Open Source Firewall LuLu für macOS

Apples Betriebssystem macOS hat standardmäßig eine integrierte Firewall mit an Bord, welche die Aufgabe hat, das System vor eingehenden Angriffen zu schützen. Somit werden nicht erwünschte Anfragen von außen direkt geblockt und verworfen. Allerdings darf zu den Aufgaben einer Firewall auch durchaus die Kontrolle des ausgehenden Datenverkehrs gezählt werden. Zum einen lässt sich damit gezielt die unerwünschte Kommunikation von Diensten oder Applikationen unterbinden, zum anderen kann Schadsoftware daran gehindert werden, Daten heimlich abwandern zu lassen. Um dies unter macOS zu ermöglichen, wird eine zusätzliche Lösung benötigt. Bekanntestes Produkt dürfte die kommerzielle Firewall “Little Snitch” sein. Seit September 2018 gibt es eine Open Source Alternative eines seit Jahren in der Security Szene aktiven Entwicklers.

„Open Source Firewall LuLu für macOS“ weiterlesen

WordPress mit HTTP Security Header ausstatten

Dass WordPress zu den größten Content Management Systemen gehört, dürfte wohl unbestritten sein. Gerade ein hoher Marktanteil bringt natürlich immer das Risiko einer großen Angriffsfläche mit sich. Ein großflächig gestreuter Angriff auf kleine unbedeutende Nischensysteme ist in vielen Fällen kein lohnendes Ziel. Daher ist es natürlich auch wichtig, die eigene WordPress Installation soweit wie möglich abzusichern. Auf allgemeine Themen wie “Setze nur die Plugins ein, die auch wirklich nötig sind” oder “Gebe nur den Leuten Zugänge, denen Du auch vertrauen kannst” möchte ich in dem Artikel nicht eingehen. Hierzu gibt es bereits eine sehr große Anzahl an Beiträgen, die eine Grundabsicherung sicherstellen. Vielmehr geht es mir um ein paar Detailkonfigurationen, die im heutigen Web Betrieb aber nicht mehr fehlen sollten, um Angriffe zu minimieren.

„WordPress mit HTTP Security Header ausstatten“ weiterlesen

Linux mit Lynis analysieren und härten

Linux sorgt von Haus aus schon dafür, ein System möglichst sicher zu betreiben. Allerdings ist das immer von der Konfiguration des Systems und der installierten Pakete abhängig. Unsachgemäße Handhabung, mangelndes Wissen oder auch schlechte Dokumentationen können ein System schnell zur Angriffsfläche machen. Gerade Einplatinencomputer wie zum Beispiel ein Raspberry Pi hängen oft direkt im Internet und werden somit schnell ein Ziel für Angreifer. Neben einer Firewall, die wirklich nur den Traffic durchlässt, der wirklich erforderlich ist, aktuellen Paketen, sicheren Passwörtern und einer abgesicherten SSH Konfiguration müssen auch weitere Systemkomponenten möglicherweise gehärtet werden, um Angriffsflächen zu minimieren. Um das eingesetzte System zu analysieren gibt es mehrere Möglichkeiten. Eine davon ist das Open Source Audit Werkzeug “Lynis”. Es führt einige individuelle Tests durch und gibt Ratschläge wie das eigene System weiter abgesichert werden kann.

„Linux mit Lynis analysieren und härten“ weiterlesen

Firewall für Raspberry Pi mit iptabels

Für den Raspberry Pi bzw. den Banana Pi ist die Firewall iptables bereits mit an Board, jedoch nicht konfiguriert. Wer seinen Einplatinencomputer direkt im Internet hängen hat, sollte die Firewall aktivieren, um den Schutz des Systems zu erhöhen. Im Folgenden wird eine Beispielkonfiguration für eine statefull Firewall gezeigt. Diese kann je nach Einsatzzweck abweichen und erhebt keinesfalls den Anspruch auf Vollständigkeit. Es empfiehlt sich, ein aktuelles Backup vorzuhalten, um im worst case schnell wieder auf den Ursprungszustand zu kommen.

„Firewall für Raspberry Pi mit iptabels“ weiterlesen

VeraCrypt und doppelte Laufwerksbuchstaben

VeraCrypt ist ein Fork der bekannten jedoch nicht mehr weiter entwickelten Verschlüsselungssoftware TrueCrypt. Im September wurden durch Google zwei kritische Sicherheitslücken in TrueCrypt (CVE-2015-7358; CVE-2015-7359) entdeckt, die dafür sorgen, dass TrueCrypt nutzlos geworden ist. Die genannten Lücken wurden kurz nach Bekanntgabe von den VeraCrypt Entwicklern mit der Version 1.15 geschlossen. Der Download ist auf der VeraCrypt Seite zu finden: Klick. Wer sich für VeraCrypt als Alternative zu TrueCrypt interessiert, kann sich hier einige Beiträge dazu durchlesen: Klick

„VeraCrypt und doppelte Laufwerksbuchstaben“ weiterlesen

Mit KNOPPIX auf Virenjagd

Viele PC Benutzer haben bereits negative Erfahrungen mit Viren jeglicher Art gemacht. Gerade in der Microsoft Windows Welt stehen verseuchte Rechner auf der Tagesordnung. Zum Schutz davor gibt es jede Menge Virenscanner, die einen Befall vor Schadsoftware verhindern sollen. Die Meinungen über Virenschutz gehen sehr weit auseinander. Persönlich stehe ich Virenscannern auch eher skeptisch gegenüber, möchte jedoch niemandem den Einsatz ausreden. Viel wichtiger als jeder Virenschutz ist der sensible Umgang mit dem Rechner. Doch was ist zu tun, wenn der Rechner doch mit Schadsoftware befallen ist, obwohl der installierte Virenwächter sich nicht zu Wort meldet? Oder wenn der Virenscanner Alarm schlägt, obwohl in Wirklichkeit alles in Ordnung ist? Solche Fehleinschätzungen nennen sich „false negative“ bzw. „false positive“ und können auch regelmäßig auftreten. Daher bietet es sich an sich eine zweite Meinung in Form eines alternativen Virenschutzes zu holen.

