Category Archives: Sicherheit

Ein Abschluss

Posted by Joern on 14.November 2005 Kommentare deaktiviert

Durch Abgabe der Dokumentation ging am Freitag das Projekt zur Umstellung auf das Astaro Security Gateway zuende. Zufrieden waren alle. Der Kunde, weil es reibungsloser war als gedacht und wir, weil der Plan funktioniert hat. Auch nach der Umstellung traten keine grossen Probleme mehr auf. Ein kleines Problem war der Email-Filter für Dateianhänge. Er kam mit EDI Mails nicht klar und verwarf sie mit den wildesten Meldungen.

Besonders Positiv äusserte sich der mit der Administration beauftragte Mitarbeiter. Ein sehr wichtiger Punkt: Nur akzeptierte Software wird auch gerne genutzt. Es nützt nämlich garnichts eine noch so tolle Lösung anzuschaffen, wenn dies über den Kopf der Mitarbeiter hinweg passiert. Sie wird dann nur mit Wiederwillen und höchstens ‘nach Vorschrift’ benutzt, von produktiven Einsatz kann kaum eine Rede sein.

ClamAV 0.87.1 erschienen

Posted by Joern on 5.November 2005 1 comment

So, mein ungutes Gefühl hat sich etwas gelegt. Mit Version 0.87.1 sind wohl die Probleme gefixt und es gibt auch schon Pakete für Debian von Stephen Gran.

Auf der anderen Seite war ich etwas überrascht, weil es doch länger gedauert hat bis es Fixes für die letzten phpmyadmin Probleme (Gründe hier) gegeben hat. Die gemeldeten PHP-Probleme sind noch so ein Fall. Bei Ubuntu gibt es Updates bei Debian nicht. Ich will mich hier nicht aufregen oder jemanden kritisieren, was mich allerdings stört ist mein(!) Gefühl der Ungewissheit, das auch durch lesen eines Bug-Reports nicht besser wird, weil für mich schwer nachzuvollziehen ist was da ab geht. Es gab mal eine Seite von Joey Hess auf der es einen Status zur Sicherheit von stable gab, leider ist sie im Nirvana verschwunden.

Mir ist klar, das Debian mit der enormen Menge an Paketen zu kämpfen hat und das viele Projekte es mittlerweile vorziehen eine neue Version herauszugeben mit denen jede Menge andere Änderungen einfliessen und dann erst die Relevanten identifiziert und extrahiert werden müssen, um daraus Sicherheits-Updates zu generieren. Trotzdem wünsche ich mir etwas mir mehr Informationen, besonders für Aussenstehende, damit man abwägen kann was zu tun ist. Übrigends scheinen sich die nächsten XML-RPC Probleme am Horizont abzuzeichnen :/

Der Oracle Datenbank Wurm

Posted by Joern on 2.November 2005 3 comments

The worm scans local subnets looking for other database servers, and then tries various common username and password combinations. If this succeeds, a table ‘x’ is placed on the server and the cycle is repeated. With the source code in the wild, it is trivial to change this table creation to something less benign.
Oracle worm creates table ‘x’


Im Moment, so scheint es, hat man Oracle in Sachen Sicherheit am Arsch. Anders kann man die Flut an Advisories kaum erklären. Zum Glück hab ich nicht eine derartige DB an den Hacken :)

Astaro Security Gateway 220

Posted by Joern on 1.November 2005 6 comments

Beim Astaro Security Gateway 220 (ASG220) handelt es sich um eine Hardware-Aplliance, auf der das hauseigene Astaro Security Linux (ASL) installiert ist. Die Appliance ist mit 19-Zoll 1HE und einer Tiefe von ca. 30cm nicht sonderlich gross. Auf der Front sieht man zunächst acht(!) 10/100Mbit-Interfaces und ein zweizeiliges LC-Display, während es auf der Rückseite einen Stromstecker, Ein-Aus Schalter und eine Schublade für die Festplatte (2,5 Zoll) zu sehen gibt.

