Zuverlässige öffentliche DNS-Server

DNS-Server werden vom Internetprovider zur Verfügung gestellt. Aber was macht man, wenn man zwei Leitungen von unterschiedlichen Providern an einer Firewall betreiben möchte?

Die Firma Level 3 Communications betreibt auf folgenden IP-Adressen DNS-Cluster. Diese sind aus allen Netzen verfügbar:

4.2.2.1
4.2.2.2
4.2.2.3
4.2.2.4
4.2.2.5
4.2.2.6

Alternativ können die Google-DNS-Server verwendet werden. Diese sind allerdings in der letzten Zeit hin und wieder durch schlechte Reaktionszeiten negativ aufgefallen – wahrscheinlich aufgrund von DoS-Attacken.

8.8.8.8
8.8.4.4

Weitere Server können im Wiki der Firewall-Distribution IPFire nachgeschlagen werden:
https://wiki.ipfire.org/dns/public-servers

VMware vSphere-Client Download nicht möglich

Firma VMware setzt nun auf den Webclient für vSphere. Ältere Downloadlinks, zum Beispiel von der Webseite eines ESXi 5.5 – Hosts, sind wahrscheinlich deshalb nicht mehr gültig:

VMware war so nett und hat einen KB-Artikel veröffentlicht, in dem die Links zu allen Versionen nochmals aufgelistet werden:

https://kb.vmware.com/s/article/2089791?language=en_US&sliceId=1&dialogID=889034206&docTypeID=DT_KB_1_1&stateId=0+0+889036554

DD-WRT und KRACK-Attack

Wer DD-WRT nutzt, sollte schnellstens patchen, da Linux eines der Betriebssysteme ist, welches besonders angreifbar für KRACK ist.

Momentan gibt es erst ein Beta-Release einer Firmware, die diese Lücke schließen soll. Das entsprechende Release-Build lautet r33555 und kann hier bezogen werden:

ftp://ftp.dd-wrt.com/betas/2017/10-20-2017-r33555/

Das Update kann einfach über das Webinterface der Routerfirmware eingespielt werden.

DD-WRT Firmware Update

WSUS-Installation auf Server 2012: „Post install error HTTP-Status 503“

Nachdem ich auf einem Windows Server 2012 R2 die WSUS-Rolle hinzugefügt hatte, konnte ich den Setup-Wizard über die WSUS-Konsole nicht öffnen, um die Konfiguration des WSUS abzuschließen.

Die Konsole erzeugte folgenden Fehler:

Log file is located at C:\Users\administrator.DOMAIN\Appdata\Local\Temp\tmpF7EC.tmp
Post install is starting
Fatal Error: Failed to start and configure the WSUS service

Das in der Fehlermeldung angegebene Logfile beinhaltete folgende Informationen:

Scheinbar ein Problem, den IIS zu konfigurieren, denn es wurde ein HTTP-Error 503 zurückgegeben.

Nachdem ich den virtuellen Host im IIS für die WSUS-Verwaltung gelöscht hatte, war ein Durchführen der Post-Installationsroutine und ein Ausführen des Konfigurationswizards wieder möglich.

Ubuntu ESM-Message nach Upgrade

This Ubuntu 12.04 LTS system is past its End of Life, and is no longer
receiving security updates. To protect the integrity of this system, it’s
critical that you enable Extended Security Maintenance updates:
* https://www.ubuntu.com/esm

Die Meldung in der Motd verschwand nicht nach einem Dist-Upgrade und hat mich genervt. Daher wurde dem Skript der garaus gemacht:

# cd /etc/update-motd.d/
/etc/update-motd.d# mkdir disabled; mv 99-esm disabled

Apache2 mit sicherer TLS-Verschlüsselung

Serverweite Konfiguration

In der Regel möchte man die Sicherheitseinstellungen auf dem Server global für alle virtuellen Hosts übernehmen. Daher konfiguriere ich diese Settings unter Ubuntu in der /etc/apache2/conf-enabled/security.conf bzw. der /etc/apache2/conf-available/security.conf (wo der Symlink hinzeigt).

In der ersten Zeile bestimme ich, welche SSL-Prokotolle Anwendung finden. Aufgrund von POODLE etc. ist SSL gar keine Option mehr, ich schalte SSL in beiden Versionen serverweit ab.

Der Parameter SSLHonorCipherOrder besagt grob beschrieben, dass nicht der Client die Cipher vorgibt, sondern dass der Server mit dem Client einen Cipher aus der Liste SSL-CipherSuite aushandelt.

