Bugs, Security-Super-GAUs und andere Bosheiten – „IT“ working as expected?

Datenklau leicht gemacht?

Bequemlichkeit und Unwissen

Wenn man sich die momentane Situation (Spectre, Meltdown, Bugs, Faktor Mensch,…) anschaut und nur ein wenig darüber nachdenkt, sollte grundsätzlich jedem klar werden, dass die Informationstechnologie NIE wirklich sicher sein kann, sobald Daten über Netzwerke ausgetauscht werden. Noch schlimmer wird es in diesem Kontext, wenn von außen (Internet) auf Geräte zugegriffen wird bzw. ein Datenaustausch über das Internet stattfindet (z.B: Surfen).

Innerhalb eines Netzwerkes ohne Außenanbindung (Internet) ist man verhältnismäßig sicher, aber…

Nehmen wir die Daten einfach mit nach Hause

Im Allgemeinen braucht es kein Netzwerk, um Datenklau zu ermöglichen. So kann innerhalb eines Betriebes auch ein Mitarbeiter Daten „absaugen“. Dies geschieht jedoch meist nicht aus einer bösartigen Absicht heraus!

Ich möchte nicht wissen, wie oft Firmendaten per USB Stick auf den heimischen PC transferiert werden, um dann auch außerhalb der Dienstzeiten an einem „Projekt“ weiterzuarbeiten.

Nebst dem Datenaustausch mit dem klassischen USB-Stick, gäbe es hier dann noch:

  • E-Mail (nach Hause)
  • diverse Online-Cloud-Services (Dropbox, Nextcloud, Onedrive…)
  • Das Smartphone als USB-Stick

Das Tolle an den Cloudservices ist, dass NIEMAND weiß, wo die Daten wirklich liegen (vielleicht irgendwo auf einer Serverfarm in den USA) bzw. was mit ihnen gemacht wird.

Passwortsicherheit – Aus Sicht des Anwenders

Anwender sehen ihr Passwort eher als lästig an. „Muss halt sein… nervt!“.

Admins, die es eigentlich gut meinen, ernten Kritik, sofern eine strikte Passwortrichtlinie zum Einsatz kommt. In diesem Zusammenhang meinen viele immer noch, dass der Zwang zur Passwortänderung binnen x Tagen zu einer Erhöhung der Sicherheit führt. Dem muss ich entschieden widersprechen!

Überspitzt formuliert wird aus dem Passwort Test1234 dann halt Test5678.

Besser ist es ein langes (12 Zeichen+) komplexeres Passwort ohne Änderungszwang zu fordern.

Viele User geben ihr Passwort an Kollegen/innen weiter, speichern Passwörter im Browser, legen sich ungeschützte Dateien an, in denen jede User-/Passwortkombination brav mitdokumentiert wird, verwenden unsichere Passwörter, weil ein sicheres Passwort zu schwer zu merken ist, …

Passwortsicherheit – Aus Sicht der Hersteller, Provider usw.

Die meisten Menschen auf dieser Erde, wollen die IT nutzen. Sie wollen sich keine Gedanken darüber machen, warum etwas funktioniert, oder wie etwas funktioniert und das ist auch ihr gutes Recht!

Beispiel „WLAN-Router Installation durch den Provider“:
Provider X stellt einen WLAN-Router zur Verfügung. Der Techniker des Providers kommt, steckt den Router an, checkt die ordnungsgemäße Funktion und geht.

Es wird weder darauf hingewiesen, dass am Router selbst noch per Standardlogin (admin, admin) eingestiegen werden kann, noch dass man bestenfalls bitte für das WLAN ein neues langes Passwort vergeben soll.

Prinzip: Hinstellen, funktioniert, tschüss – also sozusagen „fire and forget“.

Nun redet die Welt schon länger über das Internet of Things (IoT). Vernetzte Kühlschränke, Trockner, Waschmaschinen, Klorollenhalter, Zahnbürsten, Vibratoren, Türöffner, Heizungssteuerungen,…

Wozu überhaupt noch Sicherheitslücken? Der Gau ist doch auch so programmiert! Quasi: „Mit Plug&Play zum Super-GAU“

  • „Jeder“ will alles besitzen und verwenden.
  • Die Wenigsten wollen sich mit den Grundlagen auseinandersetzen um zu verstehen, worauf man achten muss.
  • „Alle“ schreien schließlich, wenn etwas passiert.

Arbeiten mit Adminrechten / Rootrechten

Man arbeitet NICHT mit Admin oder Rootrechten! Diese erhöhten Berechtigungen sind ausschließlich für die Installation / Konfiguration zu verwenden und nicht im „daily-business“.

