Hommel-Net Weblog

Der Robert scheint derzeit wieder sehr in Bloglaune zu sein. Und nachdem wir ihn auf Twitter etwas "angestachelt" hatten, hat er tatsächlich das Relikt des Blogstöckchens wieder ausgegraben und das haben wir jetzt davon.

Die älteren unter uns werden sich noch daran erinnern. Ein Blogger schreibt einen Beitrag über eine Thema  und beantwortet einige Fragen dazu. Dann gibt er das "Stöckchen" weiter und fordert bestimmte Blogger dazu auf, ebenfalls diese Fragen zu beantworten. Dadurch zieht sich das Thema durch die "Blogospähre" und man kann die Spur über die Trackbacks verfolgen.

Also hat Robert jetzt ein Blogstöckchen über Blogstöckchen geworfen und es sieht so aus, als hätte ich es aufgefangen.

Frage 1: Erinnerst du dich noch an Blogstöcken?

In den Tiefen meines Gedächtnisses habe ich noch Bruchstücke der Kenntnis über dieses Blogrelikt gefunden.

Frage 2: Bei welchen Blogstöcken hast du mitgemacht bzw. welches ist dir in besonderer Erinnerung?

Ich kann mich nicht erinnern, viele Stöckchen gefangen  und weitergegeben zu haben. Eine Suche hier im Blog hat tatsächlich nur einen Stöckchen-Artikel ausgeworfen und der ist schon von 2008. Der Dürrbi, der es damals geworfen hat, hat jetzt zusammen mich der Michi ein Gemeischaftsblog. Vielleicht erinnern sich die beiden ja auch noch an Blogstöckchen?

Im letzten Jahr habe ich einen Artikel darüber geschrieben, was so auf meinem Webspace installiert ist. Das war aber nicht direkt ein Stöckchen, sondern eine Blogparade (noch so ein komisches Ding aus alten Tagen).

Und so werfe ich dieses Stöckchen mal fröhlich in die Runde und jeder, der sich berufen fühlt, mag es fangen und weitergeben. Um der alten Zeiten willen. Hach.

Auch in 2016 gibt es wieder die kleinen Freuden des Admins beim Support.

Wenn du das Problem eines Users dadurch lösen kannst, indem du dich einfach hinter ihn stellst und ab und zu lächelnd nickst und "Hm, hm" sagst. "Das gibt's doch nicht, eben hat das die ganze Zeit nicht funktioniert."

Oder, wenn du einem Kunden aus der Patsche hilftst, der auf dem Mac das Browserfenster nicht mehr schließen kann, weil er irgendwie den Vollbildmodus eingeschaltet hat, indem du als Nicht-Apple-Nutzer mal kurz bei Google die Tastenkombination suchst und dem Kunden durchsagst.

Ich merke schon, es wird wieder ein interessantes Jahr.

Ich wünsche allen Lesern noch alles Gute für das neue Jahr.

Nur ganz kurz für alle Nutzer des Blogsystems Serendipity (S9Y): Es gibt ein Sicherheitsupdate auf die Version 2.0.3.

Also bitte updaten.

Bereits als ich das PushTAN-Verfahren im Juli 2014 hier auf dem Blog vorstellte, hatte ich Zweifel, ob sich die Trennung der beiden Sicherheitsfaktoren auf einem Gerät sicher darstellen lässt.

Und nun hat Vincent Haupert auf einem Vortrag beim 32C3 in Hamburg demonstriert, wie er zunächst eine ältere Version der PushTAN-App und dann auch die aktuellste angreifen konnte und Zahlungen, die auf dem selben Androidhandy ausgeführt wurden, bei der Anzeige uns Ausführung manipulieren konnte. Dabei wird dem Nutzer die von ihm gewünschte Transaktion sowohl in der Banking-App als auch in der PushTAN-App angezeigt, im Hintergrund wird jedoch eine Überweisung mit einem anderen Betrag an einen anderen Empfänger gesendet.

Leider ist zu befürchten, dass auch die TAN-Apps anderer Bankengruppen einem gleichartigen Angriff ebenfalls nicht standhalten würden. Ein echtes Zwei-Faktor-Verfahren scheint nur auf getrennten Geräten möglich zu sein. Die Nutzung der App für eine Überweisung, die man zum Beispiel auf seinem PC ausführt und dann die TAN über die App auf dem Smartphone anzeigen lässt, ist wiederum ähnlich sicher wie das MobileTAN bzw. SMS-TAN-Verfahren. Hier müssen immerhin zwei Geräte gekapert werden, um einen Angriff möglich zu machen.

Und hier ist das Video von Vincent Hauperts Vortrag, das sehr interessant und kurzweilig ist.

