News

About Unified Communications, Collaboration & Enterprise Mobility

Blackberry Storm vs. iPhone 3G vs. T-Mobile Android G1

Interessanter vergleich:

Blackberry Storm vs. iPhone 3G vs. T-Mobile G1

Blackberry Storm vs. iPhone 3G vs. T-Mobile G1

T-Mobile G1Apple iPhone 3GBlackberry Storm
Abmessungen11,7 x 5,5 x 1,6 cm11,5 x 6,2 x 1,2 cm11,2 x 6,1 x 1,3 cm
Display-Größe3,2 Zoll3,5 Zoll3,25 Zoll
BedienungTouchscreen, QWERTY-Tastatur, Trackball, Navigationstasten – keine Unterstützung für Multitouch-GestenTouchscreen, Home-Taste, Unterstützung von Multitouch-GestenTouchscreen mit ClickThrough-Eingabetechnik, Unterstützung für Multitouch-Gesten, vier mechanische Tasten unterhalb der Anzeige
Kamera3,2 Megapixel, keine Video-Aufzeichnung2,0 Megapixel, keine Video-Aufzeichnung3,2 Megapixel, Foto-LED, Video-Funktion
WirelessQuad-band GSM, Dualband UMTS, WLAN, Bluetooth – keine Unterstützung von A2DPQuad-band GSM, Tri-band UMTS/HSDPA, WLAN, Bluetooth – keine Unterstützung von A2DPQuad-band GSM, Single-Band UMTS/HSDPA, Dual-Band CDMA, kein WLAN, Bluetooth mit A2DP
Beschleunigungs-sensorjajaja
GPS jajaja
KartenGoogle Maps mit Satelliten-Ansicht, Verkehrslage und Streetview; integrierter Kompass richtet die Darstellung an die Blickrichtung ausGoogle Maps mit Satelliten-Ansicht und Verkehrslage; kein StreetviewGoogle Maps mit Satelliten-Ansicht, kein Streetview, optionale Navigations-Anwendungen
SpeicherMicroSD-Kartenslot mit Unterstützung von MicroSDHC-Karten, 1-GByte-Karte im Lieferumfang enthalten8 GByte oder 16 GByte, kein Slot für Speicherkarten128 MByte, Slot für MicroSDHC-Karten bis 16 GByte, 1-GByte-MicroSD-Karte im Lieferumfang enthalten
E-MailPush Google Mail, POP3, IMAP, kein ExchangePOP3, IMAP, ExchangePOP3, IMAP, Exchange, OWA, Domino, GroupWise
Synchronisationüber das Handy-Netzüber iTunes via USB am Rechner, mit Exchange auch über das Handynetzlokal mit mitgelieferter Software, mit Blackberry Enterprise Server auch übers Netz
Visual Voicemailbislang nicht bekanntjanein
Integrierter MusikshopAmazon MP3 StoreiTunes Storenein
Applikationen 3. AnbieterAndroid Market: Software-Development-Kit (SDK) für Entwickler, keine Überprüfung der Software durch GoogleiTunes Application Store: Apple überprüft alle Anwendungen; alternativ mit geknackter Firmware (”Jailbreak”) auch Installation nicht signierter AnwendungenBlackberry App Center: SDK für Entwickler verfügbar
MMSjaneinja
Copy & Pastejaneinja
Sprachwahljaneinvermutlich ja (QWERTZ-Tastatur-Layout ist einstellbar)
3,5-Millimeter-Klinkenbuchseneinjaja
Austauschbarer Akkujaneinja
US-Preis179 $ mit Zweijahresvertrag199 $ (8 GByte) bzw. 299 $ (16 GByte) mit Zweijahresvertragsteht noch nicht fest
Tarife (USA)35 $ im Monat für Flatrate für Internet, E-Mail, SMS und Hotspots; alternativ 25 $ im Monat für Internet, E-Mail, Google Talk und 400 Nachrichten (SMS, MMS, Instant Messenger); 1 GByte Traffic pro Monat30 $ bzw. 45 $ im Monat für Datenflatrate, 200 SMS kosten 5 $, 1500 SMS kosten 15 $, unbegrenzte SMS für 20 $steht noch nicht fest

Via cnet.de

Cisco Device Security mini HowTo

Ich habe gestern diverse Antworten in einem Forum zum Thema Cisco Device (Router und Swiches) Sicherheit gepostet. Es scheint also so, als ob immer wieder Fragen zu diesem Thema auftauchen. Also habe ich mir mal die Mühe gemacht, die wichtigsten Parameter zusammen zu tragen und zu beschreiben.

