blog@netplanet

“Wake on LAN” ist eine wunderbare Technik, um damit einen Rechner ferngesteuert hochzufahren. Beispielsweise sitze ich im Büro, habe eine netzwerktechnische Merkwürdigkeit in unserem Netz, die ich gern einmal “von außen” analysieren möchte. Also ein VPN aufgebaut zu meiner Fritzbox (7270) nach Hause, in die Fritzbox-Konfiguration hinein, in der LAN-Übersicht meinen PC ausgesucht und auf den Button “Computer einschalten” gedrückt. Die Fritzbox sendet dann an meinen ausgeschalteten PC eine Reihe von Wake-on-LAN-Datagramme, die die Netzwerkkarte des PC, die permanent für einige wenige Watt “mithört”, empfängt. Das BIOS meines PC registriert dann den Aufweckwunsch und fährt den PC normal hoch. Über das VPN kann ich mir dann bequem per Remote Desktop den Desktop ins Büro holen.

Das funktioniert zuverlässig auch dann, wenn der PC im Ruhezustand (Hibernation) ist, nicht aber, wenn er im Energiesparmodus schlummert. Und das hat auch einen einfachen Grund: Im Energiesparmodus ist der PC nicht wirklich ausgeschaltet und damit ist auch das BIOS nicht mehr im Spiel. “Wake on LAN” funktioniert also nicht, weil nicht das BIOS auf der Netzwerkschnittstelle hört, sondern das Betriebssystem. Schickt man also einen Rechner ferngesteuert nach dem Einsatz nicht in den finalen Schlaf oder in den Ruhezustand, sondern in den Energiesparmodus, dann bringt man ihn unter Umständen in eine Sackgasse, aus dem er nur direkt an der Konsole wieder erweckt werden kann.

Um den PC auch im Energiesparmodus ferngesteuert wieder hochfahren zu können, ist also eine Einstellung im Betriebssystem gefragt. Und die bringt, wie alle anderen Betriebssysteme auch, die Energieeinstellungen der Netzwerkkarte mit – wenn die Netzwerkkarte das unterstützt, was aber alle moderneren Karten und direkt auf Mainboards verbauten Module tun. Unter Windows also ab in den Gerätemanager (Rechte Maustaste auf “Computer”, dort auf “Eigenschaften”, dann links auf “Geräte-Manager”).

Im Geräte-Manager gibt es dann unter “Netzwerkadapter” alle im System verfügbaren Netzwerkkarten, bei den meisten Rechnern wird das eine einzige sein. Ein Doppelklick darauf und schon erscheinen die Eigenschaften ebendieser. Auf der Registerkarte “Energieverwaltung” gibt es dann die gewünschten Optionen:

Die erste Option ist für uns uninteressant und kann angehakt bleiben, denn wenn jemand ferngesteuert auf dem PC ist, ist tatsächlich auch die Netzwerkkarte in Betrieb und der PC wird diese nicht ausschalten. Die zweite Option ist standardmäßig nicht aktiviert, die wollen wir aber nun aktivieren, denn das ist genau die gesuchte Funktion. Mit dieser Einstellung wird PC dann tatsächlich aus dem Energiesparmodus wieder starten, wenn auf der Netzwerkschnittstelle Pakete empfangen werden.

Damit das nicht bei jedem empfangenen Paket passiert, sollte unbedingt auch noch die dritte Funktion aktiviert werden, damit nur “Verwaltungsstationen” den PC starten können. Die Fritzbox beherrscht das.

Alles im OK bestätigen und fertig.

• 

Auf die Idee muss man erst einmal kommen: AVM hat in seinem Firmware-Laborbereich eine Beta-Firmware für die Fritzbox 7270 bereitgestellt, mit der man folgendes Kunststück machen kann: Sie funktioniert einen an die Fritzbox angeschlossenen AVM USB Surfstick – das ist ein WLAN-Client mit USB-Anschluss – so um, dass dieser an ein x-beliebiges Gerät mit USB-Anschluss gesteckt werden kann. So weit, so gut.

Was der Surfstick dann aber dort macht? Er gaukelt dem Gerät vor, dass er ein USB-Speicherstick sei und leitet die Zugriffe dann über die Fritzbox an einen konfigurierbaren Ort auf einem Rechner weiter, dort dann beispielsweise in ein Verzeichnis mit Bildern. Die Idee dahinter ist, auf diese Weise Gerätschaften netzwerkfähig zu machen, die gar keinen Netzwerkanschluss mitbringen.

Beispielhafter Anwendungszweck: Man hat einen digitalen Bilderrahmen, der einen USB-Anschluss besitzt. An den wird der Surfstick angeschlossen, der so konfiguriert ist, dass er die Dateizugriffe des Bilderrahmens an die Fritzbox weiterleitet und die dann wiederum an einen Rechner, auf dem ein Verzeichnis entsprechend freigegeben ist und die anzuzeigenden Bilder enthält.

Aus dem White Paper wird leider nicht klar, ob alle AVM Surfsticks funktionieren. Denn wenn das so wäre, wäre man (wenn man schon eine Fritzbox 7270 besitzt) mit rund 40 Euro für den günstigsten Surfstick dabei.

