Schlagwort: Sicherheit

L2TP/IPSEC auf EdgeOS

L√∂ppt ūüėČ

Ich schrei­be das gera­de via VPN (Rech­ner via Tethe­ring via Tele­kom mit dem Inter­net ver­bun­den)

Auf dem Rou­ter:

ubnt@sokoll-router:~$ show vpn remote-access
Active remote access VPN sessions:

User       Time      Proto Iface   Remote IP       TX pkt/byte   RX pkt/byte
---------- --------- ----- -----   --------------- ------ ------ ------ ------
rainer     00h04m37s L2TP  l2tp0   192.168.1.201    2.0K 139.3K   2.0K 103.8K

Total sessions: 1
ubnt@sokoll-router:~$

Hier¬≠nach bin ich vor¬≠ge¬≠gan¬≠gen ‚ÄĒ und es hat nicht geklappt. Die¬≠sel¬≠ben Ein¬≠stel¬≠lun¬≠gen auf MacOS ‚ÄĒ und es funk¬≠tio¬≠niert sofort. Kei¬≠ne Ahnung, war¬≠um das mit IOS nicht geht. Am Rech¬≠ner ists mir aber wich¬≠ti¬≠ger.

Muß mal bei Gele­gen­heit einen Test machen, wie­viel ich effek­tiv durch­be­kom­me.

0

Angriff auf die Freiheit

#aus­ge­le­sen

Juli Zeh / Ili¬≠ja Tro¬≠ja¬≠now (was f√ľr ein Name! Homer rotiert lachend im Gra¬≠be ūüėČ): Angriff auf die Frei¬≠heit.

Anders als wir es von Freu Zeh ken­nen, ist das kein Roman, son­dern ein Sach­buch.
Das The¬≠ma ist: Der st√§n¬≠di¬≠ge suk¬≠zes¬≠si¬≠ve Abbau der B√ľr¬≠ger¬≠rech¬≠te durch den Staat unter dem Vor¬≠wand der Ter¬≠ro¬≠ris¬≠mus¬≠be¬≠k√§mp¬≠fung. Das Buch ist nicht ganz tau¬≠frisch, von 2010 ‚ÄĒ es k√∂nn¬≠te auch 2020 geschrie¬≠ben wor¬≠den sein. Man merkt den Abstand eigent¬≠lich nur dar¬≠an, da√ü Oba¬≠ma Pr√§¬≠si¬≠dent ist.

Man könn­te auf Sei­te neun auf­hö­ren zu lesen, da steht, wor­um es geht:

Frei­heit ist kein Geschenk der Obrig­keit, son­dern ein Grund­zu­stand der Natur oder eine Gabe Got­tes, je nach­dem, wel­che Schöp­fungs­ge­schich­te Sie bevor­zu­gen.

Das ist die Grund¬≠√ľber¬≠zeu¬≠gung der Autoren. Und sie zei¬≠gen mit vie¬≠len Bele¬≠gen ver¬≠se¬≠hen, da√ü die¬≠se Frei¬≠heit unter schwe¬≠rem Beschu√ü steht. Aus dem Abstand von 10 Jah¬≠ren mu√ü man sagen: Es ist erschre¬≠ckend. Schon damals war un√ľber¬≠seh¬≠bar, da√ü der Kampf gegen den Ter¬≠ro¬≠ris¬≠mus als Uni¬≠ver¬≠sal¬≠tool benutzt wird, um unse¬≠re Frei¬≠heits¬≠rech¬≠te St√ľck f√ľr St√ľck weg¬≠zu¬≠neh¬≠men. Wer hat noch einen nicht-bio¬≠me¬≠tri¬≠schen Per¬≠so¬≠nal¬≠aus¬≠weis?

Es ist un√ľber¬≠les¬≠bar, da√ü Frau Zeh Juris¬≠tin ist (und Herr Tro¬≠ja¬≠now auch). Das ist sehr ange¬≠nehm, weil sie strin¬≠gent argu¬≠men¬≠tie¬≠ren und ihre Denk¬≠vor¬≠aus¬≠set¬≠zun¬≠gen bele¬≠gen k√∂n¬≠nen

Das gan¬≠ze B√ľch¬≠lein ist ein ein¬≠zi¬≠ger Appell an die Leser, sich nicht ein¬≠lul¬≠len zu las¬≠sen ‚ÄĒ es k√∂nn¬≠te an einem point of no return zu sp√§t sein. Das h√∂rt sich viel¬≠leicht alar¬≠mis¬≠tisch an, und an man¬≠chen Stel¬≠len ist mir die Argu¬≠men¬≠ta¬≠ti¬≠on zu sehr ver¬≠ein¬≠facht. Den¬≠noch: Sie sind √ľber¬≠zeu¬≠gend.

