Stephans Blog
Private Blog

This is the private blog of Stephan Bösebeck, covering topics like Multicopters, Drones, Games... Leisure stuff...

covering topics like Multicopters, Drones, Games... Leisure stuff...


found results: 135

<< 1 ... 2 ... 3 ... 4 ... 5 ... >>


category: security

Virenscanner am Mac / Iphone

2017-05-29 - Tags: virus security

As some of my readers are not that good in reading and understanding German, I'll try to write some of my posts, which might be interesting in english also. I hope everything is understandable so far emoji people:smirk - This is not a translation, just a rewrite in English. Lets start with the last post about Anti-Virus Software

Anti-Virus software on the Mac or iPhone?

People are more and more concerned about viruses. Also Mac users start to worry about that threat. So, is it neccessary to install anti-virus software on the mac? I was asked that question several times lately...

First of all, this question it totally justified. Everyone should harden his computers and phones as far as he feels safe. Actually, more than a feeling would installing an anti virus software on the mac not produce. As of now there is a handfull of harmful software known for the mac, all of them will be filtered by macs own security mechanisms and thus are not really a thread anymore.

At the moment the Mac is safe - but soon...

"Soon it will be very bad for Mac users. Viruses will come..."

I hear that every year. When the new market share numbers are published and OSX gains. Then everybody tells me, that the marketshare is soon reaching some magic percentage when it will be so interesting for Virus-Programmers to write Viruses for Macs that ther will be a flood of malware. Or will there?

Of course, marketshare is definitely influencing the number of malware for a certain system. But in addition to that, you should take the necessary effort and feasibility into account. And the use... (in terms of malware: what could I gain? Keylogging? Botnet?)

I think, one should take both into account: Is the system easy to hack, it will be hacked, even if almost nobody is using it. Is the systems' marketshare not that high, but relatively simple to hack - it will be hacked! For example: the Microsoft Internet Information Server (IIS) is being attacked far more often than the marketshare leader Apache. When a system is very hard to hack, you need some good incentive to take the effort. Which could be the reason why there is no real virus for Linux or OSX.

And when I write "hacked" its more in a viruses term of use - not remote hacking of user accounts. And: it needs to be done more or less automatically by software. Otherwise there will be no real virus or worm. If somebody wants to hack a certain machine and has the knowledge, he can do it - depending on resource, effort and motivation ;-) I knew a hacker once, you could hire to hack the servers of an competitor for example. Those things are always possible. But this is almost always an administrative problem. There is no real protection against those guys. You can hack any machine you can physically touch - resources and motivation required, of course. Best example: the Jailbreaking of iOS! But if there is enough motivation, resources and knoledge, you're not really safe (see NSA & Co). So it's a question of effort: to hack the machine of a 14 year old student is definitely not as interesting as hacking the machine of a CEO of a big company or a politician.

Same thing is valid for malware and viruses: Malware is not developed for the fun of it (well, at least most of the time it's not). People want to make money with them. This is the only reason why there are Viruses! Maybe that's the reason why there is still the rumor, that actually the Anti-Virus-Software vendors pay some virus developers to spread viruses every once in a while. who knows... i cannot rule that out for sure. I met some Russian guys who claimed that to be true. If so, then I don't understand why there is so few malware for Linux and OSX. That would be a huge market for Anti-Virus-software vendors - millions of users, complete new market segment worth millions or billions of dollar.

I think, viruses are only developed to directly (data theft, credit card fraud etc) or indirectly (by spamming, using hacked machines as bots on the way to the real target, bot nets etc) to MAKE MONEY! And when money is involved: the effort and resources necessary to achieve that must be lower as the estimated revenue of course. So we are at the combination of effort and marketshare again. Marketshare influences the potential revenue (assuming that when more machines are hacked or affected by malware, more money is being made), efforts are the cots. And in some cases this is obviously not a positive figure...

malware in general

First of all, you need to distinguish between the different kinds of malware. In media and the heads of non-IT-guys all malware is named "Virus". But it's necessary to know what kind of software pest is out there in order to be able to protect yourself against those effectively.

The media and in the heads of non IT guys usually every malware is called a "virus". But in order to be able to protect yourself from those malware, it is important to know exactly what you're dealing with. You can classify three different kinds of malware: Viruses, Trojans and Worms - but there are some mixtures of those in the wild, like a virus which spreads like a worm - hence toe umbrella term "malware").

  • a virus is a little program, which reproduces itself on the system and does dort it's dirty stuff. most of the time, those viruses do exploit some security holes in order to get more privileges. If those privileges are gained, the virus will do things things, you usually do not want him to do - like deleting things, sending data do a server...
  • a trojan is most similar to a virus, but needs the users help to get installed. Usually it looks like some useful piece of software, a tool of some kind, but in addition to the funktionality you desire, it also installes some malware on the system. Usually the user is being asked, that the software needs more access - on OSX at least. But even if it does not seek privilege escalation, your data still is at risk. See wikipedia
  • a worm is a piece of malware, that is capable of spreading itself over the network (either locally or over the internet, see wikipedia). You can easily protect yourself against worms if you just unplug the network from your computer (and/or disable WiFi) or at least disable internet access. Sounds insane, but I myself was at some offices and departments, who do exactly that: They are unplugged from the internet in the whole building, only a certain room, which is specially secured, does have internet access - but not into the local network.
  • a new type of malware just got famouse with wanacry: ransomware these are usually some trojans which do then use bugs in the system to encrypt all data. And you only can decrypt it, if you send a couple of bitcoin to the author.
  • of course, there are mixrures of all those types. Usually there is a trojan, that acts like a virus on the system to gain root (or admin) access and uses that to spread himself over the network (worm).

on the Mac?

you always get such "warning messages" on the mac, if any malware wants to do something, that is out of the ordenary and does need system privileges. Exactly that happened a couple of months ago when there was a Trojan, who was installed using Java and a security issue therein. But still, the users were asked, that the software needs more privileges. And enough people just said "yes" to very question...

Please do not get me wrong, I do not want to deemphasize malware. It is out there, and does cause a lot of harm and costs. But you can be saved by trojans more or less by using common sense:

  • Why does the new calculator app need access to my contacts?
  • Why does my new notes app need admin permissions?
  • why does software XY ask about this or that permission?
  • is it clever to download tools from an untrusted source, especially if this source does offer cracks or exploits or something?

It is getting harder, if the trojan uses its newly gained privileges to hack the system itself, maybe even exploiting additional security issues there, so that the user is not being asked. Then a secure operating system architecture is helping to avoid those kind of things. Which is usually implemented by all unix OS.

Viruses and worms can not be avoided so easily hence those do exploit bugs in the system. But even then, Unix based systems are a bit better suited for that case than others.

This is according to a very strict separation between "System" and "Userprocesses" and between the users themselves. And, especially on OSX, we have Sandboxing as an additional means against those malwares. And the graphical user interface is not bound so tightly to the operating system kernel like it is in Windows NT for example.

But, overall, the Admin of the system is the one, really determining how secure a system is. He should know about the problems, his OS has and can take counter measures accordingly.

Malware on mobile devices

if we are talking about malware, whe should also have a closer look at mobile devices. Especially Smartphones and alike are often attaced, because they do have a lot of interesting data which are just worth a lot of money. Or you can just make money directly (e.g. by sending expensive SMS).

to "beak into" such a closed system, very often security relevant bugs are exploited. But sometimes just social engineering is also successful.

Usualy the user is than made to do some certain action, that does involve downloading something, that is installing a trojan on the system. or just opening the system that the attacer than can install some malware. Or you just "replace" an official app in the corresponding appstore.

Trojans on the smartphone usualy are masked as litte useful tools, like a flashlight app. But they then copy the addressbook and send out expensive short text messages, switch on video and audio for surveillance and so on.

It's hard to actually do something against that, because you do not know, ob the app, you install does something evil or not. Apple is trying to address this problem with the mandatory review process that all apps in the Appstore need to pass. All apps need to pass an automated and a manual check before anyone can download it. The apps are for example not allowed to use unofficial API (for accessing the internals of the os) and that the app does exactly what the description of the app tells the users it does.

This is no 100% protecion, but it is quite good (at least, i do not know any malware on the appstore right now).

But I would also name WhatsApp, Viber and alike as malware. Those do exaclty that, what a trojan would do. Grab data, upload them to a server. But here the user happily agrees and likes it.... but that is a different topic.

on iOS users are a bit more secure, than on andriod (if you do not jailbreak your iphone). Android is based on Unix, but some of the security mechanisms within uinx have bin "twisted". So there is a "kind of" Sandbox, just by creating a new user for every app on the device. So all processes are separated from each other. Sounds like a plan. But then you end up having problems with access to shared resources, like the SD-Card. This needs to be global readable!

