18. Februar 2008

Mitternachtshacking warnt vor wachsender Politiker-Kriminalität

Category: Hacking,Politik — Christian @ 23:18

Ach nee, falsch. Der bayrische Innenminister warnt vor wachsender Internet-Kriminalität.

Aber man kann die feine Ironie zwischen den Zeilen lesen:

    „Eine Etage höher werden Steuern in Milliardenhöhe durch geschicktes Umleiten von Gelddatenströmen in kleine Alpen- oder Karibikstaaten hinterzogen […] im Museum für Kommunikation in Nürnberg, das unter anderem von der Deutschen Post finanziert wird.“

Herr Zumwinkel lässt grüßen.

    „Allein im Jahr 2006 seien in Bayern 670 Fälle des sogenannten Phishings bei der Polizei angezeigt worden.“

Das wird noch viel krasser, wenn die Vorratsdatenspeicherung erst richtig greift. Dann brauchen die Betrüger nicht mehr viele kleine Rechner angreifen, es reichen die dicken Datenbanken der großen Provider.

Das traurige ist, entweder ist Herr Herrmann komplett ahnungslos (übrigens ein sehr schönes XSS der CSU Landtagsfraktion) und damit ungeeignet für sein Amt oder er unterstützt wider besseres Wissen die Politik seines Vorgängers und gehört dann auch nicht in sein Amt.

Virtualisierte Firewalls und meine Bauchschmerzen damit

Category: Hacking,Work — Christian @ 22:06

Liest zufällig jemand die ComputerZeitung? Mir ist beim Aufräumen meines Schreibtisches zufällig die Ausgabe vom 8. Januar 2008 in die Finger gefallen, mit einem interessanten Artikel auf Seite 19.

Das Herzzentrum Lahr hat dort auf Basis von Astaro und VMware die Firewalls virtualisiert. Meines Wissens bastelt Phion an einer ähnlichen Idee und Check Point SecurePlatform hab ich auch schon erfolgreich auf VMware installiert. Ich überlege jetzt schon seit einiger Zeit ob virtuelle Firewalls wirklich eine sichere Lösung darstellen können.

Meine Datenbasis:

1. Die Secunia-Statistik zum VMware ESX Server 3.0

Vielleicht bin ja nur ich paranoid, aber für meinen persönlichen Geschmack sind das ein paar CVEs zuviel für ein Device, das direkt im Internet steht (nein, man kann die Firewall nicht in die DMZ stellen!). Auch wenn viele der Probleme nicht remote ausnutzbar sein werden habe ich insgesamt kein so gutes Gefühl dabei. Und hat jemand am 05.04. den CVE-Eintrag von 2003 gesehen? Da hat sich hemand viel Zeit beim Beheben des Fehlers gelassen. Aber weiter im Text.

2. VMware ESX kann ja auch nicht grad alles, was man von einer Firewall benötigt (ich kenne Firmen die mit 64 Interfaces nicht auskommen):

    „Nachteilig wirkt sich die notwendige Komplexitätssteigerung im Switching-Bereich aus. Weil unter ESX maximal vier virtuelle Netzwerkkarten möglich sind, musste Hussy (der IT-Leiter, Anm.) mittels VLA-Tagging und einer komplexen Switchkonfiguration samt Verkabelung nachhelfen.“

Anders ausgedrückt, diverse früher physikalisch getrennte Sicherheitszonen sind jetzt in VLANs auf den Switchen zusammengefaßt und man hofft, die Switch-Konfiguration im Griff zu haben. Ok, laut beiligender Zeichnung war man klug genug, für „Outside“ ein dediziertes Netzwerkinterface mit dem virtuellen Firewall-System zu verbinden.

Trotzdem … ein kleiner billiger NetScreen 5GT HA Cluster kostet nur 3000 Euro (und damit weniger als eine einzelne Astaro-Lizenz) und ich habe eine dedizierte Hardware. Für den Astaro-Preis kann ich auch fast schon Check Point kaufen und wenn das Gerät unterdimensioniert ist, einfach eine andere Hardware unter die SecurePlatform schieben. Oder ist das eine saucoole Lösung und ich bin nur zu blöd, das zu sehen?
Nachtrag: 

Und wenn ich sowas schon installiere, ist es dann klug, daraus eine „Success Story“ zu machen, damit auch jeder im Internet weiß, wo er potentiell angreifbare Firewalls auf VMware-Basis findet, die beim nächsten VMware ESX Remote Exploit dem verantwortlichen IT-Leiter um die Ohren fliegen. Oder ist das saucool weil man sooo viel Geld damit spart und ich bin nur zu blöd …