Captain's blog

Sollte es jemand noch nicht mitbekommen haben:
Endlich ist es so weit...nach rund 6 Monaten Arbeit hat Fyodor heute Nmap 4.20 freigegeben. Interessant wird die Sache allein wegen der sog. "2nd generation OS detection", aber auch einige andere nette Neuigkeiten, sowie ein ganzer Haufen hinzugekommene Fingerprints sind definitiv wieder einen Download wert.

Mal schauen, ob ich da nicht auf die Schnelle ein passendes OpenBSD-Paket zusammengeschnürt bekomme.

Auch wenn die LinuxWorld Expo (dieses Jahr in Köln) wieder ein Stückchen "übersichtlicher" geworden ist, hat sich der Besuch doch auf gewisse Art und Weise wieder gelohnt:

Als hervorstechendstes Erlebnis gab es ein extrem interessantes Gespräch mit den Jungs von Zimbra, in dem ich endlich mehr über die Vorzüge der frisch herausgegebenen Beta erfahren konnte.
Sehr zur Freude diverser potentieller Kunden wird es nun endlich nicht nur möglich, verschiedene Identitäten via Webfrontend zu nutzen, sondern auch selbständig einen "POP3-Sammeldienst" einrichten zu können. Gerade das waren die Sachen, die bislang viele davon abgehalten haben, Zimbra auch "just for fun" zu nutzen.
Auch "persönliche Verteilerlisten" stehen nun endlich auf dem Programm, und sind erstaunlich einfach zu handhaben.
Das Update auf die Beta habe ich daher direkt heute (auf meiner "persönlichen" Umgebung) durchgezogen, und bin begeistert. Auch wenn sich auf den ersten Blick nicht viel getan hat, wirkt die Oberfläche noch einmal ein wenig schneller, hat mich persönlich am allermeisten gefreut, dass den Kontakten nun auch der Geburtstag zuzuordnen ist.

Viel Zeit habe ich mit Sven (Grussfrequenzen ) bei den Jungs am Gentoo-Stand verbracht, an dem ich dann auch mein erstes "Club Mate"-Erlebnis hatte.

Kurz vor Beginn der Linux NewMedia Awards konnte ich noch den zuständigen Redakteur des Linux-Magazins persönlich kennenlernen, der für die Aktualisierung meines alten Nmap-Artikels für ein bald erscheinendes Sonderheft zuständig ist.
Die Awards selbst waren dieses Jahr recht unspektakulär. Sowohl Ubuntus "Community Manager" als auch Mark Shuttleworth konnten nicht anwesend sein, einzig und allein die Verleihung des Preises an den sichtlich ergriffenen Klaus Knopper war den Applaus wert.

Nach fast genau zwei Jahren nach der Veröffentlichung der 3.50er-Version ist der großartige Portscanner nmap gestern in Version 4.0 freigegeben worden.

Im Vergleich zur alten Version kamen in den mittlerweile immerhin 36 "Zwischenreleases" immer mehr Funktionen hinzu, bis man sich zuletzt darauf konzentriert hat, den Kern so weit wie möglich abzuspecken und noch schneller zu machen. Das Ergebnis kann sich dabei absolut sehen lassen.

Weitere Goodies:

Nicht erst seit meinem nmap-Artikel bin ich der festen Überzeugung, dass Portscans in den allermeisten Fällen keinen Zusammenhang mit Angriffen auf Hosts haben. Eine aktuelle (und sehr lesenswerte) Untersuchung der Uni Maryland bestätigt nun diese These:

Es soll ja wiklich Leute geben, die Webmin und / oder Usermin zur "Konfiguration" ihres frei im Internet stehenden Servers verwenden. Ich habe jedenfalls einfach mal testweise das Class C-Netz meines alten Rootserver auf Port 10000 (auf dem der Dienst normalerweise horcht) abgescannt, und alleine dort von 254 möglichen immerhin gleich 21 potentielle "Opfer" gefunden. Mit einer solchen Quote hätte ich ehrlich gesagt nicht gerechnet.

Ich bin beeindruckt: anscheinend hat mein nmap-Artikel im aktuellen Linux-Magazin den Jungs und Mädels so gut gefallen, dass er in übersetzter Form sogar in der nächsten Ausgabe des internationalen / englischen Linux Magazine erscheinen wird. Heute habe ich jedenfalls endlich das "Go" für die Übersetzung geben können.

Ich war ja schon etwas stolz drauf, den Text (endlich) in der deutschen Ausgabe zu sehen, (mal wieder) über die Grenzen Deutschlands (in gedruckter Form) gelesen zu werden ist schon recht...speziell...
Ich bin ja mal gespannt, ob der kürzlich angefangene neue Artikel wieder so gut ankommen wird.

P.S.: Ist eigentlich jemand am 15. dieses Monats auf der LinuxWorld Expo?

Auch wenn ich seit mittlerweile über einem Jahr (natürlich immer nur schubweise ) an meinem Artikel über nmap für's Linux-Magazin saß, hielt ich ihn gestern zum ersten Mal in gedruckter Form in den Händen.

