Dieser Fehler tauchte in meinem Fall bei der Verwendung von Zertifikaten mit der StartSSL CA auf.Die Webserver Logs haben nach dem umschalten auf

LogLevel debug

folgende Fehlermeldung gezeigt

error:14094416:SSL routines:SSL3_READ_BYTES:sslv3 alert certificate unknown

Der Tomcat zeiget folgenden Fehler

javax.net.ssl.SSLPeerUnverifiedException: peer not authenticated

Diese Problem trat nur dann auf wenn der zugriff über die ApacheHttpClientLib sprich über “Java” erfolgte

Solution:

Importiert euer CA Zertifikat in meinem Fall das von StartSSL in den java truststore.

cd YOUR_JAVA_HOME/jre/lib/security

keytool -import -alias customcacert -keystore cacerts -file customcacertfile.cer

Heute war IBM bei uns zu Gast, um genauer zu sein eine Delegation abgesandter bestehend aus Sales, Pre-Sales, und Marketingsxperten Nun ja wir haben sie ja schließlich bestellt, von daher sollte man sich auch nicht beschweren wenn man den Teufel ruft. Im Prinzip ging es darum, dass IBM uns mal erzählt was ihre Cloud alles kann und was nicht. Die wichtigen Fragen für mich konnten in dem Gespräch leider nicht komplett geklärt werden, sprich Loadbalancing, DMZ Aufbau innerhalb der Cloud und weitere Security Themen. Was leider auch noch nicht funktioniert is die “Elastizität” sprich Arbeitsspeicher oder CPU pro VM dynamisch nachzuschieben ohne das man die Dinger stoppen muss, laut IBM ein Feature das in Q4 diesen Jahres folgen soll, ebenson wie die Unterstützung für Ubuntu, aktuell gibt es nur SLES (Suse Linux Enterprise Server) oder RHES (Red Hat Enterprise Server) bzw. Windows images. Ich warte jetzt noch auf weitere Infos von Seiten IBM die ich bekommen soll, wenn die da sind werde ich mich noch mal ran machen und das ganze etwas genauer aufdröseln.

Wer SSL Zertifikate braucht und dafür nicht tief in die Tasche greifen will, sollte sich mal startssl.com anschauen. Dort gibt es Class-1 SSL Zertifikate komplett kostenlos, die Gültigkeit beträgt 1 Jahr. Möchte man mehr, Wildcard Zertifikat oder Class-2 muss man aber auch hier bezahlen. Für die meisten Fälle sollte aber ein Class-1 seinen Dienst tun, die RootCA von Startcom ist mittlerweile auch in allen grossen Browsern im Truststore, sprich die Adresszeile bleibt schön grün. Try it!

Beim konfigurieren von rndc der Bind9 Installation unter Ubuntu 10.04 LTS bin ich letztens fast verzweifelt. Kurz zum Hintergrund, Ich bin gerade dabei Hyperic zu evaluieren, eine Monitoring Software ala Nagios und OpenNMS. Natürlich wollte ich auch den ollen Bind monitoren, Hyperic ruft dazu auf dem Host rndc stats auf und parst das named.stats file. Das Problem: beim Aufruf starten von Bind kam jedes mal die Fehlermeldung

WARNING: key file (/etc/bind/rndc.key) exists, but using default configuration file (/etc/bind/rndc.conf)

Egal was ich versucht habe, immer wieder die selbe Fehlermeldung. Argh. Um es kurz zu machen des Rätsels Lösung war, löscht oder benennt die Datei /etc/bind/rndc.conf um. Thats it.

In der /etc/bind/named.conf steht nun

key rndc-key {        algorithm hmac-md5;        secret “XXXXXXXXXXXX”;        };

controls {        inet 127.0.0.1 port 953 allow { 127.0.0.1; 192.168.4.1; 10.0.4.10; } keys { rndc-key; };        };

Bind neu starten und siehe da es geht.

Dieser Artikel soll Aufschluss darüber geben wie Path MTU Discovery (PMTU-D) in Kombination mit ICMP Filterung zu Verbindungsproblemen führen kann.

Los geht´s, über was reden wir hier eigentlich

MTU

Die “maximum transmission unit” ist eine link layer Restriktion die die maximale Anzahl an bytes angibt die in einer einzelnen transmision z.B. frame, cell, packet übertragen werden kann. Die Tabelle zeigt typische MTU Werte aus RFC-1191:

