Bastelspass - 7

Unser Server hier dient im Nebenjob als Zeitserver für pool.ntp.org. Das ist eine Sammlung von zur Zeit 1300 Rechnern, die sich um eine besonders genaue Uhrzeit kümmern und jedem anderen Rechnern erlauben, sich übers Internet per NTP-Protokoll mit ihnen zu synchronisieren.

Entstanden ist der Pool, als die Nachfrage nach NTP-Servern im Netz stark anstieg und jeder der Clients sich einen der wenigen NTP-Server bei Unis, Wetterdiensten und anderen Atomuhrenbetreibern ausgesucht hat. Das hat dann dazu geführt, dass die Betreiber damit gedroht haben, ihre Dienste einzustellen, weil sie den Traffic nicht bezahlen wollten. So wurde ein Pool von Rechnern gegründet, der sich mit diesen primären Zeitquellen synchronisiert und das Gros der Zeitanfragen beantworten sollte. Ich denke, das ist mehr ein symbolischer Akt. Ein Poolserver bedient zwar ein paar Tausend Clients, aber vermutlich nutzen immer noch Hunderttausende die primären Server z.B. der Physikalisch-Technischen Bundesanstalt oder des amerikanischen Instituts für Normen.

Zeitserver zu spielen wäre eigentlich keine grosse Sache. Ins wirkliche Leben übertragen wäre das in etwa so, dass man sich ein Schild "Zeitserver" umhängt, darauf achtet, seine Armbanduhr stets genau zu stellen und während man einkauft oder zur Arbeit fährt, können einen die Leute nach der Uhrzeit fragen und ihre eigene Uhr stellen. Im Internet heisst das, dass man 5-10GByte pro Monat übrig hat und ein paar Tausend Verbindungen gleichzeitig bedienen kann. Die einzelne Verbindung benötigt ein paar Hundert Bytes an Traffic.

Dummerweise hat man dann doch damit Ärger, weil die Leute ihre Firewalls nicht bedienen können. Das führt so weit, dass man Briefe vom Provider bekommt, weil die Antworten des Zeitservers als Angriff auf den Anfragenden gedeutet werden. Das ist mir zwar noch nicht passiert, aber anlässlich eines Berichts darüber hab ich mal genauer geschaut, wie meine Clients so reagieren:

Beliebt ist z.B. dieses Spiel:

Client->Server: NTP: Frage
Server->Client: NTP: Antwort
Client->Server: ICMP: Client nicht erreichbar

Übertragen aufs richtige Leben: Einer fragt mich nach der Uhrzeit, ich sag sie ihm und er hört einfach weg.

Oder dieses:

Client->Server: NTP: Frage
Server->Client: NTP: Antwort
Client->Server: ICMP: unreachable - admin prohibited filter

Also in etwa: Einer fragt mich nach der Uhrzeit, ich sag sie ihm und er schreit "Belästigen Sie mich nicht!!!". Anscheinend eben noch um die Variante erweitert, dass ein paar dieser Kandidaten zur Polizei laufen und den Zeitserver anzeigen.

Ganz neu ist auch diese Variante, anscheinend liefert T-Online derart gestaltete Firewalls aus:

Client->Server: NTP: Frage
Server->Client: NTP: Antwort
Client->Server: ICMP: redirect 217.229.x.y to host 192.168.46.21

Einer fragt mich nach der Uhrzeit, ich sag sie ihm und er sagt "Ach erzähl das doch der Parkuhr da drüben, die sagts mir dann weiter". Dummerweise steht da nichtmal eine Parkuhr die für mich erreichbar wäre.

Die Clients kommen so natürlich niemals an meine Zeitauskunft ran. Einige reagieren dann damit, dass sie einfach die Frequenz der Anfragen erhöhen, um irgendwann doch durchzukommen. Der gleiche Typ, der mich an die Parkuhr verweist, kommt dann also alle paar Sekunden angerannt und will die Uhrzeit wissen... Gegenmassnahmen laufen deshalb oft ins Leere. Ignorieren hilft nicht viel, den eingehenden Traffic, die Anfragen, hat man trotzdem. Die Leute anzuschreiben hat bisher nicht viel gebracht, ich glaube, meine Mails in dieser Sache landen irgendwo im Spamfilter.

