{"id":9180,"date":"2011-08-03T07:29:43","date_gmt":"2011-08-03T05:29:43","guid":{"rendered":"http:\/\/funrecycler.com\/?p=9180"},"modified":"2011-08-03T07:29:43","modified_gmt":"2011-08-03T05:29:43","slug":"vorbereitungen-fur-das-cccamp11-ohne-vpn-geht-nichts","status":"publish","type":"post","link":"https:\/\/funrecycler.com\/index.php\/2011\/08\/03\/vorbereitungen-fur-das-cccamp11-ohne-vpn-geht-nichts\/","title":{"rendered":"Vorbereitungen f\u00fcr das #CCCamp11 &#8211; ohne VPN geht nichts."},"content":{"rendered":"<p><a href=\"http:\/\/funrecycler.com\/wp-content\/uploads\/2011\/08\/chaos-communication-camp-2011.jpg\"><img loading=\"lazy\" decoding=\"async\" class=\"alignleft size-full wp-image-9184\" style=\"margin-left: 10px; margin-right: 10px;\" title=\"chaos-communication-camp-2011\" src=\"http:\/\/funrecycler.com\/wp-content\/uploads\/2011\/08\/chaos-communication-camp-2011.jpg\" alt=\"\" width=\"307\" height=\"307\" \/><\/a>Am 10.08.2011 gehts wieder los. Ein paar Nerds treffen sich auf einer Wiese und haben ein t\u00fcchtiges Arbeitspensum. Gerade die Fraktion der aktiven Netzwerkforscher nutzen die aufgebaute Netzwerktechnik etwas kreativer als sie urspr\u00fcnglich geadacht war. Man kann sich sicher sein, beim ersten connect mit dem Netzwerk steht man nicht nur unter passiver Beobachtung, sondern wird wie immer von allen Seiten attackiert. Da man sich auf solchen Events des Risikos im Vorfeld bewu\u00dft ist, ist es ratsam, einige Vorkehrungen zur eigenen Sicherheit zu betreiben.<br \/>\nAm sichersten ist es auf jegliches Ger\u00e4t, das mit Prozessoren funktioniert, gleich zu Hause zu lassen, wenn man die Kontrolle dar\u00fcber nicht verlieren m\u00f6chte. Geht dieser Weg nicht, da man ja genau deswegen da ist, interessiert euch sicher diese Abhandlung.<br \/>\n<!--more--><br \/>\nUm es den Campbesuchern nicht zu einfach zu machen, sollte man den KOMPLETTEN Netzverkehr der ins Internet soll au\u00dfnahmslos ein wenig verpacken. Eine recht gute Methode ist da die M\u00f6glichkeit einen pptp Server ausserhalb des Camps zu platzieren. Hierbei wird jeglicher Traffic nach aussen \u00fcber eine gesicherte Leitung getunnelt und sieht das echte Internet erst am Exit-Node eures Servers. Ist der in eurer Hand habt ihr zumindest ein wenig mehr Sicherheit als ein Besucher, der arglos sich in jedes Wlan einbucht, um nur mal eben seine Mails zu checken.<br \/>\nOb man den eigenen Root Server daf\u00fcr nutzen sollte oder sich f\u00fcr ein paar \u20ac einen Test-V-Server ordern sollte, kann jeder selber entscheiden. Nat\u00fcrlich geht auch der daheim gebliebene Rechner an der dyndns Leitung, solange sie ordentlich Bandbreite hat.<br \/>\nAuf einem debian-artigen System muss als erstes der Dienst pptp installiert werden.<\/p>\n<pre lang=\"BASH\">apt-get install ssh pptpd<\/pre>\n<p>Ein paar Einstellungen zu dem gew\u00fcnschten Adressbereich und dem lokalen Gateway m\u00fcssen noch angepasst und aktiviert werden. (#entfernen)<\/p>\n<pre lang=\"BASH\">vi \/etc\/pptpd.conf<\/pre>\n<p><strong>localip 192.168.5.252<br \/>\nremoteip 192.168.5.2-100<br \/>\n<\/strong><br \/>\nen Benutzer ben\u00f6tigen wir im einfachsten Fall auch noch.<\/p>\n<pre lang=\"BASH\">vi \/etc\/ppp\/chap-secrets<\/pre>\n<p><strong># Secrets for authentication using CHAP<br \/>\n# client server secret IP addresses<br \/>\ndeinuser pptpd saugeheim 192.168.5.0\/24<\/strong><br \/>\nDen Dienst neu starten, damit alle Einstellungen wirksam werden.<\/p>\n<pre lang=\"BASH\">\/etc\/init.d\/pptpd restart<\/pre>\n<p>Die eigentliche Einwahl sollte nun schon funktionieren.<br \/>\nUm das zu testen w\u00e4re dieser Befehl hilfreich.