Themen in dieser Ausgabe:

• E-Mail-Sicherheit im Unternehmen: Managed Service oder Inhouse?
• Acht Regeln für sichere Passwörter Passwörter sicher erstellen und verwalten
• XSS Worms Die neuen Gefahren des Web 2.0
• Gefahrenquellen für die Internet-Geschäfte
• Schutz von Web Applikationen und Services
• Was ist zu beachten, wenn man einen Dienstleister in die Verarbeitung einbindet?
• Anwälte: „Passwörter sind zu unsicher!“ Entscheidung für hardwareunabhängiges Login im Anwaltsnetz

Homepage: hakin9.org
Forum: Hakin9 :: Forum

• Review: BlockMaster SafeStick secure USB flash drive
• The devil is in the details: Securing the enterprise against the cloud
• Cybercrime may be on the rise, but authentication evolves to defeat it
• Learning from bruteforcers
• PCI DSS v1.3: Vital to the emerging demand for virtualization and cloud security
• Security testing - the key to software quality
• A brief history of security and the mobile enterprise
• Payment card security: Risk and control assessments
• Security as a process: Does your security team fuzz?
• Book review: Designing Network Security, 2nd Edition
• Intelligent security: Countering sophisticated fraud

Themen in dieser Ausgabe:

• Schlüssellose Kommunikation in WEP-Netzen
• Heimnetzwerk – Weitere Möglichkeiten mit der Fritz!Box
• Web Applications Firewalls
• Conficker – Was man über Botnets wissen sollte
• Web-Anwendungen über den gesamten Lebenszyklus schützen
• Risikomanagement der Informationssicherheit nach ISO/IEC 27005
• Der SHA-3 Hash-Wettbewerb – ein Zwischenstand
• Der Weg zum eigenen Datenschutzbeauftragten: Wie Sie den passenden DSB für Ihr Unternehmen finden

Homepage: hakin9.org
Forum: Hakin9 :: Forum

Themen in dieser Ausgabe:

• Cloud Computing – Ein Überblick
• Der Penetrationstest – Vorgehen und Tools eines Testers
• Know-How-Schutz mit Unterstützung schafft mehr Sicherheit
• Was man heutzutage über Antivirenprogramme wissen muss
• Trend der E-Mail-Verschlüsselung: Anwenderfreundlichkeit im Fokus
• Rechtliche Aspekte der Spamfilterung für Unternehmen und Administratoren

Homepage: hakin9.org
Forum: Hakin9 :: Forum

Icinga Core:

Erweiterungen:

• core: Scheduled Downtimes für Host und alle Services arbeiten nun wie gewünscht
• core: Scheduling für Servicechecks mit ausgenommenen Timezones funktionieren nun wie erwartet
• core: Geschwindigkeitsverbesserungen beim Einlesen der retention.dat
• core: Bessere Installation unter Solaris
• core: Verbesserungen beim Logging nach Syslog
• core: Implementierung verschiedenster Patches von Mailinglist und Tracker
• core: Fehlermeldung beim Fehlen der service_description in der Servicedefinition
• core: Überarbeitetes Init-Skript, Ausgabe von Konfigurationsfehlern
• cgis: Mehrere URLs bei notes und action URLs möglich im Classic UI
• cgis: Anzeige von display_name in host/service-Definition im Classic UI
• idoutils: Performanceverbesserungen von SQL queries und objects hash list

Fixes:

• core: Fehler bei der Erzeugung von Benachrichtigungen
• core: Implementierung verschiedenster Patches von Mailinglist und Tracker
• idoutils: Fehlerbehebungen und massive Geschwindigkeitsverbesserungen in den IDOUtils

Icinga Web:

• Neue, schnellere Cronk Liste inkl. Kategorien
• Umstellung Doppelklick auf Einfachklick
• Modularer Aufbau von Code und Konfiguration
• Implementierung Framework für Agavi/Icinga-web Module
• Verbessertes Berechtigungsmodell
• Unterstützung für mehrere Icinga Instanzen im Webinterface
• Verbesserte Filter auf Ajax Basis
• REST/Json Schnittstelle für die IcingaApi
• Implementierung des neuen, schnelleren Dashboard Cronk
• Mehrsprachige Benutzeroberfläche (unvollständig)

Icinga Docs:

• Aktualisierung der Schnellstart-Anleitungen
• Aktualisierung der Upgrade-Anleitung von Icinga und IDOUtils
• Aktualisierung der Anleitung für die Installation des Webinterfaces
• Neue erweiterte Dokumentation zu den IDOUtils (Kapitel 11)
• Aktualisierung der Anleitung zur Icinga Api
• Aktualisierung der Objektdefinitionen
• Neues Dokument zu Running icinga - "Diagnostics"

I. Installation
Lighttpd kann bei den meißten Distributionen über die Paketverwaltung installiert werden. Zusätzlich werden bei Debian folgende PHP Pakete benötigt: php5-common & php5-cgi

PHProxy kann direkt bei SourceForge heruntergeladen werden und anschließend mit z.B. unzip entpackt werden.

