Sicherer Netzwerkzugriff mit OpenVPN und Android

Erst kürzlich haben wir euch gezeigt, wie es möglich ist unter Android mit der App SSH Tunnel, seinen Datenverkehr in öffentlichen WLANs zu verschlüsseln. Dort erwähnte ich, das es möglich ist mit Hilfe einer SSH- oder einer VPN-Verbindung den Datenverkehr getunnelt über einen Proxy Server laufen zu lassen. Hier möchte ich euch nun zeigen, wie einfach es ist, OpenVPN unter Android zu benutzen.

Wir bedienen uns dafür wieder einer kostenlosen App namens OpenVPN Settings. Um diese App nutzen zu können benötigt ihr root und zusätzlich muss die OpenVPN Binary vorhanden sein.  (Und BusyBox)

OpenVPN Settings ist ähnlich zum Menü WLAN Einstellungen aufgebaut.

Die App lässt sich ähnlich leicht bedienen wie die App SSH Tunnel. Ihr benötigt ein OpenVPN Zertifikat und die Konfiguration, von dem Server mit dem ihr euch verbinden möchtet. Ob das nun das Zertifikat des Netzes eurer Firma ist, eures heimischen Computers oder eines Servers im Internet ist dabei völlig egal. Einfach die Zertifikat Dateien in ein Verzeichnis namens „openvpn“ eurer SD Karte legen (z.B. [sws_highlight hlcolor=“fbfac7″] /sdcard/openvpn/mein-zertifikat.cert(.key|.ovpn)[/sws_highlight]) und danach in der App das Zertifikat auswählen. Ihr werdet nun mit dem OpenVPN Server verbunden und seht dann eine Notifiction das ihr verbunden seid, wo ihr auch eure aktuelle Datenrate seht. Ob die OpenVPN Binary vorhanden ist könnt ihr ganz einfach prüfen. Sie müsste wenn dann in [sws_highlight hlcolor=“fbfac7″]/system/bin/openvpn[/sws_highlight] oder [sws_highlight hlcolor=“fbfac7″]/system/xbin/openvpn[/sws_highlight] liegen. Auf meinem Gerät war die OpenVPN Binary mit Cyanogen 6 schon verfügbar. Für all diejenigen, die die Binary noch nicht haben hab ich unten ein kleines HowTo abgehangen.

Nun benötigt ihr nur noch einen lauffähigen VPN Server um das ganze zu benutzen. Der liebe @nodch wird in kürze noch ein kleines HowTo schreiben wie man OpenVPN korrekt unter Ubuntu aufsetzt. Dann ist euer Android Gerät ein vollwertiges Mitglied des Netzes und ihr dürft alles machen wozu ihr berechtigt seid. Ich persönlich schalte jeden morgen den Rechner an meinem Arbeitsplatz so an 🙂

[sws_toggle1 title=“Installation der OpenVPN Binary (Zum anschauen klicken)“]Ihr benötigt ein gerootetes Gerät um BusyBox und OpenVPN zu installieren. Bitte beachtet das auf manchen CustomROMs wie Cyanogen das schon mitinstalliert ist!

  1. Verschafft euch root
  2. Ladet euch BusyBox aus dem Android Market falls nicht vorhanden
  3. Installiert BusyBox am besten nach [sws_highlight hlcolor=“fbfac7″] /system/xbin [/sws_highlight]
  4. Ladet euch nun den OpenVPN Installer aus dem Android Market
  5. Installiert OpenVPN ebenfalls am besten nac  [sws_highlight hlcolor=“fbfac7″] /system/xbin [/sws_highlight]
  6. Fertig 🙂

Diese Vorgehensweise sollte bei den meisten Geräten/Firmwares funktionieren, ich kann es leider aber nicht für alle Garantieren.[/sws_toggle1]

Was werdet ihr lieber benutzen? VPN oder SSH?

Android Datenübertragung in öffentlichen WLANs verschlüsseln

Es ist noch nicht allzu lange her, da gab es ein riesen Theater darum, dass Google Anwendungen teilweise Daten unverschlüsselt überträgen. Das Problem wurde teilweise behoben und die bemängelten Google Anwendungen benutzen nun SSL zur Verschlüsselung, jedoch ist dieses Problem nicht Google exklusiv. Jeder der sich in einem ungesicherten WLAN befindet oder über einen WLAN Hotspot surft, ist potenziell gefährdet. Ein Angreifer kann problemlos an die übertragenen Daten gelangen und diese dann unter Umständen missbrauchen, wie es bei Googles Anwendungen möglich war. Es gibt viele Apps, die das in Android eingetragene Google Konto verwenden und sensible Daten wie Passwörter im Klartext durch die Luft schicken. Dem kann man nur entgegen steuern, indem man den gesamten Traffic einer Anwendung oder des ganzen Systems getunnelt über eine SSH- oder eine VPN- Verbindung laufen lässt. Das ist aber nicht immer einfach und oft wissen nur Leute, die sich wirklich damit auskennen, wie genau man so etwas unter Android macht.

