Archiv für Kategorie ‘IT-Security’

Neue Versionen der UTM-Lösungen von Endian und Sophos

17-03-2014 08-26-35Schlachtrösser

Thomas Zeller
UTM-Systeme stellen sich Gefahren aller Art in den Weg: eben Unified Threat Management. Die Ansprüche und Erwartungen der Kunden befeuern den Wettbewerb. Zwei der beliebtesten Hersteller – Endian und Sophos – haben jetzt neue Versionen ihrer Lösungen herausgebracht.

Unified Threat Management (UTM) steht für vollständigen Schutz. UTM-Systeme filtern ein- und ausgehenden Netzverkehr, erkennen und verhindern Angriffe und sperren Viren in Quarantäne. Wenn sich eine Appliance um all diese Aufgaben kümmert, sollte sie zu den individuellen Ansprüchen genau passen.

Bei der UTM-Firewall des 2003 gegründeten Südtiroler Unternehmens Endian handelt es sich um eine der wenigen Open-Source-Firewalls, die sowohl in einer freien als auch in einer kommerziellen Variante angeboten werden. Nach Angaben des Herstellers setzen über 4000 Kunden die Endian Enterprise Firewall ein, mehr als 1,2 Millionen Nutzer haben die Community-Edition heruntergeladen. Beide basieren auf der Linux-Distribution IPCop.

Die freie Community-Variante steht zwar für den kostenfreien Einsatz auch in Unternehmen zur Verfügung, verzichtet aber auf viele Features der Enterprise-Edition. Nur für die Bezahlversion gibt es Hardware-Appliances, virtuelle Netzwerktreiber, professionelle Support-Unterstützung, eine Hotspot-Funktion sowie kommerzielle Spam- und Content-Filter. Doch auch die Community-Edition hält die UTM-Grundfunktionen vor, inklusive Viren-, Spam- und URL-Filter sowie IPSec und OpenVPN. Auch größere Netzwerke schützt sie problemlos. Das ISO-Image der Community-Edition steht unter [1] zum Download bereit. Wer die Enterprise-Version testen möchte, fordert unter [2] einen Test-Key und den Link zum Download an.

Sophos UTM – im Jahr 2000 erstmals als Astaro Security Linux vorgestellt – hat sich durch konsequente Orientierung an den Wünschen der Kunden einen festen Platz im Leader-Quadranten der IT-Analysten von Gartner gesichert und bezeichnet sich selbst als „Marktführer für Unified Threat Management in Europa“. Sophos bietet zwar keine Community-Version an, aber für den …

zum Artikel geht es hier

Einfaches Image-Backup mit RedoBackup

redobackupSicherer Kreislauf

Thomas Zeller
Redo Backup sichert komplette Festplatten übers Netzwerk oder lokal. Im Vordergrund stehen dabei eine einfache Bedienung und hohe Zuverlässigkeit in vielfältigen Einsatz-Szenarien.

Redo-Backup-Live-CD

Die Redo-Backup-Entwickler stellen unter [5]eine ausführliche Schritt-für-Schritt-Anleitung für die Erstellung einer eigenen Live-CD zur Verfügung. Basis für die dort beschriebene Vorgehensweise ist Ubuntu 12.04 (Precise Pangolin) und ADeskBar Version 0.4.3. Letzteres ist der Python-/GTK-basierende Applikationsstarter für Openbox, auf dem das vereinfachte Startmenü von Redo Backup basiert.

Nach Aussage der Entwickler eignen sich auch neuere Ubuntu-Releases als Basis für eine eigene Live-CD – allerdings wächst dadurch die Größe der Image-Datei. Dafür ersetzt man den in der Anleitung genannten Versionsnamen »precise« durch den eines neueren Ubuntu-Release. Das Ubuntu-Wiki listet sie unter [6] vollständig auf.

Bare Metal: Redo Backup sichert alle auf einem Rechner vorhandenen Daten, inklusive Bootmanager und Betriebssystem. Im Ernstfall stellt es so den alten Zustand vollständig wieder her und die Arbeit geht sofort weiter.

Was ist Redo Backup

Redo Backup [1] ist eine auf Ubuntu Linux basierende Live-CD zur einfachen Sicherung und Wiederherstellung kompletter Festplatten inklusive sämtlicher Partitionen und des Master Boot Records (MBR). Das zu Redaktionsschluss aktuelle Release 1.0.4 liegt diesem Heft bei. Es basiert auf Ubuntu 12.04.1 (LTS), verwendet als Desktop allerdings den Fenstermanager Openbox und liefert nur die für den Einsatz als Backup- oder Rettungssystem erforderlichen Applikationen mit.

