Schlagwort: Sicherheit

Und Schmerzen mit Gitlab

Wäh­rend ich also noch mit opend­marc Mei­nungs­ver­schie­den­hei­ten hat­te, kam aus Ame­ri­ka ein ganz doll drin­gen­des Hel­pdesk-Ticket rein: Bit­te einen User in Git­lab anle­gen.
Sowas ist immer eine dan­kens­wer­te Auf­ga­be, weil man sich Freun­de macht. Jeden­falls wenn es funk­tio­niert. User ange­legt also. Git­lab macht das ganz raf­fi­niert: Wenn man einen User anlegt, wird an des­sen Adres­se eine Email geschickt mit einem Token in einer URL, die den Nut­zer zum initia­len Set­zen eines Paß­wor­tes berech­tigt. Auf die­se Art bekommt der Admin zu kei­ner Zeit das Paß­wort des Nut­zers, weil es kein initia­les gibt. Sehr schön das. Jeden­falls wenn der Admin auf dem Mail­ser­ver opend­marc rich­tig kon­fi­gu­riert hat, sie­he vori­gen Post. Wenn er das aber nicht rich­tig gemacht hat, dann wird die Mail abge­wie­sen. Dann kann man den Mail­ser­ver zwar rich­tig kon­fi­gu­rie­ren, aber wie schickt man die­se Con­fir­ma­ti­on-Mail an den Git­lab-Nut­zer noch­mal? Ich habe kei­ne Mög­lich­keit gefun­den.
Da dach­te ich mir, ich lösche den Nut­zer ein­fach und lege ihn neu an. Pus­te­ku­chen. Man kann kei­nen Nut­zer löschen, der sich noch nie ange­mel­det hat, der ist sozu­sa­gen nicht voll­stän­dig. Direkt im post­gres den Nut­zer löschen? Ja, die ganz Muti­genIrren machen das viel­leicht — ich bin aber zu fei­ge.

Das Ende: Es gibt einen Paß­wort-ver­ges­sen-Link, auf dem habe ich dann die Adres­se des neu­en Nut­zers hin­ter­legt. Hat geklappt dann.

0

Debian, opendmarc

Alles @WORKPLACE.

Heu­te habe ich zum ers­ten Mal eine Spe­ar phis­hing Mail gese­hen. Das war nicht son­der­lich span­nend, rein tech­nisch.

From: "Ober Chef <oberchef@example.com>" <attacker@example.net>
To: <opfer@example.com>
Subject: Schieb mal Geld rueber

Das inter­es­san­te ist nun, daß Out­look (ja, nicht mei­ne Ent­schei­dung) schein­bar als Absen­der Ober Chef <oberchef@example.com anzeigt, die Ant­wort aber natür­lich an attacker@example.net geht. Diver­se mobi­le Cli­ents machen das schein­bar auch so.
Das ist ein Pro­blem, das ich tech­nisch nicht lösen kann, völ­lig unmög­lich. Da wer­den wir wohl regel­mä­ßig klei­ne­re Schu­lun­gen für die Gefähr­de­ten machen müs­sen.

