Und wenn sich derjenige das WireGate Multifunktionsgateway bei uns "leiht"?

Einfach kaufen und binnen der 14 Tagen wieder zurückgeben?

Hallo Stefan,

ist auch eine Lösung. Kann ich gerne einmal ansprechen. Es besteht aber eigentlich keine große Kaufabsicht. Eher nur ein Spieltrieb. Daher finde ich es eigentlich unfair dann zu bestellen und in jedem Fall zurück zu schicken. Wenn ihr das allerdings trotzdem macht... Das nen ich dann mal Kundenfreundlich.

Trotzdem wüßte ich gerne ob es generell den möglich ist.

Gruß,
David

Es gibt keinen "Factory-Reset".

Das hat zwei Gründe:
- es war noch nie wirklich notwendig
(wir machen Linux-Server seit ca. 13J und..)
- der Initialisierungsprozess, also das eigentlich Sicherheitstechnisch spannende, die sichere Erstellung der ganzen Keys usw. passiert im Rahmen dessen bzw. bei der Erstinbetriebnahme beim AW danach.
Da sind wir halt ein bisschen anders, es geht darum den Anwender davor zu schützen Fehler zu begehen, nicht um "geheim" oder so..

Wir haben da einen sehr hohen Anspruch, weil wir aus dem Sektor kommen, wenn ich nun ein Factory-Reset veröffentliche müsste ich manches öffnen (das wir auch sicher per Wartungs-VPN auf Kundenwunsch drauf können aber niemals nicht ein anderer etc.)

Das für ein ein Recovery/Reset umzubauen wäre sehr aufwändig, es ist einfacher und vor allem auch sicherer die Kiste im Zweifel hier im Haus einfach komplett frisch zu machen.

Um zum Punkt zurückzukehren: wenn ich mein WG mit physischem Zugriff verleihe kann man per se zeit seines Lebens nicht sicher sein, ob der nicht eine Kopie der CA-Keys etc hat. Deswegen das gefrette! Hü oder Hott, gescheit oder garnicht.
Und gescheit lässt sich ohne 80-seitige Schulungen halt nur durchziehen, indem die Kisten in einer sicheren Umgebung indivduelle Keys bekommen

Makki

P.S.: der Weg entgegen der Security wäre ein "dd if=/dev/sda of=mnt/MEINNFS-SAMBA-WHATEVER/wiregate.dump" - zum restore if= und of= vertauschen..

ich glaube es ging gar nicht um irgendwelche security related things. Sondern viel mehr um Einstellungen und Konfigurationen. Wenn da jemand auf der Bash anfängt, dies und jenes auszuprobieren, wäre ein "Reset" schon schön.
Vermutlich geht das, indem man einige Pakete nochmal neu installiert und die Configs überschreiben lässt.

naja, das ist trotzdem schwierig zu realisieren, beim erstellen so eines WG passieren eben ganz spezifisch ein paar Dinge die sich so im Feld nur schwer machen lassen.
Im Ausnahmefall ist es eben einfacher die Kiste in einen Karton zu packen und "neu" zu machen, weil da steckt viel Detail drin damit das auch alles zusammenpasst..(wie das ohne ist, kann man unter Communitygate ja nachlesen )
Und man müsste mind. nochmal genausoviel Zeit reinstecken, das bringts schlicht nicht..
Das zweite Problem: Dann kann ich gleich eine Stückliste+Howto-mach-a-WireGate hier einstellen.. so offen wie ich bin, 1-2 Konfigurationsdetails, warum ich daran glaube das es ggü selbstbau recht sicher 15J funktioniert, behalte ich schon für mich

Das ist die Krux oder Gratwanderung, wenn man eben ein völlig offenes System zur Verfügung stellt: wer den Schraubenzieher in die Hand nimmt, muss ihn auch halten können

Wiegesagt, einen (individuellen) Auslieferungzustand kann man ganz simpel per dd sichern und wiederherstellen.

Makki

Und zurück zur Security:
mal angenommen:

wie erkläre ich einem DAU, das er sich mit einem perfekt voreingestelltem WG das er per dd auf 10 andere dupliziert, das er sich gerade völlig unwissentlich beide Beine weggeschossen hat, weil jeder VPN-User auf einem der 10 - auch auf alle anderen kann?

Makki

Was aber gehen müsste wäre, das ihr ein individuelles Image erzeugt, das dann der User via DD auf die CF bügeln könnte. Dann spart man sich den Versand...

