Wer unter Linux seine gekaufte DVD anschauen möchte und sich denkt: “Einfach DVD einlegen und anschauen”, der wird schnell feststellen, dass es so nicht funktioniert. Die meisten Multimedia-Dateien können unter Linux ohne Probleme abgespielt werden. Dazu gehören die gekauften DVD’s leider nicht, da sie oft verschlüsselt sind.
Damit eine verschlüsselte DVD gelesen werden kann, braucht es das Paket libdvdcss2. Aufgrund rechtlicher Unsicherheiten ist es in vielen Linux-Distributionen (Ubuntu, Debian usw.) nicht enthalten.
Das Paket kann folgendermassen installiert werden:
sudo apt-get install libdvdread4
Wurde die Installation erfolgreich abgeschlossen muss noch das Installations-Skript ausgeführt werden:
sudo sh /usr/share/doc/libdvdread4/install-css.sh
Konnte auch dieses Skript erfolgreich ausgeführt werden, sollte das Abspielen von DVD’s funktionieren.
Achtung: Mozilla und Google haben der Zertifizierungsstelle das Vertrauen entzogen, somit werden die meisten StartSSL-Zertifikate nicht mehr als vertrauenswürdig anerkannt. Als eine gute und freie Alternative kann Let’s Encrypt eingesetzt werden.
Zum Installieren eines kostenloses StartSSL-Zertifikates auf einem NGINX Webserver, braucht es folgende Schritte:
Den neu erstellten privaten Schlüssel mit “Copy & Paste” in eine Datei, mit den Namen ssl.key, speichern
Die Datei ssl.key mit einem geeigneten Tool, beispielsweise WinSCP für Windows Benutzer, auf den Webserver kopieren
Mit Hilfe von OpenSSL muss der private Schlüssel, auf dem Server, entschlüsselt gespeichert werden: openssl rsa -in ssl.key -out server.key (Hinweis zur Passworteingabe bei verwendung von Putty: Möchte man nicht die >= 32 Stellige “PEM pass phrase” von Hand abtippen, kann diese mit “shift+Ins” eingefügt werden.)
Wenn das Webseiten-Zertifikat durch StartSSL erstellt wurde, erhält man eine Benachrichtigung und kann das Zertifikat unter: Control Panel-> Tool Box-> Retrieve Certificate beziehen. Dazu wieder mit “Copy & Paste” in eine Datei namens ssl.cert speichern und zum Webserver kopieren
Nach diesem Schritt muss noch ein Gesamtpaket mit den Hilfszertifikaten von StartSSL und dem Webseiten-Zertifikat erstellt werden, da beim NGINX Webserver diese Zertifikate nicht einzeln in der Konfiguration angegeben werden. Die Hilfszertifikate können bei StartSSL heruntergeladen werden. Um das Gesamtpaket zu erstellen, braucht es für die kostenlosen Zertifikate die Dateien ca.pem und sub.class1.server.ca.pem. Mit dem Befehl: cat ssl.cert ca.pem sub.class1.server.ca.pem > server.pem werden alle Dateien in die Datei server.pem zusammengefasst.
Nun die Dateien “server.pem” und “server.key” in das gewünschte Verzeichnis kopieren. Hier in diesem Beispiel nach “/etc/nginx/cert/”.
Jetzt muss noch die NGINX Konfiguration angepasst werden:
Zum Abschluss wird noch ein Neustart von NGINX durchgeführt.(/etc/init.d/nginx restart) Wenn beim Neustart keine Fehlermeldung in der Konsole erscheint, ist das Zertifikat erfolgreich installiert worden.
Hinweis: Sollte NGINX nicht mehr starten und eine ähnliche Fehlermeldung wie:
[emerg]: SSL_CTX_use_certificate_chain_file("/etc/nginx/cert/server.crt") failed (SSL: error:02001002:system library:fopen:No such file or directory error:20074002:BIO routines:FILE_CTRL:system lib error:140DC002:SSL routines:SSL_CTX_use_certificate_chain_file:system lib)
configuration file /etc/nginx/nginx.conf test failed
in der Konsole angezeigt werden, dann deutet dies auf einen fehlenden Zeilenumbruch in der Datei server.pem hin.Fehlender Zeilenumbruch in der .PEM DateiEinfach den Zeilenumbruch korrigieren und die Datei speichern. Nach der Korrektur sollte NGINX wieder erfolgreich starten.Zeilenumbruch korrigiert
Um eine Liste mit allen IP’s und Aliasse einer Domain zu erhalten, kann mit Hilfe des Tools nslookup ein Zonen-Transfer simuliert werden. Dies setzt voraus, dass der zuständige DNS-Server die Option “Zone-Transfere” eingeschaltet hat.