„Mit KNOPPIX auf Virenjagd“ weiterlesen

DMZ für Cloudserver mit OpenWRT

Eigene Cloudserver, die über die heimische Leitung ins Internet gehängt werden, sind Dank Raspberry Pi, Banana Pi & Co. gerade schwer in Mode. Systeme, die im Internet erreichbar sind, bieten eine gewisse Angriffsfläche. Eine Grundabsicherung per Firewall ist hier natürlich ein Muss. Unter Linux eignet sich hier iptables, um sowohl den IPv4 als auch IPv6 Datenverkehr zu kontrollieren. Der Einsatz einer Statefull Firewall mit iptables ist hier beschrieben: Klick
Was passiert jedoch, wenn der Cloudserver doch kompromittiert wird? Da das System in aller Regel im eigenen Netz hängt und nur Ports von außen auf das System geöffnet wurden, ist es für einen Angreifer ein Leichtes, sich Zugriff auf weitere Ressourcen im Netzwerk zu verschaffen. Abhilfe schafft hier eine DMZ (Demilitarisierte Zone). Eine DMZ trennt einen gewissen Bereich vom eigenen Netzwerk. Zugriffe vom eigenen Netz in die DMZ sind erlaubt. Zugriffe von der DMZ in das eigene Netz werden im Optimalfall komplett unterbunden. Eine detaillierte Beschreibung zum Thema DMZ gibt es bei Wikipedia: Klick Wer einen Router mit OpenWRT betreibt, kann sich eine DMZ mit einem dedizierten VLAN selbst konfigurieren. Die Basis dieser Anleitung basiert auf dem entsprechenden OpenWRT Wiki Artikel: Klick Es gibt jedoch ein paar wichtige Einstellungen, die beim Einsatz eines Cloudservers nicht fehlen dürfen. Generell sind folgende Aktionen erforderlich:

„DMZ für Cloudserver mit OpenWRT“ weiterlesen

Rootkits aufspüren mit rkhunter

Rootkits gehören wohl zu den besonders unschönen Arten von Schadsoftware. Rootkits verstecken sich meist so tief im System und können sich so geschickt tarnen, dass ein Auffinden schwierig bis unmöglich wird. Rootkits dienen einem Angreifer primär sich unbemerkt Zugriff zu verschaffen bzw. Schadsoftware nachzuladen. Je nach Rootkit Art nistet sich der Schädling in unterschiedlichen Bereichen des Systems ein. Das kann der Arbeitsspeicher sein, der Kernel oder bestehende Prozesse. Besonders spannend wird es, wenn sich ein Rootkit das BIOS/EFI eines Systems oder den Controler der Festplatte als neues Heim aussucht. Hier hilft dann nur noch der Tausch der Hardwarekomponenten. Auch Anwender, die zu Hause Ihre eigene Cloud auf einem Einplatinencomputer wie einem Raspberry Pi oder Banana Pi betereiben, sollten auf der Hut sein, um die eigenen Daten bzw. die der Freunde und Familie zu schützen.

„Rootkits aufspüren mit rkhunter“ weiterlesen

SSH Schlüssel zur Authentifizierung

Für eine sichere SSH Verbindung auf ein Zielsystem gibt es mehrere Möglichkeiten. Im letzten Beitrag habe ich erklärt, wie der Zugriff mittels „Zwei Faktor Authentifizierung“ und dem „Google Authenticator“ funktioniert. Klick Ein weiterer Weg der „Zwei Faktor Authentifizierung“ ist der Zugriff mit SSH Schlüsseln (SSH Keys) in Kombination mit einer Passphrase. Diese schützt den Schlüssel bei Verlust und fügt einen zweiten Faktor hinzu. Somit muss etwas besessen (der private Schlüssel) und gewusst (die Passphrase) werden. Gerade auf Systemen die per SSH über das Internet erreichbar sind, ist es wichtig, den SSH Zugang abzusichern. Eine weitere Alternative wäre es, den Zugriff über SSH nur über das interne Netzwerk oder einen VPN Tunnel zu erlauben.

„SSH Schlüssel zur Authentifizierung“ weiterlesen

Zwei Faktor Authentifizierung für SSH Zugang

SSH bietet Administratoren den sicheren Zugriff auf Systeme wie Server im Rechenzentrum oder Einplatinencomputer wie z.B. Raspberry Pi oder Banana Pi im heimischen Netzwerk. Oftmals wird der SSH Zugriff direkt über das Internet erlaubt. Dieses Szenario bietet eine generelle Angriffsfläche. Schon alleine wenn der Zugriff über ein nicht vertrauenswürdiges System erfolgt. Sind die Zugangsdaten einmal weg, haben Angreifer leichtes Spiel. Eine Möglichkeit ist der Einsatz von SSH Keys. Hier kommt ein asymmetrisches Verschlüsselungsverfahren zum Einsatz. Auf dem Zielsystem befindet sich nur der Public Key. Der sichere Private Key, der mit einer Passphrase geschützt ist, befindet sich unter Kontrolle des Administrators. Beim Zugriff auf das Zielsystem (Server, Banana Pi oder Raspberry Pi) wird also der Private Schlüssel sowie die zugehörige Passphrase benötigt.

„Zwei Faktor Authentifizierung für SSH Zugang“ weiterlesen