VLANs – Netzwerksegmentierung leicht gemacht

VLANs (Virtual Local Area Networks) trennen auf logischer Ebene auf OSI-Layer 2 Netzwerke voneinander. In vielen L2-Netzwerken sind (leider) immer noch „historisch gewachsene“, mittlerweile riesige IP-Netze in einem großen LAN im Einsatz. Das senkt allerdings erheblich die Netzwerkperformance und erlaubt keine Trennung von Netzsegmenten – weder funktional noch nach Geräteklasse. Aus diesem Grund ist es mittlerweile üblich, Netzwerke in VLANs zu segmentieren. Dabei ist es wichtig, dass die VLAN-ID auf allen Switchen identisch ist, die über dieses VLAN kommunizieren sollen. Anhand der VLAN-ID macht der Netzwerkteilnehmer (ob Server, Switch, Router oder Firewall) die Zuteilung der Datenströme fest.

Man kann das Prinzip der VLANs und des Datenflusses mit dem eines Straßenverkehrsnetzes in einer Großstadt vergleichen. Auch dort laufen mehrere Verbindungen (Straßen) teils übereinander mit Brückenkonstruktionen oder unter der Oberfläche durch Tunnel. Der Verkehr ist in beiden Fällen kollisionsfrei möglich, obwohl viele Straßen in unterschiedliche Richtungen führen.

In der Grafik ist recht gut erkennbar, dass die übertragenen Daten unterschiedlich behandelt werden und unterschiedlich groß sind. Ein Backup beispielsweise oder eine Live-Migration nehmen erheblich mehr Datenvolumen ein, als es der HTTP/HTTPS-Traffic vom Surfen des Gast-Users im WLAN tut. Zudem kommt eine Priorisierung des Traffics bzw. Quality-of-Service ins Spiel. Echtzeitdatenübertragung, wie es bei VoIP (hier VLAN 18) der Fall ist, muss entsprechend anders im Netz priorisiert sein als es für eine Dateiübertragung von Anwendern der Fall ist. Die Dateiübertragung verzögert sich gegebenenfalls, sollte das Netzwerk im Moment der Übertragung stark ausgelastet sein, wohingegen ein VoIP-Gespräch schnell unbrauchbar würde, da die Sprache ohne Priorisierung dann zerstückelt beim Hörer ankäme. Ein selten gebrauchtes Management-Netz beispielsweise ist erheblich weniger ausgelastet, als ein Netz, über das Backups gefahren werden oder Anwender-PCs verbunden sind.

„VLANs – Netzwerksegmentierung leicht gemacht“ weiterlesen

Android 5.0 – are you ready for business, Android?

Google bereitet momentan seine Nexus-Serie auf das Rollout von Android 5.0 mit dem Codename Lollipop vor. In diesem kurzen Artikel möchten wir die – für Enterprise-Umgebungen wirklich dringend benötigten – Erweiterungen von Android und die Erweiterungen, die die tägliche Arbeit vereinfachen können, umreißen, die Lollipop mit sich bringen wird. Unter Anderem wird in den Bereichen Security, Verwaltbarkeit und Usability durch Android 5.0 viel aufgeholt, was Android in Hinblick auf den Einsatz in Enterprise-Umgebungen gefehlt hat. Citrix hat bereits die Implementierung neuer Features angekündigt, die in einer Erweiterung der XenMobile-Suite folgen wird. Möglicherweise wird dies dasselbe Release sein, welches auch die iOS 8-Features beherbergen wird. Ein genaues Datum wurde bisher nicht genannt. Die Ankündigungen von Google sind bisher allerdings vielversprechend, sofern keine essentiellen Daten in die Cloud ausgelagert werden und das Usermanagement zumindest sicher remote zu verwalten ist – oder noch besser: eine Integration in Microsofts AD möglich ist. Wie in den meisten Produktankündigungen gibt Google auch hier nur eingeschränkten Einblick.

