Hallo zusammen!

Ich versuche gerade mit ciscodump auf einem Cisco-Router Pakete
mitzuschneiden.
ciscodump im Wireshark funktioniert auch grundsätzlich, nur ist der
halt nicht im privilegierten Modus.
Kann man dem irgendwie mitgeben, dass vorher der enable-Befehl mit PW
abgesetzt werden muss oder muss ich das enable-Passwort wirklich
entfernen?

--
Gruß
Marco

Spam und Werbung bitte an ichwillgesperrtwerden@nirvana.admins.ws

Am 08.02.24 um 21:02 schrieb Marco Moock:

> Ich versuche gerade mit ciscodump auf einem Cisco-Router Pakete
> mitzuschneiden.
> ciscodump im Wireshark funktioniert auch grundsätzlich, nur ist der
> halt nicht im privilegierten Modus.
> Kann man dem irgendwie mitgeben, dass vorher der enable-Befehl mit PW
> abgesetzt werden muss oder muss ich das enable-Passwort wirklich
> entfernen?

Ich bin mir da jetzt nicht sicher, auch weil ich nicht weiß wie alt
deine HW ist aber: So wie ich mich erinnere ändert ein nicht-existentes
Passwort nichts daran das du mindestens 'ena' ein tippen müßtest um in
diesen Modus zu kommen.

Ｂｙｅ／
／Ｋａｙ

--
"Kann ein Wurstbrot die Welt retten?" :-)

Marco Moock <mm+solani@dorfdsl.de> wrote:

> Ich versuche gerade mit ciscodump auf einem Cisco-Router Pakete
> mitzuschneiden.
> ciscodump im Wireshark funktioniert auch grundsätzlich, nur ist der halt
> nicht im privilegierten Modus.

Ciscodump sagt mir nix. Magst Du ein paar Worte dazu verlieren?

> Kann man dem irgendwie mitgeben, dass vorher der enable-Befehl mit PW
> abgesetzt werden muss oder muss ich das enable-Passwort wirklich entfernen?

Mit der entsprechenden aaa-Konfiguration wird ein User schon beim Login
"enabled". Würde Dir das helfen?

Was unter IOS 12.3 und neuer funktioniert:

aaa new-model
aaa authorization exec default local
aaa authorization console
username xxx privilege 15 secret yyy

Ein Enable-Secret kann in der Konfiguration verbleiben, muss aber nicht.

Eventuelle "login" und "password" Konfigurationen in den lines ganz unten
sollten dann raus.

--

:wq! PoC

Am 08.02.2024 22:50 Uhr schrieb poc@pocnet.net:

> Marco Moock <mm+solani@dorfdsl.de> wrote:
>
> > Ich versuche gerade mit ciscodump auf einem Cisco-Router Pakete
> > mitzuschneiden.
> > ciscodump im Wireshark funktioniert auch grundsätzlich, nur ist der
> > halt nicht im privilegierten Modus.
>
> Ciscodump sagt mir nix. Magst Du ein paar Worte dazu verlieren?
>
> > Kann man dem irgendwie mitgeben, dass vorher der enable-Befehl mit
> > PW abgesetzt werden muss oder muss ich das enable-Passwort wirklich
> > entfernen?
>
> Mit der entsprechenden aaa-Konfiguration wird ein User schon beim
> Login "enabled". Würde Dir das helfen?
>
> Was unter IOS 12.3 und neuer funktioniert:
>
> aaa new-model
> aaa authorization exec default local
> aaa authorization console
> username xxx privilege 15 secret yyy
>
> Ein Enable-Secret kann in der Konfiguration verbleiben, muss aber
> nicht.

> Eventuelle "login" und "password" Konfigurationen in den lines ganz
> unten sollten dann raus.

In den vty habe ich die login-Zeile entfernt, keine Änderung.
159-3.M7 ist drauf.

