Captain's blog

Mit der (partiellen) Umstellung von Linux- auf Apple-Clients im Heimnetz war es an der Zeit, über Anpassungen am vorhandenen Ubuntu-Fileserver nachzudenken. Möglichkeiten für den Zugriff per Netzwerk gibt es immerhin zuhauf:

- NFS, als Netzwerk-Filesystem unter Unix gestartet, und seit langem erprobt. Recht zügig bei der Arbeit, leider nicht allzu bekannt für Sicherheit
- SMB, der Versuch aus Redmont, eine Alternative zu NFS zu finden
- SSH- / FTPFS, als FUSE-Erweiterungen, leider nicht allzu performant
- AFP, Apples natives Netzwerk-Dateisystem. Recht fix, und durch SSL-Verschlüsselung auch entsprechend sicher.

Wo die Wahl im Linux-Umfeld naturgemäß auf NFS fällt, habe ich mich aus Performance- und Sicherheitsgründen entschlossen, parallel dazu Netatalk als Fileserver für meine Apple-Hardware aufzusetzen. Als zusätzliches Schmankerl soll das MacBook seine Backups per Time Machine nicht per USB, sondern zentral auf den Server sichern.

Ein paar minimale Hürden gibt es hierzu jedoch zu meistern:

Nachdem auch die letzten paar Wochen nicht minder ruhig waren, gibt's heute wenigstens mal einen kleinen Kessel bunte Neuigkeiten an einem Stück:

1. Seit rund einem Monat bin ich stolzer (und überaus zufriedener) iPhone-User. Nicht zuletzt deshalb ist ab sofort das Markup-Plugin für die Mobile Ausgabe aktiv, das die Nutzung des Blogs mit dem Gerät noch einfacher gestaltet. Nicht, dass das scollen und zoomen ein Problem wären, die Oberfläche wirkt so aber einfach aufgeräumt und wie aus einem Guss.

2. Auch meine gute alte Homepage hat endlich einmal ein Facelift erhalten. Das lange Zeit dafür eingesetzte Plone hatte ich vor ein paar Monaten durch statisches, per RapidWeaver generiertes HTML abgelöst. Das neue Outfit hat mich aber nie wirklich überzeugen können, zum Designer bin ich halt einfach nicht geboren. Die neue Aufmachung gefällt mir dafür umso besser. Recht minimalistisch, aber klar.
Im Lauf der nächsten paar Wochen werde ich auch endlich den restlichen, bislang schon fehlenden Content wieder einfügen um endlich wieder von einer "richtigen" Homepage sprechen zu können.

3. Ein Grund für die Funkstille liegt in den Prüfungsvorbereitungen mit Endziel CCSP der letzten paar Wochen. Letzten Freitag habe ich die dritte, und für dieses Jahr letzte Teilprüfung (SNPA ) sehr erfolgreich hinter mich gebracht. Nicht umsonst ist die Pix- / ASA-Plattform mittlerweile zu meiner Lieblings-Firewall geworden.
Drei von fünf Prüfungen sind damit also abeghakt, die nächste (SNRS) ist für Anfang bis Mitte Januar geplant. Wer möchte, darf also gern Daumen drücken.

Das war's erstmal wieder. Die nächsten Beiträge sind auch endlich wieder in Planung, und werden sich dann auch endlich mal wieder um "echte" Themen drehen...

Nach langer, langer Zeit geht's auch hier im Blog wieder weiter. Neben den obligatorischen Linux- und Security-Themen wird's in Zukunft unter Umständen recht Cisco-lastig, immerhin schlage ich mich jetzt seit knapp über einem Jahr beruflich mit den Kisten herum. Falls Fragen auch gerade dazu auftauchen, bitte einfach kurz ansprechen.

Immer wieder lustig, was man mit eigentlich ganz ungefährlichen Blogeinträgen so anrichten kann:

Nutzer von Mailinglisten etc. wissen die VERP-Funktionalität ihres Mailservers oft zu schätzen. Immerhin macht es die Empfängeradresse bla+test@example.com einfach, Mail entsprechend durch Filter zu jagen, um sie z.B. in hierfür vorgesehen Ordner einzusortieren.

