LCSW - LANCOM Security Wizard

[Christoph_vW]

Für alle die höhere Sicherheitsanforderungen haben, aber nicht gleich auf die CC Linie wechseln wollen, habe ich ein kleines Tool zum Überprüfen der Sicherheitseinstellungen der LANCOM Router / WLAN APs programmiert.

Achtung: Es ist leicht möglich sich damit vom Gerät auszusperren (mit Ausnahme des Zugriffs über die serielle Schnittstelle), also bitte vor dem Hochladen einer Konfiguration genau prüfen, was man vorher konfiguriert hat.
(Warnhinweise im Programm vorhanden)

Die aktuelle Konfiguration kann über SNMP ausgelesen werden, und nach Prüfung in eine Script-Datei exportiert werden.
Damit das ganze etwas einfacher zu handhaben ist, können die Geräte aus LANconfig übernommen werden. Auch Zugriffsstationen können bequem konfiguriert werden, man kann aus vordefinierten Werten wie "Eigenes Subnetz", "Eigene IP" und "WAN IP" wählen.

Es können allerdings keine Passwortrichtlinien und Firewall-Regeln überprüft werden, dies bleibt weiterhin dem Nutzer zur manuellen Überprüfung überlassen.

http://www.apiviewer.de/downloads/LANCO ... Wizard.zip

Feedback erwünscht!

Update: Version 1.0.13 (gleicher Downloadlink)

1.0.13
-------------------------------------------------------------------------------
-Überprüfung auf Standard SSL Key (bisher nur für das alte SHA1 Root Zertifikat)

1.0.12
-------------------------------------------------------------------------------
-Unterstützung für LCOS 9.10

1.0.11
-------------------------------------------------------------------------------
-Prüft die E-Mail Sicherheitseinstellungen
STARTTLS und Authentifizierung (ab LCOS 8.84)

1.0.10.1
-------------------------------------------------------------------------------
-Update der Renci.SshNet.dll für Unterstützung von DH Key Exchange bis 8192 Bit
https://sshnet.codeplex.com/workitem/1777

1.0.10
-------------------------------------------------------------------------------
Bugfix:
-Parserfehler bei benutzerdefinierten Port-Einstellungen in LANconfig
behoben

1.0.9
-------------------------------------------------------------------------------
Neu:
-Prüft den SSH-Fingerprint, um festzustellen ob der für alle Geräte gleiche
LANCOM Standard SSH-Schlüssel auf dem Gerät installiert ist und fordert ggf.
zur Änderung des Schlüssels auf.
Dies funktioniert wegen eines Problems mit der SSH Bibliothek zur Zeit nur
wenn die minimale Hostkey-Länge kleiner oder gleich 1024 Bit ist.

1.0.8
-------------------------------------------------------------------------------
Neu:
-Zeigt in der Geräteauswahl die Anzahl der in LANconfig verwalteten Geräte an

Bugfix:
-Korrektur des Befehlsaufrufes zum Erstellen eines neuen SSH-Schlüssels
auf dem Gerät

1.0.7
-------------------------------------------------------------------------------
Neu:
-IPv6 Support

1.0.6
-------------------------------------------------------------------------------
Neu:
-Ist LANCAPI aktiv und TFTP deaktiviert, wird eine Warnung ausgegeben.
(TFTP "nur lesen" ist für LANCAPI ausreichend)
-Wird LANconfig ohne SSH Unterstützung gefunden, wird eine Warnung ausgegeben.


1.0.5
-------------------------------------------------------------------------------
Neu:
-Prüft die LANconfig Konfiguration
-Prüft die LANCAPI Konfiguration bei Geräten mit ISDN (beschränkt auf S0-1)

Bugfixes:
-L-54g sollte wieder überprüfbar sein

[langewiesche]

sehr schoenes tool! danke fuer deine arbeit!

[Christoph_vW]

Push: Update auf 1.09

Vielleicht kann ja mal jemand den Thread als 'Sticky' markieren.

[MariusP]

Hi,
Ich glaube dazu müsste sich ein Moderator eingehend mit dem Programm befassen bevor es als Sticky makiert wird.
Gruß

[langewiesche]

ich habe es auch nur gegen mein Demo gerät getestet ... erst mal muss man ja sehen was wie so ... der weg ist super!
Ich denke es deckt viel ab!
vielleicht findet ja mal jemand zeit dafür!

[Christoph_vW]

Ich gehe gerade meine gesamte Geräteliste mit dem Tool durch, bisher keine Probleme...

