Kategorien
Allgemein

Temporäre Abschaltung auf unbestimmte Zeit

Aus persönlichen Gründen sind die meisten Server Dienste auf unbestimmte Zeit abgeschaltet.

Die Webseite ist nun ein statischer html Dump auf einer sehr kleinen Server Instanz in der Cloud.

Das WordPress hatte teilweise uralte Plugins, ein seriöser Betrieb war nicht mehr gesichert.

Zu einem unbekannten Zeitpunkt in der Zukunft wird eine neue Webseite entstehen.

Kategorien
Allgemein

Legrand 19″ Keor PDU 800VA – UPS COMMUNICATOR LINUX: 1.34

Mit einem aktuellen Debian gibt es das Problem, dass das Gerät nicht als /dev/ttyUSBx oder ähnlich verfügbar ist, sondern als /dev/hidraw0. In der Konfiguration ist dies nicht einstellbar. Die Installation benötigt 32 Bit Unterstützung. Zudem hat das Programm den Server instabil gemacht.

Abhilfe mit virtueller Maschine mit Windows 10 unter Virt Manager

Der Server hat einige VMs mit Virt Manager. Ich habe ein Windows 10 als virtuelle Mschinen installiert. Die USV wird als USB Gerät durchgeschleift.

VM Konfiguratin in Virt Manager, Gerät hinzufügen, USB Host Gerät, Legrand Kero PDU 800 auswählen.

Auf diesem Windows UPS COMMUNICATOR – WINDOWS: 1.34 installieren und konfigurieren. Ich habe den Shutdown fest auf 5 Minuten gesetzt. Bei Stromausfall fährt nach fünf Minuten die VM runter.

Damit der Host ebenfalls runter gefahren wird, habe ich auf dem Debian Host ein Script /root/usv.sh als Cronjob angelegt. Die IP Adresse der Windows VM muss eingetragen werden.

!/bin/bash
PATH=/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin
usvvm='192.168.1.2'
count=$(/bin/ping -c 3 $usvvm | /bin/grep from* | /bin/wc -l)
if [ $count -eq 0 ]; then
shutdown -h 0
else
exit 0
fi

Das Script muss ausführbar sein. chmod +x /root/usv.sh

mit crontab -e (als root) folgender Eintrag:

*/2 * * * * /root/usv.sh

Falls die Windows VM nicht schnell genug hochfährt (muss in Virt Manager als automatischer Start konfiguriert sein), kann beim Starten des Host dieser schon wieder runterfahren. Dann statt */2 auf 3, 4 oder 5 Minuten setzen. Gegeben falls den Shutdown beim UPS COMMUNICATOR reduzieren, damit die Akku Kapazität reicht.

Die Konfiguration vom Virt Manager /usr/lib/libvirt/libvirt-guests.sh sollte anfolgender Stelle angepasst werden, wenn auf dem Server noch andere virtuelle Maschinen eingesetzt werden:

ON_SHUTDOWN="shutdown"
SHUTDOWN_TIMEOUT=100
PARALLEL_SHUTDOWN=20

Der Timeout muss so hoch sein, dass ein normales Herunterfahren ausreicht. Falls eine VM hängt, wird dannach hart ausgeschaltet. Der parallele Shutdown ist zu empfehlen.

Kategorien
Allgemein

How to “Mini IPV6 Provider werden” for Dummies – Oder wie ich hart scheiter

Ich bin frustriert und sehr wahrscheinlich wird dieses Projekt nie klappen. So lange Kapitalismus bedeutet, dass Wissende ihr Wissen nicht weiter geben, kann nur darum gebettelt werden. Ich hatte mir vom links progressiven Chaos Umfeld mehr erhofft.

Dies ist die Fortsetzung, Provider zu werden. Nach der Deklaration bei der Bundesnetzagentur mit Sicherheitskonzept
https://www.kilo-byte.de/bundesnetzagentur-sicherheitskonzept-fuer-freies-wlan-und-tor-exit-node/
nun der Weg zu einer eigenen ASN (Autonomes System Nummer) und die Anbindung mit BGP (Border Gateway Protokol).

