IT security, FreeBSD, Linux, mail server hardening, post-quantum crypto, DNS, retro computing & hands-on hardware hacks. Privater Tech-Blog seit 2003.
Mein Brötchengeber hat vor ein paar Tagen noch mal richtig einen „rausgehauen“. Es gab eine knapp einwöchige inhouse Schulung/Training der Firma tecRACER bei uns.
Und was passiert bei euch so? Ich könnte echt mal wieder ein spannendes Thema brauchen.
Fragen? Einfach melden.
Um alle Daten einer SSD möglichst sicher zu löschen gibt es im ATA die Funktion: „ATA Secure Erase“. Möchte man nun seine SSD schnell und einfach von allen Daten befreien (dd mit Nullen ist ja eher eine schlechte und nicht funktionsfähige Möglichkeit bei SSDs), nutzt man einfach diese Funktion.
Bei einem FreeBSD sieht dieses unter optimalen Bedingungen wie folgt aus:
root@sun-wks:/usr/home/kernel # camcontrol security ada4 -s Erase -e Erase pass7: <OCZ-AGILITY3 2.15> ATA8-ACS SATA 3.x device pass7: 600.000MB/s transfers (SATA 3.x, UDMA6, PIO 8192bytes) You are about to ERASE ALL DATA from the following device: pass7,ada4: <OCZ-AGILITY3 2.15> ATA8-ACS SATA 3.x device Are you SURE you want to ERASE ALL DATA? (yes/no) yes Issuing SECURITY_SET_PASSWORD password='Erase', user='master', mode='high' Issuing SECURITY_ERASE_PREPARE Issuing SECURITY_ERASE_UNIT password='Erase', user='master' Erase Complete
Optimale Bedingungen?
Das eine oder andere BIOS „schützt“ die Festplatten vor dieser Funktion und sorgt dafür das sie nicht genutzt werden kann. Hier hilft es die Platte erst nach dem Boot anzuschließen. Um die Funktion nutzen zu können muss der SSD ebenfalls erst ein Kennwort gegeben werden. Ohne gesetztes Kennwort kann die Funktion ebenfalls nicht genutzt werden. Ich habe dieses in einem Abwasch erledigt indem ich erst das Kennwort und dann direkt die Funktion mit dem gesetzten Kennwort aufrufe (-s Erase -e Erase) Erase ist also in meinem Beispiel das gesetzte Kennwort.
Da wir gerade dabei sind… Viele SSDs habe eine Art „Selbstheilungsmodus“… Ist diese aktiviert prüft sich die SSD selbst und repariert sich, soweit möglich. Dieser Modus wird aktiviert wenn die SSD am Strom aber nicht am Datenbus angeschlossen ist. Bedeutet. SATA/SAS Kabel abziehen. Strom anschließen/einschalten und warten. In der Regel sollten SSDs nach knapp 4 Stunden mit ihrer „Selbstheilung“ fertig sein. Dieses lässt sich natürlich im Anschluss noch einmal wiederholen. Funktioniert die SSD nach zwei Durchläufen noch nicht wie gewünscht, wird sie wohl wirklich kaputt sein.
Fragen? Dann Fragen.
Siehe auch: ZFS Encryption
Fragen? Einfach melden.
Die QIVICON Home Base vom Telekom SmartHome kann keine Firmware-Updates auf die HomeMatic-Geräte von eQ-3 aufspielen. Bei den älteren HomeMatic-Geräten war das kein Problem, Updates waren selten und betrafen keine kritischen Funktionen. Bei den neueren HomeMatic IP Geräten sieht das anders aus. Die Firmware ändert sich regelmäßig, neue Funktionen kommen dazu und Bugs werden behoben. Ein Zwischenstecker fungiert zum Beispiel erst ab einem bestimmten Firmwarestand als Repeater im Mesh-Netzwerk.
