WireGuard - Automatischer VPN Zugriff mit der App "WG Tunnel"

In dem Beitrag FRITZ!Box - VPN Zugriff mit WireGuard (FritzOS 7.50), habe ich auf die "Original" WireGuard-App verwiesen. Mittlerweile gibt es auch die alternative WireGuard-App WG Tunnel, welche viele Extras bietet.

Selbstständig VPN-Tunnel aktivieren

Mit Hilfe der App kann sofort eine VPN-Verbindung zum Heimnetzwerk aufgebaut werden, wenn man z.B. mit einem öffentlichen oder fremden WLAN verbindet.

Download bei Google Play oder F-Droid.
 
Hierfür muss in den Einstellungen die Option "Tunnel bei nicht vertrauenswürdigem WLAN" eingeschaltet werden.

Jetzt trägt man nur noch SSIDs der WLANs ein, denen man vertrauen möchte (z.B. das eigene Heim-WLAN). Hinweis, damit dies funktioniert muss die Standort-Berechtigung freigegeben werden.

Wie unter meinem o.g. Beitrag, kann man den WireGuard-Tunnel einfach per QR-Code-Scan hinzufügen.

Eine weitere interessante Funktionen ist das "Split Tunneling".

AVM FRITZ!Box - Risiko bei der lokalen Namensauflösung (fritz.box)

Schon seit 2016 kann die Top Level Domain .box gebucht werden (Neue Top Level Domain .box bringt manche Netze durcheinander), dies kann abhängig vom jeweiligen DNS-Resolver zu Problemen führen.Bei der Fritzbox von AVM wird standardmäßig der Domainname fritz.box im internen Netz verwendet.

Domainname fritz.box

Die Fritzbox ist im lokalen Netz über den Namen fritz.box erreichbar. Mann muss daher nicht die IP-Adresse z.B. 192.168.178.1, 192.168.1.1 eingeben. 

Allerdings kann die Domains fritz.box sowohl in privaten Netzen als auch im Internet registriert sein (Überfällig: ICANN legt sich auf Namen für interne Domains fest)! Überprüfen lässt sich dies mit Hilfe von nslookup fritz.box (siehe auch für die Verwendung).

Wie lässt sich das Problem bzw. der DNS-Resolver umgehen? 

• Verwendung der IPv4-Adressen z.B. 192.168.178.1 anstatt des Domainnamens. Sie sind für lokale Netze vorgesehen und werden nicht im Internet geroutet.
• Siehe auch offizielle Hilfe von AVM, https://avm.de/service/wissensdatenbank/dok/FRITZ-Box-7590-AX/245_Benutzeroberflache-der-FRITZ-Box-nicht-aufrufbar/.
• Ein DNS-basierte Adblocker wie z.B. pi-hole (Raspberry Pi-hole - Installation) umgeht den DNS-Resolver der Fritzbox. Siehe auch Raspberry Pi-hole - Lokale Namen auflösen (Conditional Forwarding).
• Einträge in der Host-Datei (z.B. 192.168.1.1 fritz.box) des Betriebssystem vornehmen. Siehe auch Cryptomining per JavaScript unterbinden.

 

DNS - HTTPS Resource Record verwenden (Backup Server, Port-Signalisierung)

In meinem letzten Beitrag zum Thema DNS habe ich gezeigt, wie man die Eigene Domain auf eine andere IP mit Hilfe von Bind umleiten kann. Mit Hilfe des Domain Name System (DNS) wird die Namensauflösung im Internet durchgeführt. Diese Einträge werden als Resource Records (RR) bezeichnet. Die A- und die AAAA-Records sind zum Beispiel die Einträge für IPv4-/IPv6-Adressen der Server. Der DNS-Record „HTTPS“ kann als weiteres Steuerelement verwendet werden.

Der HTTPS-Record ist eine Variante des SVCB-Records und wurde speziell für die Verwendung mit dem HTTPS-Protokoll entwickelt. Um eine HTTPS-Verbindung aufzubauen, muss ein Client in der Regel zuerst eine HTTP-Verbindung aufbauen, dies erzeugt Latenz. Der DNS-Eintrag vom Typ HTTPS kann diese Latenz zu verringern.

