Der steinige Weg zu SSL Zertifikaten

Schon seit einiger Zeit ist die Absicherung von Internetverbindungen für Google ein Rankingfaktor bei Webseiten und Blogs. Somit ergab sich für mich auch die Notwendigkeit meine Portale entsprechend mit SSL Zertifikaten auszustatten. Ein langer, steiniger und teurer Weg der mit Hilfe von Let’s Encrypt etwas entspannter ist.

SSL Zertifikat kaufen vs. Let’s Encrypt

Grundsätzlich gibt es mehrere Stufen von SSL Zertifikaten. Die einfachte Stufe ist die eigene Generierung eines Zertifikats und dessen Bereitstellung (Self-signed Zertifikate). Nachteilig bei dieser Methode ist eindeutig die große rote Fehlermeldung des Browsers, dass dies kein vertrauenswürdiges Zertifikat ist. Die Methode ist somit für alles außer Testsysteme ungeeignet.

Die nächste Stufe ist ein Domain SSL Zertifikat. Dies wird über eine autorisierte Stelle ausgegeben und beinhaltet eine Prüfung ob der Antragsteller auch der Besitzer der Domain ist. Das reicht für eine normale Webseite bereits aus. Für besseren Schutz lassen sich auch der Inhaber (Organization SSL Zertifikat) und der Zertifikatsinhaber (Extended SSL Zertifikat) validieren. Letzteres ist für alle Unternehmen relevant die eine grüne Adressleiste (Name des Unternehmens im Browser) benötigen, also beispielsweise Banken oder Versicherungen.

Die Zertifikate reichen dabei je nach Anbieter zwischen 2€ pro Monat bis zu einigen hunderte Euro pro Jahr UND Domain! Bei vielen Domains kommen dabei recht hohe Summen zustande. SSL Zertifikate können daher gebündelt werden (Multidomain SSL Zertifikate), dies spart ein paar Euro. Bei vielen Subdomains besteht ebenfalls die Möglichkeit ein Wildcard SSL Zertifikat zu erstellen, dies beinhaltet dann alle Domain in der Form *.SPech.de.

Ein Zusammenschluss von vielen Unternehmen hat das Projekt Let’s Encrypt gestartet. Das hochgesteckte Ziel ist die Bereitstellung einer Zertifizierungsstelle mit vollständig kostenlosen und sicheren Zertifikaten und deren automatisierte Generierung. Bei den Zertifikaten handelt es sich um Domain und Multidomain SSL Zertifikaten!

Die Einrichtung

Grundsätzlich ist der Ablauf für die Beschaffung eines Zertifikats sehr übersichtlich. Zur Bestellung wird ein privater Schlüssel und ein Certificate Signing Request (CSR) erstellt. Der CSR beinhaltet neben einigen formalen Informationen auch die Domainnamen. Der Request ist dann an die Zertifizierungsstelle zu schicken. Nach der Validierung kommt dann ein Zertifikat (CRT) zurück welches zusammen mit dem privaten Schlüssel für den Webserver nutzbar ist.

Bei virtuellen oder root Servern mit SSH Zugriff und eigener Administration ist der Prozess eher trivial. Let’s Encrypt stellt dazu alle notwendigen Dokumente und Skripte zur Verfügung. Bei gehosteten Webseiten ist die Hürde hier deutlich höher. Eine Anleitung für meinen Provider Hosteurope hat mir sehr geholfen. Da sich das Verfahren hier bei jedem Anbieter (1&1, Strato, GoDaddy, …) unterscheidet gehe ich hier nur auf meine gefundenen Probleme und Hürden ein.

Die Validierung: Entweder lassen sich Domains über DNS Einträge oder (HTML) Dateien validieren. Im ersten Versuch hatte ich die DNS Variante probiert. Leider dauert die Replikation dieser TXT Einträge analog zu A-Records auch 24-48 Stunden. So lange wollte ich dann doch nicht warten. Bei der HTML Variante muss für JEDE! Domain eine eigene Datei in einem Unterverzeichnis abgelegt werden. Dies dauert extrem lange. Zusätzlich hatte ich einige Subdomains die nicht öffentlich zugänglich sind (.htaccess). Für diese Seiten musste ich also die Konfigurationen ebenfalls anpassen damit SSL dort auch funktioniert.