Ab Seite 46 geht's los, und ich bin echt froh, diesmal nicht doch wieder diverse Tippfehler entdeckt zu haben. Einen besonders blöden habe ich dann aber doch noch gefunden...und das noch auf der letzten Seite (52): natürlich muss es "IDS für Arme" heißen, und eben nicht IPS.
Na ja, ich werd's überleben.

Der Artikel passt jedenfalls meiner Meinung nach sehr gut zum restlichen Themenschwerpunkt "Security", und es ist ein gutes Gefühl, seinen Namen in einer solch illustren Runde zu lesen. Besonders gut gefällt mir übrigens der Artikel über HA-Firewalls mit OpenBSD, der mir nicht zuletzt aufgrund meiner aktuellen OpenBSD-Spielereien extrem entgegen kommt.
Im Gegensatz zu hochverfügbaren Linux-Firewalls ist diese Technik nämlich durch den Einsatz von CARP (Common Address Redundancy Protocol) spätestens im Fehlerfall überlegen, ganz abgesehen davon, dass ich PF erheblich einfacher (und konsistenter) finde als IPTables.

Vielleicht liest ja der eine oder andere hier meinen geistigen Erguss, und traut sich sogar, das durch konstruktuves Feedback hier zuzugeben?

Wem die Möglichkeiten von Tools wie nmap, p0f, tcpdump, AirSnort, hping oder (sogar) dsniff nicht weit genug gehen, wird an Scapy seine helle Freude finden.

Der Vorteil an all diesen (extrem mächtigen) Produkten ist dabei gleichzeitig oft ihr Nachteil: jedes für sich allein genommen ist auf ein sehr spezielles Aufgabengebiet zuschnitten, bietet aber weniger (bis keine) Möglichkeiten, etwas zu tun, das der Programmierer nicht vorgesehen hat. Im Gegensatz dazu umschreibt die Scapy-Webseite das Programm als "powerful interactive packet manipulation program"...und besser kann man es kaum sagen.

Nicht zuletzt aufgrund der sehr positiven Resonanz zum damaligen Portknocking-Posting, habe ich einmal damit angefangen, mir ein paar Implementierungen anzuschauen, die ich für mich selbst in Betracht ziehen würde.

Den Anfang macht dabei einer der bekanntesten Lösungen hierfür: knockd.

Im Hinblick auf mein vorgestriges Posting ("Spaß mit ICMP") werde ich heute einmal etwas näher auf kernelseitige Einstellungen eingehen, die das Netzwerken unter Linux beeinflussen, und vor allem (un-) sicherer machen. Wenn ich an den ziemlich peinlichen Fehltritt bezüglich sysctl denke, ist eine kleine Auffrischung für mich selbst wohl auch einmal bitter nötig...

Linux bietet die Möglichkeit, Kerneleinstellungen im laufenden Betrieb über das (virtuelle) /proc-Filesystem einzusehen und zu verwalten. Das gesamte Filesystem wird komplett über den Hauptspeicher des Systems abgebildet, auch wenn sich schon manch einer erschreckt hat, wenn er sich die Größe einmal angeschaut hat.
Die Informationen aus /proc können zum Teil extrem nützlich sein, da sie ein sehr genaues Abbild des Systems darstellen: hier findet man z.B. sämtliche Informationen über aktuell laufende Prozesse, anhand denen man einige sinnvolle Rückschlüsse ziehen, und beispielsweise (schlecht) versteckte Dienste aufspüren kann. Dazu aber in einem anderen Posting, zunächst einmal geht's hier um netzwerkspezifische Einstellungen...

Endlich ist es so weit: ich habe heute Abend endlich die erste Rohfassung des (nächsten Monat erscheinenden) nmap-Artikels fertig gestellt und eingesandt. Zu meinem Erstaunen kam sogar schon die erste Reaktion, die durchaus positiv ausfiel.

Ich bin jedenfalls schon sehr gespannt, was letztendlich daraus wird, da ich alleine jetzt (ohne Grafiken) bereits ca. drei Seiten über den bislang geplanten fünf liege, und dabei noch etliche Optionen und Möglichkeiten außen vor bleiben mussten. Ich bin selbst mächtig erstaunt, dass die Sache doch so umfangreich wurde...aber schließlich ist nmap ein recht komplexes, aber extrem interessantes Thema.

So, wie es sich bsiher anhört, wird sich die kommende Ausgabe des Linux-Magazins für einige Leute lohnen, da der Schwerpunkt einmal mehr auf Security gelegt wird, und sich einige recht bekannte Gesichter finden werden...und ich mittendrin...

So, genug der Schleichwerbung... Ich freue mich jedenfalls, nun endlich wieder dem Blog mehr Zeit widmen zu können, und habe schon wieder einige interessante Themen, die ich ab morgen wieder posten kann. Immerhin muss ich dann auch kein schlechts Gewissen mehr haben, so viele Lücken im Kalender rechts zu sehen.

Im Zuge meines (hoffentlich irgendwann erscheinenden) nmap-Artikels im Linux Magazin habe ich mich heute mal wieder eingehend mit diesem grandiosen Portscanner befasst. Heute ging es mir ganz speziell um die (noch ziemlich) frisch herausgegebene neue Version (3.90), die im Vergleich zum Vorgänger (3.81) um die dreifache (!) Menge an Dienst- und OS-Signaturen besitzt.