Neue Sicherheitsfeatures

Vor allem Business Devices müssen ausreichend gegen ungewollte Zugriffe (ob von Fremden oder Bekannten) abgesichert sein. Mit Lollipop bessert Google hier gewaltig nach. Die folgenden vier Punkte sind zentrale, neue Sicherheitsfeatures in Lollipop, die durchaus für den Enterprise-Einsatz interessant sind:

  • Multi-User-System mit Rechtemanagement
    • Mehrere User können auf einem Gerät angelegt und verwaltet werden
    • Ein Rechtemanagement soll implementiert werden. Wie dies im Detail aussieht, ist unklar.
    • Ob die Geräte-User auch remote angelegt und verwaltet werden können, ist noch unklar
    • Wenn ja, ist die Frage, ob auch Drittanbieter dies dürfen, oder Google sich eine eigene Cloud-basierte Lösung zum Verwalten der Accounts vorbehält.
  • Gast-User-Mode in getrenntem Bereich ohne Zugriff auf persönliche Informationen
    • Für ein kurzes Aus-der-Hand-Geben des  Android Devices gedacht
    • Soll in getrenntem Bereich laufen, aber grundlegende Funktionalitäten von Android bereitstellen
    • Ob es sich um eine echte Container/Sandboxing-Lösung handelt, ist noch offen.
  • Android Smart Lock
    • Pairing mit weiterem Android-Device
    • Das Entsperren soll bei aktivierter Option beispielsweise nur möglich sein, wenn sich eine Smartwatch o.ä. in der Nähe befindet.
  • Verschlüsselung von Haus aus
    • Neue Android-Geräte, die mit der Version 5.0 ausgeliefert werden, bringen eine bereits von Werk aus aktivierte Geräteverschlüsselung mit sich.
  • Managed Profiles
    • Verwaltbare, in Containerumgebung betreibbare Profile zum Gerätemanagement
    • Ermöglicht die Nutzung von Firmen- und Privatdaten auf einem Gerät – in getrennten Umgebungen
  • AV-Prüfung bei Downloads aus dem Appstore
    • Antiviren/Malware-Prüfung beim Download von Apps aus dem Appstore

„Android 5.0 – are you ready for business, Android?“ weiterlesen

Update Shellshock & Poodle

Hi everybody,

just a short note to get the latest news for the Shellshock & Poodle vulnerability. I’m sure most of you had already done the steps Citrix recommends. But for the others here are the steps you need to do.

Shellshock:

For NetScaler, Shellshock is only a problem on your private interfaces like SNIP, NSIP. Your VIP is safe. To get your private interfaces secure as well, just upgrade to 10.5-52.11 or 10.1-129.11 or 9.3-67.5 it depends where you come from. But I’m sure all of you are using 10.x instead of 9.3 meanwhile as the latter one is End-of-Maintenance by the end of next week.

AppFirewall got a new signature since the end of September called web-shell-shock to protect services behind NetScaler.

Poodle:

And again Citrix NetScaler gives you the chance to raise the security for every other web service you’re publishing. Just disable SSLv3 on your NetScaler SSL vServer objects and all your published web services are save. For your other NetScaler objects like NSIP / SNIP you need to go to the CLI but even those steps are explained in detail in CTX200238.

 

 

 

Citrix Technology Exchange 2014: Die besten Sessions

Morgen und übermorgen findet in München-Unterschleißheim die Citrix Technology Exchange statt – ausgebucht schon seit einigen Tagen, obwohl wir hier noch gar keine Werbung gemacht haben…

Über 1.000 Besucher freuen sich auf intensive Sessions mit vor allem technischen Inhalten. Aber auch Feedback und Erfahrungsaustausch unter anderem mit Vertretern von Citrix Consulting Services und Product Management stehen auf der Agenda. Besonders ans Herz legen möchte ich natürlich meine Session am Mittwoch nach dem Mittagessen im Raum Alpsee: „O’WASP is! – Advanced Application Security mit NetScaler“ – wer mir hinterher die korrekte Anzahl von Star Wars Zitaten sagen kann, kann etwas gewinnen. 🙂

NetScaler ShellShock

During the last days we all had the chance to start a personal panic for what kind of systems would all be affected by the newest ShellShock Security Issue.  But lets face the facts. There is a chance to survive. 😉

Citrix is actually working under pressure to fix every possible ShellShock security issue. From Citrix NetScaler point of view there are only possible security issues for NSIP and management enabled SNIP objects. But we all know that your NSIP and SNIP IPs are only home in secure networks anyway.

We are waiting for a fix to close that last possible door, while an App Firewall Signature Update is already available blocking ShellShock attacks for any service published by Citrix NetScaler!

