iOS 13 mit neuen Anforderungen an Zertifikate

Apple hat vor kurzem die neuen Versionen für seine mobilen Betriebssysteme iOS bzw. iPadOS in Version 13 veröffentlicht. Neben einigen offensichtlichen Veränderungen, die bereits groß diskutiert wurden, gibt es auch einige Änderungen, die auf den ersten Blick womöglich nicht groß auffallen. Eine dieser Änderungen betrifft den Einsatz von Zertifikaten. Hier hat Apple einiges geändert, sodass womöglich einige selbst signierte Zertifikate, die bereits vor längerer Zeit ausgestellt wurden, nicht mehr funktionieren.

„iOS 13 mit neuen Anforderungen an Zertifikate“ weiterlesen

Open Source Firewall LuLu für macOS

Apples Betriebssystem macOS hat standardmäßig eine integrierte Firewall mit an Bord, welche die Aufgabe hat, das System vor eingehenden Angriffen zu schützen. Somit werden nicht erwünschte Anfragen von außen direkt geblockt und verworfen. Allerdings darf zu den Aufgaben einer Firewall auch durchaus die Kontrolle des ausgehenden Datenverkehrs gezählt werden. Zum einen lässt sich damit gezielt die unerwünschte Kommunikation von Diensten oder Applikationen unterbinden, zum anderen kann Schadsoftware daran gehindert werden, Daten heimlich abwandern zu lassen. Um dies unter macOS zu ermöglichen, wird eine zusätzliche Lösung benötigt. Bekanntestes Produkt dürfte die kommerzielle Firewall “Little Snitch” sein. Seit September 2018 gibt es eine Open Source Alternative eines seit Jahren in der Security Szene aktiven Entwicklers.

„Open Source Firewall LuLu für macOS“ weiterlesen

WordPress mit HTTP Security Header ausstatten

Dass WordPress zu den größten Content Management Systemen gehört, dürfte wohl unbestritten sein. Gerade ein hoher Marktanteil bringt natürlich immer das Risiko einer großen Angriffsfläche mit sich. Ein großflächig gestreuter Angriff auf kleine unbedeutende Nischensysteme ist in vielen Fällen kein lohnendes Ziel. Daher ist es natürlich auch wichtig, die eigene WordPress Installation soweit wie möglich abzusichern. Auf allgemeine Themen wie “Setze nur die Plugins ein, die auch wirklich nötig sind” oder “Gebe nur den Leuten Zugänge, denen Du auch vertrauen kannst” möchte ich in dem Artikel nicht eingehen. Hierzu gibt es bereits eine sehr große Anzahl an Beiträgen, die eine Grundabsicherung sicherstellen. Vielmehr geht es mir um ein paar Detailkonfigurationen, die im heutigen Web Betrieb aber nicht mehr fehlen sollten, um Angriffe zu minimieren.

„WordPress mit HTTP Security Header ausstatten“ weiterlesen

Linux mit Lynis analysieren und härten

Linux sorgt von Haus aus schon dafür, ein System möglichst sicher zu betreiben. Allerdings ist das immer von der Konfiguration des Systems und der installierten Pakete abhängig. Unsachgemäße Handhabung, mangelndes Wissen oder auch schlechte Dokumentationen können ein System schnell zur Angriffsfläche machen. Gerade Einplatinencomputer wie zum Beispiel ein Raspberry Pi hängen oft direkt im Internet und werden somit schnell ein Ziel für Angreifer. Neben einer Firewall, die wirklich nur den Traffic durchlässt, der wirklich erforderlich ist, aktuellen Paketen, sicheren Passwörtern und einer abgesicherten SSH Konfiguration müssen auch weitere Systemkomponenten möglicherweise gehärtet werden, um Angriffsflächen zu minimieren. Um das eingesetzte System zu analysieren gibt es mehrere Möglichkeiten. Eine davon ist das Open Source Audit Werkzeug “Lynis”. Es führt einige individuelle Tests durch und gibt Ratschläge wie das eigene System weiter abgesichert werden kann.

„Linux mit Lynis analysieren und härten“ weiterlesen

Windows Schreibschutz mit UWF

Windows wird in vielen öffentlichen Bereichen eingesetzt. Das können Rechner an Schulen, Universitäten, Behörden, Demo Räumen oder auch Thin Clients sein. Die wechselnden Benutzer und die unterschiedlich ausgeführten Aktivitäten sind also sehr abwechslungsreich und schwer zu kontrollieren. Gerade Windows ist ein Betriebssystem, welches nicht für den jahrelangen Dauereinsatz gemacht ist. Auch aus Sicherheitssicht kann ein mehr oder weniger frei zugänglicher Rechner ein Risiko darstellen. Natürlich ist es sinnvoll und wichtig, über ein vernünftiges Client Design und ein wohl überlegtes Berechtigungsmodell den Betrieb einzuschränken. Hinzu kommt noch das System “sauber” zu halten, was durchaus eine Herausforderung sein kann. Um den Administratoren solcher Rechner die Arbeit etwas zu erleichtern, gibt es unter Windows den “Einheitlichen Schreibfilter”. Die gängige Abkürzung “UWF” steht für “Universal Write Filter”.

