Tridex

Bin gerade im Play Store auf DroidVPN gestoßen, einer App mit der man kinderleicht einen ICMP (aber auch UDP und TCP) Tunnel aufbauen kann, und so Firewalls und co. umgehen kann. Nach der Installation (die Anwendung setzt im übrigen Root-Rechte voraus) muss man sich gratis auf der Website von DroidVPN registrieren um sich mit seinem Benutzerdaten an einem von mehrern Servern in der USA anmelden zu können. Danach baut die Anwendung einen Tunnel zu einem dieser Server auf und verschiebt jeglichen Traffic darüber. Das ganze ist praktisch wenn man etwa in einem Hotel / Flughafen WLAN surft, und die Firewall wichtige Services blockiert. Das ganze kann man natürlich auch mit einem eigenen VPN (etwa am Homerouter, über die Firma oder einen eigenen Server) ebenfalls umgehen. Das besonder an der App ist jedoch, dass sie auch ICMP Tunnel anbietet. Dieser funktioniert oft auch dann noch, wenn ein Zugang zum Internet nur nach Bezahlung möglich ist, Pings jedoch nicht blockiert werden. Ein herkömmlicher VPN-Server würde in diesem Fall versagen.

100 MB pro Tag sind im gratis Service inkludiert, wer mehr benötigt, muss sich die Premium Version installieren. Ein äußert großzügiges Angebot (man sollte allerdings bedenken, dass jeglicher Traffic nun von den Servern von DroidVPN überwacht werden kann, sofern er nicht über HTTPS oder andere Protokolle verschlüsselt wird).

Angeregt durch einen Artikel der Zeitschrift “LinuxUser” habe ich mich ein bisschen mit dem Programm sshuttle beschäftigt, ein Tool mit dem man binnen weniger Minuten einen einfachen transparenten Proxy-Server aufsetzen kann, der ähnlich einem VPN verschiedenste Protokolle tunnelt.
mehr lesen »

Mosh, so nennt sich ein relativ neues Projekt (so neu, dass es noch nicht einmal einen Wikipedia-Artikel gibt), dass sich vorgenommen hat, SSH von Grund auf zu erneuern. Die Mobile Shell bietet einige spannende Ansätze um auch bei wechselnden Netzwerkverbindungen und hohen Latenzzeiten ein angenehmes arbeiten zu ermöglichen.
mehr lesen »

Seit der SambaXP, einer großen internationalen Samba Konferenz für Entwickler und Systemadministratoren, Anfang Mai gehen die Wogen um Samba 4 höher als vielleicht je zuvor. Jede Computerfachzeitschrift die etwas auf sich hält bringt Artikel über die Pläne für ein Release der neuen Version noch in diesem Jahr 2012 und macht deutlich welch wichtiger Schritt Samba 4 für Linux als Ersatz zum allgegenwärtigen Windows Server in kleineren und mittleren Betrieben darstellt. In diesem Artikel möchte ich zeigen, wie man Ubuntu 12.04 LTS mithilfe von Samba 4 in einen vollwärtigen Windows kompatiblen Domain Controller samt Active Directory konvertiert. Für Produktivumgebungen ist so ein Setup laut Entwickler zwar noch nicht unbedingt geeignet, um mit den neuen Tools vertraut zu werden reicht es aber auf alle Fälle!
mehr lesen »

Google hat angekündigt seine Suche in Zukunft komplett auf SSL-Verschlüsselung umstellen zu wollen. Bisher wurden nur die englische Suchseite google.com verschlüsselt und auch nur dann, wenn ein Nutzer angemeldet war. Google beginnt nun aber mit der Umstellung der internationalen Domains und will in Zukunft für alle Benutzer eine verschlüsselte Google-Startseite. Grundsätzlich ist diese Entscheidung natürlich zu begrüßen, alle Websitenbetreiber die nicht Google Analytics verwenden sondern zum Beispiel das Open Source Tool Piwik wird dadurch aber die Möglichkeit genommen SEO basierend auf gesuchten Schlüsselwörter zu betreiben, wie Google auch genauer beschreibt:

Under most circumstances, when you use https://www.google.com your search terms are encrypted and are excluded from the referrer headers that are part of the request sent to the result site you visit. The landing site will still receive information that you are coming from Google, but not the query that was issued — namely, the host is still part of the referrer being passed.

Die aufgerufene Seite erfährt also auch in Zukunft woher die Besucher kommen, der Suchbegriff ist aber nicht mehr im Referrer-Teil des Headers zu finden. Dagegen können auch die Entwickler von Piwik nichts tun wie sie bereits in der Hilfe beschreiben. Wer Piwik benutzt wird das wahrscheinlich bereits selbst gemerkt haben. Mehr und mehr Besucher die von Google kommen sind mit dem Stichwort “Suchbegriff nicht definiert” getagged. Ich möchte Google nicht vorwerfen, dass sie damit Google Analytics fördern wollen – dazu hat eine verschlüsselte Suche zu viele Vorteile – aber Schade ist das ganze doch…

