De-Mail: Risiken und Chancen

Noch immer muss man die Einführung von „De-Mail“ als schwebendes Verfahren bezeichnen. Zwar ist etwa der Wettbewerb mit der „E-Post“ schon am Markt, doch traut sich noch kaum jemand ernsthaft an das Thema heran. Wir gehören auch eher zu den Zweiflern, schließlich bestehen Risiken und es findet auch eine gewisse Augenwischerei zum Thema Sicherheit bzw. Vertraulichkeit statt, die so nicht hinzunehmen ist.

Dr. Burkhard Wiegel, Geschäftsführer und technischer Leiter eines Berliner Herstellers von Produkten für die zentrale E-Mail-Verschlüsselung und -Signatur, bewertet das Potential von De-Mail wie folgt:

Mit De-Mail wird der rechtsverbindliche E-Mail-Austausch einfach möglich. Auch für unsere Kunden ergeben sich interessante Optionen, bisher papiergebundene Geschäftsprozesse effizient über De-Mail elektronisch abzuwickeln. Hinsichtlich ‚Sicherheit‘ ist der proklamierte Zugewinn allerdings trügerisch, da De-Mails bei den Providern im Klartext durchreisen. Wer echte Vertraulichkeit benötigt, kommt daher an einer professionellen Verschlüsselungslösung wie unserem Z1 Gateway mit S/MIME und OpenPGP sowie Passwort-basierenden Mechanismen wie PDFContainer und WebSafe nicht vorbei.

Weiterhin besteht das Risiko von Patentverletzungsklagen von Seiten des US-Unternehmens RPost, das ein europaweit gültiges Software-Patent auf elektronische Einschreiben besitzt. Eine entsprechende Klage wurde bereits gegen das Schweizer De-Mail-Pendant „Incamail“ eingereicht.

Es fehlen aus unserer Sicht triftige Gründe für Unternehmen, sich aktuell näher mit De-Mail zu befassen, solange diese offenen Fragen und Risiken nicht zufriedenstellend und glaubwürdig geklärt sind.

HP DataProtector 6.2 ante portas

In der nächsten Woche soll es voraussichtlich soweit sein: HP DataProtector 6.2 wird veröffentlicht.

Das neue Release bringt Features, die für die aktuelle Version 6.11 entweder gar nicht oder nur mit Patches und Klimmzügen realisierbar sind. Immerhin existieren schon seit einigen Monaten Patches, die die Verwendung der neuen vStorage API von vSphere ermöglichen; damit verbessern sich nicht nur die Sicherungsmöglichkeiten von VMware Infrastrukturen noch weiter, sondern es wird auch kostengünstiger. Seit letztem Sommer werden keine Online Lizenzen mehr für den VCB Proxy (jetzt: „Backup Server“) und den vSphere Center Server benötigt, sondern nur noch eine je ESX(i) Host.

In 6.2 integriert und supported ist dann auch das Disaster Recovery von Systemen mit Windows Server 2008 R2 mittels EADR (Enhanced Automated Disaster Recovery) und das ganze sogar auch auf abweichender Hardware. Eine Beschreibung der Technik und des Vorgehens sowie eine Skript-unterstützte Lösung für das Disaster Recovery eines Cell Managers selbst (unter 2008 R2) hat Daniel Braun in seinem DataProtector Blog veröffentlich.

Citrix Netscaler VPX Express mit 5MBit/s

Die kostenlose VPX Express Edition des Citrix Netscalers ist jetzt nicht mehr auf 1MBit/s limitiert, sondern bietet den kompletten Funktionsumfang der Standard Edition – also auch den Betrieb im HA-Cluster – mit einer Durchsatzbegrenzung auf 5MBit/s. Für viele kleine Installationen im Perimeter (z.B. als Access Gateway und für das sichere Bereitstellen von externem Zugriff auf diverse Web Applikationen wie OWA und SharePoint) kann das schon ausreichend sein.

Weiterhin gibt es eine neue VPX Developer Edition für alle Kunden, die bezahlte VPX oder MPX Lizenzen besitzen. Die Developer Edition ist gedacht für Test- und Entwicklungsumgebungen und bietet den vollen Funktionsumfang der Platinum Edition (inklusive Web Application Firewall!) mit einem Durchsatzlimit von allerdings wieder 1MBit/s.

