Tipps & Tricks
Aktuelle Patches und Updates zu Novell-Produkten
Welche neuen Patches und Updates stehen für Novell-Produkte zur Verfügung und wo lassen sie sich
downloaden?
Nachfolgend eine Auswahl aktueller Produkt-Updates von Novell. Alle Dateien sind über
support.novell.com/filefinder/ verfügbar. Mit einem "Security Alert" versehen ist ein
aktuelles Update für Netmail 3.52, das in drei Varianten für die Betriebssysteme Netware, Linux und
Windows verfügbar ist. Es handelt sich jeweils um einen kumulativen Patch, der alle vorangegangenen
beinhaltet:
netmail352c1_nw.zip: "Netmail 3.52C1 Update for Netware" (TID 2971687)
beziehungsweise netmail352c1_lin.tgz und netmail352c1_win.zip.
Auch das folgende Update für die älteren Netware-Versionen 4.x und 5.0 ist mit einem Security
Alert markiert:
ftpservl.exe: "FTPSERV.NLM Abend and Security fixes" (TID 2965109).
Neu in die Minimum Patch List des Herstellers ist ein Update für den Imanager 2.5 aufgenommen
worden, das alle Plattformen abdeckt:
iman25mu1.tgz: "Imanager 2.5 Maintenance Update 1" (TID 2971444).
Von den zahlreichen weiteren aktuellen Updates könnten folgende auf breiteres Interesse
stoßen:
491_pka.exe: "Novell Client 4.91 Update ‚A’" (TID 2971589), eine Sammlung von
Patches für den aktuellen Windows-2000/XP-Client,
sl351201a.exe: "Post SP2 updates for Securelogin 3.51" (TID 2971648),
zen65inv_sd_4.exe: "Zenworks 6.5 Inv Software Dictionary Update 4" (TID
2971575) sowie
nfsgy60c.exe: "NFS Gateway for NW60 file corruption fix" (TID 2970820), das
sich auf Netware 6 mit Support-Pack 5 bezieht.
SNMP-Tools und Netzwerk-Monitoring
Viele Netzwerk-Devices wie Switches und Router unterstützen SNMP. Oft mangelt es aber an
geeigneten Management- und Monitoring-Tools, um die über SNMP verfügbaren Daten auszuwerten – sieht
man einmal von aufwändigen Netzwerkmanagementplattformen ab. Existieren auch einfachere Tools auf
der Basis von Freeware oder Shareware?
Eine Reihe recht interessanter Windows-basierender SNMP-Tools findet sich auf der Website von
LANline-Leser Carsten Schmidt (software.ccschmidt.de). Die meisten dieser grafisch
orientierten Utilities sind als Freeware verfügbar, der Rest als Share- ware. Zu den grundlegenden
Tools zählen ein SNMP-Get- sowie ein SNMP-Get-/Set-Tool. Einige MIB-II-OIDs (Management Information
Base – Object Identifiers) sind standardmäßig zur Abfrage vordefiniert, aber es lassen sich auch
eigene OIDs nummerisch angeben. Die abgefragten OID-Einträge können – zusätzlich zur Hex-Ausgabe –
auch in ASCII angezeigt und bearbeitet werden. Ein weiteres Basis-Tool stellt der MIB-Browser dar.
Dieser fragt die gesamte MIB eines SNMP-Endgeräts mit allen Einträgen ab und listet die OID-Nummern
mit ihren zugehörige Werten im ASCII-Format auf. Das Ergebnis lässt sich auch als Textdatei
abspeichern. Dank seiner Klartextanzeige ist das Tool gut für einen groben Überblick geeignet und
offenbart schnell die oft ungeahnte "Geschwätzigkeit" von SNMP-Datenbankeinträgen. Keine Hilfe ist
dieser Browser allerdings bei der logischen Aufschlüsselung der MIB-Hierarchie. (Wer solches sucht,
wird beispielsweise unter www.ireasoning.com fündig: Der dort angebotene kommerzielle MIB-Browser
ist auch in der kostenlosen "Personal Edition" durchaus hilfreich.)