Dabei wäre es eigentlich ganz einfach, seine Firewall passend zu konfigurieren:

• NTP verwendet das UDP-Protokoll, nicht TCP. Das ist das gleiche Protokoll, das z.B. auch für Nameserver verwendet wird. Dort müsstest Du Port 123 freischalten.
• UDP ist verbindungslos, es gibt keinen definierten Datenstrom im Sinne von "Das ist das erste Paket der Verbindung, das hier die Antwort des Servers darauf und jetzt kommt ein Paket mit der Empfangsbestätigung vom Client...". Entweder Deine Firewall hat trotzdem irgendwas "verbindungsorientiertes" eingebaut ("Ein Server, der auf Port 123 von hier aus angesprochen wird, wird für 30 Sekunden auch eingehend freigeschaltet") oder Du musst eben alles was auf Port 123 ankommt reinlassen.
• Falls Deine Firewall NAT macht, muss sie sowas wie oben erwähnt eingebaut haben. Sie muss ja die Antwort dem richtigen internen Client zuordnen können. Übliche DSL-Router machen NAT, man erkennt das daran, dass man intern andere IP-Adressen hat (192.168... z.B.) als die nach Aussen sichtbare dynamisch zugewiesene.
• "pool.ntp.org" ist nicht genau eine IP-Adresse, sondern eben ein Pool. Es hilft nichts, diesen "Host" in der Firewall freizuschalten. Die würde sonst beim Booten diesen Hostnamen in eine IP-Adresse umwandeln und diese in ihre Regeln eintragen. Ein anfragender Client bekommt aber Stunden später eine andere Adresse als Zeitserver zugewiesen. Die wäre dann in Deiner Firewall gesperrt. Dieses Problem hast Du übrigens auch bei Windows-Clients, die "time.windows.com" als Server verwenden, auch das ist eigentlich ein Pool.
• Falls Du Deine Clients nicht im Griff hast, weil die Studenten in Deinem Wohnheim nicht auf ihren Admin hören, gib halt 123/udp ganz frei. Falls Du das nicht möchtest, sperr ihnen den Port ausgehend. Dann bekommen sie auch keine Zeitinformation, gehen aber da draussen niemandem auf die Nerven.
• Falls Du Snort einsetzt, um verdächtigen Netzwerkverkehr zu überwachen und Meldungen über NTP-Pakete mit Überlänge bekommst, ist das noch nicht zwingend ein Angriff. Normale Zeitansagen sind tatsächlich kleiner als 128Byte, in der Regel 48Byte. Neben der normalen Zeitsynchronisation kann ich aber auch weitere Statusinformationen eines Servers einholen (z.B. kann man mit "ntpq -pn servername" rausbekommen, wo sich der Server selbst seine Zeit holt). Die Antworten auf solche Anfragen sind dann längere Pakete. Solltest Du also im Snort auf "EXPLOIT ntpdx overflow attempts" hingewiesen werden, schau doch mal mit tcpdump oder etherreal nach, ob einer Deiner Clients gerade dabei ist, ntp-Server nach Statusinformationen abzufragen.
• pool.ntp.org liefert Zeit per NTP (RFC 985 oder dessen Nachfolger 1305 und 2030) aus. Es gibt weitere Protokolle (z.B. RFC-868-Time-Protokoll oder RFC-867-Daytime), aber es ist Glücksache, ob ein Poolserver diese Protokolle unterstützt. Es gibt eigentlich auch keinen Grund die zu nehmen, diese Protokolle haben Nachteile gegenüber NTP (Nur eine Sekunde Auflösung bei RFC868, zusätzlich kein definiertes Format der Antwort bei RFC867). Bei meinem Server funktioniert das zwar bis auf weiteres, aber eigentlich nur aus Gründen der Tradition. Die pfiffige Idee, sich die Zeit über HTTP-Anfragen zu besorgen ist lustig und sehr firewallverträglich, wird aber ebenfalls von Poolservern nicht unterstützt.