Also the Security settings of apps can at the moment only take "all or nothing" (that did change in later versions, at least a bit). So you can either grant the app all the permissions, it wants. or No permission at all.

Problematic is, you need to set the permissions before actually using it. This makes it very easy for malware programmers, as people are used to just allow everything the app needs.

IN addition to that, Andriod apps do have an option to download code over the internet - this is forbidden in iOS. And there is a reason for it: How should any reviewer find out, that the code downloaded stays the same after the review? Today I download weather data, tomorrow some malware wich sends chareable short texts?

Another problem is, that there is not one single store for android but more like a quadrillion of them. Hence you can install software from almost any source onto your andriod device.

of course, every os does have bugs which might be used to execute good or evil code on the device. Hence there are updates on those OS on a regular basis, which should fix security relevant bugs and issues. with iOS you can be sure, that you get updates for your device and the OS on that for at least a couple of years. (current iOS run on 3 to 4 year old hardware still). With android it is not as easi to make such a statement as the support is strongly depending on the vendor. It might be, that support for devices not older than 1,5 years are stopped. Especially the cheap Android phones loos support quite ealry, which means there are still Android 2.x out there (and you actually still can buy new devices with that installed). Including all the bugs, that the old OS version had - which makes it quit interesting for malware authors.

in combination with the a bit more insecure system and the unsecure sources of software, this makes android a lot more prone to be hacked or infected by malware. And this makes it especially interesting for the bad guys out there.

This is leading to really rediculous things like virus scanners and firewalls for smartphones. read it here in German

You can say about apple, what you want, but the approach of the review of every app for the appstore is at least for the enduser a good thing (and by that I do not mean the power user who wants to have his own Version of the winterboard installed). Even if you are not allowed to do "all" with your phone - Normal users usually do not need to.

And the poweruser can jailbreak his iphone still - and if he knows what he is doing, it might be ok.

installed software as a gateway for malware

Unfortunately viruses, trojans or more generic malware, can use any bug of any software on the system, no matter if it is part of the OS or not. So a breach can be done via a 3rd party software. Like the "virus" that was infecting a couple of thousand macs through a installed java. In this case, the user again was asked several times(!) if he wants to grant admin permission to a java app - if you agree to that, your system is infected. If not - well, nothing happens. Common sense is a great "Intrusion Prevention System" here.

Of course, osx or any other operating system cannot avoid 3rd party software of doing some dubious things - especially, if the user agreed to it. But the software is only able to gain the permissions, what the software that was used as gateway has. An on OSX and iOS all applications run in a Sandbox with very limited permissions. If the app, a malware uses as gateway does not have admin permissions, well, the malware won't have it neither.

If all 3rd party software you run on your system only has minimal permissions, then a malware that would use those as a gateway would also have minimal permissions, and could not do too much harm (and could easily be removed).

But the thing is, just getting access as a normal user is not the goal of such a virus vendor - they want your machine to be part of a botnet in order to sell your computing power or to use it in the next DDOS-attack. Or just use it as spambot.

Also it is in the best interest of this virus vendor to make it as hard as possible to remove the software from the system. So everything needs to be burried deeply into the system files, where normaly no user takes a closer look at.

And this is usually only possible, if the malware would get admin permissions. It could use "privilege escalation" hacks in order to gain more permissions - best case, without the user knowing.

Usually, the user should be asked, if any process tries to gain more permissions, and the user may or may not agree to that (that happens every time, a process tires to do something outside of the sandbox). of course, that would be bad, as it would reduce the success of the virus. So virus vendors try a lot to avoid this kind of informing or asking the user.

on unix systems this is quite some hard task, or at least a lot harder as on windows OS see here or here. In almost all of the cases, on osx the user is informed about software that does do something strange.

But there is one thing, we should think about even more: if any software could be used as a gateway, I should reduce the number of programs on it to a minimum (especially those, with network functionality... which is almost any app nowadays). Especially I should keep software that runs with admin permissions do the absolute minimum - which is 0! Unfortunately, virus scanners and firewalls and such "security" software, need admin permissions to do their job. This is one of the reasons, why anti virus software is very often target of attacks from malware and viruses and end up as spreading the very thing they try to protect us from. (this has happened on windows machines)

Then, count in that a Anti-Virus software can only detect viruses, that are publicly known for a while, you actually would not increase the protection a lot by installing this on your machine.

Same thing goes for firewalls, which have their use on windows systems unfortunately, but not on unixes or osx. How come?

Well, on unix systems the network services are usually disabled, or not installed! so the visible footprint on the internet for such a machine is quite low.

Windows on the other hand, is depending on some network services to run, even if you do not actively use it. Disabling those serivces (and SMB is one of them - this was used by wannacry!) would affect the system in a bad way and some things would not run as expected see here.

Hence, if your system does have a minimal footprint - or attackable surface - you do not need a firewall.

Btw: do not mix up this local firewall, with a real IP-filter firewall that is installed in routers!

Virus scanners on servers

So, there is a lot that explains, why using virus scanners on the desktop (especially if it is a unix desktop) can have negative effects or at least no effect. So, you're probably fine without them...

But on servers, things look a bit different.

If i have clients are not well maintained or I just do not know (or just windows emoji people:smirk ), I want to avoid storing data on my server, that could infect them. So, even if the viruses do not infect my server, or my mac. The mails could be read by other clients, that might then be infected. So, be nice to your neighbors...

Do not forget, virus scanners do need some resources. And sometimes a lot of it (they monitor every access to/from the system, which in return can or will slow it down to a certain extend).

Security is not for free

Whatever you do, security comes with a cost. in "best" case, things get inconvenient to use, cause you need to do complex authentications or need to agree to a lot of popups that pop up every second (remember Windows Vista? emoji people:smirk )

in the worst case, there are errors because of the high complexity, or expensive bacause you need additional hardware (iris scanner, external firewalls, Application-level firewalls that scan data for viruses...) and still being inconvenient at the same time. And time consuming (those systems need to me maintained).

So, you need to decide, what level of security do you want, and what is senseable. The use of an Iris Scanner for the Bathroom is probably a bit over the top... don't you think?

common sense

the best weapon in our hands against malware still is the thing between the ears! Use it when surfing, when installing software. No software will ever be able to stop you from doing something stupid to your system.

So, it is not ok to feel to safe when being on a mac. This leads to sloppiness! Passwords for example, need to be real passwords. If the password could easily be guessed, why should a malware take the detour for hacking the system? It could just "enter" it and you lost your system to the bad guys....

I don't want you to get paranoid on that neither! Just keep your eyes open. When installing software, only do it from trusted sources. And, from time to time, have a closer look. There was malware available in the AppStore for a couple of days / weeks before apple removed it. Even the best system can be outwitted.

You should think about, which apps you use and which not. And even apps, that are not really malware per se, dan do harmful things - like whatsapp and viber. You should ask what is happening there! I mean, whatsapp is uploading the addressbook to facebooks servers and the people whos data you upload there, are not asked if they like that... just a small example...

Just remember: if the product is for free, then YOU are the product

There is no such thing as free beer!

conclusion

I tried to be not tooo aniti microsoft - which is hard, because most of the security issues are only existing on windows systems. Unfortunately on windows the user needs to make it secure and stop it from doing harmful things.

Anti Virus software does lull in the user to make him feel safe, but most of them really have a louse detection rate. And really new viruses are not detected at all.

So, should you install anti virus software on a mac? You need to decide yourself, but I tend to "no, you should not". But there are valid reasons to see it differently. But I am not alone with my thoughts: see here and here.

But you definitely should distinguish between desktop and server, as you may be serving out data to windows machines as well, a virus scanner might be a useful thing.

Almost all I wrote here is valid for osx and for linux or other unixes. Right now, there is no know wide spread malware out for unix based systems, that I know of.


category: Service in Germany

Ergodox EZ - That’s what support should be like

2017-05-29 - Tags: Ergodox TestOfTools

about 2 years ago I got my Ergodox EZ Keyboard via Kickstarter. I now own two pieces of them, one for home, one for work and I really lave them. I wrote here a little review about them.

Now, the older one has a little flaw now. for some reasons the E- key sometimes just does not work (so if you see an e missing here somewhere, it is due to that... and that I did not notice it).

The guys at Ergodox-EZ (well, not someone, actually the Founder himself Erez Zukerman) did answer very quickly to my question. They told me quite fast, that I will get a replacement unit in the next couple of weeks.

This is awsome! I really love the support they do! This is what support should be like!

I will post here, when I got the replacement...

Update 29.05.2017: The replacement unit arrived today. Everything is working flawlessly and it took only 3(!) days to have that sent over from Korea! No problems with customs and especially no problems with the e-key anymore emoji people:smirk

Thanks to ergodox-ez and especially to Erez Zukerman!


category: global --> drones

My drone pool

2017-05-20 - Tags: drone Drohne

During time and usage the number and kind of drones one flies change... so I wanted to show here my current pool of drones. This will change over time, of course. These things tend to get broken more or less often - if you do it right emoji people:smirk So, hier is a list of all flyable drones...