Jeden­falls tauch­te in mei­nem Hin­ter­kopf eine unan­ge­neh­me Erin­ne­rung auf: Mei­ne Mail­do­main ist example.com, und ich neh­me aus dem Inter­net durch­aus Mails mit dem Absen­der user@example.com an. Ja, IHR macht das natür­lich nicht… Bis­lang hat­te ich mich damit raus­ge­re­det, daß Spa­m­As­sas­sin ja SPF-Ver­let­zun­gen berück­sich­tigt. SPF ist aller­dings für Spam- und sons­ti­ge Abwehr mitt­ler­wei­le ver­brannt, weil jeder anstän­di­ge Spam­mer auch einen kor­rek­ten SPF-Record vor­wei­sen kann.
Und nu? Hm, ich habe nicht nur SPF, son­dern auch DMARC, schon län­ger. Aller­dings hat­te ich da immer nur als Bit­te an die ande­ren ver­stan­den, mein SPF und DKIM zu hono­rie­ren. Aber ich kann es doch auch bei mir ver­wen­den, schließ­lich sagt mein SPF. daß user@example.com nicht aus dem Inter­net kom­men kann! Und es war schon alles da: opend­marc instal­liert, aber weder gestar­tet noch von post­fix ver­wen­det (mil­ter natür­lich)
also habe ich klei­ne­re Tei­le der Doku gele­sen, post­fix und opend­marc kon­fi­gu­riert, gestar­tet und von mei­nem Pri­vat­ser­ver­chen getes­tet. Ernüch­tern­de Erkennt­nis: 4xx TMPFAIL. Grund: Der Socket /var/run/opendmarc/opendmarc.sock war nicht schreib­bar. Abhil­fe: den Nut­zer post­fix in die Grup­pe opend­marc auf­neh­men.
Wie­der getest: 550 5.7.1 rejected by DMARC policy for example.com — freu!
Uff! Geschafft! Ein Glas Wein holen. Schnell noch kurz die Logs über­flie­gen. WTF??? Die Mails von intern wer­den alle mit dem­sel­ben Code abge­lehnt, es gehen also nur noch Mails rein, kei­ne raus (ich nut­ze die MXe auch für aus­ge­hen­de Mails)
Doku lesen, wie ich es has­se! Ah, es braucht eine Datei, in der beschrie­ben wird, wer am SPF vor­bei sen­den darf.

root@mx1:~# tail -1 /etc/opendmarc.conf
IgnoreHosts /etc/opendmarc/hosts.ignore
root@mx1:~#

Und dort hin­ein dann die Net­ze und Hosts, die sen­den dür­fen.

Alles wird gut…

0

IPSEC site2site VPN ER-X gegen Checkpoint

Fein­fein­fein, das funk­tio­niert näm­lich 🙂

vpn {
    ipsec {
        auto-firewall-nat-exclude enable
        esp-group FOO0 {
            compression disable
            lifetime 3600
            mode tunnel
            pfs enable
            proposal 1 {
                encryption aes256
                hash sha1
            }
        }
        ike-group FOO0 {
            ikev2-reauth no
            key-exchange ikev1
            lifetime 28800
            proposal 1 {
                dh-group 14
                encryption aes256
                hash sha1
            }
        }
        site-to-site {
            peer vpngw.example.com {
                authentication {
                    mode pre-shared-secret
                    pre-shared-secret einsicherespasswortbitte
                }
                connection-type initiate
                description Work
                ike-group FOO0
                ikev2-reauth inherit
                local-address any
                tunnel 1 {
                    allow-nat-networks disable
                    allow-public-networks disable
                    esp-group FOO0
                    local {
                        prefix a.a.a.0/24
                    }
                    remote {
                        prefix b.b.0.0/16
                    }
                }
            }
        }
    }
}

Das muß natür­lich zur Check­point pas­sen.
Erstaun­li­cher­wei­se hat iperf3 den Ein­druck, daß der Durch­satz OHNE ipsec off­loa­ding deut­lich bes­ser ist.
Und ich soll­te mal sehen, ob die Para­me­ter nicht doch noch zu ver­bes­sern sind (SHA-1 vs. SHA-256 zum Bei­spiel).

Aber soweit: 👍

0

Hallo McPolizei? Jemand zu Hause?

Aus dem heu­ti­gen Wurst­blätt­chen:

Mäd­chen im Alter zwi­schen zehn und elf Jah­ren wur­den auf­ge­for­dert, per Whats­App Nackt­bil­der und Vide­os von sich zu ver­schi­cken.

Zehn und elf Jah­re und einen Whats­App-Account? Da wird die Poli­zei doch sicher­lich die Eltern ins Gebet neh­men?
Nun ja, irgend­wie schon:

Die Poli­zei gibt auch Tipps für den Umgang mit Whats­App:

Kann man sich gar nicht aus­den­ken, sowas.

#Neu­land

0

Let’s encrypt hätte geholfen :-)

SPON schreibt:

Deut­lich sicht­bar waren die Aus­wir­kun­gen des Shut­downs bei mehr als 130 Web­sei­ten von Regie­rungs­stel­len, die zeit­wei­se auf­grund abge­lau­fe­ner Sicher­heits­zer­ti­fi­ka­te nicht mehr erreich­bar waren.

