OpenVPN Server auf OpenWRT Router betreiben

Vor kurzem habe ich einen Blogpost geschrieben, wie ein OpenVPN Server auf einem DD-WRT Router betrieben werden kann. Klick. Da ich in letzter Zeit häufig Probleme mit DD-WRT auf meinem TP-Link WDR4300 Router hatte, habe ich mich entschieden, wieder auf OpenWRT zu wechseln. Die folgende Anleitung funktioniert genauso auf der aktuellen „LEDE“ Version. OpenWRT bzw. LEDE sind im Vergleich zu DD-WRT etwas komplizierter zu konfigurieren, da hier einiges direkt über die Kommandozeile gemacht werden muss. Dafür hat es den Vorteil, dass es sehr modular aufgebaut ist. In der Basisversion ist nur das Nötigste inklusive Webinterface mit dabei. Komponenten wie DynDNS oder OpenVPN müssen einzeln nachinstalliert werden.

„OpenVPN Server auf OpenWRT Router betreiben“ weiterlesen

SSH Key in verschlüsseltem Container ablegen

Um sich remote mit einem Linux / Unix System zu verbinden, wird in der Regel SSH verwendet. Dabei wird eine verschlüsselte Verbindung zum Zielsystem aufgebaut. Zur Authentifizierung sollte ein SSH Schlüsselpaar verwendet werden. Dies bringt eine deutlich höhere Sicherheit als eine klassische Authentifizierung mittels Benutzername und Passwort. Denn der SSH Schlüssel wird zusätzlich mit einer Passphrase versehen. Somit handelt es sich um eine Zwei Faktor Authentifizierung. Es wird immer der Schlüssel und die Passphrase benötigt.

„SSH Key in verschlüsseltem Container ablegen“ weiterlesen

LUKS Passphrase ändern

Mit LUKS (Linux Unified Key Setup) lassen sich unter Linux standardmäßig Festplatten verschlüsseln. Für den Schutz der verschlüsselten Daten ist eine starke Passphrase zwingend erforderlich. Diese sollte wie jedes Passwort auch mal von Zeit zu Zeit geändert werden. Die Änderung der LUKS Passphrase lässt sich direkt über ein Terminal durchführen. Dazu muss das verschlüsselte Device bekannt sein. Denn dies muss bei der Aktion mit angegeben werden. Mit LUKS ist es möglich, bis zu 8 Passphrases für ein Laufwerk zu vergeben. Diese werden in eigenen Slots abgelegt.

„LUKS Passphrase ändern“ weiterlesen

VeraCrypt mit PIM nutzen

Der derzeit wohl „beste“ Fork der bekannten Verschlüsselungssoftware „TrueCrypt“ dürfte VeraCrypt sein. Einige der in TrueCrypt bekannten Bugs wurden bereits von den Entwicklern behoben. Nebenbei wurden auch einige sicherheitsrelevante Funktionen verbessert. Dazu gehören z.B. die Durchläufe (Iterationen), die zum Ver- bzw. Entschlüsseln von Laufwerken und Containern benötigt werden. Diese Anzahl wurde in VeraCrypt deutlich erhöht. Für ein Systemlaufwerk werden aktuell 200.000 und für einen Container 500.000 Durchläufe verwendet.

„VeraCrypt mit PIM nutzen“ weiterlesen

SMIME unter Thunderbird nutzen

Um Emails mit dem OpenSource Email Client Thunderbird zu verschlüsseln oder zu signieren, gibt es neben PGP das Verfahren S/MIME, welches der Mail Client direkt unterstützt. Um Emails überhaupt signieren und/oder verschlüsseln zu können, wird ein persönliches X.509 Zertifikat benötigt. Wie sich ein solches Zertifikat kostenlos erstellen lässt, habe ich hier beschrieben: Klick. Das Zertifikat muss zunächst in Thunderbird bekannt gemacht werden, um es zum Verschlüsseln bzw. Signieren zu nutzen. Das Zertifikat mit der Endung „.p12“ oder „.pfx“ kann über den Menüpunkt „Bearbeiten\Konten-Einstellungen“ importiert werden.

„SMIME unter Thunderbird nutzen“ weiterlesen

Let’s Encrypt Zertifikats Renewal bei UberSpace

Der Hoster UberSpace, stellt seinen Kunden die kostenlosen SSL / TLS Zertifikate von Let’s Encrypt zur Verfügung. Die Einbindung eines solchen Zertifikats ist denkbar einfach. Eine detaillierte Beschreibung ist hier zu finden: Klick Bei den Let’s Encrypt Zertifikate gilt zu beachten, dass diese „nur“ 90 Tage lang gültig sind und daher regelmäßig erneuert werden müssen. Hierfür könnte jetzt natürlich einmal pro Monat per Cronjob ein Update durchgeführt werden. Ich wollte jedoch eine Lösung, die mir nur dann ein neues Zertifikat erstellt, wenn das Aktuelle auch wirklich abläuft. Daher habe ich ein kleines Shell Skript geschrieben, welches die Zertifikate bei Uberspace prüft und nur kurz vor Ablauf erneuert.