Some words for the technology behind it. Not everyone does know, what these mean:

  • the Frame: I name my drones like my frames. As all frames are different, this is no problem. Usually made of carbon or something that is similar stiff (needs to take an impact), determines the size of the quad and which propellers you can mount (for FPV-Racer usually something between 3 and 6 inch). These frames are available in a lot of different shapes, but you can put them more or less in two classes: X and H-shaped. I own more H-Shaped drones - they look better.
  • the flight controller. This is the brain of the thing. This is controlling all motors and speeds them up or down to hold a certain angle in the air. This is what makes the flying so much easier than it used to be. There are hundreds of flavours, but I prefer KISS (Keep It Super Simple) - like that motto. The Hardware of those FCs is more or less similar, but the software available for them differs: KISS, Betaflight, CleanFlight, BaseFlight, RaceFlight (KISS and Raceflight are closedSource!)
  • the ESC: these are the speed controllers for the brushless motors. They actually pump in the Amps to the motor to make them spin faster. The FC tells the ESC to increase or decrease speed and they will send these speed settings to the motor accordingly. I also use ESC from KISS here, as they work great in conjunction with the KISS FC.
  • The motors. As mentioned above, those are brushless electro motors. These are also available in tons of different shapes and colors. If you build an FPV-Racer with a 5" prop you usually have 2206 Motors (this number describes the with and height of the stater, the part of the motor, that actually produces force). For 3" racers usually 1306 Motors are used. Then there is the KV-Number. This has nothing to do with kilovolt, it determines rather the rpms per volt. Meaning, if you put 10 Volts to a 2100KV Motor, the RPMs the motor does would be 21000. For 5" racers these KV is usually in the range of 2000-2500kv wheres for 3" racers it is about 3000-4000kv. I use in my 5" builds Schubkraft 2205/2500kv and Cobra 2206/2100kv motors, for the 3" I used Emax RS 1106 (you need to buy those in 2 spin directions!) and DYS 4000kv.
  • the FPV-Camera: this is no HD camery, this is just for transmitting an (analog) signal to the googles of the Pilot! you just connect it to the video transmitter and the pilot will see, what the camera sees. I use a Runcam Swift Rotor Riot Edition and a Runcam Owl Plus and the 3" use a Eachine 1000tvl.
  • video transmitter (VTX): very important. But actually, most of the different flavors are similar to use. Some of them have additional features like Smart-Audio. This is cool, as in FPV you usually do not need audio transmission. (you would only hear feeping and rushing from the props and motors). So you can use that, to actually have the FC change settings of the VTX! So you can change the VTX-Settings via an osd or with your Taranis!
  • OSD - on screen display. This is put in the middle of the Vide Camera to the VTX and will add some text to your video feed. Like current Voltage of battery, currently drawn AMPS and such. But you can also use that to change settings in some cases
  • PDB: Power distribution board. This is taking the power from the Lipo and puts it out to the different consumers (motors, VTX, Camera etc). Sometimes there is additional funktionality added to it like a integrated osd or special LED controllers. I build the Matek PDB with OSD into the 5" quads - the 3" have an integrated kiss board.
  • the Transmitter: It took me quite a while to understand that, but if you have a transmitter, you also need a corresponding receiver that understands, what the transmitter is sending. Every vendor do have their own system. I went for the ecosystem of FrSky and use the Taranis X9D Plus which I can really recommend to anybody. If you want to get in to this hobby, you should first get yourself a propper transmitter! This one you can plug into your computer and can practice until you finished your real quad. I got mine from Amazon

but now back to my list:

  1. Phantom 3 Pro - super cool drone, but no comparison to the others. This is simply a different thing, A flying camera. Not a copter with a camera. You can do areal photography or filming with it super easily. Just love shooting vids with it:
    I got mine from Amazon
  2. the first FPV-Racer. From big to small emoji people:smirk the Lisam210 Frame. is a 5" Racer, KISS based, Schubkraft 2206/2500KV Motors
  3. the Emax Nighthawk 200 - my first self build or self rebuilt drone...
  4. my first under 250g copter: Redux 130. There is a KISS AIO CC in use, that is one board, that combines FC, PDB and 4x ESC. Super easy to built. my only X-Frame... hmmm...
  5. my second u250g copter: a Shendrones Shrieker 130 - super nice. But it seems, the motors are a bit to strong for the little one. The Lipo is empty after about short flight already.
  6. Eachine Qx95 - does not fly at te moment, but it is a fine indoor racer. (although it as brushed motors!)
  7. Blade FPV
  8. and Blade FPV Pro

    - great to fly indoors if the weather is bad emoji people:smile

So, that’s it for now. It will be changing over time. And I will post some things about how to build them, and what I learned during time.


category: security

clensed from hacker content

2017-05-20 - Tags: jblog

so, I just took the time (hours) to clean all old imported blog entries from hackers content.

Was not as easy as hoped, as the hackers just changed some posts and added some links in there. The links usually did not work anymore, but it is annoying anyways.

I hope, I removed everything. If you see anything, please let me know...


category: global

Rückenschmerzen nerven… :-(

2017-05-20 - Tags: tweet

no english version available yet


category: global

Developer motto

2017-05-20 - Tags: tweet

"The difference between crap and nothing is actually quite big..."


category: Computer

#Drosselkom verhindert - yeah

2017-05-20 - Tags:

no english version available yet

Das war knapp. Die Telekom wollte ja ab 2016 die Downloads der  Flatrates beschränken, was ja angeblich nur „wenige Nutzer treffen würde, die hohes Datenvolumen“ benötigen. Jetzt sahen das Richter am Landgericht Köln dann doch anders…

Im Endeffekt folgten sie auch der Argumentation der Kritiker dieser Drosselungsstrategie, dass damit eine ungerechte Benachteiligung stattfinden würde – insbesondere für Nicht-Telekom-Dienste! Denn telekomeigene Dienste (wie z.B. T-Entertain) würden ja nicht zu dem Datenvolumen hinzugezählt werden, alles andere (wie z.B. Youtube) aber schon.

Auch würde es über kurz oder lang eben nicht nur einige wenige treffen. Streamingangebote sind gerade stark im kommen und diese Dienste werden immer wichtiger werden.

So sahen es auch die Richter…

Nachdem sogar die Bundesregierung das ganze eher kritisch gesehen hat, ist das Urteil zum Glück nicht ganz unerwartet. Es gibt doch noch Recht und Ordnung in Deutschland! 😉

Natürlich geht das den Verbraucherschützern noch nicht weit genug, aber es ist ein Start!

 

Details dazu gibt’s hier:

http://www.sueddeutsche.de/digital/urteil-zu-plaenen-der-telekom-gericht-stoppt-drosselkom-1.1807138

 


category: Computer

WLAN im Haus - #Apple Airports vs. #Fritz!Box

2017-05-20 - Tags:

no english version available yet

So, das war erstaunlich einfach. Gestern ist mein Airport Extreme von Apple geliefert worden und ich hab mich ran gemacht, das ganze mal einzurichten.

Apple-Üblich lief das total unproblematisch… Das MacBook hat von sich aus das Airport Konfigurationsprogramm gestartet, und auf den iOS-Geräten tauchen die AirPorts dann in den Einstellungen unter WLAN auf – echt vorbildlich!!! super einfach

Naja, so richtig viel einstellen kann man da eh nicht, muss man ja zum Glück auch nicht – es funktioniert Apple-typisch simpel. Eine super einfache Lösung für 90% der Haushalte! Und die werden eben nicht mit irgendwelchen zusätzlichen Optionen genervt, die sie sowieso nicht verstehen.

Ich hätte gerne mehr an den Optionen rumgespielt, aber es geht ja auch so 🙂

Wie hab ich das eingerichtet:

Die Einrichtung war denkbar einfach, ging mit dem Telefon völlig unproblematisch.

 

Jetzt werden einige vermutlich sagen „der hat sie nicht alle, warum braucht der ein WLAN im Keller?“. Der Einwand ist berechtigt, aber dort steht unser NAS und auch der MacMini, welcher die iTunes Mediathek verwaltet. Deswegen war es nötig bzw. sinnvoll auch da ein WLan einzurichten – vor allem auch wegen dem WLAN-Sync von den iOS Geräten.

Vergleich zu vorher:

Ganz ehrlich – kein Vergleich! Die WLAN Stabilität hat um 1000% zugenommen! Wir können jetzt surfen, auch wenn im iPhone oben die WLan-Signalstärke mit nur nem winzigen Balken angezeigt wird. Funktioniert tadellos! Auch Streaming funktioniert nun ohne Probleme! TV Genuss auf jedem iOS Gerät oder Computer… keine Aussetzer mehr!

