Discussion:
[Rant] Porsche und die Autobahn...
(zu alt für eine Antwort)
Andreas Cammin
2010-10-24 08:27:48 UTC
Permalink
Angenommen du gewinnst im Lotto. Du rennst sofort ins Autohaus und
kaufst nen Porsche. Du fragst noch: "Und der fährt bestimmt 300?" Der
Verkäufer: "Jaa, ganz bestimmt, versprochen!" Du schwingst dich in den
Boliden, fährst Richtung Autobahn - und stellst dann fest dass die
Auffahrt gesperrt ist.

Du wendest mit quietschenden Reifen, fährst zurück ins Autohaus, und
reklamierst das Auto, mit dem du garnicht 300 fahren kannst...

Unmöglich sagst du? Unsere Kunden bringen sowas.

$KUNDE ruft an, möchte per https auf einen Exchange-Server zugreifen.
Ich richte das Portforwarding ein, teste es per Telnet - und bekomme ein
"connection refused" zurück. Logische Schlussfolgerung: Der Exchange
lauscht nicht auf Port 443. Noch mal sicherheitshalber per tcpdump
überprüft, ob der Reset wirklich vom Server kommt - gleiches Ergebnis.

Ich teile dem Kunden mit, dass die Konfiguration der Firewall jetzt
stimmt, aber der entsprechende Dienst auf dem Server derzeit nicht
antwortet. Er müsste also auf diesem prüfen, warum das so ist.

Aber statt eines "OK, das mache ich, danke für die Unterstützung" musste
ich mir eine ellenlange, fruchtlose Diskussion darüber anhören, warum
das denn so wäre, der Kunde wollte das so, und es hätte ja vorher auch
funktioniert, und überhaupt, und mimimimi und fününününü...

Ich raff es manchmal nicht. Ich hab schon grösstenteils "IT-Profis" und
keine Consumer am Telefon. Aber warum sind Techniker für eindeutige
technische Aussagen derart unzugänglich?

So das musste mal raus.

Andreas
Volker Birk
2010-10-24 08:45:33 UTC
Permalink
Post by Andreas Cammin
Aber warum sind Techniker für eindeutige
technische Aussagen derart unzugänglich?
Das sind sie genau dann, wenn sie nicht verstehen, was Du sagst.

Viele Grüsse,
VB.
--
Bitte beachten Sie auch die Rückseite dieses Schreibens!
Thomas Wallutis
2010-10-24 09:57:18 UTC
Permalink
Hi,
Post by Volker Birk
Post by Andreas Cammin
Aber warum sind Techniker für eindeutige
technische Aussagen derart unzugänglich?
Das sind sie genau dann, wenn sie nicht verstehen, was Du sagst.
was häufig daher kommt dass ihnen notwendige Ausbildungen vorenthalten
werden , ständig neue Produkte ins RZ gestellt werden und die externen
Berater lausig einweisen und schlecht dokumentieren.

Woher sollen Sie es also wissen?

Im vorliegenden Fall muss jemand übrigens die Standardeinstellung
mutwillig geändert haben. Kann dafür jemand die Begründung liefern oder
wurde mal aufs Geradewohl irgendwohin geklickt?

Da der Kunde die Einstellung ja so vehement verteidigt, muss er dafür ja
auch einen Grund angeben können, oder?

Bis denn

Thomas
Bernd Petrovitsch
2010-10-24 11:11:21 UTC
Permalink
On Sun, 24 Oct 2010 11:57:18 +0200, Thomas Wallutis wrote:
[...]
Post by Thomas Wallutis
Post by Volker Birk
Aber warum sind Techniker für eindeutige technische Aussagen derart
unzugänglich?
Das sind sie genau dann, wenn sie nicht verstehen, was Du sagst.
was häufig daher kommt dass ihnen notwendige Ausbildungen vorenthalten
werden , ständig neue Produkte ins RZ gestellt werden und die externen
Berater lausig einweisen und schlecht dokumentieren.
Die Frage ist auch, was die Verkäufer vorher alles verkauft haben. Manchmal
wurden Features verkauft, die es gar nicht gibt ...
Post by Thomas Wallutis
Woher sollen Sie es also wissen?
Im vorliegenden Fall muss jemand übrigens die Standardeinstellung
mutwillig geändert haben. Kann dafür jemand die Begründung liefern oder
wurde mal aufs Geradewohl irgendwohin geklickt?
Vielleicht steht nur eine (Layer2-)Linux-Firewall davor, die Port 443
blockt. Wer weiß schon, was das über den Port läuft ....
Post by Thomas Wallutis
Da der Kunde die Einstellung ja so vehement verteidigt, muss er dafür ja
auch einen Grund angeben können, oder?
"Ich bin Kunde, bin König und habe immer Recht. Quälen Sie mich nicht mit
technischen Details - das ist ihr Job."
Reicht das nicht?

SCNR ....
Bernd
--
- Wie erkennt man IYO die offensichtlich ungeeigneten, hinter denen sich
nicht das Genie verbirgt?
- Wie erkennt man das Offensichtliche?
Martina Diel und Volker Birk
Thomas Wallutis
2010-10-24 15:07:29 UTC
Permalink
Hi,
Post by Bernd Petrovitsch
Vielleicht steht nur eine (Layer2-)Linux-Firewall davor, die Port 443
blockt. Wer weiß schon, was das über den Port läuft ....
Layer2-Firewall, die Port 443 blockiert? Wurde vom OP ausgeschlossen
(meinst du nicht her Layer3?).

Ich tippe eher auf "mir ist es zu kompliziert, die selbsterzeugten
SSL-Zertifikate durch was Ordentliches zu ersetzen und deshalb stelle
ich auf HTTP um".

Dabei gibt es im Netz sogar Step-by-Step-Anleitungen für die
Zertifikatserzeugung mittels OpenSSL. Ach, ich vergass: ist ja
Kommandozeile...

Bis denn

Thomas
Wilhelm Greiner
2010-10-24 15:27:00 UTC
Permalink
Hi,
Post by Thomas Wallutis
Ich tippe eher auf "mir ist es zu kompliziert, die selbsterzeugten
SSL-Zertifikate durch was Ordentliches zu ersetzen und deshalb stelle
ich auf HTTP um".
Der Idealfall.

Dem Kunden ist nun ein Reverseproxy der das Zertifikat hält als
Sicherheitstechnisch unabdingbar zu verkaufen.

Wilhelm
Falk Willberg
2010-10-24 15:29:54 UTC
Permalink
Am 24.10.2010 17:07, schrieb Thomas Wallutis:

...
Post by Thomas Wallutis
Dabei gibt es im Netz sogar Step-by-Step-Anleitungen für die
Zertifikatserzeugung mittels OpenSSL. Ach, ich vergass: ist ja
Kommandozeile...
Die einen Zertifikate kosten Geld und die selbst Signierten sind total
unsicher. Davor warnt schon schließlich der IE!11

Außerdem muß man das jedes Jahr von neuem machen, weil openssl.conf eine
Datei unbekannten Typs ist.

Falk
Thomas Wallutis
2010-10-24 17:50:20 UTC
Permalink
Hi,
Post by Falk Willberg
Die einen Zertifikate kosten Geld und die selbst Signierten sind total
unsicher. Davor warnt schon schließlich der IE!11
und selbst das bekommt man gefixt. Der Admin müsste sich nur mit seinem
System auskennen.
Post by Falk Willberg
Außerdem muß man das jedes Jahr von neuem machen, weil openssl.conf eine
Datei unbekannten Typs ist.
Man könnte es auch mit Bordmitteln machen. Aber auch das setzt wieder
Beschäftigung mit der Technik voraus.

Bis denn

Thomas
Marc Haber
2010-10-26 07:00:27 UTC
Permalink
Post by Thomas Wallutis
Post by Falk Willberg
Außerdem muß man das jedes Jahr von neuem machen, weil openssl.conf eine
Datei unbekannten Typs ist.
Man könnte es auch mit Bordmitteln machen. Aber auch das setzt wieder
Beschäftigung mit der Technik voraus.
Ja. die Windows Certificate Services sind ziemlich durchdacht.

Grüße
Marc
--
-------------------------------------- !! No courtesy copies, please !! -----
Marc Haber | " Questions are the | Mailadresse im Header
Mannheim, Germany | Beginning of Wisdom " | http://www.zugschlus.de/
Nordisch by Nature | Lt. Worf, TNG "Rightful Heir" | Fon: *49 621 72739834
Stefan+ (Stefan Froehlich)
2010-10-24 20:25:11 UTC
Permalink
Post by Falk Willberg
Die einen Zertifikate kosten Geld und die selbst Signierten sind total
unsicher. Davor warnt schon schließlich der IE!11
Was heisst unsicher: sie funktionieren nicht!!1

Ich habe einen Kunden, der zu geizig ist, sich ein Echtes(TM) Zertifikat
ausstellen zu lassen, und jemand anderen, der es nicht schafft, ihn mit
einem Falschen(TM) Zertifikat zu kontaktieren. Wir haben uns dann als
Kompromiss auf unverschluesselte Uebertragung geeinigt. Beide Beteiligten
sind keine kleinen Unternehmen... manchmal ist das einfach nur zum Weinen.