Mein Dank geht an Securebit in der Schweiz, an Freifunk und an Freunde und Bekannte, ohne deren Unterstüzung ich mit diesem Projekt nicht weiter gekommen wäre.

Im Sinne der Inklusion teste ich die Realität, wie weit Inklusion gehen kann. Dieses Thema ist schon etwas speziell, Leute zu finden, die davon was wissen, ist überschaubar. Zeitmangel ist ebenfalls ein Problem.

Es gibt sicherlich ganz andere Umsetzungen, hier folgt mein Versuch:

Die RIPE

Eine volle RIPE Mitgliedschaft ist für ein Test Mini Provider etwas teuer. Sollten jedoch Abitionen zu einem richtigen Anbieter entstehen, ist der Mitgliedsbeitrag ok. Die RIPE vergibt im europäschen Raum die öffentlichen IP Adressen als Blöcke. IPV4 Adressen sind verbraucht, ein /24, also 256 IPV4 Adressen werden zum Preis eines Teslas von Mitgliedern getauscht. Heute gibt es frisch nur IPV6 Adressen, dass ist auch gut so, das Internet soll zu IPV6.

Vollmitglieder können kleinere Blöcke als LIR spenden. Ich habe so ein Spender gefunden. Für ein deutlich günstigeren Betrag bin ich so an ein /48 Block gekommen, damit sind ca. 65.000 Netzwerke addressierbar. Der gebende Provider meldet das gespendete Netzwerk an die RIPE. Mit den Eintragungen konnte ich mit meiner angegebenen E-Mail Adresse ein Login bei der RIPE erstellen.

Vor einigen Wochen hatte ich versucht, auf dem Server eine BGP Session einzurichten. Dazu später mehr. Die erhofften Verbindung kam nicht zustande. Die Suche nach dem Fehler in der Konfiguration. Es musste erst etwas anderes geschehen.

Auf der Verwaltungsobefläche der RIPE sollte ich mich als Maintainer anlegen. Diesen Maintainer konnte der Spenderprovider dann hinzufügen.
Dieser Schritt ist notwendig, um dann ein “route6 object” zu erstellen.


Dann klappen auch die BGP Sessions.

Aus Unwissenheit zunächst der Widerstand. Ich hatte ein Debian Linux mit Bird2 aufgesetzt und ein MikroTik OS Router. Später bin ich bei MikroTik auf der VM geblieben.

Die Konfiguration

Im Rechenzentrum vor Ort, wo ich die ersten beiden Peering machen kann, habe ich eine VM mit MikroTik OS gemietet. Mit einem GRE Tunnel hole ich das /48 zu meinem Server mit pfSense. Später können dort z.B. VPN Netzwerke verwaltet werden.

Mein zugeteiltes /48 nenne ich abc:123:123:: (AS123)
Die VM hat zur Verwaltung eine IPV4 und eine IPV6 Adresse, nenne ich mal 1.2.3.4 und 1111:2222:3333:4::1
Die beiden Peers nenne ich 11:11:11:11::1 (AS1) und 22:22:22:22::2 (AS2)
Der GRE Tunnel geht zur pfSense, diese nenne ich 99.99.99.99

BGP auf MikroTik Router

tcp-md5-key=”” noch ausgeklammert

[ich@MikroTik] > 

[ich@MikroTik] > /system package enable ipv6

[ich@MikroTik] > /routing bgp instance

[ich@MikroTik] /routing bgp instance> set default as=123

[ich@MikroTik] /routing bgp instance> /routing bgp network

[ich@MikroTik] /routing bgp network> add network=abc:123:123::/48 synchronize=no

[ich@MikroTik] /routing bgp network> /routing bgp peer

[ich@MikroTik] /routing bgp peer> add name=AS1 remote-address=11:11:11:11::1 remote-as=1 address-families=ipv6