Redo Backup ist sofort einsatzbereit, nachdem die 250 MByte große Image-Datei auf CD gebrannt ist. Für die Sicherung…

Vollständiger Artikel unter: http://www.admin-magazin.de/Das-Heft/2014/03/Systeme-vollstaendig-sichern-und-wiederherstellen-mit-Redo-Backup

Remote-Zugriff mit dem Endian-Switchboard

Remote-Zugriff mit dem Endian-Switchboard

Auswahl_032

Sichere Fernsteuerung

Thomas Zeller
Die Fernwartung von technischen Systemen ist nicht nur bequem, sondern birgt auch Risiken. Dieser Artikel gibt einen Überblick über die Gefahren und stellt mit dem Endian-VPN-Switchboard ein System zum Aufbau einer effizienten Fernwartungsumgebung vor.

Die Steuerung und Fernwartung von Industrieanlagen wie Windparks, Kraftwerken oder Produktionsmaschinen über das Internet ist eine seit Jahren etablierte Praxis mit hohen Zuwachsraten. Das ist kein Wunder, denn so lassen sich Anlagen effizient und vor allem kostengünstig vom Hersteller warten. Doch spätestens seit des erfolgreichen Angriffs von „Stuxnet“ auf die Steuerungstechnik der iranischen Urananreicherungsanlage in Natanz sollten Verantwortliche stets ein wachsames Auge auf die Sicherheit haben.

SCADA

Für die Überwachung, Steuerung und Optimierung technischer Prozesse mit IT-Unterstützung hat sich der Begriff SCADA (Supervisory Control and Data Acquisition) inzwischen fest etabliert. Beschrieben wird damit in erster Linie ein Netzleitsystem für das Sammeln und Analysieren von Echtzeitdaten in Industrieanlagen. Egal ob beim Energieerzeuger, der Wasseraufbereitung, Smart Grid oder PKW-Produktion – praktisch kein Industriezweig kommt heute mehr ohne derartige Systeme aus.

Neben ihrer Funktion als Datensammler bieten SCADA-Systeme in der Regel  auch eine Fernwartungsschnittstelle. Sie erlaubt es Administratoren mit entsprechender Software, zum Beispiel Siemens STEP 7, über (IP-)Netzwerke auf Industriesteuerungen und Automatisierungssysteme wie etwa Simatic S7 zuzugreifen. Selbstverständlich müssen Zugriffe, die derart weitreichende Manipulationsmöglichkeiten gestatten, entsprechend abgesichert werden. Denn schließlich  sind hier unter Umständen Gesundheit und Leben von Personen in Gefahr, beispielsweise wenn ein Industrieroboter eine mechanische Bewegung ausführt, solange sich ein Mensch im Gefahrenbereich aufhält. Dass es mit der Absicherung von Industriesteuerungen in der Praxis aber nicht sehr weit her ist, belegen zahlreiche Beispiele.

So veröffentlichte beispielsweise das Research-Team (Project Basecamp) des

http://www.admin-magazin.de/Das-Heft/2013/12/Remote-Zugriff-mit-dem-Endian-Switchboard

qr-code-admin

 

 

 

 

 

 

 

Aus dem Hut gezaubert – Firewall in der Amazon Cloud

Firewall in der Amazon Cloud
Thomas Zeller
ADMIN Magazin
Die Cloud ist nicht nur für Server praktisch: Auch virtuelle Netzwerkgeräte lassen sich dort bequem konfigurieren. Am Beispiel einer Sophos-Firewall beschreibt dieser Artikel die Vorteile und führt die Inbetriebnahme eines Firewall-Systems in der Amazon Cloud vor.

Die Elastic Compute Cloud EC2 von Amazon bietet in erster Linie die Möglichkeit, virtuelle Server zu konfigurieren und in der Cloud zu betreiben [1]. Ein solcher »Server« kann natürlich auch eine Firewall sein. Prinzipiell kommen hier alle Systeme in Frage, die als Software auf einer virtuellen Plattform betrieben werden können. Noch einfacher ist es natürlich, wenn – wie im Falle der Sophos-UTM-Firewall (früher Astaro Security Gateway) – der Hersteller bereits ein vorkonfektioniertes Amazon Machine Image (AMI) über den AWS-Marketplace zur Verfügung stellt. Doch welche Vorteile bietet nun der Betrieb einer Firewall in der Cloud beziehungsweise die Cloud-Anbindung über die Firewall? Nachfolgend stellen wir die beiden wichtigsten Use-Cases kurz vor.