Aus aktuellem Anlass ein +1 von mir
Kannst ja eine Art Kopierschutz einbauen!? Irgendeine relevante Datei die nur von einem original Ausgelieferten WG gesichert werden kann, und beim booten vor wiregated abgefragt wird, bzw im total Backup losen Ausfall, bei euch angefragt werden kann.


Gruß

PS: kann ein DAU ein WG klonen? Die CF Bootbar machen?

Edit: hab makkis Anleitung oben überlesen. (sind dass nicht 2 sda's?? Dachte hätte zwei ge dd't )

***censored***

Es sind zwei Partitionen auf einer CF.
Man kann also die ganze CF mit partition table etc. kopieren oder jede Partition einzeln, nachdem man das CF partitioniert hat.

Hi makki. Da sprichst du ein interessantes Thema an: ich habe ein Wiregate gebraucht erworben und kann aktuell nicht sicherstellen, dass da alles so ist, wie es sein sollte oder wissen, wer Kopien von Keys hat etc.. Was sollte ich hier idealerweise machen? LG, Timo

Ach Mönsch, auf so einen Eiertanz hab ich doch garkeine Lust
Wenn ich das wollte könnte ich auch einfach den wiregated.pl unter Closed stellen und jeden ders kopiert vorn Richter ziehen, oder?
Wir hätten ja sogar einen ganz guten "Dongle", so einen DS2401 (die 81.xxx) mit ID zu emulieren ist nichts für Mädchen..

Allerdings besteht da eine ganz andere Grundidee! Ich will das garnicht verhindern, ich sage nur, wer sich ein Debian aufsetzen kann, der soll es gerne verwenden.
Aber halt nicht bis zum exodus, wieviele eibd, owfs & Co Cross-Kompilate hier habe ich schon unterstützt, beraten oder sogar bereitgestellt? ..

Nee, wenn dann nehme ich die Mac-Adresse und kaufe mir einen 10J alten Linux-Kernel, so wie Elektro-Vollprofis das machen
Also ich kompiliere den Kernel davon mal selber und hätte genug Ideen dazu (die MAC-Adresse oder eine Datei zu prüfen ist eher die banalste davon)

Das gibts schon seit Tag 0: auf jedem WG befindet sich ein individueller RSA-Key, signiert von einer Inhouse-CA u.a. fürs Wartungs-VPN (das erst vom Anwender aktiviert werden muss!), und mögliche spätere Dienste (die der AW dann auch aktivieren werden muss), also kann ich heute und in 10J 100% sicher sagen obs Klon oder orginal ist. (Allerdings weiss ich das bei der Fragestellung eh 100% auch ohne Key so schon)

Aber genau da liegt das Problem: ich garantiere meinen Kunden, schon alleine aus Überzeugung, das sie individuelle, nicht bei uns gesicherte(!), bei sich erstellte (mit einem HW-RNG übrigens) Keys haben. (die mit o.g. nichts zu tun haben!)

Security ist kein Spass und vor allem im Detail eben stark von der Umgebung und Verständniss des Anwenders abhängig. Also muss ich hier erstmal 0 vorraussetzen und es für ihn so sicher machen wie es in meiner Macht liegt.
-> Wenn der Kunde das das erste mal inbetrieb nimmt ist nicht damit zu rechnen das es innerhalb 30s gehacked wird, wenn man die Keys im Backup (die im Webif sind übrigens PGP-verschlüsselt!) dann selbst durch die Welt bummelt: naja, selber Schuld.

Ja, das wurde auch schon bei Systemen ohne root-Zugang per auslöten oder JTAG geschafft, wo der Hersteller nicht selbst auf dd hingewiesen hat


Tja, das ist genau das Thema! Das kann man im Feld nicht mit vertretbaren Mitteln sicherstellen. (und jeder der was anderes behauptet lügt schlicht..)
Ohne 2 Tage Schulung kann ich - selbst wenn ich wollte - kein 100% sicheres Factory-Restore bereitstellen - und dann bleiben die 10% Restrisiko..


