Archiv der Kategorie: Grundlagen

Diese Seite zeigt alle Beiträge an, die grundlegende Themen aus dem Bereich der IT-Security behandeln.

Kubernetes Tutorial: Installation & Konfiguration eines Kubernetes Clusters

Kubernetes oder kurz K8s - eine Open Source Engine von Google, um Docker Container in einem Cluster orchestrieren zu können. In diesem Beitrag möchte ich zeigen, wie ein kleines Cluster mit einem Master und drei Nodes unter Ubuntu Linux "von scratch" aufgebaut werden kann. Netzwerktechnisch wird Flannel benutzt.

Auf folgender Seite findet sich eine neuere Anleitung inkl. eines automatisierten Skripts: Kubernetes auf Ubuntu 20.04 installieren

Vorbereitungen

Für die im Tutorial verwendeten 4 Nodes sind keine 4 physischen Server notwendig, ein Notebook mit VMWare Workstation oder Virtual Box ist für diesen Zweck völlig ausreichend. Das Tutorial setzt voraus, dass innerhalb der 4 virtuellen Maschinen (VMs) Ubuntu Linux (Server) installiert wurde.

VM 1: Kubernetes Master konfigurieren

In der ersten virtuellen Maschine wird der Kubernetes Master installiert. Für die Installation ist es erforderlich, die Auslagerungsdatei von Ubuntu zu deaktivieren, daher aus der Datei /etc/fstab zu entfernen. Anschließend wird Docker installiert, die Basis für unsere Containervirtualisierung.

# Paketquellen aktualisieren
sudo apt-get update 

# Docker installieren
sudo apt-get install -y docker.io

# Docker beim Booten starten
sudo systemctl enable docker.service

Es folgt der Download und die Installation von Kubernetes.

Kubernetes Tutorial: Installation & Konfiguration eines Kubernetes Clusters weiterlesen

2FA: Zwei-Faktor-Authentifizierung mit TOTP

Zwei-Faktor-Authentifizierung (2FA) oder allgemein Mehr-Faktor-Authentifizierung (MFA) hat in den letzten Jahren stark an Bekanntheit und Bedeutung zugenommen. In diesem Beiträge möchte ich mich auf das Time-based One-time Password (TOTP) Verfahren beschränken, dass wohl bekannteste Verfahren, welches in unzähligen Anwendungen Einzug gehalten hat. Das TOTP Verfahren wird beispielsweise von der 2FA Google Authenticator App verwendet. Viele werden es auch von den kleinen Hardware-Token kennen, welche alle 60 Sekunden ein neues Einmalpasswort generieren und anzeigen.

2FA: Wie funktioniert das TOTP Verfahren?

Das TOTP Verfahren wurde 2011 im Rahmen der Internet Engineering Task Force (IETF) als RFC 6238 veröffentlicht. Beim TOTP Algorithmus handelt es sich um eine Hashfunktion, in welcher ein geheimes Passwort zusammen mit der aktuellen Uhrzeit gehasht wird.

Hinter steckt der HMAC-based One-time Password Algorithmus nach RFC 4226 - vereinfacht gesagt nichts weiter als ein Standard, der auf bestimmte Weise einen Hash bildet.

2FA: Zwei-Faktor-Authentifizierung mit TOTP weiterlesen

Rijndael (AES): Sichere Block- und Schlüsselgrößen

Nachdem mir die Frage gestellt wurde, warum ich im BLOG in einigen Beiträgen bestimmte Cipher empfohlen habe, möchte ich in diesem Beitrag auf die Bedeutung

  • der Blockgröße und
  • der Schlüssellänge

unter Berücksichtigung der bisher bekannt gewordenen Angriffsmöglichkeiten am Beispiel von Rijndael näher eingehen.

1 - Was ist die Blockgröße?

Die Blockgröße ist die Anzahl der Bytes, die, durch den Rijndael- Algorithmus, während eines Durchgangs verarbeitet werden können. Der Klartext wird hierbei durch einen Betriebsmodus wie CBC oder GCM in n Bit große Blöcke aufgeteilt und ggf. mit Hilfe von Padding- Verfahren aufgefüllt.

