Archiv ‘IT’

Dienstag, 8. August 2017

Chrome Sync härten

Gemäss den Empfehlungen im Artikel Hardening Google Chrome habe ich die Sync-Einstellungen meines Desktop-Browsers folgendermassen eingeschränkt:

image-7443

Und auf iOS-Geräten sehen meine Einstellungen so aus:

image-7444

image-7445

Tags: , , , , , , ,
Labels: IT

Keine Kommentare | neuen Kommentar verfassen

Dienstag, 8. August 2017

Google Chrome wieder nützliche Informationen über TLS-Verschlüsselung anzeigen lassen

Als Security Officer befasst man sich gelegentlich auch mit TLS-Zertifikaten von Web-Sites. Wenn man die Zertifikate und die Verschlüsselung einer im öffentlichen Internet ansprechbaren Web-Site bewerten lassen möchte, verwendet man dazu am Besten Qualys SSL Server Test.

Manchmal aber sind Web-Applikationen nur im Intranet erreichbar, oder manchmal möchte man einfach nur ganz rasch in Erfahrung bringen, welche Verschlüsselung eine Web-Site einsetzt.

Bis vor kurzem ging das in Chrome ganz flott: In der URL-Bar klickte man auf das Schloss-Symbol und erhielt mit ein, zwei Klicks alle nötigen Informationen präsentiert. Spätestens seit Version 59 klappt das nicht mehr.

In Version 60 haben die Chrome-Entwickler das Problem resp. den Kundenwunsch erkannt und ermöglichen es neu, die Funktionalität mittels einer Konfigurationseinstellung wieder zu reaktivieren:

  1. Chrome starten
  2. Die URL chrome://flags/#show-cert-link ansurfen
  3. Enable anklicken
  4. Chrome neu starten

Via: Configure Google Chrome to display certificates directly

Und ab sofort gibt es mit Klick auf das Schlosssymbol einer Web-Site wieder den Eintrag „Certificate“:

image-7439

Mit Klick auf Valid öffnet sich danach ein os-spezifisches Fenster mit Informationen zum Zertifikat:

image-7440

Tags: , , , , , , ,
Labels: IT

Keine Kommentare | neuen Kommentar verfassen

Sonntag, 23. Juli 2017

1Password kann ja auch TOTP (Google Authenticator)

Auf meinem iPhone habe ich Google Authenticator installiert, welcher mir Einmalpasswörter für eine Ladung von Geräten in meinem Heimnetzwerk (Synology NAS, Anleitung hier) sowie Web-Services (Gmail, Rainloop Webmail, WordPress etc.) liefert. Im Fachjargon nennt man das Time-based One-time Password Algorithm TOTP.

Da ich zu Hause manchmal das Smartphone in einem anderen Raum liegenlasse und ich mir in solchen Fällen den Fussweg zum Telefon sparen möchte, habe ich mich nach einer Desktop-Variante von Google Authenticator umgesehen. In einem Artikel werden einige Varianten erläutert, doch bei den meisten handelt es sich um Google Chrome-Extensions. Solche möchte ich nicht verwenden, da ich verhindern möchte, dass Google meine geheimen Schlüssel erfährt und sie zwischen allen Chrome-Instanzen hin- und hersynchronisiert.

Leider funktioniert JAuth 2 unter macOS Sierra nicht (verlangt nach dem nicht installierten Java 6, RLY?), weshalb ich mich nach anderen Lösungen umsehen musste.

Plötzlich die zündende Idee — moment mal, ich habe ja 1Password auf meinem iPhone, iPad sowie meinem MacBook wie auch meinem Mac mini installiert. Kann die Software nicht auch mit TOTP umgehen?

Und tatsächlich: 1Password bringt alles an Bordmitteln mit, um QR-Codes einzulesen und dann in Echtzeit im jeweiligen Zugangsdaten-Eintrag die sechsstelligen Zahlen anzuzeigen. Halt einfach ein wenig versteckt. Doch weiss man einmal, wo suchen, geht es Ruckzuck und der QR-Code ist in der App im jeweiligen Eintrag der Credentials gespeichert.

Natürlich bedeutet das aber auch, dass wer meine 1Password-Datenbank stehlen kann, neben Benutzernamen und Passwort auch gleich den zweiten Faktor zum Login in sensitivere Konten besitzt.

