Migration Konfiguration - Defaultwerte

Forum zu aktuellen Geräten der LANCOM Router/Gateway Serie

Moderator: Lancom-Systems Moderatoren

Antworten
Uller
Beiträge: 23
Registriert: 28 Jul 2018, 20:17

Migration Konfiguration - Defaultwerte

Beitrag von Uller »

Hallo zusammen,

da mein aktueller 1781VA ja Ende des Jahres aus dem Support läuft, plane ich ihn durch einen 1793VA zu ersetzen. Die Konfiguration des aktuellen Routers möchte ich dabei gerne übernehmen.

Der von Lancom empfohlene Weg ist ja das Erstellen einer Skriptdatei, die dann auf dem neuen Gerät eingespielt wird. Das habe ich so auch schon gemacht und sollte grundsätzlich funktionieren, die Geräte sind ja recht ähnlich und auf dem 1781VA läuft aktuell die Software Version 10.72.

Was mich allerdings gerade umtreibt ist, wie ich mit den Default werten umgehe. Im KB Artikel von Lancom (https://support.lancom-systems.com/know ... d=32983083) werden die Default Werte mit ins Skript übernommen. Gleichzeitig schreibt Lancom aber in einem anderen Artikel, zur Übernahme der Konfiguration bei sehr großen Versionsunterschieden (https://support.lancom-systems.com/know ... d=42110139), dass die Defaultwerte nicht in das Skript übernommen werden sollten, da sonst der neue Router potentiell unsichere Einstellungen der alten Version erhalten könne.

Ich kann mich entsinnen, dass in der Vergangenheit eine Migration der Konfiguration ohne Defaultwerte fehlgeschlagen ist, habe diesbezüglich aber keine große Erfahrung. Ich habe auch mal im 1781 erzeugte Skripte mit und ohne Defaultwerte verglichen, aber die Unterschiede sind schon ziemlich erschlagend.

Daher meine Frage an Euch: Laufe ich Gefahr, beim Übernehmen der Defaultwerte die Werte so in den neuen Router zu übernehmen, wie sie vor Jahren beim Kauf des 1781 waren oder werden die Werte bei SW-Updates aktualisiert? Wie würdet ihr vorgehen?

Für Eure Hilfe schon einmal vielen Dank und allen hier frohe Weihnachten!

Uller
Dr.Einstein
Beiträge: 2930
Registriert: 12 Jan 2010, 14:10

Re: Migration Konfiguration - Defaultwerte

Beitrag von Dr.Einstein »

Wenn du das Skript mitnimmst, übernimmst du auch ältere Protokolle. Du kannst einen Teil davon abfangen, indem du nach Upload der Konfig nochmal via SSH ein 'ssldefaults' losschickst.

Gruß Dr.Einstein
Uller
Beiträge: 23
Registriert: 28 Jul 2018, 20:17

Re: Migration Konfiguration - Defaultwerte

Beitrag von Uller »

Danke für den Tipp!

Ich denke, so werde ich es machen, mit den Defaults migrieren und danach die für ssl zurücksetzen.

Bei älteren Routern, die schon viele Lcos Versionen gesehen haben sollte man dass dann ja vielleicht auch mal machen ?!
Dr.Einstein
Beiträge: 2930
Registriert: 12 Jan 2010, 14:10

Re: Migration Konfiguration - Defaultwerte

Beitrag von Dr.Einstein »

Manchmal hatten LCOS Updates ein automatisches Anpassen der SSH und HTTPs Algorithmen. Wenn du allerdings einen nackten Router nimmst, Update aufspielst (oder schon eine so neuen Version vorinstalliert ist), und du danach dein Skript überträgst, hast du die neuen Defaults des Updates wieder rückgängig gemacht.

Klar, ein Prüfen lohnt sich immer. Aber Lancom hatte irgendwann zur 10.42 oder 10.50 einmalig ein Rücksetzen (bzw. ein Erweitern um neue Verfahren) programmiert. Müsste eigentlich in den Releasenotes stehen.

VPN u.ä. ist davon aber nicht betroffen. Da dürfte aber nicht viel sein, AES war schon immer das Verfahren, DH-Gruppen und SHA-Algorithmus sei zu prüfen. Hier kann aber Lancom nichts automatisieren, weil zum VPN gehören ja Gegenstellen.
Uller
Beiträge: 23
Registriert: 28 Jul 2018, 20:17

Re: Migration Konfiguration - Defaultwerte

Beitrag von Uller »

Dir noch einmal vielen Dank!

An die von Dir erwähnten Anpassungen kann ich mich erinnern, müsste ich noch mal suchen. Der 1781 ist jetzt 8 Jahre alt, der hat schon einige Updates gesehen, was ja sehr für Lancom spricht. Würde er nicht aus dem Support laufen, würde ich ihn nicht tauschen.

Ich werde beim 1793 mal ein Skript speichern, bevor ich etwas ändere und das dann vergleichen. Wenn sich daraus noch Erkenntnisse ergeben poste ich die hier.
Uller
Beiträge: 23
Registriert: 28 Jul 2018, 20:17

Re: Migration Konfiguration - Defaultwerte

Beitrag von Uller »

Hallo zusammen,

ich hate ja versprochen, mich wegen der Default Einstellungen des aktuellen LCOS noch einmal zu melden. Leider hat es jetzt deutlich länger gedauert, als gedacht.

