Linux: Gefährliche glibc Sicherheitslücke

Eine schwerwiegende Sicherheitslücke gefährdet fast alle Linux-Systeme und Linux kommt inzwischen fast überall zum Einsatz und dementsprechend viele Systeme nutzen die Glibc-Bibliothek. Eine DNS-Funktion erlaubt die Ausführung von bösartigem Code. Updates sollten schnellstmöglich installiert werden.
Neben zahlreichen Linux Distributionen sind u.a. auch VMware, diverse Router und Appliances betroffen.

Ich unterstütze Sie gerne bei der Überprüfung Ihrer Systeme.

Kritische Sicherheitslücke bei Cisco

Cisco schließt kritische Sicherheitslücke in seiner Adaptive Security Appliance

Cisco hat eine kritische Sicherheitslücke in seiner Adaptive Security Appliance (ASA) geschlossen. Ein Angreifer kann remote die Kontrolle über eine ASA Appliance übernehmen, die als VPN Server konfiguriert ist. Dafür muss er nur speziell präparierte Netzwerkpakete versenden.

Die Anfälligkeit wird im Common Vulnerability Scoring System (CVSS) mit 10 Punkten bewertet. Das Problem steckt in den Protokollen Internet Key Exchange Version 1 (IKEv1) und IKE Version 2 (IKEv2). Fragmentierte IKE-Pakete können einen Pufferüberlauf auslösen.

Betroffen sind die Cisco ASA 5500 Series Adaptive Security Appliance, Cisco ASA 5500-X Series Next-Generation Firewall, Cisco ASA Services Module für Cisco Catalyst 6500 Series Switches und Cisco 7600 Series Router. Außerdem sind Cisco ASA 1000V Cloud Firewall, Cisco Adaptive Security Virtual Appliance (ASAv), Cisco Firepower 9300 ASA Security Module und Cisco ISA 3000 Industrial Security Appliance anfällig.

„Ein Angreifer kann die Schwachstelle ausnutzen, indem er manipulierte UDP-Pakete an ein betroffenes System verschickt“, schreibt Cisco. „Ein Exploit könnte es einem Angreifer erlauben, Schadcode auszuführen und die vollständige Kontrolle zu übernehmen oder einen Neustart des Systems auszulösen.“

Ich helfe Ihnen gerne diese Lücke zu beseitigen.

 

Remote Authentication Dial-In User Service (RADIUS)

RADIUS-Server sind zentrale Authentifizierungsserver, an den sich Services für die Authentifizierung von Clients im Netzwerk wenden. Sie übernehmen für diese Services die Authentifizierung, Autorisierung und Abrechnung (Authentication, Authorization, Accounting). RADIUS-Server unterstützen eine Vielzahl von Methoden, um einen Benutzer zu authentifizieren. Ist eine Authentifizierung mittels Benutzernamen und Kennwort vorgesehen, werden u.a. PAP, CHAP, MS-CHAP, und EAP (EAPoW, EAPoL) unterstützt. Andere Authentifizierungsmechanismen wie One-Time Token, Zertifikate, PIN Nummern oder biometrische Verfahren sind ebenfalls verwendbar.

RADIUS-Server ermitteln diese Daten in dem sie  Konfigurationsdateien, SQL-Datenbanken oder Verzeichnisdienste (z.B. Active Directory oder Open Directory) verwenden, in denen die Zugangsdaten gespeichert sind. Dadurch ist eine zentrale Verwaltung dieser Einstellungen, unabhängig von der Netzwerkinfrastruktur möglich. In verteilten Netzwerken liegen die einmalig registrierten Benutzerdaten jederzeit zentral und aktuell vor und vereinfachen die Administration dieser Daten enorm.

RADIUS ist der De-facto-Standard bei der zentralen Authentifizierung von „Einwahlverbindungen“ über ISDN, DSL, VPN, Wi-Fi (IEEE 802.1X) und Wird LAN (IEEE 802.1x).

Microsoft liefert den Radius-Server in allen aktuellen Versionen des Windows Servers in Form des Netzwerkrichtlinienservers (NCP) aus. Dieser integriert sich nahtlos in eine bereits vorhandene Active Directory Infrastruktur.

Alternativ bietet FreeRADIUS eine modulare, hoch performante freie RADIUS-Suite, die unter der GNU General Public License, Version 2, entwickelt wird und zum freien Download und zur freien Nutzung für diverse Betriebssysteme zur Verfügung steht.