„Let’s Encrypt Zertifikats Renewal bei UberSpace“ weiterlesen

SMIME unter Outlook nutzen

Um Emails mit Outlook zu verschlüsseln oder zu signieren, eignet sich das Verfahren S/MIME, da der Mail Client bereits S/MIME an Bord hat. Um Emails überhaupt signieren und/oder verschlüsseln zu können, wird ein persönliches X.509 Zertifikat benötigt. Wie sich ein solches Zertifikat kostenlos erstellen lässt, habe ich hier beschrieben: Klick Das Zertifikat muss zunächst mal auf dem Windows Rechner importiert werden, damit Outlook es auch erkennt und verwenden kann. Dazu das Zertifikat mit der Endung „.p12“ oder „.pfx“ einfach doppelklicken, damit der Installationsassistent startet.

„SMIME unter Outlook nutzen“ weiterlesen

Windows speichert Schlüssel bei Microsoft

Fangen wir mal ganz positiv mit dem Beitrag an. Verschlüsselung ist wichtig. Verschlüsselung ist gut. Verschlüsselung ist richtig. Gerade sensible Daten sollten vor unberechtigten Zugriffen geschützt werden. Diese Aussage ist nicht nur für unternehmensrelevante Bereiche zutreffend. Auch im privaten Umfeld ist es wichtig, sein digitales „Hab und Gut“ verantwortungsbewusst zu behandeln. Verschlüsselung kann in unterschiedlichsten Konstellationen eingesetzt werden. Auch für Dateien gibt es mehrere Ansätze, die in der Praxis anzutreffen sind. Microsoft bietet hier ebenfalls mehrere Lösungen für seine Produkte an. Das bekannteste und wohl am meisten eingesetzte dürfte BitLocker sein. Wie BitLocker eingesetzt werden kann, steht hier beschrieben: Klick
Sollte es bei einer komplett verschlüsselten Festplatte zu „Problemen“ kommen, wird immer ein sogenannter Wiederherstellungsschlüssel (Recovery Key) benötigt, um an die Daten zu kommen. Wenn eine mit BitLocker verschlüsselte Festplatte in einen anderen Rechner eingebaut wird, muss auch der Schlüssel eingegeben werden, da sonst die Daten nicht mehr nutzbar sind. Der Schlüssel sollte tunlichst an einem sicheren Ort aufbewahrt werden. Microsoft gibt dem Anwender hier ein paar Möglichkeiten zur Auswahl.

„Windows speichert Schlüssel bei Microsoft“ weiterlesen

SMIME unter iOS nutzen

Um Emails unter iOS zu verschlüsseln oder zu signieren, eignet sich das Verfahren S/MIME, da der Apple Mail Client bereits nativ S/MIME unterstützt. Zwingende Voraussetzung für den Einsatz von S/MIME unter iOS ist ein persönliches X.509 Zertifikat. Wie sich ein solches Zertifikat kostenlos erstellen lässt, habe ich hier beschrieben: Klick
Das fertige exportierte Zertifikat, welches im „.p12“ Format vorliegen sollte, schickt man sich am einfachsten per Email. Sollte ein Apple Rechner vorhanden sein, lässt sich auch über das „iPhone Configuration Utility“ ein Profil erstellen, in dem das S/MIME Zertifikat bereits enthalten ist. Das Profil kann dann direkt über iTunes auf das iPhone / iPad kopiert werden, ohne dass sensible Daten über das Internet verschickt werden müssen.

„SMIME unter iOS nutzen“ weiterlesen

SMIME Zertifikat zum Verschlüsseln von Emails

S/MIME ist neben PGP ein weiterer Standard, um Emails digital zu signieren und / oder zu verschlüsseln. Die digitale Signatur wird verwendet, um die Authentizität zu gewährleisten. Dies bedeutet, dass die Email auf dem Versandweg nicht manipuliert wurde. Verschlüsselt wird der Inhalt der Email, damit Dritte den Inhalt nicht lesen können. Wichtig ist hier zu wissen, dass ausschließlich der Nachrichteninhalt verschlüsselt wird. Betreff sowie die Metadaten bleiben wie auch bei PGP unverschlüsselt. Daher ist es immer ratsam den Betreff einer Email so zu wählen, dass der Inhalt nicht automatisch ableitbar ist, wenn dieser geheim bleiben soll. Genau wie auch bei PGP hat S/MIME diverse Vor- aber auch Nachteile. Ein klarer Vorteil ist die bessere Unterstützung der Mailclients. Gängige Programme wie Thunderbird, Outlook, Apple Mail etc. unterstützen S/MIME nativ, ohne zusätzliche Plug-Ins zu benötigen. Ein deutlicher Nachteil ist der Bezug der öffentlichen Schlüssel, die zur Verschlüsselung benötigt werden. Auch bei S/MIME kommt das asymmetrische Verfahren zum Einsatz.

„SMIME Zertifikat zum Verschlüsseln von Emails“ weiterlesen