• 

AVM hat zugehört, verstanden, gehandelt und das etwas leidige Problem mit dem Export des Telefonbuches aus der Fritzbox deutlich vereinfach und meines erachtens final gelöst – es gibt nämlich in den aktuellen Labor-Firmwares zur zukünftigen Version 54.04.74 (Fritzbox 7270) eine Funktion direkt unterhalb des Fritzbox-Telefonbuches in Form von mehreren Buttons, mit denen ein Telefonbuch gesichert und wiederhergestellt werden kann.

Desweiteren gibt es in den Labor-Firmwares auch die Möglichkeit zur Anlage von mehreren Telefonbüchern, die dann auch auf den Mobilteilen gesondert ausgewählt werden können.

Wie immer gilt bei Hinweisen auf Beta-Versionen von Soft- und Firmware: Nicht auf Produktivsystemen einsetzen, wenn man nicht das Basteln gewohnt ist und nicht riskieren möchte, evt. auch wieder eine frühere Firmware-Version einzuspielen. Und vor dem Einspielen einer Labor-Firmware auf jeden Fall erst einmal die Fritzbox auf die aktuelle, freigegebene Firmware-Version aktualisieren, die Konfiguration abspeichern und dann erst die Labor-Firmware einspielen. Wenn nämlich alles schiefgeht, kann man wieder die letzte, freigegebene Firmware-Version einspielen und hat dann auch gleich die Konfiguration parat. Ja, ich sage das hier aus eigener Erfahrung.

Wer sicher gehen möchte, wartet auf die finale Version 54.04.74, die dürfte in den nächsten Tagen veröffentlicht werden.

• 

Fefes Blog ist an sich eine Institution. Hoch verschwörerisch (sagt er selbst), regelmäßig unterhaltsam, allerdings manchmal auch nicht ganz korrekt und einseitig. So auch heute mit folgendem Posting:

“Die ganzen extremistischen Terroristen-Nazi-Bombenleger betreiben ja im Moment aus Protest gegen die Internetzensur öffentliche Nameserver, mit denen man DNS-Zensur umgehen kann. Wisst ihr, wer noch?

$ host -t ns bundestag.de
bundestag.de name server s615.babiel.com
[...]
$ host s615.babiel.com
s615.babiel.com has address 217.79.215.156
$ host blog.fefe.de 217.79.215.156
blog.fefe.de has address 80.244.246.150

Der Bundestag! (Danke, Lutz)“

Was will uns Fefe sagen? Nämlich das, dass der Deutsche Bundestag DNS-Nameserver verwendet und diese offenbar auch für externe Benutzer Adressen auflösen kann. Was er allerdings nicht schreibt, ist der Umstand, dass es sein könnte, aber nicht wirklich getestet werden kann. Fangen wir mal an mit den Tatsachen:

Was hat er da überhaupt oben analysiert? Also, der Befehl “host” ist etwas ähnliches wie “nslookup”, nämlich ein Werkzeug zum Auflösen von DNS-Namen. In der ersten Zeile wird abgefragt, welcher Nameserver für die Domain “bundestag.de” autoritativ zuständig ist. Die zweite Zeile beantwortet dies mit dem Nameserver “s615.babiel.com”. In der vierten Zeile fragt er mit “host s615.babiel.com” die IP-Adresse des Nameservers ab und bekommt dies in der fünften Zeile geliefert (“217.79.215.156″). In der sechsten Zeile fragt er mit “host blog.fefe.de 217.79.215.156″ den so ermittelten Nameserver, ob er blog.fefe.de kennt.

1. Nameserver, die Domains hosten, müssen nicht unbedingt auch die gleichen Nameserver sein, die für die Nutzung von DNS-Auflösungen bei Kundenzugängen genutzt werden. Bei Hosting-Providern ist dies sogar eher unüblich. Spielt aber bei unserer Betrachtung nur eine sekundäre Rolle.
2. Die wenigsten Nameserver sind für bestimmte Adresskreise beschränkt und können aus dem ganzen Internet heraus für DNS-Auflösungen genutzt werden. Das hat weitgehend historische und technische Gründe, denn das Domain Name System ist durch seinen streng hierarchischen Aufbau vergleichsweise starr und wenig reglementierbar, weshalb es auch relativ wenig Mißbrauchspotential für Nameserver gibt – zumal eben letztendlich auch jeder Nutzer einen eigenen DNS-Nameserver einrichten und nutzen könnte, wenn er wollte und der Trend zukünftig auch in diese Richtung gehen dürfte. Dass der obige Nameserver deshalb auch aus dem Internet heraus für andere Domainnamen zur DNS-Auflösung genutzt werden kann, ist eher nichts besonderes, sondern (derzeit) weitgehend Normalität im Internet.
3. Gehört das Blog von Fefe mit ziemlicher Sicherheit zu keiner Website, die derzeit in irgendeiner Datenbank mit zu sperrenden Websites etwas zu suchen hätte. “Derzeit” deshalb, weil man ja inzwischen kaum noch davor gefeit ist, dass man morgen in einem Dorf aufwacht, durch das der nächste Minister auf der Suche nach seinem Profil die nächste Sau treibt.

