ITrig

Nach dem etwas dubiosen Ende der Verschlüsselungssoftware Truecrypt, muss nicht gleich über eine Alternative nachgedacht werden. Das Tool wird zwar nicht mehr aktualisiert, große Sicherheitslücken sind der Öffentlichkeit dennoch bis jetzt nicht bekannt.

In Zukunft wichtiger ist jedoch die Unterstützung für GPT (GUID Partition Table). Der Nachfolger des MBR (Master Boot Records) wird zurzeit nur von wenigen Programmen unterstützt. Truecrypt befand sich ebenfalls nicht darunter. Das heißt, es bleiben nur Tools wie Bitlocker zur Verschlüsselung solcher Systeme übrig. 

Bitlocker 

Das Microsoft Verschlüsselungsprogramm Bitlocker ist in Windows 8 fest integriert und unterstützt Windows 7 Enterprise bzw. Ultimate.

In einer letzten Meldung wurde das Programm von den Truecrypt Entwicklern empfohlen, obwohl es keinen allzu guten Ruf genießt. Im Rückblick auf die NSA Enthüllungen und Microsoft ist das kaum verwunderlich.

Bitlocker Verschlüsselung ohne TPM freischalten

Von Haus aus unterstützt und verlangt Bitlocker TPM (Trusted Platform Module), einen Sicherheitschip auf dem Mainboard, um die Festplatte zu verschlüsseln. Ist dieser Chip nicht vorhanden, muss Bitlocker ohne TPM freigeschaltet werden.

Dazu kann die weiter unten aufgeführte Reg Datei heruntergeladen oder die GPO Regel

• Start --> Ausführen
• gpedit.msc
• Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\BitLocker-Laufwerkverschlüsselung\Betriebssystemlaufwerke
  
• BitLocker ohne kompatibles TPM zulassen aktivieren

freigeschaltet werden.

Danach ist es möglich das System ohne TPM zur verschlüsseln.

Wie bereits erwähnt kann auch einfach ein Registry Eintrag angepasst werden.

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\FVE]

"UseAdvancedStartup"=dword:00000001

"EnableBDEWithNoTPM"=dword:00000001

"UseTPM"=dword:00000002

"UseTPMPIN"=dword:00000002

"UseTPMKey"=dword:00000002

"UseTPMKeyPIN"=dword:00000002

"EncryptionMethodNoDiffuser"=dword:00000004

"EncryptionMethod"=dword:00000002

Um euch Arbeit zu ersparen, könnt ihr den fertigen Reg Schlüssel hier herunterladen. Danach entpacken und ausführen und TPM ist deaktiviert.

Bitlocker Verschlüsselungsmethode stärken

In den Standardeinstellungen arbeitet Bitlocker mit einer 128Bit Verschlüsselung. Diese Methode kann ebenfalls über die Gruppenrichtlinien auf 256Bit verstärkt werden.

Hier kann ähnlich wie im ersten Schritt vorgegangen werden.

• Start --> Ausführen
• gpedit.msc
• Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\BitLocker-Laufwerkverschlüsselung\Betriebssystemlaufwerke
  
• Verschlüsselungsmethode und Verschlüsselungsstärke für Laufwerk auswählen
• Verschlüsselungsmethode auswählen
• AES 256-Bit mit Diffusor

Für die stärkere Verschlüsselung habe ich euch ebenfalls einen Registryschlüssel erstellt.

Einfach herunterladen, entpacken, ausführen und schon seid ihr auf der sicheren Seite.

Download Reg Schluessel Bitlocker_Verschluesselung_AES_256-bit_mit_Diffuser

Netzwerkadressen berechnen, manche beherrschen es, für andere sind es böhmische Dörfer. Wie bei so vielen Problemen gibt es auch hier Abhilfe. Dieses Mal in Form des kleinen Programms IPcalc. 

Das Tool greift euch bei der Berechnung von Netzwerken, Subnetzwerken oder Netzwerkmasken unter die Arme. via

IPCalc installieren

sudo apt-get install ipcalc

IPCalc verwenden

Die Anwendung bzw. Berechnung ist nicht schwer, es muss lediglich eine IP und oder eine IP und das gewünschte Subnet angeben werden.

z.B.

ipcalc 192.168.10.1

ipcalc 192.169.1.0/30 

IPCalc ist nicht das einzige Linux Kommandozeilentool, welches euch im laufenden Serverbetrieb ein paar Subnetze berechnet.

Alternativ kann auch auf SipCalc zurückgeriffen werden.

SipCalc 

sudo apt-get install sipcalc

Die Funktionen sind unter SipCalc vielfältiger, es können IPv6 Adressen verarbeitet oder einfach die lokale Netzwerkschnittstelle weiterverwendet werden. Hier zwei Beispiele:

sipcalc ff02::1/24

sipcalc eth0

Für eine Auswertung der ein- und ausgehenden Anrufe einer Telefonanlage ist es unerlässlich, dass eine Logfunktion aktiv und auswertbar ist. Bei einer Elastix Installation oder einem Update derselbigen kann es durchaus passieren, dass der sogenannte CDR Report leer bleibt.

Wie so oft ist ein Ursache dieses Problems nicht gleich zu finden, da solche Installationen oft komplex sind und jedes System anders konfiguriert ist. Dennoch hilft ein Blick in die Konfiguration, um dieses Problem zu lösen.