Falls Du viele Clients hast, bau einen eigenen NTP-Server, der sich mit dem Pool synchronisiert und sag Deinen Leuten, sie sollen den verwenden. Das bringt auch Deinen Kunden Vorteile. ein NTP-Server hat seine Zeit immer auf 2-50ms genau. Der grösste Unsicherheitsfaktor bei der Synchronisation ist die Laufzeit der Pakete übers Internet. Ein eigener Server im Keller mit 1ms Laufzeit wäre ideal.

Schön wäre es, wenn Du den Server dann noch in den Pool eintragen könntest. Einen Server aufzusetzen ist nicht viel Arbeit, 10GByte/Monat solltest allerdings entbehren können, Du brauchst eine feste IP-Adresse dafür und virtuelle Server eignen sich in der Regel nicht. vServer haben nämlich meistens keinen Zugriff auf die echte Hardwareuhr. Dabei lernt man auch ungemein viel über Netzwerkprotokolle, lustige ICMP-Antworten und verkorkste Firewalls.

Als Bonus bekommt man auch noch eine schöne Statistik über seine eigene Uhr geliefert. Diese Erfassung der Genauigkeit der Poolserver dient auch dazu, falsch gehende Uhren rauszuwerfen. Falls Deine Uhr also mal nicht stimmt, bekommst Du eine Mail, die Dich darauf hinweist und Dein Server wird vorübergehend aus dem Pool geworfen, bis die Zeit wieder passt.

PS: Wer mehr über NTP erfahren will, findet bestimmt bei "Heise: Zeit-Abgleich" genug Lektüre...

Die letzten Abende habe ich damit verbracht, für einen Freund einen IRC-Server aufzusetzen. Der wollte einen Chatserver für seine Homepage, sein Provider hat ihm allerdings gesagt, dass er damit zu viel kostbare Rechenzeit verheizt und er soll das woanders laufen lassen. Er könne sich ja mit einem IRC-Server per Webinterface verbinden. Und so entstand als Testsystem irc.dianacht.de (Interessierte können klicken oder sich per IRC-Client verbinden, werden aber sicher allein im Chat sein Port 6667 für normale Verbindungen, 6668 für ssl-gesicherte).

Irgendwie eine ganz andere Welt, dieses IRC. Bei allen anderen Serverdiensten geht man davon aus, dass man irgendwelche Inhalte bietet, und die den Leuten vorsetzt, dass man Themen definiert, mit denen man sich hier zu beschäftigen hat oder halt verschwinden soll, wenn einem das Thema nicht liegt.

Bei IRC ist das alles ganz anders. Da stellt man den Leuten einfach einen Server hin, kann sich im wesentlichen aussuchen, wer sich damit verbinden darf, aber das wars dann auch. Man hat kaum Möglichkeiten die Leute in bestimmte Channels zu zwingen, jeder hat die Chance sich seinen eigenen Channel aufzumachen und nach Gutdünken zu gestalten. Der Besitzer des ganzen steht dann da und hat eigentlich ausser der Arbeit vielleicht garnix von seinem Server. Ausser halt der Möglichkeit die jeder hat: Einen Channel gründen und dort Anschluss suchen.

Andererseits: Das ist wie in der Kneipe. Der Wirt bestimmt in gewissem Rahmen darüber, wer reinkommt. Über was sich der dann mit den anderen Leuten unterhält, oder ob er überhaupt was sagt, kann er dann nicht mehr beeinflussen.

Der Betreiber kann nicht mal mitlesen, was in den einzelnen Chaträumen geredet wird. Im Gegensatz zum Wirt muss der nämlich am Tisch kein Bier verkaufen und nach der IRC-eigenen kompromisslosen Definition "Server-Operatoren haben mit den inneren Angelegenheiten einzelner Channels nichts zu tun" wurden alle Einflussmöglichkeiten auf die einzelnen Räume einfach weggelassen.

