An sich wollte ich 5G noch nicht nutzen. Nachdem ich aber ein Martyrium mit meinem ehemaligen Anbieter (Drei) hinter mich gebracht hatte (Vorspiegelung falscher Tatsachen, Verkauf von Produkten, die gar nicht zur Verfügung stehen etc.) und nun beim Mitbewerb gelandet bin, hab ich mir einen 5G Tarif geleistet. Mit im Paket ist ein ZTE MC801A. Das gelieferte Paket war schnell ausgepackt und installiert.
Wenn wir uns ehrlich sind, reicht wohl für die meisten Anwendungen eine Downloadgeschwindigkeit von 80-100Mbit – zumindest dann, wenn man nicht mehrere Personen „an der Leitung hängen hat“. Mein Zugang sollte aber 300Mbit Down- und rund 50Mbit Upload liefern.
Ich staunte nicht schlecht. 300Mbit Downloadrate und rund 20Mbit Upload. Allerdings hatte der Upload eine sehr hohe Latenz (bis zu 400ms). An diesem Punkt hatte ich mir noch nicht wirklich etwas dabei gedacht.
Nextcloud auf einem Miniserver – Uploadkatastrophe durch Uploadlatenz
Trotz der verhältnismäßig hohen Uploadrate, konnte ich meinen Augen nicht trauen, als ich versuchte einen Upload (von extern) auf meine selbst gehostete Nextcloudinstallation durchzuführen. 3kb/s, 10kb/s, 50kb/s…. Kann ja nicht sein. Spätestens hier hätte mir auffallen müssen, dass irgendetwas nicht stimmen kann. Dummerweise habe ich den Fehler bei meiner Nextcloud-Installation gesucht und ein paar Tage später aufgegeben.
5G Antennen müssen her
Gar nicht unbedingt wegen des Uploads, sondern einfach um den Empfang zu optimieren, habe ich mich 2 Wochen später dazu entschlossen 5G Antennen anzuschaffen.
Externen Antennenanschluss des ZTE MC801A aktivieren
Bezüglich dieses Themas gehen die Meinungen auseinander. Manche meinen, dass man diese Option (externe Antennen) im versteckten Menü des Routers nicht aktivieren muss und 5G Antennen, bei entsprechendem 5G Tarif & Empfang automatisch aktiviert werden, andere allerdings pochen auf das Aktivieren der Antennen.
Bei mir war es so, dass ich nach Anschluss der Antennen (ohne den Antenna Switch) zu nutzen, kaum einen Unterschied bemerkt habe. Nach Aktivierung der Option und einem Neustart des Routers jedoch, gab es einen eklatanten Unterschied (positiv gemeint!)
Das Menü findet man via: http://192.168.252.254/index.html#ant_switch nachdem man sich auf dem Router eingeloggt hat (einfach #ant_switch an die Adresse dranhängen)
Anmerkungen:
Die IP Adresse des Routers kann natürlich variieren und hängt von euerer Konfiguration ab.
Ich habe dann nicht mehr versucht, den Antenna-Switch wieder zu deaktivieren und erneut zu testen. Vielleicht habt ihr ja da entsprechende Erfahrungswerte?
Niedrige Latenz nach Restart & Antenna-Switch-Aktivierung
Durch die Außenantennen & Aktivierung des Antenna Switch & Neustart wurde das Signal verbessert. Am Wichtigsten war jedoch, dass mein Upload dadurch eine um Welten bessere Latzenz erreicht hat (30-40ms), was zur Folge hatte, dass auch meine Nextcloud-Uploads entsprechend der Uploadgeschwindigkeit futschten.
Auch, wenn das Thema absolut nichts Neues mehr ist, möchte ich kurz auf die Thematik der immer wiederkehrenden Trojanerwellen zu sprechen kommen. Vielleicht hilft es ja ein wenig, die Sinne zu schärfen und einer Infektion entgegen zu wirken.
Emotet und diverse Cryptolocker sind nach wie vor sehr präsent in diversen Fachzeitschriften / im Internet und sorgen bei so manchem Administrator für Gänsehaut. Doch wie kann man sich die „boshaften Zeitgenossen“ eigentlich einfangen?
Infektionswege und Gegenmaßnahmen
Anhänge in Emails
Im Falle diverser Cryptolocker (Trojaner) und auch bei Emotet, wird meistens auf das altbekannte Medium „Email“ zurückgegriffen. Die Vorgangsweise ist also im Großen und Ganzen gleich geblieben, wie in früheren Jahren. Mit einem großen Unterschied: Die „bösartigen Mails“ sind heutzutage in perfektem Deutsch formuliert und sogar auf das Ziel / die Zielgruppe zugeschnitten.