Benutzer Accounts
Ss sollte immer eine Zentralle Userverwaltung per RADIUS oder TACACS+ verwendet werden. Sollten kein solcher Dienst verfügbar sein, dann sollte darauf geachtet werden, dass keine default User wie “cisco” oder “admin” verwendet werden. Diese User werden als erstes versucht! Passwörter sollten sicher aufbewahrt werden. Nichts ist gefährlicher als ein Internet-Router auf den ein Fremder von außen zugreifen kann!
Login User sollten immer relativ wenig Rechte haben und dann per “enable” zum Administrator gemacht werden. Sollte mal ein Account vergessen gehen, ist er nach dem wechsel des “enable” Passworts auch ausgesperrt :)

Password Encryption
Cisco bietet die Möglichkeit Passwörter in Klarschrift in der Konfiguration zu speichern, das sollte auf jeden Fall vermieden werden! Zusätzlich sollten alle Passwörter möglichst komplex sein. Man glaubt nicht, wie oft versucht wird solche Passwörter zu knacken :)
Es ist auch wichtig, dass lokale “enable”-Mode Passwort mit einem komplexen Passwort gesichert ist.
Beispiel:
enable secret 5 $1$X81v$PuAopBiXHEVyULzFZQCC$0

Log Message Format
Cisco liefert ein Logformat, dass ich persönlich als relativ nutzlos ansehe, denn das Datumsformat versteht keiner!
Gerade wenn ein zentraler Logfile-Server genutzt wird, was ich dringend empfehle, dann sollte das Datum so formatiert werden, dass es dort auch richtig interpretiert werden kann… Auch von Tools.
! Show usefull timestamps in our logs
service timestamps debug datetime msec show-timezone localtime
service timestamps log datetime msec show-timezone localtime

Banners
Banner werden Usern angezeigt, wenn diese auf das Device zugreifen. Da das System, hoffentlich, überwacht wird, sollte hier direkt ein Hinweis darauf erfolgen
Das zweite Banner wird dem User nach einem erfolgreichen Login angezeigt. Hier können ggf. Support Informationen ausgegeben werden.
banner login _
This system is a restricted access system.
f collected security information reveals possible criminal activity that
exceeds privileges, evidence of such activity may be provided to the
relevant authorities for further action. By continuing past this point,
you expressly consent to this security monitoring.
_

banner motd _
This system is a restricted access system.
f collected security information reveals possible criminal activity that
exceeds privileges, evidence of such activity may be provided to the
relevant authorities for further action. By continuing past this point,
you expressly consent to this security monitoring
_

Disable Unused Services
Per Default sind eine Menge Dienste auf jedem Cisco Device aktiviert, hier besteht nun die Möglichkeit diese zu deaktivieren.
Wichtiger Hinweis: Auf einem Device, dass via Internet erreichbar ist sollte kein Webserver aktiviert sein. Solange das Device nur aus dem Intranet erreichbar ist, kann es nützlich sein, wenn die Webserver aktiviert bleiben, Gerade wenn auf einem Router Cisco CallManager Express verwendet werden soll, ist es oft erforderlich. Dann ist es auch sinnvoll/erforderlich das DHCP aktiviert ist.

Dynamic Host Configuration Protocol.
no service dhcp

Build HTTP server
no ip http server

Build HTTPs server
no ip http secure-server

UDP Small Services (echo, chargen).
no service udp-small-servers

TCP Small Services (echo, chargen).
no service tcp-small-servers

Routing.
no ip routing

Local Access
Dieser Punkt ist wichtig, wird aber extrem oft nicht beachtet. An der lokalen Konsole kann eine “password recovery procedure” durchgeführt werden. Damit ist es möglich, dass der Passwortschutz umgangen wird. Sobald eine Person also Zugang zu dem Device hat und eine Suchmaschine bedienen kann, könnte er nicht nur Zugriff auf dieses Device erlangen, er könnte darüber auch auf alle anderen erreichbaren Devices zugreifen!
line con 0
session-timeout 5
login local
transport input none
transport output none
stopbits 1

