HTTP Public Key Pinning mit Let’s Encrypt Zertifikaten

Es war mal wieder soweit. Drei Monate sind rum und mein Monitoring vermeldete: „You Certificate expires in 15 days“. Die Erneuerung war dank Let’s Encrypt kein Problem und innerhalb einer Minute durch. Den HTTP Header für HTTP Public Key Pinning anpassen war ein Kampf, da ich keine Dokumentation drüber hatte. Das hole ich jetzt nach.

Hashes erstellen

Für den Header braucht man die Base64 encoded SHA-256 Hashes der Zertifikate. Im HTTP Header müssen mindestens zwei Pins angeben und mindestens ein Pin darf nicht einem Zertifikat in der Chain matchen.
Andere Tutorials erstellen einen „Backup“ Certificate Signing Request. Da das ganze CSR erstellen und signieren lassen der Job vom Let’s Encrypt Client ist, gehe ich einen anderen Weg: Ich denke mir den dritten Pin einfach aus. Ganz sauber ist das nicht, jedoch geht es ohne zwei Pins nicht und es ist besser als gar kein Pinning.
Pin 1 wird vom Zertifikat an sich generiert, der benötigte zweite valide Pin wird vom Let’s Encrypt CA Zertifikat erstellt.

Der Let’s Encrypt Client speichert die Zertifikate und alle anderen benötigten Datein unter /etc/letsencrypt/live/>domain</. Bei mir also unter /etc/letsencrypt/live/blog.veloc1ty.de/.
In diesem Verzeichnis habe ich folgende Dateien: Read More „HTTP Public Key Pinning mit Let’s Encrypt Zertifikaten“

Linux Bridge leitet kein IPv6/ICMPv6 weiter

Zu Hause habe ich auf meinem Homeserver eine virtuelle Maschine auf der Icinga 2 läuft. Diese generiert sich anhand der MAC Adresse der virtuellen Netzwerkkarte eine Link-local-IPv6 Adresse und mit Hilfe der Router Advertisements der pfSense Firewall via SLAAC (Stateless Address Autoconfiguration) eine öffentliche IPv6 Adresse.

Nach dem Booten der Maschine funktioniert alles. Ein paar Checks, die IPv6 benötigen und an meinen Root-Server gehen werden sauber abgearbeitet. Nach einiger Zeit oder einem Prefix-Wechsel werden alle Checks plötzlich rot. Das Problem: Die Kommunikation über IPv6 ist nicht mehr möglich. Nur ein Neustart schein zu helfen.

Einschub: IPv6 tracen mit tcpdump

Meine virtuellen Server zu Hause sind alle ohne graphische Oberfläche. Wiresark ist also nicht installiert, aber tcpdump. Mit tcpdump kann man natürlich genauso arbeiten und reicht für die ersten Schritte aus. Ein Filter für die komplette IPv6 Kommunikation ist ip6. Will man sich nur auf ICMPv6 beschränken ist der Filter icmp6.

Kleines Beispiel, bei der ich ein Bridge Interface belausche:

root@home:~# tcpdump -i br1 -n icmp6
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on br1, link-type EN10MB (Ethernet), capture size 262144 bytes
12:53:24.174761 IP6 fe80::1:1 > ff02::1: ICMP6, router advertisement, length 88
12:53:30.076520 IP6 fe80::1:1 > fe80::eacc:18ff:fe7e:4f48: ICMP6, neighbor solicitation, who has fe80::eacc:18ff:fe7e:4f48, length 32
12:53:30.076959 IP6 fe80::eacc:18ff:fe7e:4f48 > fe80::1:1: ICMP6, neighbor advertisement, tgt is fe80::eacc:18ff:fe7e:4f48, length 24
12:53:32.090583 IP6 fe80::5054:ff:fe7c:5045 > fe80::1:1: ICMP6, neighbor solicitation, who has fe80::1:1, length 32
12:53:32.090808 IP6 fe80::1:1 > fe80::5054:ff:fe7c:5045: ICMP6, neighbor advertisement, tgt is fe80::1:1, length 24

Ein genauerer Blick ins Paket ist auf dem Terminal unübersichtlich. Man kann aber die Ausgabe von tcpdump zum Beispiel über einen SSH Tunnel in Wireshark pipen. Beispiel:

:~$ ssh root@home tcpdump -i br1 -U -s0 -w - icmp6 | wireshark -k -i -

Happy debugging :-) Read More „Linux Bridge leitet kein IPv6/ICMPv6 weiter“

Telekom manipuliert DNS Queries

Während meiner Downtime durch den Umzug zu HostHatch hatte ich Zeit das Zonefile für meine Domains aufzuräumen und anständig zu strukturieren.
Dabei habe ich einen Wildcard Eintrag entfernt, der zu jedem erdenklichen Prefix einfach die Haupt IPv4 und IPv6 zurück gegeben hat.