Was erstaunlich ist, jetzt funktioniert auch das Surfen mit dem iPhones besser. Es war mir bisher nicht aufgefallen, dass es vorher wirklich einen „lag“ gab, aber jetzt ist es gefühlt 100% schneller. Außerdem funktioniert jetzt endlich der iTunes WLAN-Sync wieder. Der war so gut wie nie stabil gelaufen – ich hab es immer auf die Baulichen begebenheiten der Wohnung / des Hauses geschoben. Jetzt weiß ich: die Wohnung war unschuldig!

Die Fritz!Box ist im Vergleich ja echt ne lahme Krücke 😉

Klar, man kann jetzt sagen, dass sich die Geräte aus einem Hause vermutlich am besten vertragen – was sicherlich richtig ist, aber auch die Playstation und das Samsung-TV hat jetzt endlich eine stabile Anbidung.

Es gibt da wohl ein paar Foren Einträge, dass sich die Fritz!Boxen mit ihrem Draft-N-Standard nicht mit Macs vertragen – oder umgekehrt. Das ist das blöde an einem Draft-Standard: Es ist kein Standard! Also Augen Auf beim Routerkauf! Dennoch lief ja alles so weit und beim normalen Arbeiten ist es einem nicht wirklich aufgefallen. Aber wenn größere Datenmengen übertragen wurden, oder streaming Services (Radio, TV, youtube, …) genutzt wurden, hats schnell geklemmt. Und die Reichweite war im Vergleich doch eher gering. Mit der Fritz!Box und 2 Repeatern bin ich nicht so weit gekommen, wie mit den Airports

Und ja, das ist vermutlich nicht die Fritz!Box allein, sondern eher Fritz!Box an ungünstiger Position in Verbindung mit dicken Wänden und nur in Verbindung mit Apple… ehrlich gesagt: is mir egal, was genau es war – nun läuft’s, wie es soll 🙂

 

Empfehlung:

Falls ihr eine Fritz!Box habt und ihr Verbindungsabbrüche und WLan-Probleme habt, bzw. das einfach nicht so flott funktionieren will, wie es eigentlich sollte. Dann schaut euch doch mal nach einem neuen WLAN-Router um. Die baulichen Begebenheiten müssen nicht unbedingt die Ursache für die WLan-Schwierigkeiten sein – diese Begründung hab ich mir auch die ganze Zeit eingeredet. Offensichtlich war es doch die Box.

Versteht mich richtig: Die Fritz!Box ist ein super DSL-Router, Funktionalität ist sehr gut, nur weil das WLAN nicht sooo leistungsstark ist, werde ich nicht wechseln. Aber falls ihr euer WLan dann doch verbessern wollt, schaut mal, ob es irgendwo nen günstigen WLAN-Router gibt. Evtl. könnt ihr euch ja testweise mal einen ausleiehen (oder ihr findet einen beim Aufräumen, so wie ich ;-)). Hier hat das die Qualität des Interet deutlich erhöht!


category: global

Good Morgning…. #tgif

2017-05-20 - Tags: tweet

Good Morgning…. #tgif


category: global

Deutsche Bahn fail. Eine Stun...

2017-05-20 - Tags: tweet

no english version available yet


category: Computer --> Test of Tools

Test of Tools: 1Password 4

2017-05-20 - Tags: test of tools

no english version available yet

Seit kurzem ist die lang erwartete 4. Version von 1Password über den App-Store verfügbar. Ich nutze zwar schon die Vorgänger-Version, aber es ist mal an der Zeit ein paar Worte zu dem Tool hier zu verlieren

Was ist 1Password?

Der Sinn von 1Password verbirgt sich bereits im Namen: es geht darum, den Wust an Passwörtern, Zugriffscode, Pins etc. irgendwie sicher zu speichern und - im Idealfall - auch zwischen verschiedenen Geräten zu synchronisieren. Und auch die Sicherheit zu erhöhen: denn da man sich die Passwörter dann nicht mehr merken und auswendig lernen muss, ja sie meistens nicht mal mehr eintippen muss, kann man auch "richtige" Passwörter vergeben (mind. 8 Zeichen, Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen).

Funktionsweise

1Password ist zunächst mal eine App, in der man recht einfach seine Passwörter und sichere Informationen eingeben und verwalten kann. Dabei kann man eben nicht nur Passwörter, Logins und Pins verwalten, auch Software Lizenzen, Kreditkarteninformationen sowie Der Zugriff all diese Daten wird durch ein sog. Master-Passwort geschützt. Auch da sollte man tunlichst ein gutes verwenden, aber da es ja das einzige ist, was man noch braucht, kann das ja gerne etwas komplexer sein (daher der Name "one"-Password).

Die Oberfläche von 1Password selbst ist aufgeräumt und man kann schnell an seine Daten rankommen:

 

Das wichtigste ist natürlich, seine Daten strukturiert abzulegen, so dass man sie auch wieder finden kann. Das geht auf verschiedene Art und weise: Zunächst werden die Einträge nach Typ gruppiert, so z.B. Logins, Bankkonten, Kreditkarten, Wirelesss router, Premienkarten etc. Da kann man die Suche schon eingrenzen. Bestimmte logins oder so kann man dann auch über "Suchen" finden. Es werden dann nur passende Einträge angezeigt. So, wie man es auch von anderen Apps kennt. Des Weiteren kann man all seinen Einträgen Tags zuweisen. Das sind kleine schlüsselworte, über die man dann auch suchen kann. So kann man z.B. alle Einträge (Passwörter, Kreditkarten, Email-Konten etc) die beruflich genutzt werden mit "Arbeit" taggen und so auch schnell wieder finden. Oder man denkt sich eigene Tags aus. Eine Besonderheit ist, dass 1Password darauf hinweist, dass man sehr alte oder unsichere Passworte hat:

Das ist eine sehr sinnvolle Eigenschaft von 1Password. Es werden da alle Einträge, unabhängig von deren Art angezeigt. So werden dort auch z.B. Kreditkarteninformationen aufgelistet. Es soll einen wohl daran erinnern, dass man auch bei diesen Einträgen die PIN von Zeit zu Zeit aktualisieren sollte.

1Password Mini

Besonders hilfreich, ist die kleine "Mini"-App, die im Hintergrund läuft und immer dann da ist, wenn man grad ein Passwort sucht. Natürlich wird auch der Zugriff darauf vom Master-Password beschränkt. Die gezeigten Einträge sind abhängig davon, welche Webseite man gerade anzeigt, bzw. auch welche App gerade im Fokus ist

 

hier waren für die geöffnete Safari-Seite 3 Passwörter gespeichert und hätten mit einem einfachen klick in der Seite eingefügt werden können (sofern passende Formularfelder gefunden werden). Sehr praktisch ist auch, dass der Passwortgenerator her aufgerufen werden kann und vor allem sehr leicht in der geöffneten Webseite eingefügt werden kann. Da hat 1Password eine gute "Ahnung" was wohl die Passwortfelder auf der Webseite sind. Auch kann man über dieses Menü gleich auf die URL verweisen und sich dort einloggen! Das funktioniert natürlich nur dann, wenn die Passenden URLs bei den Einträgen hinterlegt sind.

Synchronisation

Ein besonderer Clou von 1Password ist die Synchronisierung zwischen mehreren Endgeräten. Das ist vorallem in Verbindung mit 1Password auf dem iPhone oder iPad praktisch. Denn der Safari kann das ja (noch) nicht. Die Synchronisation kann über mehrere Wege erfolgen:

  • iCloud (seit 1Password V4)
  • DropBox
  • Wlan (direkt) Welchen Weg man da wählt, bleibt jedem selbst überlassen. In meinen Versuchen war die WLan Synchronisation allerdings recht fehleranfällig und hat nur selten wirklich gut funktioniert. Ich Synchronisiere über iCloud oder dropBox und da hatte ich bisher noch keinerlei Probleme! Wenn die Wlan Synchronisierung fehlerfrei gehen würde, gäbe ich da volle Punktzahl.

Sicherheit

Sicherheit wird in 1Passwort wichtig genommen, gerade weil die Daten synchronisiert werden und irgendwo auf fremden Servern rumliegen (iCloud, DropBox). Es wird nicht einfach nur auf AES oder ähnlich bekannte Verschlüsselungsverfahren gesetzt, sondern insbesondere auf “Password Based Key Derivation Function version 2”, was es schwere macht mit Brute Force Attaken das Passwort zu "erraten". Details dazu gibt’s auch hier: http://learn.agilebits.com/1Password4/Security/1P4-security-changes.html

Einstellungen

In den Einstellungen kann man festlegen, ob man z.B. das 1password-Mini überhaupt verwenden möchte, ob und wie Backups der Passwortdatenbank erstellt werden soll, ob und wie sich  1Password mit anderen Geräten Syncrhonisieren soll und auch ein paar Sicherheitsrelevante Dinge können festgelegt werden.