Stay tuned!

 

Why IT Security matters, today: for engineering companies

Recently, a customer of ours pointed me to grabcad.com, a community where engineers from all over the world publish CAD models et al. to boast their skills and “to help other engineers and to speed up development”. What you can find there are full blown models from almost all major engineering and development vendors. Stuff they would never want to appear outside their own premises, because it is their core value, their intellectual property!

Our customer is happy to have Citrix XenDesktop in place as environment even for their engineers, who work from Hungary. Due to restrictive policies they don’t have a chance to copy models outside the network – even e-mail fails, because the files are larger than the maximum allowed attachment size (one reason why you would want to keep that down).

This is a striking argument showing what you can gain with XenApp and XenDesktop and what risks are out there for your IP. It is much easier to provide centralized compute power even for 3D modelling and put your data into a safe harbor network zone only accessible from these instances than to deploy all sorts of content inspection, data leak prevention and port security to cut the possibilities for efficient performance of your workforces.

This is an example I quickly found on GrabCAD showing a complete V12 motor with all nuts and bolts. 22MB, online (browser) 3D viewer enabling selection of assemblies, explode view of all or selected assemblies and so on. Stunning.

Was Prismgate zeigt und wie Sie sich trotzdem sicher fühlen können

Die Medien waren schlagartig voll von vermeintlichen Schreckensmeldungen, die zwar weder für IT-Security Profis noch Verschwörungstheoretiker irgendetwas Neues enthalten, die aber in einer neuen Qualität beweisen, was uns allen eigentlich längst klar war: Der US-Geheimdienst NSA kann jedwede Kommunikation abfangen, tut das auch und wertet vieles automatisch aus (Projekt PRISM). Außerdem stehen Ihnen organisatorisch, wenn nicht sogar transparent technisch, die Türen zu den wolkigen Datenspeichern US-amerikanischer Anbieter (und sicher nicht nur der plakativen Giganten wie Apple, Facebook, Google und Microsoft) offen, wo auch hierzulande nahezu jeder zumindest irgendetwas abgelegt hat.

„Mitarbeiter des Niedersächsischen Wirtschafts- und Geheimschutzes schockierten schon 2008 Besucher einer unserer Informationsveranstaltungen in Hannover mit der Tatsache, dass zum Beispiel der russische Inlandsgeheimdienst FSB mit seinen rund 110.000 Mitarbeitern den expliziten Auftrag zur Unterstützung der heimischen Wirtschaft hat und diesem durch entsprechende IT-gestützte Spionage auch nachkommt.“ – Michael Wessel

Da tut es schon fast nichts mehr zur Sache, dass auch hierzulande an vielen Stellen Vorratsdatenspeicherung angestrebt wird und gewisse Kreise bei jedwedem medial präsenten Ereignis als omnipotente Lösung reflexartig „mehr Überwachung!“ schreien. Unsere Daten – und mit einer gewissen Wahrscheinlichkeit auch manche Ihrer Firmendaten – liegen längst in unsicheren Gefilden.

Manche Ihrer Firmendaten? Ja. Anwender wollen effizient arbeiten. Dazu nutzen sie aktuelle Werkzeuge und Dienste, die sie kennen und die einfach funktionieren – besser als das meiste, was das Unternehmen ihnen zur Verfügung stellt. Dazu gehören heute sehr oft auch Facebook für effiziente Kommunikation, DropBox für einfaches Übermitteln von (großen oder per Mail blockierten) Dateien oder den flexiblen Zugriff auf Daten jederzeit von jedem Gerät. Unternehmen wie Microsoft, die mit ihren Produkten in nahezu jeder Firma zum Inventar gehören, schlagen unter anderem mit Skype und SkyDrive in die selbe Kerbe – und haben das selbe Problem (zusätzlich zu der wie auch bei Google per AGB definierten Un-Vertraulichkeit der dort abgelegten Daten gegenüber dem Betreiber selbst).

Was also können wir tun? Den Anwendern geben, was sie wollen – was sie für ihre Arbeit sogar brauchen – ohne selbst die Kontrolle zu verlieren – geht das?

