Falks Blog

Passwörter knacken für deren zugrundeliegenden Hash-Algorithmus es noch keinen GPU-Cracker gibt, ein kurzweiliger Spaß bei dem man eine Menge Zeit und eine Menge Strom verbrauchen kann. In unserem Labor steht ein kleines 16 Kern Monster, dass nicht nur virtuelle Server befeuern soll, sondern auch Passwörter knacken. Das geht mit Debian und Ubuntu ganz einfach.

1. Notwendige Pakete installieren

apt-get install libmpich2-dev mpich2

Die verfügbaren (öffentlichen) Patches für John the Ripper verwenden das Message Passing Interface um untereinander zu kommunizieren. Mit MPICH2 das als Paket vorhanden ist, ist man gut ausgerüstet, um auch später weitere Hosts hinzu zu fügen.

2. MPICH2 mit Minimal-Konfiguration einrichten

touch ~/.mpd.conf && echo "MPD_SECRETWORD=secret" > ~/.mpd.conf && chmod 600 ~/.mpd.conf

3. MPICH2 Cluster starten

mpdboot

4. John the Ripper mit MPI-Unterstützung herunterladen und kompilieren

wget http://www.bindshell.net/tools/johntheripper/john-1.7.2-bp17-mpi8.tar.gz
tar xzf john-1.7.2-bp17-mpi8.tar.gz && cd john-1.7.2-bp17-mpi8/ && make linux-x86-64
cd ../run/

Jetzt kann eine vorbereitete Benutzerliste in das run Verzeichnis kopiert werden. Zum Beispiel eine MD5-Liste ohne Salt im Format Username:Passwort.

5. Bruteforce Spaß!

mpiexec -np 16 ./john  --format=raw-MD5 benutzerliste_md5.txt | tee benutzerliste_md5_john-log.txt

Hier muss allerdings die Anzahl 16 durch die Anzahl der verfügbaren Kerne aus /proc/cpuinfo (+1 da dort von 0 an gezählt wird) ersetzt werden.

Um ausgehende Verbindungen bei Ausfall der primären Defaultroute über eine zweite Defaultroute lenken zu können (wie im folgenden abgebildet), braucht es nicht viel mehr als zwei Kommandozeilen Befehle.

1. Das externe Netzwerkinterface in der Datei /etc/network/interfaces um einen Eintrag ergänzen:

# Failover
post-up route add default gw failover metric 1

Entscheidend hier ist die Metrik der Route. Die erste Defaultroute hat eine Metrik von 0, wird also vor der zweiten Route mit Metrik 1 bevorzugt. Fällt die erste Route aus, wird die Garbage Collection des Kernels aktiv und wählt die zweite Defaultroute.

Der zweite Befehl beeinflusst die Routingtabellen Garbage Collection des Kernels, damit der Ausfall schneller erkannt wird. Dafür wird eingestellt, den Routen Cache alle zehn Sekunden zu erneuern.

2. Öfter Routen Cache aktualisieren

# Routen Cache alle 10 Sekunden neu aufbauen
sysctl -w net.ipv4.route.gc_timeout=10
# echo "net.ipv4.route.gc_timeout=10" >> /etc/sysctl.conf um die Änderung permanent einzurichten.

Die Lösung ist nicht optimal, weil nicht festgestellt wird, ob der Router oder die Anbindung des Routers ausgefallen ist. Dafür würde sich ein Skript eignen, dass den Ausfall auch schneller erkennen könnte. Erfahrungswerte mit dieser Lösung liegen bei ungefähr 3-5 Minuten für das Failover, was im SoHo-Bereich ausreichend ist.

So einfach lässt sich ein USB-Stick für eine Debian Installation vorbereiten, dass man es kaum glauben möchte. So gehts:

1. Bootimage holen und auf USB-Stick schreiben

wget ftp://ftp.de.debian.org/debian/dists/squeeze/main/installer-amd64/current/images/hd-media/boot.img.gz
zcat boot.img.gz > /dev/sdX

2. USB-Stick einbinden

mkdir /mnt/sdX
mount /dev/sdX /mnt/sdX
cd /mnt/sdX

3. Netinstall Image direkt in USB-Stick herunterladen

wget ftp://ftp.de.debian.org/debian-cd/6.0.4/amd64/iso-cd/debian-6.0.4-amd64-netinst.iso

4. Stick auswerfen und installieren!

umount /dev/sdb

Man sollte hier locker mit einem 256MB Stick hinkommen.

