Verinice 1.10

Verinice ist immer noch ein gutes Tool, aber der Raum für Verbesserungen wird immer kleiner. Das meiste klappt hat gut. Und da GS-Tool inzwischen Duke Nukem Forever als Vaporware Konkurrenz macht, gibt es ohnehin keine ernstzunehmende Konkurrenz mehr.
 
Die 1.11 soll eine Volltextsuche bekommen, das ist sicherlich eine nette Sache. 
 
  
verinice / verinice.PRO 1.10
============================

Die neueste Version von verinice ist ab sofort verfügbar. Mit V 1.10
haben Nutzer von verinice damit z.B. Zugriff auf die
IT-Grundschutzkataloge in englischer Sprache und können die Neuauflage
des VDA IS-Assessment in der Version 2.x nutzen. Exklusive neue
Features für die Server-Version verinice.PRO sind Single-Sign-On mit
Active Directory und der Import von Personen aus dem AD in die
Grundschutzansicht sowie die Optimierung der Aufgabenansicht.

Wichtiger Hinweis für das Update: Wegen der nötigen Datenmigration
kann der erste Start des verinice-Clients nach dem Update etwas länger
dauern als üblich. Dies ist kein Grund zur Beunruhigung. Weitere
Hinweise finden Sie unter dem Punkt "Anzeige der Dateigröße im
File-View". Bitte beachten Sie außerdem die allgemeinen Hinweise zum
Update und die Release Notes.


Die Neuerungen im Überblick:


Englische IT-Grundschutzkataloge

Der vollständige Text der IT-Grundschutzkataloge des BSI ist ab
verinice 1.10 auch in englischer Sprache verfügbar. Dies vereinfacht
die Arbeit mit dem IT-Grundschutz in internationalen Teams.

Auch für Anwender der nativen ISO 27001:2013 ist der umfangreiche
Gefährdungs- und Maßnahmenkatalog von erheblichem Nutzen: Bei einer
Risikobewertung und Risikobehandlung können die Grundschutzkataloge
als Datenbank zu speziellen Themen von Windows bis SAP zum Einsatz
kommen.

Alle Gefährdungen lassen sich als Szenarien in eigenen Risikoanalysen
verwenden. Per Drag-n-Drop können die gewünschten Gefährdungen oder
ganze Bausteine in das Risikomodell gezogen werden.

Ebenso kann bei der Risikobehandlung auf die über 1.500
Grundschutzmaßnahmen zurückgegriffen werden. Als spezielle Controls
ergänzen sie die generischen Vorgaben der ISO/IEC 27002:2013. Auch die
Controls lassen sich einfach per Drag-n-Drop in das ISM-Risikomodell
einfügen.

Die englischen IT-Grundschutzkataloge sind auf dem Stand der 13.
Ergänzungslieferung des BSI.


Update auf VDA ISA 2.x

verinice unterstützt vollständig die Neuauflage des VDA IS-Assessment
in der Version 2.x. Neben dem eigentlichen Katalog wurden auch die
Methode zur Berechnung der Durchschnittswerte sowie der "Total
Security Figure" angepasst.

Der ausgegebene Report stellt im Spinnennetzdiagramm den erreichten
Reifegrad und den Zielreifegrad zu jedem Kapitel dar, unter
Berücksichtigung aller als "N.A." markierten Fragen.

Anwender von verinice sind somit absolut konform zum VDA-Standard.
Zudem ermöglicht ein Konsolidator die Übernahme von
Assessment-Ergebnissen, die nach dem VDA 1.x Standard erfolgt sind.
Verschiebungen von Controls etc.  werden dabei korrekt berücksichtigt.


Anzeige der Dateigröße im File-View

Der File-View zeigt nun zu allen Attachments auch die Dateigröße an.
Das erleichtert z.B. das gezielte Aufräumen bei einer größer werdenden
Datenbank.

Hinweis: Nach dem Update auf V 1.10 werden diese Informationen in der
Datenbank ergänzt. Das Update wird bei der ersten Verbindung eines
verinice-Clients zur Datenbank ausgelöst. Je nach Anzahl der
vorhandenen Dateianhänge kann der Start des ersten verinice-Clients
nach dem Update einige Sekunden bis zu mehreren Minuten in Anspruch
nehmen. Wir empfehlen daher, unmittelbar im Anschluss an das
Server-Update einen Client-Start durchzuführen, damit das Update vor
der ersten regulären Benutzeranmeldung abgeschlossen ist. Der Vorgang
wird nur ein einziges mal durchlaufen.


Detailverbesserungen und Fehlerkorrekturen

Kleinere Verbesserungen und eine Vielzahl behobener Fehler an diversen
Stellen runden das Update auf V 1.10 ab. Erwähnenswert sind z.B.:

* Im Web-Frontend für Aufgaben kann nun der Volltext von
Grundschutz-Maßnahmen angezeigt werden. Das erleichtert das Delegieren
beim Basissicherheits-Check sowie bei der Maßnahmenumsetzung.

* Die lokale Report-Ablage auf dem verinice-Client funktioniert nun
wie vorgesehen.

* Die Bausteinzuordnungen, Personenzuordnungen und Zielobjekte-Typen
beim GSTOOL-Import wurden korrigiert.

* Das Vererben von Custom-Icons an untergeordnete Objekte kann nun an-
oder abgeschaltet werden.