Mixed Contend: Meine Webseiten sind über viele Jahre gewachsen und teilweise aus älteren Systemen überführt worden. Oft schleichen sich dort feste Verweise in der Form http://www.spech.de/.../bild.jpg ein oder Links sind fix mit http erstellt. Dies führt im Browser zu einer Warnung, dass die Seite aufgrund unsicher eingebundener Elemente nicht den aktuellen Sicherheitsrichtlinien entspricht. Entsprechend müssen alle Verweise angepasst werden.

Umleitung: Am Schluss mussten alle Verweise auf die http Version mittels Weiterleitung auf die https Variante eingestellt werden. Neben automatischen Weiterleitungen im Webserver muss diese Einstellung auch in den Content Management Systemen erfolgen (WordPress, Drupal, …).

Lets’Encrypt Automatisierung für HostEurope

Es gibt für HostEurope mittlerweile einen etwas weniger steinigen Weg zusammen mit einem Raspberry Pi (oder anderen Linux Systemen).

Auf dem Raspberry Pi certbot installieren für jessie anhand der Anleitung. Danach die Skripte von hosteurope-letsencrypt konfigurieren und ausführen. Zum Abschluss die passenden Daten in KIS hochladen.

Digitaler Minimalismus – Das papierlose Büro und Heim

Im Lauf der Zeit sammelt sich ein riesiger Berg Papier im Haushalt an. Darunter fallen Ausdrucke von Rechnungen, Verträgen, Skizzen und Notizen. Neben dem unschönen Effekt von übervollen Ordnern und Schränken sorgt diese Menge auch für eine fehlende Übersicht und lange Zeit für die Suche nach den richtigen Dokumenten. Das papierlose Büro oder auch das papierlose Heim kann hier Abhilfe schaffen. Dabei ist das papierlose Büro doch überhaupt nichts neues, nur hat es sich bisher nicht durchgesetzt. Doch die Digitalisierung ändert einiges und ermöglicht damit den Papier Minimalismus.

Klappt doch nicht?!

Das papierlose Büro wird seit Jahren versprochen und doch sammeln sich die Papierstapel weiter an. Es gibt aber mittlerweile einige Änderungen die sich diesem möglichen Ideal annähern. In den Zeiten von eCommerce und Smartphones gibt es durchaus schnelle und einfache Methoden alles zu digitalisieren. Die einzelnen Bereiche werden hier betrachtet und auch Möglichkeiten zur sinnvollen Datenablage.

Digitalisieren der Inhalte

Hier sind die wichtigsten Varianten und Quellen von Dokumenten beschrieben und wie sich diese erfassen lassen.

E-Mail und PDF

Immer mehr Einkäufe erfolgen über das Internet und die Onlinehändler haben sich bereits in vielen Bereichen von der Papiervariante der Rechnung verabschiedet. Händler wie beispielsweise Amazon verschicken ihre Pakete ohne eine beiliegende Rechnung. Diese kann nach dem Versand direkt über den Kundenbereich heruntergeladen werden. Bei anderen Plattformen kommt die Rechnung oft bereits per E-Mail. Somit lassen sich diese Rechnungen direkt digital archivieren.

Smartphone

Im Supermarkt nehmen viele Menschen den Kassenbon mit um einen Überblick über die Ausgaben zu behalten. Oft landet der Zettel dann im Portemonnaie und verblasst über die Zeit. Deutlich leichter ist hier die Nutzung einer der unzähligen Scanner Apps aus den Android und Apple App Stores. In allen Modernen Smartphone sind die Kameras ausreichend aufgelöst um klare Fotos von den Belegen aufzunehmen. Ebenfalls können normale Rechnungen auf Papier so erfasst werden. Die Bilder lassen sich dann später sichten und archivieren.

Scanner

Für eine große Menge von Dokumenten oder für das Erfassen von Texten in digitaler Form eignen sich Dokumentenscanner. Einfache Versionen ermöglichen das Einschieben der Dokumente und am Ende erfolgt die Ausgabe als Bild oder PDF. Die größeren Versionen umfassen neben dem automatischen Einzug von vielen Seiten auch den Duplex Scan, also die automatische Erfassung beider Seiten. Außerdem können diese Geräte mittels Texterkennung (OCR) durchsuchbare PDF Dateien erzeugen. Das ist besonders praktisch falls über große Datenbestände spezielle Inhalte auffindbar sein sollen.