So kann es gut sein, dass man ein Mail im Posteingang vorfindet, dessen Inhalt (ggf. der Anhang) einem gerade aktuellen Tätigkeitsfeld, einem laufenden Projekt, einer Stellenausschreibung etc. entspricht.
Der Empfänger soll sich sicher fühlen. Ganz nach dem Schema: Den Absender kenne ich, der Kontext ist bekannt, da kann nichts passieren. Das Mail / den Anhang kann ich ohne Bedenken öffnen!
Makros in Officedokumenten
Ein Makro, ist in Officedokumente eingebetteter Code, der im Hintergrund diverse Anweisungen ausführt. Eine normale Word- oder Exceldatei, die nur Text und Grafiken enthält, wird den Anwender NIE auffordern, die Makros zu aktivieren!
Man erhält ein Mail mit einem Officedokument, welches nach dem Öffnen darum ersucht, die Makros zu aktivieren. Die Aufforderung zum Öffnen kann z.B. so aussehen
ACHTUNG bei dieser Meldung! Bitte nicht auf Inhalt aktivieren klicken!
Das Ganze geht auch noch etwas aufgehübscht:
Tipp 1
Sofern keine Makros in MS Office verwendet werden, können die Makros auch komplett deaktiviert werden =Alle Makros ohne Benachrichtigung deaktivieren.
Die Makrosicherheitseinstellungen sind im Sicherheitscenter von Word/Excel/Powerpoint zu finden und müssen separat für jede einzelne Anwendung (Word, Excel…) konfiguriert werden!
Datei -> Optionen -> Sicherheitscenter (Trust Center) -> Einstellungen für das Sicherheitscenter -> Makroeinstellungen
Die Makrosicherheit von Office sollte zumindest so konfiguriert werden, dass vor dem Ausführen von Makros nachgefragt wird (=Standardeinstellung). Der genaue Wortlaut dieser Einstellungen lautet: Alle Makros mit Benachrichtigung deaktivieren.
Es geht auch im ZIP und PDF Format
Abgesehen von oben erwähnten Officedokumenten, kann es natürlich auch vorkommen, dass man Dateien im ZIP Format erhält, die -in entpackter Form- ein Officedokument beinhalten. Auch PDF-Dateien, die wiederum einen Link enthalten sind möglich
Es müssen nicht immer Anhänge sein
Nicht immer ist ein Anhang der Wegbereiter einer Infektion! Ab und zu werden auch Links in Emails eingebettet, die dann wiederum auf Seiten führen, die Dateien mit Schadcode enthalten können. Diese Mails sind mittlerweile in perfektem Deutsch formuliert und kommen von vermeintlich bekannten Absendern (in untenstehendem Fall, kam die Mail -auf den ersten Blick- von einem bekannten österreichischen Energielieferanten):
Tipp 2: Sicherheitsaktualisierungen zeitnah einspielen
Auch wenn vielen bekannt sein dürfte, dass es in letzter Zeit mit Microsoft so einige Updateprobleme gab, sollte man unbedingt sämtliche vorhandenen Sicherheitsaktualisierungen einspielen, sobald diese veröffentlicht worden sind.
Ich spreche hier nicht nur von MS-eigenen Aktualisierungen, sondern auch von diversen Updates für z.B. Java, Flash, PDF-Viewer etc.
Für Windowsnutzer heißt das vor allem: Den Windowsupdatedienst NICHT deaktivieren! Im Firmenumfeld einen WSUS-Server einsetzen!
Vielleicht denkt sich jetzt ein Leser/ eine Leserin: Was hilft mir ein Sicherheitsupdate, wenn ich mir den Schadcode per Email auf den Rechner hole?
Nun, im Hinblick auf „die Aktivierung des Trojaners“ im Netzwerk / auf dem PC, hilft das Einspielen von Sicherheitsupdates meist nicht. Aktiviert wird das Schadprogramm so gut wie immer durch den User. ABER: Sofern es dem Trojaner gelingt, Schadcode nachzuladen, versucht dieser dann bekannte Sicherheitslücken innerhalb von Programmen – vor allem innerhalb eines Netzwerkes – auszunutzen.
Bei Vorhandensein eines gepatchten Systems, gelingt dies oft nicht.