Zum Glück laufen meine spezialisierten TOTP-Apps für die wirklich kritischen (und wertvollen) Anwendungen (sprich: Online-Banking) in eigenen, schön abgeschottenen Containern auf dem iPhone: Credit Suisse SecureSign und Raiffeisen PhotoTAN. Bei Postfinance verwende ich übrigens Swisscoms Mobile ID; d.h. der zweite Faktor ist hier in Hardware ausgelagert, was Vor- und Nachteile hat.

Tags: , , , ,
Labels: IT

Keine Kommentare | neuen Kommentar verfassen

Samstag, 1. Juli 2017

Debian von einem bootbaren USB-Stick installieren

Kürzlich ist Debian 9.0 Stretch erschienen. Zeit, meinen USB-Stick mit den neuesten Installationsdateien zu bestücken, um zukünftige Linux-PCs von diesem Stick aus aufsetzen zu können.

Hierzu habe ich mir das neueste Debian Netinst ISO (für „Netzwerk-Installation“) heruntergeladen, welches man hier findet:

Debian — Network install from a minimal CD

Anschliessend habe ich den USB-Stick an meinen Mac mini eingesteckt (muss zwingend vor dem Starten von unetbootin gemacht werden, da das Drop-Down der Zielvolumes sonst leer bleibt), das bereits installierte unetbootin gestartet, das ISO ausgewählt und danach auf den USB-Stick kopieren lassen. Fertig.

Mangels eines verfügbaren, leeren Geräts konnte ich den Stick noch nicht testen, dieses Prozedere hat aber mit Debian 8.3 (Jessie) bereits perfekt funktioniert.

Tags: , , , , , , , , , ,
Labels: IT, Linux

Keine Kommentare | neuen Kommentar verfassen

Freitag, 16. Juni 2017

Icon zum PDF-Export in Word aktivieren

Auf der Arbeit bevorzuge ich es, PDFs anstelle von Word-Dateien zu versenden.

Damit das ohne langes herumhangeln in Menus funktioniert, habe ich mir in der Quick Access Toolbar einen Button platziert, der dies auf Knopfdruck bewerkstelligt.

Vorgehen:

  1. Rechtsklick auf Quick Access Toolbar
  2. Customize
  3. Choose commands from: All Commands
  4. Publish as PDF or XPS
  5. Klick auf „Add > >“
  6. OK

Quelle: save file as a .pdf shortcut for Word 2013

image-7357

image-7358

Tags: , , , , , ,
Labels: IT

Keine Kommentare | neuen Kommentar verfassen

Sonntag, 14. Mai 2017

Factory Reset eines Netgear WNDR3700v2, auf dem DD-WRT installiert ist

Momentan läuft bei uns gerade eine massive Aufräumaktion und ich „verschutte“ viele von uns nicht mehr benötigte Dinge auf Tutti.

Unter anderem ein Netgear WNDR3700v2 (802.11n), welcher bis letztes Wochenende in Betrieb war und auf dem DD-WRT lief (DD-WRT kommt mir für kritische Infrastruktur nicht mehr ins Haus — Gefrickel).

Das Ziel war klar: DD-WRT vom Router löschen, das neueste offizielle Firmware des Herstellers installieren und das Gerät danach verkaufen. Doch das ist gar nicht sooo einfach.

Die Anleitung WNDR3700: Restore Factory Firmware in Five Easy Steps wollte bei mir eben gerade nicht so „easy“ klappen.

Folgendermassen habe ich es dann doch hingekriegt:

Das erste Problem war das betätigen des Reset-Buttons des Gerätes. Ich konnte den gewünschten blinkenden Zustand nie herrichten. Deshalb musste eine andere Lösung her — und die ist in diesem Post zum Thread beschrieben:

ssh or telnet to the router
enter the following command at the shell prompt (this effectively deletes the OS causing the router to go in to recovery mode on the next reboot/power cycle):

mtd erase linux

you should see a message similar to:

Unlocking linux ...
Erasing linux ...

wait until you are returned back to the shell prompt
power cycle the router
allow the router to finish booting (the Power LED will be lit solid for 10-15 seconds)
there after the Power LED should be flashing

Quelle:Anton Wan

Trotz Reset-Versuchen trug mein Router immer noch die IP, die ich konfiguriert hatte (und nicht 192.168.1.1). Mit dem Befehl mtd erase linux konnte ich das Gerät tatsächlich platt machen. Ein Neustart resultierte aber weiterhin nicht in den beschriebenen blinkenden Lichtern.

Stattdessen landete das Gerät wie in einem Thread auf der offiziellen Netgear-Web-Site beschriebenen in einem Reboot-Loop:

The power light is constant amber. Every 14th second, all the LAN ports blink amber, the and power light is turns off for half a second.

