dom_pommes

ich schreibe deshalb "erhältliche Implementierungen" und nicht "die erhältlichen Implementierungen", welches ja "alle" bedeuten würde müssen die Kriterien in den Antrag oder ist das Sache der Doku? Kriterien wären ja zB. Dokumentation, Release Notes wie "just a proof of concept" würde auch direkt rausfallen

Was meint ihr dazu? Projektbezeichnung (Auftrag / Teilauftrag): Auftrag: Auswahl und Einrichtung eines geeigneten Verfahrens zur sicheren Fernadministration über die Schnittstellen SSH und die VM-Ware-Konsole für einen autorisierten Personenkreis Teilauftrag: Beurteilung der Einsatzmöglichkeit des Portknocking-Verfahrens zu diesem Zweck und ggf. Auswahl einer geeigneten Software Kurzform der Aufgabenstellung: Ein Linux Server bildet die Grundlage für vier VM-Hosts, auf denen zentrale Dienste der xxx betrieben werden. Aus Sicherheitsgründen sollen die auf dem VM-Ware-Server installierten Fern-Administrationsschnittstellen (SSH-Server und die VM-Ware-Konsole) aus dem Internet nicht sichtbar sein. In Notfällen müssen die Administratoren jedoch von ihren Heimarbeitsplätzen aus arbeiten können. Eine Möglichkeit, dies zu realisieren, bietet das Portknocking-Verfahren. Beim Portknocking können die zu erreichenden Ports mit einem Paketfilter geschlossen werden, und sind trotzdem für autorisierte Clients nutzbar. Dies wird durch einen Dienst ermöglicht, der für zugelassene Clients den angefragten Port dynamisch öffnet. Da dieses Verfahren an der xxx bislang noch nicht eingesetzt wird, und somit keinerlei Erfahrungswerte bezüglich Leistungsbedarf, Zuverlässigkeit und Problembehandlung vorhanden sind, sollen erhältliche Implementierungen installiert, getestet und verglichen werden. Ziel des Projektes ist die Beurteilung, ob das Verfahren generell, als auch eine der Implementierungen für diesen Zweck geeignet ist. Ist Analyse Ein Hewlett Packard Proliant DL380G3 Server mit SuSE Linux Enterprise Server 8.0 Betriebssystem läuft als VM-Ware-Server und hostet vier virtuelle Rechner. Auf diesen sind unter anderem der FTP- und der BSCW-Server der xxx installiert. Diese Dienste sind für den Betrieb von wesentlicher Bedeutung und müssen daher möglichst gut vor Angreifern geschützt werden. Deshalb lassen die Administrationsdienste SSH und VM-Ware-Konsole ausschließlich Verbindungen von den festen IP-Adressen der Arbeitsstationen der Administratoren zu. Im Falle eines Problems mit einem der Serverdienste können die Administratoren also ausschließlich von ihren Arbeitsstationen aus auf den Server zugreifen. Dies ist im Urlaubs- oder Krankheitsfall aber nicht möglich. Zusätzlichen Aufwand im Urlaubs- oder Krankheitsfall eines der Administratoren bereiten die Vertretungsregelungen. Da die Vertreter nicht permanent Zugriff auf die VM-Ware-Konsole haben sollen, wird die Paketfilter-Konfiguration in einem solchen Fall geändert. Der Zugriff ist dann zusätzlich von der Arbeitsstation des Vertretenden möglich ist. Soll-Konzept Bei positiver Bewertung des Portknocking-Einsatzes wird eine geeignete Software empfohlen. Durch die Anwendung des Portknocking-Verfahrens auf dem VM-Ware-Server ist gewährleistet, dass die Schnittstellen von außerhalb nicht sicht- und somit nicht angreifbar sind. Gleichzeitig ist es sowohl den Administratoren als auch den jeweiligen Vertretern möglich, die Administration ihrer Services von einer beliebigen IP-Adresse auszuführen, sofern der Rechner über die entsprechenden Softwarevoraussetzungen verfügt. Projektphasen mit Zeitplanung Für die Beurteilung des Portknocking-Verfahrens und dessen Implementierungen sind folgende Schritte geplant: 1.Bestandsaufnahme (Ist-Zustand) (2 Stunden) 2.Konzeptentwicklung (Soll-Konzept) (1 Stunde) 3.Erstellung des Anforderungskatalogs (2 Stunden) 4.Recherche über Portknocking-Software (4 Stunden) 4.1 Sichten von Fachliteratur 4.2 Im Internet 4.3 Sichten der Dokumentation 5.Installation der in Frage kommenden Portknocking-Implementierungen (4 Stunden) 5.1 Download 5.2 ggf. Installation der Softwarevoraussetzungen (z.B. Skriptsprachen) 5.3 Installation 6.Konfiguration der Portknocking-Implementierungen (4 Stunden) 6.1 Konfiguration der Programme 6.2 Vereinbarung eines Klopfzeichens 7.Testphase für jede Software (je 1 Stunde) 7.1 Portscan 7.2 Anmeldeversuch ohne Portknocking 7.3 Benutzung des Portknocking Clients 7.4 Portscan 7.5 Anmeldeversuch nach Anwendung des Portknocking Clients 8. Langzeitstudie (1 Stunde) 8.1 Auswertung 9.Entscheidungsfindung anhand der Testergebnisse (1 Stunde) 10.Projektdokumentation (9 Stunden) 11.Übergabe an den Projektleiter (2 Stunden)

