30. April 2007

Juniper NetScreen ScreenOS Concepts & Examples

Category: Produkte,Tipps & Tricks — Christian @ 23:36

Ich war neulich bei einem Kunden, um eine (relativ) einfache Failover-Lösung zu konfigurieren. In der Hauptniederlassung steht eine Juniper NetScreen-50 Firewall (HA-Konfiguration) angeschlossen an eine Standleitung, in den diversen Niederlassungen NetScreen-5GT Firewalls mit günstigem DSL. Das alles mit einem hübschen Site-to-Site VPN, ein paar Zertifikate zur Authentisierung, alles soweit ganz ok.

Jetzt kam die Geschäftsleitung auf die Idee, wenn das VPN ausfällt, z.B. weil eine DSL-Leitung ausfällt, dann muss es eine Wählbackupleitung geben. Also wurde für jede Niederlassung ein kleiner Cisco 800 angeschafft, der sich bei Ausfall des VPN-Tunnels in die Zentrale einwählen soll. Natürlich auch verschlüsselt. In der Zentrale steht dafür ein etwas größerer Cisco Router. Wie konfiguriert man das nun am einfachsten? Austausch der NetScreen-Geräte war natürlich nicht erwünscht 🙂

Ich hab ein wenig rumexperimentiert, z.B. mit OSPF über die Cisco und Juniper, aber bei Routing im VPN will Cisco einen GRE-Tunnel, den Juniper wieder nicht so gerne hat, die Konfiguration wird richtig fies komplex und das hat sich alles nicht so recht als zufriedenstellend herausgestellt.

Am Ende bin ich auf eine ganz primitive Lösung verfallen: Die NetScreen Firewalls bekommen eine statische Route mit hohen Kosten zum jeweiligen Cisco Router, über den VPN-Tunnel sprechen die Firewalls OSPF und wenn der Tunnel steht bekommt man eine Route mit niedriger Metrik. Das klappt erstaunlich gut, man muss auf den Juniper Firewalls lediglich Route-based VPN einrichten, mit Policy-based VPN geht das leider nicht. OSPF sprechen so nur die NetScreen, nur im VPN und ohne GRE. Die Cisco-Geräte bekommen davon gar nichts mit.

Sehr hilfreich war in diesem Zusammenhang die Juniper Dokumentation. Es gibt da eine Reihe von Anleitungen unter dem Begriff ScreenOS Concepts & Examples. Da sind diverse Konfigurationsvarianten anschaulich sowohl mit GUI als auch CLI beschrieben. Zwar leider nur zwischen Juniper-Geräten aber besser als nichts.

Schade, dass es vergleichbares von Check Point nicht gibt. Da fehlt mir das immer wieder. Könnte fast eine Marktlücke für ein Buch werden. Fall jemand ein solches Buch schreiben will, bitte melden. Ich steuere ein Kapitel zu „Check Point VPN-1 SecureClient zertifikatsbasierte Authentisierung mittels Active Directory und Microsoft Zertifikatsdiensten“ bei. Also LDAP-User mit AD-Zertifikaten authentisieren. Die kurze Anleitung mit ein paar Screenshots hat 68 Seiten 🙂

Biometrie

Category: Allgemein — Christian @ 22:20

Ich persönlich halte ja nicht viel von Biometrie. Zum einen ist die Erkennungsrate von „bequemen“ Verfahren noch nicht so wirklich gut, dass man damit z.B. Geldautomaten ausstatten könnte. Dann gibt es natürlich das Problem des abgeschnittenen Fingers. Und schließlich, wenn so ein biometrisches Verfahren wie der Fingerabdruck mal kompromittiert ist, dann kann ich maximal 9 mal das Passwort den Finger wechseln. Danach muss ich mir zur Rechneranmeldung die Schuhe ausziehen.

Umso bemerkenswerter die Überlegungen der lustigen Briten. Weil so viele iPods auf der Insel geklaut werden, verlangt der zuständige Innenminister von Apple, Sony und Co., dass solche Geräte zukünftig über einen Fingerabdruck aktiviert werden sollen. Die Idee ist wohl, dass sich so der Straßenraub eindämmen lässt. Ich befürchte allerdings eher, dass damit die Körperverletzungen stark ansteigen. Und ob vielleicht die Fingerprints bereits vom Hersteller in das Gerät eingebrannt werden sollen?

Aber Spaß beiseite, in speziellen Umgebungen macht Biometrie ja Sinn. Beispielsweise in Rechenzentren oder Kernkraftwerken. Da gibt es eine überschaubare Anzahl zutrittsberechtigter Personen von denen man biometrische Daten speichern kann. Die Prüfung findet in kontrollierter Umgebung, d.h. recht konstante Temperatur und Luftfeuchte statt, die Ergebnisse werden folglich reproduzierbar sein.

Ganz anders sieht es bei den „Spielzeugverfahren“ für den Hausgebrauch aus. Die „biometrische Maus“ von Siemens ist immer noch gerne die Lachnummer von Hackingshows (PDF), weil sie sich gar so leicht überwinden lässt. Selbst komplexere Verfahren wie die IBM Thinkpads sind nicht sicher. Der damit verbundene Aufwand zur Beschaffung, Einrichtung und im Betrieb lässt sich offensichtlich besser in die Ausbildung der Mitarbeiter oder eine vernünftige Festplattenverschlüsselung der Notebooks investieren.

Nur: „Festplattenverschlüsselung“ ist hat kein so tolles Management Buzzwort wie „Biometric Authentification“