 

Hier kann man auch sein Master-Passwort ändern (was dann auch auf allen Geräten verwendet werden muss!) oder den Zugriff für 3rd-Party Anwendungen (wie Alfred oder Quicksilver) ermöglichen. Letzteres ist natürlich ein Sicherheitsrisiko, denn ein Trojaner könnte sich ja als Alfred ausgeben. Eine Besonderheit ist noch, dass man einträge einzeln als Json exportieren kann oder sich dessen eindeutige UUID ausgeben lassen kann. Das sind sicherlich dinge, die nur für entwickler interessant sind. Ist per Default auch ausgeschaltet. Besonders interessant finde ich, dass 1Password die Zwischenablage von kopierten Passwörtern nach einer gewissen Zeit wieder löscht. D.h. wenn man ein Passwort kopiert hat, wird einfach nach 5 Minuten die Zwischenablage wieder überschrieben. Das kann manchmal etwas verwirrend sein, erhöht aber die Sicherheit.

##Preis

Da sind wir bei einem der größten Nachteile von 1Password. Die Suite geht so richtig ins Geld: zur Zeit kostet die App für den Mac $39,99 bzw. 35,99€ - der reguläre Preis liegt noch höher. Die Apps für iPhone und iPad (eine universal app) liegt bei $17,99 bzw. 15,99€. Für Android und Windows gibt es auch Versionen, die preislich ähnlich angesiedelt sind. Das ist schon happig und sicherlich kann und will sich das nicht jeder leisten

Fazit

Ich finde, 1Password trägt aktiv was zu einem sichereren Internet bei indem es einem die Möglichkeit gibt, echte Passwörter zu vergeben und auch zu verwenden. Meine Passwörter sind mittlerweile alle mind. 10 Zeichen lang (meist länger) und bestehen aus Zahlen, Sonderzeichen und Groß- sowie Kleinbuchstaben. Ich muss mir zum Glück keines davon merken - nur das Master Passwort. Und das muss man nicht immer eintippen. Ein großer Vorteil ist, dass 1Password für alle gängigen Systeme verfügbar ist (Windows, Mac OSX, iOS, Android). So kann man auch zwischen den Welten seine Daten synchronisieren! Wenn der hohe Anschaffungspreis und die Probleme bei der Wlan-Synchronisierung nicht wäre, gäbe es wirklich volle Punktzahl. Vor allem, weil eben nicht nur Passwörter, sondern auch andere Zugriffscodes, Pins und sonstiges gespeichert werden. Also, alles in Allem:

7/10 Punkte    


category: Computer

OSX Yosemite public Beta...

2017-05-20 - Tags: beta compatibility osx test yosemite

no english version available yet


category: Computer

The ErgoDox EZ reinforcement kit...

2017-05-20 - Tags: ergodox-ez

What's that?

The first persons to get the ErgoDox EZ were lucky, and happy. Only until they learned, that there is a little flaw in the first Batch of ErgoDox-EZ's (what's the correct plural for that?). The thing is, if you happen to connect your EZ to the computer without having the two halfs connected properly, the keyboard might stop working for good. Everybody from the first batch got this little Email from Erez explaining things and offering this reinforcement kit. I chose the reinforcement kit - as it needs a bit of soldering, it might not be the solution for everybody.

Just to make that clear, this does only affect a very little number of the first customers to receive the ErgoDox-EZ - only those, from batch 1 - not batch 1a or batch 2. Only if your ErgoDox got this batch number. And you got an email from Erez about this problem, too. So, if you did not receive this email, you probably have a different batch.

Why do I create this post, if it does not affect a lot of people:

  • maybe in future times, this might be interesting for others. and for me as well...
  • I want to show (off) the internals of the ErgoDox-EZ and the very good quality of it
  • and for the fun of it

This kit needs to be soldered and fixed at the PCB of both halfs of the ErgoDox, but it is actually not that hard...

What's in this kit?

Today I received the Reinforcement Kit from USA. It took quite some time to get shipped and through customs. Which is a bit strange, as the kit only contains

  • two very little PCB
  • two new backplate stickers for your ergodox halfs
  • a 3 page instruction manual with photos

And that's it! The two little PCBs need to be soldered to the PCB of each keyboard half, should not be so hard....

Installing the kit.

It took me about 30 minutes in total to do that, and I'm really not practiced in soldering such delicate things. It worked fine, as it seems.

First you need to remove the stickers from the back, as below the sticker there is one screw that needs to be removed. You only need to loosen those screws and then take the lid off...

To remove the stickers, a cutter actually comes in very handy.

Just to mention: on the big sticker there is actually a little small sticker with your serial number. I removed that first (also with the help of the cutter) and kept that for reattaching to the new stickers afterwards...

After that, remove those screws one after the other. That should be more or less self explanatory😉

I kept the screws "lying" in the holes, so I did not need to search for them when putting everything back together. So I removed the lid with the screws still inside the holes, but lose.

You might have noticed that I put some valcro tape on the back of both halfs. This way I can "stick" them together for transportation purpose. In my case it’s a bit tilted, so I don't need to remove the tent. Makes transporting the ErgoDox EZ a bit more safe and easy.

So, back to the Reinforcment Kit. When you removed it lid, you reveal the real beauty of your keyboard, the inner soul ;-)

"Above" (or below, depends on your point of view) the inter-keyboard-half-connector (or simple: audio jack), there you need to solder the little PCB that came with the kit to the PCB of the keyboard:

If you have a look at the labels on the keyboards PCBs, they're actually wrong... meaning that the left half of the keyboard is actually labeled right. But this is probably due to the production process. So keep calm, all is ok..

So, now you only need to fix the kit-PCB to the big one. This not that hard to do, you only need to solder it on 4 places. What makes it a bit hard is that it is so damn small! If you're not used to soldering such delicate things, take your time. For some experienced guy this is probably done within a couple of minutes.... I took my time doing that... and it ended up being really kind of ugly:

it really does not look good, but it seems it is working fine. At least the keyboard is... and that's what counts for the moment ;-)

After soldering you only need to repeat the steps above in the opposite order... and voilá! You reinforced your Ergodox-EZ!

I asked Erez how would I know, if the soldering went on well? How do I know that the fix is in place properly.... the answer was "if your keyboard is still working, everything is fine." - So, as I type this on my reinforced ErgoDox-EZ, it seems to be all fine!


category: Computer

OSX Yosemite Beta 7

2017-05-20 - Tags:

no english version available yet


category: Computer

The Infinite loop of performance improvement

2017-05-20 - Tags: tweet fun


category: global

downtimes

2017-05-20 - Tags: jblog

hi ho,

as you all know, the software here is quite new and of course i found some bugs i did not realize till I went live...

unfortunately I cannot deploy without downtime yet sorry

I will try to keep it to a minimum!

Thanks!


category: global --> drones

Drones and such...

2017-05-19 - Tags: drone Drohnen legal gesetzliches

Some of you might know, that in Germany there is a new regulation for drones and UAVs (unmanned areal vehicle). I just wanted to post something about that. As this is my Hobby and I'm directly affected by this...

I already wrote some things about that here.

Now, since a couple of months this new regulation is effective, wich is aiming a lot at those camera carrying drones like Phantom and such. (This list is not intended to be exhaustive. This is what I researched for me and my type of flying)

  • you are not allowed to fly higher than 100m - but you might get a permit (new)
  • you need to stay in line of sight
  • you are not allowed to fly above crowds of people
  • not allowed to fly near highways (Bundesstrasse, Autobahnen) and water ways (most bigger rivers)
  • not near official buildings like police and such. Also not near or above factories (Nuclear Plants)
  • not above private property, unless you have a permit from the owner. (or your drone does not carry a camera or video transmitting device or is lighter than 250g)
  • all drones that are heavier than 250g need a non flammable plate with the full address of the owner
  • if your drone is heavier than 2kg, you need a proof of knowledge (some kind of test, I guess)
  • everything heavier than 5kg can only be flown if you have a dedicated permit for that thing
  • flying at night is forbidden
  • drones heavier than 250g can be flown FPV only if you have a spotter nearby, who will warn you if anything happens. Before the new regulation, the spotter actually needed to be ably to fly the drone...
  • is your drone lighter than 250g, you can fly without spotter, and you do not need a plate on it
  • in all cases, you need to have an insurance
  • it seems like, it is not necessary to have a special permit if you want to fly for business (or it is easier to get one)

in addition to that, the old No-Fly-Zones (Airports, Helipads etc) are also still valid. Also flying in natural reserves usually is vorbidden.

For the usual drone-Flyer thit actually does not mean a lot of change. Well, except for those, who like to fly 200m high, this might be a bit annoying.

