Bin heute durch Zufall über eine Seite gestolpert, die eine Linkliste von über 5000 Tools, Plugins und Scripten aufgestellt hat, die das Online-Leben leichter machen. Die Liste geht von Browsern und Plugins über Netzwerk-Programme (IM und Fernwartung nur als Beispiel) sowie Plugins und Skins für viele Verbreitete Web-Anwendungen, wie Blogs und Wikis. Zudem ist die Liste recht gut sortiert und es sollte für jeden, der in irgend einer Form online tätig ist etwas dabei sein.

Hier ist die Seite zu finden (Warnung! Läd sehr lange!) 

w00t! Ich nehme noch Wetten an, ob das ganze Spektakel nicht wie die letzten Wochen und Monate doch wieder in allerletzter Minute floppt und gecancelt wird…

Quelle: eee-pc.de

Habe heute durch Zufall gelesen, dass ebay momentan einen neuen Dienst erprobt (Aktuell wohl in Deutschland den USA und Australien), der die Sicherheit der ebay-Konten maßgeblich verbessern soll. (Quelle: http://pages.ebay.de/sicherheit/) Es wird die sogenannte Two-Factor-Authentifizierung mittels eines kroptographischen Tokens eingeführt, der “das Bekannte” (Nutzername und Kennwort) durch einen “unbekannten Teil” ergänzt. (Der Token erzeugt in 30-sekündigen eine pseudo-randomisierte Zahl, die mit dem Auth-Server von ebay syncronisiert ist. Diese Methode soll Phishing-Attacken vorbeugen. ZurAnmeldung wird dann neben dem gewohnten Pärchen aus Benutzername und Kennwort zusätzlich noch die Zufallszahl eingegeben. Das macht sicher die Warscheinlichkeit einer Phishing-Attacke sehr unwarscheinlich. Bleibt nur zu hoffen, dass ebay das ganze System nicht zu Lasten der Sicherheit besonders “benutzerfreundlich” abgespeckt hat.

Ansich halte ich das ganze für eine gelungene Aktion. Kryptografische Tokens für den Endanwender ist sicher ein Thema, dass es bis jetzt noch nicht so gab. Aufgrund der hohen Kosten und dem großen Hardware-Aufwand hatte es sich bis jetzt im privaten Umfeld einfach nicht gerechnet Tokens zu nutzen. Verbreitung hatten diese Tokens bis jetzt nur im Buisiness-Umfeld z.B. für den Zugriff vom Home-Office auf den Firmenserver. Wünscheswert wäre jetzt für die Zukunft, dass andere Anbieter von Webdiensten ebenfalls diese Art der Benutzerauthentifizierung unterstützen. Zu vermeiden wäre dann aus meiner Sicht, dass jeder Anbieter seinen eigenen Token auf den Markt wirft und man irgendwann ein unübersichliches Bündel von Tokens mit sich herumschleppt

Mehr Infos zu den Tokens finden sich hier http://pages.ebay.de/sicherheitsportal/sicherheitsschluessel.html 

Ein Token kann für ein bestehendes ebay-Konto mit angeschlossenem PayPal-Account für 4,95 € bestellt werden.

Für dieses Thema gleich ein praktisches Anwendungsszenario:

Ein Server im Internet verfügt über eine externe IP-Adresse zum Internet und eine interne IP-Adresse für ein openVPN-Netzwerk. Der openVPN-Server läuft mit der Option eine Management-Konsole (Telnet) auf Port 7500 laufen zu lassen. Wenn der openVPN-Daemon gestartet wird ist die internte IP der VPN-Netz jedoch zum Zeitpunkt der Erstellung der Management-Konsole noch nicht verfügbar, sprich der Port für die Management-Konsole ließe sich nur an das loopback-Device oder die öffentliche IP-Adresse binden. Die erste Variante hat den Vorteil, dass die Management-Konsole lokal über telnet zwar zu erreichen ist, jedoh den Nachteil, dass sie innerhalb der VPNs nicht erreichbar ist. Die zweite Option kommt aus sicherheitstechnischen Gründen garnicht erst in Frage: Wer will schon einen offensichtlich unsicheren Dienst wie telnet an eine public-IP binden?