Aufbau des HTTPS Resource Records

example.com. 300 IN HTTPS 10 backup01.example.com. alpn="h3,h2" port=8443

• example.com. => Name - Domainname der Website
• 300 => TTL - Time to Live: maximale Caching-Zeit
• IN => Klasse Internet (konstanter Wert)
• HTTPS => Typ des Resource Records
• 10 => SvcPriority - Priorität des Eintrags (kleiner Wert = höhere Priorität)
• backup01.example.com. => TargetName - Hostname des Webservers. Der Wert „.“ bedeutet, dass der Hostname dem Domainnamen der Website entspricht
• alpn="h3,h2" port=8443 => SvcParams - Liste von definierten Parametern nach dem Schema „key=value“.

Quelle: https://de.wikipedia.org/wiki/HTTPS_Resource_Record

Die Abfrage des HTTPS-Record ist mit den Tools dig oder kdig möglich. Nicht aber mit nslookup!
dig google.com https

Installation mit Hilfe von sudo pacman -S dnsutils

Beispiele für die Nutzung des HTTPS-Record

Backup Server
example.com. 300 IN HTTPS 10 backup01.example.com.
example.com. 300 IN HTTPS 20 backup02.example.net.
example.com. 300 IN HTTPS 30 backup03.example.de.

Port-Signalisierung
app1.example.de IN HTTPS 1 . port=8443
Hier wird die Applikation nicht über den üblichen Port 443 ausgeliefert. Die Eingabe vom Port https://app1.example.de:8443/login in der URL kann entfallen.

Beispiel Abfragen von Records mit Hilfe von nslookup

Nslookup gefolgt vom Domänennamen zeigt den „A-Record“ (IP-Adresse) der Domain an.

(deck@steamdeck ~)$ nslookup shemel.de
Server:         127.0.0.53
Address:        127.0.0.53#53

Non-authoritative answer:
Name:   shemel.de
Address: 178.254.0.77


Abfrage des NS-Eintrags einer Domain
Der NS-Eintrag zeigt alle Nameserver einer Domain an.

(deck@steamdeck ~)$ nslookup -type=ns shemel.de
Server:         127.0.0.53
Address:        127.0.0.53#53

Non-authoritative answer:
shemel.de       nameserver = ns01.1blu.de.
shemel.de       nameserver = ns02.1blu.de.


Abfrage des MX-Eintrags
Der MX-Eintrag (Mail-Exchange-Server) einer Domain. Siehe auch Mailserver - Zugriff auf TCP Port 25 (smtp) mit telnet testen.

(deck@steamdeck ~)$ nslookup -type=mx microsoft.com
Server:         127.0.0.53
Address:        127.0.0.53#53

Non-authoritative answer:
microsoft.com   mail exchanger = 10 microsoft-com.mail.protection.outlook.com

AVM FRITZ!Box - Hilfreiches Zubehör für die Router aus Berlin

Nach meinen Beiträgen Externe WLAN Antennen bei der Fritz!Box nachrüsten und AVM FRITZ!DECT Smarthome und Alexa? aus dem Jahr 2018 werde ich ein kurzes Zubehör-Update für die aktuellen Modellen (z.B. AVM FRITZ!Box 7590 AX) geben.

Nachfolgend eine kleine Auflistung von nützlichem Zubehör von Drittanbietern für die Fritz!Box.

• WLAN-Antennen
• siehe Externe WLAN Antennen bei der Fritz!Box nachrüsten
• Richtantennen (WLAN/4G/5G)
• WILTAnet GmbH oder Diversitas Hamburg GmbH
  
• siehe VoIP - Festnetznummern umziehen und per SIP (auch im Mobilfunk) nutzen
  
• Outdoor-Gehäuse
• WLAN Repeater-Outdoor-Gehäuse von REFBox
• Türsprechanlagen
• Video Türsprechanlagen (analog/digital) von Jakobi Kommunikationssysteme GmbH
• DoorLine Slim DECT Funk-Türsprechstelle von Telegärtner Elektronik GmbH
  

 

Internet - Verbindungszeitlimit für HTTP-Anfragen (connection timeout during http request)

Es gibt viele Formen von Zeitüberschreitungen bei HTTP-Anfragen. Diese sind das Verbindungszeitlimit, das Anforderungszeitlimit oder das Time to Live Zeitlimit. In diesem Beitrag werde ich diese drei Formen näher beschreiben und Möglichkeiten aufzeigen, um diese "timeouts" per Browsereinstellungen hinauszuzögern.

Verbindungszeitlimit (connection timeout)

Zeitraum, innerhalb dessen eine Verbindung zwischen einem Client und einem Server hergestellt werden muss.