Wer schon immer einmal seinen eigenen Speedtest hosten wollte kann das nun mit dem Mini-Speedtest von speedtest.net machen. Das einzige was man benötigt ist ein Webserver der PHP, ASP.NET oder ASP unterstützt. Nach dem Download des Mini-Speedtest-Servers muss dieser nur noch entpackt werden und der Webserver so konfiguriert werden, dass er auf die richtige index-Datei verweist. Dann kann es schon losgehen mit dem Testen. Wozu das ganze gut sein soll? Ehrlich gesagt, keine Ahnung, lustig ist es auf alle Fälle um mal zu sehen ob sein Server tatsächlich schneller als seine eigene Anbindung ist. Eventuell könnte man es noch zum Testen von LANs hernehmen, dazu gibt es aber bereits handlichere Alternativen wie zum Beispiel iperf. Wer den Mini-Speedtest einmal in Aktion sehen möchte, kann gern meine Testseite unter speedtest.tridex.net ausprobieren .

Um einzelne Seiten oder ganze Verzeichnisse vor den neugierigen Augen anderer zu verbergen, bietet es sich manchmal an, auf eine einfache HTTP-Authentifizierung zuzugreifen. Diese lässt sich relativ leicht und vor allem sehr schnell realisieren, bietet aber auch dementsprechend wenig Komfort und eignet sich somit weniger für öffentliche Logins, sondern eher um ein nicht öffentliches Downloadverzeichnis oder die Statistiken von Webalizer, Munin und co zu schützen. Standardmäßig läuft der Login aber über eine unsichere HTTP-Verbindung und lässt sich somit extrem leicht mit Programmen wie Wireshark auslesen. Wer bereits ein SSL-Zertifikat hat, der wünscht sich eventuell, die Authentifizierung über HTTPS zu erzwingen.
mehr lesen »

Ich wünsche allen Lesern ein gutes neues Jahr 2012, auf dass die Welt heuer nicht untergehen werde! 2011 war ein tolles Jahr, mein kleiner Blog, der am Anfang mehr als privater Notizzettel gedient hat, hat sich prächtig entwickelt. Weil man am Anfang eines neuen Jahres ja gerne auf die Geschehnisse des alten Jahres zurückblickt, habe ich ein paar Statistiken vorbereitet…
mehr lesen »

Kommt es mir nur so vor, oder wurden im letzten Jahr vermehrt OpenSource-Seiten gehackt (LinuxFoundation, kernel.org,…)? Wenigstens waren die Passwörter nach eigenen Anganben nur verschlüsselt gespeichert, was bei genügend langsamem Hashing ja eigentlich relativ sicher ist. Bleibt zu hoffen, dass die Serie der Einbrüche nicht so weiter geht, sonst trägt nicht nur die OpenSource Community, sondern das gesamte Internet Schaden von derartigen Hackaktionen! mehr lesen »

Ich verwende gelegentlich meinen DD-WRT Router zum Download großer Daten aus dem Internet (so wie heute das neue Windows 8 Developer Image) um bei Downloadzeiten von mehreren Stunden diese in der Nacht, ohne laufenden PC durchführen zu können. Am DD-WRT hab ich dazu einen USB-Hub samt mehrerer 8GB USB-Sticks auf denen die Daten liegen. Weil ich zu faul bin einen lokalen FTP-Server oder einen Samba-Server auf dem Router aufzusetzen (und es den bereits knappen RAM noch mehr belasten würde), nutze ich meist SCP (aus mangeln eines voll-funktionsfähigen SFTP-Servers auf dem Router) um die Daten dann auf den lokalen PC zu transferieren. Ein Vorteil von SSH, die Verschlüsselung, bringt in diesem speziellen Fall allerdings einen großen Nachteil mit sich: der ohnehin nicht besonders schnelle Router (Broadcom BCM4785 CPU — 300 Mhz) wird durch die Encryption extrem ausgebremst. So pendelt sich die Datentransferrate mit den Defaultsettings bei ungefähr 400 KB/s ein (was im Vergleich zu meiner Internetanbindung mit 500 KB/s schon wirklich langsam ist). Leider gibt es keine Möglichkeit die Verschlüsselung komplett zu deaktivieren (wenn jemand doch eine kennt, bitte ich um Korrektur), aber man kann zumindest einen schnelleren Verschlüsselungsalgorithmus auswählen:

-c blowfish|3des|des
Selects the cipher to use for encrypting the session. 3des is used by default. It is believed to be secure. 3des (triple-des) is an encrypt-decrypt-encrypt triple with three different keys. blowfish is a fast block cipher, it appears very secure and is much faster than 3des des is only supported in the ssh client for interoperability with legacy protocol 1 implementations that do not support the 3des cipher. Its use is strongly discouraged due to cryptographic weaknesses.

Weil in diesem speziellen Fall die Verschlüsselung eigentlich komplett irrelevant ist, ist es auch komplett egal, wenn man einen unsicheren Cipher wählt. Mit dem blowfish Cipher pendelt sich die Datenrate bei mir bei immerhin 3 MB/s ein (um 750% schneller als mit dem 3des Cipher). Die Load des Routers steigt trotz dieses schnelleren Ciphers auf 2.5, es gäbe also noch Potenzial zur Verbesserung durch noch schnellere Verschlüsselungsverfahren (oder eben die komplette Deaktivierung).