Zunächst müssen wir uns der Situation bewusst werden und uns eingestehen, dass es in der Regel gar nicht mehr darum geht, die Kontrolle nicht zu verlieren, sondern darum sie wieder zu gewinnen. Consumerization ist Fakt. Anwender benutzen Skype, sie benutzen Facebook, sie benutzen DropBox. Nicht nur während der Arbeitszeit, sondern auch explizit für geschäftliche Belange. Falls Sie das nicht glauben, lassen Sie uns es Ihnen zeigen.

Gefragt ist also eine IT-Strategie, die effiziente Arbeitsstile und dynamische Zusammenarbeit mit der notwendigen Sicherheit vereint, und die Mitarbeiter damit positiv abholt. Diese Strategie muss mehrere Komponenten beinhalten, von den eigentlichen Lösungen zur Zusammenarbeit bis hin zur Web Content Security, mit der die Nutzung der unsicheren Dienste dann verlässlich unterbunden werden kann, nachdem das Unternehmen eigene Wege bereitgestellt hat.

Neben der strategischen Beratung stellen wir Ihnen dazu auch gerne konkrete Lösungen für die wichtigsten Bereiche der modernen und effizienten Zusammenarbeit vor:

Follow-Me-Data: Das DropBox-Problem lösen. Die äußerst praktische und effiziente Funktionalität Enterprise-tauglich und sicher bereitstellen. Das geht mit Citrix ShareFile; grundsätzlich auch ein Cloud Service, aber mit der Möglichkeit, den Ablageort ins eigene Rechenzentrum zu verlegen (Own Storage Zone). Somit sind die Daten nicht nur während der Übertragung und am Ablageort verschlüsselt (encrypted in transit & at rest), sondern die Erreichbarkeit und der genutzte Speicher selbst sind auch vollständig unter Kontrolle des Kundens. Viele weitere Funktionen neben der Erreichbarkeit von jedem Endgerät, Sync Clients für alle gängigen Plattformen vom PC und Mac bis zum Smartphone bis hin zum Outlook Plug-In, das Anhänge automatisch via ShareFile übermittelt und/oder dem Gegenüber eine Upload Möglichkeit bereitstellt, runden den Leistungsumfang ab.

Collaboration: Skype ist so praktisch. Bei Facebook ist eh jeder. Ja, aber wollen Sie Ihre Daten denn auch mit jedem teilen? Wäre es nicht besser, Ihre Mitarbeiter unternehmensweit mit Microsoft Lync zusammen arbeiten zu lassen? Eine eigene Collaboration Plattform – zum Beispiel auf Basis von SharePoint – Cloud-ready zu machen und sicher bereitzustellen? Für alle drei Aufgaben haben Sie den richtigen Partner gefunden. So sagt Andreas Goretzky, IS Global Director, IT Governance & Compliance, Hellmann Worldwide Logistics GmbH & Co. KG, nach unserem gemeinsamen Projekt:

„Aufgrund der guten Erfahrungen, die wir beim Betrieb unseres Kunden- und  Mitarbeiterportals mit NetScaler gemacht haben, wollen wir die Technologie noch für weitere Web-Anwendungen nutzen. Unter anderem denken wir darüber nach, auch unsere E-Commerce-Angebote und EDI-Systeme über die Plattform bereitzustellen.“

E-Mail: Für das immer noch äußerst wichtige Medium E-Mail ist die Hauptsorge, dass die Einführung einer Verschlüsselungslösung komplex und der Betrieb aufwändig sein könnte. Auch diese Angst möchten wir Ihnen nehmen: Wir statten seit vielen Jahren Unternehmen mit Möglichkeiten zu transparenter und sicherer E-Mail-Verschlüsselung und -Signatur aus. Wolfgang Lindner, Verantwortlicher für IT-Network-Management der Hannover Rückversicherung SE, resümiert unser gemeinsames Projekt entsprechend:

„Im Rahmen von globalen Sicherheitsprojekten defi­nierte Anforderungen an den siche­ren Informationsaustausch konnten nun erfüllt werden, ohne dass das Medium E-Mail an Attraktivität für die Anwender verlor – die Handha­bung ist transparent und für interne Benutzer wie gewohnt.“

Content Security, Data Loss Prevention: Das Clearswift SECURE Web Gateway sichert den wichtigsten Ausreisekanal von Daten und Informationen der heutigen Zeit mit granularen Regeln und tiefen Einsichten in die Nutzung des Mediums „Web“. Sowohl zum Schutz als auch zur Erfolgskontrolle der umgesetzten Lösungsstrategie erweist es sich als wichtiger und sehr leistungsfähiger Baustein.

