• You are currently browsing the Projekt: Neurodump blog archives for .

    • Erzeugen eines verschlüsselten File-Containers unter Linux

    Möchte ein Benutzer auf seinem Webserver oder Heimcomputer einen verschlüsselten Container mit sensiblen Daten erzeugen, so muss zuerst einmal die Datei her, wo diese Daten abgelegt werden sollen. In dem Beipsiel wird eine 2GB große Datei erzeugt. Zuerst wird mit dd eine Datei geschrieben, die mithilfe von urandom viel Schrott beinhaltet. Auf diese Weise kann nicht gesagt werden, wieviele verschlüsselte Daten sich in dieser Datei befinden. Anschließend wird mit mkdir das Zielverzeichnis erzeugt, wohin das Crypto-Device gemounted werden soll.

    sample:/# dd if=/dev/urandom of=/home/username/myfile bs=4096 count=524288
    sample:/# mkdir /home/username/myfiles
    sample:/# ls -l
    total 2099208
    -rw-r--r-- 1 root root 2147483648 Dec 10 01:16 myfile
    drwxr-xr-x 3 root root 4096 Dec 10 02:35 myfiles

    Nun muss ein Loop-Device erzeugt werden. losetup erlegt das für uns. So wird sozusagen aus einer Datei ein virtuelles Blockdevice erzeugt. Auf diesem Blockdevice kann wiederum so zugegriffen werden, wie der Benutzer es von Festplatten gewohnt ist.

    sample:/# losetup /dev/loop0 /home/username/myfile

    Nun existiert ein Blockdevice /dev/loop0. Dieses wird nun mithilfe von cryptsetup initialisiert. Die Parameter finden sich in der man-page wieder. Ab Linuxkernel 2.6.10 kann ein alternatives IV Schema zur Verhinderung einer “Watermark Attack Weakness” verwendet werden. Hierzu kann aes-cbc-essiv:sha256 verwendet werden.

    sample:/# cryptsetup -y -c aes -s 256 -h sha256 create mycrypt /dev/loop0

    Nun existiert ein neues Blockdevice unter /dev/mapper/mycrypt. Dies ist wiederum ein virtuelles Gerät, welches durch die Verschlüsselungsroutinen mit dem angegebenen Kennwort so geleitet wird, dass schlußendlich der verschlüsselte Datenstrom auf das Loop-Device /dev/loop0 gelangt, was wiederum dann in der Datei selbst landet. Das wars schon. Nun das Gerät mit einem Dateisystem ausstatten.

    sample:/# mkfs.ext3 /dev/mapper/mycrypt

    Jetzt kann das Laufwerk gemountet werden. Hierzu einfach das verwendete Dateisystem eingeben und das Laufwerk zum angegeben Verzeichnispunkt mounten.

    sample:/# mount -t ext3 /dev/mapper/mycrypt /home/username/myfiles
    sample:/# df -h
    Filesystem Size Used Avail Use% Mounted on
    /dev/sda1 15G 7.4G 6.7G 53% /
    tmpfs 100M 0 100M 0% /lib/init/rw
    udev 10M 16K 10M 1% /dev
    /dev/mapper/mycrypt 2.0G 68M 1.9G 4% /home/username/myfiles

    Soweit so gut. Nun gibt es ein neues verschlüsseltes Laufwerk im System, auf das der Benutzer nach herzenslust sensible Daten schreiben kann. Die Passphrase sollte entsprechend lang sein und zusätzlich auch eine gewisse Komplexität beinhalten. Das bedeutet, Sonderzeichen, Groß- und Kleinschreibung und Zahlen. Empfohlen wird von mir eine Länge von mindestens 30 Zeichen.

    Written on December 10th, 2011 , Interessantes, Technik Tags: , , , , , , , , , , , , , , ,
    Loop Device fehlt unter Linux

    Möchte ein Benutzer ein Loop Device verwenden, kommt es selten zur folgenden Fehlermeldung.

    sample:/# losetup /dev/loop0 /home/username/myfile
    /dev/loop0: No such file or directory

    Der Grund für diese Meldung liegt darin zugrunde, dass das Kernelmodule loop nicht geladen worden ist. Abhilfe schafft kurzerhand:

    sample:/# modprobe loop

    Nun funktionieren die Loop Devices, jedoch sind nach einem Reboot diese wieder verschwunden. Auch hier gibt es eine schnelle Abhilfe. Unter Debian/Ubuntu/Mint unter /etc/modules eintragen. (Zeile “modprobe loop” hinzufügen)

    Written on December 10th, 2011 , Interessantes, Technik Tags: , , , , , , , , , ,
    Werden bei ICQ MAC-Adressen übermittelt?

    Nein, ICQ sendet keine MAC-Adressen zu einem anderen Rechner, es sei denn, die Version würde ein wenig umgeschrieben worden sein. Aber das wäre eher das Bereich eines Trojaners. MAC Adressen werden im Ethernet für die Adressierung der Geräte verwendet. Daher hat jeder Node im Ethernet eine MAC Adresse. MAC Adressen liegen im Layer 2 des ISO/OSI Referenzmodels.