Der Weihnachtsbaum ist aufgetellt und geschmückt, letzte Besorgungen gemacht. Ja, auch wir mussten heute nochmal kurz los, aber dass hatte ich gestern auf Twitter schonmal angedeutet.

Die Kinder warten gespannt auf die Bescherung heute Abend und ich habe etwas Zeit zum Bloggen und für euch ein paar Anregungen zum Überbrücken der Wartezeit auf die Geschenke oder auch auf das nächste Essen in den kommenden Tagen.

Wenn ihr also noch etwas sucht, um euch die Zeit zu vertreiben könntet ihr zum Beispiel Podcasts hören. Da wäre z.B. unser BBUGKS-Live Podcast von letzter Woche oder auch der aktuelle Neuland-Podcast von Sascha und Caschy.

Für Musikfans gab es gestern die gute Nachricht, dass Apple Records die Beatles-Werke nun für Streamingdienste freigegeben hat. Ihr könnt die Pilzköpfe also nun auch z. B. auf Spotify hören.

Nutzt noch jemand außer mir Watchever? Dort gibt es jetzt die zweite Staffel der französichen Mysterieserie "The Returned" als Deutschlandpremiere in der französischen Originalversion.

Frohes Fest

Und nun wünsche ich euch ein Frohes Fest, habt ein paar ruhige, besinnliche Tage. Schaltet mal einen Gang zurück und genießt das Zusammensein mit lieben Menschen. Vielleicht könnt ihr für ein paar Stunden die Hektik des Alltags vergessen und zur Ruhe kommen.

Außerdem allen, die über die Feiertage arbeiten, um uns zu schützen, im Notfall zu retten, um andere Menschen in den Krankenhäusern oder Alten-/Pflegeheimen zu behandeln, zu pflegen und zu betreuen, ein herzliches Dankeschön! Ihr seid großartig.

Und zum Schluss noch wie jedes Jahr eine Version meines Lieblingsweihnachtslieds, diesmal eine Live-Version von Amy MacDonald. Bitte schön.

Kurz vor Weihnachten haben Oliver und ich es noch geschafft, eine neue Folge unsere BlackBerry-Podcasts aufzuzeichnen. Wir sprechen diesmal natürlich viel über das Priv, das erste Androidphone von BlackBerry, aber auch über unseren "Betriebsausflug" nach Frankfurt zur Experience und zum Pop-Up Store.

Wir hatten viel Spaß beim Aufnehmen des Podcasts und hoffen, dass das Ergebnis euch auch gefällt.

Hier geht es zum Podcast auf bbugks.de.

Vor allem unter den Webdevelopern wird es einen erleichtertes "Na endlich!" gegeben haben, als Microsoft nun verkündet hat, dass der Support für alle Internet Explorer vor der Version 11 zum 12. Januar 2016 einstellt.

Das bedeutet, dass es ab diesem Datum keinen technischen Support und vor allem keine Sicherheitsupdates mehr für die alten Versionen geben wird.

Im privaten Umfeld dürfte das Problem eher kleiner sein, da die automatischen Updateroutinen von MS mittlerweile den IE auf die neueste Version gehoben haben sollten, sofern man nicht mehr das ohnehin nicht mehr unterstützte Windows XP nutzt.

Problematischer ist es eventuell im Firmenumfeld, wo leider viele Anwendungen immer noch auf eine alte Internet Explorer Version "optimiert" sind und sich selbst im Kompatibilitätsmodus nicht zur Mitarbeit auf der akutellen 11er überreden lassen. Hier kommt sicher auf Entwicklungs und IT-Abteilungen noch einige Arbeit zu.

Freuen dürften sich alle, die mit der Entwicklung von Frontends für Webseiten beschäftigt sind, denn hier waren bisher immer einige Verrenkungen notwendig, um Webseiten auch auf veralteten Browsern aus Redmond einigermaßen vernünftig  darzustellen. Das dürfte dann ab Januar Geschichte sein (hoffentlich).

Das Video ist zwar schon gut ein Jahr alt, passt aber gut zum momentanen Starwars-Fieber.

Han Solo und seine Legokumpels bauen das Legomodell des Rasenden Falken selbst zusammen.

Bitteschön.

Wer einen Rootserver - egal ob es eine physische oder virtuelle Maschine ist - im Internet betreibt, muss sich Gedanken um dessen Absicherung machen. Früher oder später kommt man dann auch an den Punkt, wo man entscheiden muss, ob man einen Paketfilter wie Iptables auf seinem Server konfigurieren soll. Hier gibt es unterschiedliche Meinungen im Netz, ob das sinnvoll ist oder nicht. Schauen wir die Argumente doch mal an.