Die Stär­ke des Buches sind ganz klar die Anmer­kun­gen, in denen die Bele­ge (es sind fak­tisch alles URLs) zu fin­den sind. Die­ser Bele­ge begin­nen schon bei 69% des Gesamt­bu­ches, also etwa 1/3 sind Bele­ge. Das ist sehr viel ange­neh­mer als das, wann man heut­zu­ta­ge oft hin­neh­men muß: Screen­shots, die echt sein kön­nen, aber es all­zu­oft nicht sind oder in einen kom­plett ande­ren Kon­text gestellt wer­den.
Und genau das ist eine Unver¬≠sch√§mt¬≠heit des Ver¬≠la¬≠ges: Am Ende des Buches gibt es n√§m¬≠lich einen Ver¬≠weis auf eine Samm¬≠lung der Bele¬≠ge: http://juli-zeh.de/Angriff-auf-die-Freiheit/ ‚ÄĒ m√ľ√üt ihr nicht kli¬≠cken, Ran¬≠dom¬≠house hat die Sei¬≠te kom¬≠plett und ersatz¬≠los vom Netz genom¬≠men. archive.org hat sie dan¬≠kens¬≠wer¬≠ter¬≠wei¬≠se gesi¬≠chert.
Das fin­de ich unver­schämt vom Ver­lag.

Juli Zeh ist √ľbri¬≠gens ehren¬≠amt¬≠li¬≠che Ver¬≠fas¬≠sungs¬≠rich¬≠te¬≠rin in Bran¬≠den¬≠burg. Ich ver¬≠mu¬≠te, eine gute.

Lese­emp­feh­lung? Viel­leicht, wenn man inter­es­siert am The­ma ist und dabei sach­lich und ohne gut­ge­mein­te Eifer infor­miert wer­den möch­te. Wer die Autorin Zeh lesen möch­te, viel­leicht weil er Unter­leu­ten gele­sen hat, der könn­te ent­täuscht wer­den.

0

180 Puls!

Gleich!
Der mitt¬≠ler¬≠wei¬≠le vier¬≠k√§¬≠se¬≠hoch m√∂ch¬≠te Erwei¬≠te¬≠run¬≠gen f√ľr Mine¬≠craft schrei¬≠ben. Soll er sich dran ver¬≠su¬≠chen, ich unter¬≠st√ľt¬≠ze das. Nun hat er gele¬≠sen, da√ü er Eclip¬≠se neh¬≠men sol¬≠le. Also habe ich ihm das instal¬≠liert (ver¬≠sucht mal, Eclip¬≠se unter Ubun¬≠tu 18.04 zu instal¬≠lie¬≠ren‚Ķ)
Aber Eclip¬≠se ist ein Mons¬≠ter, da fin¬≠det er sich erst¬≠mal gar nicht zurecht. Also dach¬≠te ich mir, ich unter¬≠st√ľt¬≠ze ihn, indem ich auch mir (auf MacOS) ein Eclip¬≠se instal¬≠lie¬≠re. Pro¬≠fi-Soft¬≠ware auf einem Schi¬≠cki-Micki-OS, das mu√ü doch gehen!
Nun, zun√§chst: Das mit¬≠ge¬≠lie¬≠fer¬≠te Java ist zu alt. sudo port install openjdk14 behebt die¬≠ses Pro¬≠blem. Also den Instal¬≠ler (der kommt nicht etwa aus Nord¬≠ko¬≠rea, son¬≠dern von https://www.eclipse.org/downloads/packages/) noch¬≠mals auf¬≠ge¬≠ru¬≠fen. Die UI-Wid¬≠ge¬≠ts sehen, nun ja, fremd aus ‚ÄĒ aber das igno¬≠rie¬≠ren wir erst¬≠mal.
Ergeb­nis:

Die Instal¬≠la¬≠ti¬≠on geht nicht wei¬≠ter, wenn ich decli¬≠ne. Ob es eine erfolg¬≠rei¬≠che Instal¬≠la¬≠ti¬≠on wird, wenn ich mit ‚Äúno risk no fun‚ÄĚ wei¬≠ter¬≠ma¬≠che, wei√ü ich nicht. Ich habe es ver¬≠sucht, konn¬≠te aber nicht wei¬≠ter¬≠ma¬≠chen ‚ÄĒ hat¬≠te mich in die Tisch¬≠kan¬≠te ver¬≠bis¬≠sen.