Und wieder ist ein halbes Jahr um und ich bin nicht dazu gekommen, privat zu forschen oder zu entwickeln.

Zu etwas habe ich dann aber doch im letzten Urlaub die Zeit gefunden: Einen Artikel fuer das Linux Magazin zu beginnen. Leider hat mein Studium dabei die Fertigstellung bis in den Januar hinausgezoegert.

Wir geben schon zuviele private Daten jeden Tag im Internet preis. Wie man als Arbeitgeber die Mitarbeiter und die eigene Firma dagegen schützen kann, oder eine andere grosse Gruppe an Personen, indem man eine Proxykaskade mit Squid und Privoxy einrichtet, steht in meinem Artikel Blind Date.

Ausserdem habe ich die Chance bekommen den meiner Ansicht nach kompetentesten VPN-Anbieter auf dem deutschen Markt im Online-Auftritt des Linux Magazins vorzustellen. Wer meinen Blog verfolgt, weiss schon, welchen ich meine: Perfect Privacy.

Seit meinem kompletten Umstieg auf Linux arbeite ich noch intensiver mit der Shell, als zuvor. Doch das Jonglieren mit Passwörtern war noch nie mein Fall. Dafür gibt es natürlich eine Lösung, die direkt vom OpenSSH-Paket mitgeliefert wird: Authentifikation mit Public Keys. Möchte man also schnell auf einen Server, legt man sich eine Identität bestehend aus einem öffentlichen Schlüssel und einem geheimen privaten ohne Passwort an. Nach der Installation des Schlüssels auf dem Server gibt es nie wieder eine Passwortfrage und minutenlange Suche nach der richtigen Antwort. Doch diese Lösung ist nicht sicher genug…

Weiterlesen

Heute und morgen am 6.11. ist es wieder soweit: BackTrack Day 0x7DB (2011 in Hexadezimal). Backtrack Linux ist eine Linux-Distribution zum durchführen von Penetrationstests und der Backtrack Day die dazugehörige zweitägige Fachkonferenz. Das Konferenzprogramm ist auf Penetrationstester und Sicherheitsexperten ausgerichtet, passt also gut zu dem, was ich gerade im Rahmen des Netzwerksicherheitslabors an der TU-Dortmund anstelle. Ich versuche euch einen kleinen Einblick in das zu geben, was wir auf dem Backtrack Day erlebt haben. Alles ist nur meine subjektive Meinung.

Weiterlesen

Die Interessengemeinschaft Perfect Privacy bietet ein umfangreiches Portfolio an Anonymisierungs-Dienstleistungen an, die über einen Pauschalpreis abgerechnet werden. Dazu gehören VPN-Tunnel über OpenVPN, PPTP, IPSec, Proxyserver mittels Squid oder SSH oder Socks. Für jemanden, der im Bereich IT-Sicherheit arbeitet ein wunschlos glücklich machendes Paket.

Aus Gründen der Zurechenbarkeit teilt man sich dort allerdings eine öffentliche IP-Adresse, was dazu führt, dass keine Ports durch die Adressumsetzung an die RFC1918 VPN interne IP-Adresse weitergeleitet werden. Fast, denn fünf Ports werden auf einigen Servern durchgereicht. Möchte man diese nutzen, heisst es rechnen. Gute eineinhalb DIN A4 Seiten Text beschreiben, wie man sich die Ports mittels dem Remote Port Forward genannten System ausknobeln kann.

Mein erster Gedanke: Das geht auch automatisch!

Weiterlesen

Informationstechnologien begleiten uns jeden Tag privat, auf der Arbeit und oft auch, wenn wir es am wenigsten vermuten. Aber warum macht die IT so oft Probleme? Warum fällt mein Internetzugang so oft aus? Warum kann ich am Arbeitsplatz nicht drucken? Wieso hat jetzt schon wieder ein Virus das Unternehmensnetzwerk übernommen? Und viel wichtiger: Warum passieren diese Ausfälle und Probleme überhaupt und was kann man tun?

Weiterlesen