nzyme – WiFi Defense System

Das drahtlose Netzwerk in unserem Haus wird von mir immer als unsicher angesehen, da ich der „Sicherheit“ dieser Art der Datenübertragung grundsätzlich mistraue. Wer einmal gesehen hat, wie leicht man sich mittels einiger kleiner Werkzeuge Zugang zum WLAN des Nachbarn verschaffen kann, der weiß was ich meine. Selbst der Standard WPA3 hat nichts daran geändert.

Nun habe ich zumindest mal nzyme installiert, was nun sich noch etwas justieren muss, aber dazu dient, damit man potenzielle Angriffsversuche von außen auf das WLAN angezeigt bekommt. Es ist ein Wifi-Intrusion-Detection-System (WIDS) als Ergänzung zu meiner UTM Appliance (Unified Threat Management), welches diese Services alles abdeckt: Internet-Gateway, Firewall, Virtual Private Network (VPN) Gateway, Virus Protection, Intrusion Detection System, Contentfilter, Spam Protection, Endpoint Protection, Surf Protection, Authentifizierung, Quality of Service (QoS) und Reporting.

Bei mir ist alles wichtige gekabelt und hinter der UTM. Der NAS (Network Attached Storage) und DSL-Zugang sind nicht von außen erreichbar und alles an Zusatzprodukten ist abgeschaltet, schon immer. So empfiehlt es auch die c’t in ihrem Heftchen c’t Security Tipps, woher ich auch die Anleitung genommen habe – und funzt einwandfrei.

Ich werde über meine Erfahrungen berichten. Bei mir läuft es auf einem Raspberry Pi 4 (wo schon Pi-Hole und Flightradar24 drauf laufen). Die Antenne ist eine Alfa AWUS036H mit Realtek RTL 8187L-Chipsatz.

Samstag, 6. Februar 2021Sonntag, 7. Februar 2021

Speedport Smart 3 auf FRITZ!Box 7590-Umstieg lohnt sich

Geschichte eines treuen Kunden

Ich benutze den Service der Telekom gerne, denn der Service ist i.d.R. stabil und die Mitarbeiter:innen sind in ihrem Fach gut bis sehr gut. Wir haben unseren Anschluss seit 2001 hier im Ort mit einem Umzug und etwa seit 2/2005 wurde der Anschluss auch als „Teleworker“ (heute HomeOffice) regelmäßig genutzt. Beim Umzug haben wir alles mitgenommen. Zuvor waren wir zuvor in Hamburg mal zu MobilCom gewechselt und erschüttert wie schlecht alles laufen kann…

Heimarbeitsplatz von Sun Microsystems im Rahmen von Sar@h (noch vor iWork) (Quelle: J. Sievers, 24. Februar **2005**)

Ich habe die Router der Telekom immer gerne eingesetzt, da sie i.d.R. stabil ihren Dienst taten und wenig Schnick-Schnack boten (ich möchte am Netz angeschlossen sein und nicht herum fingern).

oben CISCO VPN-Router, darunter *Telekom Teledat DSL Router Komfort* (Quelle: J. Sievers, 24. Februar **2005**)

Die Speedport-Router waren nacheinander allesamt hier oder auch bei meiner Mutter im Einsatz, selbst die LTE-Versionen, wo ich mittels externer Antennen versucht hatte mehr rauszuholen. Insofern: Ich bezeichne mich als kompetent einige Qualitätsmerkmale dieser Produkte bewerten zu können.

Die Speedport Smart 3 war hier einige Zeit im Einsatz, aber überzeugt hat sie nie wirklich. Nachdem ich den optimalsten Platz des Routers gefunden hatte, hatten wir stabiles WLAN. Durch Mesh und Magenta TV Boxen (erste Version hatte ich auch getestet) und einiger Updates wurde alles richtig schlimm. Ich habe sogar die SmartHome-Funktionen getestet und allesamt wieder abgeschaltet, weil ich den Fehler dort ausschließen wollte:

Abbrüche der WLAN-Verbindung nahmen deutlich zu
Bestimmte Dienste, wie Jitsi, Microsoft Teams (Vermutung WebRTC oder UDP, da auch VPN-Verbindungen denselben Effekt hatten) ließen die Speedport in einem undefinierten, nicht mit dem Internet verbundenen Zustand zurück (Neustart notwendig). Es spielte keine Rolle ob kabelgebunden (alle meine Rechner) oder WLAN!
WLAN-Geschwindigkeit war nicht mehr von Vorteil, manche der Familienmitglieder sind auf LTE am mobilen Gerät umgeschwenkt

Da wir allesamt mehr oder weniger im HomeOffice seit knapp einem Jahr unser Dasein fristen und ich bei mehreren privaten und geschäftlichen Videokonferenzen immer abrupt unterbrochen wurde, platzte mir der Kragen.

