30. April 2007

Juniper NetScreen ScreenOS Concepts & Examples

Category: Produkte,Tipps & Tricks — Christian @ 23:36

Ich war neulich bei einem Kunden, um eine (relativ) einfache Failover-Lösung zu konfigurieren. In der Hauptniederlassung steht eine Juniper NetScreen-50 Firewall (HA-Konfiguration) angeschlossen an eine Standleitung, in den diversen Niederlassungen NetScreen-5GT Firewalls mit günstigem DSL. Das alles mit einem hübschen Site-to-Site VPN, ein paar Zertifikate zur Authentisierung, alles soweit ganz ok.

Jetzt kam die Geschäftsleitung auf die Idee, wenn das VPN ausfällt, z.B. weil eine DSL-Leitung ausfällt, dann muss es eine Wählbackupleitung geben. Also wurde für jede Niederlassung ein kleiner Cisco 800 angeschafft, der sich bei Ausfall des VPN-Tunnels in die Zentrale einwählen soll. Natürlich auch verschlüsselt. In der Zentrale steht dafür ein etwas größerer Cisco Router. Wie konfiguriert man das nun am einfachsten? Austausch der NetScreen-Geräte war natürlich nicht erwünscht 🙂

Ich hab ein wenig rumexperimentiert, z.B. mit OSPF über die Cisco und Juniper, aber bei Routing im VPN will Cisco einen GRE-Tunnel, den Juniper wieder nicht so gerne hat, die Konfiguration wird richtig fies komplex und das hat sich alles nicht so recht als zufriedenstellend herausgestellt.

Am Ende bin ich auf eine ganz primitive Lösung verfallen: Die NetScreen Firewalls bekommen eine statische Route mit hohen Kosten zum jeweiligen Cisco Router, über den VPN-Tunnel sprechen die Firewalls OSPF und wenn der Tunnel steht bekommt man eine Route mit niedriger Metrik. Das klappt erstaunlich gut, man muss auf den Juniper Firewalls lediglich Route-based VPN einrichten, mit Policy-based VPN geht das leider nicht. OSPF sprechen so nur die NetScreen, nur im VPN und ohne GRE. Die Cisco-Geräte bekommen davon gar nichts mit.

Sehr hilfreich war in diesem Zusammenhang die Juniper Dokumentation. Es gibt da eine Reihe von Anleitungen unter dem Begriff ScreenOS Concepts & Examples. Da sind diverse Konfigurationsvarianten anschaulich sowohl mit GUI als auch CLI beschrieben. Zwar leider nur zwischen Juniper-Geräten aber besser als nichts.

Schade, dass es vergleichbares von Check Point nicht gibt. Da fehlt mir das immer wieder. Könnte fast eine Marktlücke für ein Buch werden. Fall jemand ein solches Buch schreiben will, bitte melden. Ich steuere ein Kapitel zu „Check Point VPN-1 SecureClient zertifikatsbasierte Authentisierung mittels Active Directory und Microsoft Zertifikatsdiensten“ bei. Also LDAP-User mit AD-Zertifikaten authentisieren. Die kurze Anleitung mit ein paar Screenshots hat 68 Seiten 🙂

Biometrie

Category: Allgemein — Christian @ 22:20

Ich persönlich halte ja nicht viel von Biometrie. Zum einen ist die Erkennungsrate von „bequemen“ Verfahren noch nicht so wirklich gut, dass man damit z.B. Geldautomaten ausstatten könnte. Dann gibt es natürlich das Problem des abgeschnittenen Fingers. Und schließlich, wenn so ein biometrisches Verfahren wie der Fingerabdruck mal kompromittiert ist, dann kann ich maximal 9 mal das Passwort den Finger wechseln. Danach muss ich mir zur Rechneranmeldung die Schuhe ausziehen.