Das ist jetzt zugegeben ein bisschen Paranoia-überzogen aber IMHO ein durchaus realistisches Beispiel weil z.B. in Wirtschaftsspionage gehts halt nicht um 10€:

Also, mal angenommen ich wäre nicht ich () aber wüsste was ich weiss und hätte ein sattes Budget um Dich oder z.B. deinen AG auszuspionieren.
Also, ich würde mir ein möglichst einfaches Angriffsziel suchen, nehmen wir mal an das fällt schlicht auf dich:
Dann sehe ich: ok: KNX, will vielleicht ein WG, dann also zu 30% ist 1194 UDP offen, dann lese ich zwei Tage deine Postings, befreunde mich mit Dir auf Gesichterbuch usw.
Damit habe ich 90% der möglichen Kennworte nach ein paar Tagen/Wochen (Frau, Freundin, Hobby, Hund, ..), denen füge ich 1-3 zahlen hinzu. (Ich mache schon ein paar Tage IT, das funktioniert "leider" recht gut..)

Jetzt hätte ich bei Dilletanten ja schon alles, aber die Spielverderber von der Konzern-IT habens (mal angenommen) richtig gemacht und nur einen VPN-Zugang mit OTP und Public-Private-Key für dich. Alles wieder gut?
Nee, ich würde mir jetzt ein WG kaufen, ein paar Wochen warten und es dir sehr attraktiv verkaufen.
Wenn ich nun richtig gut wäre und damit meinen Lebensunterhalt verdienen würde, hätte ich vorher das openssl darauf so gepatched, das es nur noch keys generiert die ich kenne (damit würde jegliches neu-erstellen sinnlos, im Details würde ich es besser verstecken, aber egal);
Ums abzukürzen: verloren! weil irgendwie bekomme man dann von der Kiste im laufe der nächsten Wochen/Monate schon einen Keylogger o.ä. auf den PC..

-> Nicht das ich den Anspruch hätte, das ein WG sowas verhindert, aber fördern muss es da ohne Not durch dumme Massnahmen auch nicht.. Und Augen auf! Das ist keine Science-Fiction, genau so oder so ähnlich kommen 1000 Dokumente vom FBI -> Wikileaks


Zurück zur Realität: Die Keys fürs VPN usw zurückzusetzen sollte aber einfach sein, muss da morgen mal durch die Scripts browsen..
Trotzdem: Der Angreifer hat aktuell 90% weniger chance, weil da sitzt ein 1024bit RSA-Key den auch die NSA nicht so mirnix-dirnix hat (kein Spass: ich lese den source wirklich, bevor es eine neue OpenVPN-Version gibt!)

Makki

P.S.: die unbekannten Abkürzungen bitte einfach rechtsklicken und selber gurgeln..

Na da bin ich mal gespannt, wanns das Debian Update gibt. Das alte ist ja so langsam out of support... Auch keine security Fixes mehr.

Bei alldem weiss ich immer noch nicht, warum der Kollege sich nicht ein Usb-Image herunterladen kann, das seine CF bügelt und das richtige Image installiert. Wenn man sicher gehen will, ist das halt signiert. Aber das wars dann.

Das kann ich Dir sagen: Garnicht, weil das im Feld mit mehreren hundert Geräten bei wirklichen Endanwendern schlicht nicht geht.

Ausser du erklärst dich mit 5 anderen bereit, alle Rückfragen beim dist-upgrade zu beantworten (soll ich meine linknx/apache/.. config überschreiben - und warum frägt er mich das?)

Und weiter? Zwei meiner Lieblings-Server laufen guten gewissens mit Debian woody (3.0 - 2002).. 24x7x365!
Willst du mir nun erklären wie du das mit Updates auf hunderten prodktivservern hältst oder->?
Ich versuche mich gerade daran zu erinnern wann ich das letzte Security-Update für die FB7170 oder die Syno207+ bekommen habe.. Hmm. da war keins.. oder - huch - mein VDSL-Modem hat übrigens auch einen 2.4er-Kernel drauf..

Meinen HS nicht zu vergessen, für den ca. 10J alten Kernel gibts mehr Doku zu Exploits als zur Funktion

Die dafür relevanten Pakete (eibd, owfs) mache ich eh mal selber, das erledigt kein Dienstleister oder irgendeine Fee (owfs ist seit ein paar Monaten upstream in unstable, das können wir und ja anschauen und dann in 4J nochmal diskutieren, wenn das stable wird, wessen Variante hier und heute Praxistauglicher war..)

