TC Blog

Windows 7 mit VMware Workstation 7 – kein NAT, kein Netzwerk Adapter

Zur Abwechslung mal wieder was für die Sysadmins unter uns. Virtuelle Maschinen sind einfach ein Segen: Testinstallationen, Demo-Systeme, Produktivsystem, so ziemlich alles läuft mittlerweile virtuell. Viele Dinge wie Migrationen sind Kindergarten geworden, weil die virtuelle Hardware einfach mit “cp” migriert wird. Auch Demos für technische Workshops laufen nicht mehr wie noch vor Jahren. Ich entsinne mich an eine Schulung die ich zum Thema VoIP-Security bei einem großen Telefonieanbieter mehrfach gehalten habe. Dank “Hands-On” war ein kompletter Minivan voll mit Computer-Systemen. Alle schön identisch durchinstalliert. Sehr großer Aufwand im Vorfeld, lange Auf- und Abbauzeiten, potentiell fehleranfällig. Und heute? Eine virtuelle Maschine installieren und (sofern keine lizenzrechtlichen Probleme dagegen sprechen) vorab an den Kunden schicken, n-Mal replizieren und gut.

So, was wollte ich gleich? Achja: Aber wehe, wenn das Ganze mal nicht funktioniert. Ich betreibe lokal mehrere VMs mit Serverdiensten, so z. B. eine Entwicklungsumgebung. Das Host-System läuft auf Windows 7 64 Bit mit VMware Workstation 7, die virtuelle Maschine (auch wenn’s nichts zur Sache tut) auf Ubuntu 8.04 LTS Server. Die Verbindung aus der virtuellen Maschine in Richtung Internet oder andere Systeme im lokalen Netzwerk funktioniert problemlos. Sobald man aber vom Host auf die Serverdienste der virtuellen Maschine zugreifen will passiert: Nichts. Kein Ping, keine Verbindung auf den Webserver, nichts. Auf dem Host ist im “Netzwerk- und Freigabecenter” unter “Adaptereinstellungen ändern” kein virtueller VMware-Adapter zu sehen, ein “ipconfig /all” zeigt auch nichts an. Google spuckt nur irgendwelche komischen Probleme mit Beta-Versionen aus, die auch nicht weiterhelfen. Des Rätsels Lösung ist sehr simpel (wenn man’s mal dann gefunden hat):

Man klickt im “Virtual Network Editor” im Eintrag des NAT-Devices auf “Connect a virtual adapter to this network”. Daraufhin wird dieser erstellt, es gibt nun eine Route in das NAT-Netz der virtuellen Maschine und so klappt auch der Ping. Im Screenshot des Pings zu sehen: Vor dem Klick passiert nichts, nach dem Klick kommt der Ping an.

Abschließend ein großes Danke an VMware für diese saudumme Änderung der Standardinstallation.

/gt

Die dunkle Macht der Wolke – VoIP-Angriffe über Cloud-Services

In der an sich recht ruhigen VoIPsec-Mailingliste wurde soeben ein interessanter Link gepostet. Darin beschreibt Fred Posner, dass er verstärkt Angriffe auf seine VoIP-Infrastruktur mit den Quell-IP-Adressen des Amazon Cloud-Services EC2 feststellen musste.
In einem Fall wurden innerhalb von weniger als 60 Sekunden mehr als 11.500 Registrierungen versucht, in einem anderen Fall innerhalb von weniger als 90 Sekunden mehr als 21.000 Registrierungen. Also ein durchaus als massiv zu bezeichnender Brute-Force-Angriff mit rund 240 Versuchen pro Sekunde.
Amazons Stellungnahme – die im Gegensatz zu einem bereits länger zurückliegenden Angriff beantwortet wurde – enthält neben Marketing-Sprüchen nur die Information, dass der Kunde angeschrieben wurde und der Zugang ggf. gesperrt wird. Man möge aber vorsichtig mit dem Blockieren der Adressen sein, denn diese könnten künftig auch von anderen Kunden genutzt werden.

Interessanter Sachverhalt, der ganz subjektiv zu folgenden Schlüssen führt:

• So ein Cloud-Service ist schon ganz schön fix.
• Die Anbieter von Cloud-Diensten (oder zumindest Amazon) sehen sich nicht in der Lage, klare Angriffe, die durch IDS/IDPS-Systeme leicht zu verhindern wären, zu erkennen und den Kunden entsprechend zu domestizieren.
• Stellt man Angriffe fest, muss man sich selbst darum kümmern festzustellen, ob der Angreifer noch aktiv ist oder nicht, vom Anbieter darf man sich nichts erhoffen.
• Für Angreifer ist so ein Cloud-Dienst daher total gut. Günstig, sehr schnell und man braucht keine Angst haben, dass der Anbieter einem auf die Finger patscht, wenn nicht gerade ein Angegriffener sich beim Anbieter meldet. Die Höchststraße besteht wohl dann im Abschalten des Dienstes.
• Für alle, die öffentliche VoIP-Dienste anbieten wird also wohl ein Session-Border-Controller mit entsprechender Angriffserkennung unausweichlich sein.

/gt

Alcatels mystische “eine Zahl”

Update: Aus “advanced search” wurde die “fortschrittliche Hilfe”. Auch schön.

Aktuell habe ich in einem Projekt mit Alcatel-Lucents aktueller ICS Software zutun. Dabei handelt es sich um einen Unified-Communications-Server.

Auf den Telefonen erschien auf einmal eine Taste mit der Beschriftung “eine Zahl”. Was soll das sein? Zuerst dachte ich, es ist ein Spiel als XML-Applikations. Wäre cool, habe ich noch nicht gesehen. Nach einer Weile ist der Groschen aber dann gefallen, “One-Number” = “eine Zahl”. Nicht ersthaft, oder?