(Ich kenne zig Systemadmins die permanent mit Adminrechten unterwegs sind – ein NO GO!)

Updates

Softwareupdates können Nebenwirkungen haben, stimmt. Dies wurde in der Vergangenheit leider viel zu oft durch MS vorgemacht. Dennoch sind sie ein notwendiges Übel.

Unter „Linux“ läuft dies meiner Erfahrung nach problemlos(er) ab. Ein Riesenvorteil gegenüber Windows ist, dass sämtliche installierten Pakete über die Paketverwaltung aktualisiert werden können. (Einfacher geht es einfach nicht mehr!)

Generell sollten Updates immer zeitnah eingespielt werden!

Meltdown und Spectre

Unterm Strich ein ziemlicher GAU, ja. In Summe jedoch nur ein weiterer Fingerzeig, dass die IT ganz einfach nicht sicher ist!

Fakt ist, dass:

  • Es die Sicherheitslücken schon Jahrzente gibt.
  • Ein Ausnutzen der Sicherheitslücke nicht protokolliert wird.
  • Intel meint, dass sich die Prozessoren „as expected“ verhalten.
  • AMD weniger betroffen ist.
  • der Anwender „übrigbleibt“, wenn etwas passiert.

Wie kann man eigentlich ausschließen, dass es in den vergangenen Jahrzehnten nicht bereits unzählige Übergriffe gegeben hat?

Hilft nur patchen, patchen und nochmals patchen…

Details: https://www.golem.de/news/updates-wie-man-spectre-und-meltdown-loswird-1801-132125.html

 

Fazit

Eine Verbesserung der Gesamtsituation kann nur dann erreicht werden, wenn möglichst flächendeckend ein gewisses Grundverständnis für die IT geschaffen wird. (Bsp: Passwörter sind nicht lästig, sondern in vielen Fällen als letzte Bastion zu sehen. Ein Kühlschrank, der von überall aus dem Internet erreichbar ist, ist nicht cool!).

Die Kommunikationskultur der Hersteller in Richtung der Verbraucher MUSS verbessert werden (Transparenz!)

Sicher war die IT noch nie!

A1 Cube statische IP Adresse APN

Vor kurzem habe ich mich damit beschäftigt, wie ich denn die mir zugewiesene statische IP beim A1 Internettarif „Cube S – nur Sim“ nun auch wirklich zugeordnet bekomme. Nach der problemlosen Aktivierung der Simkarte und dem Einstecken selbiger in den dafür vorgesehen Simkartenslot meines TP-LINK 4G Routers, konnte ich auch schon lossurfen.

Allerdings offenbarte mir der Router eine offizielle IP, die nicht der IP entsprach, die ich von A1 zugewiesen bekommen hatte.

Ein erster Reflex war die Kontaktaufnahme mit dem Kundendienst. Nach einigem hin und her, war der Supporter davon überzeugt, dass es an der aktivierten A1 Firewall liegen müsse.

„…ich deaktiviere die Firewall, dann starten Sie bitte den Router neu und dann passt das…“

…leider passte das dennoch nicht.

Es muss doch einen eigenen APN für statische IPs geben… Google + die korrekten Schlagworte bringen den Erfolg:

A1 Einstellungen statische IP LTE

  • APN Type: static
  • APN: fixip.a1.net
  • Username:ppp
  • Password: ppp
  • Authentication: CHAP

…und schon klappt es auch mit der statischen IP.

 

Starre Vorgaben versus Flexibilität? Exchange vs. Opensource Groupware

Ich habe mich in den letzten Wochen relativ intensiv mit der Groupwarelösung Kopano auseinandergesetzt. Dabei habe ich sicher bei Weitem nicht alles ausgekostet. Nun führten mich meine Gedanken im Zuge dessen wiedereinmal zur Frage, was im Grunde genommen für und gegen eine Opensourcegroupwarelösung spricht.

Andersrum gefragt: Wieso braucht man Exchange?

Aus der Hüfte geschossen, würde ich sagen: „Ich weiß es nicht… mir fällt nichts ein.“

Irgendwelche Behauptungen in den Raum zu stellen, ist natürlich immer leicht, deshalb versuche ich im Folgenden einige Aspekte zu beleuchten. Es würde mich freuen, wenn daraus eine (Kommentar)diskussion entsteht. (…sofern modsecurity gnädig ist).

MS Exchange (aktuell 2016)

Softwareanforderungen

Ohne Frage, ist Microsoft-Exchange ein rundum ausgereiftes Produkt, das Unmengen an Funktionen liefert. Es tut was es soll. Es ist ganz einfach das Standardprodukt in der Groupwarewelt.