--
Gruß
Marco

Spam und Werbung bitte an ichschickereklame@cartoonies.org

Marco Moock <mm+solani@dorfdsl.de> wrote:

> In den vty habe ich die login-Zeile entfernt, keine Änderung.
> 159-3.M7 ist drauf.

Wenn Du Dich mit dem Benutzer und Passwort anmeldest, bist Du denn dann schon
direkt im Enable-Modus? Der Prompt muss von Anfang an eine '#' sein, kein '>'.

Ssh oder telnet spielt auch keine Rolle.

--

:wq! PoC

Am 09.02.2024 17:02 Uhr schrieb poc@pocnet.net:

> Wenn Du Dich mit dem Benutzer und Passwort anmeldest, bist Du denn
> dann schon direkt im Enable-Modus? Der Prompt muss von Anfang an eine
> '#' sein, kein '>'.

Nein, ich bin dann im unprivilegierten Modus und muss weiterhin das
enable-PW eingeben.

--
Gruß
Marco

Spam und Werbung bitte an ichschickereklame@cartoonies.org

Marco Moock <mm+solani@dorfdsl.de> wrote:

>> Wenn Du Dich mit dem Benutzer und Passwort anmeldest, bist Du denn
>> dann schon direkt im Enable-Modus? Der Prompt muss von Anfang an eine
>> '#' sein, kein '>'.
>
> Nein, ich bin dann im unprivilegierten Modus und muss weiterhin das
> enable-PW eingeben.

Dann stimmt was mit der Konfiguration nicht. Mit dem Schnipsel den ich Dir
gegeben habe lande ich bei allen Routern mit IOS 12.3 und neuer direkt im
Enable-Modus, via telnet, ssh und Console.

--

:wq! PoC

Am 08.02.2024 22:50 Uhr schrieb poc@pocnet.net:

> Marco Moock <mm+solani@dorfdsl.de> wrote:
>
> > Ich versuche gerade mit ciscodump auf einem Cisco-Router Pakete
> > mitzuschneiden.
> > ciscodump im Wireshark funktioniert auch grundsätzlich, nur ist der
> > halt nicht im privilegierten Modus.
>
> Ciscodump sagt mir nix. Magst Du ein paar Worte dazu verlieren?
>
> > Kann man dem irgendwie mitgeben, dass vorher der enable-Befehl mit
> > PW abgesetzt werden muss oder muss ich das enable-Passwort wirklich
> > entfernen?
>
> Mit der entsprechenden aaa-Konfiguration wird ein User schon beim
> Login "enabled". Würde Dir das helfen?
>
> Was unter IOS 12.3 und neuer funktioniert:
>
> aaa new-model
> aaa authorization exec default local
> aaa authorization console
> username xxx privilege 15 secret yyy

Test auf nem gelöschten 886W.

Router#sh run | i aaa
aaa new-model
aaa authentication login default local
aaa authorization exec default local
aaa session-id common
Router#
username ist auch drin, Login ist möglich.

enable muss man trotzdem eingeben.

line con 0
no modem enable
line aux 0
line 2
no activation-character
no exec
transport preferred none
transport input all
line vty 0 4
transport input all

enable-PW ist nicht konfiguriert.

--
Gruß
Marco

Spam und Werbung bitte an ichschickereklame@cartoonies.org

Marco Moock <mm+solani@dorfdsl.de> wrote:

> username ist auch drin, Login ist möglich.

Ist der User mit "privilege 15" angelegt?

--

:wq! PoC

Am 12.02.2024 16:22 Uhr schrieb poc@pocnet.net:

> Marco Moock <mm+solani@dorfdsl.de> wrote:
>
> > username ist auch drin, Login ist möglich.
>
> Ist der User mit "privilege 15" angelegt?

ja

--
Gruß
Marco

Spam und Werbung bitte an ichschickereklame@cartoonies.org

Marco Moock <mm+solani@dorfdsl.de> wrote:

>> Marco Moock <mm+solani@dorfdsl.de> wrote:
>>
>> > username ist auch drin, Login ist möglich.
>>
>> Ist der User mit "privilege 15" angelegt?
>
> ja

Dann habe ich keine Idee warum das bei Dir nicht funktioniert.