Die FreeRadius Suite umfasst einen RADIUS-Server, eine BSD-lizenzierte RADIUS-Client-Bibliothek, eine PAM-Bibliothek, ein Apache-Modul, und zahlreiche weitere RADIUS bezogenen Hilfsprogramme und Entwicklungsbibliotheken.

FreeRADIUS ist der beliebteste Open-Source-RADIUS-Server und der am weitesten verbreitetste RADIUS-Server weltweit. FreeRADIUS unterstützt alle gängigen Authentifizierungsprotokolle. und beinhaltet zudem einige Tools. Der Server ist schnell, skalierbar, modular aufgebaut und bietet umfangreiche Funktionen.

Zu den Leistungsmerkmalen gehören Module mit Kernel-Unterstützung, LDAP, MySQL, PostgreSQL, Oracle und viele andere Datenbanken. FreeRADIUS unterstützt alle gängigen EAP-Authentifizierungstypen, einschließlich PEAP und EAP-TTLS. Es sind mehr als 100 Anbieter Wörterbüchern enthalten, die die Kompatibilität mit einer breiten Palette von NAS-Geräten gewährleisten.

Die aktuelle Version FreeRADIUS 3 enthält u.a. Unterstützung für virtuelles Hosting, IPv6, VMPS (VLAN Management Policy Server), RADIUS über TLS, einschließlich RADSEC.

Sollte ich Ihr Interesse geweckt haben, stehe ich Ihnen selbstverständlich gerne bei der Planung und Umsetzung entsprechender Projekte zur Verfügung.

BSI veröffentlicht Empfehlungen zur sicheren PC- und Mac-Nutzung

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat seine neuesten IT-Sicherheitsempfehlungen zur Konfiguration von Windows, Macintosh und Ubuntu für Privatanwender und Unternehmen veröffentlicht. Hier der Link zum Presseartikel „BSI veröffentlicht Empfehlungen zur sicheren PC-Nutzung“ und ein direkter Link zum PDF-Dokument „Sichere Nutzung von Macs unter Apple OS X Mountain Lion“.

Windows Server 2008 R2 IPSec / SSTP VPN Infrastruktur

Windows Server 2008 R2 VPN Infrastruktur mit PKI und Network Policy Server.

Die Realisierung einer komplexen Remote Access VPN Infrastruktur mit Windows Server 2008 R2 und Windows 7 ist inzwischen problemlos möglich. Die Windows 7 Clients greifen mit „Boardmitteln“ nativ per IPSec oder SSTP (SSL over HTTPS) auf einen „Remote Access VPN Server Windows 2008 R2“ zu. Per RADIUS (NPS) werden die IPSec bzw. SSTP VPN User mittels Zertifikaten die von einer Enterprise Public Key Infrastructure (PKI) gegen das Active Directoy authentifiziert. Der Access Server kann in diesem Szenario in die DMZ integriert werden. Für den IPSec Zugriff aus dem Internet werden lediglich die UDP Port 500 (IPSec ISAKMP) und 4500 (NAT-T), sowie IPSec-ESP (Enhanced Serial Port, IP-Protokoll 50) benötigt. SSTP hingegen benötigt nur den TCP Port 443 (HTTPS). Der UDP Port 1701 (LT2P) ist somit obsolet.

Für die Implentierung einer solchen VPN Infrastruktur stehe ich Ihnen gerne zur Verfügung.

802.1X Authenticated Wired Access

Windows Server 2012 R2 – 802.1x Authenticated Wired Access

Nach der Implementierung der Active Directory Windows Server 2012 R2 Enterprise Public Key Infrastructure (PKI) und der zertifikatbasierten 802.1x WLAN Struktur mittels Network Policy Server steht nun auch eine 802.1x Authentifizierung für die Ethernet Clients zur Verfügung. Die Realisierung erfolgte auch hier mit EAP-TLS / PEAP-TLS. Die als RADIUS Clients eingesetzten Switches authentifizieren die Clients mittels Computerzertifikaten für den Zugriff auf die Netzwerkinfrastruktur. Jetzt steht hier die Entwicklung, Erstellung und Umsetzung eines Sicherheitskonzepts für Besprechungsräume auf dem Plan.

Clientless SSL VPN (WebVPN)

Als Clientless SSL VPN werden Systeme bezeichnet, die den Transport privater Daten über öffentliche Netzwerke ermöglichen und als Verschlüsselungsprotokoll TLS verwenden. Clientless SSL VPN (WebVPN) bietet von jedem Ort einen sicheren Zugang zum Firmennetzwerk. Benutzer können mittels eines sicheren browserbasierten SSL Zugangs auf Ressourcen des Firmennetzwerks zugreifen.