die zweite Frage hier ist natürlich Mist - sorry, aber irgendwie kann ich das 1st post hier nicht editieren - warum auch immer die Fragen haben sich mitlerweile über ICQ geklärt, eure Meinung zum Projekt interessiert mich aber nach wie vor

Hallo zusammen, bin gerade dabei, meinen Projektantrag zu formulieren und verwirre mich dabei immer mehr in Unklarheiten. Vielleicht könnt ihr ja etwas Licht ins Dunkel bringen und mir eure Meinung zu diesem Projekt geben. Also Ausgangssituation ist folgende: Auf einem VM-Server laufen 4 VM-Hosts, die u.a. FTP und BSCW Dienste bereitstellen. Diese Dienste sind für die Firma sehr wichtig, sollen also so gut wie möglich geschützt werden. Neben bereits geschehener möglichst sicherer Konfiguration der Dienste selbst sollen auch die Administrationsschnittstellen SSH und VM-Ware-Konsole geschützt werden. Dazu ist der Zugriff auf diese Ports im Moment auf 5 fest vergebene IPs (4 Dienstadmins und den VM-Server Admin) aus unserem Adressbereich beschränkt. Das bedeutet widerum, dass die Admins im Krankheits- oder Urlaubsfall bei Problemen mit den Servern zur Firma kommen müssen und das Problem von dort aus beheben. U.U. ist das aber nicht oder nur schwer möglich und wenn es nur um kleinere Arbeiten geht, wäre der Aufwand dazu viel zu groß. Daher sollen die Dienste auch aus dem Internet erreichbar sein. Die Ports einfach weltweit (oder einschränkend nur für das jeweilige Providernetz des Admins) zu öffnen, ist sicherlich keine geeignete Lösung, weil damit auch tausende anderer User sehen könnten, dass auf diesem Rechner die SSH und VM-Ware-Konsolen Dienste laufen. Daher soll ein geeignetes Verfahren auf dem Server implementiert werden, dass Admins von außerhalb Zugriff verschafft, aber nicht Hinz- und Kunz ein ausspionieren des Servers ermöglicht. Die in meinen Augen einzige Möglichkeit, diesen Anforderungen gerecht zu werden wäre eine Portknockingimplementierung auf dem System. Die Admins bekommen einen Client an die Hand, mit dem Sie wahlweise SSH oder die VM-Konsole temporär für ihre IP erreichbar machen können. Nach einer kurzen Zeit wird der Port auf dem Server wieder geschlossen. Dank stateful Inspection Firewall kann der Port ja nach Herstellung der Verbindung wieder geschlossen werden. Von außerhalb sähe man die Ports jederzeit geschlossen. Projekt soll also sein, auf einem der VM-Hosts eine solche Implementierung einzurichten und zu testen und anschließend zu beurteilen, ob der Einsatz einer solchen Lösung auf dem VM-Server möglich ist und sinnvoll wäre. Stabilitätstests, Angriffsversuche und Lastleistungsbegutachtung in Bezug auf die verfügbaren Leistungsreserven des VM-Servers sollen Auskunft geben über die Einsatzmöglichkeit. Ebenso muss geprüft werden, ob das Konzept mit der bestehenden Firewallstruktur zusammenabreiten kann. Soweit zur Projektbeschreibung. Sagt einfach mal was dazu, was ihr dazu denkt. Nun zu meinen Schwierigkeiten beim Antrag: Ich bin mir völlig unklar darüber, welche Angaben in welchen Teil des Antrages gehören. Bisher sieht das in etwa so aus: Kurzform der Aufgabenstellung: VM-Server mit 4 VM-Hosts Wichtig weil u.a. FTP und BSCW Administration nur von IPs der Arbeitsstationen der Admins möglich In Notfällen soll auch Verbindung von außerhalb möglich sein Auftrag: Portknocking auf VM-Host testen und beurteilen ob Einsatz auf Server möglich und sinnvoll IST-Analyse Infos zu Maschine und OS BSCW und FTP auf je einem eigenen VM-Host Firewallsicht: 22 und 904 von überall erreichbar VM-Konfiguration: 5 IPs erlaubt: 4 Admins + VM-Admin SSH-Konfiguration: nur VM-Admin erlaubt Bei Problemen müssen Admins zur Firma kommen SOLL-Konzept/ -Zielsetzung entwickeln Zugriff für berechtigte auch von außen Zugriff nicht für jeden Dienste aus Internet nicht sichtbar Jetzt stellen sich mir folgende Fragen: Muss ich im Antrag erklären, was Portknocking ist? Wenn ja, wo? Wohin kommt die Info, dass dies aufgrund der beschriebenen Gegebenheiten nur mit Portknocking geht? Muss ich im Antrag schon erklären, welche Alternativen es gibt und warum diese nicht in Frage kommen? Oder sollte ich die Aufgabenstellung dahingehend ändern, dass ich ein geeignetes Verfahren zur sicheren Fernadministration suchen soll, welches den Anforderungen entspricht? Dann im Laufe des Projektes erkären, warum z.B. "VPN und dann Zugriff nur aus dem VPN-Netz" oder "SSH Zugriff nur von einem Host, zu dem aber jeder connecten kann" nicht in Frage kommen? Bin mir halt unklar darüber, ob dann nicht diese berüchtigte "Evaluation" fehlt. Wie viel muss bei der Kurzbeschreibung von der IST-Analyse beschrieben werden? Muss dort die Anforderung hin, dass die Ports von außen nicht sichtbar sein sollen? Weil ohne eine kurze Situationsbeschreibung kann ich ja gar nicht klarmachen, warum ich dort so etwas installieren soll/will. Hoffe ich konnte mich einigermaßen verständlich ausdrücken. Bin dankbar für jede Hilfe! Bis denn, Dominik