Beispiel: Man navigiert mit dem Browser (Client) zu einer Website (Server). Der Browser beginnt nun auf die Antwortnachricht von diesem Server zu warten. Diese Antwort trifft beim Client aber nie ein (z. B. weil der Server offline ist). Nach 250 Sekunden (Firefox), gibt der Browser das Warten auf (connection timeout).

Die Einstellung kann mit Hilfe von about:config angepasst werden:

• network.http.connection-retry-timeout

Anforderungszeitüberschreitung (request timeout)

Zeitraum, in dem der Server nicht bereit war, zu lange auf die Antwort vom Client zu warten. Wurde die Verbindung zwischen Server und Client hergestellt, muss der Client den Server regelmäßig darüber informieren das die Verbindung noch besteht. Geschieht dies nicht, trennt der Server diese Verbindung. Siehe auch https://developer.mozilla.org/en-US/docs/Web/HTTP/Status/408.

Die Einstellung kann mi Hilfe von about:config angepasst werden:

• network.http.pipelining.read-timeout

 

Time to Live (time to live)

Beschreibt den angegebenen Wert eines Paket, wie lange das Paket in einem Netzwerk am Leben bleiben kann. In einem Netzwerk durchläuft ein Paket verschiedene Router, die sich auf dem Weg  zwischen dem Ursprung des Pakets und seinem Ziel befinden. Jedes Mal, wenn der Router das Paket erneut sendet, verringert er auch seinen TTL-Wert um 1. Wenn dieser Wert auf 0 fällt, sendet der Router das Paket nicht erneut, sondern verwirft es einfach, da das Paket nicht mehr leben soll. Hiermit soll eine Datenüberflutung des Netzwerks verhindert werden, da jedes Paket nur für eine begrenzte „Zeit“ darin verbleiben kann.

Die Einstellung kann mi Hilfe von about:config angepasst werden:

• network.http.keep-alive.timeout

 

Netzwerkgrundlagen - Lernen mit der kostenlosen Simulationssoftware "Filius"

Wie funktioniert das Internet? Was ist ein DHCP- oder DNS-Server? Oft haben Schüler und Azubis keinerlei Kenntnisse der Netzwerktechnik und können daher diese Basics nichrt erklären bzw. werden in der Schule nicht vermittelt.

Mit der kostenlosen Software "Filius" kann lassen sich diese Netzwerkgrundlagen vermitteln. Dies erfolgt durch eine Simulation, also komplett ohne zusätzliche Hardware und Kosten.

Filius erklärt dabei das Zusammenspiel von Client und Server und vermittelt auch die Aufgaben von DHCP-, DNS- und Webservern einfach und verständlich.

Die Software kann man auf der Website www.lernsoftware-filius.de kostenlos herunterladen. Die Quelltexte zu Filius sind öffentlich verfügbar unter gitlab.com/filius1/filius.

Kostenloses Unterrichtsmaterial zu Filius, gibt es auf der Website des Autors:

• beuche.info/netzwerk

und auf der Filius-Website:

• www.lernsoftware-filius.de/Begleitmaterial

 

Netzwerkanalyse - ping, traceroute und MTR

Für Netzwerkanalysen gehören "Ping" und "Traceroute" zu den am häufigsten verwendeten Tools. In diesem Beitrag möchte ich kurz auf die Verwendung eingehen und MTR (My traceroute) vorstellen, welches die Funktionen von traceroute und ping zu einem Netzwerk-Diagnose-Werkzeug kombiniert.

ping

Dient zum Prüfen der Erreichbarkeit von anderen Rechnern / Servern oder Geräten (z.B. Drucker) über ein Netzwerk. Durch das "Anpingen" eines Netzwerkteilnehmers, bekommt man in der Regel eine kurze Antwort zurückgeschickt. Es lässt sich somit die "grundsätzliche" Erreichbarkeit feststellen. Hierzu wird das ICMP-Protokoll verwendet. Als grundlegender Netzwerkbefehl ist ping auf allen Betriebssystemen verfügbar und muss nicht installiert werden.

traceroute (tracert)

Hiermit lässt sich der Transportweg von IP-Datenpaketen zwischen dem eigenen Rechner und der Gegenstelle ermitteln. Es wird die Antwortzeit der jeweils durchlaufenen Router gemessen. Es lässt sich so das Routing der Verbindung anzeigen und ggf. einen Auslöser von Verzögerungen herausfinden.

Installation: sudo apt-get install traceroute

MTR (My traceroute)

MTR kombiniert die oben beschriebenen Funktionen von traceroute und ping in einem Werkzeug.

