seeseekey.net - Invictus Deus Ex Machina

Das schöne an einem XMPP-Server ist die Tat­sa­che das man ihn rela­tiv ein­fach auf­set­zen kann. Wenn er dann funk­ti­ons­tüch­tig ist, stellt man sich nicht sel­ten die Frage, wie sicher das ganze kon­fi­gu­riert ist. Hier hilft das IM Obser­vato­ry­mit sei­ner Web­seite.

Eine Aus­wer­tung des IM Observatory

Dort gibt man die URL zum XMPP-Server ein und anschlie­ßend wird die­ser eini­gen Tests unter­zo­gen. Nach Ablauf des Tests bekommt man eine Note von A bis F zuge­wie­sen, wobei F das schlech­teste Ergeb­nis dar­stellt. Dane­ben bekommt man detail­liert auf­ge­lis­tet wel­che sicher­heits­re­le­van­ten Fea­tures aktiv sind.

Mails ver­schlüs­selt mit GnuPG zu ver­schi­cken, ist unter den Desktop-Betriebssystemen, wie Win­dows, Linux oder Mac OS X kein Pro­blem. Schwie­ri­ger wird es unter Mobil­sys­te­men. Für Android gibt es da eine Reihe von Lösun­gen. Bei iOS sieht das Ganze ziem­lich mau aus. Das offi­zi­elle Mail­pro­gramm, ver­fügt lei­der über keine Mög­lich­kei­ten es über Schnitt­stel­len zu erwei­tern. Als ein­zige brauch­bare App für das Ver­schlüs­seln von Mails ist iPG­Mail zu nennen.

iPGMail
Preis: 1,79 €

Man­gels mög­li­cher Inte­gra­tion in das Mail­pro­gramm müs­sen die Texte mit­tels Copy & Paste zwi­schen den bei­den Apps aus­ge­tauscht wer­den. Das ist natür­lich nicht bequem, so das zu hof­fen steht, das es hier in Zukunft eine ele­gan­tere Methode gibt. Die offi­zi­elle Seite ist unter http://ipgmail.com/ zu finden.

Betreibt man einen Ser­ver, so wird man mit der Zeit fest­stel­len, das man nicht der ein­zige ist, der gerne Zugriff auf den Ser­ver hätte. Um zu häu­fige Log­in­ver­su­che abzu­blo­cken gibt es Fail2ban. Die­ses Pro­gramm­pa­ket durch­sucht die ent­spre­chen­den Logs und blo­ckiert bös­wil­lige Ver­su­che in das Sys­tem ein­zu­bre­chen. Damit gehört Fail2ban zu den Intru­sion Preven­tion Sys­te­men. Die Instal­la­tion auf einem Ubuntu-Server geht dabei leicht von der Hand:

apt-get install fail2ban

Anschlie­ßend kann mit der Kon­fi­gu­ra­tion begon­nen werden:

nano /etc/fail2ban/jail.conf

In den ers­ten Ein­stel­lun­gen unter „[DEFAULT]“ fin­det man die Zeit (in Sekun­den) wel­che angibt wie lange ein Angrei­fer geblockt wer­den soll. Stan­dard­mä­ßig sind dies 10 Minu­ten respek­tive 600 Sekun­den. Im Bereich „[JAILS]“ kann Fail2ban nun für bestimmte Dienste akti­viert wer­den, indem der Wert bei „enab­led“ auf „true“ gesetzt wird. Selbst­ver­ständ­lich ist es auch mög­lich eigene Jails zu defi­nie­ren. Alle vor­ge­fer­tig­ten Fil­ter­re­geln fin­det man unter „/etc/fail2ban/filter.d“. Die Über­wa­chung des SSH Diens­tes ist dabei stan­dard­mä­ßig akti­viert. Nach der Anpas­sung der Kon­fi­gu­ra­tion, sollte der Dienst mittels

service fail2ban restart

neu­ge­star­tet wer­den. Das Log in wel­chem alle Fail2ban Aktio­nen ver­zeich­net sind, ist unter „/var/log/fail2ban.log“ zu finden.

