Zum Gehäuse:
Das sehr gut gelungene massive Gehäuse ist sehr schnell zu öffnen. Die 4 HDD Einschübe befinden sich hinter einer abschließbaren Fronttür, das passende Werkzeug zum Einbau der Festplatten in die Rahmen fehlt leider genau wie die nötigen Schrauben zum befestigen der Festplatten. Standard Sekkopf-Kreuzschlitzschrauben für Festplatten passen glücklicherweise in die vorgesehenen Bohrungen. Um den Speicher zu erweitern muss das Mainboard aus dem Gehäuse herausgenommen werden. Das unter den Festplatteneinschüben liegende Board befindet sich auf einem Schlitten. Zum Herausziehen sind lediglich 2 Schrauben und einige Stecker zu lösen. Nicht gerade der Komfort eines DL380, aber bei diesen Gehäuseabmessungen immer noch relativ komfortabel gelöst. Das System kommt ohne optisches Laufwerk. Über den Festplatten und der Frontklappe befindet sich ein 5 1/4″ Laufwerksschacht mit vorbereiteter S-ATA Verkabelung.Ein Band oder optisches Laufwerk ist hier durch öffnen der oberen Abdeckung schnell eingebaut. Um unerwünschtes Öffnen dieser Abdeckung zu verhindern, kann ein Schloss an der Rückseite angebracht werden. Ausgestattet mit 2x 2TB Enterprise HDD´s wiegt der Server ohne optisches Laufwerk knapp 5 Kg.

Leistung unter Windows Server 2008R2
Direkt nach der Installation können alle Komponenten mit Standardtreibern angesprochen werden. Es empfiehlt sich aber unbedingt den Grafik-/ Netzwerk-karten Treiber zu installieren. Um Datenredundanz zu schaffen sollte auf Windows Bordmittel zurückgegriffen werden. Der interne Controller realisiert das RAID auch nur über die CPU, allerdings ohne Wissen des Betriebssystems. Bei solchen “Soft-RAID” Treibern sollte immer auf die Betriebssystem Funktionen zurückgegriffen werden. Nach Abschluss der Erstsynchronisierung schreibt das System durchschnittlich 80MB/s auf die Datenträger. Das integrierte Gigabit LAN kann damit zwar nicht gesättigt aber immerhin sehr gut Ausgelastet werden.

Serverrollen/Konfiguration
Um einen Server an einem unsicherem Standort aufzustellen, sollte in jedem Fall ein getrenntes Subnet der Größe /24 oder /25 in einer neuen ActiveDirectory Site angelegt werden. Alle Kommunikation von und zu diesem Standort sollten dann IPSec verschlüsselt werden. Um den Standort an den Firmensitz anzubinden, empfiehlt sich ein getrennter L2 VPN-Router. Damit wird eine 2-Faktor Verbindungsverschlüsselung erreicht. Über diese Verbindung dürfen dann ausschließlich IKE und ESP Pakete der IPSec Verbindungen zugelassen werden. Um die Inhalte der Festplatten zu schützen sollte unbedingt EFS aktiviert werden. Somit sind alle nicht Domänenmitglieder aus dem Netzwerk und dem Dateizugriff ausgeschlossen. Der Server selbst wird als RODC konfiguriert. Ein lokaler DNS Server sowie globaler Katalog stellen die Anmeldefunktionen bei fehlender Netzwerkverbindung sicher. Allerdings sollten auf gar keinen Fall Kennwörter Administrativer Konten an den Standort repliziert werden. Eine Anmeldung am Server mit Administrativen Rechten ist so nur möglich wenn die IPSec Verbindung zum Hauptsitz steht. Um Druckfunktionen zur Verfügung zu stellen, empfiehlt sich zusätzlich die Rolle “Druck und Dokumentendienste”. Auch die Rolle “DHCP-Server” ist nützlich. Zum sichern und abgleichen der Daten kann eine DFS-Replikationsgruppe eingerichtet werden. Somit sind immer alle Daten an mindestens 2 Standorten verfügbar.