--

:wq! PoC

Am 12.02.2024 17:26 Uhr schrieb poc@pocnet.net:

> Dann habe ich keine Idee warum das bei Dir nicht funktioniert.

Kannst du mal eine komplette Konfig posten, bei der es funktioniert?
Ggf. fehlt noch eine weitere Option.

--
Gruß
Marco

Spam und Werbung bitte an ichschickereklame@cartoonies.org

Marco Moock <mm+solani@dorfdsl.de> wrote:

> Kannst du mal eine komplette Konfig posten, bei der es funktioniert?
> Ggf. fehlt noch eine weitere Option.

Nein, fehlt nicht. Gerade eben getestet, exakt der Schnipsel den ich initial
gepostet hatte und aus meinem m4-Template stammt, mit dem ich seit Jahrzehnten
Router konfiguriere - ohne die von Dir beobachteten Schwierigkeiten.

---8<---

Connected to dhcp-034.pocnet.net.
Escape character is '^]'.

User Access Verification

Username: root
Password:

dhcp-034#

---8<---

Der Router war leer (erase nvram:) wie Du am "initial config setup" sehen
kannst. Dass diese IOS-Version per default im vty 0 4 überhaupt keine
Verbindungen reinlässt ist dämlich, aber der Vollständigkeit halber habe diese
Korrektur mit im untenstehenden Log.

---8<---

System Bootstrap, Version 15.1(4r)M2, RELEASE SOFTWARE (fc1)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 2011 by cisco Systems, Inc.

C860VAE advanced k9 platform with 256 MB of main memory

Booting flash:/c860vae-advsecurityk9-mz.155-3.M10.bin
boot: Launch entrypt: 0x80800000
Self decompressing the image : ######################################################################################################################################################################################################################################################################################################################################################################################################################################################################################################################################################### [OK]

Restricted Rights Legend

Use, duplication, or disclosure by the Government is
subject to restrictions as set forth in subparagraph
(c) of the Commercial Computer Software - Restricted
Rights clause at FAR sec. 52.227-19 and subparagraph
(c) (1) (ii) of the Rights in Technical Data and Computer
Software clause at DFARS sec. 252.227-7013.

cisco Systems, Inc.
170 West Tasman Drive
San Jose, California 95134-1706

Cisco IOS Software, C860 Software (C860VAE-ADVSECURITYK9-M), Version 15.5(3)M10, RELEASE SOFTWARE (fc3)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2019 by Cisco Systems, Inc.
Compiled Wed 25-Sep-19 06:37 by prod_rel_team

flashfs[6]: 228 files, 16 directories
flashfs[6]: 0 orphaned files, 0 orphaned directories
flashfs[6]: Total bytes: 55351296
flashfs[6]: Bytes used: 43665408
flashfs[6]: Bytes available: 11685888
flashfs[6]: flashfs fsck took 1 seconds.
flashfs[6]: Initialization complete.

This product contains cryptographic features and is subject to United
States and local country laws governing import, export, transfer and
use. Delivery of Cisco cryptographic products does not imply
third-party authority to import, export, distribute or use encryption.
Importers, exporters, distributors and users are responsible for
compliance with U.S. and local country laws. By using this product you
agree to comply with applicable laws and regulations. If you are unable
to comply with U.S. and local laws, return this product immediately.

A summary of U.S. laws governing Cisco cryptographic products may be found at:
http://www.cisco.com/wwl/export/crypto/tool/stqrg.html

If you require further assistance please contact us by sending email to
export@cisco.com.