Zum Updaten gibt es zwei Möglichkeiten: Einen Funk-Konfigurationsstick für USB oder die CCU2 Zentrale von eQ-3. Ich habe mir die CCU2 besorgt. Der Ablauf pro Gerät sieht so aus:
1. Gerät vom Telekom SmartHome ablernen 2. Gerät an der CCU2 anlernen 3. Firmware-Update durchführen 4. Gerät von der CCU2 ablernen 5. Gerät am Telekom SmartHome wieder anlernen
Das ist aufwendig. Für jedes einzelne Gerät. Und bei den HomeMatic IP Geräten dauert ein Firmware-Update zwischen 8 und 42 Stunden. Die Firmware ist dabei knapp über 100 KB groß. Bei den älteren HomeMatic-Geräten ist das gleiche Update in fünf Minuten erledigt. Warum der Funkweg bei den IP-Geräten so langsam ist, erschließt sich mir nicht.
Das Telekom SmartHome hat einen Vorteil der schwer wiegt: Man kann Geräte verschiedener Hersteller miteinander kombinieren. HomeMatic, Philips Hue, Schellenberg Rolladen, DECT-Steckdosen. Das können die reinen eQ-3 Lösungen wie CCU2 mit Orbylon oder pocket control nicht in dem Umfang. Dafür nimmt man den umständlichen Firmware-Update-Prozess in Kauf.
Siehe auch: Telekom SmartHome im Test: Erfahrungen mit QIVICON und Home Base
Fragen? Einfach melden.
DNS-Abfragen laufen normalerweise im Klartext über UDP Port 53. Jeder der den Traffic mitlesen kann (ISP, Hotspot-Betreiber, Geheimdienst) sieht welche Domains aufgelöst werden. RFC 7858 definiert DNS over TLS (DoT): DNS-Abfragen über eine TLS-verschlüsselte TCP-Verbindung auf Port 853.
BIND9 konnte zum Zeitpunkt dieses Beitrags kein natives DoT. Die Lösung: stunnel als TLS-Wrapper vor den BIND stellen. stunnel terminiert die TLS-Verbindung auf Port 853 und leitet die entschlüsselten DNS-Pakete an BIND auf Port 53 weiter.
Unter FreeBSD liegt die Konfiguration in /usr/local/etc/stunnel/conf.d/. Für IPv4 und IPv6 jeweils eine Sektion:
# /usr/local/etc/stunnel/conf.d/dnstls.conf [dns4] accept = 853 connect = 127.0.0.1:53 cert = /usr/local/etc/stunnel/ssl/dns.crt key = /usr/local/etc/stunnel/ssl/dns.key CAfile = /usr/local/etc/stunnel/ssl/ca.crt [dns6] accept = :::853 connect = ::1:53 cert = /usr/local/etc/stunnel/ssl/dns.crt key = /usr/local/etc/stunnel/ssl/dns.key CAfile = /usr/local/etc/stunnel/ssl/ca.crt
accept ist der Port auf dem stunnel lauscht (853 = DoT-Standard). connect ist der lokale BIND9. Das Zertifikat muss für den Hostnamen des DNS-Servers gültig sein, sonst schlägt die Validierung auf der Client-Seite fehl.
TLS-Verbindung prüfen:
openssl s_client -connect ns1.kernel-error.de:853
In der Ausgabe sollte Verify return code: 0 (ok) stehen und eine TLS-1.2- oder TLS-1.3-Verbindung angezeigt werden.
DNS-Abfrage über TLS mit getdns_query (in den FreeBSD-Ports als getdns):
getdns_query @ns1.kernel-error.de -s -a -A -l L www.kernel-error.de AAAA
Die Option -l L erzwingt TLS. Bei Erfolg kommt ein JSON-Objekt mit "status": GETDNS_RESPSTATUS_GOOD und der aufgelösten Adresse zurück. Alternativ kann man mit kdig (aus dem Paket knot-utils) testen:
kdig +tls @ns1.kernel-error.de www.kernel-error.de AAAA
Android 9+ hat DoT nativ eingebaut (Einstellungen → Netzwerk → Privates DNS). Dort den Hostnamen des eigenen DNS-Servers eintragen. Unter Linux kann systemd-resolved DoT, oder man nutzt stubby als lokalen DoT-Proxy.
Siehe auch: RFC 7858 – DNS over Transport Layer Security, DNS over TLS (DoT) mit BIND, Stunnel und Android 9 einrichten, DNS over TLS mit BIND, Stunnel und Android 9: Eigener DoT-Server, BIND auf FreeBSD: DoT & DoH einrichten mit Views, IP‑Trennung und Testplan für IPv4/IPv6.