Sie erreichen uns zu allen diesen und mehr Themen auf den üblichen, unsicheren Wegen: 0511 – 260 911 0, nm[at]consulting-lounge.de oder service[at]michael-wessel.de – aber wir kommen dann auch gerne zum Gespräch zu Ihnen und lassen alle Kommunikationsvermittler außen vor.

 

Weitere interessante Quellen zum Thema:

# Autor und Kolumnist Mike Elgan über die Vermutung, die chinesische Regierung könnte den Leak zu verantworten haben

# Der Whisteblower Edward Snowden im Interview nach seiner Flucht nach Hong Kong

E-Mail Überwachung – informieren Sie sich auf der CeBIT 2012

Heute macht eine Meldung die Runde, wie viele E-Mails und Kommunkationsverbindungen die deutschen Geheimdienste im vergangenen Jahr überwacht und ausgewertet haben: 37 Millionen.

Wer wie wir von dieser Information nicht überrascht ist, wird sich schon mit dem Thema zentrale E-Mail Verschlüsselung beschäftigt haben. Vielleicht haben Sie aber noch keine Lösung gefunden, die Ihren Anforderungen entspricht und mit wenig Aufwand zu betreiben ist? Wir laden alle Interessierten herzlich ein, mit uns zum Beispiel auf der CeBIT über die Möglichkeiten zu sprechen, wie Sie Ihre Unternehmenskommunikation, Ihren Wissensvorsprung, Ihre vertraulichen Geschäftsinformationen schützen können durch Gateway-basierte Verschlüsselung.

Besuchen Sie uns auf der CeBIT 2012 in Halle 2 auf dem Virtualisation & Storage Forum. Unsere weiteren Themen finden Sie unter www.vs-forum.com/loesungen.html. Wir freuen uns auf Sie!

Noch kein Ticket? Wir stellen Ihnen gerne ein kostenloses Tagesticket zur Verfügung, sprechen Sie uns an unter service@michael-wessel.de.

De-Mail: Risiken und Chancen

Noch immer muss man die Einführung von „De-Mail“ als schwebendes Verfahren bezeichnen. Zwar ist etwa der Wettbewerb mit der „E-Post“ schon am Markt, doch traut sich noch kaum jemand ernsthaft an das Thema heran. Wir gehören auch eher zu den Zweiflern, schließlich bestehen Risiken und es findet auch eine gewisse Augenwischerei zum Thema Sicherheit bzw. Vertraulichkeit statt, die so nicht hinzunehmen ist.

Dr. Burkhard Wiegel, Geschäftsführer und technischer Leiter eines Berliner Herstellers von Produkten für die zentrale E-Mail-Verschlüsselung und -Signatur, bewertet das Potential von De-Mail wie folgt:

Mit De-Mail wird der rechtsverbindliche E-Mail-Austausch einfach möglich. Auch für unsere Kunden ergeben sich interessante Optionen, bisher papiergebundene Geschäftsprozesse effizient über De-Mail elektronisch abzuwickeln. Hinsichtlich ‚Sicherheit‘ ist der proklamierte Zugewinn allerdings trügerisch, da De-Mails bei den Providern im Klartext durchreisen. Wer echte Vertraulichkeit benötigt, kommt daher an einer professionellen Verschlüsselungslösung wie unserem Z1 Gateway mit S/MIME und OpenPGP sowie Passwort-basierenden Mechanismen wie PDFContainer und WebSafe nicht vorbei.

Weiterhin besteht das Risiko von Patentverletzungsklagen von Seiten des US-Unternehmens RPost, das ein europaweit gültiges Software-Patent auf elektronische Einschreiben besitzt. Eine entsprechende Klage wurde bereits gegen das Schweizer De-Mail-Pendant „Incamail“ eingereicht.

Es fehlen aus unserer Sicht triftige Gründe für Unternehmen, sich aktuell näher mit De-Mail zu befassen, solange diese offenen Fragen und Risiken nicht zufriedenstellend und glaubwürdig geklärt sind.