In den interaktiven Modus wechseln und den zuständige DNS-Server bestimmen:
>nslookup
>set type=ns
>2022.ch
>
Nicht autorisierende Antwort:
2022.ch nameserver = ns15.zoneedit.com
2022.ch nameserver = ns13.zoneedit.com
ns13.zoneedit.com internet address = 66.223.97.114
ns15.zoneedit.com internet address = 216.227.210.9
Auf den obigen Zeilen 6 und 7 sind die zuständigen DNS-Server abgebildet. Nun wird einer dieser DNS-Server unter nslookup definiert, als Server für die Anfragen, danach wird die Simulation des Zonen-Transfers gestartet:
>server ns15.zoneedit.com
>ls -d 2022.ch
>
[ns15.zoneedit.com]
2022.ch. SOA ns13.zoneedit.com soacontact.zoneedit.com
. (2011330253 300 300 300 300)
2022.ch. NS ns15.zoneedit.com
2022.ch. NS ns13.zoneedit.com
2022.ch. A 80.238.129.157
demo A 194.88.197.97
www A 80.238.129.157
2022.ch. SOA ns13.zoneedit.com soacontact.zoneedit.com
. (2011330253 300 300 300 300)
Will man das Resultat direkt in eine Textdatei speichern, kann der Befehl auch folgendermassen eingegeben werden:
>ls -d 2022.ch > DateiZumSpeichern.txt
Der Output kann jetzt in der Datei “DateiZumSpeichern.txt” angeschaut werden.
Der ursprüngliche Unix-Befehl dd dient zum Kopieren von Datenströmen auf niedrigster Stufe. Mit der Hilfe von dd können Datenträger Images von CDs, Harddisks, USB-Sticks usw. erstellt werden. In den meisten Linux-Distributionen ist dd bereits vorhanden. Für Windows (32bit) gibt es auch ein Binary, das unter chrysocome.net heruntergeladen werden kann. Anders als die Unix-Version, bei der auch Datenströme konvertiert werden können, unterstützt die Windows-Version nur das Kopieren von Datenströmen.
Um eine Auflistung der vorhandenen Datenträger zu erhalten, wird folgender Befehl verwendet:
dd --list
Als Output erhalten wir eine Auflistung der vorhanden Datenträger:
Mit Hilfe des Tools “arp” kann unter Windows und Linux die Übersetzungstabelle für IP-Adressen zur MAC-Adresse (physikalische Adresse) angezeigt und verändert werden. Diese Übersetzungstabelle wird von ARP (Address Resolution Protocol) verwendet. Das Tool wird im Normalfall nur für Test- und Debugzwecke verwendet.
>arp -a
Zeigt die aktuellen ARP-Einträge in der Übersetzungstabelle an.
Braucht man Informationen zu einer Domain kann unter Windows und Linux nslookup verwendet werden. Das Tool nslookup bietet die Möglichkeit einen interaktiven Modus oder den nicht interaktiven Modus zu verwenden. Diese Modi unterscheiden sich beim Eingeben der Werte. Im interaktiven Modus wird in einer eigenen Konsole gearbeitet und jeder Befehl einzeln angegeben. Beim nicht interaktiven Modus hingegen, wird alles in einem Befehl definiert.
Durch die Eingabe von nslookup, in der Konsole, wird in den interaktiven Modus gewechselt. Nach dem wechseln des Modus, kann durch die Eingabe des Hostnamens die Abfrage gestartet werden.
>nslookup
>set type=mx
>monsterli.ch
Server: 192.168.0.1
Address: 192.168.0.1#53
Nicht autorisierende Antwort:
monsterli.ch MX preference = 0, mail exchanger = mail.monsterli.ch
monsterli.ch MX preference = 5, mail exchanger = monsterli.ch
monsterli.ch MX preference = 10, mail exchanger = mail2.monsterli.ch
Im nicht interaktiven Modus:
>nslookup -type=mx monsterli.ch
Server: 192.168.0.1
Address: 192.168.0.1#53
Nicht autorisierende Antwort:
monsterli.ch MX preference = 0, mail exchanger = mail.monsterli.ch
monsterli.ch MX preference = 5, mail exchanger = monsterli.ch
monsterli.ch MX preference = 10, mail exchanger = mail2.monsterli.ch
Einen alternativen DNS-Server für die Abfragen verwenden
Soll bei der DNS-Abfrage nicht der standart DNS-Server verwendet werden, kann dieser angegeben werden. Hier im Beispiel wird ein öffentlicher DNS-Server von Google verwendet.