Am einfachsten erkennbar ist die Problematik durch die Konsole, welche über "asterisk -rvv" aufgerufen werden kann. (Je mehr v  (verbose) angegeben wird, desto mehr Logs seht ihr in der Konsole).  

Hat das System Probleme mit dem Logging wird wahrscheinlich folgende Ausgabe vorliegen:

cdr show status  

  Call Detail Record (CDR) settings

  ---------------------------------

  Logging:                    Disabled

  Mode:                       Simple

cdr mysql status

Connected to asteriskcdrdb on socket file default using table cdr for 3 minutes, 56 seconds.  Wrote 0 records since last restart.

Somit ist klar das etwas im Argen liegt, das Logging ist nicht aktiviert und es werden keine neuen Einträge in der Datenbank hinterlegt. Der nächste Schritt sollte somit den Konfigurationsdateien gelten.

Folgende Einträge (und nur diese) müssen in den einzelnen Dateien für einen korrekten Betrieb hinterlegt sein:

/etc/asterisk/cdr.conf

[csv]

usegmtime=yes    ; log date/time in GMT.  Default is "no"

loguniqueid=yes  ; log uniqueid.  Default is "no"

loguserfield=yes ; log user field.  Default is "no"

accountlogs=yes  ; create separate log file for each account code. Default is "yes"

/etc/asterisk/cdr_manager.conf

[general]

enabled = no

/etc/asterisk/cdr_mysql.conf

[global]

hostname = localhost

dbname=asteriskcdrdb

password = xxxxxx

user = asteriskuser

userfield=1

Wurden alle Werte richtig gesetzt, sollten noch die zuständigen Module neu gestartet werden. Dazu muss wieder in die Asterisk Konsole via "asterisk -r" gewechselt werden.

reload module cdr

reload module cdr_mysql.so

Sind nun alle Konfigurationen korrigiert und wurden die Module richtig geladen, sollte nach einem erneuten Test folgende Ausgabe erscheinen:

cdr show status  

  Call Detail Record (CDR) settings

  ---------------------------------

  Logging:                    Enable

Danach sollte sich der CDR Report (/var/log/asterisk/cdr-csv/Master.csv) nach und nach mit Einträgen füllen

Die Entwickler rund um den Nagios Fork Icinga, haben Version 2.0 ihres Open-Source-Monitoring Tools veröffentlicht.

Damit schlägt man neue Wege ein, denn die Anwendung wurde ohne Vorbild Nagios in Bezug auf die Codebasis entwickelt.

Dadurch versprechen sich die Entwickler mehr Möglichkeiten bei Erweiterungen, Performance und Co. 

Gerade bei letzterem kann Dank paralleler Threads Boden gut gemacht werden, somit sollen bis zu 1 Million Checks pro Minute möglich sein. 

Um die Ausfallsicherheit zu erhöhen, wurde ein Load Balancing implementiert.

Ein Umstieg von v1 zu v2 soll dank Erweiterungen kein Problem darstellen. Für Interessierte steht bereits eine ausführliche Dokumentation bereit.

Fazit

Da ich beide Systeme (Icinga/Nagios) kenne, bin ich gespannt, wie das Handling der neuen Icinga Version ausfällt. Mal schauen wann die Zeit für ein Testsystem da ist. 

Das leidige Thema Zertifikate hatte ich auf dem Blog nun schon öfters, vielleicht erinnert ihr euch ja noch an das selbstsignierte Tomcat Zertifikat.

Damals wurde anders als bei der klassischen Variante mit Apache/OpenSSL auf Keytool zurückgegriffen. Sozusagen das Pendant unter Java.

Heut möchte ich euch ein paar weitere praktische Befehle dazu zeigen. Zunächst muss das Keytool aber gefunden werden.

Unter Windows befindet es sich meist im Bin-Ordner der Java Installation, beispielsweise "C:\Program Files\Java\jre7\bin"

Unter Linux genügt ein einfaches "whereis keytool", um den gewünschten Pfad, beispielsweise "/usr/bin/keytool" zu finden.

9 praktische Keytool Befehle

Einen Keystore und ein Schlüsselpaar erzeugen

keytool -genkey -alias domain -keyalg RSA -keystore keystore -keysize 2048

Eine Zertifikatsanfrage erstellen

keytool -certreq -alias domain -keystore keystore -file anfrage.csr

Ein signiertes Zertifikat in den Keystore importieren

keytool -import -trustcacerts -alias domain -file domain.crt -keystore keystorefile

Ein vorhandenes Zertifikat exportieren

keytool -export -alias meincert -file meinexportiertescert.crt -keystore keystorefile

Ein selbstsigniertes Zertifikat erstellen

keytool -genkey -keyalg RSA -alias selfsigned -validity 3600 -keysize 2048

Ein Vorhandenes Zertifikat auslesen 

keytool -printcert -v -file meincert.crt

Welche Zertifikate befinden sich im Keystore?

keytool -list -v -keystore keystore

Liste die vertraulichen CAs auf

keytool -list -keystore /opt/data/cacerts

Lösche ein Zertifikat aus dem Keystore

keytool -delete -alias domain -keystore keystore