Schlagwort: Sicherheit

Alles Füße, alles Schießgewehre

Na groß­ar­tig.
Kol­le­ge fuhr heu­te in die Außen­stel­le, um einen Edgerouter‑X als VPN-Gate­way zu instal­lie­ren. Ich hat­te vor­her auf mei­nem hier bei mir zuhau­se die initia­le Con­fig getes­tet, der Kol­le­ge dann in der Zen­tra­le eben­falls. Alles erfolg­reich, los gehts!
Ein­zig und allein die IP des loka­len VPN-End­points muß­te geän­dert wer­den.
Nun ist das bei Edge­OS so: Die gesam­te Kon­fi­gu­ra­ti­on steht in einer Text­da­tei: /config/config.boot. Ich habe immer die mit vi bear­bei­tet, das hat gut geklappt.
Es gibt aber auch eine Web-Ober­flä­che zum Kli­cken, die hat der Kol­le­ge ver­wen­det, um eben die­se IP zu ändern. Natür­lich baut die­se Ober­flä­che auch nur config.boot.
Jeden­falls: Es gibt nur eine Web­ober­flä­che für alle Edge­OS-Ver­sio­nen., aber unter­schied­li­che SoCs. Ist zwar alles MIPS, aber manch­mal von Media­tek, manch­mal von Cavi­um.
Media­tek kann SHA-256 in Hard­ware, Cavi­um nicht.

 

Quel­le: https://help.ui.com/hc/en-us/articles/115006567467-EdgeRouter-Hardware-Offloading

Da unser ER‑X Media­tek-basiert ist, hat­te ich SHA-256 aus­ge­wählt:

vpn {
    ipsec {
        allow-access-to-local-interface disable
        auto-firewall-nat-exclude enable
        esp-group FOO0 {
            compression disable
            lifetime 3600
            mode tunnel
            pfs enable
            proposal 1 {
                encryption aes256
                hash sha256
            }
        }

Da aber wie gesagt nicht jedes Gerät AES-256 in Hard­ware kann, bie­tet das Web-UI das gar nicht erst an, son­dern steht auf SHA‑1 — weil es für alle Gerä­te pas­sen muß, nimmt man den kleins­ten gemein­sa­men Nen­ner. Und so pas­sier­te es: Der Kol­le­ge änder­te im Web-UI nur die IP des VPN-End­points, und in der Con­fig lan­de­te dann:

vpn {
    ipsec {
        auto-firewall-nat-exclude enable
        esp-group FOO0 {
            compression disable
            lifetime 3600
            mode tunnel
            pfs enable
            proposal 1 {
                encryption aes256
                hash sha1
            }
        }

Und natür­lich kam der Tun­nel nicht hoch. Wir haben uns tot­ge­sucht (erschwe­rend kommt hin­zu: der VPN-End­point in der Außen­stel­le steht hin­ter NAT) und die Ursa­che nicht gefun­den. Erst heu­te abend kam der Kol­le­ge auf den Trich­ter.
Und die Moral von der Geschicht: Trau kei­ner Web-GUI nicht!

0

fwbuilder für MacOS

Sehr schön:

Ich kann mein MacOS nicht upgraden, da ich eine Appli­ka­ti­on nicht ver­lie­ren möch­te, deren Ent­wick­lung seit Jah­ren tot ist und die es nur in 32 Bit gibt: fwbuil­der. Bei einem Upgrade ver­lie­re ich aber die Unter­stüt­zung für 32-Bit-Appli­ka­tio­nen.
So ganz tot ist das Pro­jekt nicht, in letz­ter Zeit wird wie­der dran gear­bei­tet: https://github.com/fwbuilder/fwbuilder

Nach der dor­ti­gen Anlei­tung habe ich es für Ubun­tu gebaut bekom­men — ich brau­che es aber auf dem Mac.
Ach was, ein­fach mal pro­bie­ren — einen Ver­such ist es alle­mal wert. Also geclont und schon das cmake hat eine feh­len­de QT-Kom­po­nen­te ange­me­ckert. sudo port install qt5 — und ab da ging es exakt so wie in README.md beschrie­ben — hin­ten fällt eine nati­ve MacOS-App raus.

Sau­be­re Arbeit der Ent­wick­ler!

0

Roomba: geplante Software-Obsoleszenz?

Im Log mei­nes Home Assi­stant taucht sowas auf, end­los:

2019-12-24 07:17:58 ERROR (Thread-2) [roomba.roomba] Error: [SSL: DH_KEY_TOO_SMALL] dh key too small (_ssl.c:1056)
2019-12-24 07:18:02 ERROR (Thread-2) [roomba.roomba] Error: [SSL: DH_KEY_TOO_SMALL] dh key too small (_ssl.c:1056)
2019-12-24 07:18:08 ERROR (Thread-2) [roomba.roomba] Error: [SSL: DH_KEY_TOO_SMALL] dh key too small (_ssl.c:1056)
2019-12-24 07:18:11 ERROR (Thread-2) [roomba.roomba] Error: [SSL: DH_KEY_TOO_SMALL] dh key too small (_ssl.c:1056)
2019-12-24 07:18:13 ERROR (Thread-2) [roomba.roomba] Error: [SSL: DH_KEY_TOO_SMALL] dh key too small (_ssl.c:1056)
2019-12-24 07:18:16 ERROR (Thread-2) [roomba.roomba] Error: [SSL: DH_KEY_TOO_SMALL] dh key too small (_ssl.c:1056)

