Skip to content

HTTP Anfragen mit Referrer Control kontrollieren

Bei jeder HTTP Anfrage wird der Webseite mitgeteilt, woher der Besucher kommt. Das heißt, sobald ihr beispielsweise auf einen Link zur Wikipedia von diesem Blog klickt, erhält Wikipedia als Referrer http://www.itrig.de mitgeteilt.

Referrer Control 

Dieser Referrer lässt sich kontrollieren, bzw. manipulieren. Die einfachste Methode stellt ein Browser Plugin dar. Für Firefox hatte ich vor langer Zeit bereits RefControl vorgestellt. Dieses wird jedoch nicht mehr weiterentwickelt. Hier kommt Referrer Control ins Spiel.

referrer-control

Das Add-on steht für Firefox und Chrome zur Verfügung und gibt euch die Kontrolle des gesendeten Referrers zurück. Es kann festgelegt werden, ob das Ziel oder die Quelle blockiert werden soll, wobei zwischen Domain, URL und Host gewählt werden kann.

Wer etwas mehr Wert auf seine Privatsphäre Wert legt, der sollte sich dieses Add on sicherlich etwas genauer anschauen. Der Surfkomfort wird dadurch nicht beeinträchtigt.

Download Referrer Control Firefox

Download Referrer Control Chrome 

Ubuntu Studio 14.04 LTS - Multimedia System für Musik-, Video- oder Grafikspezialisten

Bekanntermaßen existieren von Ubuntu 14.04 viele Derivate, wie beispielsweise Lubuntu, Kubuntu oder Xubuntu, um mal ein paar zu nennen.

Für Anwender im Multimediabereich existiert Ubuntu Studio, welches nun in der aktuellen Version 14.04, mit Unterstützung für Langzeitupdates, erschienen ist.

Ubuntu-Studio

Diese Version richtet sich an Nutzer die im Musik-, Video-, Foto- oder Grafikbereich tätig sind, denn viele frei verfügbare Anwendungen aus diesem Bereich sind bereits vorinstalliert. 

Unter anderem bietet das System folgende vorinstallierte Programme:

Audio

  • JACK - Audio Server
  • Ardour - Digital Audio Workstation
  • Audacity - Wave Editor
  • Qtractor - Midi Editor
  • Hydrogen - Drum Computer
  • Yoshimi - Synthesizer
  • Rakarrack - Gitarrensimulator
  • Audio Programmierung
  • ...usw.

Grafik

  • Blender - 3D Grafiksoftware
  • Inkscape - Vektorgrafik Editor
  • GIMP - OpenSource Photoshop
  • MyPaint - Zeichenprogramm
  • ...usw

Video

  • Openshot - Video Editor
  • FFMPEG
  • DVDStyler
  • ..usw

Foto

  • Darktable - Digital Asset Management-Software
  • Shotwell
  • RawTherapee
  • OpenShot
  • ...usw.

Wer eine Alternative zu kommerziellen und teils teuren Windows Programmen sucht, der sollte zuschlagen und sich Ubuntu Studio mal etwas genauer anschauen. Natürlich kann jedes bestehende Linux mit den gleichen Tools nachgerüstet werden.

Download Ubuntu Studio 14.04 LTS

Asterisk/Elastix - Standard Passwörter der einzelnen Module

Zum Dienstag der zweite Tipp für Asterisk bzw. Elastix. Dieses Mal eine kleiner Überblick über die Standardzugänge der Anwendungen und Module des Telefonsystems.

Elastix

Je nachdem welche Version ihr im Einsatz habt, gibt es mehrere Möglichkeiten, wie die Zugänge lauten können.

Modul Benutzername Passwort Alternativ Passwort
FOP admin eLaStIx.2oo7 eLaStIx.7.2oo8
a2billing admin mypassword
SugarCRM admin password
Elastix admin palosanto klaw2005
AvantFax admin password
MySQL root eLaStIx.2oo7 eLaStIx.2oo7.2008
Asterisk admin elastix456
vTiger admin admin
Openfire admin Installationsabhängig
freePBX admin admin adminor

Hardening Apache Server - In 5min einen Webserver sicherer machen

Letzte Woche hatte ich euch kurz erklärt wie sich ein Apache in Verbindung mit einem Tomcat installieren lässt. Um auf der sicheren Seite zu sein, wurde der Apache gleich mit SSL "SSLEngine on" und einem selbstsignierten Zertifikat konfiguriert. 