Muss ich mich dafür wirklich rechtfertigen? als derjenige der seit ca. 3J nur die relevanten Updates handverliest und schon Ende 2009 einen Kernel ausgeliefert hat der Stand bis heute offiziell aktueller stable und LTS ist (der ist nicht von lenny, war er noch nie, nur so am Rande) Das muss ich mir nicht anhören, im Gegensatz zu manch Konkurrenz lese ich nämlich täglich >50 Mailing-listen zu einschlägigen Themen und agiere auch, wenn das wirklich notwendig werden sollte..

Das ist jedoch seltenst der Fall, weil was interessiert mich irgendein exploit, wo der user root-Rechte erlangen kann (was auch schon sehr selten ist) in einem System wo zu 90% Hanni&Nanni im LAN eh mit dem Bus tun und lassen können was sie wollen.. Bitte die Kirche nicht aus dem Dorf tragen..

Einzige Ausnahme: die ganzen SSL-Geschichten der letzten Monate (verbockt einzig und allein von den sog. "vertrauenswürdigen" CA's vor denen andere & ich schon immer gewarnt haben. Und den Browsern) Aber die Updates gibts vollständig, so ein "oldstable" wird übrigens wesentlich länger supported, wenns was echt relevantes ist schickt man dem Maintainer einen sauberen Patch und dann wird das auch Upstream gefixed..
Ich möchte an dieser Stelle noch kurz darauf hinweisen: für das OpenVPN war noch kein einziges Update notwendig, weil derlei zweifelhaftes ab Tag 0 deaktiviert war! (Glaskugel oder Urin?)
Im Apache geht es nicht ohne Update weil die ganze Branche halt mal festgestellt hat das sie in SSL/TLS mal so richtig sch* gebaut haben, eigentlich ists zwar der Browser aber der Server muss mit sonst redet der Browser nicht mehr mit ihm - gibts im Rahmen der regulären Debian Updates.
Noch Fragen?


Aber nochmal kurz zur Erinnerung: wir verkaufen ein 1-Wire - / IP - KNX-Gateway, keine Super-Security-Firewall. Der exponierte Teil, OpenVPN-Server und Reverse-SSL Proxy (apache+openssl) wird sicher gehalten, das haben wir auch ohne dist-upgrade im Blick&Kreuz, fertig..
Gemanagte Firewalls (Cisco oder Linux) bekommt man von uns auch, ist sogar unser Kerngeschäft, da wird das Security-Update dann binnen Minuten installiert, kostet halt zwischen 50 und 500 EUR im Monat, kein Problem. Aber das muss man finanzieren..


Zurück zum Thema Factory-Reset:
Ich versuchs mal anders und kürzer: die Funktion wurde noch nie benötigt (ausser um die Frage danach zu beantworten), kostet Zeit zum machen, ist potentiell erstmal Fehlerträchtig weil irgendwer muss es in 20 Konstellationen testen (->Zeit) und die Stichwort-Liste der kleinen und grossen Grausamkeiten umfasst aktuell 63 Punkte.
Ich setze es also an Punkt #64, wenn der jemals an #1 kommt wirds gemacht (es geht natürlich u.a. über den USB-Stick) -> und damit erstmal Ende..

Makki

Ich verstehe alle Argumente - aber nur einzeln. Aber am Stück kann ich das nicht in einen sinnvollen Zusammenhang bringen. Einerseits werden oben Argumente an den Haaren herbeigezogen, warum das Clonen eines WG die wirtschaftliche Existenz des Besitzers bedroht, andererseits ist Sicherheit nun doch eher wieder unwichtig.

Wenns mit Deinen Debian Servern seit 10 Jahren klappt - ich sag mal Glück gehabt. "Grundschutz" sieht aber anders aus. Da kann man sich auch kein Beispiel an schlechten Vorbildern nehmen (wobei das auch Äplfel und Birnen sind).

Vielleicht wäre es ja ein Anfang, neue WGs mit neuem Debian auszuliefern. Die alten kann man erstmal im Feld lassen. Aber das ist müsst ihr euch überlegen. Es gibt da auch andere Sachen als ein distupgrade.

Ich halte die Idee mit dem USB Stick, der ein Image eines von euch generierten individuellen WGs enthält, immer noch für Dau-tauglich. Statt das jetzt aber weiter zu verfolgen, sehe ich hier nur gaaaanz lange Mails, warum, wieso, weshalb. Paßt nicht, sorry.


Gruß


PS: ein fach mal nen Honeypot mit altem Debian an prominenter(!) Stelle aufstellen. Das ist schon sehr spanndend seit etwa 6 Monaten.