Umso bemerkenswerter die Überlegungen der lustigen Briten. Weil so viele iPods auf der Insel geklaut werden, verlangt der zuständige Innenminister von Apple, Sony und Co., dass solche Geräte zukünftig über einen Fingerabdruck aktiviert werden sollen. Die Idee ist wohl, dass sich so der Straßenraub eindämmen lässt. Ich befürchte allerdings eher, dass damit die Körperverletzungen stark ansteigen. Und ob vielleicht die Fingerprints bereits vom Hersteller in das Gerät eingebrannt werden sollen?

Aber Spaß beiseite, in speziellen Umgebungen macht Biometrie ja Sinn. Beispielsweise in Rechenzentren oder Kernkraftwerken. Da gibt es eine überschaubare Anzahl zutrittsberechtigter Personen von denen man biometrische Daten speichern kann. Die Prüfung findet in kontrollierter Umgebung, d.h. recht konstante Temperatur und Luftfeuchte statt, die Ergebnisse werden folglich reproduzierbar sein.

Ganz anders sieht es bei den „Spielzeugverfahren“ für den Hausgebrauch aus. Die „biometrische Maus“ von Siemens ist immer noch gerne die Lachnummer von Hackingshows (PDF), weil sie sich gar so leicht überwinden lässt. Selbst komplexere Verfahren wie die IBM Thinkpads sind nicht sicher. Der damit verbundene Aufwand zur Beschaffung, Einrichtung und im Betrieb lässt sich offensichtlich besser in die Ausbildung der Mitarbeiter oder eine vernünftige Festplattenverschlüsselung der Notebooks investieren.

Nur: „Festplattenverschlüsselung“ ist hat kein so tolles Management Buzzwort wie „Biometric Authentification“

29. April 2007

The IT industry is shifting away from Microsoft

Category: Allgemein — Christian @ 18:55

Nachdem ich vor ein paar Tagen über The Inquirer geschimpft habe bin ich auf diesen interessanten Beitrag aus dem Dezember 2003 gestoßen: The IT industry is shifting away from Microsoft. Interessanterweise konnte man 2003 davon noch nicht viel erkennen außer vielleicht, dass viele Firmen über die Sicherheitsprobleme in Windows geschimpft haben und XP Service Pack 2 sich nur langsam verbreitet hat.

Inzwischen, über drei Jahre später, scheint es endlich so weit zu sein. Dell, früher der treueste Partner Microsofts unter allen Systemherstellern verkauft seine Hardware jetzt auch mit Linux (ok, noch nicht die ganze Produktreihe aber immerhin schon eine Menge ausgewählter Systeme) und liefert die PCs auch weiterhin (bzw. in den USA wieder) mit Windows XP aus.

Die Zusammenfassung des ganzen findet sich bei Perilocity:

    „Either it (Microsoft) stonewalls and pretends there is no security problem, which is what Vista does, by taking over your computer to force patches (and DRM) down its throat. Or you actually change the basic design and produce a secure operating system, which risks people wondering why they’re sticking with Windows and Microsoft, then?“

Und weniger Monopole erhöhen den Wettbewerb und die IT-Sicherheit für alle von uns.

Mitternachtshacking Cain & Abel

Category: Hacking,Mitternachtshacking,Work — Christian @ 16:18

Cain & Abel gilt inzwischen als eines der mächtigsten Universaltools für Windows. Dies zeigt auch die Übersicht der Top 100 Network Security Tools, auf der Cain & Abel zur Zeit auf Platz 9 geführt wird und zur vorherigen Liste 23 Plätze aufgestiegen ist.

Cain & Abel selbst ist die Vereinigung einer Vielzahl unterschiedlicher Programme unter einer gemeinsamen grafischen Oberfläche, die auch unbedarften Benutzern einige sehr komplexe Hacking-Angriffe eröffnet. So sind Funktionen wie DNS-Spoofing und ARP-Spoofing für Man-in-the-Middle Angriffe sehr einfach bedienbar, der eingebaute on-the-fly Zertifikatsgenerator erlaubt auf einfachste Weise sogar Angriffe gegen verschlüsselte HTTPS-Verbindungen.

