Linux: Gefährliche glibc Sicherheitslücke

Eine schwerwiegende Sicherheitslücke gefährdet fast alle Linux-Systeme und Linux kommt inzwischen fast überall zum Einsatz und dementsprechend viele Systeme nutzen die Glibc-Bibliothek. Eine DNS-Funktion erlaubt die Ausführung von bösartigem Code. Updates sollten schnellstmöglich installiert werden.
Neben zahlreichen Linux Distributionen sind u.a. auch VMware, diverse Router und Appliances betroffen.

Ich unterstütze Sie gerne bei der Überprüfung Ihrer Systeme.

Kritische Sicherheitslücke bei Cisco

Cisco schließt kritische Sicherheitslücke in seiner Adaptive Security Appliance

Cisco hat eine kritische Sicherheitslücke in seiner Adaptive Security Appliance (ASA) geschlossen. Ein Angreifer kann remote die Kontrolle über eine ASA Appliance übernehmen, die als VPN Server konfiguriert ist. Dafür muss er nur speziell präparierte Netzwerkpakete versenden.

Die Anfälligkeit wird im Common Vulnerability Scoring System (CVSS) mit 10 Punkten bewertet. Das Problem steckt in den Protokollen Internet Key Exchange Version 1 (IKEv1) und IKE Version 2 (IKEv2). Fragmentierte IKE-Pakete können einen Pufferüberlauf auslösen.

Betroffen sind die Cisco ASA 5500 Series Adaptive Security Appliance, Cisco ASA 5500-X Series Next-Generation Firewall, Cisco ASA Services Module für Cisco Catalyst 6500 Series Switches und Cisco 7600 Series Router. Außerdem sind Cisco ASA 1000V Cloud Firewall, Cisco Adaptive Security Virtual Appliance (ASAv), Cisco Firepower 9300 ASA Security Module und Cisco ISA 3000 Industrial Security Appliance anfällig.

„Ein Angreifer kann die Schwachstelle ausnutzen, indem er manipulierte UDP-Pakete an ein betroffenes System verschickt“, schreibt Cisco. „Ein Exploit könnte es einem Angreifer erlauben, Schadcode auszuführen und die vollständige Kontrolle zu übernehmen oder einen Neustart des Systems auszulösen.“

Ich helfe Ihnen gerne diese Lücke zu beseitigen.

 

Public Key-Infrastructue (PKI)

Eine Public Key-Infrastructue (PKI) stellt ein skalierbares System dar, das digitale Zertifikate für sichere und interoperable Kommunikation zwischen verschiedenen Organisationen unterstützt.

Eine PKI erreicht dies durch die Bereitstellung öffentlicher Schlüssel zur Unterstützung von Sicherheitsaspekten wie z.B. Vertraulichkeit, Integrität, Authentifizierung und Nachweisbarkeit.

Aufgrund vielfältiger Anforderungen an eine PKI, werden Unternehmen nicht umhinkommen ein maßgeschneidertes System zu implementieren. Hierbei gilt es ebenso sie rechtlichen, wie die wirtschaftlichen und die technologischen Aspekte zu berücksichtigen, die im Einzelfall genau untersucht werden müssen.

Ein detailliert schlüssiges Konzept beinhaltet unter anderem folgende Aspekte:

  • Evaluierung der Voraussetzungen
  • Entwurf der Zertifizierungsstellenhierarchie
  • Organisation der ausstellenden Zertifizierungsstellen
  • Auswahl einer Architektur
  • Sammlung der erforderlichen Informationen
  • Identifikation PKI-fähiger Anwendungen
  • Bestimmung der Sicherheitsanforderungen
  • Bestimmung der technischen Anforderungen
  • Ermittlung der betrieblichen Anforderungen
  • Ermittlung externer Anforderungen
  • Ermittlung interner Anforderungen

Sollten Sie den Einsatz von Zertifikaten zur Bereitstellung von Smart Cards, Code-Signing, Sicherer E-Mail (S/MIME), SSL-Verschlüsselung, Network Devise Enrollment Service (NDES), VPN, EAP-TLS etc. planen, stelle ich Ihnen gerne mein professionelles Know-How und meine langjährigen Erfahrungen zum Thema PKI zur Verfügung.

Remote Authentication Dial-In User Service (RADIUS)

RADIUS-Server sind zentrale Authentifizierungsserver, an den sich Services für die Authentifizierung von Clients im Netzwerk wenden. Sie übernehmen für diese Services die Authentifizierung, Autorisierung und Abrechnung (Authentication, Authorization, Accounting). RADIUS-Server unterstützen eine Vielzahl von Methoden, um einen Benutzer zu authentifizieren. Ist eine Authentifizierung mittels Benutzernamen und Kennwort vorgesehen, werden u.a. PAP, CHAP, MS-CHAP, und EAP (EAPoW, EAPoL) unterstützt. Andere Authentifizierungsmechanismen wie One-Time Token, Zertifikate, PIN Nummern oder biometrische Verfahren sind ebenfalls verwendbar.