Fazit:
Der kleine Server bietet neue Möglichkeiten um kleine Firmenstandorte, Baustellen oder ähnliches mit Servern auszustatten. In Verbindung mit einem L2 VPN-Router (z.B. Cisco oder Astaro) lässt sich der komplette Netzwerkverkehr so absichern, dass selbst ein Sniffer an einem Monitor-Port kein Risiko darstellt. Dank RODC und EFS sind auch die Daten und Benutzerkonten relativ sicher. Der Nutzen eines solchen Servers übersteigt auf jeden Fall das Restrisiko. Alternativ müssten alle Anwender ihre Daten lokal verwalten, fällt eine Festplatte aus ist alles weg. Truecrypt usw. bringen auch nicht viel wenn die Daten per SMB Freigabe zwischen den Systemen kopiert werden. Dank des Server kann die Kommunikation mit IPSec und Kerberos abgesichert werden und Mitarbeitern an Remote Standorten eine sichere Zusammenarbeit im Netzwerk ermöglicht werden.

Mehr zum Server auf der HP Produktwebsite.

HBCI-Chipkarten sind als sicher anzusehen, solange die PIN geheim bleibt. Schafft es ein Angreifer die Karten Pin (oder das Zertifikat) zu stehlen, ist alles vorbei.

Und genau hier ist die Schwachstelle der Basisleser anzusiedeln. Der Anwender gibt die PIN an seinem PC/Notebook/Tablet ein und nicht am Kartenleser. Ein Angreifer könnte also die PIN während der Eingabe abfangen. Zumindest in der Theorie.

Praktisch ist das auf einem gesicherten System kaum möglich. Ein Angriff auf die zu signierenden Daten oder ein SSL Man-in-the-Middle Angriff auf die Session selbst ist wahrscheinlicher. Selbst wenn die Daten direkt im Leser verschlüsselt werden, irgendwie müssen sie ja dort hineinkommen. Ist der PC erst einmal infiziert, hilft weder der Basisleser noch ein teurer mit Eingabetastatur vor einem gezielten Angriff. Es mag sein dass ein einfacher Keyloggerangriff zum Erspähen der PIN Erfolg hat, allerdings muss der chinesische Hacker dann persönlich vorbeikommen und den Ausweis klauen.

Primäres Angriffsziehl wird sowieso nicht der Ausweis, sondern die Ausweis-APP. Knackt man diese, hat man eine Backdoor für Linux, Windows und MAC-Systeme. Auch bereits erwähnter SSL-Proxy in einem rootkit versteckt sollte ganz nützliche Dienste zum Abfangen der Kommunikation zwischen Ausweis-App und Website-Authenticator leisten. Mal sehen, was die Szene in den kommenden Jahren so ausbrütet.

Das ganze ist schnell eingerichtet. Zuerst benötigt man eine ACL in der die Clients definiert werden, für die dieser view verwendet werden soll. In meinem Beispiel sollen alle Clients aus dem Bereich 192.168.0.0/24 nur Einträge aus der Zone pub.anb-networkz.net auflösen können. Alle Clients aus 10.0.0.0/8 sollen priv.anb-networkz.net und pub.anb-networkz.net auflösen können. Die RR’s liegen in den Zonefiles pub.anb-networkz.zone und priv.anb-networkz.zone. Zusätzlich dürfen die Clients aus dem view “priv” keine Rekursiven Anfragen stellen. Nun erst einmal die relevanten Konfigurationsparameter:


# ACL fuer externe Benutzer (Gaeste)
acl "pub" { 192.168.0.0/24; };
# ACL fuer interne Benutzer, duerfen keine Internetadressen aufloesen
acl "priv" { 10.0.0.0/8; };
# Definition des Views fuer interne Benutzer
view "priv" {
match-clients { priv; }; # Trifft bei Anfragen von Intern
allow-query { priv; }; # Anfragen nur von Intern erlauben
allow-recursion { none; }; # Rekursion verbieten
# START Zonendefinition fuer interne Zone
zone "priv.anb-networkz.net" {
type master;
file "priv.anb-networkz.zone";
}
# ENDE Zonendefinition fuer interne Zone
};
# ENDE definition View fuer interne Benutzer
# START definition View fuer Gaeste
view "pub" {
match-clients { pub; }; # Triffe auf Clients der ACL pub
allow-query { pub; ]; # erlaube Anfragen von Clients der ACL pub
allow-query-cache {pub; }; # erlaubt Cache-Anfragen von Clients der ACL pub
allow-recursion { pub; }; # Erlaubt Rekursive Anfragen von Clients der ACL pub
# DNS-Zone fuer Gaeste
zone "pub.anb-networkz.net" {
type master;
file "pub.anb-networkz.zone;
}
# ENDE DNS-Zone fuer Gaeste
};
# ENDE definition View fuer Gaeste