Tipp 3: Virenschutz mit aktuellen Virendefinitionsdateien einsetzen
Unter Windows sollte unbedingt ein Virenschutz eingesetzt werden, der laufend aktualisiert wird. Auch wenn die Hersteller von Schutzsoftware meistens einen Schritt „hinten nach“ sind, gehört dies zum Grundschutz einer Windowsinstallation.
Tipp 4: Kontrolle und Beschränkung des ein-/ausgehenden Datenstroms / SSL inspection
Ein Teil dieses Tipps, ist eher im Firmenumfeld umsetzbar, da hier meistens Firewallappliances eingesetzt werden, um dein eingehenden / ausgehenden Datenstrom auf Schadcode zu untersuchen. Im privaten Umfeld, wird man sich vermutlich keine hochpreisige Appliance leisten wollen.
Kontrolle des ausgehenden Datenstroms: Wenn man sich vor Augen hält, dass in vielen Fällen Schadcode aus dem Internet nachgeladen wird, wird klar, dass der ausgehende Datenstrom gescannt werden muss. In Kombination mit dem Scannen auf Schadsoftware, sollten – wenn möglich – auch DNS-Blacklists, bekannte Botnet-Adressräume abgefragt und blockiert werden.
Damit einhergehend, sind ausgehend nur die unbedingt notwendigen Ports zu öffnen. (z.B. nur 80 = HTTP, 443 = HTTPS, 53 = DNS).
SSL Inspection: Sofern vorhanden, sollte unbedingt die SSL Inspection (scannen von verschlüsselten Verbindungen) aktiviert werden. (Damit verschlüsselte Verbindungen im Browser weiterhin funktionieren, muss das von der Appliance verwendete SSL-Zertifikat in den Browser / in den Windowszertifikatsstore importiert werden).
Warum SSL-Inspection? Der Grund hierfür ist, dass der Schadcode ggf. ja auch über eine HTTPS – Verbindung nachgeladen werden könnte. Wird SSL nicht gescannt, wird der Schadcode nicht erkannt.
Tipp 5: Schutz vor Spamnachrichten
Viele der „bösen“ Mails, werden über bekannte Spamquellen versendet. Durch den Einsatz von Spamfiltern und der Abfrage von Spamlisten, kann die Flut der eingehenden Spammails eingedämmt wreden. Optimalerweise gelangen so gut wie keine Spammails mehr in das Postfach.
Sofern man beispielsweise postfix als Mailserver einsetzt, reicht ein zusätzlicher Eintrag beim Parameter smtpd_recipient_restrictions um Spamlisten abzufragen. Abgesehen davon, kann auch noch auf Greylisting, Spamassassin etc. zurückgegriffen werden.
Die beste Spammail, ist die Mail, die nicht ins Postfach gelangt! (Etwas optimistisch formuliert: Keine Spammail, Kein Schadcode!)
Tipp 5: Schulung der Mitarbeiter / Familienmitglieder
Es sollte laufend bzw. zumindest in regelmäßigen Abständen auf die Bedrohungslage hingewiesen werden. Man sollte aber darauf achten, dass man nicht zu oft informiert, um gewisse „Ermüdungserscheinungen“ zu verhindern. (Schon wieder ein Infomail über Trojaner, kenn ich schon…).
Tipp 6: Backup, Backup, Backup…
Normalerweise hätte dieser Punkt bereits ganz am Anfang erwähnt werden müssen. Ohne regelmäßiges Backup, ist man im Falle einer Infektion verloren!
Das Backup MUSS unbedingt offline vorliegen. Es hilft nichts, täglich ein Backup der Arbeitsdaten auf ein NAS zu machen, welches permanent im Netzwerk ist. Die Gefahr, dass auch die Daten am NAS kompomittiert werden könnten ist einfach zu hoch. Neben der „online“ Sicherung, muss regelmäßig auch eine Sicherung auf ein Offline-Medium durchgeführt weden. Als Offline-Medium kommt z.B. eine externe USB Platte in Frage. Auch Bandlaufwerke sind wieder auf der Tagesordnung. Verhältnismäßig günstig, bei hoher Datendichte. Ein Bandlaufwerk kostet allerdings „einiges“.
Tipp 7: Nie mit Administratorrechten arbeiten
Der Administrator(account) ist nur für Installationsarbeiten heranzuziehen. Für das tägliche Arbeiten, sollte ein Standardbenutzer mit eingeschränkten Rechten verwendet werden.
Dies gilt vor allem im Firmenumfeld, sollte aber auch @home jedenfalls in Betracht gezogen werden.