Nmap ist ein sehr mächtiges Tool zum Herausfinden ob Ports offen sind und auf eingehende Verbindungen warten. Dazu bietet nmap verschiedene Möglichkeiten einen Scan durchzuführen:
Stealth SYN-Scan
Der SYN-Scan stellt keine vollständige Verbindung zum Zielrechner her, wie es beim “Three-Way-Handshake” üblich wäre. Dabei sendet nmap ein SYN-Paket und untersucht die Antwort des Zielrechners. Wird als Antwort ein SYN/ACK-Paket empfangen, werden Verbindungen auf diesem Port akzeptiert. Anstelle eines ACK-Paket zurückzusenden, wird die Verbindung durch nmap sofort unterbrochen, indem ein RST-Paket zum Zielrechner gesendet wird. Dies verhindert, dass der Dienst zu einem DoS Opfer wird.
sudo nmap -sS 192.168.0.1
UDP-Scan
Beim UDP-Scan sendet nmap an jeden zu prüfenden Port ein UDP-Paket, dabei ist der Paketinhalt meistens leer. Ist es jedoch ein “bekannter” Port wie 53 oder 161 wird der Inhalt des Paketes dem Protokoll angepasst.
sudo nmap -sU 192.168.0.1
Scan mit “Lockadressen” (Scan with decoys)
Das Scanning mit “Lockadressen” versucht die eigene IP-Adresse, hinter mehreren aktiven IP-Adressen, zu verstecken. Dabei sendet nmap einige Pakete mit der eigenen IP-Adresse und sendet danach gefälschte Pakete mit den Lockadressen. Ein IDS kann so zwar erkennen, dass von einigen IP-Adressen einen Port-Scan durchgeführt wird, aber welche Adresse den effektiven Scan verursacht, ist nicht einfach zu bestimmen. Wichtig dabei ist, dass “decoys” gewählt werden welche aktiv sind, damit der Zielrechner nicht Opfer eines SYN-Flooding wird.
Im Beispiel wird der Zielrechner 192.168.0.1 gescannt. Die Lockadressen sind: 192.168.0.200 und 192.168.0.300
FIN-, X-mas- und Null-Scans
Bei diesen 3 Scans wird ein unsinniges Paket an jeden Port des Zielrechner geschickt. Wenn der Port aktiv ist, werden diese Pakete einfach ignoriert. Ist der Port jedoch geschlossen und das System reagiert wie im RFC 793 definiert, dann wird es ein RST-Paket zurückschicken. Diese Techniken funktionieren nicht auf allen Systemen, da sich nicht alle Implementierungen nach dem RFC 793 richten. Unter anderem sind das Microsoft Windows, einige Cisco-Devices, BSDI und IBM OS/400.
Null-Scan
sudo nmap -sN 192.168.0.1
Dabei ist kein einziges Flag gesetzt
FIN-Scan
sudo nmap -sF 192.168.0.1
TCP FIN-Flag ist gesetzt
X-mas-Scan
sudo nmap -sX 192.168.0.1
Da dieses Paket die Flags FIN, PSH und URG gesetzt hat, heisst die Technik xmas-scan. (Es leuchtet wie ein Weihnachtsbaum)
SYN-Scan bei einem Zielrechner mit Windows Ein Null-Scan beim selben Zielsystem, führt wegen der Implementierung zu keinem Resultat
Netcat kann als einfacher “Port Scanner” verwendet werden. Dabei liefert das Tool nicht die vielen Optionen wie nmap, aber es genügt um herauszufinden welche Ports bei einem System offen sind.
nc -v 127.0.0.1 -z 80-1024
Parameter:
-v zeige detailierte Ausgabe
-z zero-I/O mode [Scanner-Modus]
80-1024 Ports zum Scannen. Eingabe eines ganzen Bereiches oder nur eines einzelnen Ports
Prüfen ob der Port 80 bei www.monsterli.ch offen ist:
nc -v www.monsterli.ch -z 80
Connection to www.monsterli.ch 80 port [tcp/www] succeeded!
Braucht man kurzerhand einen Webserver, der eine einzelne statische Datei ausliefert, kann dies mit Hilfe von Netcat gemacht werden.
Anwendungsszenarien:
Testing
Beim Unterbruch eines Webservers, damit möglichst schnell eine Fehlerseite angezeigt wird
[cc lang=”bash”]
while true; do sudo nc -l 80 -q 1 < error.html; done
[/cc]
Parameter:
-l Port um auf Anfragen zu warten
-q Sekunden die nc nach einem stdin warten soll bis es terminiert
error.html Eine einfache statische HTML-Seite, welche ausgeliefert wird