Ein typisches Anwendungsszenario für die Nutzung von AWS-Diensten ist der Betrieb eines oder mehrerer Server, zum Beispiel Webserver oder Terminalserver in der Amazon Cloud, die mit einer eigenen Firewall geschützt werden sollen. In diesem Fall werden die Server im privaten Teil einer Virtual Privte Cloud (VPC) betrieben. Die Firewall-Instanz wird dann mit je einer Schnittstelle mit dem privaten Teil der VPC und mit dem öffentlichen Teil der VPC verbunden. Der öffentliche Teil der VPC bekommt eine offizielle IP-Adresse, sodass die Firewall und damit auch die dahinter stehenden Server aus dem Internet erreichbar sind …

http://www.admin-magazin.de/Das-Heft/2013/11/Firewall-in-der-Amazon-Cloud

 

 

 

PC over IP – A better and faster remote desktop protocol?

Artikel zum Thema PC over IP in der amerikanischen Ausgabe des Admin Magazin http://www.admin-magazine.com/Articles/PC-over-IP

Amazon Web Services (AWS) – eine kurze Einführung

Eine kurze Einführung zu den Amazon Cloud-Diensten „Amazon Web Services“ (AWS), findet sich ab sofort in unserem Blog

„Leichte Kost“ – PC over IP

PC over IP

Leichte Kost

PC over IP (PCoIP)
Thomas Zeller
Wer schon einmal versucht hat, grafikintensive Applikationen über RDP, Citrix & Co zu betreiben, weiß, dass diese Technologien hier kläglich versagen. Mit dem PCoIP-Protokoll und spezieller Hardware lassen sich selbst Workstation-Boliden aber als Remote-Workstations betreiben.

Leistungsfähige Workstations für anspruchsvolle Grafikaufgaben sind in der Regel teuer und produzieren viel Abwärme. Diese wird zum Leidwesen der Benutzer häufig per Lüfter in Lärm verwandelt. Etwa im CAD-Bereich werden mit diesen Geräten darüber hinaus häufig auch sensible Daten bearbeitet, die keinesfalls verloren gehen oder gar in die Hände der Konkurrenz gelangen dürfen. Gleichwohl müssen – zum Beispiel wenn im Falle eines Joint Ventures mehrere Unternehmen an der Entwicklung eines Produkts beteiligt sind – häufig aber auch mehrere Benutzer an verteilten Standorten auf dieselben Daten zugreifen.

Für den Einsatz einer Remote-Workstation statt statischer Workstation-Arbeitsplätze sprechen daher vor allem folgende Aspekte: Hohe Datensicherheit durch zentrale Datenhaltung und die Möglichkeit, Zugriffsrechte restriktiv zu vergeben, räumliche und geographische Unabhängigkeit durch verteilte Nutzung zentraler Ressourcen sowie Arbeitsplatzergonomie.

 

Remote Workstation & Firewalls

PCoIP verwendet für die Übertragung der Display-Ausgabe über das Netzwerk das UDP-Protokoll, das leider nicht als sehr Firewall-freundlich gilt. Da der Remote-Zugriff auf eine Workstation im Rechenzentrum aber entweder ohnehin über das LAN oder über eine VPN-Verbindung erfolgt, stellt das in der Regel kein Problem dar. Kommen jedoch interne Firewalls zum Einsatz, zum Beispiel zwischen Client-LAN und Server-Backbone oder werden innerhalb des VPNs Pakete gefiltert, müssen diverse Ports (5001, 5002, 4172 TCP/UDP) freigeschaltet werden. Hinzu kommen noch Management-Ports, über die zum Beispiel die Firmware der Host-Card mit Updates versorgt werden kann. Welche Ports exakt freigeschaltet werden müssen, hängt von der auf Host- und Client-Seite eingesetzten Firmware beziehungsweise…

Den vollständigen Artikel gibt es unter http://www.admin-magazin.de/Das-Heft/2013/04/PC-ueber-IP

Artikel zu Drive-by Downloads ist Cover Story in der englischsprachigen Ausgabe des LINUX Magazine

„Barricades“ Tools to prevent drive-by attacks is part of the cover story in issue 152 (June 2013)

Barricades

Author(s): Thomas Zeller

You won’t find a perfect solution to the growing problem of drive-by attacks, but many tools are available to help you keep malicious code off your network.