Path MTU Discovery (PMTU-D

Jetzt wo wier wissen das die Path MTU vareiiert und fragmentierung schlecht ist was ist die Lösung ? Nun eine Lösung ist Path MTU Discovery. Die Idee dahinter ist Packete zu generieren die so gross als Möglich sind aber trotzdem nicht fragmentiert werden müssen. Ein Host macht das indem er Packete schickt die die kleiner sind als die Lokale MTU oder die MSS grösse die vom remote System bekannt gemacht wurde. Diese Packete haben das DF Bit gesehtzt, gibt es nun auf dem Weg zum Ziel einen MTU die zu klein ist um das Paket zu weiterzuleiten wird eine ICMP Error Meldung “can’t fragment” an den Sender geschickt Der Sender weiss dann das die Packetgrösse reduziert werden muss, ist die Next-Hop MTU in der ICMP Fehlermeldung enthalten kann der Sender die Paketgrösse direkt anpassen. Der ganze Prozess ist im Detail noch etwas komplexer mehr zum Thema gibt es hier RFC-1191.
Um zu schauen ob ein System via PMTU-D versucht die Paketgrösse zu bestimmen lässt sich mit einem Packet Sniffer herausfinden (tcpdump) sieht man Pakete bei denen das DF Bit gesetzt ist ist das ein guter Hinweis auf PMTU-D.

Jetzt zum Problem mit ICMP Filterung und PMTU-D

Das Problem ist das viele Admins sich dazu entschieden haben ICMP an ihren Routern oder Firewalls zu blockieren. Dafür mag es gute aber mit Sicherheit auch werniger gute Gründe geben. Wie auch immer ICMP ist ein integraler bestandteil des Internets und kann nicht komplett gefiltert werden ohne Nebenefekte.

Für den Fall das die ICMP can’t fragment Fehlermeldung nicht an den source Host zurück geschickt werden kann weil ICMP gefiltert wird, wird der Sender nie erfahren das die Packete die er schickt zu gross sind. Das bedeutet das einige reuqests ohne Probleme funktonieren wie das Anfordern von kleinen Webseiten andere wiederum bleiben einfach hängen, wie das übertragen von Dateien oder grössere Websites.

Für den unerfahrenen Admin ist das natürlich sehr verwirrend da einige Requests ohne Probleme funktionieren und bei anderen Aktionen das Netzwerk zu stehen scheint.

Für diese Problem gibt es eine Lösung und ein paar workarounds, unter anderem:

• Fix your filters! Das eigentliche Problem liegt im Filtern von ICMP Fehlermeldungen ohne die Konsequenzen zu kennen. Die meisten Packetfilter lassen sich so konfigurieren das nur bestimmte ICMP Fehlermeldungen geblockt/durchgelassen werden. Konfiguriert man sie so das ICMP can’t fragment (type 3, code 4) durchgelassen werden sollte das Problem verschwunden sein. Sollte der Filter auf einer Maschine sein die auf dem Weg zum Empfänger liegt, versucht den Admin zu kontaktieren und zu überzeugen den Filter entsprechend anzupassen.
• Reduziert die MTU auf der einen oder anderen Seite. Das ist nur ein Workaround und sollte nur gemacht werden wenn zwingend nötig, da es durchaus zu Problemen mit der Bandbreite kommen kann, es werden dann weniger “Nutzdaten pro Paket geschickt..
• Disable PMTU-D; Hat man Kontrolle über die Maschine die PMTU-D versucht, und kann den Admin Maschine nicht erreichen die die ICMP Meldungen blockt kann man PMTU-D auf seiner Kiste deaktivieren das sollte das Problem für das Senden von Daten von diesem Server aus lösen.Daten die empfangen werden können trotzdem noch auf dieses Problem stosen.

Wie könene RFC 1918 Adressen für Router Links ein Problem werden

Die meisten Router brauchen eine eigene IP aus dem Subnetz für eine Point to Point Verbindung auf dem entsrechenden Interface. In Zeiten von IPv4 Knappheit und einer entsprechend hohen Anzahl solcher Links kann das durchaus Probleme mit dem Vorhandnen address space geben.Viele greifen dann auf Adressen aus RFC 1918 Zurück, diese wären:

Werden solche Adressen verwendet,werdenICMP Nachrichten (inklusive can’t fragment errors) erzeugt die diese Adresse enthalten, da viele Router so konfiguriert sind, dass diese Adressen nicht weitergeleitet werden hat es den selben Effekt als ob ICMP gefiltert würde.

Ha heute habe ich meine ITILv3 Foundation Prüfung bestanden, beim ersten Versuch Nun darf ich mich auch ITIL zertifiziert schimpfen und noch ein Zertifikat mehr das man sich in´s Klo nageln kann.

Die HP Flex 10 Module für die Blade Shelfs von HP sind eine feine Sache, wer sich näher mit der Materie beschäftigen will…oder muss   der kann sich unter diesem Link auf der HP Homepage ein kostenloses eBook herunterladen dass einem den Einstieg und die Arbeit mit HP´s Flex 10 Modulen erleichtern soll. Erklärt werden Begriflichkeiten und die Technik und die Verschiedenen Module. Keine schlechte Sache und kostenlos.

Eines meiner Lieblings Spiele von daher auch eine Kurze Meldung dazu, ab heute gibt es

Tales from Monkey Island zum Preis von 8,99€ im Playstation Network Store, vorher 17,99€, wer es nicht schon hat, zuschlagen.