<\/p>\n<pre lang=\"BASH\">netstat -anp | grep pptpd<\/pre>\n<p><strong>tcp 0 0 0.0.0.0:1723 0.0.0.0:* LISTEN 7565\/pptpd<br \/>\nunix 2 [ ] DGRAM 15781 7565\/pptpd<\/strong><br \/>\nFehlt nur noch der Zugriff aufs Internet.<\/p>\n<pre lang=\"BASH\">vi \/etc\/sysctl.conf<\/pre>\n<p><strong><br \/>\n# Uncomment the next line to enable packet forwarding for IPv4<br \/>\nnet.ipv4.ip_forward=1<\/strong><br \/>\nWeiterhin m\u00fcsst ihr diese Regeln auf euch anpassen, da sich zumindest das Interface eth0 \u00e4ndern k\u00f6nnte, was ihr aber mit einem ifconfig sicher schnell raus bekommt.<\/p>\n<pre lang=\"BASH\">$ \/sbin\/iptables -P FORWARD ACCEPT\n$ \/sbin\/iptables --table nat -A POSTROUTING -o eth0 -j MASQUERADE<\/pre>\n<p>Die Regeln sind nach einem Neustart aber wieder weg. F\u00fcr eine dauerhafte Speicherung w\u00e4re die \/etc\/rc.local geeignet, um das fest zu verdrahten.<br \/>\nBesser ist es, sie nur bei Bedarf zu aktivieren. (ssh mit Schl\u00fcsseldateien)<br \/>\nWie der <a href=\"http:\/\/funrecycler.com\/2011\/02\/11\/vpn-in-das-lokale-netz-heute-einmal-mit-einem-linux-client-auf-einem-windows7\/\">passende Client konfiguriert <\/a>wird, habe ich vor einer Weile schon einmal ausgiebig beschrieben.<br \/>\nEin paar generelle Tips wie man seine Hardware absichert, sollen aber hier nicht fehlen. Dies sind nur die wichtigsten Anregungen.<br \/>\n1.) Systempartition KOMPLETT verschl\u00fcsseln.<br \/>\n2.) Externe Datentr\u00e4ger (USB\/CDROM\/FIREWIRE) deaktivieren<br \/>\n3.) \/home verschl\u00fcsseln<br \/>\n4.) frisches System benutzen und nach den TAGEN sofort wieder neu aufsetzen.<br \/>\n5.) alle \u00fcberfl\u00fcssigen Dienste deaktivieren.<br \/>\n6.) kein unverschl\u00fcsselter Traffic.<br \/>\n7.) Mailkennw\u00f6rter t\u00e4glich \u00e4ndern<br \/>\n8.) Zertifikate nicht einfach so akzeptieren<br \/>\n9.) Wenn Rechner unbenutzt herunterfahren nicht standby<br \/>\n10.) &#8230;. und sehr vieles mehr.<br \/>\nWenn Ihr in den Tagen mal vorbei kommen wollt, bin ich im Village <a href=\"http:\/\/events.ccc.de\/camp\/2011\/wiki\/Motodrone\" target=\"_blank\" rel=\"noopener\">motodrone <\/a>zu finden.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Am 10.08.2011 gehts wieder los. Ein paar Nerds treffen sich auf einer Wiese und haben ein t\u00fcchtiges Arbeitspensum.<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1,25,3,9,16,19,20],"tags":[161,552,553,891,1763,2103,2706,2743,2910],"class_list":["post-9180","post","type-post","status-publish","format-standard","hentry","category-allgemein","category-android","category-computer-und-technik","category-linux-computer-und-technik","category-software","category-tools","category-tutorial","tag-absicherung","tag-ccc","tag-cccamp11","tag-einwahl","tag-motodrone","tag-pptp-server-aufsetzen","tag-tunnel","tag-ubuntu","tag-vpn"],"_links":{"self":[{"href":"https:\/\/funrecycler.com\/index.php\/wp-json\/wp\/v2\/posts\/9180","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/funrecycler.com\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/funrecycler.com\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/funrecycler.com\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/funrecycler.com\/index.php\/wp-json\/wp\/v2\/comments?post=9180"}],"version-history":[{"count":0,"href":"https:\/\/funrecycler.com\/index.php\/wp-json\/wp\/v2\/posts\/9180\/revisions"}],"wp:attachment":[{"href":"https:\/\/funrecycler.com\/index.php\/wp-json\/wp\/v2\/media?parent=9180"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/funrecycler.com\/index.php\/wp-json\/wp\/v2\/categories?post=9180"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/funrecycler.com\/index.php\/wp-json\/wp\/v2\/tags?post=9180"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}