Download

Das Video, welches ich beim Vortrag vorgeführt habe, darf ich hier vermutlich nicht veröffentlichen, da ich die Nutzungserlaubnis nur für den Vortrag in der Zone eingeholt habe. ;-)

WLAN Sicherheit ist ein Original von: Dem Commander1024 sein Blog

Die Hauptschwäche ist da gar nicht mal ein angreifbarer Algorithmus, sondern die Zeit, da der PSK aus Ignoranz, Faulheit oder Bequemlichkeit nach der Ersteinrichtung und dem Einrichten von einigen Clients nie mehr oder allenfalls sehr selten geändert wird. Da konnten und können auch keine MAC Filter etwas dran ändern.

Doch dagegen ist schon lange ein Kraut gewachsen, bekannt unter dem ominösen Buzzword: “WPA/WPA2 Enterprise”

Leider ist die Bedeutung dieses Begriffs nicht ganz eindeutig. Hinter WPA2-Enterprise können sich eine Vielzahl von Kommuniktionsprotokollen verbergen, die zwar allesamt ähnlich arbeiten aber zueinander inkompatibel sind und einige Vor- und Nachteile aufweisen. Hauptunterschied ist aber, dass der eigentliche WPA Schlüssel für jeden WLAN Client eigens ausgehandelt wird und auch periodisch ersetzt wird. Damit diese Aushandlung nicht mitgelauscht werden kann, findet sie über einen Sicheren Kanal statt.

Über die Vor- und Nachteile sowie die Funktionsweise der verfügbaren Techniken informiert dieser heise Netze Artikel. Allerdings beherrschen nicht alle Endgeräte alle möglichen Techniken, sodaß man bei einem Spektrum an vielen verschiedenen Clients, auf einen Mischbetrieb setzen muss. Zwar ist es noch immer möglich, dass ein Angreifer Traffic mitschneidet, seine Cloud rechnen lässt und den Inhalt dechiffriert, doch kann er sich mit dem Schlüssel nicht einloggen und den Internetzugang (oder aber gefährlicher: den Zugang zum LAN mit allen Informationen, die dort abzugreifen sind) missbrauchen, denn 1. hat er so nur den WPA Key dieses einen Clients bekommen und 2. ist dieser aller Wahrscheinlichkeit zu dem Zeitpunkt schon zig mal ausgetauscht worden.

Vorraussetzungen:

• ein Access Point, der WPA(2)-Enterprise anbietet
• ein freeradius Server (entweder auf dem gleichen Gerät oder auf einem anderen Rechner / Server / Embedded Device)

Leider muss man dazu sagen, dass die wenigsten Plastikrouter, eins von beidem anbieten, bei Standalone Access Point Hardware hat man häufiger noch die Chance, dass ein externer RADIUS Server genutzt werden kann. Ggf. kann man seinen Router mit Alternativfirmware wie dd-wrt oder openwrt umflashen, welche dann die nötige Zusatzfunktionalität bieten oder im Falle einer Fritzbox kann man die Funktion mithilfe des freetz Projekts nachrüsten. Ich hatte bei der Anschaffung bereits drauf geachtet, dass der TL-WA901ND diese Funktion bietet. Als RADIUS-Server (und nebenbei noch für rsnapshot Backups) kommt bei mir eine Dockstar zum Einsatz, die sich wegen der geringen Größe und dem niedrigen Stromverbrauch geradezu anbietet.

Auf dem Dockstar Gerät läuft ein minimales Debian Squeeze (nächster stable Release nach Lenny) auf dem ich freeradius direkt aus der Paketverwaltung nutzen kann. Auf älteren (ubuntu oder debian) Systemen kann es nötig sein, freeradius aus dem backports repo zu ziehen oder fix selbst zu compilieren).

