Themenübersicht als pdf >>>

Tabs to the front! >>>

Das IEEE weist jedem Hersteller einen sogenannten OUI (Organizationally Unique Identifier) zu, der die ersten 24 Bit der Kartenadresse darstellt. >>>
ARP als Schnittstelle zu IP

WLAN: Standards >>>

WLAN: Netze finden:

• wirelessnetview (Win): >>>
• SSID unterdrücken kein Sicherheitsgewinn >>>
• Android-App wifi analyzer >>> und Fing >>>

IPv6: Aktuelle Vergabe Adressbereichen >>>
Übergänge IPv4 <> IPv6: 96 "IPv6-Bit" haben den Wert "0" >>>

Link zu schön-kompakter Zusammenfassung zu Netzwerken unter Linux: >>>
Portscanner Nmap >>> , mit GUI als "zenmap", mobil mit o.g. "Fing". Offizielle Portliste >>>

Mit Multipath-TCP mehrere Leitungen verwenden, Ausfall-Kompensation ohne spürbare Umschaltzeiten >>>
MPLS: Signalisierter Pfad zur Geschwindigkeitssteigerung im LAN und WAN >>>

Spanning-Tree-Protocol zur Deaktivierung redundanter Pfade >>> (Heute gebräuchlich: Rapid Spanning Tree Protocol RSTP, IEEE 802.1w.)

Lichtwellenleiter >>>

Einführung in VLAN-Technik: Artikel auf tecchannel.de >>>
Konfigurationsanleitung: Artikel auf heise.de >>>
Details zur Konfiguration unter Ubuntu >>>

Aus jedem Linux-Rechner lässt sich ein Router machen: dauerhafte Kerneleinstellungen / temporär
Die Details zu den Routenangaben: http://www.fibel.org/linux/lfo-0.6.0/node477.html
Statische Routen-Festlegung: http://openbook.galileocomputing.de/unix_guru/node195.html
Einrichten eines einfachen Routers: http://www.fibel.org/linux/lfo-0.6.0/node479.html
Virtuelle Schnittstellen: http://linux-ip.net/html/tools-ip-address.html
Komplexeres Routing: http://linux-ip.net/html/tools-ip-route.html
Mehrere Routing-Tabellen: http://www.thomas-krenn.com/de/wiki/Zwei_Default_Gateways_in_einem_System#Konfiguration_der_neuen_Routingtable
Routing-Policies: http://www.sysresccd.org/Sysresccd-networking_de_Fortgeschrittenes_Netzwerken_und_Policy_Routing
Bandbreiten-Management: https://www.heise.de/artikel-archiv/ct/2002/24/224  (lokale Datei, Linux-Traffic-Shaping)

Feine Sammlung schöner Netzwerk-Tools bei Heise >>>
Das Schweizer Taschenmesser der Netzwerker: Wireshark. (Darf nur in autorisiertem Kontext verwendet werden!) >>>

• Schnittstelle auswählen, Aufzeichnen > Starten
• "Seltene" Webseite aufrufen, Aufzeichnen > Stoppen
• In Zeile „Anzeigefilter“ suchen nach dns (Kleinbuchstaben > enter) oder z.B. nach dns contains "amazon" (nach Besuch div. Webseiten), ggf. Rechtsklick > Folgen (Quelle: Wireshark-Wiki.)

⮊ Die "offizielle" IANA-Liste der Port-Nummern >>>

⮊ SSH-Server (Linux, Hilfestellung) >>>

⮊ SSH-Clients:

• Seit Windows 10 "Optionales Feature", aktivieren in Settings > Apps (“Manage optional features” unter Apps & Features). Hilfsweise „putty“ für Windows installieren >>> oder statt dessen "MobaXterm" mit erweiterten Möglichkeiten >>> .
• IOs-App: >>>
• Android-App: >>>

⮊ Bedrohung der Sicherheit: Durch staatliche Stellen (US-Geheimdienst sorgt für unsichere Zufallsgeneratoren, DE-Geheimdienst kauft schweizer "Sicherheits"-Firma Crypto-AG) oder Botnetze gewöhnlicher Krimineller.