Mitprotokolliert, wer den Server nutzt, wird auch nicht. Daran sieht man auch, wie alt dieses Chatsystem ist. Sowas wäre heute verboten ;)

Ich bin ja gespannt, wie sich das bewährt. Jeder zweite Provider für kleine Server schreibt in seine AGB, dass IRC verboten ist. Vermutlich weil sie fürchten, bei irgendwelchen Chatkriegen und Bot-Schlachten in Mitleidenschaft gezogen zu werden. Besonders vorsichtige Geschäftsleute formulieren sogar extra IRC-Klauseln in ihren AGB:

[Provider] behält sich das Recht vor, Server mit IRC-Diensten jederzeit außer dem Betrieb zu nehmen, falls dadurch direkt, indirekt oder vermutungsweise der restliche Betrieb beeinträchtigt wird oder werden könnte. Schäden und Kosten, die direkt oder indirekt durch IRC (zum Beispiel durch DOS-Angriffe) entstehen sollten, werden vom Kunden ausnahmslos übernommen. [...]
Für jeden Fall der Zuwiderhandlung gegen eine der vorstehenden Verpflichtungen verspricht der Kunde [dem Provider] unter Ausschluss der Annahme eines Fortsetzungszusammenhangs die Zahlung einer Vertragsstrafe in Höhe von EUR 2.500,00. Schäden und Kosten, die direkt oder indirekt durch eine Missachtung der vorgenannten Bestimmungen entstehen sollten, werden vom Kunden ausnahmslos übernommen.
(hervorhebung von mir. Der Konjunktiv beim Schaden in Verbindung mit den ganz realen 2500 Euro find ich schon irgendwie naja... Der Provider wird nicht genannt, weils viele so machen. War einfach der erstbeste Google-Link bei "IRC AGB")

Ich denke ja, diese Ängste sind für Provider ein Relikt aus längst vergangenen Zeiten, eine Urangst vor dem Säbelzahntiger, die sich in der Branche einfach weitervererbt, ohne gross hinterfragt zu werden. Kriege mögen in den grossen Netzen vielleicht noch um einzelne Channels toben, aber im wesentlichen ist es ruhig geworden in den IRC-Netzen.

Mal sehn, wenn ich wieder abschalte bin ich um eine Erfahrung reicher und verloren wäre wenig. Und vielleicht finde ich ja noch einen IRC-Client für Eliza, dann sind die wenigen Besucher nicht so alleine.

Seit Montag geistert ein Urteil durchs Internet, wo ein Mensch vom Arbeitskreis Vorratsdatenspeicherung sich gegen das Justizministerium durchgesetzt hat: Das BMJ darf zukünftig die IP-Adresse seiner Homepagebesucher nicht mehr speichern. Die Idee des Richters hinter diesem Urteil ist irgendwie schon klar:

Eine Verneinung des Personenbezuges von dynamischen IP-Adressen [...] hätte zur Folge, dass diese Daten ohne Restriktionen an Dritte z.B. den Access-Provider übermittelt werden könnten, die ihrerseits die Möglichkeit haben, den Nutzer aufgrund der IP-Adresse zu identifizieren, was mit dem Grundgedanken des Datenschutzrechts nicht vereinbar ist. Abgesehen davon wird die Rechtsauffassung der Beklagten insoweit nicht geteilt, als vorgetragen wird, dass eine Bestimmbarkeit der Person nur gegeben sei, wenn der Betroffene mit legalen Mitteln identifiziert werden könne. Zu Recht weist der Kläger darauf hin, dass das Datenschutzrecht gerade vor dem Missbrauch von Daten schützen soll [...]

Also kurz gesagt, solange es irgendwen gibt, der die IP-Adresse einem Menschen zuordnen kann, ist sie personenbezogen. Und wenn der eine auch nur der eigene Provider des Besuchers ist, oder einer seiner Angestellten, der kriminell handelt wenn er den Kundennamen zur IP rausrückt.

Ich bin eher die Meinung von Chris bei F!XMBR, dass der Kläger da weit übers Ziel hinausgeschossen ist und bei konsequenter Umsetzung ganz schön viel Wartbarkeit und Sicherheit der Server den Bach runtergeht. Aber so ein bisschen Recht muss man dem Kläger schon geben.

Ich probiers jetzt jedenfalls mal, einen Server zu betreiben, der in den normalen Logfiles keine IP-Adressen speichert sondern ein paar Minuten nach Gebrauch in eine pseudonymisierte Form umwandelt (in den Datenschutzerklärungen verspreche ich überall "innerhalb einer Stunde", falls ich da doch noch Luft brauche). Ich glaube nämlich wirklich, dass es nicht weiter schlimm ist, die Zugriffe normaler Besucher nicht mit IP-Adressen zu protokollieren. Dank der schon vorher (wenn auch nur 1x täglich) angewendeten Pseudonymisierung bleibt auch noch genug Information erhalten, um Spass an seiner Serverstatistik zu haben.