Abhilfe schafft da ein Programm wie SSH Tunnel. Diese App ermöglicht es ganz bequem einen SSH Tunnel aufzubauen und den Datenverkehr einzelner Apps, oder des gesamten Android-Systems, umzuleiten. SSH Tunnel erlaubt es mehrere Profile anzulegen, welche alle unterschiedliche konfiguriert werden können. Man könnte theoretisch für jeden Hotspot einen anderen Proxy benutzen. 😉

SSH Tunnel Einstellungen

Die Konfiguration ist für jeden verständlich: Hostnamen und Port des Servers eingeben, auf dem ein SSH Deamon verfügbar ist. Benutzer und Passwort eingeben und eigentlich seid ihr dann auch schon fertig. Einfach Verbinden, und der Traffic geht sichere Wege. KeyFiles können natürlich auch verwendet werden (nur OpenSSH). Optional könnt ihr auch Port Forwarding betreiben, leider funktioniert das Ganze nur mit Root. Wollt ihr den ganzen Spaß nur für einzelne Anwendungen benutzen, muss zusätzlich noch iptables vorhanden sein.

Ein praktisches Feature ermöglicht es, den SSH Tunnel an WLAN Netze oder 2G/3G zu binden, so wird der SSH Tunnel nur aktiv, wenn ihr in einem speziellen WLAN seid.

Testet es selbst einmal und schreibt uns eure Erfahrungen!

 

[sws_blue_box box_size=“620″]Positiv:
[sws_ui_icon ui_theme=“ui-smoothness“ icon=“ui-icon-plus“] [/sws_ui_icon] Gelungene App, die ein großes Maß an Sicherheit in offenen WLANs und Hotspots garantiert.
[sws_ui_icon ui_theme=“ui-smoothness“ icon=“ui-icon-plus“] [/sws_ui_icon] Viele Einstellungsmöglichkeiten, sehr einfache Konfiguration und praktische Features.

Negativ:
[sws_ui_icon ui_theme=“ui-smoothness“ icon=“ui-icon-minus“] [/sws_ui_icon]  Nur mit Root wirklich lauffähig.[/sws_blue_box]

Sensible Daten in der Cloud – Teil 1

Nicht erst seit Apple die “Ei-Cloud” in jedes Medium katapultiert hat, erfreuen sich Clouds einer steigenden Beliebtheit. Neben den Großen wie Amazon und Dropbox gibt es auch kleine Clouds wie die “Ubuntu-One” von Canonical (die Firma hinter Ubuntu Linux) und Cloudbox von LaCie.

Unter Linux wird man auf jeden Fall Dropbox und speziell unter Ubuntu auch Ubuntu-One finden. Steffen Herrman hat in “Dropbox Dateien und Ordner für jeden zugänglich machen” schon darüber berichtet. Ich möchte hier auf einen Aspekt eingehen, den Steffen ausgespart hat. Die Datensicherheit in der Cloud.

Alle Anbieter versprechen, dass die Daten auf jeden Fall sicher und vor dem Zugriff durch Unbefugte geschützt sind. Nicht erst seit dem Dauer-Hacking-Opfer SONY sollte jedem klar sein, dass es diese Sicherheit nicht gibt! Dropbox ist der Beweis dafür. Am 20. Juni war es durch ein Update möglich, sich ohne korrektes Passwort bei ca. 1% der Benutzer einzuloggen. Der Zauber dauerte ganze 5 Stunden. Soviel zum Thema “meine Daten sind sicher”.

Sicherlich kann man es einfach unterlassen, sensible Daten in der Cloud zu speichern. Wenn es einem Cloud-Benutzer aber nicht egal ist, ob die Daten gelesen werden können, dann hilft nur die Verschlüsselung. Hier gibt es verschiedene Ansätze, die sich auch je nach Betriebssystem unterscheiden.

