Hallo!

Da ich nun schon mehrfach darauf angesprochen wurde will ich kurz meine kleine Spielwiese vorstellen, die ich zum Testen der diversen Tools sowie zur Stillung meines Wissensdurstes verwende.

Darf ich vorstellen, mein primärer Server.

Der kleine hat zwei Sockel F Dual Core Opteron CPU’s, 6 GB DDR 2 RAM, 3 TB Festplatten (SATA und seit kurzem auch noch SAS) und hostet meine VMWare ESX Server Umgebung in der ich so ziemlich alles nachstellen kann was ich brauche.

Mein Media- und Backupserver hat zwar wenig mit den hier online gestellten HowTo’s zu tun, wäre wohl aber beleidigt wenn ich Ihn nicht erwähnen würde.

Dieser Server ist mit nur einer AMD 3000 CPU bestückt und muss sich mit 3 GB RAM zufrieden geben. Festplattenplatz stehen ihm aktuell auch nur 800 GB zur Verfügung. Fragt nicht warum der so viel RAM hat – das weiß ich selber nicht mehr.

Nun kommt mein netter Desktop. Nach der kürzlich vollzogenen Verjüngungskur verfügt dieser über einen AMD Dual Core AM2 CPU, 4 GB RAM und 500 GB Speicherplatz. Als Betriebssystem kommt ein VISTA Ultimate mit 64 BIT zum Einsatz.

Als schwächstes Glied in der Kette fehlt nun nur noch mein mobiles TestLab. Dieses besteht aus einem IBM T41 der auf 1,5 GB RAM aufgerüstet wurde um den Einsatz von VMWare Workstation sowie MS Virtual Server zu ermöglichen.

Ach ja, um das ganze abzurunden stehen die ganzen Systeme natürlich hinter einer gescheiten Firewall und sind des Weiteren über eine richtige USV (Smart UPS 750) gegen Stromschläge und Ausfälle abgesichert.

Um die Frage gleich vorweg zu greifen – nein, ich habe kein eigenes Kraftwerk und dank der gut ausgewählten Komponenten hält sich der Verbrauch der Systeme auch in Grenzen. Zudem läuft nur der große Server 24/7.

… und damit keiner auf dumme Gedanken kommt. Meine Wohnung ist alarmgesichert mit direkter Anbindung an die Polizei – denkt also erst garnich daran…

Hi,

beim einrichten meines neuen Exchange 2007 hatte ich gleich das Vergnügen mich etwas näher mit der PowerShell zu beschäftigen. Einige (für mich wichtige) Befehle sind nämlich nur noch auf diesem Weg erreichbar. Folgender Aufbau: Ich erhalte meine Mails direkt via SMTP (MX Eintrag in meiner Maildomäne). Sicherheitsbewusst wie ich bin werden die Mails von einem System in meiner DMZ (ja, ich habe privat eine zweistuffige Firewall) entgegen genommen und dann an meinen Exchange weiter gegeben. Das Problem war nun, den Exchange Server dazu zu bekommen die Mails auch anzunehmen. Alle Einstellungen auf dem HubTransport Server bzw. dessen Receive Connectoren brachte leider nichts – mails gingen nicht durch. Nach ca. 3 Stunden klicken und googeln fand ich dann folgenden Artikel auf den technet Seiten:

http://technet.microsoft.com/en-us/library/bb232021.aspx

Dieser, zusammen mit den anderen ergoogelten Informationen brachten dann folgende Lösung des Problems (alles cmdlets):
# Erstellt einen neuen receive connector mit dem Namen “Firewall SMTP Proxy” auf dem Exchange Server “JSW006″ Die Firewall von der die Mails kommen hat die IP 10.10.0.1 und die Maildomain wäre hier schmidtjohannes.de

new-ReceiveConnector -Name 'Firewall SMTP Proxy' -Usage 'Custom' -Bindings '0.0.0.0:25' -Fqdn 'schmidtjohannes.de' -RemoteIPRanges '10.10.0.1' -Server 'JSW006'