Diesen habe ich entfernt und schon kamen Probleme auf. Manche Leute kamen nicht mehr auf meinen TeamSpeak Server. Das Problem wurde schnell identifiziert:
In der Zone gab es teamspeak.veloc1ty.de, aber nicht ts3.veloc1ty.de. Das wurde zwar mittlerweile gelöst, aber bei meiner Analyse habe ich etwas interessantes gefunden.

Analyse des Problems

Trace der Queries

Bei meiner Analyse setzte ich den folgenden dig-Befehl ab:

veloc1ty@laptop:~$ dig teamspeak.veloc1ty.de

; <<>> DiG 9.9.5-4.3ubuntu0.2-Ubuntu <<>> @192.168.0.1 teamspeak.veloc1ty.de
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 28341
;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;teamspeak.veloc1ty.de. IN A

;; ANSWER SECTION:
teamspeak.veloc1ty.de. 44 IN CNAME mineralwasser.veloc1ty.de.
mineralwasser.veloc1ty.de. 44 IN A 153.92.126.45

;; Query time: 41 msec
;; SERVER: 192.168.0.1#53(192.168.0.1)
;; WHEN: Tue Apr 28 21:04:08 CEST 2015
;; MSG SIZE rcvd: 83

Es wird ein CNAME und die korrekte Adresse zurück gegeben.
Ersetzt man aber nun teamspeak durch etwas, das eigentlich nicht aufgelöst werden kann, werden fremde IPs zurück geliefert: Read More „Telekom manipuliert DNS Queries“

Wenn der TeamSpeak Mitarbeiter kommt …

… dann ist Vorsicht geboten. Außer man kennt sich aus und versucht den Spieß umzudrehen.

Was geschah

Ich war gerade auf Windows unterwegs und hab ein bisschen Banished gespielt. Parallel war ich dazu im TeamSpeak, als ich von einer Stumm geschalteten Person in der Eingangshalle angeschrieben wurde. Die Person gab sich als TeamSpeak Mitarbeiter aus und fragte mich, ob ich nicht volle Kontrolle via Admin Server Query erlangen will. Da ich ja nicht bescheuert bin und mir langweilig war dachte ich mir: „Den stielst du jetzt mal ein bisschen die Zeit“

Der TeamSpeak Mitarbeiter

TeamSpeak Mitarbeiter

Das Ziel

Volle Kontrolle auf alle virtuellen TeamSpeak-Server, die bei mir auf dem Root Server laufen. Die Zielgruppe dieses Angriffes ist meiner Meinung nach verschwindend gering. Viele Admins mieten sich ja einen Server, das heißt sie haben sowieso nicht die Read More „Wenn der TeamSpeak Mitarbeiter kommt …“

Amazon Prime Instant Video für Android

Als Amazon Prime Kunde habe ich vor kurzem die Möglichkeit erhalten viele aktuelle Serien und Filme kostenlos zu schauen – dank Amazon Prime Instant Video. Mein LG Smart TV hatte schon eine „App“ installiert, jedoch konnte ich keine der Serien auf dem PC, meinem Samsung Galaxy S4 und meinem Nexus 7 schauen. Da ich Ubuntu auf meinem PC habe ist kein Silverlight aktiv, also kann ich es nicht im Browser anschauen. Und für Android gab es keine App – bis vor kurzem. Hier mal meine Meinung nach 10 Sekunden.

Installation der App

Zurück auf Anfang. Warum nach 10 Sekunden? Ich habe auf der Startseite von Amazon folgenden Hinweis gesehen: Read More „Amazon Prime Instant Video für Android“

Kosten Flughafen BER vs. Breitbandausbau

In der Heute Show wurde vor kurzem ja wieder über den Flughafen Berlin Brandenburg oder kurz BER hergezogen. Seit knapp einem Jahr werden mir auch Steuern vom Gehalt abgezogen – und das nicht gerade wenig. Deswegen interessiere ich mich auch für was das Geld ausgegeben wird.
Der Breitbandausbau kostet ja auch sehr viel Geld. Unter Breitbandausbau verstehe ich das ausgraben der Kupferleitungen und der Tausch durch Glasfaser sowie die Neuerschließungen. Da ja auch gemunkelt wird, dass es billiger wäre das ganze Projekt abzubrechen und neu anzufangen wollte ich die Kosten vergleichen. Meine Rechercheergebnisse nach einer Stunde stelle ich jetzt mal online.