Dokumentenablage

Die richtige Struktur der Dokumentenablage endet schnell in einer eigenen Wissenschaft. Sollen alle eigenen Rechnungen in einen eigenen Ordner? Jeder Händler? Was ist mit Verträgen? Mein Tipp ist hier mit einer einfachen Struktur starten. Aufteilen in Rechnungen (alles was zu einem gekauften Produkt gehört und irgendwann irrelevant wird) und sonstige Dokumente. In jedem der Ordner gibt es dann die Dokumente mit einer sinnvollen Namenskonvention. Das ist idealerweise etwas wie JAHR\MONAT\TAG_NAME.xyz oder JAHR\MONAT\TAG\NAME\HINWEIS.xyz. Eine Rechnung von Amazon wäre dann also etwas wie 2017\12\12\Amazon\Weinachtseinkauf.pdf oder ähnliches. Oft fallen weniger Dokumente an als man glaubt. Andernfalls können je nach Bedarf weitere Unterordner erstellt werden.

Niemals sollten die Daten jedoch nur auf einem Gerät liegen! Eine Strategie zur Datensicherung ist unabdingbar!

Jetzt dürfte dem papierlosen Büro und Heim kein Hindernis mehr im Weg stehen! Frohes Erfassen!

 

Bild: pixabay.com

Datensicherung und Backup

In Zeiten von Ransomware und Cloudspeichern war das Sichern von Daten noch nie so wichtig und gleichzeitig so einfach wie heute. Eine gute Backup Strategie hilft für den Ernstfall bei dem man hofft, dass dieser niemals eintritt. Kommt es aber doch zum Ernstfall ist ein automatisches Backup die Rettung. Das Erstellen soll so wenig Aufwand wie möglich machen und gleichzeitig sicher sein. Hier gibt es diverse Ansätze.

Strategie für die Datensicherung

Eine gute Strategie klärt die wichtigsten Punkte für eine sichere Datenverwaltung. Die folgenden Fragen stellen hier den Rahmen für die Strategie da.

  • Welche Daten müssen gesichert werden? (Persönliche Bilder, Steuerlich relevante Dokumente, …)
  • Müssen die Daten auch außerhalb der eigenen vier Wände gespeichert sein? (Im Brandfall, Diebstahl, …)
  • Ist eine Verschlüsselung notwendig?
  • Wie viele Replikationen sind notwendig?
  • Vertraue ich Clouddiensten?

Aus den Antworten kann nun die Strategie entwickelt werden. Idealerweise sollte diese auch aufgeschrieben sein!

Cloud und NAS

Anbieter wie Synology bieten Network Attached Storage (NAS) Systeme an. In diesen Geräten befinden sich mehrere Festplatten die gegen Datenverlust oft im redundanten RAID System aufgebaut sind. Fällt eine Festplatte aus können die Daten auf den übrigen Festplatten wiederhergestellt werden. Der große Vorteil von NAS System ist die einfache Einbindung in das vorhanden Netzwerk. Viele System lassen sich in das heimische Netzwerk einbinden und direkt über eine einfache Freigabe erreichen. Die Systeme bieten auch die Möglichkeit Filme und Fotos auf dem heimischen Multimediasystemen abzuspielen. Nachteilig sind hier der hohe Preis und der Umstand das die Geräte im gleichen Brandbereich stehen wie die Datenquelle. Bei einem Katastrophenfall sind im schlimmsten Fall also auch die Backups zerstört.

Wer das Glück hatte eine FRITZ!Box sein eigen zu nennen hat bereits einen sehr guten Media Server zuhause. AVM bietet NAS Funktionen für angeschlossene Festplatten an.

Clouddienste sind in den letzten Jahren wie Pilze aus dem Boden gewachsen. Neben den großen Cloudanbieter wie Microsoft (OneDrive), Google (Google Drive), Amazon (Amazon Drive) gibt es auch spezialisierte Anbieter von Cloudspeicher. Der bekannteste Vertreter ist hier sicherlich Dropbox. Viele Anbieter bieten ihren Dienst bis zu einer bestimmten Größe kostenlos an. Danach können in der Regel 1 TB für eine monatliche Gebühr erworben werden. Ein großer Vorteil ist hier die dezentrale Ablage der Daten. Außerdem sind die Daten oft leicht über mehrere Geräte zu synchronisieren. Nachteilig ist der Umstand, dass die Daten bei einem anderen Anbieter liegen. Außerdem benötigt das Hochladen der Daten eine gute Internetanbindung. Da man sich hier auf einen anderen Anbieter verlässt sollten die Daten auf mehrere Clouddienste geladen werden. Falls ein Anbieter seinen Service einstellt oder Probleme hat sind die Daten nicht verloren.

