Blog

Heutiger Workshop war mit einem externen Dienstleister zum Thema Cisco ISE. Ausgangslage war der Wunsch des Endkunden, sämtliche Netzwerkports und WLAN-Zugänge über 802.1x abzusichern. Was ist Cisco ISE? Cisco ISE ist ein auf RedHat-Linux basierendes Linux-System mit grafischer Oberfläche. Der Unterbau könnte ein FreeRadius sein, wurde durch den Dienstleister nicht dementiert, aber auch nicht bestätigt. Lizenzierung: Cisco ISE bietet primär die Smart-Lizenzierung. Hierzu baut die Appliance (VM oder physikalisches System) in regelmäßigen Abständen eine Verbindung zu Cisco auf und validiert die eigene Lizenz. Alternativ – wenn man die ISE nicht Read more…

Heutige Anforderung: Kunde möchte in seinem lokalen Netzwerk eine einfache Mailserverkomponente haben, die es seinen Druckern/Kopierern ermöglicht, ohne große Authentifizierung/Verschlüsselung Mails zu versenden. Die eigentliche Absicherung der Kommunikation (in das Internet hinaus in Richtung Provider) erfolgt durch den hmailserver. Ablauf zur Konfiguration & Einrichtung: Installation mit Hersteller-EXE-Datei. Alle Einstellungen im Setup bestätigen. Kennwort vergeben. Anmelden an Konsole nach Installation mit zuvor vergebenem Kennwort: Ausgehenden Relayserver setzen inkl. Zugangsdaten: Settings -> Protocols -> SMTP -> Delivery of e-mail: Remote host name: SMTP-Server des Providers Remote TCP/IP Port: Üblicherweise 587 Username + Read more…

Wer einen Apache-Reverse-Proxy betreibt und damit an dahinterliegende Exchange/IIS-Server Port 443 weiterleitet und den Microsoft Connectivity-Check[1] testet, wird auf einen Fehler stoßen. Grund ist, dass Microsoft sich selbst hier nicht standardkonform[2][3] verhält. Am Beispiel von Auto-Discovery klappt eine Verbindung von Outlook-> Proxy -> Exchange. Hingegen die Verbindung Connectivy-Test -> Proxy -> Exchange klappt nicht und wird im Log wie folgt protokolliert: [Tue Dec 05 12:44:57.427349 2023] [proxy_http:error] [pid 2780699] [client 52.109.8.10:2252] AH01086: read less bytes of request body than expected (got 0, expected 464)[Tue Dec 05 12:44:57.427568 2023] [proxy_http:error] [pid Read more…

Eine Genugate-Firewall bzw. ein Genugate-ALG besteht aus Sicherheitsgründen aus zwei physikalisch getrennten Komponenten. Dem ALG selbst und der PFL – Dem Paketfilter. Zur Arbeitsweise: Auf dem ALG selbst legt man Regeln usw. an, was mit eingehenden Anfragen passieren soll. Auf dem DAHINTER liegenden Paketfilter (PFL) legt man Regeln an, die letztlich den Verkehr – durch den PFL – zum endgültigen Ziel erlauben. In sicheren Umgebungen (VS-NfD und höher) werden die PFL-Regeln auf dem ALG auf einen USB-Stick extrahiert, manuell am PFL angesteckt und dort eingelesen. In weniger sicheren Umgebungen (ohne Read more…

OpenVPN und Zertifikate war noch nie ein Problem. Liegen die Zertifikate jedoch auf einem Yubikey, benötigt openVPN eine Schnittstelle um diese zu lesen. Dies ist openSC mit der opensc-pkcs11.dll. Relevante Konfiguration aus openvpn-client-Konfiguration: management 127.0.0.1 1201 management-hold management-query-passwords pkcs11-providers ‚c:\opensc-pkcs11.dll‘ pkcs11-id-management Obige Konfiguration führt dazu, dass openVPN beim Starten einen Dialog liefert, wo ein Zertifikat ausgewählt werden kann. Yubikey muss natürlich gesteckt sein. Nach PIN-Bestätigung verbindet sich OpenVPN. Wichtig ist, dass in der OpenVPN-Konfiguration gerade kein eingebettetes Zertifikat + Key existiert. Dies muss aus der Konfig raus und liegt ja Read more…