Quelle: Citrix Community Blogs

Citrix Receiver über Access Gateway Enterprise

Um über einen Access Gateway Enterprise (CAGEE) Virtual Server sowohl den Zugriff per Browser und Access Gateway Plug-In (Netzwerktunnel) als auch per Citrix Receiver vom iPhone, iPad, Android, Blackberry und so weiter zu ermöglichen, sind zwei Tricks nötig. Grund dafür ist, dass der Receiver die Anmeldedaten bei Verwendung von One Time Passwords (OTP) in der umgekehrten Reihenfolge sendet wie die Web-Schnittstelle: User, OTP, Password statt User, Password, OTP.

Voraussetzung: Zwei Web Interface Sites sind konfiguriert, eine für Access Gateway Zugriff (Authentifizierungspunkt: Access Gateway, Zugriffsmethode: Gateway direkt, auf dem/den WI-Servern wird FQDN des CAGEE auf interne/erreichbare VIP aufgelöst, STAs und Auth-Service URL sind konfiguriert) und eine Service Site (PNAgent).

Weiterhin gehe ich davon aus, dass die Anmeldung an Windows und interne Websites nur mit Benutzername + Passwort durchgeführt wird (für Single Sign On).

Dann sieht die Konfiguration des CAGEE VServers auf dem Netscaler aus wie folgt:

  • Zwei Authentication Server anlegen, LDAP (Active Directory) und Radius (Vasco, RSA oder andere OTP-Produkte)
  • Vier Athentication Policies anlegen, jeweils zwei für LDAP und Radius, die sich durch die Expression unterscheiden, anhand derer sie zur Anwendung kommen. Je eine Policy, die zu LDAP und Radius führt, verwendet als Expression „REQ.HTTP.HEADER User-Agent NOTCONTAINS CitrixReceiver“, das andere Pärchen „REQ.HTTP.HEADER User-Agent CONTAINS CitrixReceiver“. (durch die spätere Priorisierung könnte man bei einem Pärchen die Expression auch weglassen, aber so ist es doppelt sicher)
  • Zwei Session Profiles anlegen. Eines für den normalen Web-Zugriff so konfigurieren, wie man das Verhalten im Browser haben möchte (mit/ohne Clientless Access, mit/ohne Client Choices usw., Single Sign On Credential Index „Primary“) und mit der CAG Site als „Web Interface Address“ – das ist das Browser-Profile. Das Receiver Profile bekommt folgende Einstellungen: Split Tunnel „On“, Clientless Access „Off“, Web Interface Address = URL der PNAgent Service Site.
  • Zwei Session Policies anlegen. Eine wiederum mit der Expression „REQ.HTTP.HEADER User-Agent CONTAINS CitrixReceiver“, um entsprechend das Receiver-Profile auszuwählen, die andere die Negation.
  • CAGEE VServer anlegen, SSL Zertifikat binden.
  • Authentication Policies binden: Unter Primary wird mit niedrigerem Wert für die Priority die Policy gebunden, die den Receiver positiv bestimmt und die Radius-Authentifizierung erfordert, mit höherem Wert die den Receiver negativ (NOTCONTAINS) und dafür die LDAP-Authentifizierung bestimmt. Unter Secondary umgekehrt, d.h. oberste Prio ist Receiver auf LDAP und darunter NICHT Receiver auf Radius.
  • Session Policies binden: Oberste Priorität bekommt die Receiver-Policy, darunter die Browser-Policy.
  • STAs hinzufügen.

Das sollte es gewesen sein. Im Receiver auf Smartphone oder Tablet den Store konfigurieren zur Anmeldung an Access Gateway Enterprise und die entsprechenden Anmeldedaten eingeben (Speichern geht nicht, ist ja ein OTP beteiligt). Den Receiver für Windows besser mittels Merchandising Server parametrisieren und bereitstellen, dann lässt sich auch die Feldbeschriftung schöner setzen.

