Monat: November 2008

Thunderbird Lightning mit dem Google Calendar verbinden

Thunderbird mit Lightning

Dank dem GData-Provider kann man Lightning mit dem Google Calendar verbinden. Ich habe das Ganze allerdings erst mit der aktuellen Lightning Version 0.9 zum laufen bekommen. Diese findet man auf dem FTP-Servers von Mozilla. Die bei Ubuntu 8.10 mitgelieferte Version 0.8 von Lightning ist für den aktuellen GData-Provider in der Version 0.5.1 leider zu alt. Des Weiteren sollte man bei Ubuntu darauf achten, dass vor der Installation von Lightning 0.9 das Paket „libstdc++5“ istalliert ist. Dies kann über Synaptic nachinstalliert werden. Falls es nicht installiert ist funktioniert Lightning nicht und man kann keine Kalender anlegen. Details zu dem GData-Provider sind im Wiki von Mozilla zu finden.

NTP-Zeitserver als Zeitquelle für Windows Server

Normalerweise holen sich Windows Systeme ihre Uhrzeit aus dem Active Directory vom „richtigen“ Server (PDC-Emulator). Aber dieser muss die Zeit ja auch von jemanden bekomme. Dazu kann man z.B. NTP benutzen. Hier folgen die Befehle, mit denen man Windows dazu bringt die Zeit bei einem NTP-Server zu erfragen und im Active Directory zu verwenden. Bei xxx.xxx.xxx.xxx muss dabei natürlich die IP-Adresse oder der DNS-Name des NTP-servers eingetragen werden.

Windows 2000:

net stop w32time
net time /setsntp:xxx.xxx.xxx.xxx
net start w32time
w32tm.exe /once

Windows 2003:

w32tm /config /syncfromflags:manual /manualpeerlist:xxx.xxx.xxx.xxx /update /reliable:YES

iTunes konnte sich nicht mit dem iPhone verbinden: 0xE8000035

iTunes kann sich nicht mit einem iPhone oder einem iPod verbinden, wenn der Buffer für den USB-Anschluss zu groß ist. iTunes meldet dann den Fehler 0xE8000035. Insbesondere bei Virtuellen Maschinen unter VM-Ware oder VirtualBox scheint dieses Problem öfter aufzutreten. Bei VM-Ware ist dieses Problem bei der neusten Version bereits behoben und bei VirtualBox soll es ab der Version 2.1 gelöst sein.

Wenn die Virtuelle Maschine unter Linux läuft kann man das Problem auch lösen, indem man in den Kernel-Sourcen in der Datei drivers/usb/core/devio.c die MAX_USBFS_BUFFER_SIZE auf 131072 reduziert.

Wie das unter Ubuntu geht ist in dem Blog www.huanix.com sehr ausführlich beschrieben.

ISDN Einwahl auf einem Cisco Router

Hier eine kurze Zusammenfassung der einzelnen Einrichtungsschritte, einer EURO-ISDN-Einwahl auf einem Router von Cisco, bei der die IP-Adresse per DHCP vergeben wird. Als Authentifizierung wird CHAP verwendet.

ISDN-Einwahl auf einem CISCO-Router

Als erstes muss ein IP-Adress-Pool eingerichtet werden, der die IP-Adressen beinhaltet, die an den Anrufer vergeben werden soll. Dabei muss die Start-IP-Adrresse und die End-IP-Adresse angegeben werden. Wenn man hinterher im Dialer-Interface ip unnumbered verwenden will, sollte der IP-Adress-Pool innerhalb des IP-Netzes des Interfaces liegen, auf das sich dieses bezieht.

ip local pool poolname 192.168.0.101 192.168.0.110

Danach muss ein BRI-Interface konfiguriert werden.


interface BRI0
 description ISDN-Interface
 ip unnumbered FastEthernet0
 encapsulation ppp
 no keepalive
 dialer pool-member 1
 isdn switch-type basic-net3
 isdn send-alerting
 no fair-queue
 no cdp enable
 ppp authentication chap callin
!

Jetzt muss das Dialer-Interface eingerichtet werden.

interface Dialer0
 description "Einwahlkonfig"
 ip unnumbered FastEthernet0
 encapsulation ppp
 no keepalive
 dialer pool 1
 dialer remote-name einwahlbenutzer
 dialer idle-timeout 180
 dialer-group 1
 peer default ip address pool poolname
 no cdp enable
 ppp authentication chap
!

Zum Schluss muss dann noch der Login angelegt werden und das Dialer-Interface für IP-Pakete freigeschaltet werden. Dabei ist zu beachten, dass der „username“ mit dem „dialer remote-name“ des Dialer-Interfaces übereinstimmt.

username einwahlbenutzer password einwahlpasswort
dialer-list 1 protocol ip permit

Cisco ASDM 6.1(5) läuft nicht mit Java 6 Update 10

Nachdem Cisco dauernd von den neuen, tollen Möglichkeiten der ASA Software 8.x und des ASDM 6.x schwärmt wollte ich mir diese auch mal anschauen. Nachdem ich die auf einer ASA5505 die ASA Software 8.0(4) und den ASDM 6.1(5) installiert hatte und mit meinem Browser auf den ASDM wollte bekam ich jedoch den folgenden Fehler: Unconnected sockets not implemented.