Servus,
Stefan
--
http://kontaktinser.at/ - die kostenlose Kontaktboerse fuer Oesterreich
Offizieller Erstbesucher(TM) von mmeike

Paffen mit Stefan - treu werden mit Reserviertheit.
(Sloganizer)
Thomas Wallutis
2010-10-25 08:53:53 UTC
Permalink
Post by Stefan+ (Stefan Froehlich)
Was heisst unsicher: sie funktionieren nicht!!1
Ich habe einen Kunden, der zu geizig ist, sich ein Echtes(TM) Zertifikat
ausstellen zu lassen, und jemand anderen, der es nicht schafft, ihn mit
einem Falschen(TM) Zertifikat zu kontaktieren. Wir haben uns dann als
Kompromiss auf unverschluesselte Uebertragung geeinigt. Beide Beteiligten
sind keine kleinen Unternehmen... manchmal ist das einfach nur zum Weinen.
hier liegt wohl eher ein Problem beim Nutzer als beim Produkt vor.

Ich habe es bisher in allen Varianten zum Fliegen gebracht.

Und wie gesagt: wer häufiger mit OpenSSL umgeht als ich, für den ist der
Drops in einer halben Stunde gelutscht. Wenn der Kunde das auch nicht
zahlen will, dann scheinen die Daten ja nicht wichtig zu sein.

Bis denn

Thomas
Stefan Kanthak
2010-10-25 21:27:29 UTC
Permalink
Post by Thomas Wallutis
Hi,
Post by Bernd Petrovitsch
Vielleicht steht nur eine (Layer2-)Linux-Firewall davor, die Port 443
blockt. Wer weiß schon, was das über den Port läuft ....
Layer2-Firewall, die Port 443 blockiert? Wurde vom OP ausgeschlossen
(meinst du nicht her Layer3?).
Ich tippe eher auf "mir ist es zu kompliziert, die selbsterzeugten
SSL-Zertifikate durch was Ordentliches zu ersetzen und deshalb stelle
ich auf HTTP um".
Dabei gibt es im Netz sogar Step-by-Step-Anleitungen für die
Zertifikatserzeugung mittels OpenSSL. Ach, ich vergass: ist ja
Kommandozeile...
Falsch. Du hast die Bordmittel vergessen.-) MAKECERT.EXE
Dieses OpenDingens verwenden nur langhaarige KinderRaubMordKopierer.

Stefan
Lothar Kimmeringer
2010-10-25 09:43:51 UTC
Permalink
Post by Thomas Wallutis
Im vorliegenden Fall muss jemand übrigens die Standardeinstellung
mutwillig geändert haben. Kann dafür jemand die Begründung liefern oder
wurde mal aufs Geradewohl irgendwohin geklickt?
Da der Kunde die Einstellung ja so vehement verteidigt, muss er dafür ja
auch einen Grund angeben können, oder?
Kein SSL-Zertifikat installiert, das nicht bei jedem Mail-Client
zu Schreikraempfen fuehrt. Da man die Clients der Mitarbeiter aber
so konfiguriert hat, den Plain-Port nur als Fallback zu nutzen,
hat man den TLS-Port zugemacht, damit der greift und nicht staendig
Warnmeldungen aufploppen?

Oder was aehnliches, wenn es um HTTPS geht, das dann auf den
OSI-Schichten 8 und 9 zu Problemen fuehrte.


Gruesse, Lothar
--
Lothar Kimmeringer E-Mail: ***@kimmeringer.de
PGP-encrypted mails preferred (Key-ID: 0x8BC3CD81)

Always remember: The answer is forty-two, there can only be wrong
questions!
Andreas Cammin
2010-10-24 15:33:16 UTC
Permalink
Post by Volker Birk
Post by Andreas Cammin
Aber warum sind Techniker für eindeutige
technische Aussagen derart unzugänglich?
Das sind sie genau dann, wenn sie nicht verstehen, was Du sagst.
Was ist an: "bei Anfragen auf Port 443 antwortet der Server mit
"Connection Refused" unverständlich?

Andreas
Juergen P. Meier
2010-10-24 16:08:07 UTC
Permalink
Post by Andreas Cammin
Post by Volker Birk
Post by Andreas Cammin
Aber warum sind Techniker für eindeutige
technische Aussagen derart unzugänglich?
Das sind sie genau dann, wenn sie nicht verstehen, was Du sagst.
Was ist an: "bei Anfragen auf Port 443 antwortet der Server mit
"Connection Refused" unverständlich?
Alles
Falk Willberg
2010-10-24 16:40:07 UTC
Permalink
Post by Andreas Cammin
Post by Volker Birk
Post by Andreas Cammin
Aber warum sind Techniker für eindeutige
technische Aussagen derart unzugänglich?
^^^^^^^^^^
Post by Andreas Cammin
Post by Volker Birk
Das sind sie genau dann, wenn sie nicht verstehen, was Du sagst.
Was ist an: "bei Anfragen auf Port 443 antwortet der Server mit
"Connection Refused" unverständlich?
Alles
Nichts
Juergen P. Meier
2010-10-25 03:52:34 UTC
Permalink
Post by Falk Willberg
Post by Andreas Cammin
Post by Volker Birk
Post by Andreas Cammin
Aber warum sind Techniker für eindeutige
technische Aussagen derart unzugänglich?
^^^^^^^^^^
Post by Andreas Cammin
Post by Volker Birk
Das sind sie genau dann, wenn sie nicht verstehen, was Du sagst.
Was ist an: "bei Anfragen auf Port 443 antwortet der Server mit
"Connection Refused" unverständlich?
Alles
Nichts
[ ] Du verstehst nicht-Technisch.
Falk Willberg
2010-10-25 07:10:59 UTC
Permalink
Post by Juergen P. Meier
Post by Falk Willberg
Post by Andreas Cammin
Post by Volker Birk
Post by Andreas Cammin
Aber warum sind Techniker für eindeutige
technische Aussagen derart unzugänglich?
^^^^^^^^^^
Post by Andreas Cammin
Post by Volker Birk
Das sind sie genau dann, wenn sie nicht verstehen, was Du sagst.
Was ist an: "bei Anfragen auf Port 443 antwortet der Server mit
"Connection Refused" unverständlich?
Alles
Nichts
[ ] Du verstehst nicht-Technisch.
Der oben zitierte Satz ist doch schon die weichgespülte Aussage. "Auf
mein SYN an Port 443 antwortet Ihr Server mit RST" wäre technisch.

Falk
Jens Link
2010-10-25 08:02:32 UTC
Permalink
Post by Falk Willberg
Der oben zitierte Satz ist doch schon die weichgespülte Aussage. "Auf
mein SYN an Port 443 antwortet Ihr Server mit RST" wäre technisch.
"Das muss an der Firewall liegen."

So was ist normal. Neulich hab ich einen Jabber-Server auf einen neuen
Host umgezogen und dem Dienst gleich auch noch IPv6 beigebracht. Es gab
ein paar Probleme, weil der secondary DNS etwas langsam war (Danke an
einen hier Anwesenden fürs Troubleshooten), aber am nächsten morgen ging
dann alles. Alles? Natürlich nicht, bei einer Person, welche auf dem
alten Host root war, ging Jabber nicht mehr. Das musste mit IPv6 zu tun
haben!



Indirekt hatte es mit IPv6 zu tun. Um IPv6 zu nutzen musste der Server
umziehen. Der User mit dem Problem hatte aber nicht jabber.example.com
in seinem Client sondern alter-hostname.example.com.



Es hat etwas länger gedauert bis ich ihn soweit hatte mal in die Config
zu schauen und ggf. man in /etc/hosts zu schauen.

Seufz....

Jens
--
jabber ***@jabber.quux.de
BLOG http://blog.quux.de
***@guug Berlin http://www.guug.de/lokal/berlin/index.html
***@guug Nuernberg http://www.guug.de/lokal/nuernberg/index.html
Andreas Cammin
2010-10-27 08:27:32 UTC
Permalink
Post by Falk Willberg
Der oben zitierte Satz ist doch schon die weichgespülte Aussage. "Auf
mein SYN an Port 443 antwortet Ihr Server mit RST" wäre technisch.
hätte ich das so gesagt, hätte mein Gegenüber vermutlich losgeheult:
"Das ist schwarze Magie! Verbrennt ihn!"

ich bin sehr oft gezwungen, "halbtechnische" Aussagen zu treffen, um
verstanden zu werden.

Andreas
Christoph Schmitz
2010-10-27 09:11:49 UTC
Permalink
Post by Andreas Cammin
Post by Falk Willberg
Der oben zitierte Satz ist doch schon die weichgespülte Aussage. "Auf
mein SYN an Port 443 antwortet Ihr Server mit RST" wäre technisch.
"Das ist schwarze Magie! Verbrennt ihn!"
ich bin sehr oft gezwungen, "halbtechnische" Aussagen zu treffen, um
verstanden zu werden.
Meinst Du "halb" wie in "das Niwoh ist halb so hoch wie bei
der Sendung mit der Maus"?

Christoph
Stefan Reuther
2010-10-24 16:58:38 UTC
Permalink
Post by Andreas Cammin
Post by Volker Birk
Post by Andreas Cammin
Aber warum sind Techniker für eindeutige
technische Aussagen derart unzugänglich?
Das sind sie genau dann, wenn sie nicht verstehen, was Du sagst.
Was ist an: "bei Anfragen auf Port 443 antwortet der Server mit
"Connection Refused" unverständlich?
Um den Klassiker zu zitieren: "Das kann nicht sein, unser Switch hat nur
16 Ports".


