Ruediger weblog » Netzwerk

Juniper-Security Center und Honigtöpfe

Ruediger — Tue, 29 Apr 2008 20:39:06 +0000

Lange Zeit war das J-Security Center von Juniper Networks irgendwie tot. Seit kurzem gibt es wieder regelmäßig updates. Mittlerweile hat J-Security das Zeug zu einer ~~ganz~~ guten Security-Seite. Die "Virus Outbreak Informations" sind aber immer noch nicht aktuell.

Unter J-Security Center kann sich jeder ein Bild davon machen.

Hier sind allgemeine Bugs aufgelistet, mit einer von Juniper vergebenen Priorität, ebenso sind die Mircosoft Security Bulletins gelistet.

Auch die Anzeige der aktuellen Pattern-Versionen auf einen Blick ist sehr praktisch.

Als letzes lohnt sich noch der Blick auf das Juniper-eigene Honeynet: http://www.juniper.net/security/honeypot/.

Tags bei Technorati: J-Tac, Juniper, Security

April 2008 Web Server Survey von Netcraft

Ruediger — Tue, 22 Apr 2008 22:20:37 +0000

Unter http://news.netcraft.com/archives/2008/04/14/april_2008_web_server_survey.html gibt es die aktuelle Statistik über die Webserver von Netcraft. Hier mal die Top-ten der Webseiten auf Server bezogen:

Grundlage hierfür ist die detaillierte Tabelle von Netcraft.

Apache ist vorne mit 50%
IIS ist mit 35% ziemlich nahe
Google ist mit 6% schon verdammt weit vorne, obwohl erst seit kurzem dabei- gmail lässt halt grüßen

Tja, die 3 großen teilen sich schon 90% des Kuchens. Also ich tippe mal drauf, dass der Google Webserver die nächsten 2 Jahre schwer nach oben schießen wird. Bis 2010 rechne ich mit 20% für Google.

Tags bei Technorati: Google, Netcraft, Webserver

Juniper Networks: Neues ScreenOS und neue Hardware

Ruediger — Tue, 29 Jan 2008 21:02:39 +0000

Seit einigen Tagen ist ScreenOS, das Betriebssystem für Juniper-Firewalls, in 3 Versionen verfügbar: 5.4 (5.4.0r8) als von Juniper recommended Version, 6.0r4 als zukünftige stable Version (gerade die r4 hat allerdings bei uns schon einige Probleme verursacht) und seit neuestem eine 6.1. Die 6.1 hat zusätzliche Unterstützung für weitere PIMs, sowie auch sonst einige Neuerungen.

Wann die 6.0 recommended wird, steht anscheinend noch nicht fest.

Was die neue Hardware angeht, Juniper kündigt auf deren Webseite (https://www.juniper.net/) neue Hardware in Form von 24-Port – 48-Port-Switches an, die EX-Serie. Preis und genaues Verfügbarkeitsdatum scheinen noch nicht festzustehen, die Daten dazu sehen aber sehr nett aus: https://www.juniper.net/switch/deu/products.html. Als Einstiegspreis kursiert im Internet irgendetwas um die 4000US$.

Ich bin gespannt.

Tags bei Technorati: Juniper, Networking, ScreenOS

Ist "host -l" ein Hacker-Tool?

Ruediger — Mon, 21 Jan 2008 06:52:46 +0000

Gestern Abend bei Heise:

Der Anti-Spam-Aktivist David Ritz ist von einem Gericht im US-Bundesstaat North Dakota zur Zahlung von insgesamt 60.000 US-Dollar und zur Übernahme von Anwaltskosten verurteilt worden. Sein Vergehen: Er benutzte den UNIX-Befehl "host -l" und stieß damit einen Zonentransfer beim DNS-Server der Firma Sierra Corporate Design an. Der Server rückte auf diesen Befehl hin die Informationen bereitwillig heraus, und damit die komplette interne Adress- und Namensstruktur von Sierra. Nach eigenen Angaben ist die Firma spezialisiert auf Webhosting und Internet-Services.

[Quelle: http://www.heise.de/newsticker/meldung/102076]

Was hier passiert ist, darüber kann man sicherlich streiten, aber dass hier jemand als Hacker eingestuft wird, nur weil er den Befehl "host -l" kennt und verwendet, kann ich nicht wirklich nachvollziehen:

Damit habe Ritz die Datensicherheit von Sierra gefährdet, Ritz sei also als Hacker einzustufen, schließlich sei der Befehl "host -l" dem normalen Anwender nicht bekannt.

[Quelle: http://www.heise.de/newsticker/meldung/102076]

Eher interessant finde ich, dass die "komplette interne Adress- und Namensstruktur" dadurch bekannt wurde… sollte eher nicht so sein.

Außerdem gab er sich als Mail-Server aus.

Sobald man ein telnet auf port 25 macht, um das Versenden von e-mails zu testen, gebe ich mich als mailserver aus.

Teilweise ist die Argumentation etwas fade, wie ich finde.