wo wir grad dabei sind - gibt's auch sowas wie nen "out of the box" Trafficbegrenzer a la "netlimiter" für Windows? also zB ne 2 GB Grenze im Monat einrichten oder sowas?

gut für dich bei ext3 hättest du eh schlechte Karten gehabt

welche filesystem verwendest du?

hm, wenig spektakulär aber sowas hab ich jetzt mal gebaut. <html> <head> <title>chroot Test</title> </head> <body> Verzeichnis anzeigen: <form action="test.php" method="post"> <input type="text" name="verzeichnis"> <input type="submit" value="Anzeigen"> </form> Befehl ausführen <form action="test.php" method="post"> <input type="text" name="befehl"> <input type="submit" value="Ausführen"> </form> <?php $output = shell_exec($_POST["befehl"]); echo $output; ?> <?php if (isset($_POST["verzeichnis"])) { $output = shell_exec('ls -la '.$_POST["verzeichnis"]); # $output formatierbar machen $output = str_replace(" "," ",$output); $output = str_replace(" "," ",$output); $output = str_replace(" "," ",$output); $output = nl2br($output); $teile = explode("<br />", $output); $anzahl = count($teile); $i=0; echo "$ ls -la ".$_POST['verzeichnis']."<br>"; # $output in html tabelle formatieren while ( $i < $anzahl ) { if ( $i == 0 ) { echo "<table border=0>"; } echo "<tr><td>"; $teile[$i] = str_replace(" ","</td><td>",$teile[$i]); echo $teile[$i]; echo "</tr>"; if ( $i == $anzahl-1 ) { echo "</table>"; } $i++; } } ?> </body> </html> so kann ich nen Verzeichnis listen und den Unterschied zwischen den chroot und dem normalen Apache zeigen mit dem Befehlsfenster kann ich z.B. "which make", "which ftp", "which ssh" etczeigen, dass man auf dem chroot System keine Möglichkeit hat, etwas zu übersetzen wenn doch noch jemand ne andere Idee hat: her damit