Konfiguration:

Da der Access Point mit dem RADIUS Server verschlüsselt kommuniziert, muss in der /etc/freeradius/clients.conf erstmal der AP mit IP-Adresse und Shared Secret bekannt gemacht werden, umgekehrt muss im AP die IP/Port des Servers eingetragen werden.

/etc/freeradius/clients.conf

client 192.168.XX.YY/32 {
   secret    = <nicht-zu-kurzes-shared-Secret-gerne-auch-mit-Sonderzeichen-und-Zahlen>
   shortname = <Alias-Name>
}

Nun brauchen wir noch ne SSL PKI Infrastruktur, welche wir mit OpenSSL basteln (oder ggf. durch Verwendung von OpenVPN oder selbst-signierten SSL-Zertifikaten bereits haben). Konkret brauchen wir eine Certificate Authority (CA – ca.pem), ein Server Certificate + Key (server.pem, server.key) und Zufallsdaten (Symlink von random -> /dev/random). Das legen wir in /etc/freeradius/certs/ ab. Dieses Howto erklärt, wie man das händisch erledigt.

Die Benutzerdatenbank kann auf verschiedenste Arten hinterlegt werden. Von LDAP über MySQL bis hin zu einer einfachen Textdatei ist hier alles möglich, Debian und Ubuntu liefern auch gleich die nötigen Skripte zur Erstellung der Datenstrukturen mit. Einträge in der users-Datei (nur für kleine Benutzerzahlen empfehlenswert, aber dafür vollkommen ausreichend) sähen dann etwa wie folgt aus:

/etc/freeradius/users

"warrior"	Cleartext-Password := "<nicht-zu-kurzes password>"
"handy"		Cleartext-Password := "<nicht-zu-kurzes password>"
"ex-freundin"   Auth-Type := Reject, Reply-Message = "<gemeiner Text> ;-)"
"Besucher"      Cleartext-Password := "darf-auch-gelegentlich", Login-Time :="Wk1900-2300,Sa0900-2300,Su0900-2000"

Ob die Authentifizierung funktioniert, kann man testen, indem man localhost oder einen anderen Rechner in der clients.conf hinzufügt und folgendes Kommando ausführt:

radtest <username> "<password>" <IP-vom-freeradius-server> 10 "<shared secret>"

Clients konfigurieren:

Der Networkmanager von Linux hat gar keine Probleme, einfach das ca.pem Zertifikat mit angeben, Benutzer+Password angeben und man ist verbunden.

wpa-supplicant kanns auch von Haus aus, allerdings muss man das in der /etc/wpa_supplicant.conf manuell konfigurieren, wpa_passphrase ist hierbei keine sonderlich große Hilfe.

Das Nokia N900 hatte in der Version PR1.2 einen Bug, sodass man auf PEAP ausweichen musste, ob dies mit dem gerade erschienenen PR1.3 behoben wurde, ist mir (noch) nicht bekannt.

Unter Windows XP, Vista und 7 muss das ca.pem vorher manuell in den Cryptostore importiert werden, wobei Windows 7 dabei nicht in der Lage ist, den richtigen Speicherort selbst auszuwählen, da muss man dann manuell “Zertifizierungsstellen” auswählen .

Einziger Wermutstropfen bei mir zu hause ist die Nintendo Wii, die partout nur WPA(2)-PSK beherrscht. Andere Spielkonsolen oder Consumergeräte habe ich derzeit nicht im Einsatz.

WLAN: WPA2-Enterprise (EAP-TLS und co) ist ein Original von: Dem Commander1024 sein Blog

aptitude install libapache2-mod-gnutls
a2enmod gnutls
a2dismod ssl

/etc/apache2/ports.conf editieren:

<IfModule mod_gnutls.c>
 Listen 443
</IfModule>

Zwischenzertifikat / Intermediate Zertifikate einfach an das SSL-Zertifikat anhängen:

   # cat www.commander1024.de.crt sub.class1.server.ca.pem > www.commander1024.de.pem

SSL-Vhosts umschreiben:

#       SSLCertificateFile      /etc/apache2/ssl/www.commander1024.de.crt
#       SSLCertificateKeyFile   /etc/apache2/ssl/www.commander1024.de.key
#       SSLCertificateChainFile /etc/apache2/ssl/sub.class1.server.ca.pem
#       SSLProtocol all -SSLv2
#       SSLEngine On

 GnuTLSEnable on
 GnuTLSPriorities NORMAL
 GnuTLSCertificateFile /etc/apache2/ssl/www.commander1024.de.pem
 GnuTLSKeyFile /etc/apache2/ssl/www.commander1024.de.key

 ServerName www.commander1024.de
 ServerAlias commander1024.de

Den Indianer neustarten:

/etc/init.d/apache2 restart

und das wars auch schon! Nun kann man beliebig viele SSL Vhosts auf einer IP Adresse betreiben. Alle OS’e und Browser unterstützen dieses bereits nur die Windows XP TLS lib beherrscht das noch nicht korrekt, sodaß unter XP alle Browser, die im XP eingebaute TLS Library verwenden, Zertifikatswarnungen ausgeben ab dem 2. VHost. Der Firefox bringt seine eigene TLS lib mit und ist davon nicht betroffen.

mod_ssl durch mod_gnutls beim Apache2 ersetzt ist ein Original von: Dem Commander1024 sein Blog

Die allerersten Einrichtungsgegenstände der neuen Wohnung

Als ich umgezogen bin, hat Unitymedia mir einen D-LINK DIR-300 Router mitgeliefert (wie schon berichtet sogar noch vor dem offiziellen Einzugstermin :-) ) Während der Renovierungsarbeiten wurde dieser auch bereits rege vom Handy, bzw. später mit der PSP rege zum Internetradio hören genutzt, aber schon da war auffällig, dass die Musik doch relativ häufig nach 1-2 Stunden jeweils aus ging. Merkwürdig, aber 1. keine Zeit und 2. keine Mittel zum Bughuntig vorhanden gewesen.

Nach dem Einzug folgte allerdings schnell die Ernüchterung: Die Aussetzer lagen nicht am Stream-Hoster, nicht an der PSP oder dem Handy, und auch nicht an Unitymedia, denn mit nem PC, der direkt am Modem angeschlossen ist, traten diese Phänomene nicht auf.

Dazu muss ich aber auch erwähnen, dass ich in Punkto Internetverfügbarkeit und -qualität höchstwahrscheinlich etwas verwöhnt bin, da ich jahrelang vorher bei meinen Eltern einen kompletten Linux-HomeServer als Router und für diverse andere Zwecke im Einsatz hatte. Nur ist der Stromverbrauch einer solch (potenten) Kiste überhaupt nicht mit meinen finanziellen Planungen bzgl. Stromverbraucht und -kosten unter einen Hut zu bringen, da ich durch die diversen Kisten, die ich zuhause einsetze (Mediacenter, Workstation, Bastelkiste, TV) ohnehin eine happige Stromrechnung habe.

Eine schnelle Google Suche hat mich nun auf dd-wrt und openwrt aufmerksam gemacht, welche beide auf den DIR-300 geflasht werden können. Beim Durchlesen der Featureliste fand ich es zudem noch sehr spannend, dass man mit modifizierter Firmware auch Nettigkeiten wie OpenVPN darauf betreiben kann. Das Rennen machte in diesem Fall übrigens dd-wrt, der zwar nicht offen, aber für privat kostenlos ist. Die Ernüchterung folge aber bald. Der Flash-Speicher des Routers war für OpenVPN eh zu klein, der RAM arg begrenzt und die CPU für 20Mbit Durchsatz viel zu langsam, sodaß der Software Watchdog beim einfachen Runterladen bereits zuschlägt. Mit stärkerer Hardware hätte ich bestimmt Spaß an dd/open-wrt haben können.