„Windows Schreibschutz mit UWF“ weiterlesen

Firewall für Raspberry Pi mit iptabels

Für den Raspberry Pi bzw. den Banana Pi ist die Firewall iptables bereits mit an Board, jedoch nicht konfiguriert. Wer seinen Einplatinencomputer direkt im Internet hängen hat, sollte die Firewall aktivieren, um den Schutz des Systems zu erhöhen. Im Folgenden wird eine Beispielkonfiguration für eine statefull Firewall gezeigt. Diese kann je nach Einsatzzweck abweichen und erhebt keinesfalls den Anspruch auf Vollständigkeit. Es empfiehlt sich, ein aktuelles Backup vorzuhalten, um im worst case schnell wieder auf den Ursprungszustand zu kommen.

„Firewall für Raspberry Pi mit iptabels“ weiterlesen

DMZ für Cloudserver mit OpenWRT

Eigene Cloudserver, die über die heimische Leitung ins Internet gehängt werden, sind Dank Raspberry Pi, Banana Pi & Co. gerade schwer in Mode. Systeme, die im Internet erreichbar sind, bieten eine gewisse Angriffsfläche. Eine Grundabsicherung per Firewall ist hier natürlich ein Muss. Unter Linux eignet sich hier iptables, um sowohl den IPv4 als auch IPv6 Datenverkehr zu kontrollieren. Der Einsatz einer Statefull Firewall mit iptables ist hier beschrieben: Klick
Was passiert jedoch, wenn der Cloudserver doch kompromittiert wird? Da das System in aller Regel im eigenen Netz hängt und nur Ports von außen auf das System geöffnet wurden, ist es für einen Angreifer ein Leichtes, sich Zugriff auf weitere Ressourcen im Netzwerk zu verschaffen. Abhilfe schafft hier eine DMZ (Demilitarisierte Zone). Eine DMZ trennt einen gewissen Bereich vom eigenen Netzwerk. Zugriffe vom eigenen Netz in die DMZ sind erlaubt. Zugriffe von der DMZ in das eigene Netz werden im Optimalfall komplett unterbunden. Eine detaillierte Beschreibung zum Thema DMZ gibt es bei Wikipedia: Klick Wer einen Router mit OpenWRT betreibt, kann sich eine DMZ mit einem dedizierten VLAN selbst konfigurieren. Die Basis dieser Anleitung basiert auf dem entsprechenden OpenWRT Wiki Artikel: Klick Es gibt jedoch ein paar wichtige Einstellungen, die beim Einsatz eines Cloudservers nicht fehlen dürfen. Generell sind folgende Aktionen erforderlich:

„DMZ für Cloudserver mit OpenWRT“ weiterlesen

Gäste WLAN auf OpenWRT Access Point

Wer einen WLAN Access Point betreibt, möchte vielleicht auch ein extra Gäste WLAN einrichten, welches vom eigenen Heimnetzwerk getrennt ist. Gäste sollen schließlich nur Zugriff aufs Internet bekommen, ohne die heimischen Ressourcen sehen zu können. Einige Router bzw. Access Point Hersteller liefern so eine Funktionalität bereits mit der Standard Firmware mit. Bei der alternativen Open Source Router Firmware „OpenWRT“ lässt sich auch ein Gäste WLAN einrichten. Die Konfiguration hierfür muss jedoch in Handarbeit erledigt werden. Dieser Blogpost beschreibt die Einrichtung eines Gäste WLANs auf einem eigenständigen WLAN Access Point, der per Kabel mit dem Router verbunden ist. Die generelle Konfiguration eines WLAN Access Points ist im OpenWRT Wiki bereits gut beschrieben. Klick

„Gäste WLAN auf OpenWRT Access Point“ weiterlesen

Zwei Faktor Authentifizierung für WordPress

WordPress gehört zu den beliebtesten und meist verwendeten Blog Systemen. Gerade durch die große Verbreitung stehen Angriffe auf WordPress Blogs an der Tagesordnung. Daher ist es extrem wichtig, einem potenziellen Angreifer so viele Stöcke zwischen die Beine zu werfen wie nur möglich.

„Zwei Faktor Authentifizierung für WordPress“ weiterlesen

Netzwerkanalyse mit nmap

nmap ist eine Open-Source Software, um das eigene Netzwerk zu analysieren und zu überprüfen. Hierbei ist wichtig zu wissen, dass es aus rechtlichen Gründen nur im eigenen Netzwerk eingesetzt werden darf oder die Genehmigung zum Scannen eines fremden Netzes vorliegen muss! Seit 2007 gibt es den sogenannten Hackerparagraphen „§ 202c
Vorbereiten des Ausspähens und Abfangens von Daten“
, der dem Einsatz gewisser Tools nicht gerade offen gegenüber steht. Dazu gehört auch nmap. Wie soll es jedoch ohne den Einsatz solcher Tools möglich sein, sein eigenes System/Netz auf potentielle Schwachstellen zu prüfen? Nur weil ein Werkzeug eine gewisse Möglichkeit bietet, heisst es nicht, dass es auch genau dafür eingesetzt wird. Eine Kettensäge… Ach lassen wir das…

„Netzwerkanalyse mit nmap“ weiterlesen