Für den Server in meiner Testumgebung soll nun aus dem externen Netz ein Zugriff über HTTP ermöglicht werden.
Alle Schritte der Firewall Konfiguration, Zugriffe und erneuter Nessus Scan sind in diesem Dokument erläutert.
Nachtrag: In dieser Abbildung ist der BackTrack Server (192.168.0.174) auf Platz 1 der Top Hosts Statistik 
Astaro Firewall Interface Statistik
Nachdem ich meine Testumgebung für BackTrack 5 R1 erweitert habe, wird ein Scan mit dem Werkzeug Nessus aus BackTrack 5R1 direkt auf die initial konfigurierte Firewall ausgeführt. Nessus ist in Backtrack enthalten und kann für private Zwecke kostenlos eingesetzt werden.
Der Scan hat keine Schwachstellen ergeben. Es lässt sich also mit sehr wenig Aufwand ein Gateway erzeugen, welches ein internes Netz (zugegeben, derzeit finden nur Internet Zugriffe statt) erheblich absichert.
Die Konfiguration und Ergebnisse des Scans sind hier zu finden.
Um mir für weitere BackTrack Tests eine erweiterte Spielwiese zu schaffen, erzeuge ich in einer virtuellen Umgebung (VirtualBox) ein abgesichertes Netzt durch eine Firewall. Dazu nutze ich Astaro Essential Firewall, ebenfalls in einer virtuellen Umgebung. Für das Download der Software ist eine Registrierung notwendig. Anschließen wird per E-Mail ein Download Link und ein Lizenzschlüssel zu Verfügung gestellt.
Benötigt wird die Umgebung, um Reverse-Payload Angriffe mit Backtrack zu testen. Bis jetzt waren in meiner Testumgebung nur Bind-Payload Angriffe möglich. Als Richtlinie habe ich die BSI Richtlinie “Sichere Anbindung von lokalen Netzen an das Internet (ISi-LANA)” genutzt.
Eine Dokumentation der Installation und Erstkonfiguration der Firewall und der internen Rechner ist hier zu finden.
In kommenden Postings werden Einstellungen und Tests mit der Firewall veröffentlicht.
Wer ein CMS nutzt, sollte sich mit websitedefender.com auseinandersetzen. Diese Seite ermöglicht das Scannen von (WordPress-) Webseiten und das Erkennen von Schwachstellen.
Es werden unterschiedliche Kategorien von Fehlern ermittelt, die mit Lösungsvorschlägen versehen werden.
Statusübersicht bei websitedefender.com
Nachdem ich unterschiedlichste Sachen geändert habe, habe ich die Seite auch mit Tools aus Backtrack 5 R1 überprüft, und konnte keine weiteren Probleme feststellen.
WPSCAN aus Backtrack 5 R1
Ich habe folgendes Buch zur Durchführung von Penetration Tests gelesen, und möchte das an dieser Stelle jedem empfehle, der sich mit diesem Thema (erneut) auseinandersetzen möchte: Penetration Testing mit Metasploit von Frank Neugebauer
Mit dem Erlös aus diesem Buch unterstützt der Autor das Hackers for Carity Projekt.
Es gibt einen Oracle Learning Cannel auf YouTube.
Es wurde Zeit, diese Seite technisch zu aktualisieren. Durch eine Umstrukturierung entfallen derzeit die Links. Diese werde ich zu einem späteren Zeitpunkt wieder einpflegen.
In einem Google Blog sind Informationen zur weiteren (kostenlose) Nutzung von Google Maps auf eigenen Seiten zu finden. Für nicht gewinnorientierte und gemeinnützige Organisationen soll die Nutzung weiter kostenlos sein. Betroffen sind allerdings Firmen, die Google Maps als Anfahrtsbeschreibung auf ihrer Homepage nutzen und eine entsprechende Anzahl an Zugriffen überschreiten.
Auf einigen 11.2 ‘er Datenbanken tritt ein Problem beim Anlegen von Triggern auf. Es erscheint ein ORA-600 Fehler, der auf einen bekannten Bug mit der ID 10174125 referenziert.
Um dennoch Trigger einspielen zu können, einfach ALTER SESSION SET PLSCOPE_SETTINGS = ‘IDENTIFIERS:NONE’; für die aktive Session setzen, dann funktioniert es.
Die Beiträge zur Oracle OpenWorld 2011 in San Francisco werden nach und nach online gestellt.
