Schlagwort: Sicherheit · Seite 10

Das schöne an einem XMPP-Server ist die Tatsache das man ihn relativ einfach aufsetzen kann. Wenn er dann funktionstüchtig ist, stellt man sich nicht selten die Frage, wie sicher das ganze konfiguriert ist. Hier hilft das IM Observatorymit seiner Webseite.

Eine Auswertung des IM Observatory

Dort gibt man die URL zum XMPP-Server ein und anschließend wird dieser einigen Tests unterzogen. Nach Ablauf des Tests bekommt man eine Note von A bis F zugewiesen, wobei F das schlechteste Ergebnis darstellt. Daneben bekommt man detailliert aufgelistet welche sicherheitsrelevanten Features aktiv sind.

Mails verschlüsselt mit GnuPG zu verschicken, ist unter den Desktop-Betriebssystemen, wie Windows, Linux oder Mac OS X kein Problem. Schwieriger wird es unter Mobilsystemen. Für Android gibt es da eine Reihe von Lösungen. Bei iOS sieht das Ganze ziemlich mau aus. Das offizielle Mailprogramm, verfügt leider über keine Möglichkeiten es über Schnittstellen zu erweitern. Als einzige brauchbare App für das Verschlüsseln von Mails ist iPGMail zu nennen.

‎iPGMail

Preis: 2,99 €

Mangels möglicher Integration in das Mailprogramm müssen die Texte mittels Copy & Paste zwischen den beiden Apps ausgetauscht werden. Das ist natürlich nicht bequem, so das zu hoffen steht, das es hier in Zukunft eine elegantere Methode gibt. Die offizielle Seite ist unter http://ipgmail.com/ zu finden.

Betreibt man einen Server, so wird man mit der Zeit feststellen, das man nicht der einzige ist, der gerne Zugriff auf den Server hätte. Um zu häufige Loginversuche abzublocken gibt es Fail2ban. Dieses Programmpaket durchsucht die entsprechenden Logs und blockiert böswillige Versuche in das System einzubrechen. Damit gehört Fail2ban zu den Intrusion Prevention Systemen. Die Installation auf einem Ubuntu-Server geht dabei leicht von der Hand:

apt-get install fail2ban

Anschließend kann mit der Konfiguration begonnen werden:

nano /etc/fail2ban/jail.conf

In den ersten Einstellungen unter „[DEFAULT]“ findet man die Zeit (in Sekunden) welche angibt wie lange ein Angreifer geblockt werden soll. Standardmäßig sind dies 10 Minuten respektive 600 Sekunden. Im Bereich „[JAILS]“ kann Fail2ban nun für bestimmte Dienste aktiviert werden, indem der Wert bei „enabled“ auf „true“ gesetzt wird. Selbstverständlich ist es auch möglich eigene Jails zu definieren. Alle vorgefertigten Filterregeln findet man unter „/etc/fail2ban/filter.d“. Die Überwachung des SSH Dienstes ist dabei standardmäßig aktiviert. Nach der Anpassung der Konfiguration, sollte der Dienst mittels

service fail2ban restart

neugestartet werden. Das Log in welchem alle Fail2ban Aktionen verzeichnet sind, ist unter „/var/log/fail2ban.log“ zu finden.

Weitere Informationen gibt es unter:
http://cup.wpcoder.de/fail2ban-ip-firewall/

Wie man OpenVPN unter Windows betreibt, hatte ich vor einigen Jahren beschrieben. Auch unter Mac OS X lässt sich das ganze einrichten. Als grafischer Client bietet sich der quelloffende und unter GPLv2 stehende Client Tunnelblick an, dessen offizielle Seite auf Google Code zu finden ist. Nach der Installation der aktuellen (stabilen) Version 3.3, kann Tunnelblick auch gleich ausgeführt werden. Für die Konfiguration des Clients benötigt man eine Datei mit den benötigten Parametern, welche die Endung „ovpn“ oder „conf“ trägt. Tunnelblick kann dabei bei Bedarf eine Beispielkonfiguration anlegen. In dieser Konfigurationsdatei werden nur folgende Werte geändert:

remote vpn.example.org 1194

# SSL/TLS parms.
# See the server config file for more
# description.  It's best to use
# a separate .crt/.key file pair
# for each client.  A single ca
# file can be used for all clients.
ca ca.crt
cert client.crt
key client.key

Die ovpn Datei wird mit der ca.crt Datei und der client.crt sowie der client.key Datei (beide erhält man vom VPN Anbieter) in einen Ordner gepackt und dieser Ordner mit der Erweiterung „.tblk“ versehen. Anschließend wie der Ordner im Finder geöffnet und somit der Tunnelblick-Konfiguration hinzugefügt. Danach kann die Verbindung im Kontextmenü aktiviert werden. Nach einigen Sekunden ist die Initialisierung beendet und die VPN Verbindung kann genutzt werden.

Möchte man PGP bzw. GPG unter Android nutzen, so empfielt sich die Nutzung von K-9 Mail. Dabei handelt es sich um eine freie Mailsoftware. Neben K-9 Mail muss auch die App APG installiert werden. APG ist eine GnuPG Implementation für Android.

K-9 Mail beim Verfassen einer Mail

Nach der Installation können mittels APG die öffentlichen Schlüssel der Empfänger hinzugefügt werden. Anschließend kann in K-9 Mail eine Mail verfasst werden. Dort kann auch festgelegt werden, ob die Mail nur signiert oder auch verschlüsselt werden soll. In den Einstellungen von K-9 Mail können diese Optionen auch als Standard eingestellt werden (unter Kryptografie).

seeseekey.net

Deus ex machina

IM Observatory

Verschlüsselte Mails unter iOS

Server gegen unbefugten Login sichern

OpenVPN unter Mac OS X einrichten

Mailverschlüsselung unter Android