IT-Security

/etc/Muttrc bzw. /etc/Muttrc.d/smime-paths.rc beinhaltet einen Bug in Versionen zwischen 2005 und 2009 bezüglich Verschlüsselung von E-Mails mit S/MIME:

set smime_encrypt_command="openssl smime -encrypt %a -outform DER -in %f %c"

Das '-' vor dem %a fehlt, richtig ist dagegen:

set smime_encrypt_command="openssl smime -encrypt -%a -outform DER -in %f %c"

Dieser Bug wurde 2005 mit dieser Änderung auf der Debian-Mailingliste eingebaut:

http://www.mail-archive.com/debian-bugs-dist@lists.debian.org/msg61199.html

und leider erst in 2009 im Rahmen dieser Änderung auf der Debian-Mailingliste gefixt:

http://www.mail-archive.com/debian-bugs-dist@lists.debian.org/msg607303.html

Das Einleitungsdokument ISO/IEC 27000:2009 zur ISO-Normenfamilie ISO/IEC 27xxx wurde jetzt veröffentlicht. Es enthält einen Überblick, wofür das Informationssicherheits-Managementsystem nach ISO/IEC 27001 gedacht ist und welche ergänzenden Standards es im Rahmen der ISO/IEC 27xxx Normenfamilie gibt.

Das Dokument lässt sich abrufen unter: Freely Available Standards @ iso.org

Ich hatte es gehofft, und es klappt tatsächlich: Die IT-Security-Area zieht nach Nürnberg um:

IT-SA

Einer der größten IT-Sicherheits-Events im deutschsprachigen Raum - die IT-SecurityArea

IT-SA 2009: Der SecuMedia Verlag wird die führende IT-Sicherheitsveranstaltung 2009 fortsetzen und sogar thematisch ausbauen.

Die nächste IT-SA wird als eigenständige Veranstaltung von 13.-15. Oktober in Nürnberg stattfinden.

Nach 39 Jahren Systems entschließt sich die Messe München leider, die Messe zu zerhacken. Eine Traditionsmesse der IT-Branche geht dahin, jetzt haben wir nur noch die CeBIT als Traditionsnamen.

Nur gut, dass die Veranstalter der IT Security-Area eigene Akzente setzen und den Standort verlegen. Der Security-Teil wird wohl weiter in der alten Form bestehen bleiben. Und das ist gut so: Die Halle mit der IT-Security-Area war seit Ende des New-Economy-Hypes ja nach wie vor der starke Publikumsmagnet der Systems.

Endlich ist es soweit - die neue CheckPoint-Firewall-Version ist da: CheckPoint NGX (R60).
Dies ist die erste Major-Release seit dem Jahr 2001, als die "CheckPoint Next Generation (NG)" veröffentlicht wurde.
In den einzelnen Minor-Releases FP1, FP2, FP3, R54 und R55 der R5x-Serie hat CheckPoint die Funktionalität aber schon ein ganzes Stück weiterentwickelt, so dass der Leistungsumfang in der neuesten Version R60 gar nicht mal so sehr überrascht, wenn man up to date geblieben ist.

In CheckPoint NGX finden sich aber nun auch alle Features wieder, die man sich in den bisherigen Versionen nur erträumen konnte:

Unterstützung von "Interoperable Devices" mit dynamischer IP-Adresse

Soweit die Gegenstelle eine dynamische IP-Adresse hatet, konnten in der Vergangenheit lediglich CheckPoint-Systeme untereinander Site-to-Site-VPN-Verbindungen unterhalten. (Man konnte vielleicht noch mit der ipassignment.conf tricksen, in einer Firewall-Cluster-Umgebung jedoch auch nur eingeschränkt). Künftig geht dies nun auch mit Drittherstellerprodukten.

Der Fallstrick, dass "Support key exchange for subnets" für ein "Interoperable Device" standardmäßig angehakt ist, jedoch IPsec-Gateways, die nicht von CheckPoint stammen, in der Regel keine IP-Adressbereichs-Aggregierung in IKE Phase 2 unterstützen, ist traditionell erhalten geblieben.

CheckPoint hat seine VPN-Engine insgesamt sehr vorbildlich überarbeitet und neue Konfigurationsmöglichkeiten eingebaut, die die VPN-Unterstützung stark abrunden (z. B. welche IP-Adresse für den eigenen VPN-Tunnel-Endpunkt verwendet werden soll).

Darüberhinaus wurde die VPN-Protokollierung im SmartView Tracker verbessert, so dass die Fehlerdiagnose nun einfacher geworden ist.