Für Windows und Linux eignet sich der Einsatz des freien TrueCrypt. Allerdings wird hier ein verschlüsselter “Container” erzeugt, in dem –ähnlich einer ZIP-Datei– alle Dateien gespeichert werden. Nach außen ist nur eine große Datei zu sehen. Für den Sync bedeutet das dann, dass für jede kleine Änderung der gesamte Container in die Cloud übertragen werden muss. Und das kann ein zeitaufwendiges Unterfangen werden. Der Vollständigkeit wegen, einen Artikel dazu findet ihr unter “Dropbox und TrueCrypt – verschlüsselte Daten in der Cloud”.

Einfache Lösungen für Linux

Als Linux-User ist man in der glücklichen Lage, unter verschiedenen Lösungen wählen zu können. Ich habe mich für den FUSE-Dateisystem EncFS entschieden. Bei den meisten Distributionen ist dieses kommandozeilenbasierende Programm in ihrem Lieferumfang enthalten. EncFS geht dabei den Weg, dass ein Verzeichniszweig mit verschlüsselten Daten nach dem Entschlüsseln einfach in ein leeres Verzeichnis eingehängt wird (gemountet). Alle Daten und auch die Namen der Verzeichnisse und Dateien sind verschlüsselt.

Für die Verwendung in einer Cloud bedeutet das, dass die verschlüsselten Verzeichnisse einfach in den Sync-Ordner gelegt werden, während der entschlüsselte Teil im normalen Home-Verzeichnis liegt. Zum Beispiel könnte ~/Dropbox/.Privates_encfs entschlüsselt als ~/Privates eingebunden werden. Der Punkt am Anfang des Verzeichnisnamens sorgt dafür, dass man das verschlüsselte Verzeichnis in seinem Dropbox-Ordner nicht sieht. Mehr lesen

BackTrack 5 Screenshot

BackTrack 5 für Android Smartphones

Ganz neu ist die Meldung für einige sicherlich nicht, Ubuntu basierte Distributionen wurden schon mehrfach für ARM Geräte und somit auch Android portiert, BackTrack 5 ist daher keine Ausnahme.

BackTrack 5 Screenshot

Heute hat allerdings msullivan, seines Zeichens Forenmitglied der XDA-Developers Foren, ein fertiges Paket zusammengestellt, welches sich mittels Shellscript leicht auf beinahe allen Android Smartphones installieren lässt. Lediglich die Installation der BusyBox wird vorausgesetzt, damit die benötigten Shellbefehle ausgeführt werden können.

BackTrack 5 ist die wohl bekannteste und umfangreichste Penetration Testing Distribution, mit einer Umfangreichen Sammlung an Programmen und Scripten, die von Netzwerkspezialisten gerne zur Sicherheitsüberprüfung der eigenen Netz verwendet wird. Mit BackTrack 5 für Android kann man viele dieser Aufgaben direkt vom Smartphone aus erledigen.

Dank msullivan ist die Installation von BackTrack 5 sehr einfach geworden, Root auf dem Android Gerät vorausgesetzt:

  1. Paket herunterladen und entpacken: Aktueller Link im XDA-Developers Thread verfügbar
  2. Den Ordner bt5 ins Rootverzeichnis der SD-Karte des Android Gerätes verschieben
  3. Android Gerät vom USB trennen, bzw. die SD-Karte wieder bereitstellen
  4. Einen Terminal Emulator starten
  5. su im Terminal Emulator eingeben und dann mit cd /sdcard/bt5 ins Verzeichnis wechseln
  6. BackTrack 5 mittels sh bt starten

Das wars auch schon, falls alles reibungslos geklappt hat, sollte man mittels SSH oder VNC Verbindung zum Android Gerät aufnehmen können. Das Rootpasswort, sowie das Passwort für den VNC-Zugang sind standardmässig auf ‚root‘ gesetzt.

Möchte man direkt am Android Gerät einen GUI-Zugriff auf BackTrack erhalten, sollte man sich einen VNC Viewer aus dem Android Market installieren und anschliessend eine Verbindung zu 127.0.0.1 (localhost) auf Port 5901 herstellen, Passwort, wie schon erwähnt, ist ‚root‘.

Quelle: XDA-Developers

Android Geräte mit Google Apps verwalten und Sicherheitsrichtlinien durchsetzen

Android Geräte mit Google Apps verwalten und Sicherheitsrichtlinien durchsetzen

Im vom Google Mobile Blog veröffentlichten Beitrag „Bring Your Phone to Work Day: Managing Android Devices With Google Apps„, stellt Google die Möglichkeit vor, Smartphones mittels Google Apps aus der Ferne zu verwalten.