Ein tcp­dump zeig­te, daß Home Assi­stant und der Staub­sauger mit­ein­an­der mqtts spre­chen — also immer­hin SSL ver­wen­den, schein­bar mit einem kur­zen (1024 Bits? Sieht man das im TLS-Hand­shake?) DH-Key. Fin­de ich jetzt nicht dra­ma­tisch, wenn die Gat­tin den Traf­fic zwi­schen dem Raspi und dem Staub­sauger knackt…
Nur: was mache ich nach dem 21. Dezem­ber 2028?

~$ openssl s_client -connect 192.168.1.93:8883 </dev/null 2>/dev/null | openssl x509 -text -noout
Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number: 3596268874817615816 (0x31e8837ce04c37c8)
        Signature Algorithm: sha256WithRSAEncryption
        Issuer: C = US, ST = MA, L = Bedford, O = iRobot, OU = HBU, CN = Roomba CA
        Validity
            Not Before: Dec 21 05:42:19 2018 GMT
            Not After : Dec 21 05:42:19 2028 GMT
        Subject: C = US, O = iRobot, L = Bedford, ST = MA, CN = Roomba-69B8860C70539630
        Subject Public Key Info:
            Public Key Algorithm: rsaEncryption
                RSA Public-Key: (2048 bit)

😉

0

DMARC beim BSI

hm, der Über­tö­ter Emo­tet ist ja wie­der angeb­lich ganz fürch­ter­lich unter­wegs, angeb­lich mit Absen­dern aus $BUNDESBEHÖRDE.

Was macht denn das BSI gegen Fäl­schun­gen?

SPF kön­nen sie:

~$ host -t txt bsi.bund.de.
bsi.bund.de descriptive text "v=spf1 mx ip4:77.87.228.72/29 ip4:77.87.224.104/29 ip4:217.6.125.154 ip4:194.95.66.8 ip4:77.87.229.56 ip4:93.190.68.25 -all"
~$

DMARC?

~$ host -t txt _dmarc.bsi.bund.de.
_dmarc.bsi.bund.de has no TXT record
~$

Äh… Man beach­te: “no TXT record” und nicht etwa NXDOMAIN

~$ host -t any _dmarc.bsi.bund.de.
_dmarc.bsi.bund.de has RRSIG record MX 8 3 900 20191230103401 20191220103401 51858 bund.de. kuoQ+exINaIT5x11aNmdnl+XTXsVSmZ6jzugcM3w89zOP0gjLvnPakPT 8ITeezOESdMuGpXHeCPMZaTLeHgGT5on2e4+1cu6fxV1+qyjurmBw9bx ilRBHSN2wwGytUkGwQ4uJDEfCt3tvPweCx08yBZ6Jk1Faf0EaL0Lm4EA 13E=
_dmarc.bsi.bund.de mail is handled by 10 mx1.bund.de.
_dmarc.bsi.bund.de mail is handled by 10 mx2.bund.de.
~$

Ob man any-Anfra­gen wirk­lich beant­wor­ten möch­te? So im Alter von DNS-reflec­tions? Aber war­um zum Gei­er hat man MX-RRs für _dmarc? Aber eben kei­nen TXT-RR?

Das DNSSEC machts wohl auch nicht bes­ser…

0

Die Justizministerin (SPD)

möch­te bewei­sen, daß sie eine gute Par­tei­bon­zin ist, also sprich: kei­ne Ahnung hat, davon aber jede Men­ge.
Wor­um gehts? Whats­App, Gmail & Co. sol­len Pass­wör­ter her­aus­ge­ben müs­sen Ja, ver­fickt noch mal: Die haben die Paß­wör­ter gar nicht! Hört sich komisch an (für Frau Lam­brecht jeden­falls), ist aber so.

Dabei könn­te man es bewen­den las­sen: Die Frau ist halt dumm und/oder bera­tungs­re­sis­tent. Also dumm.

Soll man es dabei bewen­den las­sen? Ich glau­be nicht. Denn: Nie­mand braucht die SPD! Und da sind sol­che dumm­f­re­chen Appa­rat­schiks über­flüs­sig.
Wählt die ab!

Von Din­gen wie 2FA, FIDO2… wol­len wir nicht reden, das wer­den die SPD-Fach­kräf­te erst 50 Jah­re nach ihrem Able­ben mög­li­cher­wei­se im Ansatz ver­stan­den haben.

0

Updaten reicht nicht,

man muß auch die Release Notes lesen…
Ich hab’ mal ein nmap --script ssl-enum-ciphers -p 993 mailserver gegen mein dovecot ren­nen las­sen, und, oh: da wird auch TLS1.0 ange­bo­ten!

