Vorbereitungen für das #CCCamp11 – ohne VPN geht nichts.

Am 10.08.2011 gehts wieder los. Ein paar Nerds treffen sich auf einer Wiese und haben ein tüchtiges Arbeitspensum. Gerade die Fraktion der aktiven Netzwerkforscher nutzen die aufgebaute Netzwerktechnik etwas kreativer als sie ursprünglich geadacht war. Man kann sich sicher sein, beim ersten connect mit dem Netzwerk steht man nicht nur unter passiver Beobachtung, sondern wird wie immer von allen Seiten attackiert. Da man sich auf solchen Events des Risikos im Vorfeld bewußt ist, ist es ratsam, einige Vorkehrungen zur eigenen Sicherheit zu betreiben.
Am sichersten ist es auf jegliches Gerät, das mit Prozessoren funktioniert, gleich zu Hause zu lassen, wenn man die Kontrolle darüber nicht verlieren möchte. Geht dieser Weg nicht, da man ja genau deswegen da ist, interessiert euch sicher diese Abhandlung.

Um es den Campbesuchern nicht zu einfach zu machen, sollte man den KOMPLETTEN Netzverkehr der ins Internet soll außnahmslos ein wenig verpacken. Eine recht gute Methode ist da die Möglichkeit einen pptp Server ausserhalb des Camps zu platzieren. Hierbei wird jeglicher Traffic nach aussen über eine gesicherte Leitung getunnelt und sieht das echte Internet erst am Exit-Node eures Servers. Ist der in eurer Hand habt ihr zumindest ein wenig mehr Sicherheit als ein Besucher, der arglos sich in jedes Wlan einbucht, um nur mal eben seine Mails zu checken.
Ob man den eigenen Root Server dafür nutzen sollte oder sich für ein paar € einen Test-V-Server ordern sollte, kann jeder selber entscheiden. Natürlich geht auch der daheim gebliebene Rechner an der dyndns Leitung, solange sie ordentlich Bandbreite hat.
Auf einem debian-artigen System muss als erstes der Dienst pptp installiert werden.

apt-get install ssh pptpd

Ein paar Einstellungen zu dem gewünschten Adressbereich und dem lokalen Gateway müssen noch angepasst und aktiviert werden. (#entfernen)

vi /etc/pptpd.conf

localip 192.168.5.252
remoteip 192.168.5.2-100

en Benutzer benötigen wir im einfachsten Fall auch noch.

vi /etc/ppp/chap-secrets

# Secrets for authentication using CHAP
# client server secret IP addresses
deinuser pptpd saugeheim 192.168.5.0/24

Den Dienst neu starten, damit alle Einstellungen wirksam werden.

/etc/init.d/pptpd restart

Die eigentliche Einwahl sollte nun schon funktionieren.
Um das zu testen wäre dieser Befehl hilfreich.

netstat -anp | grep pptpd

tcp 0 0 0.0.0.0:1723 0.0.0.0:* LISTEN 7565/pptpd
unix 2 [ ] DGRAM 15781 7565/pptpd

Fehlt nur noch der Zugriff aufs Internet.

vi /etc/sysctl.conf


# Uncomment the next line to enable packet forwarding for IPv4
net.ipv4.ip_forward=1

Weiterhin müsst ihr diese Regeln auf euch anpassen, da sich zumindest das Interface eth0 ändern könnte, was ihr aber mit einem ifconfig sicher schnell raus bekommt.

$ /sbin/iptables -P FORWARD ACCEPT
$ /sbin/iptables --table nat -A POSTROUTING -o eth0 -j MASQUERADE

Die Regeln sind nach einem Neustart aber wieder weg. Für eine dauerhafte Speicherung wäre die /etc/rc.local geeignet, um das fest zu verdrahten.
Besser ist es, sie nur bei Bedarf zu aktivieren. (ssh mit Schlüsseldateien)
Wie der passende Client konfiguriert wird, habe ich vor einer Weile schon einmal ausgiebig beschrieben.
Ein paar generelle Tips wie man seine Hardware absichert, sollen aber hier nicht fehlen. Dies sind nur die wichtigsten Anregungen.
1.) Systempartition KOMPLETT verschlüsseln.
2.) Externe Datenträger (USB/CDROM/FIREWIRE) deaktivieren
3.) /home verschlüsseln
4.) frisches System benutzen und nach den TAGEN sofort wieder neu aufsetzen.
5.) alle überflüssigen Dienste deaktivieren.
6.) kein unverschlüsselter Traffic.
7.) Mailkennwörter täglich ändern
8.) Zertifikate nicht einfach so akzeptieren
9.) Wenn Rechner unbenutzt herunterfahren nicht standby
10.) …. und sehr vieles mehr.
Wenn Ihr in den Tagen mal vorbei kommen wollt, bin ich im Village motodrone zu finden.

1 thought on “Vorbereitungen für das #CCCamp11 – ohne VPN geht nichts.

  1. smokeympot

    Das nenne ich mal eine tollen Artikel.
    Von solchen praktischen Tips möchte ich mehr lesen.
    Weiter so 🙂

    Reply

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.