Installation: sudo apt-get install mtr

FRITZ!Box - VPN Zugriff mit WireGuard (FritzOS 7.50)

Für viele Fritzbox-Admins bringt das FritzOS-Update auf Version 7.50 endlich die Möglichkeit die schnelle und zugleich komfortable VPN-Technik WireGuard nutzen zu können. Eine Möglichkeit mit Hilfe von IPsec, hatte ich in dem Beitrag "VPN Zugriff mit der Fritz Box" von 2018 beschrieben.

VPN Zugriff per WireGuard einrichten

1. Die Fritzbox muss anhand einer DynDNS-Domain erreichbar sein, alternativ geht dies auch per MyFritz. Siehe hierzu auch mein Beitrag "VPN Zugriff mit der Fritz Box".
   
2. WireGuard muss auf den jeweiligen Geräten installiert werden, siehe auch https://www.wireguard.com/install/.
3. Jetzt das Fritzbox Menü "Internet/Freigaben/VPN (WireGuard)" öffnen und auf "Verbindung hinzufügen" klicken. Hier kann die vereinfachte Einrichtung übernommen werden. Der eingehende Tunnel sollte einen prägnanten Namen haben wie z.B. Nutzer_Gerät . Jetzt kann die Konfiguration mit "Fertigstellen" abgeschlossen werden.
4. Jetzt kann man das Fritzbox Webinterface geöffnet lassen, nachdem man sich die Konfiguration heruntergalden hat. Auch hier sollte man dem Dateinamen wieder einen verständlichen Namen geben wie z.B. Sebastian_GooglePixel.conf . Auf dem Smartphone kann man die Konfiguration am Besten per QR-Code vom Webinterface der Fritzbox einlesen. Am PC muss man dafür das Menü "Tunnel aus Datei importieren" anklicken.
   

Damit ist die Konfiguration abgeschlossen und man kann den Tunnel über das WireGuard-Menü aktivieren.

Cloud - Lokale Webdienste mit Hilfe von ngrok Tunnel sicher ins Netz bringen

Mit Hilfe von Cloud Diensten, wie z.B. ngrok Tunnel lassen sich lokale Webdienste sicher ins Netz bringen. Hierfür genügen bereits drei Zeilen in der Konsole. Dies geschieht ohne öffentliche IP-Adresse, ohne VPN oder offene Ports in Ihrer Firewall.

1. Regestrierung unter https://dashboard.ngrok.com/signup 

Anschließend hat man direkt Zugriff auf sein persönliches Dashboard inkl. einer kurzen Installationsanleitung. 

2. Jetzt nur noch ngrok herunterladen und das Archiv entpacken.

wget --no-check-certificate https://bin.equinox.io/c/bNyj1mQVY4c/ngrok-v3-stable-linux-arm.tgz

tar xfvz ngrok-v3-stable-linux-arm.tgz

Hinweis: Mit Hilfe von getconf LONG_BIT findet man heraus, welche Version von Linux installiert hat (32-Bit oder &4-Bit) ist.

3. ngrok-Agent registrieren

Jetzt muss nur noch der folgende Befehl ausgeführt werden, damit der ngrok-Agent registriert wird. Anschließend kann eine Tunnelverbindung hergestellt werden.

./ngrok config add-authtoken ID

Als nächstes kann mit "./ngrok http 80" eine HTTP-Tunnelweiterleitung am lokalen Port 80 gestartet werden.

Nun kann ich z.B. direkt mit seinem Smartphone auf den Raspberry Pi im lokalen Netz zugreifen! Es war keine Firewallfreischaltung, Portweiterleitung oder DynDNS hierfür notwendig.

Eine weitere alternative wäre z.B. CloudFlare Tunnel https://developers.cloudflare.com/cloudflare-one/connections/connect-apps/install-and-setup oder Siehe auch "GitHub Repository: Awesome Tunneling" .

Raspberry Pi-hole - Lokale Namen auflösen (Conditional Forwarding)

Möchte man in seinem lokalen Netz den eigenen Server oder auch die AVM FRITZ!Box unter dem eigen Namen erreichen, klappt dies nach der Raspberry Pi-hole - Installation nicht mehr. Es wird nämlich die lokale Namensauflösung übergangen. Dies lässt sich aber mit Hilfe von Conditional Forwarding wieder konfigurieren.

Mit Hilfe von Conditional Forwarding kann man den Filter auffordern, lokale Adressen nicht beim Upstream-DNS-Server zu erfragen.