Cisco ADSM Error

Zuerst dachte ich, dass es an meinem Notebook (Ubuntu Linux / Firefox) liegt. Wäre ja nicht das erste mal, dass Firefox unter Linux Probleme mit bestimmten Java-Programmen hat. Allerdings trat das Problem auch unter Windows Vista, einem Internet Explorer 7, Java 6 und allen Sicherheitsupdates auf. Nach einer Internetsuche fand ich eine Beschreibung des Problems in dem The Network Guy Blog. Es wird offensichtlich durch das Update 10 für Java 6 ausgelöst. Bis jetzt konnte ich leider noch keine andere Lösung finden, als ein älteres Java zu verwenden.

Cisco ASA Konfiguration für das iPhone

Ab der Softwareversion 2.0 kann das Apple iPhone nicht nur L2PT und PPTP sondern auch richtige IPSec Verbindungen zu Firewalls von CISCO (z.B. PIX oder ASA) aufbauen. Leiter konnte ich auf den Webseiten von Apple und Cisco nur die Information finden, dass es funktionieren soll. Eine Anleitung oder ein HowTo für die Konfiguration der PIX oder ASA konnte ich nicht finden. Deshalb habe ich selber herumprobiert und die folgende Konfiguration auf einer Cisco ASA 5505 mit einem iPhone 3G (Softwareversion 2.1) zu laufen gebracht:

Cisco ASA Konfiguration für das iPhone

ASA Version 7.2(4) 
!
hostname minastirith
domain-name domain.de
enable password testpasswort
passwd testpasswort
names
name 172.20.20.0 LAN
name 172.20.52.0 iPhones
!
interface Vlan1
 nameif LAN
 security-level 100
 ip address 172.20.20.1 255.255.255.0 
!
interface Vlan2
 nameif INTERNET
 security-level 0
 ip address 217.6.26.94 255.255.255.248 
!
interface Ethernet0/0
 switchport access vlan 2
!             
interface Ethernet0/1
!
interface Ethernet0/2
 shutdown
!
interface Ethernet0/3
 shutdown
!
interface Ethernet0/4
 shutdown
!
interface Ethernet0/5
 shutdown
!
interface Ethernet0/6
 shutdown
!
interface Ethernet0/7
 shutdown
!
ftp mode passive
clock timezone MET 1
dns server-group DefaultDNS
 domain-name domain.de
access-list INTERNET_access_in extended permit ip iPhones 255.255.255.0 LAN 255.255.255.0 
access-list iPhone_splitTunnelAcl standard permit LAN 255.255.255.0 
access-list inside_outbound_nat0_acl extended permit ip LAN 255.255.255.0 iPhones 255.255.255.0 
pager lines 24
logging enable
logging asdm informational
mtu LAN 1500
mtu INTERNET 1500
ip local pool iphone_pool 172.20.52.101-172.20.52.199
icmp unreachable rate-limit 1 burst-size 1
no asdm history enable
arp timeout 14400
global (INTERNET) 1 interface
nat (LAN) 0 access-list inside_outbound_nat0_acl
nat (LAN) 1 0.0.0.0 0.0.0.0
access-group INTERNET_access_in in interface INTERNET
route INTERNET 0.0.0.0 0.0.0.0 217.6.26.89 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
aaa authentication serial console LOCAL 
aaa authentication ssh console LOCAL 
aaa authentication http console LOCAL 
http server enable
http LAN 255.255.255.255 LAN
http LAN 255.255.255.0 LAN
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac 
crypto dynamic-map INTERNET_dyn_map 20 set pfs 
crypto dynamic-map INTERNET_dyn_map 20 set transform-set ESP-3DES-SHA
crypto dynamic-map INTERNET_dyn_map 40 set pfs 
crypto dynamic-map INTERNET_dyn_map 40 set transform-set ESP-3DES-SHA
crypto map outside_map 65535 ipsec-isakmp dynamic INTERNET_dyn_map
crypto map outside_map interface INTERNET
crypto isakmp enable INTERNET
crypto isakmp policy 10
 authentication pre-share
 encryption 3des
 hash sha
 group 2
 lifetime 86400
crypto isakmp policy 65535
 authentication pre-share
 encryption 3des
 hash sha
 group 2
 lifetime 86400
telnet timeout 5
ssh LAN 255.255.255.255 LAN
ssh timeout 60
console timeout 0

group-policy iPhone internal
group-policy iPhone attributes
 wins-server value 172.20.20.21
 dns-server value 172.20.20.21
 vpn-tunnel-protocol IPSec 
 split-tunnel-policy tunnelspecified
 split-tunnel-network-list value iPhone_splitTunnelAcl
 default-domain value domain.de
username admin password testpasswort privilege 15
username marco password testpasswort privilege 0
username marco attributes
 vpn-group-policy iPhone
tunnel-group VPN-Clients type ipsec-ra
tunnel-group iPhone type ipsec-ra
tunnel-group iPhone general-attributes
 address-pool iphone_pool
 default-group-policy iPhone
tunnel-group iPhone ipsec-attributes
 pre-shared-key testkey
!
class-map inspection_default
 match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
 parameters
  message-length maximum 512
policy-map global_policy
 class inspection_default
  inspect dns preset_dns_map 
  inspect ftp 
  inspect h323 h225 
  inspect h323 ras 
  inspect netbios 
  inspect rsh 
  inspect rtsp 
  inspect skinny 
  inspect esmtp 
  inspect sqlnet 
  inspect sunrpc 
  inspect tftp 
  inspect sip 
  inspect xdmcp 
!
service-policy global_policy global
prompt hostname context 
Cryptochecksum:d41d8cd98f00b204e9800998ecf8427e
: end