But the most important thing, it seems nobody actually knows, that these regulations existed and do exist! Especially the media is not really a role model here. It seems like every 2nd shot needs to be a cool drone shot, no matter if flown over cities, private property, autobahns or whatever.

Just the other day on RTL, they filmed in the garden of some Messie using a drone! I bet they did not have a permit for doing that. Not only that flying above private property is forbidden, also it is not allowed to invade someones privacy with or without a drone - and this was privacy invasion, if you asked me.

No wonder people get afraid of this technology. "Can you film me from up there" and if I show them, what kind of photo that is, they are usually reassured.

But if dad goes in to the next tech marked and buys a drone for his son, the guy at the counter will not tell him, that he needs to have an insureance and for that heavy thing you need to have a proof of knowledge and btw. flying before the age of 14 is not allowed"... No, he will not say something like that, because that might prevent the deal.

realy a sad world


category: Computer

New blogging software

2017-05-16 - Tags: java jblog security

I did complain about wordpress several times (for example here). I took that for an opportunity, to take on my software development skills and use a weekend or two to build a new blogging software. Well, th result is this wonderful (well... hop so) page here.

PHP sucks

To stop all PHP fainbois from whyning, I do not like PHP very much, because I don't know it very much. Hence, wordpress is also kind of a mystery for me. The configuration works with luck, let alone get php to do what you want in a more secure way.

so, my blog was hacked several times during the last year now and this is pissing me off! So, I wanted to use a java based solution, but it seems like there is no simple, easy to use one out there.

so why not do it yourself?

exactly. That was my thought also. Could not be so complicated, could it? So, I wanted to create a blogging software that

  • has a simple technology stack
  • does not need a complex plugin funktionality. If it cannot do, what I like it to do, i rewrite it
  • themes or designs... well... er... could be better, but I think this is ok
  • Security, that is the point. I created the blogging software (called it jblog - not rally creative) myself and it is not so complex as wordpress. So we should be ok. I guess. But I know for sure, that th standard wordpress exploits wont work no more!
  • Intrnationalization... also a topic. jblog does only do 2 languages, German and English (I do not speak more, so I don't need more for my blogs).
  • whitelabeling. I have a couple of domains, I wanted to reuse / revive with this project.
  • one administration: I did not want to create the same thing 3 times, I wanted to have the same thing look like 3 different hings. Hence there should only be one administration page.

jblog

I am quite ok with what I accomplished here. Although it took longer than one weekend, it was finished quite fast. I lik that.

But please: if some links do not work anymore, some images look strange or are missing - I will fix this eventually emoji people:smirk

the different blogs

boesebeck.name - this blog here

the private main blog. Will cover topics like hobby, drones, games, gadgets etc.

caluga.de - the java blog

There I will put all my opnsource stuff, like morphium. And all the other programming tips and tricks I wrote over time. Hmm... seems like 'java blog' is not the right term...

boesebeck.biz

This should be a business site anyways. So, here I will put in topics about my professional carreer, Scrum, processes etc.

Updates

well, this is going to be tough. I cannot produce content for 3 full blogs. Even filling one is quite hard. But I will try. And we will see, how that works

technical discussion

as mentioned above - not here, but at caluga.de emoji people:smirk


category: security

Sometimes, I hate Wordpress

2017-04-04 - Tags: php blog

This site was hacked again!

Well, the title is a bit missleading, as it is not only Wordpress at stake here, it is also related to php and obviously apache also.

I was not very active here for a couple of weeks, and obviously missed an update for Wordpress and some of the plugins. And that was enough for a white hat hacker to hack the site... well white is probably not the right color, as he posted links to illegal sites here.

Disclaimer: It was not me adding those links to download portals of illegal stuff! unfortunately I cannot tell, where the attack came from.

But I can tell, that he only had access to the Wordpress-Stuff. This happened again! << Sarcasm_mode >> Apache, PHP and Wordpress are in this respect really a _great_ team... << / Sarcasm_mode >>

I know, that this will cause some people to call me a troll, but I can tell you, from a professional point of view, there are way better solutions from a security point of view to create websites. Yes, most of them are complicated and complex. But at least, you cannot get hacked that easily...

PHP is a fine language, if you want to build a calculator or something like that. For professionals this is crap. Even Facebook needed to create their own interpreter (yeah, because of speed issues, but who knows what else).

Sorry, this php stuff pisses me off... was hacked here, that happened to customers of mine using PHP-based software....

Need to find something more reliable...


category: Tweet --> global

Tweet: War ein toller Vortrag von @TCole1066 gestern auf...

2016-10-26 - Tags: tweet

sorry, no english version available


category: global

Drohnen und so.

2016-10-08 - Tags: drohne fpv

no english version available yet


category: Computer --> Test of Tools

Test Of Tools: Nach Hause Telefonieren - VPN mit OSX / iPhone

2016-05-30 - Tags: vpn howto test of tools osx security

no english version available yet

Eigentlich kein echtes "test of tools", weil nicht viele Tools vorkommen, aber dennoch hab ich es mal zu dieser Rubrik gepackt.

Folgendes Scenario: man ist unterwegs oder in der Arbeit oder sonst wo und möchte kurz daheim mal auf seinen Servern eine Datei holen oder mal schnell eine TV-Aufnahme mit der Dreambox Programmieren. Eine eigentlich lösbare Aufgabe sollte man meinen. Hier eine Aufstellung der von mir getesteten Möglichkeiten (und ein paar Tipps dazu):

"Eigenes" VPN mit SSH

Naja, so richtig als VPN kann man das nicht bezeichnen. Aber man kann per SSH ne Menge machen. Das einzige, was man tun muss, ist in seinem Router einen Port frei schalten. Bei der Fritz!Box ist das unter Internet->Freigaben:

Man kann Portfreigaben deaktivieren, aus Sicherheitsgründen hab ich hier mal ein paar versteckt. Der Dynamic DNS Eintrag ist wichtig (s.u.) und mit dem Button "Neue Portfreigabe" kann man eine Neue Freigabe einrichten - das sieht dann so aus:

Dabei gibt man an, welche externe also öffentliche port-Range (von-bis) auf den Computer im eigenen Netz geleitet werden sollen. Für SSH sollte der Zielport 22 sein (das ist der Standardport für ssh), Protokoll ist TCP. Leider gibt es in der Vorauswahl von Anwendungen SSH nicht, weshalb man auf "Andere Anwendung" gehen muss. Achtung: Nutzt nicht Exposed host! Dann wird der gesamte Traffic an den Rechner weitergeleitet und das will man normalerweise nicht.

Das ganze kann natürlich nur funktionieren, wenn man auch dyndns oder so was eingerichtet hat - sonst "findet" man seinen Router ja gar nicht und kommt somit auch nicht an die freigegebenen Ports.

Wobei man da schon beim nächsten Problem ist: Wohin sollte man den Port weiter leiten. Man benötigt da also irgendwas, was nen SSH-Server laufen lässt. Man kann das schon auf der FritzBox selbst machen, oder normalerweise auch auf den meisten anderen Routern, aber das erfordert doch ein wenig Geschick: Anleitung dafür gibt’s zum Beispiel hier.

Wenn man in der Firmware des Routers nicht rumfummeln will, dann benötigt man irgend einen anderen Rechner im Netz, der als SSH-Endpunkt dient. Da funktioniert z.B. auch die Qnap (wobei man evtl. den SSHD hier auch korrigieren muss: siehe hier). Ein Mac oder Linux Rechner wäre Ideal, ein Windows-PC geht auch - allerdings muss man sich dann nen SSHD installieren (mit cygwin z.B.).

Der Standard-Port des SSH ist Port 22. Man sollte allerdings vermeiden, den Port 22 nach außen frei zu schalten, sondern man sollte da irgend einen anderen nehmen, am besten was über 1024 oder sogar noch größer. Da alle ports < 1024 gerne mal gescannt werden und es ne Menge Scripts gibt, die versuchen mit "default"-Passwörtern einzubrechen (und sich ein paar MöchtegernHacker dann tierisch freuen, wenn sie "eigebrochen" sind... dann sind die total 1337).

Da sind wir dann auch schon beim nächsten Tipp: gute Passwörter verwenden! Oder, wenn man den Zugriff nur von wenigen Rechnern aus machen möchte, dann kann man auch eine Public-Key Authentifizierung verwenden und die Password-Auth Komplett ausschalten. Die Konfiguration dafür ist ein wenig abhängig vom Betriebssystem aber im Allgemeinen muss man im Home-Verzeichnis des Users, der sich anmelden soll (auf dem SSH-Server!), ein Verzeichnis namens .ssh anlegen. Dieses sollte nur für den Nutzer les- und schreibbar sein. In dem Verzeichnis legt man ein File an, names "authorized_keys". Das ist ein einfaches Textfile in dem man die PublicKeys aufnimmt.