Blocksize bei CBC
Diese Darstellung verdeutlicht die Blocksize des Verschlüsselungsmode Cipher Block Chaining Mode (CBC) [1]

Der Rijndael- Algorithmus unterstützt verschiedene Blockgrößen (128, 160, 192, 224, und 256 Bits), im AES- Standard wird jedoch nur die 128-bit Blockgröße spezifiziert.

1.1 - Je größer die Blockgröße, desto besser?

Kommt drauf an. Für die Sicherheit einiger Betriebsmodi ist es erforderlich, dass keine zwei Cipher-Text Blöcke mit demselben Inhalt generiert werden.

Leicht verdeutlicht werden kann dies mit Hilfe des Code-Book Angriffs:

sei hierbei ein Klartextblock, der vorherige Cipher-Text Block und der Block Cipher.

Rijndael (AES): Sichere Block- und Schlüsselgrößen weiterlesen

Verschlüsselungsmodus im Detail / Empfehlung

Der heutige Beitrag ist eine Fortsetzung des Beitrags "Grundlagen der Verschlüsselung", es geht etwas mehr in die technischen Details: Der Verschlüsselungsmodus. Der letzte Beitrag dieses Blogs ist etwas länger her, leider habe ich momentan relativ wenig Zeit. Aktuell schreibe ich parallel einen Beitrag über die Absicherung des ngnix Webservers, beim Verfassen des Beitrags habe ich jedoch bemerkt, dass vielen die Relevanz der Auswahl des Verschlüsselungsmodus nicht bewusst ist.

Wird beispielsweise der im folgenden erklärte Electronic Codeblock Mode gemeinsam mit der Verschlüsselung AES in bestimmten Anwendungssituationen genutzt, kann die Verschlüsselung trotz sehr gutem Passwort vollkommen unsicher und leicht zu "knacken" sein.

Die symmetrische Verschlüsselung kann in zwei Grundtypen eingeteilt werden:

  • Blockchiffrierungen, hierbei wird der Klar- und der Chiffretext (das verschlüsselte Gegenstück zum Klartext) blockweise verarbeitet. Ein Block hat eine typische Größe von 64, 128, 192 oder auch 256 bit.
  • Stromchiffrierungen, hierbei wird der Text bitweise (manchmal auch byteweise) verarbeitet.

Der kryptographische Modus ist eine Art Erweiterung der Grundchiffrierung (AES, Serpent, Blowfish, ...) mit einer Rückkopplung und einigen einfachen mathematischen Operationen.

In vielen Anwendungen kann der Modus konfiguriert werden, im Artikel "TLS (SSL) Verschlüsselung und Schwachstellen im Detail" habe ich beispielsweise gezeigt, dass zu Beginn einer verschlüsselten Sitzung eine Cipher Suite ausgehandelt werden muss. Innerhalb der Suite wird auch die Verschlüsselung, die Blockgröße und der Modus festgelegt, z.B.:

  • AES_128_GCM (= Grundverschlüsselung AES, Keysize 128 bit und Modus GCM), oder
  • AES_128_CBC.

Auch in vielen Verschlüsselungs-Anwendungen wie OpenVPN oder OpenSSL basierten Programmen kann der Nutzer einen Algorithmus frei wählen. Zur Wahl des am Besten passenden ist jedoch einiges an Hintergrundwissen notwendig, welches ich im Folgenden vermitteln möchte.

Verschlüsselungsmodus im Detail / Empfehlung weiterlesen

Die Funktionsweise und Sinnhaftigkeit einer Firewall

Dieser Beitrag bietet einen Überblick über die Funktionsweise einer Firewall und deren Sinn oder Unsinn. In meinem Freundeskreis höre ich oftmals folgende Aussagen:

  • "Eine Firewall schützt mich vor Hakerangriffen und Viren."
  • "Meine Firewall wehrt ständig Portscans ab, ich bin sicher."
  • "Durch meine Firewall kann ich bestimmen, welche Anwendungen Zugriff auf das Internet haben"