Cover Stories

Attackers have an easy time on today’s Internet. Intruders of the past needed to circumvent troublesome firewalls and other protective devices, but today, they only need to entice an unsuspecting user into accessing a web server prepared with malware or send a malicious link through email, text, or an instant messaging service. Contact details for reaching the potential victims can usually be retrieved from social networks such as Xing. And QR codes are ideal for distributing malware links: The reader has no way to even guess where the code might by pointing.

Many of these attack methods exploit the fact that Web 2.0 tools are installed on nearly every workstation and mobile device, including a web browser and plugins such as Flash Player, Java, and Adobe Reader. Browsers or plugins almost always contain vulnerabilities that are then exploitable using special attack tools installed on the web server. The goal of these attacks is to infect the client with malware and then misuse the client system by adding it to a botnet or using it as a bridgehead for access to other resources on the network. The attack is usually completely transparent and goes unnoticed by the user. This style of attack is often called a drive-by download (see the „How a Drive-By Attack Works“ box). In the opinion of ENISA (European Network and Information Security Agency), drive-by downloads are currently the biggest threat on the Internet [1].

Read the full article

„Schutzausrüstung“ – Schutz vor Drive-by Downloads

Thomas Zeller
Klassische Schutzmechanismen wie Firewalls und Virenscanner spielen auch in Zukunft eine wichtige Rolle, sie bieten aber keinen Schutz vor Drive-by-Downloads. Doch diese perfide Technik wächst jährlich im dreistelligen Prozentbereich.
Wie einfach ist die Welt für Angreifer doch heute: Wo früher mühsam Firewalls und andere Schutzeinrichtungen überwunden werden mussten, genügt es heute, die Benutzer hinter der Firewall auf einen mit Malware präparierten Webserver zu locken. Das gelingt ganz leicht, indem man entsprechende Links per E-Mail, SMS oder Instant Messenger verschickt. Die Kontaktdaten der potenziellen Opfer lassen sich meist problemlos über soziale Netzwerke, etwa Xing, ausfindig machen. Und auch QR-Codes eignen sich bestens zum Verteilen von Malware-Links, schließlich sieht der Benutzer dem Code nicht an, wohin dieser sein Smartphone führt.

Die größte Schwachstelle – gleich nach dem Benutzer – stellt heute aber das auf jedem Arbeitsplatz und mobilen Gerät installierte Web-2.0-Instrumentarium dar, bestehend aus Webbrowser und zahlreichen Plugins wie beispielsweise dem Flashplayer, Java und Adobe Reader. Browser oder Plugins enthalten praktisch immer Sicherheitslücken, die mit speziellen auf dem Webserver installierten Angriffstools dann ausnutzbar sind. Ziel ist es, den Client mit Malware zu infizieren, um ihn als Brückenkopf für den Zugang zu anderen Ressourcen im Netzwerk zu missbrauchen oder um ihn einem Bot-Netz hinzuzufügen. Die Ausnutzung der Sicherheitslücke erfolgt dabei in der Regel völlig transparent und vom Benutzer unbemerkt – sozusagen im Vorbeigehen. Daher auch der Name: Drive-by-Download. Nach Einschätzung der ENISA (European Network and Information Security Agency) und des IT-Branchenverbandes BITKOM, geht von Drive-by-Downloads derzeit die größte Bedrohung im Internet überhaupt aus. Ausführliche Details dazu finden sich im Report „ENISA Threat Landscape“, erhältlich unter [3].

Heillos unsicher

Geradezu legendär sind inzwischen die Sicherheitslücken in der

Den vollständigen Artikel gibt es zum Kauf beim ADMIN-MAGAZIN:  http://www.admin-magazin.de/Das-Heft/2013/03/Schutz-vor-Drive-by-Angriffen

OpenSUSE 12.3

Der aktuellen Ausgabe der PC-News Juni/Juli 2013 liegt das DVD-ISO Image der nagelneuen OpenSUSE 12.3 bei. Für das Heft haben wir einen 4-seitigen Workshop erstellt, der sich speziell an Linux-Neulinge richtet. Der Workshop beschreibt unter anderem wie OpenSUSE parallel einem bereits vorhandenen Windows-Betriebssystem installiert wird und hilft bei der ersten Orientierung im System, z. B.

  • KickOff Anwendungsstarter
  • Desktop anpassen
  • Infozentrum
  • Programme installieren und entfernen
  • Systemverwaltung mit YaST
  • Eigene Server mit YaST einrichten

opensuse

 

Nach oben