Gybrush Threepwood Mighty Pirate!

Wer auf der Suche nach einem Screencapture Programm ist das auch unter Linux läuft dem kann ich nur Wink an´s Herz legen, einfach zu bedienen und unterstützt mehrer Output Formate darunter Macromedia Flash, Standalone EXE, PDF, PostScript, HTML etc. und ist zudem Freeware und CrossPlatfrom fähig, was will man mehr. Man hat zudem die Möglichkeit kleine Notizboxen in das Video einzubauen um seinen zusehern etwas mehr Informationen zu geben oder auf Spezielle Sachen genauer einzugehen.

Ich hatte es damals verwendet um das drbd Setup zu recorden, aber schaut selbst.

Viel Spass beim capturen.

Wer gerne mal zwischendurch abschalten möchte um auf andere Gedanken zu kommen dem kann ich nur sagen einfach mal Zuma Spielen für die kleine Denkpause genau das richtige…auch auf der Arbeit aber Vorsicht! kann süchtig machen.

Virus

Die Gefahren des Internets lauern über all, vor allem beim Sufren im Web hat man sich schnell mal was eingefangen. Wer einen Linux Rechner zur Verfügung hat kann sich relativ schnell und einfach einen kleinen Proxy bauen der die Daten entsprechend auf Viren checket.

Was man dazu braucht eine Linux Distribution deiner Wahl und etwas Zeit. Ich möchte nicht all zu sehr in´s Detail gehen dazu bin ich aktuell zu faul aber werd den Grundschritten folgt und etwas Linux know how hat sollte dass ohne Probleme hinbekommen.

Installiert auf eurem Linux System Squid und startet dieKraken, ist bei den meisten Distris mit dabei. Kurzer check ob alles klappt, tragt euren Squid bei euch im Browser ein und schaut ob ihr damit Surfen könnt. Falls ein “Access Denied” kommt schaut euch die ACL´s von Squid.

Ladet euch nun HAVP herunter, dass ist das Stück Software was Später unseren HTTP stream auf Viren checkt. Entpackt HAVP und folgt der Install Anleitung im Grunde sind das folgende Schritte

Installation:

# ./configure    (if you don’t want /usr/local, use –prefix=/other/path)

# make

# make install

It is recommended to create a havp user:

# groupadd havp

# useradd -g havp havp

Check the configfile: /usr/local/etc/havp/havp.config

If Linux is used, you need to enable mandatory locking for the partition

where your tempfiles are located. Solaris supports mandatory locking

without these extra steps:

If you only have root partition available, you can enable mandatory

locking support like this:

# mount -o remount,mand /

You can naturally use this for /var or any other partition. Also add

mand-option to /etc/fstab so it will stay after reboot.

Make sure the directories you are using have correct permissions:

chown havp /var/tmp/havp /var/log/havp /var/run/havp

chmod 700 /var/tmp/havp /var/log/havp /var/run/hav

lsof -i :8080

COMMAND   PID USER   FD   TYPE DEVICE SIZE/OFF NODE NAME

havp    28050 havp    3u  IPv4 272346      0t0  TCP *:http-alt (LISTEN)

havp    28051 havp    3u  IPv4 272346      0t0  TCP *:http-alt (LISTEN)

havp    28052 havp    3u  IPv4 272346      0t0  TCP *:http-alt (LISTEN)

cache_peer 127.0.0.1 parent 8080 0

30/12/2010 11:19:00 109.xxx GET 200 http://www.google-analytics.com/__utm.gif? 291+35 OK

30/12/2010 11:19:00 109.xxx GET 304 http://pagead2.googlesyndication.com/pagead/js/graphics.js 130+0 OK

30/12/2010 11:19:00 109.xxx GET 304 http://pagead2.googlesyndication.com/pagead/abglogo/abg-de-100c-000000.png 132+0 OK

30/12/2010 11:19:00 109.xxx GET 304 http://pagead2.googlesyndication.com/pagead/sma8.js 131+0 OK

30/12/2010 11:19:00 109.xxx GET 200 http://googleads.g.doubleclick.net/pagead/imgad? 481+17765 OK

mount -t ramfs -o size=200m ramfs /var/run/havp

PS3 nach Backofen

Vor 3 Tagen war es nun so weit, ich war am zocken von Battlefield Bad Company 2 die Runde war zu Ende und ich musste auf´s Klo, als schnell in´s Bad um rechtzeitig zurück zu sein. Wieder vor der Playstation hatte ich leider nicht das erwartete Bild der Fernsehr zeigte nur Blau sprich kein Eingangssignal mhh also runter zur Playstation und noch mal angeschaltet das rote Licht blinkt dann kurz das gelbe quittiert wurde das ganze mit 3x Piepsen und einem dauerblinkenden roten Licht. Abgetörnt wie ich war hab ich Google bemüht um herauszufinden was die Piep und Lichtcodes zu bedeuten haben….YLOD

Mein größtes Problem war das ich keine Backups meiner Spielstände hatte, nun war guter Rat teuer. Da keine Garantie mehr auf der Playstation 3 war wusste ich das ich einen Repair Service wie TVS nicht in Anspruch nehmen würde alson ab zum Media Markt und die PS3 Slim für 299€ incl. DualShock 3 Controller in den Einkaufswagen gelegt.