Stefan
Falk Willberg
2010-10-24 17:17:32 UTC
Permalink
Post by Stefan Reuther
Post by Andreas Cammin
Post by Volker Birk
Post by Andreas Cammin
Aber warum sind Techniker für eindeutige
technische Aussagen derart unzugänglich?
Das sind sie genau dann, wenn sie nicht verstehen, was Du sagst.
Was ist an: "bei Anfragen auf Port 443 antwortet der Server mit
"Connection Refused" unverständlich?
Um den Klassiker zu zitieren: "Das kann nicht sein, unser Switch hat nur
16 Ports".
"In diesem Fall möchte ich mit einem Fachmann sprechen."

Falk
Andreas Cammin
2010-10-24 17:55:41 UTC
Permalink
Post by Stefan Reuther
Post by Andreas Cammin
Was ist an: "bei Anfragen auf Port 443 antwortet der Server mit
"Connection Refused" unverständlich?
Um den Klassiker zu zitieren: "Das kann nicht sein, unser Switch hat nur
16 Ports".
Das kann ich toppen: "Ich will pptp machen und habe Port 47 freigegeben,
aber es geht nicht..."

Andreas
Marc Haber
2010-10-26 07:04:19 UTC
Permalink
Post by Andreas Cammin
Post by Stefan Reuther
Post by Andreas Cammin
Was ist an: "bei Anfragen auf Port 443 antwortet der Server mit
"Connection Refused" unverständlich?
Um den Klassiker zu zitieren: "Das kann nicht sein, unser Switch hat nur
16 Ports".
Das kann ich toppen: "Ich will pptp machen und habe Port 47 freigegeben,
aber es geht nicht..."
ARGH!

Das ist ja fast so gut wie "die Applikation braucht Ports 1023 bis
65535, eingehend und ausgehend" "Welches Protokoll?" "Na alle
natürlich!"

Grüße
Marc
--
-------------------------------------- !! No courtesy copies, please !! -----
Marc Haber | " Questions are the | Mailadresse im Header
Mannheim, Germany | Beginning of Wisdom " | http://www.zugschlus.de/
Nordisch by Nature | Lt. Worf, TNG "Rightful Heir" | Fon: *49 621 72739834
Rainer Freis
2010-10-26 16:31:34 UTC
Permalink
Post by Marc Haber
Das ist ja fast so gut wie "die Applikation braucht Ports 1023 bis
65535, eingehend und ausgehend"
Du hast mit Siemens HiCom zu tun (bzw. Siemens Technikern)?


Rainer
Marc Haber
2010-10-27 07:13:29 UTC
Permalink
Post by Rainer Freis
Post by Marc Haber
Das ist ja fast so gut wie "die Applikation braucht Ports 1023 bis
65535, eingehend und ausgehend"
Du hast mit Siemens HiCom zu tun (bzw. Siemens Technikern)?
Nein, zum Glück nicht. Das obige tritt Dir auch im Umgang mit anderen
Großvendoren auf.

Grüße
Marc
--
-------------------------------------- !! No courtesy copies, please !! -----
Marc Haber | " Questions are the | Mailadresse im Header
Mannheim, Germany | Beginning of Wisdom " | http://www.zugschlus.de/
Nordisch by Nature | Lt. Worf, TNG "Rightful Heir" | Fon: *49 621 72739834
Andreas Cammin
2010-10-27 08:31:31 UTC
Permalink
Post by Marc Haber
Post by Andreas Cammin
Post by Stefan Reuther
Um den Klassiker zu zitieren: "Das kann nicht sein, unser Switch hat nur
16 Ports".
Das kann ich toppen: "Ich will pptp machen und habe Port 47 freigegeben,
aber es geht nicht..."
ARGH!
Das ist ja fast so gut wie "die Applikation braucht Ports 1023 bis
65535, eingehend und ausgehend" "Welches Protokoll?" "Na alle
natürlich!"
Ja, da hat TCP/IP schon nur 4 Layer, und die werden immer noch munter
durcheinandergewürfelt...

Andreas

P.S. OK 5. Layer 8 OSI wird zu Layer 5 TCP/IP...
Jens Link
2010-10-26 07:40:52 UTC
Permalink
Post by Andreas Cammin
Das kann ich toppen: "Ich will pptp machen und habe Port 47 freigegeben,
aber es geht nicht..."
Admin: "Wir brauchen Port 50 und 51 auf der Firewall offen um VPN zu
machen."
Ich: "Sie meinen Protokoll 50 und 51?"
Admin: "Das ist doch das selbe!"

Jens
--
jabber ***@jabber.quux.de
BLOG http://blog.quux.de
***@guug Berlin http://www.guug.de/lokal/berlin/index.html
***@guug Nuernberg http://www.guug.de/lokal/nuernberg/index.html
Marc Haber
2010-10-26 09:24:46 UTC
Permalink
Post by Jens Link
Post by Andreas Cammin
Das kann ich toppen: "Ich will pptp machen und habe Port 47 freigegeben,
aber es geht nicht..."
Admin: "Wir brauchen Port 50 und 51 auf der Firewall offen um VPN zu
machen."
Ich: "Sie meinen Protokoll 50 und 51?"
Admin: "Das ist doch das selbe!"
Und, haben sie dann Protokoll 51 wirklich benutzt? Oder nur aus der
Herstellerdoku abgeschrieben?

Grüße
Marc
--
-------------------------------------- !! No courtesy copies, please !! -----
Marc Haber | " Questions are the | Mailadresse im Header
Mannheim, Germany | Beginning of Wisdom " | http://www.zugschlus.de/
Nordisch by Nature | Lt. Worf, TNG "Rightful Heir" | Fon: *49 621 72739834
Jens Link
2010-10-26 12:43:44 UTC
Permalink
Post by Marc Haber
Und, haben sie dann Protokoll 51 wirklich benutzt? Oder nur aus der
Herstellerdoku abgeschrieben?
Ich hab keinen Ahnung. Ich musste auch nichts an der Firewall
machen. Aber das hat der Mensch ja nicht verstanden. Dieses komische
Linux macht ganz komische Problem.

Das Netz sah etwa so aus:


(Intranet) ------ Router A ------ Router B
+--------------- (Netz A)
+--------------- (Netz B)
+--------------- (weitere Netze)
+--------------- Firewall
|
(Unsere Netze)

Der Wunsch war aus dem Intranet einen VPN mit je einem Host in Netz A
und Netz B herzustellen. Ganz klar, dass da die Firewall im Weg ist.

Jens
--
jabber ***@jabber.quux.de
BLOG http://blog.quux.de
***@guug Berlin http://www.guug.de/lokal/berlin/index.html
***@guug Nuernberg http://www.guug.de/lokal/nuernberg/index.html
Marc Haber
2010-10-27 07:14:17 UTC
Permalink
Post by Jens Link
(Intranet) ------ Router A ------ Router B
+--------------- (Netz A)
+--------------- (Netz B)
+--------------- (weitere Netze)
+--------------- Firewall
|
(Unsere Netze)
Der Wunsch war aus dem Intranet einen VPN mit je einem Host in Netz A
und Netz B herzustellen. Ganz klar, dass da die Firewall im Weg ist.
Abhängig von der Routingtabelle auf Router B kann das durchaus der
Fall sein.

Grüße
Marc
--
-------------------------------------- !! No courtesy copies, please !! -----
Marc Haber | " Questions are the | Mailadresse im Header
Mannheim, Germany | Beginning of Wisdom " | http://www.zugschlus.de/
Nordisch by Nature | Lt. Worf, TNG "Rightful Heir" | Fon: *49 621 72739834
Jens Link
2010-10-27 09:33:32 UTC
Permalink
Post by Marc Haber
Abhängig von der Routingtabelle auf Router B kann das durchaus der
Fall sein.
Könnte. Aber in anderen Netze haben mich nur interessiert, wenn sich ein
Host mal wieder einen Wurm eingefangen hat.

Ich: "Der Rechner mit der IP 192.0.2.10 hat anscheinend einen Blaster
und scannt das Netz."
Admin: "Kann nicht sein! Unser Netz ist sauber! Und warum scannen sie
unsere Netze. Das melde ich $Sicherheitsteam."
Ich: "Mit dem hab ich gerade gesprochen. Die hatten mich gebeten die
Ursache im etz zu finden und den Verursacher um die
Beseitigung zu bitten. In der Mail steht auch, dass ich sie
abklemmen soll wenn sie nicht entsprechend reagieren."
Admin: "Das können sie nicht machen! Ich will diese Mail sehen."
Ich: "Ich hab das gerade gemacht und ich kann ihnen die Mail gerne
faxen."

Zwei Tage später hat man sich entschuldigt und freundlich gebeten das
Netz wieder ans Intranet zu lassen.

Jens
--
jabber ***@jabber.quux.de
BLOG http://blog.quux.de
***@guug Berlin http://www.guug.de/lokal/berlin/index.html
***@guug Nuernberg http://www.guug.de/lokal/nuernberg/index.html
Andreas Cammin
2010-10-27 08:38:48 UTC
Permalink
Post by Jens Link
(Intranet) ------ Router A ------ Router B
+--------------- (Netz A)
+--------------- (Netz B)
+--------------- (weitere Netze)
+--------------- Firewall
|
(Unsere Netze)
Der Wunsch war aus dem Intranet einen VPN mit je einem Host in Netz A
und Netz B herzustellen. Ganz klar, dass da die Firewall im Weg ist.
Und du hattest in deiner unendlichen Arroganz gewagt auch nur den
leisesten Zweifel daran zu äussern??? Schäm dich :)

Mir will auch gelegentlich jemand erzählen, dass seit der Installation
der Firewall die Drucker nicht mehr gehen - im internen Netz...