Hierbei ist einiges Wahres dabei, aber auch viel gefährliches Halbwissen. Generell sollte im Hintergrund behalten werden, dass der IT-Security-Sektor ein Milliardenmarkt ist und viele Unternehmen ein Interesse an einer "anhaltenden" oder "steigenden IT-Gefahrenlage" haben. Viele Softwareprodukte fluten den Nutzer mit Meldungen von erfolgreich abgewehrten Gefahren, um ihm ein Gefühl der subjektiven Sicherheit zu vermitteln. Nutzer, die sich erfolgreich von einer Gefahr beschützt gefühlt haben, empfehlen auch gerne mal ein Produkt weiter...

Grundlegendes: Vor was schützt eigentlich eine Firewall?

Im Artikel Netzwerkgrundlagen habe ich bereits kurz erläutert, wie die Kommunikation in einem Netzwerk funktioniert: IT-Geräte rufen im Internet Services auf, die von einem entfernten PC hinter einer IP und einem Port angeboten werden. Beim Anschauen dieser Webseite wurde beispielsweise mit Hilfe des Browsers eine Verbindung zur IP Adresse hinter der Domain itsecblog.de zu Port 443 (https) aufgebaut. Die meisten Desktop Firewalls sind Paketfilter mit einer so genannten Stateful Packet Inspection. Der Begriff klingt erst einmal "wichtig", beschreibt jedoch nichts anderes als eine Technik, die Datenpakete einer bestimmten Sitzung zuordnet. Ein Beispiel:

Der User "Müller" öffnet den Blog, er stellt also eine Verbindung von seinem PC mit dem Webserver dieses Blogs her. Ein Stateful Packet Inspection Filter ist nun in der Lage, alle Pakete zu identifizieren und zuzulassen, die im Rahmen des Datenaustausches zwischen dem Browser des Clients "Müller" und dem Webserver versendet werden.

Viele Firewalls bietet die Möglichkeit, den Zugriff auf bestimmte IP-Adressen bzw. Ports und Protokolle zu verhindern (bzw. erschweren).

Eine Firewall schützt vor Angriffen gegen den Client... oder?

Ein weit verbreiteter Irrtum - eine Firewall schützt nicht gegen Gefahren, die beim Surfen im Internet, dem Lesen von E-Mails oder der Verwendung anderer Anwendungen auftreten. Es ist unmöglich, beispielsweise den Browser oder das E-Mail Programm direkt über eine Internetverbindung anzugreifen. Weder ein Browser, noch ein E-Mailprogramm bieten im Internet einen Service an, mit dem ein Angreifer sich verbinden könnte. Bei Nicht-Serverdiensten wie dem Browser oder den Großteil aller Anwendungen ist eine Firewall vollkommen nutzlos. Angriffe finden grundsätzlich über die Inhaltsebene statt. Firewalls mit einem Funktionsumfang, die so etwas verhindern könnten, sind keine Firewalls mehr, sondern beispielsweise inhaltsbezogene Proxys. Mit einer Firewall im klassischen Sinne hat dies nichts mehr zu tun. Ein reines, korrekt konfigurierte Clientsystem hat keine offenen Ports. Wofür auch? Welche Aufgaben sollte eine Firewall in so einer Konfiguration übernehmen? Ein Port ohne Service dahinter ist geschlossen. Soll ein Service angeboten werden, muss die Firewall an diesem Port den Traffic durchlassen.

In dieser Konfiguration stellt eine Firewall eher eine Sicherheitslücke als ein Sicherheitsgewinn dar: Eine Firewall ist eine weitere Softwarekomponente, die Sicherheitslücken enthalten könnte und angegriffen werden kann. Einen Zweck erfüllt sie hierbei nicht. Das Betriebssystem Ubuntu hat im Auslieferungszustand die integrierte Firewall beispielsweise komplett deaktiviert. Je mehr Software an einem Kommunikationsprozess beteiligt ist, desto höher die Chancen für einen Angreifer, eine Schwachstelle zu finden!

Die Funktionsweise und Sinnhaftigkeit einer Firewall weiterlesen