Die Problemstellung ist nun, wie kann ich von einem der Clients aus dem openVPN-Netzwerk trotzdem über telnet oder openVPN-Control eine Verbindung zur Management-Konsole erstellen? Die Lösung ist ansich trivial. Das Zauberwort heißt ssh-tunnel. Exemplarisch soll dies mit Putty demonstriert werden.

Zunächst wird in Putty eine neue Verbindung zu dem VPN-Gateway über die externe IP hergestellt. Unter den Konfigurationspunkten “SHH –> Tunnel” wird dann folgender Tunnel lokal erstellt:

Dies hat dann zur Folge dass auf Clientseite der lokale Port 7500 über SSH an das loopback-Device des entfernten openVPN-Gateway getunnelt wird, d.h. der lokale Port auf der Clientseite  verhält sich vollkommen transparent wie der entfernte. Nun kann eine Verbindung hergestellt werden. Lokal müsste nun per

telnet localhost 7500

der Zugriff auf die entfernte Management-Konsole möglich sein.

Dieser Tunnel lässt sich durch folgende Einstellung in openVPN-Control weiterverwenden. (Das PuTTY-Fenster muss dabei natürlich offen bleiben)

Wer jetzt aufgepasst hat wird sicher feststellen, das openVPN-Control schon von Haus aus eine Funktion beinhaltet PuTTY als “Tunnelgräber” zu nutzen. (Die benötigte putty.exe wird sogar mit openVPN-Control mitgeliefert) Leider habe ich es noch nicht geschafft auch die Authentifizierung mit Zertifikaten einzustellen. Wie man der oben abgebildeten Maske entnehmen kann ist es nur möglich einen Benutzernamen an den putty-Client zu übergeben, jedoch nicht den Speicherort des zu verwendeten Zertifikats.

Nachdem ich meiner Lieblingsbeschäftigung “Distributionen ausprobieren” wieder mal nachgegangen bin, bin ich aktuell bei Kubuntu 7.10 stehen geblieben. Probleme gab es jedoch nur mit dem Flashplayer. (libflashplayer.so: wrong ELF class) Da Kubuntu 7.10 mit dem Kernel 2.6.22-14 für x86_amd64 bei mir läuft (Habe eine Sempron CPU), der Flashplayer aber nicht 64-bittig ist habe ich etwas im Netz suchen müssen, bis ich folgende Lösung gefunden habe [Link]

Einfah das .deb dafür hier runterladen und mit einem einfachen

sudo dpkg -i –force-architecture flashplugin-nonfree_9.0.115.0ubuntu0.7.10_i386.deb

hat alles wieder wie gewohnt geklappt. Ich habe jetzt noch keine anderen Browser probiert, daher hier der Hinweis: Works for me!

Edit: Nachdem ich mein eigenes HowTo heute zum ersten mal auf einem anderen PC ausprobiert habe ist mir aufgefallen, dass es sinn macht zunacht mittels “updatedb –> locate libflashplayer.so” erst mal alle nicht-64-bit Versionen des Players zu lokalisieren und zu löschen. Danach hat es dann aber doch geklappt.

Heute habe ich es wieder auf dem Weg zur Arbeit erlebt: Die kleinen Schilder in den Bussen haben schon ihr Berechtigung. Vor allem in diesem Fall, wenn der Fahrer sich angeregt mit einer bekannten unterhält und durch diese angeregte Unterhaltung einfach mal an der Haltestelle vorbeifährt, an der ich aussteigen wollte.

Den Busfahrer also auf diesen “Umstand” hingewiesen –> Einziger Kommentar: “Naja, ohhh, das war dann jetzt wohl nicht so gut…”

Danke an den netten Busfahrer in der Linie 8 heute morgen in Richtung Eigenheim in Wiesbaden! Danke für den unfreiwilligen Gratis-Spaziergang den ich dann noch vor mir hatte!