Zu den anwendungsorientierten SNMP-Tools von Carsten Schmidt zählt der Interface Trafic
Indicator, ein Monitoring-Programm, mit dem sich der Datenverkehr auf SNMP-Devices (wie Computer,
NICs, Switches, Router) Interface-spezifisch überwachen und grafisch anzeigen lässt. Das Programm
ermittelt in einem ersten Schritt die in der MIB II bekannten Interfaces. Der Benutzer kann dann
das gewünschte Interface zur Überwachung auswählen. Ein- und ausgehender Datenverkehr lassen sich
wahlweise getrennt oder kombiniert anzeigen, alternativ kann auch die Auslastung in Prozent
dargestellt werden. Das Schreiben von Log-Dateien ist ebenfalls möglich. (Eine Shareware-Version
dieses Tools bietet die gemeinsame Überwachung von bis zu 20 verschiedenen Interfaces.) "FDB-Get",
ein weiteres Freeware-Tool, analysiert die Forwarding Database von Switches via SNMP und
präsentiert eine Zuordung zwischen Switch-Ports und den MAC-Adressen der jeweils angeschlossenen
Endgeräte. Bei Kenntnis der MAC-Adressen weiß die Administration, welche Endgeräte aktuell über
welche Switch-Ports verbunden sind.
Verbliebenes Sicherheitsrisiko auf älteren HP-Jetdirect-Printservern
Bereits vor einigen Jahren gab es Sicherheitswarnungen, dass das Kennwort der Webadministration
via SNMP aus HP-Jetdirect-Printservern ausgelesen werden kann. Ist das Problem mit den neueren
Firmware-Updates behoben, oder sind hier weiterhin Sicherheitsrisiken zu beachten?
Die angesprochene Sicherheitslücke wurde bereits im Jahr 2002 entdeckt und öffentlich
dokumentiert (zum Beispiel:
2002-1048 und www.kb.cert.org/vuls/id/377003). Konkret geht es darum, dass das Passwort der
Webadministration ("device password") unter der OID-Nummer "1.3.6.1.4.1.11.2.3.9.1.1.13. 0" in der
MIB abgelegt ist und sich dort mit einem einfachen SNMP-Get-Befehl auslesen lässt. Zwar soll der
Hersteller diese Sicherheitslücke bereits mit der Firmware-Version x.22.09 geschlossen haben, bei
älteren Jetdirect-Printservern, die mit früheren Firmware-Generationen arbeiten, besteht das
Sicherheitsproblem im Prinzip aber nach wie vor. So steht beispielsweise für den internen
Printserver Jetdirect 600n (J3113A) als aktuellste Firmware-Version das Release G.08.49 zur
Verfügung: Eine Überprüfung mit einem SNMP-Get-Tool (siehe separater Tipp) zeigt das eingestellte
Passwort ("pwdummy") problemlos im Klartext an (siehe Bild). Wie weitreichend die Folgen dieser
Sicherheitslücke sind, hängt auch davon ab, ob das gleiche Kennwort eventuell auf anderen Systemen
im Netz zur Anwendung kommt.
Das zugrunde liegende Designproblem älterer Printserver lässt sich vom Hersteller offensichtlich
nicht mehr lösen, jedoch bietet die Firmware heute immerhin Workarounds zur Reduzierung des
Sicherheitsrisikos (hilfreich ist in dieser Hinsicht das HP-Support-Dokument "Making HP Jetdirect
Print Servers Secure on a Network"). So besteht ab Firmware-Version x.08.49 über die
Telnet-Administration die Möglichkeit, die SNMP-Get-Community mit ihrem Default-Namen "public" zu
deaktivieren ("default-get-cmnty: 0"). In Verbindung mit einem selbst vergebenen Namen für die
SNMP-Set-Community (Standard ebenfalls "public") ist somit zumindest die Angriffsmöglichkeit über
den trivialen Community-Namen "public" abgeblockt. Alternativ lässt sich SNMP ab Version x.08.32
auch vollständig deaktivieren ("snmp-config: 0"), eine freie Änderungsmöglichkeit für den
Get-Community-Namen besteht jedoch erst ab Firmware-Version x.2x.xx. Hinweise: Beim Verzicht auf
eine "public"-Community sind Probleme mit SNMP-Tools, die diesen Namen zwingend voraussetzen,
unvermeidbar. Für den Telnet-Zugang lässt sich auf älteren Jetdirect-Printservern übrigens ein
separates Passwort setzen, das von der Sicherheitsproblematik nicht tangiert ist. Die
Administration sollte hier auf jeden Fall ein anderes Kennwort als für die Webadministration
wählen.
"Interim"-Modus von Windows Server 2003
Die Dokumentation von Windows Server 2003 erwähnt einen so genannten "Windows-2003-Interim"
-Modus, gibt aber keinen Hinweis, wie er sich konfigurieren lässt. Wozu dient dieser Modus und wie
kann er aktiviert werden?
Der Interim-Modus steht nur zur Verfügung, wenn Windows-NT-4.0-Domänen-Controller direkt auf den
Windows Server 2003 aktualisiert werden. In solchen Domänen lassen sich keine
Windows-2000-Domänen-Controller betreiben. Eine explizite Aktivierung dieses Modus ist weder nötig
noch vorgesehen.
Lesen Sie mehr zum Thema