Andreas
Ignatios Souvatzis
2010-10-27 09:52:52 UTC
Permalink
Post by Andreas Cammin
Mir will auch gelegentlich jemand erzählen, dass seit der Installation
der Firewall die Drucker nicht mehr gehen - im internen Netz...
Kann doch sogar sein, bei kaputter Netzmaske des Druckers und einem
Router, der vorher forward oder forward+redirect gemacht hat...

-is
--
seal your e-mail: http://www.gnupg.org/
Stefan+ (Stefan Froehlich)
2010-10-27 10:10:43 UTC
Permalink
Post by Ignatios Souvatzis
Post by Andreas Cammin
Mir will auch gelegentlich jemand erzählen, dass seit der Installation
der Firewall die Drucker nicht mehr gehen - im internen Netz...
Kann doch sogar sein, bei kaputter Netzmaske des Druckers und einem
Router, der vorher forward oder forward+redirect gemacht hat...
Wobei es immer noch kuehn ist, der Firewall in diesem Fall "Schuld"
zuweisen zu wollen. Ursache vielleicht schon, ja.

Servus,
Stefan
--
http://kontaktinser.at/ - die kostenlose Kontaktboerse fuer Oesterreich
Offizieller Erstbesucher(TM) von mmeike

Mehr als man denkt. Stefan - verziert und edel.
(Sloganizer)
Bernd Petrovitsch
2010-10-27 11:35:55 UTC
Permalink
Post by Stefan+ (Stefan Froehlich)
Post by Ignatios Souvatzis
Post by Andreas Cammin
Mir will auch gelegentlich jemand erzählen, dass seit der
Installation der Firewall die Drucker nicht mehr gehen - im internen
Netz...
Kann doch sogar sein, bei kaputter Netzmaske des Druckers und einem
Router, der vorher forward oder forward+redirect gemacht hat...
Wobei es immer noch kuehn ist, der Firewall in diesem Fall "Schuld"
zuweisen zu wollen. Ursache vielleicht schon, ja.
In DAU/Schlipsträger/Muggel-Logik ist das dasselbe - v.a. wenn man
Aufwand und Verantworung woanders hin abwerfen will.

Bernd
--
- Wie erkennt man IYO die offensichtlich ungeeigneten, hinter denen sich
nicht das Genie verbirgt?
- Wie erkennt man das Offensichtliche?
Martina Diel und Volker Birk
Marc Haber
2010-10-27 14:28:26 UTC
Permalink
Post by Stefan+ (Stefan Froehlich)
Post by Ignatios Souvatzis
Post by Andreas Cammin
Mir will auch gelegentlich jemand erzählen, dass seit der Installation
der Firewall die Drucker nicht mehr gehen - im internen Netz...
Kann doch sogar sein, bei kaputter Netzmaske des Druckers und einem
Router, der vorher forward oder forward+redirect gemacht hat...
Wobei es immer noch kuehn ist, der Firewall in diesem Fall "Schuld"
zuweisen zu wollen. Ursache vielleicht schon, ja.
Ich habe gestern zwei wichtige Server aus dem Netz geschossen -
dadurch, dass ich ein Testsystem angeklemmt habe, das aus dem
DHCP-Server eine IP-Adresse zugewiesen bekam.

Grüße
Marc
--
-------------------------------------- !! No courtesy copies, please !! -----
Marc Haber | " Questions are the | Mailadresse im Header
Mannheim, Germany | Beginning of Wisdom " | http://www.zugschlus.de/
Nordisch by Nature | Lt. Worf, TNG "Rightful Heir" | Fon: *49 621 72739834
Jens Link
2010-10-27 15:43:03 UTC
Permalink
Post by Marc Haber
Ich habe gestern zwei wichtige Server aus dem Netz geschossen -
dadurch, dass ich ein Testsystem angeklemmt habe, das aus dem
DHCP-Server eine IP-Adresse zugewiesen bekam.
Das musst du jetzt mal genauer erklären.

Jens
--
jabber ***@jabber.quux.de
BLOG http://blog.quux.de
***@guug Berlin http://www.guug.de/lokal/berlin/index.html
***@guug Nuernberg http://www.guug.de/lokal/nuernberg/index.html
Dietz Proepper
2010-10-27 16:05:49 UTC
Permalink
Post by Jens Link
Post by Marc Haber
Ich habe gestern zwei wichtige Server aus dem Netz geschossen -
dadurch, dass ich ein Testsystem angeklemmt habe, das aus dem
DHCP-Server eine IP-Adresse zugewiesen bekam.
Das musst du jetzt mal genauer erklären.
Meinst Du das ernst?
--
In Gold we trust.
Arnim Sommer
2010-10-27 18:55:13 UTC
Permalink
Post by Dietz Proepper
Post by Jens Link
Post by Marc Haber
Ich habe gestern zwei wichtige Server aus dem Netz geschossen -
dadurch, dass ich ein Testsystem angeklemmt habe, das aus dem
DHCP-Server eine IP-Adresse zugewiesen bekam.
Das musst du jetzt mal genauer erklären.
Meinst Du das ernst?
Ich schätze, er hofft auf mehr als das Naheliegende...

A!S
--
Persönliche Daten sind wie Plutonium.
Wenn zuviele davon auf einem Haufen liegen, wird es kritisch.
-- Dirk Engling, CCC
Dietz Proepper
2010-10-27 19:13:57 UTC
Permalink
Post by Arnim Sommer
Post by Dietz Proepper
Post by Jens Link
Post by Marc Haber
Ich habe gestern zwei wichtige Server aus dem Netz geschossen -
dadurch, dass ich ein Testsystem angeklemmt habe, das aus dem
DHCP-Server eine IP-Adresse zugewiesen bekam.
Das musst du jetzt mal genauer erklären.
Meinst Du das ernst?
Ich schätze, er hofft auf mehr als das Naheliegende...
Ich dachte eher in die Richtung, von Marc noch irgendeine nicht-schlipsoide
Antwort zu erhalten...
--
In Gold we trust.
Stefan Kanthak
2010-10-27 16:08:24 UTC
Permalink
Post by Marc Haber
Post by Stefan+ (Stefan Froehlich)
Post by Ignatios Souvatzis
Post by Andreas Cammin
Mir will auch gelegentlich jemand erzählen, dass seit der Installation
der Firewall die Drucker nicht mehr gehen - im internen Netz...
Kann doch sogar sein, bei kaputter Netzmaske des Druckers und einem
Router, der vorher forward oder forward+redirect gemacht hat...
Wobei es immer noch kuehn ist, der Firewall in diesem Fall "Schuld"
zuweisen zu wollen. Ursache vielleicht schon, ja.
Ich habe gestern zwei wichtige Server aus dem Netz geschossen -
dadurch, dass ich ein Testsystem angeklemmt habe, das aus dem
DHCP-Server eine IP-Adresse zugewiesen bekam.
Wurden die fuer diese Server zustaendigen Administratoren wenigstens
an den Pranger gestellt?

Stefan
Marc Haber
2010-10-28 06:36:17 UTC
Permalink
"Stefan Kanthak"
Post by Stefan Kanthak
Post by Marc Haber
Ich habe gestern zwei wichtige Server aus dem Netz geschossen -
dadurch, dass ich ein Testsystem angeklemmt habe, das aus dem
DHCP-Server eine IP-Adresse zugewiesen bekam.
Wurden die fuer diese Server zustaendigen Administratoren wenigstens
an den Pranger gestellt?
Natürlich nicht. Es herrschte betretenes Schweigen. Immerhin hat
niemand versucht, es so darzustellen, als wäre ich schuld gewesen.

Grüße
Marc
--
-------------------------------------- !! No courtesy copies, please !! -----
Marc Haber | " Questions are the | Mailadresse im Header
Mannheim, Germany | Beginning of Wisdom " | http://www.zugschlus.de/
Nordisch by Nature | Lt. Worf, TNG "Rightful Heir" | Fon: *49 621 72739834
Severin Glaeser
2010-10-27 08:58:00 UTC
Permalink
Post by Jens Link
(Intranet) ------ Router A ------ Router B
+--------------- (Netz A)
+--------------- (Netz B)
+--------------- (weitere Netze)
+--------------- Firewall
|
(Unsere Netze)
Der Wunsch war aus dem Intranet einen VPN mit je einem Host in Netz A
und Netz B herzustellen. Ganz klar, dass da die Firewall im Weg ist.
Ich hatte mal das problem vor mit, dass wenn auf Rechner C Norton AV läuft
(Version um ~2000 rum) Rechner B sich nicht mehr auf Rechner A per VNC
einloggen konnte. Also Ja, die Firewall war Schuld!

-Severin Glaeser-
Jens Link
2010-10-27 09:39:02 UTC
Permalink
Post by Severin Glaeser
Ich hatte mal das problem vor mit, dass wenn auf Rechner C Norton AV läuft
(Version um ~2000 rum) Rechner B sich nicht mehr auf Rechner A per VNC
einloggen konnte. Also Ja, die Firewall war Schuld!
Auch schön: "$User kann mit der Applikation nicht auf die Datenbank
zugreifen. Das muss ein Firewallproblem sein."

Firewall-logs geprüft, alles okay. Vom User ein traceroute auf den FQDN
des DB-Servers angefordert. Auch alles okay. Von einem anderen Problem
noch die Ausgabe von ipconfig des Users gefunden:

DNS Search Domain: example.org, der FQDN hat aber example.com als
Domain....

Der Entwickler hatte noch nichts von FQDN gehört. "Aber hier
funktioniert das doch auch. Reparieren sie das auf der Firewall!"