[ich@MikroTik] /routing bgp peer> add name=AS2 remote-address=22:22:22:22::2 remote-as=2 address-families=ipv6

BGP überprüfen

[ich@MikroTik] > /routing bgp peer print       
Flags: X - disabled, E - established
# INSTANCE REMOTE-ADDRESS REMOTE-AS
0 E default 11:11:11:11::1 1
1 E default 22:22:22:22::2 2

[ich@MikroTik] > /routing bgp peer print status
Flags: X - disabled, E - established
0 E name="AS1" instance=default remote-address=11:11:11:11::1 remote-as=1 tcp-md5-key="" nexthop-choice=default multihop=no route-reflect=no hold-time=3m ttl=255
in-filter="" out-filter="" address-families=ipv6 default-originate=never remove-private-as=no as-override=no passive=no use-bfd=no remote-id=1.1.1.1
local-address=1111:2222:3333:4::1 uptime=3d18h18m25s prefix-count=140914 updates-sent=112877 updates-received=668221 withdrawn-sent=101842 withdrawn-received=71112
remote-hold-time=4m used-hold-time=3m used-keepalive-time=1m refresh-capability=yes as4-capability=yes state=established
1 E name="AS2" instance=default remote-address=22:22:22:22::2 remote-as=2 tcp-md5-key="" nexthop-choice=default multihop=no route-reflect=no hold-time=3m
ttl=255 in-filter="" out-filter="" address-families=ipv6 default-originate=never remove-private-as=no as-override=no passive=no use-bfd=no remote-id=2.2.2.2
local-address=1111:2222:3333:4::1 uptime=3d18h14m14s prefix-count=141026 updates-sent=562603 updates-received=613306 withdrawn-sent=101735 withdrawn-received=59775
remote-hold-time=3m used-hold-time=3m used-keepalive-time=1m refresh-capability=yes as4-capability=yes state=established

GRE Tunnel auf MikroTik Seite

[ich@MikroTik] > /interface gre

[ich@MikroTik] /interface gre> add name=Gre remote-address=99.99.99.99 local-address=1.2.3.4 mtu=1400 keepalive=10s,10 dscp=inherit clamp-tcp-mss=yes dont-fragment=no allow-fast-path=no

[ich@MikroTik] /interface gre> /ipv6 address

[ich@MikroTik] /ipv6 address> add address=abc:123:123:1::1/64 advertise=no interface=Gre

IPV6 an NetzwerkportH

[ich@MikroTik] /ipv6 address> add address=abc:123:123::1/64 advertise=no interface=ether1

GRE Tunnel auf pfSense Seite

GRE Tunnel mit Remote Addresse 1.2.3.4, Lacal IPv6 tunnel address abc:123:123:1::2 und Remote IPv6 address abc:123:123:1::1 im Subnet 64 erstellt.

Die Schnittstelle wurde zugewiesen und aktiviert; MTU auf 1400 vorerst gesetzt.

Die Firewall zunächst sehr offen gemacht.

Unter System / Routing / Gateway ist
Name: AS123_TUNNELV6 Standard: Default (IPv6) Schnittstelle: AS123 Gateway: 123:123:1::1 Monitor IP: 123:123:1::1
eingetragen.

Bei der LAN Schnittstelle wurde die IPv6 Addresse abc:123:123:2222::1 /64 eingetragen.

Unter DiensteDHCPv6 Server & RALANDHCPv6-Server wurde im Subnetz abc:123:123:2222:: der Bereich abc:123:123:2222:: bis abc:123:123:2222:ffff:ffff:ffff:ffff aktiviert.


Router Werbung im Modus Unterstützt – RA Flags [managed, other stateful], Prefix Flags [onlink, auto, router]

Wahrscheinlich falsch! – Router Werbung im Modus Unterstützt – RA Flags [managed, other stateful], Prefix Flags [onlink, auto, router] – Wahrscheinlich falsch!

