BitBastelei #349 – VPN mit Wireguard

BitBastelei #349 - VPN mit Wireguard

(186 MB) 00:37:55

2019-09-08 10:00 🛈

In perfekten Netzen könnte jeder mit jedem kommunizieren, in der Praxis sieht es oft anders aus. Mittels VPN kann man ein “virtuelles Netzwerkkabel” zwischen zwei PCs oder Routern aufbauen. Eine solche VPN-Software ist Wireguard, welches für alle gängigen Betriebssysteme verfügbar und vergleichsweise einfach einzurichten ist.

Inhalt

  • 00:10 Was ist ein VPN
  • 05:42 Klassische VPN-Lösungen
  • 08:26 Wireguard
  • 10:04 Installation & Konfiguration unter Debian Linux (CLI)
  • 18:00 Installation & Konfiguration unter Arch Linux (CLI)
  • 24:45 Zugriff auf’s Internet: Forwarding & NAT
  • 27:51 Installation & Konfiguration unter Arch Linux (NetworkManager)
  • 29:59 Installation & Konfiguration unter Windows
  • 32:30 Installation & Konfiguration unter Android

Links

Yubikey: Nicht ganz unkaputtbar

tl;dr: YubiKeys nicht am Schlüsselbund festmachen

Wenn es um Security-Tokens geht, hat YubiCo mit seinem YubiKey klar die Nase vorn. Nicht zuletzt, da diese so ziemlich die ersten Geräte waren, welche die gängigsten Sicherheitsmechanismen in einem Gerät vereinen konnten. Vor allem U2F, TOTP (aka Google Authenticator) und PGP sind bei mir fast dauerhaft im Einsatz. Mit dieser Kombination kann ich 2-Faktor-Anmeldung auf Webseiten nutzen, E-Mails signieren und entschlüsseln, mich auf SSH-Servern anmelden und Zugriff auf lokale Dateien und Programme absichern. Auch Zertifikate, aka X.509, sind eine praktische Sache, können sie doch für Logins in Windows-Netzen, S/MIME oder das signieren von Dokumenten unter Windows genutzt werden. Zwar lassen sich all diese Mechanismen auch ohne Dongle nutzen, dieser bringt jedoch zwei wichtige Sicherheitsverbesserungen mit sich: Der Zugriff ist nur möglich, wenn das Gerät eingesteckt ist, sodass eine “versehentliche” Nutzung erschwert wird. Zudem sind die privaten Schlüssel auf einem – vorzugsweise sicheren – Microcontroller gespeichert und können das Gerät nicht mehr verlassen.

Ich selbst bin Ende 2016 auf den YubiKey NEO * umgestiegen. Dieser kann per USB oder NFC genutzt werden. Letzteres ist z.B. für Logins oder Mailverkehr am Handy interessant. Etwas bedenken hatte ich, da USB-Sticks bei mir selten lange überleben und ein YK nicht gerade günstig ist. Das Werbesersprechen “unkaputtbar”, die robust aussehende Form und Empfehlungen aus dem Bekanntenkreis überzeugten jedoch am Ende. Seit dem ist er Stammgast an meinem Schlüsselbund, somit ständiger Begleiter und wird entsprechend viel genutzt.

YubiKey NEO an Schlüsselbund
YubiKey Neo an Schlüsselband

Schnellvorlauf November letzten Jahres, also 2 Jahre nach dem Kauf. Einiges hatte sich getan, aber der YK verrichtete noch anstandslos seine Dienste. Also fast. Von einem Tag auf den Anderen war NFC nicht mehr nutzbar und ich somit auf die Nutzung am PC beschränkt. Kein Beinbruch, Handy-Logins nutze ich eher selten, allerdings auch kein Pluspunkt für mein Vertrauen in die Haltbarkeit. Ich vermutete einen Softwarefehler, alternativ eine Einwirkung durch statische Aufladung. Beides Dinge, die nicht passieren sollten. Auch sonst zeigten sich Schwächen: Aus Sicherheitsgründen ist es nicht möglich die Firmware der Geräte zu aktualisieren. Hierdurch war ich bei PGP auf Keys mit maximal 2048 Bit limitiert. Noch OK, aber auch nicht toll. Einzige Möglichkeit auch in den Genuss neuerer Verfahren zu kommen wäre ein neueres Modell, diese hatten zum damaligen Zeitpunkt jedoch kein NFC und nutzten für PGP nun statt einer Open-Source-Lösung eine Eigenentwicklung des Herstellers, welcher sich nicht einsehen ließ.