RADIUS-Server ermitteln diese Daten in dem sie  Konfigurationsdateien, SQL-Datenbanken oder Verzeichnisdienste (z.B. Active Directory oder Open Directory) verwenden, in denen die Zugangsdaten gespeichert sind. Dadurch ist eine zentrale Verwaltung dieser Einstellungen, unabhängig von der Netzwerkinfrastruktur möglich. In verteilten Netzwerken liegen die einmalig registrierten Benutzerdaten jederzeit zentral und aktuell vor und vereinfachen die Administration dieser Daten enorm.

RADIUS ist der De-facto-Standard bei der zentralen Authentifizierung von „Einwahlverbindungen“ über ISDN, DSL, VPN, Wi-Fi (IEEE 802.1X) und Wird LAN (IEEE 802.1x).

Microsoft liefert den Radius-Server in allen aktuellen Versionen des Windows Servers in Form des Netzwerkrichtlinienservers (NCP) aus. Dieser integriert sich nahtlos in eine bereits vorhandene Active Directory Infrastruktur.

Alternativ bietet FreeRADIUS eine modulare, hoch performante freie RADIUS-Suite, die unter der GNU General Public License, Version 2, entwickelt wird und zum freien Download und zur freien Nutzung für diverse Betriebssysteme zur Verfügung steht.

Die FreeRadius Suite umfasst einen RADIUS-Server, eine BSD-lizenzierte RADIUS-Client-Bibliothek, eine PAM-Bibliothek, ein Apache-Modul, und zahlreiche weitere RADIUS bezogenen Hilfsprogramme und Entwicklungsbibliotheken.

FreeRADIUS ist der beliebteste Open-Source-RADIUS-Server und der am weitesten verbreitetste RADIUS-Server weltweit. FreeRADIUS unterstützt alle gängigen Authentifizierungsprotokolle. und beinhaltet zudem einige Tools. Der Server ist schnell, skalierbar, modular aufgebaut und bietet umfangreiche Funktionen.

Zu den Leistungsmerkmalen gehören Module mit Kernel-Unterstützung, LDAP, MySQL, PostgreSQL, Oracle und viele andere Datenbanken. FreeRADIUS unterstützt alle gängigen EAP-Authentifizierungstypen, einschließlich PEAP und EAP-TTLS. Es sind mehr als 100 Anbieter Wörterbüchern enthalten, die die Kompatibilität mit einer breiten Palette von NAS-Geräten gewährleisten.

Die aktuelle Version FreeRADIUS 3 enthält u.a. Unterstützung für virtuelles Hosting, IPv6, VMPS (VLAN Management Policy Server), RADIUS über TLS, einschließlich RADSEC.

Sollte ich Ihr Interesse geweckt haben, stehe ich Ihnen selbstverständlich gerne bei der Planung und Umsetzung entsprechender Projekte zur Verfügung.

Open Source und kommerzielle E-Mail Systeme als Alternativen für Microsoft Exchange.

Inzwischen stellen die Hersteller alternativer Messaging-Lösungen durchaus eine interessante Alternative für die Groupware und E-Mail-Transport-Server-Software Microsoft Exchange Server von Mircrosoft zur Verfügung.

Die Funktionalität dieses Alternativsysteme umfasst dabei je nach Hersteller ebenfalls E-Mails, Termine/Kalender, Aufgaben, Kontakte, Notizen, Mobiler E-Mail-Zugriff via Microsoft Active Sync-Technologie oder Z-Push (Open Source), E-Mail-Empfang mittels POP3/IMAP4, E-Mail-Versand per SMTP, Globales Adressbuch, zertifikatbasierte Authentifizierung, Unterstützung für S/MIME, Anti-Spam-Filter, Message Filter, Whitelist/Blacklist, Anti-Viren-Filterung, SIDF, Outlook Unterstützung, EWS und Webzugriff auf die Funktionen des Servers.

In den letzten Wochen habe ich folgende Produkte  • CommunigatePro • Kerio Connect • Zarafa • Zimbra als Alternativen evaluiert. Ich unterstütze Sie und Ihr Unternehmen deshalb gerne bei der Erstellung von Konzepten, der Migration, Implementierung und Dokumentation.

