.

Husk også å opprette source NAT regler for IPer/nett i VLANene som skal få lov å snakke ut, så sant det ikke er offentlige IPer i bruk direkte på innsiden.

Med tanke på spanning-tree, om PVST er i bruk, så vil paloen som regel skrive om vlan-tag i BPDU-pakkene den mottar i et av VLANene i broen slik at den matcher vlan-tag på det VLANet som den sender broadcasten videre ut til.

For å se mer detaljer om dette, og diverse CLI-kommandoer for å sjekke eller gjøre endringer på dette, se nettsiden her: https://docs.paloaltonetworks.com/pan-os/9-0/pan-os-admin/networking/configure-interfaces/layer-2-interfaces/manage-per-vlan-spanning-tree-pvst-bpdu-rewrite.html

Logikken rundt destination NAT og tilknyttet security-regel på Palo Alto

Dersom man kommer fra Cisco ASA verdenen og begynner med Palo Alto, er logikken litt annerledes når det gjelder oppsettet av destination NAT og tilhørende security policies på Palo Alto.

Jeg har gått den veien, så jeg tenkte jeg skulle skrive et «kort» innlegg om saken for å enkelt forklare logikken rundt det.

Disclaimer: jeg er på ingen måte tilknyttet Palo Alto. Dette er bare et innlegg for å forklare ut i fra mine egne erfaringer. Det kan være andre metoder og utvidet funksjonalitet utover det som jeg beskriver her.

Fortsett å lese «Logikken rundt destination NAT og tilknyttet security-regel på Palo Alto»

ROC mining on ITA

About a week ago the alpha 3.11 version of Star Citizen went public, and among some of the stuff included, was the Greycat ROC , a ground mining vehicle for mining minerals on moons and planets.

It still has some bugs, and the worst ones are that it jumps around in certain environments, like inside other ships, like the Cutlass or when lifting the elevator on the Constellation ships when the systems are started.

One way of mitigating the jumping in the Cutlass, I found, was to engage mining mode right after starting the systems on the ROC. Then it settles and becomes stabile and can be driven in and out of the cutlass without issues.

Another issue at the moment is that the collection laser doesn’t collect the mineral fragments at once. I have to have it active and point it on the minerals for some seconds before it collect them in scoops. It also helps to «paint» or «swipe» the laser over the minerals.

With that said, here is a small video I recorded when taking the ROC and cutlass for a spin on the moon Ita around Hurston.

Lokal LAN-tilgang i Cisco AnyConnect

For eksempel i situasjoner hvor man ønsker og ikke ønsker at man skal ha tilgang til det lokale nettverket når man er koblet på VPN til for eksempel jobben. Et scenario er når man sitter på flyplassen og skal koble på bedriftsnettet for å gjøre noe jobb, så ønsker man ikke at man skal nå- eller bli nådd av de øvrige enhetene på det åpne nettverket der.

I andre enden av skalaen er når man har hjemmekontor og vil ha mulighet til å kunne bruke eksempelvis den lokale printeren man har på hjemmenettet for å skrive ut noe, da er det greit å kunne få til det om man vil.

Denne brukerveiledningen tar for seg oppsett av hvordan man sikrer all trafikk fra klienten gjennom AnyConnect-VPN, mens man har anledning til å velge selv i VPN-klienten om man skal tillate tilgang til – og ikke minst ifra – det lokale nettverket man er tilkoblet der hvor man er.

Fortsett å lese «Lokal LAN-tilgang i Cisco AnyConnect»

Star Citizen: Trading Fail

Star Citizen is probably one of the most beautiful and fun games I’ve ever played. Even if it is in alpha.

One of the things one can do to make money in-game (in the game currency aUEC) is trading – buying resources from mining camps and selling for profit at cities and space stations.

Since the game is in alpha, some things and errors may happen, so a good tip is to not use more money buying resources than you can afford to lose if something does happen. In the video above, I was a bit greedy and bought for 297k aUEC and was left with about 10k aUEC, and then something _did_ happen.