Wei­tere Infor­ma­tio­nen gibt es unter:
http://cup.wpcoder.de/fail2ban-ip-firewall/

Wie man OpenVPN unter Win­dows betreibt, hatte ich vor eini­gen Jah­ren beschrie­ben. Auch unter Mac OS X lässt sich das ganze ein­rich­ten. Als gra­fi­scher Cli­ent bie­tet sich der quell­of­fende und unter GPLv2 ste­hende Cli­ent Tun­nel­blick an, des­sen offi­zi­elle Seite auf Google Code zu fin­den ist. Nach der Instal­la­tion der aktu­el­len (sta­bi­len) Ver­sion 3.3, kann Tun­nel­blick auch gleich aus­ge­führt wer­den. Für die Kon­fi­gu­ra­tion des Cli­ents benö­tigt man eine Datei mit den benö­tig­ten Para­me­tern, wel­che die Endung „ovpn“ oder „conf“ trägt. Tun­nel­blick kann dabei bei Bedarf eine Bei­spiel­kon­fi­gu­ra­tion anle­gen. In die­ser Kon­fi­gu­ra­ti­ons­da­tei wer­den nur fol­gende Werte geändert:

remote vpn.example.org 1194

# SSL/TLS parms.
# See the server config file for more
# description.  It's best to use
# a separate .crt/.key file pair
# for each client.  A single ca
# file can be used for all clients.
ca ca.crt
cert client.crt
key client.key

Die ovpn Datei wird mit der ca.crt Datei und der client.crt sowie der client.key Datei (beide erhält man vom VPN Anbie­ter) in einen Ord­ner gepackt und die­ser Ord­ner mit der Erwei­te­rung „.tblk“ ver­se­hen. Anschlie­ßend wie der Ord­ner im Fin­der geöff­net und somit der Tunnelblick-Konfiguration hin­zu­ge­fügt. Danach kann die Ver­bin­dung im Kon­text­menü akti­viert wer­den. Nach eini­gen Sekun­den ist die Initia­li­sie­rung been­det und die VPN Ver­bin­dung kann genutzt werden.

Möchte man PGP bzw. GPG unter Android nut­zen, so emp­fielt sich die Nut­zung von K-9 Mail. Dabei han­delt es sich um eine freie Mail­soft­ware. Neben K-9 Mail muss auch die App APG instal­liert wer­den. APG ist eine GnuPG Imple­men­ta­tion für Android.

K-9 Mail beim Ver­fas­sen einer Mail

Nach der Instal­la­tion kön­nen mit­tels APG die öffent­li­chen Schlüs­sel der Emp­fän­ger hin­zu­ge­fügt wer­den. Anschlie­ßend kann in K-9 Mail eine Mail ver­fasst wer­den. Dort kann auch fest­ge­legt wer­den, ob die Mail nur signiert oder auch ver­schlüs­selt wer­den soll. In den Ein­stel­lun­gen von K-9 Mail kön­nen diese Optio­nen auch als Stan­dard ein­ge­stellt wer­den (unter Kryptografie).

Heute am 7. August 2013, wird begin­nend ab 19:00 Uhr, in den Räu­men von NB-Radiotreff 88,0 eine Cryp­to­party veranstaltet.

Flyer

Im ers­ten Teil der Ver­an­stal­tung wer­den einige theo­re­ti­sche Betrach­tun­gen über Daten­si­cher­heit & Daten­spar­sam­keit sowie Ver­schlüs­se­lung und sichere Kom­mu­ni­ka­tion behan­delt. Anschlie­ßend folgt der prak­ti­sche Teil, in dem die Teil­neh­mer auf ihren gege­be­nen­falls mit­ge­brach­ten Gerä­ten die erwor­be­nen Kennt­nisse aus­pro­bie­ren kön­nen. In die­sem Teil kön­nen auch wei­ter­füh­rende Fra­gen gestellt werden.

Mehr Infor­ma­tio­nen sowie die Anmel­dung gibt es unter http://seeseekey.net/cryptoparty.

