Schlagwort: Sicherheit

Wie jedes neue Jahr

gpg key abge­lau­fen.

Also einen neu­en erstel­len, in diver­se Mail Cli­ents ein­tra­gen, in ~/.gitconfig, auf einen öffent­li­chen Key­ser­ver hoch­la­den, ihr kennt das.
Nicht daß das alles von irgend­ei­nem prak­ti­schen Nut­zen wäre — aber es macht ein gutes Gefühl 🙂

0

Neuer HP Tintenspritzer

Wir brauch­ten einen neu­en Flach­bett­scan­ner, und die gibts lei­der nur mit ein­ge­bau­ter Druck­ein­heit. Da habe ich heu­te in einem hie­si­gen Elek­tro­nik­markt das Ange­bot ange­nom­men und einen HP Desk­jet für 44€ gekauft. Ein­ge­rich­tet, Firm­ware­up­date gela­den — und was macht man dann mit einem IoT-Gerät?
Rich­tig, man kappt ihm das Inter­net und pro­biert dann noch­mals ein Firm­ware­up­date, da soll­te die Suche dann ja fehl­schla­gen:

ubnt@router:/$ show firewall name LAN_OUT

IPv4 Firewall "LAN_OUT":

 Active on (eth0,OUT)

rule  action   proto     packets  bytes
----  ------   -----     -------  -----
1     reject   all       3        192
  condition - MAC C8:D9:D2:55:99:24 reject-with icmp-port-unreachable

10000 accept   all       56040    9126625

ubnt@router:/$ show firewall ipv6-name IP6_LAN_OUT

IPv6 Firewall "IP6_LAN_OUT":

 Active on (eth0,OUT)

rule  action   proto     packets  bytes
----  ------   -----     -------  -----
1     reject   all       0        0
  condition - MAC C8:D9:D2:55:99:24 reject-with icmp6-port-unreachable

10000 accept   all       0        0

ubnt@router:/$

Wir sehen, daß die IPv4-Fire­wall 3 Pake­te gese­hen hat, v6 wird schein­bar nicht ver­sucht (Update­ser­ver haben wahr­schein­lich nur v4). Inter­es­sant ist aber die Web­ober­flä­che des Dru­ckers, nach­dem ich ihn gebe­ten habe, doch mal nach neu­er Firm­ware zu suchen:

Die­se Pro­xy-Ein­stel­lun­gen wer­den per DHCP ver­teilt, das hat­te ich völ­lig ver­ges­sen. Aber: er möch­te den Pro­xy erst ver­wen­den, nach­dem der direk­te Ver­bin­dungssauf­bau fehl­ge­schla­gen ist.

So wirk­lich kon­sis­tent ist das nicht.

Also den Pro­xy kon­fi­gu­rie­ren (es ist ein Squid, der dann an einen Pri­v­o­xy wei­ter­reicht)

Uuuuund…

So muß das 😉

0

openssh, SSHFP, DNSSEC and OSX

See:

~$ grep ^VerifyHostKeyDNS .ssh/config
VerifyHostKeyDNS yes
~$ ssh -v big.sokoll.com
[…]
debug1: Server host key: ecdsa-sha2-nistp256 SHA256:YnFuxTWl/p1hVfB9GelWMQnpbNjF6FXBC+IQQWjnnng
debug1: found 8 insecure fingerprints in DNS
debug1: matching host key fingerprint found in DNS

Note the insecure!
The zone is DNSSSEC signed. This only hap­pens to me on OSX, with the ship­ped ssh cli­ent and also with the one from mac­ports. Works fine on linux, no inse­cu­re keys.
We need to use ldns:

~$ sudo port clean openssh ; sudo port install openssh +ldns

And voilá!

~$ ssh -v big.sokoll.com
[…]
debug1: Server host key: ecdsa-sha2-nistp256 SHA256:YnFuxTWl/p1hVfB9GelWMQnpbNjF6FXBC+IQQWjnnng
debug1: found 8 secure fingerprints in DNS
debug1: matching host key fingerprint found in DNS

Dun­no about home­brew.

