CeBIT 2010 – Day 4

Hallo Leutz,

der vierte Tag ist vorbei, fast genauso anstrengend wie der zweite Tag, gefuehlte 48 Leute am Stand und fast keine Pause. Heute wieder ohne Ende Fragen zu TMG, IAG, UAG, FOPE, FPE, FCS und ISA. 

Einziges und somit groesstes Kompliment heute von einem CeBIT Besucher nach einer Forefront TMG Beratung: “Sie arbeiten nicht bei Microsoft und haben trotzdem soviel Ahnung”
Sehr schoen fand ich auch die Aussage von Norbert Klenner, als er den Forefront Stand betrat: “Wo ist denn Marc, macht der Mittagspause? An sich ja nix besonderes nur mit der Ausnahme, dass ich ca. 60 cm vor Norbert am Forefront Arbeitsplatz stand und einen Interessenten beraten hatte 🙂

Aufgrund des riesigen Fleischtellers im Ei habe ich heute mal auf Fruehstueck, Mittag und Abendbrot (na ja Salat) verzichtet 🙁

Highlight des Abends: CLIP und MVP Community Treffen im Sol y Mar in Hannover. Frank und ich sind dann von der CeBIT kurz zu Frank zum umziehen und dann direkt ins Sol y Mar, wo wir gegen 19:30 Uhr eintrafen. Gegen 23:30 Uhr waren wir dann wieder wohlbehalten bei Frank, auch wenn der Neuschnee das Laufen etwas behinderte und trinken gerade einen Whiskey aus Franks Schaetzen.

Es folgen Bilder:

          

Gruss Marc

HTTPS Inspection in Forefront TMG und IP-Ausnahmen

Hallo Leutz,

Forefront TMG bietet eine ausgehende HTTPS-Ueberpruefung. Es koennen URL Ausnahmen konfiguriert werden. Wie ist das aber, wenn man nur die IP-Adressen als Ausnahmen konfigurieren moechte? Konkretes Beispiel war die Frage eines Besucher an meinem Stand, wie er Elster von der HTTPS-Ueberpruefung ausschliessen kann, da hier wohl nur IP-Adressen bekannt sind. In den Ausnahmen kann man ja nur URL-Sets konfigurieren, also sind IP-Adressen nicht zulaessig. Eine Antwort hatte ich nicht parat, ausser das DNS umzubiegen und mit gefakten DNS Name Mappings zu arbeiten.

Also kurzerhand die Frage an Experten gestellt 🙂 und kurze Zeit spaeter kam die Antwort von Jim Harrison:

“No, but if you know the certificate subject and SAN names used by those services, you can enter those in the exceptions.

TMG uses the subject and SAN attributes to determine if the upstream server is “exceptional” as well as how to build the spoof cert if it needs to.

The primary reason IPs aren’t usable is that in the hosted cloud Internet of today, IP addresses do not represent anything even remotely like “identity” and identity is exactly the context in which certificate validation operates.”

 

 Gruss Marc