Cisco 866VAE-K9 (revision 0.3) with 234496K/26624K bytes of memory.
Processor board ID GMK180203QW
1 DSL controller
1 Ethernet interface
4 FastEthernet interfaces
2 Gigabit Ethernet interfaces
1 ATM interface
1 Virtual Private Network (VPN) Module
255K bytes of non-volatile configuration memory.
57344K bytes system flash allocated

--- System Configuration Dialog ---

Would you like to enter the initial configuration dialog? [yes/no]: no

Press RETURN to get started!

*Feb 6 06:30:01.523: %MAINBOARD-3-RTC_BATTERY_FAILURE: Real Time Clock (RTC) oscillator problem detected, possibly caused by RTC battery failure
*Feb 6 06:30:08.215: PIM: BFD initialization failed

*Feb 6 06:30:10.575: %VPN_HW-6-INFO_LOC: Crypto engine: onboard 0 State changed to: Initialized
*Feb 6 06:30:10.575: %VPN_HW-6-INFO_LOC: Crypto engine: onboard 0 State changed to: Enabled
*Feb 6 06:30:18.483: %LINK-3-UPDOWN: Interface Ethernet0, changed state to down
*Feb 6 06:30:18.483: %LINK-3-UPDOWN: Interface ATM0, changed state to down
*Feb 6 06:30:18.483: %LINEPROTO-5-UPDOWN: Line protocol on Interface VoIP-Null0, changed state to up
*Feb 6 06:30:18.483: %LINK-3-UPDOWN: Interface GigabitEthernet1, changed state to down
*Feb 6 06:30:18.483: %LINEPROTO-5-UPDOWN: Line protocol on Interface Onboard VPN, changed state to up
*Feb 6 06:30:19.143: %LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan1, changed state to down
*Feb 6 06:30:20.099: %LINEPROTO-5-UPDOWN: Line protocol on Interface Ethernet0, changed state to down
*Feb 6 06:30:20.099: %LINEPROTO-5-UPDOWN: Line protocol on Interface ATM0, changed state to down
*Feb 6 06:30:20.099: %LINEPROTO-5-UPDOWN: Line protocol on Interface GigabitEthernet1, changed state to down
*Feb 6 06:30:33.059: AUTOINSTALL: GigabitEthernet1 is assigned 192.168.59.34
*Feb 6 06:31:12.715: %LINK-5-CHANGED: Interface ATM0, changed state to administratively down
*Feb 6 06:31:12.715: %LINK-5-CHANGED: Interface Ethernet0, changed state to administratively down
*Feb 6 06:31:20.999: %LINK-3-UPDOWN: Interface GigabitEthernet1, changed state to up
*Feb 6 06:31:22.059: %LINEPROTO-5-UPDOWN: Line protocol on Interface GigabitEthernet1, changed state to up
*Feb 6 06:31:22.359: %LINK-3-UPDOWN: Interface FastEthernet0, changed state to down
*Feb 6 06:31:22.359: %LINK-3-UPDOWN: Interface FastEthernet1, changed state to down
*Feb 6 06:31:22.359: %LINK-3-UPDOWN: Interface FastEthernet2, changed state to down
*Feb 6 06:31:22.359: %LINK-3-UPDOWN: Interface FastEthernet3, changed state to down
*Feb 6 06:31:22.359: %LINK-3-UPDOWN: Interface GigabitEthernet0, changed state to down
*Feb 6 06:31:24.999: %SYS-5-RESTART: System restarted --
Cisco IOS Software, C860 Software (C860VAE-ADVSECURITYK9-M), Version 15.5(3)M10, RELEASE SOFTWARE (fc3)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2019 by Cisco Systems, Inc.
Compiled Wed 25-Sep-19 06:37 by prod_rel_team
*Feb 6 06:31:25.015: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0, changed state to down
*Feb 6 06:31:25.015: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet1, changed state to down
*Feb 6 06:31:25.015: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet2, changed state to down
*Feb 6 06:31:25.015: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet3, changed state to down
*Feb 6 06:31:25.015: %LINEPROTO-5-UPDOWN: Line protocol on Interface GigabitEthernet0, changed state to down
*Feb 6 06:31:25.023: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is OFF
dhcp-034>ena
dhcp-034#conf t
Enter configuration commands, one per line. End with CNTL/Z.
dhcp-034(config)#aaa new-model
dhcp-034(config)#aaa authorization exec default local
dhcp-034(config)#aaa authorization console
dhcp-034(config)#username root privilege 15 secret blahkeks
dhcp-034#show run
Building configuration...