Was funktioniert, was nicht funktioniert

PING6(56=40+8+8 bytes) abc:123:123:1::2 --> abc:123:123:1::1 16 bytes from abc:123:123:1::1, icmp_seq=0 hlim=64 time=20.525 ms 16 bytes from abc:123:123:1::1, icmp_seq=1 hlim=64 time=19.964 ms 16 bytes from abc:123:123:1::1, icmp_seq=2 hlim=64 time=20.327 ms --- abc:123:123:1::1 ping6 statistics --- 3 packets transmitted, 3 packets received, 0.0% packet loss round-trip min/avg/max/std-dev = 19.964/20.272/20.525/0.232 ms
PING6(56=40+8+8 bytes) abc:123:123:1::2 --> 2a00:1450:400a:802::2003 16 bytes from 2a00:1450:400a:802::2003, icmp_seq=0 hlim=120 time=24.761 ms 16 bytes from 2a00:1450:400a:802::2003, icmp_seq=1 hlim=120 time=127.721 ms 16 bytes from 2a00:1450:400a:802::2003, icmp_seq=2 hlim=120 time=22.418 ms --- google.de ping6 statistics --- 3 packets transmitted, 3 packets received, 0.0% packet loss round-trip min/avg/max/std-dev = 22.418/58.300/127.721/49.098 ms

Ping innerhalb des Gre Tunnels funktioniert. Ping von Gre zur Welt funktioniert ebenfalls.

PING6(56=40+8+8 bytes) abc:123:123:2222::1 --> abc:123:123:1::2 16 bytes from abc:123:123:1::2, icmp_seq=0 hlim=64 time=0.071 ms 16 bytes from abc:123:123:1::2, icmp_seq=1 hlim=64 time=0.025 ms 16 bytes from abc:123:123:1::2, icmp_seq=2 hlim=64 time=0.026 ms --- abc:123:123:1::2 ping6 statistics --- 3 packets transmitted, 3 packets received, 0.0% packet loss round-trip min/avg/max/std-dev = 0.025/0.040/0.071/0.022 ms

Mit der LAN IP Addresse auf der der pf Sense geht Ping auf die GRE Addresse der pfSense.

PING6(56=40+8+8 bytes) abc:123:123:2222::1 --> abc:123:123:1::1 --- abc:123:123:1::1 ping6 statistics --- 3 packets transmitted, 0 packets received, 100.0% packet loss

Mit der LAN Addresse wird die Gegenstelle im GRE Tunnel auf dem MikroTik Router nicht erreicht.

ich@debian4k-laptop:~$ ping abc:123:123:1::2
PING abc:123:123:1::2(abc:123:123:1::2) 56 data bytes
64 bytes from abc:123:123:1::2: icmp_seq=1 ttl=64 time=0.558 ms
64 bytes from abc:123:123:1::2: icmp_seq=2 ttl=64 time=0.312 ms
64 bytes from abc:123:123:1::2: icmp_seq=3 ttl=64 time=0.246 ms
64 bytes from abc:123:123:1::2: icmp_seq=4 ttl=64 time=0.312 ms
^C
--- abc:123:123:1::2 ping statistics ---
4 packets transmitted, 4 received, 0% packet loss, time 3070ms
rtt min/avg/max/mdev = 0.246/0.357/0.558/0.119 ms

Ein Client im LAN kann GRE auf der pfSense erreichen.

LAN kommt nicht auf die Gegenstelle der VM im Rechenzentrum und somit auch nicht zur Welt.

Die Welt kann den MikroTik Router und durch den Tunnel die pfSense anpingen. Zum LAN bzw. DMZ leider nicht.

Hier benötige ich noch Hilfe, die ich dankbar annehmen werde.

Ich biete 1000€ für die Lösung dieses Problems an. Kontakt, siehe Seitenanfang > Freiberufliche Tätigkeit.