Jens
--
jabber ***@jabber.quux.de
BLOG http://blog.quux.de
***@guug Berlin http://www.guug.de/lokal/berlin/index.html
***@guug Nuernberg http://www.guug.de/lokal/nuernberg/index.html
Falk Willberg
2010-10-27 12:01:36 UTC
Permalink
Am 27.10.2010 10:58, schrieb Severin Glaeser:

...
Post by Severin Glaeser
Ich hatte mal das problem vor mit, dass wenn auf Rechner C Norton AV läuft
(Version um ~2000 rum) Rechner B sich nicht mehr auf Rechner A per VNC
einloggen konnte. Also Ja, die Firewall war Schuld!
$Kunde bemängelte meinen unsicheren Server. Das hatte er mit einem
Windows-Tool, dessen Namen ich verdrängt habe, herausgefunden.

"Auf Port 80 ist ein Apache, da kann es folgende Lücken geben: <lange
Liste>, auf Port 22 ist etwas, auf 443, 25... Und überhaupt ist ICMP
nicht gefiltert!!1".

Ich habe das Tool dann auf seinen Server losgelassen. Es hat tatsächlich
*kein* Problem gemeldet. Außer in hellgrauer Schrift: "Host does not
send ICMP-Echo-Replies. Aborting" ;-)

Falk
Marc Haber
2010-10-27 14:29:29 UTC
Permalink
Post by Falk Willberg
Ich habe das Tool dann auf seinen Server losgelassen. Es hat tatsächlich
*kein* Problem gemeldet. Außer in hellgrauer Schrift: "Host does not
send ICMP-Echo-Replies. Aborting" ;-)
Dir ist aber bewusst, dass das gängige Tool dann denkt, der Host sei
nicht da, und nicht mehr weitersucht?

Grüße
Marc
--
-------------------------------------- !! No courtesy copies, please !! -----
Marc Haber | " Questions are the | Mailadresse im Header
Mannheim, Germany | Beginning of Wisdom " | http://www.zugschlus.de/
Nordisch by Nature | Lt. Worf, TNG "Rightful Heir" | Fon: *49 621 72739834
Ralph Angenendt
2010-10-27 14:40:26 UTC
Permalink
Post by Marc Haber
Post by Falk Willberg
Ich habe das Tool dann auf seinen Server losgelassen. Es hat tatsächlich
*kein* Problem gemeldet. Außer in hellgrauer Schrift: "Host does not
send ICMP-Echo-Replies. Aborting" ;-)
Dir ist aber bewusst, dass das gängige Tool dann denkt, der Host sei
nicht da, und nicht mehr weitersucht?
Captain Obvious?

Ralph
--
You'll have to wait til yesterday is here

Nicht schreiben können: http://lestighaniker.de/
Falk Willberg
2010-10-27 15:07:22 UTC
Permalink
Post by Marc Haber
Post by Falk Willberg
Ich habe das Tool dann auf seinen Server losgelassen. Es hat tatsächlich
*kein* Problem gemeldet. Außer in hellgrauer Schrift: "Host does not
send ICMP-Echo-Replies. Aborting" ;-)
Dir ist aber bewusst, dass das gängige Tool dann denkt, der Host sei
nicht da, und nicht mehr weitersucht?
Es sei denn, "Aborting" ist englischer Slang für "Scheißhaus" ;-)

Der betreffende Server war übrigens ein Web- und Mailserver. Daß Port 80
und 25 nicht als offen gemeldet wurden, hätte auch beim gegnerischen
Admin ein Denken auslösen sollen.

Falk
Jens Link
2010-10-27 15:48:14 UTC
Permalink
Post by Falk Willberg
Der betreffende Server war übrigens ein Web- und Mailserver. Daß Port 80
und 25 nicht als offen gemeldet wurden, hätte auch beim gegnerischen
Admin ein Denken auslösen sollen.
"Mein Exchange und IIS brauchen diese Ports nicht. Das ist so ein
komische Unox Quatsch. Du hast ja überhaupt keine Ahnung von TCPIPC."

Jens
--
jabber ***@jabber.quux.de
BLOG http://blog.quux.de
***@guug Berlin http://www.guug.de/lokal/berlin/index.html
***@guug Nuernberg http://www.guug.de/lokal/nuernberg/index.html
Jens Kubieziel
2010-10-27 22:39:35 UTC
Permalink
Post by Jens Link
"Mein Exchange und IIS brauchen diese Ports nicht. Das ist so ein
komische Unox Quatsch. Du hast ja überhaupt keine Ahnung von TCPIPC."
Die korrekte Aussprache ist Teh Zeh Pipp.

Besten Gruß
--
Jens Kubieziel http://www.kubieziel.de
FdI#238: Output
Test bei Admin und Programmierer, ob er auch lesen kann.
(Manfred Worm Schäfer)
Daniel Krebs
2010-10-28 01:05:45 UTC
Permalink
Post by Jens Kubieziel
Post by Jens Link
"Mein Exchange und IIS brauchen diese Ports nicht. Das ist so ein
komische Unox Quatsch. Du hast ja überhaupt keine Ahnung von TCPIPC."
Die korrekte Aussprache ist Teh Zeh Pipp.
Ist eh nur 'ne Erfindung von Sisko.
Der hat bei uns im Knast gesessen, weil er mal ein geklautes Jauchenauto
abgelassen hat, um die Bullen abzuhängen.
Wahrscheinlich war da CDP drin...
Daniel
--
"Er nun wieder."
Harald Deichmann
Juergen P. Meier
2010-10-28 03:57:38 UTC
Permalink
Post by Jens Link
Post by Falk Willberg
Der betreffende Server war übrigens ein Web- und Mailserver. Daß Port 80
und 25 nicht als offen gemeldet wurden, hätte auch beim gegnerischen
Admin ein Denken auslösen sollen.
"Mein Exchange und IIS brauchen diese Ports nicht. Das ist so ein
komische Unox Quatsch. Du hast ja überhaupt keine Ahnung von TCPIPC."
Exchange macht RPC-over-HTTP*.

Da braucht man nichts weiter als Port 80.

Natuerlich funktoiniert das ueberall dort nicht, wo kein Microsoft IIS
als HTTP-Proxy verwendet wird (oder wo der IIS nicht neu genug, nicht
passend konfiguriert oder nicht unsicher genug ist).

* Das ist viel schlimmer als es klingt. Viel. viel. schlimmer.
Marc Haber
2010-10-28 06:37:21 UTC
Permalink
Post by Juergen P. Meier
Exchange macht RPC-over-HTTP*.
Da braucht man nichts weiter als Port 80.
Aber nur wenn der Client gesondert konfiguriert wird, sonst müssen im
Default alle hohen Ports offen sein.

Grüße
Marc
--
-------------------------------------- !! No courtesy copies, please !! -----
Marc Haber | " Questions are the | Mailadresse im Header
Mannheim, Germany | Beginning of Wisdom " | http://www.zugschlus.de/
Nordisch by Nature | Lt. Worf, TNG "Rightful Heir" | Fon: *49 621 72739834
Marc Haber
2010-10-27 17:01:33 UTC
Permalink
Post by Falk Willberg
Der betreffende Server war übrigens ein Web- und Mailserver. Daß Port 80
und 25 nicht als offen gemeldet wurden, hätte auch beim gegnerischen
Admin ein Denken auslösen sollen.
"Denken" ist oftmals eine übertriebene Anforderung. Vielleicht hat er
ja vom Tool erwartet dass es erkennt, dass Mail- und Webservice da
sein sollen und er deswegen gar nicht erst gemeldet hat. Viele Leute
sind ja sehr naiv darin, die Leistungsfähigkeit solcher Tools zu
bewerten.

Grüße
Marc
--
-------------------------------------- !! No courtesy copies, please !! -----
Marc Haber | " Questions are the | Mailadresse im Header
Mannheim, Germany | Beginning of Wisdom " | http://www.zugschlus.de/
Nordisch by Nature | Lt. Worf, TNG "Rightful Heir" | Fon: *49 621 72739834
Falk Willberg
2010-10-27 17:22:56 UTC
Permalink
Post by Marc Haber
Post by Falk Willberg
Der betreffende Server war übrigens ein Web- und Mailserver. Daß Port 80
und 25 nicht als offen gemeldet wurden, hätte auch beim gegnerischen
Admin ein Denken auslösen sollen.
"Denken" ist oftmals eine übertriebene Anforderung. Vielleicht hat er
ja vom Tool erwartet dass es erkennt, dass Mail- und Webservice da
sein sollen und er deswegen gar nicht erst gemeldet hat.
Diese Einstellung gefällt mir. Tool merkt, daß Port X (bspw. 445) offen
ist und schließt daraus, daß das gewollt ist ;-)

Falk
Juergen P. Meier
2010-10-28 04:05:32 UTC
Permalink
Post by Falk Willberg
Post by Marc Haber
Post by Falk Willberg
Der betreffende Server war übrigens ein Web- und Mailserver. Daß Port 80
und 25 nicht als offen gemeldet wurden, hätte auch beim gegnerischen
Admin ein Denken auslösen sollen.
"Denken" ist oftmals eine übertriebene Anforderung. Vielleicht hat er
ja vom Tool erwartet dass es erkennt, dass Mail- und Webservice da
sein sollen und er deswegen gar nicht erst gemeldet hat.
Diese Einstellung gefällt mir. Tool merkt, daß Port X (bspw. 445) offen
ist und schließt daraus, daß das gewollt ist ;-)
Vulnerability-Scanner fuer Lau kann man sowas im Suff ja gerade noch
verzeihen, aber wenn $Teurer "Auditor" ein Tool verwendet, das ein
viele Jahre altes Sicherheits-Feature* in $PROTOKOLL nicht kennt und
anmeckert, dass [auf der Zunge zergehen lassen!] kein Klartext-
Passwort zur gegenseitigen Authentifizierung verwendet wird...

