Blog

8. November 2017

Episode 6: TR-02102-2 und der Apache Tomcat Anwendungsserver

Dieser Blog Post ist Teil der Blogserie zur TLS-Konfiguration – Technische Richtlinie TR-02102-2 des BSI. Diese Episode beschäftigt sich mit der TLS-Konfiguration des Anwendungsservers Apache Tomcat. Wie in den letzten Episoden möchte ich auch in dieser zuerst ausdrücklich darauf hinweisen, dass es eine Möglichkeit und nicht DIE LÖSUNG ist. Da sich die Welt zum Glück ständig dreht, können sich die […]
weiterlesen …

8. August 2017

Microsoft Remote Connectivity Analyzer – ein komisches Ding

Um die Konnektivität einer Exchange-Umgebung zu testen, wird häufig auf den Microsoft Remote Connectivity Analyzer verwiesen. Bei der Fehlersuche unserer Exchange-Konfiguration haben auch wir den Exchange ActiveSync Autodiscover als Teil des Microsoft Remote Connectivity Analyzer verwendet. Problem 1: Man muss, zumindest technisch nachvollziehbar, echte Benutzerdaten verwenden. Meist sind das auch die Zugangsdaten zur Active-Directory-Domäne eines Unternehmens. Es fällt schwer, diese […]
weiterlesen …

30. März 2017

Der Frühling kommt, die Vera ist schon da

Es soll Kollegen geben, die da mit dem Laptop sitzen 🙂

20. März 2017

SSH-Server Konfiguration – Technische Richtlinie TR-02102-4 des BSI

Findet man bei Penetrationstests einen SSH-Server, so wirft man einen Blick auf die angebotene Konfiguration der Transportverschlüsselung und Authentisierung. Viele verlassen sich dabei auf die Standardkonfiguration, nicht zuletzt, weil niemand weis, welche Algorithmen und Einstellungen zu wählen sind. Wir helfen uns bei Penetrationstests damit, indem wir bei SSH-Servern einen Abgleich der Konfiguration mit den Empfehlungen aus der Technischen Richtlinie TR-02102 […]
weiterlesen …

2. Februar 2017

Vortrag bei der Java User Group Stuttgart zu Penetrationstests

„Penetrationstests – Planungsaspekte, Stolpersteine und Nutzen in der Praxis“ lautet der Titel eines Vortrags von Tobias Glemser, BSI-zertifizierter Penetrationstester und Geschäftsführer der secuvera, bei der Java User Group Stuttgart. „Penetrationstests“ – eine Angriffssimulation. In vielen Unternehmen bereits etabliert, vielen Unternehmen unbekannt. Was ist denn nun eigentlich ein Penetrationstests? Welche Prüfungsarten und -objekte gibt es? Der Vortrag definiert aus der Praxis […]
weiterlesen …