Im Laufe der Installation eines SBS 2011 empfiehlt dieser, dass man die Ports 25, 80, 443 und 987 auf der Firewall öffnet. Da ich keine Webseite unverschlüsselt online stellen werde und auch mein CompanyWeb nicht öffentlich machen möchte, werde ich nur Port 25 und Port 443 öffnen. Auf einem normalen Router ist das in wenigen Sekunden erledigt. Auf einer Firewall wie der Astaro muss man hier etwas mehr Zeit investieren. Das einfache öffnen der Ports bringt nicht den gewünschten Erfolg.

Zuerst navigieren wir im Admin Interface auf Network Security – NAT und wechseln dann auf den Reiter DNAT/SNAT:

Hier klicken wir auf New NAT rule und konfigurieren diese wie folgt:

Traffic Destination ist: External (WAN) (Address).

Die Destination “Exchange” muss man ggf. selbst anlegen. In meinem Fall ist das ein Link auf den SBS 2011. Der Rest sollte bei jedem identisch sein.

Für den Port 25 (SMTP) muss eine ähnliche Regel angelegt werden – Traffic Source ist hier natürlich SMTP:

Nachdem ich nun eine neue Wohnung in Deutschland habe stand ich auch wieder vor dem Problem, dass ich meinen Internetzugang neu “regeln” musste (die Router in UK basieren auf Annex A und Deutschland hat Annex B). Nach ausgiebigen Produktvergleichen waren zwei SoHo Router (mit Firewall) in meiner Endauswahl. Beide Modelle hätten jeweils etwas mehr als 300 € gekostet. Leider hätte ich selbst bei den 300 € Routern noch Abstriche im Funktionsumfang hinnehmen müssen. Daher habe ich mich auf die Suche nach einer bezahlbaren Alternative gemacht – und bin fündig geworden.

Astaro Firewalls (die Software) ist für Privatanwender für bis zu 50 IP’s frei (sollte reichen). Da mir das Produkt sowieso gut gefällt (hab ich schon in meinem Testlab im Einsatz) blieb nun also nur noch das Problem der Hardware. Die Firewall soll 24 / 7 laufen und somit möglichst wenig Strom brauchen – zudem wäre es nicht schlecht, wenn das Gerät möglichst leise / unhörbar ist.

Nach ausgiebigem Preisvergleichen habe ich mir folgende Teile (bei Atelco) bestellt:

• MSI IM-945GSE (lüfterloses Mainboard mit zwei NIC’s)
• 2GB Kingston SO-Dimm PC5300/667
• Samsung HM251JI (geht auch kleiner, war aber die günstigste von Samsung – und ich mag Samsung )
• JCP Mini-ITX Gehäuse, 60W ext. PSU, schwarz

Das ganze hat zusammen 321 Euro gekostet:

Die Installation der Software war in wenigen Minuten erledigt – da mir das Webinterface schon bekannt ist, war auch die Konfiguration kurz darauf abgeschlossen (auch Astaro Anfänger sollten das in sehr kurzer Zeit hin bekommen).

Das Beste ist, die Box braucht bei mir im normalen Betrieb nicht mal 20 W – und das obwohl ich hier nun eine absolut vollwertige Firewall stehen habe, die einem alles bietet was man so brauchen kann   – hören tut man von der Box natürlich auch nichts (hat ja keine Lüfter).

P. S. (1) Ich hatte zuhause noch eine Riser Card und NIC – die steuern jetzt meine DMZ an

P. S. (2) Zur Installation der Astaro muss zwingend ein CD Laufwerk angeschlossen werden – das sollte man also noch zuhause herum liegen haben.

Hi,

heute möchte ich euch ein Tool vorstellen auf das mich vor ein paar Tagen ein Arbeitskollege aufmerksam gemacht hat. Das Tool hört auf den schönen Namen “Nipper” und ist in der Lage die Konfiguration von folgenden Geräten zu analysieren:

• Bay Networks Accelar
• CheckPoint VPN-1/Firewall-1
• Cisco Catalysts (IOS, CatOS and NMP)
• Cisco Content Services Switch (CSS)
• Cisco Routers (IOS)
• Cisco Security Applicances (PIX, ASA and FWSM)
• Juniper NetScreens
• Nokia IP Firewalls
• Notel Passports
• SonicWALL SonicOS Firewalls

Meine Tests habe ich dabei mit Cisco Catalysts, Cisco Routern und CheckPoint Firewalls durchgeführt. Das Ergebnis hat mich dabei ins Staunen gebracht. Insbesondere bei der Auswertung der Router und Switches leistet das Tool ganze Arbeit. Es findet auch versteckte Sicherheitsprobleme und listet alle seine Findings sehr übersichtlich in einem Report auf.