Kategorien
Allgemein

Bundesnetzagentur – Sicherheitskonzept für freies WLAN und Tor Exit Node

Dokumenthistorie
Version 1.0 Stand 07. August 2019 Ausgabe Erstausgabe
Ansprechpartner: Matthias Schmidt
TK-Netzstrukturplan
(vereinfachte Darstellung)

Beschreibung der Anlage
Der eine Teil der Anlage dient der Gewährung von kostenfreien Internetzugang per WLAN für die Nutzer. Der zweite Teil der Anlage dient der Gewährung von kostenfreien anonymen Internetzuggang per Tor Netzwerk. Zusätzlich besteht jeweils ein VPN-Tunnel zu unseren Servern, über den der aus- und eingehende Datenverkehr der Nutzer geleitet wird. Firmware- und Software-Version der WLAN-Router und Server: stets auf dem aktuellen Stand
Firmware wird automatisch aktualisiert: ja
Standort W-LAN Router: Deutschland
Standort VPN Exit Node Server: An der Lochmühle 10, 52379 Langerwehe
Sicherheitsmaßnahmen

  • WLAN-Router sind aufgrund ihrer Aufstellungsorte, je nach dem durch eine wetterfeste Box, durch (Blitzschutzmaßnahmen etc.) und gegen Umwelteinflüsse geschützt.
  • WLAN-Router sind gegen physischen Zugriff durch unbefugte Dritte durch Aufstellung im abgeschlossenen Raum, Aufstellung an Orten mit ständige Sichtkontrolle, durch eine Installation in einer verschlossenen Box geschützt.
  • Administrationsseite der WLAN-Router sind nicht über das WLAN, sondern nur lokal über LAN zugänglich.
  • Administrationsseite der WLAN-Router sind durch ein selbst vergebenes, hinreichend langes Passwort geschützt. Dieses ist nur dem Sicherheitsbeauftragten bekannt.
  • Funktionsfähigkeit der WLAN-Router wird durch den Sicherheitsbeauftragten in regelmäßigen Abständen von zwei Wochen, z.B. durch Sichtkontrolle oder Test der Funktionalität, überprüft. Eventuelle Störungen werden unmittelbar behoben. Der Sicherheitsbeauftragte überprüft in regelmäßigen Abständen von zwei Wochen, ob eine neue Version der Router-Firmware vorliegt und durch Autoupdates diese installiert sind. Bei Bedarf wird das Update unverzüglich eingespielt.-VPN Exit Node Server sind durch ein selbst vergebenes, hinreichend langes Passwort geschützt. Dieses ist nur dem Sicherheitsbeauftragten bekannt.
  • Funktionsfähigkeit der VPN Exit Node Server wird durch den Sicherheitsbeauftragten mehrmals täglich, z.B. durch Sichtkontrolle oder Test der Funktionalität, überprüft. Eventuelle Störungen werden unmittelbar behoben. Der Sicherheitsbeauftragte überprüft in regelmäßigen Abständen
    einmal täglich, ob eine neue Version der Server Software vorliegt und durch Autoupdates diese installiert sind. Bei Bedarf wird das Update unverzüglich eingespielt.
  • VPN Exit Node Server beinhalten eine aktives IDS und IPS Firewall und bei Bedarf IP Adressen/ Netze Blocker. Folgende Ports sind ständig blockiert: 1-19, 24-42, 44-52, 54-78, 82-87, 89-109, 111-142, 144-193, 195-219, 221-388, 390-442, 444-463, 466-530, 532-542, 545-553, 555-562, 564-
    586, 588-635, 637-705, 707-748, 750-852, 854-872, 874-988, 996-1193, 1195-1292, 1294-1722, 1724-1862, 1864-2081, 2084-2085, 2088-2094, 2097-2101, 2105-3127, 3129-3689, 3691-4320, 4322-5049, 5051-5189, 5191-5221, 5224-5899, 5901-6659, 6670-6678, 6680-6696, 6698-7999,
    8001-8007, 8009-8073, 8075-8079, 8081-8331, 8334-9417, 9419-11370, 11372-19293, 19295- 64737, 64739-65535
  • IDS Regeln werden alle sechs Stunden automatisch aktualisiert. Bekannte Auffälligkeiten und unbekannte Verbindungsmethoden werden blockiert.
  • IP Adressen und Netzblöcke können bei Bedarf internetseitig gesperrt werden.
  • Bei einer gravierenden Störung des Netzbetriebes werden die Server vom Netz genommen.
  • Geplant ist, dass über einen eigenständigen GSM Kanal der VPN Exit Node Server jederzeit, unverzüglich, bei gravierenden Störungen abgeschaltet werden kann.