Eingesetzt wird es innerhalb einer Active Directory Domain. Der hierfür notwendige Domänencontroller benötigt MS Windows Server  ab Version 2008. (Exchange wird nicht auf dem DC installiert!)

Es wird empfohlen, dass Exchange nur auf Mitgliedsservern installiert wird. Unterstützt wird MS Windows Server ab Version 2012. Die IIS Komponente für die Nutzung von Outlook Web Acces ist bereits inkludiert.

Dies gilt auch für die Datenbank, die für Exchange notwendig ist.

Wenn man die gesamte Funktionalität von Exchange auskosten will, muss man MS Outlook einsetzen. (Mindestens Version 2010 inkl. KB 296525).

Outlook Web Access ermöglicht die Nutzung der Groupware per Webbrowser.

Hardwareanforderungen

  • Mindestens 8 GB Ram / bei Edge-Transport mindestens 4GB Ram
  • Mindestens 30GB+ Festplattenspeicher für die Exchange-Installation

Notwendige Lizenzen / Software

Server 2016

Annahme: Physischer Server mit 2 CPUs und 8 physischen Kernen / CPU. (Entspricht der Minimallizenzierung nach Cores = 16 Cores.)

  • 1x Server Lizenz 2016
  • x-mal Benutzerzugriffslizenzen / Gerätezugriffslizenzen Server

Wird nur die Hyper-V Rolle installiert, dürfen 2 VMs mit Server 2016 auf dem Host betrieben werden.

Die Konfiguration könnte (minimal) so aussehen:

 

1x VM Server 2016 Domänencontroller
1x VM Server 2016 (Domainmember) für Exchange

Exchange 2016

  • 1x Lizenz für Exchange
  • x-mal Benutzerzugriffslizenzen / Gerätezugriffslizenzen Exchange

Kopano

Softwareanforderungen

Als Betriebssystemplattform kommt eine kostenlose Linuxdistribution zum Einsatz, die die Datenbank (MySQL, MariaDB, …)  und den Webserver (Apache) mit im Gepäck hat.

Hardwareanforderungen

Kurz und bündig mit einem Ausschnitt aus einer Grafik (Quelle: Kopano) veranschaulicht.

Notwendige Lizenzen / Software

In der Community Edition kann Kopano kostenlos eingesetzt werden.

Im  Firmenumfeld bietet es sich jedoch an, eine Subscription abzuschließen. Die Kosten richten sich hier nach der Anzahl der User und nach der Ausstattung des Kopano Paketes.

Fokussiert auf die Serverkomponenten der Groupware (Linuxserver / Kopano + Module) gibt es also keine Kosten für Einzellizenzen, Serverlizenzen, Clientzugriffslizenzen, Corelizenzen, Lizenzen zum Töten, erröten…

Zitat:

„Die Serverlizenzkosten / Cals etc. hat man im Firmenumfeld doch immer! Es sind mehrere Windows Domänencontroller und x Windows Clients im Einsatz“.

Stimmt sicher, will ich auch gar nicht abstreiten. Die Exchange Lizenzkosten spart man sich aber!

Fazit

Warum bin ich der Meinung, dass Opensource Groupware, wie zum Beispiel Kopano, ganz einfach die bessere Wahl ist? Warum muss es nicht immer gleich Exchange sein, nur weil  es ja „die Anderen auch alle so machen“ ?

  1. Keine Lizenzgebühren, nur eine Subscription (oder gratis community-edition).
  2. Keine komplizierte Lizenzpolitik
  3. Selbst hosten auf einem günstigen Rootserver möglich
  4. Nicht abhängig von MS-Server-Struktur
  5. Stand-Alone-Installation möglich
  6. Somit geringe Kostenbelastung für Unternehmen
  7. Unabhängigkeit von den „Big Playern“
  8. Komplett flexibler, modularer Aufbau
  9. Keine starren Vorgaben, man macht sich die Welt, wie sie einem gefällt!
  10. Opensource = Mehraugenprinzip = Sicherheit
  11. Annähernd freie Wahl der OS-Plattform
  12. Ersatz von Outlook@Desktop via Deskapp

Ehrlich gesagt finde ich keine Argumente, die gegen eine Groupwarelösung wie z.B. Zarafa, Kopano etc. sprechen. Es läuft und läuft und läuft und läuft…

 

 

Installation: Kopano der „neue“ Stern am Groupwarehimmel – Teil 3

Und weiter gehts… Teil 1 und Teil 2 der Kopanoinstallation sollten erledigt sein. Aktuell sind die Verbindungen, die zu Kopano aufgebaut werden noch nicht verschlüsselt, da das http-Protokoll verwendet wird.