(In obigem Satz befindet sich Ausnahmsweise kein Rechtschreibfehler)

*MD5 Hashes anstelle von Klartext, das Feld fuers Klartextpasswort ist
in diesem Fall gemaess dokumentierter Protokollspezifikation leer zu lassen.

Juergen
--
Juergen P. Meier - "This World is about to be Destroyed!"
end
If you think technology can solve your problems you don't understand
technology and you don't understand your problems. (Bruce Schneier)
Jens Link
2010-10-27 15:44:46 UTC
Permalink
Post by Marc Haber
Dir ist aber bewusst, dass das gängige Tool dann denkt, der Host sei
nicht da, und nicht mehr weitersucht?
Deswegen ist es ja sicher wenn man ICMP ausschaltet. Die Tools denken
dann der Host ist down und machen nicht weiter. Also greift den Host
auch niemand an.

Jens
--
jabber ***@jabber.quux.de
BLOG http://blog.quux.de
***@guug Berlin http://www.guug.de/lokal/berlin/index.html
***@guug Nuernberg http://www.guug.de/lokal/nuernberg/index.html
Dietz Proepper
2010-10-27 16:06:36 UTC
Permalink
Post by Jens Link
Post by Marc Haber
Dir ist aber bewusst, dass das gängige Tool dann denkt, der Host sei
nicht da, und nicht mehr weitersucht?
Deswegen ist es ja sicher wenn man ICMP ausschaltet. Die Tools denken
dann der Host ist down und machen nicht weiter. Also greift den Host
auch niemand an.
Das ist in etwa die Sicherheit welche man erreicht wenn man ssh nicht gegen
Port 22 bindet, gell.
--
In Gold we trust.
Stefan Dreyer
2010-10-27 16:20:33 UTC
Permalink
Post by Dietz Proepper
Post by Jens Link
Post by Marc Haber
Dir ist aber bewusst, dass das gängige Tool dann denkt, der Host sei
nicht da, und nicht mehr weitersucht?
Deswegen ist es ja sicher wenn man ICMP ausschaltet. Die Tools denken
dann der Host ist down und machen nicht weiter. Also greift den Host
auch niemand an.
Das ist in etwa die Sicherheit welche man erreicht wenn man ssh nicht gegen
Port 22 bindet, gell.
Nunja, ich habe einen erreichbaren sshd auch nicht auf dem Standardport,
aber nicht als Sicherheitsfeature, sondern damit die Logs nicht so
aufgebläht werden. Von innen ist allerdings der Standardport erreichbar.
Auf einem Router von $C, konnte ich mit dem Wegnehmen vom Standardport
auch die CPU-Last deutlich minimieren.
Dietz Proepper
2010-10-27 17:48:30 UTC
Permalink
Post by Stefan Dreyer
Post by Dietz Proepper
Post by Jens Link
Post by Marc Haber
Dir ist aber bewusst, dass das gängige Tool dann denkt, der Host sei
nicht da, und nicht mehr weitersucht?
Deswegen ist es ja sicher wenn man ICMP ausschaltet. Die Tools denken
dann der Host ist down und machen nicht weiter. Also greift den Host
auch niemand an.
Das ist in etwa die Sicherheit welche man erreicht wenn man ssh nicht gegen
Port 22 bindet, gell.
Nunja, ich habe einen erreichbaren sshd auch nicht auf dem Standardport,
aber nicht als Sicherheitsfeature, sondern damit die Logs nicht so
aufgebläht werden.
Das ist ja zumindest schon mal eine Erklärung, über welche man diskutieren
kann.
Post by Stefan Dreyer
Von innen ist allerdings der Standardport erreichbar.
Naja, nach außen habe ich eigentlich am liebsten am Router garkeine Ports
offen.
Post by Stefan Dreyer
Auf einem Router von $C, konnte ich mit dem Wegnehmen vom Standardport
auch die CPU-Last deutlich minimieren.
Bitte wie?
--
In Gold we trust.
Stefan Dreyer
2010-10-27 17:58:37 UTC
Permalink
Post by Dietz Proepper
Post by Stefan Dreyer
Post by Dietz Proepper
Post by Jens Link
Post by Marc Haber
Dir ist aber bewusst, dass das gängige Tool dann denkt, der Host sei
nicht da, und nicht mehr weitersucht?
Deswegen ist es ja sicher wenn man ICMP ausschaltet. Die Tools denken
dann der Host ist down und machen nicht weiter. Also greift den Host
auch niemand an.
Das ist in etwa die Sicherheit welche man erreicht wenn man ssh nicht gegen
Port 22 bindet, gell.
Nunja, ich habe einen erreichbaren sshd auch nicht auf dem Standardport,
aber nicht als Sicherheitsfeature, sondern damit die Logs nicht so
aufgebläht werden.
Das ist ja zumindest schon mal eine Erklärung, über welche man diskutieren
kann.
Post by Stefan Dreyer
Von innen ist allerdings der Standardport erreichbar.
Naja, nach außen habe ich eigentlich am liebsten am Router garkeine Ports
offen.
Obiges ist ja auch nicht der Router.
Post by Dietz Proepper
Post by Stefan Dreyer
Auf einem Router von $C, konnte ich mit dem Wegnehmen vom Standardport
auch die CPU-Last deutlich minimieren.
Bitte wie?
Keine große Büchse, aber auch kein SMB, sondern ein C28xx, der von der
CPU sich das eigentlich nicht anmerken lassen sollte.
Dietz Proepper
2010-10-27 18:29:49 UTC
Permalink
Post by Stefan Dreyer
Post by Dietz Proepper
Naja, nach außen habe ich eigentlich am liebsten am Router garkeine Ports
offen.
Obiges ist ja auch nicht der Router.
;-)
Post by Stefan Dreyer
Post by Dietz Proepper
Post by Stefan Dreyer
Auf einem Router von $C, konnte ich mit dem Wegnehmen vom Standardport
auch die CPU-Last deutlich minimieren.
Bitte wie?
Keine große Büchse, aber auch kein SMB, sondern ein C28xx, der von der
CPU sich das eigentlich nicht anmerken lassen sollte.
Warum lauscht der nach außen auf ssh?
--
In Gold we trust.
Stefan Dreyer
2010-10-27 18:42:40 UTC
Permalink
Post by Dietz Proepper
Post by Stefan Dreyer
Post by Dietz Proepper
Naja, nach außen habe ich eigentlich am liebsten am Router garkeine Ports
offen.
Obiges ist ja auch nicht der Router.
;-)
Post by Stefan Dreyer
Post by Dietz Proepper
Post by Stefan Dreyer
Auf einem Router von $C, konnte ich mit dem Wegnehmen vom Standardport
auch die CPU-Last deutlich minimieren.
Bitte wie?
Keine große Büchse, aber auch kein SMB, sondern ein C28xx, der von der
CPU sich das eigentlich nicht anmerken lassen sollte.
Warum lauscht der nach außen auf ssh?
Das war nur mal so zum ausprobieren, ob es eine gute Idee ist. Es ist
halt manchmal nicht schlecht, wenn man noch eine zweite
Fernwartungsmöglichkeit hat, für den Fall das der üblich Pfad verbaut ist.
Dietz Proepper
2010-10-27 19:11:35 UTC
Permalink
Post by Stefan Dreyer
Post by Dietz Proepper
Post by Stefan Dreyer
Keine große Büchse, aber auch kein SMB, sondern ein C28xx, der von der
CPU sich das eigentlich nicht anmerken lassen sollte.
Warum lauscht der nach außen auf ssh?
Das war nur mal so zum ausprobieren, ob es eine gute Idee ist.
Ich halte es an einem Router für keine gute. Aber ich bin ohnehin altmodisch.
Post by Stefan Dreyer
Es ist
halt manchmal nicht schlecht, wenn man noch eine zweite
Fernwartungsmöglichkeit hat, für den Fall das der üblich Pfad verbaut ist.
Kann man so sehen. An den Stellen wo ich immer noch für sowas zuständig bin
(inzwischen nur noch sehr wenige) gibts einen Dialin für sowas.
--
In Gold we trust.
Jens Link
2010-10-27 20:13:06 UTC
Permalink
Dietz Proepper <dietz-***@rotfl.franken.de> writes:

[ssh]
Post by Dietz Proepper
Ich halte es an einem Router für keine gute. Aber ich bin ohnehin altmodisch.
Kommt darauf an. Aber wenn man Zugriff auf ein paar IPs oder Netze
einschränken kann, ist das besser. Problem bei Cisco ist auch, dass die
erst ab IOS 15 Keys können. Davor ist Username Passwort.



Aber da kenne ich auch Unix Admins die ssh mit Username / Passwort *und*
root Login von überall her aufhaben.



Das Passwort steht zwar nicht im Wörterbuch, ist aber auch nicht
wirklich komplex.