• Beispiel MITM-Angriff: Zwischen (z.B. Mail-)Client und (z.B. Mail-)Server lässt ein Geheimdienst Google-Kommunikation abhören. Snowden-Skizze >>>
• Durch das Projekt let's encrypt kostenlose und automatisiert einsetzbare Zertifikate für https-Verbindungen >>>. Zentrale Fragen: 1. Wer gibt die Zertifikate heraus? (Regierungen? >>> eIDAS-Verordnung, "EU-Zertifikate verpflichtend!") und 2. Wie werden sie überprüft? ("Die Axt an der Wurzel des Online-Vertrauens" >>> Interview).
• Beispiel Hardware: Bei der ARD eingesetzte Juniper-Router/VPN-Geräte enthalten Schwachstellen >>>
• Beispiel Tracking: Präsentation der http-Fingerprintanalyse bei der EFF >>>. Hintergrundartikel zum Browser-Fingerprinting (engl.) >>>
• Beispiel Schadsoftware: Die Münchner Firma "Finfisher" produzierte (bis zum Konkurs 2021) kommerziell Trojaner >>>

⮊ Digitale Souveränität:

• Digitale Souveränität für kritische Infrastrukturen >>>

• Extrem hohe Sicherheit durch Ende-zu-Ende-Verschlüsselung, beispielsweise mit GPG (Beispiel: Die Snowden-Story >>> ) ...
• ... oder mittels zuverlässiger Messenger wie beispielsweise Signal (>>>).
• Entscheidend sind 1. die Schlüssellänge: "Keine Panik, aber mindestens 3072 Bit" >>> ...
• ... und 2. der Unterbau der Applikation. Für Paranoiker das "Spezial-Linux" tails >>>

• Ganz oben in der Hierarchie: Zwölf Betreiber organisieren konkret technisch das Root Server System (Universitäten, Internetdienstleister, die NASA und das US Army Research Lab - gewünschte Vielfalt!). Landkarte hier >>>
• Seine unmittelbare Koordination leistet die Internet Assigned Numbers Authority (IANA), auch zuständig für globale IP-Nummern-Vergabe.
• Sie wird formal beaufsichtigt durch die Internet Corporation for Assigned Names and Numbers (ICANN), einer internationalen gemeinnützigen Gesellschaft aus mehreren Interessengruppen.

Beispiel einer Liste von ansprechbaren Name Servern beim CCC >>>
Durch öffentliche Mittel und Spenden finanzierter Name Server (Berkeley): 9.9.9.9 (mit Malware-Filter) und 9.9.9.10 (ungefiltert)

Angriffe:

• DDoS-Angriff auf Root-Server >>>
• Störungen bei 1&1-Webhosting wegen DDos-Attacke >>>
• Störung bei Sipgate und Fidor-Bank >>>

Verschlüsselter Nameservice: DNS over HTTPS (DoH). Mozilla/Firefox nutzt Server von Cloudflare Inc. sowie NextDNS (blockiert Tracker und Phishing-Websites).

Manipulierter Nameservice: Die einfachste Zensurmethode. Abhilfe mit Anti-Zensur-Tool Psiphon (div. VPN-Methoden über div. Server). Maximale Sicherheit mit TOR-Browser auf Live-Linux "Tails". Beispiel in DE: Clearingstelle Urheberrecht "CUII" >>>

Ob auf den Linuxrechnern, in der Fritzbox, in der NAS-Kiste: Hinter der Klickoberfläche wartet eine /etc/dnsmasq.conf auf Einträge.

"Server Message Block" ist ein (IBM-/)Microsoft-Netzprotokoll primär für Datei- und Druckdienste in Rechnernetzen. Es ist zentraler Bestandteil der Windows-Produktfamilie. Durch das Softwareprojekt Samba können auch Unix-/Linux-Server SMB-Ressourcen zur Verfügung stellen, auf großen Fileservern oder auch (dort quasi ausschließlich) auf NAS- oder "Router"-Freigaben. Details zu Samba >>>

Serverlösungen von Microsoft von "Essentials" (425 $) über "Datacenter" (4809 $) bis ...

SMB-Clients für Wischgeräte: Für Android ES Filemanager, macht leider Startbildschirm-Widget >>>, für iOS "FileExplorer", für WindowsPhone "MetroFileManager"

Selfhtml: Wie funktionieren Webseiten? >>> 
Vergleich von Webservern: >>>


Geolocation mit HTML5 >>>

https: Verschlüsselung auf der Basis von TLS 1.0 (vormals SSL, veraltet) bis 1.3 (aktuell)

Cookies sind oldschool. (Intelligentes "Abnicken" mit dem Firefox-Plugin "I don't care about cookies" >>> )
Heute Browser-(Wieder-)Erkennung mit Fingerprints, EFF-Tool zur Diagnose >>>. Diskrete Browser:

• der Firefox-Fork LibreWolf >>>
• der Chromium-Fork Brave >>>
• Tor Browser als Non-Plus-Ultra (mit Geschwindigkeits-Einbußen) >>> .