Kosten des BER

Auf der Wikipedia Seite im zweiten Absatz vom BER steht, dass die Kosten bis Ende 2014 knappe 5,4 Milliarden Euro kosten wird. Ob das bis Ende des Jahres auch so bleibt Read More „Kosten Flughafen BER vs. Breitbandausbau“

Der Unterschied zwischen (Medien-)Piraterie und „Sharing“

Copyright by endlessorigami.com Quelle: http://endlessorigami.com/comic/sharing-then-and-now/ Ich habe den Autor gefragt, ob ich es verwenden darf
Copyright by endlessorigami.com
Quelle: http://endlessorigami.com/comic/sharing-then-and-now/
Ich habe den Autor gefragt, ob ich es verwenden darf

In letzter Zeit kommt das Thema immer wieder hoch. Vor allem dann, wenn Pirate Bay die Domain wechselt oder irgendein Land das Urheberrecht verändern. Mein Problem ist, dass viele Leute mit diesem „Argument“ kommen:

Früher hieß es „Sharing is caring“, heute heißt das Piraterie

Oh mein Gott! Es ist so nervtötent! Mit diesem Blogpost will ich ein bisschen Aufräumen und vielleicht dem ein oder anderen Menschen den Unterschied nahe bringen.

Das Bild rechts habe ich vor einiger Zeit im Internet gefunden. Es soll nur ein Beispiel darstellen, denn so ganz bin ich mit der Aussage nicht einverstanden. Read More „Der Unterschied zwischen (Medien-)Piraterie und „Sharing““

Pimp my LAN: Eigenen DNS und DHCP

Dieses Tutorial ist als uns sollte nicht mehr verwendet werden.

Von meinem ISP habe ich eine FritzBox bekommen. Ich kann mich noch an eine Zeit erinnern, in der man auf „Expertenansicht“ umgestellt hat und wesentlich mehr Einstellen konnte als jetzt. Mittlerweile ist die Box ein reiner dummer Kasten, der von außen über TR-69 provisioniert wird und auch (hoffentlich) vom Provider aktuell gehalten wird.

Wie auch immer: Für Menschen, die spezielle Bedürfnisse an ihr Heimnetzwerk haben ist die Box aber etwas unhandlich. Ausschlaggebend für einen „Wechsel“ der Softwaregrundlage war, dass ich meinen Homeserver ohne CD-Laufwerk und ohne USB-Stick zur Hand aufsetzen wollte. Das geht sehr schön übers Netzwerk – aber nur wenn der DHCP stimmt und die richtigen Informationen mitschickt.
Deshalb musste eine andere Softwaregrundlage her: DNS und DHCP. Und wo hostet man sowas? Am besten auf einem Gerät, dass permanent Läuft. In meinem Fall ist es das Raspberry Pi, das per USB an der FritzBox hängt und so Strom bekommt. Das Pi übernimmt noch andere Services im LAN, das ist jedoch ein anderes Thema.

DHCP Server

Planung und Adressverteilung

Aus gründen der Einfachheit habe ich mich entschieden statische Read More „Pimp my LAN: Eigenen DNS und DHCP“

VPN als Anonymisierungstool ungeeignet

Beispiel anhand eines Anbieters

„Verstecke deine IP Adresse uns surfe anonym“. Das ist einer der fragwürdigen Aussagen des Anbieters CyberGhost. Laut eigenen Aussagen der sicherst VPN Anbieter. Unter anderem findet man diese Aussage:

CyberGhost VPN ermöglicht anonymes Surfen, erreicht durch den Austausch deiner IP-Adresse mit der Adresse des Dienste-Servers, mit dem du dich verbindest. Dadurch wird es für Webseitenbetreiber, Hacker und Organisationen unmöglich, dich auf diese Weise zu identifizieren oder sich in deine Belange einzumischen

Interessant. Im Internet wir man also nur über seine IP-Adresse eindeutig ermittelt. Dann logge ich mich einfach ins nächste WLAN Read More „VPN als Anonymisierungstool ungeeignet“

Google Play, PayPal und die super Blogeinträge

Ich wollte mir eben eine Vollversion eines GBA Emulators kaufen. Mein erster App-Kauf und schon werden mir wieder Hürden in den Weg gelegt. Da ich keine Kreditkarte habe und auch nicht vorhabe mir noch einen Bezahldienst zuzulegen wollte ich entsprechende Umwege gehen. Nach kurzem Googeln habe ich dann folgende Blogposts gefunden, die ich für absoluten Müll halte. Und weil ich gerne Kritisiere erfolgt hier mein zweiter Eintrag für heute mit purem Niedermachen :-D

Tabletblog und die Aufrufe zu Straftaten

Zuerst schon mal der Link zum Eintrag. Die Idee über einen ausländischen Shop an Geschenkkarten für den Play Store zu kommen, die man mit PayPal bezahlt ist ja ziemlich clever. Allerdings darf man die Geschenkkarten nur als Bewohner von Amerika kaufen und Read More „Google Play, PayPal und die super Blogeinträge“