Meh. Roughly 2 years after I bought my @yubico #Yubikey Neo it already failed. USB luckily still OK, but NFC completely dead. Really hoped these things would be more durable :<

adlerweb|BitBastelei@adlerweb, 2018-11-21

Da die neueren Modelle für mich keine Option waren wandte ich mich via Twitter an den Hersteller. Unter “unkaputtbar” verstehe ich etwas Anderes, als 2 Jahre und somit knapp über den regulären Gewährleistungen. Meine Intention: Ich wollte wissen was da schief gelaufen ist, ob es eventuell durch einen Reset o.Ä. behoben werden kann, wie man das verhindern kann und ob bei zukünftigen Modellen dieses Problem umgangen werden kann. Man verwies mich auf das Ticketsystem, antwortete dort jedoch nur mit Textblöcken. Nach meiner Info, dass ich die Diskusion in dem Fall für Sinnlos hielt bot man mir den Austausch gegen einen neuen Neo an. Da auf Grund der alternden PGP-Unterstützung und der unbekannten Fehlerursache das Modell eher auf meiner Abschussliste war lehnte ich dankend ab und nutzte mein Modell per USB weiter.

10 Monate später sprach mich ein Mitglied des lokalen Hackerspace auf den YubiKey an. Ein Arbeitskollege hätte da einen unschönen Ausfall mit seinem Key gehabt. Das ABS-Gehäuse wäre durch den Schlüsselring durchgescheuert und das Gerät hätte den Dienst versagt. Könnte das mit meinem Problem zu tun haben? Sure enough: Auch bei mir ist das Plastik im Bereich des Schlüsselrings schon sehr abgenutzt. Dass das ein technisches Problem verursachen könnte hatte ich gar nicht auf dem Schirm.

Abgenutzter Bereich am Schlüsselring-Loch eines YubiKey NEO

Zudem: ABS? Durchscheuern? Ich hatte vermutet, dass unter der Plastik-Packung noch ein Metallring eingearbeitet wäre, welche das ganze etwas verstärkt. Aber jetzt, wo ich das höre – hm, ja, da reflektiert ja etwas. Ein Blick unter dem Mikroskop verrät recht schnell, was mein NFC getötet hat: die Antenne ist um das Schlüsselring-Loch gelegt und inzwischen durchgescheuert. WTF.

Beschädigte NFC-Antenne an einem YubiKey NEO

Erinnert Ihr euch dran, dass ich ABS sagte? ABS kennt man ja auch von 3D-Druckern, hier ist es üblich mit Aceton das Plastik nach dem Druck anzulösen und zu glätten. Mit entsprechenden Konzentrationen kann man das Plastik aber auch einfach wegschmelzen. Exakt dies hat HexView mit einem YubiKey Neo gemacht, sodass sich das Innenleben in voller Pracht bewundern lässt. Glücklicherweise sieht es so aus, als ob hier wirklich nur die Antennen vorbeilaufen und ein Ausfall eher nicht wahrscheinlich ist. Trotzdem würde ich jedem mit YubiKey NEO raten, an dieser Stelle mit Aceton das Plastik anzulösen und mit mehr ABS oder gar einem Metallring zu verstärken um Ausfälle durch Abnutzung zu vermeiden.

