Captain's blog

Mit der (partiellen) Umstellung von Linux- auf Apple-Clients im Heimnetz war es an der Zeit, über Anpassungen am vorhandenen Ubuntu-Fileserver nachzudenken. Möglichkeiten für den Zugriff per Netzwerk gibt es immerhin zuhauf:

- NFS, als Netzwerk-Filesystem unter Unix gestartet, und seit langem erprobt. Recht zügig bei der Arbeit, leider nicht allzu bekannt für Sicherheit
- SMB, der Versuch aus Redmont, eine Alternative zu NFS zu finden
- SSH- / FTPFS, als FUSE-Erweiterungen, leider nicht allzu performant
- AFP, Apples natives Netzwerk-Dateisystem. Recht fix, und durch SSL-Verschlüsselung auch entsprechend sicher.

Wo die Wahl im Linux-Umfeld naturgemäß auf NFS fällt, habe ich mich aus Performance- und Sicherheitsgründen entschlossen, parallel dazu Netatalk als Fileserver für meine Apple-Hardware aufzusetzen. Als zusätzliches Schmankerl soll das MacBook seine Backups per Time Machine nicht per USB, sondern zentral auf den Server sichern.

Ein paar minimale Hürden gibt es hierzu jedoch zu meistern:

Nachdem auch die letzten paar Wochen nicht minder ruhig waren, gibt's heute wenigstens mal einen kleinen Kessel bunte Neuigkeiten an einem Stück:

1. Seit rund einem Monat bin ich stolzer (und überaus zufriedener) iPhone-User. Nicht zuletzt deshalb ist ab sofort das Markup-Plugin für die Mobile Ausgabe aktiv, das die Nutzung des Blogs mit dem Gerät noch einfacher gestaltet. Nicht, dass das scollen und zoomen ein Problem wären, die Oberfläche wirkt so aber einfach aufgeräumt und wie aus einem Guss.

2. Auch meine gute alte Homepage hat endlich einmal ein Facelift erhalten. Das lange Zeit dafür eingesetzte Plone hatte ich vor ein paar Monaten durch statisches, per RapidWeaver generiertes HTML abgelöst. Das neue Outfit hat mich aber nie wirklich überzeugen können, zum Designer bin ich halt einfach nicht geboren. Die neue Aufmachung gefällt mir dafür umso besser. Recht minimalistisch, aber klar.
Im Lauf der nächsten paar Wochen werde ich auch endlich den restlichen, bislang schon fehlenden Content wieder einfügen um endlich wieder von einer "richtigen" Homepage sprechen zu können.

3. Ein Grund für die Funkstille liegt in den Prüfungsvorbereitungen mit Endziel CCSP der letzten paar Wochen. Letzten Freitag habe ich die dritte, und für dieses Jahr letzte Teilprüfung (SNPA ) sehr erfolgreich hinter mich gebracht. Nicht umsonst ist die Pix- / ASA-Plattform mittlerweile zu meiner Lieblings-Firewall geworden.
Drei von fünf Prüfungen sind damit also abeghakt, die nächste (SNRS) ist für Anfang bis Mitte Januar geplant. Wer möchte, darf also gern Daumen drücken.

Das war's erstmal wieder. Die nächsten Beiträge sind auch endlich wieder in Planung, und werden sich dann auch endlich mal wieder um "echte" Themen drehen...

Ich weiß, das Thema ist steinalt und ausgenudelt wie sonst nur was. Da ich aber irgendwann garantiert wieder danach suchen werde, poste ich die Sachen jetzt einfach mal hier rein. Daher gibt's anbei noch mal zwei verschiedene Möglichkeiten, SSH-Bruteforcing mit Hilfe von Paketfiltern (in diesem Fall IPTables und OpenBSDs PF) in die Schranken zu weisen:

...die Pix zuhause als DSL-Router fungieren würde...

In diesem Fall würde ich wohl endlich mal Nägel mit Köpfen machen, und mir eine kleine Soekris-Box dort hin stellen. Erst recht, wo das Flashboot-Projekt es ermöglicht, die aktuelle OpenBSD-beta vom Flash aus zu starten. Alternativ würde sich natürlich auch noch ein zweiter WRT54G mit OpenWRT anbieten, dann wäre wohl auch noch die letzte Ecke des Hauses (und vermutlich noch das der Nachbarn) komplett "ausgeleuchtet".