Mit der in kürze im Android Market verfügbaren „Google Apps Device Policy“ App wird es möglich sein Android Smartphones mit verschiedenen Sicherheitsrichtlinien zu versehen. So können etwa die Passwortstärke, die Passwortzusammensetzung (mindestens Buchstaben und Zahlen), die Zwangsnutzung eines Passwortes für das Gerät, sowie eine Löschung aller Daten aus der Ferne (z.B. bei Verlust des Gerätes), konfiguriert werden.

Many Android devices feature tight integration with Google Apps, including native applications for Gmail, Google Talk, and Google Calendar, as well as mobile access to Google Docs. Now any employee with an Android device running version 2.2 – personal or company-issued – can access their corporate information while allowing administrators to enforce data security policies such as:

  • Remotely wipe all data from lost or stolen mobile devices
  • Lock idle devices after a period of inactivity
  • Require a device password on each phone
  • Set minimum lengths for more secure passwords
  • Require passwords to include letters and numbers

When the employee leaves the company, the administrator can withdraw access to corporate info, which allows the employee to continue to use their device if it’s their own

Mittels dieser Fähigkeiten können Unternehmen ihre Sicherheitsrichtlinien besser umsetzen und auf mobile Geräte ausweiten, gerade für Bestandskunden von Google Apps eine interessante Funktion. Die App und die Funktion in Google Apps sollen innerhalb der nächsten Tage für alle Kunden von Google Apps Premier und Google Apps Education Edition kostenfrei zur Verfügung stehen.

Voraussetzung für die Nutzung ist ein Androidgerät mit Android in Version 2.2.

Zwei-Faktor Authentifizierung für Google Apps

Zwei-Faktor Authentifizierung für Google Apps

Zwei-Faktor Authentifizierung für Google Apps
Zwei-Faktor Authentifizierung für Google Apps

Google spendiert seinen Google Apps Varianten Education, Goverment und Premier Edition eine Zwei-Faktor Authentifizierung und erhöht damit die Sicherheit der Accounts um ein Vielfaches.

Zwei-Faktor Authentifizierung beruht auf einer Kombination von zwei Authentifizierungsarten, dem Wissen (man kennt sein Passwort oder eine PIN) und dem Besitz (man besitzt eine Karte, ein Token, ein Handy usw.).

Google Apps Administratoren, der oben genannten Versionen, können ab sofort ihre Benutzer für die Zwei-Faktor Authentifizierung freischalten. Nach Eingabe des Passworts sendet Google per SMS eine PIN zu, die ebenfalls eingegeben werden muss. Alternativ kann anstelle der SMS Variante eine Software für Android, iOS oder BlackBerry genutzt werden, die direkt auf dem jeweiligen Endgerät installiert wird.

Diese Authentifizierungsart bietet sich zur Erhöhung der Sicherheit dringend an, schaltet man die Gefahr von Keyloggern und ähnlichen Mechanismen aus, denn ein Passwortdiebstahl reicht nicht aus. Auf der anderen Seite reicht es ebenfalls nicht aus das entsprechende Endgerät zu entwenden, wenn man nicht parallel in Besitzt des passenden Passwortes gelangt ist. Die zugesendeten PINs sind Einmal-Passwörter.

Google plant das Authentifizierungsschema in den nächsten Monaten für alle Google Konten freizugeben.

Quelle: Official Google Enterprise Blog

Facebook Privatsphären-Einstellungen optimieren

Facebook Privatsphären EinstellungenSoziale Netzwerke sind beliebt wie nie zuvor, vor allem Facebook baut seine Nutzerbasis in Deutschland immer weiter aus und wird wohl bald vor der VZ-Gruppe liegen.

Mit dem Schutz der Privatsphäre nehmen es Soziale Netze jedoch nicht so genau, denn das primäre Ziel ist es, so viele Informationen, wie möglich, für alle Nutzer zugänglich zu machen, dies ist sicherlich nicht immer im besten Interesse des Nutzers.

Social Media Security, eine US Webseite hat sich der Sicherheit in Sozialen Netzen auf die  Fahne geschrieben und bereits einen Guide zur Anpassung der Einstellungen von Facebook online gestellt (beruht auf den neuen Einstellungen von Facebook, Stand Dezember 2009). Begleitend zum Guide gibt es ein Video, in welchem alle Einstellungen des Guides bildlich dargestellt und deren Sinn/Hintergründe beleuchtet werden.

Parallel dazu bietet Social Media Security einen Podcast zu Sicherheitsthemen im Social Media Bereich. Absolut empfehlenswert für alle die der englischen Sprache mächtig sind und ein Muss für alle Nutzer von Sozialen Netzwerken, die ein Sicherheitsbewusstsein haben.