Dies bedeutet, dass sämtliche Passwörter im Klartext über die Leitung gehen. Sehr unschön und deshalb unbedingt zu beheben!

SSL-Zertifikat

Für die Verschlüsselung der Verbindung, benötigt man ein SSL-Zertifikat. Variante 1 wäre, sich ein solches Zertifikat selbst zu erstellen. Variante 2 wäre, ein Zertifikat zu kaufen.

Variante 1 (self-signed): Kostet nichts, jedoch werden Internetbrowser und andere Endgeräte beim Verbindungsaufbau meckern.

Ein solches Zertifikat wird so zusammengebaut:

openssl genrsa -des3 -passout pass:x -out kopano.pass.key 4096
openssl rsa -passin pass:x -in kopano.pass.key -out kopano.key
rm kopano.pass.key
openssl req -new -key kopano.key -out kopano.csr

Nach Eingabe des letzten Befehles, werden einige Details abgefragt. Am Wichtigsten ist die Frage nach dem common name dieser MUSS entsprechend dem FQDN des Servers  befüllt werden, auf dem Kopano läuft.

Und nochmals in die Konsole:

openssl x509 -req -days 1095 -in kopano.csr -signkey kopano.key -out kopano.crt

Das .key-File und das .crt-File werden anschließend in die dafür vorgesehenen Ordner verschoben.

mv kopano.crt /etc/ssl/certs

 

mv kopano.key /etc/ssl/private

Apache ssl aktivieren

Kurz und schmerzlos.

a2enmod ssl
service apache2 restart
service apache2 status

vHost anpassen

Kopano + Postfix werden exklusiv auf meinem Server betrieben (es läuft sonst kein vHost). Die Konfiguration findet deshalb direkt in der /etc/apache2/sites-available/000-default.conf statt.

Grundsätzlich leite ich alle Anfragen die auf Port 80 an den Server gerichtet werden auf die HTTPS-Seite um.

Innerhalb des *.80er Virtualhost-Eintrags, richte ich eine permanente Umleitung ein:

Redirect / https://<FQDN Kopano Server>/

Danach erstelle ich im File 000-default.conf einen weiteren vHost. Dieser ist für die SSL Anfragen zuständig:

<Virtualhost *:443>
ServerName <FQDN Kopano Server>
ServerAdmin hostmaster@domain
DocumentRoot /var/www/html

 

#SSL Zertifikate
SSLEngine on
SSLCertificateFile /etc/ssl/certs/kopano.crt
SSLCertificateKeyFile /etc/ssl/private/kopano.key

 

#SSL Logging
LogLevel info ssl:warn
ErrorLog ${APACHE_LOG_DIR}/kopano_ssl_error.log
CustomLog ${APACHE_LOG_DIR}/kopano_ssl_access.log combined
</VirtualHost>

Apacheserver neu starten…

service apache2 restart

SSL-Check

Es ist an der Zeit, den URL https//:<FQDN>/webapp aufzurufen. Ist das Zertifikat self-signed, wird der Browser eine Fehlermeldung ausgeben. (Es muss eine Ausnahme erstellt werden).

Wie im Screenshot leicht erkennbar ist, wird ein Zertifikatsfehler angezeigt (hier im IE). Dieser Fehler wird durch das self-signed Zertifikat ausgelöst. Die Verbindung ist dennoch verschlüsselt!

SSL-Variante 2 – Ein Zertifikat von einer CA kaufen. Die Implementierung eines gekauften SSL Zertifikates, läuft im Großen und Ganzen gleich ab, wie bei Einbindung eines self-signed Zertifikates.

Gegebenenfalls muss jedoch noch ein Rootzertifikat eingebunden werden, dass von der jeweiligen CA bezogen werden kann.

Bsp:

SSLCaCertificateFile /etc/ssl/certs/RootZertifikat.crt

Ich empfehle hier bewusst keine CA (Zertifizierungsstelle). Bitte googeln.

SSL Done! 😉

Deskapp im Einsatz

Die Standarddeskapplikaton für Emails unter MS Betriebssystemen ist Outlook. Im Arbeitsalltag ist dies (leider) annähernd selbstverständlich.

Hierbei scheint ein funktionierendes „Senden an… -> Emailempfänger“ das absolute Killerkriterium zu sein. (Zumindest meiner Erfahrung nach).

Wenn man „seinerzeit“ Zarafa mit Hilfe der Webapp verwendete und keinen Emailclient einsetzen wollte, gab es dieses Feature einfach nicht.

Aber…

Mit Kopano kam die Deskapp. Die Deskapp ist genaugenommen ein adaptierter Chromium Browser, der sämtliche Funktionen der Webapp beinhaltet.