Externe Festplatten und USB-Sticks

Eine weitere Variante die Daten zu sichern sind einfache USB-Sticks und externe Festplatten. Diese lassen sich im Bedarfsfall anschließen und sicher verstauen. Dafür sind die Daten nicht ständig erreichbar. Dies kann aber auch vorteilhaft sein. Ein Verschlüsselungstrojaner erreicht nur die Systeme die online sind. Solange die Festplatten bzw. USB-Sticks nicht angeschlossen werden sind die Daten sicher vor dem Schädling.

Backup planen

Abhängig vom gewählten Sicherungsmedium müssen verschiedene dinge beachtet werden. Während die Daten bei Cloud und NAS Systeme jederzeit kopiert werden können, müssen externe Festplatten zuerst eingesteckt werden. Bei schädlichen Programmen können diese aber auf die erstgenannten Systeme auch jederzeit zugreifen. Eine gute Mischung aus verschiedenen Formen ist daher sinnvoll. Bei der Auswahl von Programmen zur automatischen Sicherung muss dies auch im Hinterkopf behalten werden. Das Backup scheitert wenn das Medium nicht verfügbar ist.

Sicherungen durchführen

Natürlich möchte niemand alle Daten regelmäßig per Hand kopieren. Hier bieten sich diverse Backup Tools an. Leider sind viele der Tools so alt, dass der Hersteller diese nicht mehr pflegt oder die Benutzeroberfläche ist ein Graus. Bisher habe ich nicht viele gute Programme gefunden. Zum einen gibt es PureSync welches in der privaten Version kostenlos ist (mit wenigen Einschränkungen) und das OpenSource Programm Toucan. Beide bieten die Möglichkeit die Daten zu sichern (Backup), Ordner untereinander abzugleichen (Synchronisieren) oder die Ordner identisch abzugleichen (Spiegelung).

Grundsätzlich ist hier das Verfahren bei allen Tools sehr ähnlich. Man wählt die Datenquelle und das Ziel in das die Dateien gesichert werden sollen. Danach erfolgt die Angabe wie oft die Daten gesichert werden sollen. Den Rest übernehmen die Programme dann automatisch.

Ein Beispiel bei mir wäre das Folgende.

  1. Rechnungen verschlüsselt sichern auf der Dropbox.
  2. Die Daten aus der Dropbox sichern in OneDrive.
  3. Die Rechnungen außerdem auf eine externe Festplatte sichern sobald diese eingesteckt wurde.

 

Bild: pixabay.com

Mobile App mit der FRITZ!Box analysieren

„Die FRITZ!Box kann zur Diagnose alle Datenpakete im Wireshark-Format mitschneiden.“ beschreibt die Hilfeseite zum Paketmitschnitt. Die Funktionen sind etwas versteckt. Die Mitschnitte sind hervorragend geeignet um zu ermitteln wie gesprächsfreudig Android Apps sind.

Daten aufzeichnen

Der Link http://fritz.box/html/capture.html öffnet den Bereich für den Paketmitschnitt. Alle vorhandenen Interfaces sind hier hinterlegt. Entweder können spezifische Zugangskanäle ermittelt werden oder sämtlicher Traffic welcher ins Internet geleitet wird. Die „Start“ Schaltfläche startet den Download einer gestreamten Datei. Nachdem genug Daten gesammelt sind ist die Aufzeichnung unbedingt über „Stopp“ zu beenden. Das Abbrechen des Downloads führt andernfalls zu einer korrupten Datei.