Hierfür unter "Settings" => "DNS" => "Conditional Forwarding" den folgenden Eintrag (z.B. für eine fritz.box) eintragen:

Synology NAS - Home-Verzeichnis für Benutzer hinzufügen incl. SSH Zugriff per Schlüssel

Wird das Synology NAS von mehreren Personen verwendet, ist es sinnvoll jedem sein eigenes Home-Verzeichnis anzubieten. So kann jeder Benutzer seinen eigenen Bereich für Daten oder auch Ordner verwenden. Anschließend kann dies auch genutzt werden, um je User einen eignen Schlüssel für den SSH Zugriff zu hinterlegen.

Benutzer-Home-Dienst aktivieren

• Hierfür muss man die "Systemsteuerung" öffnen und dort "Benutzer und Gruppe" auswählen und dort den Reiter "Erweitert" anklicken.
• Jetzt einen Haken bei „Benutzer-Home-Dienst aktivieren“ setzen.

Anschließend wird automatisch für jeden User ein Home-Verzeichnis angelegt. Hinweis: Ggf. macht es Sinn je User/Gruppe eine Quota (Speicherplatz Beschränkung) zuweisen.

SSH-Keys generieren und im Home-Verzeichnis ablegen

SSH-Dienst aktivieren und das unsichere TELNET ggf. nur temporär aktivieren.

• ssh <benutzername>@<ip-adresse>
• telnet <ip-adresse>

Wichtig ist die Verwendung des Algorithmus ED25519, ist aktuell der am meisten zu empfehlende public-key Algorithmus und in OpenSSH vorhanden.

ssh-keygen -t ed25519 -C "redleffer@192.168.1.50" cat ~/.ssh/id_ed25519.pub

Weitere Informationen dazu finden sich unter:

• https://blog.doenselmann.com/ssh-zugriff-auf-synology-nas/

Hacking - Netzwerkscanner, nmap, Reverse Shell und Password Cracking mit hashcat

In den Artikel Security - Nmap Netzwerkscanner und Kali Linux und Hacking - Nützliche Tools (PassView, Windows Login Unlocker, Recovery, Process Hacker, Network Sniffer) habe ich bereits etliche Beispiele beschrieben, welche Tools Hacker verwenden und wie sie dabei vorgehen. In diesem Beitrag werde ich noch etwas tiefer ins Detail gehen.

Netzwerkscanner (Netdiscover)

Netdiscover kann auch verwendet werden, um im Netzwerk-ARP-Pakete zu untersuchen oder Netzwerkadressen mithilfe des Auto-Scan-Modus zu finden. Siehe auch https://www.kali.org/tools/netdiscover/. Hierdurch lassen sich in einem Netzwerk potenzielle Angriffsziele ermitteln.

Installation: sudo apt-get install netdiscover
Aufruf: netdiscover -r 192.168.1.0/24

Hinweis: Netdiscover staret automatisch mit der ersten Netzwerkschnittstelle, die es findet.

nmap Funktion http-enum

Mit Hilfe von http-enum findet man automatisiert Dateien oder interessante Verzeichnisse auf einem Webserver. Dabei sendet das Script weit über tausend Abfragen für gängige Dateien und Verzeichnisse an den Server. So lassen sich schnell wichtige Informationen erhalten, ob einige bekannte Dienste oder Dateien auf dem Webserver offen zugänglich sind oder nicht.

Aufruf: nmap -n --script=http-enum 192.168.1.1 oder Domain.de

WordPress: Reverse Shell

Es gibt viele verschiedene Methoden WordPress anzugreifen (z.B. WordPress - Brute-Force Angriffe mit XML-RPC und REST-API), eine davon ist Zugriff auf die WordPress-Verwaltungskonsole mit Hilfe des Metasploit Framework https://www.kali.org/tools/metasploit-framework/. Hierdurch ist es dann auch mögloch eine "Reverse Shell" als Plugin zu installieren, um so "root" bzw. Vollzugriff auf den Server zu erhalten.
Das Vorgehen ist unter https://www.hackingarticles.in/wordpress-reverse-shell/ beschrieben.

Password Cracking mit hashcat

Hashcat ist ein extrem schnelles Tool zur Passwortwiederherstellung. So kann es hochkomplexe Passwörter in kürzester Zeit knacken. Dies ist möglich, wenn Passwörter einem Wörterbuch entstammen.
Ein gutes Tutorial für den Einstieg findet sich unter https://resources.infosecinstitute.com/topic/hashcat-tutorial-beginners/.