0

EdgeOS bzw. Edgerouter

50 Euro.

Ich wer¬≠de wohl alle Au√üen¬≠stel¬≠len damit begl√ľ¬≠cken.

Wie geil! (IPSEC-VPN)

        site-to-site {
            peer a.b.c.d {
                authentication {
                    mode pre-shared-secret
                    pre-shared-secret ****************
                }
                connection-type initiate
                description Zentrale
                ike-group FOO0
                ikev2-reauth inherit
                local-address any
                tunnel 1 {
                    allow-nat-networks disable
                    allow-public-networks disable
                    esp-group FOO0
                    local {
                        prefix x.x.x.x/16
                    }
                    remote {
                        prefix y.y.y.y/16
                    }
                }
                tunnel 2 {
                    allow-nat-networks disable
                    allow-public-networks disable
                    esp-group FOO0
                    local {
                        prefix x.x.x.x/16
                    }
                    remote {
                        prefix z.z.z.z/32
                    }
                }
            }
        }

Ein Peer, meh­re­re Tun­nel.
Das gefällt dem alten Mann außer­or­dent­lich!

0

Zum Gl√ľck machen sie kein HSTS

Mei­ne Stadt­bi­blio­thek hats ver­pennt:

~$ openssl s_client -connect stadtbibliothek.greifswald.de:443 </dev/null 2>/dev/null | openssl x509 -noout -dates
notBefore=May  8 10:08:34 2018 GMT
notAfter=May 12 10:08:34 2020 GMT
~$

Gl√ľck¬≠li¬≠cher¬≠wei¬≠se sind sie noch nicht reif f√ľr HSTS.

0

Alles F√ľ√üe, alles Schie√ügewehre

Na groß­ar­tig.
Kol¬≠le¬≠ge fuhr heu¬≠te in die Au√üen¬≠stel¬≠le, um einen Edgerouter‚ÄĎX als VPN-Gate¬≠way zu instal¬≠lie¬≠ren. Ich hat¬≠te vor¬≠her auf mei¬≠nem hier bei mir zuhau¬≠se die initia¬≠le Con¬≠fig getes¬≠tet, der Kol¬≠le¬≠ge dann in der Zen¬≠tra¬≠le eben¬≠falls. Alles erfolg¬≠reich, los gehts!
Ein­zig und allein die IP des loka­len VPN-End­points muß­te geän­dert wer­den.
Nun ist das bei Edge­OS so: Die gesam­te Kon­fi­gu­ra­ti­on steht in einer Text­da­tei: /config/config.boot. Ich habe immer die mit vi bear­bei­tet, das hat gut geklappt.
Es gibt aber auch eine Web-Ober¬≠fl√§¬≠che zum Kli¬≠cken, die hat der Kol¬≠le¬≠ge ver¬≠wen¬≠det, um eben die¬≠se IP zu √§ndern. Nat√ľr¬≠lich baut die¬≠se Ober¬≠fl√§¬≠che auch nur config.boot.
Jeden¬≠falls: Es gibt nur eine Web¬≠ober¬≠fl√§¬≠che f√ľr alle Edge¬≠OS-Ver¬≠sio¬≠nen., aber unter¬≠schied¬≠li¬≠che SoCs. Ist zwar alles MIPS, aber manch¬≠mal von Media¬≠tek, manch¬≠mal von Cavi¬≠um.
Media­tek kann SHA-256 in Hard­ware, Cavi­um nicht.

 

Quel­le: https://help.ui.com/hc/en-us/articles/115006567467-EdgeRouter-Hardware-Offloading

Da unser ER‚ÄĎX Media¬≠tek-basiert ist, hat¬≠te ich SHA-256 aus¬≠ge¬≠w√§hlt:

vpn {
    ipsec {
        allow-access-to-local-interface disable
        auto-firewall-nat-exclude enable
        esp-group FOO0 {
            compression disable
            lifetime 3600
            mode tunnel
            pfs enable
            proposal 1 {
                encryption aes256
                hash sha256
            }
        }