Mit View bieten sicn nahezu unbegrenzte Möglichkeiten DNS-Server für mehrere Kunden oder Netze zu konfigurieren. Es ist problemlos möglich, Zonen mehrerer Kunden nur für die Netze dieser Kunden zugänglich zu machen aber dennoch nur einen Server zu verwenden. Vie Spaß beim ausprobieren.

Security-Strategien, Compliance, Rechtsfolgen von Datenlecks, IT-Sicherheit: Planung ist die halbe Miete, Sichere Einbindung mobiler Mitarbeiter, Schutz vor Internetkriminellen.

Ich dachte, es handelt ich um eine Konferenz die etwas mehr transparenz in diese Themen bringt und auf die grnundlegenden technologien zur absicherung dieser Dienste eingeht, Naja, zumindest entsprachen einige Vorträge auch tatsächlich diesen Erwartungen. Andere jedoch leider nicht. Hier noch einmal die Agenda und mein Fazit.

10:15 Uhr Was wäre wenn?
Sehr guter Beitrag über aktuelle Gefahren und Risiken. Leider konnte ich diesen Beitrag nich vollständig anhören.
11:40 Clientlose Anbindung externer/mobiler Mitarbeiter – Chance oder Risiko?
Fast ausschließlich Produktwerbung für ein SSL-VPN Gateway und kaum technische Informationen zu verwendeten Protokollen. Leider wurde das Thema etwas heruntergespielt, so wurde die Software als “sicher für remotezugriff aus Internetcafe´s” beworben. Im grunde kann dieses Produkt auch nicht mehr als alle anderen auf dem Markt befindlichen Produkte dieser Kategorie. Die Sicherheitsrelevanz dieses Beitrages war sehr gering und diente ehr der Verblendung des Managements.
12:15 Uhr Sicherheitsmanagement und –planung
Vorstellung der allgemein bekannten modelle wie Cobit, ISO27001 oder ITIL. Da ich mich selbst mit diesem Thema beschäftige, ergab sich für mich keinerlei Vorteil. Wer allerdings noch nie etwas mit diesen Prozessen zu tun hatte, fände diesen Vortrag sicher sehr Interessant.
14:15 Uhr Total cost of ownership – Was kostet Antiviren-Software wirklich?
Schon einmal die TCO´s für mehrere Virenscanner berechnet und auf basis dieser ein Produkt ausgewählt? Es kommt immer auf viel mehr Faktoren als reine Kosten an. Systemadministratoren mit gewisser Erfahrung werden den Support fast nie beanspruchen. Auch die anzahl der Vorfälle ist nicht so relevant wie im Beitrag erwähnt. Dinge, wie zb. die zentrale konfigurierbarkeit, platformunabhängigkeit oder Zeitaufwand für die Installation wurden in der Demo-TCO Berechnung einfach nicht erwähnt. Dafür aber Eigenwerbung für die Trefferquote des Scanners unter Idealbedingungen, Supportkosten und Hardwareanforderungen (also Kosten die bei evt. erforderlichen Hardwaretausch anfallen). Meines erachtens nach unvollständig und auf einen bestimmten Hersteller zugeschnitten.
14:50 Uhr E-Mail-Schutz auf mehreren Ebenen
Eigenwerbung für einen Messagefilter mit 100% Trefferquote. 100% Okey, laut diesem Beitrag schon. Das dies in der Realität sehr schnell ganz anders ist, wird sicher jeder wissen. Das vorgestellte Produkt ist ohne zweifel gut, aber bei benauerer Betrachtung kann man diese Funktionen zu 85% mit freier Software nachbauen. Weitere 10% bekommt man mit günstigen Zusatzprodukten. Die verbleibenden Features sind eigentlich in einem richtig konfiguriertem und gut funktionierendem Mailsystem unwichtig. Dieser Beitrag bestand mehr aus Werbung als Informationen. Schade, der Titel versprach großes. Und wie Spammer an Informationen kommen, sollte eigentlich jedem bekannt sein.
16:00 Uhr Think, before you post – Web 2.0 und die (Rechts-)Folgen
WOW Das ist alles was ich zu diesem Beitrag sagen kann. Sehr gute Präsentation der aktuellen Probleme mit Sozialen Netzen, Blogs, Foren und anderen “Web2.0″ Platformen. Sehr gut dargestellt. es war zwar etwas eigenwerbung versteckt, das fand ich aber nicht weiter schlimm. Er ging auf Themen wie Profilierung von Nutzern/Arbeitnehmern, Image-Schädigung von Firmen oder Daten-/informationshandel ein. Sehr guter Beitrag wie ich fand. Trotzdem blogge ich weiter