Die populäre Client-Software filezilla >>>
FTP-Clients für iOS z.B. FTP sprite und FTP Client Lite

FTP-Server VSFTPD (Linux), Konfigurationshinweise >>>

Restriktiv konfigurierte Firewalls bereiten bisweilen Probleme beim "Zulassen von FTP"; ggf. hilft ein Versuch zwischen aktivem vs. passivem FTP umzuschalten. Kurze Erklärung auf DE >>> sowie ausführlicher (mit Grafik) auf EN >>>

MP3-Streaming-Server:

• http://darkice.org/ (greift Audio vom Sendepult ab)
• http://icecast.org/  (Server für die Ausspielung), Admin-Interface: http://icecast.org/docs/icecast-2.1.0/icecast2_admin.html 
• Installations-Einführung http://www.mediensyndikat.de/grafik/material/mp3_und_streaming.pdf
  

Interaktiver Überblick über Streaming-Technologien: http://mediensyndikat.de/stream/  

• Eine einfache Lösung, einen Desktop zu teilen: Teamviewer. Geht betriebssystemübergreifend, auch mit Linux. Auch VNC. Verbindung an Keyboard-/Maus-/Grafikschnittstelle. (Langsam [Übertragung von "Einzelpixeln", universell.)
• Remote Desktop greift am Betriebssystem ab (nicht "Einzelpixel", sondern "zeichne einen Kreis"). Z.B. Linux mit ssh -X, bei Windows als "Microsoft Remotedesktopverbindung" mstsc. Super für Admins. (Windows Home-Version kann nur eine Sitzung.)
• Am umfangreichsten: Desktop-Virtualisierung, vollständig, um Endbenutzern scheinbar "komplette Rechner" zur Verfügung zu stellen. Z.B. Virtual Desktop Infrastructure (VDI, Microsoft), hierbei wird die ganze Rechner-Infrastruktur (lokale Drucker, USB-Schnittstellen, Audiogeräte) auf den Client abgebildet; ähnlich die Produkte Citrix und VMWare.
  

Firewalls

• Desktop-Firewall unter Windows: Einschalten und gut is.
• Desktop-Firewall unter Ubuntu-Linux: Unnötig.
• Die Uncomplicated Firewall UFW: Linux-Firewall (Kommandozeile, mit Klickoberfläche GUFW), um z.B. ein LAN abzusichern. >>> .
• IPTABLES als Open Source Lösung für allerhöchste Ansprüche im Unternehmensbereich  >>>
• Hardware-Firewall als Fertigprodukte, z.B. von den Firmen Sophos >>> oder Fortinet >>>.

---

Exkurs Windows-Defensive: Die bordeigenen Sicherheitsfunktionen

• Der Defender: Im Startmenü unter Windows Sicherheit (absolut taugliches Anti-Viren- und Firewall-Programm)
• Darin Viren- und Bedrohungsschutz: Überwachter Ordnerzugriff (gegen Ransomware, nur Programme und Prozesse dürfen diese Ordner anfassen, die MS für vertrauenswürdig hält); seit Windows 11 Smart App Control (jeder gestartete Prozess wird von Windows/Microsoft auf Vertrauenswürdigkeit hin überprüft)
• Defender Cloud: Cloudbasierter Schutz übermittelt fragwürdige Dateien zur Untersuchung an Microsoft (zweischneidiges Schwert, einstellbar über "Automatische Übermittlung von Beispielen")
• Bitlocker: Verschlüsselte Laufwerke, auch z.B. USB-Sticks. (Gibt's nicht bei der Home-Edition, dort ggf. Veracrypt.)
• ...

---

Virtual Private Network (VPN)

• Anbindung etwa von Außendienstmitarbeitenden >>>
• Aushebeln durch Deep Packet Inspection DPI: Ruf nach Regulierung von Internet-"Nacktscannern" >>>
• Systematische Nutzung von VPN = "Darknet" >>>
• Eintritt mit dem Tor Browser: Installieren, DuckDuckGo verwenden und ins Onion-Netzwerk gehen >>>
• Proxy werden und als "Snowflake" mitmachen >>>

DMZ als (Teil-)Netzwerk, das von außen erreichbar, aber durch einen oder zwei Router/n und Firewall/s gegenüber anderen (internen bzw. öffentlichen) Netzen abgetrennt/-sichert ist

Exposed Host: Steht sicherheitstechnisch „frei“ im Internet meist keine Dauerlösung.

Folgt nach der Mittagspause ...

Cras dictum. Pellentesque habitant morbi tristique senectus et netus et malesuada fames ac turpis egestas. Vestibulum ante ipsum primis in faucibus orci luctus et ultrices posuere cubilia Curae; Aenean lacinia mauris vel est.