FritzBox VPN Diffie-Hellman 14 small

FRITZ!OS ab 06.20: Änderungen bei VPNs

In den Release Notes der neuesten AVM FRITZ!Box Version FRITZ!OS 06.20 stand unter anderem: “VPN-Verbindungen unterstützen jetzt zusätzliche Diffie-Hellman-Gruppen 5, 14 und 15″. Coole Sache, ist doch die Sicherheit bei der Perfect Forward Secrecy mit DH-14 deutlich höher und der heutigen Zeit angemessen. Also habe ich das bei einem meiner VPNs direkt mal eingerichtet und entsprechend getestet. Leider hat sich aber mit der neuen Version die Kompatibilität zu diversen Firewalls/VPN-Gateways deutlich verschlechtert. Es ist also nicht nur Gewinn, die Version 06.20 am laufen zu haben.

Continue reading

Cisco vs. Palo Alto

Cisco ASA vs. Palo Alto: Management Goodies

You often have comparisons of both firewalls concerning security components. Of course, a firewall must block attacks, scan for viruses, build VPNs, etc. However, in this post I am discussing the advantages and disadvantages from both vendors concerning the management options: How to add and rename objects. How to update a device. How to find log entries. Etc.

Continue reading

Frontplatte mit eingeschalteten LEDs

Kinderspielzeug Marke Eigenbau: Ein Lichtpult

Es weihnachtet sehr. Und um mal nicht alle Geschenke bei Amazon gekauft zu haben, hatte ich vor ein paar Jahren für meinen Sohn ein Lichtpult selbst gebaut. Für irgendetwas muss das Elektrotechnik Studium ja auch gut gewesen sein. :) Ziel war es, mit möglichst vielen Tastern/Schaltern/Steckern diverse Lichter an- und ausschalten zu können.

Vielleicht hat der ein oder andere ja mal Lust, ein ähnliches Spielzeug zu bauen. Hier deswegen meine Ideen dazu. Sicherlich nicht alle korrekt im Sinne des Stromflusses, aber allemal funktional. Und mittlerweile auch seit ein paar Jahren belastungserprobt.

Continue reading

2014-10-22 14_28_34-fd-wv-fw02

Common Palo Alto Application Groups

There are a few application groups that I am almost always using at the customer’s site. These are groups for Microsoft Active Directory, file transfer, and print. Furthermore, I am using a group for all of the Palo Alto Networks management applications itself, a general management group, and two different groups for VPNs (GlobalProtect and site-to-site). Finally, I tested a group for the AVAYA VoIP systems.

Following are the set commands for these groups so that anyone can easily configure them through the CLI.

Continue reading

fd-wv-fw01.cfg-_172.16.1.1_IPv4IPv6-ds-l2-r1

IPv4 vs. IPv6 Traffic Statistics on Routers

I am very interested in statistics about the usage of IPv6 on Internet routers and firewalls. The problem is, that most routers/firewalls do not have unique SNMP OIDs for IPv4 and IPv6 traffic, but only the normal incoming/outgoing packet counters per interface. Therefore I am using two independent ethernet ports and cables between my outer router and my first firewall, one for IPv4-only and the other one for IPv6-only traffic. Now I have independent statistics for each protocol and can combine them in one summary graph. (Though I know that this will never be a “best practice” solution…)

Continue reading

Apache SSL Cipher Suites

Apache SSL Cipher Suites: Perfect Forward Secrecy

I was interested to tune my https sites with Apache to support only cipher suites that use the ephemeral Diffie-Hellman key exchange = perfect forward secrecy. But after searching a while through the Internet, only SSLCipherSuite with a few concrete algorithms were presented, while I wanted to use a more generic option such as known from “!MD5″. Here it is:

Continue reading

strom.cfg-strom-fdorf-ds-l2

Stromzähler mit S0-Schnittstelle vom Raspberry Pi auswerten

Endlich ist es soweit: Ich lese den Stromverbrauch von unserer Wohnung mit einem Raspberry Pi aus und lasse mir von meinem Monitoring Server (MRTG + Routers2) schöne Graphen malen. Hierfür verwende ich einen Stromzähler mit einer S0-Schnittstelle, welchen ich direkt in der Unterverteilung eingebaut habe. Die Impulse des “Smart Meters” wertet eine Interruptroutine am Pi aus. Der Monitoring Server wiederum fragt den Pi per SNMP ab. Viele kleine Schritte also, die ich in diesem Blogpost ausführlich erläutern möchte. Viel Spaß damit!

Continue reading

Sicheres WLAN

Sicheres WLAN: Was wirklich etwas bringt

Vor ein paar Tagen wurde ich über Twitter auf einen Artikel aufmerksam, der sich “Fünf Tipps für ein sicheres WLAN” nennt. Cool, so dachte ich, denn schließlich ist das eine oft gestellte Frage, wie man denn sein heimisches WLAN so absichern soll. Leider musste ich schnell feststellen, dass drei von den Tipps einfach falsch sind, da sie keine Relevanz für ein “sicheres WLAN” haben. Einer davon hat obendrein einen gegenteiligen Effekt, indem er sogar mehr über das eigene WLAN preis gibt, als ohne. Oh man! Ich verstehe nicht, wieso auch heute noch falsche Tipps fürs WLAN gegeben werden, wobei die Profis, die solche Artikel schreiben, es eigentlich besser wissen müssten.

Hier daher eine Auflistung der Tipps, die wirklich etwas bringen. Ergänzend natürlich auch die Begründung, wieso die anderen nichts bringen.

Continue reading

Advanced Tracerouting Featured Image

Advanced Tracerouting

A commonly misunderstanding of traceroute is that it fully relies on ping. “If I block ping at my firewall, no one can use traceroute to reveal my internal routing path”. Unfortunately this is not true. If traceroute is used with TCP SYN packets on permitted ports, all intermediary firewalls will handle the IP packets with TTL = 0 corresponding to the RFCs and will reply with an ICMP time exceeded packet to the origin.

Continue reading

Ping

Why Ping is no Security Flaw! (But your Friend)

One core topic when designing firewall policies is the following question: Is ping a security attack? Should ICMP echo-request messages be blocked in almost any directions?

My short answer: Ping is your friend. :) You won’t block hackers if you block ping. Instead, ping is quite useful for network administrators checking basic network connectivity. That is: I suggest to allow ping anywhere around, accept incoming connections from the Internet to the trusted networks.

Here comes a discussion:

Continue reading