Windows-Subsystem für Linux (WSL) - Installation Kali Linux

In den Beiträgen "Windows-Subsystem für Linux (WSL) - Installation" und "Windows-Subsystem für Linux (WSL) - Installation WSL 2" habe ich beschrieben, wie man WSL aktiviert und z.B. Ubuntu installiert. Mittlerweile gibt es eine Vielzahl an Linux Distributionen (wsl --list --online), darunter auch Kali Linux. Kali Linux ist eine Linux-Distribution (Debian basierend), die eine Sammlung von Tools für Penetrationstests und digitale Forensik umfasst.

Nach dem das Windows Subsystem installiert wurde (siehe Verlinkungen oben) kann man Kali Linux am einfachsten direkt über den Windows App Store installieren.

• Dafür nach "Kali Linux" suchen oder den folgenden Link verwenden und https://www.microsoft.com/store/productId/9PKR34TNCV07.
• Hinweis: Das Basis-Image enthält keine Tools (Penetration Testing Software) oder eine grafische Oberfläche, diese müssen über apt-Befehle installiert werden.

• Als nächstes sollte Kali Linux aktualisiert werden:
• sudo apt-get update
• sudo apt-get dist-upgrade
  

Installation der Penetration Testing Software

Um beispielsweise das Metasploit Framework zu installieren, muss der folgende Befehl ausgeführt werden:

• apt-get install metasploit-framework
  

Eine Übersicht für weitere nützliche Tools, wie z.B. nmap findet sich hier https://www.kali.org/tools/.

Security - Amass (Automated Attack Surface Mapping)

Amass ist ein vielseitiges Cybersicherheitstool zum Sammeln von Informationen über Internet-Domains. Amass fragt z.B. Suchmaschinen an, untersucht SSL-Zertifikate und sendet Reverse-DNS-Anfragen an die jeweilige Domain. So lassen sich z.B. vergessene Server aufspüren und gezielt angreifen.

Eine Installation mit Hilfe von Docker, ist sehr schnell möglich:

sudo docker build -t amass https://github.com/OWASP/Amass.git

Hinweis: Docker muss natürlich installiert sein (sudo apt install docker.io) und der Docker Daemon muss gestartet sein (sudo dockerd) "Cannot connect to the Docker daemon at unix:///var/run/docker.sock. Is the docker daemon running?". Siehe auch https://sebastianhemel.blogspot.com/2020/12/raspberry-pi-docker-installieren-arm.html .

Andere Installationsmöglichkeiten finden sich unter: https://github.com/OWASP/Amass/blob/master/doc/install.md

Zu dem ist Amass auch Bestandteil von Kali Linux einer Linux-Distribution (Debian basierend), die eine Sammlung von Tools für Penetrationstests und digitale Forensik umfasst. Siehe auch https://gitlab.com/kalilinux/packages/amass/blob/kali/master/doc/user_guide.md.

Das Ausführen über das Docker-Image ist relativ einfach und so kann man z.B. mit dem folgenden Befehl alle Subdomains einer bestimmten Domain herausfinden.

sudo docker run -v ~:/.config/amass/ amass enum -ip -d shemel.de

Amass verfügt über folgende Unterbefehle:

• amass intel -- Discover targets for enumerations
• amass enum -- Perform enumerations and network mapping
• amass viz -- Visualize enumeration results
• amass track -- Track differences between enumerations
• amass db -- Manipulate the Amass graph database

Weitere Informationen und Beispiele finden sich hier:

• https://github.com/OWASP/Amass/blob/master/doc/user_guide.md
• https://github.com/OWASP/Amass/blob/master/doc/tutorial.md

 

Security - Nmap Netzwerkscanner und Kali Linux

Mit Hilfe von Nmap (Netzwerkscanner) ist es möglich eine grobe Analyse von Netzwerken und möglichen Angriffsszenarien zu erstellen. In diesem Beitrag gehe ich kurz auf die Möglichkeiten, Ursachen und das Hardening ein.

Installation von Nmap unter Ubuntu:

sudo apt-get install nmap

Anschließend lässt sich mit dem folgenden Befehl die Top 2500 Ports in einem Netzwerk scannen. Zusätzlich wird die Geschwindigkeit des Scans erhöht und Informationen zum Betriebssystem der Clients werden angezeigt. Siehe auch https://wiki.ubuntuusers.de/nmap/#Scan-Techniken.

nmap --top-ports 2500 -A -v -T4 192.168.1.0/24

Hinweis: Ja nach dem, welches Netzwerk man scannen möchte muss man die korrekt Netzmaske verwenden.

