Squid und Active Directory

Die folgende Konfiguration bezieht sich auf eine Red Hat Enterprise Linux ES release 4 (Nahant Update 2) System und verwendet das Programm squid_ldap_auth, welches Bestandteil vom squid-2.5.STABLE6-3.4E.11 RPM-Paket ist.

External Auth-Programm in der /etc/squid/squid.conf definieren.

auth_param basic program
/usr/lib/squid/squid_ldap_auth
-h 1.2.3.4
-b "cn=Users,dc=btmx,dc=net"
-f userPrincipalName=%s@btmx.net
-D "cn=Administrator,cn=Users,dc=btmx,dc=net"
-w geheim

Die Option -h entspricht der Ip-Adresse des Active Directory-Servers. Die Optionen -D und -w entsprechen der Administrator Anmeldung. Mit -f wird das Attribut definiert, mit dessen Hilfe der Benutzer unterhalb von -b identifiziert wird.

Die korrekte Funktion der Konfigurationszeile kann leicht getestet werden, in dem der Befehl (ohne auth_param basic program) auf der Konsole ausgeführt wird.

Als Eingabe erwartet der Befehl den Usernamen und das Kennwort. Werden beide durch ein Leerzeichen getrennt und mit Return bestätigt, erhält man OK oder ERR als Antwort.

Die folgenden Einstellungen sind per Default gesetzt und beeinflussen das Verhalten der Authentifizierung. Die Beteutung und Wertebereiche sind in der /etc/squid/squid.conf dokumentiert.

auth_param basic children 5
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 2 hours
auth_param basic casesensitive off

Eine Squid ACL für die berechtigten Benutzer definieren. Das Schlüsselwort REQUIRED besagt, das alle korrekt authentifizierten Benutzer von der ACL beschrieben werden.

In der /etc/squid/squid.conf finden sich Beispiele, wie der ACL auf wenige Benutzer beschränkt werden kann.

acl ad_user proxy_auth REQUIRED

Auf Grundlage der definierten ACL muss der Zugriff für die korrekt angemeldeten Benutzer erlaubt werden.

http_access allow ad_user

Zum Schluss müss der Squid mit dem Kommando /etc/init.d/squid restart neu gestartet werden.

Portable Software

Wenn man unterwegs ist, möchte man gerne die lieb gewonnenen Applikationen nutzen. Die portableapps.com laufen von einem USB-Stick oder einer externen Festplatte, wobei sie auf dem Rechner selber keinerlei Daten ablegen, sondern eben auf dem externen Device. Neben Anwendungen wie Firefox und Thunderbird steht beispielsweise auch OpenOffice oder GIMP zum Download bereit.

Weitere Links

Ethereal, Nmap und Jahshaka

Der Entwickler Gerald Combs des populären Netzwerkprotokoll-Analyzer Ethereal hat den Arbeitgeber gewechselt. Da der alte – die Ethereal Inc. – alle Namensrechte am gleichnamigen Programm hällt, ist das gesamte Projekt mit allen Resourcen nach http://www.wireshark.org/ umgezogen und wird ab sofort unter dem Namen Wireshark weiter entwickelt.

Die Signaturdatenbank des Netzwerkscanners Nmap ist um 300 Einträge auf 3441 aufgestockt worden und kann nun rund 400 Protokolle identifizieren.

ZMap is an open-source network scanner that enables researchers to easily perform Internet-wide network studies. With a single machine and a well provisioned network uplink, ZMap is capable of performing a complete scan of the IPv4 address space in under 45 minutes, approaching the theoretical limit of gigabit Ethernet.“

Bisher konkurrenzlos ist der Open-Source Filmeffektgenerator Jahshake 2.0 erschienen. Als vollständiges Framework zum Erzeugen von Animationen nutzt er die Grafikhardware und wesentlich schneller, als Programme die die CPU nutzen, arbeiten. Gelegentliche Abstürze und eine wenig intuitive Bedienung trüben das Bild, von diesem sonst sehr leistungsfähigen Werkzeug.

Backtrack 1.0

Backtrack Screenshot Die Projekte Auditor Security Collection und WAHX wurden zusammengelegt und haben die erste Version der neuen Security-Live-CD unter dem Namen Backtrack veröffentlicht. Weitere Informationen und der Download finden sich hier.

Ip-Port weiterleiten mit iptables

Einen Ip-Quellport kann mit dem Tool iptables leicht auf eine andere Ziel-IP und/oder Zielport weitergeleitet werden.

iptables -t nat -A PREROUTING -p tcp –-dport 8080 -i eth0 -j DNAT –-to 192.168.13.1:80

Muss nur der Quellport auf dem lokalen Server umgelenkt werden, reicht der fogende Befehl.

iptables -t nat -I PREROUTING 1 -p tcp –-dport 8080 -j REDIRECT –-to-port 80

Um alle NAT-Regeln anzeigen zu lassen, kann das Kommando iptables -t nat -n -L verwendet werden.

Netscreen und PPTP

PPTP verwendet für die Kommunikation den Server-Port 1723 (TCP) sowie das Ip-Protokoll 47. GRE – das Protokoll 47, in welches die PPP-Pakete verpackt werden – kennt keine Ports. So ist die Netscreen auf eine eindeutige Absender-Ip-Adresse angewiesen, um die Pakete korrekt zu beantworten.

Wenn man nur eine externe Adresse zur Verfügung hat und mit Hilfe einer VIP die PPTP-Pakete auf einen internen Server leiten, muss man die Netscreen mit dem VIP multi-port command in die Lage versetzt werden, auf mehr als einem Port zu lauschen. Das Kommando set vip multi-port wird mit einer Warnung quittiert, welche über den notwendigen Neustart informiert.

set vip multi-port
save
reset

Das multi-port command verwendet immer den ersten Custom Service, dessen Port angesprochen wird.

set service CustomPPTP group "other" 47 src 2048-2048 dst 2048-2048
set service CustomPPTP + tcp src 0-65535 dst 1723-1723
set interface eth3 vip untrust-ip 2048 CustomPPTP 192.168.13.5
set policy from untrust to trust "Any" VIP(ethernet3) CustomPPTP Permit

Weitere Links