Umsetzungserklärung
Hiermit erkläre ich, dass die im Sicherheitskonzept vom 09.08.2019 aufgezeigten technischen Vorkehrungen und sonstigen Schutzmaßnahmen umgesetzt sind oder unverzüglich umgesetzt werden.

Kategorien
Allgemein

Opa Gollum’s Wissen zu WinDOS

So, hat was gedauert. Der feine Unterschied, ob ein Profil Ordner kopiert oder verschoben wird. Wegen Dateirechte nur kopieren. Bei den versteckten Ordnern aufpassen, kann das Profil sehr zerschießen.

Falls wer von euch das auch mal betrifft: Windows Login über Azure Active Dictory und Datev, das funktioniert nicht.

Fehler 0x80070520

Es gibt einige Lösungen, jedoch war im Internet dies nicht dokumentiert. Wenn ein Microsoft Konto gleichzeitig Privatkonto und Schul-/Firmenkonto ist, kann ein Konflikt entstehen. In der Windows Registry kann das behoben werden:

Computer\HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Common\Identity
​NoDomainUser REG_DWORD 32Bit 1​
EnableADAL REG_DWORD 32Bit 0

Kategorien
Allgemein

BSI zertifizierte Firewall

BSI zertifizierte Firewall. Alles mit nur BSD Wasser gekocht. BSD ist so frei, dass es sowohl kommerzielle als auch nicht kommerziell ist, jedoch eine Zertifizierung kostet Geld. Nur kommerzielle BSDs können zertifiziert sein. Wo ist das alles drinn? Appel OS, QNX früher Blackberry heute z.B. in Autos und guten Firewalls.

Schutz, Spiel mit der Angst. Eine Versicherung, die Geld kostet, zahlt nur, wenn ein zertifiziertes System eingesetzt wurde, das auch Geld kostet. Technisch ist der Schutz nicht besser, als bei der kostenfreien Version. Nur wer will frei sein? Wird viel Geld umgesetzt. Funfact Es gibt Firmen, die beide Schienen fahren. Und die kommerzfreie Schiene lässt man sich nicht nehmen, ob mit oder ohne Geld, es geht um guten Programmcode, den wir alle haben wollen.

Pragmatischer Ansatz bei überschaubaren Budget: Firewalls können in Reihe geschaltet werden. Die günstigste Variante der zertifizierten Firewall, sodass noch Versicherungsschutz besteht und als zweites die freie Variante mit all den coolen Features, die bei der ersten jeweilige Mehrkosten darstellen.
09:15 – 1. Aug. 2019

Kategorien
Allgemein

Der Weg als “Provider”

Ey Realität, was machst du? Nach langem gucke ich eine Serie, Mr. Robot, nur übertriebenes Filmzeugs, aber heftig mit Trigger. Mit der Technik meines Providers in Absprache läuft seit gestern ein Tor Exit Node, mit Snort Filterung. Ein Brief zur Bundesnetzagentur ist unterwegs,