Mein Kollege Matthias hat im Rahmen der Mitternachtshacking-Vorträge eine Präsentation zu Cain & Abel (PDF; 1,1 MB) zusammengestellt, die kurz die diversen Möglichkeiten des Programms beschreibt. Die Präsentation gibt leider nur einen Bruchteil des Abends wieder, da fast alle Funktionen praktisch ausprobiert wurden und einigen Teilnehmern dabei die Augen geöffnet wurden, wie einfach viele Angriffe doch sind.

In eigener Sache: Technorati Anmeldung

Category: Allgemein — Christian @ 00:18

So, jetzt ist dieses Blog auch bei Technorati angemeldet:

Technorati Profile

28. April 2007

Mobile Phone Viren

Category: Allgemein,Produkte — Christian @ 16:40

Was ist eigentlich aus den angekündigten Handy-Viren geworden? Außer dem einen oder anderen Hoax dazu und vielleicht ein paar Proof-of-Concept Viren wie Cabir kann ich nichts mehr dazu finden. F-Secure hat zwar 2005 mal versucht, den Toyota Prius über die Bluetooth-Schnittstelle mit Cabir zu infizieren, nach deren Aussage aber ohne Erfolg. Ok, es gab wohl ein paar Fast-Infektionen, aber nichts das wirklich größeren Schaden verursacht hätte.

Trotzdem scheint ein Markt für Anti-Virus Produkte da zu sein. Kaspersky bietet ein Anti-Virus Mobile an, ebenso Trend Micro. Kauft das irgendwer? Ist da wirklich ein Markt? Handelt es sich um reine Panikmache? Oder sind so viele mobile Geräte schon geschützt, dass sich die Viren und Würmer deshalb nicht mehr ausbreiten können?

Um Aufklärung wird gebeten.

Auf unabhängige Audits kann nicht verzichtet werden

Category: Work — Christian @ 11:06

Gartner hat laut CIO.com festgestellt, dass regelmäßige Sicherheitsprüfungen die IT-Sicherheit im Unternehmen erhöhen:

    Richard Hunter, a vice president and analyst on security and privacy with Gartner, says that CIOs should regularly run IT security audits on the „practices and procedures related to IT operations“. The audit needs to be an objective „examination of records by an impartial third party“.

Zusätzlich zu internen Audits kann offensichtlich auf externe Audits nicht verzichtet werden. Dabei kann es sich um reguläre Security Audits, Vunerability Assessments oder Penetration Tests handeln, wichtig ist vor allem, sie werden von einem seriösen Partner durchgeführt und finden regelmäßig statt.

Wichtig für das beauftragende Unternehmen ist dabei vor allem, dass einen brauchbare Dokumentation erstellt wird. In unserer Dokumentation ist nicht nur die Auflistung und Bewertung aller entdeckten und potentiellen Schwachstellen enthalten, zusätzlich erhält der Auftraggeber auch Empfehlungen zur Verbesserung der IT-Sicherheit. Und natürlich eine Übersicht aller verwendeten Tools, die Rohdaten aller Scanner (Nmap, Nessus, etc.) und den Source Code von eventuell von uns erstellter Exploits. Erst mit den Rohdaten kann der Auftraggeber auch prüfen, mit welchen Optionen ein Scanner gestartet wurde und ob eventuell Dienste übersehen wurden.

Unternehmen, die nach einem Penetrationstest diese Daten nicht herausrücken, vielleicht noch unter Verweis auf „Geschäftsgeheimnisse“ haben meiner Meinung nach das Attribut „seriös“ nicht verdient.

27. April 2007

SANS Reading Room

Category: Literatur — Christian @ 19:40

Für Präsentationen oder Vorträge brauche ich immer wieder Hintergrundmaterial oder ergänzende Informationen, die wenn möglich aus einer zitierfähigen Quelle stammen sollten. Wikipedia scheidet damit meistens aus, weil sich Artikel zu schnell verändern und Wikipedia generell als Zitatquelle nicht wissenschaftlich anerkannt ist.