Neben DoT gibt es inzwischen auch DNS over HTTPS (DoH), das DNS-Abfragen über HTTPS auf Port 443 tunnelt. DoH hat den Vorteil, dass es durch Firewalls und Proxies nicht blockiert werden kann, weil es wie normaler HTTPS-Traffic aussieht. Mein DNS-Resolver dns.kernel-error.de bietet inzwischen beides an. Fragen? Einfach melden.
Es gibt Tage, da fragt man sich ob man wirklich in einem IT-Unternehmen arbeitet oder doch im Kindergarten gelandet ist. Heute war so ein Tag.
Die Kaffeemaschine ist abgeschaltet worden. Nicht kaputt, nicht leer, abgeschaltet. Weil eine unserer Küchen nicht ordentlich gehalten wurde. Dreckiges Geschirr neben der Spüle statt in der Spülmaschine. Jemand hat seinen Teller einfach auf die Arbeitsplatte gestellt und ist gegangen. Wie ein Kleinkind das erwartet, dass Mama hinterherräumt.
Die Reaktion der Geschäftsführung: Kollektivstrafe. Kein Kaffee mehr für den Rest des Tages. Für alle. Weil ein paar Leute sich benehmen wie Fünfjährige, kriegen alle keinen Kaffee. Man sollte doch wohl in der Lage sein, das schmutzige Geschirr in die Spülmaschine zu stellen. Die steht drei Schritte neben der Spüle. Drei Schritte.
Ich sitze also an meinem Schreibtisch, die Server laufen, die Tickets kommen rein und ich habe keinen Kaffee. Weil irgendein Kollege seinen Teller nicht wegräumen kann. Der Admin in mir sagt: Monitoring auf den Geschirrspüler, Alert wenn Kapazität unter 50%, automatisches Ticket an den Verursacher. Problem gelöst.
Stattdessen gibt es Kollektivstrafe. Ich bin hier echt im Kindergarten.
Falls jemand weiß wie man Kollegen zum Spülmaschine-Benutzen erzieht, kann man mich gerne fragen. Ich bin für jeden Tipp dankbar. Außer Kollektivstrafen.
…jemand Lust ein solch lustiger Kollege zu werden?
Oder besser vorher bei mir fragen.
Wirklich! Fragt vorher…
Fragen? Einfach melden.
In einer der Küchen meines Brötchengebers steht seit ein paar Tagen ein Tiefer Teller gefüllt mit Zucker in der Nähe der Kaffeemaschine. Warum auch immer dieses so ist; keine Ahnung. Heute hat jemand ein Bild hinter diesen Teller gestellt und joar das bringt mich zum Lachen.
Nur damit nicht gemotzt wird: Dorgen sind böse!
Fragen? Einfach melden.
Ich habe vor kurzem in einem DataCenter gestanden und mir einen „neuen“ Kaltgang angeschaut, bei dem mir wirklich alles aus dem Gesicht gefallen ist.
Der Betreiber dieses DataCenters ist groß, international tätig, nennt eine größere zweistellige Zahl an DataCentern sein eigen und ist durchaus namhaft. Dieser Versuch von einem Kaltgang wurde von eben diesem Betreiber gebaut. Nicht für einen vermieteten Cage, sondern ganz trocken für vermietete Rackreihen. Rackreihen, bei denen sie penibel darauf achten, dass auch die einzelnen HE-Blenden eingesetzt werden, damit ein korrekter Luftstrom garantiert ist. Das meinen die wirklich ernst.
Und dann schaut man sich an, was sie als Kaltgangeinhausung gebaut haben. Die Bilder sprechen für sich.
Nein, ich werde nicht sagen, wer der Betreiber ist.
Fragen? Einfach melden.
Wenn ich meine Graphen so verfolge sehe ich eine Verdopplung des IPv6 Traffics seit dem Anfang diesen Jahres beim HTTPS Traffic. SMTP ist es nur knapp 50% mehr. Ich würde nun jetzt einfach mal behaupten dass inzwischen viel mehr Enduser mit einer IPv6 Adresse unterwegs sind und Mailserverbetreiber so schnell nicht „nachziehen“.
Mich überrascht dieser starke Anstieg in 2017 etwas daher habe ich nun mal alles gegen meinen IPv4 Traffic gehalten.