Gründe, warum man keinen Paketfilter auf dem Rootserver benötigt

Auf einem Rootserver gibt es normalerweise nur ein Netzwerkinterface, dass nach außen auf das Internet routet. Daneben haben wir immer noch das lokale Interface, dass nur intern auf dem Rechner erreichbar ist. Auf dem "klassischen" Rootserver sollen Dienste, die man installiert, in der Regel auch vom Internet erreichbar sein. Auf Ports, die nicht erreichbar sein sollen, sollte auch kein Dienst erreichbar sein. Ein Beispiel ist der Webserver, der natürlich vom Internet erreichbar sein soll. Das Datenbankbackend sollte aber nur vom Webserver auf dem internen Interface erreichbar sein. Wenn also alle Dienste auf dem Server korrekt installiert sind, macht ein Paketfilter keinen wirklichen Sinn. 

Ein Schutz gegen DDOS-Angriffe oder ein Lastverteilung muss immer auf den Routern vor dem Rootserver laufen, um zu funktionieren. Also ist auch dies kein Grund für eine Iptables auf dem Server selbst.

Szenarien, in denen ein Paketfilter Sinn macht

Zunächst einmal kann man den Paketfilter als "Sicherheitsnetz" betreiben. Wenn man mal einen Dienst, der eigentlich nur auf der internen Schnittstelle erreichbar sein soll, falsch konfiguriert, wäre er dann aufgrund den dann nicht freigeschalteten Ports eben nicht erreichbar und die Fehlkonfiguration hätte keine Auswirkungen auf die Sicherheit des Servers. Außerdem könnte ein installierter Dienst eine Sicherheitslücke haben, durch die ein Angreifer einen Dienst im Benutzerkontext etablieren könnte, der dann von außen erreichbar ist und entsprechend ausgenutzt werden könnte. Ein Paketfilter würde so etwas verhindern.

Dann gibt es noch einige spezielle Szenarien, die einen Paketfilter nötig machen. So wäre zum Beispiel ein Portknocking möglich, bei dem ein Dienst erst erreichbar ist, nachdem man auf einem anderen nicht bekannten Port "angeklopft" hat.

Fazit

Grundsätzlich macht ein Paketfilter auf einem Rootserver erstmal keinen Sinn. Zur Absicherung von Fehlkonfigurationen oder Folgen von Angriffen auf erreichbare Dienste kann Iptables aber durchaus Sinn machen und genutzt werden. Für einige spezielle Aufgabenstellungen wird der Paketfilter sogar explizit benötigt. Jeder Betreiber eines Rootservers sollte die Notwendigkeit also selbst beurteilen und eine entsprechende Konfiguration einsetzen.

Habt ihr einen Rootserver in Betrieb? Wie sieht es bei euch mit dem Betrieb eines Paketfilters aus. Gibt es Szenarien, die ich nicht angesprochen habe? Lasst es mich in den Kommentaren wissen.

Es ist auch nach zwei Tagen noch schwer, meine Gefühle und Gedanken zu sortieren. Hauptsächlich ist es Trauer und Mitgefühl, vielleicht auch ein wenig Wut. Solche Anschläge wie in Paris gibt es in Syrien und anderen Kriegsgebieten in der Welt täglich, und doch machen die Anschläge in Paris doch mehr mit mir. Warum eigentlich? Weil die täglichen schlimmen Geschehnisse  in der Welt nicht so in den Medien präsent sind? Oder weil man sich tragischerweise daran  hat, das "so etwas" halt passiert?

Man sucht für sich selbst nach Erklärungen und auch nach Antworten auf die Fragen und Ängste der Kinder (eine kleine Hilfestellung liefern übrigens die Erklärseiten bei logo.de). Im Alltag muss man immer wieder Antworten finden auf so manche Äusserung wie "das haben wir hier auch bald".

In den sozialen Medien ging mal wieder einiges ab. Aber  warum wird versucht,  jede Einzelheit und jede Kleinigkeit zum Anschlag zu berichten. Muss ich unbedingt wissen, wo wieviele Menschen mit welchen Methoden von wie vielen Tätern ermordet wurden. Braucht es Bilder von Leichen, blutigen Kleidern und Bürgersteigen? Man hat eventuell das Bedürfnis, durch das Erfahren von Details das ganze besser zu verstehen, aber tut man das? Patricia schreibt hier auch etwas darüber.

Jetzt ist das Wochenende vorbei und für die meisten von uns beginnt der Alltag der  neuen Woche. Lasst uns versuchen, unsere Menschlichkeit zu bewahren und unsere  Empathie für die Nöte und Bedürfnisse unserer Mitmenschen nicht verlieren. Wir müssen aber auch unsere Freiheit verteidigen und nicht aus Angst diese immer mehr durch Überwachung einschränken lassen.