Da aber wie gesagt nicht jedes Ger√§t AES-256 in Hard¬≠ware kann, bie¬≠tet das Web-UI das gar nicht erst an, son¬≠dern steht auf SHA‚ÄĎ1 ‚ÄĒ weil es f√ľr alle Ger√§¬≠te pas¬≠sen mu√ü, nimmt man den kleins¬≠ten gemein¬≠sa¬≠men Nen¬≠ner. Und so pas¬≠sier¬≠te es: Der Kol¬≠le¬≠ge √§nder¬≠te im Web-UI nur die IP des VPN-End¬≠points, und in der Con¬≠fig lan¬≠de¬≠te dann:

vpn {
    ipsec {
        auto-firewall-nat-exclude enable
        esp-group FOO0 {
            compression disable
            lifetime 3600
            mode tunnel
            pfs enable
            proposal 1 {
                encryption aes256
                hash sha1
            }
        }

Und nat√ľr¬≠lich kam der Tun¬≠nel nicht hoch. Wir haben uns tot¬≠ge¬≠sucht (erschwe¬≠rend kommt hin¬≠zu: der VPN-End¬≠point in der Au√üen¬≠stel¬≠le steht hin¬≠ter NAT) und die Ursa¬≠che nicht gefun¬≠den. Erst heu¬≠te abend kam der Kol¬≠le¬≠ge auf den Trich¬≠ter.
Und die Moral von der Geschicht: Trau kei­ner Web-GUI nicht!

0

fwbuilder f√ľr MacOS

Sehr schön:

Ich kann mein MacOS nicht upgraden, da ich eine Appli¬≠ka¬≠ti¬≠on nicht ver¬≠lie¬≠ren m√∂ch¬≠te, deren Ent¬≠wick¬≠lung seit Jah¬≠ren tot ist und die es nur in 32 Bit gibt: fwbuil¬≠der. Bei einem Upgrade ver¬≠lie¬≠re ich aber die Unter¬≠st√ľt¬≠zung f√ľr 32-Bit-Appli¬≠ka¬≠tio¬≠nen.
So ganz tot ist das Pro­jekt nicht, in letz­ter Zeit wird wie­der dran gear­bei­tet: https://github.com/fwbuilder/fwbuilder

Nach der dor¬≠ti¬≠gen Anlei¬≠tung habe ich es f√ľr Ubun¬≠tu gebaut bekom¬≠men ‚ÄĒ ich brau¬≠che es aber auf dem Mac.
Ach was, ein¬≠fach mal pro¬≠bie¬≠ren ‚ÄĒ einen Ver¬≠such ist es alle¬≠mal wert. Also geclont und schon das cmake hat eine feh¬≠len¬≠de QT-Kom¬≠po¬≠nen¬≠te ange¬≠me¬≠ckert. sudo port install qt5 ‚ÄĒ und ab da ging es exakt so wie in README.md beschrie¬≠ben ‚ÄĒ hin¬≠ten f√§llt eine nati¬≠ve MacOS-App raus.

Sau­be­re Arbeit der Ent­wick­ler!

0

Roomba: geplante Software-Obsoleszenz?

Im Log mei­nes Home Assi­stant taucht sowas auf, end­los:

2019-12-24 07:17:58 ERROR (Thread-2) [roomba.roomba] Error: [SSL: DH_KEY_TOO_SMALL] dh key too small (_ssl.c:1056)
2019-12-24 07:18:02 ERROR (Thread-2) [roomba.roomba] Error: [SSL: DH_KEY_TOO_SMALL] dh key too small (_ssl.c:1056)
2019-12-24 07:18:08 ERROR (Thread-2) [roomba.roomba] Error: [SSL: DH_KEY_TOO_SMALL] dh key too small (_ssl.c:1056)
2019-12-24 07:18:11 ERROR (Thread-2) [roomba.roomba] Error: [SSL: DH_KEY_TOO_SMALL] dh key too small (_ssl.c:1056)
2019-12-24 07:18:13 ERROR (Thread-2) [roomba.roomba] Error: [SSL: DH_KEY_TOO_SMALL] dh key too small (_ssl.c:1056)
2019-12-24 07:18:16 ERROR (Thread-2) [roomba.roomba] Error: [SSL: DH_KEY_TOO_SMALL] dh key too small (_ssl.c:1056)

Ein tcp¬≠dump zeig¬≠te, da√ü Home Assi¬≠stant und der Staub¬≠sauger mit¬≠ein¬≠an¬≠der mqtts spre¬≠chen ‚ÄĒ also immer¬≠hin SSL ver¬≠wen¬≠den, schein¬≠bar mit einem kur¬≠zen (1024 Bits? Sieht man das im TLS-Hand¬≠shake?) DH-Key. Fin¬≠de ich jetzt nicht dra¬≠ma¬≠tisch, wenn die Gat¬≠tin den Traf¬≠fic zwi¬≠schen dem Raspi und dem Staub¬≠sauger knackt‚Ķ
Nur: was mache ich nach dem 21. Dezem­ber 2028?