Eine Meldung, dass ich Daten durchleite. Und dann heute das: Das erste mal Klingeln war richtig. Ein Paket mit einem Geschenk für eine baldiges Geburtstagskind. Aber die zweite Klingel unangemeldet. Eine Frau, die für Unitymedia Privatkundenbereich versucht die Leute in

Der Hausanlage zu überzeugen, das Kabelfernsehen zu bezahlen. Ich gucke kein Fernsehn und bin Company Kunde. Fernsehn verbracht viel Bandbreite, wird das Internet auch abgeschaltet. Nein. Ich mag dieses unangemeldete nicht. Ich dachte schon, sie kommen.
06:45 – 2. Juli 2019

Überraschung / Schock. Nerve behale.
06:48 – 2. Juli 2019


Als Exit Node betreibende und Daten durchleitende Person, mit entsprechende Meldung bei der Bundesnetzagentur gibt es Kooperation mit Behörden, wenn es um Sauerreien geht. Doch bei gefährlichen Journalismus und einfachen Datenschutz gewähren möchte ich nicht kriminalisiert werden

Bei Kinderpornografie und Nazis ja, alles andere nein. Da Daten nur durchgeleitet werden und nicht gespeichert werden, geht das nur in Echtzeit am Endpunkt. Am Exit Node kann das auch der Provider sein, was ich nicht garantieren kann, was ab da geschnorchelt wird.

Also, ich betreibe den Tor Exit Node, wie ein Freifunk Exit Node. Die Kooperatin mit Behörden ist gleich, wie es auch der Freifunk Rheinland macht. Nicht mehr, nicht weniger.


Interessant: Spam Melde Apps und Webseiten sind auch nicht koscher. Jetzt soll mein Tor Exit Node schon fünf Tage vor dessen Existenz sowas verschickt haben. Wie die Anzug Marketing Pseudosecurity Leute wohl argumentieren bei der Politik z.B.?
14:23 – 12. Juli 2019


Erfahrung nach über einer Woche mit dem Tor Exit Node: WordPress Spam gefolgt mit Abstand Joomla Spam. Ab und zu Versuche, diese zu hacken. Und Crypto Malware wird versucht, durchzuleiten. Seltener Buffer Overflow und SQL Zeugs.
07:09 – 13. Juli 2019

So, nach etwas über zwei Wochen Tor Exit Node Betrieb merke ich, die zur Verfügung gestellte Bandbreite wird ausgereitzt, viele Verbindungen und die Firewall hat zu tun. Pro Minute zehn Blocks, wegen gefährdenen Traffic.
08:40 – 19. Juli 2019


Bundesnetzagentur wünscht Sicherheitsbeauftragte und Sicherungskonzept. Ist ja fast wie Datenschutzerklärung. Viele haben lange komplizierte Texte, ich tendiere zu ausreichend, 1½ DIN A4 Seiten. Daumendrück, wenn das klappt, ist das ein Konzept für Tor Exit Node und freies WLAN.
13:38 – 7. Aug. 2019


Ich möchte zwei VMs aufsetzen. Ein Build Server für Freifunk Router Firmware und einen Supernode. Tut dat Not, dass das Ubuntu sein muss? Geht Debian nicht? Wer weiß dazu was?
11:06 – 17. Aug. 2019


Sicherheitskonzept für die Bundesnetzagentur ist erstmal soweit okay. Demnach kann mit IDS und so’n Zeug ein Tor Exit Node sehr offiziell betrieben werden. Freies WLAN habe ich mit dabei.

