Ich bin seit Jahren ein großer Backtrack Linux Fan. Dieses Live Linux bietet einfach alles was man braucht um Systeme und Netze auf ihre Sicherheit zu prüfen. Bis jetzt war es recht umständlich eine Installation auf einen USB Stick vorzunehmen (siehe mein alter Beitrag dazu) insbesondere wenn man seine Änderungen am System beibehalten wollte. Mit der aktuellen Version 5 kann man jedoch auch UNetbootin verwenden um die Installation mit wenigen Klicks durchzuführen. Für einzelne Distributionen kann man sogar den Download direkt über das Tool vornehmen.

Um die Remotewebseite des SBS 2011 und insbesondere den Outlook Web Access (OWA) bzw. den Remote Zugang via TS-Web-Gateway richtig nutzen zu können braucht man ein vertrauenswürdiges Zertifikat.  Um dieses zu erhalten kann man sich natürlich der Dienste einer bekannten öffentlichen CA bedienen. Abhängig von den Zertifikaten die man braucht kann das aber recht teuer werden. Insbesondere bei Zertifikaten mit mehreren Domains (subject alternate domains) kostet das gleich mehrere hundert Euro. Für Testsysteme aber auch für Unternehmen die sicherstellen können, dass alle zugreifenden Systeme dem eigenen Zertifikat vertrauen kann man sich ein Zertifikat mit mehreren Domains auch selbst erstellen.

Manche fragen sich nun vielleicht warum ich ständig diese Zertifikate mit mehreren Domains erwähne. Die Begründung ist recht simpel – weil es viele brauchen (ohne es zu wissen). Nahezu jedes Exchange System das ich kenne ist autoritär für mehr als eine Domain und oft werden auch mehrere (unterschiedliche) als Sendeadressen verwendet. Damit ist es notwendig, dass der Exchange Server auch ein gültiges Zertifikat für die alternativen Domains besitzt. Essentiell wird es wenn man z. B. ein Active Sync Gerät verwendet um die Mails eines Kontos abzurufen welches nicht durch die primäre Domain abgedeckt ist.

So nun aber zu den notwendigen Schritten am Beispiel eines SBS 2011 (Enterprise CA):

Zuerst erstellt man sich eine Textdatei mit folgendem Inhalt – wobei das Subject und die DNS Namen unter SAN natürlich anzupassen sind – weitere Details zu Folgeoptionen findet man ggf. auch hier: http://support.microsoft.com/kb/931351

Die soeben erstellte Datei wird in meinem Fall in request.inf (das .inf ist wichtig!) umbenannt.

certreq -new request.inf certnew.req

certreq -submit certnew.req certnew.cer

certreq -accept certnew.cer

Nachdem das Zertifikat erstellt wurde muss es noch installiert werden:

Hi,

ich bastle gerade an einem SBS eines Freundes herum und verstehe nun warum viele Leute die IT nicht mögen. Wenn ich so einen ITler hätte wie der, der diese Umgebung aufgebaut hat, dann wäre ich auch nicht glücklich. Als ich das System das erste Mal gesehen habe, habe ich folgendes vorgefunden:

• Büro mit max 8 Benutzern
• HP Server der ML Serie
• Mails werden sporadisch nicht mehr zugestellt
• Sporadische Systemausfälle an allen möglichen Stellen
• Maschine ist mit allen Resourcen deutlich über dem Anschlag

Microsoft empfiehlt für einen SBS 2011 grundsätzlich min. 8 GB RAM und die Maschine hatte zu dem Zeitpunkt nur 6 GB aber bei so wenigen Benutzern hätte das m. E. nicht diese Auswirkungen haben sollen. Ich habe also etwas genauer hin geschaut (bitte kleinen IT-Kindern die Augen zu halten…):

• Auf dem SBS2011 war ein Hyper-V Server installiert und es lief eine VM welche einen Terminal Server hostete (Remotezugang)
• Der SBS hing direkt am Internetmodem – richtige Firewall Fehlanzeige
• Das Backup lief seit Monaten nicht mehr
• Installation von Patches wurde auf dem Server nicht erzwungen
• Absolut strange Netzwerkkonfig mit irgendwelchen VLANs
• Zentraler PDF Printer welcher aber nur funktionierte wenn sich jemand am SBS anmeldete
• Gescannt wird auf einen FTP Server (nachinstalliert) welcher nach jedem Reboot des Server wieder gestartet werden muss
• Telefonverwaltungssoftware und FAX Lösung direkt auf dem SBS installiert und total verkonfiguriert.
• Drei Volumes waren konfiguriert – OS, Exchange, SQL und ein großer Teil der Shares waren aber auf einem Volume abgelegt.
• … und viele kleine Dinge die ich schon wieder vergessen habe …

Es hat mich eine ganze Nacht gekostet das ganze Ding einigermaßen stabil zu bekommen und die Services auf einen zweiten Server auszulagern. Ich bin aber noch immer richtig sauer auf diesen Typ – wehe wenn mir der mal über den Weg läuft…

Es war schon einige Zeit überfällig – jetzt ist es soweit. Ich habe für meine Seite ein in gängigen Browsern gülties Zertifikat gekauft und einrichten lassen. Damit kann man meine Seite zukünftig auch ohne lästige Fehlermeldungen via https aufrufen.

Ich hatte das Vergnügen in den letzten Tagen auf der IT-Defense sein zu dürfen. Einer der Vorträge handelte dabei auch von dem Tool “Maltego”. Dieses Tool macht es jedem Benutzer sehr einfach Informationen über Personen etc. zu sammeln und zu verknüpfen. Es werden dabei sehr viele Quellen aus dem Internet verbunden bzw. durchsucht. Dazu gehören u. a. Whois, google, Facebook, PGP.

Um das ganze etwas anschaulicher zu machen hier mal ein paar Bildschrimdrucke:

Nach kurzer Zeit findet Maltego nachfolgende Daten zu meiner Domain. Darunter diverse (zum Glück alte) eMail Adressen von mir:

Man könnte jetzt einzelne Elemente noch weiter “tranformieren” (in der Sprache von Maltego) und somit weitere Daten über mich und mein Umfeld herausfinden. Bei Personen die etwas leichtfertiger mit ihren persönlichen Daten umgehen kann man hier umfangreiche Profile erstellen und auch sehr viele Informationen über Freunde und deren Verbindungen herausfinden. Bei einigen Bürgern aus den USA kann man sogar die Social Security Number finden.

Noch ein paar Worte zur Technik und den Kosten. Die Anwendung basiert auf einer Client Server Infrastruktur wobei der Server beim Hersteller des Tools steht. Alle Suchen werden dabei über die Server des Herstellers geleitet (dieser hat auch die API’s zu Facebook etc). Der Hersteller zeichnet dabei auch einzelne Daten dieser Suche auf (!!!) dokumentiert jedoch auf seiner Webseite genau was das ist. Es gibt zwei Versionen eine kostenlose Community Version (für den privaten Gebrauch) und eine kostenpflichtige Version. Diese kostet im ersten Jahr 650 USD und in den Folgejahren 320 USD.

Steckbrief

Anwendungsname: Matelco
URL: http://www.paterva.com
Lizenz: Community / Commercial