Fazit
Man kann einige Schritte setzen, um einer Infektion und einem Datenverlust entgegenzuwirken. Im Worst-Case kommt es auf ein gutes Backup- / Restorekonzept an. Bei all den Möglichkeiten, sich „einzuigeln“ ist eines immer gewiss: 100%ige Sicherheit gibt es nicht. 😉
Wünsche, Anregungen, Ergänzungen und auch konstruktive Kritik per Kommentar gerne gelesen!
Es ist zwar kein neuer Hut mehr, dass es mit Mariadb in Verbindung mit dem rootlogin in phpmyadmin Probleme gibt, ich möchte es an dieser Stelle aber dennoch erwähnen und eine – meiner Meinung nach gute – Lösung anbieten.
Hintergrund
Bei Mariadb (aktuell in Version 10.1.26-0+deb9u1) ist für den root-user ein unix_socket Plugin aktiv. Dieses Plugin prüft, ob man:
1.) Als Rootuser in der Konsole eingeloggt ist und
2.) den vorhandenen Mariadb-root-user.
Wenn man sich nun bei phpmyadmin als Benutzer root einloggen will, schlägt dies fehl. Klar! In dem Fall meldet man sich ja nicht per Konsole (als User root) bei der Mariadb an, sondern über das Web.
Lösungsweg
Es gäbe nun die Möglichkeit, das Plugin für den Mariadb-Benutzer root zu deaktivieren. (Davon sehe ich hier aber ab). Besser ist es, einen neuen Datenbankbenutzer anzulegen, der -so wie root- auch Vollzugriff auf alle Datenbanken hat, um letztendlich alle Datenbanken per phpmyadmin verwalten zu können.
Im Terminal des Servers bzw. des Linuxsystems sind folgende Schritte (eingeloggt als root) durchzuführen:
mysql
grant all on *.* to neuerrootuser@localhost (RETURN)
identified by 'deinpasswort' with grant option;
Es ist nun ein weiterer Benutzer mit DB-Rootrechten angelegt worden.
Absicherung der Installation
Es ist immer eine gute Idee, den Befehl
mysql_secure_installation
auszuführen, um einige DB-Einstellungen sicherer zu gestalten. Hierbei kann (und sollte!) auch für den bereits vorhandenen DB-Benutzer „root“ ein Passwort gesetzt werden. (In der Standardkonfiguration hat dieser DB-Benutzer kein Passwort, da ja u.a. auf das unix_socket-Plugin zurückgegriffen wird).
Will man prüfen, welche User angelegt sind / für wen das oben erwähnte Plugin aktiv ist, begibt man sich abermals in ein Rootterminal und startet folgende Abfrage:
Angesichts der momentan vorherrschenden Securityproblematik (Spectre, Meltdown…) solltet ihr eure Systeme Patchen. Für „Linux“ gilt es bereits vorhandene Kernelaktualisierungen einzuspielen und das System danach neu zu starten.
So gibts für die Stable Version von Debian (Stretch) mittlerweile die Kernelversion 4.9.65-3+deb9u2, die der Sicherheitsproblematik entgegenwirkt.
Generell kann der Mikrotik Router entweder über eine fixe IP-Adresse, oder das Programm Winbox angesprochen werden. Der Vorteil der Winbox besteht u.a. darin, dass der Mikrotik Router auch über seine MAC-Adresse gefunden wird.
Somit wird es möglich, per MAC-Adresse ins „Admin-Backend“ des Routers zu gelangen.
Ausgangslage
Sofern man die Werkseinstellungen des Routers übernimmt ist ein Port des Routers für den Anschluß des „Internet“ (anderer Router) gedacht. Die verbleibenden Ports stehen dem LAN zur Verfügung.
Ich will mich im Rahmen dieses Beitrages jedoch mit der kompletten Neukonfiguration beschäftigen. D.h. der Router ist absolut unkonfiguriert.
Was wollen wir erreichen
1 Port soll für die WAN-Schnittstelle konfiguriert werden, wobei eine statische IP-Adresse Verwendung findet.
Die verbleibenden Ports sollen für das LAN zur Verfügung stehen.
WAN-Konfiguration
Nach dem Einstieg auf den Router per Winbox wählt man:
Menü IP -> Adresses
Klick auf das + Symbol im erscheinenden Fenster oben
Im Beispiel wird die IP 192.168.0.100/24 für das ether1 Port vergeben. Abschließend ist das Fenster mit OK zu bestätigen.