Support der Telekom versucht zu helfen

Ich habe den Support bemüht und dieser hat sehr freundlich, schnell und kompetent die Stanmdardverfahren angewandt, damit wir Telekom-Netzprobleme ausschließen konnten. Leider half der Tausch des Gerätes nicht.

Das Problem habe ich nach 1 Woche auch dem zweiten Telekom-Supporter erklärt, aber leider ging der nicht auf meine Vermutung ein, das die letzten beiden Firmware-Updates diese Probleme verursachen und so habe ich dann die Entscheidung gefällt, selbst (wieder) Hand anzulegen. AVM war schon zu MailBox-Zeiten eine gute Adresse, da deren ISDN Adapter von MailBox-Betreibern gerne genutzt wurden.

Nachdem ich auf der AVM-Seite nach einem Partner vor Ort gesucht hatte rief ich den Telekommunikations-Profi meines Vertrauens an. Er ist seit 2001 immer stets bemüht unsere Wünsche zu erfüllen (selten, aber in diesen Zeiten Werbung für lokale Dienstleister und Shops: Ahrensburger:innen kennen World Of Phone sicherlich). Er hatte die Mesh-Version (ich muss durch zwei Stahlbetondecken stabiles WLAN in alle Etagen liefern) der AVM FRITZ!Box 7590 und Repeater 2400. Click & Collect und das Gerät war meins.

Einrichtung erfolgte nach dem Sieg des HSV über Eintracht Braunschweig und um 17h waren die Kabel neu verlegt (hatte ich eh vor um das Netz besser trennen zu können) und alles lief.

Neuverlegung LAN-Kabel (Quelle: J. Sievers, 23. Januar 2021)

Ersetzt und verkabelt… (Quelle: J. Sievers, 23. Januar 2021)

Erfahrungen seit der Installation

Seit 14 Tagen ohne einen einzigen Reboot mit mehreren Umstellungen im Heimnetz stabil
Adaption der Box an meinen Nummernraum war kein Problem. Dokumentation im Netz durch AVM ist sehr gut!
WLAN sehr stabil und Protokollinformationen sehr hilfreich um den 5 GHz Kanal optimal zu wählen!
16-Port Switch, NAS, Firewall-Appliance, AirPrint-Drucker, VPN Arbeitgeber, eigenes VPN, selbst die Telekom Magenta TV Boxen laufen stabil (sind nun gekabelt, aber auch ok), alles läuft ohne Probleme

Die Telekom sollte sich wirklich mal Gedanken über ihre Hardwarelieferanten machen. Wenn selbst langjährige Kunden, sog. Fans/Fanboys/-girls, auf eigene Faust Hardware beschaffen, kommen wir wieder dahin wo wir einst waren als der Laden noch Deutsche Bundespost hieß und wir uns „vernünftige“ Hardware aus dem Ausland beschafft hatten….

Freitag, 2. August 2019Freitag, 2. August 2019

Die Mär von anonym…

Als mich jemand fragte, ich möchte doch mal einen Artikel lesen und, wenn ich ihn gut finde, bei mir verlinken, war das ein „Arbeitsauftrag“ für mich, denn ich verlinke nichts, was ich nicht selber unterschreiben würde. Es ging um das Thema Darknet, Tor etc.