Ich selbst bin etwa an selber Stelle wie vorher: Ich werde den NEO wohl weiter nutzen. Zwar hat man inzwischen den YubiKey 5 NFC * herausgebracht, welcher wieder NFC kann, auch längere Keys für PGP unterstützt und das bei mir ursächliche Schlüsselring-Loch verstärkt hat, allerdings sind mir sowohl die fehlenden Quellen als auch die unschöne Reaktion des Supports doch eher sauer aufgestoßen. Hätte man mir bei meiner Nachfrage geantwortet, dass es vermutlich ein bekanntes Problem wäre und man das in der nächsten Produktversion angehen würde – ich hätte sie vermutlich direkt nach dem Release hier liegen gehabt. Leider mangelt es aber auch an Konkurrenz. Viele Keys wie z.B. Thetis oder Googles TitanKey nutzen ausschließlich U2F. Toll für’s Web, aber meine Hauptanwendung ist eher PGP. TOTP sucht man bei allen vergeblich, ließe sich mit etwas Gebastel aber halbwegs brauchbar in Software nachbilden – freie Standards haben so ihre Vorteile. Etwas besser sieht es bei NitroKey aus, hier ist GPG, TOTP und X.509 verfügbar. Leider ist U2F nur als separates Gerät erhältlich und TOTP mit 15 Einträgen etwas knapp (YubiKey Neo 28, YubiKey 5: 32). Da es sich um einen freien Algorithmus handelt könnte man aber, zumindest bei der TOTP-Limitierung, mit etwas Software nachhelfen. Ein Auge habe ich zudem noch auf Somu. Dieses Crowdfunding-Projekt dreht sich primär um einen U2F und FIDO2-Stick, als Stretch-Goal hat man jedoch GPG und SSH auf dem Plan. Alles soll am Ende Open Source sein, was sich auch eher positiv anhört. Ob sie am Ende liefern können, was sie versprechen, werde ich dann ja sehen.

In eine vorherigen Variante des Artikels wurde angegeben, dass NitroKey kein TOTP könne. Dies ist nicht korrekt, sowohl Nitrokey Pro 2 und Nitrokey Storage 2 können jeweils 15 TOTP-Einträge speichern.

BitBastelei #348 – LED Fehlersuche

BitBastelei #348 - LED Fehlersuche

(222 MB) 00:21:38

2019-09-01 10:00 🛈

Eine meiner LEDs hat das zeitliche gesegnet. Nicht wirklich ungewöhnlich, allerdings interessiert mich doch, warum die Lampe so schnell den Dienst eingestellt hat. Also schauen wir mal, was die Ursache für den Ausfall ist.

  • 03:25 In der Praxis gibt es u.A. noch einen Spannungsabfall durch die Dioden, hier ca. 2 × 0.4V

BitBastelei #347 – Maker Faire Hannover 2019

BitBastelei #347 - Maker Faire Hannover 2019

(117 MB) 00:09:07

2019-08-25 10:00 🛈

Mehr Infos Zur Maker Faire:

BitBastelei #346 – Klimaanlagen: Funktion und Innenleben

BitBastelei #346 - Klimaanlagen: Funktion und Innenleben

(2 GB) 00:23:24

2019-08-18 10:00 🛈

Bei den Temperaturen der letzten Wochen liefen wieder in vielen Geschäften, Büros und einigen Wohnungen die Klimaanlagen auf Hochtouren. Aber wie funktioniert denn eigentlich so eine Klimaanlage und was steckt in drin?

BitBastelei #345 – DIY-Smartmeter: Web-UI für BZ40i mit ESP8266, Arduino und Modbus

BitBastelei #345 - DIY-Smartmeter: Web-UI für BZ40i mit ESP8266, Arduino und Modbus

(340 MB) 00:22:21

2019-08-11 10:00 🛈

In vergangenen Folgen haben wir bereits meinen BZ40i Messwandelzähler kennengelernt. Auch hatte ich an einem einphasigem SDM120 gezeigt, wie man mittels Arduino und einem RS485-TTL-Wandler Messwerte von einem Zähler mit Modbus abfragen kann. Diesmal kombinieren wir diese beiden Projekte und verpassen dem BZ40i ein Webinterface. Als Bonus zeige ich, wie man mit etwas Javascript die Seite nicht nur live aktualisiert, sondern mittels ChartJs auch passende Diagramme zeichnen kann.