Jens
--
jabber ***@jabber.quux.de
BLOG http://blog.quux.de
***@guug Berlin http://www.guug.de/lokal/berlin/index.html
***@guug Nuernberg http://www.guug.de/lokal/nuernberg/index.html
Oliver Schad
2010-10-27 21:11:55 UTC
Permalink
Post by Jens Link
Das Passwort steht zwar nicht im Wörterbuch, ist aber auch nicht
wirklich komplex.
komplex stünde ja auch im Wörterbuch.

mfg
Oli
--
Man darf ruhig intelligent sein, man muss sich nur zu helfen wissen
Dietz Proepper
2010-10-27 21:28:28 UTC
Permalink
Post by Oliver Schad
Post by Jens Link
Das Passwort steht zwar nicht im Wörterbuch, ist aber auch nicht
wirklich komplex.
komplex stünde ja auch im Wörterbuch.
"wirklich komplex" auch...
--
In Gold we trust.
Dietz Proepper
2010-10-27 21:28:01 UTC
Permalink
Post by Jens Link
[ssh]
Post by Dietz Proepper
Ich halte es an einem Router für keine gute. Aber ich bin ohnehin altmodisch.
Kommt darauf an.
Nein. Ich Bin Altmodisch ;-).
Post by Jens Link
Aber wenn man Zugriff auf ein paar IPs oder Netze
einschränken kann, ist das besser.
Naja.
Post by Jens Link
Problem bei Cisco ist auch, dass die
erst ab IOS 15 Keys können. Davor ist Username Passwort.
Richtig evil.
Post by Jens Link
Aber da kenne ich auch Unix Admins die ssh mit Username / Passwort *und*
root Login von überall her aufhaben.
Idioten usw.
Post by Jens Link
Das Passwort steht zwar nicht im Wörterbuch, ist aber auch nicht
wirklich komplex.
Nein. Ich will keine Geschichten von $ork hören.

BTW. Wenn Du noch wach bist dann hätten wir uns auch besaufen können.
Leider werden die Tage, an denen das lindernd wäre häufiger. Sie wollen 2.5k-
Zeilen an hochwerigem Java durch Debakel Rules engine ersetzen. OMG.

Ich hasse Jobs bei denen ich jeden zweiten Tag denke, heute müsste ich für's
Theater Geld da lassen...
--
In Gold we trust.
Marc Haber
2010-10-28 06:40:46 UTC
Permalink
Post by Dietz Proepper
Ich hasse Jobs bei denen ich jeden zweiten Tag denke, heute müsste ich für's
Theater Geld da lassen...
Mein aktueller Erstjob rettet im Moment jeden Tag die Woche. Ich hab
lange nicht mehr so viel Spaß bei der Arbeit gehabt.

Grüße
Marc
--
-------------------------------------- !! No courtesy copies, please !! -----
Marc Haber | " Questions are the | Mailadresse im Header
Mannheim, Germany | Beginning of Wisdom " | http://www.zugschlus.de/
Nordisch by Nature | Lt. Worf, TNG "Rightful Heir" | Fon: *49 621 72739834
Juergen P. Meier
2010-10-28 04:10:52 UTC
Permalink
Post by Jens Link
Kommt darauf an. Aber wenn man Zugriff auf ein paar IPs oder Netze
einschränken kann, ist das besser. Problem bei Cisco ist auch, dass die
erst ab IOS 15 Keys können. Davor ist Username Passwort.
Nicht auf allen Geraeten.

Das ist die Krux mit IOS.

SNMPv3? Ja. AES? Aeh... nur auf ...

Juergen
--
Juergen P. Meier - "This World is about to be Destroyed!"
end
If you think technology can solve your problems you don't understand
technology and you don't understand your problems. (Bruce Schneier)
Ralph Angenendt
2010-10-27 18:53:30 UTC
Permalink
Post by Dietz Proepper
Post by Stefan Dreyer
Von innen ist allerdings der Standardport erreichbar.
Naja, nach außen habe ich eigentlich am liebsten am Router garkeine Ports
offen.
Eher dämlich, wenn man Geräte hinter dem Router irgendwie erreichen
möchte.

Ralph
--
You'll have to wait til yesterday is here

Nicht schreiben können: http://lestighaniker.de/
Oliver Schad
2010-10-27 21:09:40 UTC
Permalink
Post by Dietz Proepper
Post by Jens Link
Post by Marc Haber
Dir ist aber bewusst, dass das gängige Tool dann denkt, der Host sei
nicht da, und nicht mehr weitersucht?
Deswegen ist es ja sicher wenn man ICMP ausschaltet. Die Tools denken
dann der Host ist down und machen nicht weiter. Also greift den Host
auch niemand an.
Das ist in etwa die Sicherheit welche man erreicht wenn man ssh nicht
gegen Port 22 bindet, gell.
Mmh, ich dachte ja mal, dass man deutlich weniger Logeinträge bekommt,
wenn man einfach den Port ändert. Das hat auch mal gestimmt.

mfg
Oli
--
Man darf ruhig intelligent sein, man muss sich nur zu helfen wissen
Ralph Angenendt
2010-10-27 21:34:37 UTC
Permalink
Post by Oliver Schad
Post by Dietz Proepper
Das ist in etwa die Sicherheit welche man erreicht wenn man ssh nicht
gegen Port 22 bindet, gell.
Mmh, ich dachte ja mal, dass man deutlich weniger Logeinträge bekommt,
wenn man einfach den Port ändert. Das hat auch mal gestimmt.
Yupp. Spart auch Strom, weil man nicht ständig nen SSH-Handshake machen
muss (wenn man die IP-Adresse, von der man kommt, nicht so genau
festlegen kann).

Ich habe einen Server unter der Fuchtel, bei dem das echt nicht mehr
komisch ist, was da auf ssh und ftp ankommt. POP3 und IMAP nehmen auch
zu.

Ralph
--
You'll have to wait til yesterday is here

Nicht schreiben können: http://lestighaniker.de/
Arnim Sommer
2010-10-27 18:57:33 UTC
Permalink
Post by Falk Willberg
$Kunde bemängelte meinen unsicheren Server. Das hatte er mit einem
Windows-Tool, dessen Namen ich verdrängt habe, herausgefunden.
$Kunde==Haluk?

A°S
--
Persönliche Daten sind wie Plutonium.
Wenn zuviele davon auf einem Haufen liegen, wird es kritisch.
-- Dirk Engling, CCC
Dietz Proepper
2010-10-27 19:11:59 UTC
Permalink
Post by Arnim Sommer
Post by Falk Willberg
$Kunde bemängelte meinen unsicheren Server. Das hatte er mit einem
Windows-Tool, dessen Namen ich verdrängt habe, herausgefunden.
$Kunde==Haluk?
Pfui! Gibt's das Haluk wirkich noch?
--
In Gold we trust.
Falk Willberg
2010-10-27 19:41:53 UTC
Permalink
Post by Arnim Sommer
Post by Falk Willberg
$Kunde bemängelte meinen unsicheren Server. Das hatte er mit einem
Windows-Tool, dessen Namen ich verdrängt habe, herausgefunden.
$Kunde==Haluk?
Nein. Irgendwas im Umfeld Rettungsdienste.

Falk
Juergen P. Meier
2010-10-28 04:12:43 UTC
Permalink
Post by Arnim Sommer
Post by Falk Willberg
$Kunde bemängelte meinen unsicheren Server. Das hatte er mit einem
Windows-Tool, dessen Namen ich verdrängt habe, herausgefunden.
$Kunde==Haluk?
Du verwechselst da was. Das Haluk war Dienstleister.
Erhard Schwenk
2010-10-24 20:00:05 UTC
Permalink
Post by Andreas Cammin
Post by Volker Birk
Post by Andreas Cammin
Aber warum sind Techniker für eindeutige
technische Aussagen derart unzugänglich?
Das sind sie genau dann, wenn sie nicht verstehen, was Du sagst.
Was ist an: "bei Anfragen auf Port 443 antwortet der Server mit
"Connection Refused" unverständlich?
Das ist ein verständlich beschriebener Zustand. Unverständlich daran
ist, warum Du das erwähnst bzw. was Du denn nun willst.
--
Erhard Schwenk

Akkordeonjugend Baden-Württemberg - http://www.akkordeonjugend.de/
APAYA running System - http://www.apaya.net/
Bernd Petrovitsch
2010-10-24 21:09:00 UTC
Permalink
Post by Andreas Cammin
Post by Volker Birk
Aber warum sind Techniker für eindeutige technische Aussagen derart
unzugänglich?
Das sind sie genau dann, wenn sie nicht verstehen, was Du sagst.
Was ist an: "bei Anfragen auf Port 443 antwortet der Server mit
"Connection Refused" unverständlich?
Wenig: "ihr Server ist kaputt, wenn der mit unserem Client nicht kann".

Bernd
--
- Wie erkennt man IYO die offensichtlich ungeeigneten, hinter denen sich
nicht das Genie verbirgt?
- Wie erkennt man das Offensichtliche?
Martina Diel und Volker Birk
Lothar Kimmeringer
2010-10-25 09:58:32 UTC
Permalink
Post by Bernd Petrovitsch
Post by Andreas Cammin
Post by Volker Birk
Aber warum sind Techniker für eindeutige technische Aussagen derart
unzugänglich?
Das sind sie genau dann, wenn sie nicht verstehen, was Du sagst.
Was ist an: "bei Anfragen auf Port 443 antwortet der Server mit
"Connection Refused" unverständlich?
Wenig: "ihr Server ist kaputt, wenn der mit unserem Client nicht kann".
Wenn ich Andreas richtig verstanden habe, ging es doch um den
Server des Kunden selbst.


Gruesse, Lothar
--
Lothar Kimmeringer E-Mail: ***@kimmeringer.de
PGP-encrypted mails preferred (Key-ID: 0x8BC3CD81)

Always remember: The answer is forty-two, there can only be wrong
questions!
Marc Haber
2010-10-26 07:02:44 UTC
Permalink
Post by Andreas Cammin
Was ist an: "bei Anfragen auf Port 443 antwortet der Server mit
"Connection Refused" unverständlich?
Es enthält die Begriffe "Port" und "Connection Refused". Mit solchen
Angaben verunsichert man viele Windowser.