HP P4000 zulässige Zeichen im Passwort mit v9.0 geändert

Die Centralized Management Console (CMC) für HPs P4000 Storage Systeme kontrolliert bei der Passwortver- und -eingabe auf zulässige Zeichen. In Version 8.5 war zum Beispiel der Slash („/“) nicht zulässig. In Version 9.0 ist nun auf einmal auch der Punkt („.“) nicht mehr zulässig. War er vorher aber.

Doch, wirklich.

Und was ist nun, wenn ich ein Passwort mit einem Punkt gesetzt habe? Ich kann mich an die entsprechende Management Group nicht mehr anmelden. Also deinstalliere ich die CMC in Version 9 wieder, installiere wieder Version 8.5, ändere das Passwort und installiere wieder 9.0 (inkl. Deinstallation 8.5)? Besser: ich nutze das lokale Menü auf einem der Knoten und ändere das Passwort dort.

Oder ich weiß das vorher und spare mir die Fragezeichen. Da es nicht in den Papieren von HP steht, weiß ich es entweder nach dem ersten Mal oder nach dem Lesen dieses Artikels. 😉

Vortragsfolien: Herausforderungen beim Arbeiten in der Wolke

Vielen Dank für das große Interesse an dem Vortrag im Heise Forum auf der CeBIT!

Zwar findet natürlich der Großteil des Inhalts auf der Tonspur statt, aber erste Anregungen und Hilfestellungen vermitteln auch schon die Vortragsfolien, weshalb wir sie hier zum Download bereitstellen: ConsultingLounge_CeBIT2011_Herausforderungen beim Arbeiten in der Wolke

Mir ist zunächst wichtig, etwas Bodenhaftung in das Wolken-Thema zu bekommen. Im ersten Teil findet daher eine Positionsbestimmung statt, was – fragen Sie mal einen Piloten – ohne die richtigen Instrumente ziemlich schwierig ist in einer Cloud. Auch in der IT ist derzeit die zentrale Herausforderung, eine gemeinsame Auffassung davon herzustellen, wovon wir eigentlich reden, wenn es um „Cloud“ geht.

Die inflationäre Verwendung des Labels trägt nicht zu den Zielen bei, die wir als Berater haben: Klarheit. Orientierung an konkreten Anforderungen und Nutzen.

Dann wenden wir uns den Bereichen zu, in denen die Herausforderungen bestehen, die man bedenken und behandeln muss, wenn es um die Transition von Services (Leistungen, Diensten, Anwendungen) in die Cloud geht. Diese sind sowohl technischer als auch betriebswirtschaftlicher Natur. Ein Berater-Team sollte beide Seiten abdecken, denn eine einseitige Herangehensweise wird nicht zu einem sicheren und erfolgreichen Ziel führen.

Ziele sind es aber, die beim Weg in die Wolke als erstes definiert werden müssen. Warum wollen Unternehmen überhaupt in die Cloud? Was sind meine Optimierungsziele? Dazu muss zuerst herausgefunden werden, welche Services das Unternehmen betreibt und benötigt und was diese im aktuellen Produktionsmodell kosten und leisten – sonst kann keine Entscheidung getroffen werden, ob durch den Einsatz eines Cloud Modells überhaupt Verbesserungen erzielt werden.

Kommen Sie mit weiteren Fragen gerne auf uns zu – Kontaktdaten finden Sie unter anderem in den Folien.

Citrix Access Gateway Enterprise Theme / Interface anpassen

Citrix hat für die Enterprise Edition 9.x ein weißes Theme zur Verfügung gestellt, das sich wie folgt installieren lässt:

  • Archiv von http://support.citrix.com/article/CTX123607 herunterladen, auf den Netscaler / das CAGEE kopieren, z.B. nach „/var“
  • Testweise entpacken: „tar -xvzf /var/AGEE_white_theme.gz -C  /netscaler/ns_gui/vpn/images/“
  • Wenn das Ergebnis zufriedenstellend ist, die obige Zeile eintragen in „/nsconfig/rc.netscaler“ (dann wird bei jedem Bootvorgang wieder das Theme ersetzt, sonst ist die Änderung nach einem Reboot verloren)

 Allgemein bzw. darüber hinaus lässt sich das Webinterface des CAGEE auch inhaltlich anpassen. Da die Informationen dazu über diverse Dokumente in der Citrix Knowledge Base verteilt sind, hier eine Übersicht:

  • Ein Verzeichnis für die angepassten Dateien anlegen, zum Beispiel „/var/custom“ – das ist nötig, damit Anpassungen einen Reboot überleben können, denn beim Booten werden die Original-Dateien immer wieder hergestellt
  • Unter „/netscaler/ns_gui/vpn/“ die Dateien index.html und login.js nach Wunsch anpassen
  • Die Lokalisierung in verschiedene Sprachen findet über Ressourcen unter „/netscaler/ns_gui/vpn/resources/“ statt – hier können alle Texte geändert werden
  • Alle angepassten Dateien in das oben erstellte Verzeichnis kopieren („/var/custom“)
  • In das Boot-Script „/nsconfig/rc.netscaler“ Copy-Aufrufe eintragen, die die angepassten Dateien an die entsprechenden Stellen unterhalb von „/netscaler/ns_gui/vpn/“ kopieren – das könnte bei passend angelegter Verzeichnisstruktur so aussehen: „cp -r /var/custom/* /netscaler/ns_gui/vpn/“
  • Beim Testen darauf achten, Browser und Proxy Caches zu leeren. 🙂

Vortrag: Herausforderungen beim Arbeiten in der Wolke

CeBIT, 2. März 2011, 15:15 Uhr, Heise Forum Sicherheit und IT-Recht (Halle 5, E38)

Was Sie auf dem Weg zum Cloud Computing bedenken sollten

 Stell‘ Dir vor, alle reden von Cloud und keiner geht hin. Der deutsche Mittelstand zögert. „Cloud“ ist viel zu nebulös, um allgemeingültige Aussagen über den Nutzen zu treffen. Die Consulting»Lounge kann Sie als Nebelscheinwerfer auf dem Weg in die Cloud unterstützen. Wir stellen die Herausforderungen vor, die auf diesem Weg zu bedenken sind, der schon ein ganzes Stück vor der Wolke beginnt und nicht zwingend hinein führt.

SP1 für Server 2008 R2 und Windows 7 ist RTM

Das Servicepack 1 für Server 2008 R2 und Windows 7 ist seit dem 09.02.2011 RTM (Release to Manufacture).

Für TechNet-Abonnenten und Volume Licensing-Kunden wird es ab dem 16.02. verfügbar sein, am 22.02. findet es sich dann auch in Windows Update und dem Microsoft Download Center.

Das Service Pack bringt eine Zusammenfassung der Updates seit dem Release der Betriebssysteme, neue Features bekommt nur der Server spendiert: RemoteFX und DynamicMemory.

DynamicMemory für Hyper-V ist Microsofts Antwort auf die VMware ESX und Citrix XenServer Lösungen einen Memory Overcommit zu ermöglichen, also den VMs insgesamt mehr virtuellen RAM zur Verfügung zu stellen als physikalisch vorhanden ist.

Dabei wird der Arbeitsspeicher dynamisch verteilt statt in Pagefiles zu schreiben. Die VM teilt dem Hypervisor mit, wie viel RAM sie effektiv belegt und bekommt diesen zugeteilt. Dadurch stehen Speicherbereiche, die sonst reserviert wären, zur Verfügung und können von weiteren VMs genutzt werden. Wird mehr RAM benötigt als physisch vorhanden ist, nutzt der Hypervisor wie zuvor Pagefiles.

Dank dieser Technik lässt sich die Auslastung des physischen Speichers verbessern und es können mehr Systeme bereitgestellt werden, so lange die Auslastung innerhalb der virtuellen Maschinen sich unterhalb des maximal zugeteilten Wertes bewegt.

RemoteFX ist eine Erweiterung des RDP-Protokolls von Microsoft. Diese ermöglicht es, anspruchsvolle grafische Inhalte wie Flash, Silverlight oder 3D-Anwendungen von der GPU beschleunigen zu lassen.

Ist im Client eine entsprechende Grafikkarte verbaut, werden die Inhalte auf dem Clientsystem berechnet. Werden hingegen ThinClients oder ähnliche Systeme ohne entsprechende Hardware genutzt, kann der Server diese Aufgabe übernehmen. Voraussetzung ist natürlich, dass er eine entsprechend leistungsfähige Grafikkarte verbaut hat.

