Juni, 2013

apache2: Invalid method in request \x16\x03\x01

Mittwoch, Juni 26th, 2013

Beim einrichten von SSL auf einem Apache bekommt man eine sehr aussagekräftige Fehlermeldung wen man die Passenden module nicht geladen hat.

[Tue Jun 25 10:50:00 2013] [notice] Apache/2.2.9 (Debian) configured -- resuming normal operations
[Tue Jun 25 10:50:39 2013] [error] [client 5.145.140.210] Invalid method in request \x16\x03\x01

server# a2enmod ssl
Enabling module ssl.
See /usr/share/doc/apache2.2-common/README.Debian.gz on how to configure SSL and create self-signed certificates.
Run '/etc/init.d/apache2 restart' to activate new configuration!

server# /etc/init.d/apache2 restart
Restarting web server: apache2 ... waiting .

[Tue Jun 25 11:03:49 2013] [notice] Apache/2.2.9 (Debian) mod_ssl/2.2.9 OpenSSL/0.9.8g configured -- resuming normal operations

Zudem Sollte man darf achten das die Port einstellungen in der /etc/apache/ports.conf auch in dem dafür entsprechenden if stehen.

# SSL name based virtual hosts are not yet supported, therefore no
# NameVirtualHost statement here
NameVirtualHost 192.168.0.1:443
Listen 192.168.0.1:443

Gleiches gilt auch für die VirtualHost Einträge.

ipv6 einstellen auf raspbery pi debian wheezy

Dienstag, Juni 25th, 2013

Da die module für ipv6 schon mitgeliefert werden müssen sie nur noch eingebunden werden.

Um das ipv6 modul dann dauerhaft zu aktivieren muss es /etc/modules hinzugefügt werden.

IPv6 probleme bei Hetzner

Dienstag, Juni 25th, 2013

Nach der Neuinstallation konnte ich auf keine Updateserver zugreifen, da IPv6 nicht mehr funktionierte. So schreib ich folgende Nachricht an den Support:
Nach dem Neuaufsätzen des Servers ist mit den von Ihnen voreingestellten
Konfigurationen keine IPv6 Kommunikation möglich:
iface eth0 inet6 static
address 2a01:4f8:
...

Eine halbe Stunde später bekam ich die nachreicht das alles wieder funktioniert.
könnten Sie bitte prüfen, ob das Problem weiterhin besteht?

Keine 24 Stunden später funktionierte dann aber nichts mehr und mir wurde einfach das Netz gekappt und ein neues zugewiesen:
bei der IPv6 Überprüfung unseres Netzbereiches ist uns aufgefallen
das Sie ein falsches IPv6 Netz benutzen. Dieses ist nicht für den
aktuellen Standort Ihres Servers vorgesehen. Wir bitten Sie Ihre
Konfiguration anzupassen und das alte Subnetz von Ihrem Server zu entfernen.

Es handelt sich dabei um den Server EQ 4 - RZ 14 und
das nicht mehr gültige dem IPv6 Netz: 2a01:4f8

Mann kann es sich auch echt einfach machen. Da dies bei mir nun wieder zu Problemen führt Interessiert Hetzner gar nicht erst. Den jetzt muss ich wieder Firewalls und DNS anpassen, was recht ärgerlich ist da DNS Einträge bekanntlich bis zu 24 Stunden brauchen.

dhcp server im Netz

Sonntag, Juni 16th, 2013

Es passiert immer wieder das irgendein Depp im Wohnheimnetz einen DHCP Server anschließt. Dies kann zur folge haben das Bewohner aufgrund einer falschen IP und default route kein Internet haben, im schlimmsten Fall kann man dadurch man in the middle attacken fahren.

Mittels dhcping bekommt man heraus welche DHCP Server im Netz antworten verteilen. So ist schnell ein Übeltäter lokalisiert.
dhcping -s 255.255.255.255 -r -v

Um dieses Problem aber generell in den Griff zu bekommen haben ich auf dem Cisco Switch DHCP snooping eingerichtet. Dafür habe ich erst alle möglichen Server Ports freigeschaltet. So kann es nicht Passieren das bei Umbauarbeiten am Netzwerk keiner mehr eine DHCP Adresse bekommt. Anschließend habe ich für das gesamte 240 VLAN das dhcp snooping aktiviert.

switch(config)#interface range GigabitEthernet 2/1-48
switch(config-if-range)#ip dhcp snooping trust
switch(config-if-range)#exit
switch(config)#ip dhcp snooping vlan 240
switch(config)#do show ip dhcp snooping

Switch DHCP snooping is disabled
DHCP snooping is configured on following VLANs:
none
Insertion of option 82 is enabled
Option 82 on untrusted port is not allowed
Verification of hwaddr field is enabled
Interface Trusted Rate limit (pps)
------------------------ ------- ----------------
GigabitEthernet2/1 yes unlimited

mirror betrieb eingeschränkt

Donnerstag, Juni 13th, 2013

Aufgrund einer anschlagende Signatur CVE-2013-1331 der Eingangsfirewall ASA ist derzeit der Mirror betrieb sehr eingeschränkt.

graph_http
Deutlich auf dem Graphen erkennbar, das jede Stunde der Zugriff wieder möglich ist und nach kurzer zeit die ASA wieder zuschlägt.

[UPDATE 14.06.13]
Nach etlichen versuchen und Downloads habe ich nun eines der fies Identifiziert die das Problem haben. Auf der linuxmint-15-cinnamon-dvd-32bit.iso befindet sich eine Datei casper/filesystem.squashfs in diesem squashfs in /usr/lib/jvm/java-7-openjdk-i386/jre/lib/i386/client/classes.jsa. Diese Datei mit der md5sum d82832da71dd13775b715e36814143ae classes.jsa schlagt bei der CISCO ASA mit der oben aufgeführten CVE an.
Es wird gerade vom NOC der FH überprüft ob es sich dabei um einen Fehlalarm oder um eine tatsächliche Versuchung der Datei handelt.