Daraufhin habe ich mir ‘günstig’ eine Fritzbox Fon WLAN 7240 besorgt, die zwar für deutlich zuverlässigere Internetanbindung sorgen konnte, allerding in den Einstellung sehr beschränkt war, so war Traffic nur für VoIP prioritisierbar, aber auch hier nur propietäres VPN verfügbar, Das Freetz Projekt versprach da Abhilfe. Sehr schön daran fand ich, dass alles auf der Fritzbox Vorhandene bestehen bleibt und zusätzliche Software paralle ‘daneben’ (mit separater GUI) installiert wird. Leider hat AVM seine openssl-libs (welche unter der Apache License steht) verändert und den Code nicht publik gemacht (was sie durchaus dürfen), was zur Folge hat, dass jede zusätzliche Software statisch gegen eine weitere Version der libssl gegencompiliert werden muss, was im knappen Flash-ROM (16MB) schnell für Knappheit sorgt. Auch kann man die vorhandene libssl nicht durch eine Vanilla Version austauschen, da dann die AVM Tools, die SSL nutzen wollen, crashen.

Davon abgesehen, war die stark im Funktionsumfang erweiterte Fritzbox trotz aller gelösten Widrigkeiten nicht dazu zu bewegen, Laufzeiten von über 10 Tagen zu erreichen, was mich ebenfalls nicht zufrieden stellen konnte. Also musste eine ganz andere Lösung her, von der ganzen Consumer Hardware hatte ich zu dem Zeitpunkt (es waren schon mehr als 2 Monate verstrichen) die Nase voll.

Als mich ein Kumpel auf diese x86 kompatible Hardware hingewiesen hat, sah ich dann alle meine Probleme gelöst: klein, stromsparend und mehr als 4x so kräfig wie Fritzbox und co. Aus Bequemlichkeit entschied ich mich für diese Variante, da sie neben 3 LAN Ports, auch noch einen minipci für die Nachrüstung einer WLAN Karte bot, und eine Echtzeituhr samt Batterie aufgelötet hat. Mit 256MB RAM und 500MHz CPU ist der Stromverbrauch von ~5W mehr als zufriedenstellend. Nur die Software fehlte noch.

Aus vergangenen Tagen kannte ich noch die IPCop Software. Allerdings war sie zu dem Zeitpunkt hoffnungslos veraltet, 2.4er Kernel und Uralt Pakete sprachen keine deutliche Sprache für vollen Hardwaresupport, eine Google suche führte mich zu u. A. zu monowall und pf-sense, allerdings hatten mir beide zu wenig Features, weil sie auf den Unternehmenseinsatz abgestimmt sind, so Sachen wie kleiner samba File-Server, IRC bouncer, oder aber auch Musikserver fehlten mir dran.

Schließlich bin ich auf den IPFire gestoßen, ursprünglich ein IPCop Fork, der mir wegen der hübschen GUI ;-) und vor allem wegen der Addons besonders gut gefallen hat. Wie ich finde, werden hier notwendige Sicherheitsfeatures wie Firewall, Intrusion Detection und -prevention, Proxy, logische Netztrennung (WLAN, LAN, DMZ), DHCP, DNS+Relay, Logging + Graphing + (Hardware) Monitoring, VPN, NTP etc. mit Bequemlichkeiten wie Samba, FTP(e)S, IRC Bouncer. Nicht zuletzt wegen der  Optimierung für embedded Systeme wie PcEngines Alix*, Via Nano inkl. Support für OCF (exp.) und PadLock, WRAP, Soekris ist die Software für einen stromsparenden Home/SoHo Server sehr gut geeignet. Auf leistungsfähigerer Hardware ist natürlich entsprechend mehr möglich. Ich bin so begeistert von dem Stück Software, dass ich mittlerweile (wenn auch im Moment wieder weniger aktiv) Entwickler beim IPFire Projekt bin, und das eine oder andere Code Sniplet beigetragen habe. In dem Zuge möchte ich auch nochmal auf die Präsentationsfolien zum IPFire Talk hinweisen, den ich vor einiger Zeit in der Warpzone gehalten habe.