Dem ndiswrapper von Linux kann über WLAN Code untergeschoben werden

Dem ndiswrapper kann über einen Buffer Overflow mit der ESSID Code untergeschoben werden, der mit Kernel-Rechten ausführt wird. Dazu genügt es laut Bericht, dass ein Angreifer in Reichweite eines verwundbaren Clients präparierte Pakete sendet.

Der ndiswrapper wird unter Linux zum Anbinden von Windows-WLAN-Treibern verwendet. Betroffene Distributionen haben bereit Updates bereit gestellt.

Apache als Reverseproxy für den Webzugriff auf einen Exchangeserver

Um einem Exchangeserver zusätzlich zu schützen kann es sinnvoll sein die Webzugriffe auf diesen über einen Reverseproxy in der DMZ laufen zu lassen. Hierfür eignet sich besonders gut der Apache Webserver, der kostenlos ist und hervorragend als Proxy eingesetzt werden kann. Er kann mit den Modulen alias, headers und proxy und wenigen Zeilen Konfiguration als Reverseproxy eingerichtet werden.

Outlook Web Access über Reverseproxy

Dazu müssen als erstes die Module für den Apache aktiviert werden. Bei Debian kann die mit dem Befehlt a2enmod erfolgen.

Danach müssen zwei virtuelle Hosts konfiguriert werden, welche die Anfragen an den Exchangeserver weiter reichen. Da auch die verschlüsselte SSL-Webseite auf Inhalte der normalen Webseite zugreift, sollte man in jedem Fall auch die normale Webseite einrichten. Die Konfiguration könnte dabei etwa wie folgt aussehen:



   ServerName webmail.example.org
   # This secures the server from being used as a third party
   # proxy server
   ProxyRequests Off

   ProxyVia On

   DocumentRoot /var/www/exchange/
   RequestHeader set Front-End-Https "On"

   ServerName mail.example.com

   #Einträge für Outlook Web Access
   ProxyPass /exchange/ http:///exchange/
   ProxyPassReverse /exchange/ http:///exchange/
   ProxyPass /exchweb/ http:///exchweb/
   ProxyPassReverse /exchweb/ http:///exchweb/
   ProxyPass /public/ http:///public/
   ProxyPassReverse /public/ http:///public/

   #Eintrag für Outlook Mobile Access
   ProxyPass /oma http:///oma/
   ProxyPassReverse /oma http:///oma/

   #Eintrag damit Mobile Endgeräte synchronisieren können
   ProxyPass /Microsoft-Server-ActiveSync http:///Microsoft-Server-ActiveSync/
   ProxyPassReverse /Microsoft-Server-ActiveSync http:///Microsoft-Server-ActiveSync/

   ProxyPreserveHost On



   # This secures the server from being used as a third party
   # proxy server
   ProxyRequests Off

   # Allows the proxying of a SSL connection
   SSLProxyEngine On
   ProxyVia On

   DocumentRoot /var/www/exchange/
   RequestHeader set Front-End-Https "On"

   ServerName mail.example.com

   # Set up SSL to work with this host
   SSLEngine On
   SSLCertificateFile /etc/apache/webmail-proxy/server.crt
   SSLCertificateKeyFile /etc/apache/webmail-proxy/server.key


   #Einträge für Outlook Web Access
   ProxyPass /exchange/ http:///exchange/
   ProxyPassReverse /exchange/ http:///exchange/
   ProxyPass /exchweb/ http:///exchweb/
   ProxyPassReverse /exchweb/ http:///exchweb/
   ProxyPass /public/ http:///public/
   ProxyPassReverse /public/ http:///public/

   #Eintrag für Outlook Mobile Access
   ProxyPass /oma http:///oma/
   ProxyPassReverse /oma http:///oma/
   
   #Eintrag damit Mobile Endgeräte synchronisieren können
   ProxyPass /Microsoft-Server-ActiveSync http:///Microsoft-Server-ActiveSync/
   ProxyPassReverse /Microsoft-Server-ActiveSync http:///Microsoft-Server-ActiveSync/

   ProxyPreserveHost On

Und schon sollte es funktionieren. Bei einem Zugriff auf https://mail.example.com/exchange/ sollte man den Outlook Webaccess zu fassen bekommen (natürlich nur, wenn auf dem Exchangeserver auch ein OWA installiert und konfiguriert ist und der DNS-Eintrag auch wirklich auf den Apache zeigt).