Deployment von Windows XP, 7, 8 und Server 2003, 2008, 2012 mittels Microsoft Deployment Toolkit (MDT) 2012 und PXE

Das Microsoft Deployment Toolkit (MDT) 2012 ist eine freie Deployment Lösung aus dem Hause Microsoft, die zusammen mit den Windows Deployment Services (WDS) die Möglichkeit bietet, Client und Server Systeme per Preboot Execution Environment (PXE) über das Netzwerk zu installien und zu verteilen. Eingesetzt werden zudem Werkzeuge wie Windows Automated Installation Kit – Windows AIK (WAIK) bzw. Windows Assessment and Deployment Kit (ADK), ImageX, Deployment Image Servicing and Management (DISM) und Windows System Image Manager (WISM). Diese Werkzeuge und Dienste in Zusammenarbeit mit Microsoft Hardware Assessment and Planing Toolkit (MAP), Application Compatibility Toolkit (ACT) und Windows Management Instrumentation (WMI) bieten ebenfalls eine automatisierte Migration von Windows XP in Richtung Windows 7 oder Windows 8. Für die Lizensierung und Aktivierung der Server und Client Lizenzen, sowie der Office 2010 bzw. Office 2013 Lizenzen kommt der Key Management Service (KMS) hinzu. Eine zusätzliche Integration von Treibern und Software Produkten sowie von Aktualisierungen und Patches via Windows Server Update Service (WSUS) versteht sich von selbst.

Sollte ich Ihr Interesse geweckt haben, berate ich Sie selbstverständlich gerne bei der Planung und Umsetzung eines entsprechenden Projekts.

Microsoft User Experience Virtualisation (UE-V)

Microsoft User Experience Virtualisation (UE-V)

Gerade mobile Mitarbeiter verwenden inzwischen immer häufiger eine ganze Reihe von verschieden Geräten für den Zugriff auf Windows und ihre Anwendungen. Eine persönliche konsistente Umgebung vereinfacht das Arbeiten dabei enorm – unabhängig davon, wie Benutzer auf diese zugreifen, ob es sich dabei um phyische oder virtuelle Anwendungen und Desktops handelt. Microsoft User Experience Virtualisation (UE-V) ist in der Lage die persönlichen Umgebungen von Benutzern automatisch auf Windows 7 und Windows 8 Geräten bereitzustellen. Mitarbeiter können somit überall arbeiten.

Mit UE-V können Vorlagen für den Speicherort von Einstellungen verwendet werden, in denen die verwendeten Pfade für Anwendungs- und Betriebssystemeinstellungen aufgelistet werden. Mit vorbereiteten Vorlagen für Office, Windows 7 und Windows 8 ist es möglich, diese Einstellungen bei einem Gerätewechsel mitzunehmen. UE-V ist somit auch in der Lage, in Microsoft-Desktopvirtualisierungsprodukte integriert zu werden, um die Benutzerumgebung auch in komplexen Umgebungen „roamen“ zu können.

Ich berate Sie gerne bei der Implementierung der Microsoft User Experience Virtualization.

Two-factor Authentication mittels Smartcards

Bei einer Kombination von zwei Methoden zur Authentifizierung spricht man von einer Zwei-Faktor-Authentifizierung. Ein typisches Beispiel für diese Kombination ist der Einsatz von Smartcards. Ich unterstütze Sie gerne mit meiner Erfahrung und meinem umfangreichen Wissen bei der Konzeptentwicklung und Implementierung entsprechender Infrastrukturen. Beispielsweise dem Aufbau dreistufiger Zertifzierungsstellen (PKI) innerhalb Ihrer Active Directory Services und dem Rollout von Smartcards.

BSI veröffentlicht Empfehlungen zur sicheren PC- und Mac-Nutzung

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat seine neuesten IT-Sicherheitsempfehlungen zur Konfiguration von Windows, Macintosh und Ubuntu für Privatanwender und Unternehmen veröffentlicht. Hier der Link zum Presseartikel „BSI veröffentlicht Empfehlungen zur sicheren PC-Nutzung“ und ein direkter Link zum PDF-Dokument „Sichere Nutzung von Macs unter Apple OS X Mountain Lion“.

Migrieren von Rollen und Features zu Windows Server 2012

Die Migration von Serverrollen, Features, Betriebssystemeinstellungen und Daten von vorhandenen Servern unter Windows Server 2003, Windows Server 2008 und Windows Server 2008 R2 hin zu einer Windows Server 2012 Umgebung werden künftige Infrastrukturmaßnahmen bestimmen. Hierbei stehe ich Ihnen gerne mit meiner Erfahrung zur Seite und unterstütze Sie erfolgreich bei der Planung und Umsetzung Ihrer Migrationsprojekte.