Das schöne Siegel von "Wir Speichern Nicht" werd ich aber trotzdem nicht bekommen. Dafür geht deren Fragekatalog einfach zu weit. Der Knackpunkt sind die Kommentare hier. Wenn hier jemand kommentiert, wird seine IP-Adresse für fünf Tage gespeichert. Schlimmer noch, mein Spamfilter leitet die IP-Adresse des Kommentators an irgendwelche Schwarzen Listen weiter, deren Ergebnis dann eine Einschätzung der "Spamigkeit" des Kommentars ist. Momentan ist diese Option zwar ausgeschaltet, weil so wenig unerkannter Spam reinkommt, die Mailbenachrichtigung über neue Kommentare enthält ebenfalls keine IP-Adresse mehr, aber grundsätzlich möchte ich diese Möglichkeit noch behalten. Ich glaube damit komme ich nicht durch, die Kriterien beziehen sich eindeutig auch auf das "Absenden oder Veröffentlichen von Nachrichten". Ich hab mal einen Text unter das Kommentarfeld gesetzt. Der liest sich zwar schrecklich, beschreibt aber den ganz normalen Wahnsinn in der vermüllten Welt der Blogs, Foren und Gästebücher.

Auch der Punkt "Es werden keine personenbeziehbaren Logdaten gespeichert (z.B. in Logfiles einschließlich Error, Firewall und IDS logs)". geht mir zu weit. Eine vernünftige Firewall logt nur Verkehr, der ihr verdächtig vorkommt, oder gegen ihre Regeln verstösst. Ich würde Surfverhalten, das sich in Errorlogs und Firewalllogs niederschlägt nicht als bestimmungsgemässe Nutzung meines Servers sehen. Ein IDS (intrusion detection system, so eine Art Bewegungsmelder für verdächtig aussehenden Netzwerkverkehr) habe ich zwar nicht, aber ein IDS ohne IP-Aufzeichnung kommt mir so sinnvoll vor wie eine Überwachungskamera im Tresorraum, die absichtlich die Gesichter verpixelt, um keine Unschuldigen in Verdacht zu bringen.

Zum Glück habe ich keine fremden Banner, Counter und Statistiktools eingebaut und nur in einem, fast nie besuchten, Beitrag hier ein eingebettetes YouTube-Video. Ich hab das eigentlich eher deshalb vermieden, weil ich die Seiten hasse, wo schon fast alles geladen ist, der Browser aber noch auf ein wichtiges kleines Icon eines Counters warten muss. Hätte ich sowas verwendet, müsste ich auch noch für all diese Dienstleister versprechen, dass sie die Daten meiner Besucher sofort löschen. Ob ich von YouTube dazu überhaupt eine Auskunft bekäme?

Ich leite auch die IP-Adressen meiner Besucher ganz ungeniert zur Google weiter, wenn sie sich z.B. über offroad-Touren informieren wollen. Die ganzen Tracks und Landkarten bei dem Pyrenäen-Reisebericht kommen ja von Google-Maps. Das gleiche gilt für die Besucher meines Geo-Counters. Dort speichere ich zwar nicht selbst sondern Google, aber vertrauliche Behandlung von Besucherdaten ist was anderes...

Alle anderen Logs lasse ich übrigens bei ein paar Tagen Speicherfrist. Falls mir mal wieder einer ein paar GB Traffic beschert, will ich ihn im Fehlerlog finden und automatisch aussperren. Dienste mit Anmeldung (ssh, ftp ...) werden ausschliesslich von mir genutzt und ein anderer kommt da kaum ohne böse Absicht (zumindest böse Absicht seines verwurmten Rechners...) drauf. Und wer mir eine Mail schickt, darf ruhig im Log auftauchen, falls der Brief ankommt, sehe ich ja eh den Absender und alle dazwischenliegenden Mailserver.

Gelungener Hack, Unvermögen der Mannen des Innenministers, oder Notabschaltung wegen heranrückender Staatstrojaner aus Fernost?