Der Clou dabei? — „Senden an Emailempfänger“ funktioniert damit!

Bye Bye liebe Standard-Mailclients!

Download /  Einrichtung / Start der Deskapp

Wie alle anderen Komponenten auch, kann die Deskapp von https://download.kopano.io/community auf den Rechner gezogen werden.

Nach Installation und Aufruf der Deskapp, muss ein neues Profil angelegt werden.

Deskapp up and running…

Definiert als Standard-Mail-App

Kopano-Files (Einbindung Cloudspeicher)

Herunterladen und entpacken des Modules:

cd /tmp
wget https://download.kopano.io/community/files:/files-2.1.0.74-Debian_8.0-amd64.tar.gz

 

tar xvfz *.tar.gz
cd files-2.1.0.74-Debian_8.0-amd64/
dpkg -i *.deb
apt-get -f install
dpkg -i *.deb

Falls man in der Webapp angemeldet ist, bitte abmelden und erneut anmelden, damit das Modul aktiv wird. (Es sollte im oberen Bereich – blaue Leiste – mit Namen FILES aufscheinen).

Über das Menü: Einstellungen -> Files (+ Add Account), kann ein Account (z.B. von Nextcloud) eingebunden werden.

Status OK

Clouddrive eingebunden

Z-Push

Sicher kein „Unbekannter“ für Zarafauser. Z-push sorgt dafür, dass die Groupwaredaten den Weg auf das Smartphone finden. Um dies zu bewerkstelligen, emuiert es das ActiveSync Protokoll. (Und das macht es extrem gut.)

Ich gehe hier nicht auf jeden Schritt ein, da die Doku von Kopano wirklich alles abdeckt, was das z-push-Herz begehrt.

Wichtig ist u.a. folgende Info:

To encrypt data between the mobile devices and the server, it’s required to enable SSL support in the web server.

Keep in mind that some mobile devices require an official SSL certificate and don’t work with self signed certificates. For Windows Phone and Windows Mobile you might need to install the certificates on the device

Heißt soviel wie:

  • Verschlüsselte Verbindungen benötigen SSL Support (erledigt)
  • Das SSL-Zertifikat sollte ein offiziell anerkanntes SSL Zertifikat sein, da es u.U. zu Problemen mit z-push kommen kann, wenn man ein self-signed Zertifikat verwendet. (die Konfiguration in diesem Artikel, verwendet ein self-signed Zertifikat.)
  • Windows Phone / Mobile Nutzer müssen das Zertifikat eventuell auf dem Mobilgerät installieren, damit es funktioniert.
  • Mit einem offiziellen SSL-Zertifikat, gibt es keine Probleme mit z-push

Mobile Device Management (mdm)

Das letzte Modul, das ich kurz besprechen möchte ist das „Mobile Device Management“ – kurz mdm. Mittlerweile sollte klar sein, dass man das komprimierte File wieder über https://download.kopano.io/community/ beziehen kann.

Der Installationsvorgang ist bitte ebenso – wie bereits bekannt – zu vollziehen.

cd /tmp
wget https://download.kopano.io/community/mdm:/mdm-2.1.0.20_16-Debian_8.0-all.tar.gz
tar xvfz mdm-2.1.0.20_16-Debian_8.0-all.tar.gz

cd mdm-2.1.0.20_16-Debian_8.0-all
dpkg -i *.deb
apt-get -f install
dpkg -i *.deb

Konfiguration

Die zu erledigenden Anpassungen, halten sich sehr stark in Grenzen.

vim /etc/kopano/webapp/config-mdm.php

Die Datei sollte nach der Anpassung so aussehen, wobei der Wert des PLUGIN_MDM_SERVER dem FQDN des Kopanoservers entsprechen muss. (mit localhost bzw. 127.0.0.1 hat es bei mir nicht funktioniert).

Verwendung

In der Webapp -> Menü Einstellungen -> MDM, sollten spätestens nach einem Klick auf den Button „Refresh“ alle Geräte / Programme aufscheinen, die per z-push mit dem Server (Mailkonto) synchronisieren.

Mit mdm kann somit per Webapp Einfluß auf die Devicesynchronisierung genommen werden.

Schlussworte

Ich hoffe, ich konnte mit meinen 3 Artikeln zum Thema „Kopano“ einen kleinen Einblick in die Leistungsfähigkeit dieser Groupwarelösung bieten, obwohl ich nicht alle der vorhandenen Module besprochen habe.

Vielen Dank für das Interesse!

Hier gehts zu Teil 1 …

 

 

 

1 2 3 28