Zuhause angekommen begann der Abenteuerliche  Versuch die alte Playstation 3 zumindest noch mal für 10min zum Leben zu erwecken um via USB die wichtigsten Spielstände von der PS 3 zu ziehen. Also Festplatte aus der PS 3 ausgebaut den Backofen vorgeheizt bei 200C° und die PS 3 für 10min in den Backofen geschoben nach dem sich leichter Plastikgeruch in der Wohnung ausgebreitet hatte hielt ich es für an der Zeit das gute Stück aus dem Ofen zu holen, dass war das Ergebnis

PS3

PS3

Nach dem Abkühlen hab ich einen ersten versuch gestartet und alles wieder Verkabelt, PS 3 angeschaltet….das bekannte Piepsen, hat also nicht funktioniert Auf ein neues, diesmal hab ich die Playstation komplett zerlegt bis ich nur noch die Platine in der Hand hatte, dass ganze wieder in den Ofen diesmal für knapp 20min bei knapp 200C° nachdem die Platine erneut abgekühlt war alles wieder zusammen geschraubt, verkabelt und Power On siehe da die Playstation startet wieder schnell ein USB Stick rein und die wichtigsten Spielstände kopiert. Da ich nun erstmal das wichtigste hatte versuchte ich das Datentransfer Dienstprogramm der Playstation 3, leider ohne erfolg die PS3s haben sich nicht gefunden, ein Blick auf die Rückseite der Defekten zeigte auch warum, der Netzwerkport war tot. Alles noch mal auseinander gebaut und die Platine erneut gecheckt, um den Netzwerkport auf der Platine hat sich irgend ein schwarzes Zeug abgesetzt, Pinzette gekrallt und die Leiterbahnen wieder frei geschabt, nach getaner Arbeit PS3 wieder zusammen geschraubt erneut gestartet und das Datentransfer-Dienstprogramm erneut laufen lassen und siehe da die Playsation fing an den Kompletten Inhalt auf die neue zu verschieben, nach 2 Stunden ware der Spuck vorbei und der gesamte Inhalt wurde auf die neue Transferiert

PS3 bei Datentransfer

PS3 bei Datentransfer

Netter Artikel über das basteln eines Exploits unter Mac OS X, auf jeden Fall lesenswert.

http://www.offensive-security.com/vulndev/evocam-remote-buffer-overflow-on-osx/

No Comment

Wenn ihr mal etwas Geld übrig habt kauft euch doch einfach mal 24 SSD Festplatten, so wie die Jungs in dem Video.

Beim Stöbern im Netz gefunden…aber lest selbst! es lohnt sich! Dem ein oder anderen dürfte der Kryptochef vielleicht etwas sagen

KRYPTOCHEF NEWSLETTER erstellt am: 24.06.2010 !

KRYPTOCHEF Detlef Granzow schlägt ALARM und reicht erneut Beschwerde ein
beim (Europäischen Gerichtshof für Menschenrechte) und der (EU-Komission).

Ich Detlef Granzow bezeichne den Richter Herrn Plümacher am Amtsgericht
Berlin-Tiergarten als vorsätzlich kriminell handelnd, da er vorsätzlich gegen
geltendes EU-Recht verstößt und geltendes EU-Recht rechtwidrig missachtet.
Genau das aber ist kriminell und in der gesamten Europäischen Union natürlich
absolut untersagt. Der Richter Herr Plümacher macht dies aber nicht aus
Unwissenheit sondern vielmehr in krimineller Absicht.

Meine Aussagen vor Gericht werden als geständig bezeichnet, was eine vorsätzliche
Lüge ist, und nur dazu dient kriminelle Gerichtsverfahren gegen mich als legetim
darzustellen. Desweiterin verletzt dieser Richter mit seinen kriminellen Justiz
Urteilen meine Menschenrechte schwer.

Ich gehe absolut davon aus, das dieser Richter Herr Plümacher am Amtsgericht
Berlin-Tiergarten auch andere schwerwiegende Verstöße gegen geltendes EU-Recht
und Menschenrechte zu verantworten hat. Die EU-Komission ist zuständig für
Überwachung und Einhaltung von geltendem EU-Recht aller EU-Bürger.