II. Lighttpd Konfiguration
In der Konfigurationsdatei (etc/lighttpd/lihgttpd.conf) muss bei den Server Modulen das fastcgi Modul aktiviert werden:

Am Ende der Konfig Datei muss man dann noch folgende Zeilen eintragen und anschließend den Lighttpd Server neustarten

III. PHProxy einrichten
Die Dateien index.php, index.inc.php & style.css in das WWW-Verzeichnis kopieren, unter Debian ist das standardmäßig /var/www

Das Standardverzeichnis für Lighttpd wird mit folgender Zeile definiert:

IV. Letzte Schritte
In der mitgelieferten README Datei stehen einige Optionen und Variablen, die man sich aus Sicherheitsgründen anschauen sollte. Desweiteren macht es Sinn den Zugriff auf den WebProxy mittels Passwort zu schützen, wenn man nicht will dass Unbefugte darauf Zugriff haben. Wie man das macht, habe ich hier beschrieben: Lighttpd – HowTo: Passwort geschütze Verzeichnisse
Man sollte bedenken dass mal als Betreiber des Proxy verantwortlich ist, wenn illegale Sachen darüber gemacht werden.

Anschließend kann der PHProxy einfach aufgerufen werden:

Liste mit kostenlosen WebProxy Servern: http://www.root-on-fire.com/web-proxy-liste/

• Google.com
• Wikipedia
• Twitter
• Facebook
• The New York Times
• The Washington Post
• Paypal
• Electronic Frontier Foundation
• Tor
• Ixquick

Zusätzlich kann man neben den Standardregeln eigene Regeln definieren, z.B.:

Eine ausführliche Anleitung und eine genaue Erklärung der Syntax findet man hier: HTTPS Everywhere Rulesets

Bei den "Add-ons" Einstellungen kann man definieren, welche Seiten verschlüsselt aufgerufen werden sollen:

I. Modul aktivieren
In der Konfigdatei /etc/lighttpd/lighttpd.conf muss zunächst das Modul mod_auth aktiviert werden.

II. Authentifizierungs Backend und Logging definieren
Folgende Zeilen müssen am Ende der /etc/lighttpd/lighttpd.conf stehen.

Erklärung:

• auth.debug = 2: Debug Level 2 loggt alle (gültige & ungültige) Login Versuche mit (/var/log/lighttpd/access.log & error.log)
• auth.backend = "plain":Definiert das Authentifizierungsbackend = Plaintext
• auth.backend.plain.userfile = "/home/root-on-fire/pass" :Pfad zur Passwortdatei

III. Passwort geschütztes Verzeichniss definieren
In diesem Beispiel wird die Authentifizierung für den Unterordner dokumente konfiguriert. Wenn man nichts zwischen die beiden Anführungszeichen schreibt, ist die komplette Domain bzw. Webseite mit einer Passwortabfrage geschützt.

Mit "require" => "user=root-on-fire" wird definiert, dass sich nur der Benutzer root-on-fire einloggen darf.
"realm" => "Password protected area" wird bei der Passwortabfrage ausgegeben, siehe unten.

IV. Benutzer und Passwort definieren

Der Benutzer unter dem Lighttpd läuft (bei debian standardmäßig www-data) muss Leseberechtigung auf das Passwortfile haben:

Die Syntax ist einfach: Benutzername:Passwort, z.B.:

V. Konfiguration überprüfen

Lighttpd Homepage: www.lighttpd.net
Lighttpd Doku: www.lighttpd.net

• PCI: Security's lowest common denominator
• Analyzing Flash-based RIA components and discovering vulnerabilities
• Logs: Can we finally tame the beast?
• Launch arbitrary code from Excel in a restricted environment
• Placing the burden on the bot
• Data breach risks and privacy compliance
• Authenticating Linux users against Microsoft Active Directory
• Hacking under the radar
• iPhone backup, encryption and forensics

Homepage: http://www.net-security.org

VServer Basic
- 5GB Speicherplatz (RAID1)
- 200MB RAM garantiert
- 200MB Swap
- Traffic Flatrate
- Voller Root-Zugriff per SSH
- IP-Adressen gemäß RIPE