Das installierte ASL basiert auf dem Suse Linux Enterprise Server 9 (SLES9), wovon aber kaum etwas zu merken ist (also kein yast auf der console) und unterscheidet sich nur in der Lizensierung von der Standalone ASL-Variante.

Lizensierung

Bei der Lizensierung der ASGs geht Astaro andere Wege als bei den ASLs. Hier gibt es keinerlei Beschränkungen auf Benutzer (ausser die auf 10 Nutzer beschränkte ASG110) oder Connections und die Lizenz für die Snort-basierende Intrusion-Detection und dem HA-Module sind schon im Preis enthalten. Die Anzahl der Nutzer werden übrigends über das Zählen von IP-Adressen ermittelt.

Desweiteren gibt es noch die sogenannte Secure-Mail Option. Sie beinhaltet Antispam (Exim und Spamassassin basierend) und Antivirus (Kaspersky _und_ ClamAV) Schutz für 1 Jahr, während Secure-Web einen Content-Filter, sowie Schutz vor Viren und Spyware bietet.

Abgerundet[1] wird das ganze durch Gold- und Platinum-Maintenance, wodurch man Zugriff auf ASL-Updates, den Support via Mail und Telefon bekommt und Austauschgeräte.

Intressant ist die Lizensierung im High-Availability Bereich. Man kauft sich z.B. eine ASG220 mit Secure-Mail und Gold-Maintenance und möchte dann HA machen. Dazu kauft man die sogenannte HA-Option, die ein zweites Gerät beinhaltet und ist durch mit dem Thema. Secure-Mail und den Support braucht man _nicht_ doppelt zu lizensieren!

Web-Interface

Die Administration findet komplett über das Web-Interface statt. Zwar gibt es die Möglichkeit via SSH oder serielle Konsole direkt im Linux-System etwas zu machen, aber das ist wohl nur für Notfälle gedacht. Ich denke man verliert den Support seitens Astaro, wenn man da zuviel rumbastelt.

Wenn man so im Web-Interface rumklickt, ist es besser etwas Linux Know-how zu haben, denn viele Dinge sind 1:1 übernommen. So gibt es dort Optionen für Masquerading, S-NAT und D-NAT, die zwar im Handbuch angerissen werden, aber keine sonderliche Tiefe erfahren. So schweigt es sich z.B. aus wie man ein 1:1 NAT einrichtet. Wer soetwas schomal mit Linux gemacht hat weiss, das man zuerst die zu-nattende (was für ein Wort) IP-Adresse an das entsprechende Interface binden muss und dann jeweils einmal D-NAT und S-NAT einrichtet – ein Wizard wäre hier angebracht. Auch die Zuordnung der Themen in Menüs ist für mich nicht immer schlüßig. Warum zum Beispiel NAT im Menü Networking auftaucht und nicht beim Packetfilter ist so ein Ding. Ok, darüber kann man streiten, aber der meist nicht so bewanderte Kunde wird schon etwas suchen müssen.

Wer vorhat ein etwas umfangreicheres Paketfilter Regelwerk umzusetzen endet in einer ziemlich üblen Klickerei. Hier zeigen sich deutlich die Grenzen von Web-GUIs. Man muss nämlich zuerst Objekte (Hosts und Netzwerke) anlegen und diese dann im Regelwerk verwursten. Defaultmässig ist ersteinmal alles verboten, so das man sich auf das Erlauben von Dingen beschränken kann. Beim definieren der Regeln kann man zusätzlich noch Prioritäten (normal, low und high) für den Traffic bestimmen, nicht so wirklich die Auswahl, aber vollkommen ausreichend. Insgesamt wäre es besser, wenn Astaro zukünftig hier die Möglichkeit bieten würde Regelwerke mit dem fwbuilder zu erstellen.