Insg. habe ich von meinen Systemen ausgehend 12,5% mehr IPv6 Traffic als IPv4 Traffic. Eingehend habe ich tatsächlich 6% mehr IPv6 Traffic als IPv4 Traffic. OK OK jetzt bin ich dabei sicher nicht repräsentativ… Nur ist in 2017 das Verhältnis zumindest bei mir von IPv4 zu IPv6 gekippt. Jetzt sind alle Systeme bei mir durchgängig IPv6 fähig und alles bewegt sich sicher sehr in seiner eigenen Blase, nicht zu viel herein steigern…
Gab es da nicht vor Kurzem eine Heise Meldung?
Schaue ich mir die großen an sieht man das es mehr wird und vor allem auch bei uns in Deutschland:
https://www.google.de/ipv6/statistics.html
https://stats.labs.apnic.net/ipv6
Mit einigen Bekannten habe ich ebenfalls gesprochen, hier zeigt sich ein sehr ähnliches Bild. Wir bleiben nur immer in der gleichen „Blase“. Mein Brötchengeber wäre noch ein ganz guter und sicher schon ein repräsentativ Statistikgeber, nur leider ist es hier produktiv noch extrem dunkel wenn es um IPv6 geht. 🙁 Hier gibt es gerade andere Baustellen.
Wie ist es denn bei euch? Jemand ein paar Zahlen oder Links für mich?
Update
Na schau an, eine erste Anregung habe ich schon mal. Mobile Endgeräte... Wenn man nicht gerade bei der Telekom ist sind viele noch mit ihren Smartphones auf IPv4 festgebunden. Statistiken von google/facebook/twitter usw. wird dieses sicher stark verfälschen. Wobei *grübel* verfälschen? Ist „das Internet“ (ich denke gerade an The IT Crowd) nicht inzwischen eher Smartphone? Benutzer mit einem Smartphone werden meine Webseite kaum anschauen, denn sie sieht mit so einem Gerät noch viel schlimmer aus als sie es bereits mit einem normalen Browser tut.
Siehe auch: IPv6 Grundlagen
Fragen? Einfach melden.
Ich habe in den letzten Tagen etwas mit dem RFC 7858 (https://tools.ietf.org/html/rfc7858) herumgespielt. Meine Zonen und auch Dienste sind per DNSsec, HSTS, Pinning usw. usw. abgesichert. Warum also noch DNS per TLS? Nun ja… Sinn macht es sicher keinen, bei mir ist nichts spannendes zu finden und kaum ein Besucher wird mit Problemen rechnen müssen wenn er hier ist. Für mich sollte Kryptographie nicht die Ausnahme sondern der Normalzustand sein. RFC 7858 ist da nur ein weiteres Detail. In einer DNS Abfrage finden sich selten geheime Daten. Klar wäre es schlecht wenn diese verändert würden um diese zu verhindern reicht eine Signatur. Das mitlesen der DNS Abfragen würde einer dritten Person so aber offenlegen wo man surft und welche Dienste man nutzt. Sind diese Abfragen per TLS verschlüsselt bleibt dieses geheim. Daher macht es wohl am meisten Sinn es für seinen lokalen DNS Resolver zu nutzen oder es auf großen DNS Servern zu aktivieren. DNS Servern welche sich um viele Zonen kümmern….
Um irgendwo zu starten und selbst einen Eindruck davon zu bekommen habe ich es auf meinen DNS Servern für meine Zonen aktiviert. Bis auf ns2.kernel-error.org haben die Server gültige Zertifikate. Bei ns2.kernel-error.org muss ich mal schauen wie es sich entwickelt.
Als Test:
$ getdns_query -s www.kernel-error.de a @176.9.109.53 -l L
Viel Spaß
Siehe auch: DoT und DoH mit BIND 9.20, DNS over TLS mit Stunnel und BIND9: Eigenen DoT-Server einrichten, DNS over TLS (DoT) mit BIND, Stunnel und Android 9 einrichten, DNS over TLS mit BIND, Stunnel und Android 9: Eigener DoT-Server
Fragen? Einfach melden.
© 2026 -=Kernel-Error=- — RSS
Theme von Anders Norén — Hoch ↑