Kali Linux ist eine Linux-Distribution (Debian basierend), die eine Sammlung von Tools für Penetrationstests und digitale Forensik umfasst. Nmap ist hier als wichtges Werkzeug enthalten! Dieser erste Scan kann als Basis dienen um z.B. mit Hilfe von Nessus einen detaillierten Netzwerk- und Vulnerability (Scan von vorhandenen und bekannten Sicherheitslücken) durchzuführen.

Anschließend kann man mit Hilfe der gefunden Sicherheitslücken 

• z.B. mit THC Hydra (hydra -L /home/pi/usernames.txt -P /home/pi/passwords.txt 192.168.1.111 ssh) oder
• Mimikatz), gezielt Angriffe auf die jeweiligen Clients versuchen.

Was sind die Ursachen?

• Unnötige Ports offen
• Verwendung schwacher Passwörter (siehe auch https://sebastianhemel.blogspot.com/2020/11/wordpress-brute-force-angriffe-mit-xml.html)
  
• Nicht korrekt beendete RDP Sessions
• Fehlende Patches

Was kann man dagegen tun ("Hardening")?

• Sicherheitsfunktionen aktivieren
• Unnötige Ports schließen (siehe auch https://sebastianhemel.blogspot.com/2021/05/security-netzwerkcheck-port-scan-von.html)
  
• Standardpasswörter ändern
• Ungenutzte User deaktivieren oder löschen
• Nicht erforderliche Dienste deaktivieren
• BIOS Passwort setzen
• Unnötige Software deinstallieren

Raspberry Pi - Vorkonfiguration (WLAN, SSH, hostname, locale) vor dem ersten Start mit Raspberry Pi Imager

Wie man einen Raspberry Pi installiert und initial einrichtet, habe ich bereits in den Artiklen Raspberry Pi Stretch Lite - Installation incl. SSH Fernsteuerung, Raspberry Pi Stretch - WLAN vor dem ersten Start konfigurieren und Raspberry Pi - statische IP bzw. initiale IP-Adresse vergeben (cmdline-txt) beschrieben. Ich gehe kurz auf den "Raspberry Pi Imager" ein, welcher dies jetzt direkt unterstützt.

Mittlerweile bietet das offizielle Image-Tool „Raspberry Pi Imager“ die Möglichkeit zu den o.g. Konfigurationen an und schreibt diese direkt auf die SD-Karte, anschließend kann das erste Booten vom Raspi direkt mit den gewünschten Einstellungen erfolgen. So lässt sich mittlerweile sehr viel Zeit bei der Ersteinrichtung sparen!

Update 07.04.2024: Auch beim Steam Deck kann der Imager verwendet werden. Siehe https://flathub.org/apps/org.raspberrypi.rpi-imager.

Das Raspberry Pi Imager Tool beschreibt die SD-Karte mit dem Betriebssystem und so wird beim ersten Start direkt eine Verbindung zum WLAN aufgebaut, SSH ist aktiv und man den Pi direkt per Konsole ansprechen. Desweiteren ist die Tastaturbelegung korrekt hinterlegt und auch das bekannte und unsichere Passwort „raspberry“ ist geändert. 

Download von Version 1.6.1 => https://github.com/raspberrypi/rpi-imager/releases/tag/1.6.1

Zusätzlich zum Betriebssystem „Raspberry Pi OS“ bietet Imager weitere Images an. Zum Beispiel die Lite-Variante (keine grafische Oberfläche) oder auch RetroPie (Retro-Spielekonsolen Emulatoren).

Security - Netzwerkcheck (Port-Scan) von heise

Mit dem Netzwerkcheck von heise ist es möglich schnell herauszufinden, ob man über seine öffentliche IP-Adresse des Routers ggf. angreifbar ist.

Es bietet sich an, direkt einen „Komplett-Check (Standard-Ports + Router-Tests)“ durchzuführen.

Idealerweise sollte das folgende Ergebnis angezeigt werden:

Synology NAS - Speicherplatz erweitern - Update 14 TB

Kurz ein Update zum Artikel Synology NAS - Speicherplatz erweitern, die reibungslose und wirklich einfache Erweiterungsfunktion und vor allem der Festplattentausch des Synology DS220+ 2 Bay Desktop NAS ohne eine einzige Schraube lösen zu müssen ist einfach nur genial!

Ein Upgrade von den 8 TB großen Seagate ST8000DM005 Festplatten hin zu den 14 TB großen Western Digital WD141KRYZ WD Gold Festplatten war ohne Probleme möglich.

