Testing NGFW

Idea: Malware for Testing Next-Gen Firewalls and APT Solutions

When implementing new firewalls at the customers’ site it is always interesting to verify that the anti-virus scanners etc. are running as expected. For simple virus-engines, a sample virus such as the EICAR anti-malware test file can be used. If this “virus” traverses through the firewall inside various protocols such as http, ftp, or smtp, the firewall must block this connection.

However, next-generation firewalls or any other APT (Advanced Persistent Threat) solutions are able to send unknown executables to its own cloud in order to test it. If a malware is found, these products can block future connections with these files, e.g., by updating the anti-virus patterns or their URL categories.

The problem is: How to test whether the “upload unknown files” function works properly? -> My idea is to have a server that generates “dynamic” viruses. When downloading such a “fresh generated” virus, the antivirus engine does not have a pattern for it. That is, the file must be uploaded to an APT solution. The logs on the firewall should list this upload process.

Continue reading

Threema Johannes Weber

Threema: Zwei Hinweise

Da seit letzter Woche endlich Threema für Windows Phone verfügbar ist, kann ich nunmehr mit allen meinen Freunden/Bekannten/Kollegen über diesen sicheren Messenger chatten, egal welches Gerät der andere hat. Nach wie vor empfehle ich also Threema, wenn es um einen sicheren, also Ende-zu-Ende verschlüsselten, Austausch von Nachrichten, Fotos, usw. geht.

Threema hat allerdings zwei Besonderheiten, die andere Chat Programme nicht haben: Eine Art Punktesystem als Wertung der Authentizität des Gesprächspartners, und die Notwendigkeit, ein Backup seiner ID zu machen, wenn man das Handy einmal wechseln möchte. Beide Sachen haben ihren Ursprung in der Kryptographie und sind daher nicht gerade einleuchtend für den Otto Normalverbraucher. Daher hier ein paar Worte dazu:

Continue reading

Juniper Secure Access At-a-Glance Featured Image

Juniper Secure Access: Easy Deployment Poster

For a beginner, the configuration of a Juniper Secure Access SA/MAG device is not that simple. There are too many options and links that must be filled in. Though there are quite detailed configuration guides I was missing a “quick start” figure to see which profiles, roles, etc. must be set in order to have a simple login and group membership environment.

Here comes my at-a-glance poster for the Junos Pulse Secure Access Service (SSL-VPN).

Continue reading

FritzBox VPN Diffie-Hellman 14 small

FRITZ!OS ab 06.20: Änderungen bei VPNs

In den Release Notes der neuesten AVM FRITZ!Box Version FRITZ!OS 06.20 stand unter anderem: “VPN-Verbindungen unterstützen jetzt zusätzliche Diffie-Hellman-Gruppen 5, 14 und 15″. Coole Sache, ist doch die Sicherheit bei der Perfect Forward Secrecy mit DH-14 deutlich höher und der heutigen Zeit angemessen. Also habe ich das bei einem meiner VPNs direkt mal eingerichtet und entsprechend getestet. Leider hat sich aber mit der neuen Version die Kompatibilität zu diversen Firewalls/VPN-Gateways deutlich verschlechtert. Es ist also nicht nur Gewinn, die Version 06.20 am laufen zu haben.

Continue reading

Cisco vs. Palo Alto

Cisco ASA vs. Palo Alto: Management Goodies

You often have comparisons of both firewalls concerning security components. Of course, a firewall must block attacks, scan for viruses, build VPNs, etc. However, in this post I am discussing the advantages and disadvantages from both vendors concerning the management options: How to add and rename objects. How to update a device. How to find log entries. Etc.

Continue reading

Frontplatte mit eingeschalteten LEDs

Kinderspielzeug Marke Eigenbau: Ein Lichtpult

Es weihnachtet sehr. Und um mal nicht alle Geschenke bei Amazon gekauft zu haben, hatte ich vor ein paar Jahren für meinen Sohn ein Lichtpult selbst gebaut. Für irgendetwas muss das Elektrotechnik Studium ja auch gut gewesen sein. :) Ziel war es, mit möglichst vielen Tastern/Schaltern/Steckern diverse Lichter an- und ausschalten zu können.

Vielleicht hat der ein oder andere ja mal Lust, ein ähnliches Spielzeug zu bauen. Hier deswegen meine Ideen dazu. Sicherlich nicht alle korrekt im Sinne des Stromflusses, aber allemal funktional. Und mittlerweile auch seit ein paar Jahren belastungserprobt.

Continue reading

2014-10-22 14_28_34-fd-wv-fw02

Common Palo Alto Application Groups

There are a few application groups that I am almost always using at the customer’s site. These are groups for Microsoft Active Directory, file transfer, and print. Furthermore, I am using a group for all of the Palo Alto Networks management applications itself, a general management group, and two different groups for VPNs (GlobalProtect and site-to-site). Finally, I tested a group for the AVAYA VoIP systems.

Following are the set commands for these groups so that anyone can easily configure them through the CLI.

Continue reading

fd-wv-fw01.cfg-_172.16.1.1_IPv4IPv6-ds-l2-r1

IPv4 vs. IPv6 Traffic Statistics on Routers

I am very interested in statistics about the usage of IPv6 on Internet routers and firewalls. The problem is, that most routers/firewalls do not have unique SNMP OIDs for IPv4 and IPv6 traffic, but only the normal incoming/outgoing packet counters per interface. Therefore I am using two independent ethernet ports and cables between my outer router and my first firewall, one for IPv4-only and the other one for IPv6-only traffic. Now I have independent statistics for each protocol and can combine them in one summary graph. (Though I know that this will never be a “best practice” solution…)

Continue reading

Apache SSL Cipher Suites

Apache SSL Cipher Suites: Perfect Forward Secrecy

I was interested to tune my https sites with Apache to support only cipher suites that use the ephemeral Diffie-Hellman key exchange = perfect forward secrecy. But after searching a while through the Internet, only SSLCipherSuite with a few concrete algorithms were presented, while I wanted to use a more generic option such as known from “!MD5″. Here it is:

Continue reading

strom.cfg-strom-fdorf-ds-l2

Stromzähler mit S0-Schnittstelle vom Raspberry Pi auswerten

Endlich ist es soweit: Ich lese den Stromverbrauch von unserer Wohnung mit einem Raspberry Pi aus und lasse mir von meinem Monitoring Server (MRTG + Routers2) schöne Graphen malen. Hierfür verwende ich einen Stromzähler mit einer S0-Schnittstelle, welchen ich direkt in der Unterverteilung eingebaut habe. Die Impulse des “Smart Meters” wertet eine Interruptroutine am Pi aus. Der Monitoring Server wiederum fragt den Pi per SNMP ab. Viele kleine Schritte also, die ich in diesem Blogpost ausführlich erläutern möchte. Viel Spaß damit!

Continue reading