Die Public-Keys muss man dann auf dem Client erstellen, also auf dem Notebook mit dem man unterwegs ist. Das funktioniert auch wieder recht unterschiedlich, unter Windows nutzen viele Putty, da gibt’s dafür nen Menüpunkt. In der Shell tippt man einfach ein

ssh-keygen -t rsa -b 2048
Damit wird ein neues Keypair erzeugt. Das liegt wieder in dem .ssh-Verzeichnis des Users und besteht aus 2 Dateien: id_rsa und id_rsa.pub. Die pub-Datei ist der Public key, dessen Inhalt müsst ihr einfach in das Authorized-Keys File auf dem Server einfügen. Dann sollte der Zugriff gehen.

Und wie geht das jetzt mit dem Tunnel? Dazu muss man im Client den Aufruf entsprechen Konfigurieren. Bei Putty unter Windows gibt es da Dialoge für die Einstellung der tunnel. Aber auch in der Kommandozeile geht das recht simpel:

ssh -l user meinserver.dyndns.de -L1234:192.168.22.1:80
so wird z.B. eine Verbindung zu meinserver.dyndns.de aufgebaut. Wenn man sich erfolgreich mit dem Benutzer "user" eingeloggt hat, wird ein Tunnel geöffnet: Alle Anfragen an den lokalen Port 1234 werden über SSH weitergeleitet an den Server, welcher seinerseits die Anfragen und Daten weiterleitet an in diesem Fall den Server mit der IP 192.168.22.1, Port 80.

D.h. wenn ich jetzt in meinen Browser die URL http://localhost:12345/ eingebe, lande ich auf dem Webserver mit der IP 192.168.22.1

Man kann zwar nahezu beliebig viele solche Tunnelangaben beim Aufruf von SSH machen, das ist aber wenig spassig, und man ist auch immer auf der Suche nach den richtigen Ports. Zum Glück gibt es auch dynamische Ports

ssh -l user meinserver.dyndns.de -D 1234
Damit wird ein dynamischer SOCKS-Proxy erzeugt. Dieser funktioniert quasi identisch zu dem manuellen Tunnel mit -L, aber er baut dynamische Tunnel zu beliebigen Zielen auf. Nachteil: die Anwendungen, die man nutzen will, müssen SOCKS unterstützten. Die gängigen Browser tun das alle, aber bei anderer Software wird es schnell eng...

Außerdem kommt man so auch nur schwer an die Freigaben von z.B. seinem NAS ran oder so.

Übrigens: das funktioniert auch mit dem iPhone - die SSH-Clients für das iPhone unterstützen alle auch Tunnel...

die Flexibilität ist natürlich extrem, ich kann jeden beliebigen Port weiterleiten. Allerdings muss ich das auch, wenn ich darauf zugreifen will.

Die Nachteile liegen somit ziemlich auf der Hand: man muss alle ports mehr oder minder manuell mappen und dann funktioniert es auch nicht immer reibungslos (AFP-Sharing z.B.). Namensauflösung darüber zu machen ist auch schwer, da man kein UDP-tunnel machen kann, sondern nur TCP. Deswegen ist das eine recht gute Lösung für den Notfall, aber für den mehr oder minder täglichen Zugriff ist das nix.

TestOfTools Rating: 4/10 Punkten

 

Pseudo VPN mit ShareTool

Im Endeffekt ist das eine grafische Oberfläche für die oben beschriebenen SSH-Methoden + noch mehr. Allerdings ist die Software nicht umsonst - dafür wirklich "Narrensicher";-)

Sharetool 2 bekommt ihr hier - probiert mal die Demo aus, das ist echt ok - die $20 sind gut investiert, wenn man auf "daheim" zugreifen möchte.

Sharetool benötigt allerdings einen Mac auf dem es laufen kann - Linux oder Windows läuft leider nicht. Was sicher einer der Nachteile von Sharetool ist. Allerdings ist die Einrichtung denkbar simpel und man benötigt nicht mal so was wie Dyndns - das erledigt der Sharetool Service. Auf dem Server, also dem Rechner im Heimnetz, startet man Sharetool und konfiguriert das sharing:

Dabei könnte man seine eigene Portfreigabe verwenden, oder sich von sharetool einen eigenen Port konfigurieren lassen - sofern euer Router UPNP versteht. Falls ihr das das erste Mal macht, müsst ihr noch einen Login anlegen. Der Server meldet sich dann unter dieser Kennung mit seiner öffentlichen IP-Adresse an. Clientseitig läuft das genaue "Gegenteil" - man loggt sich ein, erhält die IP Adressen der verschiedenen Netzwerke unter eurer Kennung und man kann sich aussuchen, wo man sich einloggen will:

Nach dem Login kann man aus den bekannten Netzen wählen und sich ggf. verbinden. Dafür ist zwingend ein User auf der anderen Seite nötig, als der ihr euch einloggen könnt. Ich würde aus Sicherheitsgründen dazu raten, einen eigenen User nur für diesen Zweck einzurichten, der sonst keine Rechte am System hat - Das kann man am Mac ja relativ simpel machen. Vergebt für diesen User aber bitte ein vernünftiges Passwort oder authentifiziert euch mit dem Public-Key des SSH (s.o.).

Auf dem Mac kann man das auch in /etc/sshd_config einstellen, genauso, wie unter Unix üblich. In der Systemsteuerung gibt’s das Häckchen "Entfernte Anmeldung". Das startet, bzw. stopped den SSHD. Wenn ihr also eine Änderung an der /etc/sshd_config gemacht habt, solltet ihr den Server kurzt neu starten. Hier die wichtigsten settings:

PubkeyAuthentication yes - ist per Default an, kann man aber explizit im File setzen, wenn man möchte AllowRootLogin no - sollte zwingend aus sein PasswordAuthentication no - aus, falls man sich nur per PublicKey authentifizieren möchte, ansonsten müssen ALLE user ein gutes Passwort haben ValidUsers USER1 - so kann man den Login auf nur einen User reduzieren, alle anderen dürfen nicht
Mit diesen Settings ist auch euer Mac einigermassen sicher für angriffe von außen - allerdings würde ich immer ein gutes Passwort vergeben.

Hat man es geschafft, sich anzumelden, bekommt man von ShareTool eine sehr praktische Auswahl aller Bonjour-Services:

 

Durch einen Doppelklick kann man sich dann mit dem entsprechenden Service verbinden - so als wäre man im eigenen Netz... Und möchte man dann noch "Anonym", also über seine eigene Home-Verbindung im Internet surfen (das ist manchmal ganz praktisch für sehr strikte firmenpolitik), dann kann man unter Options den Menüpunkt "Browse Web securely" wählen. Das öffnet den Firefox und surft dann über den SSH-Tunnel und seine eigene Leitung.

Nachteile von dieser Lösung: Man bekommt eigentlich nur relativ Problemlosen Zugriff auf Bonjour Services, alles was darüber raus geht, erreicht man nicht. Man kann zwar auch eigene Services registrieren, aber das ist ein gefummel und habe ich noch nicht hin bekommen - wenn Ihr da ne Idee habt, immer her damit ;-)

Aber für die Meisten sollte das gut reichen, da der Zugriff auf Shares, Web, Printer und Screen Sharing gut funktioniert.

Ist noch erschwinglich und ist eine solide 90% Lösung, sofern man einen MacServer hat - und das können nicht viele von sich behaupten.

TestOfTools Rating: 7/10 Punkten

OpenVPN

Das ist eine "echte" VPN Lösung, die den Netzwerktraffic auf einer der unteren OSI-Layern verschlüsselt. Das ganze funktioniert auch über SSL und verlangt keine besonderen Einstellungen oder Fähigkeiten vom Router oder Provider  - es gibt auch eine Implementierung für das iPhone oder Android, allerdings nicht nativ, muss gesondert installiert werden.

OpenVpn wird immer beliebter, hat aber leider noch nicht in viele Router einzug gehalten. Deswegen benötigt man auch hier einen eigenen Server, der als OpenVPN-Server fungiert. Hierfür muss im Router eine Portfreigabe eingerichtet werden - normalerweise UDP 1194. Ist aber frei wählbar.

Für den Zugriff vom Mac aus benötigt man einen Client, da auch hier keine native VPN-Implementierung verfügbar ist. Am besten bewährt hat sich bei mir das Tool Tunnelblick, obwohl es noch immer im Beta Stadium ist. Dennoch klappt das recht gut, auch wenn der einwahlvorgang immer recht lange dauert (im Vergleich zu den anderen hier vorgestellten lösungen).

Als OpenVPN-Server habe ich die Qnap gewählt, da geht das recht simpel:

hier kann man eigentlich nur den Haken bei "Server aktivieren" anschalten, dann läuft alles. Man muss nur noch die Konfigurationsdatei herunterladen und alles sollte einigemassen passen. Allerdings muss man da drin die Öffentliche IP Adresse vermutlich ändern. Da steht, wenn man nicht DynDns auch über die Qnap macht, die gerade aktuelle öffentliche IP drin. Das funktioniert dann für den Moment, aber morgen nicht mehr.