~$ openssl s_client -connect 192.168.1.93:8883 </dev/null 2>/dev/null | openssl x509 -text -noout
Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number: 3596268874817615816 (0x31e8837ce04c37c8)
        Signature Algorithm: sha256WithRSAEncryption
        Issuer: C = US, ST = MA, L = Bedford, O = iRobot, OU = HBU, CN = Roomba CA
        Validity
            Not Before: Dec 21 05:42:19 2018 GMT
            Not After : Dec 21 05:42:19 2028 GMT
        Subject: C = US, O = iRobot, L = Bedford, ST = MA, CN = Roomba-69B8860C70539630
        Subject Public Key Info:
            Public Key Algorithm: rsaEncryption
                RSA Public-Key: (2048 bit)

ūüėČ

0

DMARC beim BSI

hm, der √úber¬≠t√∂¬≠ter Emo¬≠tet ist ja wie¬≠der angeb¬≠lich ganz f√ľrch¬≠ter¬≠lich unter¬≠wegs, angeb¬≠lich mit Absen¬≠dern aus $BUNDESBEH√ĖRDE.

Was macht denn das BSI gegen Fäl­schun­gen?

SPF kön­nen sie:

~$ host -t txt bsi.bund.de.
bsi.bund.de descriptive text "v=spf1 mx ip4:77.87.228.72/29 ip4:77.87.224.104/29 ip4:217.6.125.154 ip4:194.95.66.8 ip4:77.87.229.56 ip4:93.190.68.25 -all"
~$

DMARC?

~$ host -t txt _dmarc.bsi.bund.de.
_dmarc.bsi.bund.de has no TXT record
~$

√Ąh‚Ķ Man beach¬≠te: ‚Äúno TXT record‚ÄĚ und nicht etwa NXDOMAIN

~$ host -t any _dmarc.bsi.bund.de.
_dmarc.bsi.bund.de has RRSIG record MX 8 3 900 20191230103401 20191220103401 51858 bund.de. kuoQ+exINaIT5x11aNmdnl+XTXsVSmZ6jzugcM3w89zOP0gjLvnPakPT 8ITeezOESdMuGpXHeCPMZaTLeHgGT5on2e4+1cu6fxV1+qyjurmBw9bx ilRBHSN2wwGytUkGwQ4uJDEfCt3tvPweCx08yBZ6Jk1Faf0EaL0Lm4EA 13E=
_dmarc.bsi.bund.de mail is handled by 10 mx1.bund.de.
_dmarc.bsi.bund.de mail is handled by 10 mx2.bund.de.
~$

Ob man any-Anfra¬≠gen wirk¬≠lich beant¬≠wor¬≠ten m√∂ch¬≠te? So im Alter von DNS-reflec¬≠tions? Aber war¬≠um zum Gei¬≠er hat man MX-RRs f√ľr _dmarc? Aber eben kei¬≠nen TXT-RR?

Das DNSSEC machts wohl auch nicht bes­ser…

0

Die Justizministerin (SPD)

möch­te bewei­sen, daß sie eine gute Par­tei­bon­zin ist, also sprich: kei­ne Ahnung hat, davon aber jede Men­ge.
Wor¬≠um gehts? Whats¬≠App, Gmail & Co. sol¬≠len Pass¬≠w√∂r¬≠ter her¬≠aus¬≠ge¬≠ben m√ľs¬≠sen Ja, ver¬≠fickt noch mal: Die haben die Pa√ü¬≠w√∂r¬≠ter gar nicht! H√∂rt sich komisch an (f√ľr Frau Lam¬≠brecht jeden¬≠falls), ist aber so.

Dabei könn­te man es bewen­den las­sen: Die Frau ist halt dumm und/oder bera­tungs­re­sis­tent. Also dumm.

Soll man es dabei bewen¬≠den las¬≠sen? Ich glau¬≠be nicht. Denn: Nie¬≠mand braucht die SPD! Und da sind sol¬≠che dumm¬≠f¬≠re¬≠chen Appa¬≠rat¬≠schiks √ľber¬≠fl√ľs¬≠sig.
Wählt die ab!

Von Din­gen wie 2FA, FIDO2… wol­len wir nicht reden, das wer­den die SPD-Fach­kräf­te erst 50 Jah­re nach ihrem Able­ben mög­li­cher­wei­se im Ansatz ver­stan­den haben.

0