Grüße
Marc
--
-------------------------------------- !! No courtesy copies, please !! -----
Marc Haber | " Questions are the | Mailadresse im Header
Mannheim, Germany | Beginning of Wisdom " | http://www.zugschlus.de/
Nordisch by Nature | Lt. Worf, TNG "Rightful Heir" | Fon: *49 621 72739834
Oliver Schad
2010-10-26 10:56:39 UTC
Permalink
Post by Marc Haber
Post by Andreas Cammin
Was ist an: "bei Anfragen auf Port 443 antwortet der Server mit
"Connection Refused" unverständlich?
Es enthält die Begriffe "Port" und "Connection Refused". Mit solchen
Angaben verunsichert man viele Windowser.
Genau, man schickt den Netzwerkdump ohne jede weitere Erläuterung,
fertig.

mfg
Oli
--
Man darf ruhig intelligent sein, man muss sich nur zu helfen wissen
Helmut Springer
2010-10-26 12:38:54 UTC
Permalink
Post by Oliver Schad
Genau, man schickt den Netzwerkdump ohne jede weitere Erläuterung,
fertig.
"Internet auf CD" ist so 80er...
--
MfG/Best regards
helmut springer panta rhei
Andreas Cammin
2010-10-27 08:39:43 UTC
Permalink
Post by Helmut Springer
Post by Oliver Schad
Genau, man schickt den Netzwerkdump ohne jede weitere Erläuterung,
fertig.
"Internet auf CD" ist so 80er...
90er. Allerdings ohne pr0n...

Andreas
Jens Link
2010-10-26 12:48:14 UTC
Permalink
Oliver Schad
Post by Oliver Schad
Genau, man schickt den Netzwerkdump ohne jede weitere Erläuterung,
fertig.
Nein, man schickt Screenshots von Ethereal[1]. Ode den Screenshot vom
tcpdump im putty.

Jens
[1] Ja, ich weiss, das heisst jetzt Wireshark. Aber Ethereal ist halt
vor Urzeiten mal von den Sicherheitsleuten erlaubt worden. das jetzt
nochmal für Wireshark machen will keiner.
--
jabber ***@jabber.quux.de
BLOG http://blog.quux.de
***@guug Berlin http://www.guug.de/lokal/berlin/index.html
***@guug Nuernberg http://www.guug.de/lokal/nuernberg/index.html
Andreas Cammin
2010-10-27 08:41:06 UTC
Permalink
Post by Jens Link
Post by Oliver Schad
Genau, man schickt den Netzwerkdump ohne jede weitere Erläuterung,
fertig.
Nein, man schickt Screenshots von Ethereal[1]. Ode den Screenshot vom
tcpdump im putty.
Es gibt putty für linux? O_O

Andreas
Andreas Dau
2010-10-27 09:31:37 UTC
Permalink
Post by Andreas Cammin
Es gibt putty für linux? O_O
Klar gibts das.

cu,
ada
Jens Link
2010-10-27 09:42:48 UTC
Permalink
Post by Andreas Cammin
Es gibt putty für linux? O_O
***@islay-mist:~$ apt-cache show putty
Package: putty
[...]
Description: Telnet/SSH client for X
[...]

Wer braucht. Linux ist doch auch nur ein anderes Windows.

Jens
--
jabber ***@jabber.quux.de
BLOG http://blog.quux.de
***@guug Berlin http://www.guug.de/lokal/berlin/index.html
***@guug Nuernberg http://www.guug.de/lokal/nuernberg/index.html
Andreas Cammin
2010-10-27 21:10:25 UTC
Permalink
Ich sehe, wir haben ähnliche Methoden, was die Aufarbeitung von
Dau-Erlebnissen angeht...

Andreas, sich den Bruichladdich D2D zum Geburtstag wünschend
Ignatios Souvatzis
2010-10-27 09:53:41 UTC
Permalink
Post by Andreas Cammin
Post by Jens Link
Post by Oliver Schad
Genau, man schickt den Netzwerkdump ohne jede weitere Erläuterung,
fertig.
Nein, man schickt Screenshots von Ethereal[1]. Ode den Screenshot vom
tcpdump im putty.
Es gibt putty für linux? O_O
Dann start' halt einen qemu mit windows mit putty und schick das rdesktop-
Foto.

-is
--
seal your e-mail: http://www.gnupg.org/
Oliver Schad
2010-10-27 10:46:02 UTC
Permalink
Post by Ignatios Souvatzis
Post by Andreas Cammin
Post by Jens Link
Post by Oliver Schad
Genau, man schickt den Netzwerkdump ohne jede weitere Erläuterung,
fertig.
Nein, man schickt Screenshots von Ethereal[1]. Ode den Screenshot
vom tcpdump im putty.
Es gibt putty für linux? O_O
Dann start' halt einen qemu mit windows mit putty und schick das
rdesktop- Foto.
Als Word-Dokument bitte, wg. der Kompatibilität.

mfg
Oli
--
Man darf ruhig intelligent sein, man muss sich nur zu helfen wissen
Thomas Kosch
2010-10-27 12:11:43 UTC
Permalink
Oliver Schad
Post by Oliver Schad
Post by Ignatios Souvatzis
Post by Andreas Cammin
Post by Jens Link
Post by Oliver Schad
Genau, man schickt den Netzwerkdump ohne jede weitere Erläuterung,
fertig.
Nein, man schickt Screenshots von Ethereal[1]. Ode den Screenshot
vom tcpdump im putty.
Es gibt putty für linux? O_O
Dann start' halt einen qemu mit windows mit putty und schick das
rdesktop- Foto.
Als Word-Dokument bitte, wg. der Kompatibilität.
Das ist doch alles so letztes Jahrtausend!

Heute filmt man den Bildschirm ab, stellt das Video bei youtube ein und
schickt dann den Link.

Und ja, das ist mir schon wirklich passiert.

ttyl8er, t.k.
--
Life is Xerox, and you're just a copy
Oliver Schad
2010-10-27 13:52:37 UTC
Permalink
Post by Jens Link
Oliver Schad
Post by Oliver Schad
Post by Ignatios Souvatzis
Dann start' halt einen qemu mit windows mit putty und schick das
rdesktop- Foto.
Als Word-Dokument bitte, wg. der Kompatibilität.
Das ist doch alles so letztes Jahrtausend!
Heute filmt man den Bildschirm ab, stellt das Video bei youtube ein
und schickt dann den Link.
Scheiße, ich bin schon total out.

mfg
Oli
--
Man darf ruhig intelligent sein, man muss sich nur zu helfen wissen
Thorsten Dahm
2010-10-27 14:28:46 UTC
Permalink
Am 27/10/2010 13:11, schrieb Thomas Kosch:
[Fehlermeldungen]
Post by Thomas Kosch
Heute filmt man den Bildschirm ab, stellt das Video bei youtube ein und
schickt dann den Link.
Web 2.0 sozusagen. Und wenn jemand von Apple ein Video hochläd in dem zu
sehen ist daß der Apple-Webserver gerade down ist kann Microsoft über
Facebook ein "Das gefällt mir" schicken.

Gruß,
Thorsten
Stefan Kanthak
2010-10-27 16:11:59 UTC
Permalink
Post by Jens Link
Oliver Schad
Post by Oliver Schad
Genau, man schickt den Netzwerkdump ohne jede weitere Erläuterung,
fertig.
Nein, man schickt Screenshots von Ethereal[1]. Ode den Screenshot vom
tcpdump im putty.
Jens
[1] Ja, ich weiss, das heisst jetzt Wireshark. Aber Ethereal ist halt
vor Urzeiten mal von den Sicherheitsleuten erlaubt worden. das jetzt
nochmal für Wireshark machen will keiner.
FØlliger Kwatsch: unter Windows heisst dieses Dingsbums seit mindestens
14 Jahren "NetMon".

Stefan
Ansgar -59cobalt- Wiechers
2010-10-27 17:29:01 UTC
Permalink
Post by Stefan Kanthak
Post by Jens Link
[1] Ja, ich weiss, das heisst jetzt Wireshark. Aber Ethereal ist halt
vor Urzeiten mal von den Sicherheitsleuten erlaubt worden. das
jetzt nochmal für Wireshark machen will keiner.
FØlliger Kwatsch: unter Windows heisst dieses Dingsbums seit
mindestens 14 Jahren "NetMon".
Bekannt. Und ich nehm' trotzdem lieber Ether^WWireshark.

cu
59cobalt
--
"All vulnerabilities deserve a public fear period prior to patches
becoming available."
--Jason Coombs on Bugtraq
Andreas Cammin
2010-10-27 08:40:25 UTC
Permalink
Post by Oliver Schad
Post by Marc Haber
Es enthält die Begriffe "Port" und "Connection Refused". Mit solchen
Angaben verunsichert man viele Windowser.
Genau, man schickt den Netzwerkdump ohne jede weitere Erläuterung,
fertig.
tcpdump oder snort?

Andreas
Thorsten Dahm
2010-10-27 14:25:09 UTC
Permalink
Post by Andreas Cammin
Was ist an: "bei Anfragen auf Port 443 antwortet der Server mit
"Connection Refused" unverständlich?
Wieso sagst Du nicht einfach "der Mailserver ist kaputt oder
ausgefallen" und fertig?
Lesen Sie weiter auf narkive:
Loading...