Meine Geräteauswahl (alle mit neuestem FW Stand - also bis 8.82RU1 wenn vorhanden):
9100+ VPN
7100 VPN
1781EW-4G
1781AW (>10 Stk)
1781EF
1781EW
1611+
1711+
1811n
1821n (>10 Stk)
L-54g (> 5 Stk)
L-54ag
IAP 54g
OAP-321
BusinessLAN R800+ (>10Stk)
3850 UMTS

Habe aber aus Mangel an alten LANconfig Versionen nur mit 8.82RU1 und 8.63 testen können.

[LoUiS]

So,

ich hab das Thema mal "gepinned". Sobald ich etwas mehr Zeit habe, werde ich das Tool auf unsere Testgeräte loslassen und selbst mit testen.
Vorab auf jeden Fall schon mal Danke Christoph für Deinen Einsatz und für die Energie und Mühe die im Tool steckt!


Ciao
LoUiS

[Christoph_vW]

Update auf Version 1.0.11 mit Überprüfung der E-Mail Verschlüsselungsoptionen (ab LCOS 8.84).

[otellodb]

Hallo,
das ist ein super Hilfsmittel.

Ich habe aber bei zwei Wireless AP's die Fehlermeldung:

"Die EIngabezeichenfolge hat das falsche format".

Vielleicht hilft das Detail Log, um festzustellen, was da schief läuft.

Gruss

otellodb

=====================================================================
Informationen über das Aufrufen von JIT-Debuggen
anstelle dieses Dialogfelds finden Sie am Ende dieser Meldung.

************** Ausnahmetext **************
System.FormatException: Die Eingabezeichenfolge hat das falsche Format.
bei System.Number.StringToNumber(String str, NumberStyles options, NumberBuffer& number, NumberFormatInfo info, Boolean parseDecimal)
bei System.Number.ParseInt32(String s, NumberStyles style, NumberFormatInfo info)
bei LancomSecurityWizard.SnmpClient.GetConfig()
bei LancomSecurityWizard.Wizard.btnCheckDevice_Click(Object sender, EventArgs e)
bei System.Windows.Forms.Button.OnMouseUp(MouseEventArgs mevent)
bei System.Windows.Forms.Control.WmMouseUp(Message& m, MouseButtons button, Int32 clicks)
bei System.Windows.Forms.Control.WndProc(Message& m)
bei System.Windows.Forms.ButtonBase.WndProc(Message& m)
bei System.Windows.Forms.Button.WndProc(Message& m)
bei System.Windows.Forms.NativeWindow.Callback(IntPtr hWnd, Int32 msg, IntPtr wparam, IntPtr lparam)