    Ungefähr das Ganze aufgemalt. Der Benutzer sendet eine ICQ Nachricht ab. Diese durchläuft schematisch gesehen alle sieben Schichten. Damit die Daten zum DSL Router kommen, müssen sie über das LAN transferiert werden. Hier gibt es nur MAC Adressen für die Adressierung. Ein Stichwort ist hier das ARP Protokoll. Um eine IP im LAN ansprechen zu können, muss das System die MAC Adresse des Systems haben. ARP sorgt dafür, dass das Betriebssystem in der Lage ist das TCP und IP Paket in ein korrektes MAC Frame zu packen, um es schlußendlich über das Ethernet zu senden.

    Der Router nimmt nun das Paket entgegen, packt es aus und findet das IP und das TCP Paket vor. Nun wertet er anhand der Routingtabelle aus, wohin das Paket nun soll. IP Masquerading liegt ebenso meist noch dazwischen, so dass zusätzlich noch das TCP und IP Paket noch umgearbeitet wird. Jetzt wandert das bei DSL in PPPoE hinein. Dort gibt es keine Adressierung mit MAC. Der Endpunkt ist ein IP basierender Concentrator. Weiter geht es durch viele IP Router durchs Internet. So endet die MAC Adresse des Quellrechners beim DSL Router des Hauses.

    Written on December 4th, 2011 , Technik Tags: , , , , , , , , , ,
    VLAN im Livebetrieb ausrollen, ohne den Betrieb zu stören?

    Geht das? Ja, kommt aber darauf an, was die Switches können und wie das Netzwerk generell aufgebaut ist. Liegt kein VLAN vor, so liegt das Netzwerk im Native VLAN. Das ist das VLAN 1. Nun können freie Ports des Switches in weitere neue VLANs gelegt werden. Die Uplinks müssen etwas angepasst werden, damit über einen Trunk das VLAN auch zum anderen Switch durchgereicht wird. Das Netzwerk, welches sich gerade im Betrieb befindet wird dabei nicht angefasst. Sichergestellt werden sollte, dass die ganze Umgebung von einem Hersteller ist. Beispielsweise nur Cisco, 3COM, HP oder Alcatel. Es sollte kein Switch existieren, welches nicht managebar ist.

    Sollte die Umgebung aus einem völligen Chaos bestehen, so muss sehr vorsichtig gebastelt und ein wenig experimentiert werden, ob die Geräte sich gegenseitig verstehen. Trunk ist zwar mehr oder weniger genau im 802.1q festgelegt, aber Alcatel hat zum Beispiel auch ein eigenes Trunkprotokoll auf ihren Geräten verbaut. Manchmal gibt es in Mischumgebungen kleine oder größere Rätsel, warum etwas nicht funktioniert. Abgesehen, dass der Admin immer ein anderes Gerät vor seiner Nase hat, was sich anders konfigurieren lässt. Was meiner Erfahrung nach ganz gut ist, dass alle Switche immer die gleiche Firmwareversion drauf haben.

    Ist sich der Admin unsicher, sollte er vorher ausprobieren, welche Auswirkungen seine Änderungen haben. Eine falsche Einstellungen hat schnell zur Folge, dass plötzlich ein System nicht mehr erreichbar ist und das kann den Livebetrieb dann schonmal zum Erliegen bringen.

    Written on December 4th, 2011 , Gedachtes, Technik Tags: , , , , , , , , ,
    Sind VLAN-fähige Switche robuster gegen Angriffe?

    Angriffe auf eine Netzwerkinfrastruktur sind vielschichtig. Ist es möglich, dass Switche, die mehrere VLANs Betreiber robuster gegen Angriffe sind? Ja, aber es kommt drauf an.

    Switche, die managebar sind, haben eine IP Adresse in einem LAN. Über diese IP loggt sich der Systemadmin ein und hat die Kontrolle über das Gerät. Natürlich gibt es an dieser Stelle auch Passwörter, die nicht jeden rein lassen, der anklopft. Doch manchmal bekommen Passwörter Beine. Gerade bei geplanten Angriffen ist die Wahrscheinlichkeit recht groß, dass das eine oder andere Passwort bekannt geworden ist. Schließlich befindet sich dann der Angreifer schon erfolgreich im Netzwerk und hat zumindest einen Zugang längst gebrochen.

    Daher ist es unbedingt erforderlich, aus Sicht der Netzwerksicherheit, dass das VLAN, womit das Switch administriert werden kann, in keinem Fall durch unberechtigte Benutzer erreichbar sein darf. Das sollte so bewerkstelligt werden, dass es separat gepatcht und in keinster Weise geroutet wird. Auch eine physikalische Verbindung zu Routern und der Außenwelt sollte vermieden werden.