# Make SSL secure again
SSLProtocol ALL -SSLv2 -SSLv3
SSLHonorCipherOrder   On
SSLCipherSuite        DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES256-SHA:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA
SSLCompression        off
SSLUseStapling        On
SSLStaplingCache      "shmcb:${APACHE_RUN_DIR}/stapling_cache(128000)"

In der Tat braucht es für eine sichere Konfiguration nur noch 4 Cipher.

Sollte eine Konfiguration nötig sein, die auch Windows XP unterstützt (Internet Explorer 6), ist die empfohlene Cipher-Suite die folgende:

SSLCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:ECDHE-RSA-AES128-SHA:DHE-RSA-AES128-GCM-SHA256:AES256+EDH:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES256-GCM-SHA384:AES128-GCM-SHA256:AES256-SHA256:AES128-SHA256:AES256-SHA:AES128-SHA:DES-CBC3-SHA:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4

Konfiguration virtueller Host

Hierzu muss Mod_headers aktiviert sein. Des Weiteren ist darauf zu achten, dass diese Ergänzung nur im SSL-Teil eines virtuellen Hosts vorgenommen werden kann.

<IfModule mod_headers.c>
  Header always set Strict-Transport-Security "max-age=31556926"
</IfModule>

Diese Zeile im virtuellen Host bewirkt, dass der Browser sich merkt, dass die soeben besuchte Seite nur über HTTPS anzusprechen ist. Durch max-age stellen wir die TTL (Time To Live) für diesen Eintrag in der Browserdatenbank ein, sprich wie lange der Wert Gültigkeit hat, bis er wieder verfällt und der Browser einen Aufruf über HTTP versuchen würde. Interessanterweise wird beginnt der Zeitraum nach jedem Aufruf von neu. Dieses Verfahren nennt sich HSTS.

Testen der Konfiguration

Auf https://www.ssllabs.com/ssltest/ kann man seine Serverkonfiguration testen. Viel Spaß!

Exchange-Kontakt aus Adressbuch ausblenden

Leider ist es bei Exchange 2013 nicht mehr über die GUI möglich, einen angelegten Kotakt aus dem Adressbuch auszublenden. Um dies zu erreichen muss folgender Powershell-Befehl angewendet werden:

C:\> Set-MailContact <contact alias> -HiddenFromAddressListsEnabled $true

Um zu überprüfen, ob der Befehl erfolgreich angewendet worden ist, kann mittels dieses Kommandos eine Kontrolle erfolgen:

C:\> Get-MailContact <contact alias> | fl *hidden*

Domain Controller Replikation wiederherstellen mit den BurFlags

AD: Nicht autorisierende Wiederherstellung

Zunächst muss der Dateireplikationsdienst gestoppt werden:

net stop ntfrs

Dann muss folgende Regkey editiert werden:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NtFrs\Parameters\Backup/Restore\Process at Startup

Der DWORD BurFlags bekommt den Wert D2.

Im Anschluss muss der Dienst wieder gestartet werden

net start ntfrs

AD: Autorisierende Wiederherstellung

Zunächst muss der Dateireplikationsdienst gestoppt werden:

net stop ntfrs

Dann muss folgende Regkey editiert werden:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NtFrs\Parameters\Backup/Restore\Process at Startup

Der DWORD BurFlags bekommt den Wert D4.

Im Anschluss muss der Dienst wieder gestartet werden

net start ntfrs

Server 2012 WSUS und Trend Micro

Schon mehrfach ist mir aufgefallen, dass die WSUS Management Konsole auf einem Server 2012 nicht mehr reagiert, wenn Worry Free Business Security von Trend Micro auf dem Server installiert ist. Scheinbar ist die Problematik mittlerweile auch bei Trend Micro bemerkt worden. Dieser Artikel https://success.trendmicro.com/solution/1110719-fixing-compatibility-issues-with-microsoft-windows-system-update-server-wsus-in-wfbs beschreibt, wie man das Problem löst.

Exchange Logfiles aufräumen

Seit Exchange 2013 ist das Logging wirklich mehr als ausführlich geworden. Da kommt es häufiger vor,  dass die Festplatte, auf der die Logs abgelegt werden, quasi überquellt. Im Standardfall ist dies Laufwerk C: und hat den Systemstillstand zu Folge.

Folgendes Powershell-Skript sucht alle Logs zusammen uns wirft sie weg, wenn sie älter als X Tage sind. In diesem Beispiel wird alles älter 30 Tage gelöscht:

Get-ChildItem 'C:\Program Files\Microsoft\Exchange Server\V15\Logging','C:\Inetpub\Logs' -Directory | Get-ChildItem -Include '*.log','*.blg' -Recurse | ? LastWriteTime -lt (Get-Date).AddDays(-30) | Remove-Item