Bei der Auswertung von Firewalls (insebesondere bei großen Umgebungen mit 500+ Regeln) wird die Auswertung schnell unübersichtlich. Dafür kann allerdings das Tool wenig .

Alle Findings werden mit einer Risikoeinschätzung sowie einem möglichen Impact und den notwendigen Befehlen zum Beheben des Problems versehen (sehr nützlich für Administratoren die nicht so oft mit IOS arbeiten).

Das erstellen der Auswertung ist dabei denkbar einfach. Im Falle von cisco (IOS) Routern und Switches zieht man sich einfach einen dump der running config (show run) und übergibt diese mit folgendem Befehl an Nipper (Nipper muß nicht installiert werden. In meinem Beispiel liegt die config im selben Verzeichnis wie die nipper.exe)

nipper.exe --input=config.txt --output=report.html

Für Checkpoint Firewalls ist das Vorgehen nur minimal komplexer. Man kopiert entweder das $FWDIR Verzeichnis direkt von der Firewall oder kopiert das Konfigurationsverzeichnis vom Firewall manager (verwaltet dieses mehrer FW’s so tauchen alle in einem Report auf). Als input übergibt man Nipper dann einfach das zuvor kopierte Verzeichnis:

nipper.exe --input=FWconfig\ --output=fw_report.html

Das erstellen des Reports bei großen Firewalls kann durchaus etwas länger dauern (mein highscore liegt bei 35 min) – das warten lohnt sich aber.

Das Tool selbst ist Open Source und wird auf Source Forge gehostet. Die letzte Version wurde 12/2008 online gestellt. Auf der Webseite von Nipper gibt es auch ein Forum in welchem Fragen zu dem Tool geklärt werden können.

SPAM beschränkt sich zwischenzeitlich leider nicht mehr nur auf eMail. Aktuell scheinen sich die Spammer auch immer mehr auf alternative Wege wie MSN auszurichten. Ein bekannten von mir hatte dieses Problem vor einigen Wochen schon und nun hat es einen zweiten erwischt.

Eine solche SPAM-Nachricht sieht z. B. wie folgt aus:

Versucht man sich auf der Seite anzumelden ist der Firefox so freundlich und weißt den Benutzer darauf hin, dass diese Seite vermutlich nichts gutes mit seinen Login-daten vor hat.

Der InternetExplorer bzw. Microsoft war hier (dieses Mal) wohl noch nicht schnell genug und lässt den Benutzer im Regen stehen:

Diese Meldungen werden in aller Regel von den eigenen Freunden versendet (so scheint es) und enthalten wie in meinem Beispiel sogar entsprechend angepasste URLs. Der Spammer vergrößert dabei seine Datenbank an gültigen accounts indem er die Zugangsdaten von gutgläubigen Nutzern aus oben dargestellten Formular aufzeichnet um dann wiederum die Kontakte aus diesem account anzuschreiben. Die Anzahl der Mitteilungen beschränkt sich dabei in der Regel auf 2 bis 10 pro Tag. Teile dienen der Vergößerung des Netzwerks andere enthalten Links auf Werbeseiten oder im schlimmsten Fall auf Seiten die Trojaner und Viren Nachladen.

Ist das eigene Konto von einem Spammer entsprechend missbraucht worden, so kann man diesem den Zugang ganz einfach entziehen, indem man sein Passwort ändert. Man sollte jedoch auf jeden Fall alle seine Kontakte über den Vorfall informieren um sicher zu stellen, dass Freunde, die den Links gefolgt sind ihre Passworte ebenfalls ändern. Zudem ist eine genaue Virenprüfung anzuraten.

Daniel Melanchthon hat auf seinem Blog eine sehr schöne Zusammenstellung (die er selbst von einem andern MS Blog hat ) zur Verfügung gestellt:

Mein Kollege Feliciano Intini arbeitet als Chief Security Advisor für Microsoft Italien. Er hat auf seinem Blog ein ganz besonderes Posting, welches er regelmäßig aktualisiert. Darin stellt er eine Linkliste der von Microsoft im Web zur Verfügung gestellten Ressourcen zum Thema Security Mühe zusammen.

In der Sammlung ist für jeden (Security-) Geschmack etwas dabei.