Moin, ich versuche für ein Seminar einen bewusst angreifbaren Apache zu bauen. Laut google Recherche sind z.B. alle SSL Apaches <= 1.3.26 mit ModSSL und OpenSSL Versionen <= 0.9.6.d mit einem Tool dessen Namen ich hier erstmal nicht posten möchte einfach angreifbar. Durch einen Buffer Overflow soll man mit dem Tool eine shell mit Rechten des Webserverusers bekommen. An einem solchen Server möchte ich dann zeigen, wie man mittles chroot die Umgebung des Webserver sinnvoll einschränken kann, um Angreifern in einem solchen Fall die Hände (wenigstens vorläufig zu binden). Jetzt habe ich einen solchen Apache gebaut (1.3.23 mit ModSSL und OpenSSL 0.9.6), er läuft auf Port 80 und 443 und alles ist soweit gut. Gleiche Installation habe ich auch chroot fähig gemacht - klappt auch bestens. "Dummerweise" klappt allerdings dieses Tool nicht. Ich kann es auf einem anderen Linux System übersetzen und ausführen, leider kriege ich trotz der Analyse des Zielsystems als "vulnerable" keinen Shellzugriff. Im Normalbetrieb ist das sicher eine gute Sache, für meinen Fall ist das leider ziemlich ärgerlich. Daher meine Frage - wie könnte man so etwas sonst eindrucksvoll vorführen? Mir ist bewusst, dass es durchaus nicht gern gesehen ist, nach so etwas zu fragen - wenn es den Admins hier zu kribbelig ist, soll der Thread meinetwegen wieder geschlossen werden. Mir ist das Anliegen aber durchaus ernst. Vielleicht gibt es ja weniger Exploit-Character-mäßige Methoden. Danke für eure Hilfe und bitte denkt nach bevor ihr postet, damit dieser Thread etwas bringt und nicht wegen Antworten geschlossen wird. Danke

würde auch zu Debian raten und dann aber möglichst keine GUI-Programme X dürfte auf der Kiste ein ziemlicher Geduldfresser sein

naja ... von CD? nicht wirklich ich bin selsbt ein großer Knoppix Fan, aber dafür eignet es sich imho gar nicht

schau dir doch xfce mal an das ist sauschnell, sieht gut aus und ist schnell konfiguriert meine Freundin will mitlerweile keine KDE mehr

das Stichwort, das du brauchst lautet "ncpfs"

du erstellst mit ssh-keygen -t dsa auf dem verbindenden Rechner einen key, kopierst den öffentlichen Teil auf dem Zielhost in die ~/.ssh/authorized_keys das sollte schon alles sein danach kannst du dann ohne Passwort connecten "ssh user@host" - fertig von anderen Rechnern musst du ab da aber ein " ssh -o PasswordAuthentication=yes user@host" machen

Moin, bin mit dem Umzug eines News Servers beschäftigt. Alte Version: INN 2.2 auf ner Sun Sparc Ultra 4 mit Solaris 8 Neue Version: INN 2.4.1 auf nem SunFire V880 Cluster mit Solaris 9 Der Server läuft eigentlicht soweit. Eigentlicht... Problem1: Sobald ein Client das erste Post auf dem Server macht, stirbt allerdings der innd Prozess. Danach ist nur noch der "innwatch" da. Die Posts kommen am Server an, werden in der gewünschten Weise gespeichert (tradspool). Problem2: Der alte Server soll unsere Testgruppe an den neuen Server feeden. Andersrum erst, wenn es bis hierher klappt. Dazu habe ich entsprechende (syntaktisch korrekte) Einträge in "newsfeeds" und "nntpsend.ctl" gemacht. Die sehen genau so aus, wie die unserer anderen peers (halt mit den nötigen Anpassungen bei Host und Gruppen), "inncheck" meldet auch keine Syntaxfehler. Trotzdem kommt rein gar nichts beim andren Server an, weder der Name des feeds, noch der Hostname vom peer tauchen in irgendeinem Log auf (news werden alle 20 Minuten per cron verschickt). Bin mit meinem Latein ziemlich am Ende und weiß momentan auch nicht wirklich einen Ansprechpartner, der mir da noch weiterhelfen könnte. Hat jemand irgendeine Idee oder wenigstens eine weitere Quelle?

quanta kann das

hat sich erledigt aus anderem Forum: Servus! Im Log steht folgendes: Code: *telekom.at - - [11/Jun/2004:12:05:00 +0200] "GET /files/Aso-Projekt.wmv HTTP/1.1" 200 145667 Der letzte Parameter ist die tatsächlich geladene Dateigröße (gerade probiert), diese kannst du ja mit der Originalgröße vergleichen.

moin kann man irgendwie feststellen, ob eine von apache angebotene Datei komplett heruntergeladen wurde oder ob der Download mittendrin abgebrochen wurde / fehlgeschlagen ist. Ist das mit apache (log-)Mitteln möglich? hat jemand ne Idee, wie man sowas sonst machen könnte? danke schonmal

mag gnome nicht ...

ich hab das debian unstable upgrade heute morgen gefahren und seitdem ist mir noch nix negativ aufgefallen

auch ein Hagener? :winke: wo machst die Ausbildung?

da du nichts davon schreibst: hast du die conf angepasst? *duck*

82 Punkte *freu*

da kann ich mich nur anschließen was willst du denn über den Ordner wissen? verstehe die eigentliche Frage gar nicht...

welcher Schnitt? *nixraff*