Durch Zufall bin ich eben darauf gestoßen, wie sich das Verhalten auch unter Zimbra aktivieren lässt:

Nachdem Peter Gutmann und ich vor einiger Zeit TrueCrypt und Co. auf Nutzbarkeit und Sicherheit der Verschlüsselung getestet haben, haben sich mittlerweile ein paar Dinge an dieser Front getan:
Die Entwickler haben in Zwischenzeit eine neue Version (4.3) herausgegeben, die ein paar Verbesserungen (leider fast ausschließlich für Windows-User) mit sich bringt. Daraufhin haben sich findige Leute einmal auf andere Angriffsvektoren auf die Software konzentriert, und sind prompt (bei der Linux-Version) fündig geworden...

Wie in einem älteren Posting bereits angekündigt, habe ich es heute Abend endlich einmal geschafft, die erste PHP-Applikation in Form meiner "Bookmark-Verwaltung" zu ersetzen.

Kam bis vor ein paar Stunden noch der "del.icio.us-Klon" Scuttle zum Einsatz , werkelt unter der Haube nun das Ruby on Rails basierte url.markr.

Wer ein öffentlich erreichbares (Unix-) System betreibt, kennt die Problematik der diversen gescheiterten Anmeldeversuche per SSH. Hervorgerufen durch Bots, die triviale Kombinationen und Passworten durchprobieren, müllen sie Logfiles zu, und finden schlimmstenfalls sogar wirklich einen Luser, der ein leicht zu erratendes Passwort nutzt.
Lösungen für dieses Problem sind (nicht nur hier) bereits mehrfach angesprochen worden; angefangen bei einfachen Maßnahmen wie der Verlegung des Port von 22 auf einen anderen, nicht standardgemäßen. Nutzung von SSH-Public Keys. Weiter über Paketfilter und eigens hierfür entwickelte Tools wie z.B. denyhosts oder fail2ban.

Eine gänzlich andere Möglichkeit, die darüber hinaus noch weitere Vorteile bietet ist die Authentisierung über Einmalpassworte. In Verbindung mit einer Zwei-Faktorauthentisierung (wie sie z.B. RSA mit den SecureID-Tokens) vormacht kommt zusätzlich zum Passwort noch eine Besitzkomponente hinzu. Ohne Token, das das OTP anzeigt, ist kein Zugang möglich.

Leider lohnen sich der Kauf dieser Token für den "Privatgebrauch" nicht wirklich, immerhin existieren mittlerweile (freie) Projekte, die diese Technik sehr kostengünstig ermöglicht. Das wohl vielversprechendste ist hier wohl FreeAuth.
Statt eines Hardwaretokens kommt hier das (in den allermeisten Fällen eh vorhandene) Handy zum Einsatz, das mit Hilfe eines kleinen Stückchen Java-Software die Funktion schnell und einfach nachbildet.

Nachdem es so gut zum letzten Posting hier passt, geht es heute wieder um eine "Security-Linux Live-CD": nach einigen Monaten Wartezeit wurde gestern die stabile Version der "Pentesting-Distribution" BackTrack in Version 2 freigegeben.

Wer sich einmal eingehender mit Penetration Testing befasst hat, wird um den Download bisher wohl kaum herumgekommen sein. Natürlich gibt es auch andere Projekte, die sich die Ansammlung möglichst vieler sinniger Tools auf die Fahnen geschrieben haben, das Team um Max Moser hingegen begnügt sich nicht nur mit aktuellen Sicherheitswerkzeugen (von denen trotzdem über 300 mitgeliefert werden).
Viel mehr wird dem Tester alleine durch die Vorbereitung der Wireless-Module für Packet Injections, als auch besonders im Bereich der (oft so ungeliebten) Methologie und "Nacharbeit" (Dokumentation etc.)) unter die Arme gegriffen. Nicht umsonst orientiert sich die Distribution mehr und mehr an "Standards" wie ISSAF und OSSTMM. Die Ausformulierung von Vorgehensweise, Erkenntnissen und potentiellen Lösungen bleibt dem Pentester jedoch trotz allem selbst überlassen.