Ich bitte daher den (Europäischen Gerichtshof für Menschenrechte) und die (Eu-Komission)
um sofortiges eingreifen um diesen Richter Herr Plümacher am Amtsgericht Berlin-Tiergarten
sofort aus dem Verkehr zu ziehen, weil er gegen geltendes EU-Recht und gegen
meine Menschenrechte verstößt. Damit soll verhindert werden, das noch weiterer Schaden
für Menschen durch diesen Richter angestellt werden kann. Dieser Richter Herr Plümacher
ignoriert die Tatsache, das ich eine gültigen EU-Fahrerlaunbnis für fast
alle Führerscheinklassen habe, welche in der EU seine Gültigkeit hat.

Auch bitte ich um Überprüfung sämtlicher Urteile dieses Richters in der Vergangenheit
auf EU-Rechtmäßigkeit und Einhaltung von Menschenrechten und natürlich um die
notwendigen Befragungen von Zeugen und Opfern.

In meiner Vergangenheit hat ja ein gewisser Herr Richter Hollmann mit vorsätzlicher
Rechtsbeugung dafür gesorgt, das mein Eigentum vernichtet wurde und ich drei Jahr lang
absolut unschuldig inhaftiert wurde und das ich schwere Menschenrechtsverletzungen
gegen mich von Beamten hinzunehmen hatte.

Der Europäische Gerichtshof für Menschenrechte wollte diesen Fall nicht verhandeln,
und so weiß jetzt die ganze Welt davon, denn ich verlange immernoch von Deutschland
Schadensersatz in Höhe von zwei Millionen Euro
direkt an die Bundeskanzlerin Frau Merkel gerichtet.
Frau Bundeskanzlerin Merkel unterstützen sie der artige Verbrechen ?

Wenn Deutschland geltendes EU-Recht und die Einhaltung von Menschenrechte ständig ignoriert,
dann ist Deutschland nichts weiter als ein krimineller Schurkenstaat (Verbrecherstaat).
Als Verbrecher sind natürlich die Personen zu nennen die diese schweren Straftaten begehen.
Das sind in aller Regel Beamte von öffentlichen Behörden.
Auch die Zensur von Nachrichten und die Verletzung von Datenschutz sehe ich als
schwerwiegendes Verbrechen an.

Es muß die Aufgabe aller EU-Bürger sein genau drauf zu achten, das es in Europa rechtmäßig
zugeht. Deutschland als EU-Land kann seinen Bürgern diese Grundrechte nicht einfach
verweigern. Darum bitte ich alle Menschen unseres Planeten Erde absolut darum, macht
Verbrechen von Behörden und Regierungen in der Welt im Internet öffentlich dauerhaft bekannt.
Nur so könnt ihr diese Verbrechen unter Umständen noch verhindern.

Auf meiner millionenfach besuchten KRYPTO Homepage sind der Zeit noch Werbe Links
zu vermieten. Gern mache ich ihnen ein konkretes finanzelles Angebot für ihren Werbe Link.

############################################################################################
################## Spenden für KRYPTOCHEF Detlef Granzow (persönlich)! ###################
############################################################################################
### ###
### Hiermit möchte ich dazu aufrufen eine Spende ab ca: 1 Euro an ###
### KRYPTOCHEF Detlef Granzow zu spenden. ###
### Auch andere Währungen sind herzlich willkommen. ###
### Und 1 Euro macht niemanden wirklich ärmer. ###
### ###
### Wenn die Gesamt Spenden Summe von 2 Mio. Euro gespendet wurde, ###
### dann mache ich das aktuelle KRYPTO zu einer frei benutzbaren ###
### und frei kopierbaren weltweiten Freeware KRYPTO Software. ###
### ###
### Es liegt also vielleicht auch an ihnen ob KRYPTO Freeware wird. ###
### Wenn ja, können auch KRYPTOCHEF Spender – KRYPTO kostenlos benutzen. ###
### ###
### Ein Super Angebot von KRYPTOCHEF Detlef Granzow (persönlich)! ###
### ###
### KRYPTOCHEF Detlef Granzow – Spenden Bank Konto: ###
### ###
### Name der Bank: Deutsche Bank ###
### Bankleitzahl der Bank: 10070024 ###
### Name des Kontoinhaber: Detlef Granzow ###
### KRYPTOCHEF Spenden Konto Nr.: 2475341 00 ###
### IBAN: DE83 100 700 240 2475341 00 ###
### BIC: DEUT DE DBBER ###
### Verwendungszweck: KRYPTOCHEF Spende (Bitte unbedingt angeben!) ###
### ###
### Vielen Dank für ihre Spenden ! ###
### Illegale Verwendung meiner Bank Daten werden privat und strafrechtlich verfolgt. ###
### ###
############################################################################################
################## Spenden für KRYPTOCHEF Detlef Granzow (persönlich)! ###################
############################################################################################

Warum KRYPTO Spenden !
Spenden ist deutlich billiger als kaufen pro Person betrachtet.
Auch ein wichtiger Grund ist der enorme Arbeitsaufwand für mich
jeden Kunden eine ganz eigene KRYPTO Version zu programmieren.
Außerdem ist es doch absehbar bis sichere Datenverschlüsselungs Software in Europa
komplett verboten wird. Wenn bis dahin KRYPTO nicht Freeware geworden ist,
gibt es keine Möglichkeit mehr KRYPTO legal in Europa zu bekommen.