Die Serverhersteller arbeiten bereits an entsprechenden Systemen mit der nötigen Hardwarebasis, da die aktuell verwendeten Grafikkarten selten zu den leistungsfähigen am Markt zählen. Die Nutzbarkeit beschränkt sich aufgrund gestiegener Bandbreitenanforderungen hingegen auf das lokale Netzwerk (LAN). Für Verbindungen über das WAN empfehlen sich wie bisher die Mehrwertlösungen von Citrix (XenApp, XenDesktop), die das hochoptimierte HDX-Protokoll verwenden.

Durch diese beiden Features werden alleine mit Windows Bordmitteln aber neue Möglichkeiten der Bereitstellung von VDI Umgebungen gegeben. So lassen sich mehr Clientsysteme auf weniger physischen Hosts bereitstellen und nutzen als dies bisher möglich war.

Chrome Instant – Fluch oder Segen?

Vor Kurzem erschien die neuste Version von Googles Hausbrowser „Chrome“. In diesem wurde ein neues Feature implementiert, das sich „Chrome Instant“ nennt. Womöglich kennen Sie „Google Instant“, eine Funktion, die Ihnen bereits die Suchergebnisse beim Tippen anzeigt. „Chrome Instant“ überträgt diese Technik in die Adressleiste des Browsers: Noch während Sie tippen, wird die vermutete Zielseite geladen – ohne, dass Sie etwas dafür tun müssen.

So komfortabel diese Funktion auch ist, sie hat diverse Nachteile: Wird eine Webseite geladen, noch während der Anwender tippt, ist nicht vollständig sichergestellt, dass der Anwender auch diese Seite tatsächlich besuchen möchte. So wird bei der Eingabe von „stern“ vermutlich die Webseite „stern.de“ geladen, erst im weiteren Verlauf fügt der Anwender ein „-tv.de“ hinzu, um die Adresse zu komplettieren: „stern-tv.de“. Durch den unnötigen Aufruf von stern.de wurde selbstverständlich Bandbreite in Anspruch genommen, die womöglich anderen Verbindungen zur Verfügung hätte stehen können. Je größer das Unternehmen, desto kritischer wird das ständige Vorausladen „auf gut Glück“.

Auch Administratoren von Webservern werden die Hände über dem Kopf zusammenschlagen: Ihre Zugriffs-Logs werden in Zukunft häufiger von 404-Fehlern übersät sein, da die gewünschte Adresse vom Anwender noch nicht komplett eingegeben wurde und so ein Zugriffsfehler provoziert wurde. Auch hier gilt: Jeder Aufruf einer Webseite, sei es mit echten Inhalten oder einer Fehlerseite, beansprucht Bandbreite des Webservers, was bei hochfrequentierten Seiten zu Performance-Problemen führen kann.

Die Marketing-Abteilung wird das neue Feature des Browsers besonders kritisch beäugen: Das gut ausgeklügelte System zur Optimierung der Webseite bricht in sich zusammen, wenn die Statistiken über Besucherherkunft, Besucherbewegung auf der Webseite und Klickstrecken mit Datenmüll durch ungewollte Aufrufe unbrauchbar werden. Es ist zudem kein Verlass mehr auf die Page Impressions, da man nicht sicher sagen kann, ob eine Seite tatsächlich aufgerufen und gelesen wurde oder ob die Page Impression ein Produkt von „Chrome Instant“ ist.

Zuletzt ist es wieder ein Schritt Richtung Kontrollverlust des Anwenders über sein Arbeitsgerät. Immerhin muss „Chrome Instant“ (noch) vom Anwender aktiviert werden. Aktuell hat Google Chrome eine Verbreitung von bis zu 20% (laut w3schools.com), doch der Browser konnte in den vergangenen Monaten in großen Schritten zu Konkurrenten wie Firefox und Internet Explorer aufschließen. Es ist also nur eine Frage der Zeit, bis man sich Methoden überlegen muss, wie man mit dem wohl gut gemeinten, aber schwer kontrollierbaren Feature umgehen wird.