*Feb 6 06:32:21.031: %SYS-5-CONFIG_I: Configured from console by console
Current configuration : 1184 bytes
! ! Last configuration change at 06:32:21 UTC Wed Feb 6 2036
! version 15.5
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
! hostname dhcp-034
! boot-start-marker
boot-end-marker
! !
! aaa new-model
! !
aaa authorization console
aaa authorization exec default local
!
! !
! !
aaa session-id common
wan mode ethernet
! !
! !
! !
ip cef
no ipv6 cef
! !
! !
! !
! !
!
! !
! !
username root privilege 15 secret 5 $1$K4qp$gviOpew07lJlGU7VJtnBI.
! !
controller VDSL 0
! !
! !
! !
! !
! !
! !
! interface ATM0
no ip address
shutdown
no atm ilmi-keepalive
! interface Ethernet0
no ip address
shutdown
! interface FastEthernet0
no ip address
! interface FastEthernet1
no ip address
! interface FastEthernet2
no ip address
! interface FastEthernet3
no ip address
! interface GigabitEthernet0
no ip address
! interface GigabitEthernet1
ip address dhcp
duplex auto
speed auto
! interface Vlan1
no ip address
! ip forward-protocol nd
no ip http server
no ip http secure-server
! !
! !
! !
! !
line con 0
no modem enable
line aux 0
line vty 0 4
transport input none
! scheduler allocate 60000 1000
! end

dhcp-034#conf t
Enter configuration commands, one per line. End with CNTL/Z.
dhcp-034(config)#line vty 0 4
dhcp-034(config-line)# transport input all
dhcp-034(config-line)#end
dhcp-034#
*Feb 6 06:32:43.799: %SYS-5-CONFIG_I: Configured from console by console

--

:wq! PoC

Am 14.02.2024 08:30 Uhr schrieb poc@pocnet.net:

> Nein, fehlt nicht. Gerade eben getestet, exakt der Schnipsel den ich
> initial gepostet hatte und aus meinem m4-Template stammt, mit dem ich
> seit Jahrzehnten Router konfiguriere - ohne die von Dir beobachteten
> Schwierigkeiten.

Du hast Recht, es funktioniert für telnet und SSH. Ich hatte aber nur
per RS232 getestet.

Das Problem am anderen Router ist auch gefunden und saß vor dem Monitor.
Man muss halt ganz genau lesen oder gleich mit diff vergleichen lassen.

Das debug aaa authorization war aufschlussreich und hat mir gezeigt,
dass ich im Level 1 nach dem Login war. Auf dem Testgerät auf 15.
Grund war, dass ich den User ja schon hatte und damals das Privileg
vergessen wurde und mir das nicht aufgefallen ist.

Danke für die Unterstützung.

--
Gruß
Marco

Spam und Werbung bitte an ichschickereklame@cartoonies.org

Marco Moock <mm+solani@dorfdsl.de> wrote:

>> Nein, fehlt nicht. Gerade eben getestet, exakt der Schnipsel den ich
>> initial gepostet hatte und aus meinem m4-Template stammt, mit dem ich seit
>> Jahrzehnten Router konfiguriere - ohne die von Dir beobachteten
>> Schwierigkeiten.
>
> Du hast Recht, es funktioniert für telnet und SSH. Ich hatte aber nur per
> RS232 getestet.