Heise hats schon heute Nachmitag gemeldet und immer noch ist die Seite unseres Innenministers unerreichbar und zeigt stattdessen auf den eigenen Rechner des Besuchers. Also schnell mal alle den Webserver auf dem PC anschmeissen und sich im Glanz grosser Namen sonnen.

~$ dig @ns1.arcor-ip.de wolfgang-schaeuble.de AXFR
....
wolfgang-schaeuble.de. 10000 IN SOA wall.cdu.de. \
root.wall.cdu.de. 2007090602 21600 1800 300 300
wolfgang-schaeuble.de. 10000 IN NS ns1.arcor-ip.de.
wolfgang-schaeuble.de. 10000 IN NS ns2.arcor-ip.de.
wolfgang-schaeuble.de. 10000 IN NS ns3.arcor-ip.de.
wolfgang-schaeuble.de. 10000 IN NS wall.cdu.de.
wolfgang-schaeuble.de. 10000 IN MX 5 mail1.cdu.de.
wolfgang-schaeuble.de. 10000 IN MX 10 mail.cdu.de.
wolfgang-schaeuble.de. 10000 IN MX 20 mail.arcor-ip.de.
#www.wolfgang-schaeuble.de. 10000 IN A 193.219.105.30
www.wolfgang-schaeuble.de. 10000 IN A 127.0.0.1
wolfgang-schaeuble.de. 10000 IN SOA wall.cdu.de.

Angesichts der Raute glaube ich, das weder Hack noch Notabschaltung in Betracht kommen. Ist mir auch schon ganz oft passiert, nur dass ich das immer schneller gemerkt hab und keine Prominenz hoste.

Dass die Raute sehr häufig ein Kommentarzeichen ist, bei Bind aber nicht, weil da wird ein Kommentar durch Strichpunkt gekennzeichnet, muss man nicht unbedingt wissen. Falls man aber den Nameserver wichtiger CDU-Politiker betreut (ich nehme an Arcor ist da nur Dienstleister, verantwortlich zeichnet ja root@wall.cdu.de), könnte man das schon. Vor allem sollte man ausprobieren, obs noch geht, wenn man da was umstellt. Sieht ja blöd aus für das Präsidiumsmitglied der Partei, das auch gleichzeitig betont über Leute mit höchster Kompetenz in Computerdingen zu verfügen.

Schön übrigens von Arcor, dass sie ihren Kunden derart viel Transparenz ihres Nameservers bieten. Viele Leute glauben ja, dass ein Zone-Transfer nichts für Endverbraucher ist. Ist es auch nicht, aber amüsanter ist es schon.

Nachtrag 13.9.:

Seit heute Abend gibts wieder eine Seite für den Minister. Eintönig blau mit "die gewünschte Web-Seite steht Ihnen hier in Kürze zur Verfügung" von Arcor. Anscheinend wechselt der Mann zu seinem neuen Lieblingsprovider, der sich durch seinen vorauseilenden Gehorsam beim Zensieren von Schmutz und Schund in den letzten Tagen profilieren konnte.

Die Raute gilt in Kreisen der CDU-Dienstleister immer noch als Kommentarzeichen:

#www.wolfgang-schaeuble.de. 10000 IN A 193.219.105.30
www.wolfgang-schaeuble.de. 10000 IN A 145.253.3.75

Ich mein, von meiner Dorf-CSU hier kenne ich das ja, dass die schon fleissig Werbung in den Printmedien machen ("Weitere Informationen auf unserer Homepage www.csu-aschheim.de") und dann monatelang eine united-domains-Werbeeinblendung stehen lassen, bevor sie online gehen (falls das überhaupt jemals passieren sollte, ich würde mich gern informieren, aber irgendwann verliert man doch die Lust, immer nachzuschaun...). Aber dass das auch die Weltpolitiker so stümpern lassen, wundert.

Sie befinden sich hier:

Was es soll, weiss ich nicht, aber die Idee fand ich witzig,  Blogs einfach nur mit ihrem favicon zu verlinken. Hat natürlich irgendwie was von "und das ist unser Hotel und dort im 6. Stock, drittes Fenster links, das war unser Balkon", aber manche fühlen sich ja erst in der Masse wohl.

Und jetzt schau ich mir mal die Nachbarn an...