Wenn man mit­tels Tru­e­crypt die Fest­platte ver­schlüs­seln möchte, wird man auf­ge­for­dert eine „Res­cue Disk“ zu bren­nen. Mit die­ser ist es im Not­fall mög­lich Daten von dem ver­schlüs­sel­ten Lauf­werk wie­der­her­zu­stel­len. Pro­ble­ma­tisch wird das ganze, wenn im Rech­ner kein Bren­ner vor­han­den ist. Dann erlaubt Tru­e­crypt die Ver­schlüs­se­lung des Medi­ums nicht.

Ohne das Bren­nen der ISO Dateien möchte Tru­e­crypt nicht forfahren

Um das zu umge­hen muss die Anwen­dung „Tru­e­Crypt Format.exe“ aus dem TrueCrypt-Ordner mit dem Para­me­ter „/noisocheck“ bzw. „/n“ gestar­tet werden:

"TrueCrypt Format.exe" /n

Damit kann die Abfrage über­sprun­gen wer­den und die Ver­schlüs­se­lung ein­ge­lei­tet werden.

Die auf Linux basie­rende Rou­ter­dis­tri­bu­tion IPFire (http://www.ipfire.org/) besticht vor allem durch ihre Benut­zer­freund­lich­keit, was dazu führt das sie gerne und oft ein­ge­setzt wird. Zum Pro­jekt gehört dabei eine Wunsch­liste wel­che unter http://wishlist.ipfire.org/ zu fin­den ist.

Das IPFire Interface

Auf der Wunsch­liste kön­nen Pro­jekte finan­ziert wer­den, so das sie anschlie­ßend bevor­zugt imple­men­tiert wer­den. Vor allem der neuste Ein­trag in der Wunsch­liste ist inter­es­sant: „Tor — Pro­tec­ting Online Anony­mity“ — bei die­sem han­delt es sich um die Inte­gra­tion des Anony­mi­sie­rungs­netz­wer­kes Tor in IPFire, so das dass ganze für den Nut­zer anschlie­ßend trans­pa­rent abläuft. Dazu soll­ten ursprüng­lich knapp 1500 € gesam­melt wer­den, mitt­ler­weile sind es aber schon über 1600 €. Das bedeu­tet das wir uns in nächs­ter Zeit auf eine IPFire Ver­sion mit Tor­in­te­gra­tion freuen dür­fen, womit wir ein Schritt näher an benut­zer­freund­li­cher und frus­tra­ti­ons­freier Sicher­heit wären.

Vor ein paar Tagen schrieb ich dar­über wie man mit dem Thun­der­bird ver­schlüs­selte Mails emp­fängt und ver­sen­det. Natür­lich nutzt nicht jeder Thun­der­bird, des­halb gibt es heute eine Anlei­tung für die Ein­rich­tung mit­tels Apple Mail unter Mac OS X. Im ers­ten Schritt wer­den die GPG­Tools her­un­ter­ge­la­den. In die­sen befin­det sich neben der Kryp­to­gra­fi­ein­fra­struk­tur auch das ent­spre­chende Plu­gin für Apple Mail. Das Plu­gin hört dabei auf den Namen GPGMail.

GPG­Mail inte­griert in die Ein­stel­lun­gen von Apple Mail

Hat man noch kei­nen Schlüs­sel erzeugt, so kann man dies mit der instal­lier­ten Anwen­dung „GPG Schlüs­sel­bund“ nach­ho­len. Dort klickt man auf den But­ton „Neu“ und wird anschlie­ßend von einem Assis­ten­ten durch die Schlüs­sel­er­zeu­gung gelei­tet. Dane­ben kön­nen über den Schlüs­sel­bund auch öffent­li­che Schlüs­sel ande­rer Nut­zer expor­tiert werden.

Apple Mail mit der GPG­Mail Erweiterung

Wenn für die Absen­der Mail­adresse ein Schlüs­sel hin­ter­legt ist, kön­nen die Mails signiert wer­den. Ver­fügt man wei­ter­hin über einen Schlüs­sel für den Emp­fän­ger der Mail, so kann die Mail ver­schlüs­selt wer­den. Ob die jewei­lige Ope­ra­tion mög­lich ist, sieht man dabei an dem Schloss– und dem Sie­gel­but­ton, wel­che rechts ein­ge­blen­det werden.