************** Geladene Assemblys **************
mscorlib
Assembly-Version: 4.0.0.0.
Win32-Version: 4.0.30319.18052 built by: FX45RTMGDR.
CodeBase: file:///C:/Windows/Microsoft.NET/Framework64/v4.0.30319/mscorlib.dll.
----------------------------------------
LANCOM Security Wizard
Assembly-Version: 1.0.11.0.
Win32-Version: 1.0.11.0.
CodeBase: file:///C:/Users/dieter.braun/Downloads/LANCOM_Security_Wizard/Lancom%20Security%20Wizard.exe.
----------------------------------------
System.Windows.Forms
Assembly-Version: 4.0.0.0.
Win32-Version: 4.0.30319.18047 built by: FX45RTMGDR.
CodeBase: file:///C:/Windows/Microsoft.Net/assembly/GAC_MSIL/System.Windows.Forms/v4.0_4.0.0.0__b77a5c561934e089/System.Windows.Forms.dll.
----------------------------------------
System.Drawing
Assembly-Version: 4.0.0.0.
Win32-Version: 4.0.30319.18021 built by: FX45RTMGDR.
CodeBase: file:///C:/Windows/Microsoft.Net/assembly/GAC_MSIL/System.Drawing/v4.0_4.0.0.0__b03f5f7f11d50a3a/System.Drawing.dll.
----------------------------------------
System
Assembly-Version: 4.0.0.0.
Win32-Version: 4.0.30319.18044 built by: FX45RTMGDR.
CodeBase: file:///C:/Windows/Microsoft.Net/assembly/GAC_MSIL/System/v4.0_4.0.0.0__b77a5c561934e089/System.dll.
----------------------------------------
System.Core
Assembly-Version: 4.0.0.0.
Win32-Version: 4.0.30319.17929 built by: FX45RTMREL.
CodeBase: file:///C:/Windows/Microsoft.Net/assembly/GAC_MSIL/System.Core/v4.0_4.0.0.0__b77a5c561934e089/System.Core.dll.
----------------------------------------
System.Configuration
Assembly-Version: 4.0.0.0.
Win32-Version: 4.0.30319.18060 built by: FX45RTMGDR.
CodeBase: file:///C:/Windows/Microsoft.Net/assembly/GAC_MSIL/System.Configuration/v4.0_4.0.0.0__b03f5f7f11d50a3a/System.Configuration.dll.
----------------------------------------
System.Xml
Assembly-Version: 4.0.0.0.
Win32-Version: 4.0.30319.18060 built by: FX45RTMGDR.
CodeBase: file:///C:/Windows/Microsoft.Net/assembly/GAC_MSIL/System.Xml/v4.0_4.0.0.0__b77a5c561934e089/System.Xml.dll.
----------------------------------------
mscorlib.resources
Assembly-Version: 4.0.0.0.
Win32-Version: 4.0.30319.454 (RTMLDR.030319-4500).
CodeBase: file:///C:/Windows/Microsoft.Net/assembly/GAC_MSIL/mscorlib.resources/v4.0_4.0.0.0_de_b77a5c561934e089/mscorlib.resources.dll.
----------------------------------------
Renci.SshNet
Assembly-Version: 2013.4.7.0.
Win32-Version: 2013.4.7.
CodeBase: file:///C:/Users/dieter.braun/Downloads/LANCOM_Security_Wizard/Renci.SshNet.DLL.
----------------------------------------
SnmpSharpNet
Assembly-Version: 0.9.3.0.
Win32-Version: 0.9.3.
CodeBase: file:///C:/Users/dieter.braun/Downloads/LANCOM_Security_Wizard/SnmpSharpNet.DLL.
----------------------------------------
System.Windows.Forms.resources
Assembly-Version: 4.0.0.0.
Win32-Version: 4.0.30319.1 built by: RTMRel.
CodeBase: file:///C:/Windows/Microsoft.Net/assembly/GAC_MSIL/System.Windows.Forms.resources/v4.0_4.0.0.0_de_b77a5c561934e089/System.Windows.Forms.resources.dll.
----------------------------------------
Microsoft.CSharp
Assembly-Version: 4.0.0.0.
Win32-Version: 4.0.30319.17929.
CodeBase: file:///C:/Windows/Microsoft.Net/assembly/GAC_MSIL/Microsoft.CSharp/v4.0_4.0.0.0__b03f5f7f11d50a3a/Microsoft.CSharp.dll.
----------------------------------------
System.Dynamic
Assembly-Version: 4.0.0.0.
Win32-Version: 4.0.30319.17929.
CodeBase: file:///C:/Windows/Microsoft.Net/assembly/GAC_MSIL/System.Dynamic/v4.0_4.0.0.0__b03f5f7f11d50a3a/System.Dynamic.dll.
----------------------------------------
Anonymously Hosted DynamicMethods Assembly
Assembly-Version: 0.0.0.0.
Win32-Version: 4.0.30319.18052 built by: FX45RTMGDR.
CodeBase: file:///C:/Windows/Microsoft.Net/assembly/GAC_64/mscorlib/v4.0_4.0.0.0__b77a5c561934e089/mscorlib.dll.
----------------------------------------

************** JIT-Debuggen **************
Um das JIT-Debuggen (Just-In-Time) zu aktivieren, muss in der
Konfigurationsdatei der Anwendung oder des Computers
(machine.config) der jitDebugging-Wert im Abschnitt system.windows.forms festgelegt werden.
Die Anwendung muss mit aktiviertem Debuggen kompiliert werden.

Zum Beispiel:

<configuration>
<system.windows.forms jitDebugging="true" />
</configuration>

Wenn das JIT-Debuggen aktiviert ist, werden alle nicht behandelten
Ausnahmen an den JIT-Debugger gesendet, der auf dem
Computer registriert ist, und nicht in diesem Dialogfeld behandelt.
========================================================================

[Christoph_vW]

Bei welchem Modell tritt das Problem denn auf?

Im Moment habe ich leider nur einen 1781AW und einen 1781VAW zum testen da, aber ab Januar habe ich wieder fast die ganze Produktpalette vorliegen.

[otellodb]

Hallo,

das sind beides L-321agn Wireless.
Allerdings hat es funktioniert, bis ich eine der vorgeschlagenen Änderungen durchgeführt habe. Da es aber mehrere waren, weiss ich nicht welche Einstellung es war.

otellodb

[Christoph_vW]

Neue Version 1.0.12 hochgeladen mit Unterstützung von LCOS 9.10