Die meisten Hacker- und Securityseiten haben das gleiche Problem. Die Informationen sind zwar oft ganz brauchbar, Seiten die heute existieren gibt es aber morgen nicht mehr, Firmen werden übernommen und Mitarbeiter wechseln manchmal sehr schnell den Arbeitgeber.

Eine der wenigen brauchbaren Konstanten ist das Reading Room des SANS Institute. Die Informationen dort, aktuell etwa 1500 Dokumente in über 70 Kategorie, decken oft alles ab, was ich brauche. Viele der Dokumente sind von namhaften Autoren geschrieben und liefern daher immer wieder auch hochwertige Zusatzinformationen, die mir vorher nicht bekannt waren.

Und nicht zu vergessen, das SANS Institute verwaltet auch die Liste der Top 20 Sicherheitslücken im Internet.

VoIP Tools Modul für die BackTrack 2.0

Category: Hacking,Work — Christian @ 12:26

Kollege Matthias hat sich für die Hacking Show in Neuss etwas detaillierter mit dem VoIP-Hacking beschäftigt und eine Erweiterung für die BackTrack 2.0 gebaut:

      So mal eine kleine Ergänzung zu der ganzen Sache VoIP Hacking Reloaded von meiner Seite.Es ging ja mehr um Angriffe auf die Infrastruktur, als auf die Hardware. Ich habe mir mal die Mühe gemacht und eine Erweiterung für die BackTrack geschrieben. Dort habe ich noch ein paar Tools reingepackt, die mir auf der BT noch fehlen. Obwohl diese Tools dann gar nicht während der Show benötigt wurden, also auch nicht in der Präsentation vorkommen. Die meisten Tools sind von

Hacking VoIP

      aus der beliebten Hacking Exposed Reihe. Weiterhin habe ich noch

sipbomber

      und

sipproxy

      reingepackt. Diese Programme halte ich für gute Tools um die eigentlichen Telefone mal Herz und Nieren zu testen. Ich hatte leider keinen Platz mehr sonst hätte ich noch

c07-h2250v4-r2.jar

      reingezwängt. Aber das ganze LZM Paket ist schon 10 MB groß und dann wird es knapp mit dem Brennen der BT. Das jar kann man einfach bei den Finnen runterladen und mit java –jar starten.

Das Packet nennt sich voip.lzm. Einfach in das ISO Image der BT mit rein nehmen und dann happy hacking 😉

Matthias

26. April 2007

Nachwuchszucht im Hackercamp

Category: Allgemein,Hacking,Offtopic — Christian @ 20:19

Soso, The Inquirer schreibt über Hacker. Wörtlich:

    „Um den Anschein des Illegalen zu verwischen, geht es offiziell nach Außen hin um Sicherheits-Kurse (The Inquirer).“

Ist The Inquirer eigentlich eine seriöse Zeitung oder mehr so wie Bild? Braucht es neben BildBlog auch einen InquirerBlog?

Ich fühle mich jedenfalls gerade köstlich unterhalten, weil ich selbst verschiedene Hacking Kurse, u.a. den angegriffenen „Certified Ethical Hacker“ halte. Beispielsweise bei CBT Training & Consulting, falls mal ein Leser teilnehmen möchte. Und für die Journalisten beim Inquirer: Ja, die Hacking-Kurse braucht es. Nur wenn man versteht, wie Hacker denken und vorgehen, kann man sich effizient dagegen schützen. Bei der Polizei nennt sich das wohl „Profiler“.

Oder wie es Sun Tzu in „Die Kunst des Krieges“ formuliert hatte:

    „Wer seinen Feind kennt, und auch sich selbst, wird in hundert Kämpfen niemals in Gefahr sein.“