Den weiteren Abend werde ich jedenfalls damit verbringen, mir die neue Version einmal ganz genau anzusehen. Jedem, der sich für Security interesissert kann selbiges definitiv auch ans Herz gelegt werden. In diesem Sinne: Slainte Mhath!

Dass Linux nicht nur Spaß machen,sondern auch mal (bewusst) unsicher sein kann, zeigt das Damn Vulnerable Linux-Projekt (kurz DVL). Es besteht aus einem Damn Small Linux, das aber eigens zu "Trainingszwecken" für Einsteiger und Fortgeschrittene der IT-Security modifiziert wurde.

Am besten jedoch beschreibt es ein Zitat der Macher selbst:

Actually, it is a perverted Linux distribution made to be as insecure as possible. It is collection of IT-Security and IT-Anti-Security tools. Additional it includes a fullscaled lesson based environment for Attack & Defense on/for IT systems for self-study or teaching activities during university lectures. It's a Live Linux Distro, which means it runs from a bootable CD in memory without changing the native operating system of the host computer. As well it can be run within virtual machine environments, such as qemu or vmware. [...] Its sole purpose in life is to put as many security tools at your disposal with as much training options as it can. It contains a huge ammount of lessons including lesson description - and solutions if the level has been solved by a community member at crackmes.de.

Pünktlich zum neuen Jahr ist es wieder Zeit für ein paar neue Spielereien. In diesem Fall habe ich pünktlich damit angefangen, mein kleines Heimnetzwerk ein wenig aufzupeppeln. Das aktuelle Setup ist teils in die Jahre gekommen, oder erfüllt schlicht und ergreifend nicht mehr meine Anforderungen.

Kommen wir also direkt zum Ist-Zustand:

Ich hab's ja schon länger gesagt, und langsam aber sicher dringt es immer lauter an die Öffentlichkeit: PHP stinkt!

Sollte es jemand noch nicht mitbekommen haben:
Endlich ist es so weit...nach rund 6 Monaten Arbeit hat Fyodor heute Nmap 4.20 freigegeben. Interessant wird die Sache allein wegen der sog. "2nd generation OS detection", aber auch einige andere nette Neuigkeiten, sowie ein ganzer Haufen hinzugekommene Fingerprints sind definitiv wieder einen Download wert.

Mal schauen, ob ich da nicht auf die Schnelle ein passendes OpenBSD-Paket zusammengeschnürt bekomme.

Nachdem ich bereits eine ganze Zeit lang Tor nutze, um nicht unbedingt jedem meine Daten etc. mitzuteilen, interessiert mich die Untersuchung über potentielle Schwachstellen der Anonymisierung natürlich ganz besonders.
Dass die Betreiber von Exit-Nodes (den Hosts, die den endgültigen Connect zum Zielhost herstellen) im Zweifelsfall sämtlichen Traffic mitlesen können ist ja nichts wirklich Neues. Da die Anfragen aber durch die unterschiedlichsten Tor-Nodes geleitet werden, ist aber wenigstens der Ursprung der Anfragen unbekannt (FAQ).

Nachdem Mattias Schlenker im Rootforum alleine durch die Umschreibung der Vorteile von Jails einen kleinen FreeBSD-Hype ausgelöst hat, interessierte mich eine solche (im "Standardumfang" nicht enthaltene) Lösung natürlich auch gerade unter OpenBSD. Immerhin bedeutet eine "virtuelle" OS-Instanz vor allem eine weitere erhöhte Sicherheit.

Fündig in diesem Fall wurde ich bei sysjail, das Jail-Konstrukte mit Hilfe des systrace-Frameorks umsetzt, das seinerseits eine sehr mächtige (aber dennoch einfache) RBAC-Imlementierung für System Calls darstellt. Somit lässt sich der "Komfort" eines Jails noch durch zusätzliche Sicherheit kombinieren, da sich so sehr feingranular einschränken lässt, was in der VM erklaubt ist.