 

0

Ingenieure, IT

Hier im Haus haben wir eine ziem­lich gute (ziem­lich ist unter­trie­ben) Lüf­tungs­an­la­ge eines deut­schen(?) Her­stel­lers — die­se.
Nun kann man heut­zu­ta­ge kaum noch Anla­gen ver­kau­fen, die nicht in irgend­ei­ner Wei­se über Com­pu­ter und/oder Apps bedient wer­den kön­ne, so auch unse­re Anla­ge.
Jeden­falls irgend­wie:

WLAN TCP / IP via Rou­ter ja
Anschluss Mod­bus / IP via Rou­ter ja

Das

via Rou­ter ja

ist natür­lich falsch: Das Gerät hat einen Ether­net-Anschluß, ist ein DCHP-Cli­ent (nix IPv6) und spricht dort nicht etwa HTTP, son­dern Mod­Bus. Die Anla­ge muß also nur ans LAN mit einem DHCP-Ser­ver (es läßt sich kei­ne fixe Adres­se ver­ge­ben) kom­men. Daß man im Tech­nik­raum Ether­net zu lie­gen hat, ist eher unwahr­schein­lich, aber für WLAN hat es aus wel­chen Grün­den auch immer nicht gereicht (nein, man kann es auch nicht nach­rüs­ten).

Hat man dann doch die Anla­ge ans Netz bekom­men, kann man sie mit einer App (Andro­id oder IOS) steu­ern, also jeden­falls wenn die App die Anla­ge fin­det, was immer­hin oft der Fall ist. nmap -sT -p502 fin­det die Anla­ge immer.

Aber man kann sie auch viel detail­lier­ter kon­fi­gu­rie­ren — dafür hat die Anla­ge einen USB-Anschluß. Mini-USB-B. Schon das ist gaga. Um das machen zu kön­nen, gibt es ein Pro­gramm namens iFlow, nur hipp mit dem i. Aller­dings nur für Win­dows. Es braucht .NET 3.5, das ist von anno dazu­mal. Es braucht genau die­se Ver­si­on, neue­re gehen nicht.
Ich habe kein Win­dows, in einer VM auf Linux wird die Anla­ge nicht gefun­den (ich wer­de wei­terfri­ckeln, viel­leicht doch irgend­wann?)
Wür­de ich eine Ver­bin­dung bekom­men, hät­te ich 3 Accounts:

  • User (ohne Paß­wort)
  • Instal­la­teur (mit Paß­wort)
  • Admin (mit ande­rem Paß­wort)

Die Paß­wör­ter sind hart codiert und ste­hen im Inter­net. Das GUI ähnelt der SPS-Steue­rung eines Atom­kraft­wer­kes (jeden­falls stel­le ich mir eine sol­che so vor)

Ehr­lich: So schafft sich Deutsch­land ab.

2+

ClamAV mit eigenen Signaturen

Auf Arbeit haben wir in letz­ter Zeit ver­mehrt unter Viren­mails zu lei­den, die von kei­nem der bei uns ver­wen­de­ten Viren­scan­ner als Viren­mails erkannt wer­den.
Auf G+ wur­de ich auf ein schon älte­res Pos­ting auf­merk­sam gemacht, das erklärt, wie man eige­ne Signa­tu­ren schreibt.

Geht wun­der­bar (ich habe den Cla­mAV aus den Quel­len sel­ber über­setzt):

mailgate:/tmp # /usr/local/clamav/bin/clamscan invoice574206_1.pdf
invoice574206_1.pdf: OK

----------- SCAN SUMMARY -----------
Known viruses: 4137933
Engine version: 0.98.7
Scanned directories: 0
Scanned files: 1
Infected files: 0
Data scanned: 0.28 MB
Data read: 0.12 MB (ratio 2.29:1)
Time: 12.807 sec (0 m 12 s)
mailgate:/tmp #

Nix gefun­den, wir schie­ben die eige­ne Signa­tur an die rich­ti­ge Stel­le:

mailgate:/tmp # mv ISH-custumsigs.ndb /usr/local/clamav/share/clamav/
mailgate:/tmp #

Und dann noch­mal:

mailgate:/tmp # /usr/local/clamav/bin/clamscan invoice574206_1.pdf
invoice574206_1.pdf: ISH.Trojan.UNOFFICIAL FOUND

----------- SCAN SUMMARY -----------
Known viruses: 4137934
Engine version: 0.98.7
Scanned directories: 0
Scanned files: 1
Infected files: 1
Data scanned: 0.28 MB
Data read: 0.12 MB (ratio 2.29:1)
Time: 13.072 sec (0 m 13 s)
mailgate:/tmp #

Ich bin ent­zückt!