Gut, es gibt andere Datenverschlüsselungs Programme, welche billiger oder sogar umsonst
sind. Nur leider sind diese Datenverschlüsselungs Programme nicht sicher genug,
diese Datenverschlüsselungs Programme benutzen mathematische Algorythmen zur direkten
Datenverschlüsselung und dabei auch sehr kurze Schlüssel sogar bei langen Passwörtern
und immer nur mit einer Verschlüsselungstiefe von 128 Bit.

Diese Datenverschlüsselungs Programme erkennen sofort das ihr Passwort falsch ist,
wenn es falsch ist.
Woher weiß das Programm das schon vor der eigentlichen Datenentschlüsselung.
Das sagt doch einfach alles aus über derartige Programme.
Das sind Programme zum Zeit Vertreib aber nicht zum sicheren Daten verschlüsseln.
Also es ist wirklich absolut kein Vergleich zu KRYPTO überhaupt möglich.

KRYPTOCHEF empfiehlt DAX Werte nicht kaufen aber schnell zu verkaufen.

Diesen Text dürfen und sollen Sie ausdrücklich weitergeben !

KRYPTOCHEF Detlef Granzow (persönlich)!

Nice oder ?

Quelle: http://kryptochef.net/Newsletter.txt

Vor einiger Zeit hatte ich mir bei Lindy diesen RS232 auf USB Adapter gekauft bis jetzt hat er unter Linux immer auf anhieb funktioniert. Die Mac Treiber auf der Lindy Homepage versagen bei mir leider den Dienst, warum ? k.a.

Was aber geholfen hat war das herunterladen der PL2303 USB to Serial Driver for Mac OS X von Sourceforge.net Herunterladen,Installieren, USB Stecker in den Rechner *bling* wurde erkannt.

Anschliessend einfach Terminal öffnen und mit

screen /dev/tty.PL2303-00001004

auf die Serielle Schnittstelle zugreifen.

Gestern hab ich mich mal dran gemacht meiner ASA 5505 das neue IOS Image aufzubügeln. Nach dem lesen der Release Notes bin ich erstmal kurz erschrocken, ich muss erst memory nachrüsten bevor ich das neue Image nutzen kann Ich hab dann noch mal richtig gelesen und siehe da, nicht nötig da ich nur eine Base Lizenz habe Hier gehts zu den Release Notes für 8.3

Das Update an sich ging reibungslos von statten, ich hab alles über den ASDM gemacht. Im Menü einfach auf Tools –> Upgrade Software from Local Computer anschliessend einfach das ASA Image ausgewählt Hochgeladen und danach das passende ASDM Image.

Ein nettes neues Feature ist das die ASA nun auch den den Export von Netflow unterstützt, anscheinend wird das schon seit Image 8.2 unterstützt da ich das aber nie installiert habe k.a.

Hier mal ein Screenshot vom ASDM und Netflow

Das Update von IOS 8.3 und ASDM 6.3 hat reibungslos geklappt nach dem Aufspielen der Images und einem Neustart hat alles funktioniert. Klingt komisch is aber so

Wer schon immer mal wissen wollte wie man ein Memory Upgrade vornimmt hier gibts die Antwort, ich bin mir nur nicht ganz sicher ob das ein Typ mit langen Fingernägeln oder eine Frau mit einer leicht männlichen Hand ist…man weiss es nicht.

http://www.cisco.com/en/US/docs/security/asa/hw/video/5500/asa_5510_mem_upgd.html

Wer wissen möchte wie das Spiel am Samstag ausgeht muss sich nur das Video von EA anschauen, die Jungs haben das Spiel schon mal Vorgespielt.

ModSecurity Community Console

Wer ModSecurity für Apache einsetzt kennt es vielleicht, man möchte wissen was ModSecurity eigentlich alles so blockt oder vor wie vielen angriffen uns ModSecurity geschützt hat. Man kann sich jetzt dran machen und die Apache und ModSecurity Logfiles per Hand zu Durchsuchen aber sind wir mal ehrlich das ist eine Mühselige Arbeit. Eine Andere Möglichkeit ist man besorgt sich von Breach die ModSecurity Community Console die Community Edition erlaubt das Einbinden von 3 Sensoren sprich 3 Apache Installationen. Wir möchtenhier mal kurz erklären wie die ModSecurity Community Console eingerichtet wird. Ich geh mal davon aus ihr habt eine Laufende ModSecurity Installation.

