Unter J-Security Center kann sich jeder ein Bild davon machen.

Hier sind allgemeine Bugs aufgelistet, mit einer von Juniper vergebenen Priorität, ebenso sind die Mircosoft Security Bulletins gelistet.

Auch die Anzeige der aktuellen Pattern-Versionen auf einen Blick ist sehr praktisch.

Als letzes lohnt sich noch der Blick auf das Juniper-eigene Honeynet: http://www.juniper.net/security/honeypot/.

Technorati Tags: J-Tac, Juniper, Security

Grundlage hierfür ist die detaillierte Tabelle von Netcraft.

• Apache ist vorne mit 50%
• IIS ist mit 35% ziemlich nahe
• Google ist mit 6% schon verdammt weit vorne, obwohl erst seit kurzem dabei- gmail lässt halt grüßen

Tja, die 3 großen teilen sich schon 90% des Kuchens. Also ich tippe mal drauf, dass der Google Webserver die nächsten 2 Jahre schwer nach oben schießen wird. Bis 2010 rechne ich mit 20% für Google.

Technorati Tags: Google, Netcraft, Webserver

Wann die 6.0 recommended wird, steht anscheinend noch nicht fest.

Was die neue Hardware angeht, Juniper kündigt auf deren Webseite (https://www.juniper.net/) neue Hardware in Form von 24-Port – 48-Port-Switches an, die EX-Serie. Preis und genaues Verfügbarkeitsdatum scheinen noch nicht festzustehen, die Daten dazu sehen aber sehr nett aus: https://www.juniper.net/switch/deu/products.html. Als Einstiegspreis kursiert im Internet irgendetwas um die 4000US$.

Ich bin gespannt.

Technorati Tags: Juniper, Networking, ScreenOS

Der Anti-Spam-Aktivist David Ritz ist von einem Gericht im US-Bundesstaat North Dakota zur Zahlung von insgesamt 60.000 US-Dollar und zur Übernahme von Anwaltskosten verurteilt worden. Sein Vergehen: Er benutzte den UNIX-Befehl "host -l" und stieß damit einen Zonentransfer beim DNS-Server der Firma Sierra Corporate Design an. Der Server rückte auf diesen Befehl hin die Informationen bereitwillig heraus, und damit die komplette interne Adress- und Namensstruktur von Sierra. Nach eigenen Angaben ist die Firma spezialisiert auf Webhosting und Internet-Services.

[Quelle: http://www.heise.de/newsticker/meldung/102076]

Was hier passiert ist, darüber kann man sicherlich streiten, aber dass hier jemand als Hacker eingestuft wird, nur weil er den Befehl "host -l" kennt und verwendet, kann ich nicht wirklich nachvollziehen:

Damit habe Ritz die Datensicherheit von Sierra gefährdet, Ritz sei also als Hacker einzustufen, schließlich sei der Befehl "host -l" dem normalen Anwender nicht bekannt.

[Quelle: http://www.heise.de/newsticker/meldung/102076]

Eher interessant finde ich, dass die "komplette interne Adress- und Namensstruktur" dadurch bekannt wurde… sollte eher nicht so sein.

Außerdem gab er sich als Mail-Server aus.

Sobald man ein telnet auf port 25 macht, um das Versenden von e-mails zu testen, gebe ich mich als mailserver aus.

Teilweise ist die Argumentation etwas fade, wie ich finde.

Hier noch die manpage zum UNIX-Befehl "host": http://www.hmug.org/man/1/host.php

Technorati Tags: DNS, Heise.de

Witzig: Die vorletzte Zeile:

I can  break rules, too. Goodbye.

Heißt so viel wie "Ich kann auch Regeln brechen. Auf Wiedersehen". Hehe.

Technorati Tags: antispam, witzig

Recommended bleibt der 5.4er-Zweig.

Grundsätzlich: Was ist ein VPN? Ein VPN (Virtual Private Network) ist ein Netzwerk, um private Daten SICHER über ein öffentliches Netz (z. B. Internet) zu übertragen. Mit “sicher” ist hier der Schutz vor Mitlesen und/oder Ändern der Daten durch Dritte gemeint, nicht sicher im Sinne von garantierter Zustellung (so wird “sicher” im Zusammenhang mit TCP interpretiert). VPNs kann man grundsätzlich in die drei Arten Site-to-Site, End-to-Site und End-to-End unterteilen. Ein Site-to-Site-Tunnel wird meist zwischen 2 Firmenfirewalls aufgebaut, ein End-to-Site, oder auch Mobile-Tunnel, wird von einem mobilen Endgerät zu einem festen Endgerät (Initiator ist zwingend der Mobile User) aufgebaut. Einfaches Beispiel für einen End-to-End-Tunnel ist SSH.

Die Grafik zeigt ein Site-to-Site-VPN zwischen 2 Firmen und deren Kommunikation:

Die folgende Grafik zeigt einen Mobile-User, der sich mit dem Firmennetz oder einem Heimnetzwerk mit einem Mobile-Client verbindet:

IPSec ist Stand der Dinge, wenn es um VPN geht. Ursprünglich (vor mittlerweile fast 8 Jahren) entwickelt mit den Hauptzielen Vertraulichkeit, Authentizität und Integrität, ist es seit Jahren der De facto-Standart für Site-to-Site-Tunnel. IPSec hat allerdings Schwächen im Hinblick auf Mobile-User (Benutzer, die mithilfe von VPN-Clients arbeiten), die ins Netz möchten. Um als Mobile-user eine Verbindung ins Firmen-/Home-LAN zu bekommen, sind mehrere Dinge erforderlich:

1. Auf dem Mobilen Gerät muss ein VPN-Client installiert sein bzw. der Benutzer benötigt Admin-Rechte, um ihn selbst zu installieren.
2. Die Personal Firewall auf dem Client muss IPSec-Pakete durchlassen (z. B. UDP 500, ESP, AH), bzw. der Benutzer hat wiederum das Recht, diese Regeln anzupassen.
3. Jegliche sonstige Firewall (z. B. Firmefirewall oder Internet-Cafe) zwischen Mobile-User und Ziel-Firewall lässt die soeben genannten Protokolle und Ports ebenfalls durch.

Wenn diese Voraussetzungen alle erfüllt sind, kann der Mobile User einen transparenten Tunnel aufbauen und kann somit Vollzugriff auf das LAN (fast ohne Einschränkungen) bekommen. Aufgrund dieser notwendigen Voraussetzungen kommt seit einiger Zeit SSL-VPN immer mehr ins Gespräch. Auch SSL-VPN baut einen Tunnel zwischen 2 Kommunikationspartnern auf, der verschlüsselt wird. Ein großer Vorteil von SSL-VPN liegt in der Verwendung von TCP Port 443 (HTTPS) zur Kommunikation. Port 443 wird auch bei vielen Webseiten verwendet, ist ein gängiges Protokoll und ist daher auf den meisten Firewalls erlaubt (Personal Firewalls wie auch Firmenfirewalls). Alleine aus diesem Grund ist Punkt 2 und Punkt 3 der oben genannten Liste weitgehendst hinfällig.

Details zu SSL-VPN und der Sonicwall im nächsten Teil.

Technorati Tags: ipsec, sonicwall, ssl, ssl-vpn, vpn