Gut, jetzt stimmt mein Weltbild wieder.

Aber auch via serieller Console muss es gehen. Früher (12.2 oder noch älter?)
gab es kein aaa authorization console, da ging dies dann leider nicht.

> Das Problem am anderen Router ist auch gefunden und saß vor dem Monitor.
> Man muss halt ganz genau lesen oder gleich mit diff vergleichen lassen.

Der Teufel steckt wie so oft im Detail. :-)

> Das debug aaa authorization war aufschlussreich und hat mir gezeigt, dass
> ich im Level 1 nach dem Login war. Auf dem Testgerät auf 15. Grund war,
> dass ich den User ja schon hatte und damals das Privileg vergessen wurde und
> mir das nicht aufgefallen ist.

Und ich frag noch extra ob der User für level15 einerichtet ist. ;-)

> Danke für die Unterstützung.

Bitte, gerne. Löst dies denn Dein Ursprungsproblem?

--

:wq! PoC

Am 14.02.2024 schrieb poc@pocnet.net:

> Bitte, gerne. Löst dies denn Dein Ursprungsproblem?

Jein.
Ich merke, dass das Konzept hier ist, eine Anzahl an Paketen
aufzuzeichnen und die dann Wireshark zu übergeben. Dann wird ein neuer
Mitschnitt gemacht.
Dazwischen gehen die Pakete verloren.
Ein Test mit 2000 Pings bestätigt das - ich sehe nur einen Teil davon
im Wireshark.

2. Problem: Man muss bei ciscodump eine ACL angeben, um z.B. die
SSH-Pakete auszuschließen (sonst gibt es einen endlosen Paketsturm).
Da steht am Ende permit ip any any.
Leider funktioniert ein permit ipv6 any any nicht. Vermutlich, weil der
versucht, das in ne IPv4-ACL zu schreiben.
Die Frage ist, wie man den dazu bringt, eine IPv6-ACL zu nutzen.

Marco Moock <mm+usenet@dorfdsl.de> wrote:

>> Bitte, gerne. Löst dies denn Dein Ursprungsproblem?
>
> Jein.

Schade.

> Ich merke, dass das Konzept hier ist, eine Anzahl an Paketen
> aufzuzeichnen und die dann Wireshark zu übergeben. Dann wird ein neuer
> Mitschnitt gemacht.
> Dazwischen gehen die Pakete verloren.
> Ein Test mit 2000 Pings bestätigt das - ich sehe nur einen Teil davon
> im Wireshark.

Mh, verstehe. Bestätigt mich einmal mehr darin, keine Zeit damit zu
verschwenden. Tatsächlich konnte ich mir über die Jahre immer anders behelfen.

> 2. Problem: Man muss bei ciscodump eine ACL angeben, um z.B. die
> SSH-Pakete auszuschließen (sonst gibt es einen endlosen Paketsturm).
> Da steht am Ende permit ip any any.
> Leider funktioniert ein permit ipv6 any any nicht. Vermutlich, weil der
> versucht, das in ne IPv4-ACL zu schreiben.
> Die Frage ist, wie man den dazu bringt, eine IPv6-ACL zu nutzen.

Da kann ich Dir leider nicht helfen. Es gibt ja "ipv6 access-list xxx", analog
zu den normalen named ACLs "ip access-list extended xxx", aber ob das hilft,
weiss ich nicht.

Zum Debugging ob und wie was bestimmtes durch einen Router durch geht habe ich
auch mit ACLs gearbeitet, und mit dem Zusatz "log" für den "interesting
traffic" in den ACLs. Damit kam ich üblicherweise klar. Den Paket *Inhalt*
konnte ich an anderen Stellen abgreifen, so das notwendig war. In komplexeren
Umgebungen war für mich aber im Regelfall eher das Problem wo genau ein Paket
versumpft.

--

:wq! PoC