    Doch warum so ein Aufwand? Wenn eine Infrastruktur angegriffen wird, so spielt der Betreiber die Kontrolle seine Geräte dem Angreifer in die Hände, sollte er Zugriff auf die Konfigurationsschnittstellen der Netzwerkinfrastruktur bekommen. Je weniger es denkbar ist, dass die Konfigurationsschnittstellen durch einen Angreifer erreichbar sein könnten, je besser.

    Ändert ein Angreifer erfolgreich die Kennwörter in einem Netzwerkgerät, so fällt die Kontrolle eines Segments in die Hände der Angreifer. Er kann dann tun und lassen, was er möchte, ohne dass dies vorerst verhindert werden kann. Da hilft nur Stecker ziehen, aber damit wird es bei einem selbst auch dunkel.

    Mithilfe von Inter-VLAN-Routing kann ein Angreifer, durch die Änderungen der Config am Switch erreichen, dass er weitere Bereiche ansprechen kann, die vorher für ihn nicht zu sehen waren. Ist das Netzwerk kompromittiert, sind die Möglichkeiten einen Angreifer zu lokalisieren sehr begrenzt. Zugleich wird der Angriff erfolgreicher. Das Monitoring kann durch einen Angreifer erheblich gestört werden, sollte er auf Router und Switche Zugriff haben.

    Das Verlagern der Konfigurationsschnittstellen in ein separates VLAN ist also eine gute Idee. Damit leisten VLAN fähige Switche mit einer sinnvollen Einstellung einen wichtigen Beitrag zur IT Sicherheit. Aus diesem Grund sollte an dieser Stelle nicht zu sehr gespart werden. Eine Schnittstelle, die nicht auf Layer 2 erreichbar ist, kann im LAN nicht gehackt werden.

    Final muss gesagt werden, dass jedes Switch technisch gleich angreifbar ist. Also alle Layer 2 Angriffe funktionieren genauso auf einem managebaren Switch, wie auch auf einem völligen normalen Consumer-Switch. Für den Schutz des Netzwerkes und der Nodes müssen weitere Komponenten installiert werden. Das sind meist Security Appliances.

    Written on December 2nd, 2011 , Interessantes, Technik Tags: , , , , , , , , , , , ,
    Festplatten sicher löschen mit DBAN und GRML

    Möchte ein Benutzer sauber seine Daten von einer Festplatte löschen, so ist DBAN die erste Wahl. DBAN gibt es in Version 1.07 und 2.2.6. Je nachdem, um welchen Rechner es sich handelt, funktioniert die eine Version besser, als die andere oder umgekehrt. Hier gilt: Ausprobieren. DBAN ist eine Linux Live CD die nichts anderes startet, als ein kleines Programm, was Festplatten sauber löscht. Da existieren einige Verfahren, die teils sehr nützlich sind, sollte es sich um sehr besondere Daten handeln. Im normalen Falle reicht der Quick Erase. Hierbei werden alle Daten mit Nullen überschrieben. Das reicht für 99,5% aller Fälle vollkommen aus. Die restlichen Kandidaten, sollten ihre Festplatte dann doch lieber in einen Ofen einschmelzen.

    DBAN steht für Darik’s Boot and Nuke. Auch Computerschädlinge, wie Viren, Trojaner und Rootkits lassen sich damit sauber entfernen. Es wird wirklich alles gelöscht. Auch die Bereiche, die bei einer Formatierung oder Neuinstallation noch übrig bleiben. Bei einem Befall ist damit DBAN auch eine gute Option.

    Natürlich geht das auch anders, etwas komplexer. Man starte die GRML Live CD und verwende dd, um mit dem virtuellen Device zero die Platte zu nullen. Der Befehl würde beispielsweise so aussehen.

    dd if=/dev/zero of=/dev/sda bs=512

    Damit wird das erste SCSI Gerät mit Nullen überschrieben. Natürlich sollte der Benutzer vorher wissen, welches Gerät er löschen möchte. Es ist schade, wenn doch wichtige Daten durch einen Tippfehler vernichtet werden. Alle Aktionen lassen sich unter keinem Umstand mehr Rückgängig machen. Daher sind ausreichende Linuxkenntnisse an dieser Stelle wichtig. Was weg ist, ist damit wirklich weg. Auch für Labore oder Experten.

    DBAN funktioniert bei sehr vielen Rechnern. Wenn das System zu neu ist, tauchen eingebaute Festplatten manachmal nicht auf, weil der Treiber im kernel fehlt. Da hilft dann nur ein Update oder die Handarbeit mit GRML.

    Hier gibts GRML zum Herunterladen
    Hier gibts DBAN zum Herunterladen

    Written on December 1st, 2011 , GRML-Box, Technik Tags: , , , , , , , , , ,

    Projekt: Neurodump is proudly powered by WordPress and the Theme Adventure by Eric Schwarz
    Entries (RSS) and Comments (RSS).

    Projekt: Neurodump

    Gedankenauszüge eines Datenreisenden