Hier noch die manpage zum UNIX-Befehl "host": http://www.hmug.org/man/1/host.php

Tags bei Technorati: DNS, Heise.de

Endlich mal eine Antispam-Appliance mit Humor…

Ruediger — Fri, 23 Nov 2007 18:26:54 +0000

Neulich beim Testen der Antispamlösung per Telnet:

Witzig: Die vorletzte Zeile:

I can break rules, too. Goodbye.

Heißt so viel wie "Ich kann auch Regeln brechen. Auf Wiedersehen". Hehe.

Tags bei Technorati: antispam, witzig

Neue ScreenOS Version: 6.0.0r3

Ruediger — Thu, 08 Nov 2007 17:02:44 +0000

Seit 7.11.2007 ist eine neue Version des ScreenOS verfügbar. Die Release-Notes zur 6.0.0r3 gibt´s hier (login notwendig). Neue Features gibt´s laut Release Notes nicht, es wurde einige Bugs gefixt.

Recommended bleibt der 5.4er-Zweig.

SSL-VPN @ home, Teil 1

Ruediger — Tue, 06 Nov 2007 23:18:53 +0000

Nach langem Überlegen habe ich sie mir endlich gekauft: Die SSL-VPN-Appliance für Zuhause. Was bringt es? Sicherer, verschlüsselter Zugriff von extern auf die Ressourcen (z. B. NAS) im privaten LAN- von überall, von jedem PC. ~~Keine~~ Fast keine Software-Installation (sprich: keinen IPSec-Client), etc. Braucht man es unbedingt? Nein, aber es vereinfacht sehr vieles… Grund genug, mir in meinem Urlaub das Thema SSL-VPN genauer anzusehen.

Grundsätzlich: Was ist ein VPN? Ein VPN (Virtual Private Network) ist ein Netzwerk, um private Daten SICHER über ein öffentliches Netz (z. B. Internet) zu übertragen. Mit “sicher” ist hier der Schutz vor Mitlesen und/oder Ändern der Daten durch Dritte gemeint, nicht sicher im Sinne von garantierter Zustellung (so wird “sicher” im Zusammenhang mit TCP interpretiert). VPNs kann man grundsätzlich in die drei Arten Site-to-Site, End-to-Site und End-to-End unterteilen. Ein Site-to-Site-Tunnel wird meist zwischen 2 Firmenfirewalls aufgebaut, ein End-to-Site, oder auch Mobile-Tunnel, wird von einem mobilen Endgerät zu einem festen Endgerät (Initiator ist zwingend der Mobile User) aufgebaut. Einfaches Beispiel für einen End-to-End-Tunnel ist SSH.

Die Grafik zeigt ein Site-to-Site-VPN zwischen 2 Firmen und deren Kommunikation:

Die folgende Grafik zeigt einen Mobile-User, der sich mit dem Firmennetz oder einem Heimnetzwerk mit einem Mobile-Client verbindet:

IPSec ist Stand der Dinge, wenn es um VPN geht. Ursprünglich (vor mittlerweile fast 8 Jahren) entwickelt mit den Hauptzielen Vertraulichkeit, Authentizität und Integrität, ist es seit Jahren der De facto-Standart für Site-to-Site-Tunnel. IPSec hat allerdings Schwächen im Hinblick auf Mobile-User (Benutzer, die mithilfe von VPN-Clients arbeiten), die ins Netz möchten. Um als Mobile-user eine Verbindung ins Firmen-/Home-LAN zu bekommen, sind mehrere Dinge erforderlich:

Auf dem Mobilen Gerät muss ein VPN-Client installiert sein bzw. der Benutzer benötigt Admin-Rechte, um ihn selbst zu installieren.
Die Personal Firewall auf dem Client muss IPSec-Pakete durchlassen (z. B. UDP 500, ESP, AH), bzw. der Benutzer hat wiederum das Recht, diese Regeln anzupassen.
Jegliche sonstige Firewall (z. B. Firmefirewall oder Internet-Cafe) zwischen Mobile-User und Ziel-Firewall lässt die soeben genannten Protokolle und Ports ebenfalls durch.

Wenn diese Voraussetzungen alle erfüllt sind, kann der Mobile User einen transparenten Tunnel aufbauen und kann somit Vollzugriff auf das LAN (fast ohne Einschränkungen) bekommen. Aufgrund dieser notwendigen Voraussetzungen kommt seit einiger Zeit SSL-VPN immer mehr ins Gespräch. Auch SSL-VPN baut einen Tunnel zwischen 2 Kommunikationspartnern auf, der verschlüsselt wird. Ein großer Vorteil von SSL-VPN liegt in der Verwendung von TCP Port 443 (HTTPS) zur Kommunikation. Port 443 wird auch bei vielen Webseiten verwendet, ist ein gängiges Protokoll und ist daher auf den meisten Firewalls erlaubt (Personal Firewalls wie auch Firmenfirewalls). Alleine aus diesem Grund ist Punkt 2 und Punkt 3 der oben genannten Liste weitgehendst hinfällig.

Details zu SSL-VPN und der Sonicwall im nächsten Teil.

Tags bei Technorati: ipsec, sonicwall, ssl, ssl-vpn, vpn