Quelle: Is my WNDR3700 bricked?

Letzte Hilfe: Router ausschalten, mit einem spitzen Gegenstand den Factory Reset-Knopf drücken, das Gerät starten und den spitzen Gegenstand gesteckt halten. Und zwar lange — bei mir dauerte es ganze 38 Sekunden, doch dann war das Power LED endlich wie gewünscht am blinken.

Auf meinem MacBook Air (mit der statischen IP 192.168.1.2) führte ich dann auf der Kommandozeile im Ordner mit der Firmware-Datei folgende Befehle aus:

$ tftp
tftp> mode binary
tftp> connect 192.168.1.1
tftp> put WNDR3700v2_WNDR37AVv2-V1.0.1.14.img
Sent 7078081 bytes in 4.3 seconds
tftp> quit

Ganz wichtig ist nun, den Router einfach mal werkeln zu lassen. Das kann einige Minuten dauern. Doch danach ist das Ding wieder im ursprünglichen Werkszustand.

Tags: , , , , , ,
Labels: IT

Keine Kommentare | neuen Kommentar verfassen

Sonntag, 14. Mai 2017

iPhone zeigt Landing Page eines WLAN-Gästeportals nicht an

Am Mittwoch nahm ich beruflich im Hotel Mövenpick in Egerkingen an einem Workshop teil. Abgesehen vom kalten Duschwasser (das Hotel war in der Nacht vom Mittwoch auf den Donnerstag restlos ausgebucht) ein sehr angenehmer Aufenthalt!

Ein Arbeitskollege hatte aber anfänglich mit dem Gästeportal des kostenlosen WLAN zu kämpfen. Obwohl er sich jeweils mit dem WLAN verband, zeigte sein iPhone die sogenannte „Landing Page“ des Gästeportals nicht an. So war es ihm nicht möglich, sich mit Vornamen, Nachnamen und E-Mail-Adresse zu registrieren und den Internetzugang freizuschalten.

Mit meinem iPhone klappte die Registrierung problemlos, wobei sich das Telefon sowieso die meiste Zeit im Swisscom-WLAN einbuchte. Der Kollege war aus Wien und kam deshalb nicht in den Genuss von WLAN-Roaming seines Mobilfunkanbieters.

Doch wie löst man ein solches Problem? Ein kurze Google-Suche später die Erkenntnis:

Load the Authentication / Login Page manually

To load the login page, you have to get the router gate IP. You can get router gateway IP address from Wi-Fi details screen. To get router IP, go to iPhone Settings > Wi-Fi > tap on “i” of selected Wi-Fi network > Next Screen DHCP Tab > Router IP.

Now copy this router IP Address and type into your browser address area and enter to load the page.

Your browser will load the Wi-Fi provider’s authentication page, fill out the necessary details on this page before submitting.

Once you submit and the provider authenticates your connection, then you can start to enjoy the free Wi-Fi.

Quelle: How to Solve Wi-Fi Login Page not Loading Issue in iPhone & Connect Wi-Fi HotSpot

Diesen Trick kannte ich zugegebenermassen selber noch nicht: Man surfe einfach die IP des Gateways an (diese Informationen hat das iPhone vom DHCP-Server erhalten), und die Landing Page erscheint. Genau so funktionierte es auch bei dieser WLAN-Infrastruktur. Nett!

Tags: , , , , , ,
Labels: IT

Keine Kommentare | neuen Kommentar verfassen

Sonntag, 7. Mai 2017

Ein Gästenetzwerk auf dem Ubiquiti EdgeRouter-X vom restlichen Netzwerk isolieren

Heute habe ich meinen ersten EdgeRouter-X in Betrieb genommen. Die Konfiguration war etwas gewöhnungsbedürftig, aber im Zusammenspiel mit Web-GUI und CLI hat es tatsächlich geklappt. Am meisten schätze ich, dass die Konfiguration des Routers eine simple Text-Datei ist, die man mit Subversion (oder: Git) versionieren kann und bei Bedarf mit ein paar Handgriffen für neue Umgebungen oder zusätzliche Installationen anpassen kann.

Da solche Ubiquiti-Geräte semi-professionelle Router und Switches sind, habe ich heute auch einen lang ersehnten Spezialfall umgesetzt: Am Installationsort teilen sich Vermieter und Mieter einen Internetanschluss. Der Vermieter möchte dabei aber dem Mieter aber eigentlich nur den Internetzugang ermöglichen und ihn aus dem heimischen LAN heraushalten.