Ich habe nun nur noch WordPress auf diesem Webspace, alle Kennwörter wurden geändert und eine obligatorische Anzeige gegen unbekannt eingereicht. Mal sehen was passiert

Das passiert also in Deutschland wenn mal wieder irgendetwas passiert. Nagut, die monatelange Gehirnwäsche der Medien sollte auch erwähnt werden, oder wie soll man sonst Dauerberichte von diesen Themen interpretieren? Informationen werden nur jeweils von einer Seite berichtet, eine quasi reine schwarz-weiß Darstellung und Flachrechnung der Weltansicht auf die jeweils für die Regierung passenden Ansichten.

Bildung, Informationsbereitstellung, Freiheit und Grundrechte werden immer mehr in den Hintergrund geschoben. Die Menschheit wird immer gefügiger und denkt quasi blind an alles mögliche. Globale, unabhängige Netzwerke wie das Internet müssen natürlich dermaßen eingeschränkt und kontrolliert werden das sich niemand mehr daran erinnert wofür Netze wie das DFN oder das Internet eigentlich erfunden wurden … abgesehen von den Militärischen Zielen.

Was bringt die Menschheit dazu, verbrechen in Ländern wie China zuzulassen? Würde ein anderes, kleineres Land ein anderes überfallen würden sich sofort Politiker aller anderen Länder einmischen. Was ist aber mit Tibet? Warum werden hier keine Sanktionen gegen China ausgesprochen? Wer baut nochmal unsere Elektronik? Ohne Worte….Passiert im einenem Land irgendetwas, wird das für die tollsten Gesätzesänderungen genutzt. Betreibt ein anderes Land jahrzehntelange Unterdrückung und Ressourcenausbeutung, passiert aufgrund der wirtschaftlichen Partnerschaften mit den Unterdrückerland nichts. Vielleicht vergisst man es ja.

Ich musste das einfach mal loswerden

Schaut euch doch einmal dieses Land an, hier ein paar Links:

http://www.tibet-initiative.de

http://de.wikipedia.org/wiki/Tibet

http://www.google.de/search?hl=de&q=tibet&btnG=Suche

Meine Meinung zu dem Thema ist, das die komplette IT-Industrie im Moment extrem gelämt und von unsicherheiten durchzogen ist. Niemand kann sich absolut sicher sein ob das Tool das er zur Analyse der Sicherheitsrisiken im Netzwerk verwendet, überhaupt legal ist. Arbeitsmethoden, Tools, Konzepte, dies alles sollte grundsätzlich geprüfe und bei Bedarf angepasst werden um keine “eventuell Illegalen” Tätigkeiten auszuführen. Die verbleibenden Tools sollte man Schriftlich festhalten, die Personen die diese verwenden dürfen benennen und die Datenträger/Speicherorte dieser Programme zusätzlich Sichern um keine versehentliche Verbreitung auszulösen. Mal sehen wie lange das noch gut geht.