* Beim Verschieben von Objekten kann ausgewählt werden, ob die
Zugriffsrechte des Zielordners für das verschobene Objekt übernommen
werden sollen.

* Beim Doppelklick auf ein Attachment im File-View wird in der
Baumdarstellung nun das zugehörige Objekt selektiert.

* In der Account-Anzeige wird nun angezeigt: "Nachname, Vorname
[Account]"

* In der Account-Gruppenanzeige werden in der Gesamtliste nicht wie
bisher alle Accounts angezeigt, sondern nur noch diejenigen, die nicht
in der gewählten Gruppe enthalten sind. Das erleichtert die Suche nach
nicht-zugeordneten Accounts.

* Die kundenspezifische Customizing-Datei ("SNCA.xml") wird nun beim
Update nicht mehr verschoben sondern bleibt in Betrieb. Achtung: Bitte
beachten Sie nach wie vor die Update-Anleitung zum Umgang mit
Konfigurationsdateien!

Auf Fedora 22 updaten

Inzwischen funktioniert das Fedora-Release-Update richtig gut. Ich war bei einem Headless-Server etwas skeptisch und habe den als letzten aktualisiert, aber auch der war kein Problem.

Fedup: klick.

Für die Workstations ist es total simpel:

fedup –network 22

Da es beim Fedora 20 den Server noch nicht gab, muss man Fedup sagen, was man haben will:

fedup –network 22 –product=server

Danach einmal schnell aufräumen und die neuen und überflüssigen Configdateien wegwerfen:

dnf install rpmconf
rpmconf -a

Bei einem System musste ich die RPMFusion-Repos deaktivieren, da hat Fedup was mit den PGP-Schlüsseln nicht auf die Reihe bekommen. Nach dem Update lief RPMFusion dann aber wieder einwandfrei.

Fedora 22 und SSMTP

Beim Fedora 22 Update sind mir noch Postfixe untergekommen. Runter mit dem Postfix von den Servern:

root=reports@bla.de
mailhub=smtp.1und1.de:587
FromLineOverride=no
AuthUser=login
AuthPass=pasword
RewriteDomain=bla.de
UseTLS=Yes
UseSTARTTLS=Yes
TLS_CA_File=/etc/pki/tls/certs/ca-bundle.crt
Debug=No

Und damit als Absender nicht immer nur root@localhost drinsteht:

chfn -f ‚user@bla.de‘ root

Ein Dämon weniger auf den Rechnern …

Und der CA-Bundle-Bug aus Fedora 21 ist auch behoben.

Ein Traum wird wahr: Knights of the old Republic 1 und 2 bei GOG

Eines der besten Spiele aller Zeiten, jetzt endlich ohne Kopierschutz und mit allen Patchen: perfekt für Crossover. Wenn die jetzt noch die Mac-Version hätten, wäre die Welt perfekt.

Und als Kontrast gibt es gleich noch Dark Forces dazu; das war damals ein wirklich gutes Spiel. Aber dem Spiel sieht man deutlich an, daß es aus dem letzten Jahrtausend stammt. Dark Forces ist nicht gut gealtert.

PXE für einen headless Fedora 21 Server

Die Bootfiles holen:
mkdir -p /var/lib/tftpboot/f21
wget http://download.fedoraproject.org/pub/fedora/linux/releases/21/Server/x86_64/os/images/pxeboot/vmlinuz -o /var/lib/tftpboot/f21/vmlinuz
wget http://download.fedoraproject.org/pub/fedora/linux/releases/21/Server/x86_64/os/images/pxeboot/initrd.img -o /var/lib/tftpboot/f21/initrd.img
und für das pxelinux:

label Fedora Server serial
  menu label Install Fedora Server serial
  kernel fedora64/vmlinuz
  append initrd=fedora64/initrd.img lang=de_DE keyboard=de-latin1-nodeadkeys devfs=nomount method=nfs:192.168.0.111:/tftpboot/fedora64/ inst.syslog=192.168.0.111 inst.loglevel=debug console=ttyS0,115200n8 inst.vnc

Startet seriell und stellt dann einen VNC-Server zur Verfügung, auf dem man denn den Anaconda hat.

dnsmasq nomenklatur

Die DHCPv6-Optionen in der dnsmasq-manpage muss man sich auch erst einmal übersetzen. Igor hat da mal eine schöne Übersicht gemacht:

Options___________________ M O A______ Comment
no options + SLAAC disabled, stateful DHCPv6. This is identical to DHCPv4 service
slaac + + SLAAC enabled, stateful DHCPv6. Hosts will have at least two addresses – from DHCPv6 and SLAAC
ra-names
ra-names,slaac
+ + SLAAC enabled, stateful DHCPv6. Based on the information received
from host while DHCPv4 request, DNS tries to guess the auto-configured
IPv6.
ra-stateless + + SLAAC enabled, stateless DHCPv6. Hosts will get only auto-configured address and get additional configuration from DHCPv6
ra-stateless,ra-names + + SLAAC enabled, stateless DHCPv6. Hosts will get only auto-configured
address and get additional configuration from DHCPv6. DNS will try to
guess the auto-configured addresses.
ra-only + SLAAC enabled, DHCPv6 disabled. Hosts will get only auto-configured address. DNS might get configured by RDNSS.