Dies ist nicht sonderlich kompliziert, da der Mieter ein Ethernet-Kabel vom Router auf seinen Switch gezogen hat — es muss also einfach ein Faden geschützt werden.

Mit WLAN stellt man dies mit einer zweiten SSID sicher, die im UniFi-Controller als Gästenetzwerk konfiguriert wird. Auf Ethernet-Ebene ist es etwas komplizierter. Doch freundlicherweise hat sich ein geschätzter Zeitgenosse die Zeit genommen, genau diesen Use Case zu dokumentieren:

Setting up a guest network with the EdgeRouter Lite

Zwei kleine Anpassungen habe ich gemacht:

  1. Im DHCP-Server gebe ich als DNS die Server von Cablecom mit, weshalb sich aus meiner Sicht eine Firewall-Regel für internes DNS erübrigt.
  2. Als Privates Netz habe ich 192.168.1.0/24 gewählt und nicht 172.16.x.x.

Die Trennung mittels VLANs und Firewalls ist nun eingerichtet, aktiv und versioniert — leider konnte ich den Mieter aber noch nicht fragen, ob seine Geräte damit auch weiterhin funktionieren.

Tags: , , , , , , , , ,
Labels: IT

Keine Kommentare | neuen Kommentar verfassen

Samstag, 6. Mai 2017

Einen UniFi Access Point forcieren, die Konfiguration neu einzulesen

Heute habe ich einen weiteren UniFi Access Point (dieses Mal wieder einen AC AP PRO) in Betrieb genommen.

Leider konnte ich den Access Point nach einigen Stunden Betrieb nicht dazu bewegen, die gemäss meiner Anleitung aktualisierten SSH-Keys neu einzulesen. Im Fachjargon nennt man das „forced re-provisioning“.

Ein Neustart des Access Points über das Web-Interface des UniFi-Controllers bewirkte nichts.

Schlussendlich entdeckte ich mehrere Threads in den Foren des Herstellers (Ubiquiti) und musste realisieren, dass der Hersteller offenbar keine direkte Möglichkeit implementiert hat, um einen Access Point mitzuteilen, seine Konfiguration vom Server neu einzulesen.

Everytime you change something at a config.properties, the APs need to be reprovisioned to apply that configurations. A reboot on the controller or the APs will not trigger a reprovision. So you have two options:
1) If you want to reprovision a single or a few APs, you can manually change one of their settings, like channel or TX power, then revert the config. Only that APs will be reprovisioned and will then apply whatever you have at config.properties for that site.
2) To reprovision all APs on a site you can enable and then disable the guest portal. This will trigger a reprovision on all APs, and apply all the settings on config.properties for that site.

Quelle:

Folgende Massnahme hat dann aber zum gewünschten Erfolg geführt:

  1. UniFi Controller
  2. Devices
  3. Klick auf den Namen des gewünschten Access Points
  4. In der rechten Spalte erscheinen die Eigenschaften des Access Points
  5. Configuration
  6. Radios
  7. Channel Width: Einen anderen Wert auswählen, als derzeit aktiviert (bei mir von HT40 zu HT20)
  8. Queue Changes

Nach einigen Sekunden sollte die Konfiguration endlich neu eingelesen worden sein. Nun die Änderungen rückgängig machen — und fertig.

Tags: , , , , , ,
Labels: IT

Keine Kommentare | neuen Kommentar verfassen

Freitag, 14. April 2017

Safari stürzt neuerdings beim Drag & Drop von Bildern ab

Das letzte offizielle Update von Safari auf Version 10.1 (11603.1.30.0.34) hat einen nervigen Bug mitgebracht: Packt man eine Grafik, die man in einem neuen Tab geöffnet hat (Rechtsklick auf Grafik, „Open Image in New Tab“) und will diese auf den Desktop ziehen, stürzt das Tab unmittelbar ab:

image-7257

Anschliessend öffnet sich ein Fenster, mit welchem man die Fehlermeldung zu Apple senden kann:

image-7258

Der Fehler zeigt sich bei mir unter macOS 10.11.6 mit allen installierten Sicherheitsupdates.

Das Problem ist nicht auf mich beschränkt, andere Leute haben es auch (gemäss Apple Diskussionsforen).

Das deaktivieren der Extensions 1Password und 1Blocker hat nichts gefruchtet — das Problem muss meiner Meinung wirklich an Safari selbst liegen.

Tags: , , , ,
Labels: Apple, IT

1 Kommentar | neuen Kommentar verfassen