Network Access
Der Netzwerkzugriff sollte nur über Secure Shell (SSH) erfolgen! Um von einem Device aus auf ein anderes Device zuzugreifen (Hopping) sollte auch nur SSH verwendet werden. Andere Möglichkeiten (Telnet) werden per “transport output none” Befehl deaktiviert.
line vty 0 4
session-timeout 5
access-class 10 in vrf-also
login local
transport input ssh
transport output none

Miscellaneous Options
Die folgenden Optionen sind nicht zwingen Relevant, wenn es um das Thema Sicherheit geht. Es sollte aber trotzdem genau angeschaut werden, denn viele Dinge sind davon abhängig, dass diese vorhanden sind.
Name des Devices, dieser ist wichtig um an Beispielsweise Logfiles an zentraler Stelle auch wirklich auswerten zu können, sonst würde man aus den Syslog oder SNMP Trap Meldungen schlecht erkennen können um welches Device es sich handelt. Zusätzlich ist dieser wichtig um einen SSH Key erstellen zu können:
hostname udfrart03

Der Domain Name ist wichtig, um einen SSH Key erstellen zu können:
ip domain-name noc.unidocs.net

Source Routing ist eine IP Option in der der Absender die Route für sein Paket angeben kann. Eine durchaus nützliche Option, die aber sehr viele Gefahren durch manipulierte Pakete mit sich bringt. Da man im Normalfall Statische Routen verwendet, sollte diese Option also immer ausgeschaltet werden:
no ip source-route

Ein auflösen von DNS Namen (DNS resolving) ist auf einem Router nicht erforderlich. Je nachdem um welchen Router es sich handelt, ist ein Zugriff auf einen DNS Server auch nicht möglich/sinnvoll:
no ip domain-lookup

Es sollte immer die Option TCP keep alive verwendet werden, da diese feststellen kann, ob ein verbundenes System nicht mehr erreichbar ist, oder nicht mehr antwortet:
service tcp-keepalives-in
service tcp-keepalives-out

Erlauben von Zero Subnets [RFC-1519, RFC-1122, RFC-1123, RFC-1812 and RFC-1878]:
ip subnet-zero

Cisco verwendet ein default VLAN mit der Nummer 1, dieses sollte aus Sicherheitsgründen deaktiviert werden, denn jeder Angreifer dürfte dieses auch kennen:
interface Vlan1
no ip address
no ip route-cache
shutdown
!

VLANs bieten Sicherheit, können von Angreifern aber auch dazu verwendet werden sich Zugang zu erschleichen. Das Element sollte seine VLAN Informationen nicht anzubieten und auch nicht auf VLAN Angebote reagieren. Dadurch müssen VLANs zwar auf allen Devices von einem Administrator bekannte gegeben und gepflegt werden, aber dadurch wird eine große Gefahrenquelle geschlossen:
vtp domain 'servers.noc.unidocs.net'
vtp mode transparent

Cisco hat, wie viele Hersteller von Netzwerkelementen, Protokolle um diese Elemente abzugleichen, dass hat den Vorteil, das Devices untereinander Informationen abgleichen und Änderungen im Netzwerk recht schnell bekannt werden. Mit allen Vor- und Nachteilen! Sollte ein Angreifen sich einen Netzwerk Zugriff verschafft haben, könnte er recht einfach Cisco Discovery Protocol (CDP) Anfragen an ein Device senden, unter Umständen sendet dieses dann mehr Informationen als einem lieb ist. Zusätzlich ist es so, dass eine falsche Konfiguration auch gleich im Netzwerk bekannt werden würde… Ein weiterer möglicher Nachteil: Das CDP ist recht kommunikativ, die Devices tauschen ständig Informationen miteinander aus. Das kann Bandbreite kosten. In lokalen Netzwerk (LAN) ist das unter Umständen nicht weiter tragisch, da dort Bandbreite meist nicht das Problem ist, aber im Weitverkehrsnetzwerk (Zum Beispiel MPLS) kann das ein wirklich Nachteil sein/werden. Ich möchte nicht verschweigen, dass das ausschalten des CDP auch gewisse Nachteile hat: Viele Tools von Cisco bauen direkt auf CDP auf! Diese können dann nicht mehr, oder nur noch teilweise verwendet werden. Es muss also von Fall zu Fall entschieden werden, ob CDP ausgeschaltet werden sollte, oder nicht.
no cdp run