[Ja zugegeben, dieser Artikel lag ziemlich lange unveröffentlicht in der Pipeline, bis ich ihn nun endlich fertig gestellt bekommen habe ;-) ]

Router Odyssey: PC Engines Alix2D13 + IPFire Software ist ein Original von: Dem Commander1024 sein Blog

IPFire.org

Diese Nacht habe ich in der Warpzone einen Kurztalk über die IPFire Firewall/Router-Distribution beim Hack&Breakfast in der warpzone, Münsters erstem Hackerspace gehalten.

Qik-Stream/Archiv: Commander1024 – IPFire
Präsentationsfolien: IPFire Talk (.pdf)

Leider ist die Präsentation selbst nur in besserer Qualität gestreamed, aber nicht gespeichert worden :-(

IPFire Talk in der #warpzone ist ein Original von: Dem Commander1024 sein Blog

Mit diesem kleinen, handlichen Tool, lässt sich eine Anwendung auf einen bestimmten Prozentsatz der verfügbaren Prozessorleistung limitieren.

# cpulimit

Error: You must specify a target process

Usage: cpulimit TARGET [OPTIONS...]

 TARGET must be exactly one of these:

 -p, --pid=N        pid of the process

 -e, --exe=FILE     name of the executable program file

 -P, --path=PATH    absolute path name of the executable program file

 OPTIONS

 -l, --limit=N      percentage of cpu allowed from 0 to 100 (mandatory)

 -v, --verbose      show control statistics

 -z, --lazy         exit if there is no suitable target process, or if it dies

 -h, --help         display this help and exit

CPU-Last einer Anwendung unter Linux begrenzen ist ein Original von: Dem Commander1024 sein Blog

1. habe ich die Blog-Software Serendipity durch WordPress ersetzt und
2. liegt diese Seite nun auf einem anderen Server, der zwar nicht unbedingt schneller ist, aber wesentlich mehr Bandbreite hat.

Gründe für diesen Schritt waren vor Allem, dass mir meine alte Seite zu “wuselig” und unübersichtlich geworden ist. Ausserdem hat sich m. E. bei WordPress seit Version 2.6 Einiges zum Guten gewendet, so daß ich das Stückchen Software mittlerweile durchaus sexy finde, und nicht zuletzt wegen der XHTML konformen Ausgabe sogar besser als s9y.

Der Serverwechsel lässt sich dagegen ganz einfach erklären. Auf meinem HomeServer (an der DSL Leitung meiner Eltern) ist einfach die Bandbreite zu begrenzt und das Trafficaufkommen der Seite hat meine Familie zusehends beeinträchtigt. 576kbit Upstream sind halt nicht so üppig.

Vom Technischen abgesehen gibt es aber weitere Neuigkeiten, nämlich hat unsere ‘Familie’ Zuwachs bekommen ;-)

Keine Sorge, niemand ist schwanger und es gibt auch keinen plärrenden Stöpsel hier, aber 2 kleine, niedliche Ratten sind bei uns mit eingezogen.

2 auf einen Streich ist ein Original von: Dem Commander1024 sein Blog

Impressionen der Renovierungs- und Hardware-Umstrukturierungsarbeiten ist ein Original von: Dem Commander1024 sein Blog

Da ich nun aber auch einiges Besser machen möchte und nun die Möglichkeit habe, einzelne Webprojekte auf Subdomains auszulagern, statt Subpfade zu verwenden, ist es gut möglich, dass es irgendwann in nächster Zeit die eine oder andere Störung hier geben könnte oder vllt. sogar die eine oder andere Fehlermeldung zu sehen ist, gibt halt noch viel zu tun ;-)

Ich habs getan ist ein Original von: Dem Commander1024 sein Blog