Nun, selbst wenn man sich seit sehr langer Zeit mit dem Thema Verschlüsselung, Sicherheit, Anonymisierung, Datenschutz und Privatsphäre, aus eigenem Interesse und / oder beruflich, auseinandersetzt, wachsen Erkenntnisse manchmal über einen längeren Zeitraum, aber eines, dessen bin ich mir sehr, sehr sicher:

Anonym und Internet verträgt sich nicht

Die Mär von VPN

VPN (Virtuelles privates Netzwerk) ist kein Anonymisierungswerkzeug! Ein VPN-Tunnel dient dazu bspw. am öffentlichen WLAN (Café, Bahnhof, etc.) nicht ausspioniert zu werden, da sichergestellt wird, dass zwischen Dir und dem VPN-Dienst, dessen Server Dein Eingangstor zum Internet ist, keine [wo]man-in-the-middle-Attacke (Die/Der Angreifer*in greift zwischen zwei Endpunkten die Informationen ab) so einfach möglich ist. [1][2]

Es ist aber eben nicht so, dass man damit dann anonym unterwegs ist oder man unbedingt ins Darknet mit einem VPN-Dienst muss, im Gegenteil. Es ist nur so, dass uns das suggeriert wird, aber wenn der Onkel Richter eine Verfügung ausstellt und der Dienst dann die Daten rausrücken muss, hat es sich mit Deiner Anonymisierung. digitalcourage aus Bielefeld hat in einem Artikel aus dem Jahre 2018 [3] dazu, neben den oberen beiden Links, auch noch diesen [4], der es vielleicht noch mehr verdeutlicht das VPN nicht zur Anonymisierung taugt.

Nun steht man also mit „abgesägten Unterhosen“ schon mal ohne VPN im Internet. Was ist den nun mit Tor?

Vegas-Regel: Was in Vegas passiert, bleibt in Vegas

Um meine Anonymisierung zu erreichen, schnappe ich mir nun diesen Tor (The Onion Router, benannt nach dem Konzept der Zwiebel, da die Verschleierung der Identität in etwa dem des Zwiebelprinzips entspricht) und dann bin ich aber anonym…. Nein!

Wiederum digitalcourage beschreibt [5] korrekt das es auf die richtige Nutzung ankommt:

Wenn ich „soziale“ Dienste oder irgendetwas, wo ich mich anmelden muss, über das Tor-Netzwerk im Darknet benutze, lege ich quasi meine Identität offen, es sei denn der Dienst ist ausschließlich im Darknet vertreten und die Identität ist nur im Darknet existent (siehe 2.).
Wenn ich eine E-Mail-Adresse/Idenität brauche muss sie innerhalb des Darknets – und nur dort – bekannt sein („Vegas-Regel“). CB-Funker verwenden ein sich selbst gegebenen Rufnamen und reden i.d.R. nicht über private Dinge oder nur sehr allgemein, denn, wenn ganz viele auch heimlich still und legalerweise mithören, erfahren sie nichts von Bedeutung – ist also nichts was durch das Internet kam. Das Problem der CB-Funker haben auch die Internet-Pendants: Man kann durch Messungen auf deren Standort kommen. Diese Messungen sind heutzutage das sog. „Profiling“, also durch „Cookies“, „Fingerprinting“ und andere Methoden zusammengetragene Daten, die irgendwann einen erkennbar machen, auch wenn man nicht weiß, wer Du bist, wissen sie viel über Dein Verhalten.
Wenn ich nicht zurückverfolgt werden möchte, muss ich meine Installation (virtuelle Maschine mit Zugangssystem zum Darknet – TOR ist übrigens nur eine der Implementierungen) nach der einmaligen Nutzung wegschmeißen und beim nächsten Mal wieder mit frischen Dingen starten. Also sollte ich mir das automatisieren 🙂
Zugang immer über dasselbe Netzwerk, am Besten noch das von zu Hause, ist auch keine gute Idee. Da i.d.R. man nicht ein Botnet (eine Ansammlung von Rechnern, die, meistens unbemerkt, von Dritten oder als virtuelle Umgebungen benutzt werden) sein eigen nennt, muss man also ab- und an mal den Popo hoch bekommen und in andere Netze gehen um von dort aus zu arbeiten.
Benutze ich nicht verschlüsselte Verbindungen (TLS, Transport Layer Security, auch unter dem Vorgängernamen SSL, Secure Sockets Layer bekannt), muss ich mich nicht wundern, das ich erkannt werde.

Journalist*innen, Menschenrechtler*innen, Wiederstandsbewegungen, etc. in „nicht so netten“ Ländern kennen diese Regeln sehr gut und es gehören bestimmt noch einige andere Kniffe dazu.

Anonymes Verhalten setzt Disziplin voraus

Trotz all dieser technischen Maßnahmen und Vorkehrungen, ist nicht gesichert, dass man anonym bleibt. Der entscheidende Faktor ist das eigene Verhalten. Wie auch IRL (im realen Leben, in real life), bekommen Überwachungs- oder Ermittlungsbehörden das was sie wollen, da jemand den Mund zu voll nimmt, einen Fehler in seinem/ihrem Verhalten begeht…. ganz klassisch eben [6].