0

Mein Jabber-Server, und was das IM Observatory dazu meint

Die mei­nen: schlecht.
Cli­ent bzw. Ser­ver
Weiß jemand, wie ich die schwa­chen Cipher weg­be­kom­me? Das ist ein Open­fire unter

# java -version
openjdk version "1.8.0_60"
OpenJDK Runtime Environment (build 1.8.0_60-b27)
OpenJDK 64-Bit Server VM (build 25.60-b23, mixed mode)
#

jdk.tls.disabledAlgorithms in java.security zu set­zen hat jeden­falls nicht zum Erfolg geführt.
Und nmap läßt mich zwei­feln, ob die Web­site wirk­lich Recht hat:

~$ nmap --script ssl-enum-ciphers -p 5222 xmpp.sokoll.com

Starting Nmap 6.47 ( http://nmap.org ) at 2015-10-27 18:35 CET
Nmap scan report for xmpp.sokoll.com (195.110.60.28)
Host is up (0.040s latency).
rDNS record for 195.110.60.28: allinclusive.sokoll.com
PORT STATE SERVICE
5222/tcp open xmpp-client
| ssl-enum-ciphers:
| TLSv1.0:
| ciphers:
| TLS_DHE_RSA_WITH_3DES_EDE_CBC_SHA - strong
| TLS_DHE_RSA_WITH_AES_128_CBC_SHA - strong
| TLS_DHE_RSA_WITH_AES_256_CBC_SHA - strong
| TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA - strong
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA - strong
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA - strong
| TLS_RSA_WITH_3DES_EDE_CBC_SHA - strong
| TLS_RSA_WITH_AES_128_CBC_SHA - strong
| TLS_RSA_WITH_AES_256_CBC_SHA - strong
| compressors:
| NULL
| TLSv1.1:
| ciphers:
| TLS_DHE_RSA_WITH_3DES_EDE_CBC_SHA - strong
| TLS_DHE_RSA_WITH_AES_128_CBC_SHA - strong
| TLS_DHE_RSA_WITH_AES_256_CBC_SHA - strong
| TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA - strong
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA - strong
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA - strong
| TLS_RSA_WITH_3DES_EDE_CBC_SHA - strong
| TLS_RSA_WITH_AES_128_CBC_SHA - strong
| TLS_RSA_WITH_AES_256_CBC_SHA - strong
| compressors:
| NULL
| TLSv1.2:
| ciphers:
| TLS_DHE_RSA_WITH_3DES_EDE_CBC_SHA - strong
| TLS_DHE_RSA_WITH_AES_128_CBC_SHA - strong
| TLS_DHE_RSA_WITH_AES_128_CBC_SHA256 - strong
| TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 - strong
| TLS_DHE_RSA_WITH_AES_256_CBC_SHA - strong
| TLS_DHE_RSA_WITH_AES_256_CBC_SHA256 - strong
| TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 - strong
| TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA - strong
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA - strong
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 - strong
| TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 - strong
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA - strong
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 - strong
| TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 - strong
| TLS_RSA_WITH_3DES_EDE_CBC_SHA - strong
| TLS_RSA_WITH_AES_128_CBC_SHA - strong
| TLS_RSA_WITH_AES_128_CBC_SHA256 - strong
| TLS_RSA_WITH_AES_128_GCM_SHA256 - strong
| TLS_RSA_WITH_AES_256_CBC_SHA - strong
| TLS_RSA_WITH_AES_256_CBC_SHA256 - strong
| TLS_RSA_WITH_AES_256_GCM_SHA384 - strong
| compressors:
| NULL
|_ least strength: strong

Nmap done: 1 IP address (1 host up) scanned in 9.16 seconds
~$
0

HTTPS only

Ab sofort erzwingt die­ses Blog HTTPS:

<VirtualHost 195.110.60.28:80>
  ServerName rainer.sokoll.com
  RedirectMatch permanent ^/(.*) https://rainer.sokoll.com/$1
</VirtualHost>

Was dann resul­tiert in:

~$ curl -I http://rainer.sokoll.com/
HTTP/1.1 301 Moved Permanently
Date: Sat, 26 Sep 2015 07:06:11 GMT
Server: A web server, what did you expect?
Location: https://rainer.sokoll.com/
Content-Type: text/html; charset=iso-8859-1

~$
0

ssh und DNSSEC

Sehr fein. Da wir ja nun DNSSEC haben und dem auch ver­trau­en, kön­nen wir gemäß RFC 4255 den Fin­ger­print unse­res Hosts im DNS ver­öf­fent­li­chen:

Bildschirmfoto 2015-03-27 um 08.31.48

In ~/.ssh/config noch schnell ein Veri­f­y­Host­KeyDNS ask rein­ge­wor­fen, und schon wird der Fin­ger­print aus dem DNS ver­wen­det:

Bildschirmfoto 2015-03-27 um 08.21.41

0