Kategorien
Allgemein

Die bewuste Entscheidung für einen Tor und Freifunk Exit Node

Es ist prima König zu sein, oder einen Company Internet Anschluss zu haben. Habe mit Unitymedia Technik telefoniert. Grundsätzlich kann ich Traffic durchleiten. Ich betreibe nun einen Tor Exit Node mit bestimmten Ports und eine PfSense mit Snort schützt das Clear Net. Ich gucke, ob ich bestimmten Traffic vom Freifunk Offloader direkt raus leiten und den Super Node in Aachen schonen kann. Das Privileg, anderen ein bisschen Datenschutz geben zu können. Das eigentliche Darknet mit den onion Adressen bleibt im Tor Netzwerk. Doch nur zwei Prozent macht das dort aus. Klar, neben gefährlichen Journalismus und Illegales sind aber auch die meisten hidden Services trivial. Deanonymisierung bei krassen Sachen findet regelmäßig statt. Also 98% geht ins Clear Net. Es gibt ein Gefühl von ein wenig mehr Datenschutz. Mehr bei den Webseitenbetreiber_innen, weniger bei den großen staatlichen Nachrichtendiensten. Wer sich mit denen anlegt und relevant ist, wird früher oder später gefunden. Meistens wir gar nicht die Technologie gehackt. Es sind Fehler im RL und die Polizei kennt sich im RL aus. Eine super Sicherheitslücke, die teuer ist, wird sehr gezielt genutzt. Sie kann vielleicht nur einmal genutzt werden und ist dann bekannt, der Virenscanner bekommt Update. Ich habe der Bundesnetzagentur gemeldet, dass ich Daten durchleite. Es werden bei mir keine Daten gespeichert. Bei Kinderpornografie und Rechtsterrorismus kooperiere ich mit Behörden. Das Abgreifen von Daten hinter dem Exit Node beim Provider muss angenommen werden.

Kategorien
Allgemein

Plan: Ein Tor Exit Node betreiben

Uff, ich habe angefangen, die Serie Mr. Robot zu gucken. Ja, sie versuchen das Thema mittlerweile filmisch besser darzustellen, inklusiv wie Hackers aus den 90ern in der Serie gezeigt wird, was es war. Inhaltlich tangiert und triggert mich das, es gibt Parraellen im Kopf.
02:47 – 30. Juni 2019

Nur bekomme ich schnell Kopfschmerzen davon und kann nicht weiter gucken. Ich habe mir dann die Dokumentation DeepWeb angeguckt. Ich komme mit diesen Infos besser klar als Beispiele der Realität. Eine andere gewaltfreiere Drogenpolitik wäre wünschenswert, ich klammer das jetzt
02:47 – 30. Juni 2019

mal aus und gucke nur auf die Technologie und Informationspolitik. Es ist kein Geheimnis, dass ich ein Pseudo hidden Service im Tor Netzwerk laufen lasse zum Test und für vielleicht bessere DSGVO Umsetzung. Ist die Frage, wie oder ob es überhaupt Anonymität gibt.

Es gibt Berichte, dass Geheimdienste da weit sind und gleichzeitig Dementis. Ein Informationskrieg. Klar, Deanonymisierung ist aufwendig und findet statt, Leute werden verhaftet. Auch interessant, ob die eigentliche Technologie gebrochen wurde oder ein Seitenkanal verwendet
02:47 – 30. Juni 2019

wurde. Vor zwei Jahren hatte ich versehentlich ein Exit Node betrieben. Erst nach sechs Wochen kam die erste und einzige Abuse Meldung. Diese Tage hatte ich die Idee, einen Exit laufen zu lassen, da ich ein privilegierter Mensch bin und Leute Hilfe brauchen.
02:47 – 30. Juni 2019

Kategorien
Allgemein

Internet Upgrade März 2019

Es wurde ein Upgrade auf 600/40 MBits durchgeführt. Für den Server ist der Upload relevant. Upload ist relativ teuer in Deutschland, aber es geht Stück für Stück voran. Beim IPV6 Tunnel habe ich eine ungünstige Einstellung behoben. Der Tunnel ging über Berlin. Die Weltstadt Berlin hat aber gar nicht so einen guten Draht zur Welt. Das Peering von Unitymedia und Hurrican Electrics ist in Frankfurt deutlich besser. Also habe ich den Tunnel dahin verlegt. Somit ist der Server nun besser angebunden.