Analyse mit Wireshark

Wireshark ist ein sehr mächtiges Tool zur Analyse von Netzwerkaufzeichnungen (Networkdumps, tcpdumps, …). Die soeben erstellte Datei lässt sich ebenfalls öffnen. In dem Hauptfenster sind alle durchgeführten Verbindungen dargestellt. Mit Hilfe von Filtern kann der Datenstrom aufbereitet werden. Sämtliche Daten welche nicht verschlüsselt mittels TLS/SSL übertragen wurden (https) können direkt durch den HTTP Protocol Filter zur Ansicht kommen. Bei meiner Analyse nutze ich MyFitnessPal. Dieses lädt Werbung (ads) aus dem Internet nach. Ein Paket ist hier beispielsweise:

Hypertext Transfer Protocol
    User-Agent: Mozilla/5.0 (Linux; Android xxx; ANDROIDGERÄT Build/HANDYVERSION; wv) AppleWebKit/WEBKITVERSION (KHTML, like Gecko) Version/4.0 Chrome/CHROMEVERSION Mobile Safari/SAFARIVERSION\r\n
    [Full request URI [truncated]: http://ads.mopub.com/m/ad?v=6&id=EINDEUTIGEID&nv=4.5.1&dn=ANDROIDGERÄT&bundle=com.myfitnesspal.android&q=QUERYl&ll=LATITUDE2CLONGITUDE&lla=??&llf=???]

In diesem einzigen Aufruf wird der Webseite mopub.com eine ganze Menge an Daten übermittelt. Neben den Versionen und Namen des Mobilfunkgerätes enthält der Aufruf die Versionen der genutzten Browser und Toolkits. Außerdem wird eine eindeutige ID sowie die GPS Standortdaten des Gerätes übermittelt. Das Werbeunternehmen kann somit bei jedem Aufruf mein Profil deutlich besser schärfen und meine Informationen weiter aushorchen. Die nächsten Daten erhält die Webseite openx.com, ebenfalls auf Werbung und Analyse spezialisiert. Auch Google ist mittels doubleclick involviert. Viel mehr Informationen und die Gefahren gibt es unter DEF CON 22 – Anch – The Monkey in the Middle: A pentesters guide to playing in traffic.

Kali Linux auf dem Raspberry Pi

Mit Kali Linux steht eine der beliebtesten Linux Distributionen für das Penetration Testing, Netzwerkanalyse, Sniffing, Exploiting und weitere Sicherheitsanalysen für den Raspberry Pi zur Verfügung. Dank der Größe des Einplatinencomputers kann die Installation in die Rechenzentren an unterschiedlichen Standorten oder für die Vor-Ort-Analyse von Netzwerken mitgenommen werden.

Kali Linux installieren und nutzen

Kali.org stellt unter Installation von Kali ARM auf einem Raspberry Pi einen kleinen Artikel zur Installation bereit. Dort wird jedoch auf einem bestehenden Linux System als Basis aufgesetzt. Die Installation aus Windows heraus ist jedoch ebenso einfach.

Die Artikel auf meiner Einkaufsliste sind wieder eine gute Basis für den Einkauf der Komponenten für den Raspberry Pi 3.

Die Kali Linux Images für ARM Prozessoren sind auf der Download Seite zu finden.

Mit Hilfe des Win32DiskImager kann das Image auf die SD Karte kopiert werden. Die Software muss mittels Rechtsklick auf „Als Administrator ausführen“ gestartet werden. Danach wählt man das heruntergeladene ISO Image aus, gibt den korrekten!!! Laufwerksbuchstaben der SD Karte an und klickt auf „write“.

Nach dem Schreiben des Images auf die Karte ist die „Installation“ von Kali Linux erledigt. Die SD Karte muss nur noch in den Raspberry Pi gesteckt werden. Nach dem Anbringen der Stromversorgung sollte das System booten. Mit einem SSH Tool auf die IP Adresse erscheint die Anmeldemaske. Die Zugangsdaten lauten „root / toor“.

Notwendige Änderungen

Sowohl das Passwort als auch der SSH Host Schlüssel sind standardmäßig auf allen Systemen identisch. Diese müssen daher beide geändert werden! Der erste Schritt ist bereits in dem verlinkten Artikel beschrieben.

root@kali:~ rm /etc/ssh/ssh_host_*
root@kali:~ dpkg-reconfigure openssh-server
root@kali:~ service ssh restart

Die Änderung des Passwortes erfolgt mit dem bekannten passwd (Wenn passwd nicht bekannt ist sollte die SD Karte möglicherweise gleich wieder in den Müll wandern ;-)).

Wie es weiter geht

Mit der Linux Distribution sind nun eine Reihe von Programme für Analysen, Exploits und Penetration Tests installiert. In dem Artikel Securitysoftware und Scanner sind viele der Programme vorgestellt.

 

Bildquelle: KALI LINUX ™ is a trademark of Offensive Security.

Kali Linux Meme
Kali Linux Meme
Kali Linux
Kali Linux