• 

Im (gedruckten) SPIEGEL 19/2009 findet sich auf Seite 126 folgender Artikel:

Internet
Fahrlässiger Umgang mit Passwörtern

Selbst große Konzerne schützen ihre Websites mit allzu simplen Passwörtern, die sich sogar von Amateuren in Minuten knacken lassen. Dem SPIEGEL liegt eine vertrauliche Liste mit Hunderten von Firmen-Passwörtern vor, die Sebastian Schreiber von der Sicherheitsfirma Syss mit ‘sehr wenig Aufwand’ aus einer Internet-Datenbank des Adressverzeichnisses namens Ripe gefischt hat. Unter den Firmen befinden sich ein Nahrungsmittelriese, eine Bank eine Wirtschaftsberatungsagentur, ein großer Webdienst-Anbieter. Sie alle hätten eine Menge zu verlieren durch einen Hackerangriff. ‘Es wäre ein Leichtes, den Webtraffic dieser firmen illegal abzuwürgen, umzuleiten oder E-Mails heimlich mitzulesen’, sagt Schreiber. Sichere Passwörter sollten aus über einem Dutzend Buchstaben, Zahlen und Sonderzeichen bestehen. Stattdessen wimmelt es in der Ripe-Datenbank von Passwörtern wie ‘adventure’, ‘TestTest’, ‘4664’. Eine große Versicherung vertraut auf ‘beruhigt’, ein Institut für Ernährungssicherheit auf ‘Karotte’, ein Flughafen auf ‘purgatory’ – englisch für Fegefeuer. Doch viele Ertappte reagierten nicht einmal, als sie auf die Nachlässigkeit hingewiesen wurden; und auch die Verwaltung der Ripe-Datenbank hat es trotz mehrerer Nachfragen monatelang versäumt, von den Nutzern bessere Passwörter einzufordern.

Was ist hier los? Sicherheitsloch? Zumindest teilweise, aber fangen wir von vorn an:

Das RIPE ist eine so genannte Regional Internet Registry, die für die Zuteilung und Verwaltung von IP-Netzparametern für die europäische Region zuständig ist. Dazu gehören IP-Adressen, aber auch Routing-Parametern. Traditionell ist es so, dass diese Informationen frei zugänglich sind, das Editieren der dort verzeichneten Einträge jedoch gesichert sind. Dazu gibt es zwei Möglichkeiten: Eine Sicherung mit einem Passwort und einem PGP-Key. Letzteres ist ein absolut sicheres Verfahren, während ersteres deutlich praktischer ist.

Damit der Spaß mit dem Herauslesen von Passwörtern nicht ganz so einfach ist, müssen zu hinterlegende Passwörter einmalverschlüsselt werden. Das bedeutet, dass der Originator des Eintrages sein Passwort nicht in Klartext hinterlegt, sondern zunächst mit einem Einwegverschlüsselungsverfahren bearbeitet – im Falle der RIPE-Datenbank wird das Verfahren MD5 eingesetzt – und dieses Ergebnis dann hinterlegt. Die Einwegverschlüsselung stellt sicher, dass die verschlüsselte Nachricht nicht mehr dechiffriert werden kann.

Der Ansatz ist nun, dass man das Passwort zwar nicht mehr dechiffrieren kann, es aber weiterhin durch einen anderen Ansatz zum Passwortknacken verwundbar ist, nämlich durch Wörterbuchattacken. Wörterbuchattacken basieren darauf, dass man eine ganze Liste von vordefinierten Wörtern schlicht einfach mal durchprobiert, in der Hoffnung, dass jemand ein einfaches Passwort verwendet, das just in dieser Wörterbuchliste vorkommt. Im Falle von einem einwegverschlüsselten Passwort muss lediglich sichergestellt werden, dass auch die Wörterbuchliste die Wörter entsprechend mit dem Einwegverschlüsselungsverfahren chiffriert sind.

Und das dürfte dann auch der Ansatz gewesen sein. Da die RIPE-Datenbank frei zugänglich ist, hat ein findiger Mensch einfach eine Wörterbuchliste genommen, die dort vorkommenden Wörter nach dem gleichen Verfahren einwegverschlüsselt, wie es das RIPE tut und dann einfach nach den Chiffraten in der RIPE-Datenbank gesucht. Äußerst einfach und leider offensichtlich auch hin und wieder wirksam.

Immerhin hat das RIPE reagiert und die Suche nach einwegverschlüsselten Passwörtern insofern erschwert, dass eine Suche nach Sonderzeichen nicht möglich ist, Sonderzeichen aber in den Chiffraten zwingend vorkommen. Sinnvollerweise kann man aber nach wie vor immer nur empfehlen, gänzlich auf die Passwortautorisierung zu verzichten und die PGP-Autorisierung einzusetzen oder zumindest ein hinreichend komplexes und langes Kennwort zu nutzen.

•