In den folgenden Schritten möchte ich zeigen, wie ein Webserver (Apache) weiter abgesichert werden kann. Dazu müssen lediglich weitere Parameter in der Apache Konfiguration "/etc/apache2/sites-available/default-ssl.conf" gesetzt werden.

apache

Theoretisch könnt ihr die folgenden Zeilen direkt in eure Konfigdatei kopieren:

Apache Server härten

Wie bereits oben beschrieben werden alle Einstellungen in der default-ssl.conf gesetzt, innerhalb des ""VirtualHost" Bereichs:

Unsichere SSL Versionen blockieren

SSLProtocol All -SSLv2 -SSLv3

SSL Kompression deaktivieren um beispielsweise der "Crime" Attacke vorzubeugen 

SSLCompression off

Der Server soll vorgeben welche Verschlüsselung verwendet werden darf, normalerweise sucht sich der Client selbst etwas aus. 

SSLHonorCipherOrder On

Sichere Cipher Suites direkt vorgeben und ungewollte blockieren 

SSLCipherSuite ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES256-GCM-SHA384:AES128-GCM-SHA256:AES256-SHA256:AES128-SHA256:AES256-SHA:AES128-SHA:DES-CBC3-SHA:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4

Damit ist der Grundstock für einen sicheren Apache gelegt.

HTTP Strict Transport Security aktivieren

Ein weiterer Sicherheitsaspekt wäre beispielsweise HTTP Strict Transport Security.

Nach Aktivierung dieser Option ist es nicht mehr möglich Session Cookies abzugreifen, indem man den Anwender auf eine unsichere HTTP Webseite leitet. Dem Apache wird sozusagen mitgeteilt, über einen bestimmten Zeitraum (max-age - Angaben in Sekunden) nur noch HTTPS Verbindungen zuzulassen.

Um diese Funktion nutzen zu können, muss zunächst ein Apache Modul installiert werden

a2enmod headers

Danach kann wiederum in die default-ssl.conf folgendes eingetragen werden. Im Beispiel wir dem Server mitgeteilt, dass er die nächste 10 Jahre nur HTTPS Verbindungen zulassen soll. Mögliche Subdomains werden mit einbezogen.

Header always set Strict-Transport-Security "max-age=63072000; includeSubDomains"

OCSP (Online Certificate Status Protocol) aktivieren

Eine weitere Möglichkeit den eigenen Webserver gegen Angriffe zu schützen ist OCSP. Hierbei wird während des Aufbaus einer SSL/TLS Verbindung das Zertifikat auf Echtheit überprüft.

Hierzu ist natürlich ein offizielles Zertifikat eines CA notwendig. Diese Sicherheits-Funktion bietet ihre Vor- und Nachteile, warum ich sie nur bedingt empfehle.

Bei einem selbstsignierten Zertifikat, macht diese Sicherheitsfunktion sowieso wenig Sinn. Dennoch hier der Befehl, wie diese eingebunden wird (benötigt Apache 2.4):

SSLUseStapling on

SSLStaplingCache "shmcb:logs/stapling-cache(150000)"

Abschlusstest

Egal welche Funktion ihr in eine Konfiguration einbaut. Sie sollte vor Inbetriebnahme immer getestet werden

apache2ctl -t

sudo service apache2 restart 

IT Forensik - Kali Linux 1.0.7 - USB Stick Verschlüsselung

Der Vollständigkeit halber will ich noch kurz erwähnen, dass in der letzten Woche die Version 1.0.7 der bekannten Hacker und Forensik CD Kali Linux veröffentlicht wurde. 

Neben der Aktualisierung des Kernels und diverser Programmpakete, unterstützt die Distribution nun auch die Verschlüsselung der Home Partition via LUKS (Linux Unified Key Setup).

Die Verschlüsselung wird erst dann wichtig, wenn der sogenannte persistente Modus aktiviert ist. In dieser Variante können auf einem USB Stick persönliche Einstellungen hinterlegt werden. Damit diese sicher sind, werden sie verschlüsselt.

Im äußersten Notfall kann der Stick auf mit Hilfe der Nuke Funktion komplett bereinigt werden.

Bootoptionen Kali Linux

  • Live (amd64)
  • Live (amd64 failsafe)
  • Live (forensic mode)
  • Live USB Persistence
  • Live USB Encrypted Persistence
  • Install
  • Graphic Install

Für den Hausgebrauch reicht ein USB Stick mit 8-16GB völlig aus. USB 3.0 ist "nice to have", aber nicht zwingend nötig.

Download Kali Linux