D.h. wenn Du in Ruhe gelassen, nicht verfolgt und nicht ausspioniert werden möchtest, musst Du neben den technischen Dingen auch Dein Verhalten anpassen. Das kann man lernen, aber man sollte früh damit anfangen und d.h. liebe Eltern: Bringt es Euren Kindern bei, wenn sie IRL verlassen und Cyberpunks werden, also mit 5 Jahren 🙂

Lerne nach Möglichkeit in der Kindeheit oder nutze was Du IRL dort einst gelernt hast

Hanisauland von der Bundeszentrale für politische Bildung hat bspw. die Sicherheitsregeln für Kinder, wo man sich als Anonymisierungsfrischling auch als Eltern was von abgucken darf. Das Poster kann man kostenlos bestellen und ist super aufgehoben im Kinderzimmer!
digitalcourage hat ein Lexikon (#Kids #digital #genial – Das Lexikon von App bis -.zip, ISBN 978-3-934636-20-0) rausgebracht, welches man auch lesen sollte – wenn man kein Kind / Jugendlicher ist, kann man trotzdem lernen, wie man seine Daten schützen kann und mal vom/von der jungen Padawan*in zum Privacy-Ritter/-Prinzessin aufsteigen möchte! 🙂

Ich denke mein Artikel ist etwas länger geworden, weil es eben nicht Schnipp-Schnapp geht sich im Internet anonym zu bewegen und wenn, dann muss man einiges dafür tun und hat dann immernoch keine 100%ige Sicherheit.

Ich selber möchte nur in Ruhe gelassen werden und möchte meine Daten unter meiner Kontrolle behalten und das ist schwer, aber wir haben ein Recht auf Freiheit und Selbstbestimmung, welches ich nur durchsetzen möchte.

„Das Darknet ist böse“ ist eine schlimme Verallgemeinerung

Waffen oder illegale Drogen waren nie meins und daher bestelle ich auch keine. Ich finde es wichtig Menschen einen Raum zu geben, wo sie die Freiheit besitzen über Wahrheiten zu reden ohne dafür verfolgt zu werden – in verschiedenen Ländern der Erde kann das das Todesurteil für einen bedeuten! Die Menschen in Europa kennen das nur am Rande und daher nehmen die Medien gerne das Darknet um Klicks für ihre Seiten zu bekommen, verstanden haben sie oftmals nichts von den Konzepten.

Freiheit bedeutet auch immer Risiko und Spinner*innen, die das Ganze gegen die Gesellschaft verwenden – Kinderschänder, Pornosammler, Nazis, Hetzer, Radikale aller Art – die gibt es IRL aber leider auch und wieso sollte das Darknet davor Halt machen? Bspw. verwende ich beruflich Hackertools, die eigentlich mal dazu geschrieben worden sind, um Schwachstellen auszunutzen, nur verwende ich es umgekehrt um Dinge sicherer zu machen – es gibt, wie so oft, immer zwei Seiten einer Münze.

Reglementierungen gab es zu meiner Zeit auch und es war höchst illegal ohne FTZ-Sigel ein Modem zu betreiben, aber war es sinnvoll? Nein! Wenn also „Heimathorst“ etwas reglementieren möchte, so glaubt er die Kontrolle zu haben, jedoch wird auch er schnell merken: Die Infrastruktur des Internets wurde geschaffen um sie nicht kontrollierbar zu betreiben, exakt so, wie wir es mit Bulletin Board Systems (aka MailBox) auch einst taten.

Zurück zur Anonymisierung: Es ist weder illegal noch ist es 100%ig möglich, aber es macht Sinn sich zu schützen, denn andere haben mit den Profildaten eines Menschen (Identität) im digitalen Zeitalter ganz andere Dinge vor und dagegen wehre ich mich so gut ich kann, wie man es IRL auch tun würde, wenn man angegriffen würde….

Mittwoch, 3. Januar 2018

34C3: BBSs and early Internet access in the 1990ies

Modems, FIDO, Z-Netz, Usenet, UUCP, SLIP and ISDN….