Wenn ihr noch die Quellen von ModSecurity habt wechselt in das ModSecurity Verzeichnis und dort in das apache2 Verzeichnis, falls ihr nicht mehr im Besitz der Quellen seid ladet euch einfach die neueste Version von der ModSecurity Homepage vielleicht ist es auch an der Zeit die Komplette Installation zu aktualisieren

zeus:~ # cd modsecurity-apache_2.5.12/apache2/

zeus:~/modsecurity-apache_2.5.12/apache2 #

zeus:~/modsecurity-apache_2.5.12/apache2 # make mlogc

make[1]: Entering directory `/root/modsecurity-apache_2.5.12/apache2/mlogc-src’

Building dynamically linked mlogc…

Build finished.  Please follow the INSTALL instructions to complete the install.

make[1]: Leaving directory `/root/modsecurity-apache_2.5.12/apache2/mlogc-src’

Successfully built “mlogc” in ../tools.

zeus:~/modsecurity-apache_2.5.12/apache2 # cp ../tools/mlogc /usr/local/bin/

zeus:~/modsecurity-apache_2.5.12/apache2 #

cp mlogc-src/mlogc-default.conf /etc/mlogc.conf

rpm -ihv modsecurity-console_1_0_5_linux.rpm

/opt/modsecurity-console/modsecurity-console start

SecAuditEngine RelevantOnly

SecAuditLogRelevantStatus “^(?:5|4\d[^4])”

SecAuditLogType Concurrent

SecAuditLogParts ABCDEFGHZ

SecAuditLogStorageDir /modsec/data/

SecAuditLog “|/usr/local/bin/mlogc /etc/mlogc.conf “

CollectorRoot       “/modsec/”

ConsoleURI          ”https://localhost:8888/rpc/auditLogReceiver”

SensorUsername      ”Username”

SensorPassword      ”Password”

LogStorageDir       “data”

http://localhost/search.php?_get=/etc/

My HypnoCat

Ich hatte die ganze Zeit das Problem das beim Klick auf Archiv oder auf page2 nicht die Seite 2 gezeigt wurde sondern ein 404 Error. Ich hatte etliche Tips die mir Google zum Vorschein brachte probiert aber leider alles ohne Erfolg Schuld war am Ende ein Plugin “permalink-redirect” nach dem deaktivieren ging auf einmal auch die Seite 2 / Archiv wieder

Nach dem nun ein paar Tage rum sind habe ich mich nun dran gemacht mein Iphone auf die neue iOS 4 Version upzudaten. Irgend wie hab ich aber immer kleine Schweißperlen auf der Stirn beim klick auf Update. Anscheinend zu Recht den nach dem Update brachte ein Blick in SMS nur noch Nummern zum Vorschein, wer merkt sich in Zeiten von Handys noch Telefonummern…ich nich.
Ein Synchronisieren mit Itunes brachte dann aber auch wieder meine Kontakte auf das Handy und alles war gut.

HowTo´s und Tutorials zum Thema Subnetting gibt es viele, von daher möchte ich mein Senf auch dazu geben. Hier also ein kleines Tutorial zum Berechnen von Subnetzen. Ich finde diese Methode recht einfach, vielleicht hilft sie ja dem ein oder anderen.

Ich gehe auch mal davon aus das ein gewisses Maß an Grundwissen vorhanden ist, von daher werde ich nicht alles von Grund auf erklären.

Wenn wir uns eine IP Adresse anschauen wissen wir das es 4 Oktette sind die durch einen Punkt getrennt sind.

aaa.bbb.ccc.ddd

Stellen wir uns die Punkte als Grenze vor dir Erste erreichen wir bei 8bit die Zweite bei 16bit die Dritte bei 24 und zum Schluß 32bit.

Nun mal ein Beispiel:

zu welchem Subnett gehört die IP 192.168.33.38/29

Wie fangen wir an ? Nun, wir haben eine Subnet Mask von /29 unsere nächste Grenze wäre die 32. 32 – 29 = 3 und 2³ = 8 damit haben wir unsere Blockgröße der Subnetze

192.168.33.0
192.168.33.8
192.168.33.16
192.168.33.24
192.168.33.32
192.168.33.40
usw.

damit wissen wir das unsere IP im Netz 192.168.33.32 liegt und wir kennen somit Netz IP und Broadcast IP.

Noch ein Beispiel:

zu welchem Subnett gehört die IP 10.98.19.112/19

Wie oben suchen wir uns als erstes wieder unsere nächste Grenze, diesmal ist es 24. Wir erinnern uns 8,16,24,32.
24 -19 = 5 und 2⁵ = 32. Unsere Subnetze haben also eine Blockgröße von 32

10.98.0.0
10.98.32.0
10.98.64.0
10.98.96.0
10.98.128.0
usw.

Jetzt kenne wir auch das Subnetz. Easy oder

Radiohead

Eine der besten Live Versionen von Street Spirit die ich kenne.

Normalerweise kann man den VMWare ESX vivlient ja direkt von seinem ESX Host herunterladen, sollte dies aber mal nicht möglich sein, hier ein Link zum VMWare viclient. Irgendwie gar nicht so einfach das Ding über Google zu finden.