Star Citizen: Prospecting

I rented the Misc Prospector for 24 hours in-game to try out surface mining on the moons in the solar system. I found out this was fun gameplay, and I really like it. It also enables me to explore and see a lot more of the moons and planets than before, since I usually have just travelled to mining stations, cities and space stations for trading.

Star Citizen: Port Olisar

I’ve been playing Star Citizen for a short while, and I really like the concept and the attention to detail the developers has in this game. And not least the ambitious plan they have for the game. I like taking screenshots and videos of gameplay, and thought I’d share this one here.

This is from one of the space stations in the game, Port Olisar, in orbit around the gas planet Crusader in the Stanton System.

Nyere ASDM på Ubuntu

På de nyere versjonene av ASDM, som 7.10 og nyere, er det problemer med OpenJRE 8, som har fungert før, og de fungerer etter min erfaring nå kun med Oracle JRE 8. Og da uten IcedTea.

Dette innlegget er ikke ment for de som er litt drevne i linux/Ubuntu, men heller de som er ganske nye i denne kombinasjonen (egentlig meg deriblant).

Om du har hatt problemer med å komme inn på nyere versjoner av ASDM på Ubuntu med OpenJRE, kan du forsøke løsningen under;

Last ned Oracle JRE i tar.gz enten for 32 bit eller 64 bit, avhengig av systemet ditt. Lenke for nedlastning: https://www.oracle.com/technetwork/java/javase/downloads/jre8-downloads-2133155.html

Deretter kjører du kommandoene under, med utgangspunkt i at du er i nedlastningsmappen din i en terminal som su/root. Om du ikke er det skriver du aller først:

sudo su

Deretter kan du begynne:

mkdir /usr/java
mv jre-8u<versjon>-linux-x<arkitektur>.tar.gz /usr/java

cd /usr/java
tar xvzf jre-8u<versjon>-linux-x<arkitektur>.tar.gz

Når dette da er ferdig, skal det være opprettet en mappe som heter noe lignende jre1.8.0_221, som det gjør i mitt tilfelle. Du bytter ut og benytter selvsagt den mappen du har der selv i neste linjen under;

ln -s /usr/java/jre1.8.0_221/bin/javaws /usr/bin

Når dette er gjort kan du da kjøre javaws fra hvor som helst i skallet for å starte javaprogrammer, som f.eks ASDM;

javaws https://<ip til asa>:<port>/admin/public/asdm.jnlp

Jeg har i tillegg laget meg et lite script som forenkler prosessen litt. Lag en tom fil (som root) i /usr/bin/ som heter asdm med følgende innhold (om du benytter bash shell, standard shell i ubuntu):

javaws https://$1/admin/public/asdm.jnlp

Deretter lagrer du, så skriver du følgende for å gjøre den kjørbar:

chmod +x /usr/bin/asdm

Og da skal du kunne kjøre dette skriptet for å starte ASDM:

asdm <ip til asa>:<port>

Komme i gang med kryptert epost

Ende-til-ende-kryptering av epost gjennom PGP er en sikker måte å holde innholdet privat på. Jeg tar en gjennomgang på det her for Windows.

For å starte med det grunnleggende først; hva er kryptering?

Datatilsynets definisjon er følgende:

Kryptering er en matematisk metode som sørger for konfidensialitet ved at informasjon ikke kan leses av uvedkommende.

Informasjonen «låses ned» med en nøkkel og kan ikke leses før man har låst den opp igjen med riktig nøkkel. Nøkkelen som brukes til å låse opp trenger ikke å være den samme som ble brukt til å låse ned informasjonen.

Når man benytter kryptering i epost er det hovedsakelig en såkalt asymmetrisk krypteringsmetode som blir brukt. Det vil si at hver person har hvert sitt nøkkelpar – en offentlig nøkkel og en privat nøkkel hver.

Disse er matematisk knyttet til hverandre, og det som krypteres med den ene nøkkelen i nøkkelparet kan kun dekrypteres med den andre nøkkelen i nøkkelparet.

Fortsett å lese «Komme i gang med kryptert epost»