Meine Konfiguration stammt ursprünglich von einem 821 mit LCOS 8.50, wurde Ende 2013 auf einen 1781VA migriert und im Dezember auf den aktuellen 1793VA, ist also schon recht alt. Der 1793VA wurde mit LCOS 10.42 ausgeliefert. Nach Durchlaufen des Assistenten zur Grundinstallation habe ich das Update auf 10.72 eingespielt und dann die Konfiguration inklusive der Defaults als Skript exportiert, das war meine Grundlage zum Vergleich der Einstallungen.

Die Konfiguration des 1781VA habe ich als Skript mit Defaultwerten exportiert, einige kleine Fehler korrigiert (Lancapi wird vom 1793 nicht mehr unterstützt und bei ein oder zwei Tabellen hat das del * einen Fehler gemeldet, warum auch immer) und dann auf dem 1793 eingespielt. Alles in allem war das absolut problemlos. Anschließend habe ich, wie hier vorgeschlagen, die SSL-Defaults per ssldefaults gesetzt und dann die Konfiguration mit der ursprünglich auf dem 1793VA exportierten verglichen.

Neben einigen Kleinigkeiten, bei denen vermutlich eh jeder eine angepasste Konfiguration hat (z.B. IPv6 Firewall-Regeln und Kommunikationslayer), gab es große Unterschiede vor allem bei der Verschlüsselung im Bereich VPN und SSH. Wo möglich habe ich die aktuellen Werte per „default“ auf der jeweiligen Tabelle eingespielt, zum Teil auch per Hand migriert.

Sich diese Tabellen, insbesondere VPN und SSH, anzuschauen kann ich nur jedem mit alter Konfiguration ans Herzen legen, bei mir waren da teils sehr alte Hash- und Verschlüsselungsalgorithmen hinterlegt.

Im einzelnen hat das die folgenden Tabellen betroffen

VPN
Setup/VPN/Proposals/IKE (/2/19/4/11)
Setup/VPN/Proposals/IPSEC (/2/19/4/12)
Setup/VPN/Proposals/IKE-Proposal-Lists (/2/19/4/9)
Setup/VPN/Proposals/IPSEC-Proposal-Lists (/2/19/4/10)
Setup/VPN/IKEv2/Encryption (/2/19/36/2)
Setup/VPN/IKEv2/Auth/Parameter (/2/19/36/3/1)
Setup/VPN/IKEv2/Auth/Addit.-Remote-ID-List (/2/19/36/3/2)
Setup/VPN/IKEv2/Auth/Addit.-Remote-IDs (/2/19/36/3/3)
Setup/VPN/IKEv2/Auth/Digital-Signature-Profiles (/2/19/36/3/4)
Setup/VPN/IKEv2/Lifetimes (/2/19/36/5)

SSH
Setup/Config/SSH/Cipher-Algorithms (/2/11/28/1)
Setup/Config/SSH/MAC-Algorithms (/2/11/28/2)
Setup/Config/SSH/Key-Exchange-Algorithms (/2/11/28/3)
Setup/Config/SSH/DH-Groups (/2/11/28/7)
Setup/Config/SSH/Signing-Hostkey-Algorithms (/2/11/28/15)
Setup/Config/SSH/Verifyable-Hostkey-Algorithms (/2/11/28/16)
Setup/Config/SSH/Min-RSA-Hostkey-Length (/2/11/28/17)

CA
Setup/Certificates/SCEP-CA/Encryption-Algorithm (/2/39/2/3)

Und außerdem diese beiden, die vielleicht noch interessant sind:
NAT
Setup/IP-Router/1-N-NAT/UDP-Aging-Seconds (/2/8/9/2)

Dashboard
/Setup/HTTP/Show-device-information (/2/21/14)

Beim Dashboard war mir bislang nicht einmal klar, dass das angepasst werden kann.

Ich habe mich bemüht, nichts zu vergessen, die Aufstellung hat aber trotzdem keinen Anspruch auf Vollständigkeit

Erwähnen sollte man noch, das die aktuelle Menüreferenz zu LCOS 10.72 Fehler bei der Angabe der Default hat (im Vergleich zu dem, was der default Befehl setzt) und außerdem in einigen Tabellen einzelne Spalten fehlen.

Vielleicht ist die Info ja für den ein oder anderen in ihn ähnlicher Situation nützlich.

Viele Grüße
Uller
GrandDixence
Beiträge: 1061
Registriert: 19 Aug 2014, 22:41

Re: Migration Konfiguration - Defaultwerte

Beitrag von GrandDixence »

Uller hat geschrieben: 04 Mär 2023, 15:50 Sich diese Tabellen, insbesondere VPN und SSH, anzuschauen kann ich nur jedem mit alter Konfiguration ans Herzen legen, bei mir waren da teils sehr alte Hash- und Verschlüsselungsalgorithmen hinterlegt.
Wer sich ernsthaft für sichere, verschlüsselte Kommunikation interessiert, kontrolliert regelmässig die aktuellen Empfehlungen der Kryptologen gegen die aktuelle (LCOS-)Konfiguration.

Mindestens einmal pro Jahr sollte man ein Blick ins BSI TR-02102 werfen:
https://www.bsi.bund.de/DE/Themen/Unter ... _node.html

BSI TR-02102-2 => TLS/SSL
BSI TR-02102-3 => VPN mit IKEv2/IPSec
BSI TR-02102-4 => SSH

Lesenswert sind auch folgende Webseiten:
https://wiki.mozilla.org/Security/Server_Side_TLS

https://infosec.mozilla.org/guidelines/openssh
Antworten