Da hat der gute OpenBSD Geek (übrigens auch ein sehr lesenwertes Blog) mit seinem Firewall-Posting ja einen Stein ins Rollen gebracht. Über Bernd erfuhr ich nämlich von einem darauf aufbauenden Beitrag von David, der Paketfiltern gleich (fast) jeglichen Sinn abspricht.

Bedingt durch die Tatsache, dass ich mich nun halt einmal fast tagtäglich mit eben dieser Thematik rumplagen muss, möchte ich nun also auch mal meinen Senf dazugeben:

Aus den letzten für heute geplanten Dingen privater IT-technischer Natur wurde leider (wieder mal) durchkreuzt: Ich und mein Boss wurden heute etwas "unsanft" für ein paar Stunden aus unserem wohlverdienten Urlaub gerissen.
Ein vermeintliches Mailproblem entpuppte sich dann zu guter Letzt aber dann doch (wieder) als ein Problem mit einem der CheckPoint-Cluster. Trotz allem war's das mit der schönen Uptime von fast 300 Tagen für "meine" Loadbalancer.

Somit fiel ein näheres Auseinandersetzen mit Nematocyst, einem "aktiven Gegenmittel gegen den spamforo-Trojaner" und MultiAdmin (was sogar für die Arbeit gewesen wäre ) leider flach.
Aufgeschoben heißt aber nicht aufgebhoben, immerhin habe ich wenigstens noch dieses kleine Posting zustande gebracht. Irgendwie habe ich ja doch schon ein etwas schlechtes Gewissen, das Blog so zu vernachlässigen.

Sollte sich jemand wundern, warum es hier in letzter Zeit so OpenBSD-lastig geworden ist, liegt das schlicht und ergreifend daran, dass ich von dessen Möglichkeiten immer begeisterter bin.

Besonders netzwerkseitig haben die Entwickler des Systems in manchen Punkten endlich zu Linux aufgeschlossen, wohingegen sich Linus und Co. in anderen Belangen ein dickes Stück dort abschneiden könnten. Ein sehr guter Artikel zu OpenBSD 3.8 auf Onlamp stellt einige Dinge heraus, die vielen so gar nicht bewusst waren:

Es ist leider etwas länger her, seitdem ich mich ernsthaft mit OpenBSD auseinandergesetzt habe. Meine letzter Kenntnisstand bezieht sich auf Version 3.3, die auf meiner guten alten SparcStation 2 (zur vollsten Zufriedenheit) als Firewall für's Heimnetz eingesetzt hatte. Irgendwann wurde das Teilchen aber durch eine Pix ersetzt, was das (vorläufige) Ende meines *BSD-Interesses nach sich zog.
Anfang November habe ich es dann endlich geschafft, die zu diesem Zeitpunkt freigegebene 3.8er-Version auf meinem guten alten Compaq ML370 zu instalieren, der meinen aktuellen Fileserver ersetzen wird. Seitdem bin ich dabei, mich durch lesen der (phantastischen) manpages und der FAQ auf den aktuellen Stand der Entwicklung zu bringen.

Da die einfachsten Lösungen meist mit zu den besten gehören, gibt's heute ein möglichst simples Portknocking-Tool: coarseknocking.

Nicht zuletzt aufgrund der sehr positiven Resonanz zum damaligen Portknocking-Posting, habe ich einmal damit angefangen, mir ein paar Implementierungen anzuschauen, die ich für mich selbst in Betracht ziehen würde.

Den Anfang macht dabei einer der bekanntesten Lösungen hierfür: knockd.