Ob die Übersetzungen von Siemens für die französische Version von OpenScape ähnlich krude sind, man weiß es nicht.

/sf

Asterisk-Anwender-Treffen in Gäufelden

Wäre ich nicht letzte Woche im Urlaub gewesen (…danke, gut. ), hätte es diesen Blogeintrag schon früher gegeben. Also, am Dienstag/Mittwoch den 20./21. April haben wir bei uns, also der Tele-Consulting in Gäufelden, das erste deutsche Anwender-Treffen von Asterisk-Installationen durchgeführt. Zwar gibt es schon Veranstaltungen wie den Asterisk-Tag oder jetzt die Amoocon, aber bisher gab es noch kein Forum, um sich gezielt über Erfahrungen einer Asterisk-VoIP-Umgebung auszutauschen.

Zwei Dinge sind als interessante Erfahrung für mich herausgekommen. Zum einen, die Umgebungen lassen sich in zwei Kategorien einteilen: komplett selbst-entwickelte Lösungen oder Umgebungen, die auf Standard-Systemen wie z. B. Gemeinschaft, aufsetzen. Generell würde ich es als Trend bezeichnen, dass heute eher Standard-Systeme genommen werden. Dies bestätigen Aussagen von Teilnehmern wie “damals gab es noch keine Gemeinschaft, wir mussten es selbst machen”. Auch der Aufwand ist natürlich viel geringer auf einem guten Level aufzusetzen, statt alles selbst zu programmieren. Auch ich vertrete die Meinung, dass man ein gutes Software-Framework braucht, dazu in den nächsten Tagen hier mehr…

Und dann wäre da noch die zweite Erfahrung, aus der sich begründet, dass es doch noch notwendig ist ganz spezielle Lösungen auf Asterisk-Basis individuell zu entwickeln: jede Asterisk-Umgebung hat ganz besondere Anforderungen, die sich so kaum wo anders wiederfinden, aber die implementiert werden können und auch werden. (Liegt hier vielleicht der Grund für die 1000+1 Funktion in den alten Hicom Systemen?) Manchmal kommen auch die speziellen Funktions-Wünsche von den alten Telefonie-Lösungen, die man durch die VoIP/Asterisk-Migration auswechselt. Aber eine handvoll Funktionen der alten Lösungen sollen, nein müssen, erhalten beleiben. Dabei kommen dann so interessante Funktionen wie E-Mail-bei-verpasstem-Anruf heraus. Oder auch hoher Aufwand bei der Implementierung von Rückruf-bei-besetzt.

Oft reicht es aus eine vorhandene Software wie Gemeinschaft zu ergänzen, aber manchmal sind die Anforderungen so unterschiedlich, dass eine eigene Lösung doch sinnvoller ist. Hier denke ich an die sehr spezielle Lösung eines Teilnehmers, mit der er den Anwendungsfall IVR sehr indiviuell und spezifisch abdeckt.

Noch ein bisschen Werbung in eigener Sache, am zweiten Tag habe ich unser mika Projekt vorgestellt. Was bringt mir mika? Ich hole damit meine Nebenstelle auf mein Mobiltelefon/Smartphone und kann direkt meine Anruflisten, meine Telefonbuch und meine Einstellungen zugreifen. Zudem ist es so allgemein angelegt, dass auch andere Nicht-Telefonie-Informationen integriert werden können. Und das beste, es ist auf keine spezielle VoIP-Software angewiesen, z. B. für Gemeinschaft (implementiert!) oder ganz andere andere VoIP-Software (auch proprietäre). Bisher existiert eine erste Implementierung für Java J2ME, es läuft also auf Nokia Smartphones und weiteren Handys. Falls jemand interesse hat eine Anbindung an eine VoIP-Software oder die lang diskutierte Blackberry Implementierung zu sponsoren, Angebote bitte an mich.

Das Feedback von den Teilnehmern war recht positiv, ich hoffe wir können die Veranstaltung mittelfristig wiederholen. Dies wird aber davon abhängen, ob man für ein zweites Treffen ausreichende Querschnitts-Themen finden wird, bzw. ob sich weitere Anwender einem solchen Treffen anschließen werden.

/sf

Registry-Patch für Acrobat Reader und Adobe Acrobat

Wie hier geschrieben, entwickelt sich PDF immer mehr zu einem ernsten Sicherheitsproblem. Wir haben mal verschiedene Registry-Einstellungen für Acrobat Reader und Adobe Acrobat zusammengetragen und einen Registry-Patch veröffentlicht. Damit werden folgende Einstellungen verändert:

• Enhanced Security aktivieren und das Feld für den Benutzer ausgrauen
• Javascript deaktivieren und das Feld für den Benutzer ausgrauen (Hinweis: Mindestens in Version 9.3.1 wird das Feld nicht ausgegraut, ein Bug-Report liegt Adobe vor)
• Das Kommando starten anderer Dateien (mit Ausnahme weiterer PDFs) verhindern und das Feld für den Benutzer ausgrauen

Der Benutzerkomfort sollte in den meisten Fällen von den Einstellungen nicht eingeschränkt werden, da die deaktivierten Funktionen selten Anwendung finden.
Es kann aus verständlichen Gründen keine Gewährleistung für die Sicherheit nach Anwenden des Registry-Patches übernommen werden, ebensowenig für die Betriebsstabilität.

Wer das verstanden hat, darf gerne den Registry-Patch als ZIP-Datei herunterladen.

Da einige Firewalls das ZIP blockieren, hier noch als Text
Read the rest of this entry »