11. Juli 2007

Symantec SGS

Category: Produkte,Work — Christian @ 00:59

Ich war früher mal der Ansicht, die Symantec Firewall ist gar nicht so schlecht, immerhin war sie die letzte Proxy-basierte Firewall. Die Symantec SGS fand ich jedoch schon nicht mehr so ideal weil Hardware von einem Software-Hersteller ist immer ein wenig kritisch zu sehen. Für Standard-Server wie HP oder Dell krieg ich leicht flächendeckend Hardware-Austausch vor Ort in 4 Stunden. Mit den Appliances geht das meistens nur in Großstädten oder gar nicht.

Die SGS besteht im Grunde nur aus einem gehärteten Red Hat Linux sowie der Symantec Raptor Firewall darauf. Ich habe deshalb ja immer gehofft, Symantec wird vernünftig und bietet die Software wie Check Point zur Installation auf beliebigen Servern an. Statt dessen hat Symantec die Firewall offiziell eingestellt. Und jetzt wird es wüst. Richtig entwickelt wird da meiner Meinung nach nichts mehr und die meisten Updates und Fixes machen die Sache eher schlimmer.

Ein Kunde kämpft folglich gerade mit seinem Cluster:

    Description: VPN Tunnel Fails after „reboot all cluster nodes now“
    1. Configure site to site vpn tunnel between two 2-node clusters using load balancing
    2. On one cluster, execute „reboot all cluster nodes now“
    3. After nodes reboot, the pings and or wgets fail
    4. use bftstat dump -> tunneldb (or look at SGMI active connections) and note that each node negotiated its own tunnel

Oder auf deutsch: wenn man beide Cluster-Node gleichzeitig neu bootet, baut jeder Node für sich die VPN-Tunnel neu auf und weil dann zwei Tunnel da sind funktioniert gar nichts mehr. Leider merken das die Nodes nicht alleine sondern man muss danach einen manuell aus- und wieder einschalten, damit der andere dann die VPN-Tunnel alleine hat.

Ich bin mal gespannt, wann Symantec da einen Fix bringt oder ob der (nicht ganz billige) Wartungsvertrag unseres Kunden vorher abläuft.

Über die Symantec dann ersetzende Firewall bin ich mir auch noch nicht ganz schlüssig:

  • Cisco ASA ?
  • Check Point FireWall-1 ?
  • Juniper NetScreen ?
  • oder was exotisches wie Phion ?

Hat zufällig jemand eine Übersicht der Funktionen sowie Vor- und Nachteile? Das würde mir gerade viel Arbeit sparen-

Fahrplan für das Chaos Communication Camp

Category: Hacking,Reisen — Christian @ 00:37

Der Chaos Computer Club hat den vorläufigen Fahrplan für das Chaos Communication Camp vom 8.-12. August in Finowfurt bei Berlin veröffentlicht.

So kurz überflogen scheint für mich interessant zu sein:

Vorträge die sich meiner Meinung nach nicht mehr lohnen sind insbesondere „Black Ops 2007“ von Dan Kaminsky, der leider kaum noch in die Detailtiefe und die Tricks geht, die seine Vorträge früher ausgezeichnet haben sowie „Estonia and Information Warfare“ von Gadi Evron, der sicher viel weiß, aber eben auch nicht mit den wirklich relevanten Informationen rausrückt.

Dafür sind die hier außerdem noch auf meinem Radar, überschneiden sich aber mit was anderem. Mal kucken:

Wenn ich mir den Vortrag am 8. von Fefe schenke komme ich gut mit drei Tagen hin, davon ein Samstag der bei mir kein Arbeitstag ist. Ich denke, das lässt sich einrichten. Und der Sonntag ist dann sogar noch frei 🙂