[UPDATE] Hier die neue VSphere Version die auch mit ESX 4.1 zusammenspielt.

Wer einen kleinen Börsenticker für Linux sucht sollte sich mal den ComDirekt Börsenticker anschauen. Dieser wird von der ComDirekt kostenlos zur Verfügung gestellt und läuft mit Adobe Air auch unter Linux. Das kleine Stück Software ist relativ schnell ans laufen gebracht.

1. Als erstes muss Adobe Air für Linux installiert werden, download gibt hier
2. Nun den Installer für den Börsenticker aufrufen, den gibts hier

Hat die Installation von Adobe Air geklappt solltet ihr direkt Adobe Air als Anwendung angezeigt bekommen mit der der Börsenticker geöffnet werden sollte. Die Installation fragt euch noch nach dem Pfad in den ihr den Börsenticker installieren wollt, dass war es. Auf dem Desktop befindet sich nun ein shortcut zum Starten des Börsentickers. Thats it.

Das ganze sieht dann so aus

ComDirekt Börsenticker unter Linux

Hier eine kurze und schmerzlose Anleitung wie ihr Apache als reverse proxy für einen Exchange 2007 mit Outlook Webaccess konfiguriert. Das ganze funktioniert so das der Client im Browser z.B. owa.domain.com aufruft dieser Aufruf wird von Apache in https://owa.domain.com umgeschrieben und über mod_proxy an den Exchange weitergereicht.

[Apache Konfiguration]

Die Rewrite Config

RewriteCond %{HTTP_HOST}  owa.domain.com
RewriteRule ^/$             https://owa.domain.com/owa [R]
RewriteRule ^/(.*)          https://exch.domain.com/$1 [P]

Der VirtualHost ohne SSL

Hier braucht man nicht viel da direkt auf SSl umgeschrieben wird

<VirtualHost *:80>
ServerName owa.domain.com
DocumentRoot /var/www/owa
CheckSpelling on
Include /etc/apache2/rewrite.conf
ProxyPreserveHost On
<Directory /var/www/owa/>
Options Indexes FollowSymlinks
AllowOverride None
Order allow,deny
Allow from all
</Directory>
</VirtualHost>

Der VirtualHost mit SSL

<IfModule mod_ssl.c>
<VirtualHost *:443>
ServerAdmin webmaster@domain.com
ServerName owa.domain.com
DocumentRoot /var/www/owa
SSLProxyEngine On
RequestHeader set Front-End-Https “On”
ProxyPreserveHost On
RewriteEngine on
CacheDisable *
Include /etc/apache2/rewrite.conf
ProxyPass       /owa    https://exch.domain.com/owa
ProxyPassReverse /owa https://exch.domain.com/owa
ProxyPass       /ecp https://exch.domain.com/ecp
ProxyPassReverse /ecp https://exch.domain.com/ecp
ProxyPass /Microsoft-Server-ActiveSync https://exch.domain.com/Microsoft-Server-ActiveSync
ProxyPassReverse /Microsoft-Server-ActiveSync https://exch.domain.com/Microsoft-Server-ActiveSync

SetEnvIf User-Agent “.*MSIE.*” value BrowserMSIE
Header unset WWW-Authenticate
Header add WWW-Authenticate “Basic realm=owa.domain.com”
SetEnvIf User-Agent “.*MSIE.*”    \
nokeepalive ssl-unclean-shutdown  \
downgrade-1.0 force-response-1.0
<Directory /var/www/owa>
Options Indexes FollowSymLinks MultiViews
AllowOverride None
Order allow,deny
allow from all
</Directory>
<IfModule mod_proxy.c>
ProxyRequests Off
<Proxy *>
Order deny,allow
Deny from all
Allow from all
</Proxy>
ProxyVia On
</IfModule>
ErrorLog /var/log/apache2/owa-ssl.error.log
LogLevel warn
CustomLog /var/log/apache2/ssl-owa_access.log combined
SSLEngine on
SSLCertificateFile   /etc/apache2/ssl.cert/cert.pem
SSLCertificateKeyFile /etc/apache2/ssl.key/key.pem
#SSLCACertificatePath /etc/ssl/certs/
SSLCACertificateFile /etc/apache2/ssl.ca/cacert.pem
<FilesMatch “\.(cgi|shtml|phtml|php)$”>
SSLOptions +StdEnvVars
</FilesMatch>
<Directory /usr/lib/cgi-bin>
SSLOptions +StdEnvVars
</VirtualHost>
</IfModule>

Das wars nun solltet ihr einen reverse Proxy für euren Exchange haben und könnt auf portforwarding verzichten da der Apache die Verbindung terminiert, bei mir hats auf Anhieb geklappt, klingt komisch is aber so.  Wer hilfe braucht einfach ein Kommentar hinterlasen.