Ein sehr interessantes, dafür aber relativ unbekanntes Tool zur Netzwerk"analyse" ist sing (Tarball), kurz für "Send ICMP Nasty Garbage". Auch wenn es nicht viel mehr macht als ICMP-Pakete zu versenden, beherrscht es diese Aufgabe wie kein zweites Tool. Das altbewährte ping hat dadurch vollständig ausgedient:

Was sich selbst die meisten "Fachmagazine" nicht eingestehen wollen, ist mittlerweile anscheinend sogar schon bis zum WDR durchgedrungen: in seiner aktuellen Kolumne prangert Jörg Schieb die Tatsache an, dass "Firewalls" (so man ZoneAlarm und Co. denn als solche bezeichnen kann) für den Otto-Normaluser schlicht und ergreifend zu kompiziert sind.

Natürlich versuchen die Hersteller solcher Software, diese so einfach und benutzerfreundlich wie möglich zu machen, spätestens bei Fachbegriffen wie "UDP" hört das Verständnis der meisten User einfach auf.
Wenn sich die Software dann noch erdreistet, allzu oft nachzufragen, ob bestimmte Verbindungen zugelassen oder geblockt werden sollen, wird irgendwann nur noch ohne zu lesen auf den "Ja, machet"-Button gedrückt. Dass dabei scheunentorgroße Löcher entstehen, und das gesamte Konzept ad absurdum geführt wird, dürfte jedem einleuchten.

Schön finde ich daher, dass Herr Schieb demnentsprechend auf die einfachsten Methoden (die meistens die Besten sind) wie z.B. reglmäßige und zeitnahe Betriebsystem- und sonstige Updates hinweist.
Gehen die chip, Computer Bild und Co. eigentlich auch nur grundlegend darauf ein, oder bestehen diese Magazine immer noch fast nur aus gut getarnter Werbung? Sorry, ist länger her, dass ich mal in solche Heftchen reingeschaut habe, daher möchte ich mir kein aktuelles Urteil darüber erlauben.

Vor gar nicht allzu langer Zeit war Portknocking eines der großen Buzzwords im illustren Bereich der IT-Security. Dahinter steckt ein recht simples Konzept, das es erlaubt, bestimmte Dienste erst dann freizuschalten, wenn (z.B.) eine bestimmte Anzahl Ports in einer vorab definierten Reihenfolge "abgeklopft" wurden.
Auch wenn ich bislang einige Bedenken gegen dieses Konzept habe (auf die ich im weiteren zu sprechen kommen werde), kann Portknocking natürlich ein weiterer Punkt des Sicherheitskonzepts sein, beispielsweise um portscannenden Scriptkidz noch weniger Angriffsfläche als ohnhein zu bieten. Selbst wenn es "nur" darum geht, die Logs des SSH-Daemon sauber von (immer noch grassierenden) Wurmattacken zu halten, ist diese Maßnahme immer noch erheblich sicherer, als den sshd auf einen anderen Port lauschen zu lassen.

Mein Plan, hier regelmäßig (am besten täglich) zu posten wurde Montag leider temporär durch meinen Boss zunichte gemacht.
Zur Zeit komme ich zu fast nichts anderem, als die "grandiose" Idee, für eine besondere Aktion temporär (!) und innerhalb von nicht einmal fünf Tagen (!!) eine stabil laufende, und eigentlich gut performende Internetanbindung mit 2x100 MBit durch eine Gigabit-Anbindung zu ersetzen. Zu Ausfällen darf es dabei natürlich nicht, bzw. nur für ein paar Minuten kommen...

Ich hoffe daher, mich spätestens Sonntag wieder mit einem Posting hier zurückmelden zu können...

Heutzutage dürfte es wohl kaum noch Firmen geben, die ihre Netze nicht durch eine Firewall gegen "Angriffe" aus dem Internet abschotten. Richtig gehandhabt, stellen diese auch einen recht wirksamen Schutz dar...sofern man die Tatsache außer Acht lässt, dass die meisten Angriffe immer noch von innen ausgehen.

Da der "Weg nach außen" aber meist durch eine recht restriktive Firewall-Policy "gesperrt" ist, finden sich immer wieder neue, kreative Ideen, wie diese Blockade doch zu durchbrechen ist. Ein gutes Beispiel hierfür ist das auf der letztjährigen BlackHat-Konferenz von Dan Kaminsky vorgestellte OxymanDNS (Download), das in der Lage ist, nahezu beliebigen Traffic via DNS zu tunneln.