Als ich im let­zen Som­mer im hin­ters­ten Böh­mer­wald ohne Netz urlaub­te, haben sich mei­ne Ser­ver (Mail, Web…) ein­fach auto­ma­tisch neue Zer­ti­fi­ka­te geholt.
Ich soll­te obers­ter Hyper-Cyber-Dödel der USA wer­den 🙂

0

Die Forderung nach 2FA

Behaup­tung: die meis­ten oder zumin­des­tens lau­tes­ten von denen, die nun 2FA ein­for­dern, haben 2FA nicht ver­stan­den.

Wie kommt der zwei­te Fak­tor zustan­de? SMS ist bäh, TOTP steht und fällt damit, daß das gemein­sa­me Geheim­nis auch wirk­lich geheim bleibt. Da muß man dem Her­stel­ler der App trau­en, dem Her­stel­ler des Betriebs­sys­tems sowie­so.

Doch viel wich­ti­ger: Mit 2FA kann man nur inter­ak­ti­ve Log­ins schüt­zen. Bei­spiel: Ich habe einen Web­mai­ler, der 2FA unter­stützt. Der Nut­zer ist der­sel­be, der sich mit sub­mis­si­on und IMAPS anmel­det, sel­ber Nut­zer­na­me, sel­bes Paß­wort und eben kein zwei­ter Fak­tor. Das heißt, es gibt meh­re­re Türen zum Zim­mer “Mail­box”, von denen nur eine Tür (Web­mai­ler) noch mal mit einem zwei­ten Schloß gesi­chert ist.

Anders zum Bei­spiel mein Next­Cloud: Da gibts auch 2FA, und es wird auch auto­ma­ti­siert zuge­grif­fen (z.B. der Desk­top-Cli­ent, Kalen­der, Adreß­buch…) Dafür gibts dann App-Paß­wör­ter. Das heißt, daß der Nut­zer­na­me über­all der­sel­be ist, der Kalen­der aber ein ande­res Paß­wort als das Adreß­buch hat usw. Dabei wer­den die Paß­wör­ter von Next­cloud sel­ber gene­riert und sehen ziem­lich stark aus — mer­ken kann man sich die defi­ni­tiv nicht.
Goog­le macht das genau­so.

2FA heißt eben nicht, daß damit auto­ma­tisch mehr Sicher­heit gewon­nen wird, es kommt schon dar­auf an, wie 2FA imple­men­tiert ist.
Immer­hin scha­det es nichts, 2FA anzu­schal­ten.

0

Der Fachkräftemangel oder WTF???

Die Poli­zei Bran­den­burg cyber­fahn­det nach einer MAC-Adres­se.

Das Inter­net Archi­ve hat es auch, und sicher­heits­hal­ber gibts auch einen loka­len Screen­shot
Das ist so trau­rig unin­for­miert 🙁

  • MAC-Adres­sen las­sen sich ganz ein­fach ändern
  • Um von einem Rou­ter eine IP-Adres­se zu bekom­men, muß man sich nicht ein­log­gen
  • Ein Rou­ter ist nicht auto­ma­tisch ein DHCP-Ser­ver
  • Nicht jeder Rou­ter wird mit einem Web­brow­ser admi­nis­triert
  • Zugangs­da­ten ste­hen nicht immer auf der Rück­sei­te
  • wer phy­sisch nicht von phy­si­ka­lisch unter­schei­den kann, hat auto­ma­tisch ver­lo­ren

Wenn DAS die IT-Kom­pe­tenz der Poli­zei Bran­den­burg ist, dann soll­ten sie schnells­tens ihre IT für die nächs­ten 5 Jah­re out­sour­cen und in der Zwi­schen­zeit sich um qua­li­fi­zier­te Mit­ar­bei­ter küm­mern

0

Wie jedes neue Jahr

gpg key abge­lau­fen.

Also einen neu­en erstel­len, in diver­se Mail Cli­ents ein­tra­gen, in ~/.gitconfig, auf einen öffent­li­chen Key­ser­ver hoch­la­den, ihr kennt das.
Nicht daß das alles von irgend­ei­nem prak­ti­schen Nut­zen wäre — aber es macht ein gutes Gefühl 🙂

0