Wie­so das denn? in 10-ssl.conf steht ein­deu­tig:

ssl_protocols = !SSLv2 !SSLv3 !TLSv1

Ja, und im error-Log des dovecot steht:

config: Error: Could not find a minimum ssl_min_protocol setting from ssl_protocols = !SSLv2 !SSLv3 !TLSv1: Unrecognized protocol 'SSLv2'

Irgend­wann wur­de ssl_protocols durch ssl_min_protocol ersetzt.

Mit

ssl_min_protocol = TLSv1.2

tut es dann auch rich­tig.

Und was mich beson­ders anfrißt: Open­VAS hat an TLS1.0 nichts aus­zu­set­zen gehabt 🙁

0

Ja dürfen die das?

aus /var/log/auth.log:

Dec 7 21:25:35 big wordpress(rainer.sokoll.com)[4373]: XML-RPC authentication failure for rainer from 85.204.246.240
Dec 7 21:25:40 big wordpress(rainer.sokoll.com)[4373]: XML-RPC authentication failure for moritz from 85.204.246.240
Dec 7 21:26:00 big wordpress(rainer.sokoll.com)[3981]: XML-RPC authentication failure for rainer from 85.204.246.240
Dec 7 21:26:02 big wordpress(rainer.sokoll.com)[3981]: XML-RPC authentication failure for moritz from 85.204.246.240
Dec 7 21:26:24 big wordpress(rainer.sokoll.com)[4373]: XML-RPC authentication failure for rainer from 85.204.246.240
Dec 7 21:26:46 big wordpress(rainer.sokoll.com)[4778]: XML-RPC authentication failure for moritz from 85.204.246.240
Dec 7 21:27:18 big wordpress(rainer.sokoll.com)[4373]: XML-RPC authentication failure for rainer from 85.204.246.240
Dec 7 21:27:58 big wordpress(rainer.sokoll.com)[4373]: XML-RPC authentication failure for moritz from 85.204.246.240
Dec 7 21:28:19 big wordpress(rainer.sokoll.com)[3981]: XML-RPC authentication failure for rainer from 85.204.246.240

Das ist natür­lich ziem­lich gemein. Nun ja:

root@big:/etc/fail2ban# tail -8 jail.local
[wordpress]
enabled = true
port = http,https
logpath = /var/log/auth.log
bantime = 600
findtime = 60
maxretry = 1
filter = wordpress

in Ver­bin­dung mit

root@big:/etc/fail2ban# cat filter.d/wordpress.conf
[Definition]

failregex = ^.*wordpress.*authentication failure for.* from <HOST>$
root@big:/etc/fail2ban#

regelt:

root@big:/etc/fail2ban# grep wordpress /var/log/fail2ban.log
2019-12-07 21:28:24,934 fail2ban.jail [23280]: INFO Creating new jail 'wordpress'
2019-12-07 21:28:24,936 fail2ban.jail [23280]: INFO Jail 'wordpress' uses poller {}
2019-12-07 21:28:24,965 fail2ban.jail [23280]: INFO Jail 'wordpress' started
2019-12-07 21:28:24,982 fail2ban.filter [23280]: INFO [wordpress] Found 85.204.246.240 - 2019-12-07 21:27:58
2019-12-07 21:28:24,983 fail2ban.filter [23280]: INFO [wordpress] Found 85.204.246.240 - 2019-12-07 21:28:19
2019-12-07 21:28:25,166 fail2ban.actions [23280]: NOTICE [wordpress] Ban 85.204.246.240
2019-12-07 21:38:19,996 fail2ban.actions [23280]: NOTICE [wordpress] Unban 85.204.246.240
root@big:/etc/fail2ban#

🙂

0

Home Assistant Companion App IOS

Die wur­de neu gemacht, und nun geht sie vor­erst(?) nicht nicht mehr, weil ich nicht mehr an mei­ne HA-Instal­la­ti­on ran­kom­me:

Tapstream:


 

Das endet also dar­in, daß https://home-assistant.io/iOS Zugriff auf mei­ne Instanz haben möch­te — was wie­der­um ich nicht möch­te.

Oder ver­ste­he ich da was falsch? Brow­ser immer­hin geht noch.

0

Microsoft Outlook

TIL: Out­look (zumin­dest die Mac-Vari­an­te) zeigt Email-Adres­sen in den Adreß­fel­dern nicht an.
Also "Harry Potter" <lord.voldemort@example.com>" wird nur als “Har­ry Pot­ter” ange­zeigt — und auch wenn man ant­wor­tet, ant­wor­tet man an “Har­ry Pot­ter”. Jeden­falls im Default, kei­ne Ahnung, ob sich das ändern läßt.
Ich hal­te das für unver­ant­wort­lich. Arbeits­schutz ist wich­tig! Jede Band­sä­ge, jede Abrich­te ist so kon­stru­iert, daß sie das Bedien­per­so­nal mög­lichst gut vor Schä­den oder gar Tod durch Fehl­be­die­nung schützt — aber Mail­pro­gram­me, die Phis­her gera­de­zu ein­la­den, dür­fen ver­kauft wer­den?

Unver­ant­wort­lich!

0