Besser sieht es dann im Rest des GUIs aus, das scheinbar überbordend vor Features ist. Man kann Bandbreiten für Netzwerkarten definieren, NIC-(Provider) Failover machen, Policy-Routing, Authentisieren über LDAP, Novell eDirectory, ADS und Radius. Kann Site-to-Site VPN und Client-VPN (PPTP und L2TP) konfigurieren, es gibt Proxies für POP3, SIP, IDENT, SOCKS, HTTP, SMTP und und und.

Allein über die Funktionen und Features des SMTP- und HTTP-Proxies könnte ich jetzt noch länger weiterschreiben, aber soviel sei gesagt: Der Spamfilter verfügt nur über zwei Schwellwerte, denen man Aktionen (Quarantine, Blackhole, Reject) hinterlegen kann. Er funktioniert Out-of-the-Box sehr, sehr gut. Ähnlich sieht es beim HTTP-Proxy aus, der einen Content-Filter von Cobion integriert – viele Features und recht einfach zu konfigurieren.

HA-Failover

Das Failover ist absolut DAU sicher. Dazu wird eine HA-Netzwerkkarte, ein Passwort, eine IP-Adresse definiert und beide über ein Crossover-Kabel verbunden. Anschließend fährt die Aplliance herunter macht sich zum Master. Analog dazu erfolgt die Konfiguration der zweiten Appliance, die dann beim hochfahren merkt, das es schon einen Master gibt und in den Standby-Mode schaltet. Ab hier wird jede Konfigurationänderung, jeder Virus-Patter etc syncronisiert. Sollte der Master nun sterben übernimmt _sofort_ das Standby-Gerät. Bei mir haben hierbei SSH-Sessions überlebt – nicht schlecht für den Preis.

Getrübt wird die Sache vom LC-Display, das generell etwas mehr anzeigen könnte. Im Normalzustand kann man darüber drei Funktionen steuern: Shutdown, Reboot und Factory-Reset. Ansonsten zeigt es in Intervallen den System- und Netzwerk-Load an. Im HA-Mode funktioniert dies auch, allerdings nur für den Master, auf dem Slave-Display sieht man nichts(!) oder wenn man Pech hat die Shutdown-Meldung von Astaro. Das ist Unschön, denn so kann man nur im Web-Interface sehen ob das Gerät überhaupt noch lebt.

Fazit

Ich find die ASG-Aplliance klasse. Ok, das Web-GUI hat seine Macken, aber das Preis-Leistungs-Verhältniss ist wirklich Spitze. Wer sich selbst ein Bild machen möchte kann auf my.astaro.com ein Image für ASL beziehen und bekommt eine 30 Tage Testlizenz. Auch eine (bis auf die Virenscanner) recht komplette Home-Lizenz für 10 Rechner kann man dort bekommen.

So und wenn das jetzt mal ein Vertriebler von Astaro liest, für eine ASG110/120 würde ich noch dicker Auftragen ;)

[1] Scheiss Floskeln, aber so liest sich das irgenwie besser

60 Sekunden

Posted by Joern on 31.Oktober 2005 2 comments

Durch einen Eintrag in Captain’s blog (sehr informatives Blog übrigends) hab ich mir mal mwcollect angeschaut. mwcollect ist ein kleiner Honeypot, der ein paar Ports öffnet und wartet, was so passiert. Bei mir hat es eine Minute gedauert bis die Meldung

[2005-10-31 18:00:09] Got successfully exploited with MS03-26 vulnerability using unknown offset!

erschien. Absolut beängstigend. Nebenbei sammelt mwcollect shellcodes und binaries der benutzten Exploits, die man dann dem Projekt zu Verfügung stellen soll. Ist bestimmt ein guter Partner von ipt_TARPIT :)

Anders herum

Posted by Joern on 27.Oktober 2005 Kommentare deaktiviert

Im Mittelstandsblog, ein Teaser-Blog von VNU, bin ich auf folgendes über Contentfilter gestossen:

Um dies abzumildern, sollte ein Content-Filter grundsätzlich hinter dem Proxy-Server installiert werden. Der Proxy-Filter übernimmt das grobe Vorsortieren, der eigentliche Content-Filter dann die Feinarbeit auf Basis der vorgenommenen Einstellungen. Da der eingehende Datenstrom bereits vorausgewählt ist, werde die höhere Netzlast ohne größere Probleme verkraftet[...]
Content-Filter schützen Unternehmen vor Risiken


Mal ab davon, das ich Contentfilter für keine tolle Idee halte, finde ich dieses Konstrukt suboptimal. Zum einen geht mit dem Contentfilter fast immer eine Authentifizierung einher, um den Nutzer einen bestimmten Profil zuzuordnen – ein durchreichen der Authentifizierung vom Proxy (hier ist wohl ein Cache gemeint) zum Contentfilter halte ich nicht für sonderlich sinnvoll. Und was soll da der Proxy vorsortieren? Das macht doch eigentlich die Authentifizierung?

Also ich würde (und hab) es andersherum machen: Erst den Contentfilter und dann den Proxy-Cache.

Ungutes Gefühl

Posted by Joern on 25.Oktober 2005 Kommentare deaktiviert

Wenn ich dieses und dieses richtig interpretiere, gibt es seit dem 10. Oktober eine Sicherheitslücke in ClamAV, einen Patch dafür, aber noch keinen neuen Upstream-Release des Projekts. Ok, die Lücke wird entweder als medium oder low eingestuft, aber ein ungutes Gefühl bleibt. Es gab mal Zeiten, da gab es für weniger neue Versionen…

Samtagsarbeit

Posted by Joern on 23.Oktober 2005 Kommentare deaktiviert

Ich liebe es wenn ein Plan funktioniert[tm]. Gestern also sollte sich zeigen, ob die Vorbereitungen (I, II) gut waren. Auf den Plan stand die Ablösung eines Novell Bordermanagers durch ein Astaro Security Gateway 220 in High-Availability Konfiguration und es hat auch sehr gut geklappt. Ok, manche Dinge verlaufen dann doch nicht wie geplant. So lagen dort auf dem T-COM Router zwei öffentliche IP-Netze auf, weil das erste irgendwann zu klein wurde und mehr IP-Adressen her mussten. Entgegen der Dokumentation wurde allerdings das neue Netz durch das alte geroutet und war nicht separat erreichbar. Leider konnten wir deshalb das alte Netz nicht sterben lassen, sondern mussten es auch konfigurieren, aber das sind Überraschungen mit denen man zwar nicht rechnet, sich vorher allerdings im Klaren ist das Unerwartetes passiert.

Der Rest funktionierte dann allerdings wie erwartet oder fast sogar noch besser. Musste es auch im Eigenintresse, denn sonst hätte es auf Dauer in Deutschland einen Kaffee-Notstand gegeben und darauf wollte ich es nicht ankommen lassen ;-)

Tolles, neues Feature!!!!111eins

Posted by Joern on 18.Oktober 2005 4 comments

Heise betätigt sich mal wieder als Jubelperser und bringt eine Meldung über AntiVir, die man eigentlich nur als umgeschriebene Pressemitteilung bewerten kann. Um es kurz zu machen: Das inkrementelle Update hab ich seit Monaten am laufen und es ist (zu bestimmten Tageszeiten) genauso Schnarchlahm wie es das Voll-Update schon immer war. Zudem ist Antivir bestimmt nicht die erste Antivirus-Software mit diesem Feature.

Hirn-Akrobatik II

Posted by Joern on 6.Oktober 2005 Kommentare deaktiviert

[X] Routing durchwühlt und verstanden
[X] Dump des Regelwerks in lesbare Form gebracht
[X] IST-Zustand dokumentiert
[X] Schlachtplan entwickelt
[X] Soll-Zustand dokumentiert

So, kann fast losgehen.

Seite 5 von 12« Erste...34567...10...Letzte »