Die Welt in der ich in das Datenfernübertragungszeitalter gestartet bin, hat Harald Welte (LaForge) auf dem 34C3 sehr schön erklärt 🙂 Anklicken und staunen ….

Freitag, 13. November 2015

WLAN-Optimierung In Mac OS X El Capitan – Let’s Talk Tech

For those of us wanting to find out the best wireless channel to use for our network, you have to trawl through a few settings just like with OS X Mavericks and Yosemite. In this short guide, we’ll go through the 3 simple steps you need to take to find the OS X Wi-Fi scanner and identify the best wireless channel for your network.

Quelle: How To Access The Wi-Fi Scanner In Mac OS X El Capitan – Let’s Talk Tech

Apple hat so ziemlich alles an Bord. Selbst Dinge, wo man denkt man müsse nun losgehen und suchen. Wir hatten zu Hause exakt das Problem mit dem Kanal, da durch Neuinstallation und die Einstellung „automatic“ Kanal 11 belegt wurde. Die Intelligenz, die OS X mitbringt, hat, obwohl eigentlich nur spezialisiert auf Netzwerke, der Router nicht…. nunja… OS X an, Bericht erstellen – aha: Empfehlung dem Router einen anderen Kanal vorzugeben und folgende wären die Besten die beiden Frequenzbereiche … Bupp. Lüppt.

Dienstag, 3. November 2015Dienstag, 3. November 2015

IF-Blog: Drei glorreiche Halunken (I) – Mißerfolg ist planbar.

„Nun, dann wären eure Apparate ‚halbamtsberechtigt’“, erläuterte mein Vater, „und das kostet zwar nicht zehn, so aber doch immer noch fünf Mark im Monat“. Das hat mich insofern schockiert, weil die Leistung der Post, nämlich die Bereitstellung eines analogen Telephonanschlusses am W-Amt, unabhängig war von der Anzahl der Nebenstellen.

(…)

Schwieriger war es schon mit unserem ersten Modem, 1976, welches mein Vater beruflich brauchte, um mit der DATEV zu kommunizieren. Das kostete schlappe 400 Mark — Miete im Monat. Das entsprach etwa einer Monatsmiete für eine Dreizimmerwohnung.

(…)

Einen größeren Flop hatte es in der deutschen Technikgeschichte nie gegeben. Aber man hielt in bewährter Manier den Ball flach, man wollte schließlich keine Rufschädigung der deutschen Industrie riskieren — und vor allem: Man hatte ja den vielleicht nicht willigen, aber dafür um so willenloseren deutschen Michel, den man weit über die Schmerzgrenze hinaus nach Belieben zur Ader lassen konnte.

Quelle: IF-Blog » Blog Archiv » Drei glorreiche Halunken (I)

Lesen, liebe Jugend! Lesen! Erfahrt welches Leid wir ertragen mussten! Mein erstes Modem von der GILB hätte mit BZT/FTZ-Zulassung schlappe 2000 DM gekostet (in Anbetracht der Zeit wären das heute EURONEN!). Wir haben für die Hälfte die US-Version erworben und die Zulassung mit einem Nadeldrucker draufgedruckt… ein Telebit TrailBlazer, später ein Telebit WoldBlazer und in meinem Besitz ist noch ein Telebit TeleBlazer (V.34, 28.800kBit/s !), sollte das Internet mal die Grätsche machen (ich habe eigentlich dieses Jahr damit gerechnet), könnte ich meine alte Maschienerie wieder anfahren (FrontDoor/2 und ne BBS….ähhh ProBoard meine ich unter OS/2)…

Freitag, 11. September 2015Freitag, 11. September 2015

Hacker operieren getarnt über Satelliten-Internet | heise online

Mit einer vergleichsweise einfachen Methode zapft eine Hacker-Gruppe die von Satelliten bereitgestellte Internetverbindung für ihre Zwecke an und verwischt so ihre Spuren.

Quelle: Hacker operieren getarnt über Satelliten-Internet | heise online

Alter Wein in neuen Schläuchen?

In Deutschland bediente man sich dieser Möglichkeit daher über die Nutzung von kostenlosen 0130-Nummern (heute 0800). Man ließ sich mit Übersee-Gegenstellen in Ländern mit anfälligem Netz verbinden und schickte erst nach Verbindung über den Satelliten die bekannten BlueBox-Töne über die Leitung.

Quelle: Phreaking (Wikipedia)