Raspberry Pi - statische IP bzw. initiale IP-Adresse vergeben (cmdline-txt)

Betreibt man den Raspberry Pi ohne Tastatur und Monitor, kann man sich per SSH (Raspberry Pi Stretch Lite - Installation incl. SSH Fernsteuerung) von einem anderen Rechner aus einloggen. In der Regel erfolgt per default die Vergabe der IP-Adresse automatisch per DHCP.

Mit der folgenden Methode lässt sich eine feste IP-Adresse direkt per SD-Karte (cmdline-txt) vergeben

In der Datei "cmdline.txt" auf der SD-Karte (vFat-Partition) an der ersten und einzigen Zeile die folgende Syntax hinzufügen:

ip=<Raspi-ip>:<Netboot-ip>:<Gateway-ip>:<Subnetzmaske>:<Hostname>:<Netzwerkkarte>:<Autoconf>

Beispiel:

ip=192.168.1.111::192.168.1.1:255.255.255.0:pihole:eth0:off

Bedeutung der oben genannten Felder:

• Raspi-ip: IP-Adresse die der Raspberry bekommen soll
• Netboot-ip: IP eines Netboot-Servers, wird in der Regel nicht benötigt
• Gateway-ip: IP des Routers
• Subnetzmaske: Netzmaske, in der Regel 255.255.255.0
• Hostname: Hostname des Raspberry Pi (im LAN ansprechbar, optional)
• Netzwerkkarte: das Netzwerk-Gerät für die Zuweisung (z.B. eth0, wlan0)
• Autoconf: Aktivierung/Deaktivierung der automatische Konfiguration (off)
  

Alternativ ist (im Nachgang) die folgende Methode (Anpassung der /etc/dhcpcd.conf) weiterhin gültig.

Synology NAS - Migration bzw. Daten umziehen auf ein neues NAS

In dem folgenden Beitrag erkläre ich, wie man von einem Synology DS216SE seine Daten bzw. Festplatten auf ein Synology DS220+ NAS migrieren kann. Im Artikel Synology NAS - Speicherplatz erweitern, hatte ich bereits vor einiger Zeit beschreiben, was zu tun ist, wenn man größere Festplatten verwenden möchte.

Backup durchführen

Zur eigenen Sicherheit sollte ein Backup der Daten gemacht, auch wenn es sehr unwahrscheinlich ist, dass nach der Migration etwas nicht mehr funktioniert!
Hier bietet sich die Möglichkeit alle Daten auf eine externe angeschlossene Festplatte zu kopieren, eine Datensicherungsaufgabe zu erstellen oder ein Cloud Sync durchzuführen.

Synology Systemkonfiguration sichern

Die Systemkonfiguration kann man unter

• Systemsteuerung > Aktualisieren & Wiederherst. > Sicherung der Konfiguration und Klick auf "Konfiguration sichern"

lokal speichern.

Siehe hierzu auch die Anleitung Migration zwischen Synology NAS (DSM 6.0 und höher)

Synology Migrationsvorgang vorbereiten

1. Die aktuellste Firmware sollte installiert sein. Prüfen unter "Systemsteuerung > Aktualisieren & Wiederherst.".
2. Systemkonfiguration sichern, wie oben beschrieben.
3. Prüfen, ob die Migration vom Alten- zum Neuen-Modell überhaupt möglich ist. Siehe auch 2.1 Festplattenmigration. 
4. Synology NAS herunterfahren und vom Strom nehmen.
5. Festplatten aus dem Gehäuse nehmen und in das neue NAS einbauen.

Jetzt kann das neue Synology NAS gestartet werden. Jetzt warten, bis das gepiepst hat. Anschließend kann der Migrationsvorgang gestartet werden.

Synology Migrationsvorgang starten

Das neue NAS sollte man jetzt unter der Eingabe von find.synology.com im Browser finden. Alternativ kann man auch den Synology Assistant verwenden oder die richtige IP-Adresse in der Fritz!Box suchen.

1. Es sollte nun unter "Migrieren" angezeigt werden. Ausführen mit einem Klick auf den Button.
2. Auswählen von "Migration: Meine Daten und die meisten Einstellungen und Daten behalten"
3. Jetzt den Assistenten bis zum Ende durchgehen.
• Hinweis: Die Migration der Daten dauert ca. 15 - 20min.
  
4. Systemkonfiguration wieder einspielen (optional), siehe Punkt oben. Hinweis: Wird nur im Notfall benötigt.