So, dass dürften die wichtigsten Sicherheitsrelevanten Parameter gewesen für Cisco Devices gewesen sein. Ich werde in Kürze aber noch weiteres zum Thema Cisco Konfigurationen posten… und wer Fragen hat, der kann sich ja hier melden ;-)

Ein kleiner Hinweis noch am Schluss: Ich übernehme natürlich keinerlei Garantie! Sollte also einer auf die Idee kommen, mich dafür verantwortlich zu machen, dass irgendwer sein Device erfolgreich überfallen konnte… Und das obwohl er alle Parameter wirklich genau so hatte wie ich es hier beschreiben habe: Das ist dann wirklich Pech!

Wal-Mart schaltet seine DRM-Server vorerst nicht ab

Wie Engadget berichtet, hat Wal-Mart seine DRM-Server nicht, wie in der letzten Woche angekündigt, zum 9. Oktober abgeschaltet. Die Handelskette informierte ihre Kunden in einer E-Mail über ihre Entscheidung. “Basierend auf dem Feedback, das wir erhalten haben, haben wir uns entschlossen, unsere DRM-Server bis auf weiteres aufrechtzuerhalten“, heißt es in der Nachricht des Wal-Mart Digital Music Team.

Allerdings rät das Wal-Mart Digital Music Team allen Kunden weiterhin, alle mit einer digitalen Rechteverwaltung (DRM) versehenen Songs auf einer beschreibbaren Audio-CD zu sichern. “Durch die Sicherung der Musikstücke stellen Sie sicher, dass Sie auch zukünftig alle Lieder auf jedem beliebigen PC nutzen können.” Die Abschaltung der Server für die digitale Rechteverwaltung hätte zur Folge, dass nach einem Umzug auf einen anderen PC oder einem Crash des Betriebssystem die Lizenzen für die gekaufte Musik nicht erneuert werden könnten und die Songs unwiederbringlich verloren wären.

Zoho Mail – Webmail zur On- und Offline-Nutzung

Das Finde ich nicht uninteressant:

Zoho ergänzt seine Online-Office-Suite um Zoho Mail und verknüpft die E-Mail-Lösung mit anderen webbasierten Applikationen. Wie Zoho Mail aussieht und genutzt wird, können Anwender weitgehend selbst festlegen.

Mehr bei Golem.

Wikipedia wechselt zu Ubuntu

Wikipedia möchte auf seinen knapp 400 Webservern das Betriebsystem auf Ubuntu Linux 8.04 LTS vereinheitlichen.

Im Moment laufen die Server von Wikipedia mit Red Hat Linux 9 und verschiedenen Fedora Versionen. Dieser Distributions Zoo macht die Pflege der Server natürlich nicht einbfacher, denn die Server sind verteilt und das für die Pflege zustandige Team besteht auf 5 Personen. Aus diesem Grund möchte Wikipedia nun alle gut 400 Server auf Ubuntu Linux 8.04 LTS umzustellen.

Der Wechsel zu Ubuntu Linux 8.04 LTSMacht die Administration und Pflege unserer Server einfacher“, so Brion Vibber vom Wikipedia Vorstand. “Wir haben beschlossen, dass wir auf etwas standardisieren wollen.

Der Löwenanteil der Server steht in einem Datencenter in Tampa Forida (USA), weitere stehen in Rechenzentren in Südkorea und Amsterdam, Holland. “Mit der Umstellung wird definitiv vieles einfacher” so Brion Vibber weiter. Dabei denkt er an leichter durchführabre Massenupgrades und dass die Datenzentren wie eine Einheit verwaltet werden können. “Wir können überall die gleiche Kombination laufen lassen und sie macht überall das gleiche“, zudem läuft überall die selbe Software.

Ich persönlich finde, dass Ubuntu Linux 8.04 LTS sicher keine schlechte Wahl ist! Gerade für ein Projekt wie Wikipedia, denn dank des 5 Jahres ist die 8.04 LTS Supported bis 2013.