Category Archives: Tools

Sikkerhed

Let’s Encrypt

Let’s Encrypt, er en organisation der tilbyder gratis og automatiseret udstedelse af certifikater til webservere m.m. Organisationen der driver servicen er Internet Security Resesarch Group (ISRG) hvor EFF, Mozilla, Cisco, Akamai med flere støtter op omkring projektet. Deres budskab er at skabe et mere sikkert Internet og bryde tabuet, med at det er for dyrt at få sikkerhed på sit website.

De certifikater der udstedes via Let’s Encrypt er baseret på Domain Validering. Ved oprettelse af certifikatet, skal man kunne identificere sig med at man er ejer af domænet, som certifikatet udstedes til. Dette gør det nemmere at kunne få udstedt certifikatet, da det ikke indebærer validering via personlig henvendelse samt kommunikation via email.

Certifikatets levetid er ikke som normalt, mellem 1 og 5 år, men kun på 90 dage. Læs her på følgende link, hvorfor man har valgt 90 dage. Det gør det noget mere besværligt og kræver noget mere administration af de udstedte certifikater i forhold til normal udstedte certifikater. Dette ved organisationen omkring Let’s Encrypt godt og har derfor sat sig for at kunne automatisere udstedelse af certifikaterne.

Let’s Encrypt har udviklet et API hvor der er udviklet en række klienter som man kan automatisere udstedelse af certifikater. Organisationen er selv kommet med en række klienter til forskellige platforme og med tiden er flere 3 parts leverandører kommet med integrationer til deres API, for at gøre det nemmere at udstede certifikater.

På Windows platformen, er der lavet en klient til PowerShell. Klienten kan installeres via PowerShell Gallery, eller via Chocolatey. Husk at installere PowerShell Gallery eller Chocolatey før man kan installere PowerShell modulet. En anden klient som kan anbefales er letsencrypt-win-simple, denne køres via en kommando prompt.

Jeg har her nævnt lidt plusser og minusser ved denne løsning.

Minusser

  • Begrænset levetid, levetiden er 90 dage kontra 1 – 5 år ved andre certifikater.
  • Man kan ikke udstede wildcard certifkater endnu. Dog kan man udstede SAN hvor man kan have op til 100 FQDN i samme certifikat.

Plusser

  • Det er gratis at få udstedt certifikater til sit website.
  • Da man ikke kan benytte Wildcard, har man muligheden for at benytte SAN, Subject Alternative Names.  domæner. Her kan man tilføje flere Fully Qualified Domain Names til certifikatet, sådan at et certifikat kan håndtere flere websites. op til 100.

Let’s Encrypts hjemmeside.

Network Cables

Neosec Net tools

Neosec Net tools består af en samling web applikationer som kan benyttes til at hjælpe netværks administratore i deres hverdag. Neosec Net tools kan findes på følgende adresse : nettools.neosec.dk

My IP, benyttes til at få oplyst den IP adresse man bliver præsenteret som, når man kommunikerer på Internettet.

SSL Check tjekker om en given URL har et validt certifikat. Man angiver en URL f.eks. www.bt.dk, herefter tjekker systemet om der kan oprettes en sikker forbindelse til https://www.bt.dk. Hvis dette er muligt hentes certifikatet og der laves en analyse af det.

  • Der tjekkes om certifikatets udløbsdato, der beregnes hvor mange dage certifikatet kan benyttes endnu.
  • Der tjekkes om certifikatets CN (Common Name) svare overens med den URL man har angivet.
  • SSLCheck viser alle informationer omkring certifikatet samt informationer omkring rod-certifikater og mellem rod-certifikater og giver status på om de er valide.

Et nemt lille værktøj til hurtigt at tjekke om f.eks. et certifikat på en Exchange server er validt.

MAC Address lookup, er et værktøj til at finde producenter via MAC Addresser.

Når man til daglig arbejder med netværk og til tider skal finde ud af hvilket udstyr der er på det pågældende net. Så kommer man tit ud for at man skal kunne genkende udstyret på en eller anden måde. Her kan man via en MAC adresse finde ud af hvilken producent der har lavet udstyret. Når man pinger en netværks enhed eller server på et netværk får man kun oplyst om den er i live. Ved opslag i arp tabellen får man oplyst IP Adresse og den MAC adresse enheden har. Ud fra MAC adressen kan man finde ud af hvilken producent der har lavet produktet.

IEEE-SA Registration Authority har i over 30 år håndteret en database over alle de producenter af netværks udstyr. Det er dem der tildeler MAC adresser til udbyderne.

Der findes 3 kategorier af MAC adresse databaser. Small Block (4096), Medium Block (1.000.000) og Large Block (16.000.000). MAC Address Lookup håndterer de adresser der ligger i Large Block databasen.

MTU Path test, er et værktøj til at tjekke hvor store pakker der kan benyttes til at kommunikere med på Internettet. MTU Path tester fra nettools sitet til en given destination. MTU står for Maximum Transmission Unit og er det antal bytes en enkel netværks pakke kan indeholde. Normalt på et IP baseret netværk benyttes der en MTU størrelse på 1500 Bytes. I nogle tilfælde kan netværksudstyret være konfigureret forkert og derved ikke overføre data med så store pakke størrelser, dette kan i nogle tilfælde skabe pakketab. Angiv en IP adresse eller et FQDN for at teste den maksimale MTU størrelse der kan kommunikeres med.

Vi håber at disse værktøjer kan hjælpe jer i hverdagen. Vi hører gerne ønsker om andre værktøjer der kan tilføjes og går gerne i dialog om dette.

 

Software Network

Nyttig software for netværks administratore

Til daglig arbejder jeg med netværk og sikkerhed og har i den forbindelse tit brug for nogle værktøjer til fejlfinding, dokumentation m.m. Jeg har her udfærdiget en liste som løbende vil blive opdateret, med de programmer som jeg benytter.

  • Wireshark : Wireshark er et netværksprotokol analyse værktøj. Det har sin force i at kunne genkende rigtige mange forskellige former for netværksprotokoller. Det har en indbygget optage funktion som gør at man hurtigt kan optage netværkstrafik og derefter analysere dette. Der er også mulighed for at indlæse PCAP filer fra andre produkter f.eks. netværks udstyr m.m. hvor man kan analysere de opsamlede netværksdata. Produktet er opensource og findes til flere forskellige platforme.
  • Neosec Network Scanner : Er en netværks scanner der hurtigt kan scanne et range af ip adresser. Udover hvilke IP adresser der er i brug kan det også opsamle information via SNMP og WMI. Dette program følger med Neosec security server og benyttes til at finde de aktive enheder på et netværk som man gerne vil overvåge via Neosec Security Server.
  • Advanced IP Scanner : Er også en netværks scanner som hurtigt kan lave en liste over de aktive enheder der er på netværket. Der er også en indbygget port scanner, sådan at de meste gængse porte bliver vist hvis de er aktive på den enkelte enhed.
  • inSSIDer 4 : Er et værktøj til tjek af trådløse netværk. Det er et uundværligt værktøj i forbindelse med “site survey” og placering af trådløse access punkter. Programmet er ikke gratis, det koster ca. 20 dollar.
  • Microsoft Visio : Microsoft Visio er nok et af de programmer jeg benytter mest. Det er det værktøj jeg benytter ved dokumentation af netværk og kommunikations flow. Jeg har benyttet mig af Visio lige siden det kom frem for mange år siden. Tit er en tegning bedre end en beskrivelse af en netværks infrastruktur eller et flow.