Code: https://github.com/adlerweb/BZ40i_Energy_Meter

BitBastelei #344 – 802.1x: PC-Netze/WLAN Sichern mit RADIUS

BitBastelei #344 - 802.1x: PC-Netze/WLAN Sichern mit RADIUS

(342 MB) 00:26:27

2019-08-04 10:00 🛈

Heutzutage ist im IT-Sektor alles gesichert – oder? Beim Thema Netzwerk sieht es oft dünn aus: In WLANs ist es nicht unüblich ein Passwort für alle Nutzer und Geräte zu haben (WPA-Personal/PSK), findet man eine Netzwerkdose ist oft gar kein Schutz vorhanden. Dabei ist es nicht unmöglich auch diese Stellen besser zu sichern: Mit 802.1x gibt es einen Standard, welcher es erlaubt für jeden Nutzer oder jedes Gerät einen eigenen Benutzernamen und ein persönliches Kennwort festzulegen. Für WLAN wird dies oft schon von einfachen Geräten für den Heimgebrauch unterstützt, möchte man Netzwerkdosen absichern benötigt man einen “managed Switch”. Einzige Voraussetzung: Ein RADIUS-Server, welcher die Zugangsdaten verwaltet und zum Beispiel auf einem Raspberry Pi eingerichtet werden kann.

Inhalt:
00:10 Was ist RADIUS?
02:09 Einrichtung und Test von FreeRADIUS
08:22 802.1x mit HPE/Aruba-Switch
11:50 Verkabelter Windows-Client
14:09 Verkabelter Linux-Client
16:47 RADIUS-Zertifikate
18:27 802.1x mit UBNT UniFi
21:44 WiFi Windows
23:03 WiFi Linux

BitBastelei #343 – T12 DIY-Lötkolben: Gehäuse und Netzteil

BitBastelei #343 - T12 DIY-Lötkolben: Gehäuse und Netzteil

(716 MB) 00:22:40

2019-07-28 10:00 🛈

Vor einiger Zeit hatte ich einen Bausatz gezeigt, mit welchem man einen Lötkolben selbst bauen kann. Zusammen mit den weit verbreiteten T12-Spitzen erhält man so eine erschwingliche Lötmöglichkeit, welche in vielen Punkten den üblichen Einstiegsmodellen weit überlegen ist. Mit loser Platine und ohne Stromversorgung reicht es aber noch nicht für eine vollwertige Lötstation, also kümmere ich mich dieses mal um ein Gehäuse mit passendem Netzteil und prüfe, wie sich der Bausatz gegen meinen mobilen TS100 schlägt.

Links zum Thema

BitBastelei #342 – Low-Cost-Saugroboter: Was steckt drin

BitBastelei #342 - Low-Cost-Saugroboter: Was steckt drin

(828 MB) 00:18:32

2019-07-21 10:00 🛈

Vor einiger Zeit hatte ich mir einen Staubsaugroboter mitbestellt – also, zumindest nennt es sich so. Intelligent soll er sein, Dingen ausweichen und natürlich alles blitzeblank Saugen. Bei einem Preis von 7€ incl. Porto können da schon mal Zweifel aufkommen, also schauen wir mal was er wirklich kann und wie der Hersteller einen solchen Preis realisiert hat.

BitBastelei #341 – iPad-Akkutausch

BitBastelei #341 - iPad-Akkutausch

(447 MB) 00:25:02

2019-07-14 10:00 🛈

Das ich von Apple nicht viel halte ist kein Geheimnis, vor Allem da die Geräte dazu neigen sich selbst zu zerstören. Im aktuellen Fall hat es ein iPad erwischt. Diese sind nur bis 35°C zugelassen, bei den zuletzt herrschenden Temperaturen wäre also eher der Kühlschrank der korrekte Ort für das Gerät gewesen. Leider lag das heutige Modell stattdessen auf dem Schreibtisch und hat die Sommerhitze mit einem kaputten Akku quittiert. Nicht gerade ungewöhnlich. Nun hab ich also die Auswahl zwischen Apple-Reparatur oder Gequengel in den Ohren. Also lege ich dann doch mal Hand an und mache das, was laut Apple ja gar nicht möglich ist: Mit mäßiger Motivation den Akku tauschen.

Links zum Thema

Nerd Inside