Bridge konfigurieren
Alle verbleibenen Ports sollen für das LAN zur Verfügung stehen und „gebridged“ werden (Jedes Port „macht“ das Gleiche).
Menü IP -> Bridge
Klick auf das + Symbol
Als Name wird z.B. bridge1 vergeben. Abschließend wird das Fenster mit OK geschlossen.
Der Bridge Ports zuordnen
Im Menü IP -> Bridge / Fenster Bridge müssen nun noch die Ports zugeordnet werden, die dieser Bridge zugeordnet werden sollen. Das WAN-Port darf der Bridge NICHT zugeordnet werden!
Dieser Schritt (oben) ist mit allen Interfaces zu wiederholen, die der Bridge hinzugefügt werden sollen.
Der Bridge eine IP Adresse zuweisen
Menü IP -> Adresses
Klick auf das + Symbol
IP Adresse der Bridge zuordnen
Abschließend ist das Fenster mit OK zu bestätigen.
Der Bridge einen DHCP-Server zuordnen
Für das LAN soll ein DHCP-Server konfiguriert werden. Da das LAN am Bridge-Port hängt, wird dem Bridge-Port ein derartiger Server zugeordnet.
Menü IP -> DHCP Server
Klick auf Button „DHCP SETUP“
Wahl des Interfaces (bridge1) -> Next
Den gewünschten Adressraum eingeben. Wenn z.B. der Mikrotikrouter mit 192.168.88.1 im LAN angesprochen wird, könnte man einen DHCP-Adressraum von 192.168.88.2 – 192.168.88.254 verwenden. -> Next
DHCP Relay leer lassen
Standardroute ins Internet setzen
Die Standardroute soll über zu einem Internet-Router zeigen, an dessen LAN-Port der Mikrotikrouter (WAN-Port) hängt. Der Internet-Router hat die IP Adresse 192.168.0.1
Menü IP -> Routes
Klick auf das + Symbol
Als Dst. Adresse: 0.0.0.0/0 eingeben (=Route ins Internet)
Gateway = IP des Internet-Router = 192.168.0.1
Mit Ok bestätigen
Im Fenster „Route List“ muss nun noch in den Reiter „Next Hops“ gewechselt werden, um zu prüfen, dass als Adresse die IP 192.168.0.1 (Internet-Router) eingetragen ist.
DNS Server definieren
Ohne DNS-Server geht es nicht.
Menü IP -> DNS Settings (Häkchen bei „Allow Remote Requests“ setzen nicht vergessen)
Das sollte es gewesen sein. Alle Clients die an den LAN-Ports des Mikrotik Routers hängen, sollten nun in das Internet gelangen.
Cookie-Zustimmung verwalten
Um dir ein optimales Erlebnis zu bieten, verwenden wir Technologien wie Cookies, um Geräteinformationen zu speichern und/oder darauf zuzugreifen. Wenn du diesen Technologien zustimmst, können wir Daten wie das Surfverhalten oder eindeutige IDs auf dieser Website verarbeiten. Wenn du deine Zustimmung nicht erteilst oder zurückziehst, können bestimmte Merkmale und Funktionen beeinträchtigt werden.
Funktional
Immer aktiv
Die technische Speicherung oder der Zugang ist unbedingt erforderlich für den rechtmäßigen Zweck, die Nutzung eines bestimmten Dienstes zu ermöglichen, der vom Teilnehmer oder Nutzer ausdrücklich gewünscht wird, oder für den alleinigen Zweck, die Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz durchzuführen.
Vorlieben
Die technische Speicherung oder der Zugriff ist für den rechtmäßigen Zweck der Speicherung von Präferenzen erforderlich, die nicht vom Abonnenten oder Benutzer angefordert wurden.
Statistiken
Die technische Speicherung oder der Zugriff, der ausschließlich zu statistischen Zwecken erfolgt.Die technische Speicherung oder der Zugriff, der ausschließlich zu anonymen statistischen Zwecken verwendet wird. Ohne eine Vorladung, die freiwillige Zustimmung deines Internetdienstanbieters oder zusätzliche Aufzeichnungen von Dritten können die zu diesem Zweck gespeicherten oder abgerufenen Informationen allein in der Regel nicht dazu verwendet werden, dich zu identifizieren.
Marketing
Die technische Speicherung oder der Zugriff ist erforderlich, um Nutzerprofile zu erstellen, um Werbung zu versenden oder um den Nutzer auf einer Website oder über mehrere Websites hinweg zu ähnlichen Marketingzwecken zu verfolgen.
