Day 328: TLS, Ciphers und CAA

Ich hab gerade die Verbindungs-Sicherheit eines Webservers optimiert. Die meisten Einstellungen waren noch im unspezifischen 0-8-15 Paketauslieferungsdefault, also war es nicht schwer, da was zu verbessern.

In dem Zusammenhang einfach ein paar nützliche Links zu Seiten, die aktuell gehalten werden und viele nützliche Hintergrundinfos mitbringen:

https://cipherli.st/
Eine (von mehreren) Anlaufstellen für Empfehlungen, wie die Einstellungen zum Thema SSL/TLS/Ciphers optimiert werden sollten. Gerade die Ciphers (Schlüsselaustausch, Authentifizierung, Verschlüsselung, Hashfunktion) sind ein Thema für sich, weil oft zwischen größtmöglicher Sicherheit und zu unterstützenden Devices und Browsern abgewogen werden muss.
Hier eine andere Seite mit TLS-Background, aber eher für lange verregnete Sonntagnachmittage.

https://hstspreload.org/
Die HSTS-Headerangabe in der Server-Response informiert den Client, zukünftige Requests sofort und nur via https aufzubauen. Damit bereits der erste Request sicher erfolgt, ist eine Aufnahme in Browserlisten erwägenswert.
This form is used to submit domains for inclusion in Chrome’s HTTP Strict Transport Security (HSTS) preload list. This is a list of sites that are hardcoded into Chrome as being HTTPS only.
(Weitere Hintergrundinfos zu HSTS vom Wiki Peter)

https://letsencrypt.org/docs/caa/
Vielen noch unbekannt, aber schnell im DNS-Zonefile hinzugefügt: der CAA-Record.
CAA is a type of DNS record that allows site owners to specify which Certificate Authorities (CAs) are allowed to issue certificates containing their domain names.

https://www.ssllabs.com/ssltest/
Die Transportverschlüsselung umfangreich testen. Der Service gehört zu den Besten. Wenn bestimmte (ältere) Clients unterstützt werden müssen, ist ein A+ Ranking nicht immer erstrebenswert; aber wenigstens sollten die gängigen gefundenen Sicherheitslücken der letzten Jahre nicht in der Prüfliste auftauchen.

Day 009: Werkzeuge für Sysadmins

Schon ein paar Jahre her, der Vortrag von Charly Kuehnast auf der 7. Secure Linux Administration Conference (https://www.youtube.com/watch?v=M5LzL2JfpOI) – aber ich bin gerade erst darüber gestolpert und notiere mir die Tools, die ich bei nächster Gelegenheit ausprobieren werde:

So.

Tag 208/2016: Fernwartung, freie Alternativen

Es gibt einen Haufen kostenpflichtiger Fernwartungstools, teilweise mit umfangreichem Funktionsumfang und sehr verlässlich.

Wie sieht es mit freien, zumindest kostenlosen Alternativen zu kommerziellen Produkten aus? Ich habe Chrome Remote Desktop für eine Schulung ausprobiert und bin sehr zufrieden.

Ein wenig muss man sich arrangieren, beispielsweise gibt es keine besonderen Einstellmöglichkeiten zur Tastatur, Zeichensätzen oder Auflösungen. Wenn die Gegenstelle, deren Computer man fernsteuern will, zwei Monitore angeschlossen hat, ist es besser, nur einen für den Zeitpunkt der Fernwartung zu aktivieren, sonst sieht man beide und damit fast nichts.

Aber ansonsten: Thumbs up. (Link zum Store)

 

Tag 166/2016: Web-App-Vulnerability Scanner

Verschiedene Open-Source-Tools um Schwachstellen in Web-Applikationen zu finden, teils voll-, teils halb-automatisiert; teils Kommandozeile, teils GUI; teils aktueller, teils älter.

Auch geeignet, um die Bandbreite an potentiellen Schwachstellen kennenzulernen und ein wachsameres Auge in eigenen Programmierprojekten zu haben.

 

Tag 137/2016: IPv6

Sagt Wikipedia:

Das Internet Protocol Version 6 (IPv6), früher auch Internet Protocol next Generation (IPng) genannt, ist ein von der Internet Engineering Task Force (IETF) seit 1998 standardisiertes Verfahren zur Übertragung von Daten in paketvermittelnden Rechnernetzen, insbesondere dem Internet.

IPv6 löst eine Menge Probleme und führt neue ein 🙂 Trotzdem führt kein Weg daran vorbei. Die ca. 4 Milliarden Adressen des im Jahre 1981 definierten IPv4 reichen weltweit schon lange nicht mehr aus, 340 Sextillionen (Die Ziffer 1 gefolgt von 36 Nullen) Adressen hingegen halten eine Weile vor, selbst wenn jeder Turnschuh eine eigene Adresse bekommt.

Mit IPv6 lässt sich dann hoffentlich auch eine spürbare Verbesserung bei der Nutzung mit dem Teufelsprodukt VOIP herbeiführen, sofern 1. die VOIP- und Internetzugangs-Anbieter Unterstützung bieten, 2. die Router ihre Kinderkrankheiten bewältigen (hier, hier) und 3. die Endgeräte mitspielen (z.B. können snom-Telefone der 3xx-Reihe kein IPv6). Die ganze NAT- und Portforwarding- und SIP/RTP-Fummelei sollte dann entfallen.

Ein paar Links:

Du kennst weitere Interessante Links zu IPv6? Bitte kommentieren, Danke!

Tag 120/2016: Ähnlichkeiten zu Slack sind rein zufällig

Slack („a messaging app for teams“) hat/haben ja gerade einen Lauf. Immer mehr Teams nutzen es, um ihre Kommunikation im Web, auf dem Desktop und Mobil zu erschlagen; darunter einige bekannte Namen.

Wer etwas mehr Kontrolle über seine Daten will, sollte sich Mattermost ansehen. Die betriebssystemübergreifende Desktop-App ist auch mit Electron verpackt, es gibt auch eine Smartphone-App und auch eine Webanwendung (3 x „auch“). Die Clients sehen sich sehr ähnlich.

Die Kontrolle über seine Daten erkauft man sich aber mit der Arbeit, selber alles zu installieren, abzusichern und aktuell zu halten. Wer das kann, für den ist es sicherlich eine interessante Alternative.

Tag 111/2016: Suchmaschine für Webcams, Kühlschränke und Kraftwerke

Mal wieder nur ein Lesezeichen: https://www.shodan.io, die Suchmaschine für das Internet der Dinge. Wer kauft Smart-TVs? Kühlschränke mit Netzanschluss? Hier findet man es raus.

Nur eine Randnotiz im Artikel auf wordfence.com über einen Slider, WordPress und Panama.

Tag 94/2016: Checklisten, online

Checklisten entlasten das Hirn, helfen bei der Fehlervermeidung, halten die Qualität hoch, inspirieren, retten Leben.

Wo gibt es im Netz gute Quellen bzw. Sammlungen?

Update 14.05.2016: Die beiden genannten Links bzw. die ursprünglichen Seiten dahinter gibt es nicht mehr. Daher habe ich die Verlinkung entfernt und sie nur noch aus historischen Gründen stehen lassen. (Danke an Uli für den Hinweis)

  • https://4checkers.de/
  • http://www.checkliste.de/

Bitte in den Kommentaren ergänzen. Thnx!