# Setzt die PermissionGroups auf Anonymous

set-ReceiveConnector -identity “Firewall SMTP Proxy″ -PermissionGroups AnonymousUsers

# Ordnet dem Connector die Notwendigen Rechte zu

Get-ReceiveConnector "Firewall SMTP Proxy" | Add-ADPermission -User "NT AUTHORITY\ANONYMOUS LOGON" -ExtendedRights "Ms-Exch-SMTP-Accept-Any-Recipient"

Die ersten beiden Aufgaben könnte man auch mit etwas klicken über die GUI erledigen. Den letzten kann man nur als cmdlet ausführen.

Hi,

da ich gerade mein Netzwerk in London neu Aufbaue war ich auch auf der Suche nach einer neuen Firewall. Bei der für Homeuser kostenlosen Astaro Firewall bin ich fündig geworden. Das Produkt zeichnet sich u. A. durch die BSI Auszeichnung nach Common Criteria aus zudem hat die Firma ihren Sitz in Karlsruhe (im schönen Baden).

Die für mich entscheidenten Kriterien für die Auswahl von Astaro waren:

• freier Code
• eingebauter VPN Server
• Content Firewall inkl. Virenschutz für Web- und eMail
• kostenlos für Homeuser

Hi,

da mich einige Bekannte auf das Thema DC hinter einer Firewall angesprochen haben, möchte ich noch etwas genauer darauf eingehen.

Der erste Punkt war, dass Netbios traffic nicht geroutet werden sollte. An sich ist das richtig und wenn man aufgrund seines Netzwerkaufbaus darauf verzichten kann, spricht auch nichts dagegen. Leider benötigen auch in modernen Netzwerken einige Anwendungen (z. B. Exchange) NetBios Dienste daher wird das blocken dieser Ports i. d. R. schwer…

Der zweite Punkt war die Frage „Warum eine Firewall im Lan?“. Die Antwort auf diese Frage ist recht einfach. Ein großer Teil von Angriffen erfolgt aus dem eigenen Netz heraus (Stichwort unzufriedener Mitarbeiter oder Virus / Trojaner). Man sollte daher wichtige Anwendungen sowie essentielle Infrastruktur Komponenten möglichst umfassend schützen. Dies erreicht man neben einem aktuellen Patchlevel, einem umfangreiches Logging und Monitoring auch durch die Abschottung nicht benötigter Ports durch eine Firewall. Des Weiteren ermöglicht eine Firewall eine einfachere Erkennung von Angriffen und bietet zudem Abwehrmechanismen.

Zum Schluß noch der Hinweis, dass es sich bei dem von mir vorgestellten Szenario nicht um ein WAN Aufbau handelt. Die DMZ sollte direkt im eigenen Lan stehen (siehe Visio Chart).

Hi,

um seine Infrastruktur gegen Angreifer innerhalb des eigenen Netzwerkes zu schützen, ist es sinnvoll die Server hinter einer internen DMZ aufzubauen. Leider ist es immer recht anstrengend herauszufinden, welche Ports für welchen Dienst / Anwendung benötigt werden. Insbesondere Domaincontroller (DC) machen einem das Leben bei dieser Aufgabenstellung zur Hölle. Daher nachfolgend alle Ports die man auf der (internen) Firewall freischalten muß um einen DC hinter einer Firewall betreiben zu können:

DNS: Port 53 TCP & UDP
Kerberos: Port 88 TCP & UDP
LDAP: Port 389 TCP & UDP
LDAP-SSL: Port 636 TCP & UDP
Global Catalog: Port 3268 TCP
SMB: Port 445 TCP & UDP
RPC: Port 135 TCP & UDP
NetBIOS Server: Port 137 TCP & UDP
NetBIOS Data : Port TCP & UDP
NTP: Port 123 TCP & UDP