In Tunnelblick muss man nur ne neue Config anlegen, das erklärt sich mehr oder minder von selbst... auch wenn es einige Schritte sind.

Leider kann man hier das routing nicht einstellen, d.h. man surft immer komplett über die Leitung "daheim". Also ein Zugriff nur auf das Netz, ohne den ganzen Traffic darüber zu leiten ging nicht. Auch gibt es wohl einen Bug in der Qnap: Wenn man die Default-Route ausschaltet, geht gar nix mehr. War zumindest bei mir so...

Das ist allerdings auch erstaundlich simpel einzurichten und es funktioiniert recht solide, wenn man einen Brauchbaren Server hat. Dennoch gibt’s ein paar Punktabzüge, da die Konfiguration so etwas nervig ist. Im normalfall würde ich da 10/10 Punkten vergeben, aber da das ganze leider auf der Qnap ein wenig krankt bekommt das ganze weniger. auch ist schade, dass es keine Nativen Clients von Apple für OSX und/oder iOS gibt, so wie für IPSec Und leider auch keine Implementierung für die Fritz!Box.

TestOfTools rating: 8/10

 

IPSec VPN mit Fritz!Box OS6.0

Das ist eigentlich wäre das die optimale lösung. Allerdings war es bisher immer ein Graus, IPSec selbst zu konfigurieren. Vor allem, weil die Router spezielle Protokolle korrekt weitergeben mussten. Der Support für IPSec war da nicht so verbreitet. Obwohl es angeblich die sicherste VPN-Variante sein sollte.

Zum glück ist die konfiguration mittlerweile in der Fritz!Box so stark vereinfacht worden, dass man das in ein paar Mausklicks zusammengestellt hat. wichtig: Man muss für jeden VPN-Zugang einen User anlegen. Das Passwort dafür sollte entsprechend komplex sein.Die VPN-Einstellungen sind auch unter "Freigaben" zu finden, dort gibt es einen Reiter "VPN":

Dort kann man dann einen User für den Remote Zugriff einrichten, oder netz-zu-netz verbindunge (also Fritz-zu-Fritz) einrichten.  Das ist ganz sinnvoll, wenn man zwei Standorte verknüpfen will - die fungieren dann netzwerktechnisch als einer - was den Zugriff auf Fileserver etc. natürlich stark vereinfacht.

für uns hier wichtig, ist der erste Punkt: Fernzugang für einen Benutzer einrichten. Dort ist eigentich nur das Häckchen für VPN zu setzen, ein gutes Passwort zu vergeben und das war es schon. Bei Bedarf kann man dem User auch noch Zugriff auf andere Services der Fritzbox gewähren. Das ist ganz interessant: wenn man aus dem lokalen Netzwerk auf die Fritz!Box zugreifen möchte, muss man ein Passwort eingeben. Macht man das selbe über das VPN, dann kommt ein User/Passwort login - aus Sicherheitsgründen!

Die emailadresse kann übrigens auch als Login benutzt werden, wenn ich das richtig verstanden habe. Bisher hatte ich das aber noch nicht nutzen müssen. Am Ende der ganzen Prozedur, kann man sich noch die Einstellungen für iOS und Android anzeigen lassen:

Mit diesen Einstellungen kann man auch recht simpel den Zugriff von OSX aus einrichten. Dazu muss man eine Neue Netzwerkverbindung einrichten. Unter Systemeinstellungen->Netzwerk kann man durck klicken auf das "+" eine Neue Verbindung einrichten.

Nach dem man auf den + geklickt hat, muss man nur noch Cisco-VPN auswählen und die Einstellungen von der Fritz!Box eintragen. DAbei auch nicht die "Authentifzierungseinstellungen" vergessen, denn dahinter verbirgt sich die Gruppe und das Shared Secret. Und auch wichtig: Unter "Weitere Optionen" muss der für das Zielnetz gültige DNS angegeben werden - also die IP-Adresse der Fritz!Box - sowas wie 192.168.178.1 oder so.

Das alles funktioniert normalerweise recht gut - auch hier ist wieder eine Dyndns-Anmeldung nötig. Allerdings hat das ganze einen kleinen Haken - man kann nicht mehr einstellen (OSX 10.9 mavericks), dass nicht der gesamte Traffic über die Leitung gehen soll. Das konnte man früher mal einstellen, ist aber jetzt weg.

D.h. wenn ich eingewählt bin, geht der gesamte IP-Traffik über das VPN.

Korrigieren kann man das allerdings recht einfach: Es gibt eine Route, über die das geregelt wird. in der Shell kann man das recht einfach korrigieren. Allerdings ist da manuelles Eingreifen nötig. Für die meisten ist das vermutlich eh kein Problem, sondern eher ein vorteil.

Der einzige Nachteil dieser Lösung ist, dass man wenig einstellen kann. Aber sonst ist das doch eine der besseren Varianten. Leider funktioniert es aber nicht über 3G oder LTE - zumindest bei meinem Anbieter wird IPSec nicht unterstützt. Evtl. ist das bei anderen Anbietern anders, im Zweifel solltet ihr euch erkundigen. Im WLAN/LAN sollte es eigentlich funktionieren, aber auch hier ist man Abhängig vom WLAN/LAN Route. Wenn der IPSEc auch nicht unterstütz ist man .... angeschmiert. Deswegen auch hier nicht volle Punktzahl:

TestOfToolsRanking: 9/10

Fazit:

Irgendwie gibt es wohl keine 100%-Lösung, an der man nicht lange rumbasteln muss. 100% - zumindest was die Flexibilität und routing etc betrifft, könnte man vermutlich nur mit einem eigenen Linux-Server und viel Zeit erreichen. Wenn man sich da reinfuchsen will, ist das sicherlich die 100% Lösung.

für die allermeisten Zwecke sind die  hier vorgestellten Wege (abgesehen vom ersten vielleicht) völlig ausreichend. Wer spezielle Anforderungen hat, muss sich auch speziell darum kümmern.

Mein Favorit momentan ist das IPSec-VPN, da ich dafür nicht noch einen eigenen SSH oder OpenVPN-Server benötige. Ich konnte aber auch eine ganze Zeit lang ohne IPSec leben und das ganze mit ShareTool bzw. Openvpn erledigen, da ich hier (noch) einen MacMini rumstehen habe, der gerne auch mal was tun soll ;-)

Entscheiden müsst ihr wohl von Fall zu Fall, welche Lösung am besten auf eure Bedürfnisse passt, da alle Lösungen eigene Nachteile haben:

  • SSH manuell ist viel zu kompliziert und erfordert eine Menge Wissen über die Dienste, die man ansprechen will. Für Notfälle aber sicherlich sinnvoll
  • Sharetool zeigt nur Bonjour-Services, der zugriff auf andere ist schwierig
  • Sharetool kostet Geld
  • OpenVPN und ShareTool benötigen beide einen Server auf dem sie laufen können
  • IpSec natürlich auch, aber die Fritzbox unterstützt es mittlerweile
  • OpenVpn hat keine Native Implementierung in OSX oder der Fritzbox.
  • OpenVPN ist beim Verbindungsaufbau recht langsam
 

 


category: Tweet --> global

Tweet: My week on Twitter: 1 Mentions, 4 Retweets, 378 Re...

2016-02-09 - Tags: tweet

sorry, no english version available


category: Tweet --> global

Tweet: ARG... Sky mal wieder... https://t.co/VDdJm3eKPt

2016-02-02 - Tags: tweet

sorry, no english version available


category: Tweet --> global

Tweet: update for my @ErgoDoxEZ review -ego-shooter suppo...

2016-02-01 - Tags: tweet

sorry, no english version available


category: Tweet --> global

Tweet: Sky mal wieder - Servicewüste Deutschland. Macht e...

2016-02-01 - Tags: tweet

sorry, no english version available


category: Service in Germany

Servicewüste Deutschland - Sky mal wieder

2016-02-01 - Tags: servicewueste sky tv

sorry, no english version available


category: Tweet --> global

Tweet: My week on Twitter: 1 Retweets, 15 Retweet Reach....

2016-01-26 - Tags: tweet

sorry, no english version available


category: Tweet --> global

Tweet: My week on Twitter: 1 Mentions, 2 Retweets, 590 Re...

2016-01-19 - Tags: tweet

sorry, no english version available


category: Tweet --> global

Tweet: ErgoDox EZ auf Deutsch | Stephans Blog - und auf d...

2016-01-17 - Tags: tweet

sorry, no english version available

found results: 135

<< 1 ... 2 ... 3 ... 4 ... 5 ... >>